UAB “NEXT STEPS”
Procedure for the implementation of rights of the data subjects
1.1. The purpose of the procedure for the implementation of rights of the data subjects (the “Procedure“) at UAB “Next steps”, legal entity number 304074588, with its office address at Gražinos str.. 17-2, LT-10220 Vilnius, the Republic of Lithuania (the “Company“) is to establish the procedure of implementation of rights of the data subjects at the Company. It is established following requirements of the General Data Protection Regulation.
1.2. Rights of the Data Subject shall be implemented pursuant to General Data Protection Regulation, the Republic of Lithuania Law on Legal Protection of Personal Data and other legal acts.
1.3. Capitalized terms not defined in this procedure have the meaning ascribed to them in the Company Personal Data Processing Rules approved by the Company CEO.
2.1. Information about the processing of personal data of the Data Subject carried out by the Company indicated in Articles 13 and 14 of General Data Processing Regulation shall be provided in writing at the time of receipt of personal data, or in the Company Privacy Policy.
2.2. Where the Personal Data are not collected from the Data Subject directly, information about the processing of Personal Data of this Data Subject shall be provided as follows:
3.1. The Data Subject should have the right to access the Personal Data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order for the Data Subject to be aware of, and verify, the lawfulness of the Personal Sata processing. Every Data Subject should have the right to know and obtain communication in particular with regard to the purposes for which the Personal Data are processed, and, where possible, the period for which the Personal Data are processed, as well as the recipients of the Personal Data.
3.2. Having received the Data subject”s request with regard to implementation of their right to access their Personal Data, the Company shall submit the following:
3.3. The Data Subject shall have the right to request to provide a copy of processed Personal Data in other form than provided by the Company; however, a fee for this may be charged based on administrative costs.
4.1. Pursuant to Article 16 of GDPR, the Data Subject shall have the right to demand the rectification of any inaccurate Personal Data processed and the completion of any incomplete Personal Data.
4.2. In order to verify that the processed Personal Data of the Data Subject are inaccurate or incomplete, the Company may request the Data Subject to submit the evidence thereof.
4.3. Where the Personal Data of the Data Subject (rectified according to the Data Subject”s request) have been transferred to data recipients, the Company shall notify these data recipients thereof, unless this proves impossible or involves disproportionate effort. The Data Subject shall have the right to request the information on these data recipients.
5.1. Right of the Data Subject to erasure (“right to be forgotten”) shall be implemented in cases provided in Article 17 of GDPR.
5.2. Right of the Data Subject to erasure (“right to be forgotten”) may be not implemented in cases provided in Article 17(3) of GDPR.
5.3. Where the PersonalData of the Data Subject (erased according to the Data Subject‘s request) have been transferred to data recipients, the Company shall notify these data recipients thereof, unless this proves impossible or involves disproportionate effort. The Data Subject shall have the right to request the information on these data recipients.
6.1. In cases provided in Article 18(1) of GDPR, the Company must implement the right of the Data Subject to the restriction of processing.
6.2. Personal Data the processing of which has been restricted shall be stored, and the Data Subject shall be notified using the means of electronic communication prior to the revocation of such restriction.
6.3. Where the Personal Data of the Data Subject (the processing of which has been restricted according to the data subject‘s request) have been transferred to data recipients, the Company shall notify these data recipients thereof, unless this proves impossible or involves disproportionate effort. The Data Subject shall have the right to request the information on these data recipients.
7.1. In exercising their right to the Personal Data portability, the Data Subject shall have the right to have the Personal Data transmitted directly from one Controller to another, where technically feasible.
7.2. The Data Subject shall have the right to receive the Personal Data concerning him or her, which he or she has provided to the Company, in a structured, commonly used and machine-readable format and have the right to transmit those data to another Controller without hindrance from the Controller to which the Personal Data have been provided, where:
7.3. The Data Subject shall have no right to the portability of Personal Data processed in files organised using non-automated means, for example, in paper files.
7.4. Personal Data may be submitted via the internet or recorded on a CD, DVD or other data storage drive. The Company may submit Personal Data using open formats, such as XML, JSON, CSV, along with the respective metadata.
7.5. In cases where the transmitted personal data contain the Personal Data of Third parties, the Company, in order to avoid the negative impact on their interests, may transmit the Personal Data only in cases where they are controlled exclusively by the Data Subject whose request is being implemented, and only for personal or household needs.
7.6. The data subject who contacts the Company regarding the right to portability must indicate whether their Personal Data should be transmitted to the Data Subject personally or to another Controller.
7.7. Data Subject‘s request shall be implemented by transmitting only the data related to the Data Subject that have been submitted to their Controller and are processed by the Company. This shall not include Personal Data obtained by processing and analysing the information and fixed data provided by the Data Subject directly, for example, a user profile created on the basis of analysed data.
7.8. The Data Subject may use their right to Personal Data portability without making any prejudice to any other right (this provision shall be also applicable to all other rights established in the General Data Protection Regulation). The Data Subject shall have the right to continue using services provided by the Company and enjoy benefits provided by the same even after the Personal Data transmission operation.
7.9. Personal Data transmitted pursuant to the request of the Data Subject shall not be automatically erased. Where the Data Subject so requires, they must contact the Controller regarding the implementation of the right to erasure (“right to be forgotten”).
8.1. Pursuant to Article 21 of GDPR, Data Subject, on grounds relating to their particular situation, shall have the right to object against the processing of their Personal Data by the Company, where:
8.2. If the Data Subject objects to the processing of Personal Data, such processing shall be carried out having made a reasoned conclusion that the grounds for the processing override the interests, rights and freedoms of the Data Subject or where the Personal Data are required for the establishment, exercise or defence of legal claims.
9.1. This right is not exercised in relation to the processing of Personal Data performed by the Company.
10.1. The Data Subject shall have the right to contact the Company for the implementation of the rights of Data Subject in writing, by submitting their requests personally, by post or using electronic means to the person responsible for the data protection at the Company via e-mail adress specified in the Company Privacy Plocy or at the address of the office of the Company.
10.2. Request for the implementation of rights of the Data Subject must be legible, signed, must contain name, surname, address and/or other contact details of the Data Subject for communication purposes or for replying to the request for the implementation of rights of the Data Subject.
10.3. Where the request for the implementation of rights of the Data Subject has been submitted in writing personally, the Data Subject must confirm their identity by submitting the ID document. Failure to do so will prevent the rights of the Data Subject from implementation. This provision shall not be applicable in cases where the Data Subject has requested to provide information on the processing of Personal Data pursuant to Articles 13 and 14 of GDPR.
10.4. Where the request for the implementation of rights of the Data Subject has been made in writing by post, it shall be accompanied by a copy of ID document approved pursuant to the procedure provided in the legal acts. This provision shall not be applicable in cases where the Data Subject has requested to provide information on the processing of personal data pursuant to Articles 13 and 14 of GDPR.
10.5. The Data subject may exercise their rights personally or through a representative. In cases where the request has been submitted by the representative, in consideration of the method of submission thereof, the representative shall submit, along with the aforementioned documents their name, surname, address and/or other contact details for the maintaining of communication or provision of the reply, as well as submit the representation document (or a copy of authorisation approved pursuant to the procedure set out in the legal acts).
10.6. Should there be any doubts as to the identity of the Data Subject, the Controller shall request additional information required for the verification thereof. The Company shall use reasonable efforts to verify the identity of the person submitting the request to access the Personal Data because the respective sanctions may be applicable in case of unlawful disclosure of Personal Data to Third Parties.
10.7. When submitting a written request for the implementation of rights of the Data subject, it is recommended to use the request form provided in Annex 1 to the Procedure.
11.1. Having received the request of the Data Subject, the Data Subject will be provided with the information about the actions taken with respect of the received request no later than within 1 (one) month as of the receipt of request. This period may be extended by 2 (two) further months where necessary, taking into account the complexity and number of the requests. In this case, the data subject must be informed of any such extension in writing within 1 (one) month of receipt of the request, together with the reasons for the delay.In cases of delays in the provision of information, the Data Subject shall be notified of the same within the indicated period, provided the reasons for delay and informed about the possibility to file a complaint with the Supervisory Authority.
11.2. In cases where the request has been submitted in violation of the procedure and requirements set out in Section 10 of the Procedure, it shall not be examined and the Data subject shall be notified thereof without delay and in any event within 5 (five) working days indicating the respective reasons thereof.
11.3. If it has been decided not to take action on the request of the Data subject, the Data subject shall be informed in writing without delay and in any event within (1) one month of receipt of the request of the reasons for not taking action (e.g., the person submitting the request failed to specify their identity) and on the possibility of lodging a complaint with the Supervisory Authority. The Data Subject shall be properly informed about the refusal to grant the request.
11.4. The Data Subject shall be notified if in the course of examination of the request it is established that the rights of the data subject are restricted on the grounds provided in Article 23(1) of General Data Protection Regulation.
11.5. Information about the processing of Personal Data requested by the Data Subject shall be submitted in the same form as the received request of the Data Subject (unless otherwise requested by the Data Subject), i.e. if the request has been submitted by electronic means (e.g., by e-mail), the information shall be provided in a commonly used electronic form. Information according to the request for the implementation of rights of the Data Subject shall be submitted in the national language.
11.6. Information and notifications shall be submitted and other actions related to the implementation of rights of the Data Subjects shall be carried out free of charge, except in cases where requests of the Data Subject are manifestly unfounded or excessive, in particular because of their repetitive character, and in such case the Company may charge a reasonable fee for the provision of information or submission of a notification, or the performance of requested actions (in this case, the Data Subject shall be informed about the amount of set remuneration (for example, the provision of a CD, DVD or other drive containing a copy of the video recording, preparation of documents, etc.) and the payment procedure for the submission of Personal Data) or refuse to act on the request. Fee amount shall not exceed the amount of costs of provision of information or notification, or performance of actions. The Company shall set and approve the fee amount in consideration of labour and material costs required for the provision of information or notification or the performance of actions.
11.7. Assessment shall be made in each separate case if the request is manifestly unfounded or excessive. In cases where the request of the Data Subject is manifestly unfounded or excessive the Company shall bear the burden of demonstrating the same.
11.8. In cases where the Company processes a very large amount of Personal Data, the request for the provision of information about all processed Personal Data for the entire processing period may be considered excessive. Nevertheless, even if a request of excessive nature has been received, first it is recommended to ask the Data Subject to specify it by indicating the reason why the Data Subject needs to obtain such a large amount of information, and in the absence of such reason, to narrow down the scope of requested Personal Data.
11.9. A complaint with regard to actions or inaction of the Company in the process of implementation of rights of the Data Subject may be filed with the national Supervisory Authority, contact details of Supervisory Authorities are available here: https://edpb.europa.eu/about-edpb/board/members_en (Lithuanian Supervisory Authority is state Data Protection Inspectorate: www.vdai.lrv.lt), or a competent court by the data subject themselves or the representative thereof, as well as by a non-profit institution, organisation or association authorised by the data subject complying with the requirements of Article 80 of GDPR.
11.10. Should the Data Subject incur any material or non-material damage due to the infringement of rights of the Data Subject, the Data Subject shall have the right to a compensation and may claim it by bringing court action in the court competent to settle such disputes.
12.1. Procedure shall be revised when changes are made to Applicable Laws. Procedure shall be amended by the order of Company’s CEO
12.2. If any provision of this Procedure is found to be unenforceable or contrary to Applicable Laws, or becomes fully or partially invalid for whatever reason, the validity of the remaining provisions of this Procedure will not be affected
12.3. If you would be like to receive detailed information related to Your personal data, please email us at info@nextsteps.lt and we will send you Data subject request implementation form.
UAB „NEXT STEPS“
DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA
1.1. Duomenų subjektų teisių įgyvendinimo UAB „Next Steps“, juridinio asmens kodas 304074588, buveinė adresu Gražinos g. 17-2, LT-10220 vilnius, Lietuvos Respublika (toliau – Bendrovė) tvarkos (toliau – Tvarka) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Bendrovėje tvarką. Ji yra parengta vadovaujantis Bendruoju duomenų apsaugos reglamentu.
1.2. Įgyvendinant Duomenų subjektų teises vadovaujamasi Bendruoju duomenų apsaugos reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais.
1.3. Šioje Tvarkoje neapibrėžtos didžiąja raide rašomos sąvokos turi Bendrovės asmens duomenų tvarkymo taisyklės, patvirtintose Bendrovės vadovo, numatytas reikšmes.
2.1. Informacija apie Bendrovėje atliekamą Duomenų subjekto asmens duomenų tvarkymą, nurodyta Bendrojo duomenų apsaugos reglamento 13 ir 14 straipsniuose, pateikiama raštu asmens duomenų gavimo metu, arba Bendrovės Privatumo politikoje.
2.2. Kai Duomenų subjekto Asmens duomenys renkami ne tiesiogiai iš Duomenų subjekto, apie šio Duomenų subjekto Asmens duomenų tvarkymą informuojama:
3.1. Duomenų subjektui turi būti suteikiama teisė susipažinti su apie jį surinktais Asmens duomenimis ir galimybė ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad Duomenų subjektas žinotų apie Asmens duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. Kiekvienas Duomenų subjektas turi teisę žinoti ir būti informuotas, visų pirma, apie tai, kokiais tikslais Asmens duomenys tvarkomi ir, jei įmanoma, – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai.
3.2. Bendrovė esant Duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo Asmens duomenimis turi pateikti:
3.3. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta tvarkomų Asmens duomenų kopija ir kita forma, nei Bendrovė pateikia, tačiau už tai imamas mokestis, apskaičiuotas pagal administracines išlaidas.
4.1. Duomenų subjektas, vadovaudamasis BDAR 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs Asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
4.2. Siekiant įsitikinti, kad tvarkomi Duomenų subjekto Asmens duomenys yra netikslūs ar neišsamūs, Bendrovė gali Duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
4.3. Jeigu Duomenų subjekto Asmens duomenys (ištaisyti pagal Duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
5.1. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama BDAR 17 straipsnyje numatytais atvejais.
5.2. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta BDAR 17 straipsnio 3 dalyje numatytais atvejais.
5.3. Jeigu Duomenų Subjekto Asmens duomenys (ištrinti pagal Duomenų Subjekto prašymą) buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
6.1. BDAR 18 straipsnio 1 dalyje numatytais atvejais Bendrovė privalo įgyvendinti Duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
6.2. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą Duomenų subjektas elektroninių ryšių priemonėmis yra informuojamas.
6.3. Jeigu Duomenų subjekto Asmens duomenys (kurių tvarkymas apribotas pagal Duomenų Subjekto prašymą) buvo perduoti duomenų gavėjams, Bendrovė šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
7.1. Naudodamasis savo teise į Asmens duomenų perkeliamumą, Duomenų subjektas turi teisę, kad vienas Duomenų valdytojas Asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.
7.2. Duomenų subjektas turi teisę gauti su juo susijusius Asmens duomenis, kuriuos jis pateikė Bendrovei susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam Duomenų valdytojui, o Duomenų valdytojas, kuriam Asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:
7.3. Duomenų subjektas teisės į Asmens duomenų perkeliamumą neturi tų Asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
7.4. Asmens duomenys gali būti pateikiami internetu arba įrašyti į CD, DVD ar kitą duomenų laikmeną. Bendrovė Asmens duomenis gali pateikti naudojant atvirus formatus, tokius kaip XML, JSON, CSV, kartu su atitinkamais metaduomenimis.
7.5. Jeigu perkeliamuose Asmens duomenyse yra Trečiųjų asmenų Asmens duomenų, siekiant išvengti neigiamo poveikio jų interesams, Bendrovė asmens duomenis perkelti gali tik tada, kai jie yra kontroliuojami išimtinai Duomenų subjekto, kurio prašymas vykdomas, ir tik dėl asmeninių ar namų ūkio poreikių.
7.6. Duomenų subjektas, kreipdamasis dėl teisės į Asmens Duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo Asmens duomenys būtų persiųsti jam ar kitam Duomenų valdytojui.
7.7. Vykdant Duomenų subjekto prašymą perkeliami tik su Duomenų subjektu susiję bei jo Duomenų valdytojui pateikti duomenys ir tik tie, kuriuos tvarko Bendrovė. Į šios teisės sritį nepatenka Asmens duomenys, gauti jau apdorojus, išanalizavus tiesiogiai Duomenų subjekto pateiktą informaciją bei fiksuotus duomenis, pavyzdžiui, vartotojo profilis, sukurtas remiantis išanalizuotais duomenimis.
7.8. Savo teise į Asmens duomenų perkeliamumą Duomenų subjektas turi teisę naudotis nedarydamas poveikio jokiai kitai teisei (tai galioja ir bet kurioms kitoms Bendrajame duomenų apsaugos reglamente numatytoms teisėms). Duomenų subjektas gali ir toliau naudotis Bendrovės teikiamomis paslaugomis ir pasinaudoti jos teikiamais pranašumais net ir po Asmens duomenų perkėlimo operacijos.
7.9. Pagal Duomenų subjekto prašymą perkelti jo Asmens duomenys nėra automatiškai ištrinami. Jeigu Duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
8.1. Duomenų subjektas, vadovaudamasis BDAR 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Bendrovė tvarkytų jo Asmens duomenis, kai:
8.2. Duomenų subjektui išreiškus nesutikimą su Asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas Asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu Asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.
9.1. Ši teisė nėra įgyvendinama Bendrovėje atliekamo Asmens duomenų tvarkymo atžvilgiu.
10.2. Prašymas įgyvendinti Duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti Duomenų subjekto vardas, pavardė, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl Duomenų subjekto teisių įgyvendinimo.
10.3. Jeigu dėl Duomenų Subjekto teisių įgyvendinimo prašymas pateiktas raštu asmeniškai, Duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, Duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu Duomenų subjektas kreipiasi dėl informavimo apie Asmens duomenų tvarkymą pagal BDAR 13 ir 14 straipsnius.
10.4. Jeigu dėl Duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, kartu turi būti pateikti teisės aktų nustatyta tvarka patvirtinta asmens tapatybės dokumento kopija. Ši nuostata netaikoma, jeigu Duomenų subjektas kreipiasi dėl informavimo apie Asmens duomenų tvarkymą pagal BDAR 13 ir 14 straipsnius.
10.5. Savo teises Duomenų subjektas gali įgyvendinti pats arba per atstovą. Jei prašymas įteikiamas per atstovą – atsižvelgiant į prašymo pateikimo būdą, be aukščiau nurodytų dokumentų, atstovas turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais atstovas pageidauja gauti atsakymą ir pateikti atstovavimą patvirtinantį dokumentą (ar teisės aktų nustatyta tvarka patvirtintą įgaliojimo kopiją).
10.6. Esant abejonių dėl Duomenų subjekto tapatybės, Duomenų valdytojas prašo papildomos informacijos, reikalingos ja įsitikinti. Bendrovė turi dėti protingas pastangas nustatyti prašymą susipažinti su Asmens duomenimis pateikusio asmens tapatybę, kadangi gali būti taikomos sankcijos už neteisėtą Asmens duomenų atskleidimą Tretiesiems asmenimis.
10.7. Kreipiantis raštu dėl Duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Tvarkos 1 Priede nurodytos formos prašymą.
11.1. Gavus Duomenų subjekto prašymą, ne vėliau kaip per 1 (vieną) mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Šis laikotarpis prireikus gali būti pratęstas dar 2 (dviem) mėnesiais, atsižvelgiant į prašymų sudėtingumą ir skaičių. Tokiu atveju, privaloma per 1 (vieną) mėnesį nuo prašymo gavimo raštu informuoti Duomenų subjektą apie tokį pratęsimą ir nurodyti vėlavimo priežastis. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą Duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Priežiūros institucijai.
11.2. Jeigu prašymas pateiktas nesilaikant Tvarkos 10 skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 5 (penkias) darbo dienas, Duomenų subjektas apie tai informuojamas nurodant priežastis.
11.3. Jeigu nusprendžiama nesiimti veiksmų pagal Duomenų subjekto prašymą, privaloma nedelsiant, tačiau ne vėliau kaip per 1 (vieną) mėnesį nuo prašymo gavimo, raštu informuoti Duomenų subjektą apie neveikimo priežastis (pvz., prašymą teikiantis asmuo nepatikslino savo tapatybės) ir apie galimybę pateikti skundą Priežiūros institucijai. Privaloma tinkamai informuoti Duomenų subjektą apie atsisakymą tenkinti jo prašymą.
11.4. Jeigu prašymo nagrinėjimo metu nustatoma, jog Duomenų subjekto teisės yra apribotos Bendrojo duomenų apsaugos reglamento straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
11.5. Duomenų subjekto prašomą pateikti informaciją apie Asmens duomenų tvarkymą pateikiama tokia pačia forma, kokia buvo gautas duomenų subjekto prašymas (nebent pats Duomenų subjektas paprašė ją pateikti kitu būdu), t. y. jeigu prašymas pateikiamas elektroninėmis priemonėmis (pvz., el. paštu), informacija pateikiama įprastai naudojama elektronine forma. Informacija pagal Duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
11.6. Informaciją ir pranešimai teikiami bei kiti veiksmai, susiję su Duomenų subjektų teisių įgyvendinimu, atliekami nemokamai, išskyrus atvejus, jeigu Duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio pobūdžio. Tokiu atveju Bendrovė gali imti pagrįstą mokestį už informacijos ar pranešimo teikimą arba prašomų veiksmų vykdymą (tokiu atveju, Duomenų subjektas informuojamas apie nustatytą atlyginimo dydį (pavyzdžiui, už CD, DVD ar kitos laikmenos, kurioje yra vaizdo įrašo kopija, gavimą, dokumentų rengimą ir t. t.) ir Asmens duomenų teikimo apmokėjimo tvarką) arba atsisakyti imtis veiksmų pagal prašymą. Mokesčio dydis neturi viršyti informacijos ar pranešimo teikimo ar veiksmų atlikimo sąnaudų. Mokesčio dydį Bendrovė nustato ir tvirtina atsižvelgdama į darbo ir materialines sąnaudas, kurių reikia informacijai ar pranešimui pateikti ar veiksmams atlikti.
11.7. Ar prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, kiekvienu atveju reikia vertinti individualiai. Jeigu Duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas, tai pareiga įrodyti tai tenka Bendrovei.
11.8. Tais atvejais, kai Bendrovė tvarko labai didelį kiekį Asmens duomenų, neproporcingu gali būti laikomas prašymas pateikti informaciją apie visus tvarkomus Asmens duomenis už visą jų tvarkymo laikotarpį. Vis dėlto, ir gavus neproporcingą prašymą, visų pirma, rekomenduojama paprašyti Duomenų subjekto jį patikslinti, nurodant, dėl kokios priežasties Duomenų subjektui yra būtina gauti tokį didelį kiekį informacijos, o jei tokios priežasties nėra – susiaurinti prašomų pateikti Asmens duomenų apimtį.
11.9. Bendrovės veiksmus ar neveikimą įgyvendinant duomenų subjekto teises Duomenų subjektas turi teisę skųsti pats arba Duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti BDAR 80 straipsnio reikalavimus, nacionaliniai Priežiūros institucijai, kurių kontaktus galima rasti adresu: https://edpb.europa.eu/about-edpb/board/members_en, (Lietuvos jurisdikcijoje priežiūros institucijos funkcijas atlieka Valstybinė duomenų apsaugos inspkecija: www.vdai.lrv.lt), taip pat kompetentingam teismui.
11.10. Dėl Duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, Duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į teismą kompetentingą nagrinėti tokius ginčus.
12.1. Tvarka yra peržiūrima, kai pasikeičia Taikytini teisės aktai. Tvarka keičiama Bendrovės vadovo įsakymu.
12.2. Jeigu kuri nors šios Tvarkos nuostata taps negalima ar prieštaraujančia Taikytiniems teisės aktams, arba dėl kurios nors priežasties taps dalinai arba visai negaliojančia, ji nedarys negaliojančiomis likusių Tvarkos nuostatų.
12.3. Jei Jūs norėtumėte gauti konkrečią informaciją apie Jūsų duomenų naudojimą, prašome susisiekti su bendrove adresu info@nextsteps.lt, ir mes atsiųsime Jums užpildyti Duomenų subjekto teisių įgyvendinimo prašymo formą.