Asmens duomenų tvarkymas – bet kokios rūšies veikla (tvarkymo operacija), atliekama su fizinių asmenų asmens duomenimis. Tai apima asmens duomenų rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, pritaikymą ar keitimą, išgavimą, susipažinimą, paiešką, naudojimą, atskleidimą perduodant, platinant ar kitu būdu sudarant galimybę jais naudotis, sugretinimą ar sujungimą, apribojimą, ištrynimą ar sunaikinimą.

BDAR taikomas slapukų naudojimui, kai jie naudojami asmens duomenims tvarkyti, tačiau taip pat yra nustatytos konkretesnės taisyklės dėl slapukų, įskaitant E. privatumo direktyvą.

Saugoti slapuką arba gauti prieigą prie jau saugomo slapuko naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas abonentas ar naudotojas buvo tinkamai informuotas (ypač apie tvarkymo tikslus) ir davė savo sutikimą.

Vienintelė išimtis yra techniškai būtini slapukai. Organizacijoms nereikia prašyti sutikimo, kai jų interneto svetainėse naudojami techniškai būtini slapukai.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

• tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
• užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
• užtikrina duomenų tvarkymo saugumą;
• nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
• padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
• padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
• pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
• pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
• leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.

Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Poveikio duomenų apsaugai vertinimas arba PDAV yra rašytinis vertinimas, kurį jūsų organizacija turėtų atlikti, kad įvertintų planuojamos duomenų tvarkymo operacijos poveikį. Jis padeda jums nustatyti tinkamas rizikos mažinimo priemones ir įrodyti atitiktį reikalavimams.

Nors visada pageidautina numatyti planuojamų jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.

Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:

• neskelbtinų asmens duomenų arba duomenų, susijusių su apkaltinamaisiais nuosprendžiais, tvarkymą dideliu mastu;  
• sistemingą ir išsamų asmens asmeninių savybių vertinimą, grindžiamą automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
• sistemingą didelio masto viešai prieinamos teritorijos stebėseną.

EDAV parengė gaires, kuriose išvardijami kriterijai, į kuriuos turite atsižvelgti vertindami, ar PDAV yra privalomas, ar ne. Duomenų apsaugos institucijos (DAI) taip pat paskelbė duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašus. Be to, kelios DAI parengė vadovus, programinę įrangą arba įsivertinimo priemones, kurios padės jums atlikti vertinimą.

Daugiau informacijos:

• Atitikti reikalavimus

Kaip laikomasi BDAR, stebi nacionalinės duomenų apsaugos institucijos (DAI). Prireikus DAI gali atlikti tyrimus ir taikyti sankcijas. DAI turi keletą priemonių, įskaitant, baudas iki 20 mln. EUR arba 4 proc. pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė, papeikimus ir laikinus arba nuolatinius tvarkymo draudimus.

Visų EEE DAI kontaktinius duomenis rasite EDAV interneto svetainėje: Nariai

Daugiau informacijos:

• Duomenų apsaugos institucija ir jūs

Pagal BDAR iš esmės yra du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant vykdytinas fizinių asmenų teises ir teisių gynimo priemones.

Daugiau informacijos:

• Tarptautinis perdavimas

Pirmasis žingsnis diegiant vaizdo stebėjimo sistemą yra nustatyti tikslą ar tikslus, kurių siekiate. Vaizdo stebėjimo sistemos įrengimo tikslai gali būti įvairūs, pavyzdžiui, patalpų saugumo užtikrinimas, pagalba vagysčių ir kitų nusikaltimų prevencijai ir nustatymui arba darbuotojų gyvybės ir sveikatos apsauga dėl darbo pobūdžio.

Kaip ir tvarkant bet kokius asmens duomenis, fizinių asmenų vaizdo stebėjimas turi turėti teisinį pagrindą pagal BDAR. Sutikimas gali būti tokio duomenų tvarkymo teisinis pagrindas. Tačiau daugeliu atvejų tai neturėtų būti taikoma vaizdo stebėjimo sistemų naudojimui, nes bus sunku gauti kiekvieno asmens, kuris gali būti stebimas, laisva valia duotą sutikimą. Dažniausiai pasitaikantis tokio asmens duomenų tvarkymo teisinis pagrindas yra teisėtas interesas. Kai duomenų tvarkymas grindžiamas teisėtu interesu, turėsite atlikti pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmens teises.

Jums reikės informuoti asmenis, kad jie yra stebimi. Tai galima padaryti pastatant lengvai skaitomus ženklus matomose vietose. Be to, prie visų įėjimų turėtų būti pritvirtintas ženklas, nurodantis vaizdo stebėjimo tikslus, duomenų valdytojo tapatybę bei kontaktinius duomenis.

Asmenims, kurių atvaizdus fiksuoja vaizdo stebėjimo sistema, turėtų būti pateikta ši informacija:

• duomenų valdytojo tapatybė ir kontaktiniai duomenys;
• duomenų tvarkymo tikslai;
• duomenų tvarkymo teisinis pagrindas (jei tai teisėtas interesas, konkreti informacija apie tai, kokie teisėti interesai yra susiję su konkrečiu duomenų tvarkymu ir apie tai, kuris subjektas siekia kiekvieno teisėto intereso);
• duomenų apsaugos pareigūno (DAP) kontaktiniai duomenys (jei yra DAP);
• duomenų gavėjai arba gavėjų kategorijos;
• vaizdo stebėjimo sistema filmuotos medžiagos saugumo priemonės;
• filmuotos medžiagos saugojimo laikotarpis;
• asmens teisių pagal BDAR buvimą ir teisę pateikti skundą nacionalinei duomenų apsaugos institucijai.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai
• Gerbti asmenų teises

Konkurso laimėtojų vardų ir pavardžių paskelbimas jūsų svetainėje gali būti laikomas teisėtu interesu, jei galite tai įrodyti atlikdami pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmenų teises.

Gera praktika būtų nustatyti vidaus procedūrą, kurioje būtų paaiškintos laimėtojų asmens duomenų skelbimo taisyklės.

Be to, asmens duomenų tvarkymas šiais tikslais turėtų būti įtrauktas į konkurso privatumo politiką, kad dalyviai būtų iš anksto informuoti apie tai, kaip jų duomenys bus tvarkomi.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Ne, jums nereikia būti sertifikuotu, kad taptumėte DAP.

Tačiau duomenų apsaugos pareigūnai turi sugebėti įrodyti, kad jie turi BDAR reikalaujamą būtiną kvalifikaciją, pvz., ekspertines žinias apie duomenų apsaugos teisę ir praktiką.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Galiojanti duomenų valdytojo ir duomenų tvarkytojo sutartis yra privaloma pagal BDAR. Už šį pažeidimą gali būti skiriama administracinė bauda iki 10 mln. EUR arba iki 2 % įmonės bendros metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Kad padėtų jums sudaryti duomenų valdytojo ir duomenų tvarkytojo sutartį, Danijos ir Slovėnijos duomenų apsaugos institucijos ir Europos Komisija parengė pavyzdines sutartis.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas