Įmonė Grant Thornton Baltic UAB (toliau – „Grant Thornton“ arba „mes“) vertina privatumą ir asmens duomenų apsaugą ir laikosi šioje privatumo politikoje numatytų duomenų tvarkymo principų. Mes manome, kad labai svarbu užtikrinti asmens duomenų vientisumą ir konfidencialumą ir garantuojame, kad asmens duomenis tvarkomi teisėtai. Privatumo politikoje paaiškinta, kaip mes renkame ir naudojame asmens duomenis, įskaitant ir mūsų tinklalapį www.grantthornton.lt
1. Sąvokos ir apibrėžtys
1.1. Asmens duomenys – tai bet kokia informacija apie identifikuotą arba identifikuojamą fizinį asmenį („duomenų subjektą“); identifikuotas arba identifikuojamas fizinis asmuo yra asmuo, kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti, visų pirma, pagal identifikatorių, pavyzdžiui, vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių, arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
1.2. Asmens duomenų tvarkymas – tai bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išdava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
1.3. Duomenų valdytojas – tai fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Europos Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Europos Sąjungos arba valstybės narės teise.
1.4. Duomenų tvarkytojas – tai fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
1.5. Trečioji šalis – tai fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
1.6. Asmens duomenų saugumo pažeidimas – tai saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduoti, saugomi ar kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga.
1.7. Duomenų subjektas – asmuo, kurio duomenys tvarkomi (pvz., klientas, kuris yra fizinis asmuo, interneto svetainės naudotojas ar kliento, kuris yra juridinis asmuo, kontaktinis asmuo).
1.8. BDAR – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).
2. Principai
2.1. „Grant Thornton“ ir mūsų pasitelkiami asmens duomenų tvarkytojai tvarko asmens duomenis, laikydamiesi šių principų:
2.1.1. teisėtumo, nešališkumo ir skaidrumo – duomenų subjekto duomenys tvarkomi teisėtai, sąžiningai ir skaidriai;
2.1.2. tikslo ribojimo – asmens duomenys renkami nurodytais, aiškiai apibrėžtais ir teisėtais tikslais, ir toliau netvarkomi su šiais tikslais nesuderinamais būdais;
2.1.3. duomenų kiekio mažinimo – asmens duomenys yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
2.1.4. tikslumo – asmens duomenys yra tikslūs ir atnaujinti; mes taikome pagrįstas priemones, siekdami užtikrinti, kad netikslūs asmens duomenys būtų ištrinti ar ištaisyti;
2.1.5. saugojimo trukmės apribojimo – asmens duomenys turi būti saugomi tokia forma, kuri leidžia nustatyti duomenų subjektų tapatybę ne ilgiau, nei tai yra reikalinga tais tikslais, kuriais asmens duomenys yra tvarkomi, atsižvelgiant į taikytinus teisės aktus;
2.1.6. vientisumo ir konfidencialumo – asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
3. Duomenų tvarkymo saugumas
3.1. „Grant Thornton“ imasi būtinų ir atsižvelgiant į riziką tinkamų organizacinių, fizinių ir technologinių priemonių asmens duomenims apsaugoti. Šios priemonės apima darbuotojams taikomas taisykles ir procedūras, pagal kurias valdomi duomenys ir IT infrastruktūra, vidaus ir išorės tinklai ir apsaugoma visa įranga ir „Grant Thornton“ buveinė.
3.2. „Grant Thornton“ tinkamai apmoko bei teikia reikiama informaciją darbuotojams, kurie tvarko asmens duomenis.
3.3. „Grant Thornton“ gali pasitelkti duomenų tvarkytojus asmens duomenims tvarkyti ir mes užtikriname, kad visi mūsų duomenų tvarkytojai tvarko asmens duomenis pagal mūsų nurodymus, galiojančią teisę ir taiko visas tinkamas organizacines ir technologines apsaugos priemones.
4. Teisėtas tvarkymo pagrindas
4.1. „Grant Thornton“ asmens duomenis tvarko sutarties (įskaitant sutarties su klientais – duomenų valdytojais) sudarymui, įvykdymui užtikrinti, teisiniams įsipareigojimams vykdyti, dėl teisėto intereso arba duomenų subjekto sutikimo pagrindu.
4.1.1. Mes tvarkome asmens duomenis, siekdami užtikrinti sutarties vykdymą, kai yra sudaryta sutartis ir sutarties tikslo negalima pasiekti netvarkant asmens duomenų.
4.1.2. Teisiniai duomenų tvarkymo įsipareigojimai apima visų asmens duomenų tvarkymą pagal atitinkamus įstatymus ir teisės aktus, pavyzdžiui, LR Darbo kodeksą, LR Pinigų plovimo ir terorizmo finansavimo prevencijos įstatymą, LR Finansinių ataskaitų audito įstatymą, Buhalterinės apskaitos įstatymą, LR Akcinių bendrovių įstatymą, LR Civilinė kodeksą, kt.
4.1.3. Mes tvarkome asmens duomenis teisėto intereso pagrindu, siekdami pagerinti savo teikiamų paslaugų kokybę ir verslo vykdymo bei plėtros tikslais. Siekiame užtikrinti, kad mūsų teisėtas interesas nepažeidžia duomenų subjekto pagrindinių teisių ir laisvių.
4.1.4. Kai teisėtas pagrindas asmens duomenims tvarkyti yra sutikimas, mes tvarkome tik tuos konkrečius duomenis, dėl kurių duomenų subjektas davė sutikimą. Sutikimas duodamas laisvai, konkrečiai ir gavus atitinkamą informaciją. Duomenų subjektas gali bet kada atšaukti sutikimą, ir jis atšaukiamas taip pat lengvai, kaip ir buvo suteiktas.
5. Duomenų valdytojas arba duomenų tvarkytojas ir duomenų rinkimas
5.1. Įvairiose duomenų tvarkymo operacijose „Grant Thornton“ gali veikti kaip duomenų valdytojas arba tvarkytojas. Duomenų subjektų teisėms į privatumą užtikrinti „Grant Thornton“ laikosi konfidencialumo principo ir griežtai riboja asmens duomenų atskleidimą.
5.2. Tik įgalioti „Grant Thornton“ asmenys turi teisę keisti ir tvarkyti asmens duomenis.
5.3. „Grant Thornton“ tvarko asmens duomenis, kurie gauti iš duomenų subjekto (t. y., asmens, kuris pateikė asmens duomenis) tiesiogiai ar netiesiogiai (per verslo klientus).
6. Asmens duomenų rūšys
„Grant Thornton“, klientų, darbuotojų, atstovų, dalyvių, organų narių, trečiųjų asmenų, susijusių įmonių darbuotojų, atstovų, dalyvių, organų narių – fizinių asmenų ir juridinių asmenų atstovų, kurių duomenys būtini 7 p. nurodytų tikslų vykdymui, asmens duomenys:
6.1. Asmens tapatybės duomenys: vardas ir pavardė, asmens kodas (identifikavimo kodas) ir / ar gimimo data; ID kortelėje / pase esantys duomenys, parašas.
6.2. Kontaktiniai duomenys: el. pašto adresas, kontaktinis telefono numeris, pašto adresas (gyvenamoji vieta).
6.3. Kiti tiesiogiai ir / ar netiesiogiai gauti asmens duomenys, kuriuos mes tvarkome 7 p. nurodytiems tikslams įgyvendinti, pvz.: vaikų skaičius, šeiminė padėtis, darbo užmokestis, banko sąskaitos numeris, turtas, sveikatos būklė (būdinga, teikiant apskaitos paslaugas klientams).
6.4. Interneto duomenys: duomenys apie svetainės lankytojų seansus, slapukus, žurnalo duomenys ir IP adresai.
7. Asmens duomenų tvarkymo tikslai
7.1. Šios privatumo politikos 6 punkte nurodytų asmens duomenų tvarkymo tikslai yra:
7.1.1. teikti audito ir vidaus audito paslaugas pagal LR Finansinių ataskaitų audito įstatymą ir kitus susijusius teisės aktus;
7.1.2. teikti apskaitos paslaugas pagal LR Buhalterinės apskaitos įstatymą ir kitus teisės aktus bei taikomus standartus;
7.1.3. teikti konsultacijų (teisės, mokesčių, finansų) paslaugas pagal taikomus teisės aktus;
7.1.4. siūlyti mokestinių, teisinių, finansų ir kitokių verslo konsultacijų, apskaitos, audito paslaugas;
7.1.5. siųsti naujienlaiškius ir vykdyti klientų pasitenkinimo tyrimus (rinkodaros tikslais);
7.1.6. tvarkyti pirkimo ir pardavimo sąskaitas faktūras;
7.1.7. vykdyti pirkimus, užsakymus (prekių, paslaugų);
7.1.8. vykdyti vidaus administravimą (politikos, darbo sutartys, renginiai, kt.);
7.1.9. vykdyti įsipareigojimus pagal sutartis su partneriais;
7.1.10 vykdyti visus teisinius įsipareigojimus ir su jais susijusią veiklą.
8. Asmens duomenų saugojimas
8.1. „Grant Thornton“ saugo asmens duomenis tik tol, kol tai būtina pasiekti tikslą, dėl kurio asmens duomenys yra tvarkomi, išskyrus atvejus, kai taikytini teisės aktai nustato kitaip. Konkretūs dokumentų, juose esančių asmens duomenų saugojimo terminai nustatomi “Grant Thornton” vadovo patvirtintame dokumentacijos plane, kuris reguliariai atnaujinamas, atsižvelgiant į taikytinus teisės aktus bei “Grant Thornton” vidaus tvarką.
9. Trečiosios šalys ir duomenų tvarkytojai
9.1. Asmens duomenys gali būti perduoti tik tuo atveju, jei vykdomos BDAR V skyriuje ir kituose asmens duomenų apsaugą reglamentuojančiuose įstatymuose išdėstytos perdavimo į trečiąsias šalis ar tarptautinėms organizacijoms sąlygos, t.y. užtikrinama adekvatus perduodamų Asmens duomenų apsaugos lygis.
9.2. Neatsižvelgdama į prieigos apribojimus, „Grant Thornton“ pateikia asmens duomenis organizacijai ar asmeniui, kuris (-i) turi teisę pareikalauti duomenų pagal teisės aktus (pavyzdžiui, policijai, teismui, priežiūros institucijai ir pan.).
10. Duomenų subjekto teisės, informacija subjektui
10.1. Duomenų gavėjai/gavėjų kategorijos: IT, paslaugų teikėjai, valstybinės institucijos, partneriai.
10.2. Duomenų subjekto duomenų kilmės šaltinis: juridinis asmuo (pvz.: darbdavys, partneris, klientas), viešai prieinami informacijos šaltiniai (pvz.: internetinės svetainės, institucijų viešos duomenų bazės).
10.3. Duomenų subjekto asmens duomenims tvarkyti mes netaikome automatizuoto sprendimų priėmimo.
10.4. Duomenų subjektas turi teisę pateikti mums prašymą el. p. info@lt.gt.com dėl:
- informavimo ir susipažinimo su tvarkomais jūsų asmens duomenimis;
- jūsų asmens duomenų ištaisymo;
- jūsų asmens duomenų ištrynimo;
- jūsų asmens duomenų tvarkymo apribojimo;
- jūsų asmens duomenų pateikimo susistemintu, kompiuterio skaitomu formatu.
10.5. Duomenų subjekto teikiamuose prašymuose turi būti nurodoma: informacija, kuri leistų mums nustatyti jus kaip duomenų subjektą; prašomi atlikti veiksmai; asmens duomenys, kurių atžvilgiu prašoma atlikti šiuos veiksmus.
10.6. Mes išnagrinėsime Duomenų subjekto prašymą per 20 darbo dienų nuo jo gavimo ir informuosime apie veiksmus, kurių buvo imtasi, vykdant gautą prašymą.
10.7. Jūs (duomenų subjektas) būsite informuotas(-a) tokia forma, kokia buvo pateiktas prašymas. Jei manote, kad jūsų teisės, susijusios su mūsų atliekamu jūsų asmens duomenų tvarkymu, buvo pažeistos, turite teisę kreiptis į priežiūros instituciją - Valstybinę duomenų apsaugos inspekciją; įmonės kodas 188607912; adresas - A. Juozapavičiaus g. 6, 09310 Vilnius; tel. (8 5) 271 2804, 279 1445; faks. (8 5) 261 9494; el. paštas ada@ada.lt.
11. Asmens duomenų saugumo pažeidimas
11.1. Apie duomenų saugumo pažeidimus Valstybinei duomenų apsaugos inspekcijai privalo pranešti visi duomenų valdytojai tais atvejais, jei kyla didelis pavojus asmens duomenų saugumui.
11.2. Apie asmens duomenų saugumo pažeidimus privaloma pranešti LR Valstybinei duomenų apsaugos inspekcijai per 72 valandas.
Pranešime turi būti nurodoma:
- Duomenų saugumo pažeidimo pobūdis, duomenų subjektų kategorijos, apytikslis skaičius, asmens duomenų įrašų kategorijas ir apytikslis skaičius;
- Duomenų apsaugos pareigūno arba kito kontaktinio asmens, galinčio suteikti daugiau informacijos, vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;
- Aprašytos tikėtinos asmens duomenų saugumo pažeidimo pasekmės;
- Aprašytos priemonės, kurių ėmėsi arba pasiūlė imtis duomenų valdytojas, kad būtų pašalintas asmens duomenų saugumo pažeidimas;
- Kita informacija pagal taikytinus teisės aktus bei vidines Grant Thornton procedūras.
11.3. Apie asmens duomenų saugumo pažeidimus tais atvejais, kai kyla didelis pavojus asmens duomenų saugumui, Grant Thornton, būdamas asmens duomenų valdytoju, praneša asmens duomenų subjektui (kai tai technologiškai įmanoma) ir / ar kitam asmens duomenų valdytojui (pvz.: juridiniam asmeniui, kuris, veikdamas kaip valdytojas, teisėtu pagrindu perdavė asmens duomenis Grant Thornton, kuris taip pat veikia kaip asmens duomenų valdytojas). Pranešime nurodoma 11.2 nurodyta informacija. Pranešimas subjektui išsiunčiamas elektroninėmis priemonėmis per 48 val. nuo saugumo pažeidimo, bet ne vėliau kaip iki termino, nurodyto 11.2 punkte.
11.4. Apie asmens duomenų saugumo pažeidimus tais atvejais, kai kyla didelis pavojus asmens duomenų saugumui, Grant Thornton, būdamas asmens duomenų tvarkytoju, praneša asmens duomenų valdytojui, perdavusiam tuos asmens duomenis. Pranešime nurodoma 11.2 nurodyta informacija. Pranešimas subjektui išsiunčiamas elektroninėmis priemonėmis per 48 val. nuo saugumo pažeidimo, bet ne vėliau kaip iki termino, nurodyto 11.2 punkte, arba išsiunčiamas pagal asmens duomenų valdytojo mums pateiktas rašytines instrukcijas (asmens duomenų tvarkymo sutartis).
12. Slapukai
12.1. „Grant Thornton Baltic“ UAB administruojamoje interneto svetainėje www.grantthornton.lt naudojami slapukai, siekiant pagerinti naudotojo patirtį interneto svetainėje ir suteikti galimybę sklandžiau ją naudoti.
12.2. Slapukas – tai mažas tekstinis failas, kurį interneto naršyklė automatiškai išsaugo naudotojo įrenginyje.
12.3. Mes naudojame slapukus nuasmenintiems ir apibendrintiems statistikos duomenims apie svetainės lankytojų skaičių ir informacijai apie svetainės naudojimą rinkti, siekdami padaryti savo svetainę patogesnę.
12.4. Įrenginyje galima atsisakyti slapukų arba juos blokuoti, tačiau tai gali reikšti, kad svetainė gali veikti netinkamai, ir visos paslaugos gali tapti nepasiekiamos. Norėdami atsisakyti slapukų arba juos blokuoti, turite pakeisti savo naršyklės nustatymus.
13. Privatumo politikos pakeitimai
13.1. „Grant Thornton“ svarbus asmens privatumas, todėl mes reguliariai atnaujiname šią privatumo politiką. „Grant Thornton“ interneto svetainėje visada skelbiama naujausia šios privatumo politikos versija.
14. Kitos nuostatos
14.1. Atsakomybė už asmens duomenų tvarkymo pažeidimus kyla įstatymų numatyta tvarka. Kiekviena šalis yra atsakinga už žalą, kuri kilo dėl jos neteisėtų veiksmų.
14.2. Visi šalių ginčai sprendžiami derybų būdu. Nepavykus išspręsti ginčo derybų būdu, ginčai sprendžiami LR įstatymų numatyta tvarka Lietuvos Respublikos teismuose.
14.3. Kai „Grant Thornton“ veikia kaip asmens duomenų valdytojas, vadovaujamasi šia politika, vidaus dokumentacija bei taikytinais teisės aktais. Kai „Grant Thornton“ veikia kaip asmens duomenų tvarkytojas (pvz.: teikia apskaitos, konsultacijų paslaugas klientui šio užsakymu), vadovaujamasi asmens duomenų valdytojo (kliento) pateiktomis rašytinėmis instrukcijomis, kurios neprieštarauja mums taikomiems teisės aktams bei vidaus procedūroms.
15. Kontaktinė informacija
15.1. Jei iškils klausimų ar pasiūlymų, susijusių su asmens duomenų tvarkymu, kreipkitės į duomenų valdytoją nurodytais kontaktiniais duomenimis:
Grant Thornton Baltic UAB
Upės g. 21-1
Vilnius, LT-08128
info@lt.gt.com
