Kas?

BDAR pristato naują „atskaitomybės“ principą: „Duomenų valdytojas yra atsakingas už duomenų apsaugos principų / koncepcijų laikymąsi ir gali įrodyti, kad laikomasi jų“. Yra specialūs reikalavimai vidiniams duomenų tvarkymo veiklos įrašams. Organizacija turi sugebėti įrodyti, kad žino:

PRIVALOMA Organizacija privalo turėti duomenų, kuriuos ji tvarko, kaip duomenų valdytojas, veiklos įrašus (duomenų valdytojo duomenų tvarkymo operacijų registrą). Ji taip pat privalo turėti asmens duomenų, kuriuos ji tvarko, kaip duomenų tvarkytojas, operacijų registrą (duomenų tvarkytojo duomenų tvarkymo veiklos įrašus). 

Kodėl?

BDAR 30 straipsnis numato duomenų valdytojams ir duomenų tvarkytojams bei, kai taikoma, ir jų atstovams, pareigą tvarkyti duomenų tvarkymo veiklos įrašus, kuriuose būtų detaliai aprašytas atliekamas asmens duomenų tvarkymas.

Kam privalomi duomenų tvarkymo veiklos įrašai
PRIVALOMA

Duomenų tvarkymo veiklos įrašus privalo tvarkyti:

  1. Valdžios institucijos ir įstaigos – valstybės ir savivaldybių institucijos ir įstaigos, įmonės ir viešosios įstaigos, finansuojamos iš valstybės ar savivaldybių biudžetų bei valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą arba teikiančios asmenims viešąsias ar administracines paslaugas ar vykdančios kitas viešąsias funkcijas. BDAR 30 straipsnio 5 dalyje numatyta išimtis šioms valdžios institucijoms ir įstaigoms nėra taikoma.
  2. Įmonės, įstaigos ar organizacijos, kuriose dirba daugiau kaip 250 darbuotojų.
  3. Įmonės, įstaigos ar organizacijos, kurių atliekamas asmens duomenis tvarkymas apima bent vieną iš šių atvejų:
  • kai dėl vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms (, kai dėl duomenų tvarkymo duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, pvz., duomenys susiję su darbo rezultatais, ekonomine situacija, asmeniniais pomėgiais ar interesais ir t. t.; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų; kai dėl tvarkymo gali kilti neigiamos pasekmės asmenims, pvz., diskriminacija, būti pavogta ar suklastota tapatybė, padaryta finansinių nuostolių; kai tvarkymas atliekamas naudojant naujas technologijas ir t. t.);
  • duomenų tvarkymas yra reguliarus (tai reiškia, kad jis atliekamas tam tikrais intervalais, nuolat tebevykstantis, pasikartojantis tam tikrai periodais, yra organizuotas, planuotas, metodiškas ar pan.);
  • duomenų tvarkymas apima specialių kategorijų asmens duomenis (pagal BDAR 9 straipsnio 1 dalį), y., kai tvarkomi duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie asmens lytinį gyvenimą ar lytinę orientaciją;
  • tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (pagal BDAR 10 straipsnį).

Kaip?

Duomenų apsaugos pareigūnas nėra atsakingas už duomenų tvarkymo įrašų sukūrimą, bet tai turi atlikti duomenų valdytojas (BDAR 30 straipsnis). Tačiau duomenų apsaugos pareigūnas turi atlikti konsultavimo funkciją, kaip apibrėžta BDAR 39 straipsnio 1 dalyje, pagal kurią jis informuoja ir konsultuoja duomenų valdytoją apie prievoles pagal reglamentą, susijusias su visais tvarkymo veiksmais. Duomenų apsaugos pareigūnas dėl savo profesinių žinių, kaip ir kitose situacijose, yra tas, kuriam bus priskirtos reikiamos kompetencijos valdyti atskirų procedūrų įgyvendinimą.

Duomenų tvarkymo veiklos įrašus paprastai parengia organizacijų atitikties arba struktūrinių vienetų vadovai arba duomenų apsaugos pareigūnas kartu su paskirtais duomenų apsaugos čempionais arba duomenų duomenų valdytojo ir duomenų tvarkytojo pareigų įgyvendinimo koordinatoriumi. Juose nurodomi visi organizacijos asmens duomenys, kuriuos ji tvarko tiek kaip duomenų valdytojas, tiek kaip duomenų tvarkytojas. Kad būtų laikomasi BDAR, šie registrai turi būti nuolatos atnaujinami, kad atspindėtų visus pakeitimus, pvz., saugomus naujus asmens duomenis, nebesaugomus duomenis ir bet kokios informacijos pakeitimus. BDAR taip pat reikalauja, kad duomenų tvarkymo veiklos įrašuose būtų saugoma papildoma informacija.

Kaip parengti duomenų tvarkymo veiklos įrašus skaitykite Noriu parengti duomenų tvarkymo veiklos įrašus.

Užklausa DAP

Jeigu Jums reikia pagalbos rengiant duomenų tvarkymo veiklos įrašus, kilo poreikis tvarkyti kitos asmens duomenų kategorijos asmens duomenis ar daugiau asmens duomenų, ar kitu tikslu, nei nurodyta veiklos įraše, prieš tvarkydami, pateikite užklausą duomenų apsaugos pareigūnui. Jis Jums pateiks visą susijusią informaciją apie prievoles bei pakonsultuos. Rašykite "gyvai" duomenų apsaugos pareigūnui arba palikite žinutę žemiau ekrano gale!

Papildoma informacija

Kur šis puslapis paminėtas

Panašūs straipsniai

Kur eiti toliau