PRIVATUMO POLITIKA

1. Įvadas

LFF asmens duomenų tvarkymo direktyva (toliau – Direktyva) yra priimta LFF 2022 -03-16 VK sprendimu Nr.219.
LFF asmens duomenų tvarkymo direktyva yra nustatomos bendrosios informacijos ir asmens duomenų rinkimo bei naudojimo gairės, kurios yra labai svarbios LFF siekiant savo organizacinių ir veiklos tikslų įgyvendinimo, užtikrinant asmenų bei subjektų, kurių duomenys yra valdomi bei tvarkomi, tinkamą duomenų apsaugą.
Šioje Direktyvoje atsispindi LFF įsipareigojimas užtikrinti asmens duomenų (kaip apibrėžta toliau) apsaugą ir laikytis duomenų apsaugos ir saugumo teisės aktų savo veiklos procesuose. Direktyva kartu su kitais galiojančiais LFF prisiimtais įsipareigojimais taikoma, siekiant užtikrinti, kad informacija ir asmens duomenys LFF būtų tvarkomi laikantis toliau nustatytų reikalavimų.

2. Tikslas

Šioje Direktyvoje nustatyti LFF renkamų, naudojamų, perduodamų ir kitaip tvarkomų asmens duomenų saugumo ir atitikties standartai, siekiant užtikrinti tinkamą atitinkamų duomenų subjektų (kaip apibrėžta toliau) teisių apsaugą.

Šios Direktyvos taisykles ir principus turi atitikti visa su asmens duomenų tvarkymu, kai LFF veikia kaip asmens duomenų valdytojas arba tvarkytojas (kaip apibrėžta toliau), susijusi LFF veikla ir paslaugos.

3. Taikymo sritis ir apibrėžtys

3.1. Ši Direktyva taikoma visiems LFF darbuotojams, konsultantams ir kitoms trečiosioms šalims, LFF ar savo vardu tvarkančioms kokius nors asmens duomenis, ir jie visais atvejais privalo laikytis šios Direktyvos.
3.2. Savo veiklos vykdymo tikslais LFF gali tiesiogiai arba netiesiogiai rinkti ir tvarkyti informaciją, susijusią su asmenimis (duomenų subjektais), kurių asmens tapatybė yra nustatyta arba gali būti nustatyta, įskaitant (tačiau neapsiribojant) darbuotojus, sportininkus, trenerius, teisėjus, sirgalius, prašymus dėl akreditacijos pateikusius asmenis, savanorius, prašymus dėl bilietų pateikusius asmenis, komandų personalą, rungtynių pareigūnus, rangovus, transliuotojus, partnerius ir LFF interneto svetainėmis bei paraiškomis besinaudojančius asmenis.
3.3. Šie asmens duomenys tvarkomi vadovaujantis šia Direktyva, 2016 m. balandžio 27 d. Europos parlamento ir tarybos reglamentu (ES) 2016/679 Dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo yra panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas arba BDAR, Lietuvos asmens duomenų apsaugos įstatymu ir kitais Lietuvos Respublikoje galiojančiais teisės aktais.
3.4. Šioje Direktyvoje taikomos šios apibrėžtys:
• Duomenų valdytojas – fizinis arba juridinis asmuo, kuris (savarankiškai arba kartu su kitais) priima sprendimą dėl asmens duomenų tvarkymo tikslo ir priemonių.
• Duomenų tvarkytojas – bet kuris asmuo, išskyrus duomenų valdytojo darbuotoją, kuris duomenų valdytojo vardu tvarko asmens duomenis.
• Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
• Duomenų subjektas – nustatytos arba galimos nustatyti tapatybės asmuo, kurio asmens duomenys yra tvarkomi.
• BDAR – 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo.
• Incidentas – bet koks LFF arba LFF vardu saugomų, perduodamų arba kitaip tvarkomų asmens duomenų netyčinis arba neteisėtas sunaikinimas, praradimas, pakeitimas, neteisėtas atskleidimas arba prieiga.
• Asmens duomenys – bet kokia informacija, susijusi su nustatytos arba galimos nustatyti tapatybės asmeniu (duomenų subjektu). Galimos nustatyti tapatybės asmuo yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti remiantis identifikatoriumi, pavyzdžiui, vardu ir pavarde, asmens kodu, vietovės duomenimis, internetiniu identifikatoriumi arba vienu ar keliais tam asmeniui būdingais veiksniais, fiziologine, genetine, psichikos, ekonomine, kultūrine ar socialine to fizinio asmens tapatybe.
• Sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuotų Duomenų subjektų valios išreiškimas rašytiniu pareiškimu arba vienareikšmiais veiksmais, kuriais jie sutinka, kad būtų tvarkomi su jais susiję Asmens duomenys.
• Duomenų saugumo incidentas – bet koks duomenų konfidencialumo, vientisumo ir prieinamumo praradimo atvejis, galintis kelti riziką FIFA, bet kuriam kitam Subjektui arba Duomenų subjektui.
• Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu.
• Ypatingų kategorijų asmens duomenys – asmens duomenys, susiję su:

– religiniais ar filosofiniais įsitikinimais, politinėmis pažiūromis ar naryste profesinėse sąjungose;
– sveikata, intymia sritimi, rasine ar etnine kilme;
– genetinių ar biometrinių duomenų tvarkymu, siekiant konkrečiai nustatyti fizinio asmens tapatybę.
• UEFA – Union des Associations Européennes de Football bei jos kontroliuojamieji subjektai, įskaitant „UEFA Events“ SA ir „UEFA Club Competitions“ SA.
• FIFA – Fédération Internationale de Football Association.
• LFF – Lietuvos futbolo federacija.
• Comet – LFF administruojama elektroninė futbolo informacinė sistema, pasiekiama interneto adresu https://comet.lff.lt, skirta supaprastinti futbolo administracinius procesus LFF ir jos Nariams.
• „PROSOCCERDATA“ platforma – programinė įranga kaip paslauga (SaaS), kokią sukūrė ir pateikė „PROSOCCERDATA“ ir kurią yra leidžiama naudoti LFF pagal licencinę sutartį.
• RSCA – „Royal Sporting Club Anderleht NV“.
• Analyticom d.o.o – COMET sistemos savininkė.
• Už asmens duomenų tvarkymo priežiūrą atsakingas asmuo – LFF Generalinio sekretoriaus paskirtas asmuo, kuris atlieka šios LFF Direktyvos laikymosi priežiūrą ir įgyvendinimą, Duomenų apsaugos incidentų prevenciją ir nustatymą.

4. Duomenų apsaugos principai

4.1. Asmens duomenų rinkimas yra ribojamas ir šie duomenys duomenų subjekto atžvilgiu turi būti tvarkomi teisėtai, sąžiningai ir skaidriai.
4.2. Asmens duomenys turi būti renkami tik nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir tvarkomi tik tais tikslais, kuriais jie buvo renkami, bei tiems tikslams būtina apimtimi.
4.3. Asmens duomenys turi būti tikslūs, išsamūs ir atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi.
4.4. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
4.5. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo.
4.6. Dėl asmens duomenų tvarkymo pokyčių, praktikos ir principų būtina bendra atvirumo politika. Asmens duomenų buvimo ir pobūdžio nustatymo priemonės, pagrindiniai jų naudojimo tikslai ir duomenų valdytojo tapatybė bei įprastinė gyvenamoji arba veiklos vieta turi būti lengvai prieinami.
4.7. Jeigu asmens duomenys renkami tiesiogiai iš duomenų subjekto, asmens duomenų rinkimo tikslai ir informacija, kurią pagal taikomus duomenų apsaugos teisės aktus būtina pateikti duomenų subjektui, turėtų būti nurodyti ne vėliau nei duomenų rinkimo metu, o tolesnis naudojimas turėtų būti ribojamas tais tikslais. Duomenų subjektai apie jų duomenų tvarkymą turėtų būti informuojami iš anksto privatumo politikoje arba pranešime apie privatumą, kuriuose pateikiama pagal taikomus duomenų apsaugos teisės aktus privaloma informacija.
4.8. Jeigu asmens duomenys nėra renkami tiesiogiai iš duomenų subjekto, duomenų subjektas apie asmens duomenų rinkimo tikslus turi būti informuojamas ir pagal taikomus duomenų apsaugos teisės aktus privaloma informacija, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes, jam turi būti pateikta per pagrįstą laikotarpį nuo asmens duomenų gavimo, tačiau ne vėliau kaip per vieną mėnesį, išskyrus tais atvejais, jei:
4.8.1. asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti; tokiu atveju informacija turėtų būti pateikta ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
4.8.2. asmens duomenis planuojama atskleisti kitam gavėjui; tokiu atveju informacija turėtų būti pateikta ne vėliau kaip atskleidžiant duomenis pirmą kartą.
4.9. Už pirmiau nurodytų principų taikymo priemones atsako duomenų valdytojai (LFF nariai, futbolo klubai, futbolo akademijos, kitos su futbolu susijusios organizacijos) ir jie privalo turėti rašytinius dokumentus, įrodančius, kad šių principų laikomasi.

5. Teisėtas duomenų tvarkymo pagrindas

5.1. Prieš pradedant tvarkyti asmens duomenis ir jų tvarkymo metu turi būti reguliariai peržiūrimas konkrečios duomenų tvarkymo veiklos tikslas ir nustatomas tinkamiausias (-i) teisėtas (-i) tos veiklos pagrindas (-ai). Prieš pradedant tvarkyti asmens duomenis turi būti įvertinti šie teisėtumo pagrindai:
5.1.1. duomenų tvarkymui duotas duomenų subjekto sutikimas; arba
5.1.2. duomenis tvarkyti būtina vykdant sutartį, kurios šalimi yra duomenų subjektas, arba duomenų subjekto prašymu imantis priemonių prieš sudarant sutartį; arba
5.1.3. duomenis tvarkyti būtina vykdant LFF privalomus nustatytus teisės aktuose teisinius reikalavimus; arba
5.1.4. duomenis tvarkyti būtina siekiant apsaugoti gyvybinius duomenų subjekto arba kitų fizinių asmenų interesus; arba
5.1.5. duomenis tvarkyti būtina teisėtais LFF arba trečiosios šalies interesais, išskyrus atvejus, kai duomenų subjekto pagrindinės teisės ir laisvės yra už juos viršesni.
5.2. Siekdama įrodyti atitiktį duomenų apsaugos principams, sprendimą dėl taikomo teisėto pagrindo LFF ar kitas duomenų valdytojas privalo pagrįsti dokumentais.
5.3. Informaciją apie duomenų tvarkymo tikslą ir jo teisėtą pagrindą LFF duomenų subjektams pateiks atitinkamame(-iuose) pranešime (-uose) dėl privatumo.
5.4. LFF, remdamasi teisėtu interesu kaip tinkamu teisėtu asmens duomenų tvarkymo pagrindu:
5.4.1. atliks teisėto intereso įvertinimą ir tai užfiksuos dokumentuose, kuriais galėtų pagrįsti savo
sprendimą;
5.4.2. teisėto intereso įvertinime nustačius, jog daromas reikšmingas poveikis privatumui, įvertins, ar yra būtina atlikti ir poveikio duomenų apsaugai vertinimą (PDAV, žr. 8 dalį);
5.4.3. teisėto intereso vertinimą nuolat peržiūrės ir, pasikeitus aplinkybėms, atliks pakartotinai;
5.4.4. informaciją apie savo teisėtus interesus pateiks atitinkamame (-iuose) pranešime (-uose) dėl privatumo.

6. Ypatingų kategorijų asmens duomenys ir profiliavimas

6.1. Ypatingieji asmens duomenys tvarkomi jei LFF ir kitas duomenų valdytojas:
6.1.1. tokiam duomenų tvarkymui turi teisėtą pagrindą (kaip nurodyta 5.1.1 – 5.1.5 punktuose);
6.1.2. taikoma kuri nors specialioji neskelbtinų asmens duomenų tvarkymo sąlyga, t.y.:
• duomenų subjektas ar jos atstovas yra davęs aiškų sutikimą tokių duomenų tvarkymui
sutikime nurodytais tikslais;
• duomenų tvarkymas būtinas vykdant LFF arba duomenų subjekto teises arba pareigas
pagal darbo teisę ;
• duomenų tvarkymas būtinas siekiant apsaugoti gyvybinius duomenų subjekto
interesus, o duomenų subjektas fiziškai negali duoti sutikimo;
• duomenų tvarkymas susijęs su asmens duomenimis, kuriuos subjektas yra akivaizdžiai
paskelbęs viešai;
• duomenų tvarkymas būtinas teisėtiems reikalavimams nustatyti, vykdyti ar juos ginti;
arba
• duomenų tvarkymas būtinas dėl svarbių viešojo intereso priežasčių.
6.2. Asmens duomenys, susiję su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, bustvarkomi tik tuo atveju, kai tai leidžia taikomi duomenų apsaugos teisės aktai ir yra numatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės.
6.3. LFF turėtų užtikrinti, kad duomenų subjektai apie ypatingų kategorijų asmens duomenų rinkimą ir tvarkymą arba profiliavimą būtų informuojami, jei šie duomenys yra renkami LFF arba kito duomenų valdytojo vardu.

7. Įrašai, duomenų saugojimas ir archyvavimas

7.1. LFF ar kitas duomenų valdytojas asmens duomenų savo veikloje nesaugo ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
7.2. LFF ar kitas duomenų valdytojas nustato jos duomenų tvarkymo veikloje taikomas asmens duomenų saugojimo taisykles, aprašus ir saugų ištrynimą.
7.3. LFF ar kitas duomenų valdytojas taip pat privalo tvarkyti duomenų tvarkymo veiklos įrašus. Šiuose įrašuose pateikiama ši informacija:
7.3.1. LFF ir, jeigu taikytina, kitų duomenų valdytojų pavadinimas ir duomenys;
7.3.2. duomenų tvarkymo tikslai;
7.3.3. duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;
7.3.4. asmens duomenų gavėjų kategorijos;
7.3.5. kai taikoma, duomenų perdavimų į trečiąsias valstybes duomenys, įskaitant perdavimo mechanizmo apsaugos priemonių dokumentus;
7.3.6. duomenų saugojimo taisyklės;
7.3.7. taikomų techninių ir organizacinių priemonių apibūdinimas.

8. Poveikio duomenų apsaugai vertinimai

8.1. Tam tikromis aplinkybėmis (kaip reikalaujama pagal taikomus duomenų apsaugos teisės aktus), prieš pradedant vykdyti naują duomenų tvarkymo veiklą (pvz., tvarkymą naudojant naujas technologijas), atsakingas projekto vadovas turėtų kreiptis į už LFF Duomenų apsaugos procedūras atsakingą asmenį (<bdar@lff.lt>), kad būtų nustatyta, ar dėl naujo duomenų tvarkymo reikėtų atlikti poveikio duomenų apsaugai vertinimą (PDAV) bei gauti atitinkamus sutikimus iš asmens duomenų subjekto.
8.2. Jeigu tvarkant asmens duomenis duomenų subjektų teisėms gali kilti didelė rizika, prieš pradėdama duomenų tvarkymą, LFF atliks PDAV, siekdama įvertinti:
8.2.1. ar duomenų tvarkymas yra būtinas ir proporcingas atsižvelgiant į tikslą;
8.2.2. riziką duomenų subjektams;
8.2.3. kokios priemonės gali būti taikomos tai rizikai spręsti ir asmens duomenims apsaugoti.
8.3. Vertindama naują duomenų tvarkymo veiklą pagal taikomus duomenų apsaugos teisės aktus privalomais atvejais, LFF naudoja PDAV šabloną.

9. Duomenų saugumas

9.1. Atsižvelgdama į tvarkomų asmens duomenų pobūdį ir duomenų tvarkymo aplinkybes, LFF ir kiti duomenų valdytojai nustato ir taiko asmens duomenų saugumui užtikrinti būtinas technines ir organizacines priemones, siekdami išvengti (atsižvelgiant į techninių galimybių išsivystymo lygį) neteisėto duomenų tvarkymo ar neteisėtos prieigos prie asmens duomenų (konfidencialumas), jų pakeitimo (vientisumas) ir praradimo (prieinamumas).

10. Asmens duomenų tvarkymas pasitelkiant trečiąsias šalis

10.1. Tais atvejais, kai pagalbai vykdant duomenų tvarkymo veiklą yra pasitelkiami kiti subjektai, LFF turi pasirinkti trečiąsias šalis (duomenų tvarkytojus), kurios pateikia pakankamas garantijas, kad jos taikys tinkamas technines ir organizacines priemones, siekdamos užtikrinti, kad duomenų tvarkymas atitiktų duomenų apsaugos teisės aktų reikalavimus ir apsaugotų duomenų subjektų teises.
10.2. LFF privalo su kiekvienu duomenų tvarkytoju sudaryti atitinkamas raštiškas sutartis, pagal kurias jų būtų reikalaujama laikytis duomenų apsaugos teisės aktų ir kitų taikomų standartų bei įsipareigojimų.
10.3. LFF yra parengusi standartines duomenų tvarkymo sutartis, kuriose nustatyti BDAR įtvirtinti reikalavimai. Trečiajai šaliai – duomenų tvarkytojui reikalaujant naudoti jos pačios tipinę sutartį, būtina pasitikslinti LFF sutarčių su tiekėjais kontroliniame sąraše ir užtikrinti, kad trečiosios šalies sutartyje būtų pagal BDAR privalomos atitinkamos sutartinės nuostatos. Būtinos šios apsaugos priemonės:
10.3.1. trečioji šalis gali veikti tik pagal raštiškus LFF nurodymus;
10.3.2. duomenų tvarkytojams taikoma konfidencialumo pareiga;
10.3.3. duomenų tvarkymo saugumui užtikrinti taikomos atitinkamos priemonės;
10.3.4. subrangovai pasitelkiami tik gavus išankstinį LFF sutikimą ir sudarius raštišką sutartį;
10.3.5. trečioji šalis padės LFF sudaryti duomenų subjektams galimybę susipažinti su savo asmens duomenimis ir naudotis savo teisėmis į duomenų apsaugą;
10.3.6. trečioji šalis padės LFF vykdyti jos įsipareigojimus dėl saugaus duomenų tvarkymo, pranešimo apie duomenų pažeidimus ir poveikio duomenų apsaugai vertinimų;
10.3.7. trečioji šalis pasibaigus sutarčiai LFF reikalavimu visus asmens duomenis ištrins arba grąžins;
10.3.8. trečioji šalis sudarys galimybes auditui ir patikrinimams, teiks LFF visą informaciją, būtiną užtikrinant, kad LFF ir duomenų tvarkytojas vykdytų savo įsipareigojimus dėl duomenų apsaugos, taip pat nedelsdama praneš LFF tuo atveju, jeigu jos bus prašoma imtis taikomus duomenų apsaugos teisės aktus pažeidžiančių veiksmų.
10.4. LFF, vykdydama duomenų vidaus audito procesus, atliks duomenų tvarkytojų vykdomo duomenų tvarkymo patikrinimus, ypač dėl saugumo priemonių.

11. Asmens duomenų atskleidimas

11.1. Asmens duomenys trečiosioms šalims gali būti atskleidžiami tik dėl teisėtam tikslui, kuriam asmenys duomenys ir buvo iš pradžių renkami pagal gautą asmens duomenų subjekto sutikimą, jam neprieštaraujančių priežasčių arba dėl kitų pagal įstatymą leidžiamų tikslų.

12. Asmens duomenų perdavimas

12.1. Tais atvejais, kai LFF asmens duomenis turi teisę pagal gautą duomenų subjekto sutikimą perduoti ir perduoda trečiosioms šalims, duomenų subjektų teisės perdavimo metu turi būti apsaugotos ir LFF privalo užtikrinti, kad perduodant būtų taikomos galiojančiuose duomenų apsaugos teisės aktuose numatytos tinkamos ir pakankamos apsaugos priemonės, numatytos dalijimosi asmens duomenimis sutartyje.
12.2. Jei asmens duomenys perduodami arba sudaroma galimybė su jais susipažinti šalyje, kurioje netaikomi pakankami duomenų apsaugos teisės aktai, už Europos ekonominės erdvės ribų, į keitimosi asmens duomenimis sutartis gali būti įtrauktos būtinos EU tipinės sutarčių sąlygos.

13. Duomenų subjektų teisės

13.1. LFF įdiegtos gairės, kuriose nustatytos LFF procedūros, pagal kurias duomenų subjektams teikiami atsakymai ir sudaroma galimybė naudotis taikomuose duomenų apsaugos teisės aktuose numatytomis teisėmis. Gairėse išsamiau nustatyta, kaip atsakyti tais atvejais, kai duomenų subjektas naudojasi 13.2 punkte numatytomis teisėmis.
13.2. Vadovaujantis taikomais duomenų apsaugos teisės aktais, duomenų subjektai, pateikę prašymą LFF atsakingam už asmens duomenų apsaugą asmeniu el. paštu (<bdar@lff.lt>), gali naudotis tam tikromis su LFF ar kito duomenų valdytojo tvarkomais jų asmens duomenimis susijusiomis teisėmis.
Jie turi šias teises:
13.2.1. gauti informaciją, kokie jų asmens duomenys yra tvarkomi ir kokiais tikslais, taip pat prieigos prie tokių asmens duomenų ir jų perdavimo kitam duomenų valdytojui teisę;
13.2.2. reikalauti, kad LFF ar kitas duomenų valdytojas ištaisytų su jais susijusius netikslius asmens duomenis;
13.2.3. reikalauti, kad tam tikrais atvejais LFF ar kitas duomenų valdytojas ištrintų su jais susijusius asmens duomenis;
13.2.4. reikalauti, kad tam tikrais atvejais LFF ar kitas duomenų valdytojas apribotų (t.y., sustabdytų) asmens duomenų tvarkymą;
13.2.5. tam tikrais atvejais nesutikti su tolesniu asmens duomenų tvarkymu;
13.2.6. nesutikti su automatizuotu sprendimų priėmimu.

14. Įgyvendinimas ir vertinimas

14.1. Su šia Direktyva LFF darbuotojai supažindinami vidiniais ryšių kanalais (intranetu), o darbuotojais nesančius asmenis pradedant vykdyti pavedimą supažindina jų tiesioginis LFF vadovas.
14.2. LFF reguliariai tikrina, kad ši Direktyva būtų paskelbta LFF interneto svetainėje www.lff.lt ir taikoma LFF bei toliau atitiktų taikomus duomenų apsaugos teisės aktus.
14.3. Direktyva atitinkamai gali būti keičiama. Apie reikšmingus pakeitimus darbuotojams ir kitoms šalims bus pranešta atitinkamais duomenų apsaugos grupės nustatytais mechanizmais.

15. Pareigos ir atsakomybė

15.1. Visi skyrių direktoriai, padalinių vadovai ir atitinkamas pareigas LFF veikloje einantys asmenys atsako už Direktyvos vykdymo užtikrinimą savo veiklos srityje. Ši nuostata taikoma ir kitų duomenų valdytojų atveju.
15.2. Darbuotojai, konsultantai ir kitos LFF vardu kokius nors asmens duomenis tvarkančios trečiosios šalys privalo susipažinti su šia Direktyva bei susijusiomis procedūromis ir jų laikytis. To nepadarius, tai gali būti laikoma šios Direktyvos pažeidimu, ir LFF pasilieka teisę imtis visų, jos nuomone, tinkamų priemonių.
15.3. Bet kuris asmuo, kuris savo tikslais arba savo veiklai naudoja kokį nors procesą, yra laikomas atsakingu už tą procesą ir šios Direktyvos laikymąsi.

16. Duomenų saugumo incidentai

16.1. Ypač svarbu, kad LFF ir kiti duomenų valdytojai bei tvarkytojai būtų pasirengę incidentams ir būtų pajėgus nedelsdami spręsti jos informacijos (įskaitant ir tvarkomų asmens duomenų) konfidencialumui, vientisumui ir prieinamumui kylančias grėsmes.
16.2. Atkreiptinas dėmesys, kad incidentas gali įvykti tiek asmens duomenis saugant ir valdant tiesiogiai, tiek per trečiąją šalį, pavyzdžiui, debesijos paslaugų teikėją, mokėjimų platformą ar duomenų valymo paslaugų teikėją.
16.3. Jeigu incidentas susijęs su asmens duomenimis, LFF ar kitas duomenų valdytojas turi vykdyti konkrečias pareigas, kurios jai privalomos pagal taikomus duomenų apsaugos teisės aktus.
16.4. Visi Duomenų saugumo incidentai turi būti sprendžiami vadovaujantis konkrečiais LFF patvirtintais procesais.
16.5. Apie Duomenų saugumo incidentus pranešama el. paštu (<bdar@lff.lt>).

17. COMET ir „PROSOCCERDATA“ platformų naudojimas

17.1. COMET sistemoje talpinamais duomenimis turi teisę susipažinti turint Asmens duomenų subjekto sutikimą FIFA, UEFA ir LFF atstovai tuo tikslu, kad būtų įgyvendinti LFF, UEFA ir FIFA reglamentai ar kiti teisės aktai, susiję su futbolo žaidėjų kontraktais, jų perėjimais iš vieno klubo į kitą, trenerių ir teisėjų, futbolo žaidėjų licencijų išdavimu, registravimu į varžybas ir kitais tokio pobūdžio tikslais, nustatytais jų įstatuose. Analyticom d.o.o. atstovai turi teisę susipažinti su asmens duomenimis, kadangi ji yra COMET sistemos savininkė bei valdytoja, siekiant užtikrinti tinkamą COMET sistemos techninį veikimą ir duomenų apdorojimą.
17.2. Už duomenų talpinimą į COMET sistemą Duomenų subjektų sutikimu, už asmens duomenų teisingumą, jų ištrynimą ir jų konfidencialumą atsako atitinkamas į COMET sistemą duomenis talpinantis asmuo (LFF narys, futbolo klubas, futbolo akademija, kita su futbolo veikla susijusi organizacija, naudojanti COMET sistemą).
17.3. Su duomenų subjekto sutikimu „PROSOCCERDATA“ platformoje talpinamus duomenis tvarko ir su jais turi teisę susipažinti futbolo akademijos talpinančios tokius duomenis, LFF ir „ProsoccerData NV“ atstovai, įsipareigoję laikytis asmens duomenų tvarkymo konfidencialumo reikalavimų, tuo tikslu, jog būtų vykdoma partnerystės sutarties su RSCA ir bendradarbiavimo sutarčių su futbolo akademijomis vykdymo kontrolė. Su duomenimis taip pat galės supažinti RSCA atstovai, įsipareigoję laikytis asmens duomenų tvarkymo konfidencialumo reikalavimų, tuo tikslu, jog būtų įgyvendinamos partnerystės ir bendradarbiavimo sutartys su LFF. „ProsoccerData NV“ atstovai turi teisę susipažinti su asmens duomenimis, kadangi ji yra „PROSOCCERDATA“ platformos valdytoja ir savininkė ir tuo tikslu, kad būtų užtikrinamas tinkamas „PROSOCCERDATA“ platformos veikimas.
17.4. Už duomenų talpinimą į „PROSOCCERDATA“ platformą Duomenų subjektų sutikimu, už duomenų teisingumą, jų ištrynimą ir jų konfidencialumą atsako atitinkamas į „PROSOCCERDATA“ sistemą duomenis talpinantis asmuo (futbolo akademija, kita su futbolo veikla susijusi organizacija).
17.5. Jei LFF naudoja kitas asmens duomenų talpinimo platformas galioja analogiškos nuostatos aukščiau išdėstytoms taisyklėms.

18. Išimtys

18.1. Itin retais atvejais gali būti būtinos šios Direktyvos išimtys ir tai sprendžia už LFF asmens duomenų tvarkymą atsakingas asmuo, kuris užtikrina, kad susijusi rizika būtų nustatyta, apie ją būtų pranešama LFF vadovams, ji būtų vertinama, valdoma ir periodiškai vertinama pakartotinai.
18.2. Oficialus prašymas dėl išimties turi būti pateiktas už LFF asmens duomenų tvarkymą atsakingam asmeniui, kuris tvarko patvirtintų išimčių ir atitinkamos jų trukmės sąrašą.
18.3. Patvirtintų išimčių sąrašą už LFF asmens duomenų tvarkymą atsakingas asmuo reguliariai, bent vieną kartą per metus peržiūri.

19. Kontaktiniai duomenys

19.1. Už atitiktį duomenų apsaugos reikalavimams LFF atsako paskirtas atsakingas asmuo ir kiti duomenų valdytojai, kurie sutarčių pagrindu su LFF, naudojasi COMET ir „PROSOCCERDATA“ platformas. Jeigu turite klausimų ar pastabų dėl šios politikos turinio arba jums reikia papildomos informacijos, turėtumėte kreiptis šiuo el. paštu: bdar@lff.lt.

20. Priėmimo ir įsigaliojimo data

20.1. Ši Direktyva priimta LFF Vykdomojo komiteto sprendimu Nr. 219 ir pakeičia visas ankstesnes su šiais klausimais susijusias taisykles, politikas, gaires, direktyvas ir priemones. Direktyva įsigalioja nuo 2022 m. kovo 16 d.