PATVIRTINTA

UAB „Kraitis“

2021 m. kovo 30 įsakymu Nr. 

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Duomenų subjektų teisių įgyvendinimo aprašas (toliau – Aprašas) nustato duomenų subjektų teisių įgyvendinimo UAB „Kraitis“, registruota buveinė yra Baltų pr. 13-10, Kaunas, veiklos vykdymo adresas Raudondvario pl. 234, Kaunas, įmonės kodas 302251506, internetinės svetainės adresas comfortmat.lt (toliau – Bendrovė) tvarkant asmens duomenis tvarką.

2. Įgyvendinant duomenų subjektų teises, vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Aprašu.

3. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

II SKYRIUS

TEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ

5. Informacija apie asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 straipsnyje, duomenų subjektui pateikiama žodžiu, raštu, elektroninių ryšių priemonėmis asmens duomenų gavimo metu arba Bendrovės interneto svetainėje comfortmat.lt.

6. Asmens duomenų rinkimo iš duomenų subjektų atveju duomenų subjektams informacija apie asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu tokiu būdu, kokiu duomenų subjektas kreipiasi, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi, ir tiek, kiek tos informacijos jis turi.

7. Kai duomenų subjekto asmens duomenys renkami ne iš duomenų subjekto, informacija, nurodyta Reglamento (ES) 2016/679 14 straipsnio 1 ir 2 dalyje, duomenų subjektui neteikiama Reglamento (ES) 2016/679 14 straipsnio 5 dalies c punkte nustatytu pagrindu.

III SKYRIUS

TEISĖ SUSIPAŽINTI SU ASMENS DUOMENIMIS

8. Duomenų subjektui pateikus prašymą susipažinti su savo asmens duomenimis, tvarkomais Bendrovėje, (toliau – prašymas susipažinti su duomenimis) pateikiama:

8.1. informacija, ar duomenų subjekto asmens duomenys tvarkomi, ar ne;

8.2. su asmens duomenų tvarkymu susijusi informacija, numatyta Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys yra tvarkomi;

8.3. tvarkomų asmens duomenų kopija.

9. Už duomenų subjekto prašomas asmens duomenų kopijas, išskyrus kai atitinkami asmens duomenys duomenų subjektui teikiami pirmą kartą po jų tvarkymo pradžios Bendrovės turima forma, Bendrovė gali imti atlyginimą. Kai duomenų subjektas prašymą susipažinti su asmens duomenimis pateikia elektroninėmis priemonėmis, informacija ir (ar) asmens duomenų kopija pateikiama Bendrovės turima elektronine forma, išskyrus, kai duomenų subjektas paprašo ją pateikti kitaip.

 IV SKYRIUS

TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUOMENIS

10. Duomenų subjektas turi teisę reikalauti, kad Bendrovės tvarkomi netikslūs jo asmens duomenys būtų ištaisyti, o neišsamūs – papildyti.

11. Siekdamas įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Bendrovė gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus. Jei duomenų subjektas per 5 darbo dienas nuo Bendrovės prašymo gavimo dienos nepateikia netikslių ar neišsamių duomenų įrodymų, duomenų subjekto teisė reikalauti ištaisyti asmens duomenis neįgyvendinama.

12. Jeigu duomenų subjekto asmens duomenys, ištaisyti pagal duomenų subjekto prašymą, iki jų ištaisymo buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja per 5 darbo dienas nuo asmens duomenų ištaisymo momento, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektui jo prašymu Bendrovė pateikia informaciją apie duomenų gavėjus, kuriems buvo perduoti asmens duomenys iki jų ištaisymo.

V SKYRIUS

TEISĖ REIKALAUTI IŠTRINTI ASMENS DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)

13. Duomenų subjekto teisė reikalauti ištrinti jo asmens duomenis („teisė būti pamirštam“), numatyta Reglamento (ES) 2016/679 17 straipsnyje, įgyvendinama tik tuo atveju, jei asmens duomenys nebėra reikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi Bendrovėje, pasiekti ir tuo atveju, jei duomenys tvarkomi neteisėtai. Duomenų subjekto prašymas ištrinti asmens duomenis turi būti motyvuotas, jame turi būti nurodytas bent vienas iš Reglamento (ES) 2016/679 17 straipsnyje nurodytų pagrindų.

14. Duomenų subjekto teisė reikalauti ištrinti jo asmens duomenis („teisė būti pamirštam“) neįgyvendinama Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.

15. Jeigu duomenų subjekto asmens duomenys, ištrinti duomenų subjekto prašymu, buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja per 5 darbo dienas nuo asmens duomenų ištrynimo momento, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektui jo prašymu Bendrovė pateikia informaciją apie duomenų gavėjus, kuriems buvo perduoti asmens duomenys iki jų ištrynimo.

VI SKYRIUS

TEISĖ APRIBOTI ASMENS DUOMENŲ TVARKYMĄ

16. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Bendrovė privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.

17. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, likus ne mažiau kaip 5 darbo dienoms iki tokio apribojimo panaikinimo Bendrovė apie tai informuoja duomenų subjektą tokiu būdu, kokiu duomenų subjektas pateikė prašymą dėl asmens duomenų tvarkymo apribojimo.

18. Jeigu duomenų subjekto asmens duomenys, kurių tvarkymas apribotas pagal duomenų subjekto prašymą, buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja per 5 darbo dienas nuo asmens duomenų apribojimo momento, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektui jo prašymu Bendrovė pateikia informaciją apie duomenų gavėjus, kuriems buvo perduoti asmens duomenys iki jų tvarkymo apribojimo.

19. Asmens duomenis, kurių tvarkymas yra apribotas pagal Aprašo 16 punktą, galima tvarkyti, išskyrus saugojimą, tik gavus duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus Europos Sąjungos arba Lietuvos Respublikos viešojo intereso.

VII SKYRIUS

TEISĖ Į ASMENS DUOMENŲ PERKELIAMUMĄ

20. Bendrovės atliekamas asmens duomenų tvarkymas, grindžiamas duomenų subjekto sutikimu pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal 6 straipsnio 1 dalies b punktą, todėl duomenų subjektui netaikoma teisė į duomenų perkeliamumą pagal Reglamento (ES) 2016/679 20 straipsnį.

VIII SKYRIUS

TEISĖ NESUTIKTI SU ASMENS DUOMENŲ TVARKYMU

21. Bendrovės atliekamas asmens duomenų tvarkymas pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal 6 straipsnio 1 dalies b punktą, todėl duomenų subjektui netaikoma teisė nesutikti su duomenų tvarkymu pagal Reglamento (ES) 2016/679 21 straipsnį.

IX SKYRIUS

TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU ASMENS DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMŲ PRIĖMIMAS

22. Duomenų subjektui netaikoma teisė reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas pagal Reglamento (ES) 2016/679 22 straipsnį.

X SKYRIUS

PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS

23. Duomenų subjektai, siekdami įgyvendinti savo teises, Bendrovei turi pateikti prašymą tiesiogiai jam pačiam ar jo atstovui atvykus, paštu ar elektroninėmis priemonėmis.

24. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, asmens kodas, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo (toliau – atsakymas), ir informacija apie tai, kokią iš Aprašo II–IX skyriuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti. Asmens atstovas prašyme papildomai turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą notaro ar kito pagal Lietuvos Respublikos įstatymus tokią teisę turinčio asmens. 

25. Pateikdamas prašymą, duomenų subjektas ar jo atstovas privalo patvirtinti savo tapatybę:

25.1. kreipdamasis žodžiu ar pateikdamas prašymą Bendrovės darbuotojui, registruojančiam prašymą, turi pateikti asmens tapatybę patvirtinantį dokumentą;

25.2. pateikdamas prašymą paštu kartu turi pateikti asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro ar kito pagal Lietuvos Respublikos įstatymus tokią teisę turinčio asmens;

25.3. pateikdamas prašymą elektroninėmis priemonėmis turi pasirašyti jį kvalifikuotu elektroniniu parašu arba suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą ir galimybę nustatyti prašymą teikiančio asmens tapatybę.

26. Duomenų subjektui ar jo atstovui Aprašo 25 punkte nustatyta tvarka nepatvirtinus savo asmens tapatybės, duomenų subjekto teisės, išskyrus Aprašo II skyriuje nurodytą teisę, nėra įgyvendinamos.

27. Bendrovė turi patvirtinti rekomenduojamą prašymo formą, kuri turi būti skelbiama Bendrovės interneto svetainėje (Aprašo priedas Nr. 1). Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Bendrovės nurodytos formos prašymą. 

28. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į Bendrovės duomenų apsaugos pareigūną, kurio kontaktai nurodyti Bendrovės interneto svetainėje. Kreipiantis į duomenų apsaugos pareigūną paštu, duomenų subjektas ar jo atstovas ant voko turėtų nurodyti, kad korespondencija yra skirta duomenų apsaugos pareigūnui.

XI SKYRIUS

PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS

29. Bendrovė, gavusi duomenų subjekto ar jo atstovo prašymą dėl Aprašo II–IX skyriuose nurodytų duomenų subjekto teisių įgyvendinimo (toliau – prašymas), jį išnagrinėja.

30. Jei kartu su prašymu pateikta ne visa ir (ar) netiksli informacija arba prašymas neatitinka kitų Aprašo X skyriuje nustatytų reikalavimų, Bendrovė ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos prašymą pateikusiam asmeniui nurodo nustatytus trūkumus ir informuoja, kad per 30 dienų nuo prašymą pateikusio asmens informavimo apie nustatytus trūkumus dienos nepašalinus trūkumų, duomenų subjekto prašymas dėl Aprašo II–IX skyriuose nurodytų duomenų subjekto teisių įgyvendinimo nebus nagrinėjamas. Trūkumų šalinimo laikas į Aprašo 32 punkte nurodytą terminą neįskaičiuojamas. 

31. Prašymai nenagrinėjami ir grąžinami juos pateikusiam asmeniui nurodant grąžinimo priežastis šiais atvejais:

31.1. kartu su prašymu pateikta ne visa ir (ar) netiksli informacija ir prašymą pateikęs asmuo per Aprašo 30 punkte nurodytą terminą neįvykdo reikalavimo ištaisyti trūkumus;

31.2. prašymas neįskaitomas;

31.3. prašymas yra akivaizdžiai nepagrįstas.

32. Bendrovė privalo ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos išnagrinėti Aprašo reikalavimus atitinkantį prašymą ir įgyvendinti arba atsisakyti įgyvendinti duomenų subjekto teises, išskyrus Reglamento (ES) 2016/679 23 straipsnio 1 dalyje ir Aprašo 35 punkte nustatytus atvejus. Šis terminas Bendrovės vadovo ar jo įgalioto asmens sprendimu gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymo sudėtingumą ir Bendrovės nagrinėjamų prašymų skaičių. Apie Bendrovės vadovo ar jo įgalioto asmens sprendimą pratęsti prašymo nagrinėjimo terminą ir jo priėmimo motyvus ne vėliau kaip per 3 darbo dienas nuo jo priėmimo dienos praneša duomenų subjektui ar jo atstovui.

33. Bendrovė apie duomenų subjekto teisių neįgyvendinimą, jo priežastis ir tokio sprendimo apskundimo tvarką ne vėliau kaip per vieną mėnesį nuo prašymo gavimo dienos informuoja duomenų subjektą. 

34. Bendrovė atsakymą duomenų subjektui pateikia valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai ar elektroninėmis priemonėmis. Jei duomenų subjektas pasirinko atsakymo pateikimą įteikiant asmeniškai ar elektroninėmis priemonėmis, tačiau Bendrovė dėl objektyvių priežasčių to negali padaryti, Bendrovė atsakymą pateikia registruotu paštu. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija jam pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

35. Bendrovė visus veiksmus pagal duomenų subjekto prašymus atlieka ir informaciją teikia nemokamai. Kai duomenų subjekto prašymai yra neproporcingi dėl jų pasikartojančio turinio (jais prašoma dėl tų pačių asmens duomenų įgyvendinti tas pačias duomenų subjekto teises, kurios jau įgyvendintos arba jas pagrįstai atsisakyta įgyvendinti pagal ankstesnius jo prašymus) arba kai atsakymui pateikti reikėtų sukurti dokumentus ar informacijos rinkmenas ir tai būtų susiję su neproporcingai didelėmis Bendrovės darbo ir laiko sąnaudomis, Bendrovė gali imti atlygį, kurio dydis nustatomas atsižvelgiant į informacijos teikimo, pranešimų ir veiksmų, kurių prašoma, administracines išlaidas, arba gali atsisakyti nagrinėti prašymą ir apie tai informuoti duomenų subjektą Aprašo 33 punkto nustatyta tvarka.

36. Bendrovė, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą. Duomenų subjektui teikiami tik jo asmens duomenys. Jeigu dokumentų, kurie teikiami duomenų subjektui, kopijose yra trečiųjų asmenų asmens duomenys, jie turi būti užtušuoti, teikiamas šių dokumentų išrašas arba imamasi kitų priemonių, kad duomenų subjektui nebūtų pateikti trečiųjų asmenų asmens duomenys.

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

37. Bendrovės veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas, jo atstovas ir duomenų subjekto įgaliota pelno nesiekianti įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai ir teismui.

38. Duomenų subjektas turi teisę kreiptis į teismą dėl žalos, kilusios dėl duomenų subjekto teisių pažeidimo, atlyginimo.

______________________