Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Paskirti duomenų apsaugos pareigūną privaloma šiais trimis atvejais:

• organizacija yra valdžios institucija;
• pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, naudojantis mobiliąja programėle, naudojantis geografine vietove, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą;
• pagrindinė organizacijos veikla – didelio masto neskelbtinų duomenų arba asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymas.

Visada galite paskirti DAP savanoriškai, net jei tai nėra teisiškai reikalaujama. Atkreipkite dėmesį, kad tokiu atveju turite laikytis visų BDAR nuostatų dėl duomenų apsaugos pareigūno užduočių ir pareigų.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Ne, nebūtina viešai skelbti savo duomenų tvarkymo veiklos įrašų. Tačiau, duomenų apsaugos institucijai paprašius, jūs turite turėti galimybę pateikti įrašus.

Daugiau informacijos:

• Atitikti reikalavimus

Ar prašote EDAV ištirti organizaciją, kuri, jūsų nuomone, pažeidžia ES teisės aktus, ir imtis veiksmų prieš ją, be kita ko, pasitelkiant konkrečias technologijas, pavyzdžiui, dirbtinį intelektą, socialinę žiniasklaidą ar pranešimų siuntimo paslaugas?

Pagal duomenų apsaugos taisykles galite pateikti skundą savo duomenų apsaugos institucijai (DAI) (jų sąrašą rasite mūsų svetainėje: https://edpb.europa.eu/about-edpb/our-members). Už duomenų apsaugos taisyklių vykdymo užtikrinimą atsako DAI. Galite kreiptis į duomenų apsaugos instituciją, kurioje gyvenate ar dirbate arba kurioje, pavyzdžiui, buvo padarytas įtariamas pažeidimas.

Kita alternatyva – kreiptis į nacionalinius teismus, kuriuose gyvenate arba kuriuose įsisteigęs duomenų valdytojas arba duomenų tvarkytojas. 

Jei BDAR taikomas jūsų atveju, bet nesate įsisteigęs Europoje, vis tiek galite pateikti skundą Europos DAI ir (arba) kreiptis į teismą.

EDAV neturi kompetencijos nagrinėti konkrečių individualių prašymų ar skundų arba teikti individualių konsultavimo paslaugų. EDAV nėra viršvalstybinė įstaiga, galinti nagrinėti skundus.

Galiausiai, jei norite pateikti skundą dėl to, kaip ES institucija, agentūra ar įstaiga naudoja jūsų asmens duomenis, galite pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui (kontaktinius duomenis žr. mūsų interneto svetainėje https://edpb.europa.eu/about-edpb/our-members).

Atkreipkite dėmesį į tai, kad Jūsų pranešimo neperduodame nacionalinėms duomenų apsaugos institucijoms ar EDAPP. Todėl turėtumėte susisiekti su jais tiesiogiai.

Kad sutikimas būtų laikomas galiojančiu, jis turi būti:

• laisvai duodamas;
• konkretus;
• informuotas; ir
• nedviprasmiškas.

Tai reiškia, kad asmenys turi turėti tikrai laisvą pasirinkimą, ar jie sutinka su jų asmens duomenų tvarkymu, ar ne; jiems reikia pakankamai informacijos, kad jie galėtų suprasti, kokie duomenys tvarkomi, kokiu tikslu ir kaip tai daroma; jiems taip pat reikia pakankamo išsamumo prašymuose dėl sutikimo.

Be to, asmuo turėtų imtis aiškių veiksmų (be iš anksto pažymėtų langelių ir atskirai nuo taikytinų bendrųjų sąlygų).

Be to, asmenys turi turėti galimybę laisvai atšaukti savo sutikimą (be jokių neigiamų pasekmių), jei vėliau persigalvoja.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

• jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
• jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

Daugiau informacijos:

• Gerbti asmenų teises

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Kiekviena organizacija, nepriklausomai nuo jos dydžio ar sektoriaus, įsteigta Europos ekonominėje erdvėje (EEE) arba siūlanti produktus ar paslaugas asmenims EEE, tvarkanti asmens duomenis automatizuotomis ar neautomatizuotomis priemonėmis turi atitikti BDAR. Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai organizuojami, pvz., abėcėlės tvarka bylų spintoje.

Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, organizavimą, naudojimą, keitimą, saugojimą, atskleidimą, pakeitimą ir ištrynimą.

Vis dėlto BDAR taikymas yra moduliuojamas atsižvelgiant į atliekamų duomenų tvarkymo operacijų pobūdį, kontekstą, tikslus ir riziką. MVĮ, kurių pagrindinė veikla nėra asmens duomenų tvarkymas, pareigos gali būti ne tokios griežtos kaip didelės įmonės.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Duomenų apsaugos pareigūno užduotys, be kita ko, apima:

• organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
• stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
• konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
• kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
• kontaktinio asmens vaidmenį asmenims.

Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

BDAR nustatytos prievolės visoms asmens duomenis tvarkančioms organizacijoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai, ar duomenų tvarkytojai.

Visų pirma turėtumėte:

• Paklausti savęs, ar tikslas, kuriuo gali būti renkami asmens duomenys, yra pagrįstas, ir renkami tik tie asmens duomenys, kurie yra būtini konkrečiam (-iems) numatytam (-iems) tikslui (-ams);
• Užtikrinti, kad asmenų asmens duomenys būtų tikslūs ir atnaujinti, ir ištrinti duomenis, kai jų nebereikia;
• Gerbti asmenų teises informuojant juos apie tai, kaip ir kodėl tvarkomi jų duomenys, ir suteikti jiems galimybę naudotis savo teisėmis;
• Patikrinti, ar turite tinkamą teisinį pagrindą tvarkyti asmens duomenis. Jei ketinate remtis fizinių asmenų sutikimu, prieš tvarkydami jų asmens duomenis, paprašykite jų sutikimo;
• Užtikrinti, kad asmens duomenys būtų tvarkomi saugiai;
• Tvarkyti duomenų tvarkymo veiklos įrašus.

Duomenų tvarkytojai turi laikytis duomenų valdytojo ir duomenų tvarkytojo sutartyje nustatytų pareigų ir negali tvarkyti duomenų kitaip, nei nurodyta duomenų valdytojo nurodymuose.

Daugiau informacijos:

• Atitikti reikalavimus
• Duomenų valdytojas ar duomenų tvarkytojas
• Duomenų apsaugos pagrindai

• Bet koks asmens duomenų tvarkymas turi būti teisėtas, sąžiningas ir skaidrus.
• Rinkite asmens duomenis tik nustatytais, aiškiai apibrėžtais ir teisėtais tikslais. Asmens duomenų tvarkymas turi būti griežtai apribotas (-ais) iš pradžių nustatytu (-ais) tikslu (-ais), todėl duomenys neturėtų būti tvarkomi vėlesniu (-iais) ar kitu (-ais) su pirminiais tikslais nesuderinamu (-ais) tikslu (-ais).
• Tvarkykite tik tuos asmens duomenis, kurie yra būtini ir proporcingi atsižvelgiant į numatytą tikslą.
• Visi jūsų tvarkomi asmens duomenys turi būti tikslūs ir nuolat atnaujinami. Netikslūs asmens duomenys turi būti ištaisyti arba ištrinti.
• Asmens duomenys turi būti saugomi ribotą laiką, atsižvelgiant į tikslą, kuriuo šie duomenys buvo renkami ir tvarkomi. Todėl asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi.
• Asmens duomenys turi būti tvarkomi saugiai. Šiuo požiūriu, siekiant užtikrinti tinkamą asmenų duomenų apsaugą, turi būti įdiegtos patikimos kibernetinio saugumo kontrolės priemonės.

Galiausiai, duomenų valdytojas yra atskaitingas. Tai reiškia, kad jis yra atsakingas ir turi sugebėti įrodyti, kad laikosi pirmiau nurodytų principų.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Jūs negalite saugoti asmens duomenų amžinai.

Paprastai asmens duomenys gali būti saugomi tik tiek laiko, kiek reikia atsižvelgiant į tikslus, kuriais asmens duomenys yra tvarkomi.

Kai kuriais atvejais saugojimo laikotarpį gali nustatyti konkretūs įstatymai, pavyzdžiui, darbo tvarkos taisyklėse nustatomas darbo užmokesčio sąrašų saugojimo laikotarpis.

Organizacijos turėtų nustatyti duomenų saugojimo politiką, siekdamos užtikrinti, kad asmens duomenys nebūtų saugomi ilgiau nei būtina. Asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi tikslui, dėl kurio jie buvo tvarkomi, pasiekti.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

EDAV neturi kompetencijos asmenų prašymu vykdyti DAI veiklos priežiūros.

Atkreipkite dėmesį į tai, kad kompetencija rengti bendrąsias gaires negali būti suprantama kaip mechanizmas, kuriuo naudodamasi EDAV gali prižiūrėti, kaip DAI nagrinėja jūsų individualų atvejį. 

Jei manote, kad buvo pažeistas BDAR, ir nesate patenkintas DAI atsakymu, likęs sprendimas yra pradėti teismo procesą.

Apskritai kiekviena organizacija turėtų turėti savo duomenų tvarkymo veiklos įrašus. Tai visų duomenų tvarkymo operacijų sąrašas, kuris gali padėti jums padaryti teisingas prielaidas dėl savo atsakomybės pagal BDAR ir galimos rizikos.

Kiekviena iš šių duomenų tvarkymo operacijų turi būti aprašyta duomenų tvarkymo veiklos įrašuose ir juose turi būti pateikta tokia informacija:

• duomenų tvarkymo tikslas (pvz., klientų lojalumas);
• tvarkomų duomenų kategorijos (pvz., darbo užmokesčio atveju: vardas, pavardė, gimimo data, atlyginimas ir kt.);
• kas turi prieigą prie duomenų (gavėjai, pvz.: už įdarbinimą atsakingas departamentas, IT tarnyba, vadovybė, paslaugų teikėjai, partneriai ir t. t.);
• kai taikoma, informacija, susijusi su asmens duomenų perdavimu už Europos ekonominės erdvės (EEE) ribų;
• kai įmanoma, saugojimo laikotarpis (laikotarpis, kuriuo duomenys yra naudingi veiklos ir archyvavimo požiūriu).
• kai įmanoma, bendras saugumo priemonių aprašymas.

Už duomenų tvarkymo veiklos įrašus atsako jūsų organizacijos vadovas.

Šie įrašai turi būti prieinami EEE šalies, kurioje vykdote veiklą, duomenų apsaugos institucijai, jei to paprašoma.

Nereikalaujama, kad organizacijos, kuriose dirba mažiau kaip 250 asmenų, savo įrašuose paminėtų tik atsitiktinę veiklą (pvz., duomenis, tvarkomus vienkartiniams renginiams, pvz., parduotuvės atidarymui).

 

Daugiau informacijos:

• Atitikti reikalavimus

DAP organizacijoje gali atlikti kitas užduotis, tačiau dėl to negali kilti interesų konfliktas. Tai reiškia, kad DAP negali užimti tokios pozicijos, kurioje nustatytų duomenų tvarkymo tikslus ir priemones. Nesuderinamos funkcijos daugiausia apima vadovaujančias pareigas (generalinis direktorius, vykdomasis direktorius, finansų vadovas, žmogiškųjų išteklių vadovas, IT vadovas), tačiau jos taip pat gali apimti kitas funkcijas, jei vykdant jas nustatomi duomenų tvarkymo tikslai ir priemonės.

DAP turi galėti nepriklausomai vykdyti savo pareigas ir užduotis. Tai reiškia, kad jūsų organizacija:

• negali duoti nurodymų DAP dėl jo DAP pareigų vykdymo;
• negali bausti ar atleisti DAP už savo užduočių vykdymą.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas