UAB SPARK Lithuania
PRIVATUMO POLITIKA
Vilnius
2024
UAB SPARK LITHUANIA
ASMENS DUOMENŲ TVARKYMO POLITIKA
|
|
|||
1. PAGRINDINĖS ŠIOS POLITIKOS SĄVOKOS
1.1. Atsakingas darbuotojas – Duomenų valdytojo Darbuotojas, kuris pagal jo darbo pobūdį turi teisę vykdyti konkrečias su Duomenų tvarkymu susijusias funkcijas. 1.2. BDAR – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas). 1.3. Darbuotojas reiškia asmenį, kuris su Duomenų valdytoju yra sudaręs darbo arba panašaus pobūdžio sutartį. 1.4. Duomenys/Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (Duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius. 1.5. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami Asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. 1.6. Duomenų subjektas – Duomenų valdytojo Klientas arba bet koks kitas asmuo, kurio Asmens duomenis tvarko Duomenų valdytojas. 1.7. Duomenų tvarkymas reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su Asmens duomenimis, tokius kaip: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas. 1.8. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Duomenų valdytojo vardu tvarko Asmens duomenis. 1.9. Duomenų valdytojas ar SPARK – UAB SPARK Lithuania, juridinio asmens kodas 304136890, registracijos adresas Aukštaičių g. 7, Vilnius. 1.10. Klientas – asmuo, kuris naudojasi Duomenų valdytojo teikiamomis paslaugomis arba anksčiau jomis naudojosi. 1.11. Mobilumo stebėjimas reiškia GPS signalu gautų duomenų apie Klientų, besinaudojančių Duomenų valdytojui priklausančiomis autotransporto priemonėmis, rinkimą ir tvarkymą nepaisant to, ar šie duomenys yra išsaugomi laikmenoje. 1.12. Mobilioji aplikacija – tai SPARK valdoma elektromobilių paieškos, rezervavimo, naudojimo, apmokėjimo bei kitų paslaugų teikimo platforma išmaniajame telefone. Mobiliąją programą galima atsisiųsti nemokamai iš App Store ar Google Play internetinių platformų. 1.13. Politika reiškia šią Asmens duomenų tvarkymo Politiką. 1.14. P2P platforma – Mobiliosios programos ir elektromobilyje įmontuotos telemetrijos įrangos bendra sistema, kurioje teikiamos SPARK tarpininkavimo paslaugos ir kurioje elektromobilio valdytojas registruoja savo elektromobilį(-ius). 1.15. SPARK Partneris – kitas nei SPARK elektromobilio valdytojas per P2P Platformą teikiantis elektromobilio naudojimosi paslaugą. 1.16. P2P paslaugos – SPARK tarpininkavimo paslaugos, teikiamos SPARK Partneriams per P2P platformą. 1.17. Kitos Politikoje vartojamos sąvokos atitinka BDAR, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ) ir Lietuvos Respublikos elektroninių ryšių įstatyme (toliau – ERĮ) vartojamas sąvokas.
|
|
|||
|
||||
|
||||
|
||||
|
||||
2. BENDROSIOS NUOSTATOS
2.1. Duomenų valdytojas renka tam tikrus Asmens duomenis administravimo tikslais, vykdyti savo verslą ir įgyvendinti teisines pareigas. 2.2. Ši Politika reglamentuoja Duomenų valdytojo valdomo tinklapio www.spark.lt (toliau – Interneto svetainė) ir Mobiliosios aplikacijos naudotojo (Kliento) pagrindinius Asmens duomenų rinkimo, tvarkymo ir saugojimo principus bei tvarką. Prieš pradėdami naudotis Interneto svetaine ir/ar Mobiliąja aplikacija, Jūs privalote atidžiai perskaityti ir susipažinti su šia Politika. Naudodamiesi Duomenų valdytojo teikiamomis paslaugomis, Jūs patvirtinate, kad sutinkate laikytis šios Politikos. 2.3. Duomenų subjektas neturi teisės naudotis Interneto svetaine ir/ar Mobiliąja aplikacija, jeigu jis nėra susipažinęs su Politika ir (ar) su ja nesutinka. Tais atvejais, kai Duomenų subjektas nesutinka su Politika arba tam tikra jos dalimi, jis privalo nesinaudoti Interneto svetaine ir Mobiliąja aplikacija. Priešingu atveju, laikoma, jog Klientas susipažino ir besąlygiškai sutiko su Politika. 2.4. Duomenų valdytojas gerbia Duomenų subjektų privatumą. Ši Politika paaiškina priimtiną praktiką dėl privatumo mūsų bendrovėje. Ji paaiškina, kokiais būdais Jūsų Asmens duomenys yra surenkami ir naudojami bei teises, kurias Jūs turite 2.5. Naudojantis trečiųjų šalių paslaugomis, pavyzdžiui, tokiomis kaip socialinio tinklo „Facebook“ paslaugomis, gali būti taikomos trečiųjų šalių sąlygos. Pavyzdžiui, „Facebook“ visiems savo naudotojams ir lankytojams taiko Duomenų politiką. Todėl naudojantis tokių trečiųjų šalių paslaugomis rekomenduojama susipažinti su jų taikomomis sąlygomis. 2.6. Duomenų valdytojas užtikrina, kad jis atitinka šiuos esminius duomenų apsaugos principus: 2.6.1. Asmens duomenys turi būti Duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas); 2.6.2. Asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis Duomenų tvarkymas archyvavimo tikslais, viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais, arba statistiniais tikslais, nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas); 2.6.3. Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas); 2.6.4. Asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad Asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas); 2.6.5. Asmens duomenys turi būti laikomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais Asmens duomenys yra tvarkomi; Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu Asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal BDAR 89 straipsnio 1 dalį, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama šiuo reglamentu siekiant apsaugoti Duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas); 2.6.6. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo Duomenų tvarkymo be leidimo arba neteisėto Duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas). 2.6.7. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi aukščiau nurodytų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi (atskaitomybės principas). 2.7. Duomenys tvarkomi tinkamai informavus Duomenų subjektus. 2.8. Duomenys saugomi laikotarpius, nurodytus šioje Politikoje kiekvienam Asmens duomenų tipui. Saugojimas atliekamas pagal procedūras, numatytas Politikos 6 skyriuje. 2.9. Duomenų tvarkytojo prieigos teisės prie Duomenų naikinamos nutraukus Asmens duomenų tvarkymo sutartį, sudarytą su Duomenų valdytoju, ar šiai sutarčiai nustojus galioti. 2.10. Duomenys perduodami Duomenų tvarkytojams ir Duomenų gavėjams, kai teisę ir (ar) pareigą tai daryti atitinkamais pagrindais suteikia teisės aktai. 2.11. Asmens duomenys Duomenų valdytojo gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais.
|
|
|||
|
||||
|
||||
|
||||
3. KLIENTŲ DUOMENŲ TVARKYMAS ELEKTROMOBILIŲ DALIJIMOSI PASLAUGOS TEIKIMO TIKSLU
3.1. Duomenų valdytojas savo Klientams teikia elektromobilių dalijimosi paslaugą, kurios suteikimui tvarko tokias Klientų Duomenų grupes: |
|
|||
|
||||
3.1.1. Vardas; 3.1.2. Pavardė; 3.1.3. Asmens kodas; 3.1.4. Gyvenamoji vieta (adresas); 3.1.5. El. pašto adresas; 3.1.6. Telefono numeris; 3.1.7. Vairuotojo pažymėjimo pirmosios pusės nuotrauka, numeris, išdavimo data ir vieta, galiojimas (taikoma tais atvejais, kai sutartis sudaroma nuotoliniu būdu); 3.1.8. Tam tikri duomenys apie Kliento naudojamas mokėjimo korteles, gaunami iš kortelių aptarnavimo paslaugą teikiančios įmonės (kortelės tipas, dalis kortelės numerio); 3.1.9. Biometriniai duomenys – veido atvaizdas. 3.2. 3.1.1 – 3.1.9. punktuose nurodyti Duomenys gaunami tiesiai iš Kliento, tačiau dalis (Kliento vardas, pavardė ir el. pašto adresas) Duomenų įtraukimui į sistemą gali būti gaunami ir iš Kliento darbovietės tada, jei Duomenų valdytojo paslaugomis Klientas naudojasi kaip tam tikros įmonės klientas arba darbuotojas. 3.3. Nurodytų Asmens duomenų pateikimas yra būtinas, be jų Duomenų valdytojas negalėtų teikti savo paslaugų. 3.4. Klientų registracijos ir apskaitos, sutarties sudarymo, administravimo ir vykdymo, bendrovės valdomo turto apsaugos ir kontrolės tikslais, Duomenų valdytojas papildomai tvarko tokius Duomenis: |
|
|||
3.4.1. Asmens tapatybės dokumento numeris, išdavimo ir galiojimo pabaigos datos ir vieta (kai kitų identifikavimo priemonių nepakaks, jos buvo nepatikimos ar pan.); 3.4.2. Transporto priemonių, kurias Duomenų subjektas turi teisę vairuoti, kategorijos, jų suteikimo data ir galiojimo pabaigos data; 3.4.3. Elektromobilio buvimo vieta, nuvažiuotas atstumas, elektromobilio naudojimo data, laikas ir trukmė; 3.4.4. Elektromobilio atrakinimo ir užrakinimo momentas; 3.4.5. Elektromobilio baterijos elektros įkrovos lygio pokytis Klientui naudojantis elektromobiliu; 3.4.6. Priskaičiuotas mokestis; 3.4.7. Duomenys apie įsiskolinimą (skolos dydis, skolos suma, atsiradimo data, terminas, apmokėjimo data). 3.5. Aukščiau nurodytų Klientų Duomenų, Duomenų valdytojas neperduoda Duomenų gavėjams. Klientų Duomenys gali būti perduoti tik Duomenų tvarkytojams su kuriais Duomenų valdytojas yra sudaręs bendradarbiavimo ar duomenų tvarkymo sutartis. Buvusių Klientų Duomenys teikiami tik teisėsaugos institucijoms, įstatymų nustatyta tvarka. 3.6. Teisiniai Duomenų tvarkymo pagrindai – BDAR 6 straipsnio 1 dalies b ir c punktai (sutarties vykdymas ir Duomenų valdytojui taikomų prievolių įvykdymas). 3.7. Vairuotojo pažymėjimo galiojimui patikrinti, Duomenų valdytojas pateikia tam tikrus Asmens duomenis (vairuotojo pažymėjimo numerį ir asmens kodą) Lietuvos Respublikos kelių transporto priemonių vairuotojų registro valdytojai valstybės įmonei „Regitra“. 3.8. Siekiant užtikrinti teikiamų paslaugų kokybę, operatyviai reaguoti į Klientams kylančius klausimus, Duomenų valdytojo darbuotojai einantys klientų aptarnavimo vadybininkų pareigas, atsakinėja į Klientų skambučius ir teikia konsultacijas telefonu 24/7. Duomenų valdytojas įrašo Duomenų valdytojo ir Kliento pokalbių įrašus, kuriuos saugo 180 (vieną šimtą aštuoniasdešimt) dienų. 3.9. Siekdamas suteikti paslaugas ir užtikrinti tinkamą jų teikimą, Duomenų valdytojas pasitelkia UAB RUPTELA kaip Duomenų tvarkytoją, teikiantį informaciją, leidžiančią nustatyti elektromobilio buvimo vietą, stovėjimo laiką, elektromobilio greitį, nuvažiuotą atstumą, elektromobilio naudojimo datą, laiką ir trukmę, elektromobilio atrakinimo ir užrakinimo momentą, elektromobilio baterijos įkrovos lygio pokytį Klientui naudojantis elektromobiliu, informaciją apie tai, ar elektromobilis kraunasi ir ar elektromobilio durelės yra uždarytos. 3.10. Siekiant užtikrinti sklandų ir kokybišką atsiskaitymą už suteiktas paslaugas, Duomenų valdytojas pasitelkia mokėjimo operacijų administratorius Adyen, Paysera, kurie tarpininkauja vykdant mokėjimų operacijas. Duomenų valdytojas yra įgyvendinęs mokėjimo kortelių saugumo standartą (angl. PCI DSS). Buhalterinės apskaitos vykdymo tikslu, Duomenų valdytojas pasitelkia apskaitininkus bei vidines apskaitos sistemas. 3.11. Tais atvejais, kuomet Klientas pažeidžia elektromobilio naudojimosi sutartį ir/ar neatsiskaito už Duomenų valdytojo suteiktas paslaugas bei turi kitų pradelstų mokėjimų, o Duomenų valdytojas siekia atgauti susidariusią skolą, Duomenų valdytojas duomenis apie skolininką (vardas, pavardė, asmens kodas, el. paštas, tel. Nr., adresas) ir duomenis apie įsiskolinimą (skolos dydis, skolos suma, atsiradimo data, terminas, apmokėjimo data, sąskaitos ar pretenzijos numeris) perduoda Duomenų tvarkytojams – skolų išieškojimo įmonėms su kuriais yra sudarytos atskiros asmens duomenų tvarkymo sutartys. Šiuo tikslu Duomenų valdytojas gali perduoti Kliento bei jo skolos duomenis šiems Duomenų tvarkytojams: UAB Legal Balance, juridinio asmens kodas 302528679; UAB „Julianus Inkaso“, juridinio asmens kodas 300115639; UAB „Gelvorasergel“, juridinio asmens kodas 125164834; UAB EASY DEBT SERVICE, juridinio asmens kodas 304406834. 3.12. Duomenų valdytojas, siekdamas užtikrinti tinkamos kokybės elektromobilių naudojimosi paslaugą ir sistemos veikimą, pasitelkia Duomenų tvarkytojus, kurie atlieka elektromobilių naudojimosi platformos administravimą, sistemos programavimo ir priežiūros darbus. 3.13. Siekiant užtikrinti kokybišką paslaugų teikimą, išvengti sukčiavimo atvejų bei siekiant užtikrinti Duomenų valdytojo turto apsaugą, registruojantis Duomenų valdytojo Mobiliojoje programoje, prašoma pateikti Duomenų subjekto veido atvaizdą bei vairuotojo pažymėjimo nuotrauką, kurie Duomenų subjekto identifikavimo tikslu, bus sugretinami. Šių duomenų Duomenų valdytojas nesaugo. Šiam tikslui įgyvendinti Duomenų valdytojas yra pasitelkęs Duomenų sub-tvarkytoją JUMIO Corporation, kuris yra įgyvendinęs saugumo standartą (angl. PCI DSS). Kai Kliento paskyra yra panaikinama, biometriniai duomenys yra saugiai ištrinami iš JUMIO sistemų. Minėti duomenys nėra teikiami tretiesiems asmenims. 3.14. Pasitelktas Duomenų tvarkytojas JUMIO Corporation yra įsikūręs ir vykdo veiklą Jungtinėse Amerikos Valstijose, todėl, naudojantis šio Duomenų tvarkytojo paslaugomis, duomenys perduodami už Europos ekonominės erdvės ribų. Toks perdavimas vykdomas užtikrinant tinkamo lygio apsaugą Duomenų valdytojui su minėtu duomenų tvarkytoju pasirašius Europos Komisijos patvirtintas ES standartines sutarties sąlygas. Minėtų sąlygų kopiją galima gauti kreipiantis į Duomenų valdytoją 11 šios Politikos skyriuje nurodytais kontaktais. 3.15. Duomenų valdytojas taip pat pasitelkia Amazon Web Services Limited kaip Duomenų sub-tvarkytoją, atliekantį tarnybinių stočių nuomos ir talpinimo paslaugas. Šis Duomenų sub-tvarkytojas vykdo savo veiklą Jungtinėse Amerikos Valstijose, tačiau Asmens duomenys yra saugomi serveriuose, esančiuose Europos ekonominėje erdvėje. Šis Duomenų tvarkytojas yra sertifikuotas pagal duomenų apsaugos susitarimo tarp Europos Sąjungos ir Jungtinių Amerikos Valstijų (dar vadinamo Privatumo skydu, angl. Privacy Shield) programos reikalavimus. Susipažinti su Amazon Web Services Limited sertifikavimu galima paspaudus šią nuorodą: https://www.privacyshield.gov/participant?id=a2zt0000000TOWQAA4&status=Active (anglų kalba). 3.16. Jeigu Klientas dėl kokių nors priežasčių neturi galimybės arba nesutinka pateikti savo veido atvaizdo, kad jis būtų sugretinamas su jo vairuotojo pažymėjime esančia nuotrauka, tokiam asmeniui suteikiama galimybė atvykti į Duomenų valdytojo buveinę adresu Paupio g. 50, Vilnius, kur pateikiant vairuotojo pažymėjimą būtų nustatoma Kliento tapatybė. Tokiais atvejais, vairuotojo pažymėjimo kopija, jeigu vairuotojo pažymėjimas išduotas Lietuvos Respublikoje, nėra saugoma. |
|
|||
|
||||
4. SPARK PARTNERIŲ DUOMENŲ TVARKYMAS P2P PASLAUGŲ TEIKIMO TIKSLU
4.1. Duomenų valdytojas SPARK Partneriams teikia P2P paslaugas, kurių suteikimui tvarko SPARK Partnerių (fizinių asmenų) duomenis: 4.1.1. P2P paslaugų platformoje registruojamo elektromobilio valstybinis numeris, identifikacinis numeris, registracijos liudijimo numeris; 4.1.2. P2P paslaugoms platformoje registruojamo elektromobilio savininko duomenys (vardas, pavardė, gyvenamosios vietos adresas, asmens kodas), jei savininkas yra fizinis asmuo; 4.1.3. P2P paslaugoms teikiamo elektromobilio privalomosios transporto priemonių techninės apžiūros rezultatų ataskaitos numeris; 4.1.4. P2P paslaugoms teikiamo elektromobilio privalomojo transporto priemonės civilinės atsakomybės draudimo poliso numeris, draudėjo vardas, pavardė, asmens kodas, gyvenamosios vietos adresas, el. pašto adresas bei telefono numeris, mokėjimo grafikas; 4.1.5. verslo liudijimo ar individualios veiklos pažymėjimo numeris, jų galiojimo laikotarpis. 4.2. 4.1.1 – 4.1.5. punktuose nurodyti Duomenys gaunami tiesiogiai iš SPARK Partnerio ir nurodytų Asmens duomenų pateikimas yra būtinas, be jų Duomenų valdytojas negalėtų teikti P2P paslaugų. 4.3. SPARK Partneriui tinkamai įvykdžius savo paskyros ir elektromobilio registraciją P2P Platformoje sutarčių su klientais sudarymo, administravimo ir vykdymo tikslais yra tvarkomi šie Duomenys: 4.3.1. Elektromobilio buvimo vieta, nuvažiuotas atstumas, elektromobilio naudojimo data, laikas ir trukmė; 4.3.2. Elektromobilio atrakinimo ir užrakinimo momentas; 4.3.3. Elektromobilio baterijos elektros įkrovos lygio pokyčiai naudojantis elektromobiliu. 4.4. P2P paslaugos teikimo pagrindu sudarant Automobilio naudojimosi sutartis tarp SPARK Partnerių ir Klientų (toliau – Sutartis), Sutartyse Klientams yra nurodomi šie duomenys: SPARK Partnerių vardas, pavardė, gyvenamosios vietos adresas bei P2P paslaugų platformoje registruoto elektromobilio valstybinis numeris. 4.5. Aukščiau nurodytuose 4.1.2., 4.1.3., 4.1.4., 4.1.5. ir 4.3. punktuose Duomenų Duomenų valdytojas neperduoda Duomenų gavėjams. Duomenys gali būti perduoti tik Duomenų tvarkytojams su kuriais Duomenų valdytojas yra sudaręs bendradarbiavimo ar duomenų tvarkymo sutartis bei teisėsaugos institucijoms, įstatymų nustatyta tvarka. 4.6. Teisiniai Duomenų tvarkymo pagrindai – BDAR 6 straipsnio 1 dalies b ir c punktai (sutarties vykdymas ir Duomenų valdytojui taikomų prievolių įvykdymas).
5. ASMENS DUOMENŲ TVARKYMAS TIESIOGINĖS RINKODAROS TIKSLU
5.1. Duomenų valdytojas savo Klientų atžvilgiu vykdo tiesioginę rinkodarą. 5.2. Klientas, norėdamas gauti pasiūlymus dėl Duomenų valdytojo teikiamų paslaugų, registracijos metu privalo pažymėti savo sutikimą dėl Duomenų tvarkymo tiesioginės rinkodaros tikslu arba prisijungti prie savo asmeninės paskyros ir pasirinkti naujienlaiškių gavimo funkciją. 5.3. Tiesioginės rinkodaros vykdymo tikslu Duomenų valdytojas tvarko tokius Klientų Asmens duomenis: 5.3.1. Vardas; 5.3.2. Pavardė; 5.3.3. El. pašto adresas; 5.3.4. Telefono numeris; 5.3.5. Adresas. 5.4. Tiesioginę rinkodarą (naujienlaiškių bei pasiūlymų siuntimą el. paštu) Duomenų valdytojas vykdo asmenų, įvedusių savo el. paštą Duomenų valdytojo interneto svetainėje https://spark.lt/ ir/arba Mobiliojoje aplikacijoje, taip išreiškusių pageidavimą gauti tokio pobūdžio pranešimus, atžvilgiu. Tokiu atveju, Duomenų valdytojas tvarko tokio asmens el. pašto adresą. 5.5. Duomenys, tvarkomi tiesioginės rinkodaros tikslu, Duomenų valdytojo nėra perduodami Duomenų gavėjams. 5.6. Teisinis Duomenų tvarkymo pagrindas – BDAR 6 straipsnio 1 dalies a punktas. 5.7. Tvarkydamas Duomenis tiesioginės rinkodaros tikslu,Duomenų valdytojas naudoja Airship platformą, per kurią yra siunčiami naujienlaiškiai Duomenų subjektams, taip pat Amazon Web Services Limited kaip Duomenų sub-tvarkytoją, atliekantį tarnybinių stočių nuomos ir talpinimo paslaugas. Susipažinti su Amazon Web Services Limited sertifikavimu galima paspaudus ant nuorodos, esančios šios Politikos 3.15 p., o su Airship duomenų apsauga galima susipažinti čia: https://www.airship.com/legal/data-processing-addendum/ (anglų kalba).
6. DUOMENŲ TVARKYMAS „GOOGLE ANALYTICS“ REKLAMAVIMO TIKSLU
6.1. Duomenų valdytojas siekiant susegmentuoti ir geriau suprasti savo Klientus bei jų naudojimąsi Duomenų valdytojo paslaugomis, pasitelkia „Google Analytics 4“ reklamavimo funkcijas, kurių pagalba Klientams Mobiliojoje aplikacijoje per GoogleAds rodomos suasmenintos reklamos. 6.2. Pasitelkus „Google Analytics 4“ įrankį Duomenų valdytojas jam suteikia teisę rinkti Klientų Mobiliosios aplikacijos duomenis, kurie gaunami įjungus „Google Signals“ valdiklį. Daugiau informacijos apie Google privatumą ir renkamus duomenis galima rasti čia: Google Safety Center - Stay Safer Online (anglų kalba). 6.3. Pasitelkiant „Google Analytics 4“ ir įjungus „Google Signals“ valdiklį Duomenų valdytojas neperduoda Google Asmens duomenų, iš kurių galima identifikuoti konkretų asmenį, šiuo konkrečiu tikslu Duomenų valdytojas perduoda tokius Klientų Mobiliosios aplikacijos duomenis: 6.3.1. Google sugeneruotą Kliento Mobiliosios aplikacijos ID (toliau – Mobiliosios aplikacijos ID); 6.3.2. Šalis, kurioje Mobiliosios aplikacijos ID yra atidaromas; 6.3.3. Data, kada pirmą kartą paleista Mobilioji aplikacija pagal jos ID; 6.3.4. Data, kada buvo atlikta registracija naudojantis Mobiliąja aplikacija su jos ID; 6.3.5. Informacija ar prie Mobiliosios aplikacija ID yra pridėta mokėjimo kortelė; 6.3.6. Informacija ar prie Mobiliosios aplikacijos ID yra pridėtas galiojantis vairuotojo pažymėjimas; 6.3.7. Informacija, kada Mobiliosios aplikacijos ID yra atidaromas; 6.3.8. Informacija, kada yra prisijungiama prie Mobiliosios aplikacijos ID; 6.3.9. Informacija apie mokėjimus pagal Mobiliosios aplikacijos ID (suma, valiuta, už ką mokėta (paslaugų rūšis, narysčių pratęsimai ir sustabdymai)). 6.4. Visais atvejais Duomenų valdytojas imasi techninių ir organizacinių asmens duomenų saugumo priemonių, nurodytų šios Politikos 12 dalyje.
7. MOBILIOSIOS APLIKACIJOS RENKAMA INFORMACIJA
7.1. Duomenų valdytojas leidžia Mobiliajai aplikacijai rinkti ir apdoroti Klientų mobiliojo įrenginio buvimo vietą, tačiau tik tų Klientų, kurie savo mobiliajame įrenginyje yra suteikę Mobiliajai aplikacijai prieiti prie tokios informacijos. Klientai, kontroliuodami savo asmens duomenų tvarkymą, naudojantis Mobiliąja aplikacija, gali pasirinkti, prie kokių mobiliojo įrenginio duomenų Klientas leidžia Mobiliajai aplikacijai prieiti ar kitaip naudoti. Klientui davus leidimą, Mobilioji aplikacija gauna prieigą tik prie Kliento mobiliojo įrenginio buvimo vietos. 7.2. Duomenų valdytojas renka Klientų mobiliojo įrenginio buvimo vietos duomenis, kad galėtų didinti bei gerinti Duomenų valdytojo teikiamų paslaugų prieinamumą. 7.3. Klientų mobiliojo įrenginio buvimo vietos duomenys nėra perduodami Duomenų gavėjams. 7.4. Visais atvejais Duomenų valdytojas imasi techninių ir organizacinių asmens duomenų saugumo priemonių, nurodytų šios Politikos 13 dalyje.
8. MOBILUMO STEBĖJIMAS
8.1. Duomenų valdytojas vykdo jam priklausančių Klientams naudotis perduodamų transporto priemonių mobilumo stebėjimą. 8.2. Mobilumo stebėjimo tikslas – užtikrinti Duomenų valdytojui priklausančio turto saugumą, sąžiningą bei tinkamą Klientų naudojimąsi teikiamomis paslaugomis ir suteikti tinkamos kokybės paslaugas. 8.3. Mobilumo stebėjimas atliekamas Duomenų valdytojui priklausančiose transporto priemonėse įrengtų GPS siųstuvų pagalba. 8.4. Mobilumo stebėjimo duomenys nėra perduodami Duomenų gavėjams. 8.5. Teisiniai Duomenų tvarkymo pagrindai – BDAR 6 straipsnio 1 dalies b ir f punktai. Teisėtu interesu yra Duomenų valdytojui priklausančio turto saugumo užtikrinimas, sąžiningo ir tinkamo Klientų naudojimosi teikiamomis paslaugomis priežiūra ir siekis suteikti tinkamos kokybės paslaugas. 8.6. Mobilumo stebėjimui vykdyti, Duomenų valdytojas pasitelkia UAB RUPTELA kaip Duomenų tvarkytoją, teikiantį informaciją, leidžiančią nustatyti elektromobilio buvimo vietą, maršrutą ir nuvažiuotą atstumą.
9. DUOMENŲ SAUGOJIMO TERMINAI
9.1. Duomenų valdytojas taiko skirtingus Asmens duomenų saugojimo terminus priklausomai nuo tvarkoma Asmens duomenų kategorijų. 9.2. Duomenų valdytojas taiko šiuos Asmens duomenų saugojimo terminus: |
|
|||
|
Nr. |
Asmens duomenų kategorijos |
Saugojimo terminas |
|
|
1.
|
Klientų Asmens duomenys, tvarkomi elektromobilių dalijimosi paslaugos teikimo tikslais
|
2 metus nuo prašymo ištrinti duomenis išnagrinėjimo dienos arba skolos padengimo dienos, priklausomai nuo to, kas įvyksta vėliau, jei klientas yra pasinaudojęs paslauga.
Neaktyvių Klientų paskyrų duomenys saugomi 3 metus nuo paskutinio prisijungimo prie sistemos dienos.
Klientų, neturėjusių kelionių, asmens duomenys saugomi, 2 mėnesius nuo prašymo ištrinti duomenis gavimo dienos. |
|
|
2. |
Tiesioginės rinkodaros tikslu naudojami Duomenys |
2 metus nuo paskutinio prisijungimo prie sistemos dienos. |
|
|
3.
|
Mobilumo stebėjimo duomenys
|
2 metus nuo prašymo ištrinti duomenis tenkinimo dienos arba skolos padengimo dienos, priklausomai nuo to, kas įvyksta vėliau.
Neaktyvių Klientų paskyrų duomenys saugomi 2 metus nuo paskutinio prisijungimo prie sistemos dienos. |
|
|
4. |
Klientų mobiliojo įrenginio buvimo vietos duomenys |
1 metus nuo paskutinio prisijungimo prie Mobiliosios aplikacijos. |
|
|
5. |
Pokalbių įrašai |
180 dienų nuo įrašymo dienos. |
|
|
6.
|
SPARK Partnerių (fizinių asmenų) Asmens duomenys, tvarkomi P2P paslaugos teikimo tikslais.
|
2 metus nuo prašymo ištrinti duomenis išnagrinėjimo dienos, jei SPARK Partnerio užregistruotu P2P platformoje elektromobiliu(iais) Klientai turėjo kelionių.
Neaktyvių SPARK partnerių paskyrų duomenys saugomi 3 metus nuo paskutinio prisijungimo prie sistemos dienos ar paskutinės Kliento kelionės su SPARK Partnerio užregistruotu elektromobiliu(iais) dienos P2P platformoje.
SPARK Partnerių, kurie neturėjo kelionių, asmens duomenys saugomi, 2 mėnesius nuo prašymo ištrinti duomenis gavimo dienos, jei SPARK Partnerio užregistruotu P2P platformoje elektromobiliu(iais) Klientai neturėjo kelionių arba SPARK partneris nėra užregistravęs P2P platformoje elektromobilio(ių). |
|
|
7.
|
Asmens duomenys, tvarkomi mokesčių, buhalterinės ir kitų teisės aktų numatyta tvarka
|
Buhalteriniuose dokumentuose esantys Asmens duomenys laikomi 10 metų nuo buhalterinio dokumento sukūrimo ar nuo paskutinės buhalterinės operacijos dienos pagal Lietuvos Respublikos finansinės apskaitos įstatymo 10 str. 1 d. bei Lietuvos Respublikos vyriausiojo archyvaro įsakymą dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo.
Sutartyse esantys duomenys laikomi 10 metų nuo sutarties pasirašymo momento pagal Lietuvos Respublikos vyriausiojo archyvaro įsakymą dėl bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo. |
|
9.3. Išimtys iš aukščiau nurodytų saugojimo terminų gali būti nustatomos tol, kol tokie nukrypimai nepažeidžia Duomenų subjektų teisių, atitinka teisinius reikalavimus ir yra tinkamai dokumentuoti. |
|
|
||||||||||||||||||
9.4. Duomenys, reikalingi siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus saugomi tiek, kiek jie yra būtini tokiems tikslams pasiekti pagal teisminę, administracinę arba neteisminę procedūrą. |
||||||||||||||||||||
10. DUOMENŲ SUBJEKTŲ TEISĖS
10.1. Duomenų subjektas BDAR ir ADAĮ nustatyta tvarka gali įgyvendinti šias teises:
10.1.1. Teisė būti informuotam;
10.1.2. Prieigos teisė;
10.1.3. Ištrynimo teisė;
10.1.4. Teisė į patikslinimą;
10.1.5. Teisė apriboti duomenų tvarkymą;
10.1.6. Teisė į duomenų perkeliamumą;
10.1.7. Teisė prieštarauti;
10.1.8. Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu.
10.2. Jei Duomenų subjektas nėra patenkintas Duomenų valdytojo atsakymu ar mano, kad Duomenų valdytojas tvarko Duomenų subjekto asmens duomenis nesilaikydami teisinių reikalavimų, Duomenų subjektas turi teisę pateikti skundą Lietuvos Respublikos Valstybinei duomenų apsaugos inspekcijai.
10.3. Teisės, nurodytos Politikos 10.1.2 - 10.1.8 punktuose, įgyvendinamos per BDAR nustatytus laikotarpius.
10.4. Aukščiau nurodyti ir BDAR įtvirtinti laikotarpiai yra tokie:
Duomenų subjekto prašymas |
Laikotarpis |
Teisė būti informuotam |
Kai Duomenys surenkami (jei pateikti Duomenų subjekto) arba per vieną mėnesį (jei pateikti ne Duomenų subjekto) |
Prieigos teisė |
Vienas mėnuo |
Teisė į patikslinimą |
Vienas mėnuo |
Ištrynimo teisė |
Nepagrįstai nedelsiant |
Teisė apriboti Duomenų tvarkymą |
Nepagrįstai nedelsiant |
Teisė į duomenų perkeliamumą |
Vienas mėnuo |
Teisė prieštarauti |
Gavus prieštaravimą |
Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu |
Nenurodyta |
10.5. Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti Duomenų subjektui įgyvendinti jo teises arba imti pagrįstą mokestį esant BDAR 12 straipsnio 5 d. (b) punkte numatytoms aplinkybėms.
11. DUOMENŲ APSAUGOS PAREIGŪNAS
11.1. Pagal BDAR, privaloma turėti Duomenų apsaugos pareigūną tada, jei Duomenų valdytojo pagrindinę veiklą sudaro duomenų tvarkymo operacijos, kurioms atlikti reikia reguliariai ir sistemingai stebėti duomenų subjektus dideliu mastu, arba kai duomenų valdytojo, arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.
11.2. Duomenų apsaugos pareigūno teisės ir pareigos detalizuojamos BDAR, Politikos prieduose, pareiginiuose nuostatuose, jei šią poziciją užima Duomenų valdytojo darbuotojas, arba paslaugų teikimo sutartyje, jei Duomenų apsaugos pareigūno poziciją užimantis asmuo yra šios paslaugos išorės teikėjas.
11.3. Atsižvelgiant į nurodytus kriterijus ir į Duomenų valdytojo vykdomą veiklą, Duomenų valdytojas yra paskyręs Duomenų apsaugos pareigūną, su kuriuo galite susiekti elektroniniu paštu legal@spark.lt.
12. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į TOKIUS PAŽEIDIMUS TVARKA
12.1. Duomenų valdytojo Darbuotojai, turintys prieigos teisę prie Duomenų, pastebėję Duomenų saugumo pažeidimus (asmenų neveikimą ar veiksmus, galinčius sukelti ar sukeliančius grėsmę Duomenų saugumui), turi informuoti Atsakingą darbuotoją ir (ar) savo tiesioginį vadovą.
12.2. Įvertinęs Duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamasis atitinkamomis vidinėmis procedūromis, Duomenų valdytojas priima sprendimus dėl priemonių, reikiamų Duomenų apsaugos pažeidimui ir jo padariniams pašalinti bei reikiamiems subjektams informuoti.
13. TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS
13.1. Duomenų valdytojo įgyvendinamos organizacinės ir techninės duomenų saugumo priemonės užtikrina tokį saugumo lygį, kuris atitinka Duomenų valdytojo valdomų Duomenų pobūdį ir jų tvarkymo keliamą riziką, įskaitant, bet neapsiribojant, šiame skyriuje nurodytomis priemonėmis.
13.2. Asmens duomenų saugumo priemonės:
13.2.1. Administracinės (saugus dokumentų ir kompiuterio duomenų bei jų archyvų tvarkymo, taip pat įvairių veiklos sričių darbo organizavimo tvarkos nustatymas, personalo instruktavimas įsidarbinant ir išeinant/atleidžiant iš darbo ir kt.);
13.2.2. Techninės ir programinės įrangos apsaugos (tarnybinių stočių, informacinių sistemų ir duomenų bazių administravimas, darbo vietų priežiūra, operacinių sistemų apsauga, vartotojų prieigos stebėjimas (monitoringas), apsauga nuo kompiuterių virusų ir kt.);
13.2.3. Informacinių sistemų ir duomenų bazių administravimas, darbo vietų priežiūra, operacinių sistemų apsauga, apsauga nuo kompiuterinių virusų ir kt.;
13.2.4. Komunikacijų ir kompiuterių tinklų apsaugos (bendro naudojimo duomenų, programų, Asmens duomenų kodavimo ir perdavimo techninės ir programinės priemonės, nepageidaujamų duomenų paketų filtravimas ir kt.).
13.2.5. Dviejų faktorių autentifikacija (2FA), kuri veikia kaip papildoma saugumo priemonė, sukurta užtikrinti, jog Klientas būtų vienintelis asmuo, galintis prisijungti prie savo paskyros, net jei kiti asmenys žino Kliento slaptažodį. Visiems Klientams prisiregistravusiems po 2022 m. rugpjūčio 10 d. 2FA yra privaloma, tačiau po sėkmingos registracijos Klientas per Mobiliąją programą turi teisę jos atsisakyti. Automobilio dalijimosi paslauga teikiama tik aktyvavus 2FA ir atsisakius 2FA automobilių dalijimosi paslaugos teikimas yra nutraukiamas. Klientai, prisiregistravę iki 2022 m. rugpjūčio 10 d. gali įsijungti 2FA atitinkamai Mobiliojoje aplikacijoje pasirinkdami: mano paskyra → nustatymai → įjungti 2FA.
13.3. Aukščiau išvardytos Asmens duomenų apsaugos priemonės užtikrina: 1) operacinių sistemų ir duomenų bazių kopijų saugyklos įrengimą, kopijavimo technikos laikymo kontrolę; 2) nenutrūkstamo duomenų tvarkymo (apdorojimo) proceso technologiją; 3) sistemų veiklos atnaujinimo nenumatytais atvejais strategiją (netikėtumų valdymas); 4) unikalių vartotojų identifikavimo ir slaptažodžių sistemą; 5) programų testavimo aplinkos fizinį (loginį) atskyrimą nuo darbo režimo procesų; 6) registruotą duomenų naudojimą, jų nepažeidžiamumą.
13.4. Duomenų valdytojas užtikrina Asmens duomenų atkūrimo jų avarinio praradimo atvejais tvarką. Duomenų valdytojas daro sistemos duomenų atsargines kopijas Duomenų valdytojo nustatytu periodiškumu ir saugo jas nustatytomis sąlygomis. Duomenys yra atkuriami pagal patvirtintą vidinę procedūrą naudojant Amazon Web Services programinę įrangą iš atsarginių kopijavimo įrenginių bibliotekų. Atsarginės Duomenų kopijos visais atvejais saugomos neviršijant Politikoje nustatytų Duomenų saugojimo terminų.
13.5. Duomenų valdytojas taiko ir kitas Asmens duomenų saugumą užtikrinančias priemones:
13.5.1. Nuotoliniam prisijungimui prie Duomenų valdytojo vidinio tinklo yra naudojama VPN technologija, vartotojo identifikavimui naudojamas skaitmeninis sertifikatas;
13.5.2. Kontroliuojama prieiga prie Asmens duomenų tokiomis organizacinėmis ir techninėmis duomenų saugumo priemonėmis, kurios fiksuoja ir kontroliuoja registravimosi bei teisių gavimo pastangas;
13.5.3. Fiksuojami šie asmenų, kuriems suteikta teisė tvarkyti Asmens duomenis, prisijungimų prie duomenų bazės įrašai: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas). Šie įrašai saugomi ne trumpiau kaip 1 (vienerius) metus;
13.5.4. Užtikrinamas patalpų, kuriose saugomi Asmens duomenys, saugumas (užtikrinamas tik įgaliotų asmenų patekimas į atitinkamas patalpas ir pan.);
13.5.5. Teikiamų Asmens duomenų paieškos užklausos turi tikslą – identifikuoti asmenį ir patikrinti jo vairuotojo pažymėjimo galiojimą;
13.5.6. Siekiama užtikrinti saugių protokolų ir (arba) slaptažodžių naudojimą, teikiant Asmens duomenis išoriniais duomenų perdavimo tinklais;
13.5.7. Užtikrinama Asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo perkeliant į duomenų bazes;
13.5.8. Registruojami avarinio Asmens duomenų atkūrimo veiksmai (kada ir kas atliko Asmens duomenų atkūrimo veiksmus tiek automatiniu, tiek neautomatiniu būdu);
13.5.9. Užtikrinama, kad informacinių sistemų testavimas nebūtų vykdomas su realiais Asmens duomenimis, išskyrus būtinus atvejus, kurių metu naudojamos organizacinės ir techninės Asmens duomenų saugumo priemonės, užtikrinančios realių Asmens duomenų saugumą;
13.5.10.Nešiojamuosiuose kompiuteriuose, jeigu jie naudojami ne Duomenų valdytojo vidiniame duomenų perdavimo tinkle, esantys Asmens duomenys yra apsaugomi atitinkamomis priemonėmis, kurios atitinka Duomenų tvarkymo keliamą riziką.
13.6. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie Asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų Asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui.
14. KONTAKTAI
14.1. Su šia Politika ir/ar bendrai su duomenų apsauga susijusiais klausimais susisiekti galima kreipiantis žemiau nurodytais kontaktais:
El. paštas: info@spark.lt
Tel. Nr. 0 700 77275
15. BAIGIAMOSIOS NUOSTATOS
15.1. Politika gali būti peržiūrima kartą per kalendorinius metus Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems Asmens duomenų tvarkymą.
15.2. Politika ir jos pakeitimai įsigalioja nuo jų patvirtinimo dienos.