Paskutinį kartą tikrinta 2019-03-15

Duomenų apsauga pagal BDAR

Jungtinės Karalystės sprendimas pasinaudoti Europos Sąjungos sutarties 50 straipsniu: Daugiau informacijos

Nuo 2019 m. kovo 30 d. Jungtinei Karalystei nustos galioti visa ES teisė, nebent ratifikuotame susitarime dėl išstojimo būtų nustatyta kita data arba Europos Vadovų Taryba ir JK vieningai nuspręstų pratęsti dvejų metų derybų laikotarpį. Daugiau informacijos apie teisinius padarinius įmonėms:

BDAR išdėstyti išsamūs įmonėms ir organizacijoms taikomi asmens duomenų rinkimo, saugojimo ir valdymo reikalavimai. Reglamentas taikomas Europos organizacijoms, kurios tvarko asmenų asmens duomenis ES, ir už ES ribų veikiančioms organizacijoms, kurių veikla yra orientuota į ES gyventojus.

Kada taikomas Bendrasis duomenų apsaugos reglamentas (BDAR)?

BDAR taikomas, jeigu:

Už ES ribų įsisteigusios įmonės, kurios tvarko ES piliečių duomenis, turi paskirti atstovą Europos Sąjungoje.

Kada netaikomas Bendrasis duomenų apsaugos reglamentas (BDAR)?

BDAR netaikomas, jeigu:

Kas yra asmens duomenys?

Asmens duomenys – tai bet kokia informacija apie asmenį, kurio tapatybė nustatyta arba gali būti nustatyta; toks asmuo dar vadinamas duomenų subjektu. Asmens duomenys yra, pavyzdžiui, tokia informacija apie duomenų subjektus:

Specialios duomenų kategorijos

Jums neleidžiama tvarkyti asmens duomenų apie kurio nors asmens:

Kas tvarko asmens duomenis?

Tvarkymo metu asmens duomenys gali būti perduodami įvairioms skirtingoms įmonėms ar organizacijoms. Šiame cikle asmens duomenis tvarko du pagrindiniai pareigūnai:

Kas atlieka asmens duomenų tvarkymo įmonėje stebėseną?

Duomenų apsaugos pareigūnas (DAP), kurį gali paskirti įmonė, privalo stebėti, kaip tvarkomi asmens duomenys, ir informuoti bei konsultuoti asmens duomenis tvarkančius darbuotojus apie jų pareigas. DAP taip pat bendradarbiauja su duomenų apsaugos institucija (DAI), kuri atlieka informacinio punkto funkciją DAI ir asmenų atžvilgiu.

Kada turėtumėte paskirti duomenų apsaugos pareigūną?

Reikalaujama, kad jūsų įmonė paskirtų DAP, kai:

Pavyzdžiui, jeigu asmens duomenis tvarkote tikslinės reklamos, pagrįstos žmonių elgesiu internete, rodymo ieškos moduliuose tikslais, reikalaujama, kad turėtumėte DAP. Tačiau jeigu savo klientams reklaminę medžiagą siunčiate tik kartą per metus, jums DAP nebus reikalingas. Panašiai, jeigu esate gydytojas, kuris renka duomenis apie paciento sveikatą, DAP tikriausiai nereikalingas. Tačiau jeigu tvarkote su iš ligoninės gautais duomenimis apie genetiką arba sveikatą, tuomet DAP bus reikalingas.

DAP gali būti jūsų organizacijos narys arba tai gali būti pagal paslaugų teikimo sutartį dirbantis išorės rangovas. DAP gali būti asmuo arba organizacijos padalinys.

Duomenų tvarkymas kitai įmonei

Duomenų valdytojas gali naudotis tik duomenų tvarkytojo, kuris suteikia pakankamas garantijas, paslaugomis; šios garantijos turėtų būti įtrauktos į rašytinę susijusių šalių sutartį. Sutartyje taip pat turi būti nurodytos įvairios privalomos sąlygos, pavyzdžiui, kad duomenų tvarkytojas asmens duomenis tvarkys tik tuomet, kai tai jam nurodys duomenų valdytojas.

Duomenų perdavimas už ES ribų

Jeigu asmens duomenys perduodami už ES ribų, BDAR suteikiama apsauga turėtų „keliauti" kartu su duomenimis. Tai reiškia, kad jeigu eksportuojate duomenis į užsienį, jūsų įmonė privalo užtikrinti, kad būtų laikomasi vienos iš šių priemonių:

Kada leidžiama tvarkyti duomenis?

ES duomenų apsaugos taisyklės reiškia, kad duomenis turėtumėte tvarkyti sąžiningai ir teisėtai, siekdami konkretaus ir teisėto tikslo, ir tvarkyti tik tuos duomenis, kurie yra būtini šiam tikslui pasiekti. Privalote užtikrinti, kad įvykdėte vieną iš toliau nurodytų asmens duomenų tvarkymo sąlygų; jūs / jums:

Pritarimas dėl duomenų tvarkymo – sutikimas

BDAR taikomos griežtos sutikimu pagrįsto duomenų tvarkymo taisyklės. Šių taisyklių paskirtis – užtikrinti, kad asmuo suprastų, dėl ko jis duoda sutikimą. Tai reiškia, kad sutikimas turėtų būti duotas laisvai, būti konkretus, pagrįstas informacija ir vienareikšmiškas, atsižvelgiant į aiškia ir suprantama kalba surašytą prašymą. Sutikimas turėtų būti duodamas pritariamuoju veiksmu, pavyzdžiui, internete pažymint žymimąjį langelį arba pasirašant formą.

Kai asmuo sutinka, kad būtų tvarkomi jo asmens duomenys, jūs duomenis galite tvarkyti tik tais tikslais, dėl kurių buvo duotas sutikimas. Taip pat privalote suteikti jiems galimybę atšaukti savo sutikimą.

Skaidrios informacijos pateikimas

Privalote aiškiai pateikti asmenims informaciją apie tai, kas ir kodėl tvarko jų asmens duomenis. Reikėtų nurodyti bent jau šią informaciją:

Tam tikrais atvejais jūsų pateiktoje informacijoje taip pat turi būti nurodyta:

Šią informaciją turėtumėte pateikti aiškia ir suprantama kalba.

Konkrečios vaikams taikomos taisyklės

Jeigu, remdamiesi sutikimu, renkate asmens duomenis iš vaiko, pavyzdžiui, naudodami socialinio tinklo paskyrą arba atsisiunčiamąją paskyrą, pirmiausia privalote gauti tėvų sutikimą, pavyzdžiui, tėvui (motinai) arba globėjui (-ai) nusiųsdami pranešimą. Amžius, iki kurio asmuo laikomas vaiku, priklauso nuo to, kur vaikas gyvena, tačiau šis amžius yra iki 13–16 metų.

Teisė susipažinti su duomenimis ir teisė į duomenų perkeliamumą

Privalote užtikrinti, kad asmenys turėtų teisę susipažinti su savo asmens duomenimis nemokamai. Jeigu gaunate tokį prašymą, turite:

Tais atvejais, kai asmens duomenų tvarkymas yra pagrįstas sutikimu arba sutartimi, asmuo taip pat gali prašyti duomenų tvarkytojų grąžinti jam jo asmens duomenis arba perduoti juos kitai įmonei. Tai vadinama teise į duomenų perkeliamumą. Duomenis turėtumėte pateikti bendrai naudojamu ir automatizuotai nuskaitomu formatu.

Teisė ištaisyti duomenis ir teisė prieštarauti

Jeigu asmuo mano, kad jo asmens duomenys yra neteisingi, neišsamūs arba netikslūs, jis turi teisę reikalauti, kad jie būtų nedelsiant ištaisyti arba papildyti.

Tokiu atveju turėtumėte pranešti visiems duomenų gavėjams, ar kokie nors asmens duomenys, kuriais jūs su jais pasidalijote, buvo pakeisti arba ištrinti. Jeigu kokie nors asmens duomenys, kuriais pasidalijote, buvo neteisingi, jums taip pat gali prireikti kiekvieną asmenį, kuris juos matė, informuoti, kad tokie duomenys buvo neteisingi (išskyrus atvejus, kai manoma, kad tam prireiktų neproporcingų pastangų).

Asmuo bet kuriuo metu taip pat gali prieštarauti dėl savo asmens duomenų tvarkymo konkrečiu tikslu, jeigu jūsų įmonė šiuos duomenis tvarko remdamasi jūsų teisėtu interesu arba siekdama įvykdyti užduotį viešojo intereso labui. Išskyrus atvejus, kai turite teisėtą interesą, kuris yra svarbesnis už asmens interesą, privalote liautis tvarkę asmens duomenis.

Asmuo taip pat gali prašyti, kad jo asmens duomenų tvarkymas būtų ribojamas, kol bus nustatyta, ar jūsų teisėtas interesas yra viršesnis už jo interesą, ar ne. Tačiau tiesioginės rinkodaros atveju jūs visada privalote liautis tvarkę asmens duomenis, jei to prašo asmuo.

Teisė reikalauti ištrinti duomenis („teisė būti pamirštam")

Tam tikromis aplinkybėmis asmuo gali prašyti, kad duomenų valdytojas ištrintų jo asmens duomenis, pavyzdžiui, jeigu duomenys nebereikalingi duomenų tvarkymo tikslui pasiekti. Tačiau jūsų įmonė neprivalo to daryti, jeigu:

Automatizuotas sprendimų priėmimas ir profiliavimas

Asmenys turi teisę reikalauti, kad dėl jų nebūtų priimtas sprendimas, kuris yra pagrįstas vien automatizuotu duomenų tvarkymu. Vis dėlto galioja tam tikros šios taisyklės išimtys, pavyzdžiui, kai asmenys duoda savo aiškų sutikimą, kad dėl jų būtų priimamas automatizuotas sprendimas. Išskyrus atvejus, kai automatizuotas sprendimas yra pagrįstas įstatymu, jūsų įmonė privalo:

Pavyzdžiui, jeigu bankas automatizuotai priima sprendimą dėl paskolos suteikimo tam tikram asmeniui, tas asmuo turėtų būti informuojamas apie automatizuotą sprendimą ir jam turėtų būti suteikta galimybė ginčyti sprendimą ir prašyti, kad jį priimant įsikištų žmogus.

Duomenų saugumo pažeidimai – tinkamo pranešimo pateikimas

Duomenų saugumas pažeidžiamas tuomet, kai asmens duomenys, už kuriuos jūs atsakote, atsitiktinai arba neteisėtai atskleidžiami neteisėtiems gavėjams arba tokie duomenys tampa laikinai neprieinami arba pakeičiami.

Jeigu įvyksta duomenų saugumo pažeidimas, kuris kelia pavojų asmens teisėms ir laisvėms, turėtumėte per 72 valandas nuo to momento, kai sužinojote apie pažeidimą, informuoti duomenų apsaugos instituciją.

Priklausomai nuo to, ar duomenų saugumo pažeidimas kelia didelį pavojų nuo jo nukentėjusiems asmenims, iš jūsų įmonės taip pat gali būti reikalaujama informuoti visus nukentėjusius asmenis.

Atsakymai į prašymus

Jeigu jūsų įmonė gauna prašymą iš asmens, kuris nori įgyvendinti savo teises, turėtumėte be reikalo nedelsdami atsakyti į šį prašymą ir bet kuriuo atveju padaryti tai per 1 mėnesį nuo prašymo gavimo. Šis atsakymo terminas gali būti pratęsiamas 2 mėnesiais sudėtingų arba sudėtinių prašymų atveju, jeigu asmuo informuojamas apie pratęsimą. Prašymai turėtų būti nagrinėjami nemokamai.

Jeigu prašymas atmetamas, tuomet privalote informuoti asmenį apie tokio atmetimo priežastis ir apie jo teisę paduoti skundą duomenų apsaugos institucijai.

Poveikio vertinimai

Poveikio duomenų apsaugai vertinimą (PDAV) būtina atlikti visais atvejais, kai numatomas duomenų tvarkymo tikslas galėtų kelti didelį pavojų asmenų teisėms ir laisvėms, pavyzdžiui, kai naudojamos naujos technologijos.

Toks didelis pavojus yra tais atvejais, kai:

Pastaba. Duomenų apsaugos institucijos keliančiu didelį pavojų gali laikyti ir kitų kategorijų duomenų tvarkymą.

Jeigu DAPV nurodytos priemonės nepadeda pašalinti visų nustatytų didelės rizikos veiksnių, prieš pradedant numatomą duomenų tvarkymą privaloma konsultuotis su duomenų apsaugos institucija.

Registravimas

Turite sugebėti įrodyti, kad jūsų įmonė veikia laikydamasi BDAR ir įgyvendina visas taikytinas pareigas, visų pirma paprašius arba patikrinus duomenų apsaugos institucijai.

Vienas iš būdų tai padaryti – išsamiai registruoti tokius dalykus kaip:

Jūsų įmonė taip pat turėtų turėti – ir reguliariai atnaujinti – rašytines procedūras ir rekomendacijas ir su jomis supažindinti savo darbuotojus.

Jeigu jūsų įmonė yra MVĮen arba mažesnė įmonė, jūs neprivalote registruoti savo duomenų tvarkymo veiklos, jeigu ši veikla:

  • nėra vykdoma reguliariai,
  • ji neturi poveikio susijusių asmenų teisėms ir laisvėms,
  • ji nėra susijusi su slaptais duomenimis arba informacija apie teistumą.

Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga

Pritaikytoji duomenų apsauga reiškia, kad jūsų įmonė, planuodama nauju būdu tvarkyti asmens duomenis, į duomenų apsaugą turėtų atsižvelgti pradiniuose tokio planavimo etapuose. Atsižvelgdamas į šį tikslą, duomenų valdytojas privalo imtis visų būtinų techninių ir organizacinių veiksmų, kad įgyvendintų duomenų apsaugos principus ir apsaugotų asmenų teises. Šie veiksmai galėtų būti, pavyzdžiui, pseudonimų suteikimas.

Standartizuotoji duomenų apsauga reiškia, kad jūsų įmonė, nustatydama standartizuotuosius parametrus, visada turėtų užtikrinti, kad tokie parametrai padėtų užtikrinti kuo didesnę privatumo apsaugą. Pavyzdžiui, jeigu galima nustatyti du privatumo parametrus, o dėl vieno iš šių parametrų su asmens duomenimis negali susipažinti kiti asmenys, tokius parametrus reikėtų naudoti kaip standartizuotuosius parametrus.

Taisyklių pažeidimai ir sankcijos

Nesilaikant BDAR gali būti skiriamos didelės baudos, kurios už tam tikrus pažeidimus siekia iki 20 mln. EUR arba sudaro 4 proc. jūsų įmonės pasaulinės apyvartos. Duomenų apsaugos institucija gali imtis papildomų privalomų taisomųjų veiksmų, pavyzdžiui, nurodyti jums nustoti tvarkyti asmens duomenis.

DUK. Duomenų apsauga ir privatumas internete

Susijusios temos

ES teisės aktai

Pagalbos tarnybos

Specializuotos pagalbos tarnybos

Paramos verslui vietos punktas - Turite klausimų dėl verslo veiklos užsienyje, pavyzdžiui, eksporto arba verslo plėtros kitoje ES šalyje? Jei taip, Europos įmonių tinklas gali duoti nemokamų patarimų.

Pasidalyti šiuo puslapiu: