KAUNO TADO IVANAUSKO ZOOLOGIJOS MUZIEJAUS ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
I. BENDROSIOS NUOSTATOS
- Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą Kauno Tado Ivanausko zoologijos muziejuje (toliau – Muziejus), pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo ir apsaugos technines bei organizacines priemones bei kitus su asmens duomenų tvarkymu susijusius klausimus.
- Šios Taisyklės nereglamentuoja klausimų, susijusių su Muziejaus darbuotojų asmens duomenų tvarkymu, kadangi Muziejaus darbuotojų asmens duomenų tvarkymo ir apsaugos principai yra numatyti Muziejaus darbuotojų asmens duomenų saugojimo politikoje ir jos įgyvendinimo priemonių apraše, su kuriuo turi teisę susipažinti visi Muziejaus darbuotojai.
- Vaizdo duomenys tvarkomi Vaizdo duomenų tvarkymo taisyklių, patvirtintų Muziejaus direktoriaus, nustatyta tvarka. Taisyklės skelbiamos Muziejaus internetiniame puslapyje www.zoomuziejus.lt
- Taisyklės parengtos vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ), Lietuvos Respublikos viešųjų pirkimų įstatymu (toliau – Viešųjų pirkimų įstatymas), Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ (toliau – Terminų rodyklė), taip pat kitais teisės aktais, susijusiais su asmens duomenų apsauga.
II. SĄVOKOS
- Asmens duomenų apsaugos pareigūnas – reiškia Muziejaus direktoriaus paskirtą asmenį, klausimų, susijusių su Asmens duomenų apsauga, nagrinėjimui.
- Asmens duomenys – reiškia bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti tiesiogiai ar netiesiogiai, pasinaudojant atitinkamais duomenimis, tokiais kaip vardas, pavardė, asmens kodas, adresas, telefonas ar kita informacija.
- Darbuotojas – reiškia asmenį, kuris su Muziejumi yra sudaręs darbo ar panašaus pobūdžio sutartį ir Muziejaus direktoriaus įsakymu yra paskirtas tvarkyti Asmens duomenis arba, kuris Asmens duomenis sužino dėl savo einamų pareigų ar atliekamų funkcijų pobūdžio.
- Duomenų gavėjas – reiškia fizinį ar juridinį asmenį, valdžios instituciją, agentūrą ar kitą įstaigą, kuriai atskleidžiami Asmens duomenys.
- Duomenų subjektas – reiškia fizinį asmenį, iš kurio Muziejus gauna Asmens duomenis ir juos tvarko.
- Duomenų teikimas – reiškia Asmens duomenų atskleidimą, perduodant ar kitu būdu padarant juos prieinamus.
- Duomenų tvarkymas – reiškia bet kokią automatizuotomis arba neautomatizuotomis priemonėmis su Asmens duomenimis ar jų rinkiniais atliekamą operaciją ar operacijų seką, kaip antai rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, keitimą, teikimą, paskelbimą, susipažinimą, naudojimą, atskleidimą persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimą ar sujungimą su kitais duomenimis, apribojimą, ištrynimą ar sunaikinimą.
- Duomenų tvarkytojas – reiškia Muziejų arba jo pasitelktą juridinį ar fizinį asmenį (ne Muziejaus Darbuotoją), tvarkantį Asmens duomenis sudarytų sutarčių ar teisės aktų pagrindu.
- Duomenų valdytojas – reiškia Muziejų.
- Ypatingi asmens duomenys – reiškia duomenis, susijusius su fizinio asmens rasine ar etnine kilme, politiniais, religiniais, filosofiniais ar kitais įsitikinimais, naryste profesinėse sąjungose, sveikata, lytiniu gyvenimu, taip pat informacija apie asmens teistumą. Ypatingi duomenys gali būti tvarkomi tik esant Duomenų subjekto sutikimui.
- Paslaugų teikėjas – reiškia Muziejaus samdomą fizinį ar juridinį asmenį paslaugoms teikti, kurioms yra būtinas konkrečių Asmens duomenų perdavimas, siekiant tinkamai suteikti paslaugas.
- Sutikimas – reiškia bet kokį laisva valia duotą, konkretų ir nedviprasmišką Duomenų subjekto valios išreiškimą tvarkyti jo Asmens duomenis jam žinomu tikslu.
- Taisyklės – reiškia šį dokumentą, reglamentuojantį Asmens duomenų tvarkymo ir apsaugos reikalavimus.
- Tiesioginė rinkodara – reiškia veiklą, skirtą paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir/ar teirautis jų nuomonės dėl siūlomų prekių ir/ar paslaugų.
III. ASMENS DUOMENŲ TVARKYMO TIKSLAI IR TVARKOMI DUOMENYS
- Muziejus Asmens duomenis renka ir tvarko tik teisės aktuose apibrėžtais teisėtais tikslais, siekdamas sudaryti ir/arba vykdyti sudarytą sutartį, įvykdyti Muziejui taikomą teisinę prievolę, informuoti Duomenų subjektą apie vykdomą veiklą ar užtikrinti Duomenų subjekto galimybę dalyvauti organizuojamame renginyje, esant Duomenų subjekto sutikimui.
- Asmens duomenis Muziejus renka ir tvarko šiais tikslais:
20.1. Sutarties sudarymo ir vykdymo tikslu tvarkomi šie Asmens duomenys:
vardas;
pavardė;
asmens kodas;
PVM mokėtojo kodas;
gimimo data (jeigu Duomenų subjektas yra užsienio valstybės pilietis);
individualios veiklos / verslo liudijimo duomenys;
adresas;
telefono numeris;
elektroninio pašto adresas;
banko sąskaitos numeris;
parašas.
20.2. Taikomos teisinės prievolės įvykdymo tikslu (gavus antstolio patvarkymą dėl skolos išieškojimo; sulaukus valdžios institucijų reikalavimų dėl informacijos suteikimo; vykdant Viešųjų pirkimų įstatyme įtvirtintas perkančiosios organizacijos prievoles) tvarkomi šie Asmens duomenys:
vardas;
pavardė;
asmens kodas;
gyvenamosios vietos adresas;
duomenys, susiję su Duomenų subjekto įgytu išsilavinimu ar kvalifikacija;
duomenys, susiję su Duomenų subjekto teistumu.
20.3. Tiesioginės rinkodaros tikslu, esant Duomenų subjekto sutikimui, tvarkomi šie
Asmens duomenys:
vardas;
pavardė;
adresas;
elektroninio pašto adresas;
20.4. Registracijos į organizuojamus renginius, ekskursijas ar edukacinius užsiėmimus tikslu, esant Duomenų subjekto sutikimui, tvarkomi šie Asmens duomenys:
vardas;
pavardė;
telefono numeris;
elektroninio pašto adresas;
amžiaus grupė;
Darbovietės pavadinimas
Pareigos ir kvalifikacinė kategorija - Visi renkami ir Muziejaus tvarkomi Asmens duomenys yra gaunami iš pačių Duomenų subjektų elektroniniu paštu, telefonu, jiems naudojantis Centrine viešųjų pirkimų sistema (CVP IS) (dalyvaujant viešajame pirkime), taip pat suvedus savo duomenis Muziejaus internetiniame puslapyje (užsiprenumeruojant naujienlaiškius ar užsiregistruojant į renginius) ar tiesioginio susitikimo su Darbuotojais metu.
- Asmens duomenys tretiesiems asmenims, kurie nėra Muziejaus Darbuotojai, gali būti suteikiami Duomenų subjekto prašymu, Sutarties vykdymo ar Asmens duomenų tvarkymo tikslu, tvarkant duomenis Muziejaus vardu. Duomenų tvarkytojai ir Paslaugų teikėjai turi teisę tvarkyti Asmens duomenis tik sudarytų sutarčių pagrindu, laikydamiesi konfidencialumo ir Asmens duomenų apsaugos reikalavimų, įtvirtintų teisės aktuose.
- Muziejus turi teisę perduoti Asmens duomenis teisėsaugos institucijoms, jų reikalavimu, jeigu tokių duomenų suteikimas galimas pagal teisės aktus.
IV. YPATINGŲ ASMENS DUOMENŲ TVARKYMAS
- Muziejus, įgyvendindamas Viešųjų pirkimų įstatyme įtvirtintus reikalavimus perkančiajai organizacijai pašalinti tiekėją iš pirkimo procedūros, jeigu jis ar jo atsakingas asmuo yra nuteistas už nusikalstamą veiklą, tvarko Ypatingus asmens duomenis, susijusius su asmens teistumu.
- Ypatingi asmens duomenys tvarkomi išimtinai tik su paties Duomenų subjekto sutikimu, kuris išreiškiamas konkliudentiniais veiksmais, pateikiant Muziejui teistumo (neteistumo) pažymą.
- Muziejus Darbuotojų ir Duomenų subjektų saugos ir sveikatos prevencijos tikslais, kai Lietuvos Respublikoje paskelbiama karo, nepaprastosios padėties, mobilizacijos, karantino, ekstremaliosios situacijos ar ekstremaliojo įvykio padėtis, o valdžios institucijos pateikia privalomą nurodymą ir/ar rekomendaciją, gali tvarkyti Darbuotojų ir Duomenų subjektų specialių kategorijų duomenis apie sveikatą.
V. ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS
- Muziejus taiko tinkamas organizacines ir technines priemones, užkertančias kelią neteisėtai prieigai prie Asmens duomenų ar neteisėtam Asmens duomenų panaudojimui. Muziejus imasi visų priemonių užtikrinti, kad Duomenų subjekto teikiami duomenys būtų apsaugoti nuo bet kokių neteisėtų veiksmų, įskaitant neteisėtą Asmens duomenų atskleidimą ar sunaikinimą. Muziejaus naudojamas vidinis tinklas yra apsaugotas nuo neleistinos prieigos per kompiuterių tinklus.
- Muziejus naudoja atitinkamas sistemas ir procedūras, leidžiančias apsaugoti ir ginti Duomenų subjekto Muziejui patikėtus Asmens duomenis. Muziejus naudoja saugumo sistemas, technines ir fizines priemones, ribojančias prieigą prie Asmens duomenų ir jų panaudojimo.
- Muziejaus pasitelkti Duomenų tvarkytojai ir Paslaugų teikėjai turi garantuoti reikiamas technines ir organizacines Asmens duomenų apsaugos priemones ir užtikrinti, kad tokių priemonių būtų laikomasi. Duomenų tvarkytojai ir Paslaugų teikėjai privalo informuoti Muziejų apie ketinimus sudaryti sutartis su trečiaisiais duomenų tvarkytojais, kurie turėtų priėjimą prie Muziejaus perduotų Asmens duomenų, bei gauti išankstinį rašytinį Muziejaus sutikimą.
- Muziejaus Darbuotojai, atlikdami jiems pavestas funkcijas ir tvarkydami Asmens duomenis, laikosi šių principų:
30.1. Duomenų subjekto pateikta informacija (Asmens duomenys) tvarkoma tik šiose Taisyklėse nurodytais tikslais;
30.2. Asmens duomenys tvarkomi sąžiningai, išlaikant Asmens duomenų konfidencialumą;
30.3. Renkant ir tvarkant Asmens duomenis iš Duomenų subjekto nereikalaujama tų duomenų, kurie nėra reikalingi Asmens duomenų tvarkymo tikslams, nurodytiems šių Taisyklių 20 punkte, pasiekti;
30.4. Asmens duomenis turi teisę tvarkyti tik tie Darbuotojai, kurių funkcijų vykdymas yra tiesiogiai susijęs su Asmens duomenų tvarkymo tikslų įgyvendinimu, ar kurie yra paskirti tvarkyti Asmens duomenis, taip pat Muziejaus pasitelkti Duomenų tvarkytojai ir Paslaugų teikėjai;
30.5. Asmens duomenys tvarkomi ir saugomi ne ilgiau nei to reikalauja teisės aktai ar duomenų tvarkymo tikslai, numatyti Taisyklių 20 punkte. - Kiekvienas Darbuotojas, tvarkantis Asmens duomenis, privalo:
31.1. pasirašyti konfidencialumo pasižadėjimą/sutartį;
31.2. tvarkyti Asmens duomenis griežtai vadovaudamasis Lietuvos Respublikos įstatymais, kitais teisės aktais, instrukcijomis ir šiomis Taisyklėmis;
31.3. saugoti Asmens duomenų paslaptį. Darbuotojas turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Asmens duomenimis susijusią informaciją, su kuria jis susipažino vykdydamas savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumo įsipareigojimo Darbuotojas turi laikytis ir pasibaigus darbo santykiams;
31.4. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su Asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas ar kurio darbo funkcijos nėra susijusios su Asmens duomenų tvarkymu;
31.5. siekdamas užkirsti kelią atsitiktiniam ar neteisėtam Asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus
bei duomenų rinkmenas tinkamai ir saugiai bei vengti nereikalingų kopijų darymo. Dokumentų kopijos, kuriose nurodomi Asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;
31.6. nedelsiant pranešti Asmens duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę Asmens duomenų saugumui ir imtis priemonių tokiai situacijai išvengti. - Asmens duomenys tvarkomi neautomatiniu būdu ir automatiniu būdu, naudojant įrengtas Asmens duomenų tvarkymo priemones.
- Surinkti Asmens duomenys saugomi spausdintiniuose dokumentuose ir vietiniame Muziejaus tinkle esančiame serveryje. Spausdintini dokumentai bei jų kopijos, sutartys, buhalterinės apskaitos ir atskaitomybės dokumentai bei visi kiti dokumentai, kuriuose nurodomi Asmens duomenys, yra saugomi rakinamose spintose ar seifuose. Dokumentai, kuriuose nurodomi Asmens duomenys, negali būti laikomi visiems laisvai prieinamoje vietoje.
- Darbuotojai, kurie automatiniu būdu tvarko Asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi Asmens duomenys, privalo naudoti
slaptažodžius. Reikalavimai slaptažodžių sudarymui ir jų keitimo dažnumui numatyti Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse, patvirtintose Muziejaus direktoriaus įsakymu. - Darbuotojas netenka teisės tvarkyti Asmens duomenis, kai pasibaigia Darbuotojo darbo ar panašaus pobūdžio sutartis, arba kai Muziejaus direktorius atšaukia Darbuotojo paskyrimą tvarkyti Asmens duomenis.
- Asmens duomenys, gauti elektroniniu paštu, privalo būti ištrinti nedelsiant nuo jų panaudojimo vienu iš tikslų, nurodytų šių Taisyklių 20 punkte, ir/ar nuo jų perkėlimo į vietiniame Muziejaus tinkle esantį serverį, tačiau visais atvejais ne vėliau kaip per 2 (dvi) darbo dienas.
- Asmens duomenys saugomi tiek, kiek tai numato Terminų rodyklė, reglamentuojanti dokumentų, kuriuose nurodomi Asmens duomenys, saugojimo terminus, o tais atvejais, kai konkrečių saugojimo terminų ši Terminų rodyklė nenumato, šie dokumentai bei Asmens duomenys saugomi tol, kol iš sutartinių santykių gali kilti pagrįstų reikalavimų.
- Pasibaigus dokumentų, kuriuose nurodomi Asmens duomenys, saugojimo terminui, šie dokumentai, įskaitant visas šių dokumentų kopijas privalo būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti jų turinio.
VI. ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS - Visų su Asmens duomenų apsauga susijusių klausimų nagrinėjimui Muziejaus direktorius įsakymu paskiria Asmens duomenų apsaugos pareigūną.
- Duomenų subjektai gali kreiptis į Asmens duomenų apsaugos pareigūną visais klausimais, susijusiais su Asmens duomenų tvarkymu, taip pat Duomenų subjekto teisių įgyvendinimu, elektroniniu paštu info@zoomuziejus.lt arba paštu Laisvės al. 106, LT-44253, Kaunas.
VII. DUOMENŲ SUBJEKTO TEISĖS IR ĮSIPAREIGOJIMAI - Duomenų subjektas, pateikęs asmens tapatybę patvirtinantį dokumentą arba elektroninių ryšių priemonėmis (jeigu jos leidžia tinkamai identifikuoti asmenį) patvirtinęs savo asmens tapatybę, turi teisę:
41.1. prašyti leisti susipažinti su Muziejaus tvarkomais Duomenų subjekto Asmens duomenimis;
41.2. reikalauti ištaisyti neteisingus, netikslius ir/ar neišsamius duomenis;
41.3. ištrinti Asmens duomenis (teisė būti pamirštam);
41.4. reikalauti apriboti Asmens duomenų tvarkymą;
41.5. nesutikti, kad Asmens duomenys būtų tvarkomi Tiesioginės rinkodaros tikslais;
41.6. reikalauti perduoti Asmens duomenis kitam Asmens duomenų valdytojui arba pateikti juos Duomenų subjektui patogia forma;
41.7. pateikti skundą Valstybinei duomenų apsaugos inspekcijai. - Duomenų subjektas taip pat turi teisę atsisakyti Muziejaus siunčiamos informacijos naujienlaiškio pavidalu paspaudęs pačiame naujienlaiškyje pateiktą nuorodą ar kreipęsis elektroniniu paštu info@zoomuziejus.lt.
- Duomenų subjektas, norėdamas įgyvendinti savo teises, nurodytas šių Taisyklių 41 punkte, taip pat siekdamas pateikti skundą, pranešimą ar prašymą, gali kreiptis į Asmens duomenų apsaugos pareigūną kontaktais, nurodytais šių Taisyklių 40 punkte, išsaugodamas savo teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
- Asmens duomenų apsaugos pareigūnas, gavęs Duomenų subjekto prašymą, susijusį su Duomenų subjekto teisių, nurodytų šių Taisyklių 41 punkte, įgyvendinimu, kaip įmanoma skubiau, tačiau ne vėliau kaip per 1 (vieną) mėnesį nuo prašymo gavimo dienos pateikia Duomenų subjektui informaciją apie veiksmus, kurių buvo imtasi, gavus minėtą prašymą. Minėtas 1 (vieno) mėnesio terminas gali būti pratęstas papildomam 2 (dviejų) mėnesių laikotarpiui, jeigu tai būtina, atsižvelgiant į Duomenų subjekto prašymo turinį. Apie termino pratęsimą Duomenų subjektas informuojamas kaip įmanoma skubiau nuo sprendimo pratęsti terminą priėmimo momento.
- Visa informacija Duomenų subjektui teikiama nemokamai tokia pačia forma, kokia buvo gautas prašymas, nebent Duomenų subjekto prašyme yra išreikštas pageidavimas informaciją gauti kitu būdu.
- Duomenų subjektas įsipareigoja Muziejui pateikti išsamius ir teisingus Asmens duomenis bei informuoti apie Asmens duomenų pasikeitimus. Muziejus nėra atsakingas už žalą, atsiradusią Duomenų subjektui ir/ar tretiesiems asmenims dėl to, jog Duomenų subjektas nurodė neteisingus ir/ar neišsamius savo Asmens duomenis ar tinkamai ir laiku neinformavo apie jų pasikeitimus.
VIII. BAIGIAMOSIOS NUOSTATOS - Šiose Taisyklėse numatytų reikalavimų privalo laikytis visi Darbuotojai, kurie tvarko Asmens duomenis ar dėl savo einamų pareigų juos sužino.
- Taisyklės (jų papildymai ir pakeitimai) įsigalioja nuo jų patvirtinimo Muziejaus vadovo įsakymu dienos.
- Taisyklės peržiūrimos kas kartą, pasikeitus teisės aktų, reglamentuojančių Asmens duomenų apsaugą, reikalavimams ir, esant poreikiui, atnaujinamos.