Data protection guide for small business logo
Close menu
Back to EDPB

Dažnai užduodami klausimai

Filter on
Filter on topic

Kaip galiu gauti galiojantį sutikimą?

Kad sutikimas būtų laikomas galiojančiu, jis turi būti:

  • laisvai duodamas;
  • konkretus;
  • informuotas; ir
  • nedviprasmiškas.

Tai reiškia, kad asmenys turi turėti tikrai laisvą pasirinkimą, ar jie sutinka su jų asmens duomenų tvarkymu, ar ne; jiems reikia pakankamai informacijos, kad jie galėtų suprasti, kokie duomenys tvarkomi, kokiu tikslu ir kaip tai daroma; jiems taip pat reikia pakankamo išsamumo prašymuose dėl sutikimo.

Be to, asmuo turėtų imtis aiškių veiksmų (be iš anksto pažymėtų langelių ir atskirai nuo taikytinų bendrųjų sąlygų).

Be to, asmenys turi turėti galimybę laisvai atšaukti savo sutikimą (be jokių neigiamų pasekmių), jei vėliau persigalvoja.

Daugiau informacijos:

Kada turėtumėte dalintis šia informacija?

Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

  • jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
  • jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

Daugiau informacijos:

Ar mano organizacija turi laikytis BDAR?

Kiekviena organizacija, nepriklausomai nuo jos dydžio ar sektoriaus, įsteigta Europos ekonominėje erdvėje (EEE) arba siūlanti produktus ar paslaugas asmenims EEE, tvarkanti asmens duomenis automatizuotomis ar neautomatizuotomis priemonėmis turi atitikti BDAR. Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai organizuojami, pvz., abėcėlės tvarka bylų spintoje.

Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, organizavimą, naudojimą, keitimą, saugojimą, atskleidimą, pakeitimą ir ištrynimą.

Vis dėlto BDAR taikymas yra moduliuojamas atsižvelgiant į atliekamų duomenų tvarkymo operacijų pobūdį, kontekstą, tikslus ir riziką. MVĮ, kurių pagrindinė veikla nėra asmens duomenų tvarkymas, pareigos gali būti ne tokios griežtos kaip didelės įmonės.

Daugiau informacijos:

Kokios yra duomenų apsaugos pareigūno (DAP) užduotys?

Duomenų apsaugos pareigūno užduotys, be kita ko, apima:

  • organizacijos ir jos darbuotojų informavimą ir konsultavimą dėl duomenų apsaugos reikalavimų laikymosi;
  • stebėjimą, kaip laikomasi duomenų apsaugos reikalavimų;
  • konsultacijų dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV), teikimą;
  • kontaktinio asmens su duomenų apsaugos institucija (DAI) vaidmenį ir bendradarbiavimą su ta DAI;
  • kontaktinio asmens vaidmenį asmenims.

Be to, paprastai rekomenduojama, kad DAP dalyvautų priimant su duomenų apsauga susijusius sprendimus. Su DAP taip pat turėtų būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.

Daugiau informacijos:

Kokios yra mano pareigos pagal BDAR?

BDAR nustatytos prievolės visoms asmens duomenis tvarkančioms organizacijoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai, ar duomenų tvarkytojai.

Visų pirma turėtumėte:

  • Paklausti savęs, ar tikslas, kuriuo gali būti renkami asmens duomenys, yra pagrįstas, ir renkami tik tie asmens duomenys, kurie yra būtini konkrečiam (-iems) numatytam (-iems) tikslui (-ams);
  • Užtikrinti, kad asmenų asmens duomenys būtų tikslūs ir atnaujinti, ir ištrinti duomenis, kai jų nebereikia;
  • Gerbti asmenų teises informuojant juos apie tai, kaip ir kodėl tvarkomi jų duomenys, ir suteikti jiems galimybę naudotis savo teisėmis;
  • Patikrinti, ar turite tinkamą teisinį pagrindą tvarkyti asmens duomenis. Jei ketinate remtis fizinių asmenų sutikimu, prieš tvarkydami jų asmens duomenis, paprašykite jų sutikimo;
  • Užtikrinti, kad asmens duomenys būtų tvarkomi saugiai;
  • Tvarkyti duomenų tvarkymo veiklos įrašus.

Duomenų tvarkytojai turi laikytis duomenų valdytojo ir duomenų tvarkytojo sutartyje nustatytų pareigų ir negali tvarkyti duomenų kitaip, nei nurodyta duomenų valdytojo nurodymuose.

Daugiau informacijos:

Kokie yra BDAR nustatyti pagrindiniai duomenų tvarkymo principai?

  • Bet koks asmens duomenų tvarkymas turi būti teisėtas, sąžiningas ir skaidrus.
  • Rinkite asmens duomenis tik nustatytais, aiškiai apibrėžtais ir teisėtais tikslais. Asmens duomenų tvarkymas turi būti griežtai apribotas (-ais) iš pradžių nustatytu (-ais) tikslu (-ais), todėl duomenys neturėtų būti tvarkomi vėlesniu (-iais) ar kitu (-ais) su pirminiais tikslais nesuderinamu (-ais) tikslu (-ais).
  • Tvarkykite tik tuos asmens duomenis, kurie yra būtini ir proporcingi atsižvelgiant į numatytą tikslą.
  • Visi jūsų tvarkomi asmens duomenys turi būti tikslūs ir nuolat atnaujinami. Netikslūs asmens duomenys turi būti ištaisyti arba ištrinti.
  • Asmens duomenys turi būti saugomi ribotą laiką, atsižvelgiant į tikslą, kuriuo šie duomenys buvo renkami ir tvarkomi. Todėl asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi.
  • Asmens duomenys turi būti tvarkomi saugiai. Šiuo požiūriu, siekiant užtikrinti tinkamą asmenų duomenų apsaugą, turi būti įdiegtos patikimos kibernetinio saugumo kontrolės priemonės.

Galiausiai, duomenų valdytojas yra atskaitingas. Tai reiškia, kad jis yra atsakingas ir turi sugebėti įrodyti, kad laikosi pirmiau nurodytų principų.

Daugiau informacijos:

Kiek laiko galiu saugoti asmens duomenis?

Jūs negalite saugoti asmens duomenų amžinai.

Paprastai asmens duomenys gali būti saugomi tik tiek laiko, kiek reikia atsižvelgiant į tikslus, kuriais asmens duomenys yra tvarkomi.

Kai kuriais atvejais saugojimo laikotarpį gali nustatyti konkretūs įstatymai, pavyzdžiui, darbo tvarkos taisyklėse nustatomas darbo užmokesčio sąrašų saugojimo laikotarpis.

Organizacijos turėtų nustatyti duomenų saugojimo politiką, siekdamos užtikrinti, kad asmens duomenys nebūtų saugomi ilgiau nei būtina. Asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi tikslui, dėl kurio jie buvo tvarkomi, pasiekti.

Daugiau informacijos:

Ar man reikia duomenų tvarkymo veiklos įrašų?

Apskritai kiekviena organizacija turėtų turėti savo duomenų tvarkymo veiklos įrašus. Tai visų duomenų tvarkymo operacijų sąrašas, kuris gali padėti jums padaryti teisingas prielaidas dėl savo atsakomybės pagal BDAR ir galimos rizikos.

Kiekviena iš šių duomenų tvarkymo operacijų turi būti aprašyta duomenų tvarkymo veiklos įrašuose ir juose turi būti pateikta tokia informacija:

  • duomenų tvarkymo tikslas (pvz., klientų lojalumas);
  • tvarkomų duomenų kategorijos (pvz., darbo užmokesčio atveju: vardas, pavardė, gimimo data, atlyginimas ir kt.);
  • kas turi prieigą prie duomenų (gavėjai, pvz.: už įdarbinimą atsakingas departamentas, IT tarnyba, vadovybė, paslaugų teikėjai, partneriai ir t. t.);
  • kai taikoma, informacija, susijusi su asmens duomenų perdavimu už Europos ekonominės erdvės (EEE) ribų;
  • kai įmanoma, saugojimo laikotarpis (laikotarpis, kuriuo duomenys yra naudingi veiklos ir archyvavimo požiūriu).
  • kai įmanoma, bendras saugumo priemonių aprašymas.

Už duomenų tvarkymo veiklos įrašus atsako jūsų organizacijos vadovas.

Šie įrašai turi būti prieinami EEE šalies, kurioje vykdote veiklą, duomenų apsaugos institucijai, jei to paprašoma.

Nereikalaujama, kad organizacijos, kuriose dirba mažiau kaip 250 asmenų, savo įrašuose paminėtų tik atsitiktinę veiklą (pvz., duomenis, tvarkomus vienkartiniams renginiams, pvz., parduotuvės atidarymui).

 

Daugiau informacijos:

Kas yra duomenų apsaugos pareigūno (DAP) interesų konfliktas?

DAP organizacijoje gali atlikti kitas užduotis, tačiau dėl to negali kilti interesų konfliktas. Tai reiškia, kad DAP negali užimti tokios pozicijos, kurioje nustatytų duomenų tvarkymo tikslus ir priemones. Nesuderinamos funkcijos daugiausia apima vadovaujančias pareigas (generalinis direktorius, vykdomasis direktorius, finansų vadovas, žmogiškųjų išteklių vadovas, IT vadovas), tačiau jos taip pat gali apimti kitas funkcijas, jei vykdant jas nustatomi duomenų tvarkymo tikslai ir priemonės.

DAP turi galėti nepriklausomai vykdyti savo pareigas ir užduotis. Tai reiškia, kad jūsų organizacija:

  • negali duoti nurodymų DAP dėl jo DAP pareigų vykdymo;
  • negali bausti ar atleisti DAP už savo užduočių vykdymą.

Daugiau informacijos:

Ką turėčiau daryti duomenų saugumo pažeidimo atveju?

Asmens duomenų saugumo pažeidimas yra saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų.

  • Jei duomenų saugumo pažeidimas kelia pavojų fiziniams asmenims, turite apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas.
  • Jei dėl pažeidimo gali kilti didelis pavojus fiziniams asmenims, apie tą pažeidimą taip pat turėsite nepagrįstai nedelsiant jiems pranešti.

Bet kuriuo atveju, visų pažeidimų, net ir tų, apie kuriuos nepranešta DAI, atveju turite užregistruoti bent pagrindinius pažeidimo duomenis, jo vertinimą, jo poveikį ir veiksmus, kurių imtasi reaguojant į jį.

Daugiau informacijos:

Kaip galiu gerbti asmens duomenų apsaugos teises?

BDAR numatytos konkrečios asmenų teisės, kurių turi būti paisoma. Tai galite padaryti:

  • informuodami asmenis, kurių duomenis tvarkote, apie savo tvarkymo operacijas ir duomenų tvarkymo tikslus, kai renkate jų duomenis, pavyzdžiui, savo interneto svetainėje pateikdami privatumo pareiškimą;
  • atsakydami į asmenų prašymus pasinaudoti savo teisėmis, pavyzdžiui, susipažinimo, ištaisymo, prieštaravimo, ištrynimo arba perkeliamumo prašymus.

Organizacijos, kurios yra skaidrios dėl asmens duomenų naudojimo ir gerbia asmenų teises, rečiau tampa skundų objektu.

Daugiau informacijos:

Kaip galiu neatsilikti nuo EDAV darbo?

EDAV reguliariai skelbia pranešimus spaudai, naujienas, tinklaraščio įrašus ir kitą turinį EDAV interneto svetainėje ir jos socialinės žiniasklaidos kanaluose (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) taip nuolat informuodama duomenų apsaugos bendruomenę ir plačiąją visuomenę apie savo darbą.

EDAV interneto svetainėje taip pat yra du RSS kanalai, kuriuos galite užsisakyti norėdami gauti EDAV naujienas ir naujausius EDAV leidinius.

Kas yra BDAR?

BDAR arba Bendruoju duomenų apsaugos reglamentu sukuriamas suderintas taisyklių rinkinys, taikomas visam asmens duomenų tvarkymui, kurį vykdo Europos ekonominėje erdvėje (EEE) įsteigtos organizacijos (viešosios ar privačios, nepriklausomai nuo jų dydžio) arba organizacijos, tvarkančios ES esančių asmenų duomenis. Pagrindinis BDAR tikslas – užtikrinti, kad asmens duomenims būtų taikoma vienoda aukšto lygio apsauga visoje EEE, taip didinant teisinį tikrumą tiek asmenims, tiek duomenis tvarkančioms organizacijoms, ir užtikrinti aukšto lygio fizinių asmenų apsaugą.

Reglamentas įsigaliojo 2016 m. gegužės 24 d. ir taikomas nuo 2018 m. gegužės 25 d.

Ar BDAR taip pat taikomas popieriniams įrašams?

Taip, BDAR taikomas, jei asmens duomenys yra saugomi arba ketinama juos laikyti susistemintoje rinkmenoje. Tai reiškia, kad BDAR taip pat taikomas popieriniams įrašams, o ne tik automatizuotam asmens duomenų tvarkymui.

Daugiau informacijos:

Kas yra bendras duomenų valdytojas?

Kai yra du ar daugiau duomenų valdytojų, kurie kartu nustato duomenų tvarkymo tikslą ir priemones, jie laikomi bendrais duomenų valdytojais. Jie kartu nusprendžia tvarkyti asmens duomenis bendru tikslu. Bendras duomenų valdymas gali būti įvairių formų, o skirtingų duomenų valdytojų dalyvavimas gali būti nevienodas. Todėl bendri duomenų valdytojai turi nustatyti savo atitinkamą atsakomybę už BDAR laikymąsi.

Svarbu pažymėti, kad bendras duomenų valdymas lemia bendrą atsakomybę už duomenų tvarkymo veiklą.

  • Bendro duomenų valdymo pavyzdys: Bendrovės A ir B pristatė bendrą prekės ženklą ir nori surengti renginį šiam produktui reklamuoti. Tuo tikslu jos nusprendžia dalytis savo atitinkamų klientų ir būsimų klientų duomenų bazių duomenimis ir šiuo pagrindu priimti sprendimą dėl pakviestų dalyvauti renginyje asmenų sąrašo. Jos taip pat susitaria dėl kvietimų į renginį siuntimo, informacijos rinkimo renginio metu ir tolesnių rinkodaros veiksmų tvarkos. Bendrovės A ir B gali būti laikomos bendrais duomenų valdytojais tvarkant asmens duomenis, susijusius su reklaminio renginio organizavimu, nes jos kartu nusprendžia dėl bendrai apibrėžto duomenų tvarkymo tikslo ir pagrindinių priemonių šiame kontekste.

Daugiau informacijos:

Rengiu renginį kaip savo verslo veiklos dalį, ar galiu fotografuoti ir filmuoti renginyje dalyvaujančius žmones?

Taip, bet norėdami tai padaryti, pirmiausia turėsite nustatyti tokio tipo asmens duomenų tvarkymo teisinį pagrindą. Pavyzdžiui, duomenų tvarkymas gali būti laikomas teisėtu jūsų organizacijos interesu. Tvarkant asmens duomenis teisėto intereso pagrindu, visada būtina atlikti pusiausvyros testą, kad nustatytumėte, ar jūsų teisėti interesai yra svarbesni už asmenų teises, ypač jei tai susiję su vaikais.

Kitas galimas tokio duomenų tvarkymo teisinis pagrindas galėtų būti sutikimas. Bet kuriuo atveju asmenys visada turėtų būti iš anksto informuojami, kad renginys yra fotografuojamas ar filmuojamas.

Daugiau informacijos:

Jei noriu išsaugoti kandidatų gyvenimo aprašymus būsimoms įdarbinimo procedūroms, ar turiu prašyti kandidatų sutikimo?

Sutikimas iš tiesų galėtų būti tinkamas teisinis pagrindas kandidatų į darbo vietas gyvenimo aprašymams saugoti. Kitas galimas teisinis pagrindas galėtų būti teisėtas interesas. Tokiu atveju turėtumėte atlikti pusiausvyros testą, kad įrodytumėte, jog teisėti jūsų organizacijos interesai yra svarbesni už kandidatų teises.

Bet kuriuo atveju turėsite informuoti kandidatus, kad planuojate saugoti jų duomenis ir kokiais tikslais.

Daugiau informacijos:

Ar galiu tvarkyti asmens duomenis tik gavęs asmens sutikimą?

Tvarkyti asmens duomenis leidžiama, jei tam yra teisinis pagrindas. Be laisvo, konkretaus, informacija pagrįsto ir nedviprasmiško sutikimo, gali būti naudojami kiti duomenų tvarkymo teisiniai pagrindai.

Kitaip tariant, sutikimas būtinas, kai netaikomas joks kitas teisinis pagrindas.

 

Daugiau informacijos:

Ar turiu būti sertifikuotas, kad tapčiau duomenų apsaugos pareigūnu (DAP)?

Ne, jums nereikia būti sertifikuotu, kad taptumėte DAP.

Tačiau duomenų apsaugos pareigūnai turi sugebėti įrodyti, kad jie turi BDAR reikalaujamą būtiną kvalifikaciją, pvz., ekspertines žinias apie duomenų apsaugos teisę ir praktiką.

Daugiau informacijos:

Kas yra poveikio duomenų apsaugai vertinimas ir kada jis privaloma?

Poveikio duomenų apsaugai vertinimas arba PDAV yra rašytinis vertinimas, kurį jūsų organizacija turėtų atlikti, kad įvertintų planuojamos duomenų tvarkymo operacijos poveikį. Jis padeda jums nustatyti tinkamas rizikos mažinimo priemones ir įrodyti atitiktį reikalavimams.

Nors visada pageidautina numatyti planuojamų jūsų organizacijos duomenų tvarkymo operacijų poveikį atliekant PDAV, PDAV privaloma atlikti, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms.

Konkrečiai, taip yra tuo atveju, kai numatomas duomenų tvarkymas apima:

  • neskelbtinų asmens duomenų arba duomenų, susijusių su apkaltinamaisiais nuosprendžiais, tvarkymą dideliu mastu;  
  • sistemingą ir išsamų asmens asmeninių savybių vertinimą, grindžiamą automatizuotu duomenų tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, turintys teisinių pasekmių atitinkamam asmeniui arba panašiai darantys didelį poveikį asmenims;
  • sistemingą didelio masto viešai prieinamos teritorijos stebėseną.

EDAV parengė gaires, kuriose išvardijami kriterijai, į kuriuos turite atsižvelgti vertindami, ar PDAV yra privalomas, ar ne. Duomenų apsaugos institucijos (DAI) taip pat paskelbė duomenų tvarkymo operacijų, kurioms taikomas PDAV, sąrašus. Be to, kelios DAI parengė vadovus, programinę įrangą arba įsivertinimo priemones, kurios padės jums atlikti vertinimą.

Daugiau informacijos: