Kas yra asmens duomenys?
Asmens duomenys – bet kokia informacija, susijusi su asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti.
Informacijos, kuri gali leisti tiesiogiai ar netiesiogiai nustatyti asmens tapatybę ir todėl laikytina asmens duomenimis, pavyzdžiai:
- klientų, suinteresuotųjų asmenų, darbuotojų, paslaugų teikėjų vardas, pavardė, telefono numeris;
- identifikacijos numeriai, pvz., kliento numeris, darbuotojo numeris;
- užsakymo numeris;
- el. pašto adresai, vietos nustatymo duomenys;
- asmens naršymo istorija;
- asmens pirkimo istorija ir kvitai;
- nuotraukos, vaizdo įrašai ir garso įrašai, kuriuose yra asmenų atvaizdai ar garsai.
Iš šių asmens duomenų asmuo gali būti tiesiogiai arba netiesiogiai identifikuojamas:
- jei Jūsų organizacija tvarko, pavyzdžiui, asmens vardą ar pavardę, šie asmens duomenys leidžia tiesiogiai identifikuoti asmenį;
- jei Jūsų organizacija tvarko, pavyzdžiui, asmens kliento numerį arba užsakymo numerį, šie asmens duomenys gali leisti netiesiogiai identifikuoti asmenį.
- Bet kokia informacija, tvarkoma tiesiogiai ar netiesiogiai identifikuoto asmens atžvilgiu (t. y. pageidavimai, įpročiai), taip pat bus laikoma asmens duomenimis.
Skaityti daugiau
Specialių kategorijų asmens duomenys
Kai kurių rūšių asmens duomenys, paprastai vadinami neskelbtinais duomenimis, priklauso specialioms kategorijoms, kurios nusipelno didesnės apsaugos. Pagal BDAR 9 straipsnį neskelbtini duomenys apima duomenis, atskleidžiančius šią informaciją:
- asmens sveikata;
- asmens lytinis gyvenimas ar seksualinė orientacija;
- asmens rasinė ar etninė kilmė;
- asmens politinės pažiūros, religiniai ar filosofiniai įsitikinimai;
- asmens biometriniai ir genetiniai duomenys;
- narystė profesinėse sąjungose.
Paprastai draudžiama tvarkyti neskelbtinus asmens duomenis, išskyrus konkrečias aplinkybes, kuriomis pateisinamas jų tvarkymas (pvz., aiškus sutikimas).
Daugiau informacijos apie aplinkybes, kuriomis neskelbtini duomenys gali būti tvarkomi, žr.
Asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas
Asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymui taikomos griežtos teisinės sąlygos. Šiuos asmens duomenis gali tvarkyti tik oficiali institucija, pvz., policija, prižiūrint valdžios institucijai, arba kai tai leidžiama pagal nacionalinę teisę.
BDAR gerosios patirties sąrašas
- Paklausti savęs, ar tikslas, kuriuo gali būti renkami asmens duomenys, yra pagrįstas.
- Rinkti tik tuos asmens duomenis, kurie yra būtini konkretiems numatytiems tikslams.
- Informuoti asmenis apie tai, kaip ir kokiais tikslais jų asmens duomenys gali būti tvarkomi.
- Patikrinti, ar turite tinkamą teisinį pagrindą tvarkyti asmens duomenis. Jei ketinate remtis asmenų sutikimu, prieš tvarkydami jų asmens duomenis, paprašyti jų sutikimo.
- Užtikrinti, kad asmens duomenys būtų tvarkomi saugiai.
- Užtikrinti, kad asmens duomenys būtų tikslūs ir nuolat atnaujinami.
- Ištrinti asmens duomenis, kai jų nebereikia. Atkreipkite dėmesį į tai, kad pagal nacionalinius teisės aktus galite būti įpareigoti saugoti tam tikrus duomenis (t. y. dėl mokestinių priežasčių).
Ką reiškia asmens duomenų tvarkymas?
Fizinių asmenų asmens duomenų tvarkymas apima bet kokios rūšies veiklą (tvarkymo operaciją), kuri atliekama tiek automatizuotomis priemonėmis, tiek be jų, naudojant ar kitaip tvarkant fizinių asmenų asmens duomenis.
Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, naudojimą, keitimą, saugojimą, atskleidimą.
Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai tvarkomi, pvz., abėcėlės tvarka nurodyta bylų spintoje.
Skaityti daugiau
Ar Jūsų organizacijai taikomas BDAR?
BDAR gali būti taikomas visoms privačioms ir viešosioms organizacijoms, jeigu:
- atitinkama organizacija yra įsisteigusi ES arba Europos ekonominėje erdvėje (EEE sudaro ES šalys, Islandija, Lichtenšteinas ir Norvegija); arba
- organizacija nėra įsisteigusi EEE, tačiau jos produktai ar paslaugos siūlomi EEE esantiems asmenims arba organizacija stebi EEE esančių asmenų elgesį.
BDAR taip pat taikomas visiems subrangovams, kurie gali tvarkyti asmens duomenis privataus ar viešojo sektoriaus organizacijos vardu.
Praktiškai BDAR Jums taikomas, jei taikoma viena iš šių sąlygų:
- Esate EEE šalyje įsisteigusi bendrovė;
- Esate organizacija, įsikūrusi EEE nepriklausančioje šalyje, parduodanti prekes ar siūlanti paslaugas, net ir nemokamai, skirtas asmenims EEE šalyje;
- Esate EEE nepriklausančioje šalyje įsikūrusi IT bendrovė, kuriai EEE įsisteigusi privati organizacija yra pavedusi tvarkyti savo IT duomenų bazes, pvz., klientų duomenų bazę;
- Esate EEE įsisteigęs paslaugų teikėjas, kuris tvarko asmens duomenis kitos bendrovės vardu.
Pagrindiniai BDAR principai
Tvarkydama asmens duomenis, Jūsų organizacija turi laikytis toliau nurodytų 6 pagrindinių BDAR principų. Be to, Jūsų organizacija turi sugebėti įrodyti, kad laikosi šių principų.
Teisėtumas, teisingumas ir skaidrumas
Bet koks asmens duomenų tvarkymas turi būti teisėtas, sąžiningas ir skaidrus.
Jūsų organizacija asmens duomenis gali tvarkyti tik tuo atveju, jei numatyta duomenų tvarkymo operacija yra teisėta; pavyzdžiui, jei remiatės asmens sutikimu, jei tvarkyti duomenis būtina sutarčiai įvykdyti arba remiatės kitu BDAR 6 straipsnyje nurodytu duomenų tvarkymo teisiniu pagrindu.
Jei duomenų tvarkymas grindžiamas sutikimu, Jūsų organizacija turi užtikrinti, kad šis sutikimas būtų duotas laisva valia, suteikus visą informaciją, konkretus ir nedviprasmiškas. Kitaip tariant, neturi būti jokių abejonių, kad asmenys žino, dėl ko jie sutinka, kokiais tikslais tvarkomi duomenys, ir kad šis sutikimas buvo aktyviai duotas prieš pradedant tvarkyti duomenis. Be to, asmenys turėtų turėti galimybę laisvai atšaukti savo sutikimą. Jei suprantate, kad jų duomenų tvarkymas vis dėlto bus būtinas (t. y. pagal sutartį), tai reiškia, kad sutikimas nėra tinkamas teisinis pagrindas.
Tikslo apribojimas
Jūsų organizacija gali rinkti asmens duomenis tik nurodytais, aiškiai apibrėžtais ir teisėtais tikslais. Asmens duomenų tvarkymas turi būti griežtai apribotas iš pradžių nustatytais tikslais, vadinasi, asmens duomenys negali būti tvarkomi vėliau nustatytais ar kitais su pirminiais tikslais nesuderinamais tikslais.
Duomenų kiekio mažinimas
Jūsų organizacija gali tvarkyti tik tuos asmens duomenis, kurie yra būtini ir proporcingi atsižvelgiant į numatytą tikslą.
Tikslumas
Asmens duomenys, kuriuos tvarko Jūsų organizacija, turi būti tikslūs ir nuolat atnaujinami. Netikslūs asmens duomenys turi būti ištaisyti arba ištrinti.
Saugojimo apribojimas
Asmens duomenys turi būti saugomi ribotą laiką, atsižvelgiant į tikslą, kuriuo šie duomenys buvo renkami ir tvarkomi. Todėl asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi. Praktiškai tai reiškia, kad Jūsų organizacija turėtų turėti vidaus politiką, susijusią su duomenų saugojimo laikotarpiais pagal skirtingus tikslus, taip pat duomenų ištrynimo procedūrą.
Saugumas
Asmens duomenys turi būti tvarkomi saugiai. Šiuo atžvilgiu, siekiant užtikrinti tinkamą asmenų duomenų apsaugą, turi būti nustatytos patikimos duomenų apsaugos priemonės, pvz., tinkamos kibernetinio saugumo priemonės. Šios priemonės turi užkirsti kelią atsitiktiniam, neleistinam ar neteisėtam asmens duomenų atskleidimui, praradimui, sunaikinimui ar sugadinimui.
Skaityti daugiau
Gairės dėl asmens duomenų tvarkymo pagal BDAR 6 straipsnio 1 dalies b punktą teikiant internetines paslaugas duomenų subjektams
EDAV