Dažnai užduodami klausimai
Kokios yra duomenų apsaugos pareigūno (DAP) užduotys?
Duomenų apsaugos pareigūno užduotys, be kita ko, apima:
- organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
- stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
- konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
- kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
- kontaktinio asmens vaidmenį asmenims.
Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.
Daugiau informacijos:
Ar mano organizacija turi laikytis BDAR?
Kiekviena organizacija, nepriklausomai nuo jos dydžio ar sektoriaus, įsteigta Europos ekonominėje erdvėje (EEE) arba siūlanti produktus ar paslaugas asmenims EEE, tvarkanti asmens duomenis automatizuotomis ar neautomatizuotomis priemonėmis turi atitikti BDAR. Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai organizuojami, pvz., abėcėlės tvarka bylų spintoje.
Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, organizavimą, naudojimą, keitimą, saugojimą, atskleidimą, pakeitimą ir ištrynimą.
Vis dėlto BDAR taikymas yra moduliuojamas atsižvelgiant į atliekamų duomenų tvarkymo operacijų pobūdį, kontekstą, tikslus ir riziką. MVĮ, kurių pagrindinė veikla nėra asmens duomenų tvarkymas, pareigos gali būti ne tokios griežtos kaip didelės įmonės.
Daugiau informacijos:
Ar privalau viešai paskelbti savo duomenų tvarkymo veiklos įrašus?
Ne, nebūtina viešai skelbti savo duomenų tvarkymo veiklos įrašų. Tačiau, duomenų apsaugos institucijai paprašius, jūs turite turėti galimybę pateikti įrašus.
Daugiau informacijos:
Ar galiu dalytis asmenų asmens duomenų sąrašu su savo verslo partneriais (trečiosiomis šalimis)?
Taip, galite, bet BDAR nustato tam tikras prievoles įmonėms, kurios dalijasi asmens duomenimis. Jūsų organizacija turi informuoti asmenis, kad pasidalinsite jų duomenimis su trečiąja šalimi. Jūs taip pat turite juos informuoti apie savo tikslus, saugumą, prieigos ir saugojimo priemones, kurios bus taikomos.
Ar man reikia sutikimo, kad galėčiau naudoti slapukus savo organizacijos svetainėje?
BDAR taikomas slapukų naudojimui, kai jie naudojami asmens duomenims tvarkyti, tačiau taip pat yra nustatytos konkretesnės taisyklės dėl slapukų, įskaitant E. privatumo direktyvą.
Saugoti slapuką arba gauti prieigą prie jau saugomo slapuko naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas abonentas ar naudotojas buvo tinkamai informuotas (ypač apie tvarkymo tikslus) ir davė savo sutikimą.
Vienintelė išimtis yra techniškai būtini slapukai. Organizacijoms nereikia prašyti sutikimo, kai jų interneto svetainėse naudojami techniškai būtini slapukai.
Daugiau informacijos:
Kas yra neskelbtini duomenys?
Kai kurių rūšių asmens duomenys priklauso specialių kategorijų asmens duomenims, vadinamieji neskelbtini duomenys, o tai reiškia, kad jie nusipelno didesnės apsaugos. Neskelbtini duomenys apima duomenis, atskleidžiančius informaciją apie:
- asmens sveikatą;
- asmens seksualinę orientaciją;
- asmens rasinę ar etninę kilmę;
- asmens politines pažiūras, religinius ar filosofinius įsitikinimus; asmens narystę profesinėse sąjungose;
- asmens biometrinius ir genetinius duomenis.
Paprastai draudžiama tvarkyti neskelbtinus asmens duomenis, išskyrus konkrečias aplinkybes, kuriomis pateisinamas jų tvarkymas.
Daugiau informacijos:
Kokios sankcijos taikomos, jei mano organizacija nesilaiko BDAR arba jei mano duomenų tvarkymas pažeidžia BDAR?
Kaip laikomasi BDAR, stebi nacionalinės duomenų apsaugos institucijos (DAI). Prireikus DAI gali atlikti tyrimus ir taikyti sankcijas. DAI turi keletą priemonių, įskaitant, baudas iki 20 mln. EUR arba 4 proc. pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė, papeikimus ir laikinus arba nuolatinius tvarkymo draudimus.
Visų EEE DAI kontaktinius duomenis rasite EDAV interneto svetainėje: Nariai
Daugiau informacijos:
Ar duomenų apsaugos pareigūnas (DAP) yra atsakingas už BDAR laikymąsi?
DAP negali būti laikomas atsakingu už BDAR nesilaikymą. Už BDAR laikymąsi atsako DAP paskyrusi organizacija.
Daugiau informacijos:
Ar duomenų tvarkytojai taip pat turi laikytis BDAR?
Taip, duomenų tvarkytojai (t. y. asmenys ar įstaigos, kurie tvarko duomenis duomenų valdytojo vardu) turi BDAR nustatytas pareigas. Tačiau yra tam tikrų skirtumų tarp duomenų valdytojų ir duomenų tvarkytojų atsakomybės.
Duomenų tvarkytojai turi laikytis pareigų, nustatytų duomenų valdytojo ir duomenų tvarkytojo sutartyje, kurioje išsamiai aprašomos duomenų tvarkymo operacijos ir asmens duomenų tvarkymo priemonės. Pavyzdžiui, duomenų tvarkytojas turės atlikti duomenų tvarkymo operacijas taikydamas tinkamas technines ir organizacines priemones, kaip nurodė duomenų valdytojas. Tai darydamas duomenų tvarkytojas padeda duomenų valdytojui laikytis BDAR.
Daugiau informacijos:
Ar galiu perduoti asmens duomenis už Europos ekonominės erdvės (EEE) ribų?
Pagal BDAR iš esmės yra du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant vykdytinas fizinių asmenų teises ir teisių gynimo priemones.
Daugiau informacijos: