Isikuandmete kaitse

Isikuandmete kaitse

I TÄHTSAMAD DEFINITSIOONID

  1. Ettevõte – tähendab edaspidi ettevõtet Ltd. "Kalnų Aidas", mis on Leedu Vabariigi seaduste alusel asutatud firma, mille juriidiline aadress on Pašilės g. 12A, LT-20194 Ukmergė, Leedu, mille registrikood on 300611336 ja mille andmeid kogutakse ja säilitatakse Leedu Juriidiliste Isikute Registris.
  2. Andmesubjekt – tähendab edaspidi füüsilist isikut, kelle isikuandmeid Ettevõte haldab ja töötleb.
  3. Isikuandmed – tähendab edaspidi füüsilise isiku kohta käivat informatsiooni. Andmesubjekti on niisugust informatsiooni kasutades võimalik otse või kaudselt identifitseerida. Isikuandmed võivad olla isikukood ning füüsiline, füsioloogiline, psühholoogiline, majanduslik, kultuuriline või sotsiaalne teave konkreetse isiku kohta.
  4. Isikuandmete töötlemine – tähendab edaspidi igasugust Isikuandmetega seotud tegevust: kogumine, salvestamine, säilitamine, hoiustamine, klassifitseerimine, grupeerimine, ühendamine, muutmine (lisamine või toimetamine), edastamine, avaldamine, kasutamine, loogika- ja/või aritmeetilised operatsioonid, otsing, levitamine, hävitamine ja teised tegevused või mitut tegevust kaasavad protsessid.
  5. Automaatne viis – viitab Isikuandmete töötlemisega seotud tegevustele, mis toimuvad osaliselt või täismahus automaatselt.
  6. Töötaja – tähendab edaspidi isikut, kellega on sõlmitud tööleping või muu samalaadne leping Ettevõttega ja kellele Ettevõtte juht on andnud volituse isikuandmete töötlemiseks või kelle isikuandmeid töödeldakse.
  7. Juht – tähendab edasipidi juriidilist või füüsilist isikut, kelle Ettevõte on andnud volituse Isikuandmete töötlemiseks. Juht (juhid) peavad olema registreeritud Inspektsioonis.
  8. Andmete saaja – tähendab edaspidi juriidilist või füüsilist isikut, kellega Isikuandmeid jagatakse. Andmete saaja (saajad) peab/peavad olema registreeritud Inspektsioonis.
  9. Inspektsioon – Leedu Vabariigi Riiklik Andmekaitseinspektsioon

II ÜLDSÄTTED

  1. Käesolev dokument reguleerib Ettevõtte ja selle Töötajate tegevusi Isikuandmete haldamisel ja Ettevõttes kasutatavate Isikuandmete haldussüsteemide kasutamisel, defineerib Andmesubjekti õigused, Isikuandmete kaitse riskifaktorid, Isikuandmete kaitseks kasutusele võetud vahendid ja kirjutab lahti teised Isikuandmete halduse ja töötlemisega seotud teemad.
  2. Isikuandmed peavad olema täpsed, õiged ja kasutuses ainult sellel määral, mida on vaja nende kogumiseks ja töötlemiseks. Kui Isikuandmete töötlemiseks on vaja värskeid andmeid, uuendatakse neid regulaarselt.
  3. Isikuandmete töötlemise eesmärk on otseturundus ja teised legaalsed eesmärgid, mis on andmete kogumise reeglites välja toodud.
  4. Ettevõtte Reeglid Punktis 2.3. välja toodud eesmärkidel töödeldakse alljärgnevaid Isikuandmeid:
  • (a) eesnimi;
  • (b) perekonnanimi;
  • (c) e-posti aadress; (d) telefoninumber; (e) sünniaeg;
  • (f) sugu;
  • (g) registreerimisel sisestatud informatsioon;
  • (h) pood, kus küsimustikule on vastatud
  • Isikuandmete töötlemisel lähtutakse Leedu Vabariigi Isikuandmete Juriidilise Kaitse Seadusest (No. X-1444, 1. veebruar, 2008), teistest Isikuandmete töötlemist ja kaitset reguleerivatest seadustest ja õigusaktidest ning käesolevatest Reeglitest.

III ISIKUANDMETE TÖÖTLEMINE

  1. Isikuandmeid töödeldakse manuaalselt ja automaatselt Ettevõtte poolt kasutatavate Isikuandmete töötlemise süsteemide vahendusel.
  2. Isikuandmete töötlemiseks on luba ainult selleks volitatud Töötajatel ja Juhtidel. Iga Töötaja/Juht, kes on volitatud Isikuandmeid töötlema, on kohustatud kaitsma Isikuandmete konfidentsiaalsust ja peab oma tegevuses järgima isikuandmete kaitse seadusi.
  3. Töötaja / Juht on kohustatud: (a) kaitsma Isikuandmete konfidentsiaalsust; (b) järgima Isikuandmete töötlemisel Leedu Vabariigi Isikuandmete kaitse seadusi ja teisi õigusakte ning käesolevaid reegleid; (c) mitte avalikustama ja edastama Isikuandmeid ega lubama neile ligipääsu ühelgi teisel isikul, kes ei ole Isikuandmete töötlemiseks volitatud; (d) teavitama Ettevõtte juhti või selleks volitatud isikut viivitamatult, kui ilmneb mis tahes Isikuandmete turvalisust ohustav asjaolu.
  4. Töötajad, kes töötlevad Isikuandmeid automaatselt või kelle arvutitest pääseb sisevõrkudesse, kus säilitatakse Isikuandmeid, peavad kasutama paroole. Paroole peab vahetama regulaarselt ning iga kord, kui esinevad kahtlused nende turvalisuse osas (näiteks kui Töötaja kahtlustab sissetungi arvutivõrku või kui on alust kahtlustada, et parool võib olla teada kolmandatele isikutele). Konkreetse arvuti taga töötav Töötaja peab olema ainus isik, kes selle arvuti paroole teab.
  5. Arvutivõrkude administraator peab tagama, et Isikuandmete faile ei jagataks teistesse arvutitesse ning et viirusekaitse-tarkvara oleks regulaarselt värskendatud.
  6. Arvutivõrkude administraator haldab töötajate arvutite andmefailide koopiaid. Kui failid lähevad kaotsi või saavad kahjustada, saab vastutav töötaja need paari päeva jooksul taastada.
  7. Isikuandmete kaitse organiseerib, garanteerib ja saadab täide Ettevõtte juht või Ettevõtte juhi poolt volitatud töötaja.
  8. Töötaja kaotab volitused Isikuandmete töötlemiseks, kui tema tööleping või muu samalaadne leping on lõppenud või kui Ettevõtte juht vabastab Töötaja Isikuandmete töötlemise ülesannetest.
  9. Juht kaotab volitused Isikuandmete töötlemiseks, kui tema juhileping Ettevõttega on lõppenud.

IV ANDMESUBJEKTI ÕIGUSTE TAGAMINE

  1. Esitades Isikuandmeid või isikut tõendava dokumendi, on Andmesubjektil õigus saada informatsiooni andmete kogumise allikate ja andmete töötlemise eesmärkide kohta ning selle kohta, kellele tema andmeid edastatakse. Andmesubjektil on õigus saada teavet Ettevõtte käsutuses olevate enda andmete töötlemise kohta. Teavet enda andmete kohta saab nõuda Ettevõttele esitatud kirjaliku nõudega või posti, faksi või e-posti teel.
  2. Kui Ettevõte on saanud Andmesubjektilt nõude, kus Andmesubjekt soovib saada teavet Ettevõtte käsutuses olevate enda andmete töötlemise kohta, kohustub Isikuandmete töötlemise eest vastutav töötaja selle teabe Andmesubjektile 30 kalendripäeva jooksul alates nõude esitamisest edastama. Vastavalt Andmesubjekti nõudele edastatakse andmed kas nõudes märgitud postiaadressile või e-posti aadressile.
  3. Andmesubjekt saab kirjaliku nõudega nõuda Ettevõtte käsutuses olevate enda andmete korrigeerimist, hävitamist või nende töötlemistegevuste peatamist. Nõue tuleb esitada posti, faksi või e-posti teel või suuliselt, kui Andmesubjekt on nõude esitamise hetkel identifitseeritav. Pärast sellekohase nõude kättesaamist verifitseerib Ettevõte viivitamatult konkreetsed Isikuandmed ning parandab kohe valed, puudulikud või ebatäpsed Isikuandmed vastavalt Andmesubjekti nõudele.
  4. Ettevõte informeerib Andmesubjekti viivitamatult tema Isikuandmete korrigeerimisest, kustutamisest või eemaldamisest nii Andmesubjekti vastaval nõudel kui ka muudel juhtudel.
  5. Ettevõte seisab ka teiste Andmesubjekti õiguste, garantiide ja huvide eest vastavalt Leedu Vabariigi seadustele ja õigusaktidele.

V ISIKUANDMETE EDASTAMINE

  1. Isikuandmeid võib edastada ainult nendele Andmete Saajatele, kellega Ettevõte on sõlminud vastavad Isikuandmete edastamise ja jagamise lepingud ning edastatavatele Isikuandmetele kohaldatakse piisavad kaitsetoimingud. Isikuandmeid võib edastada ka kolmandatele osapooltele Leedu Vabariigi seadustes ja teistes õigusaktides välja toodud tingimustel.
  2. Ettevõte ei kasuta ega avalda tundlikke Isikuandmeid nagu informatsioon subjekti tervise, rassi, usutunnistuse või poliitiliste vaadete kohta ilma Andmesubjekti eriloata, välja arvatud juhtudel, kui seda nõuavad või lubavad seadused.
  3. Isikuandmeid võib edastada ka kolmandatele osapooltele Leedu Vabariigi seadustes ja teistes õigusaktides välja toodud eritingimustel.

VI ANDMEKAITSESÄTETE RIKKUMISE RISKIFAKTORID

  1. Isikuandmete kaitse reeglite rikkumine või eiramine võib tuua kaasa soovimatuid asjaolusid või Isikuandmete kaitset reguleerivates seadustes välja toodud kohustuslike sätete rikkumise. Isikuandmete kaitse seaduse rikkumise mõju ning sellest tuleneva kahju ja muud tagajärjed arutab läbi komisjon, kelle kutsub kokku Ettevõtte juht või tema poolt volitatud isik.
  2. Isikuandmete kaitse reeglite rikkumise riskifaktorid on: (a) soovimatud, kui Isikuandmete kaitse reegleid rikutakse süsteemi- või inimliku vea tõttu: (andmetöötlusviga, infomeedia viga, andmete kustumine, andmete hävimine, valed sihtkohad (aadressid) andmete edastamisel, jms., või süsteemivead elektrivõrgu tõrgete, arvutiviiruse, jms. tõttu, või sisereeglite rikkumine, puudulik süsteemihaldus, puudulikud tarkvaratestid, andmekandjate ebaõige haldus, telefoniliinide puudulik jõudlus ja kaitse, arvutite puudulik võrguintegratsioon, puudulik arvutiprogrammide kaitse, faksimaterjalide puudus jms. (b) tahtlikud Isikuandmete kaitse reeglite rikkumised (ebaseaduslik tungimine Ettevõtte ruumidesse, isikuandmete säilitamise hoidlatesse, infosüsteemidesse ja arvutivõrkudesse; kahjulik tegevus isikuandmete haldamisel ja töötlemisel, Isikuandmete rikkumine, tahtlik arvutiviiruste levitamine, Isikuandmete vargus, Töötaja õiguste kuritarvitamine jms.) (c) ootamatud õnnetusjuhtumid (torm, tulekahju, üleujutus, elektrijuhtmetest tulenevad õnnetused, temperatuuri või niiskustaseme ootamatu muutuse mõjud, mustuse, tolmu ja magnetsaastest tulenevad kahjustused, tehnilised õnnetused, teised vältimatud ja/või kontrollimatud faktorid jms.)

VII ISIKUANDMETE KAITSEKS KASUTUSELE VÕETUD VAHENDID

  1. Isikuandmete kaitse tagamiseks kasutab Ettevõte või üritab kasutada järgmisi Isikuandmete kaitse vahendeid ja protseduure: (a) administratiivsed (turvaline dokumendihaldus ja arvutifailide haldus ning arhiveerimine, erinevate tööülesannete ja tegevuste organiseerimine, personali kurssi viimine isikuandmete kaitse reeglitega töö ajal ja pärast töölepingu lõppemist ning muudel sarnastel juhtudel.) (b) turvaline riist- ja tarkvara (serverite, infosüsteemide ja andmebaaside administratsioon, tööarvutite hooldus, Ettevõtte ruumide turve, operatsioonisüsteemide kaitse, arvutite viirusekaitse jne.) (c) kommunikatsioonivahendite ja arvutivõrkude kaitse (tulemüürid, jagatavate andmete kaitse, võrkude kaitse soovimatute programmide ja andmepakettide eest jne.)
  2. Isikuandmete kaitseks kasutatavad tehnika ja tarkvara peavad tagama: (a) operatsioonisüsteemide ja andmebaaside varukoopiate installatsiooni, koopiate tegemise tehnoloogia ja vastavusmonitooringu; (b) stabiilse andmetöötlustehnoloogia; (c) süsteemide uuendamise strateegia ettenägematutes olukordades; (d) füüsilise (loogilise) testkeskkondade ja tööprogrammide eraldused; (e) terviklikult autoriseeritud andmekasutuse;
  3. Kõik Töötajad, kellel on volitus töödelda Isikuandmeid või kes on volitatud organiseerima või viima täide Isikuandmete kaitsmist, on kohustatud rangelt järgima Isikuandmete kaitseks kasutusele võetud vahendite nõudeid ning sellekohaseid reegleid, instruktsioone ja Ettevõtte poolt kasutusele võetud protseduure.

VIII ISIKUANDMETE KASUTAMISE KESTUS

  1. Kui Isikuandmed ei ole enam nende töötlemise eesmärgiks vajalikud, siis need hävitatakse, välja arvatud seaduses ettenähtud erijuhtudel, kui need edastatakse riigiarhiividesse.

IX VASTUTUS 

  1. Töötajad, kes rikuvad Leedu Vabariigi Isikuandmete Juriidilise Kaitse Seadust, teisi Isikuandmete töötlemist ja kaitset reguleerivaid õigusakte või käesolevaid Reegleid, on oma tegevuse eest vastutavad vastavalt Leedu Vabariigi seadustele.

X LÕPPSÄTTED

  1. Käesolevate Reeglite järelvalve ja vajaduse korral ülevaatamine on usaldatud Ettevõtte juhile või tema poolt määratud isikule.
  2. Volitatud Töötajad kinnitavad Reeglitega tutvumist oma allkirjaga.