DAP organizacijoje gali atlikti kitas užduotis, tačiau dėl to negali kilti interesų konfliktas. Tai reiškia, kad DAP negali užimti tokios pozicijos, kurioje nustatytų duomenų tvarkymo tikslus ir priemones. Nesuderinamos funkcijos daugiausia apima vadovaujančias pareigas (generalinis direktorius, vykdomasis direktorius, finansų vadovas, žmogiškųjų išteklių vadovas, IT vadovas), tačiau jos taip pat gali apimti kitas funkcijas, jei vykdant jas nustatomi duomenų tvarkymo tikslai ir priemonės.

DAP turi galėti nepriklausomai vykdyti savo pareigas ir užduotis. Tai reiškia, kad jūsų organizacija:

• negali duoti nurodymų DAP dėl jo DAP pareigų vykdymo;
• negali bausti ar atleisti DAP už savo užduočių vykdymą.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Galiojanti duomenų valdytojo ir duomenų tvarkytojo sutartis yra privaloma pagal BDAR. Už šį pažeidimą gali būti skiriama administracinė bauda iki 10 mln. EUR arba iki 2 % įmonės bendros metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Kad padėtų jums sudaryti duomenų valdytojo ir duomenų tvarkytojo sutartį, Danijos ir Slovėnijos duomenų apsaugos institucijos ir Europos Komisija parengė pavyzdines sutartis.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Duomenų apsaugos pareigūno užduotys, be kita ko, apima:

• organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
• stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
• konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
• kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
• kontaktinio asmens vaidmenį asmenims.

Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Kaip laikomasi BDAR, stebi nacionalinės duomenų apsaugos institucijos (DAI). Prireikus DAI gali atlikti tyrimus ir taikyti sankcijas. DAI turi keletą priemonių, įskaitant, baudas iki 20 mln. EUR arba 4 proc. pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė, papeikimus ir laikinus arba nuolatinius tvarkymo draudimus.

Visų EEE DAI kontaktinius duomenis rasite EDAV interneto svetainėje: Nariai

Daugiau informacijos:

• Duomenų apsaugos institucija ir jūs

Duomenų valdytojai gali tvarkyti asmens duomenis tik esant vienai iš šių aplinkybių:

• gavus atitinkamų asmenų sutikimą;
• kai tvarkyti duomenis būtina siekiant įvykdyti sutartį (susitarimą tarp jūsų organizacijos ir asmens);
• vykdyti teisinę prievolę pagal ES arba nacionalinės teisės aktus;
• kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui pagal ES arba nacionalinės teisės aktus;
• siekiant apsaugoti gyvybinius asmens interesus;
• siekiant jūsų organizacijos teisėtų interesų, išskyrus atvejus, kai asmenų teisės ir laisvės yra viršesnės.

Be to, BDAR nustatytos papildomos neskelbtinų duomenų tvarkymo sąlygos.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

• Bet koks asmens duomenų tvarkymas turi būti teisėtas, sąžiningas ir skaidrus.
• Rinkite asmens duomenis tik nustatytais, aiškiai apibrėžtais ir teisėtais tikslais. Asmens duomenų tvarkymas turi būti griežtai apribotas (-ais) iš pradžių nustatytu (-ais) tikslu (-ais), todėl duomenys neturėtų būti tvarkomi vėlesniu (-iais) ar kitu (-ais) su pirminiais tikslais nesuderinamu (-ais) tikslu (-ais).
• Tvarkykite tik tuos asmens duomenis, kurie yra būtini ir proporcingi atsižvelgiant į numatytą tikslą.
• Visi jūsų tvarkomi asmens duomenys turi būti tikslūs ir nuolat atnaujinami. Netikslūs asmens duomenys turi būti ištaisyti arba ištrinti.
• Asmens duomenys turi būti saugomi ribotą laiką, atsižvelgiant į tikslą, kuriuo šie duomenys buvo renkami ir tvarkomi. Todėl asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi.
• Asmens duomenys turi būti tvarkomi saugiai. Šiuo požiūriu, siekiant užtikrinti tinkamą asmenų duomenų apsaugą, turi būti įdiegtos patikimos kibernetinio saugumo kontrolės priemonės.

Galiausiai, duomenų valdytojas yra atskaitingas. Tai reiškia, kad jis yra atsakingas ir turi sugebėti įrodyti, kad laikosi pirmiau nurodytų principų.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

BDAR nustatytos prievolės visoms asmens duomenis tvarkančioms organizacijoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai, ar duomenų tvarkytojai.

Visų pirma turėtumėte:

• Paklausti savęs, ar tikslas, kuriuo gali būti renkami asmens duomenys, yra pagrįstas, ir renkami tik tie asmens duomenys, kurie yra būtini konkrečiam (-iems) numatytam (-iems) tikslui (-ams);
• Užtikrinti, kad asmenų asmens duomenys būtų tikslūs ir atnaujinti, ir ištrinti duomenis, kai jų nebereikia;
• Gerbti asmenų teises informuojant juos apie tai, kaip ir kodėl tvarkomi jų duomenys, ir suteikti jiems galimybę naudotis savo teisėmis;
• Patikrinti, ar turite tinkamą teisinį pagrindą tvarkyti asmens duomenis. Jei ketinate remtis fizinių asmenų sutikimu, prieš tvarkydami jų asmens duomenis, paprašykite jų sutikimo;
• Užtikrinti, kad asmens duomenys būtų tvarkomi saugiai;
• Tvarkyti duomenų tvarkymo veiklos įrašus.

Duomenų tvarkytojai turi laikytis duomenų valdytojo ir duomenų tvarkytojo sutartyje nustatytų pareigų ir negali tvarkyti duomenų kitaip, nei nurodyta duomenų valdytojo nurodymuose.

Daugiau informacijos:

• Atitikti reikalavimus
• Duomenų valdytojas ar duomenų tvarkytojas
• Duomenų apsaugos pagrindai

Slapukai yra maži failai, saugomi įrenginyje, pvz., kompiuteryje, mobiliajame įrenginyje ar bet kuriame kitame įrenginyje, kuriame galima saugoti informaciją. Slapukai atlieka keletą svarbių funkcijų, įskaitant naudotojų ir jų ankstesnių sąveikų su svetaine atminimą. Jie gali būti naudojami sekti prekes internetiniame pirkinių krepšelyje arba sekti informaciją, kai išsami informacija įtraukiama į internetinę paraiškos formą.

Tapatumo nustatymo slapukai taip pat yra svarbūs identifikuojant naudotojus, kai jie prisijungia prie banko paslaugų ir kitų internetinių paslaugų. Slapukuose saugoma informacija gali apimti asmens duomenis, pvz., IP adresą, naudotojo vardą, unikalų identifikatorių arba el. pašto adresą.

Paskirti duomenų apsaugos pareigūną privaloma šiais trimis atvejais:

• organizacija yra valdžios institucija;
• pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, naudojantis mobiliąja programėle, naudojantis geografine vietove, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą;
• pagrindinė organizacijos veikla – didelio masto neskelbtinų duomenų arba asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymas.

Visada galite paskirti DAP savanoriškai, net jei tai nėra teisiškai reikalaujama. Atkreipkite dėmesį, kad tokiu atveju turite laikytis visų BDAR nuostatų dėl duomenų apsaugos pareigūno užduočių ir pareigų.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

DAP negali būti laikomas atsakingu už BDAR nesilaikymą. Už BDAR laikymąsi atsako DAP paskyrusi organizacija.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas