ASMENS DUOMENŲ TVARKYMO POLITIKA

 

  1. Šioje Asmens duomenų tvarkymo politikoje vartojamos sąvokos turi tokią žemiau pateikiamą reikšmę:

1.1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai ar netiesiogiai nustatyti (duomenų subjektas), pvz., pagal vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių arba pagal fizinius, fiziologinius, genetinius, psichinius ir kt. požymius.

1.2. Asmuo – bet koks fizinis asmuo, kurio Asmens duomenys yra tvarkomi (duomenų subjektas), pvz. gali būti Potencialus kandidatas, Kandidatas, Laikinasis darbuotojas, Administracijos darbuotojas ar bet koks kitas fizinis asmuo.

1.3. Atsakingas asmuo – Valdytojo paskirtas už Asmens duomenų apsaugą atsakingas asmuo, įskaitant duomenų apsaugos pareigūną (kaip suprantamas pagal BDAR). Valdytojo paskirto duomenų apsaugos pareigūno el. paštas: xxx@xxx.lt

 

1.4. BDAR – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB.

Prieinamas interneto svetainės adresu: https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=CELEX%3A32016R0679

1.5. Megos Grupė

1.6. Duomenų tvarkymas – bet koks automatizuotai arba neautomatizuotai su Asmens duomenimis atliekamas veiksmas, pvz. rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, susipažinimas, naudojimas, atskleidimas, apribojimas, ištrynimas arba sunaikinimas ir pan.

1.7. Potencialus kandidatas – fizinis asmuo, kurio Asmens duomenys paprastai yra viešai prieinami arba skelbiami įvairiose darbo paieškos duomenų bazėse, arba pats asmuo pateikia savo duomenis, kad su juo būtų susiekta, siekiant pasiūlyti tokiam asmeniui bendradarbiauti su Valdytoju, dalyvauti atrankoje ir priklausomai nuo atrankos rezultatų pradėti dirbti. Potencialus kandidatas, užpildęs savo asmens duomenų anketą, tampa Kandidatu.

1.8. Kandidatas – fizinis asmuo, su kuriuo Valdytojas jau susisiekė ir kuris sutiko bendradarbiauti su Valdytoju, užpildė reikiamas formas ir pateikė savo Asmens duomenis, reikalingus, kad Valdytojas galėtų pateikti potencialių darbo pasiūlymų, pakviesti į atranką ir, sėkmingai praėjus atranką, pasiūlyti sudaryti darbo sutartį.

1.9. Laikinasis darbuotojas – Kandidatas, kuris sėkmingai praėjo atranką ir su juo buvo sudaryta laikinojo darbo sutartis.

1.10. Administracijos darbuotojai – paprastai Valdytojo administracijos darbuotojai, dirbantys su Asmens duomenimis, bet gali būti atstovai, įgaliotiniai ar bet kokiu kitu pagrindu Valdytojo pavedimus vykdantys asmenys, turintys prieigą prie Asmens duomenų.

1.11. Pažeidimas – Asmens duomenų saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi Asmens duomenys arba prie jų be leidimo gaunama prieiga

1.12. Politika – Megos Grupės Asmens duomenų tvarkymo politika.

1.13. Priežiūros institucija – nepriklausoma valdžios institucija atsakinga už Duomenų tvarkymo reikalavimų laikymosi priežiūrą, turinti kitas BDAR numatytas teises ir funkcijas. Vadovaujanti Priežiūros institucija yra Lietuvos Respublikoje įsteigta ir veikianti Vyriausybės biudžetinė įstaiga – Valstybinė duomenų apsaugos inspekcija.

Valstybinės duomenų inspekcijos interneto svetainės adresas: www.ada.lt

1.14. Tvarkytojas – fizinis arba juridinis asmuo, kuris Valdytojo vardu tvarko Asmens duomenis, t. y. padeda Valdytojui, vykdo jo nurodymus.

1.15. Valdytojas – bet kuri Megos Grupei priklausanti bendrovė kaip Asmens duomenų valdytojas, kuris vienas ar drauge su kitais nustato Duomenų tvarkymo tikslus ir priemones. Ši sąvoka apima bet kurią vieną ar visas Megos Grupei priklausančias bendroves.

  1. Politikos tikslas yra nustatyti kiekvienos Megos Grupės įmonių grupei priklausančios bendrovės kaip Valdytojo pagrindines Duomenų tvarkymo taisykles, užtikrinant BDAR ir kitų taikytinų teisės aktų, laikymąsi ir tinkamą įgyvendinimą.
  2. Tvarkant Asmens duomenis Valdytojai, visų pirma, laikosi tokių BDAR principų: tikslo apribojimo (Duomenų tvarkymas tik tuo tikslu, kuris buvo iš pradžių nurodytas); duomenų kiekio mažinimo (tik tiek Asmens duomenų, kiek būtina); teisėtumo, sąžiningumo ir skaidrumo; tikslumo; saugojimo trukmės apribojimo (saugoma tik kiek būtina konkrečiam tikslui); vientisumo ir konfidencialumo bei atskaitomybės principo (Valdytojas pateikia įrodymus dėl savo pareigų vykdymo).
  3. Politikos reikalavimų privalo laikytis visi Valdytojo Administracijos darbuotojai, kurie tvarko Valdytojo duomenų bazėse esančius, bet kokiu būdu gaunamus / renkamus Asmens duomenis arba eidami savo pareigas, juos sužino. Asmens duomenis gali tvarkyti ir juos naudoti tik tie Administracijos darbuotojai, kuriems tai yra reikalinga jų pareigų vykdymui ir kurie yra supažindinti su Politika (pasirašant darbo sutartį supažindinami ir tai patvirtina pasirašytinai). Tokie Administracijos darbuotojai gali susipažinti ar supažindinti kitus asmenis tik su tais dokumentais ir/ar duomenimis, kiek šiems reikia jų pareigų vykdymui.
  4. Politikos įgyvendinimą ir jau minėtų Asmens duomenų apsaugos principų laikymąsi užtikrina Valdytojo vadovas kartu su Atsakingais asmenimis, imdamasis atitinkamų priemonių ir prižiūrėdamas, ar užtikrintos tinkamos priemonės.

Aktualus Atsakingų asmenų sąrašas yra prieinamas kiekvienam Valdytojui Megos Grupės įmonių grupės duomenų bazėje.

  1. Asmens duomenys Valdytojo yra tvarkomi siekiant teisėtų tikslų kiekvieno Valdytojo interneto tinklapyje arba mobiliojoje programėlėje nurodytu būdu. Detali informacija apie Duomenų tvarkymą bus tvarkoma ir prieinama tik Atsakingiems asmens vidinėje duomenų bazėje. Lentelės forma Asmenims nacionaline kalba pateikiama BDAR nustatyta informacija apie Duomenų tvarkymą: informacija apie Asmens duomenis, tikslus, teisėto tvarkymo kriterijus, Asmenų grupes, saugojimo terminą, duomenų tvarkytojus ir gavėjus bei esant poreikiui kita informacija (pvz. iš ko duomenys gaunami, kai pateikia ne pats Asmuo; kad duomenys teikiami į trečiąją valstybę už EEE ribų; kokios duomenų nepateikimo pasekmės).

Lentelė prieinama Valdytojo tinklapyje skiltyje „Asmens duomenys”.

  1. Išimtiniais atvejais, jei tvarkomi specialių kategorijų Asmens duomenys, pavyzdžiui, informacija apie teistumą, sveikatą, narystę profesinėse sąjungose ir pan., Administracijos darbuotojai papildomai pasitikrina, ar atlikti visi reikalingi veiksmai ir atlieka papildomus veiksmus (pvz. gauna atskirą sutikimą tvarkymui) ir imasi priemonių (pvz. nesaugoti Valdytojo duomenų bazėje ar naudojamose programose), kai tai reikalinga.

Veiksmai ir jų seka, kai tvarkomi specialių kategorijų Asmens duomenys, aprašyti Megos Grupės įmonių grupės vidiniame procese „Specialių asmens duomenų tvarkymas“.

  1. Asmens duomenys gali būti gaunami tiesiogiai iš pačių Asmenų ir iš trečiųjų šalių automatiniu ir neautomatiniu būdu, kaip nurodyta lentelėje apie Duomenų tvarkymą. Tokiu atveju, kai Asmens duomenys pateikiami neautomatizuotai, Administracijos darbuotojai surinktus duomenis suveda į Valdytojo duomenų bazę rankiniu būdu.

Lentelė prieinama Valdytojo tinklapyje skiltyje „Asmens duomenys”.

  1. Tvarkomi Asmens duomenys gali būti teikiami kitiems asmenims tik BDAR ir taikytinų teisės aktų nustatyta tvarka ir tik tais atvejais, kai tai nurodyta šioje Politikoje arba lentelėje apie Duomenų tvarkymą. Už Europos Sąjungos ir Europos Ekonominės Erdvės ribų Asmens duomenys gali būti teikiami tik tais atvejais, jei užtikrinamas pakankamas Asmens duomenų apsaugos lygis. Valdytojas Duomenų tvarkymui pasitelkia Tvarkytojus – serverių ir debesų kompiuterijos paslaugų teikėjus, kurie gali veikti už Europos Sąjungos ir Europos Ekonominės erdvės ribų, atitinkami Asmens duomenys galės būti perduodami į trečiąsias valstybes, kiek tai reikalinga Tvarkytojui pavestoms Duomenų tvarkymo funkcijoms atlikti.

Lentelė prieinama Valdytojo tinklapyje, skiltyje „Asmens duomenys”.

  1. Valdytojas gali teikti Asmens duomenis teismams, teisėsaugos institucijoms, antstolių kontoroms, notarų biurams, advokatams, advokatų padėjėjams, valstybės ir savivaldybių įstaigoms, įmonėms, institucijoms ir organizacijoms, bankrutuojančių įmonių administratoriams ir kt. panašiems subjektams. Asmens duomenys taip pat gali būti teikiami paslaugų teikėjams, kai tai yra susiję su Valdytojui teikiamomis paslaugomis (pavyzdžiui, finansinėmis ar teisinėmis konsultacijomis, programų, kuriose tvarkomi Asmens duomenys, atnaujinimu). Duomenys teikiami, kai reikalinga teisiniams interesams apginti arba pagal teisės aktus būtina užkirsti kelią nusikalstamoms ar neteisėtoms veikoms arba jas ištirti (pvz., pateikiama informacija apie eismo įvykius, vagystes, padarytą žalą ir pan.), taip pat kitais teisės aktuose numatytais atvejais. Duomenys teikiami tik tiek, kiek tai būtina.

Veiksmai ir jų seka, kaip teikiami Asmens duomenys, aprašyti Megos Grupės įmonių grupės vidiniame procese „Duomenų teikimas“.

  1. Valdytojas gali pasitelkti Tvarkytojus. Tvarkytojo veiksmai ir pareigos nustatomi sutartimi tarp Tvarkytojo ir Valdytojo, išskyrus atvejus, kai Duomenų tvarkymas atliekamas vadovaujantis teisės aktu, privalomu Tvarkytojui. Valdytojo nuožiūra, Duomenų tvarkymo klausimai gali būti reguliuojami ir priede prie paslaugų teikimo ar kitokio pobūdžio sutarties tarp Valdytojo ir Tvarkytojo (t.y. nebūtinai pasirašoma atskira sutartis).

Atliekami veiksmai ir jų seka, kaip pasitelkiamas Tvarkytojas, aprašyti Megos Grupės įmonių grupės vidiniame procese „Tvarkytojo pasitelkimas“ .

  1. Įgyvendinamos techninės ir organizacinės saugumo priemonės. Valdytojas savo nuožiūra pasirenka ir įgyvendina tinkamas organizacines (pvz. Politikos sudarymas, jos vykdymo kontrolė, slaptažodžiu apsaugotas prisijungimas prie kompiuterių, kompiuterių tinklo, duomenų bazės) bei technines (antivirusinių programų naudojimas, patalpų signalizacijos įrengimas, fizinė, asmenų įėjimo į patalpas kontrolės sistema ir kt.) priemones. Vykdydamas veiklą Valdytojas ir jo Administracijos darbuotojai nuolat atsižvelgia į egzistuojančius rizikos veiksnius ir nuolat stengiasi juos kaip galima sumažinti ar jų išvengti.

Detalus įgyvendinamų organizacinių ir techninių priemonių sąrašas pateikiamas Priede Nr. 1 „Įgyvendinamų techninių ir organizacinių priemonių sąraše“.

  1. Administracijos darbuotojai turi laikytis konfidencialumo ir saugoti paslaptyje Asmens duomenis, su kuriais jie susipažino vykdydami savo pareigas, nebent pagal taikytinus teisės aktus: tokia informacija yra vieša, arba kai Asmuo duoda sutikimą atskleidimui, arba kai būtina užkirsti kelią nusikalstamoms ar kitoms neteisėtoms veikoms, taip pat kitais atvejais. Ši pareiga išlieka ir pasibaigus darbo sutarčiai ar kitokiam susitarimui tarp Valdytojo ir Administracijos darbuotojo. Šiuo tikslu su Administracijos darbuotojais papildomai gali būti pasirašomi atskiri konfidencialumo susitarimai.
  2. Jeigu Duomenų tvarkymo funkcijas vykdantys (įskaitant tik susipažįstančius su Asmens duomenimis) Administracijos darbuotojai sužino arba įtaria, jog gali būti pažeistas Asmens duomenų saugumas arba Politikos nuostatos, jie privalo nedelsiant (per 1 val. nuo sužinojimo, jei tai įmanoma) informuoti apie Pažeidimą ar tokį įtarimą Atsakingą asmenį. Pranešęs Administracijos darbuotojas privalo imtis Atsakingo asmens (ar Valdytojo vadovo) nurodytų priemonių, siekiant išvengti galimo Pažeidimo, arba jau padarytą Pažeidimą pašalinti. Pažeidimo atveju Valdytojas nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 val. nuo sužinojimo apie Pažeidimą, praneša Priežiūros institucijai ir gali pranešti Asmeniui.

Veiksmai ir jų seka, kaip pranešama apie (galimą) Pažeidimą, aprašyti Megos Grupės įmonių grupės vidiniame procese „Pranešimas apie pažeidimą“.

  1. Asmuo turi visas BDAR įtvirtintas teises, įskaitant žinoti (būti informuotas) apie savo Asmens Duomenų tvarkymą, susipažinti su savo Asmens duomenimis ir kaip jie tvarkomi, gauti informaciją, iš kokių šaltinių ir kokie duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami, reikalauti ištaisyti, sunaikinti savo Asmens duomenis, apriboti arba sustabdyti savo Asmens Duomenų tvarkymą (išskyrus saugojimą). Kai nesilaikoma Politikos, BDAR bei kitų teisės aktų, Asmuo taip pat turi teisę nesutikti, kad būtų tvarkomi jo Asmens duomenys, reikalauti ištrinti tvarkomus duomenis, teisę į duomenų perkeliamumą bei teisę pateikti skundą Priežiūros institucijai.
  2. Asmuo bet kuriuo metu turi teisę rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis (el. paštu hr@mggroup.lt), pasinaudoti savo teisėmis išvardintomis šioje Politikoje. Toks Valdytojo (jo Administracijos darbuotojo) gautas prašymas neatlygintinai išnagrinėjamas ir įvykdomas (jei Valdytojas nustato, kad prašymas yra teisėtas) arba argumentuotai atmetamas ne vėliau kaip per 30 d.

Veiksmai ir jų seka, kaip nagrinėjami prašymai dėl Asmenų teisių, aprašyti Megos Grupės įmonių grupės vidiniame procese „Duomenų subjektų teisės“.

  1. Jeigu Asmuo mano, kad buvo pažeistos jo teisės, susijusios su Duomenų tvarkymu, jis gali pateikti skundą vadovaujančiai Priežiūros institucijai. Bet kokiu atveju Asmuo dėl jo teisių pažeidimo taip pat gali kreiptis į jo gyvenamosios vietos valstybėje veikiančią susijusią Priežiūros instituciją, kuri perduos ar nagrinės skundą kartu su vadovaujančia Priežiūros institucija BDAR nustatyta tvarka.
  2. Kai Asmens duomenys nebereikalingi jų tvarkymo tikslams, jie sunaikinami automatiniu būdu arba kai Asmuo pateikia teisėtą prašymą ištrinti Asmens duomenis, Asmens duomenys yra sunaikinami pagal Valdytojo nustatytą procesą, taip, kad nebūtų galima jų atkurti ir atpažinti jų turinio. Visais atvejais, jei Asmuo atsisako savo sutikimo, duoto Duomenų tvarkymui ar prašo sunaikinti, ištrinti tvarkomus Asmens duomenis ir Valdytojas turi tokią pareigą pagal BDAR, iš pradžių, Valdytojas 6 mėnesiams apribos prieigą prie Asmens duomenų. Apribojus prieigą, bus matomi tik pagrindiniai Asmens duomenys (vardas, pavardė, telefono nr., el. pašto adresas) tam, kad būtų galima fiksuoti Asmens prašymą (pvz., tam, kad Administracijos darbuotojai iš naujo nesusisiektų ir nesiūlytų darbo, jei Asmuo jau išreiškė nesutikimą/prieštaravimą). Praėjus apribotos prieigos laikotarpiui, Asmens prašymas įvykdomas (pvz., Asmens duomenys ištrinami, jei prašyta ištrinti).

Veiksmai ir jų seka, kaip naikinami Asmens duomenys, aprašyti Megos Grupės įmonių grupės vidiniame procese „Duomenų subjektų teisės“.

18.1. Tiesiogiai Asmenis aptarnaujantys / su jais dirbantys Administracijos darbuotojai atsako už tinkamą Asmenų supažindinimą su jų teisėmis, susijusiomis su Duomenų tvarkymu bei apsauga. Už Politikos pažeidimą Administracijos darbuotojai atsako teisės aktų nustatyta tvarka.

18.2. Megos Grupės įmonių grupės vidiniuose procesuose pateikiamos su Duomenų tvarkymu susijusios instrukcijos, kita Administracijos darbuotojams prieinama su Duomenų tvarkymu susijusi informacija, ir Megos Grupės įmonių grupės tinklapiuose bei mobiliosiose aplikacijose skelbiama informacija yra sudėtinės šios Politikos dalys.

  1. Valdytojai taip pat gali vykdyti vaizdo stebėjimą. Asmenų vaizdo duomenų tvarkymas reguliuojamas atskiru dokumentu.
  2. Ši Politika turi būti periodiškai, ne rečiau kaip kas 2 m. peržiūrima ir, prireikus, atnaujinama. Skelbiama tik aktuali Politikos redakcija. Valdytojų bendru sutarimu Politiką, jų pakeitimus ir papildymus tvirtina vieno iš Valdytojų – Megos Grupės – vadovas ir ji bus privaloma visoms Megos Grupės įmonėms. Pakeista Politika įsigalioja kitą dieną po patvirtinimo. Administracijos darbuotojai supažindinami su šia Politika darbo sutarties pasirašymo metu, o su Politikos pakeitimais ir papildymais bus įpareigoti susipažinti patys nuolat pasitikrindami, ar nepatvirtinti nauji Politikos pakeitimai ar papildymai.

 

PRIEDAI:

Priedas Nr. 1: Lentelė „Asmens duomenys“.

Priedas Nr. 2: Įgyvendinamų techninių ir organizacinių priemonių sąrašas.

 

PRIEDAS NR. 1

prie Asmens duomenų tvarkymo politikos

DUOMENŲ TVARKYMO TIKSLAS DUOMENŲ SUBJEKTAI ASMENS DUOMENYS TEISINIS PAGRINDAS SAUGOJIMO TERMINAS (KRITERIJAI)
Susisiekti su darbo ieškančiu Asmeniu, pateikti darbo pasiūlymus, kurie gali būti įdomūs asmeniui ir pakviesti jį darbo pokalbiui Potencialūs kandidatai Asmens duomenys pateikti internetu ir viešai prieinami darbo paieškos duomenų bazėse arba kitais būdais pateikti Asmens (pvz. Komentaruose prie paskelbto darbo pasiūlymo): padalinys, kandidato šaltinis, komentarai CRM sistemoje prieš darbo pokalbį, elektroninio pašto adresas, lytis, gimimo metai, planuojama darbo pokalbio data, kalbų žinios, vardas, pavardė, telefono numeriai, lūkesčiai dėl darbo užmokesčio, SMS istorija, statuso pasikeitimai, darbo skelbimas, gyvenimo aprašymas (CV), CRM sistemos identifikacija (ID), savybės, kvalifikacija, sertifikatai, gebėjimai. Tvarkyti duomenis būtina siekiant teisėtų Valdytojo interesų, išskyrus atvejus, kai Asmens interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti Asmens duomenų apsaugą, yra už juos viršesni. Teisėti interesai šiuo atveju yra konkretiems Asmenims pritaikytų paslaugų teikimas ir komunikacija su šiais Asmenimis. Valdytojas pageidauja teikti savo paslaugas Potencialiems kandidatams (įskaitant, bet neapsiribojant, teikti darbo pasiūlymus, kviesti į atrankos procedūras, kt.) ir kartu tai būtina siekiant vykdyti Valdytojo verslo veiklą. 6 mėnesiai
Teikti paslaugas Asmenims – Kandidatams, būtent: pagalbą ieškant darbo, darbo pasiūlymų potencialiai tinkamų kandidatams parinkimą, aktyvią Valdytojo partnerių siūlomų laisvų darbo vietų paiešką ir pranešimą apie laisvas darbo vietas. Kandidatai Pagrinde bus tvarkomi Asmens duomenys gauti tiesiogiai iš Asmens: vardas, pavardė, adresas, kalbos žinios, gimimo data, padalinys, komentarai CRM sistemoje, buvusių įdarbinimų istorija, informacija apie asmeninio automobilio naudojimo galimybę, elektroninis paštas, šaltinis, iš kurio Kandidatas sužinojo apie Megos Grupės darbo pasiūlymus, lytis, kvalifikacija, sertifikatai, gebėjimai, mobilaus telefono numeris, telefono numeriai, fotografija, atsiliepimų turinys, darbo užmokesčio lūkesčiai, SMS komunikavimo istorija (tarp Valdytojo ir Asmens), gyvenimo aprašymas (CV), darbo vietos, į kurias pretenduojama, statuso pasikeitimai, darbo patirtis, neįgalumas, savybės, CRM sistemos identifikacija (ID), medicininio pažymėjimo kopija (jeigu reikalinga darbo vietai), Jūsų sprendimu Facebook, Google profilio identifikacija, taip pat Facebook, Google profilio nuotraukos identifikavimo tikslu, asmens identifikacija (ID) tam, kad būtų patvirtinta, kad Jūs galite pasirašyti sutartį naudojant elektroninį parašą, mokymų testo rezultatai, miestas, buvusių darbdavių vertinimas. Tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. 2 metus nuo Asmens duomenų užpildymo formoje arba 2 metus po darbo sutarties sudarymo (nepriklausomai nuo to, ar darbas yra terminuotas ar neterminuotas, jeigu įdarbinimas tęsiasi trumpiau nei 2 metus, terminas iš naujo skaičiuojamas nuo naujos sutarties sudarymo). Fakultatyviai, pagal Asmens pasirinkimą (pažymėtą pildant formą) – prailgintam terminui, t.y. įdarbinimo laikotarpiui plius 2 metus po įdarbinimo nutraukimo.
Informuoti apie naujas paslaugas, verslo naujienas, renginius, informaciją apie teikiamų paslaugų patobulinimus ir panašią informaciją. Kandidatai/Darbuotojai/Potencialūs klientai/Klientai Asmens duomenys reikalingi susisiekti su Asmeniu bus tvarkomi: vardas, pavardė, kontaktinė informacija (elektroninis paštas ir telefono numeris). Asmuo davė sutikimą, kad jo asmens duomenys būtų tvarkomi šiuo konkrečiu tikslu. Sudarytos sutarties laikotarpiui. Tais atvejais, kai tvarkomi Kandidatų Asmens duomenys, sutarties dėl paslaugų teikimo laikotarpis tarp Valdytojo ir Kandidato bus laikomas 2 metai nuo Asmens duomenų pateikimo formoje, 2 metai po darbo sutarties sudarymo (nepriklausomai nuo to, ar darbas yra terminuotas ar neterminuotas) arba pagal Asmens pasirinkimą, įdarbinimo laikotarpiui plius 2 metus po įdarbinimo nutraukimo (pasirenkamas).
Vykdyti darbo sutartį Darbuotojai/Administracijos darbuotojai Dauguma Asmens duomenų gaunami tiesiogiai iš Asmens, tačiau dalis duomenų gali būti surinkta iš kitų šaltinių (trečiųjų asmenų): vardas, pavardė, adresas, paskyrimo informacija, kalbos žinios, antstolio bylos, gimimo data, padalinys, miestas, komentarai CRM sistemoje, privalomas sveikatos pažymėjimas, gyvenimo aprašymas (CV), adresai, darbo sutarties duomenys ir duomenys, reikalingi vykdyti darbo sutartį (įskaitant neapmokestinamą sumą, socialinio draudimo numerį, atostogų datas, sutarties nutraukimo datą, kt.), sertifikatai, užsieniečio statusas, lytis, IBAN, CRM sistemos identifikacija (ID), šeiminė padėtis ir vaikų duomenys (jei taikoma), telefono numeriai, paskirta identifikacija (ID) Klientų sistemoje, asmens identifikacija (ID), nuotrauka, profesinė kvalifikacija, darbo užmokesčio lūkesčiai, sanitarinė knyga, SMS komunikavimo istorija, savybės, prioritetinis grafikas, motinystės atostogų data, mokymų testo rezultatai, parašas, neįgalumas, gyvenamoji vieta esamoje valstybėje, leidimas gyventi esamoje valstybėje, pensijos draudimas, duomenys, susiję su komandiruotėmis (datos, laikotarpiai, apgyvendinimo informacija, mokėtinos sumos ir pan.).
Trečiųjų Asmenų Asmens duomenys (galimas su sąlyga, kad Darbuotojas pateikia tinkamą tokio trečiojo Asmens sutikimą jo/jos Asmens duomenų tvarkymui): vardas ir pavardė, asmens identifikacija (ID) ir sąskaitos numeris.
Tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį. Pagrindinė taisyklė, darbo sutarties laikotarpiu, tačiau dalis išvardintų Asmens duomenų gali būti saugoma ilgiau, terminą nustatytą įstatymuose archyvavimo tikslais.
Ikisutartiniai santykiai, paklausos tyrimas, taip pat teisių ir pareigų pagal sudarytas sutartis įgyvendinimas Potencialūs klientai/Klientai Potencialūs tiekėjai/tiekėjai Asmens duomenys reikalingi susisiekti ir komunikuoti ikisutartiniuose santykiuose ir sutartinių santykių laikotarpiu: vardas, pavardė, pareigų pavadinimas  mobilaus telefono numeris, elektroninis paštas, darbo vietos adresas, skype kontaktas, CRM sistemos komentarai, finansinė arba banko informacija, parašas, elektroninio pašto komunikacijos istorija, kompanijos pavadinimas. Teisėtas interesas: iki sutarties sudarymo – personalizuotos paslaugos parengimas ir komunikacija su potencialiais klientais. Valdytojas ketina teikti paslaugas potencialiems klientams (įskaitant, bet neapsiribojant, laisvų darbo vietų siūlymą Potencialiems kandidatams) ir tai taip pat yra būtina vykdyti Valdytojo verslo veiklą.
Teisėtas interesas: Valdytojas yra pasirengęs gauti paslaugas iš potencialių tiekėjų (įskaitant, bet neapsiribojant, pasiūlymų gavimą iš potencialių tiekėjų, susisiekimą su jais dėl paslaugų) ir tai taip pat yra būtina vykdyti Valdytojo verslo veiklą.
3 metus nuo paskutinio kontakto su potencialiu klientu arba tiekėju. Tais atvejais kai sutartis sudaryta – 10 metų nuo sutarties nutraukimo, nebent ilgesnis terminas nustatytas įstatymuose archyvavimo tikslais.

 

DUOMENŲ ŠALTINIAI: Asmens duomenys gali būti gaunami tiesiogiai iš Asmenų arba iš trečiųjų asmenų tvarkančių Asmens duomenis išvardintus lentelėje viršuje (pvz. darbo paieškų duomenų bazės, antstolių informacija, valstybės ir savivaldybių institucijos, buvę darbdaviai, kt.).

STATISTIKA IR ARCHYVAVIMO TIKSLAI: Asmens duomenys išvardinti lentelėje aukščiau gali būti tvarkomi archyvavimo tikslais viešojo intereso labui arba statistiniais tikslais suderinamais su tvarkymo tikslais išvardintais lentelėje aukščiau. Tolimesnis Asmens duomenų tvarkymas archyvavimo tikslais viešojo intereso labui arba statistiniais tikslais vykdomas po to, kai asmens duomenų valdytojas įvertina galimybes pasiekti šiuos tikslus tvarkant duomenis, kai negalima arba nebegalima nustatyti duomenų subjektų, su sąlyga, kad galioja tinkamos apsaugos priemonės (tokios, kaip pavyzdžiui, pseudonimų suteikimas asmens duomenims).

 

DUOMENŲ GAVEJAI IR TVARKYTOJAI:

Kai teikiant paslaugas bet kuriam Asmeniui arba trečiosioms šalims Valdytojas privalo perduoti Asmens duomenis trečiosioms šalims.
Vis dėlto, be Valdytojo paslaugų teikimo, trečiųjų šalių paslaugos yra naudojamos užtikrinti paslaugų funkcionalumą (pvz., cloud storage (nuotolinio informacijos saugojimo) paslaugų teikėjai). Būtina perkelti Asmens duomenis šiems trečiųjų asmenų paslaugų teikėjams, kad tokie tretieji asmenys galėtų teikti savo paslaugas. Šie tretieji asmenys paslaugų teikėjai laikytini duomenų tvarkytojais. Asmens duomenys perduodami šiems tretiesiems asmenims paslaugų teikėjams bus apriboti iki minimumo, būtino užtikrinti trečiųjų asmenų paslaugų teikimą. Visi tretieji asmenys paslaugų teikėjai, kuriems Valdytojas perduos Asmens duomenis vadovausis Valdytojo instrukcijomis dėl Asmens duomenų tvarkymo. Pagrindinės duomenų gavimo grupės yra šios: Megos Grupės kompanijos; Valdytojo tiekėjai (gali būti savarankiški duomenų valdytojai arba asmenys priklausantys nuo konkrečios situacijos); Klientai, skolų išieškotojai, viešosios institucijos.

 

PRIEDAS NR. 2

prie Asmens duomenų tvarkymo politikos

 

TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS

Valdytojas užtikrina, kad būtų laikomasi naujausių saugumo ir duomenų apsaugos standartų, įskaitant Asmens duomenų ir konfidencialių duomenų apsaugą. Dabartinės technologijos ir susiję procesai, politika ir auditas užtikrina, kad būtų laikomasi apsaugos priemonių ir kad jos būtų nuolat tobulinamos. Išsamesnė informacija apie technines ir organizacines priemones, kurios buvo įgyvendintos duomenų apsaugos tikslais, yra šios (bet neapsiribojant):

 

  1. Prieigos kontrolė (pastatas / biurai / duomenų centras)– užkirsti kelią neleistinai prieigai prie duomenų sistemų, kuriose tvarkomi Asmens duomenys:
    • Apsaugos sistema
    • Fotoelektriniai jutikliai / judesio jutikliai
    • Raktų valdymas (raktų išdavimas ir t.t.)
    • Kištukinė kortelė / atsakiklio užrakto sistema naudojama tam tikrose prieigos vietose
    • Rankinė užraktų sistema (ribotas naudojimas pagrindiniams darbuotojams, naudojamas prieigos kontrolės sistemų gedimo atveju)
    • Vaizdo kameros prieigos taškuose (biuras ir duomenų centras Vilniuje)
    • Apsaugos užraktai (spynos)
    • Atidus valymo personalo priėmimas
    • Įdiegta atskira, konkreti ir dokumentais įforminta prieigos kontrolė duomenų centrams ir serverių kambariams įgaliotiems asmenims. Įgaliotų asmenų prieiga yra įforminta pagal vardą ir pavardę. Duomenų centrams įdiegtos atskiros prieigos kontrolės sistemos

 

  1. Prieigos kontrolė (sistemos)– užkirsti kelią neįgaliotiems asmenims naudoti duomenų tvarkymo sistemas:
    • Vartotojo teisių priskyrimas
    • Slaptažodžių priskyrimas
    • Autentifikavimas naudojant vartotojo vardą / slaptažodį
    • Užkardų įrangai naudojimas
    • Vartotojo profilių kūrimas
    • Papildomos priemonės: veikimo sutrikimo pataisa, minimalūs slaptažodžių sudėtingumo reikalavimai ir priverstiniai slaptažodžio pakeitimai, virusų skaitytuvų naudojimas
    • Vartotojo profilių priskyrimas IT sistemoms
    • Centrinio išmaniojo telefono naudojimo administravimas (pvz., nuotolinis išmaniojo telefono išvalymas)
    • Programinės įrangos užkardos (Megos Grupės klientų) naudojimas

 

  1. Prieigos kontrolė (duomenys)– užtikrinti, kad įgaliotieji duomenų tvarkymo sistemos naudotojai galėtų susipažinti tik su duomenimis, kuriems jie yra įgalioti, ir užkirsti kelią asmeninių duomenų perskaitymui, duomenų naudojimo, judėjimo ar nejudėjimo metu be leidimo:
    • Autorizacijos sąvokos sukūrimas
    • Administratorių skaičiaus sumažinimas iki „būtino”
    • Prieigos prie prisijungimo registravimas, ypač duomenų įvedimo, keitimo ir ištrynimo metu
    • Saugus laikmenos išvalymas prieš pakartotinį naudojimą
    • Smulkintuvų arba paslaugų naudojimas (jei įmanoma, su privatumo ženklu)
    • Sistemų administratorių teisių valdymas
    • Slaptažodžio politika, įskaitant slaptažodžio ilgį, slaptažodžio keitimo valdymą
    • Saugus duomenų laikmenų saugojimas

 

  1. Perdavimo kontrolė– užtikrinti, kad asmens duomenų nebūtų galima skaityti, kopijuoti ar keisti elektroniniu būdu, perkeliant ar saugant diske:
    • Duomenų gavėjų dokumentinis įforminimas ir duomenų pateikimo terminai, įskaitant sutartus ištrynimo laikus
    • Visų komunikacijų (interneto klientų, taikomosios programos sąsajų, mobiliųjų programų) TLS šifravimas

 

  1. Įvesties kontrolė– siekiant užtikrinti, kad būtų galima užtikrinti, vėliau kontroliuoti ir nustatyti, ar asmeniniai duomenys buvo įvesti, pakeisti ar pašalinti duomenų apdorojimo sistemose ir kitu būdu:
    • užtikrinti, kad įgaliotieji duomenų tvarkymo sistemos naudotojai galėtų susipažinti tik su duomenimis, kuriems jie yra įgalioti, ir užkirsti kelią asmeninių duomenų perskaitymui, duomenų naudojimo, judėjimo ar nejudėjimo metu be leidimo
    • Duomenų įvedimo, keitimo ar ištrynimo teisių suteikimas remiantis autorizacijos sąvoka
    • Formų, per kurias duomenys buvo gauti, automatizuoto apdorojimo metu, saugojimas

 

  1. Užsakymo kontrolė– Duomenų įvedimo, keitimo ar ištrynimo teisių suteikimas remiantis autorizacijos sąvoka:
    • Sutarties šalies parinkimas per istorijos peržiūrą (ypač duomenų saugumo srityje)
    • Rašytiniai nurodymai rangovui (pavyzdžiui, DTS) (BDAR)
    • Susitarta dėl duomenų tvarkytojų veiksmingų kontrolės teisių
    • Rangovo darbuotojų pareiga saugoti duomenų konfidencialumą (BDAR)
    • Užtikrinti saugų duomenų sunaikinimą po sutarties nutraukimo
    • Nuolatinė rangovų ir jų veiklos priežiūra

 

  1. Prieinamumo kontrolė– užtikrinti, kad asmens duomenys būtų apsaugoti nuo netyčinio sunaikinimo ar praradimo:
    • Nepertraukiamo maitinimo šaltiniai (NMŠ)
    • Gaisro ir dūmų aptikimo sistemos
    • Duomenų atkūrimo tikrinimas
    • Saugus duomenų atsarginių kopijų saugojimas ne vietoje
    • Serverio patalpų buvimas virš vandens ribos potvynių zonose
    • Oro kondicionieriai serverio patalpose
    • Atsarginės kopijos kūrimo ir atkūrimo koncepcija
    • Serverio patalpos buvimas ne po sanitariniais įrenginiais
    • Du aktyvūs duomenų centrai/aktyvi konfigūracija