Taip, duomenų tvarkytojai (t. y. asmenys ar įstaigos, kurie tvarko duomenis duomenų valdytojo vardu) turi BDAR nustatytas pareigas. Tačiau yra tam tikrų skirtumų tarp duomenų valdytojų ir duomenų tvarkytojų atsakomybės.

Duomenų tvarkytojai turi laikytis pareigų, nustatytų duomenų valdytojo ir duomenų tvarkytojo sutartyje, kurioje išsamiai aprašomos duomenų tvarkymo operacijos ir asmens duomenų tvarkymo priemonės. Pavyzdžiui, duomenų tvarkytojas turės atlikti duomenų tvarkymo operacijas taikydamas tinkamas technines ir organizacines priemones, kaip nurodė duomenų valdytojas. Tai darydamas duomenų tvarkytojas padeda duomenų valdytojui laikytis BDAR.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Pagal BDAR iš esmės yra du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant vykdytinas fizinių asmenų teises ir teisių gynimo priemones.

Daugiau informacijos:

• Tarptautinis perdavimas

Kiekviena organizacija, nepriklausomai nuo jos dydžio ar sektoriaus, įsteigta Europos ekonominėje erdvėje (EEE) arba siūlanti produktus ar paslaugas asmenims EEE, tvarkanti asmens duomenis automatizuotomis ar neautomatizuotomis priemonėmis turi atitikti BDAR. Net jei BDAR daugiausia susijęs su automatizuotu asmens duomenų tvarkymu, duomenų tvarkymo operacijoms, atliekamoms rankiniu būdu, BDAR taip pat bus taikomas nuo to momento, kai popieriniai failai bus sistemingai organizuojami, pvz., abėcėlės tvarka bylų spintoje.

Duomenų tvarkymo operacijų pavyzdžiai apima asmens duomenų rinkimą, įrašymą, organizavimą, naudojimą, keitimą, saugojimą, atskleidimą, pakeitimą ir ištrynimą.

Vis dėlto BDAR taikymas yra moduliuojamas atsižvelgiant į atliekamų duomenų tvarkymo operacijų pobūdį, kontekstą, tikslus ir riziką. MVĮ, kurių pagrindinė veikla nėra asmens duomenų tvarkymas, pareigos gali būti ne tokios griežtos kaip didelės įmonės.

Daugiau informacijos:

• Duomenų apsaugos pagrindai

Paskirti duomenų apsaugos pareigūną privaloma šiais trimis atvejais:

• organizacija yra valdžios institucija;
• pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, naudojantis mobiliąja programėle, naudojantis geografine vietove, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą;
• pagrindinė organizacijos veikla – didelio masto neskelbtinų duomenų arba asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymas.

Visada galite paskirti DAP savanoriškai, net jei tai nėra teisiškai reikalaujama. Atkreipkite dėmesį, kad tokiu atveju turite laikytis visų BDAR nuostatų dėl duomenų apsaugos pareigūno užduočių ir pareigų.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Ne, jums nereikia būti sertifikuotu, kad taptumėte DAP.

Tačiau duomenų apsaugos pareigūnai turi sugebėti įrodyti, kad jie turi BDAR reikalaujamą būtiną kvalifikaciją, pvz., ekspertines žinias apie duomenų apsaugos teisę ir praktiką.

Daugiau informacijos:

• Duomenų apsaugos pareigūnas

Galiojanti duomenų valdytojo ir duomenų tvarkytojo sutartis yra privaloma pagal BDAR. Už šį pažeidimą gali būti skiriama administracinė bauda iki 10 mln. EUR arba iki 2 % įmonės bendros metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Kad padėtų jums sudaryti duomenų valdytojo ir duomenų tvarkytojo sutartį, Danijos ir Slovėnijos duomenų apsaugos institucijos ir Europos Komisija parengė pavyzdines sutartis.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Asmens duomenų tvarkymas – bet kokios rūšies veikla (tvarkymo operacija), atliekama su fizinių asmenų asmens duomenimis. Tai apima asmens duomenų rinkimą, įrašymą, rūšiavimą, sisteminimą, saugojimą, pritaikymą ar keitimą, išgavimą, susipažinimą, paiešką, naudojimą, atskleidimą perduodant, platinant ar kitu būdu sudarant galimybę jais naudotis, sugretinimą ar sujungimą, apribojimą, ištrynimą ar sunaikinimą.

Duomenų valdytojo ir duomenų tvarkytojo sutartyje turi būti nustatyta, kad duomenų tvarkytojas:

• tvarko asmens duomenis tik duomenų valdytojo nurodymu, įskaitant atvejus, kai asmens duomenys perduodami į EEE nepriklausančią šalį;
• užtikrina, kad asmenys, įgalioti tvarkyti duomenis, būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikomas atitinkamas teisės aktais nustatytas konfidencialumo įsipareigojimas;
• užtikrina duomenų tvarkymo saugumą;
• nepasitelkia kito duomenų tvarkytojo be išankstinio konkretaus ar bendro rašytinio duomenų valdytojo leidimo;
• padeda duomenų valdytojui vykdyti duomenų valdytojo pareigas atsakyti į asmenų prašymus pasinaudoti savo teisėmis;
• padeda duomenų valdytojui užtikrinti duomenų tvarkymo saugumą, pranešti apie duomenų saugumo pažeidimus ir atlikti PDAV;
• pasibaigus paslaugų teikimui, duomenų valdytojo pasirinkimu, ištrina arba grąžina visus asmens duomenis duomenų valdytojui;
• pateikia duomenų valdytojui visą būtiną informaciją, kad įrodytų, jog laikosi BDAR nustatytų prievolių;
• leidžia duomenų valdytojui arba kitam duomenų valdytojo įgaliotam auditoriui atlikti auditus, įskaitant patikrinimus, ir prie jų prisideda.

Be to, duomenų tvarkytojas nedelsdamas informuoja duomenų valdytoją, jei, jo nuomone, nurodymai pažeidžia BDAR arba kitas ES ar nacionalines duomenų apsaugos nuostatas.

Daugiau informacijos:

• Duomenų valdytojas ar duomenų tvarkytojas

Slapukai yra maži failai, saugomi įrenginyje, pvz., kompiuteryje, mobiliajame įrenginyje ar bet kuriame kitame įrenginyje, kuriame galima saugoti informaciją. Slapukai atlieka keletą svarbių funkcijų, įskaitant naudotojų ir jų ankstesnių sąveikų su svetaine atminimą. Jie gali būti naudojami sekti prekes internetiniame pirkinių krepšelyje arba sekti informaciją, kai išsami informacija įtraukiama į internetinę paraiškos formą.

Tapatumo nustatymo slapukai taip pat yra svarbūs identifikuojant naudotojus, kai jie prisijungia prie banko paslaugų ir kitų internetinių paslaugų. Slapukuose saugoma informacija gali apimti asmens duomenis, pvz., IP adresą, naudotojo vardą, unikalų identifikatorių arba el. pašto adresą.

Duomenų valdytojai gali tvarkyti asmens duomenis tik esant vienai iš šių aplinkybių:

• gavus atitinkamų asmenų sutikimą;
• kai tvarkyti duomenis būtina siekiant įvykdyti sutartį (susitarimą tarp jūsų organizacijos ir asmens);
• vykdyti teisinę prievolę pagal ES arba nacionalinės teisės aktus;
• kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui pagal ES arba nacionalinės teisės aktus;
• siekiant apsaugoti gyvybinius asmens interesus;
• siekiant jūsų organizacijos teisėtų interesų, išskyrus atvejus, kai asmenų teisės ir laisvės yra viršesnės.

Be to, BDAR nustatytos papildomos neskelbtinų duomenų tvarkymo sąlygos.

Daugiau informacijos:

• Tvarkyti asmens duomenis teisėtai