Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

• jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
• jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

Daugiau informacijos:

• Gerbti asmenų teises

Poveikio duomenų apsaugai vertinimas arba PDAV yra rašytinis vertinimas, kurį jūsų organizacija turėtų atlikti, kad įvertintų planuojamos duomenų tvarkymo operacijos poveikį. Jis padeda jums nustatyti tinkamas rizikos mažinimo priemones ir įrodyti atitiktį reikalavimams.

Nors visada pageidautina numatyti planuojamų jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.

Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:

• neskelbtinų asmens duomenų arba duomenų, susijusių su apkaltinamaisiais nuosprendžiais, tvarkymą dideliu mastu;  
• sistemingą ir išsamų asmens asmeninių savybių vertinimą, grindžiamą automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
• sistemingą didelio masto viešai prieinamos teritorijos stebėseną.

EDAV parengė gaires, kuriose išvardijami kriterijai, į kuriuos turite atsižvelgti vertindami, ar PDAV yra privalomas, ar ne. Duomenų apsaugos institucijos (DAI) taip pat paskelbė duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašus. Be to, kelios DAI parengė vadovus, programinę įrangą arba įsivertinimo priemones, kurios padės jums atlikti vertinimą.

Daugiau informacijos:

• Atitikti reikalavimus

Turėtumėte atsakyti be nepagrįsto delsimo ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Šis terminas gali būti pratęstas dar dviem mėnesiais, jei prašymas yra pernelyg sudėtingas ir reikia daugiau laiko atsakyti, su sąlyga, kad asmuo apie tai informuojamas per vieną mėnesį nuo prašymo gavimo.

Jūs turite tai padaryti nemokamai.

Daugiau informacijos:

• Gerbti asmenų teises

Konkurso laimėtojų vardų ir pavardžių paskelbimas jūsų svetainėje gali būti laikomas teisėtu interesu, jei galite tai įrodyti atlikdami pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmenų teises.

Gera praktika būtų nustatyti vidaus procedūrą, kurioje būtų paaiškintos laimėtojų asmens duomenų skelbimo taisyklės.

Be to, asmens duomenų tvarkymas šiais tikslais turėtų būti įtrauktas į konkurso privatumo politiką, kad dalyviai būtų iš anksto informuoti apie tai, kaip jų duomenys bus tvarkomi.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

1. Įsitikinkite, kad jūsų gauti duomenys buvo surinkti teisėtai ir kad atitinkami asmenys buvo informuoti apie jų asmens duomenų tvarkymą.
2. Jei trečioji šalis tvarko asmens duomenis jūsų vardu, įsitikinkite, kad turite duomenų valdytojo ir duomenų tvarkytojo sutartį, kurioje išsamiai aprašomos tvarkymo operacijos ir asmens duomenų tvarkymo priemonės.

Ir, žinoma, laikykitės visų duomenų valdytojo pareigų.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Būtinos saugumo priemonės gali skirtis atsižvelgiant į jūsų tvarkomų asmens duomenų pobūdį ir susijusią riziką asmenims. Bet kuriuo atveju yra keletas minimalių priemonių, kurias turėtumėte taikyti:

• užtikrinti saugų patekimą į patalpas;
• naudoti reguliariai atnaujinamą antivirusinę programinę įrangą;
• atidžiai pasirinkti savo slaptažodžius;
• prieš naudojantis kompiuterinėmis priemonėmis, užtikrinti, kad vartotojai autentifikuotų savo tapatybę;
• turėti duomenų atsarginių kopijų kūrimo ir atkūrimo politiką incidento atveju.

Be to, kai kurios elementarios priemonės, pvz., ekrano užrakinimas, kai esate toli, ir biurą užrakinimas dienos pabaigoje, niekada nėra netinkamos...

Daugiau informacijos:

• Saugūs asmens duomenys

DAP gali būti esamas darbuotojas, turintis pakankamai žinių apie BDAR (jei darbuotojo profesinės užduotys yra suderinamos su DAP užduotimis ir dėl to nekyla interesų konfliktų) arba išorės asmuo. DAP turi sugebėti savarankiškai atlikti užduotis ir turėtų tiesiogiai atsiskaityti aukščiausiajai vadovybei.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Duomenų apsaugos pareigūno užduotys, be kita ko, apima:

• organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
• stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
• konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
• kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
• kontaktinio asmens vaidmenį asmenims.

Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Taip, skambinant telefonu jūsų klientai turi būti informuojami apie įrašymo tikslus, įrašų gavėjus, jų teisę nesutikti ir teisę susipažinti su įrašais.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Tvarkyti asmens duomenis leidžiama, jei tam yra teisinis pagrindas. Be laisvo, konkretaus, informacija pagrįsto ir nedviprasmiško sutikimo, gali būti naudojami kiti duomenų tvarkymo teisiniai pagrindai.

Kitaip tariant, sutikimas būtinas, kai netaikomas joks kitas teisinis pagrindas.

 

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai