Duomenų valdytojai turi remtis „teisiniu pagrindu“, kad galėtų teisėtai tvarkyti asmens duomenis. Labai svarbu nustatyti tinkamą teisinį pagrindą, kadangi jam gali būti keliami konkretūs reikalavimai (pvz., sutikimas turi būti laisvas, konkretus, informuotas ir nedviprasmiškas) ir turėti pasekmių asmenų teisėms (pvz., teisė į perkeliamumą taikoma tik tada, kai teisinis pagrindas yra sutikimas arba sutartis).

Šiame puslapyje rasite daugiau informacijos apie įvairius BDAR įtvirtintus teisinius pagrindus. 
Sužinokite daugiau apie teises, kurios taikomos esant kiekvienam teisiniam pagrindui. 

Kokie yra galimi BDAR įtvirtinti teisiniai pagrindai?

Duomenų valdytojai gali tvarkyti asmens duomenis tik esant vienai iš šių aplinkybių:

  • gavus atitinkamų asmenų sutikimą;
  • kai yra sutartinis įsipareigojimas (tarp jūsų organizacijos ir asmens pasirašyta sutartis);
  • vykdyti teisinį įsipareigojimą pagal ES arba nacionalinės teisės aktus;
  • kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui pagal ES arba nacionalinės teisės aktus;
  • apsaugoti gyvybinius asmens interesus;
  • jūsų organizacijos teisėtiems interesams (išskyrus atvejus, kai jie yra viršesni už asmenų interesus ar pagrindines teises).

Be to, BDAR nustatytos papildomos specialių kategorijų duomenų tvarkymo sąlygos.

Sutikimas

Jūsų organizacija gali nuspręsti remtis sutikimu tvarkant asmens duomenis.

Jei duomenų valdytojas naudoja sutikimą kaip asmens duomenų tvarkymo teisinį pagrindą, jis turi užtikrinti, kad šis sutikimas būtų duotas laisva valia, turint visą reikiamą informaciją, konkretus ir nedviprasmiškas. Tai reiškia, kad asmenys turi turėti tikrai laisvą pasirinkimą sutikdami su jų asmens duomenų tvarkymu, arba ne; jiems reikia pakankamai informacijos, kad jie galėtų suprasti, kokie duomenys tvarkomi, kokiu tikslu ir kaip tai daroma; be to, jie turi turėti galimybę laisvai atšaukti savo sutikimą (be jokių neigiamų pasekmių), jei vėliau persigalvotų.

Jei organizacija turi tvarkyti duomenis ir negali iš tikrųjų leisti asmenims atšaukti savo sutikimo, tai rodo, kad sutikimas nėra tinkamas duomenų tvarkymo teisinis pagrindas, ir reikia įvertinti, ar galėtų būti taikomas kitas teisinis pagrindas.

Sutikimo sąlygos

 

Nemokamas

Sutikimas duodamas laisvai, kai asmenys gali atsisakyti duoti sutikimą arba jį atšaukti bet kuriuo metu, be išorinio spaudimo ir galimų neigiamų pasekmių. Asmenims šis procesas turi būti paprastas (toks pat paprastas, kaip ir duoti sutikimą). Sutikimo atšaukimas neturi turėti įtakos asmens duomenų tvarkymui, kuris buvo atliktas iki šio atšaukimo, kol sutikimas vis dar galiojo.

Pavyzdžiui, iš esmės, darbuotojai negalės laisvai duoti sutikimo dėl darbdavio atliekamo duomenų tvarkymo, nes darbuotojai gali manyti, kad negali nesutikti su darbdavio prašymu.

 

Konkretus

Kad sutikimas būtų galiojantis, jis taip pat turi būti susijęs su duomenų tvarkymo tikslu. Ši sąlyga yra glaudžiai susijusi su informuoto asmens sutikimo sąlyga: asmenys turi būti informuojami apie tvarkymo tikslus aiškia ir lengvai suprantama kalba, kad jie aiškiai suprastų, kokiais konkrečiais tikslais tvarkomi jų duomenys. Tai taip pat reiškia, kad jei pasikeičia duomenų tvarkymo operacijos tikslai arba įtraukiamos papildomos duomenų tvarkymo operacijos, asmenų turėtų būti prašoma iš naujo suteikti sutikimą. Panašiai, jei duomenų tvarkymo operacija turi kelis tikslus, sutikimas turėtų būti duotas dėl kiekvieno iš jų.

Pavyzdžiui, srautinio siuntimo paslauga renka savo klientų asmens duomenis, kad jiems pateiktų personalizuotus peržiūros pasiūlymus. Po kurio laiko paslaugos teikėjas nusprendžia dalytis savo klientų asmens duomenimis su trečiosiomis šalimis, kad jos galėtų siųsti tikslinę reklamą klientams pagal jų žiūrėjimo įpročius. Kadangi tai yra naujas tikslas, srautinio perdavimo paslaugos teikėjas turės prašyti kliento sutikimo.

 

Informuotas

Prašant asmens sutikimo, jūsų organizacija turi užtikrinti, kad asmeniui šis prašymas būtų suprantamas ir pateiktas lengvai skaitoma forma, aiškia ir paprasta kalba. Turėtų būti pateikta informacija apie duomenų valdytoją, tvarkymo tikslus, duomenų kategorijas, gavėjus ir teisę atšaukti sutikimą.

 

Nedviprasmiškas

Siekiant, kad sutikimas būtų aiškus, tai turi būti atlikta  konkrečiu veiksmu (be iš anksto pažymėtų langelių ir pateikiamas atskirai nuo taikytinų bendrųjų sąlygų).

Rekomenduojama reguliariai atnaujinti sutikimą. Be to, turite sugebėti įrodyti, kad asmuo, kurio duomenys yra tvarkomi, davė sutikimą, pavyzdžiui, rašytiniu sutikimu arba sąmoningais veiksmais, pvz., pažymėdamas langelį.

Sąlygos, taikomos vaikų sutikimui

 

Kaip duomenų valdytojas, turėtumėte imtis pakankamų pastangų, kad nustatyti asmens amžių.

Laikoma, kad 16 metų ir vyresni vaikai gali duoti savo sutikimą.

Už jaunesnius nei 16 metų vaikus, jūsų organizacijai sutikimą turi duoti to vaiko teisėti globėjai arba vienas iš tėvų. Tokiu atveju turėtumėte imtis pakankamų pastangų, kad patikrintumėte, ar vaiko vardu sutinkantis asmuo turi tėvų pareigas. Tačiau atkreipkite dėmesį, kad BDAR suteikia ES šalims galimybę pagal nacionalinę teisę nustatyti sutikimo amžių nuo 13 iki 16 metų, kai paslaugos teikiamos internetu. Todėl patartina patikrinti savo nacionalines nuostatas šiuo klausimu.

Kai vaikai gali duoti sutikimą, su paslauga susijusios informacijos pateikimo kalba turėtų būti pritaikyta jų amžiui.

Sutarties vykdymas

Asmens duomenų tvarkymas sutarties vykdymo tikslu yra tinkamas teisinis pagrindas, pavyzdžiui, šiais atvejais:

  • Jūsų organizacija turi tvarkyti asmens duomenis, kad galėtų teikti paslaugą.
  • Būsimas klientas paprašė jūsų ką nors padaryti prieš sudarant sutartį su jūsų organizacija, pavyzdžiui, jis gali norėti gauti jūsų teikiamų paslaugų, dėl kurių jums gali tekti tvarkyti kai kuriuos jo asmens duomenis, pasiūlymą.

Tvarkymas turi būti būtinas sutarčiai įvykdyti. Praktiškai tai reiškia, kad jūsų organizacija negali vykdyti sutarties ar paslaugos be atitinkamų asmens duomenų. Rekomenduojama, kad jūsų organizacija dokumentuotų priežastis, paaiškinančias, kodėl asmens duomenų tvarkymas yra būtinas sutarčiai vykdyti.

Be to, turėtumėte rinkti kuo mažiau asmens duomenų, reikalingų teikti sutartinę paslaugą arba imtis atitinkamų ikisutartinių veiksmų. Visų pirma, jūs negalite naudotis sutartimi, siekiant dirbtinai išplėsti renkamų asmens duomenų kategorijas ar tvarkymo operacijų rūšis. Veikiau turėtumėte užtikrinti, kad būtų tikras abipusis sutarties tikslo supratimas, pagrįstas vidutinio asmens lūkesčiais sudarant sutartį.

Šis teisinis pagrindas taip pat gali būti taikomas tam tikriems veiksmams, susijusiems su sutartine garantija, ir tam tikriems veiksmams, kurie gali būti pagrįstai numatyti ir būtini esant įprastiems sutartiniams santykiams, pavyzdžiui, oficialių priminimų apie neatliktus mokėjimus siuntimui arba klaidų ar vėlavimų, vykdant sutartį, ištaisymui.

Tačiau šis teisinis pagrindas netaikomas, jei norite tvarkyti asmens duomenis tiesioginės rinkodaros, sukčiavimo prevencijos, tikslinės reklamos ar kitais tikslais, susijusiais su jūsų organizacijos verslo modeliu. Tokiais atvejais gali būti taikomi kiti teisiniai pagrindai, pavyzdžiui, sutikimas arba teisėtas interesas, jei tenkinami atitinkami kriterijai.

Teisės aktais taip pat gali būti nustatytas reikalavimas tvarkyti asmens duomenis net ir nutraukus sutartį (pvz., apskaitos tikslais saugoti įrašus).

Žinoma, sutartis taip pat turi galioti pagal taikytiną teisę.

Pavyzdžiai

  • Jūs esate įmonė, kuri parduoda drabužius tiek internetu, tiek fizinėje parduotuvėje, ir jums gali tekti tvarkyti kai kuriuos savo klientų asmens duomenis, pvz., kredito kortelės duomenis, kad galėtumėte apdoroti klientų pirkimus. Tokiu atveju klientų asmens duomenų tvarkymas gali būti būtinas sutarties vykdymui.
  • Jūs esate įmonė, siūlanti būsto draudimą. Potencialus klientas paprašė savo būsto draudimo kainos. Todėl kai kurie jų asmens duomenys gali būti reikalingi, kad galėtumėte jiems pateikti tikslią būsto draudimo kainą.
  • Jūs esate įmonė, kuri parduoda knygas. Knygų pardavimo metu jūs galite rinkti tuos klientų asmens duomenis, kurie buvo būtini sandoriui apdoroti. Tačiau jūs norite ir toliau tvarkyti šių klientų asmens duomenis, įskaitant duomenis apie jų ankstesnius pirkimus, kad rekomenduotumėte kitas knygas, kurios jiems gali patikti. Deja, bet negalite remtis asmens duomenų tvarkymu sutarties vykdymo tikslu kaip teisiniu pagrindu, nes klientų duomenų tvarkymas kitų knygų reklamos tikslais nėra būtinas sutarčiai vykdyti.

Todėl jūsų įmonė turės prašyti atskiro klientų sutikimo, kitų knygų reklamos tikslu, arba, priklausomai nuo aplinkybių, galima remtis savo teisėtu interesu.

Duomenų valdytojui taikoma teisinė prievolė

BDAR nustatytas kitas teisinis pagrindas, t. y.: tai būtina, tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė.

Šiuo teisiniu pagrindu galima remtis tais atvejais, kai duomenų tvarkymo operacija organizacijai privaloma pagal ES arba nacionalinės teisės aktus. Konkrečiai, turi būti įvykdytos keturios sąlygos:

  • teisinė prievolė turi būti apibrėžta ES arba nacionalinėje teisėje, kuri taikoma duomenų valdytojui;
  • šiomis teisinėmis nuostatomis turi būti nustatyta aiški ir konkreti prievolė tvarkyti tuos asmens duomenis;
  • šiose nuostatose turi būti bent jau apibrėžti duomenų tvarkymo tikslai;
  • ši prievolė turėtų būti nustatyta duomenų valdytojui, o ne duomenų subjektams.

Jei šios sąlygos netenkinamos, duomenų tvarkymo operacija negali būti grindžiama teisine prievole ir reikia ieškoti kito teisinio pagrindo.

BDAR numatytos įvairios aplinkybės, kuriomis duomenų valdytojai yra teisiškai įpareigoti tvarkyti savo klientų asmens duomenis. Pavyzdžiui, darbdaviai paprastai turi tvarkyti savo darbuotojų asmens duomenis socialinės apsaugos tikslais arba įmonė dažnai turi tvarkyti savo klientų asmens duomenis mokesčių tikslais.

Gyvybiniai fizinio asmens interesai

Duomenų tvarkymu, siekiant apsaugoti gyvybinius asmens interesus, galima remtis tik retais ir konkrečiais atvejais. Taip gali būti, pavyzdžiui, jei reikia tvarkyti asmens duomenis, kad apsaugotumėte kažkieno gyvybę. Tačiau, remiantis BDAR, šio teisinio pagrindo taikymo sritis yra labai ribota ir juo galima remtis tik ekstremaliųjų situacijų atveju.

Pavyzdžiai

Jūsų organizacija siūlo plaukimo baidarėmis išvykas. Vienos iš jūsų organizuotų išvykų metu vienas dalyvis sunkiai susižeidžia,  yra be sąmonės ir turi gauti skubią medicininę pagalbą ligoninėje. Kaip organizacijai. Jums gali tekti perduoti (= tvarkyti) to asmens duomenis ligoninei, kuri turi jį gydyti, kad išgelbėtų to asmens gyvybę. Šiame kontekste jūs tvarkytumėte šio asmens duomenis, kad apsaugotumėte jo gyvybinius interesus.

Viešasis interesas

Tam tikrais atvejais jūsų organizacija gali tvarkyti asmens duomenis siekdama atlikti užduotį, vykdomą viešojo intereso labui. Tokiu atveju duomenų tvarkymas turi būti nustatytas ES arba nacionalinėje teisėje. Asmens duomenų tvarkymas siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui suteiktus viešosios valdžios įgaliojimus, visų pirma aktualus valdžios institucijų atliekamoms duomenų tvarkymo operacijoms, kad jos galėtų atlikti joms pavestas užduotis.

Pavyzdžiai

Jūsų organizacija yra medicinos įstaiga, kurioje yra bendrosios praktikos gydytojai ir odontologai. Jums gali tekti tvarkyti tiek bendrosios praktikos gydytojo, tiek odontologo asmens duomenis, siekiant užtikrinti, kad jų kvalifikacija, moralinis ir etinis elgesys atitiktų standartus, nustatytus šalyje, kurioje yra jūsų medicinos įstaiga.

Teisėtas interesas

Jūsų organizacija gali tvarkyti asmens duomenis teisėto intereso pagrindu, jei šis interesas (komercinis, jūsų turto apsauga ir kt.) nesukuria disbalanso, kuris pakenktų asmenų teisėms ir interesams.

Nors BDAR ir Europos Sąjungos Teisingumo Teismo (ESTT) praktikoje dėl teisėtų interesų yra pateikta pavyzdžių bet šis sąrašas nėra galutinis.

Taigi turite užtikrinti, kad jūsų teisėtas interesas atitiktų šiuos reikalavimus:

  • jis turi būti teisėtas, aiškus, realus ir aktualus;
  • duomenų tvarkymas turi būti būtinas siekiant šio intereso;
  • teisėtas interesas turi būti nustatomas atsižvelgiant į asmenų teisę į duomenų apsaugą, kurios negalima pažeisti. Atsižvelgiant į šį reikalavimą, duomenų valdytojas turi įvertinti savo teisėtus interesus ir asmenų interesus ar pagrindines teises ir laisves, ir taip pat turi atsižvelgti į tai, ko jie gali pagrįstai tikėtis. Šis balanso testas turi būti atliekamas atsižvelgiant į konkrečias šių operacijų vykdymo sąlygas.

Pavyzdžiai

Jūs vadovaujate remonto darbus atliekančiai įmonei. Vienas iš jūsų klientų ginčija virtuvės remonto darbų kokybę ir atsisako apmokėti visą sąskaitą. Pirmiausia kliento duomenis perduodate savo advokatui, kad jis galėtų derėtis su klientu dėl susitarimo.  Kadangi klientas vis dar atsisako mokėti, jūs kreipiatės į skolų išieškojimo įmonę. Jūs perduodate tik tuos  asmens duomenis, kurie yra būtini procedūrai, o įmonę atlieka tik ribotus patikrinimus, kad patvirtintų kliento kontaktinius duomenis ir pradėtų išieškojimo procesą.

Nors pirmasis žingsnis vis dar gali būti susijęs su duomenų tvarkymu, būtinu sutarčiai įvykdyti, tolesni veiksmai, kurių imtasi, pavyzdžiui, duomenų perdavimas skolų išieškojimo įmonei, galėtų būti laikomas atitinkančiu teisėtą duomenų valdytojo interesą. Kadangi įmonės veiksmai nėra pernelyg įkyrūs, o poveikis klientui yra ribotas, teisėtas interesas galėtų būti tinkamas teisinis pagrindas.

Specialių kategorijų asmens duomenų tvarkymas

Papildomi reikalavimai taikomi, jei ketinate tvarkyti duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, ir tvarkyti genetinius duomenis, biometrinius duomenis, siekiant tiksliai nustatyti fizinio asmens tapatybę, duomenis apie sveikatą arba duomenis apie fizinio asmens lytinį gyvenimą ar seksualinę orientaciją. Šios specialios duomenų kategorijos paprastai vadinamos „specialių kategorijų duomenimis“.

Specialių kategorijų asmens duomenų tvarkymas paprastai draudžiamas, išskyrus toliau nurodytus konkrečius atvejus.

  • Asmuo davė aiškų sutikimą, kad jo jautrūs duomenys būtų tvarkomi.
  • Specialių kategorijų duomenų tvarkymas yra būtinas, kad duomenų valdytojas galėtų vykdyti savo pareigas, visų pirma susijusias su įdarbinimu, socialinėmis garantijomis ir apsauga. Pavyzdžiui, duomenų valdytojui gali tekti tvarkyti specialių kategorijų asmens duomenis, kad galėtų nustatyti, ar asmuo turi teisę į tam tikras socialines išmokas arba kitas garantijas darbe.
  • Specialių kategorijų duomenų tvarkymas yra būtinas siekiant apsaugoti gyvybinius asmens interesus, kai asmuo fiziškai ar teisiškai negali duoti sutikimo. Pavyzdžiui, jei asmuo dėl nelaimingo atsitikimo lieka be sąmonės ir jam reikia skubios medicininės priežiūros, jo asmens duomenis gali tekti tvarkyti, kad būtų galima suteikti tinkamą medicininę priežiūrą.
  • Specialių kategorijų duomenys tvarkomi vykdant teisėtą fondo, asociacijos ar kitos ne pelno organizacijos, siekiančios politinių, filosofinių, religinių ar profesinių sąjungų tikslų, veiklą ir tik tvarkant jų narių, buvusių narių ar asmenų, su kuriais reguliariai bendraujama, asmens duomenis.
  • Asmenys patys viešai paskelbė savo specialių kategorijų duomenis.
  • Specialių kategorijų duomenų tvarkymas yra būtinas vykstant teisminiam procesui.
  • Specialių kategorijų duomenų tvarkymas yra būtinas dėl svarbių viešojo intereso klausimų.
  • Specialių kategorijų duomenų tvarkymas yra būtinas profilaktinės ar darbo medicinos srityje. Pavyzdžiui, norint nustatyti darbuotojo darbingumą, gali tekti įvertinti asmens sveikatos duomenis.
  • Specialių kategorijų duomenų tvarkymas visuomenės sveikatos klausimais yra būtinas remiantis ES arba nacionaline teise. Pavyzdžiui, siekiant užtikrinti aukštą sveikatos priežiūros ir medicinos paslaugų kokybę arba kovoti su didelėmis grėsmėmis sveikatai, pvz., virusais.
  • Specialių kategorijų duomenų tvarkymas yra būtinas archyvavimo tikslais viešojo intereso labui arba moksliniais, statistiniais, istoriniais ar mokslinių tyrimų tikslais. Pavyzdžiui, gali reikėti tvarkyti jautrius  duomenis, kad būtų galima pateikti tikslius statistinius duomenis apie šalies padėtį konkrečioje srityje.

Specialių kategorijų asmens duomenų tvarkymo kontrolinis sąrašas

  • Įsivertinkite, ar būtina tvarkyti asmens specialių kategorijų asmens duomenis numatytu tikslu.
  • Nustatykite asmens duomenų tvarkymo teisinį pagrindą remiantis BDAR 6 straipsnyje nustatytais pagrindais.
  • Nustatyti, ar laikomasi papildomų specialių kategorijų duomenų tvarkymo sąlygų, kurios nustatytos BDAR 9 straipsnyje.
  • Įvertinkite rizikas ir pasirinkite tinkamas technines ir organizacines priemones duomenų apsaugos priemones, kurias jūsų organizacijai gali reikėti taikyti tvarkant specialių kategorijų asmens duomenis.
  • Nepamirškite registruoti specialių kategorijų asmens duomenų tvarkymo priežasčių, rizikų, kurios gali kilti, ir priemonių, kurių ėmėtės šioms rizikoms sumažinti.