Asmens duomenys – bet kokia informacija, susijusi su asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmuo, kurio tapatybę galima nustatyti, yra bet kuris asmuo, kuris gali būti tiesiogiai ar netiesiogiai identifikuojamas. Asmens duomenimis taip pat gali būti laikoma įvairi informacija, kurią sudėjus būtų galima nustatyti konkretaus asmens tapatybę.

Asmens duomenų pavyzdžiai:

  • vardas ir pavardė;
  • namų adresas;
  • el. pašto adresas;
  • asmens tapatybės kortelės numeris;
  • vietos nustatymo duomenys;
  • interneto protokolo (IP) adresas;
  • slapuko ID;
  • banko sąskaita;
  • mokesčių ataskaita;
  • biometriniai duomenys (pvz., pirštų atspaudai);
  • socialinio draudimo numeris;
  • paso numeris;
  • tyrimų rezultatai;
  • pažymiai mokykloje;
  • naršymo istorija;
  • asmens nuotrauka;
  • transporto priemonės registracijos numeris ir t. t.

 

Daugiau informacijos:

Ar radote savo atsakymą?

Tuo atveju, kai asmens duomenys renkami tiesiogiai iš atitinkamų asmenų, organizacijos privalo glaustai ir skaidriai pateikti informaciją apie duomenų tvarkymo operacijas, vartodamos suprantamą, lengvai prieinamą, aiškią ir paprastą kalbą. Tai galima padaryti raštu (pvz., kitoje prašymo pateikti duomenis pusėje) arba elektroninėmis priemonėmis (pvz., interneto svetainėje). Jei atitinkamas asmuo to prašo, šią informaciją taip pat galite pateikti žodžiu, tačiau vėliau turite tai įrodyti.

Net ir tada, kai duomenys buvo renkami netiesiogiai, t. y. jei asmens duomenis renkate ne tiesiogiai iš asmens, bet, pavyzdžiui, per trečiąją šalį, asmenims turite pateikti tą pačią išsamią informaciją.

Ta pačia tema:
Ar radote savo atsakymą?

Kai yra du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslą ir priemones, jie laikomi bendrais duomenų valdytojais. Jie kartu nusprendžia tvarkyti asmens duomenis bendru tikslu. Bendras duomenų valdymas gali būti įvairių formų, o skirtingų duomenų valdytojų dalyvavimas gali būti nevienodas. Todėl bendri duomenų valdytojai turi nustatyti savo atitinkamą atsakomybę už BDAR laikymąsi.

Svarbu pažymėti, kad bendras duomenų valdymas lemia bendrą atsakomybę už duomenų tvarkymo veiklą.

  • Bendro duomenų valdymo pavyzdys: Bendrovės A ir B pristatė bendrą prekės ženklą ir nori surengti renginį šiam produktui reklamuoti. Tuo tikslu jos nusprendžia dalytis savo atitinkamų klientų ir būsimų klientų duomenų bazių duomenimis ir šiuo pagrindu priimti sprendimą dėl pakviestų dalyvauti renginyje asmenų sąrašo. Jos taip pat susitaria dėl kvietimų į renginį siuntimo, informacijos rinkimo renginio metu ir tolesnių rinkodaros veiksmų tvarkos. Bendrovės A ir B gali būti laikomos bendrais duomenų valdytojais tvarkant asmens duomenis, susijusius su reklaminio renginio organizavimu, nes jos kartu nusprendžia dėl bendrai apibrėžto duomenų tvarkymo tikslo ir pagrindinių priemonių šiame kontekste.

 

Daugiau informacijos:

Ar radote savo atsakymą?

Poveikio duomenų apsaugai vertinimas arba PDAV yra rašytinis vertinimas, kurį jūsų organizacija turėtų atlikti, kad įvertintų planuojamos duomenų tvarkymo operacijos poveikį. Jis padeda jums nustatyti tinkamas rizikos mažinimo priemones ir įrodyti atitiktį reikalavimams.

Nors visada pageidautina numatyti planuojamų jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.

Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:

  • neskelbtinų asmens duomenų arba duomenų, susijusių su apkaltinamaisiais nuosprendžiais, tvarkymą dideliu mastu;  
  • sistemingą ir išsamų asmens asmeninių savybių vertinimą, grindžiamą automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
  • sistemingą didelio masto viešai prieinamos teritorijos stebėseną.

EDAV parengė gaires, kuriose išvardijami kriterijai, į kuriuos turite atsižvelgti vertindami, ar PDAV yra privalomas, ar ne. Duomenų apsaugos institucijos (DAI) taip pat paskelbė duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašus. Be to, kelios DAI parengė vadovus, programinę įrangą arba įsivertinimo priemones, kurios padės jums atlikti vertinimą.

 

Daugiau informacijos:

Ar radote savo atsakymą?

BDAR suteikia fiziniams asmenims galimybę kontroliuoti jų asmens duomenų tvarkymą. Norint tai padaryti, labai svarbu užtikrinti skaidrumą. Tai reiškia, kad turite informuoti asmenis, kurių duomenis tvarkote apie savo tvarkymo operacijas ir tikslus. Kitaip tariant, jūs turite paaiškinti, ne tik kas tvarko jų duomenis, bet taip pat kaip ir kodėl. Tik tuo atveju, jei susijusiems asmenims asmens duomenų naudojimas yra skaidrus, jie gali įvertinti galimus pavojus ir priimti sprendimus dėl savo asmens duomenų.

Pagal BDAR Jūs privalote asmenimis pateikti šią informaciją:

  • duomenų valdytojo tapatybę ir kontaktinius duomenis;
  • duomenų tvarkymo tikslus;
  • duomenų tvarkymo teisinį pagrindą (jei teisėtas interesas, konkrečią informaciją apie tai, kokie teisėti interesai yra susiję su konkrečiu duomenų tvarkymu ir apie tai, kuris subjektas siekia kiekvieno teisėto intereso).
  • duomenų valdytojo kontaktinius duomenis;
  • DAP kontaktinius duomenis (jei yra DAP);
  • duomenų gavėjus arba gavėjų kategorijas;
  • Informaciją apie tai, ar duomenys bus perduoti už Europos ekonominės erdvės (EEE) ribų (kai taikoma: sprendimo dėl tinkamumo buvimą ar nebuvimą arba nuorodą į tinkamas apsaugos priemones ir tai, kaip ši informacija gali būti prieinama duomenų subjektams);
  • tvarkomų asmens duomenų kategorijas, kai duomenys gaunami ne iš asmens.

Be to, BDAR reikalaujama, kad jūsų organizacija, siekdama užtikrinti sąžiningą ir skaidrų duomenų tvarkymą, pateiktų šią informaciją:

  • saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus šiam laikotarpiui nustatyti;
  • teisę prašyti susipažinti su asmens duomenimis, juos ištrinti, ištaisyti, apriboti ar prieštarauti jų tvarkymui ir juos perkelti;
  • teisę pateikti skundą duomenų apsaugos institucijai;
  • jei duomenų tvarkymo teisinis pagrindas yra sutikimas: teisę bet kuriuo metu atšaukti sutikimą;
  • automatizuotų sprendimų priėmimo atveju – atitinkamą informaciją apie duomenų tvarkymo logiką ir numatomas pasekmes duomenų subjektui;
  • asmens duomenų šaltinį (jei jų tiesiogiai negavote iš atitinkamo asmens;
  • ar asmuo privalo pateikti asmens duomenis (pagal įstatymą, sutartį arba sudarant sutartį) ir kokios yra atsisakymo pateikti duomenis pasekmės.

 

Daugiau informacijos:

Ta pačia tema:
Ar radote savo atsakymą?

Asmens duomenų tvarkymas – bet kokios rūšies veikla (tvarkymo operacija), atliekama su fizinių asmenų asmens duomenimis. Tai apima asmens duomenų rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, pritaikymą ar keitimą, išgavimą, susipažinimą, paiešką, naudojimą, atskleidimą perduodant, platinant ar kitu būdu sudarant galimybę jais naudotis, sugretinimą ar sujungimą, apribojimą, ištrynimą ar sunaikinimą.

Ta pačia tema:
Ar radote savo atsakymą?

DAP organizacijoje gali atlikti kitas užduotis, tačiau dėl to negali kilti interesų konfliktas. Tai reiškia, kad DAP negali užimti tokios pozicijos, kurioje nustatytų duomenų tvarkymo tikslus ir priemones. Nesuderinamos funkcijos daugiausia apima vadovaujančias pareigas (generalinis direktorius, vykdomasis direktorius, finansų vadovas, žmogiškųjų išteklių vadovas, IT vadovas), tačiau jos taip pat gali apimti kitas funkcijas, jei vykdant jas nustatomi duomenų tvarkymo tikslai ir priemonės.

DAP turi galėti nepriklausomai vykdyti savo pareigas ir užduotis. Tai reiškia, kad jūsų organizacija:

  • negali duoti nurodymų DAP dėl jo DAP pareigų vykdymo;
  • negali bausti ar atleisti DAP už savo užduočių vykdymą.

 

Daugiau informacijos:

Ta pačia tema:
Ar radote savo atsakymą?

Galiojanti duomenų valdytojo ir duomenų tvarkytojo sutartis yra privaloma pagal BDAR. Už šį pažeidimą gali būti skiriama administracinė bauda iki 10 mln. EUR arba iki 2 % įmonės bendros metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Kad padėtų jums sudaryti duomenų valdytojo ir duomenų tvarkytojo sutartį, Danijos ir Slovėnijos duomenų apsaugos institucijos ir Europos Komisija parengė pavyzdines sutartis.

 

Daugiau informacijos:

Ta pačia tema:
Ar radote savo atsakymą?

Duomenų apsaugos pareigūno užduotys, be kita ko, apima:

  • organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
  • stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
  • konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
  • kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
  • kontaktinio asmens vaidmenį asmenims.

Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.

 

Daugiau informacijos:

Ar radote savo atsakymą?

Kaip laikomasi BDAR, stebi nacionalinės duomenų apsaugos institucijos (DAI). Prireikus DAI gali atlikti tyrimus ir taikyti sankcijas. DAI turi keletą priemonių, įskaitant, baudas iki 20 mln. EUR arba 4 proc. pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė, papeikimus ir laikinus arba nuolatinius tvarkymo draudimus.

Visų EEE DAI kontaktinius duomenis rasite EDAV interneto svetainėje: Nariai

 

Daugiau informacijos:

Ar radote savo atsakymą?
Subscribe to