UAB koncernas „SBA“ vaizdo duomenų tvarkymo taisyklės

I SKYRIUS

BENDROSIOS NUOSTATOS

1. UAB koncernas „SBA“ Vaizdo duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti UAB koncernas „SBA“ vykdomą vaizdo stebėjimą, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Duomenų valdytojas – UAB koncernas „SBA“ (toliau – SBA).

3. Šiose Taisyklėse vartojamos sąvokos:

3.1. Darbuotojas – darbuotojas, dirbantis SBA pagal darbo sutartį.

3.2. Trečiasis asmuo – fizinis asmuo, kuris nėra duomenų subjektas, ir kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti pagal vaizdo įraše užfiksuotų vaizdo duomenų apimtį (asmens veidą, ūgį, transporto priemonės valstybinį numerį ir pan.).

3.3. Vaizdo duomenų įrašymo įrenginiai – serveriai ir (arba) SBA turto apskaitoje esantys skaitmeniniai įrenginiai, skirti vaizdo duomenims įrašyti, saugoti, peržiūrėti ir kopijuoti.

3.4. Vaizdo įrašas – šiose Taisyklėse nurodytomis vaizdo stebėjimo kameromis užfiksuoti ir serveriuose ir (arba) vaizdo duomenų įrašymo įrenginiuose išsaugoti vaizdo duomenys.

3.5. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu (toliau – vaizdo duomenys), tvarkymas naudojant šiose Taisyklėse nurodytas vaizdo stebėjimo kameras, nepaisant to, ar šie duomenys yra išsaugomi duomenų laikmenoje.

3.6. Vaizdo stebėjimo sistema – serveriai ir (arba) vaizdo duomenų įrašymo įrenginiai, vaizdo stebėjimo kameros ir duomenų laikmenos, kuriose saugomi vaizdo duomenys.

3.7. Kitos šiose Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Lietuvos Respublikos teisės aktuose.

4. Tvarkant vaizdo duomenis SBA patvirtintomis Asmens duomenų tvarkymo taisyklėmis vadovaujamasi tiek, kiek šiose Taisyklėse nenustatyta kitaip.

 

II SKYRIUS

VAIZDO STEBĖJIMO PAGRINDAS, TIKSLAI IR APIMTIS

5. Vaizdo stebėjimas vykdomas SBA ir trečiųjų asmenų (lankytojų, kontrahentų ir jų darbuotojų, kitų SBA grupės įmonių, jų darbuotojų ir kt.) teisėtų interesų pagrindu. SBA ir trečiųjų asmenų teisėti interesai atskleidžiami per vaizdo stebėjimo tikslus. Vaizdo stebėjimo tikslas/-ai yra nurodyti Taisyklių priede Nr. 4.

6.  Vaizdo duomenys fiksuojami  vaizdo stebėjimo kameromis.

6.1.    Vaizdo stebėjimo kamerų aprašas pateiktas šių Taisyklių priede Nr.1. Vaizdo stebėjimo apimtis keičiama tik pakeitus Taisykles.

7. Vaizdo stebėjimas yra vykdomas nepertraukiamai.

8. Vaizdo stebėjimo kameros turi būti įrengiamos taip, kad vaizdo stebėjimas nebūtų vykdomas didesnėje duomenų valdytojo teritorijoje ar patalpoje, nei yra nurodyta šių Taisyklių priede Nr.1.

9. Draudžiama taip įrengti ir eksploatuoti įrengtas vaizdo stebėjimo kameras, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų numatytus atvejus.

10.  SBA užtikrina, kad vaizdo kameros būtų montuojamos taip, kad vaizdo stebėjimas būtų vykdomas ne didesnėje patalpų dalyje, teritorijoje, negu tai yra būtina. Į vaizdo kamerų stebėjimo lauką negali patekti patalpos ar teritorija, kurioje duomenų subjektas tikisi absoliučios asmens duomenų apsaugos, pavyzdžiui persirengimo, poilsio, tualeto kambariuose. Jei vaizdo stebėjimo kameros yra (gali būti) reguliuojamos operatorių, jos įrengiamos ir pritaikomos taip, kad operatoriai negalėtų jų nukreipti į erdves, kurių stebėjimas nenumatytas.

 

III SKYRIUS

DUOMENŲ VALDYTOJO IR TVARKYTOJO TEISĖS, PAREIGOS IR FUNKCIJOS

11. Duomenų valdytojas turi šias teises:

11.1. rengti ir priimti vidaus teisės aktus, reglamentuojančius vykdomą vaizdo stebėjimą;

11.2. spręsti klausimus dėl vaizdo duomenų teikimo;

11.3. paskirti už vaizdo duomenų apsaugą atsakingą asmenį (asmenis) ar padalinį;

11.4. įgalioti duomenų tvarkytoją tvarkyti vaizdo duomenis;

11.5. nustatyti duomenų saugojimo trukmę, būdą, vietas;

11.6. valdyti, administruoti prieigas prie vaizdo duomenų;

11.7. valdyti, administruoti vaizdo duomenų pažeidimų, incidentų valdymą.

12.     Duomenų valdytojas turi šias pareigas:

12.1. užtikrinti Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme,  SBA Asmens duomenų tvarkymo  taisyklėse, šiose Taisyklėse ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytų asmens duomenų tvarkymo reikalavimų laikymąsi;

12.2. įgyvendinti duomenų subjekto teises Reglamento (ES) 2016/679,  SBA Asmens duomenų tvarkymo taisyklių ir šių Taisyklių nustatyta tvarka;

12.3. užtikrinti asmens duomenų saugumą ir įgyvendinti tinkamas organizacines ir technines asmens duomenų saugumo priemones;

12.4. parinkti tik tokį duomenų tvarkytoją, kuris įgyvendintų tinkamas organizacines ir technines asmens duomenų saugumo priemones ir užtikrintų, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga, bei sudaryti su juo sutartį, reglamentuojančią duomenų tvarkytojo atliekamą duomenų tvarkymą, atitinkančią Reglamento (ES) 2016/679  28 straipsnio 3 dalyje nustatytus reikalavimus.

13. Duomenų valdytojas atlieka šias funkcijas:

13.1. nustato vaizdo stebėjimo tikslą ir apimtį;

13.2. organizuoja vaizdo stebėjimo sistemos diegimo darbus;

13.3. nustato prieigos teisių ir įgaliojimų tvarkyti vaizdo duomenis suteikimo, keitimo ir naikinimo tvarką;

13.4. analizuoja technologines, metodologines ir organizacines vaizdo duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam vaizdo stebėjimo vykdymui užtikrinti;

13.5. teikia metodinę pagalbą SBA darbuotojams vaizdo duomenų tvarkymo klausimais;

13.6. vykdo kitas funkcijas, reikalingas šių Taisyklių 11–12 punktuose nurodytoms duomenų valdytojo teisėms ir pareigoms įgyvendinti.

 

IV SKYRIUS

VAIZDO DUOMENŲ TEIKIMAS IR DUOMENŲ GAVĖJAI

14. Teisės aktų nustatytais atvejais ir tvarka SBA teikia savo tvarkomus vaizdo duomenis teisėsaugos institucijoms ir kitiems asmenims, kuriems asmens duomenis teikti  įpareigoja įstatymai ar kiti teisės aktai arba kuriems SBA, teisės aktų nustatyta tvarka vykdydamas savo funkcijas, teikia asmens duomenis, taip pat pagal duomenų gavėjų prašymus esant bent vienai Reglamento (ES) 2016/679  6 straipsnyje nurodytai teisėto asmens duomenų tvarkymo sąlygai. Prašyme turi būti nurodytas vaizdo duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti vaizdo duomenų apimtis.

15. Sprendimą dėl vaizdo duomenų teikimo priima už asmens duomenų apsaugą SBA atsakingas asmuo, pasikonsultavęs su duomenų apsaugos pareigūnu.

 

V SKYRIUS

ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

 

16. Užtikrinant vaizdo duomenų saugumą, įgyvendinamos šios organizacinės ir techninės asmens duomenų saugumo priemonės:

16.1. užtikrinama prieigos prie vaizdo duomenų apsauga, valdymas ir kontrolė;

16.2. prieiga prie vaizdo duomenų gali būti suteikta tik tam asmeniui, kuriam vaizdo duomenys yra reikalingi jo funkcijoms vykdyti;

16.3. su vaizdo duomenimis galima atlikti tik tuos veiksmus, kuriems atlikti naudotojui yra suteiktos teisės;

16.4. prieiga prie asmens duomenų apsaugoma slaptažodžiais;

16.5. užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo prie vietinio tinklo elektroninių ryšių priemonėmis;

16.6. užtikrinamas patalpų, kuriose saugomi vaizdo duomenys, saugumas (apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas, patalpos rakinamos ir pan.);

16.7. užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).

17. Susipažinti su savo vaizdo duomenimis turi teisę visi SBA darbuotojai, kurie, įgyvendindami šią teisę, turi laikytis asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

18. Prieigos prie vaizdo duomenų teises suteikia ir redaguoja asmuo atsakingas už Asmens duomenų tvarkymo taisyklių įgyvendinimą, jų vykdymo kontrolę ir duomenų apsaugą bendrovėje, teisių suteikimą ar jų keitimą, suderinęs su duomenų apsaugos pareigūnu.

18.1. Asmenų, turinčių prieigą prie vaizdo duomenų, sąrašo forma nustatyta šių Taisyklių priede Nr. 3.

19. Prieigos prie  vaizdo duomenų teisės naikinamos pasibaigus SBA darbuotojo, tvarkančio vaizdo duomenis, įgaliojimams, darbo santykiams ar pasikeitus SBA darbuotojo funkcijoms, kurioms vykdyti prieiga prie vaizdo duomenų nebereikalinga.

20. SBA darbuotojas, tvarkantis vaizdo duomenis, privalo:

20.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, SBA Asmens duomenų tvarkymo taisyklėse, šiose Taisyklėse ir kituose teisės aktuose;

20.2. užtikrinti, kad į vaizdo stebėjimo kameromis fiksuojamą erdvę nepatektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų numatytus atvejus, bei patalpos, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą;

20.3. laikytis šiose Taisyklėse nustatytų organizacinių ir techninių asmens duomenų saugumo priemonių, kad būtų užkirstas kelias netyčiniam ar neteisėtam vaizdo duomenų sunaikinimui, praradimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti vaizdo duomenų įrašymo įrenginiuose ir (ar) laikmenose esančius vaizdo duomenis;

20.4. užtikrinti, kad vaizdo stebėjimo sistema būtų techniškai tvarkinga, techniniai šios sistemos sutrikimai būtų šalinami operatyviai, naudojant visus turimus techninius resursus;

20.5. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su vaizdo duomenimis asmeniui, kuris nėra įgaliotas tvarkyti vaizdo duomenų;

20.6. nedelsdamas pranešti atsakingam asmeniui ir duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę SBA tvarkomų vaizdo duomenų saugumui;

20.7. laikytis kitų SBA Asmens duomenų tvarkymo taisyklėse, šiose Taisyklėse ir kituose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

21. SBA darbuotojai privalo į bendrovės patalpas, kuriose yra vaizdo duomenų įrašymo įrenginiai, neįleisti pašalinių asmenų ir, pastebėję vaizdo stebėjimo sistemos veikimo sutrikimus, nedelsdami informuoti darbuotoją, tvarkantį vaizdo duomenis, arba atsakingą asmenį.

22. Vaizdo duomenų kopijavimas nedaromas.

23. Kiekvienos vaizdo stebėjimo kameros vaizdo duomenų saugojimo trukmė ir jų (vaizdo duomenų) sunaikinimo procedūra aprašyta šių Taisyklių priede Nr.1 „Vaizdo stebėjimo kamerų aprašas“.

24. Jeigu vaizdo įrašų duomenys teisės aktų nustatytais atvejais naudojami kaip įrodymai ar duomenų subjekto prašymu saugomi iki perdavimo momento duomenų subjektui,  tai tokie vaizdo duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.

25. Vaizdo duomenys gali būti saugomi ir ilgiau, jeigu:

25.1. tai yra būtina, kad SBA galėtų apsiginti nuo reikalavimų, pretenzijų ar ieškinių ir įgyvendinti savo teises;

25.2 atsarginių, rezervinių kopijų ir kitais panašiais tikslais dėl objektyvių SBA informacinių sistemų funkcionavimo techninių ypatumų;

25.3. egzistuoja kiti teisės aktuose numatyti pagrindai.

 

VI SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

26.  Duomenų subjektas turi šias teises:

26.1. gauti informaciją apie duomenų tvarkymą;

26.2. susipažinti su duomenimis;

26.3. reikalauti ištrinti duomenis („teisė būti pamirštam“), esant Reglamente (ES) 2016/679 nustatytiems pagrindams;

26.4. apriboti duomenų tvarkymą;

26.5. nesutikti su duomenų tvarkymu;

26.6. pateikti skundą priežiūros institucijai – Valstybinei duomenų apsaugos inspekcijai.

27. Šių Taisyklių 26 punkte nurodytos duomenų subjekto teisės įgyvendinamos SBA Asmens duomenų tvarkymo taisyklėse nustatyta tvarka, jei šiose Taisyklėse nenustatyta kitaip.

28.  Teisė gauti informaciją apie duomenų tvarkymą:

28.1.    Asmenys, kurie nėra SBA darbuotojai ir kurių vaizdo duomenys gali būti tvarkomi vykdant vaizdo stebėjimą, apie vykdomą vaizdo stebėjimą yra informuojami:

28.1.1. iškabinant informacines lenteles ir (arba) priklijuojant lipdukus prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas. Informacinės lentelės ir (arba) lipdukai turi būti matomi prieš patenkant į vaizdo stebėjimo zoną;

28.1.2. informacinėse lentelėse ir (arba) lipdukuose nurodant bent šią informaciją: apie vykdomą vaizdo stebėjimą, bendrovės pavadinimą, kontaktinę informaciją (adresą, elektroninio pašto adresą ir (arba) telefono numerį), vaizdo duomenų tvarkymo tikslą, nuorodą į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą; informacinės lentelės (lipduko) pavyzdinė forma nustatyta šių Taisyklių priede Nr.2;

28.2. informacija apie tai, kad vykdomas vaizdo stebėjimas, pateikiama visais atvejais, nepriklausomai nuo to, kad kai kuriose tam skirtose vietose vaizdo stebėjimas tuo metu nėra vykdomas (pavyzdžiui, vaizdo stebėjimo kamera veikia ne visą laiką, veikia nustatytu periodiškumu ir pan.).

28.3.  SBA darbuotojai apie vykdomą vaizdo stebėjimą informuojami pasirašytinai ar kitu informavimo faktą įrodančiu būdu, ir supažindinami su šiomis Taisyklėmis prieš pradedant vykdyti vaizdo stebėjimą arba pirmąją darbuotojo darbo dieną, arba pirmąją darbo dieną po darbuotojo atostogų, nedarbingumo laikotarpio ir pan., jei vaizdo stebėjimas buvo pradėtas vykdyti šiuo laikotarpiu. Darbuotojų, kurie neturi elektroninių darbo vietų, informavimo apie vaizdo stebėjimą ir supažindinimo su Taisyklėmis forma yra nustatyta šių Taisyklių priede Nr. 5.

29. Teisė susipažinti su duomenimis:

29.1. Pagal duomenų subjekto prašymą susipažinti su savo vaizdo duomenimis duomenų subjektui, prieš tai patikrinus jo tapatybę, prašomi vaizdo duomenys gali būti pateikiami sudarant galimybę SBA patalpose peržiūrėti vaizdo įrašą ir (arba) pateikiant vaizdo įrašo kopiją duomenų laikmenoje ar nuotrauką, jei vaizdo duomenys yra vis dar saugomi SBA.

29.2. Įgyvendinant duomenų subjekto teisę susipažinti su savo vaizdo duomenimis, turi būti užtikrinama Trečiųjų asmenų teisė į privatų gyvenimą. Duomenų subjektui susipažįstant su vaizdo įrašu, jeigu jame matomi Tretieji asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti Trečiųjų asmenų privatumą (pavyzdžiui, vaizdo įraše matomas transporto priemonės valstybinis numeris), šie vaizdai turi būti retušuoti ar kitais būdais panaikinama galimybė identifikuoti Trečiuosius asmenis arba, jei įmanoma, turi būti gaunamas rašytinis šių asmenų sutikimas dėl jų vaizdo duomenų pateikimo duomenų subjektui. Jei nėra galimybės įgyvendinti šiame Taisyklių punkte nurodytų priemonių, užtikrinančių Trečiųjų asmenų teisę į privatų gyvenimą, vaizdo duomenys duomenų subjektui neteikiami.

30. SBA turi teisę motyvuotai atsisakyti įgyvendinti duomenų subjekto teises esant Reglamento (ES) 2016/679 ar kituose teisės aktuose nustatytiems pagrindams.

 

VII SKYRIUS

SBA DARBUOTOJŲ, KITŲ ASMENŲ ATSAKOMYBĖ

31. SBA darbuotojai, duomenų tvarkytojo darbuotojai ar kiti asmenys, kurie yra įgalioti tvarkyti vaizdo duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, šiose Taisyklėse. Darbuotojai, pažeidę asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimus, Taisykles, atsako teisės aktų nustatyta tvarka. 

 

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

32.  Taisyklės skelbiamos SBA interneto svetainėje.

33. Už Taisyklių nuostatų laikymosi priežiūrą ir jų vykdymo kontrolę bei periodišką, ne retesnę nei kartą per 2 metus, Taisyklių peržiūrą yra atsakingas asmuo, kuris yra atsakingas už SBA Asmens duomenų tvarkymo taisyklių įgyvendinimą, jų vykdymo kontrolę ir duomenų apsaugą SBA.

34. Patvirtinus Taisykles, visi SBA darbuotojai su jomis supažindinami pasirašytinai. Priimtas naujas darbuotojas su Taisyklėmis privalo būti supažindintas pirmąją darbo dieną. Už supažindinimą su Taisyklėmis atsakingas įmonės personalo vadovas arba paskirtas personalo padalinio darbuotojas.

35. SBA nustatyta tvarka vykdo SBA darbuotojų mokymą ir, esant galimybėms, sudaro sąlygas SBA darbuotojų kvalifikacijai kelti asmens duomenų teisinės apsaugos srityje.

____________________