Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

• jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
• jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

Daugiau informacijos:

• Gerbti asmenų teises

1. Įsitikinkite, kad jūsų gauti duomenys buvo surinkti teisėtai ir kad atitinkami asmenys buvo informuoti apie jų asmens duomenų tvarkymą.
2. Jei trečioji šalis tvarko asmens duomenis jūsų vardu, įsitikinkite, kad turite duomenų valdytojo ir duomenų tvarkytojo sutartį, kurioje išsamiai aprašomos tvarkymo operacijos ir asmens duomenų tvarkymo priemonės.

Ir, žinoma, laikykitės visų duomenų valdytojo pareigų.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Būtinos saugumo priemonės gali skirtis atsižvelgiant į jūsų tvarkomų asmens duomenų pobūdį ir susijusią riziką asmenims. Bet kuriuo atveju yra keletas minimalių priemonių, kurias turėtumėte taikyti:

• užtikrinti saugų patekimą į patalpas;
• naudoti reguliariai atnaujinamą antivirusinę programinę įrangą;
• atidžiai pasirinkti savo slaptažodžius;
• prieš naudojantis kompiuterinėmis priemonėmis, užtikrinti, kad vartotojai autentifikuotų savo tapatybę;
• turėti duomenų atsarginių kopijų kūrimo ir atkūrimo politiką incidento atveju.

Be to, kai kurios elementarios priemonės, pvz., ekrano užrakinimas, kai esate toli, ir biurą užrakinimas dienos pabaigoje, niekada nėra netinkamos...

Daugiau informacijos:

• Saugūs asmens duomenys

Slapukai yra maži failai, saugomi įrenginyje, pvz., kompiuteryje, mobiliajame įrenginyje ar bet kuriame kitame įrenginyje, kuriame galima saugoti informaciją. Slapukai atlieka keletą svarbių funkcijų, įskaitant naudotojų ir jų ankstesnių sąveikų su svetaine atminimą. Jie gali būti naudojami sekti prekes internetiniame pirkinių krepšelyje arba sekti informaciją, kai išsami informacija įtraukiama į internetinę paraiškos formą.

Tapatumo nustatymo slapukai taip pat yra svarbūs identifikuojant naudotojus, kai jie prisijungia prie banko paslaugų ir kitų internetinių paslaugų. Slapukuose saugoma informacija gali apimti asmens duomenis, pvz., IP adresą, naudotojo vardą, unikalų identifikatorių arba el. pašto adresą.

Duomenų valdytojai gali tvarkyti asmens duomenis tik esant vienai iš šių aplinkybių:

• gavus atitinkamų asmenų sutikimą;
• kai tvarkyti duomenis būtina siekiant įvykdyti sutartį (susitarimą tarp jūsų organizacijos ir asmens);
• vykdyti teisinę prievolę pagal ES arba nacionalinės teisės aktus;
• kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui pagal ES arba nacionalinės teisės aktus;
• siekiant apsaugoti gyvybinius asmens interesus;
• siekiant jūsų organizacijos teisėtų interesų, išskyrus atvejus, kai asmenų teisės ir laisvės yra viršesnės.

Be to, BDAR nustatytos papildomos neskelbtinų duomenų tvarkymo sąlygos.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Duomenų apsaugos pareigūno užduotys, be kita ko, apima:

• organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
• stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
• konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
• kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
• kontaktinio asmens vaidmenį asmenims.

Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

DAP negali būti laikomas atsakingu už BDAR nesilaikymą. Už BDAR laikymąsi atsako DAP paskyrusi organizacija.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Tvarkyti asmens duomenis leidžiama, jei tam yra teisinis pagrindas. Be laisvo, konkretaus, informacija pagrįsto ir nedviprasmiško sutikimo, gali būti naudojami kiti duomenų tvarkymo teisiniai pagrindai.

Kitaip tariant, sutikimas būtinas, kai netaikomas joks kitas teisinis pagrindas.

 

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Ne, neskelbtinų duomenų tvarkymas paprastai draudžiamas, išskyrus labai konkrečias aplinkybes:

• Asmuo davė aiškų sutikimą, kad jo neskelbtini duomenys būtų tvarkomi.
• Neskelbtinų duomenų tvarkymas yra būtinas, kad duomenų valdytojas galėtų vykdyti savo pareigas, visų pirma susijusias su užimtumu, socialine draudimu ir socialine apsauga. Pavyzdžiui, duomenų valdytojui gali tekti tvarkyti asmens neskelbtinus asmens duomenis, kad galėtų nustatyti, ar jis turi teisę į tam tikras socialinės apsaugos išmokas arba darbo stipendijas.
• Neskelbtinų duomenų tvarkymas yra būtinas siekiant apsaugoti gyvybinius asmens interesus, kai asmuo fiziškai ar teisiškai negali duoti sutikimo. Pavyzdžiui, jei dėl nelaimingo atsitikimo asmuo yra be sąmonės ir jam reikia skubios medicininės pagalbos, jo sveikatos duomenis gali reikėti tvarkyti, kad būtų galima suteikti tinkamą medicininę pagalbą.
• Neskelbtini duomenys tvarkomi vykdant teisėtą fondo, asociacijos ar kitos ne pelno siekiančios organizacijos, siekiančių politinių, filosofinių, religinių ar profesinių sąjungų tikslų, veiklą ir tik tvarkant jų narių, buvusių narių ar asmenų, su kuriais reguliariai bendraujama, asmens duomenis.
• Neskelbtinus duomenis asmuo aiškiai paskelbė viešai.
• Neskelbtinų duomenų tvarkymas yra būtinas vykstant teismo procesui.
• Neskelbtinų duomenų tvarkymas yra būtinas dėl svarbaus viešojo intereso priežasčių.
• Neskelbtinų duomenų tvarkymas yra būtinas profilaktinės ar darbo medicinos tikslais. Pavyzdžiui, norint nustatyti darbuotojo darbingumą, gali prireikti įvertinti neskelbtinus asmens duomenis, pvz., jo medicininius duomenis.
• Neskelbtinų duomenų tvarkymas yra būtinas dėl visuomenės sveikatos priežasčių remiantis ES arba nacionaline teise. Pavyzdžiui, siekiant užtikrinti aukštą sveikatos priežiūros ir medicinos produktų kokybę arba kovoti su didelėmis grėsmėmis sveikatai, pvz., virusais, gali reikėti tvarkyti neskelbtinus asmenų duomenis.
• Neskelbtinų duomenų tvarkymas yra būtinas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Pavyzdžiui, gali reikėti tvarkyti neskelbtinus duomenis, kad būtų galima pateikti tikslius statistinius duomenis apie šalies padėtį konkrečioje srityje.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Kiekviena organizacija, nepriklausomai nuo jos dydžio ar sektoriaus, įsteigta Europos ekonominėje erdvėje (EEE) arba siūlanti produktus ar paslaugas asmenims EEE, tvarkanti asmens duomenis automatizuotomis ar neautomatizuotomis priemonėmis turi atitikti BDAR. Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai organizuojami, pvz., abėcėlės tvarka bylų spintoje.

Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, organizavimą, naudojimą, keitimą, saugojimą, atskleidimą, pakeitimą ir ištrynimą.

Vis dėlto BDAR taikymas yra moduliuojamas atsižvelgiant į atliekamų duomenų tvarkymo operacijų pobūdį, kontekstą, tikslus ir riziką. MVĮ, kurių pagrindinė veikla nėra asmens duomenų tvarkymas, pareigos gali būti ne tokios griežtos kaip didelės įmonės.

Daugiau informacijos:

• Duomenų apsaugos pagrindai