BDAR išskiriami du pagrindiniai vaidmenys: duomenų valdytojo ir duomenų tvarkytojo. Šis atskyrimas yra labai svarbus, nes duomenų valdytojui tenka didesnė atsakomybė ir jis turi įvykdyti daugiau įsipareigojimų nei duomenų tvarkytojas.

Duomenų valdytoju ir tvarkytoju gali būti fiziniai arba juridiniai asmenys, pavyzdžiui: MVĮ, valdžios institucija, įmonė, organizacija, valstybinė įstaiga, asociacija ir kt.

Duomenų valdytojas nustato duomenų tvarkymo operacijos tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Tuo tarpu duomenų tvarkytojai tvarko asmens duomenis duomenų valdytojo vardu. Duomenų tvarkytojų atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi su duomenų valdytoju arba teisės aktu.

Duomenų valdytojų pavyzdžiai:

• įmonės, kurios tvarko savo klientų asmens duomenis, kad užbaigtų pardavimą;
• finansų įstaigos, kurios tvarko savo klientų asmens duomenis;
• asociacijos, kurios tvarko savo narių duomenis;
• mokyklos ar universitetai, tvarkantys studentų ir dėstytojų asmens duomenis;
• ligoninės, kurios tvarko savo pacientų asmens duomenis;
• valdžios institucijos, kurios tvarko piliečių asmens duomenis.

Duomenų tvarkytojų pavyzdžiai:

• MVĮ samdo buhalterinės apskaitos paslaugą savo knygoms ir įrašams saugoti, MVĮ yra duomenų valdytoja, o buhalterijos įmonė – duomenų tvarkytoja;
• darbo užmokesčio bendrovė tvarko MVĮ tvarkomus asmens duomenis. Darbo užmokesčio bendrovė veiks kaip duomenų tvarkytoja, jei ji asmens duomenis tvarkys tik MVĮ vardu. MVĮ nustato duomenų tvarkymo tikslus ir priemones, todėl yra duomenų valdytoja.
• MVĮ paveda rinkodaros įmonei rinkti el. pašto adresus trečiųjų šalių svetainėse.  Rinkodaros bendrovė tai daro vadovaudamasi aiškiais MVĮ nurodymais ir išimtinai MVĮ tikslais. Rinkodaros bendrovė veikia kaip šio rinkimo duomenų tvarkytoja.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

DAP gali būti esamas darbuotojas, turintis pakankamai žinių apie BDAR (jei darbuotojo profesinės užduotys yra suderinamos su DAP užduotimis ir dėl to nekyla interesų konfliktų) arba išorės asmuo. DAP turi sugebėti savarankiškai atlikti užduotis ir turėtų tiesiogiai atsiskaityti aukščiausiajai vadovybei.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Jei jūsų organizacija renka asmens duomenis tiesiogiai iš asmenų, ji turi pateikti reikiamą informaciją rinkimo metu.

Netiesioginio asmens duomenų rinkimo atveju jūsų organizacija privalo pateikti informaciją ne vėliau kaip per vieną mėnesį nuo asmens duomenų gavimo. Šis ilgiausias vieno mėnesio laikotarpis gali būti sutrumpintas:

• jei asmens duomenys naudojami bendravimo su duomenų subjektu tikslu. Tokiu atveju privalote informuoti duomenų subjektą ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu;
• jei duomenys perduodami kitam gavėjui, organizacija apie tai informuoja duomenų subjektus ne vėliau kaip asmens duomenų perdavimo metu.

Daugiau informacijos:

• Gerbti asmenų teises

Asmenys gali jūsų paklausti, ar tvarkote jų duomenis ir, jei taip, jie turi teisę susipažinti su tais duomenimis. Taigi, kai taip atsitinka ir jei tvarkote jų duomenis, turėtumėte, pavyzdžiui, nemokamai pateikti jų asmens duomenų kopiją kartu su bet kokia reikalinga papildoma informacija. Jei prašymas pateikiamas elektroniniu būdu, jūsų organizacija prašomą informaciją turėtų pateikti įprastai naudojamu elektroniniu formatu, išskyrus atvejus, kai asmuo paprašo kitaip.

Daugiau informacijos:

• Gerbti asmenų teises

Asmens duomenų saugumo pažeidimas yra saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami asmens duomenys arba suteikiama prieiga prie jų.

• Jei duomenų saugumo pažeidimas kelia pavojų fiziniams asmenims, turite apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas.
• Jei dėl pažeidimo gali kilti didelis pavojus fiziniams asmenims, apie tą pažeidimą taip pat turėsite nepagrįstai nedelsiant jiems pranešti.

Bet kuriuo atveju, visų pažeidimų, net ir tų, apie kuriuos nepranešta DAI, atveju turite užregistruoti bent pagrindinius pažeidimo duomenis, jo vertinimą, jo poveikį ir veiksmus, kurių imtasi reaguojant į jį.

Daugiau informacijos:

• Duomenų saugumo pažeidimai

Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

• tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
• užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
• užtikrina duomenų tvarkymo saugumą;
• nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
• padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
• padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
• pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
• pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
• leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.

Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

BDAR arba Bendruoju duomenų apsaugos reglamentu sukuriamas suderintas taisyklių rinkinys, taikomas visam asmens duomenų tvarkymui, kurį vykdo Europos ekonominėje erdvėje (EEE) įsteigtos organizacijos (viešosios ar privačios, nepriklausomai nuo jų dydžio) arba organizacijos, tvarkančios ES esančių asmenų duomenis. Pagrindinis BDAR tikslas – užtikrinti, kad asmens duomenims būtų taikoma vienoda aukšto lygio apsauga visoje EEE, taip didinant teisinį tikrumą tiek asmenims, tiek duomenis tvarkančioms organizacijoms, ir užtikrinti aukšto lygio fizinių asmenų apsaugą.

Reglamentas įsigaliojo 2016 m. gegužės 24 d. ir taikomas nuo 2018 m. gegužės 25 d.

Pseudonimų suteikimas – asmens duomenų transformavimas taip, kad jie nebegalėtų būti priskirti konkrečiam asmeniui nesinaudojant papildoma informacija, su sąlyga, kad tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad asmens duomenys nebūtų priskirti konkrečiam asmeniui. Praktikoje tai reiškia asmens duomenų (vardo, pavardės, asmens kodo, telefono numerio ir kt.) pakeitimą duomenų rinkinyje netiesiogiai identifikuojančiais duomenimis (slapyvardis, eilės numeris ir t. t.). Pseudoniminiai duomenys vis dar yra asmens duomenys ir jiems taikomas BDAR.

Anoniminiai duomenys –duomenys, kurių anonimiškumas užtikrintas taip, kad asmens tapatybė negali arba nebegali būti nustatyti jokiomis priemonėmis, kurios pagrįstai gali būti naudojamos. Kai anonimizavimas atliktas tinkamai, BDAR anoniminiams duomenims nebetaikomas.

Daugiau informacijos:

• Saugūs asmens duomenys

Kai kurių rūšių asmens duomenys priklauso specialių kategorijų asmens duomenims, vadinamieji neskelbtini duomenys, o tai reiškia, kad jie nusipelno didesnės apsaugos. Neskelbtini duomenys apima duomenis, atskleidžiančius informaciją apie:

• asmens sveikatą;
• asmens seksualinę orientaciją;
• asmens rasinę ar etninę kilmę;
• asmens politines pažiūras, religinius ar filosofinius įsitikinimus; asmens narystę profesinėse sąjungose;
• asmens biometrinius ir genetinius duomenis.

Paprastai draudžiama tvarkyti neskelbtinus asmens duomenis, išskyrus konkrečias aplinkybes, kuriomis pateisinamas jų tvarkymas.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Asmens duomenys – bet kokia informacija, susijusi su asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmuo, kurio tapatybę galima nustatyti, yra bet kuris asmuo, kuris gali būti tiesiogiai ar netiesiogiai identifikuojamas. Asmens duomenimis taip pat gali būti laikoma įvairi informacija, kurią sudėjus būtų galima nustatyti konkretaus asmens tapatybę.

Asmens duomenų pavyzdžiai:

• vardas ir pavardė;
• namų adresas;
• el. pašto adresas;
• asmens tapatybės kortelės numeris;
• vietos nustatymo duomenys;
• interneto protokolo (IP) adresas;
• slapuko ID;
• banko sąskaita;
• mokesčių ataskaita;
• biometriniai duomenys (pvz., pirštų atspaudai);
• socialinio draudimo numeris;
• paso numeris;
• tyrimų rezultatai;
• pažymiai mokykloje;
• naršymo istorija;
• asmens nuotrauka;
• transporto priemonės registracijos numeris ir t. t.

Daugiau informacijos:

• Duomenų apsaugos pagrindai