Asmens duomenų apsauga

I. BENDROSIOS NUOSTATOS IR SĄVOKOS

1. Klientų asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) nustato bendruosius Gyvybės draudimo UAB „SB draudimas“ (toliau – Bendrovė) klientų asmens duomenų tvarkymo principus.

2. Taisyklėse naudojamos šios pagrindinės sąvokos:

2.1 Duomenų valdytojas – juridinis asmuo, kuris nustato asmens duomenų tvarkymo tikslus ir priemones (Bendrovė). Bendrovės, kaip duomenų valdytojo, kontaktai pateikiami šių Taisyklių 25 punkte.
2.2 Klientas (duomenų subjektas) – tai fizinis asmuo, kuris naudojasi, naudojosi, išreiškė ketinimą naudotis Bendrovės teikiamomis gyvybės draudimo paslaugomis arba kitaip yra susijęs su Bendrovės teikiamomis paslaugomis.
2.3 Bendrasis duomenų apsaugos reglamentas – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis asmens duomenų reglamentas).
2.4 Asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu (duomenų subjektu), kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant turimais duomenimis.
2.5 Duomenų tvarkymas – bet kurie su asmens duomenimis atliekami veiksmai, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, saugojimas, keitimas, naudojimas, platinimas, ištrynimas, sunaikinimas ar kiti veiksmai.
2.6 Sutikimas – bet koks duomenų subjekto laisva valia duotas konkretus pareiškimas, kuriuo duomenų subjektas sutinka, kad jo asmens duomenys būtų tvarkomi konkrečiu tikslu.
2.7 kitos šiose Taisyklėse naudojamos sąvokos atitinka sąvokas, apibrėžtas asmens duomenų apsaugą reglamentuojančiuose teisės aktuose (Bendrajame asmens duomenų apsaugos reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose).

3. Taisyklėse nurodoma, kokius asmens duomenis ir kokiais tikslais Bendrovė renka, naudoja, su kuo turimais duomenimis dalijasi, kokias teises klientas turi ir kaip jomis gali pasinaudoti.

4. Bendrovė yra paskyrusi asmens duomenų apsaugos pareigūną, į kurį klientas gali kreiptis su asmens duomenų tvarkymu susijusiais klausimais. Bendrovės asmens duomenų apsaugos pareigūno kontaktai yra nurodyti šių Taisyklių 26 punkte.

 

II. BENDRIEJI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
5. Bendrovė, tvarkydama klientų asmens duomenis, vadovaujasi Bendruoju duomenų apsaugos reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu bei kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir apsaugą.

6. Bendrovė, tvarkydama klientų asmens duomenis, įsipareigoja gerbti bei saugoti kiekvieno duomenų subjekto privatumą ir jo asmens duomenis.

7. Bendrovė užtikrina asmens duomenų konfidencialumą pagal galiojančių teisės aktų reikalavimus ir tinkamų techninių ir organizacinių priemonių, skirtų apsaugoti asmens duomenis nuo neteisėtos prieigos, atskleidimo, atsitiktinio praradimo, pakeitimo ar sunaikinimo, ar kitokio neteisėto tvarkymo, įgyvendinimą.

8. Siekdama užtikrinti tinkamą paslaugų teikimą klientui, Bendrovė asmens duomenų tvarkymui gali pasitelkti duomenų tvarkytojus. Tokiais atvejais Bendrovė imasi reikiamų priemonių siekdama užtikrinti, kad tokie duomenų tvarkytojai asmens duomenis tvarkytų, laikydamiesi Bendrovės nurodymų ir galiojančių teisės aktų bei reikalauja įgyvendinti tinkamas asmens duomenų saugumo priemones.

 

III. ASMENS DUOMENYS, ASMENS DUOMENŲ TVARKYMO TIKSLAI IR TEISINIAI TVARKYMO PAGRINDAI

9. Bendrovė, priklausomai nuo draudimo produkto, renka ir tvarko įvairių rūšių klientų asmens duomenis. Visais atvejais Bendrovė nerenka perteklinių asmens duomenų, kurie būtų nesuderinami su duomenų minimizavimo principu. Žemiau pateikiamos pagrindinės Bendrovės tvarkomų asmens duomenų kategorijos:

9.1 Asmens duomenys, tiesiogiai susiję su asmens tapatybe, tokie kaip vardas, pavardė, asmens kodas, gimimo data.
9.2 Kontaktiniai duomenys, tokie kaip adresas, elektroninio pašto adresas, telefono numeris.
9.3 Finansiniai duomenys, tokie kaip banko sąskaitos numeris, mokėjimo informacija, įsiskolinimai.
9.4 Duomenys apie kitus draudimo santykių dalyvius: naudos gavėjus, apdraustuosius asmenis.
9.5 Duomenys apie kliento pomėgius.
9.6 Duomenys, susiję su paslaugų teikimu, tokie kaip duomenys apie sutarčių vykdymą arba nevykdymą, galiojančias arba baigusias galioti draudimo sutartis, pateiktus prašymus ir skundus.
9.7 Specialiųjų kategorijų asmens duomenys – duomenys apie sveikatą.

10. Bendrovė tvarko klientų asmens duomenis tik remdamasi asmens duomenų apsaugą reglamentuojančiuose teisės aktuose apibrėžtais teisiniais pagrindais:

10.1. Sutarties sudarymas ir (ar) vykdymas (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies b punktas).
10.2. Teisinių prievolių vykdymas, kai tvarkyti asmens duomenis Bendrovę įpareigoja teisės aktai, pavyzdžiui, teisės aktų nustatyti reikalavimai, susiję su kliento ir naudos gavėjo tapatybės nustatymu, ir pan. (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies c punktas). Kliento sutikimas tvarkyti jo asmens duomenis vienu ar keliais konkrečiais tikslais, pavyzdžiui, tiesioginės rinkodaros tikslais (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies a punktas, 9 straipsnio 2 dalies a punktas).
10.3. Bendrovės teisėtų interesų įgyvendinimas (tik jei kliento, kaip duomenų subjekto, interesai nėra svarbesni) (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies f punktas, 9 straipsnio 2 dalies f punktas).

11. Bendrovė kliento asmens duomenis tvarko tik tiek, kiek tai reikalinga atitinkamiems aiškiai apibrėžtiems tikslams pasiekti. Bendrovė kliento asmens duomenis tvarko šiais tikslais:

11.1. Gyvybės draudimo sutarčių sudarymas ir (ar) vykdymas. Šis asmens duomenų tvarkymo tikslas apima visus asmens duomenų tvarkymo veiksmus, reikalingus gyvybės draudimo sutarčiai sudaryti ir (ar) vykdyti: draudimo rizikos vertinimas, kliento pateiktos informacijos ar duomenų patikrinimas, draudimo sutarties administravimas, draudžiamųjų įvykių tyrimas ir kt., informacijos apie draudimo sutartį pateikimas klientui internetinėje aplinkoje (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies b, c punktai, 9 straipsnio 2 dalies a, f punktai).
11.2. Teisinių prievolių vykdymas, asmens tapatybės nustatymas. Šis asmens duomenų tvarkymo tikslas apima visus asmens duomenų tvarkymo veiksmus, vykdant teisės aktuose numatytas pareigas, įgyvendinant principą „Pažink savo klientą“, atnaujinant duomenis apie klientą, vykdant pinigų plovimo ir teroristų finansavimo prevenciją ir pan. (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies b, c, f punktai, 9 straipsnio 2 dalies a punktas).
11.3. Tiesioginė rinkodara. Šis asmens duomenų tvarkymo tikslas apima visus asmens duomenų tvarkymo veiksmus, teikiant klientui pasiūlymus, informaciją apie akcijas ir pan. (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies a, f punktai, Lietuvos Respublikos elektroninių ryšių įstatymo 69 straipsnio 1 ir 2 dalys).
11.4. Bendrovė kliento asmens duomenis tiesioginės rinkodaros tikslais gali tvarkyti tik gavusi kliento (duomenų subjekto) sutikimą.
11.5. Bendrovės teisinių interesų gynimas. Šis asmens duomenų tvarkymo tikslas apima visus asmens duomenų tvarkymo veiksmus, ginant pažeistus Bendrovės interesus teisminėse ir neteisminėse institucijose, arbitraže (Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies c, f punktai, 9 straipsnio 2 dalies a ir f punktai).

 

IV. ASMENS DUOMENŲ GAVĖJAI

13. Bendrovė tvarko kliento asmens duomenis saugiai ir neperduoda jų jokiems asmenims, neturintiems teisės jų gauti. Bendrovė kliento asmens duomenis gali teikti žemiau nurodytiems asmens duomenų gavėjams, kurie yra:

13.1. Kompetentingos valstybės įstaigos ir institucijos. Asmens duomenys gali būti teikiami atsakant į valstybės įstaigų ir institucijų, pavyzdžiui, teismo, notarų, mokesčių administratoriaus, policijos, prokuratūros, Bendrovės veiklą prižiūrinčių institucijų (Lietuvos banko, Valstybinės duomenų apsaugos inspekcijos, Finansinių nusikaltimų tyrimo tarnybai ir kt.), paklausimus, prašymus, tačiau tik ta apimtimi, kiek tai būtina siekiant tinkamai laikytis teisės aktų reikalavimų, arba Bendrovės iniciatyva kreipiantis į valstybės institucijas ir įstaigas (policijos įstaigas, sveikatos priežiūros įstaigas ir kt.), kai Bendrovė turi įtarimų dėl nusikalstamos veikos padarymo ar jai reikalinga informacija, susijusi su gyvybės draudimo sutarčių sudarymu, vykdymu, draudžiamųjų įvykių ar įvykių, kurie gali būti pripažinti draudžiamaisiais, nustatymo tikslais.
13.2. Kita šalis: informacija (asmens duomenys) gali būti suteikta kitoms šalims kliento prašymu (sutikimu).
13.3. AB Šiaulių bankas: informacijos apie kliento sudarytą draudimo sutartį pateikimo klientui SB linijoje administravimo tikslais.
13.4. Duomenų tvarkytojai, kurie teikia Bendrovei paslaugas ir tvarko klientų duomenis duomenų valdytojo, t. y. Bendrovės, vardu. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Bendrovės nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai vykdyti sutartyje nustatytus įsipareigojimus. Bendrovės asmens duomenų tvarkytojais gali būti:
13.4.1. draudimo tarpininkai (agentai), kurie duomenis tvarko, kad galėtų sudaryti ir administruoti gyvybės draudimo sutartis su klientais;
13.4.2. informacinių technologijų bendrovės, kurios duomenis tvarko, kad užtikrintų informacinių sistemų kūrimą, tobulinimą, apsaugą ir palaikymą;
13.4.3. perdraudimo bendrovės, kurios duomenis tvarko, kad perdraustų Bendrovės apdraustas draudimo rizikas;
13.4.4. kiti asmenys, susiję su Bendrovės paslaugų teikimu, pavyzdžiui, archyvavimo, pašto paslaugų teikėjai, sveikatos priežiūros įstaigos, e-sąskaitos teikimo paslaugos teikėjai bei bankai, per kuriuos klientams yra teikiamos e-sąskaitos ir kt.).
13.5. Auditoriams Bendrovės veiklos patikrinimo tikslais.
13.6. Kiti paslaugų teikėjai, dėl kurių teikiamų paslaugų yra gautas sutikimas tiesioginės rinkodaros tikslais.

 

V. GEOGRAFINĖ TVARKYMO TERITORIJA
14. Asmens duomenys tvarkomi Europos Sąjungos / Europos ekonominės erdvės teritorijoje, tačiau kai tai yra būtina draudimo sutarties ar teisės aktų reikalavimų vykdymui, jie gali būti perduodami ir tvarkomi už Europos Sąjungos / Europos ekonominės erdvės ribų.

15. Jei Bendrovė perduotų ir tvarkytų duomenis už Europos Sąjungos / Europos ekonominės erdvės ribų, Bendrovė įsipareigoja užtikrinti pakankamą asmens duomenų apsaugos lygį pagal teisės aktų reikalavimus.

 

VI. ASMENS DUOMENŲ TVARKYMO SAUGUMAS

16. Bendrovė įgyvendina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo:

16.1. infrastruktūrines priemones (tinkamas patalpų išdėstymas, tinkamas techninės įrangos išdėstymas ir priežiūra, griežtas priešgaisrinės saugos normų laikymasis ir kt.);
16.2. administracines priemones (tinkamas darbo organizavimas, darbo aplinkos analizavimas, darbuotojų informavimas, teisės aktų analizė, vidaus dokumentų rengimas / keitimas ir kt.);
16.3. telekomunikacines priemones (informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas, nuolat veikianti ir periodiškai atnaujinama antivirusinė programa, slaptažodžių naudojimas ir kt.).

17. Bendrovės darbuotojai ir Bendrovės pasitelkti duomenų tvarkytojai, pavyzdžiui, draudimo tarpininkai, turintys prieigą prie kliento asmens duomenų dėl savo darbo funkcijų vykdymo, yra įsipareigoję užtikrinti konfidencialumą ir laikyti paslaptyje bet kokią su klientų asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, užtikrinti tvarkomų asmens duomenų saugumą, neperduoti jų tretiesiems asmenims, išskyrus atvejus, kai tokią teisę jiems suteikia ar juos įpareigoja teisės aktai ar kitais šiose Taisyklėse nurodytais tikslais ir pagrindais.

 

VII. KLIENTŲ ASMENS DUOMENŲ SAUGOJIMO LAIKOTARPIS

18. Bendrovės surinkti asmens duomenys saugomi spausdintuose dokumentuose ir Bendrovės informacinėse sistemose bei AB Šiaulių bankas administruojamoje SB linijos duomenų bazėje. Teisės aktuose gali būti nustatyti skirtingi asmens duomenų saugojimo terminai. Bendrovė nesaugo jokios asmeninės informacijos ilgiau, nei tai yra reikalinga vadovaujantis teisės aktais ar šiose Taisyklėse nurodytais asmens duomenų tvarkymo tikslais. Tuo atveju, jeigu klientas nutraukia dalykinius santykius su Bendrove, Bendrovė vis tiek toliau saugo kliento asmens duomenis dėl galimų teisinių reikalavimų atsiradimo. Be to, Bendrovė saugo kliento asmens duomenis, kad galėtų atsakyti į kliento klausimus arba pateikti reikiamą informaciją dėl kliento ir Bendrovės bendradarbiavimo.
19. Paprastai asmens duomenys Bendrovėje yra saugomi 10 (dešimt) metų nuo dalykinių santykių su klientu, pavyzdžiui, draudimo sutarties pasibaigimo ar nutraukimo dienos, pabaigos, išskyrus atvejus, kai teisės aktai ar Bendrovės vidaus dokumentai nustato kitokius saugojimo terminus. Pasibaigus saugojimo terminui, Bendrovė kliento duomenis sunaikina.

 

VIII. KLIENTO, KAIP DUOMENŲ SUBJEKTO, TEISĖS

20. Klientas turi šias teisės aktais garantuojamas duomenų subjekto (kliento) teises, susijusias su jo asmens duomenų tvarkymu:

20.1. teisę susipažinti su tvarkomais jo asmens duomenimis. Klientas gali prašyti patvirtinimo, ar Bendrovė tvarko su klientu susijusius asmens duomenis, ar ne. Jeigu Bendrovė tvarko kliento duomenis, klientas turi teisę gauti informaciją iš Bendrovės apie jo tvarkomus  asmens duomenis, pavyzdžiui, kokius kliento asmens duomenis ir kokiais tikslais Bendrovė tvarko, kokiems duomenų gavėjams Bendrovė teikė jo duomenis, koks jo asmens duomenų saugojimo laikotarpis bei kitą informaciją, susijusią su kliento tvarkomais asmens duomenimis;
20.2. teisę reikalauti ištaisyti jo asmens duomenis, jeigu jie yra neteisingi ar netikslūs, arba reikalauti papildyti jo asmens duomenis, jeigu jie yra neišsamūs;
20.3. teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, jeigu asmens duomenų tvarkymo pagrindas yra teisėti interesai, jeigu teisėtas interesas nėra viršesnis. Taip pat bet kuriuo metu galite nesutikti, kad duomenys būtų tvarkomi tiesioginės rinkodaros tikslais;
20.4. teisę reikalauti ištrinti jo asmens duomenis („teisė būti pamirštam“). Šia teise klientas gali pasinaudoti, jei tvarkomi asmens duomenys yra pertekliniai arba tvarkomi neteisėtai. Ši teisė netaikoma, jei asmens duomenys, kuriuos prašoma ištrinti, yra tvarkomi ir kitu. teisiniu pagrindu, tokiu kaip duomenų tvarkymas būtinas sutarties vykdymui arba yra pareigos pagal taikomus teisės aktus vykdymas;
20.5. teisę apriboti jo asmens duomenų tvarkymą pagal taikomus teisės aktus, kol Bendrovė patikrins kliento asmens duomenų tvarkymo teisėtumą, pavyzdžiui, laikotarpiui, per kurį Bendrovė įvertins, ar klientas turi teisę prašyti, kad jo asmens duomenys būtų ištrinti;
20.6. teisę gauti jo paties pateiktus asmens duomenis raštu ar bendrai naudojama elektronine forma ir, jei techniškai tokia galimybė įgyvendinama, perduoti tokius duomenis kitam paslaugų teikėjui (duomenų perkeliamumas). Teisė į duomenų perkeliamumą yra taikoma, jei duomenys tvarkomi sutarties sudarymo ar sutikimo pagrindu ir tas tvarkymas yra automatizuotas;
20.7. teisę atšaukti savo sutikimą tvarkyti asmens duomenis, jei duomenų tvarkymo teisinis pagrindas yra sutikimas. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui;
20.8. teisę pateikti skundą dėl asmens duomenų tvarkymo Valstybinei duomenų apsaugos inspekcijai (L. Sapiegos g. 17, Vilnius, LT-10312), kurios interneto svetainės adresas yra www.vdai.lrv.lt, jeigu klientas mano, kad Bendrovė neteisėtai tvarko (tvarkė) jo asmens duomenis arba, jeigu klientas mano, kad jo asmens duomenys tvarkomi pažeidžiant jo teises ir teisėtus interesus pagal taikomus teisės aktus.

21. Prašymus ar skundus dėl aukščiau nurodytų teisių įgyvendinimo klientas gali pateikti Bendrovės duomenų apsaugos pareigūnui šių Taisyklių 26 punkte nurodytais kontaktais.

22. Klientui pateikus prašymą pasinaudoti aukščiau nurodytomis teisėmis, Bendrovė gali paprašyti kliento tapatybės įrodymo – pateikti asmens tapatybę patvirtinantį dokumentą arba patvirtinti jo asmens tapatybę elektroninių ryšių priemonėmis, kurios leidžia klientą tinkamai identifikuoti.

23. Bendrovė atsakymą į kliento prašymą turi pateikti ne vėliau kaip per 30 (trisdešimt) kalendorinių dienų nuo kliento prašymo gavimo dienos. Išskirtiniais atvejais, kai atsakymui pateikti šio termino nepakanka, Bendrovė, informavusi klientą, turi teisę pratęsti kliento prašyme nurodytų reikalavimų nagrinėjimo ir atsakymo pateikimo terminą dar 2 (dviem) mėnesiams.
24. Bendrovėje prašymai nagrinėjami nemokamai. Tačiau jei klientas prašymus teiks nuolat, prašymai bus akivaizdžiai nepagrįsti arba neproporcingi, Bendrovė turi teisę paprašyti sumokėti pagrįstą mokestį už prašymo nagrinėjimą, atsižvelgiant į Bendrovės informacijos teikimo ar veiksmų, kuriuos klientas prašo atlikti, administracines išlaidas, arba atsisakyti imtis veiksmų pagal kliento prašymą.

 

IV. KONTAKTINĖ INFORMACIJA
25. Bendrovės (duomenų valdytojo) kontaktiniai duomenys:

• adresas: Laisvės pr. 3, 04215 Vilnius;
• el. paštas: info@sbdraudimas.lt;
• telefonas (8 5) 236 27 23;
• interneto svetainė: www.sbdraudimas.lt.

26. Klientas prašymus ir skundus, bei klausimus, susijusius su jo asmens duomenų tvarkymu, gali pateikti / kreiptis į Bendrovės duomenų apsaugos pareigūną elektroniniu paštu dapsauga@sbdraudimas.lt arba paštu adresu Laisvės pr. 3, 04215 Vilnius.

 

X. KLIENTŲ ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ GALIOJIMAS IR PAKEITIMAI

27. Klientai su šiomis Taisyklėmis gali susipažinti Bendrovės klientų aptarnavimo padaliniuose ir interneto svetainėje www.sbdraudimas.lt.

28. Bendrovė turi teisę bet kuriuo metu vienašališkai pakeisti šias Taisykles, informuodama klientus apie pakeitimus paskelbdama juos Bendrovės interneto svetainėje www.sbdraudimas.lt, taip pat pateikdama Bendrovės klientų aptarnavimo padaliniuose.