Asmenys gali jūsų paklausti, ar tvarkote jų duomenis ir, jei taip, jie turi teisę susipažinti su tais duomenimis. Taigi, kai taip atsitinka ir jei tvarkote jų duomenis, turėtumėte, pavyzdžiui, nemokamai pateikti jų asmens duomenų kopiją kartu su bet kokia reikalinga papildoma informacija. Jei prašymas pateikiamas elektroniniu būdu, jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai asmuo paprašo kitaip.

Daugiau informacijos:

• Gerbti asmenų teises

Asmens duomenų saugumo pažeidimas yra saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų.

• Jei duomenų saugumo pažeidimas kelia pavojų fiziniams asmenims, turite apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas.
• Jei dėl pažeidimo gali kilti didelis pavojus fiziniams asmenims, apie tą pažeidimą taip pat turėsite nepagrįstai nedelsiant jiems pranešti.

Bet kuriuo atveju, visų pažeidimų, net ir tų, apie kuriuos nepranešta DAI, atveju turite užregistruoti bent pagrindinius pažeidimo duomenis, jo vertinimą, jo poveikį ir veiksmus, kurių imtasi reaguojant į jį.

Daugiau informacijos:

• Duomenų saugumo pažeidimai

Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

• tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
• užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
• užtikrina duomenų tvarkymo saugumą;
• nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
• padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
• padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
• pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
• pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
• leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.

Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

BDAR arba Bendruoju duomenų apsaugos reglamentu sukuriamas suderintas taisyklių rinkinys, taikomas visam asmens duomenų tvarkymui, kurį vykdo Europos ekonominėje erdvėje (EEE) įsteigtos organizacijos (viešosios ar privačios, nepriklausomai nuo jų dydžio) arba organizacijos, tvarkančios ES esančių asmenų duomenis. Pagrindinis BDAR tikslas – užtikrinti, kad asmens duomenims būtų taikoma vienoda aukšto lygio apsauga visoje EEE, taip didinant teisinį tikrumą tiek asmenims, tiek duomenis tvarkančioms organizacijoms, ir užtikrinti aukšto lygio fizinių asmenų apsaugą.

Reglamentas įsigaliojo 2016 m. gegužės 24 d. ir taikomas nuo 2018 m. gegužės 25 d.

Pseudonimų suteikimas – asmens duomenų transformavimas taip, kad jie nebegalėtų būti priskirti konkrečiam asmeniui nesinaudojant papildoma informacija, su sąlyga, kad tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad asmens duomenys nebūtų priskirti konkrečiam asmeniui. Praktikoje tai reiškia asmens duomenų (vardo, pavardės, asmens kodo, telefono numerio ir kt.) pakeitimą duomenų rinkinyje netiesiogiai identifikuojančiais duomenimis (slapyvardis, eilės numeris ir t. t.). Pseudoniminiai duomenys vis dar yra asmens duomenys ir jiems taikomas BDAR.

Anoniminiai duomenys –duomenys, kurių anonimiškumas užtikrintas taip, kad asmens tapatybė negali arba nebegali būti nustatyti jokiomis priemonėmis, kurios pagrįstai gali būti naudojamos. Kai anonimizavimas atliktas tinkamai, BDAR anoniminiams duomenims nebetaikomas.

Daugiau informacijos:

• Saugūs asmens duomenys

Kai kurių rūšių asmens duomenys priklauso specialių kategorijų asmens duomenims, vadinamieji neskelbtini duomenys, o tai reiškia, kad jie nusipelno didesnės apsaugos. Neskelbtini duomenys apima duomenis, atskleidžiančius informaciją apie:

• asmens sveikatą;
• asmens seksualinę orientaciją;
• asmens rasinę ar etninę kilmę;
• asmens politines pažiūras, religinius ar filosofinius įsitikinimus; asmens narystę profesinėse sąjungose;
• asmens biometrinius ir genetinius duomenis.

Paprastai draudžiama tvarkyti neskelbtinus asmens duomenis, išskyrus konkrečias aplinkybes, kuriomis pateisinamas jų tvarkymas.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Asmens duomenys – bet kokia informacija, susijusi su asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmuo, kurio tapatybę galima nustatyti, yra bet kuris asmuo, kuris gali būti tiesiogiai ar netiesiogiai identifikuojamas. Asmens duomenimis taip pat gali būti laikoma įvairi informacija, kurią sudėjus būtų galima nustatyti konkretaus asmens tapatybę.

Asmens duomenų pavyzdžiai:

• vardas ir pavardė;
• namų adresas;
• el. pašto adresas;
• asmens tapatybės kortelės numeris;
• vietos nustatymo duomenys;
• interneto protokolo (IP) adresas;
• slapuko ID;
• banko sąskaita;
• mokesčių ataskaita;
• biometriniai duomenys (pvz., pirštų atspaudai);
• socialinio draudimo numeris;
• paso numeris;
• tyrimų rezultatai;
• pažymiai mokykloje;
• naršymo istorija;
• asmens nuotrauka;
• transporto priemonės registracijos numeris ir t. t.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Tuo atveju, kai asmens duomenys renkami tiesiogiai iš atitinkamų asmenų, organizacijos privalo glaustai ir skaidriai pateikti informaciją apie duomenų tvarkymo operacijas, vartodamos suprantamą, lengvai prieinamą, aiškią ir paprastą kalbą. Tai galima padaryti raštu (pvz., kitoje prašymo pateikti duomenis pusėje) arba elektroninėmis priemonėmis (pvz., interneto svetainėje). Jei atitinkamas asmuo to prašo, šią informaciją taip pat galite pateikti žodžiu, tačiau vėliau turite tai įrodyti.

Net ir tada, kai duomenys buvo renkami netiesiogiai, t. y. jei asmens duomenis renkate ne tiesiogiai iš asmens, bet, pavyzdžiui, per trečiąją šalį, asmenims turite pateikti tą pačią išsamią informaciją.

Kai yra du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslą ir priemones, jie laikomi bendrais duomenų valdytojais. Jie kartu nusprendžia tvarkyti asmens duomenis bendru tikslu. Bendras duomenų valdymas gali būti įvairių formų, o skirtingų duomenų valdytojų dalyvavimas gali būti nevienodas. Todėl bendri duomenų valdytojai turi nustatyti savo atitinkamą atsakomybę už BDAR laikymąsi.

Svarbu pažymėti, kad bendras duomenų valdymas lemia bendrą atsakomybę už duomenų tvarkymo veiklą.

• Bendro duomenų valdymo pavyzdys: Bendrovės A ir B pristatė bendrą prekės ženklą ir nori surengti renginį šiam produktui reklamuoti. Tuo tikslu jos nusprendžia dalytis savo atitinkamų klientų ir būsimų klientų duomenų bazių duomenimis ir šiuo pagrindu priimti sprendimą dėl pakviestų dalyvauti renginyje asmenų sąrašo. Jos taip pat susitaria dėl kvietimų į renginį siuntimo, informacijos rinkimo renginio metu ir tolesnių rinkodaros veiksmų tvarkos. Bendrovės A ir B gali būti laikomos bendrais duomenų valdytojais tvarkant asmens duomenis, susijusius su reklaminio renginio organizavimu, nes jos kartu nusprendžia dėl bendrai apibrėžto duomenų tvarkymo tikslo ir pagrindinių priemonių šiame kontekste.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Poveikio duomenų apsaugai vertinimas arba PDAV yra rašytinis vertinimas, kurį jūsų organizacija turėtų atlikti, kad įvertintų planuojamos duomenų tvarkymo operacijos poveikį. Jis padeda jums nustatyti tinkamas rizikos mažinimo priemones ir įrodyti atitiktį reikalavimams.

Nors visada pageidautina numatyti planuojamų jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.

Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:

• neskelbtinų asmens duomenų arba duomenų, susijusių su apkaltinamaisiais nuosprendžiais, tvarkymą dideliu mastu;  
• sistemingą ir išsamų asmens asmeninių savybių vertinimą, grindžiamą automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
• sistemingą didelio masto viešai prieinamos teritorijos stebėseną.

EDAV parengė gaires, kuriose išvardijami kriterijai, į kuriuos turite atsižvelgti vertindami, ar PDAV yra privalomas, ar ne. Duomenų apsaugos institucijos (DAI) taip pat paskelbė duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašus. Be to, kelios DAI parengė vadovus, programinę įrangą arba įsivertinimo priemones, kurios padės jums atlikti vertinimą.

Daugiau informacijos:

• Atitikti reikalavimus