Duomenų valdytojas ar duomenų tvarkytojas

Kas yra duomenų valdytojas?

Duomenų valdytojas nustato asmens duomenų tvarkymo tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Duomenų valdytojas gali būti juridinis asmuo, pavyzdžiui, įmonė, MVĮ, valdžios institucija, agentūra ar kita įstaiga.

Tam tikrais atvejais asmens duomenų tvarkymo tikslus ir priemones, taip pat ir duomenų valdytoją, galima nustatyti pagal ES arba valstybės narės teisę.

Kas yra bendri duomenų valdytojai?

Kai yra du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslą ir priemones, jie laikomi bendrais duomenų valdytojais. Jie kartu nusprendžia tvarkyti asmens duomenis bendru tikslu. Bendras duomenų valdymas gali būti įvairių formų, o skirtingų duomenų valdytojų dalyvavimas gali būti nevienodas. Todėl bendri duomenų valdytojai turi nustatyti atitinkamą savo atsakomybę už BDAR laikymąsi.

 

Kokios yra duomenų valdytojo arba bendrų duomenų valdytojų pareigos?

Kai nusprendžiama, kokiais tikslais ir priemonėmis bus tvarkomi asmens duomenys, duomenų valdytojas arba bendri duomenų valdytojai privalo užtikrinti asmens duomenų apsaugą. Siekiant to, duomenų valdytojas arba bendri duomenų valdytojai turi imtis priemonių, kad apsaugotų asmens duomenis ir leistų asmenims naudotis savo teisėmis.

Daugiau informacijos žr. Valdytojo/bendrų duomenų valdytojų pareigų kontrolinį sąrašą.

 

Kas yra duomenų tvarkytojas?

Duomenų tvarkytojas veikia tik pagal duomenų valdytojo nurodymus, tvarkydamas asmens duomenis duomenų valdytojo vardu.
Panašiai kaip ir duomenų valdytojas ar bendri duomenų valdytojai, duomenų tvarkytojas gali būti juridinis asmuo, pavyzdžiui, įmonė, MVĮ, valdžios institucija, agentūra ar kitos įstaigos.

Kas yra pagalbinis duomenų tvarkytojas?

Pagalbinis duomenų tvarkytojas veikia pagal duomenų tvarkytojo nurodymus, t. y. jis gali tvarkyti asmens duomenis duomenų tvarkytojo vardu. Pagalbinis duomenų tvarkytojas gali būti juridinis asmuo, pavyzdžiui, įmonė, MVĮ, valdžios institucija, agentūra ar kita įstaiga.

Pažymėtina, kad pagalbinis duomenų tvarkytojas gali būti paskirtas tik tuo atveju, jei duomenų valdytojas arba bendri duomenų valdytojai tai leidžia raštu. Tokiu atveju duomenų tvarkytojas su pagalbiniu duomenų tvarkytoju turi sudaryti sutartį, kurioje būtų išsamiai nurodyta pagalbinio duomenų tvarkytojo atsakomybė. Šioje duomenų tvarkytojo ir pagalbinio duomenų tvarkytojo sutartyje turi būti numatyta tokia pati asmens duomenų apsauga kaip ir pirminėje valdytojo ir duomenų tvarkytojo sutartyje.

Kokios yra duomenų tvarkytojo pareigos?

Nors atsakomybė paprastai tenka duomenų valdytojui, duomenų tvarkytojai taip pat turi tam tikras atsakomybes pagal BDAR. Duomenų tvarkytojai privalo atlikti duomenų tvarkymo operacijas naudodami tinkamas technines ir organizacines priemones, kurias nurodė duomenų valdytojas arba bendri duomenų valdytojai. Tokiu būdu duomenų tvarkytojas padeda duomenų valdytojui laikytis Bendrojo duomenų apsaugos reglamento.

Duomenų valdytojo ir duomenų tvarkytojo santykiai, įskaitant duomenų tvarkytojo pareigas, turi būti reglamentuojami sutartimi, kurioje nurodomos duomenų tvarkymo operacijos ir asmens duomenų tvarkymo priemonės.

Daugiau informacijos rasite „Tvarkytojo pareigų kontroliniame sąraše“.

 

Ką įtraukti į duomenų valdytojo ir duomenų tvarkytojo sutartį?

Duomenų valdytojo arba bendrų duomenų valdytojų ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

  • tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
  • užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
  • užtikrina duomenų tvarkymo saugumą;
  • negali pasitelkti kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo, kuris turi galimybę prieštarauti, leidimo;
  • padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakant į asmenų prašymus pasinaudoti savo teisėmis;
  • padeda duomenų valdytojui užtikrinti duomenų tvarkymą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
  • duomenų valdytojo pasirinkimu ištrina arba grąžina visus asmens duomenis duomenų valdytojui pasibaigus paslaugų teikimui;
  • suteikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
  • leidžia atlikti auditus, įskaitant duomenų valdytojo arba kito duomenų valdytojo įgalioto auditoriaus atliekamus patikrinimus, ir prie jų prisideda.

Ką įtraukti į tvarkytojo – pagalbinio duomenų tvarkytojo sutartį?

Duomenų tvarkytojo ir pagalbinio duomenų tvarkytojo sutartyje turi būti numatytos konkrečios sąlygos, kuriomis užtikrinama, kad tvarkomi asmens duomenys bus saugomi taip pat, kaip numatyta duomenų valdytojo ir duomenų tvarkytojo sutartyje.

 

Kas ir kam yra atsakingas?

Duomenų valdytojas arba bendri duomenų valdytojai atsako už tai, kad jie patys laikytųsi BDAR, ir už pasirinkto duomenų tvarkytojo atitiktį BDAR. Konkrečiai kalbant, jei duomenų tvarkytojas pažeidžia savo prievoles pagal BDAR, duomenų valdytojas arba bendri duomenų valdytojai galėtų būti laikomas atsakingais ir, jei taikytina, jiems galėtų būti grėsti baudos ir kitos pasekmės.

Duomenų tvarkytojas atsako už BDAR laikymąsi, ir gali būti atsakingas duomenų valdytojui už valdytojo – tvarkytojo sutarties pažeidimą. Duomenų tvarkytojas taip pat gali būti atsakingas duomenų valdytojui už pagalbinio duomenų tvarkytojo padarytus pažeidimus. 

 

Pareigų kontrolinis sąrašas

Duomenų valdytojo arba bendrų duomenų valdytojų pareigų kontrolinis sąrašas

  • Laikytis duomenų apsaugos principų pagal BDAR 5 straipsnį
  • Užtikrinti asmenų teises į duomenų apsaugą 
  • Tvarkyti duomenų tvarkymo veiklos įrašus
  • Užtikrinti duomenų tvarkymo saugumą
  • Pasirinkti tinkamą duomenų tvarkytoją
  • Sutartyje išsamiai nustatyti duomenų valdytojo ir duomenų tvarkytojo santykius
  • Pranešti apie asmens duomenų saugumo pažeidimus atitinkamai EEE duomenų apsaugos institucijai ir, kai taikytina, fiziniams asmenims
  • Būti atskaitingam už duomenų tvarkymo operacijas, taikyti pritaikytąją ir standartizuotąją duomenų apsaugą, prireikus atlikti poveikio duomenų apsaugai vertinimus;
  • Prireikus paskirti duomenų apsaugos pareigūną
  • Laikytis duomenų apsaugos įsipareigojimų, susijusių su tarptautiniu asmens duomenų perdavimu
  • Bendradarbiauti su duomenų apsaugos institucijomis

Duomenų tvarkytojo pareigų kontrolinis sąrašas

  • Vykdyti duomenų valdytojo nurodymus
  • Tvarkyti duomenų tvarkymo  veiklos įrašus
  • Užtikrinti duomenų tvarkymo saugumą
  • Laikytis privalomos duomenų valdytojo ir duomenų tvarkytojo sutarties
  • Prieš kreipiantis į naują pagalbinį duomenų tvarkytoją gauti duomenų valdytojo leidimą (ir suteikti duomenų valdytojui galimybę prieštarauti). Jei taikoma, turi būti sudaryta tvarkytojo – pagalbinio duomenų tvarkytojo sutartis ir ji turi būti prilyginta pirminei valdytojo ir tvarkytojo sutarčiai.
  • Pranešti apie asmens duomenų saugumo pažeidimus duomenų valdytojui
  • Pranešti apie BDAR pažeidimus duomenų valdytojui
  • Būti atskaitingam už duomenų tvarkymo operacijas: pvz., pritaikytosios ir standartizuotosios duomenų apsaugos taikymas
  • Prireikus paskirti duomenų apsaugos pareigūną
  • Užtikrinti, kad duomenų valdytojas leistų atlikti tarptautinius duomenų perdavimus ir kad jie atitiktų BDAR;
  • Bendradarbiauti su duomenų apsaugos institucijomis