BDAR suteikia fiziniams asmenims galimybę kontroliuoti jų asmens duomenų tvarkymą. Norint tai padaryti, labai svarbu užtikrinti skaidrumą. Tai reiškia, kad turite informuoti asmenis, kurių duomenis tvarkote apie savo tvarkymo operacijas ir tikslus. Kitaip tariant, jūs turite paaiškinti, ne tik kas tvarko jų duomenis, bet taip pat kaip ir kodėl. Tik tuo atveju, jei susijusiems asmenims asmens duomenų naudojimas yra skaidrus, jie gali įvertinti galimus pavojus ir priimti sprendimus dėl savo asmens duomenų.

Pagal BDAR Jūs privalote asmenimis pateikti šią informaciją:

• duomenų valdytojo tapatybę ir kontaktinius duomenis;
• duomenų tvarkymo tikslus;
• duomenų tvarkymo teisinį pagrindą (jei teisėtas interesas, konkrečią informaciją apie tai, kokie teisėti interesai yra susiję su konkrečiu duomenų tvarkymu ir apie tai, kuris subjektas siekia kiekvieno teisėto intereso).
• duomenų valdytojo kontaktinius duomenis;
• DAP kontaktinius duomenis (jei yra DAP);
• duomenų gavėjus arba gavėjų kategorijas;
• Informaciją apie tai, ar duomenys bus perduoti už Europos ekonominės erdvės (EEE) ribų (kai taikoma: sprendimo dėl tinkamumo buvimą ar nebuvimą arba nuorodą į tinkamas apsaugos priemones ir tai, kaip ši informacija gali būti prieinama duomenų subjektams);
• tvarkomų asmens duomenų kategorijas, kai duomenys gaunami ne iš asmens.

Be to, BDAR reikalaujama, kad jūsų organizacija, siekdama užtikrinti sąžiningą ir skaidrų duomenų tvarkymą, pateiktų šią informaciją:

• saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus šiam laikotarpiui nustatyti;
• teisę prašyti susipažinti su asmens duomenimis, juos ištrinti, ištaisyti, apriboti ar prieštarauti jų tvarkymui ir juos perkelti;
• teisę pateikti skundą duomenų apsaugos institucijai;
• jei duomenų tvarkymo teisinis pagrindas yra sutikimas: teisę bet kuriuo metu atšaukti sutikimą;
• automatizuotų sprendimų priėmimo atveju – atitinkamą informaciją apie duomenų tvarkymo logiką ir numatomas pasekmes duomenų subjektui;
• asmens duomenų šaltinį (jei jų tiesiogiai negavote iš atitinkamo asmens;
• ar asmuo privalo pateikti asmens duomenis (pagal įstatymą, sutartį arba sudarant sutartį) ir kokios yra atsisakymo pateikti duomenis pasekmės.

Daugiau informacijos:

• Gerbti asmenų teises

Taip, bet norėdami tai padaryti, pirmiausia turėsite nustatyti tokio tipo asmens duomenų tvarkymo teisinį pagrindą. Pavyzdžiui, duomenų tvarkymas gali būti laikomas teisėtu jūsų organizacijos interesu. Tvarkant asmens duomenis teisėto intereso pagrindu, visada būtina atlikti pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmenų teises, ypač jei tai susiję su vaikais.

Kitas galimas tokio duomenų tvarkymo teisinis pagrindas galėtų būti sutikimas. Bet kuriuo atveju asmenys visada turėtų būti iš anksto informuojami, kad renginys yra fotografuojamas ar filmuojamas.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Taip, BDAR taikomas, jei asmens duomenys yra saugomi arba ketinama juos laikyti susistemintoje rinkmenoje. Tai reiškia, kad BDAR taip pat taikomas popieriniams įrašams, o ne tik automatizuotam asmens duomenų tvarkymui.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Taip, duomenų tvarkytojai (t. y. asmenys ar įstaigos, kurie tvarko duomenis duomenų valdytojo vardu) turi BDAR nustatytas pareigas. Tačiau yra tam tikrų skirtumų tarp duomenų valdytojų ir duomenų tvarkytojų atsakomybės.

Duomenų tvarkytojai turi laikytis pareigų, nustatytų duomenų valdytojo ir duomenų tvarkytojo sutartyje, kurioje išsamiai aprašomos duomenų tvarkymo operacijos ir asmens duomenų tvarkymo priemonės. Pavyzdžiui, duomenų tvarkytojas turės atlikti duomenų tvarkymo operacijas taikydamas tinkamas technines ir organizacines priemones, kaip nurodė duomenų valdytojas. Tai darydamas duomenų tvarkytojas padeda duomenų valdytojui laikytis BDAR.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Taip, skambinant telefonu jūsų klientai turi būti informuojami apie įrašymo tikslus, įrašų gavėjus, jų teisę nesutikti ir teisę susipažinti su įrašais.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai

Paskirti duomenų apsaugos pareigūną privaloma šiais trimis atvejais:

• organizacija yra valdžios institucija;
• pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, naudojantis mobiliąja programėle, naudojantis geografine vietove, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą;
• pagrindinė organizacijos veikla – didelio masto neskelbtinų duomenų arba asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymas.

Visada galite paskirti DAP savanoriškai, net jei tai nėra teisiškai reikalaujama. Atkreipkite dėmesį, kad tokiu atveju turite laikytis visų BDAR nuostatų dėl duomenų apsaugos pareigūno užduočių ir pareigų.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Kai yra du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslą ir priemones, jie laikomi bendrais duomenų valdytojais. Jie kartu nusprendžia tvarkyti asmens duomenis bendru tikslu. Bendras duomenų valdymas gali būti įvairių formų, o skirtingų duomenų valdytojų dalyvavimas gali būti nevienodas. Todėl bendri duomenų valdytojai turi nustatyti savo atitinkamą atsakomybę už BDAR laikymąsi.

Svarbu pažymėti, kad bendras duomenų valdymas lemia bendrą atsakomybę už duomenų tvarkymo veiklą.

• Bendro duomenų valdymo pavyzdys: Bendrovės A ir B pristatė bendrą prekės ženklą ir nori surengti renginį šiam produktui reklamuoti. Tuo tikslu jos nusprendžia dalytis savo atitinkamų klientų ir būsimų klientų duomenų bazių duomenimis ir šiuo pagrindu priimti sprendimą dėl pakviestų dalyvauti renginyje asmenų sąrašo. Jos taip pat susitaria dėl kvietimų į renginį siuntimo, informacijos rinkimo renginio metu ir tolesnių rinkodaros veiksmų tvarkos. Bendrovės A ir B gali būti laikomos bendrais duomenų valdytojais tvarkant asmens duomenis, susijusius su reklaminio renginio organizavimu, nes jos kartu nusprendžia dėl bendrai apibrėžto duomenų tvarkymo tikslo ir pagrindinių priemonių šiame kontekste.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Tuo atveju, kai asmens duomenys renkami tiesiogiai iš atitinkamų asmenų, organizacijos privalo glaustai ir skaidriai pateikti informaciją apie duomenų tvarkymo operacijas, vartodamos suprantamą, lengvai prieinamą, aiškią ir paprastą kalbą. Tai galima padaryti raštu (pvz., kitoje prašymo pateikti duomenis pusėje) arba elektroninėmis priemonėmis (pvz., interneto svetainėje). Jei atitinkamas asmuo to prašo, šią informaciją taip pat galite pateikti žodžiu, tačiau vėliau turite tai įrodyti.

Net ir tada, kai duomenys buvo renkami netiesiogiai, t. y. jei asmens duomenis renkate ne tiesiogiai iš asmens, bet, pavyzdžiui, per trečiąją šalį, asmenims turite pateikti tą pačią išsamią informaciją.

BDAR nustatytos prievolės visoms asmens duomenis tvarkančioms organizacijoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai, ar duomenų tvarkytojai.

Visų pirma turėtumėte:

• Paklausti savęs, ar tikslas, kuriuo gali būti renkami asmens duomenys, yra pagrįstas, ir renkami tik tie asmens duomenys, kurie yra būtini konkrečiam (-iems) numatytam (-iems) tikslui (-ams);
• Užtikrinti, kad asmenų asmens duomenys būtų tikslūs ir atnaujinti, ir ištrinti duomenis, kai jų nebereikia;
• Gerbti asmenų teises informuojant juos apie tai, kaip ir kodėl tvarkomi jų duomenys, ir suteikti jiems galimybę naudotis savo teisėmis;
• Patikrinti, ar turite tinkamą teisinį pagrindą tvarkyti asmens duomenis. Jei ketinate remtis fizinių asmenų sutikimu, prieš tvarkydami jų asmens duomenis, paprašykite jų sutikimo;
• Užtikrinti, kad asmens duomenys būtų tvarkomi saugiai;
• Tvarkyti duomenų tvarkymo veiklos įrašus.

Duomenų tvarkytojai turi laikytis duomenų valdytojo ir duomenų tvarkytojo sutartyje nustatytų pareigų ir negali tvarkyti duomenų kitaip, nei nurodyta duomenų valdytojo nurodymuose.

Daugiau informacijos:

• Atitikti reikalavimus
• Duomenų valdytojas ar duomenų tvarkytojas
• Duomenų apsaugos pagrindai