• Gairės Nr. 03/2021 dėl Bendrojo duomenų apsaugos reglamento (BDAR) 65 straipsnio 1 dalies a punkto taikymo

    24 May 2023
    Publication Type:

  • Nuomonė 04/2024 dėl duomenų valdytojo pagrindinės buveinės Sąjungoje sąvokos pagal BDAR 4 straipsnio 16 punkto a papunktį

    13 February 2024
    Publication Type:

    • BDAR išskiriami du pagrindiniai vaidmenys: duomenų valdytojo ir duomenų tvarkytojo. Šis atskyrimas yra labai svarbus, nes duomenų valdytojui tenka didesnė atsakomybė ir jis turi įvykdyti daugiau įsipareigojimų nei duomenų tvarkytojas.

    Duomenų valdytoju ir tvarkytoju gali būti fiziniai arba juridiniai asmenys, pavyzdžiui: MVĮ, valdžios institucija, įmonė, organizacija, valstybinė įstaiga, asociacija ir kt.

    Duomenų valdytojas nustato duomenų tvarkymo operacijos tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Tuo tarpu duomenų tvarkytojai tvarko asmens duomenis duomenų valdytojo vardu. Duomenų tvarkytojų atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi su duomenų valdytoju arba teisės aktu.

    Duomenų valdytojų pavyzdžiai:

    • įmonės, kurios tvarko savo klientų asmens duomenis, kad užbaigtų pardavimą;
    • finansų įstaigos, kurios tvarko savo klientų asmens duomenis;
    • asociacijos, kurios tvarko savo narių duomenis;
    • mokyklos ar universitetai, tvarkantys studentų ir dėstytojų asmens duomenis;
    • ligoninės, kurios tvarko savo pacientų asmens duomenis;
    • valdžios institucijos, kurios tvarko piliečių asmens duomenis.

    Duomenų tvarkytojų pavyzdžiai:

    • MVĮ samdo buhalterinės apskaitos paslaugą savo knygoms ir įrašams saugoti, MVĮ yra duomenų valdytoja, o buhalterijos įmonė – duomenų tvarkytoja;
    • darbo užmokesčio bendrovė tvarko MVĮ tvarkomus asmens duomenis. Darbo užmokesčio bendrovė veiks kaip duomenų tvarkytoja, jei ji asmens duomenis tvarkys tik MVĮ vardu. MVĮ nustato duomenų tvarkymo tikslus ir priemones, todėl yra duomenų valdytoja.
    • MVĮ paveda rinkodaros įmonei rinkti el. pašto adresus trečiųjų šalių svetainėse.  Rinkodaros bendrovė tai daro vadovaudamasi aiškiais MVĮ nurodymais ir išimtinai MVĮ tikslais. Rinkodaros bendrovė veikia kaip šio rinkimo duomenų tvarkytoja.

     

    Daugiau informacijos:

    Ar radote savo atsakymą?

    DAP gali būti esamas darbuotojas, turintis pakankamai žinių apie BDAR (jei darbuotojo profesinės užduotys yra suderinamos su DAP užduotimis ir dėl to nekyla interesų konfliktų) arba išorės asmuo. DAP turi sugebėti savarankiškai atlikti užduotis ir turėtų tiesiogiai atsiskaityti aukščiausiajai vadovybei.

     

    Daugiau informacijos:

    Ta pačia tema:
    Ar radote savo atsakymą?

    Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

    Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

    • jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
    • jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

     

    Daugiau informacijos:

    Ta pačia tema:
    Ar radote savo atsakymą?

    Asmenys gali jūsų paklausti, ar tvarkote jų duomenis ir, jei taip, jie turi teisę susipažinti su tais duomenimis. Taigi, kai taip atsitinka ir jei tvarkote jų duomenis, turėtumėte, pavyzdžiui, nemokamai pateikti jų asmens duomenų kopiją kartu su bet kokia reikalinga papildoma informacija. Jei prašymas pateikiamas elektroniniu būdu, jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai asmuo paprašo kitaip.

     

    Daugiau informacijos:

    Ta pačia tema:
    Ar radote savo atsakymą?

    Asmens duomenų saugumo pažeidimas yra saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų.

    • Jei duomenų saugumo pažeidimas kelia pavojų fiziniams asmenims, turite apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas.
    • Jei dėl pažeidimo gali kilti didelis pavojus fiziniams asmenims, apie tą pažeidimą taip pat turėsite nepagrįstai nedelsiant jiems pranešti.

    Bet kuriuo atveju, visų pažeidimų, net ir tų, apie kuriuos nepranešta DAI, atveju turite užregistruoti bent pagrindinius pažeidimo duomenis, jo vertinimą, jo poveikį ir veiksmus, kurių imtasi reaguojant į jį.

     

    Daugiau informacijos:

    Ar radote savo atsakymą?

    Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

    • tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
    • užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
    • užtikrina duomenų tvarkymo saugumą;
    • nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
    • padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
    • padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
    • pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
    • pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
    • leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.

    Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.

     

    Daugiau informacijos:

    Ta pačia tema:
    Ar radote savo atsakymą?

    BDAR arba Bendruoju duomenų apsaugos reglamentu sukuriamas suderintas taisyklių rinkinys, taikomas visam asmens duomenų tvarkymui, kurį vykdo Europos ekonominėje erdvėje (EEE) įsteigtos organizacijos (viešosios ar privačios, nepriklausomai nuo jų dydžio) arba organizacijos, tvarkančios ES esančių asmenų duomenis. Pagrindinis BDAR tikslas – užtikrinti, kad asmens duomenims būtų taikoma vienoda aukšto lygio apsauga visoje EEE, taip didinant teisinį tikrumą tiek asmenims, tiek duomenis tvarkančioms organizacijoms, ir užtikrinti aukšto lygio fizinių asmenų apsaugą.

    Reglamentas įsigaliojo 2016 m. gegužės 24 d. ir taikomas nuo 2018 m. gegužės 25 d.

    Ar radote savo atsakymą?
    Subscribe to