NØRDIKA - VAIZDO STEBĖJIMO, VAIZDO ĮRAŠŲ PRIEŽIŪROS IR PATEIKIMO TVARKOS APRAŠAS

I. BENDROSIOS NUOSTATOS

1. Šis Vaizdo stebėjimo, vaizdo įrašų priežiūros ir pateikimo tvarkos aprašas (toliau – Aprašas) reglamentuoja pranešimo apie vykdomą vaizdo stebėjimą pateikimo tvarką, vaizdo stebėjimo apimties, vaizdo įrašų priežiūros ir pateikimo tvarkas, prieigos teisių ir įgaliojimų tvarkyti asmens duomenis suteikimo, naikinimo ir keitimo tvarką, duomenų saugumo pažeidimų valdymo ir reagavimo į šiuos pažeidimus tvarką bei duomenų subjektų teisių įgyvendinimo ir prašymų nagrinėjimo tvarkas UAB „Nordika prekybos slėnis“ (toliau – NØRDIKA).

2. Vaizdo duomenų tvarkymo tikslas – NØRDIKOS patalpose ir teritorijoje yra vykdomas vaizdo stebėjimas siekiant užtikrinti NØRDIKOS darbuotojų, nuomininkų ir jų darbuotojų, klientų bei patalpų ir jose esančio turto bei dokumentų saugumą.

3. Aprašas parengtas vadovaujantis:

3.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ);
3.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 (toliau – BDAR);
3.3. Kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais saugų asmens duomenų valdymą ir jų tvarkymo teisėtumą.

4. Apraše vartojamos sąvokos:
4.1. Duomenų valdytojas – vaizdo stebėjimo priemonėmis gaunamų vaizdo duomenų valdytoja yra UAB „Nordika prekybos slėnis“, juridinio asmens kodas 303091887, buveinės adresas: - Vikingų g. 3, Vilnius.
4.2. Duomenų tvarkytojas – trečioji šalis Duomenų valdytojo vardu tvarkanti asmens duomenis.
4.3. Duomenų subjektas - reiškia fizinį asmenį, kurio asmens duomenis NØRDIKA tvarko.
4.4. Kitos šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos ADTAĮ ir kituose teisės aktuose.

II. VAIZDO STEBĖJIMO TVARKA IR APIMTIS

5. Už vaizdo stebėjimo sistemos priežiūrą NØRDIKOS teritorijoje ir patalpose atsakingas NØRDIKOS direktoriaus paskirtas asmuo (toliau – Atsakingas asmuo).

6. NØRDIKOS teritorijoje bei patalpose įrengtos 50 vaizdo stebėjimo kamerų. Vaizdo stebėjimas vykdomas:
6.1. Šioje teritorijoje: aplink pastato perimetrą (prie rampų), automobilių stovėjimo aikštelėse, adresu Vikingų g. 3, Vilnius.
6.2. Šiose patalpose: prekybos centro alėjose (koridoriuose), prie įėjimų į prekybos centrą, adresu Vikingų g. 3, Vilnius.

7. NØRDIKOS patalpose ir teritorijoje, kuriose vykdomas vaizdo stebėjimas, turi būti aiškiai ir tinkamai pateikiama ši informacija:
7.1. vaizdo stebėjimo ženklas su užrašu: „Teritorija stebima vaizdo kameromis“;
7.2. kontaktinė informacija: „UAB „Nordika prekybos slėnis“, įmonės kodas 303091887, Adresas Vikingų g. 3, Vilnius“;

8. Vaizdo stebėjimas vykdomas ne didesnėje NØRDIKOS patalpų ir teritorijos dalyje, negu tai yra būtina NØRDIKOJE dirbančių asmenų, klientų bei patalpų ir teritorijos bei jose esančio turto bei dokumentų saugumui užtikrinti.

9. Apie vaizdo stebėjimą patalpų viduje informuojama užrašais ant durų, patenkant į stebimas patalpas (t. y. patekus į stebėjimo lauką).

10. Draudžiama vykdyti vaizdo stebėjimą NØRDIKOS patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą (pvz., tualetuose ir pan.).

III. PRIEIGOS TEISIŲ IR ĮGALIOJIMŲ TVARKYTI ASMENS DUOMENIS SUTEIKIMO, NAIKINIMO IR KEITIMO TVARKA

11. Darbuotojai ir/ ar Duomenų tvarkytojai tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė.

12. Prieigos teisės prie asmens duomenų suteikiama tiems asmenims, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti.

13. Prieigos teisės asmeniui suteikiamos, keičiamos ir panaikinamos tik NØRDIKOS direktoriaus ar Atsakingo asmens įsakymu, kuriame turi būti nurodoma: asmens vardas, pavardė, pareigos ir kokios prieigos teisės turi būti suteiktos ar panaikintos.

14. Prieigos teisės asmeniui gali būti suteiktos pasirašytinai susipažinus su šiuo Aprašu ir informavus, kaip tinkamai laikytis asmens duomenų tvarkymo reikalavimų.

15. Darbo ar kitiems sutartiniams santykiams pasibaigus, asmeniui prieigos teisės panaikinamos.

IV. VAIZDO ĮRAŠŲ PRIEŽIŪROS TVARKA

16. Vaizdo duomenų skaitmeninėse laikmenose saugojimo laikas – nuo 14 iki 60 kalendorinių dienų.

17. Aprašo 8 punkte nurodyti atsakingi asmenys, pasibaigus vaizdo duomenų saugojimo terminui, užtikrina, kad vaizdo duomenys automatiniu būdu būtų užrašomi ant viršaus, taip ištrinant seniausio laikotarpio duomenis.

18. Atsakingas asmuo užtikrina, kad neįgalioti asmenys neturėtų galimybės prieiti prie tvarkomų asmens vaizdo duomenų: visi vaizdo stebėjimo valdymo įrenginiai užrakinti atskirose patalpose, gamintojo suteikti standartiniai prisijungimo vardai ir slaptažodžiai pakeisti. Patekti į patalpą, kurioje yra vaizdo stebėjimo valdymo įranga, turi teisę NØRDIKOS direktoriaus ar Atsakingo asmens įsakymu įgalioti už vaizdo stebėjimo sistemos priežiūrą atsakingi asmenys (toliau - Darbuotojai) ar paskirti Duomenų tvarkytojai.

V. DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA

19. Atsakingas asmuo ar kitas NØRDIKOS Darbuotojas pastebėjęs, kad tvarkomi asmens duomenys tapo prieinami (kėsinamasi prie jų prieiti) asmenų, kurie neturi teisės tvarkyti tvarkomų asmens duomenų, turi:
19.1. nedelsiant imtis visų įmanomų priemonių neteisėtai prieigai prie tvarkomų asmens duomenų nutraukti;
19.2. nedelsiant apie tai informuoti Atsakingą asmenį arba NØRDIKOS direktorių.

20. Jeigu paaiškėja, kad tvarkomi asmens duomenys tapo prieinami asmenims, kurie neturi teisės tvarkyti asmens duomenų, Darbuotojas ar duomenų tvarkytojas turi nedelsiant apie įvykį informuoti Atsakingą asmenį, kuris privalo užregistruoti įvykį „Saugumo incidentų registravimo žurnale“.

21. Praradus asmens duomenis dėl force majeure aplinkybių, asmuo (-enys), atsakingas(-i) už įrangos, kurioje saugomi ir tvarkomi asmens duomenys, priežiūrą ir techninį aptarnavimą, turi imtis priemonių, kad per kuo įmanomą trumpesnį laiką būtų atstatyti prarasti asmens duomenys, kai tai techniškai įmanoma.

VI. DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

22. Duomenų subjektai turi šias teises:
22.1. teisę žinoti (būti informuoti) apie savo asmens duomenų tvarkymą NØRDIKOJE;
22.2. teisę susipažinti su NØRDIKOJE tvarkomais savo asmens duomenimis ir kaip jie yra tvarkomi;
22.3. teisę reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi, nesilaikant ADTAĮ ir teisės aktų nuostatų;
22.4. teisę nesutikti, kad būtų tvarkomi jų asmens duomenys, kai šie asmens duomenys yra tvarkomi ADTAĮ 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais.

23. Aprašo 22.1 papunktyje numatyta duomenų subjektų teisė įgyvendinama, informaciją duomenų subjektams apie jų asmens duomenų tvarkymą pateikiant:
23.1. NØRDIKOS interneto svetainėje www.nordika.lt;
23.2. užklijuojant informacinio pobūdžio lipdukus apie vaizdo stebėjimo NØRDIKOS teritorijoje;
23.3. bendravimo su duomenų subjektu metu tokiu būdu, kokiu duomenų subjektas kreipiasi į UAB „Nordika prekybos slėnis“, išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi arba kai įstatymai ir kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus.

24. Duomenų subjektai, siekdami įgyvendinti savo teises, numatytas Aprašo 22.2–22.4 papunkčiuose, turi asmeniškai, paštu, per pasiuntinį ar el. paštu pateikti rašytinį prašymą (toliau Prašymas) NØRDIKAI.

25. Vadovaujantis ADTAĮ ir šiuo Aprašu duomenų subjektui turi būti suteikta teisė peržiūrėti vaizdo įrašus.

26. Duomenų subjekto Prašymu gali būti pateiktos vaizdo įrašo nuotraukos, pateiktas vaizdo įrašas duomenų subjekto (t.y. pareiškėjo) pateiktoje arba NØRDIKOS laikmenoje, jei toks įrašas yra išsaugotas.

27. Pateikdamas Prašymą, duomenų subjektas privalo patvirtinti savo tapatybę t.y. pateikti asmens tapatybę patvirtinantį dokumentą.  Jei prašymas pateikiamas paštu ar el. paštu – pateikti Lietuvos Respublikos teisės aktų nustatyta tvarka patvirtinto asmens tapatybės dokumento kopiją, jei prašymas įteikiamas per atstovą pateikti Lietuvos Respublikos teisės aktų nustatyta tvarka patvirtinto asmens tapatybės dokumento kopiją, pridedant ir atstovavimą patvirtinantį dokumentą (ar Lietuvos Respublikos teisės aktų nustatyta tvarka patvirtintą įgaliojimo kopiją).

28. Gavus duomenų subjekto Prašymą pateikti vaizdo įrašą ir nustačius, kad vaizdo įraše, be duomenų subjekto, užfiksuoti ir tretieji asmenys, duomenų valdytojas vaizdo įrašą pateikia duomenų tvarkytojo įgaliotam asmeniui, kuris naudodamas programinę įrangą, vaizdo įraše matomus trečiuosius asmenis nuasmenina (užtušuoja).

29. Vaizdo įrašus gali būti leidžiama peržiūrėti ir, esant būtinybei, perduoti teisėsaugos institucijoms. Tokiu vienkartinio teikimo atveju duomenų gavėjo Prašymas turi būti parengtas vadovaujantis Asmens duomenų teisinės apsaugos įstatymo 6 straipsniu.

30. Vaizdo įrašų peržiūra turi vykti uždaroje patalpoje. Peržiūroje turi teisę dalyvauti:
30.1. duomenų subjektas;
30.2. NØRDIKOS atsakingas darbuotojas ir/ar duomenų tvarkytojo atstovas;
30.3. teisėsaugos institucijų atstovai.

VII. INFORMACIJOS PERDAVIMAS

31. NØRDIKAI adresuoti prašymai dėl asmens duomenų tvarkymo turi būti siunčiami el. paštu info@nordika.lt arba adresu UAB „Nordika prekybos slėnis“, Vikingų g. 3, Vilnius.

VIII. DUOMENŲ SUBJEKTŲ PRAŠYMŲ NAGRINĖJIMO TVARKA

32. NØRDIKA, kaip asmens duomenų valdytojas, imasi visų reikalingų priemonių, kad duomenų subjektas galėtų įgyvendinti visas savo teises. Duomenų subjektas rašytiniu prašymu, pateikęs asmens tapatybę įrodantį dokumentą, turi teisę susipažinti su renkamais ir saugomais jo asmens duomenimis ir kaip šie duomenys yra tvarkomi. Asmens duomenys pateikiami ne vėliau kaip per 30 kalendorinių dienų nuo kreipimosi dienos. Už duomenų paiešką, laikantis Lietuvos Respublikos teisės aktų reikalavimų, gali būti nustatomas mokestis. 

33. Duomenų subjekto teisė reikalauti ištaisyti, sunaikinti ir sustabdyti savo asmens duomenų tvarkymo veiksmus realizuojama pateikus NØRDIKAI rašytinį prašymą paštu ar el. paštu, jei galima identifikuoti Duomenų subjektą. NØRDIKA, gavusi tokį prašymą, nedelsdama patikrina asmens duomenis ir duomenų subjekto prašymu, ne vėliau nei per 30 dienų nuo prašymo pateikimo dienos, ištaiso neteisingus, neišsamius, netikslius asmens duomenis.

34. Duomenų subjekto teisė perkelti tvarkomus asmens duomenis yra įgyvendinama jeigu asmens duomenys NØRDIKOJE yra tvarkomi automatizuotomis priemonėmis. Duomenų subjektui pateikus rašytinį prašymą, NØRDIKA, ne vėliau kaip per 30 dienų, pateikia duomenų subjektui asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, įrašydama juos į fizinę laikmeną arba elektroniniu paštu, atsižvelgiant į duomenų subjekto pageidavimą arba pateikia motyvuotą atsisakymą perkelti duomenis. Esant duomenų subjekto prašymui ir, kai tai techniškai įmanoma, NØRDIKA asmens duomenis tiesiogiai persiunčia kitam duomenų subjekto nurodytam duomenų valdytojui.

35. NØRDIKA nedelsdama, ne vėliau kaip per 5 darbo dienas, praneša duomenų subjektui apie jo prašymu atliktą ar neatliktą Asmens duomenų ištaisymą, sunaikinimą.

36. Prašymas gali būti netenkinamas įstatymų nustatytais atvejais, kai reikia užtikrinti:
36.1. valstybės saugumą ar gynybą;
36.2. viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą;
36.3. svarbius valstybės ekonominius ar finansinius interesus;
36.4. tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą;
36.5. duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą. 

37. NØRDIKA, atsisakydama tenkinti duomenų subjekto Prašymą įgyvendinti Aprašo 22.1-22.4 papunkčiuose nustatytas teises, duomenų subjektui pateikia tokio atsisakymo motyvus bei nurodo atsisakymo pateikti informaciją apskundimo tvarką.

38. Duomenų subjektas turi teisę skųsti NØRDIKOS veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai.

39. NØRDIKA, įgyvendindama duomenų subjekto teises, privalo užtikrinti, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.