DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO IR REAGAVIMO Į DUOMENŲ SUBJEKTŲ PRAŠYMUS IR SKUNDUS TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
Duomenų subjekto teisių įgyvendinimo taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo VšĮ Joniškio pirminės sveikatos priežiūros centras
1. (toliau – PSPC) tvarką siekiant įgyvendinti atskaitomybės principą.
2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
3. Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.
4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679.
5. Prieš pradedant įgyvendinti duomenų subjekto teises pagal jo prašymą, privalomai nustatoma duomenų subjekto tapatybė (X SKYRIUS).
II SKYRIUS
TEISĖ BŪTI INFORMUOTAM (TEISĖ GAUTI INFORMACIJĄ APIE ASMENS DUOMENŲ TVARKYMĄ)
6. Teisės būti informuotam turinys ir įgyvendinimo sąlygos:
6.1. Kai iš duomenų subjekto renkami jo asmens duomenys, Duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia pagal teisės aktus privalomą informaciją apie jo asmens duomenų tvarkymą (įskaitant, bet neapsiribojant, informaciją apie PSPC pavadinimą, duomenų tvarkymo tikslą, duomenų subjektų teises, duomenų šaltinius ir gavėjus, tvarkymo pagrindą ir terminą).
6.2. Jeigu Duomenų valdytojas ketina toliau tvarkyti asmens duomenis kitu tikslu nei tas, kuriuo asmens duomenys buvo renkami arba gauti, prieš taip toliau tvarkydamas duomenis Duomenų valdytojas pateikia duomenų subjektui informaciją apie tą kitą tikslą ir visą kitą atitinkamą papildomą informaciją.
6.3. Aukščiau įvardinta pareiga duomenų subjektui pateikti informaciją renkant asmens duomenis iš paties duomenų subjekto netaikoma, jeigu duomenų subjektas jau turi tokią informaciją, ir tiek, kiek tos informacijos jis turi.
6.4. Kai asmens duomenys yra gauti ne iš duomenų subjekto, Duomenų valdytojas duomenų subjektui pagal teisės aktus privalomą informaciją pateikia:
6.4.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
6.4.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
6.4.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
6.5. Kai asmens duomenys yra gauti ne iš duomenų subjekto, pareiga duomenų subjektui pateikti informaciją netaikoma, jeigu ir tiek kiek:
6.5.1. duomenų subjektas jau turi informacijos;
6.5.2. tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų arba jeigu dėl šios pareigos gali tapti neįmanoma arba ji gali labai sukliudyti pasiekti to tvarkymo tikslus. Tokiais atvejais Duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms ir teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
6.5.3. duomenų gavimas ar atskleidimas aiškiai nustatytas Europos Sąjungos arba Lietuvos Respublikos teisėje, ir kurie taikomi Duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės; arba
6.5.4. kai asmens duomenys privalo išlikti konfidencialūs laikantis Europos Sąjungos ar Lietuvos Respublikos teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.
III SKYRIUS
TEISĖ SUSIPAŽINTI SU DUOMENIMIS
7. Duomenų subjektas turi teisę iš Duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir kita teisės aktuose numatyta informacija apie savo asmens duomenų tvarkymą. PSPC esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis turi pateikti:
7.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;
7.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
7.3. tvarkomų asmens duomenų kopiją.
8. Duomenų subjektui paprašius, Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas Duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija pateikiama įprastai naudojama elektronine forma, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
IV SKYRIUS
TEISĖ REIKALAUTI IŠTAISYTI DUOMENIS
9. Duomenų subjektas vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu turi teisę reikalauti, kad Duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis.
10. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas taip pat turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.
11. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, PSPC gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
12. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, PSPC šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
V SKYRIUS
TEISĖ REIKALAUTI IŠTRINTI DUOMENIS („TEISĖ BŪTI PAMIRŠTAM“)
13. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais. Duomenų subjektas turi teisę reikalauti, kad Duomenų valdytojas nedelsdamas ištrintų su juo susijusius asmens duomenis, kai yra viena iš toliau išvardintų priežasčių:
13.1. kai duomenų valdytojas tvarko asmens duomenis (vardą, pavardę, telefono ryšio numerį, el. pašto adresą) tiesioginės rinkodaros tikslu pagal Reglamento (ES) 2016/679 8 straipsnio 1 dalį;
13.2. kai duomenų valdytojas tvarko asmens duomenis (IP adresą, duomenis surinktus svetainės elektroninių slapukų pagalba ir kt.) elektroninės svetainės administravimu tikslu;
13.3. asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
13.4. duomenų subjektas atšaukia sutikimą, kuriuo grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
13.5. duomenų subjektas nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis;
13.6. asmens duomenys buvo tvarkomi neteisėtai;
13.7. asmens duomenys turi būti ištrinti laikantis ES arba Lietuvos Respublikos teisėje nustatytos teisinės prievolės;
13.8. Duomenų valdytojas gali atsisakyti įgyvendinti teisę būti pamirštam tik esant teisės aktuose numatytiems pagrindams.
14. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais (siekiant laikytis įstatymuose ir kituose teisės aktuose įtvirtintos teisinės prievolės kuria reikalaujama tvarkyti asmens duomenis, siekiant atlikti užduotį, vykdomą viešo intereso labui bei siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus).
15. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, PSPC šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
VI SKYRIUS
TEISĖ APRIBOTI DUOMENŲ TVARKYMĄ
16. Duomenų subjektas turi teisę prašyti apriboti duomenų tvarkymą Reglamento 2016/679 18 straipsnio 1 dalyje numatytais atvejais kai:
16.1. duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;
16.2. asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
16.3. duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;
16.4. duomenų subjektas paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
17. Apribojus asmens duomenų tvarkymą Duomenų valdytojas gali atlikti asmens duomenų tvarkymo veiksmus tik gavęs išankstinį asmens duomenų subjekto sutikimą arba siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus, arba apsaugoti kito fizinio ar juridinio asmens teises, arba dėl svarbaus viešojo intereso priežasčių.
18. Duomenų valdytojas informuoja duomenų subjektą apie tai, kad duomenų tvarkymo apribojimas panaikinamas, prieš atliekant tokį panaikinimą.
19. Kiekvienam duomenų gavėjui, kuriam buvo atskleisti duomenų subjekto asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, Duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.
VII SKYRIUS
TEISĖ Į DUOMENŲ PERKELIAMUMĄ
20. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento (ES) 2016/679 20 straipsnyje, PSPC įgyvendina tik dėl šių asmens duomenų, tvarkomų žemiau nurodytais tikslais. Duomenų subjektas turi teisę gauti iš Duomenų valdytojo su juo susijusius asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu:
20.1. Šią teisę duomenų subjektas gali įgyvendinti tais atvejais, kai asmens duomenų tvarkymas yra grindžiamas duomenų subjekto sutikimu arba su duomenų subjektu sudaryta sutartimi, be to, kai asmens duomenys yra tvarkomi automatizuotomis priemonėmis;
20.2. Teisė į duomenų perkeliamumą nėra taikoma tais atvejais, kai asmens duomenų tvarkymas yra grindžiamas kitais pagrindais nei sutikimas ar sutartis, be to, kai asmens duomenys yra tvarkomi susistemintose rinkmenose, pavyzdžiui, popierinėse bylose, bei atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.
21. Naudodamasis savo teise į duomenų perkeliamumą, duomenų subjektas turi teisę prašyti, kad Duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui, kai tai techniškai įmanoma. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
VIII SKYRIUS
TEISĖ NESUTIKTI SU DUOMENŲ TVARKYMU
22. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal Reglamento 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą.
23. Duomenų valdytojas įgyvendina duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu, tuo atveju, kai asmens duomenų tvarkymas grindžiamas Duomenų valdytojo arba trečiosios šalies teisėtais interesais.
24. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.
25. Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.
26. Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.
27. Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais pagal 89 straipsnio 1 dalį, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.
28. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus. Apie atsisakymą įgyvendinti duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu, PSPC informuoja duomenų subjektą žodžiu ir/arba raštu. Rašytinis dokumentas yra persiunčiamas duomenų subjektui elektroninių ryšių priemonėmis arba perduodamas duomenų subjektui į rankas, pasirašytinai apie jo gavimą.
IX SKYRIUS
TEISĖ REIKALAUTI, KAD NEBŪTŲ TAIKOMAS TIK AUTOMATIZUOTU DUOMENŲ TVARKYMU, ĮSKAITANT PROFILIAVIMĄ, GRINDŽIAMAS SPRENDIMAS
29. Šiais atvejais, duomenų subjektas turi teisę reikalauti, kad jo atžvilgiu nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas ir toks sprendimas būtų peržiūrėtas:
29.1. kai PSPC priima sprendimus grindžiamus tik automatizuotu duomenų tvarkymu.
30. Duomenų subjektui kreipusis dėl automatizuotu duomenų tvarkymu grindžiamo sprendimo peržiūros, duomenų valdytojas, turi atlikti išsamų visų svarbių duomenų, įskaitant ir duomenų subjekto pateiktos informacijos vertinimą, kurį atlieka duomenų valdytojo asmuo, kuris turi atitinkamus įgaliojimus ir gebėjimus pakeisti sprendimą.
X SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES PATEIKIMAS
31. Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę žodžiu arba raštu, pateikiant prašymą asmeniškai, paštu ar elektroninėmis priemonėmis:
31.1. adresu: Pašvitinio g. 21, Joniškis;
31.2. tel. Nr.: +370 426 61258;
31.3. el. pašto adresas: info@joniskiopoliklinika.lt;
31.4. duomenų apsaugos pareigūno tel. Nr.: +370 608 49799;
31.5. duomenų apsaugos pareigūno el. paštas: info@novusnexus.lt.
32. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
33. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
34. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas su aiškiai išreikštais pageidavimais, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, asmens kodas esant būtinybei nustatyti duomenų subjekto tapatybę, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.
35. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.
36. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę, asmens kodą, identifikavimo numerį pagal duomenų valdytojo identifikavimo sistemą (jei tokia naudojama), adresą ir kitus duomenis, kurie reikalingi duomenų subjekto identifikavimui, bei pateikti atstovavimą patvirtinantį dokumentą.
37. Esant abejonių dėl duomenų subjekto tapatybės, duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti.
38. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, pateikti Taisyklių 1 priede nurodytos formos prašymą.
39. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną telefonu +370 608 49799 bei el.pašto adresu info@novusnexus.lt. Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant elektroninio pašto temos langelyje užrašoma, kad laiškas skirtas duomenų apsaugos pareigūnui.
40. Duomenų subjekto teisių įgyvendinimo formą galite atsisiųsti paspaudus čia.
XI SKYRIUS
PRAŠYMO ĮGYVENDINTI DUOMENŲ SUBJEKTO TEISES NAGRINĖJIMAS
41. Gavus duomenų subjekto prašymą, duomenų valdytojas nepagrįstai nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal 15–22 straipsnius. Jeigu bus vėluojama pateikti informaciją, per vieną mėnesį nuo prašymo gavimo duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių.
42. Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
43. Jeigu prašymas pateiktas nesilaikant Taisyklių X skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 14 darbo dienų duomenų subjektas apie tai informuojamas nurodant priežastis.
44. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
45. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
46. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai.
47. PSPC veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, L. Sapiegos g. 17, Vilnius, el. paštas ada@ada.lt, interneto svetainė https://vdai.lrv.lt, taip pat LR teismui.
48. Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į LR teismą.
XII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
48. Asmens duomenys PSPC saugomi ne ilgiau, negu to reikia dėl tikslų, kuriais jie buvo surinkti, arba tokį laikotarpį, kokį numato teisės aktai.
49. PSPC imasi visų įmanomų saugumo priemonių, siekdama apsaugoti asmenų duomenis nuo neteisėtos prieigos, naudojimo ar atskleidimo.
50. Rinkdama ir naudodama asmens duomenis PSPC laikosi šių principų:
50.1. asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
50.2. asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);
50.3. asmens duomenys yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
50.4. asmens duomenys yra tikslūs ir prireikus atnaujinami (tikslumo principas);
50.5. asmens duomenys yra laikomi tokia forma, kad asmens tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais šie asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);
50.6. asmens duomenys yra tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
51. Rinkdama ir naudodama asmens duomenis PSPC įsipareigoja:
51.1. asmens duomenis tvarkyti tik aiškiai apibrėžtais ir teisėtais tikslais;
51.2. netvarkyti asmens duomenų kitais tikslais, nei nurodyta Taisyklėse, išskyrus teisės aktuose nustatytus atvejus;
51.3. tvarkyti asmens duomenis teisėtai, tiksliai, skaidriai, sąžiningai ir tokiu būdu, kad būtų užtikrintas tvarkomų asmens duomenų tikslumas, tapatumas, saugumas;
51.4. užtikrinti, kad nebūtų tvarkomi pertekliniai asmens duomenys;
51.5. tvarkyti asmens duomenis ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;
51.6. būti atsakinga už tai, kad būtų laikomasi Taisyklėse įtvirtintų principų, ir gebėti įrodyti, kad jų laikomasi;
51.7. vykdyti kitas teisės aktuose numatytas pareigas.
