Dažnai užduodami klausimai
Ar mano organizacija turi laikytis BDAR?
Kiekviena organizacija, nepriklausomai nuo jos dydžio ar sektoriaus, įsteigta Europos ekonominėje erdvėje (EEE) arba siūlanti produktus ar paslaugas asmenims EEE, tvarkanti asmens duomenis automatizuotomis ar neautomatizuotomis priemonėmis turi atitikti BDAR. Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai organizuojami, pvz., abėcėlės tvarka bylų spintoje.
Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, organizavimą, naudojimą, keitimą, saugojimą, atskleidimą, pakeitimą ir ištrynimą.
Vis dėlto BDAR taikymas yra moduliuojamas atsižvelgiant į atliekamų duomenų tvarkymo operacijų pobūdį, kontekstą, tikslus ir riziką. MVĮ, kurių pagrindinė veikla nėra asmens duomenų tvarkymas, pareigos gali būti ne tokios griežtos kaip didelės įmonės.
Daugiau informacijos:
Kokios yra duomenų apsaugos pareigūno (DAP) užduotys?
Duomenų apsaugos pareigūno užduotys, be kita ko, apima:
- organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
- stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
- konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
- kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
- kontaktinio asmens vaidmenį asmenims.
Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.
Daugiau informacijos:
Ar privalau viešai paskelbti savo duomenų tvarkymo veiklos įrašus?
Ne, nebūtina viešai skelbti savo duomenų tvarkymo veiklos įrašų. Tačiau, duomenų apsaugos institucijai paprašius, jūs turite turėti galimybę pateikti įrašus.
Daugiau informacijos:
Ar galiu dalytis asmenų asmens duomenų sąrašu su savo verslo partneriais (trečiosiomis šalimis)?
Taip, galite, bet BDAR nustato tam tikras prievoles įmonėms, kurios dalijasi asmens duomenimis. Jūsų organizacija turi informuoti asmenis, kad pasidalinsite jų duomenimis su trečiąja šalimi. Jūs taip pat turite juos informuoti apie savo tikslus, saugumą, prieigos ir saugojimo priemones, kurios bus taikomos.
Ar man reikia sutikimo, kad galėčiau naudoti slapukus savo organizacijos svetainėje?
BDAR taikomas slapukų naudojimui, kai jie naudojami asmens duomenims tvarkyti, tačiau taip pat yra nustatytos konkretesnės taisyklės dėl slapukų, įskaitant E. privatumo direktyvą.
Saugoti slapuką arba gauti prieigą prie jau saugomo slapuko naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas abonentas ar naudotojas buvo tinkamai informuotas (ypač apie tvarkymo tikslus) ir davė savo sutikimą.
Vienintelė išimtis yra techniškai būtini slapukai. Organizacijoms nereikia prašyti sutikimo, kai jų interneto svetainėse naudojami techniškai būtini slapukai.
Daugiau informacijos:
Kas turėtų būti įtraukta į duomenų valdytojo ir duomenų tvarkytojo sutartį?
Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:
- tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
- užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
- užtikrina duomenų tvarkymo saugumą;
- nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
- padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
- padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
- pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
- pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
- leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.
Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.
Daugiau informacijos:
Ar duomenų apsaugos pareigūnas (DAP) yra atsakingas už BDAR laikymąsi?
DAP negali būti laikomas atsakingu už BDAR nesilaikymą. Už BDAR laikymąsi atsako DAP paskyrusi organizacija.
Daugiau informacijos:
Ar galiu savo verslo patalpose įdiegti vaizdo stebėjimo sistemą, kad apsaugočiau savo turtą?
Pirmasis žingsnis diegiant vaizdo stebėjimo sistemą yra nustatyti tikslą ar tikslus, kurių siekiate. Vaizdo stebėjimo sistemos įrengimo tikslai gali būti įvairūs, pavyzdžiui, patalpų saugumo užtikrinimas, pagalba vagysčių ir kitų nusikaltimų prevencijai ir nustatymui arba darbuotojų gyvybės ir sveikatos apsauga dėl darbo pobūdžio.
Kaip ir tvarkant bet kokius asmens duomenis, fizinių asmenų vaizdo stebėjimas turi turėti teisinį pagrindą pagal BDAR. Sutikimas gali būti tokio duomenų tvarkymo teisinis pagrindas. Tačiau daugeliu atvejų tai neturėtų būti taikoma vaizdo stebėjimo sistemų naudojimui, nes bus sunku gauti kiekvieno asmens, kuris gali būti stebimas, laisva valia duotą sutikimą. Dažniausiai pasitaikantis tokio asmens duomenų tvarkymo teisinis pagrindas yra teisėtas interesas. Kai duomenų tvarkymas grindžiamas teisėtu interesu, turėsite atlikti pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmens teises.
Jums reikės informuoti asmenis, kad jie yra stebimi. Tai galima padaryti pastatant lengvai skaitomus ženklus matomose vietose. Be to, prie visų įėjimų turėtų būti pritvirtintas ženklas, nurodantis vaizdo stebėjimo tikslus, duomenų valdytojo tapatybę bei kontaktinius duomenis.
Asmenims, kurių atvaizdus fiksuoja vaizdo stebėjimo sistema, turėtų būti pateikta ši informacija:
- duomenų valdytojo tapatybė ir kontaktiniai duomenys;
- duomenų tvarkymo tikslai;
- duomenų tvarkymo teisinis pagrindas (jei tai teisėtas interesas, konkreti informacija apie tai, kokie teisėti interesai yra susiję su konkrečiu duomenų tvarkymu ir apie tai, kuris subjektas siekia kiekvieno teisėto intereso);
- duomenų apsaugos pareigūno (DAP) kontaktiniai duomenys (jei yra DAP);
- duomenų gavėjai arba gavėjų kategorijos;
- vaizdo stebėjimo sistema filmuotos medžiagos saugumo priemonės;
- filmuotos medžiagos saugojimo laikotarpis;
- asmens teisių pagal BDAR buvimą ir teisę pateikti skundą nacionalinei duomenų apsaugos institucijai.
Daugiau informacijos:
Ar galiu perduoti asmens duomenis už Europos ekonominės erdvės (EEE) ribų?
Pagal BDAR iš esmės yra du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant vykdytinas fizinių asmenų teises ir teisių gynimo priemones.
Daugiau informacijos:
Kas yra slapukai?
Slapukai yra maži failai, saugomi įrenginyje, pvz., kompiuteryje, mobiliajame įrenginyje ar bet kuriame kitame įrenginyje, kuriame galima saugoti informaciją. Slapukai atlieka keletą svarbių funkcijų, įskaitant naudotojų ir jų ankstesnių sąveikų su svetaine atminimą. Jie gali būti naudojami sekti prekes internetiniame pirkinių krepšelyje arba sekti informaciją, kai išsami informacija įtraukiama į internetinę paraiškos formą.
Tapatumo nustatymo slapukai taip pat yra svarbūs identifikuojant naudotojus, kai jie prisijungia prie banko paslaugų ir kitų internetinių paslaugų. Slapukuose saugoma informacija gali apimti asmens duomenis, pvz., IP adresą, naudotojo vardą, unikalų identifikatorių arba el. pašto adresą.