Back to the top

BDAR

BDAR

Europos Parlamento ir Tarybos reglamentas (ES) 2016/679, naujasis Europos Sąjungos (ES) Bendrasis duomenų apsaugos reglamentas (toliau – BDAR), yra taikomas su ES piliečiais susijusių asmens duomenų tvarkymui. BDAR numatomi išsamūs reikalavimai organizacijoms, kaip turi būti tvarkomi, saugojami ir valdomi asmens duomenys. Jais užtikrinama asmens duomenų apsauga. BDAR Reglamentas taikomas Europos organizacijoms, kurios tvarko asmenų asmens duomenis ES, ir už ES ribų veikiančioms organizacijoms, kurių veikla yra orientuota į ES gyventojus.

BDAR taikomas, jeigu:

  • jūsų organizacija tvarko asmens duomenis ir yra įsisteigusi ES, nepaisant to, kur faktiškai tvarkomi asmens duomenys;
  • jūsų organizacija yra įsisteigusi už ES ribų, tačiau tvarko asmens duomenis siūlydama asmenims prekes ar paslaugas Europos Sąjungoje, arba stebi asmenų elgesį Europos Sąjungoje.

Už ES ribų įsisteigusios organizacijos, kurios tvarko ES piliečių duomenis, turi paskirti atstovą Europos Sąjungoje.

 BDAR netaikomas, jeigu:

  • duomenų subjektas yra miręs;
  • duomenų subjektas yra juridinis asmuo;
  • duomenis asmuo tvarko tikslais, nesusijusiais su jo vykdoma prekyba, verslu ar profesija.

Kas pagal BDAR tvarko asmens duomenis?

Asmens duomenys tvarkymo metu gali būti perduodami įvairioms skirtingoms organizacijoms. Šiame etape asmens duomenis tvarko du pagrindiniai pareigūnai:

  • duomenų valdytojas, kuris priima sprendimą dėl asmens duomenų tvarkymo tikslo ir būdo;
  • duomenų tvarkytojas, kuris saugo ir tvarko duomenis duomenų valdytojo vardu.

Kas atlieka asmens duomenų tvarkymo organizacijoje stebėseną?

Duomenų apsaugos pareigūnas (DAP), kurį gali paskirti organizacija, privalo stebėti, kaip tvarkomi asmens duomenys, ir informuoti bei konsultuoti asmens duomenis tvarkančius darbuotojus apie jų pareigas. DAP taip pat bendradarbiauja su duomenų apsaugos institucija (Lietuvoje – Valstybine duomenų apsaugos inspekcija), kuri atlieka informacinio punkto funkciją DAI ir asmenų atžvilgiu. Duomenų apsaugos pareigūno pareigos išdėstomos dokumente, kuris vadinamas Duomenų apsaugos pareigūno pareiginė instrukcija.

Kada turėtumėte paskirti duomenų apsaugos pareigūną?

Reikalaujama, kad organizacija paskirtų DAP, kai:

  • vykdote reguliarią arba sisteminę asmenų stebėseną arba tvarkote specialių kategorijų duomenis;
  • šis tvarkymas yra pagrindinė verslo veikla;
  • jūs tvarkote duomenis dideliu mastu.

Pavyzdžiui, jeigu asmens duomenis tvarkote tikslinės reklamos, pagrįstos žmonių elgesiu internete, rodymo ieškos moduliuose tikslais, reikalaujama, kad turėtumėte DAP. Tačiau jeigu savo klientams reklaminę medžiagą siunčiate tik kartą per metus, jums DAP nebus reikalingas. Panašiai, jeigu esate gydytojas, kuris renka duomenis apie paciento sveikatą, DAP tikriausiai nereikalingas. Tačiau jeigu tvarkote su iš ligoninės gautais duomenimis apie genetiką arba sveikatą, tam, kad būtų užtikrina asmens duomenų apsauga ir įvykdyti BDAR reikalavimai, tuomet DAP bus reikalingas.

DAP gali būti jūsų organizacijos narys arba tai gali būti pagal paslaugų teikimo sutartį dirbantis išorės rangovas. DAP gali būti asmuo arba organizacijos padalinys.

Kad būtų užtikrinama asmens duomenų apsauga, organizacijoms rekomenduojama  atlikti tvarkomų asmens duomenų auditą (inventorizaciją), privaloma pasirengti BDAR dokumentus, tarp kurių vienas svarbiausių – Asmens duomenų tvarkymo taisyklės.

© 2019 UAB "JURIDICON". Teisinė rizika ir Allaw yra registruoti paslaugų ženklai.