Organizacija turi ne tik tvarkyti asmens duomenis pagal Bendrąjį duomenų apsaugos reglamentą, bet ir gebėti įrodyti, kad jos tvarkymas atitinka reikalavimus. Tai apima pritaikytosios duomenų apsaugos įgyvendinimą, duomenų tvarkymo veiklos fiksavimą ir tam tikromis aplinkybėmis poveikio duomenų apsaugai vertinimą.
Pritaikytoji ir standartizuotoji duomenų apsauga
Kaip duomenų valdytojai, tiek planuodami duomenų tvarkymo operaciją, tiek tvarkydami duomenis, turite įgyvendinti tinkamas priemones ir saugumo priemones, kad užtikrintumėte, jog būtų laikomasi duomenų apsaugos principų. Taip pat turite užtikrinti, kad pagal numatytuosius nustatymus būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam tikslui (tai taikoma duomenų kiekiui, tvarkymo mastui, saugojimo apribojimui ir jo prieinamumui).
Kitaip tariant, organizacija, taikanti pritaikytąją ir standartizuotąją duomenų apsaugą, yra organizacija, kuri atsižvelgia į duomenų apsaugą ir asmenų privatumą visais aspektais kiekviename duomenų tvarkymo operacijų etape, taip pat dėl naudojamų įrankių ar bet kurioje kitoje savo verslo veikloje.
Kad galėtų tai padaryti, prieš pradėdama bet kokias duomenų tvarkymo operacijas, Jūsų organizacija turi atsižvelgti į:
- numatomos duomenų tvarkymo operacijos pobūdį, kontekstą ir apimtį;
- riziką, kuri gali kilti dėl numatomų duomenų tvarkymo operacijų ar bet kokios kitos verslo veiklos, kuri gali turėti įtakos fizinių asmenų asmens duomenims;
- technines ir organizacines priemones, kurios turėtų būti taikomos siekiant sumažinti nustatytą riziką ir taip užtikrinti tinkamą asmens duomenų apsaugą;
- techninės ir organizacinės priemonės arba procedūros, kurių reikia imtis siekiant užtikrinti, kad asmens duomenų tvarkymas (įskaitant visų pirma asmens duomenų rinkimą, saugojimą ir bendrą naudojimą) neviršytų to, kas būtina atsižvelgiant į siekiamus tikslus.
Praktiškai

- Knygynas nori padidinti savo pajamas pardavinėdamas knygas internetu. Knygyno savininkas nori sukurti standartizuotą užsakymo proceso formą. Pirmiausia savininkas nustato, kad visi formos laukeliai, įskaitant kliento gimimo datą, telefono numerį ir namų adresą, yra privalomi. Tačiau ne visi formos laukeliai yra būtini knygų pardavimui ir pristatymui.
Pavyzdžiui, užsisakydamas elektroninę knygą klientas gali atsisiųsti produktą tiesiai į savo įrenginį. Todėl šių laukų negalima reikalauti žiniatinklio formoje, kad būtų galima užsakyti knygas. Todėl internetinės parduotuvės savininkas nusprendžia sukurti dvi žiniatinklio formas: viena skirta knygų užsakymui, su lauku kliento adresui ir kita internetinė forma, skirta užsisakyti elektronines knygas be lauko kliento adresui. Tai darydamas savininkas užtikrina, kad būtų renkami tik tvarkymui būtini duomenys. - Medicinos kabinetas, kuriame dirba keli gydytojai, savo organizacinėje informacinėje sistemoje renka duomenis apie savo pacientus. Skirtingiems gydytojams gali reikėti susipažinti su pacientų bylomis, pavyzdžiui, kai jie pavaduoja nesantį gydytoją, informuoti apie savo sprendimus dėl pacientų priežiūros ir gydymo, taip pat susipažinti su dokumentais apie visus diagnostinius, priežiūros ir gydymo veiksmus, kurių imtasi. Pagal numatytuosius nustatymus prieiga suteikiama tik tiems gydytojams, kurie yra paskirti gydyti atitinkamą pacientą.
Naudinga saugoti įrašus apie šiuos vertinimus ir priemones, kad būtų galima įrodyti, jog atitinkate pritaikytosios ir standartizuotosios duomenų apsaugos principus. Patvirtintas sertifikavimo mechanizmas taip pat gali būti naudojamas kaip elementas siekiant įrodyti, kad laikomasi pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimų.
Pareiga saugoti duomenų tvarkymo įrašus
Kaip organizacija, turite pareigą registruoti savo duomenų tvarkymo veiklą. Šie įrašai turėtų būti saugomi raštu, įskaitant elektroninę formą.
Šiuose įrašuose pateikiama Jūsų duomenų tvarkymo veiklos apžvalga. Norėdami sukurti tokius įrašus, turėtumėte nurodyti, kuri Jūsų veikla reikalauja tvarkyti asmens duomenis (pavyzdžiui, įdarbinimas, darbo užmokesčio valdymas, mokymas, leidimų ir prieigos valdymas, potencialių klientų sąrašas ir kt.). Kiekviena iš šių duomenų tvarkymo operacijų turi būti pateikta tvarkymo įrašuose ir juose turi būti pateikta tokia informacija:
- duomenų tvarkymo tikslas (pvz., klientų lojalumas);
- tvarkomų duomenų kategorijos (pvz., darbo užmokesčio atveju: vardas, pavardė, gimimo data, atlyginimas ir kt.);
- kas turi prieigą prie duomenų (gavėjai, pvz.: už įdarbinimą atsakingas departamentas, IT tarnyba, vadovybė, paslaugų teikėjai, partneriai ir t. t.);
- kai taikoma, informacija, susijusi su asmens duomenų perdavimu už Europos ekonominės erdvės (EEE) ribų;
- jei įmanoma, saugojimo laikotarpis (laikotarpis, kuriuo duomenys yra naudingi veiklos ir archyvavimo požiūriu);
- jei įmanoma, bendras saugumo priemonių aprašymas.
Už duomenų tvarkymo veiklos įrašus atsako Jūsų organizacijos vadovas. Šis įrašas turi būti prieinamas EEE šalies, kurioje vykdote veiklą, duomenų apsaugos institucijai, jei to paprašoma.
Nereikalaujama, kad organizacijos, kuriose dirba mažiau kaip 250 asmenų, savo įrašuose paminėtų atsitiktinę veiklą (pvz., duomenis, tvarkomus vienkartiniams renginiams, pavyzdžiui, parduotuvės atidarymui).
Skaityti daugiau
Kaip atlikti poveikio duomenų apsaugai vertinimą (PDAV)?
Kas yra PDAV?
Kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas turi atlikti poveikio duomenų apsaugai vertinimą (PDAV). PDAV – tai raštiškas planuojamos duomenų tvarkymo operacijos įvertinimas. Jis padeda Jums nustatyti tinkamas apsaugos priemones rizikai sumažinti ir įrodyti, kad laikomasi reikalavimų.
Kada atlikti PDAV?
Nors visada pageidautina numatyti planuojamų Jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, tokį PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.
Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:
- dideliu mastu tvarkyti neskelbtinus asmens duomenis ir duomenis, susijusius su apkaltinamaisiais nuosprendžiais;
- sistemingas ir išsamus asmens asmeninių aspektų vertinimas, grindžiamas automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
- sisteminga didelio masto viešai prieinamos teritorijos stebėsena.
Daugeliu atvejų atliekant PDAV turėtų būti vertinamos duomenų tvarkymo operacijos, atitinkančios du iš šių kriterijų:
- vertinimas arba įvertinimas balais;
- automatizuotas sprendimų priėmimas, turintis teisinį ar panašų reikšmingą poveikį;
- sisteminga stebėsena;
- neskelbtini duomenys arba labai asmeninio pobūdžio duomenys;
- dideliu mastu tvarkomi duomenys;
- duomenų rinkinių derinimas arba atitikties nustatymas;
- duomenys, susiję su pažeidžiamais duomenų subjektais;
- novatoriškas naudojimas arba naujų technologinių ar organizacinių sprendimų taikymas;
- kai duomenų tvarkymas savaime užkerta kelią fiziniams asmenims pasinaudoti teise arba naudotis paslauga ar sutartimi.
Patarimai dėl PDAV

Turėtumėte susisiekti su EEE šalies, kurioje įsikūrusi Jūsų organizacija, duomenų apsaugos institucija, kad sužinotumėte, ar ji turi viešai prieinamą dokumentą, kuriame išvardytos sąlygos, kuriomis duomenų tvarkymo operacijoms reikės atlikti PDAV, ir kuriai duomenų tvarkymo operacijai nereikės atlikti PDAV.
Pavyzdžiai, kada gali būti reikalaujama atlikti PDAV:
- planuojama tvarkyti biometrinius duomenis, pavyzdžiui, nuskaityti pirštų atspaudus arba veido bruožus, kad būtų galima nustatyti pacientų tapatybę;
- pažeidžiamų asmenų duomenų naudojimas rinkodaros tikslais, pavyzdžiui, siekiant numatyti jų pirkimus;
- mobilioji programėlė, stebinti asmens buvimo vietą.
Pavyzdžiai, kada PDAV gali būti nereikalingas
- numatoma duomenų tvarkymo operacija yra labai panaši į duomenų tvarkymą, dėl kurio atliktas PDAV;
- duomenų tvarkymas nėra įtrauktas į privalomų duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašą (kurį sudaro Jūsų nacionalinė duomenų apsaugos priežiūros institucija);
- tvarkyti duomenis leidžiama pagal ES arba nacionalinę teisę.
Ką įtraukti į PDAV?
Jūsų PDAV turėtų apimti:
- planuojamos duomenų tvarkymo operacijos ir jos tikslo aprašymas;
- būtinumo ir proporcingumo vertinimas;
- riziką, kurią gali kelti duomenų tvarkymo operacija;
- rizikos mažinimo priemonės.
Išankstinės konsultacijos atliekant PDAV
Kai duomenų valdytojas negali rasti pakankamų priemonių rizikai sumažinti iki priimtino lygio (t. y. liekamoji rizika vis dar yra didelė), būtina konsultuotis su duomenų apsaugos priežiūros institucija. Tokiu atveju duomenų valdytojas turi pateikti šią informaciją:
- atitinkamas duomenų valdytojo, bendrų duomenų valdytojų ir duomenų tvarkytojų, dalyvaujančių tvarkant duomenis, pareigas;
- duomenų tvarkymo operacijos tikslas ir tai, kaip bus vykdoma duomenų tvarkymo operacija;
- priemonės, numatytos asmens duomenims apsaugoti;
- Jūsų organizacijos duomenų apsaugos pareigūno kontaktiniai duomenys, jei taikoma;
- nagrinėjamas PDAV.
Po PDAV – išbandykite, patobulinkite, patikrinkite!
Kai parengiamas PDAV, turite jį išbandyti; prireikus tobulinti; atlikti savo duomenų tvarkymo operaciją; iš naujo įvertinti, ar Jūsų PDAV atitinka duomenų tvarkymo operaciją; ir kontrolinis patikrinimas.

Skaityti daugiau
29 straipsnio darbo grupės nuoroda: Poveikio duomenų apsaugai vertinimo gairės (PDAV)
Europos Komisijos naujienų svetainė
Susieti nacionalinius duomenų tvarkymo operacijų, dėl kurių reikia atlikti poveikio duomenų apsaugai vertinimą arba jo nereikia, rūšių sąrašus
Duomenų apsaugos komisija, Airijos priežiūros institucija
Elgesio kodeksai
Priklausomai nuo to, kur Jūsų organizacija yra EEE, gali būti asociacijų ar kitų įstaigų, atstovaujančių duomenų valdytojams arba duomenų tvarkytojams. Šios asociacijos ir įstaigos gali parengti elgesio kodeksus, įskaitant duomenų apsaugos mechanizmus, kurių gali laikytis duomenų valdytojai ir tvarkytojai, siekdami padėti užtikrinti, kad būtų laikomasi asmens duomenų apsaugos pagal BDAR.
Konkrečiau, šiais elgesio kodeksais siekiama užtikrinti, pavyzdžiui:
- kad asmens duomenys būtų tvarkomi sąžiningai ir skaidriai;
- asmens duomenų tvarkymo tikslai yra teisėti;
- kaip pseudonimizuoti asmens duomenis;
- skaidri informacija būtų teikiama asmenims, kurių asmens duomenys yra tvarkomi;
- kad būtų tinkamai siekiama sutikimo, kad būtų tvarkomi fizinių asmenų duomenys, ypač su vaikais susiję asmens duomenys;
- kad būtų įdiegtos visos techninės ir organizacinės priemonės siekiant užtikrinti saugų asmens duomenų tvarkymą;
- kad būtų laikomasi pranešimo apie asmens duomenų saugumo pažeidimus procedūrų;
- kad būtų laikomasi procedūrų, įskaitant apsaugos priemones, susijusių su asmens duomenų perdavimu į EEE nepriklausančias šalis ir organizacijas;
- kad būtų laikomasi procedūrų, susijusių su teismo procesais ir ginčų sprendimu.
Svarbus patarimas

- Turėtumėte susisiekti su atitinkama asociacija ar įstaiga, kuri rengia BDAR elgesio kodeksus, nes jie gali padėti Jums laikytis BDAR.
Sertifikavimas
Kas yra BDAR sertifikavimas?
Organizacija, kuri gauna BDAR sertifikatą, gali naudoti šį sertifikatą, kad įrodytų, jog jos duomenų tvarkymo operacijos atitinka BDAR.
EEE duomenų apsaugos priežiūros institucijos gali, pavyzdžiui:
- išduoti BDAR sertifikatus dėl savo sertifikavimo schemos;
- išduoti BDAR sertifikatus, susijusius su savo sertifikavimo schema, tačiau visą vertinimo procesą arba jo dalį perduoti trečiosioms šalims;
- sukurti savo sertifikavimo sistemą ir pavesti konkrečioms įstaigoms išduoti šiuos sertifikatus;
- skatinti rinką kurti sertifikavimo mechanizmus;
- įvertinti sertifikavimo įstaigų sertifikavimo sistemas.
Sertifikavimo įstaigai pavesta išduoti, peržiūrėti ir panaikinti sertifikatus, remiantis sertifikavimo mechanizmu ir patvirtintais kriterijais.
Sertifikavimo įstaigos turi dokumentuoti Jūsų organizacijos duomenų tvarkymo operacijų, kurioms gali būti išduotas BDAR sertifikatas, vertinimą.
Mano organizacija gavo BDAR sertifikatą, kas toliau?
Jūsų organizacijos vykdomos duomenų tvarkymo operacijos BDAR sertifikavimas galioja ne ilgiau kaip 3 metus, tačiau gali būti atnaujintas arba atšauktas. Kad šis sertifikatas būtų išlaikytas, Jūsų organizacija turi nuolat ir nuosekliai praktiškai įgyvendinti priemones, susijusias su sertifikuota duomenų apsaugos operacija.