DUOMENŲ APSAUGA:
1. Įvadas
Siekiant aiškumo, ši politika nustato „Kepu kartu" įsipareigojimus dėl duomenų apsaugos ir klientų bei verslo kontaktų („duomenų subjektų“) teisių, susijusių su jų asmens duomenimis, pagal Bendrąjį duomenų apsaugos reglamentą (toliau - reglamentas) .
Reglamente „asmens duomenys“ apibrėžiama kaip bet kokia informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu (duomenų subjektu); identifikuojamas fizinis asmuo yra tas, kuris gali būti tiesiogiai ar netiesiogiai atpažįstamas, visų pirma nurodant identifikatorių, pvz., vardą, identifikacijos numerį, vietos duomenis, internetinį identifikatorių arba vieną ar kelis veiksnius, būdingus fiziniam, fiziologiniam fizinio asmens, genetinio, psichinio, ekonominio, kultūrinio ar socialinio asmens tapatybę.
Ši politika nustato procedūras, kurių reikia laikytis tvarkant asmens duomenis. Šiame dokumente išdėstytas procedūras ir principus „Kepu kartu", jos darbuotojai, atstovai, rangovai ar kitos bendrovės vardu veikiančios šalys privalo nuolat laikytis.
„Kepu kartu" įsipareigoja ne tik laikytis įstatymo raidės, bet ir įstatymo dvasios, ir labai svarbi teisingam, teisėtam ir teisingam visų asmens duomenų tvarkymui, gerbiant visų asmenų teisines teises, privatumą ir pasitikėjimą kuo ji užsiima.
2. Duomenų apsaugos principai
Šios politikos tikslas - užtikrinti, kad būtų laikomasi reglamento. Reglamente nustatomi šie principai, kuriuos turi atitikti bet kuri asmens duomenis tvarkanti šalis. Visi asmens duomenys turi būti:
a) teisėtai, teisingai ir skaidriai tvarkomi duomenų subjekto atžvilgiu;
b) surinkti konkrečiais, aiškiais ir teisėtais tikslais, o ne toliau tvarkomi tokiu būdu, kuris nesuderinamas su šiais tikslais; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso, mokslinių arba istorinių tyrimų tikslais arba statistiniais tikslais nelaikomas nesuderinamu su pradiniais tikslais;
c) adekvatūs, tinkami ir apsiriboja tuo, kas būtina tikslams, dėl kurių jie tvarkomi;
d) tiksli ir, jei reikia, nuolat atnaujinama; turi būti imtasi visų pagrįstų priemonių užtikrinti, kad netikslūs asmens duomenys, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinti arba ištaisyti;
e) saugomi tokiu pavidalu, kad būtų galima identifikuoti duomenų subjektus ne ilgiau, nei būtina tikslams, kuriems tvarkomi asmens duomenys; asmens duomenys gali būti saugomi ilgesnį laiką, jei asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, atsižvelgiant į atitinkamas technines ir organizacines priemones, kurių reikalaujama pagal reglamentą, kad būtų galima apsaugoti duomenų subjekto teises ir laisves;
f) tvarkomi taip, kad būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo neteisėto ar neteisėto duomenų tvarkymo ir atsitiktinio praradimo, sunaikinimo ar sugadinimo naudojant tinkamas technines ar organizacines priemones.
3. Teisėtas, teisingas ir skaidrus duomenų apdorojimas
Reglamentu siekiama užtikrinti, kad asmens duomenys būtų tvarkomi teisėtai, teisingai ir skaidriai, nedarant neigiamo poveikio duomenų subjekto teisėms. Reglamente teigiama, kad asmens duomenų tvarkymas yra teisėtas, jei taikomas bent vienas iš šių atvejų:
a) duomenų subjektas davė sutikimą tvarkyti jo asmens duomenis vienu ar keliais konkrečiais tikslais;
b) tvarkymas yra būtinas sutarčiai, su kuria duomenų subjektas yra šalis, arba norint imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;
c) tvarkymas būtinas norint laikytis duomenų valdytojo teisinės prievolės;
d) tvarkymas būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;
e) tvarkymas yra būtinas užduotims, atliekamoms viešojo intereso labui arba vykdant duomenų valdytojui suteiktą oficialų įgaliojimą, atlikti;
f) tvarkymas būtinas duomenų valdytojo arba trečiosios šalies teisėtiems interesams, išskyrus tuos atvejus, kai tokie interesai yra viršesni už duomenų subjekto pagrindines teises ir laisves, kurių reikia asmens duomenų apsaugai, ypač tais atvejais, kai duomenys yra vaiko.
4. Perdirbti nustatytam, aiškiam ir teisėtam tikslui
4.1 „Kepu kartu" renka ir tvarko asmens duomenis, nurodytus šios politikos 20 dalyje „Asmens duomenys“. Tai gali apimti tiesiogiai iš duomenų subjektų gautus asmens duomenis (pavyzdžiui, kontaktinius duomenis, kurie naudojami, kai duomenų subjektas bendrauja su mumis.
4.2 „Kepu kartu" tvarko asmens duomenis tik tam tikrais tikslais, nurodytais šios politikos 20 dalyje „Asmens duomenys“ arba kitiems tikslams, kuriuos aiškiai leidžia reglamentas. Tikslai, kuriais mes tvarkome asmens duomenis, bus informuojami duomenų subjektams tuo metu, kai bus renkami jų asmens duomenys, kai jie renkami tiesiogiai iš jų, arba kuo greičiau (ne ilgiau kaip vieną kalendorinį mėnesį) po surinkimo, kai tai yra iš trečiosios šalies.
5. Tinkamas, svarbus ir ribotas duomenų apdorojimas
„Kepu kartu" rinks ir apdoros asmeninius duomenis tik tokiu mastu ir kiek tai reikalinga konkrečiam tikslui (-ams), apie kurį (-ius) informuoja duomenų subjektai, kaip nurodyta 4 dalyje „Perdirbti nustatytam, aiškiam ir teisėtam tikslui“.
6. Duomenų tikslumas ir duomenų atnaujinimas
„Kepu kartu" užtikrina, kad visi surinkti ir tvarkomi asmens duomenys būtų tikslūs ir atnaujinami. Duomenų tikslumas tikrinamas renkant ir reguliariai po to. Kai randami netikslūs ar pasenę duomenys, nedelsiant bus imtasi visų pagrįstų veiksmų, kad būtų atitinkamai iš dalies keičiami ar ištrinti šie duomenys.
7. Savalaikis apdorojimas
„Kepu kartu" saugo asmens duomenis ilgiau nei būtina, atsižvelgiant į tikslus, kuriems šie duomenys buvo iš pradžių renkami ir tvarkomi. Kai duomenys nebėra reikalingi, bus imtasi visų pagrįstų veiksmų, kad ji būtų nedelsiant ištrinta.
8. Saugus apdorojimas
„Kepu kartu" užtikrina, kad visi surinkti ir tvarkomi asmens duomenys būtų saugūs ir apsaugoti nuo neteisėto ar neteisėto duomenų tvarkymo ir atsitiktinio praradimo, sunaikinimo ar sugadinimo. Išsamesnė informacija apie duomenų apsaugos ir organizacines priemones, kurios turi būti imtasi, pateikta 21 dalyje - Duomenų apsaugos priemonės ir 22 dalis - šios politikos organizacinės priemonės.
9. Atskaitomybė
9.1 „Kepu kartu" saugo visus asmens duomenų rinkimo, laikymo ir tvarkymo dokumentus, kuriuose pateikiama ši informacija:
a) „Kepu kartu" , jos duomenų apsaugos kontaktų ir bet kokių taikomų trečiųjų šalių duomenų valdytojų pavardė ir duomenys;
b) tikslus, kuriais „Kepu kartu" tvarko asmens duomenis;
c) išsami informacija apie „Kepu kartu" surinktų, laikomų ir tvarkomų asmens duomenų kategorijas; duomenų kategorijų, su kuriomis susiję asmens duomenys, kategorijas;
d) trečiųjų šalių, kurios gaus iš „Kepu kartu" asmens duomenis, duomenys (ir kategorijos);
e) išsami informacija apie asmens duomenų perdavimą ne EEE šalims, įskaitant visus mechanizmus ir saugumo priemones;
f) išsami informacija apie tai, kiek ilgai asmens duomenys bus išsaugoti; ir
g) išsamūs visų techninių ir organizacinių priemonių, kurių imasi „Kepu kartu" , siekdama užtikrinti asmens duomenų saugumą, aprašymas.
10. Privatumo poveikio vertinimas
„Kepu kartu" atlieka Privatumo poveikio vertinimus, kai ir kaip reikalaujama pagal reglamentą. Privatumo poveikio vertinimus prižiūri „Kepu kartu" duomenų apsaugos kontaktai ir jame nagrinėjamos šios svarbios sritys:
10.1. Tikslas (-ai), kuriuo (-iais) tvarkomi asmens duomenys, ir tų duomenų tvarkymo operacijos;
10.2 Išsami informacija apie teisėtus „Kepu kartu" interesus;
10.3. Duomenų tvarkymo būtinumo ir proporcingumo vertinimas, atsižvelgiant į tikslą (-us), kuriam (-iems) jis tvarkomas;
10.4 Pavienių duomenų subjektų keliamos rizikos vertinimas; ir
10.5 Išsami informacija apie taikomas priemones, skirtas sumažinti riziką, įskaitant apsaugos priemones, duomenų saugumą ir kitas priemones bei mechanizmus, užtikrinančius asmens duomenų apsaugą, kad būtų galima įrodyti, kad laikomasi reglamento.
11. Duomenų subjektų teisės
Reglamente nustatytos tokios duomenų subjektams taikomos teisės:
a) teisė būti informuotam;
b) teisė susipažinti;
c) teisė į ištaisymą;
d) teisė į ištrynimą (taip pat žinoma kaip „teisė būti pamirštam“);
e) teisė apriboti tvarkymą;
f) teisė į duomenų perkėlimą;
g) teisė prieštarauti;
h) su automatizuotu sprendimų priėmimu ir profiliavimu susijusios teisės.
12. Duomenų subjektų informavimas
12.1. „Kepu kartu" užtikrina, kad asmens duomenys būtų renkami kiekvienam duomenų subjektui:
a) Informacija apie bendrovę, įskaitant, bet neapsiribojant, grupės atitikties valdytojo, jo duomenų apsaugos kontaktinio asmens tapatybę;
b) tikslas (-ai), kuriam (-iems) asmens duomenys yra renkami ir bus tvarkomi (kaip išsamiai aprašyta šios politikos 20 dalyje „Asmens duomenys“) ir teisinis pagrindas, pagrindžiantis surinkimą ir tvarkymą;
c) kai taikoma, teisėti interesai, kuriais „Kepu kartu" pateisina asmens duomenų rinkimą ir tvarkymą;
d) jei asmens duomenys nėra gauti tiesiogiai iš duomenų subjekto, surenkamų ir tvarkomų asmens duomenų kategorijos;
e) kai asmens duomenys turi būti perduoti vienai ar kelioms trečiosioms šalims, šių šalių duomenys;
f) Jei asmens duomenys turi būti perduoti trečiajai šaliai, esančiai už Europos ekonominės erdvės ribų (toliau - EEE), išsami informacija apie šį perdavimą, įskaitant, bet neapsiribojant, galiojančias apsaugos priemones (žr. 23 dalį „Perdavimas“). Asmens duomenys į šią politiką nepriklausančią šalį, esančią už EEE ribų, dėl išsamesnės informacijos apie tokius trečiųjų šalių duomenų perdavimą);
g) išsami informacija apie tai, kiek laiko asmens duomenys bus laikomi bendrovei (arba, jei nėra nustatyto laikotarpio, išsami informacija apie tai, kaip šis laikotarpis bus nustatytas);
h) duomenys apie duomenų subjekto teises pagal reglamentą;
i) duomenys apie duomenų subjekto teisę atšaukti savo sutikimą, kad „Kepu kartu" bet kuriuo metu tvarkytų savo asmens duomenis;
j) duomenys apie duomenų subjekto teisę pateikti skundą Informacijos komisaro biurui („priežiūros institucijai“ pagal reglamentą);
k) jei taikytina, išsami informacija apie bet kokius teisinius ar sutartinius reikalavimus ar įsipareigojimus, dėl kurių būtina rinkti ir tvarkyti asmens duomenis, ir išsami informacija apie bet kokias pasekmes, jei jos nepateikiamos;
l) išsami informacija apie bet kokį automatizuotą sprendimų priėmimą, kuris bus atliekamas naudojant asmens duomenis (įskaitant, bet neapsiribojant profiliavimu), įskaitant informaciją apie sprendimų priėmimą, šių sprendimų svarbą ir padarinius.
12.2 Pirmiau 12.1 dalyje nurodyta informacija - duomenų subjektų, apie kuriuos pranešta, saugojimas duomenų subjektui pateikiamas šiuo metu taikomu laiku:
12.2.1. Kai asmens duomenys gaunami iš duomenų subjekto tiesiogiai, jų rinkimo metu;
12.2.2. Kai asmens duomenys nėra gauti iš duomenų subjekto tiesiogiai (t. Y. Iš kitos šalies):
a) jei asmens duomenys naudojami bendraujant su duomenų subjektu, pirmojo pranešimo metu; arba
b) jei asmens duomenys turi būti atskleisti kitai šaliai prieš atskleidžiant asmens duomenis; arba
c) Bet kuriuo atveju ne vėliau kaip per mėnesį nuo tos dienos, kai „Kepu kartu" gauna asmens duomenis.
13. Duomenų subjekto prieiga
Duomenų subjektas gali bet kuriuo metu pareikalauti dalyko prieigos prašymo - sužinoti daugiau apie asmens duomenis, kuriuos „Kepu kartu"turi apie juos. „Kepu kartu" paprastai turi atsakyti į tai per vieną mėnesį nuo gavimo (tai gali būti pratęsta iki dviejų mėnesių, jei yra sudėtingų ir (arba) daug prašymų, ir tokiais atvejais duomenų subjektas informuojamas apie būtinybę pateikti pratęsimas).
14. Asmens duomenų taisymas
14.1. Jei duomenų subjektas informuoja bendrovę, kad „Kepu kartu" turimi asmens duomenys yra netikslūs arba neišsamūs, prašant, kad jis būtų ištaisytas, atitinkami asmens duomenys turi būti ištaisyti, o duomenų subjektas informuojamas apie tą pataisymą per vieną mėnesį nuo pranešimo gavimo. Duomenų subjekto pranešimas (sudėtingų prašymų atveju tai gali būti pratęsta iki dviejų mėnesių, ir tokiais atvejais duomenų subjektas informuojamas apie pratęsimo poreikį).
14.2 Jei trečiosioms šalims buvo atskleisti visi susiję asmens duomenys, tos šalys informuojamos apie bet kokius tų asmens duomenų pataisymus.
15. Asmens duomenų ištrynimas
15.1 Duomenų subjektai gali paprašyti, kad „Kepu kartu" ištrintų asmeninius duomenis, kuriuos ji saugo apie šias aplinkybes:
a) „Kepu kartu"nebereikia laikyti šių asmens duomenų, susijusių su tikslu, kuriam ji buvo surinkta ar tvarkoma;
b) Duomenų subjektas nori atšaukti savo sutikimą bendrovei, turinčiai ir tvarkančią jų asmens duomenis;
c) Duomenų subjektas prieštarauja, kad „Kepu kartu"laikytų ir tvarkytų savo asmens duomenis (ir nėra svarbių teisėtų interesų leisti bendrovei toliau tai daryti) (žr. 17 dalį - Prieštaravimai dėl šios politikos duomenų tvarkymo dėl išsamesnės informacijos apie duomenų subjektus) „teisės prieštarauti“;
d) asmens duomenys buvo tvarkomi neteisėtai;
e) asmens duomenys turi būti ištrinti, kad „Kepu kartu" laikytųsi tam tikro teisinio įsipareigojimo.
15.2 Išskyrus atvejus, kai „Kepu kartu" turi pagrįstų priežasčių atsisakyti ištrinti asmens duomenis, visi prašymai ištrinti duomenis turi būti įvykdyti ir duomenų subjektas informuojamas apie ištrynimą per vieną mėnesį nuo duomenų subjekto prašymo gavimo (tai gali būti pratęsta iki du mėnesius, jei prašymai yra sudėtingi, ir tokiais atvejais duomenų subjektas informuojamas apie pratęsimo poreikį.
15.3 Jeigu trečiosioms šalims buvo atskleisti bet kokie asmens duomenys, kurie turi būti ištrinti atsakant į duomenų subjekto prašymą, tos šalys informuojamos apie ištrynimą (išskyrus atvejus, kai tai neįmanoma arba reikės neproporcingai daug pastangų).
16. Asmens duomenų tvarkymo apribojimas
16.1 Duomenų subjektai gali prašyti, kad „Kepu kartu" nutrauktų tvarkomų asmens duomenų tvarkymą. Jei duomenų subjektas pateikia tokį prašymą, „Kepu kartu"saugo tik su tuo duomenų subjektu susijusius asmens duomenis, kurie yra būtini siekiant užtikrinti, kad jų asmens duomenys nebūtų toliau tvarkomi.
16.2 Jei trečiosioms šalims buvo atskleisti visi susiję asmens duomenys, tos šalys informuojamos apie taikomus duomenų tvarkymo apribojimus (nebent tai neįmanoma arba reikės neproporcingai daug pastangų).
17. Prieštaravimai dėl asmens duomenų tvarkymo
17.1 Duomenų subjektai turi teisę prieštarauti „Kepu kartu" tvarkyti savo asmens duomenis pagal teisėtus interesus (įskaitant profiliavimą), tiesioginę rinkodarą (įskaitant profiliavimą) ir apdorojimą mokslo ir (arba) istorinių tyrimų ir statistikos tikslais.
17.2. Jei duomenų subjektas prieštarauja, kad „Kepu kartu" tvarkytų savo asmens duomenis pagal savo teisėtus interesus, „Kepu kartu" nedelsdama nutraukia tokį duomenų tvarkymą, nebent galima įrodyti, kad „Kepu kartu" teisėti tokio duomenų tvarkymo pagrindai yra svarbesni už duomenų subjekto interesus, teises ir laisves; arba tvarkymas yra būtinas teisiniams reikalavimams įvykdyti.
17.3 Jeigu duomenų subjektas prieštarauja, kad „Kepu kartu" tvarkytų savo asmens duomenis tiesioginės rinkodaros tikslais, „Kepu kartu" nedelsdama nutraukia tokį duomenų tvarkymą.
17.4 Jei duomenų subjektas prieštarauja, kad „Kepu kartur" tvarkytų savo asmens duomenis moksliniais ir (arba) istoriniais tyrimų ir statistikos tikslais, duomenų subjektas pagal šį reglamentą „turi įrodyti, kad yra susijęs su jo konkrečia situacija“. Bendrovė neprivalo laikytis, jei tyrimas yra būtinas užduotims, atliekamoms dėl visuomenės interesų, vykdyti.
18. Automatinis sprendimų priėmimas
18.1 Jeigu „Kepu kartu" naudojasi asmens duomenimis automatizuotam sprendimų priėmimui ir šie sprendimai turi teisinį (ar panašų poveikį) duomenų subjektams, duomenų subjektai turi teisę ginčyti tokius sprendimus pagal reglamentą, prašydami žmogaus teisių. išreikšti savo požiūrį ir gauti „Kepu kartu" sprendimo paaiškinimą.
18.2 18.1 dalyje - Automatizuotas sprendimų priėmimas - aprašyta teisė netaikoma šiomis aplinkybėmis:
a) Sprendimas būtinas norint sudaryti sutartį arba sudaryti sutartį tarp „Kepu kartu" ir duomenų subjekto;
b) Sprendimas yra patvirtintas įstatymu; arba
c) Duomenų subjektas davė aiškų sutikimą.
19. Profiliavimas
Kai „Kepu kartu"naudoja asmens duomenis profiliavimo tikslais, taikomos šios nuostatos:
a) Bus pateikta aiški informacija apie profiliavimą, įskaitant jos svarbą ir galimas pasekmes;
b) bus naudojamos tinkamos matematinės ar statistinės procedūros;
c) įgyvendinamos techninės ir organizacinės priemonės, būtinos klaidų rizikai sumažinti ir kad tokios klaidos būtų lengvai ištaisomos; ir
d) Visi asmens duomenys, tvarkomi profiliavimo tikslais, turi būti apsaugoti, kad būtų išvengta diskriminacinio poveikio, atsirandančio dėl profiliavimo (žr. 21 dalį „Duomenų apsaugos priemonės ir 22 dalis - šios politikos organizacinės priemonės, siekiant gauti daugiau informacijos apie duomenų saugumą“).
20. Asmeniniai duomenys
„Kepu kartu" gali rinkti, laikyti ir tvarkyti šiuos asmens duomenis:
a) informacija apie pareiškėjo darbą; įskaitant asmeninę informaciją, kvalifikaciją, patirtį ir pokalbio pastabas, kad galėtume peržiūrėti jūsų prašymą ir tinkamumą prašomam vaidmeniui. Jei nesėkmingas, visa ši informacija nebus išsaugota ir bus sunaikinta.
b) informacija apie darbuotojus; įskaitant darbo prašymo informaciją, asmeninę informaciją (vardą, pavardę, adresą, gimimo datą, lytį, išsilavinimą ir kvalifikaciją, darbo patirtį, išsamią informaciją apie bet kokią žinomą negalią, kontaktinius asmenis). Informacija, leidžianti jums sumokėti (jūsų banko duomenys, nacionalinis draudimo numeris, mokesčių kodas, išsami informacija apie uždarbio areštą ir bet kokio atlyginimo auka, kurią nurodėte, sumokėti atitinkamoms įstatymų numatytoms įstaigoms atskaitymus iš jūsų darbo užmokesčio, pvz., Pensijų ir (arba) sveikatos draudimo.
Jūsų darbo istorija (darbo valandos, atostogos, išmokos, nebuvimas, sąlygos, mokymas, drausminės priemonės ir nelaimingi atsitikimai, susiję su darbu) bus išsaugoti, kad ateityje būtų priimtas sprendimas dėl darbo užmokesčio didinimo, karjeros, mokymo reikalavimų.
21. Duomenų apsaugos priemonės
„Kepu kartu" užtikrina, kad visi jo darbuotojai, atstovai, rangovai ar kitos jos vardu dirbančios šalys dirbtų su asmens duomenimis:
a) Visi el. laiškai, kuriuose yra asmens duomenų, turi būti užšifruoti naudojant slaptažodžio apsaugą;
b) Jei asmens duomenys turi būti ištrinti arba kitaip pašalinami dėl bet kokios priežasties (įskaitant, kai kopijos buvo padarytos ir nebėra reikalingos), jis turėtų būti saugiai ištrintas ir pašalintas. Popierius turi būti susmulkintas, elektroninės kopijos turėtų būti saugiai ištrintos ir bet kokia IT įranga saugiai sunaikinta naudojant išorinę patvirtintą paslaugą
c) Asmens duomenys gali būti perduodami tik saugiais tinklais; perdavimas per neužtikrintus tinklus jokiomis aplinkybėmis neleidžiamas;
d) Asmeniniai duomenys negali būti perduodami belaidžiu tinklu, jei yra pagrįsta praktiškai pritaikyta alternatyva;
e) El. laiško turinyje esantys asmens duomenys, siunčiami ar gauti, turėtų būti nukopijuoti iš šio el. laiško ir saugiai saugomi. Paštas turėtų būti ištrintas. Taip pat turėtų būti ištrinti visi su ja susiję laikini failai;
f) Kai asmens duomenys turi būti siunčiami faksimiliniu ryšiu, gavėjas turėtų būti informuotas iš anksto ir turėtų būti laukiamas fakso aparato duomenims gauti;
g) Kai asmens duomenys turi būti perduodami popierine forma, jis turėtų būti perduotas tiesiogiai gavėjui.
h) Asmeniniai duomenys gali būti platinami neoficialiai ir jei darbuotojas, atstovas, subrangovas arba kita bendrovės vardu dirbanti šalis turi teisę gauti prieigą prie bet kokių asmens duomenų, kurie jiems dar nėra prieinami, turėtų būti oficialiai prašoma iš Grupės atitikties vadybininkas.
i) Visos asmens duomenų kopijos kartu su elektroninėmis kopijomis, saugomomis fizinėje, nuimamoje laikmenoje, turėtų būti saugiai laikomos užrakintoje dėžutėje, stalčiuje, spintelėje ar pan.
j) Asmeniniai duomenys negali būti perduoti jokiems darbuotojams, agentams, rangovams ar kitoms šalims, nesvarbu, ar šios šalys dirba Bendrovės vardu, ar be Grupės atitikties valdytojo leidimo;
k) Asmens duomenys visada turi būti tvarkomi atsargiai ir neturėtų būti palikti be priežiūros ar nepažeidžiant leidimo neturinčių darbuotojų, agentų, subrangovų ar kitų šalių;
l) Jei asmens duomenys yra peržiūrimi kompiuterio ekrane, o atitinkamas kompiuteris turi būti paliktas be priežiūros bet kuriam laikui, prieš išvykdamas jis turi užrakinti kompiuterį ir ekraną;
m) Pagal grupės el. pašto ir interneto politiką, jokie mobilieji įrenginiai (įskaitant nešiojamuosius kompiuterius, planšetinius kompiuterius ir išmaniuosius telefonus) neturėtų būti saugomi jokie asmens duomenys, nepriklausomai nuo to, ar toks prietaisas priklauso bendrovei, ar kitaip.
n) Asmeniniai duomenys neturėtų būti perduodami bet kokiam darbuotojui asmeniškai priklausančiam įrenginiui, o asmens duomenys gali būti perduodami tik agentams, rangovams ar kitoms Bendrovės vardu veikiančioms šalims priklausantiems prietaisams, jei atitinkama šalis sutiko visiškai laikytis laikantis šios politikos ir reglamento raidės ir dvasios (gali apimti įrodymą bendrovei, kad buvo imtasi visų tinkamų techninių ir organizacinių priemonių);
o) Visi elektroniniu būdu saugomi asmens duomenys kasdien turėtų būti paremti atsarginėmis atsarginėmis kopijomis, saugomomis ne vietoje;
p) visos elektroninės asmens duomenų kopijos turėtų būti saugiai saugomos;
q) Jokiu būdu jokie slaptažodžiai negali būti nurašomi ar dalijami tarp bet kokių darbuotojų, agentų, rangovų ar kitų bendrovės vardu veikiančių šalių, nepriklausomai nuo jų darbo stažo ar padalinio. Jei pamiršote slaptažodį, jis turi būti iš naujo nustatytas naudojant taikomą metodą. IT darbuotojai neturi prieigos prie slaptažodžių;
22. Jei nurodėte, kad nenorite, kad jūsų įmonės turimi asmens duomenys būtų naudojami rinkodaros tikslams, generalinis direktorius turi užtikrinti, kad jūsų pageidavimai būtų atnaujinti.
23. Organizacinės priemonės
„Kepu kartu" užtikrina, kad asmens duomenų rinkimui, laikymui ir tvarkymui būtų imtasi šių priemonių:
a) Visi darbuotojai, atstovai, rangovai ar kitos bendrovės vardu veikiančios šalys turi būti visiškai supažindintos su jų individualia atsakomybe ir „Kepu kartu" atsakomybe pagal reglamentą ir pagal šią politiką, šios politikos kopija prieinama visiems darbuotojams ir kiekvienoje vietoje.
b) Tik „Kepu kartu" darbuotojai, agentai, subrangovai ar kitos šalys, kurios turi teisę susipažinti su asmens duomenimis ir jais naudotis, kad galėtų tinkamai atlikti paskirtas užduotis, turi prieigą prie „Kepu kartu" turimų asmens duomenų. ;
c) visi darbuotojai, atstovai, rangovai ar kitos bendrovės vardu dirbantys asmenys, tvarkantys asmens duomenis, bus tinkamai apmokyti;
d) visi darbuotojai, agentai, rangovai ar kitos bendrovės, veikiančios asmens duomenis tvarkantys asmenys, bus tinkamai prižiūrimi;
e) asmens duomenų rinkimo, laikymo ir tvarkymo metodai reguliariai vertinami ir peržiūrimi;
f) tų darbuotojų, agentų, rangovų ar kitų bendrovės vardu veikiančių asmenų, tvarkančių asmens duomenis, veikla reguliariai vertinama ir peržiūrima;
g) visi darbuotojai, atstovai, rangovai ar kitos bendrovės vardu dirbantys asmenys, tvarkantys asmens duomenis, privalo tai padaryti pagal reglamento ir šios politikos principus pagal sutartį;
h) Visi agento, rangovo ar kitos bendrovės vardu dirbantys asmenys, tvarkantys asmens duomenis, turi užtikrinti, kad visi ir visi jų darbuotojai, dalyvaujantys tvarkant asmens duomenis, būtų laikomi tokiomis pačiomis sąlygomis kaip ir atitinkami bendrovės darbuotojai. iš šios politikos ir reglamento;
i) Jei bet kuris agento, rangovo ar kitos šalies vardu veikiantis asmuo, tvarkantis asmens duomenis, nevykdo savo įsipareigojimų pagal šią politiką, ta šalis atlygina ir saugo Bendrovę nuo bet kokių išlaidų, atsakomybės, žalos, nuostolių, pretenzijų ar procesinių veiksmų, kurie gali būti: atsiranda dėl to.
24. Asmens duomenų perdavimas į šalį už EEE ribų
24.1 „Kepu kartu" kartais gali perduoti („perduoti“ nuotoliniu būdu) asmens duomenis į EEE nepriklausančias šalis.
24.2. Asmens duomenų perdavimas į EEE nepriklausančią šalį vyksta tik tuo atveju, jei taikoma viena ar kelios iš šių aplinkybių:
a) Perdavimas vyksta į šalį, teritoriją ar vieną ar daugiau konkrečių tos šalies (arba tarptautinės organizacijos) sektorių, kuriuos Europos Komisija nustatė užtikrindama tinkamą asmens duomenų apsaugos lygį;
b) Perdavimas vyksta į šalį (arba tarptautinę organizaciją), kuri suteikia tinkamas apsaugos priemones, sudarant teisiškai privalomą susitarimą tarp valdžios institucijų ar įstaigų; privalomos įmonių taisyklės; standartinės duomenų apsaugos sąlygos, kurias priėmė Europos Komisija; laikomasi patvirtintos elgesio kodekso, kurį patvirtino priežiūros institucija (pvz., informacijos komisaro biuras); sertifikavimas pagal patvirtintą sertifikavimo mechanizmą (kaip numatyta reglamente); sutartinės sąlygos, dėl kurių susitarė ir kurias patvirtino kompetentinga priežiūros institucija; arba nuostatos, įtrauktos į administracinius susitarimus tarp valdžios institucijų ar kompetentingos priežiūros institucijos įgaliotų įstaigų;
c) perdavimas atliekamas su atitinkamo (-ų) duomenų subjekto (-ų) sutikimu;
d) perdavimas yra būtinas, kad būtų įvykdyta sutartis tarp duomenų subjekto ir bendrovės (arba prieš sudarant sutartį, kurių imtasi duomenų subjekto prašymu);
e) perdavimas yra būtinas dėl svarbių visuomenės interesų priežasčių;
f) perdavimas yra būtinas teisiniams reikalavimams įvykdyti;
g) perdavimas yra būtinas siekiant apsaugoti gyvybinius duomenų subjekto ar kitų asmenų interesus, jei duomenų subjektas fiziškai ar teisiškai negali duoti sutikimo; arba
h) pervedimas atliekamas iš registro, pagal kurį pagal JK ar ES teisę siekiama teikti informaciją visuomenei ir kuri yra atvira plačiajai visuomenei ar kitiems asmenims susipažinti su tais, kurie gali įrodyti teisėtą interesą naudotis registrą.
25. Pranešimas apie duomenų pažeidimą
25.1 Visi asmens duomenų pažeidimai turi būti nedelsiant pranešami „Kepu kartu" duomenų apsaugos pareigūnui.
25.2 Jei įvyksta asmens duomenų pažeidimas ir šis pažeidimas gali kelti grėsmę duomenų subjektų teisėms ir laisvėms (pvz., Finansiniai nuostoliai, konfidencialumo pažeidimas, diskriminacija, žala reputacijai ar kita didelė socialinė ar ekonominė žala), duomenys apsaugos pareigūnas privalo užtikrinti, kad Informacijos komisaro biuras būtų nedelsiant informuotas apie pažeidimą ir bet kuriuo atveju per 72 valandas po to, kai apie tai sužino.
25.3. Jei asmens duomenų pažeidimas gali sukelti didelę riziką (ty didesnę riziką nei nurodyta 24.2 dalyje - Duomenų pažeidimo pranešimas) duomenų subjektų teisėms ir laisvėms, duomenų apsaugos pareigūnas turi užtikrinti kad visi susiję duomenų subjektai būtų informuoti apie pažeidimą tiesiogiai ir be nepagrįsto delsimo.
25.4 Pranešimuose apie duomenų pažeidimą turi būti pateikta ši informacija:
a) atitinkamų duomenų subjektų kategorijos ir apytikslis skaičius;
b) atitinkamų asmens duomenų įrašų kategorijos ir apytikslis skaičius;
c) „Kepukartu" duomenų apsaugos pareigūno (arba kito kontaktinio punkto, kuriame galima gauti daugiau informacijos) pavadinimas ir kontaktiniai duomenys;
d) galimas pažeidimo pasekmes;
e) išsami informacija apie priemones, kurių bendrovė ėmėsi arba ketina imtis, kad būtų išspręstas pažeidimas, įskaitant, jei reikia, priemones, kuriomis siekiama sušvelninti galimą neigiamą poveikį.
26. Politikos įgyvendinimas
Ši politika laikoma galiojančia nuo 2014 04 16. Jokia šios politikos dalis neturi atgalinio poveikio, taigi ji taikoma tik tiems klausimams, kurie įvyko tą dieną arba vėliau.
