Būtinos saugumo priemonės gali skirtis atsižvelgiant į jūsų tvarkomų asmens duomenų pobūdį ir susijusią riziką asmenims. Bet kuriuo atveju yra keletas minimalių priemonių, kurias turėtumėte taikyti:

• užtikrinti saugų patekimą į patalpas;
• naudoti reguliariai atnaujinamą antivirusinę programinę įrangą;
• atidžiai pasirinkti savo slaptažodžius;
• prieš naudojantis kompiuterinėmis priemonėmis, užtikrinti, kad vartotojai autentifikuotų savo tapatybę;
• turėti duomenų atsarginių kopijų kūrimo ir atkūrimo politiką incidento atveju.

Be to, kai kurios elementarios priemonės, pvz., ekrano užrakinimas, kai esate toli, ir biurą užrakinimas dienos pabaigoje, niekada nėra netinkamos...

Daugiau informacijos:

• Saugūs asmens duomenys

EDAV reguliariai skelbia pranešimus spaudai, naujienas, tinklaraščio įrašus ir kitą turinį EDAV interneto svetainėje ir jos socialinės žiniasklaidos kanaluose (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) taip nuolat informuodama duomenų apsaugos bendruomenę ir plačiąją visuomenę apie savo darbą.

EDAV interneto svetainėje taip pat yra du RSS kanalai, kuriuos galite užsisakyti norėdami gauti EDAV naujienas ir naujausius EDAV leidinius.

Taip, BDAR taikomas, jei asmens duomenys yra saugomi arba ketinama juos laikyti susistemintoje rinkmenoje. Tai reiškia, kad BDAR taip pat taikomas popieriniams įrašams, o ne tik automatizuotam asmens duomenų tvarkymui.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Kiekviena organizacija, nepriklausomai nuo jos dydžio ar sektoriaus, įsteigta Europos ekonominėje erdvėje (EEE) arba siūlanti produktus ar paslaugas asmenims EEE, tvarkanti asmens duomenis automatizuotomis ar neautomatizuotomis priemonėmis turi atitikti BDAR. Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai organizuojami, pvz., abėcėlės tvarka bylų spintoje.

Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, organizavimą, naudojimą, keitimą, saugojimą, atskleidimą, pakeitimą ir ištrynimą.

Vis dėlto BDAR taikymas yra moduliuojamas atsižvelgiant į atliekamų duomenų tvarkymo operacijų pobūdį, kontekstą, tikslus ir riziką. MVĮ, kurių pagrindinė veikla nėra asmens duomenų tvarkymas, pareigos gali būti ne tokios griežtos kaip didelės įmonės.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Ne, jums nereikia būti sertifikuotu, kad taptumėte DAP.

Tačiau duomenų apsaugos pareigūnai turi sugebėti įrodyti, kad jie turi BDAR reikalaujamą būtiną kvalifikaciją, pvz., ekspertines žinias apie duomenų apsaugos teisę ir praktiką.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

BDAR taikomas slapukų naudojimui, kai jie naudojami asmens duomenims tvarkyti, tačiau taip pat yra nustatytos konkretesnės taisyklės dėl slapukų, įskaitant E. privatumo direktyvą.

Saugoti slapuką arba gauti prieigą prie jau saugomo slapuko naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas abonentas ar naudotojas buvo tinkamai informuotas (ypač apie tvarkymo tikslus) ir davė savo sutikimą.

Vienintelė išimtis yra techniškai būtini slapukai. Organizacijoms nereikia prašyti sutikimo, kai jų interneto svetainėse naudojami techniškai būtini slapukai.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Apskritai kiekviena organizacija turėtų turėti savo duomenų tvarkymo veiklos įrašus. Tai visų duomenų tvarkymo operacijų sąrašas, kuris gali padėti jums padaryti teisingas prielaidas dėl savo atsakomybės pagal BDAR ir galimos rizikos.

Kiekviena iš šių duomenų tvarkymo operacijų turi būti aprašyta duomenų tvarkymo veiklos įrašuose ir juose turi būti pateikta tokia informacija:

• duomenų tvarkymo tikslas (pvz., klientų lojalumas);
• tvarkomų duomenų kategorijos (pvz., darbo užmokesčio atveju: vardas, pavardė, gimimo data, atlyginimas ir kt.);
• kas turi prieigą prie duomenų (gavėjai, pvz.: už įdarbinimą atsakingas departamentas, IT tarnyba, vadovybė, paslaugų teikėjai, partneriai ir t. t.);
• kai taikoma, informacija, susijusi su asmens duomenų perdavimu už Europos ekonominės erdvės (EEE) ribų;
• kai įmanoma, saugojimo laikotarpis (laikotarpis, kuriuo duomenys yra naudingi veiklos ir archyvavimo požiūriu).
• kai įmanoma, bendras saugumo priemonių aprašymas.

Už duomenų tvarkymo veiklos įrašus atsako jūsų organizacijos vadovas.

Šie įrašai turi būti prieinami EEE šalies, kurioje vykdote veiklą, duomenų apsaugos institucijai, jei to paprašoma.

Nereikalaujama, kad organizacijos, kuriose dirba mažiau kaip 250 asmenų, savo įrašuose paminėtų tik atsitiktinę veiklą (pvz., duomenis, tvarkomus vienkartiniams renginiams, pvz., parduotuvės atidarymui).

 

Daugiau informacijos:

• Atitikti reikalavimus

Taip, duomenų tvarkytojai (t. y. asmenys ar įstaigos, kurie tvarko duomenis duomenų valdytojo vardu) turi BDAR nustatytas pareigas. Tačiau yra tam tikrų skirtumų tarp duomenų valdytojų ir duomenų tvarkytojų atsakomybės.

Duomenų tvarkytojai turi laikytis pareigų, nustatytų duomenų valdytojo ir duomenų tvarkytojo sutartyje, kurioje išsamiai aprašomos duomenų tvarkymo operacijos ir asmens duomenų tvarkymo priemonės. Pavyzdžiui, duomenų tvarkytojas turės atlikti duomenų tvarkymo operacijas taikydamas tinkamas technines ir organizacines priemones, kaip nurodė duomenų valdytojas. Tai darydamas duomenų tvarkytojas padeda duomenų valdytojui laikytis BDAR.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Pagal BDAR iš esmės yra du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant vykdytinas fizinių asmenų teises ir teisių gynimo priemones.

Daugiau informacijos:

• Tarptautinis perdavimas

Taip, galite, bet BDAR nustato tam tikras prievoles įmonėms, kurios dalijasi asmens duomenimis. Jūsų organizacija turi informuoti asmenis, kad pasidalinsite jų duomenimis su trečiąja šalimi. Jūs taip pat turite juos informuoti apie savo tikslus, saugumą, prieigos ir saugojimo priemones, kurios bus taikomos.