European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Kas yra duomenų valdytojas ir kas yra duomenų tvarkytojas?

BDAR išskiriami du pagrindiniai vaidmenys: duomenų valdytojo ir duomenų tvarkytojo. Šis atskyrimas yra labai svarbus, nes duomenų valdytojui tenka didesnė atsakomybė ir jis turi įvykdyti daugiau įsipareigojimų nei duomenų tvarkytojas.

Duomenų valdytoju ir tvarkytoju gali būti fiziniai arba juridiniai asmenys, pavyzdžiui: MVĮ, valdžios institucija, įmonė, organizacija, valstybinė įstaiga, asociacija ir kt.

Duomenų valdytojas nustato duomenų tvarkymo operacijos tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Tuo tarpu duomenų tvarkytojai tvarko asmens duomenis duomenų valdytojo vardu. Duomenų tvarkytojų atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi su duomenų valdytoju arba teisės aktu.

Duomenų valdytojų pavyzdžiai:

  • įmonės, kurios tvarko savo klientų asmens duomenis, kad užbaigtų pardavimą;
  • finansų įstaigos, kurios tvarko savo klientų asmens duomenis;
  • asociacijos, kurios tvarko savo narių duomenis;
  • mokyklos ar universitetai, tvarkantys studentų ir dėstytojų asmens duomenis;
  • ligoninės, kurios tvarko savo pacientų asmens duomenis;
  • valdžios institucijos, kurios tvarko piliečių asmens duomenis.

Duomenų tvarkytojų pavyzdžiai:

  • MVĮ samdo buhalterinės apskaitos paslaugą savo knygoms ir įrašams saugoti, MVĮ yra duomenų valdytoja, o buhalterijos įmonė – duomenų tvarkytoja;
  • darbo užmokesčio bendrovė tvarko MVĮ tvarkomus asmens duomenis. Darbo užmokesčio bendrovė veiks kaip duomenų tvarkytoja, jei ji asmens duomenis tvarkys tik MVĮ vardu. MVĮ nustato duomenų tvarkymo tikslus ir priemones, todėl yra duomenų valdytoja.
  • MVĮ paveda rinkodaros įmonei rinkti el. pašto adresus trečiųjų šalių svetainėse.  Rinkodaros bendrovė tai daro vadovaudamasi aiškiais MVĮ nurodymais ir išimtinai MVĮ tikslais. Rinkodaros bendrovė veikia kaip šio rinkimo duomenų tvarkytoja.

Daugiau informacijos:

Kas yra neskelbtini duomenys?

Kai kurių rūšių asmens duomenys priklauso specialių kategorijų asmens duomenims, vadinamieji neskelbtini duomenys, o tai reiškia, kad jie nusipelno didesnės apsaugos. Neskelbtini duomenys apima duomenis, atskleidžiančius informaciją apie:

  • asmens sveikatą;
  • asmens seksualinę orientaciją;
  • asmens rasinę ar etninę kilmę;
  • asmens politines pažiūras, religinius ar filosofinius įsitikinimus; asmens narystę profesinėse sąjungose;
  • asmens biometrinius ir genetinius duomenis.

Paprastai draudžiama tvarkyti neskelbtinus asmens duomenis, išskyrus konkrečias aplinkybes, kuriomis pateisinamas jų tvarkymas.

Daugiau informacijos:

Kas gali atlikti duomenų apsaugos pareigūno (DAP) funkcijas?

DAP gali būti esamas darbuotojas, turintis pakankamai žinių apie BDAR (jei darbuotojo profesinės užduotys yra suderinamos su DAP užduotimis ir dėl to nekyla interesų konfliktų) arba išorės asmuo. DAP turi sugebėti savarankiškai atlikti užduotis ir turėtų tiesiogiai atsiskaityti aukščiausiajai vadovybei.

Daugiau informacijos:

Where can I find documents adopted by the Article 29 Working Party?

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Does the GDPR apply to my organisation?

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

What happens after a public consultation is closed?

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Kas yra asmens duomenys?

Asmens duomenys – bet kokia informacija, susijusi su asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmuo, kurio tapatybę galima nustatyti, yra bet kuris asmuo, kuris gali būti tiesiogiai ar netiesiogiai identifikuojamas. Asmens duomenimis taip pat gali būti laikoma įvairi informacija, kurią sudėjus būtų galima nustatyti konkretaus asmens tapatybę.

Asmens duomenų pavyzdžiai:

  • vardas ir pavardė;
  • namų adresas;
  • el. pašto adresas;
  • asmens tapatybės kortelės numeris;
  • vietos nustatymo duomenys;
  • interneto protokolo (IP) adresas;
  • slapuko ID;
  • banko sąskaita;
  • mokesčių ataskaita;
  • biometriniai duomenys (pvz., pirštų atspaudai);
  • socialinio draudimo numeris;
  • paso numeris;
  • tyrimų rezultatai;
  • pažymiai mokykloje;
  • naršymo istorija;
  • asmens nuotrauka;
  • transporto priemonės registracijos numeris ir t. t.

Daugiau informacijos:

I submitted feedback to a public consultation, but I cannot see my comments on the public consultation page. How do I know that my feedback was received by the EDPB?

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

Do you think your data has been lost or stolen?

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

Are EDPB documents available in all EU languages?

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

My organisation would like to become a certification body, how can we become accredited?

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

Kaip duomenų valdytojas, aš surinkau fizinių asmenų asmens duomenis iš trečiosios šalies, ką turiu daryti, kad laikyčiausi reikalavimų?

  1. Įsitikinkite, kad jūsų gauti duomenys buvo surinkti teisėtai ir kad atitinkami asmenys buvo informuoti apie jų asmens duomenų tvarkymą.
  2. Jei trečioji šalis tvarko asmens duomenis jūsų vardu, įsitikinkite, kad turite duomenų valdytojo ir duomenų tvarkytojo sutartį, kurioje išsamiai aprašomos tvarkymo operacijos ir asmens duomenų tvarkymo priemonės.

Ir, žinoma, laikykitės visų duomenų valdytojo pareigų.

Daugiau informacijos:

Kaip sužinoti, kokių saugumo priemonių reikia imtis?

Būtinos saugumo priemonės gali skirtis atsižvelgiant į jūsų tvarkomų asmens duomenų pobūdį ir susijusią riziką asmenims. Bet kuriuo atveju yra keletas minimalių priemonių, kurias turėtumėte taikyti:

  • užtikrinti saugų patekimą į patalpas;
  • naudoti reguliariai atnaujinamą antivirusinę programinę įrangą;
  • atidžiai pasirinkti savo slaptažodžius;
  • prieš naudojantis kompiuterinėmis priemonėmis, užtikrinti, kad vartotojai autentifikuotų savo tapatybę;
  • turėti duomenų atsarginių kopijų kūrimo ir atkūrimo politiką incidento atveju.

Be to, kai kurios elementarios priemonės, pvz., ekrano užrakinimas, kai esate toli, ir biurą užrakinimas dienos pabaigoje, niekada nėra netinkamos...

Daugiau informacijos:

Ar galiu paskelbti konkurso laimėtojų vardus ir pavardes savo organizacijos interneto svetainėje?

Konkurso laimėtojų vardų ir pavardžių paskelbimas jūsų svetainėje gali būti laikomas teisėtu interesu, jei galite tai įrodyti atlikdami pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmenų teises.

Gera praktika būtų nustatyti vidaus procedūrą, kurioje būtų paaiškintos laimėtojų asmens duomenų skelbimo taisyklės.

Be to, asmens duomenų tvarkymas šiais tikslais turėtų būti įtrauktas į konkurso privatumo politiką, kad dalyviai būtų iš anksto informuoti apie tai, kaip jų duomenys bus tvarkomi.

Daugiau informacijos:

Where can I find documents that were adopted during a recent/the latest EDPB plenary?

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Ar prašote specialiai pritaikytų patarimų, kaip aiškinti ar taikyti duomenų apsaugos taisykles jūsų konkrečioje situacijoje?

EDAV neteikia piliečiams arba privačioms ir (arba) viešosioms organizacijoms pritaikytų teisinių konsultacijų, kaip konkrečiais atvejais taikyti duomenų apsaugos teisės aktus. 

Pagrindinis EDAV vaidmuo – teikti bendras gaires ir nuomones. Su visomis priimtomis gairėmis ir nuomonėmis galima susipažinti čia: Gairės, rekomendacijos, geriausia praktika ir nuomonės. Taip pat rekomenduojame perskaityti Smulkiojo verslo duomenų apsaugos vadovą. Šis vadovas padės jums suprasti pagrindines duomenų apsaugos sąvokas, asmenų teises pagal BDAR, atitikties reikalavimus, saugumo priemones ir tai, kaip elgtis su duomenų pažeidimais.

Papildomos informacijos apie EDAV vaidmenį ir BDAR taikymą taip pat galima rasti čia: Frequently Asked Questions.

Taip pat kviečiame susipažinti su jūsų šalies duomenų apsaugos institucijos interneto svetainėmis. Nuorodas į mūsų narių interneto svetaines galima rasti čia: Our members.

When will the EDPB’s decision be published in those cases where it settles conflicting views on a draft decision or where it decides on the Lead Supervisory Authority (LSA)?

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

What is the EDPB?

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

What does the EDPB do?

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

  • providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
  • adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
    • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
    • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
  • adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
  • promoting and supporting the cooperation among national DPAs.

Ar galiu dalytis asmenų asmens duomenų sąrašu su savo verslo partneriais (trečiosiomis šalimis)?

Taip, galite, bet BDAR nustato tam tikras prievoles įmonėms, kurios dalijasi asmens duomenimis. Jūsų organizacija turi informuoti asmenis, kad pasidalinsite jų duomenimis su trečiąja šalimi. Jūs taip pat turite juos informuoti apie savo tikslus, saugumą, prieigos ir saugojimo priemones, kurios bus taikomos.