I SKYRIUS
BENDROSIOS NUOSTATOS
1. Šių asmens duomenų tvarkymo principų (toliau – Principai) tikslas – reglamentuoti asmens duomenų tvarkymą Finora Bank UAB (toliau – Bankas) užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau — Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Šiuose Principuose pateikiama informacija, kaip Bankas tvarko asmens duomenis.
3. Principuose vartojamos sąvokos:
3.1. Asmens duomenys — tai bet kuri informacija, leidžianti tiesiogiai arba netiesiogiai identifikuoti Klientą ar Banko darbuotoją;
3.2. Duomenų gavėjas — fizinis ar juridinis asmuo, valdžios ar kita institucija, kuriai Bankas gali atskleisti Asmens duomenis. Duomenų gavėjų kategorijos pateikiamos šių Principų III skyriuje.
3.3. Duomenų tvarkymas – bet kokia su Asmens duomenimis atliekama operacija ar operacijų seka, kaip, pavyzdžiui, rinkimas, įrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, ištrynimas arba sunaikinimas;
3.4. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri Duomenų valdytojo vardu tvarko Asmens duomenis;
3.5. Duomenų valdytojas –asmuo, kuris vienas ar drauge su kitais nustato Asmens duomenų tvarkymo tikslus ir priemones. Kai Asmens duomenys tvarkomi vadovaujantis šiais Principais, Duomenų valdytoju laikomas Bankas;
3.6. Klientas — tai bet kuris fizinis asmuo kuris naudojasi, naudojosi, išreiškė ketinimą naudotis Banko Paslaugomis arba yra kaip nors kitaip susijęs su Paslaugomis, ar bet kokiais dalykiniais santykiais su Banku;
3.7. Paslaugos — reiškia bet kurią Banko paslaugą, konsultaciją, produktą, teikiamą ar suteiktą Klientui, ir kuri yra susijusi su finansavimu, taupymu, faktoringu ar lizingu;
3.8. Profiliavimas – bet kokios formos automatizuotas Asmens duomenų tvarkymas, kai Asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu. Profiliavimas yra naudojamas, pavyzdžiui, siekiant atlikti analizę, įvykdyti sutartį, tiesioginės rinkodaros tikslais, informacinių sistemų tobulinimui, grindžiant Banko teisėtu interesu arba Kliento Sutikimu;
3.9. Specialiųjų kategorijų duomenys – asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją;
3.10. Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję Asmens duomenys.
4. Bankas renka ir tvarko tokių kategorijų Asmens duomenis, kaip:
4.1. Asmens tapatybės duomenys: vardas, pavardė, asmens kodas, asmens tapatybės dokumento duomenys, gyvenamasis adresas, veido nuotrauka;
4.2. Kontaktiniai duomenys – adresas, telefono numeris, elektroninio pašto adresas;
4.3. Finansiniai duomenys – duomenys apie turimą nuosavybę, lėšų kilmę, sandorius, paskolas, pajamas, finansinius tikslus, įsipareigojimus, saugomą turtą;
4.4. Duomenys apie turimą banko sąskaitos numerį;
4.5. Duomenys, kurie reikalingi Bankui taikyti reikalingas priemones pinigų plovimo ir teroristų finansavimo prevencijos srityje ir užtikrinti tarptautinių sankcijų vykdymą, įskaitant, nustatyti dalykinių santykių su Klientu tikslą ir tai, ar Klientas yra politikoje dalyvaujantis asmuo, taip pat turto kilmės šaltinį;
4.6. Duomenys apie Kliento sandorių šalis ir verslo veiklą;
4.7. Duomenys, gaunami ir (arba) sukuriami vykdant teisės aktų reikalavimus – duomenys, kuriuos Bankas turi teikti valdžios institucijoms, tokioms, kaip mokesčių administratoriai, teismai, kitos vykdomosios valdžios institucijos, įskaitant duomenis apie pajamas, finansinius įsipareigojimus, turimą nuosavybę ir nepadengtus įsiskolinimus;
4.8. Duomenys apie šeimą – informacija apie Kliento šeimyninę padėtį;
4.9. Demografiniai duomenys – duomenys apie rezidavimo šalį, gimimo datą ir pilietybę;
4.10. Duomenys, susiję su profesija – duomenys apie išsilavinimą ir profesinę veiklą; 4.11. Duomenys apie ryšius su juridiniais asmenimis – duomenys, pateikti Kliento, gauti iš viešųjų registrų ar trečiųjų šalių-paslaugų teikėjų vykdant sandorius juridinio asmens vardu.
II SKYRIUS
ASMENS DUOMENŲ TVARKYMAS
5. Bankas, vykdydamas savo veiklą, renka ir tvarko šių asmenų Asmens duomenis:
5.1. Banko darbuotojai ir kandidatai į darbuotojus;
5.2. Bankui vadovaujantys asmenys, valdymo, priežiūros (įskaitant Banko stebėtojų tarybą, Audito komitetą) ar kitų organų nariai, akcininkai, galutiniai naudos gavėjai;
5.3. Bankui paraiškas dėl Paslaugų suteikimo pateikę asmenys (pareiškėjai), pareiškėjų prievolių užtikrinimo davėjai, kiti paraiškose nurodyti asmenys, vadovaujantys asmenys, valdymo, priežiūros ar kitų organų nariai, juos tiesiogiai ar netiesiogiai kontroliuojantys asmenys, akcininkai, galutiniai naudos gavėjai;
5.4. Banko kontrahentai, paslaugų teikėjai, valdymo, priežiūros ar kitų organų nariai, juos tiesiogiai ar netiesiogiai kontroliuojantys asmenys, akcininkai, galutiniai naudos gavėjai;
5.5. Šių Principų 5.2 — 5.3 punktuose nurodytų asmenų atstovai, sutuoktiniai, ar su jais susiję asmenys.
6. Bankas tvarko Asmens duomenis šiais tikslais:
6.1. Sutarties vykdymas:
6.1.1. darbo sutarčių su Banko darbuotojais sudarymo;
6.1.2. vidaus administravimo;
6.1.3. siekiant imtis veiksmų Kliento prašymu prieš sudarant sutartį, siekiant sudaryti, įvykdyti ar nutraukti sutartį, kurios viena iš šalių yra Klientas.
6.2. Teisinės prievolės vykdymas, siekiant:
6.2.1. nagrinėti Klientų skundus;
6.2.2. pinigų plovimo prevencija, mokestinių prievolių kontrolės ir deklaravimo prievolių vykdymas bei rizikos valdymas;
6.2.3. atlikti kreditingumo ar kitą rizikos vertinimą, siekiant suteikti Paslaugas, riboti riziką ir vykdyti kapitalo pakankamumo reikalavimus, taikomus Bankui;
6.2.4. nustatyti, ištirti ir pranešti apie įtartinas operacijas;
6.2.5. nustatyti ir patikrinti Kliento tapatybę, užtikrinti, kad Asmens duomenys būtų teisingi ir išsamūs, patikrinant ir patikslinant juos naudojantis duomenimis iš viešųjų ir vidinių duomenų šaltinių;
6.3. Teisėtas interesas, siekiant:
6.3.1. vykdyti kredito ir rizikos vertinimą siekiant nustatyti, kokios Paslaugos ir kokiomis sąlygomis gali būti pasiūlytos Klientui, priimti sprendimus, vykdyti paskolų portfelio stebėseną, taip pat sumažinti ar eliminuoti potencialias Banko rizikas;
6.3.2. atlikti kreditingumo ar kitą rizikos vertinimą, siekiant suteikti finansavimą ar kitas Paslaugas Klientui;
6.3.3. pareikšti, vykdyti, ginti, perleisti ar parduoti finansinius reikalavimus, taip pat saugoti informaciją šiuo tikslu;
6.3.4. ginti Kliento, Banko, Banko darbuotojų teisėtus interesus, įgyvendinant reikiamas saugumo priemones;
6.3.5. palaikyti, plėsti, vertinti ir tobulinti Banko veiklą, Paslaugas ir Kliento patirtį.
6.4. Sutikimas, kai:
6.4.1. tvarkomi Asmens duomenys tiesioginės rinkodaros tikslu;
6.4.2. vykdomi telefoninių pokalbių įrašymai, siekiant užtikrinti Paslaugų kokybę;
6.4.3. naudojamas Kliento (jo atstovo) veido atvaizdas ir daromas vaizdo įrašas, siekiant identifikuoti Klientą (jo atstovą), kuris siekia tapti Banko klientu nuotoliniu būdu;
6.4.4. tvarkomi kandidatų į darbuotojus duomenys, kai kandidatai į darbuotojus, kandidatuodami į Banko siūlomas darbo pozicijas, patys tiesiogiai Bankui ar per darbuotojų paieškos agentūras pateikia savo gyvenimo aprašymą, motyvacinį laišką ir pan. Bankas tokius gautus Asmens duomenis tvarko sutikimo pagrindu, kurį kandidatai į darbuotojus išreiškia pateikdami atitinkamus duomenis.
6.4.5. Klientui apsilanko Banko interneto svetainėje (www.finorabank.eu), Bankas, Kliento sutikimu, tvarkys Kliento IP adresą, taip pat kitus Kliento pateiktus tinklo duomenis; 6.4.6. turint pagrindą ir tikslą, Bankas Kliento asmens duomenis teikia Finora grupei priklausančioms įmonėms
7. Asmens duomenims tvarkyti automatiniu būdu Bankas naudoja šias IT programas: Dropbox, Google Drive, MS Excel, Word, Outlook ir kitos programos, naudojamos Banko veikloje.
Banko darbuotojų asmens duomenys taip pat gali būti teikiami ir tvarkomi šiose valstybinių įstaigų IT sistemose: Sodros duomenų bazė, VMI elektroninio deklaravimo sistema, Sodros elektroninė draudėjų sistema, Elektroninė statistinė duomenų parengimo ir perdavimo sistema, VMI (deklaracijų duomenys), VMI (nelegalus darbas), Elektroninių valdžios vartų portalas, kt.
8. Bankas vykdo Profiliavimą ir automatizuotą sprendimų priėmimą siekdamas pagerinti Klientų patirtį naudojantis Paslaugomis, pavyzdžiui, pritaikant Paslaugas įrenginiams ar parengiant Klientams aktualius Paslaugų pasiūlymus. Bankas priima automatizuotus sprendimus tokiuose procesuose kaip atliekant kreditingumo vertinimą, valdant riziką, atliekant sandorių stebėseną, kovojant su sukčiavimu, atsižvelgiant į teisės aktų reikalavimus pinigų plovimo ir teroristų finansavimo prevencijos ir finansinių paslaugų srityse.
9. Asmens duomenų saugojimo laikotarpis nustatomas atsižvelgiant į konkrečius tikslus, kuriais Asmens duomenys buvo surinkti, arba laikotarpį, kurį nustato teisės aktai. Asmens duomenys yra tvarkomi dalykinių santykių su Klientu laikotarpiu, o saugojimo terminai gali būti nustatomi ir taikomi atsižvelgiant į Banko teisėtą interesą. Asmens duomenys Banke yra saugomi 10 metų nuo dalykinių santykių su Klientų pabaigos, išskyrus atvejus, kai teisės aktai nustato kitokius saugojimo terminus.
10. Bankas Specialiųjų kategorijų duomenis tvarko tik laikydamasis Reglamento 9 straipsnyje numatytų sąlygų ir reikalavimų tokių asmens duomenų tvarkymui.
III skyrius
Pagrindiniai asmens duomenų TVARKYMO IR ATSKLEIDIMO reikalavimai
11. Bankas, vykdydamas savo funkcijas ir tvarkydamas Asmens duomenis, be kita ko, laikosi šių pagrindinių Asmens duomenų tvarkymo reikalavimų: (i) Asmens duomenys renkami šių Principų apibrėžtais tikslais ir paskui tvarkomi su šiais tikslais suderintais būdais; (ii) Asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai; (iii) Asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas; (iv) Asmens duomenys turi būti tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti; (v) Asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi; (vi) Asmens duomenys tvarkomi pagal Reglamente, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme ir kituose teisės aktuose nustatytus asmens duomenų tvarkymo reikalavimus.
12. Asmens duomenys Banko gaunami tik teisės aktų nustatyta tvarka, juos gaunant tiek tiesiogiai iš duomenų subjektų, tiek iš trečiųjų šalių duomenų valdytojų
13. Siekiant užtikrinti Paslaugų teikimą ar kitais atvejais, kai būtina, Bankas turi teisę atskleisti Asmens duomenis Duomenų gavėjams. Tokie Duomenų gavėjai yra:
13.1. Finora grupei priklausančios įmonės;
13.2. valstybės įstaigos ir institucijos, kiti asmenys, vykdantys įstatymų jiems pavestas funkcijas, pavyzdžiui, priežiūros institucijos, mokesčių administravimo, teisėsaugos institucijos, antstoliai, notarai, teismai, neteisminės ginčų nagrinėjimo institucijos;
13.3. asmenys, teikiantys konsultacijas finansų ir teisės klausimais, atliekantys Banko auditą ar teikiantys kitas paslaugas Bankui;
13.4. trečiosios šalys, tvarkančios registrus (įskaitant, finansinių įsipareigojimų bei gaunamų pajamų duomenų bazes, Gyventojų registrą, Juridinių asmenų registrą, Nekilnojamojo turto registrą, motorinių transporto priemonių registrą, jungtines skolininkų rinkmenas ar kitus registrus, kuriuose tvarkomi Asmens duomenys) arba kurie tarpininkauja teikiant Asmens duomenis iš tokių registrų;
13.5. asmenys ir įmonės, vykdantys skolų išieškojimą, asmenys, perimantys teises ir pareigas pagal sutartis, asmenys, vykdantys nemokumo procesų administravimą;
13.6. asmenys, kurie užtikrina tinkamą Kliento įsipareigojimų Bankui įvykdymą, tokie kaip laiduotojai, įkaitų davėjai ir kt.;
13.7. kiti asmenys, susiję su Paslaugų teikimu, tokie kaip informacinių technologijų, telekomunikacijų, archyvavimo, pašto paslaugų teikėjai, Klientui teikiamų paslaugų teikėjai, pardavėjai ir kitos įgaliotos šalys.
14. Bankas neatskleidžia Asmens duomenų daugiau nei būtina konkrečiam Asmens duomenų tvarkymo tikslui. Duomenų gavėjai gali Asmens duomenis tvarkyti veikdami kaip Duomenų tvarkytojai ir (ar) Duomenų valdytojai. Tuo atveju, kai Duomenų gavėjas Asmens duomenis tvarko būdamas Duomenų valdytoju, jis yra atsakingas už duomenų subjektų informavimą apie vykdomą Asmens duomenų tvarkymą. Tokiais atvejais Bankas dėl Duomenų gavėjo vykdomo Asmens duomenų tvarkymo rekomenduoja Klientui kreiptis į šį Duomenų gavėją.
IV SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS
15. Bankas užtikrina duomenų subjekto, įskaitant ir Banko darbuotojų, teisių įgyvendinimą, t. y. kad duomenų subjektui būtų garantuojamos šios teisės:
15.1. gauti informaciją apie tai, ar Bankas tvarko jo asmens duomenis ir, jeigu taip, susipažinti su jais;
15.2. reikalauti ištaisyti jo Asmens duomenis, jeigu jie yra neteisingi, neišsamūs arba netikslūs;
15.3. reikalauti ištrinti jo Asmens duomenis;
15.4. reikalauti apriboti jo Asmens duomenų tvarkymą;
15.5. nesutikti, kad būtų tvarkomi jo Asmens duomenys, kai Asmens duomenų tvarkymas grindžiamas Banko teisėtu interesu;
15.6. gauti jo paties pateiktus Asmens duomenis, kurie yra tvarkomi jo Sutikimo ar sutarties vykdymo pagrindu, raštu ar įprastu kompiuterio skaitomu formatu ir, jei įmanoma, perduoti tokius duomenis kitam paslaugų teikėjui (teisė į duomenų perkeliamumą);
15.7. atšaukti savo Sutikimą tvarkyti Asmens duomenis;
15.8. nesutikti, kad jam būtų taikomas visiškai automatizuotu būdu priimtas sprendimas, įskaitant Profiliavimą, jei toks sprendimų priėmimas turi teisines pasekmes ar panašų reikšmingą poveikį Klientui. Ši teisė netaikoma tuo atveju, kai toks sprendimų priėmimas yra būtinas sutarties su Klientu sudarymo arba vykdymo tikslais, yra leidžiamas pagal teisės aktus arba Klientas yra davęs aiškų Sutikimą tam.
16. Duomenų subjektas, Bankui pateikęs asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę susipažinti su Banko tvarkomais jo duomenimis bei gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius vienerius metus.
17. Bankas, kaip duomenų valdytojas, gavęs duomenų subjekto prašymą, nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą pagal Reglamento 15–22 straipsnius. Tas laikotarpis prireikus gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Bankas gali arba: (i) imti pagrįstą mokestį, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba (ii) gali atsisakyti imtis veiksmų pagal prašymą
18. Jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Banką, Bankas nedelsdamas patikrina Asmens duomenis ir duomenų subjekto rašytiniu prašymu, nedelsdamas ištaiso neteisingus, netikslius, papildo neišsamius Banko tvarkomus Asmens duomenis ir (ar) sustabdo tokių Asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, kol bus ištaisyti neteisingi, netikslūs, papildyti neišsamūs Asmens duomenys ar Asmens duomenys bus sunaikinti.
19. Bankas nedelsdamas praneša duomenų subjektui apie jo prašymu atliktą ar neatliktą Asmens duomenų ištaisymą, sunaikinimą ar Asmens duomenų tvarkymo veiksmų sustabdymą.
20. Informacija duomenų subjektui, atsižvelgiant į jo prašymą, gali būti pateikiama žodžiu, leidžiant susipažinti su dokumentu, pateikiant pažymą, dokumento išrašą ar popierinę dokumento kopiją, elektroninę laikmeną, prieigą prie informacijos rinkmenos. Jei prašyme nenurodyta informacijos pateikimo forma, Bankas ją pateikia tokia pat forma, kokia gautas prašymas.
21. Klientas turi teisę pateikti skundą dėl Asmens duomenų tvarkymo Valstybinei duomenų apsaugos inspekcijai, kurios interneto svetainės adresas www.vdai.lrv.lt, jei Klientas mano, kad jo Asmens duomenys tvarkomi pažeidžiant jo teises ir teisėtus interesus pagal asmens duomenų apsaugą reglamentuojančius teisės aktus.
22. Klientas turi teisę kreiptis į Banką, siekdamas pateikti užklausas, atšaukti duotus Sutikimus, pateikti prašymus dėl duomenų subjekto teisių įgyvendinimo ir skundus dėl Asmens duomenų tvarkymo. Banko kontaktiniai duomenys yra skelbiami Banko interneto svetainėje www.finorabank.eu.
V SKYRIUS
Baigiamosios Nuostatos
23. Bankas turi teisę bet kada vienašališkai pakeisti Principus, Klientus apie tai informuojant Banko interneto svetainėje, trumpąja žinute ar elektroniniu laišku ne vėliau nei prieš vieną mėnesį iki pakeitimų įsigaliojimų, nebent pakeitimai būtini siekiant užtikrinti teisės aktų laikymąsi