Asmens duomenys – bet kokia informacija, susijusi su asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti. Asmuo, kurio tapatybę galima nustatyti, yra bet kuris asmuo, kuris gali būti tiesiogiai ar netiesiogiai identifikuojamas. Asmens duomenimis taip pat gali būti laikoma įvairi informacija, kurią sudėjus būtų galima nustatyti konkretaus asmens tapatybę.

Asmens duomenų pavyzdžiai:

• vardas ir pavardė;
• namų adresas;
• el. pašto adresas;
• asmens tapatybės kortelės numeris;
• vietos nustatymo duomenys;
• interneto protokolo (IP) adresas;
• slapuko ID;
• banko sąskaita;
• mokesčių ataskaita;
• biometriniai duomenys (pvz., pirštų atspaudai);
• socialinio draudimo numeris;
• paso numeris;
• tyrimų rezultatai;
• pažymiai mokykloje;
• naršymo istorija;
• asmens nuotrauka;
• transporto priemonės registracijos numeris ir t. t.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

BDAR išskiriami du pagrindiniai vaidmenys: duomenų valdytojo ir duomenų tvarkytojo. Šis atskyrimas yra labai svarbus, nes duomenų valdytojui tenka didesnė atsakomybė ir jis turi įvykdyti daugiau įsipareigojimų nei duomenų tvarkytojas.

Duomenų valdytoju ir tvarkytoju gali būti fiziniai arba juridiniai asmenys, pavyzdžiui: MVĮ, valdžios institucija, įmonė, organizacija, valstybinė įstaiga, asociacija ir kt.

Duomenų valdytojas nustato duomenų tvarkymo operacijos tikslus ir priemones. Kitaip tariant, duomenų valdytojas nusprendžia, kaip ir kodėl atliekama duomenų tvarkymo operacija. Tuo tarpu duomenų tvarkytojai tvarko asmens duomenis duomenų valdytojo vardu. Duomenų tvarkytojų atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi su duomenų valdytoju arba teisės aktu.

Duomenų valdytojų pavyzdžiai:

• įmonės, kurios tvarko savo klientų asmens duomenis, kad užbaigtų pardavimą;
• finansų įstaigos, kurios tvarko savo klientų asmens duomenis;
• asociacijos, kurios tvarko savo narių duomenis;
• mokyklos ar universitetai, tvarkantys studentų ir dėstytojų asmens duomenis;
• ligoninės, kurios tvarko savo pacientų asmens duomenis;
• valdžios institucijos, kurios tvarko piliečių asmens duomenis.

Duomenų tvarkytojų pavyzdžiai:

• MVĮ samdo buhalterinės apskaitos paslaugą savo knygoms ir įrašams saugoti, MVĮ yra duomenų valdytoja, o buhalterijos įmonė – duomenų tvarkytoja;
• darbo užmokesčio bendrovė tvarko MVĮ tvarkomus asmens duomenis. Darbo užmokesčio bendrovė veiks kaip duomenų tvarkytoja, jei ji asmens duomenis tvarkys tik MVĮ vardu. MVĮ nustato duomenų tvarkymo tikslus ir priemones, todėl yra duomenų valdytoja.
• MVĮ paveda rinkodaros įmonei rinkti el. pašto adresus trečiųjų šalių svetainėse.  Rinkodaros bendrovė tai daro vadovaudamasi aiškiais MVĮ nurodymais ir išimtinai MVĮ tikslais. Rinkodaros bendrovė veikia kaip šio rinkimo duomenų tvarkytoja.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Ne, nebūtina viešai skelbti savo duomenų tvarkymo veiklos įrašų. Tačiau, duomenų apsaugos institucijai paprašius, jūs turite turėti galimybę pateikti įrašus.

Daugiau informacijos:

• Atitikti reikalavimus

BDAR arba Bendruoju duomenų apsaugos reglamentu sukuriamas suderintas taisyklių rinkinys, taikomas visam asmens duomenų tvarkymui, kurį vykdo Europos ekonominėje erdvėje (EEE) įsteigtos organizacijos (viešosios ar privačios, nepriklausomai nuo jų dydžio) arba organizacijos, tvarkančios ES esančių asmenų duomenis. Pagrindinis BDAR tikslas – užtikrinti, kad asmens duomenims būtų taikoma vienoda aukšto lygio apsauga visoje EEE, taip didinant teisinį tikrumą tiek asmenims, tiek duomenis tvarkančioms organizacijoms, ir užtikrinti aukšto lygio fizinių asmenų apsaugą.

Reglamentas įsigaliojo 2016 m. gegužės 24 d. ir taikomas nuo 2018 m. gegužės 25 d.

EDAV reguliariai skelbia pranešimus spaudai, naujienas, tinklaraščio įrašus ir kitą turinį EDAV interneto svetainėje ir jos socialinės žiniasklaidos kanaluose (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) taip nuolat informuodama duomenų apsaugos bendruomenę ir plačiąją visuomenę apie savo darbą.

EDAV interneto svetainėje taip pat yra du RSS kanalai, kuriuos galite užsisakyti norėdami gauti EDAV naujienas ir naujausius EDAV leidinius.

Pseudonimų suteikimas – asmens duomenų transformavimas taip, kad jie nebegalėtų būti priskirti konkrečiam asmeniui nesinaudojant papildoma informacija, su sąlyga, kad tokia papildoma informacija yra saugoma atskirai ir jai taikomos techninės ir organizacinės priemonės, kuriomis užtikrinama, kad asmens duomenys nebūtų priskirti konkrečiam asmeniui. Praktikoje tai reiškia asmens duomenų (vardo, pavardės, asmens kodo, telefono numerio ir kt.) pakeitimą duomenų rinkinyje netiesiogiai identifikuojančiais duomenimis (slapyvardis, eilės numeris ir t. t.). Pseudoniminiai duomenys vis dar yra asmens duomenys ir jiems taikomas BDAR.

Anoniminiai duomenys –duomenys, kurių anonimiškumas užtikrintas taip, kad asmens tapatybė negali arba nebegali būti nustatyti jokiomis priemonėmis, kurios pagrįstai gali būti naudojamos. Kai anonimizavimas atliktas tinkamai, BDAR anoniminiams duomenims nebetaikomas.

Daugiau informacijos:

• Saugūs asmens duomenys

Taip, galite, bet BDAR nustato tam tikras prievoles įmonėms, kurios dalijasi asmens duomenimis. Jūsų organizacija turi informuoti asmenis, kad pasidalinsite jų duomenimis su trečiąja šalimi. Jūs taip pat turite juos informuoti apie savo tikslus, saugumą, prieigos ir saugojimo priemones, kurios bus taikomos.

Apskritai kiekviena organizacija turėtų turėti savo duomenų tvarkymo veiklos įrašus. Tai visų duomenų tvarkymo operacijų sąrašas, kuris gali padėti jums padaryti teisingas prielaidas dėl savo atsakomybės pagal BDAR ir galimos rizikos.

Kiekviena iš šių duomenų tvarkymo operacijų turi būti aprašyta duomenų tvarkymo veiklos įrašuose ir juose turi būti pateikta tokia informacija:

• duomenų tvarkymo tikslas (pvz., klientų lojalumas);
• tvarkomų duomenų kategorijos (pvz., darbo užmokesčio atveju: vardas, pavardė, gimimo data, atlyginimas ir kt.);
• kas turi prieigą prie duomenų (gavėjai, pvz.: už įdarbinimą atsakingas departamentas, IT tarnyba, vadovybė, paslaugų teikėjai, partneriai ir t. t.);
• kai taikoma, informacija, susijusi su asmens duomenų perdavimu už Europos ekonominės erdvės (EEE) ribų;
• kai įmanoma, saugojimo laikotarpis (laikotarpis, kuriuo duomenys yra naudingi veiklos ir archyvavimo požiūriu).
• kai įmanoma, bendras saugumo priemonių aprašymas.

Už duomenų tvarkymo veiklos įrašus atsako jūsų organizacijos vadovas.

Šie įrašai turi būti prieinami EEE šalies, kurioje vykdote veiklą, duomenų apsaugos institucijai, jei to paprašoma.

Nereikalaujama, kad organizacijos, kuriose dirba mažiau kaip 250 asmenų, savo įrašuose paminėtų tik atsitiktinę veiklą (pvz., duomenis, tvarkomus vienkartiniams renginiams, pvz., parduotuvės atidarymui).

 

Daugiau informacijos:

• Atitikti reikalavimus

• Bet koks asmens duomenų tvarkymas turi būti teisėtas, sąžiningas ir skaidrus.
• Rinkite asmens duomenis tik nustatytais, aiškiai apibrėžtais ir teisėtais tikslais. Asmens duomenų tvarkymas turi būti griežtai apribotas (-ais) iš pradžių nustatytu (-ais) tikslu (-ais), todėl duomenys neturėtų būti tvarkomi vėlesniu (-iais) ar kitu (-ais) su pirminiais tikslais nesuderinamu (-ais) tikslu (-ais).
• Tvarkykite tik tuos asmens duomenis, kurie yra būtini ir proporcingi atsižvelgiant į numatytą tikslą.
• Visi jūsų tvarkomi asmens duomenys turi būti tikslūs ir nuolat atnaujinami. Netikslūs asmens duomenys turi būti ištaisyti arba ištrinti.
• Asmens duomenys turi būti saugomi ribotą laiką, atsižvelgiant į tikslą, kuriuo šie duomenys buvo renkami ir tvarkomi. Todėl asmens duomenys turi būti ištrinti arba nuasmeninti, kai šie duomenys nebereikalingi.
• Asmens duomenys turi būti tvarkomi saugiai. Šiuo požiūriu, siekiant užtikrinti tinkamą asmenų duomenų apsaugą, turi būti įdiegtos patikimos kibernetinio saugumo kontrolės priemonės.

Galiausiai, duomenų valdytojas yra atskaitingas. Tai reiškia, kad jis yra atsakingas ir turi sugebėti įrodyti, kad laikosi pirmiau nurodytų principų.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

BDAR taikomas slapukų naudojimui, kai jie naudojami asmens duomenims tvarkyti, tačiau taip pat yra nustatytos konkretesnės taisyklės dėl slapukų, įskaitant E. privatumo direktyvą.

Saugoti slapuką arba gauti prieigą prie jau saugomo slapuko naudotojo galiniame įrenginyje leidžiama tik su sąlyga, kad atitinkamas abonentas ar naudotojas buvo tinkamai informuotas (ypač apie tvarkymo tikslus) ir davė savo sutikimą.

Vienintelė išimtis yra techniškai būtini slapukai. Organizacijoms nereikia prašyti sutikimo, kai jų interneto svetainėse naudojami techniškai būtini slapukai.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai