1.1.            Duomenų valdytojas – UAB „Fotospektras“ (juridinio asmens kodas 159916763, buveinės adresas  Vytauto g. 67, Garliava, Kauno r., el. paštas info@fotospektras.lt, Tel. Nr. +370 698 14889) (toliau – Įmonė) gerbia internetinių svetainių www.fotospektras.lt; www.mokyklos.fotospektras.lt. (toliau – Svetainė) lankytojų (toliau – Lankytojai) ir klientų privatumą, todėl įsipareigoja užtikrinti tinkamą Lankytojų asmens duomenų apsaugą bei jų kaip duomenų subjektų teisių įgyvendinimą. 

1.2.            Ši UAB „Fotospektras“ internetinių svetainių www.fotospektras.lt; www.mokyklos.fotospektras.lt. privatumo politika (toliau – Svetainės privatumo politika) reglamentuoja pagrindinius asmens duomenų rinkimo, tvarkymo bei saugojimo principus ir tvarką bei yra sudedamoji Įmonės privatumo politikos dalis.

1.3.            Svetainės privatumo politikoje vartojamos sąvokos turi būti suprantamos taip, kaip 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) Nr. 2016/679 (Bendrajame duomenų apsaugos reglamente (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, UAB „Fotospektras“ patvirtintose asmens duomenų tvarkymo taisyklėse ir kituose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose.  

 

2.                  Įmonėje tvarkomų asmens duomenų tikslai:

2.1.            Siekdama palaikyti tinkamą komunikaciją su Lankytojais, kad Lankytojai per Svetainę galėtų bet kada kreiptis į Įmonę; 

2.2.            Siekdama gauti iš lankytojų atsiliepimus apie suteiktas paslaugas ir atsiliepimų pagrindu tobulinti teikiamų paslaugų kokybę; 

2.3.            Teisėtų interesų įgyvendinimo tikslu;

2.4.            Diagnostikos, rekomendacijų teikimo, vidaus administravimo, apskaitos, sutartinių įsipareigojimų vykdymo, mokėjimų administravimo, tinkamos komunikacijos palaikymo ir informavimo apie suteiktas paslaugas bei teisės aktų reikalavimų vykdymo tikslu;

2.5.            Kokybiškų paslaugų teikimo tikslu.

 

3.                  Įmonėje tvarkomi asmens duomenys:

·         tvarko Svetainėje pateikiamus Lankytojų asmens duomenis:

o   Vardas;

o   Pavardė;

o   Kontaktinis tel. numeris;

o   El. pašto adresas;

o   Atsiskaitomoji banko sąskaita;

o   Pranešimo tekste nurodyti ar Lankytojo papildomai pateikti duomenys.

·         Paslaugų sutarties sudarymo ir tinkamu paslaugų teikimo tikslu:

o   Vardas;

o   Asmens kodas/juridinio asmens kodas/gimimo data;

o   Adresas;

o   Telefono numeris;

o   PVM kodas;

o   Atsiskaitomoji banko sąskaita;

o   Kliento atstovo duomenys;

o   El. pašto adresas;

o   Kiti asmens duomenys, kuriuos pateikia pats asmuo ir (arba) kuriuos tvarkyti įmonę įpareigoja įstatymai ir kiti teisės aktai.

·         tvarko klientų asmens duomenis:

o   Asmens atvaizdas, pateikiamas siekiant įsigyti nuotrauką.

 

4.                  Asmens duomenų tvarkymo teisiniai pagrindai:

4.1.            Įmonėje asmens duomenys tvarkomi tik esant bent vienam iš šių teisinių pagrindų:

4.2.            Duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

4.3.            Duomenų tvarkymas yra būtinas siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

4.4.            Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

4.5.            Tvarkyti duomenis būtina, siekiant apsaugoti duomenų subjekto ar kito asmens gyvybinius interesus (pavyzdžiui, Įstaiga tvarko darbuotojo artimųjų kontaktinius duomenis, su kuriais galėtų susisiekti įvykus nelaimei ar ekstremaliam įvykiui);

4.6.            Duomenų tvarkymas yra būtinas viešojo intereso labui arba vykdant pavestas viešosios valdžios funkcijas;

4.7.            Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo ar trečiosios šalies interesų, išskyrus atvejus, kai duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už šiuos duomenų valdytojo teisėtus interesus viršesni, ypač kai duomenų subjektas yra vaikas (pavyzdžiui, Įstaiga vykdo vaizdo stebėjimą darbuotojų, kitų duomenų subjektų ir turto saugumo užtikrinimo tikslu.

4.8.            Įstaiga specialių kategorijų asmens duomenis tvarko tik esant bent vienam iš šių pagrindų:

4.9.            Tvarkyti duomenis būtina, kad duomenų valdytojas arba duomenų subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kiek tai leidžiama Europos Sąjungos arba valstybės narės teisėje arba pagal valstybės narės teisę sudaryta kolektyvine sutartimi, kuriuose nustatytos tinkamos duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės;

4.10.        Tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai duomenų subjekto arba kito fizinio asmens interesai, kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti sutikimo;

4.11.        Tvarkomi asmens duomenys, kuriuos duomenų subjektas yra akivaizdžiai paskelbęs viešai;

4.12.        Tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

4.13.        Tvarkyti duomenis būtina dėl svarbių viešojo intereso priežasčių, vadovaujantis Europos Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų;

4.14.        Tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą;

4.15.        Tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai.

5.                  Asmens duomenų saugojimo terminai:

5.1.            Asmens duomenys saugomi ne ilgiau negu to reikalauja duomenų tvarkymo tikslai. Konkretūs asmens dokumentų (duomenų) saugojimo terminai nustatyti Bendrųjų dokumentų saugojimo terminų rodyklėje, patvirtintoje Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, kituose teisės aktuose bei Privatumo politikoje ir jos prieduose.

5.2.            Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami teisės aktuose nustatyta tvarka, išskyrus tą dokumentaciją, kuri pagal įstatymų nuostatas turi būti perduota Lietuvos valstybės naujajam archyvui. Pasibaigus duomenų tvarkymo terminui ir neatsiradus pagrindams, dėl kurių jis būtų pratęstas, šiuos duomenis Įmonė turi sunaikinti per 10 (dešimt) darbo dienų. Darbuotojai, kurie atsakingi už duomenų tvarkymą (saugojimą), pasibaigus duomenų tvarkymo (saugojimo) terminui turi inicijuoti duomenų sunaikinimo procedūrą. Už tik elektroniniu būdu Įmonės informacinėse sistemose tvarkomų (saugomų) duomenų sunaikinimo procedūros inicijavimą atsako konkrečiu kompiuteriu, kuriame saugomos asmens duomenų rinkmenos, dirbantis darbuotojas. Už Įmonės duomenų bazėse ir IT sistemose esančių duomenų sunaikinimą atsakingi šias sistemas administruojantys darbuotojai.

5.3.            Pasibaigus asmens duomenų saugojimo terminui, jis gali būti pratęstas, jeigu Įmonė nustato, kad saugoti duomenis toliau yra būtina, ypač atsižvelgiant į būtinybę panaudoti asmens duomenis kaip įrodymą ikiteisminiame ar kitokiame tyrime, įskaitant ir Valstybinės duomenų apsaugos inspekcijos vykdomame tyrime, civilinėje, administracinėje ar baudžiamojoje byloje, ar kitais įstatymų nustatytais atvejais. Sprendimą pratęsti duomenų saugojimo terminą priima Įmonės vadovas. Prieš priimant sprendimą pratęsti duomenų saugojimo terminą turi būti konsultuojamasi su duomenų apsaugos pareigūnu (kai jis paskirtas).

 

6.                  Pagrindiniai asmens duomenų tvarkymo principai:

6.1.             Asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai (teisėtumo, sąžiningumo ir skaidrumo principas);

6.2.            Asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis (tikslo apribojimo principas); Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais. Įstaigos darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašyme ar kitame Įstaigos lokaliniame teisės akte arba Įstaigos vadovo pavedimu ir tik teisės aktų nustatyta tvarka. Įstaigos darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis;

6.3.            Tvarkomi asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

6.4.            Tvarkomi asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

6.5.            Tvarkomus asmens duomenis laikyti tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama BDAR siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

6.6.            Tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

6.7.            Duomenų valdytojas yra atsakingas ir turi sugebėti įrodyti, kad yra laikomasi principų (atskaitomybės principas).

6.8.            Už asmens duomenų tvarkymo principų laikymąsi atsako Įmonės vadovas ar jo paskirtas atsakingas asmuo.

 

7.                  Asmens duomenų gavėjai

7.1.            Įmonė garantuoja, kad Jūsų asmens duomenys nebus parduodami, teikiami ar kitaip be teisėto pagrindo perduodami tretiesiems asmenims, taip pat naudojami kitiems tikslams, nei jie buvo surinkti. Įmonė įsipareigoja neperduoti Jūsų asmens duomenų niekaip kitaip, kaip tik vadovaudamiesi šia Privatumo politika ir teisės aktais. Tačiau Įmonė pasilieka teisę pateikti informaciją apie Jus, jei privaloma tai padaryti įstatymų numatyta tvarka arba jei to Įmonės pareikalautų teisėtai veikiančios institucijos ar baudžiamąjį persekiojimą vykdančios institucijos.

7.2.            Įmonės surinktus duomenis apie Jus Įmonė gali atskleisti šioms trečiosioms šalims:

•         trečiosioms šalims paslaugų teikėjams (pvz., techninių paslaugų teikėjams vykdant mūsų sutartis su šiais paslaugų teikėjais).

•         trečiųjų šalių paslaugų teikėjams, kurių paslaugomis paprastai Įmonė naudojasi duomenų saugojimo, telekomunikacijų ir svetainės prieglobos tikslais.

7.3.            Aukščiau nurodytų paslaugų teikėjų galimybė naudoti Jūsų duomenis yra ribota – jie negali šių duomenų naudoti kitais nei paslaugų teikimo Įmonei tikslais.

 

8.                  Duomenų subjektų teisės ir jų įgyvendinimas

8.1.            Duomenų subjektas, turi teisę gauti informaciją apie duomenų tvarkymą; teisę susipažinti su tvarkomais duomenimis; teisę reikalauti ištaisyti duomenis; teisę reikalauti ištrinti duomenis („teisė būti pamirštam“); teisę apriboti duomenų tvarkymą; teisę nesutikti su duomenų tvarkymu; teisę į duomenų perkeliamumą; teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas.   

8.2.            Siekdamas įgyvendinti savo teises duomenų subjektas turi kreiptis raštu ar žodžiu į Duomenų valdytoją aukščiau nurodytais kontaktais. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, duomenų subjektui rekomenduojama prašymą pateikti pagal Įmonės patvirtintą Prašymo įgyvendinti duomenų subjekto teisę (-es) rekomenduojamą formą.

8.3.            Kreipimasis turėtų būti rašytinis, įskaitomas ir duomenų subjekto pasirašytas.

8.4.            Prašyme turi būti nurodyta: asmens vardas, pavardė, kontaktiniai duomenys ir informacija, kokią iš aukščiau nurodytų teisių jis pageidauja įgyvendinti, bei informacija, kokiu būdu pageidaujama gauti atsakymą.

8.5.            Jeigu duomenų subjektas kreipdamasis dėl duomenų subjekto teisių įgyvendinimo nepatvirtina savo tapatybės, duomenų subjekto teisės nėra įgyvendinamos, išskyrus atvejus, kai: duomenų subjektui teikiama bendro pobūdžio informacija, kai jis kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento 13 ir 14 straipsnius; duomenų subjektas kreipiasi tokiomis elektroninėmis priemonėmis, kurios leidžia Įmonei identifikuoti duomenų subjektą.

8.6.            Prašymą galima pateikti: asmeniškai; paštu ar per pasiuntinį; per atstovą (pateikiant atstovavimą patvirtinančius teisinę galią turinčius dokumentus) ; elektroninių ryšių priemonėmis.

8.7.            Duomenų valdytojas privalo suteikti duomenų subjektui informaciją:

8.7.1.      per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį nuo duomenų subjekto prašymo gavimo, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;

8.7.2.      jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti — ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

8.7.3.      jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui — ne vėliau kaip atskleidžiant duomenis pirmą kartą.

8.8.            Duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją (atsakymą) apie veiksmus, kurių imtasi gavus prašymą. Šis laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

8.9.            Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, duomenų valdytojas nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoja duomenų subjektą apie neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone.

8.10.        Duomenų subjektų prašymus dėl teisių įgyvendinimo Įmonės paskirtas asmuo privalo registruoti Asmens duomenų tvarkymo registravimo žurnale.

8.11.        Įmonėje veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai (adresas: A. Juozapavičiaus g. 6, Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt), ir (ar) kreiptis į teismą teisės aktuose nustatyta tvarka.

 

9.                  Baigiamosios nuostatos

9.1.            Įmonėje taikomos bendrosios organizacinės ir techninės priemonės.

9.2.            Įmonė įsipareigoja be atskiro klientų sutikimo neviešinti ir niekaip kitaip neplatinti nuotraukų su klientų atvaizdais. 

9.3.            Įmonė naudoja klientų atvaizdus siekiant suteikti kokybiškas paslaugas. Kliento atvaizdas yra rodomas tik pačiam klientui prisijungus su individualiu prisijungimu. 

9.4.            Įmonei su trečiosiomis šalimis (duomenų tvarkytojais ar bendra valdytojais) sudarant sutartis dėl kurių įvykdymo yra būtina perduoti tvarkyti duomenų subjektų (klientų, kontrahentų, jų atstovų ir pan.) duomenis, tam kad būtų įvykdyta su pačiu duomenų subjektu sudaryta sutartis, šiose su trečiosiomis šalimis sudaromose sutartyse turi būti sudarytas atskiras tokių sutarčių priedas pagal Susitarimo dėl bendrųjų asmens duomenų tvarkymo sąlygų pavyzdinę formą arba pačioje sutartyje nustatytomis sąlygomis dėl duomenų tvarkymo sutarties vykdymo metu.

9.5.            Privatumo politika ir jos priedai peržiūrimi esant poreikiui ir (ar) iš esmės pasikeitus teisės aktams. Tais atvejais, kai Privatumo politika prieštarauja teisės aktų, reguliuojančių duomenų apsaugą, nuostatoms, taikomos teisės aktų nuostatos.

9.6.            Siekiant įgyvendinti Reglamento nuostatas gali būti paskiriamas Atsakingas asmuo, kuris yra atsakingas už duomenų apsaugos tinkamą įgyvendinimą Įmonėje. Jei Atsakingas asmuo nepaskirtas, šias funkcijas atlieka Įmonės vadovas.