Paskirti duomenų apsaugos pareigūną privaloma šiais trimis atvejais:

• organizacija yra valdžios institucija;
• pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, naudojantis mobiliąja programėle, naudojantis geografine vietove, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą;
• pagrindinė organizacijos veikla – didelio masto neskelbtinų duomenų arba asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymas.

Visada galite paskirti DAP savanoriškai, net jei tai nėra teisiškai reikalaujama. Atkreipkite dėmesį, kad tokiu atveju turite laikytis visų BDAR nuostatų dėl duomenų apsaugos pareigūno užduočių ir pareigų.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Asmenys gali jūsų paklausti, ar tvarkote jų duomenis ir, jei taip, jie turi teisę susipažinti su tais duomenimis. Taigi, kai taip atsitinka ir jei tvarkote jų duomenis, turėtumėte, pavyzdžiui, nemokamai pateikti jų asmens duomenų kopiją kartu su bet kokia reikalinga papildoma informacija. Jei prašymas pateikiamas elektroniniu būdu, jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai asmuo paprašo kitaip.

Daugiau informacijos:

• Gerbti asmenų teises

Fiziniai asmenys turi teisę prašyti ištrinti su jais susijusius asmens duomenis ir tokiu atveju duomenų valdytojas privalo ištrinti asmens duomenis. Turėtumėte atsakyti be nepagrįsto delsimo ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Šis terminas gali būti pratęstas dar dviem mėnesiais, jei prašymas yra pernelyg sudėtingas ir reikia daugiau laiko prašymui įvykdyti, su sąlyga, kad asmuo apie tai informuojamas per vieną mėnesį nuo prašymo gavimo.

Svarbu pažymėti, kad teisė reikalauti ištrinti duomenis nėra absoliuti. Ji netaikoma, kai atitinkami duomenys yra būtini:

• naudojimuisi teise į saviraiškos ir informacijos laisvę (pvz., žurnalistiniais tikslais);
• laikytis teisinės prievolės, pagal kurią reikalaujama tvarkyti asmens duomenis (pvz., tvarkyti darbuotojų darbo valandų įrašus);
• dėl viešojo intereso priežasčių visuomenės sveikatos srityje;
• archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; ir
• siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

Kai asmens duomenys, kurie turi būti ištrinti, anksčiau buvo perduoti kitoms organizacijoms, turite informuoti šiuos gavėjus, kad asmuo paprašė ištrinti duomenis, nebent tai būtų neįmanoma arba pareikalautų neproporcingų pastangų.

Daugiau informacijos:

• Gerbti asmenų teises

Kad sutikimas būtų laikomas galiojančiu, jis turi būti:

• laisvai duodamas;
• konkretus;
• informuotas; ir
• nedviprasmiškas.

Tai reiškia, kad asmenys turi turėti tikrai laisvą pasirinkimą, ar jie sutinka su jų asmens duomenų tvarkymu, ar ne; jiems reikia pakankamai informacijos, kad jie galėtų suprasti, kokie duomenys tvarkomi, kokiu tikslu ir kaip tai daroma; jiems taip pat reikia pakankamo išsamumo prašymuose dėl sutikimo.

Be to, asmuo turėtų imtis aiškių veiksmų (be iš anksto pažymėtų langelių ir atskirai nuo taikytinų bendrųjų sąlygų).

Be to, asmenys turi turėti galimybę laisvai atšaukti savo sutikimą (be jokių neigiamų pasekmių), jei vėliau persigalvoja.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

DAP organizacijoje gali atlikti kitas užduotis, tačiau dėl to negali kilti interesų konfliktas. Tai reiškia, kad DAP negali užimti tokios pozicijos, kurioje nustatytų duomenų tvarkymo tikslus ir priemones. Nesuderinamos funkcijos daugiausia apima vadovaujančias pareigas (generalinis direktorius, vykdomasis direktorius, finansų vadovas, žmogiškųjų išteklių vadovas, IT vadovas), tačiau jos taip pat gali apimti kitas funkcijas, jei vykdant jas nustatomi duomenų tvarkymo tikslai ir priemonės.

DAP turi galėti nepriklausomai vykdyti savo pareigas ir užduotis. Tai reiškia, kad jūsų organizacija:

• negali duoti nurodymų DAP dėl jo DAP pareigų vykdymo;
• negali bausti ar atleisti DAP už savo užduočių vykdymą.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Jūs negalite saugoti asmens duomenų amžinai.

Paprastai asmens duomenys gali būti saugomi tik tiek laiko, kiek reikia atsižvelgiant į tikslus, kuriais asmens duomenys yra tvarkomi.

Kai kuriais atvejais saugojimo laikotarpį gali nustatyti konkretūs įstatymai, pavyzdžiui, darbo tvarkos taisyklėse nustatomas darbo užmokesčio sąrašų saugojimo laikotarpis.

Organizacijos turėtų nustatyti duomenų saugojimo politiką, siekdamos užtikrinti, kad asmens duomenys nebūtų saugomi ilgiau nei būtina. Asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi tikslui, dėl kurio jie buvo tvarkomi, pasiekti.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Turėtumėte atsakyti be nepagrįsto delsimo ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Šis terminas gali būti pratęstas dar dviem mėnesiais, jei prašymas yra pernelyg sudėtingas ir reikia daugiau laiko atsakyti, su sąlyga, kad asmuo apie tai informuojamas per vieną mėnesį nuo prašymo gavimo.

Jūs turite tai padaryti nemokamai.

Daugiau informacijos:

• Gerbti asmenų teises

Asmens duomenų saugumo pažeidimas yra saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų.

• Jei duomenų saugumo pažeidimas kelia pavojų fiziniams asmenims, turite apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas.
• Jei dėl pažeidimo gali kilti didelis pavojus fiziniams asmenims, apie tą pažeidimą taip pat turėsite nepagrįstai nedelsiant jiems pranešti.

Bet kuriuo atveju, visų pažeidimų, net ir tų, apie kuriuos nepranešta DAI, atveju turite užregistruoti bent pagrindinius pažeidimo duomenis, jo vertinimą, jo poveikį ir veiksmus, kurių imtasi reaguojant į jį.

Daugiau informacijos:

• Duomenų saugumo pažeidimai

Tuo atveju, kai asmens duomenys renkami tiesiogiai iš atitinkamų asmenų, organizacijos privalo glaustai ir skaidriai pateikti informaciją apie duomenų tvarkymo operacijas, vartodamos suprantamą, lengvai prieinamą, aiškią ir paprastą kalbą. Tai galima padaryti raštu (pvz., kitoje prašymo pateikti duomenis pusėje) arba elektroninėmis priemonėmis (pvz., interneto svetainėje). Jei atitinkamas asmuo to prašo, šią informaciją taip pat galite pateikti žodžiu, tačiau vėliau turite tai įrodyti.

Net ir tada, kai duomenys buvo renkami netiesiogiai, t. y. jei asmens duomenis renkate ne tiesiogiai iš asmens, bet, pavyzdžiui, per trečiąją šalį, asmenims turite pateikti tą pačią išsamią informaciją.