Data protection guide for small business logo
Close menu
Back to EDPB

Dažnai užduodami klausimai

Filter on
Filter on topic

Kas yra privatumo pareiškimas?

Tuo atveju, kai asmens duomenys renkami tiesiogiai iš atitinkamų asmenų, organizacijos privalo glaustai ir skaidriai pateikti informaciją apie duomenų tvarkymo operacijas, vartodamos suprantamą, lengvai prieinamą, aiškią ir paprastą kalbą. Tai galima padaryti raštu (pvz., kitoje prašymo pateikti duomenis pusėje) arba elektroninėmis priemonėmis (pvz., interneto svetainėje). Jei atitinkamas asmuo to prašo, šią informaciją taip pat galite pateikti žodžiu, tačiau vėliau turite tai įrodyti.

Net ir tada, kai duomenys buvo renkami netiesiogiai, t. y. jei asmens duomenis renkate ne tiesiogiai iš asmens, bet, pavyzdžiui, per trečiąją šalį, asmenims turite pateikti tą pačią išsamią informaciją.

Kaip atsakyti į prašymą ištrinti duomenis?

Fiziniai asmenys turi teisę prašyti ištrinti su jais susijusius asmens duomenis ir tokiu atveju duomenų valdytojas privalo ištrinti asmens duomenis. Turėtumėte atsakyti be nepagrįsto delsimo ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Šis terminas gali būti pratęstas dar dviem mėnesiais, jei prašymas yra pernelyg sudėtingas ir reikia daugiau laiko prašymui įvykdyti, su sąlyga, kad asmuo apie tai informuojamas per vieną mėnesį nuo prašymo gavimo.

Svarbu pažymėti, kad teisė reikalauti ištrinti duomenis nėra absoliuti. Ji netaikoma, kai atitinkami duomenys yra būtini:

  • naudojimuisi teise į saviraiškos ir informacijos laisvę (pvz., žurnalistiniais tikslais);
  • laikytis teisinės prievolės, pagal kurią reikalaujama tvarkyti asmens duomenis (pvz., tvarkyti darbuotojų darbo valandų įrašus);
  • dėl viešojo intereso priežasčių visuomenės sveikatos srityje;
  • archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; ir
  • siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus.

Kai asmens duomenys, kurie turi būti ištrinti, anksčiau buvo perduoti kitoms organizacijoms, turite informuoti šiuos gavėjus, kad asmuo paprašė ištrinti duomenis, nebent tai būtų neįmanoma arba pareikalautų neproporcingų pastangų.

Daugiau informacijos:

Ar galiu įrašyti telefoninius pokalbius su klientais, kad pagerėtų paslaugų kokybė, ir ar man reikia sutikimo?

Taip, skambinant telefonu jūsų klientai turi būti informuojami apie įrašymo tikslus, įrašų gavėjus, jų teisę nesutikti ir teisę susipažinti su įrašais.

Daugiau informacijos:

Ką reiškia asmens duomenų tvarkymas?

Asmens duomenų tvarkymas – bet kokios rūšies veikla (tvarkymo operacija), atliekama su fizinių asmenų asmens duomenimis. Tai apima asmens duomenų rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, pritaikymą ar keitimą, išgavimą, susipažinimą, paiešką, naudojimą, atskleidimą perduodant, platinant ar kitu būdu sudarant galimybę jais naudotis, sugretinimą ar sujungimą, apribojimą, ištrynimą ar sunaikinimą.

Ar įmanoma tvarkyti neskelbtinus duomenis?

Ne, neskelbtinų duomenų tvarkymas paprastai draudžiamas, išskyrus labai konkrečias aplinkybes:

  • Asmuo davė aiškų sutikimą, kad jo neskelbtini duomenys būtų tvarkomi.
  • Neskelbtinų duomenų tvarkymas yra būtinas, kad duomenų valdytojas galėtų vykdyti savo pareigas, visų pirma susijusias su užimtumu, socialine draudimu ir socialine apsauga. Pavyzdžiui, duomenų valdytojui gali tekti tvarkyti asmens neskelbtinus asmens duomenis, kad galėtų nustatyti, ar jis turi teisę į tam tikras socialinės apsaugos išmokas arba darbo stipendijas.
  • Neskelbtinų duomenų tvarkymas yra būtinas siekiant apsaugoti gyvybinius asmens interesus, kai asmuo fiziškai ar teisiškai negali duoti sutikimo. Pavyzdžiui, jei dėl nelaimingo atsitikimo asmuo yra be sąmonės ir jam reikia skubios medicininės pagalbos, jo sveikatos duomenis gali reikėti tvarkyti, kad būtų galima suteikti tinkamą medicininę pagalbą.
  • Neskelbtini duomenys tvarkomi vykdant teisėtą fondo, asociacijos ar kitos ne pelno siekiančios organizacijos, siekiančių politinių, filosofinių, religinių ar profesinių sąjungų tikslų, veiklą ir tik tvarkant jų narių, buvusių narių ar asmenų, su kuriais reguliariai bendraujama, asmens duomenis.
  • Neskelbtinus duomenis asmuo aiškiai paskelbė viešai.
  • Neskelbtinų duomenų tvarkymas yra būtinas vykstant teismo procesui.
  • Neskelbtinų duomenų tvarkymas yra būtinas dėl svarbaus viešojo intereso priežasčių.
  • Neskelbtinų duomenų tvarkymas yra būtinas profilaktinės ar darbo medicinos tikslais. Pavyzdžiui, norint nustatyti darbuotojo darbingumą, gali prireikti įvertinti neskelbtinus asmens duomenis, pvz., jo medicininius duomenis.
  • Neskelbtinų duomenų tvarkymas yra būtinas dėl visuomenės sveikatos priežasčių remiantis ES arba nacionaline teise. Pavyzdžiui, siekiant užtikrinti aukštą sveikatos priežiūros ir medicinos produktų kokybę arba kovoti su didelėmis grėsmėmis sveikatai, pvz., virusais, gali reikėti tvarkyti neskelbtinus asmenų duomenis.
  • Neskelbtinų duomenų tvarkymas yra būtinas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Pavyzdžiui, gali reikėti tvarkyti neskelbtinus duomenis, kad būtų galima pateikti tikslius statistinius duomenis apie šalies padėtį konkrečioje srityje.

Daugiau informacijos:

Ką daryti, jei duomenų tvarkytojas nenori pasirašyti duomenų valdytojo ir tvarkytojo sutarties?

Galiojanti duomenų valdytojo ir duomenų tvarkytojo sutartis yra privaloma pagal BDAR. Už šį pažeidimą gali būti skiriama administracinė bauda iki 10 mln. EUR arba iki 2 % įmonės bendros metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Kad padėtų jums sudaryti duomenų valdytojo ir duomenų tvarkytojo sutartį, Danijos ir Slovėnijos duomenų apsaugos institucijos ir Europos Komisija parengė pavyzdines sutartis.

Daugiau informacijos:

Ką turėčiau daryti, kai kas nors klausia, kaip aš tvarkau jų duomenis?

Asmenys gali jūsų paklausti, ar tvarkote jų duomenis ir, jei taip, jie turi teisę susipažinti su tais duomenimis. Taigi, kai taip atsitinka ir jei tvarkote jų duomenis, turėtumėte, pavyzdžiui, nemokamai pateikti jų asmens duomenų kopiją kartu su bet kokia reikalinga papildoma informacija. Jei prašymas pateikiamas elektroniniu būdu, jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai asmuo paprašo kitaip.

Daugiau informacijos:

Kiek laiko turiu atsakyti į susipažinimo su duomenimis prašymą?

Turėtumėte atsakyti be nepagrįsto delsimo ir ne vėliau kaip per vieną mėnesį nuo prašymo gavimo. Šis terminas gali būti pratęstas dar dviem mėnesiais, jei prašymas yra pernelyg sudėtingas ir reikia daugiau laiko atsakyti, su sąlyga, kad asmuo apie tai informuojamas per vieną mėnesį nuo prašymo gavimo.

Jūs turite tai padaryti nemokamai.

Daugiau informacijos:

Ar man reikia sutikimo, kad galėčiau naudoti slapukus savo organizacijos svetainėje?

BDAR taikomas slapukų naudojimui, kai jie naudojami asmens duomenims tvarkyti, tačiau taip pat yra nustatytos konkretesnės taisyklės dėl slapukų, įskaitant E. privatumo direktyvą.

Saugoti slapuką arba gauti prieigą prie jau saugomo slapuko naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas abonentas ar naudotojas buvo tinkamai informuotas (ypač apie tvarkymo tikslus) ir davė savo sutikimą.

Vienintelė išimtis yra techniškai būtini slapukai. Organizacijoms nereikia prašyti sutikimo, kai jų interneto svetainėse naudojami techniškai būtini slapukai.

Daugiau informacijos:

Kuo skiriasi pseudoniminiai ir anoniminiai duomenys?

Pseudonimų suteikimas – asmens duomenų transformavimas taip, kad jie nebegalėtų būti priskirti konkrečiam asmeniui nesinaudojant papildoma informacija, su sąlyga, kad tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad asmens duomenys nebūtų priskirti konkrečiam asmeniui. Praktikoje tai reiškia asmens duomenų (vardo, pavardės, asmens kodo, telefono numerio ir kt.) pakeitimą duomenų rinkinyje netiesiogiai identifikuojančiais duomenimis (slapyvardis, eilės numeris ir t. t.). Pseudoniminiai duomenys vis dar yra asmens duomenys ir jiems taikomas BDAR.

Anoniminiai duomenys –duomenys, kurių anonimiškumas užtikrintas taip, kad asmens tapatybė negali arba nebegali būti nustatyti jokiomis priemonėmis, kurios pagrįstai gali būti naudojamos. Kai anonimizavimas atliktas tinkamai, BDAR anoniminiams duomenims nebetaikomas.

Daugiau informacijos:

Kas yra duomenų valdytojas ir kas yra duomenų tvarkytojas?

BDAR išskiriami du pagrindiniai vaidmenys: duomenų valdytojo ir duomenų tvarkytojo. Šis atskyrimas yra labai svarbus, nes duomenų valdytojui tenka didesnė atsakomybė ir jis turi įvykdyti daugiau įsipareigojimų nei duomenų tvarkytojas.

Duomenų valdytoju ir tvarkytoju gali būti fiziniai arba juridiniai asmenys, pavyzdžiui: MVĮ, valdžios institucija, įmonė, organizacija, valstybinė įstaiga, asociacija ir kt.

Duomenų valdytojas nustato duomenų tvarkymo operacijos tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Tuo tarpu duomenų tvarkytojai tvarko asmens duomenis duomenų valdytojo vardu. Duomenų tvarkytojų atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi su duomenų valdytoju arba teisės aktu.

Duomenų valdytojų pavyzdžiai:

  • įmonės, kurios tvarko savo klientų asmens duomenis, kad užbaigtų pardavimą;
  • finansų įstaigos, kurios tvarko savo klientų asmens duomenis;
  • asociacijos, kurios tvarko savo narių duomenis;
  • mokyklos ar universitetai, tvarkantys studentų ir dėstytojų asmens duomenis;
  • ligoninės, kurios tvarko savo pacientų asmens duomenis;
  • valdžios institucijos, kurios tvarko piliečių asmens duomenis.

Duomenų tvarkytojų pavyzdžiai:

  • MVĮ samdo buhalterinės apskaitos paslaugą savo knygoms ir įrašams saugoti, MVĮ yra duomenų valdytoja, o buhalterijos įmonė – duomenų tvarkytoja;
  • darbo užmokesčio bendrovė tvarko MVĮ tvarkomus asmens duomenis. Darbo užmokesčio bendrovė veiks kaip duomenų tvarkytoja, jei ji asmens duomenis tvarkys tik MVĮ vardu. MVĮ nustato duomenų tvarkymo tikslus ir priemones, todėl yra duomenų valdytoja.
  • MVĮ paveda rinkodaros įmonei rinkti el. pašto adresus trečiųjų šalių svetainėse.  Rinkodaros bendrovė tai daro vadovaudamasi aiškiais MVĮ nurodymais ir išimtinai MVĮ tikslais. Rinkodaros bendrovė veikia kaip šio rinkimo duomenų tvarkytoja.

Daugiau informacijos:

Kas yra neskelbtini duomenys?

Kai kurių rūšių asmens duomenys priklauso specialių kategorijų asmens duomenims, vadinamieji neskelbtini duomenys, o tai reiškia, kad jie nusipelno didesnės apsaugos. Neskelbtini duomenys apima duomenis, atskleidžiančius informaciją apie:

  • asmens sveikatą;
  • asmens seksualinę orientaciją;
  • asmens rasinę ar etninę kilmę;
  • asmens politines pažiūras, religinius ar filosofinius įsitikinimus; asmens narystę profesinėse sąjungose;
  • asmens biometrinius ir genetinius duomenis.

Paprastai draudžiama tvarkyti neskelbtinus asmens duomenis, išskyrus konkrečias aplinkybes, kuriomis pateisinamas jų tvarkymas.

Daugiau informacijos:

Kas gali atlikti duomenų apsaugos pareigūno (DAP) funkcijas?

DAP gali būti esamas darbuotojas, turintis pakankamai žinių apie BDAR (jei darbuotojo profesinės užduotys yra suderinamos su DAP užduotimis ir dėl to nekyla interesų konfliktų) arba išorės asmuo. DAP turi sugebėti savarankiškai atlikti užduotis ir turėtų tiesiogiai atsiskaityti aukščiausiajai vadovybei.

Daugiau informacijos:

Kas yra asmens duomenys?

Asmens duomenys – bet kokia informacija, susijusi su asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmuo, kurio tapatybę galima nustatyti, yra bet kuris asmuo, kuris gali būti tiesiogiai ar netiesiogiai identifikuojamas. Asmens duomenimis taip pat gali būti laikoma įvairi informacija, kurią sudėjus būtų galima nustatyti konkretaus asmens tapatybę.

Asmens duomenų pavyzdžiai:

  • vardas ir pavardė;
  • namų adresas;
  • el. pašto adresas;
  • asmens tapatybės kortelės numeris;
  • vietos nustatymo duomenys;
  • interneto protokolo (IP) adresas;
  • slapuko ID;
  • banko sąskaita;
  • mokesčių ataskaita;
  • biometriniai duomenys (pvz., pirštų atspaudai);
  • socialinio draudimo numeris;
  • paso numeris;
  • tyrimų rezultatai;
  • pažymiai mokykloje;
  • naršymo istorija;
  • asmens nuotrauka;
  • transporto priemonės registracijos numeris ir t. t.

Daugiau informacijos:

Kaip duomenų valdytojas, aš surinkau fizinių asmenų asmens duomenis iš trečiosios šalies, ką turiu daryti, kad laikyčiausi reikalavimų?

  1. Įsitikinkite, kad jūsų gauti duomenys buvo surinkti teisėtai ir kad atitinkami asmenys buvo informuoti apie jų asmens duomenų tvarkymą.
  2. Jei trečioji šalis tvarko asmens duomenis jūsų vardu, įsitikinkite, kad turite duomenų valdytojo ir duomenų tvarkytojo sutartį, kurioje išsamiai aprašomos tvarkymo operacijos ir asmens duomenų tvarkymo priemonės.

Ir, žinoma, laikykitės visų duomenų valdytojo pareigų.

Daugiau informacijos:

Kaip sužinoti, kokių saugumo priemonių reikia imtis?

Būtinos saugumo priemonės gali skirtis atsižvelgiant į jūsų tvarkomų asmens duomenų pobūdį ir susijusią riziką asmenims. Bet kuriuo atveju yra keletas minimalių priemonių, kurias turėtumėte taikyti:

  • užtikrinti saugų patekimą į patalpas;
  • naudoti reguliariai atnaujinamą antivirusinę programinę įrangą;
  • atidžiai pasirinkti savo slaptažodžius;
  • prieš naudojantis kompiuterinėmis priemonėmis, užtikrinti, kad vartotojai autentifikuotų savo tapatybę;
  • turėti duomenų atsarginių kopijų kūrimo ir atkūrimo politiką incidento atveju.

Be to, kai kurios elementarios priemonės, pvz., ekrano užrakinimas, kai esate toli, ir biurą užrakinimas dienos pabaigoje, niekada nėra netinkamos...

Daugiau informacijos:

Ar galiu paskelbti konkurso laimėtojų vardus ir pavardes savo organizacijos interneto svetainėje?

Konkurso laimėtojų vardų ir pavardžių paskelbimas jūsų svetainėje gali būti laikomas teisėtu interesu, jei galite tai įrodyti atlikdami pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmenų teises.

Gera praktika būtų nustatyti vidaus procedūrą, kurioje būtų paaiškintos laimėtojų asmens duomenų skelbimo taisyklės.

Be to, asmens duomenų tvarkymas šiais tikslais turėtų būti įtrauktas į konkurso privatumo politiką, kad dalyviai būtų iš anksto informuoti apie tai, kaip jų duomenys bus tvarkomi.

Daugiau informacijos:

Ar galiu dalytis asmenų asmens duomenų sąrašu su savo verslo partneriais (trečiosiomis šalimis)?

Taip, galite, bet BDAR nustato tam tikras prievoles įmonėms, kurios dalijasi asmens duomenimis. Jūsų organizacija turi informuoti asmenis, kad pasidalinsite jų duomenimis su trečiąja šalimi. Jūs taip pat turite juos informuoti apie savo tikslus, saugumą, prieigos ir saugojimo priemones, kurios bus taikomos.

Ar turėčiau paskirti duomenų apsaugos pareigūną (DAP)?

Paskirti duomenų apsaugos pareigūną privaloma šiais trimis atvejais:

  • organizacija yra valdžios institucija;
  • pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, naudojantis mobiliąja programėle, naudojantis geografine vietove, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą;
  • pagrindinė organizacijos veikla – didelio masto neskelbtinų duomenų arba asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymas.

Visada galite paskirti DAP savanoriškai, net jei tai nėra teisiškai reikalaujama. Atkreipkite dėmesį, kad tokiu atveju turite laikytis visų BDAR nuostatų dėl duomenų apsaugos pareigūno užduočių ir pareigų.

Daugiau informacijos:

Ar privalau viešai paskelbti savo duomenų tvarkymo veiklos įrašus?

Ne, nebūtina viešai skelbti savo duomenų tvarkymo veiklos įrašų. Tačiau, duomenų apsaugos institucijai paprašius, jūs turite turėti galimybę pateikti įrašus.

Daugiau informacijos: