European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Ką turėčiau daryti duomenų saugumo pažeidimo atveju?

Asmens duomenų saugumo pažeidimas yra saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų.

  • Jei duomenų saugumo pažeidimas kelia pavojų fiziniams asmenims, turite apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas.
  • Jei dėl pažeidimo gali kilti didelis pavojus fiziniams asmenims, apie tą pažeidimą taip pat turėsite nepagrįstai nedelsiant jiems pranešti.

Bet kuriuo atveju, visų pažeidimų, net ir tų, apie kuriuos nepranešta DAI, atveju turite užregistruoti bent pagrindinius pažeidimo duomenis, jo vertinimą, jo poveikį ir veiksmus, kurių imtasi reaguojant į jį.

Daugiau informacijos:

Kaip galiu gerbti asmens duomenų apsaugos teises?

BDAR numatytos konkrečios asmenų teisės, kurių turi būti paisoma. Tai galite padaryti:

  • informuodami asmenis, kurių duomenis tvarkote, apie savo tvarkymo operacijas ir duomenų tvarkymo tikslus, kai renkate jų duomenis, pavyzdžiui, savo interneto svetainėje pateikdami privatumo pareiškimą;
  • atsakydami į asmenų prašymus pasinaudoti savo teisėmis, pavyzdžiui, susipažinimo, ištaisymo, prieštaravimo, ištrynimo arba perkeliamumo prašymus.

Organizacijos, kurios yra skaidrios dėl asmens duomenų naudojimo ir gerbia asmenų teises, rečiau tampa skundų objektu.

Daugiau informacijos:

Ar siekiate pasinaudoti duomenų subjekto teisėmis (išbraukti, taisyti, susipažinti) į Šengeno informacinėje sistemoje (SIS) laikomus asmens duomenis?

EDAV veikiantis Koordinavimo priežiūros komitetas (KSK) koordinuoja asmens duomenų tvarkymo Šengeno informacinėje sistemoje (SIS) priežiūrą. Atitinkami ES teisės aktai yra Reglamentas (ES) 2018/1862 (visų pirma 71 straipsnis) ir Reglamentas (ES) 2018/1861 (visų pirma 57 straipsnis).

Į SIS įtrauktų asmens duomenų atveju turite teisę susipažinti su duomenimis, juos ištaisyti ir ištrinti. Šios teisės apima:

  • teisę žinoti, ar su jumis susijusi informacija tvarkoma SIS;
  • teisę susipažinti su tais duomenimis;
  • teisę ištaisyti netikslius duomenis arba juos ištrinti, kai tie duomenys buvo neteisėtai saugomi; ir
  • teisę prireikus kreiptis į teismus, savo duomenų apsaugos instituciją ir (arba) kompetentingas institucijas, kad ištaisytų ar ištrintų su jumis susijusius duomenis arba gautų kompensaciją.

Norėdami pasinaudoti savo teisėmis, kreipkitės į savo pasirinktos Šengeno šalies nacionalinę kompetentingą instituciją. Daugiau informacijos apie kiekvienos Šengeno šalies nacionalines kompetentingas institucijas ir duomenų apsaugos instituciją rasite „Duomenųsubjektų naudojimosi savo teisėmis vadove“, kurį galima rasti mūsų interneto svetainėje. Čia taip pat galite rasti pavyzdinius laiškus, kurie padės jums naudotis savo teisėmis. 

Atkreipkite dėmesį į tai, kad EDAV neturi kompetencijos nagrinėti atskirų skundų ar prašymų. Be to, EDAV neturi prieigos prie šių informacinių sistemų ir duomenų bazių turinio.

Daugiau informacijos apie tai, kaip naudotis savo teisėmis, pateikiama mūsų interneto svetainėje https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_lt.

Kaip galiu neatsilikti nuo EDAV darbo?

EDAV reguliariai skelbia pranešimus spaudai, naujienas, tinklaraščio įrašus ir kitą turinį EDAV interneto svetainėje ir jos socialinės žiniasklaidos kanaluose (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) taip nuolat informuodama duomenų apsaugos bendruomenę ir plačiąją visuomenę apie savo darbą.

EDAV interneto svetainėje taip pat yra du RSS kanalai, kuriuos galite užsisakyti norėdami gauti EDAV naujienas ir naujausius EDAV leidinius.

Kas yra BDAR?

BDAR arba Bendruoju duomenų apsaugos reglamentu sukuriamas suderintas taisyklių rinkinys, taikomas visam asmens duomenų tvarkymui, kurį vykdo Europos ekonominėje erdvėje (EEE) įsteigtos organizacijos (viešosios ar privačios, nepriklausomai nuo jų dydžio) arba organizacijos, tvarkančios ES esančių asmenų duomenis. Pagrindinis BDAR tikslas – užtikrinti, kad asmens duomenims būtų taikoma vienoda aukšto lygio apsauga visoje EEE, taip didinant teisinį tikrumą tiek asmenims, tiek duomenis tvarkančioms organizacijoms, ir užtikrinti aukšto lygio fizinių asmenų apsaugą.

Reglamentas įsigaliojo 2016 m. gegužės 24 d. ir taikomas nuo 2018 m. gegužės 25 d.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Ar BDAR taip pat taikomas popieriniams įrašams?

Taip, BDAR taikomas, jei asmens duomenys yra saugomi arba ketinama juos laikyti susistemintoje rinkmenoje. Tai reiškia, kad BDAR taip pat taikomas popieriniams įrašams, o ne tik automatizuotam asmens duomenų tvarkymui.

Daugiau informacijos:

Kas yra bendras duomenų valdytojas?

Kai yra du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslą ir priemones, jie laikomi bendrais duomenų valdytojais. Jie kartu nusprendžia tvarkyti asmens duomenis bendru tikslu. Bendras duomenų valdymas gali būti įvairių formų, o skirtingų duomenų valdytojų dalyvavimas gali būti nevienodas. Todėl bendri duomenų valdytojai turi nustatyti savo atitinkamą atsakomybę už BDAR laikymąsi.

Svarbu pažymėti, kad bendras duomenų valdymas lemia bendrą atsakomybę už duomenų tvarkymo veiklą.

  • Bendro duomenų valdymo pavyzdys: Bendrovės A ir B pristatė bendrą prekės ženklą ir nori surengti renginį šiam produktui reklamuoti. Tuo tikslu jos nusprendžia dalytis savo atitinkamų klientų ir būsimų klientų duomenų bazių duomenimis ir šiuo pagrindu priimti sprendimą dėl pakviestų dalyvauti renginyje asmenų sąrašo. Jos taip pat susitaria dėl kvietimų į renginį siuntimo, informacijos rinkimo renginio metu ir tolesnių rinkodaros veiksmų tvarkos. Bendrovės A ir B gali būti laikomos bendrais duomenų valdytojais tvarkant asmens duomenis, susijusius su reklaminio renginio organizavimu, nes jos kartu nusprendžia dėl bendrai apibrėžto duomenų tvarkymo tikslo ir pagrindinių priemonių šiame kontekste.

Daugiau informacijos:

Rengiu renginį kaip savo verslo veiklos dalį, ar galiu fotografuoti ir filmuoti renginyje dalyvaujančius žmones?

Taip, bet norėdami tai padaryti, pirmiausia turėsite nustatyti tokio tipo asmens duomenų tvarkymo teisinį pagrindą. Pavyzdžiui, duomenų tvarkymas gali būti laikomas teisėtu jūsų organizacijos interesu. Tvarkant asmens duomenis teisėto intereso pagrindu, visada būtina atlikti pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmenų teises, ypač jei tai susiję su vaikais.

Kitas galimas tokio duomenų tvarkymo teisinis pagrindas galėtų būti sutikimas. Bet kuriuo atveju asmenys visada turėtų būti iš anksto informuojami, kad renginys yra fotografuojamas ar filmuojamas.

Daugiau informacijos:

Jei noriu išsaugoti kandidatų gyvenimo aprašymus būsimoms įdarbinimo procedūroms, ar turiu prašyti kandidatų sutikimo?

Sutikimas iš tiesų galėtų būti tinkamas teisinis pagrindas kandidatų į darbo vietas gyvenimo aprašymams saugoti. Kitas galimas teisinis pagrindas galėtų būti teisėtas interesas. Tokiu atveju turėtumėte atlikti pusiausvyros testą, kad įrodytumėte, jog teisėti jūsų organizacijos interesai yra svarbesni už kandidatų teises.

Bet kuriuo atveju turėsite informuoti kandidatus, kad planuojate saugoti jų duomenis ir kokiais tikslais.

Daugiau informacijos:

Ar rašote apie ES nepriklausančią šalį, kuri pripažinta užtikrinančia tinkamą duomenų apsaugos lygį (sprendimai dėl tinkamumo)?

Europos Komisija gali nuspręsti, ar ne Europos šalis (arba tarptautinė organizacija) užtikrina „tinkamą“ duomenų apsaugos lygį, kuris palengvina duomenų srautus tarp Europos ir šios šalies. 

EDAV yra atsakinga už nuomonių dėl sprendimų dėl tinkamumo projektų teikimą prieš Europos Komisijai priimant sprendimą. Nuomonės nėra privalomos Europos Komisijai, tačiau paprastai yra naudingos kitoms organizacijoms, su kuriomis konsultuojamasi šioje srityje, pavyzdžiui, ES valstybėms narėms.

Be to, Europos Komisija yra kompetentinga stebėti pokyčius ne Europos šalyse, kurie galėtų turėti įtakos sprendimams dėl tinkamumo. Kai kuriuose sprendimuose dėl tinkamumo numatytas konkretus sprendimo peržiūros tvarkingumas ir gali būti nurodyta galimybė EDAV atstovams dalyvauti Europos Komisijos organizuojamame peržiūros procese.

Taip pat atkreipkite dėmesį į tai, kad Europos duomenų apsaugos institucijos gali apsaugoti asmenis, kai duomenys perduodami pagal sprendimą dėl tinkamumo (jų sąrašą rasite mūsų interneto svetainėje: https://edpb.europa.eu/about-edpb/our-members).

Jei manote, kad galiojantis sprendimas dėl tinkamumo neatitinka jūsų pagrindinių asmens teisių į privatumą ir duomenų apsaugą, galite pateikti skundą savo DAI, kuri gali pateikti tuos prieštaravimus nacionaliniam teismui, iš kurio gali būti reikalaujama kreiptis į Teisingumo Teismą su prašymu priimti prejudicinį sprendimą (žr. BDAR 58 straipsnio 5 dalį ir ETT sprendimą Schrems byloje C-362/14).

Papildomos informacijos ieškokite: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_lt

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Ar galiu tvarkyti asmens duomenis tik gavęs asmens sutikimą?

Tvarkyti asmens duomenis leidžiama, jei tam yra teisinis pagrindas. Be laisvo, konkretaus, informacija pagrįsto ir nedviprasmiško sutikimo, gali būti naudojami kiti duomenų tvarkymo teisiniai pagrindai.

Kitaip tariant, sutikimas būtinas, kai netaikomas joks kitas teisinis pagrindas.

 

Daugiau informacijos:

Ar turiu būti sertifikuotas, kad tapčiau duomenų apsaugos pareigūnu (DAP)?

Ne, jums nereikia būti sertifikuotu, kad taptumėte DAP.

Tačiau duomenų apsaugos pareigūnai turi sugebėti įrodyti, kad jie turi BDAR reikalaujamą būtiną kvalifikaciją, pvz., ekspertines žinias apie duomenų apsaugos teisę ir praktiką.

Daugiau informacijos:

Kas yra poveikio duomenų apsaugai vertinimas ir kada jis privaloma?

Poveikio duomenų apsaugai vertinimas arba PDAV yra rašytinis vertinimas, kurį jūsų organizacija turėtų atlikti, kad įvertintų planuojamos duomenų tvarkymo operacijos poveikį. Jis padeda jums nustatyti tinkamas rizikos mažinimo priemones ir įrodyti atitiktį reikalavimams.

Nors visada pageidautina numatyti planuojamų jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.

Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:

  • neskelbtinų asmens duomenų arba duomenų, susijusių su apkaltinamaisiais nuosprendžiais, tvarkymą dideliu mastu;  
  • sistemingą ir išsamų asmens asmeninių savybių vertinimą, grindžiamą automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
  • sistemingą didelio masto viešai prieinamos teritorijos stebėseną.

EDAV parengė gaires, kuriose išvardijami kriterijai, į kuriuos turite atsižvelgti vertindami, ar PDAV yra privalomas, ar ne. Duomenų apsaugos institucijos (DAI) taip pat paskelbė duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašus. Be to, kelios DAI parengė vadovus, programinę įrangą arba įsivertinimo priemones, kurios padės jums atlikti vertinimą.

Daugiau informacijos:

Kokie yra duomenų tvarkymo teisiniai pagrindai pagal BDAR?

Duomenų valdytojai gali tvarkyti asmens duomenis tik esant vienai iš šių aplinkybių:

  • gavus atitinkamų asmenų sutikimą;
  • kai tvarkyti duomenis būtina siekiant įvykdyti sutartį (susitarimą tarp jūsų organizacijos ir asmens);
  • vykdyti teisinę prievolę pagal ES arba nacionalinės teisės aktus;
  • kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui pagal ES arba nacionalinės teisės aktus;
  • siekiant apsaugoti gyvybinius asmens interesus;
  • siekiant jūsų organizacijos teisėtų interesų, išskyrus atvejus, kai asmenų teisės ir laisvės yra viršesnės.

Be to, BDAR nustatytos papildomos neskelbtinų duomenų tvarkymo sąlygos.

Daugiau informacijos:

Ar duomenų tvarkytojai taip pat turi laikytis BDAR?

Taip, duomenų tvarkytojai (t. y. asmenys ar įstaigos, kurie tvarko duomenis duomenų valdytojo vardu) turi BDAR nustatytas pareigas. Tačiau yra tam tikrų skirtumų tarp duomenų valdytojų ir duomenų tvarkytojų atsakomybės.

Duomenų tvarkytojai turi laikytis pareigų, nustatytų duomenų valdytojo ir duomenų tvarkytojo sutartyje, kurioje išsamiai aprašomos duomenų tvarkymo operacijos ir asmens duomenų tvarkymo priemonės. Pavyzdžiui, duomenų tvarkytojas turės atlikti duomenų tvarkymo operacijas taikydamas tinkamas technines ir organizacines priemones, kaip nurodė duomenų valdytojas. Tai darydamas duomenų tvarkytojas padeda duomenų valdytojui laikytis BDAR.

Daugiau informacijos:

Kas turėtų būti įtraukta į duomenų valdytojo ir duomenų tvarkytojo sutartį?

Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

  • tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
  • užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
  • užtikrina duomenų tvarkymo saugumą;
  • nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
  • padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
  • padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
  • pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
  • pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
  • leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.

Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.

Daugiau informacijos:

Ar galiu perduoti asmens duomenis už Europos ekonominės erdvės (EEE) ribų?

Pagal BDAR iš esmės yra du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant vykdytinas fizinių asmenų teises ir teisių gynimo priemones.

Daugiau informacijos:

Ar duomenų apsaugos pareigūnas (DAP) yra atsakingas už BDAR laikymąsi?

DAP negali būti laikomas atsakingu už BDAR nesilaikymą. Už BDAR laikymąsi atsako DAP paskyrusi organizacija.

Daugiau informacijos: