Pagal BDAR iš esmės yra du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant vykdytinas fizinių asmenų teises ir teisių gynimo priemones.

Daugiau informacijos:

• Tarptautinis perdavimas

Pirmasis žingsnis diegiant vaizdo stebėjimo sistemą yra nustatyti tikslą ar tikslus, kurių siekiate. Vaizdo stebėjimo sistemos įrengimo tikslai gali būti įvairūs, pavyzdžiui, patalpų saugumo užtikrinimas, pagalba vagysčių ir kitų nusikaltimų prevencijai ir nustatymui arba darbuotojų gyvybės ir sveikatos apsauga dėl darbo pobūdžio.

Kaip ir tvarkant bet kokius asmens duomenis, fizinių asmenų vaizdo stebėjimas turi turėti teisinį pagrindą pagal BDAR. Sutikimas gali būti tokio duomenų tvarkymo teisinis pagrindas. Tačiau daugeliu atvejų tai neturėtų būti taikoma vaizdo stebėjimo sistemų naudojimui, nes bus sunku gauti kiekvieno asmens, kuris gali būti stebimas, laisva valia duotą sutikimą. Dažniausiai pasitaikantis tokio asmens duomenų tvarkymo teisinis pagrindas yra teisėtas interesas. Kai duomenų tvarkymas grindžiamas teisėtu interesu, turėsite atlikti pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmens teises.

Jums reikės informuoti asmenis, kad jie yra stebimi. Tai galima padaryti pastatant lengvai skaitomus ženklus matomose vietose. Be to, prie visų įėjimų turėtų būti pritvirtintas ženklas, nurodantis vaizdo stebėjimo tikslus, duomenų valdytojo tapatybę bei kontaktinius duomenis.

Asmenims, kurių atvaizdus fiksuoja vaizdo stebėjimo sistema, turėtų būti pateikta ši informacija:

• duomenų valdytojo tapatybė ir kontaktiniai duomenys;
• duomenų tvarkymo tikslai;
• duomenų tvarkymo teisinis pagrindas (jei tai teisėtas interesas, konkreti informacija apie tai, kokie teisėti interesai yra susiję su konkrečiu duomenų tvarkymu ir apie tai, kuris subjektas siekia kiekvieno teisėto intereso);
• duomenų apsaugos pareigūno (DAP) kontaktiniai duomenys (jei yra DAP);
• duomenų gavėjai arba gavėjų kategorijos;
• vaizdo stebėjimo sistema filmuotos medžiagos saugumo priemonės;
• filmuotos medžiagos saugojimo laikotarpis;
• asmens teisių pagal BDAR buvimą ir teisę pateikti skundą nacionalinei duomenų apsaugos institucijai.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai
• Gerbti asmenų teises

Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

• tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
• užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
• užtikrina duomenų tvarkymo saugumą;
• nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
• padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
• padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
• pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
• pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
• leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.

Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

BDAR suteikia fiziniams asmenims galimybę kontroliuoti jų asmens duomenų tvarkymą. Norint tai padaryti, labai svarbu užtikrinti skaidrumą. Tai reiškia, kad turite informuoti asmenis, kurių duomenis tvarkote apie savo tvarkymo operacijas ir tikslus. Kitaip tariant, jūs turite paaiškinti, ne tik kas tvarko jų duomenis, bet taip pat kaip ir kodėl. Tik tuo atveju, jei susijusiems asmenims asmens duomenų naudojimas yra skaidrus, jie gali įvertinti galimus pavojus ir priimti sprendimus dėl savo asmens duomenų.

Pagal BDAR Jūs privalote asmenimis pateikti šią informaciją:

• duomenų valdytojo tapatybę ir kontaktinius duomenis;
• duomenų tvarkymo tikslus;
• duomenų tvarkymo teisinį pagrindą (jei teisėtas interesas, konkrečią informaciją apie tai, kokie teisėti interesai yra susiję su konkrečiu duomenų tvarkymu ir apie tai, kuris subjektas siekia kiekvieno teisėto intereso).
• duomenų valdytojo kontaktinius duomenis;
• DAP kontaktinius duomenis (jei yra DAP);
• duomenų gavėjus arba gavėjų kategorijas;
• Informaciją apie tai, ar duomenys bus perduoti už Europos ekonominės erdvės (EEE) ribų (kai taikoma: sprendimo dėl tinkamumo buvimą ar nebuvimą arba nuorodą į tinkamas apsaugos priemones ir tai, kaip ši informacija gali būti prieinama duomenų subjektams);
• tvarkomų asmens duomenų kategorijas, kai duomenys gaunami ne iš asmens.

Be to, BDAR reikalaujama, kad jūsų organizacija, siekdama užtikrinti sąžiningą ir skaidrų duomenų tvarkymą, pateiktų šią informaciją:

• saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus šiam laikotarpiui nustatyti;
• teisę prašyti susipažinti su asmens duomenimis, juos ištrinti, ištaisyti, apriboti ar prieštarauti jų tvarkymui ir juos perkelti;
• teisę pateikti skundą duomenų apsaugos institucijai;
• jei duomenų tvarkymo teisinis pagrindas yra sutikimas: teisę bet kuriuo metu atšaukti sutikimą;
• automatizuotų sprendimų priėmimo atveju – atitinkamą informaciją apie duomenų tvarkymo logiką ir numatomas pasekmes duomenų subjektui;
• asmens duomenų šaltinį (jei jų tiesiogiai negavote iš atitinkamo asmens;
• ar asmuo privalo pateikti asmens duomenis (pagal įstatymą, sutartį arba sudarant sutartį) ir kokios yra atsisakymo pateikti duomenis pasekmės.

Daugiau informacijos:

• Gerbti asmenų teises

Tvarkyti asmens duomenis leidžiama, jei tam yra teisinis pagrindas. Be laisvo, konkretaus, informacija pagrįsto ir nedviprasmiško sutikimo, gali būti naudojami kiti duomenų tvarkymo teisiniai pagrindai.

Kitaip tariant, sutikimas būtinas, kai netaikomas joks kitas teisinis pagrindas.

 

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Ne, jums nereikia būti sertifikuotu, kad taptumėte DAP.

Tačiau duomenų apsaugos pareigūnai turi sugebėti įrodyti, kad jie turi BDAR reikalaujamą būtiną kvalifikaciją, pvz., ekspertines žinias apie duomenų apsaugos teisę ir praktiką.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Poveikio duomenų apsaugai vertinimas arba PDAV yra rašytinis vertinimas, kurį jūsų organizacija turėtų atlikti, kad įvertintų planuojamos duomenų tvarkymo operacijos poveikį. Jis padeda jums nustatyti tinkamas rizikos mažinimo priemones ir įrodyti atitiktį reikalavimams.

Nors visada pageidautina numatyti planuojamų jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.

Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:

• neskelbtinų asmens duomenų arba duomenų, susijusių su apkaltinamaisiais nuosprendžiais, tvarkymą dideliu mastu;  
• sistemingą ir išsamų asmens asmeninių savybių vertinimą, grindžiamą automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
• sistemingą didelio masto viešai prieinamos teritorijos stebėseną.

EDAV parengė gaires, kuriose išvardijami kriterijai, į kuriuos turite atsižvelgti vertindami, ar PDAV yra privalomas, ar ne. Duomenų apsaugos institucijos (DAI) taip pat paskelbė duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašus. Be to, kelios DAI parengė vadovus, programinę įrangą arba įsivertinimo priemones, kurios padės jums atlikti vertinimą.

Daugiau informacijos:

• Atitikti reikalavimus

Duomenų valdytojai gali tvarkyti asmens duomenis tik esant vienai iš šių aplinkybių:

• gavus atitinkamų asmenų sutikimą;
• kai tvarkyti duomenis būtina siekiant įvykdyti sutartį (susitarimą tarp jūsų organizacijos ir asmens);
• vykdyti teisinę prievolę pagal ES arba nacionalinės teisės aktus;
• kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui pagal ES arba nacionalinės teisės aktus;
• siekiant apsaugoti gyvybinius asmens interesus;
• siekiant jūsų organizacijos teisėtų interesų, išskyrus atvejus, kai asmenų teisės ir laisvės yra viršesnės.

Be to, BDAR nustatytos papildomos neskelbtinų duomenų tvarkymo sąlygos.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Taip, BDAR taikomas, jei asmens duomenys yra saugomi arba ketinama juos laikyti susistemintoje rinkmenoje. Tai reiškia, kad BDAR taip pat taikomas popieriniams įrašams, o ne tik automatizuotam asmens duomenų tvarkymui.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Sutikimas iš tiesų galėtų būti tinkamas teisinis pagrindas kandidatų į darbo vietas gyvenimo aprašymams saugoti. Kitas galimas teisinis pagrindas galėtų būti teisėtas interesas. Tokiu atveju turėtumėte atlikti pusiausvyros testą, kad įrodytumėte, jog teisėti jūsų organizacijos interesai yra svarbesni už kandidatų teises.

Bet kuriuo atveju turėsite informuoti kandidatus, kad planuojate saugoti jų duomenis ir kokiais tikslais.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai