INFORMACIJA APIE ASMENS DUOMENŲ TVARKYMĄ

1. BENDROSIOS NUOSTATOS

1.1. Ši asmens duomenų tvarkymo ir privatumo politika (toliau – Politika) nustato, kaip VšĮ „Klinikinės medicinos ir farmacijos draugija”, juridinio asmens kodas 304949125, PVM mokėtojo kodas LT100014599313, buveinės adresas Karaliaus Mindaugo pr. 7, LT-44280 Kaunas, el. paštas danguole@emedicina.lt, tel. +370 618 87321 (toliau – Bendrovė arba Valdytojas), renka, tvarko, saugo ir apsaugo mokymai.emedicina.lt bei susijusių svetainių (toliau – Svetainė) vartotojų ir klientų asmens duomenis.

1.2. Bendrovė tvarko asmens duomenis vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais taikytinais teisės aktais.

1.3. Naudodamiesi Svetaine ir jos paslaugomis, Jūs patvirtinate, kad esate susipažinę su šia Politika. Politika taikoma visiems asmenims, besinaudojantiems Svetaine, registruotiems vartotojams, kursų dalyviams ir sutartiniais santykiais susijusiems asmenims.

2. TVARKOMI ASMENS DUOMENYS, TIKSLAI IR TEISINIAI PAGRINDAI

2.1. Bendrovė tvarko šiuos asmens duomenis šiais tikslais ir teisiniais pagrindais:

2.1.1. Registracija ir paskyros valdymas

Tvarkomi duomenys: vardas, pavardė, elektroninio pašto adresas, slaptažodis (saugomas šifruota forma), telefono numeris.

Teisinis pagrindas: BDAR 6 str. 1 d. b) p. – sutarties sudarymas ir vykdymas.

Saugojimo terminas: iki paskyros ištrynimo, bet ne ilgiau kaip 3 metai nuo paskutinio aktyvumo.

2.1.2. Kursų ir mokymų organizavimas, sertifikatų išdavimas

Tvarkomi duomenys: vardas, pavardė, asmens kodas, darbovietė, pareigos, specialisto pažymėjimo numeris, mokymų baigimo data, įgyti kreditai (akademiniai balai).

Teisinis pagrindas: BDAR 6 str. 1 d. c) p. – teisinė prievolė (Lietuvos Respublikos sveikatos priežiūros specialistų kvalifikacijos tobulinimo reikalavimai); BDAR 6 str. 1 d. b) p. – sutarties vykdymas.

Saugojimo terminas: 10 metų nuo sertifikato išdavimo dienos, vadovaujantis taikytinais teisės aktais dėl kvalifikacijos tobulinimo dokumentų saugojimo.

Asmens kodo tvarkymo ypatumas: asmens kodas yra būtinas sertifikatų registravimui ir atitikties sveikatos priežiūros specialistų kvalifikacijos reikalavimams patvirtinimui. Duomenų bazėje asmens kodas saugomas šifruota forma naudojant AES-256-CBC algoritmą. Vartotojo sąsajoje rodoma tik maskuota reikšmė (pvz., 3XXXXXXX23). Tikroji reikšmė prieinama tik įgaliotiems Bendrovės administratoriams, kurių vykdomos funkcijos tai reikalauja.

2.1.3. Mokėjimų apdorojimas

Tvarkomi duomenys: mokėjimo suma, mokėjimo data, mokėjimo patvirtinimo numeris. Mokėjimo kortelių duomenys Bendrovei neperduodami ir Bendrovėje nesaugomi – juos tvarko mokėjimų operatorius Paysera LT, UAB.

Teisinis pagrindas: BDAR 6 str. 1 d. b) p. – sutarties vykdymas; BDAR 6 str. 1 d. c) p. – teisinė prievolė (buhalterinė apskaita).

Saugojimo terminas: 10 metų, vadovaujantis Lietuvos Respublikos buhalterinės apskaitos įstatymo reikalavimais.

2.1.4. Tiesioginė rinkodara ir naujienlaiškiai

Tvarkomi duomenys: vardas, elektroninio pašto adresas, naršymo istorija Svetainėje.

Teisinis pagrindas: BDAR 6 str. 1 d. a) p. – sutikimas. Sutikimą galite bet kada atšaukti paspaudę atsisakymo nuorodą gaunamame laiške arba kreipęsi į Bendrovę.

Saugojimo terminas: iki sutikimo atšaukimo, bet ne ilgiau kaip 5 metai nuo paskutinių paslaugų suteikimo dienos.

2.1.5. Svetainės veikimo užtikrinimas ir saugumo valdymas

Tvarkomi duomenys: IP adresas, naršyklės tipas, prisijungimo laikas ir data, naršymo istorija, sesijos duomenys.

Teisinis pagrindas: BDAR 6 str. 1 d. f) p. – teisėtas Bendrovės interesas užtikrinti Svetainės saugumą, aptikti ir užkirsti kelią neteisėtiems veiksmams.

Saugojimo terminas: 90 dienų.

2.1.6. Darbuotojų ir kandidatų duomenys

Tvarkomi duomenys: CV, darbo sutarties duomenys, su darbo santykiais susijusi dokumentacija.

Teisinis pagrindas: BDAR 6 str. 1 d. b) ir c) p. – sutartis ir teisinė prievolė.

Saugojimo terminas: kandidatai – 1 metai; darbuotojai – 50 metų pagal archyvavimo reikalavimus.

3. DUOMENŲ GAVĖJAI IR TVARKYTOJAI

3.1. Bendrovė gali perduoti asmens duomenis šiems duomenų gavėjams:

3.1.1. Duomenų tvarkytojai (pagal BDAR 28 str. sutartis)

  • Hostinger International Ltd – interneto prieglobos paslaugos. Duomenys saugomi ES duomenų centruose. Duomenų tvarkymo sutartis sudaryta.
  • Paysera LT, UAB – mokėjimų apdorojimas. Veikia kaip savarankiškas duomenų valdytojas mokėjimų srityje.
  • Cloudflare, Inc. – tinklo apsaugos ir turinio pateikimo paslaugos (DDoS apsauga, WAF). Duomenų perdavimo į JAV teisinis pagrindas: Standartinės sutarčių sąlygos (SSS).
  • Automattic, Inc. – WordPress platformos papildiniai (techninės priemonės). SSS taikoma duomenų perdavimui.

3.1.2. Valstybinės institucijos

Asmens duomenys gali būti teikiami Valstybinei mokesčių inspekcijai, Valstybinei darbo inspekcijai, Sveikatos apsaugos ministerijai ir kitoms kompetentingoms institucijoms, kai to reikalauja teisės aktai.

3.1.3. Grupės įmonės

Duomenys gali būti dalinami su toje pačioje grupėje esančiais juridiniais asmenimis paslaugų teikimo tikslais.

3.2. Bendrovė neperduoda asmens duomenų trečiosioms šalims komerciniais tikslais be aiškaus duomenų subjekto sutikimo.

3.3. Duomenų perdavimas į trečiąsias šalis (ne EEE) vykdomas tik esant tinkamoms apsaugos priemonėms pagal BDAR 46 str. (Standartinės sutarčių sąlygos).

4. TECHNINĖS IR ORGANIZACINĖS SAUGUMO PRIEMONĖS

4.1. Bendrovė įgyvendina atitinkamas technines ir organizacines priemones, skirtas apsaugoti asmens duomenis nuo neįgalioto prieigos, atskleidimo, pakeitimo ar sunaikinimo.

4.1.1. Techninės priemonės

  • Visi duomenų perdavimai tarp vartotojo naršyklės ir serverio šifruojami naudojant TLS 1.2/1.3 protokolą (HTTPS). SSL sertifikatas išduodamas patikimos sertifikavimo institucijos.
  • Svetainė apsaugota Cloudflare tinklo apsaugos sistema, apimančia DDoS atakų prevenciją, žiniatinklio programų užkardą (WAF) ir IP adresų reputacijos filtravimą.
  • Naudojamas Wordfence Security papildinys, užtikrinantis WordPress aplinkos apsaugą: realaus laiko grėsmių aptikimą, bruteforce atakų blokavimą ir prisijungimo stebėjimą.
  • Naudojamas All In One WP Security papildinys, papildomai užtikrinantis prisijungimo formos apsaugą, failų sistemos vientisumo stebėjimą ir dviejų žingsnių autentifikavimo galimybę.
  • Naudojamas MalCure Security Scanner – reguliariai tikrinami svetainės failai ir duomenų bazė, ieškant kenkėjiško kodo ar neleistinų pakeitimų.
  • Asmens kodai duomenų bazėje saugomi šifruoti naudojant AES-256-CBC algoritmą. Šifravimo raktas saugomas serverio konfigūracijos lygmeniu, atskirai nuo duomenų bazės. Vartotojo sąsajoje rodoma tik maskuota reikšmė.
  • Prieiga prie Svetainės administravimo funkcijų valdoma vaidmenimis pagrįstos prieigos kontrolės (RBAC) sistema. Kiekvienas vartotojas turi tik tas teises, kurios būtinos jo funkcijoms atlikti.
  • Svetainės duomenų bazė reguliariai kopijuojama atsarginėmis kopijomis. Atsarginės kopijos saugomos atskiroje, prieigos ribojimo principu veikiančioje saugykloje.
  • Duomenų bazės, serverio ir svetainės prieigos žurnalai (log failai) saugomi ne trumpiau kaip 90 dienų saugumo incidentų analizės tikslais.

4.1.2. Organizacinės priemonės

  • Prieigą prie asmens duomenų turi tik tie darbuotojai ir rangovai, kuriems ji būtina jų funkcijoms atlikti.
  • Duomenų tvarkytojai yra įpareigoti sutartimis užtikrinti tinkamą duomenų apsaugą.
  • Duomenų tvarkymo incidentai registruojami ir vertinami pagal Bendrovės vidaus tvarką.

5. TECHNINĖS IR ORGANIZACINĖS SAUGUMO PRIEMONĖS

5.1. Bendrovė įgyvendina atitinkamas technines ir organizacines priemones, skirtas apsaugoti asmens duomenis nuo neįgalioto prieigos, atskleidimo, pakeitimo ar sunaikinimo.

5.1.1. Techninės priemonės

– Visi duomenų perdavimai tarp vartotojo naršyklės ir serverio šifruojami naudojant TLS 1.2/1.3 protokolą (HTTPS). SSL sertifikatas išduodamas patikimos sertifikavimo institucijos.
– Svetainė apsaugota Cloudflare tinklo apsaugos sistema, apimančia DDoS atakų prevenciją, žiniatinklio programų užkardą (WAF) ir IP adresų reputacijos filtravimą.
– Naudojamas Wordfence Security papildinys, užtikrinantis WordPress aplinkos apsaugą: realaus laiko grėsmių aptikimą, bruteforce atakų blokavimą ir prisijungimo stebėjimą.
– Naudojamas All In One WP Security papildinys, papildomai užtikrinantis prisijungimo formos apsaugą, failų sistemos vientisumo stebėjimą ir dviejų žingsnių autentifikavimo galimybę.
– Naudojamas MalCure Security Scanner – reguliariai tikrinami svetainės failai ir duomenų bazė, ieškant kenkėjiško kodo ar neleistinų pakeitimų.
– Asmens kodai duomenų bazėje saugomi šifruoti naudojant AES-256-CBC algoritmą. Šifravimo raktas saugomas serverio konfigūracijos lygmeniu, atskirai nuo duomenų bazės. Vartotojo sąsajoje rodoma tik maskuota reikšmė.
– Prieiga prie Svetainės administravimo funkcijų valdoma vaidmenimis pagrįstos prieigos kontrolės (RBAC) sistema. Kiekvienas vartotojas turi tik tas teises, kurios būtinos jo funkcijoms atlikti.
– Svetainės duomenų bazė reguliariai kopijuojama atsarginėmis kopijomis. Atsarginės kopijos saugomos atskiroje, prieigos ribojimo principu veikiančioje saugykloje.
– Duomenų bazės, serverio ir svetainės prieigos žurnalai (log failai) saugomi ne trumpiau kaip 90 dienų saugumo incidentų analizės tikslais.

5.1.2. Organizacinės priemonės

– Prieigą prie asmens duomenų turi tik tie darbuotojai ir rangovai, kuriems ji būtina jų funkcijoms atlikti.
– Duomenų tvarkytojai yra įpareigoti sutartimis užtikrinti tinkamą duomenų apsaugą.
– Duomenų tvarkymo incidentai registruojami ir vertinami pagal Bendrovės vidaus tvarką.



6. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAI

6.1. Asmens duomenų saugumo pažeidimas – tai saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduodami, saugomi arba kitaip tvarkomi asmens duomenys.

6.2. Nustačiusi asmens duomenų saugumo pažeidimą, Bendrovė:

– ne vėliau kaip per 72 valandas praneša Valstybinei duomenų apsaugos inspekcijai (VDAI), jeigu pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms;
– be nepagrįsto delsimo informuoja duomenų subjektus, kurių asmens duomenys galėjo būti pažeisti, jeigu pažeidimas gali kelti didelį pavojų jų teisėms ir laisvėms.



7. SLAPUKAI (COOKIES)

7.1. Svetainė naudoja slapukus savo funkcionalumui užtikrinti, vartotojų patirčiai gerinti ir statistiniams duomenims rinkti. Išsami informacija apie naudojamus slapukus ir jų valdymą pateikiama atskiroje [Slapukų politikoje](https://mokymai.emedicina.lt/slapukai/).



8. DUOMENŲ SUBJEKTŲ TEISĖS

8.1. Jūs turite šias teises, susijusias su savo asmens duomenimis:

**Teisė susipažinti** – turite teisę gauti patvirtinimą, ar Bendrovė tvarko Jūsų asmens duomenis, ir gauti jų kopiją (BDAR 15 str.).

**Teisė reikalauti ištaisyti** – turite teisę reikalauti ištaisyti netikslius arba papildyti neišsamius Jūsų asmens duomenis (BDAR 16 str.).

**Teisė reikalauti ištrinti** – tam tikrais atvejais turite teisę reikalauti, kad Jūsų asmens duomenys būtų ištrinti, pavyzdžiui, kai jie nebereikalingi tikslams, kuriais buvo renkami (BDAR 17 str.).

**Teisė apriboti tvarkymą** – turite teisę reikalauti, kad tam tikrais atvejais Jūsų duomenų tvarkymas būtų apribotas (BDAR 18 str.).

**Teisė į duomenų perkeliamumą** – turite teisę gauti Jūsų asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu (BDAR 20 str.).

**Teisė nesutikti** – turite teisę bet kada nesutikti, kad Jūsų asmens duomenys būtų tvarkomi tiesioginės rinkodaros tikslais arba remiantis teisėtu interesu (BDAR 21 str.).

**Teisė atšaukti sutikimą** – kai tvarkymas grindžiamas sutikimu, turite teisę jį bet kada atšaukti. Sutikimo atšaukimas nedaro poveikio iki atšaukimo vykdyto tvarkymo teisėtumui.

8.2. Prašymai dėl duomenų subjektų teisių įgyvendinimo teikiami raštu elektroniniu paštu danguole@emedicina.lt arba paštu Bendrovės buveinės adresu. Prie prašymo turi būti pridėta asmens tapatybę patvirtinančio dokumento kopija.

8.3. Bendrovė atsako į prašymą per 30 kalendorinių dienų. Sudėtingais atvejais terminas gali būti pratęstas iki 60 dienų, apie tai informuojant prašymą pateikusį asmenį.

8.4. Jeigu manote, kad Jūsų asmens duomenys tvarkomi pažeidžiant BDAR reikalavimus, turite teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai (VDAI), L. Sapiegos g. 17, 10312 Vilnius, el. p. ada@ada.lt, interneto svetainė www.vdai.lrv.lt.



9. AUTOMATIZUOTAS SPRENDIMŲ PRIĖMIMAS

9.1. Bendrovė netaiko automatizuotu būdu priimamų sprendimų, kurie turėtų Jums teisinių pasekmių arba panašiai reikšmingą poveikį, kaip tai numatyta BDAR 22 str.



10. DUOMENŲ PERDAVIMAS UŽ EEE RIBŲ

10.1. Dalis Bendrovės naudojamų paslaugų teikėjų (Cloudflare) yra įsikūrę Jungtinėse Amerikos Valstijose. Duomenų perdavimas vykdomas tik esant tinkamoms apsaugos priemonėms – Standartinėms sutarčių sąlygoms, patvirtintoms Europos Komisijos.



11. BAIGIAMOSIOS NUOSTATOS

11.1. Ši Politika peržiūrima ir atnaujinama ne rečiau kaip kartą per metus arba iš karto pasikeitus teisės aktams ar Bendrovės duomenų tvarkymo veikloms.

11.2. Dabartinė Politikos redakcija visada skelbiama adresu: https://mokymai.emedicina.lt/privatumo-politika

11.3. Klausimais dėl asmens duomenų tvarkymo kreipkitės:

VšĮ „Klinikinės medicinos ir farmacijos draugija” 
Vadovas: Gvidas Urbonas 
El. paštas: danguole@emedicina.lt 
Tel.: +370 618 87321 
Adresas: Karaliaus Mindaugo pr. 7, LT-44280 Kaunas