Frequently Asked Questions

Tuo atveju, kai asmens duomenys renkami tiesiogiai iš atitinkamų asmenų, organizacijos privalo glaustai ir skaidriai pateikti informaciją apie duomenų tvarkymo operacijas, vartodamos suprantamą, lengvai prieinamą, aiškią ir paprastą kalbą. Tai galima padaryti raštu (pvz., kitoje prašymo pateikti duomenis pusėje) arba elektroninėmis priemonėmis (pvz., interneto svetainėje). Jei atitinkamas asmuo to prašo, šią informaciją taip pat galite pateikti žodžiu, tačiau vėliau turite tai įrodyti.

Net ir tada, kai duomenys buvo renkami netiesiogiai, t. y. jei asmens duomenis renkate ne tiesiogiai iš asmens, bet, pavyzdžiui, per trečiąją šalį, asmenims turite pateikti tą pačią išsamią informaciją.

Fiziniai asmenys turi teisę prašyti ištrinti su jais susijusius asmens duomenis ir tokiu atveju duomenų valdytojas privalo ištrinti asmens duomenis. Turėtumėte atsakyti be nepagrįsto delsimo ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Šis terminas gali būti pratęstas dar dviem mėnesiais, jei prašymas yra pernelyg sudėtingas ir reikia daugiau laiko prašymui įvykdyti, su sąlyga, kad asmuo apie tai informuojamas per vieną mėnesį nuo prašymo gavimo.

Svarbu pažymėti, kad teisė reikalauti ištrinti duomenis nėra absoliuti. Ji netaikoma, kai atitinkami duomenys yra būtini:

• naudojimuisi teise į saviraiškos ir informacijos laisvę (pvz., žurnalistiniais tikslais);
• laikytis teisinės prievolės, pagal kurią reikalaujama tvarkyti asmens duomenis (pvz., tvarkyti darbuotojų darbo valandų įrašus);
• dėl viešojo intereso priežasčių visuomenės sveikatos srityje;
• archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; ir
• siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

Kai asmens duomenys, kurie turi būti ištrinti, anksčiau buvo perduoti kitoms organizacijoms, turite informuoti šiuos gavėjus, kad asmuo paprašė ištrinti duomenis, nebent tai būtų neįmanoma arba pareikalautų neproporcingų pastangų.

Daugiau informacijos:

• Gerbti asmenų teises

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Taip, skambinant telefonu jūsų klientai turi būti informuojami apie įrašymo tikslus, įrašų gavėjus, jų teisę nesutikti ir teisę susipažinti su įrašais.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

• your habitual residence;
• your place of work; or
• the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

• data processing takes place in more than one country;
• or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Asmens duomenų tvarkymas – bet kokios rūšies veikla (tvarkymo operacija), atliekama su fizinių asmenų asmens duomenimis. Tai apima asmens duomenų rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, pritaikymą ar keitimą, išgavimą, susipažinimą, paiešką, naudojimą, atskleidimą perduodant, platinant ar kitu būdu sudarant galimybę jais naudotis, sugretinimą ar sujungimą, apribojimą, ištrynimą ar sunaikinimą.

Ne, neskelbtinų duomenų tvarkymas paprastai draudžiamas, išskyrus labai konkrečias aplinkybes:

• Asmuo davė aiškų sutikimą, kad jo neskelbtini duomenys būtų tvarkomi.
• Neskelbtinų duomenų tvarkymas yra būtinas, kad duomenų valdytojas galėtų vykdyti savo pareigas, visų pirma susijusias su užimtumu, socialine draudimu ir socialine apsauga. Pavyzdžiui, duomenų valdytojui gali tekti tvarkyti asmens neskelbtinus asmens duomenis, kad galėtų nustatyti, ar jis turi teisę į tam tikras socialinės apsaugos išmokas arba darbo stipendijas.
• Neskelbtinų duomenų tvarkymas yra būtinas siekiant apsaugoti gyvybinius asmens interesus, kai asmuo fiziškai ar teisiškai negali duoti sutikimo. Pavyzdžiui, jei dėl nelaimingo atsitikimo asmuo yra be sąmonės ir jam reikia skubios medicininės pagalbos, jo sveikatos duomenis gali reikėti tvarkyti, kad būtų galima suteikti tinkamą medicininę pagalbą.
• Neskelbtini duomenys tvarkomi vykdant teisėtą fondo, asociacijos ar kitos ne pelno siekiančios organizacijos, siekiančių politinių, filosofinių, religinių ar profesinių sąjungų tikslų, veiklą ir tik tvarkant jų narių, buvusių narių ar asmenų, su kuriais reguliariai bendraujama, asmens duomenis.
• Neskelbtinus duomenis asmuo aiškiai paskelbė viešai.
• Neskelbtinų duomenų tvarkymas yra būtinas vykstant teismo procesui.
• Neskelbtinų duomenų tvarkymas yra būtinas dėl svarbaus viešojo intereso priežasčių.
• Neskelbtinų duomenų tvarkymas yra būtinas profilaktinės ar darbo medicinos tikslais. Pavyzdžiui, norint nustatyti darbuotojo darbingumą, gali prireikti įvertinti neskelbtinus asmens duomenis, pvz., jo medicininius duomenis.
• Neskelbtinų duomenų tvarkymas yra būtinas dėl visuomenės sveikatos priežasčių remiantis ES arba nacionaline teise. Pavyzdžiui, siekiant užtikrinti aukštą sveikatos priežiūros ir medicinos produktų kokybę arba kovoti su didelėmis grėsmėmis sveikatai, pvz., virusais, gali reikėti tvarkyti neskelbtinus asmenų duomenis.
• Neskelbtinų duomenų tvarkymas yra būtinas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Pavyzdžiui, gali reikėti tvarkyti neskelbtinus duomenis, kad būtų galima pateikti tikslius statistinius duomenis apie šalies padėtį konkrečioje srityje.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Galiojanti duomenų valdytojo ir duomenų tvarkytojo sutartis yra privaloma pagal BDAR. Už šį pažeidimą gali būti skiriama administracinė bauda iki 10 mln. EUR arba iki 2 % įmonės bendros metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Kad padėtų jums sudaryti duomenų valdytojo ir duomenų tvarkytojo sutartį, Danijos ir Slovėnijos duomenų apsaugos institucijos ir Europos Komisija parengė pavyzdines sutartis.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Asmenys gali jūsų paklausti, ar tvarkote jų duomenis ir, jei taip, jie turi teisę susipažinti su tais duomenimis. Taigi, kai taip atsitinka ir jei tvarkote jų duomenis, turėtumėte, pavyzdžiui, nemokamai pateikti jų asmens duomenų kopiją kartu su bet kokia reikalinga papildoma informacija. Jei prašymas pateikiamas elektroniniu būdu, jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai asmuo paprašo kitaip.

Daugiau informacijos:

• Gerbti asmenų teises

Turėtumėte atsakyti be nepagrįsto delsimo ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Šis terminas gali būti pratęstas dar dviem mėnesiais, jei prašymas yra pernelyg sudėtingas ir reikia daugiau laiko atsakyti, su sąlyga, kad asmuo apie tai informuojamas per vieną mėnesį nuo prašymo gavimo.

Jūs turite tai padaryti nemokamai.

Daugiau informacijos:

• Gerbti asmenų teises

Atkreipiame dėmesį į Jūsų pasiūlymą Europos duomenų apsaugos valdybai apsvarstyti šį klausimą būsimoms gairėms parengti. Šiuo metu į EDAV darbo programą įtrauktas temas galite rasti mūsų interneto svetainėje https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_lt.

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision¹. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

BDAR taikomas slapukų naudojimui, kai jie naudojami asmens duomenims tvarkyti, tačiau taip pat yra nustatytos konkretesnės taisyklės dėl slapukų, įskaitant E. privatumo direktyvą.

Saugoti slapuką arba gauti prieigą prie jau saugomo slapuko naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas abonentas ar naudotojas buvo tinkamai informuotas (ypač apie tvarkymo tikslus) ir davė savo sutikimą.

Vienintelė išimtis yra techniškai būtini slapukai. Organizacijoms nereikia prašyti sutikimo, kai jų interneto svetainėse naudojami techniškai būtini slapukai.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Pseudonimų suteikimas – asmens duomenų transformavimas taip, kad jie nebegalėtų būti priskirti konkrečiam asmeniui nesinaudojant papildoma informacija, su sąlyga, kad tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad asmens duomenys nebūtų priskirti konkrečiam asmeniui. Praktikoje tai reiškia asmens duomenų (vardo, pavardės, asmens kodo, telefono numerio ir kt.) pakeitimą duomenų rinkinyje netiesiogiai identifikuojančiais duomenimis (slapyvardis, eilės numeris ir t. t.). Pseudoniminiai duomenys vis dar yra asmens duomenys ir jiems taikomas BDAR.

Anoniminiai duomenys –duomenys, kurių anonimiškumas užtikrintas taip, kad asmens tapatybė negali arba nebegali būti nustatyti jokiomis priemonėmis, kurios pagrįstai gali būti naudojamos. Kai anonimizavimas atliktas tinkamai, BDAR anoniminiams duomenims nebetaikomas.

Daugiau informacijos:

• Saugūs asmens duomenys