Proceso informacija


Trumpas aprašymas
Preliminarus atotrūkio (GAP) vertinimas - tai BDAR reikalavimus atitinkantis pagal svetainės lankytojo pateiktus atsakymus atliekamas vertinimas. Anketos klausimų atsakymas lengvas, užtrunka iki 5 min. 
Pavadinimas
Preliminarus atotrūkio vertinimas: BDAR reikalavimai

Priemonės


Atotrūkio vertinimo pagal BDAR reikalavimus (preliminaraus) forma

Duomenų apsaugos inspektorius

Proceso tikslai


Preliminaraus atotrūkio (GAP) vertinimo tikslas - pagal lankytojo pateiktą informaciją preliminariai įvertinti organizacijoje atliekamo asmens duomenų tvarkymo atitiktį teisės aktų reikalavimams, duomenų praradimo ir baudos skyrimo grėsmę. 

Plačiau ...

Preliminaraus atotrūkio vertinimo, atitikties ar kita peržiūros tikslas yra susijęs su teisėtumu (oficialių kriterijų, pavyzdžiui, atitinkamų įstatymų, teisės aktų ir susitarimų, laikymusi). Preliminarus vertinimas nėra teisinė konsultacija. Jeigu lankytojas pageidauja gauti teisinę konsultaciją, jo prašoma atsakyti į išsiųstą žinutę el. paštu. Jeigu lankytojas pageidauja gauti paslaugų pasiūlymą, jam išsiunčiamas paslaugų pasiūlymas.

Proceso priežastys

Turinys


Eiga ir proceso žemėlapis

Informacija prieinama tik registruotiems Allaw klientams. Išbandyti paslaugą.


BDAR reikalavimai

Asmens duomenų apsaugos teisės aktų reikalavimai, konkrečiai BDAR: 

straipsnis 25
ES Bendrasis duomenų apsaugos reglamentas
"Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga"


=> straipsnis: 5
=> Priežastis: 78
=> administrative fine: Art. 83 (4) lit a

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.
2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
3. Patvirtintu sertifikavimo mechanizmu pagal straipsnis 42 gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.

straipsnis 30
ES Bendrasis duomenų apsaugos reglamentas
"Duomenų tvarkymo veiklos įrašai"


=> Priežastis: 13, 39, 82
=> administrative fine: Art. 83 (4) lit a

1. Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:
=> straipsnis: 4

a) duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b) duomenų tvarkymo tikslai;

c) duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;

d) duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;

e) kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

f) kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;

g) kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.
2. Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:

a) duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;

b) kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;

c) kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

d) kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.
3. 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.
4. Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.
5. 1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.
=> Priežastis: 13

straipsnis 32
ES Bendrasis duomenų apsaugos reglamentas
"Duomenų tvarkymo saugumas"


=> Priežastis: 83, 74, 75, 76, 77
=> administrative fine: Art. 83 (4) lit a

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:
=> straipsnis: 24

a) pseudonimų suteikimą asmens duomenims ir jų šifravimą;
=> straipsnis: 4

b) gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

c) gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

d) reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.
2. Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.
=> Priežastis: 75
3. Tuo, kad laikomasi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad laikomasi šio straipsnio 1 dalyje nustatytų reikalavimų.
4. Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę.
=> straipsnis: 29

Rezultatas

Nustatomas atotrūkis BDAR reikalavimams, įvertinama duomenų praradimo ir baudos skyrimo organizacijai grėsmė, preliminarus veiksmų planas BDAR atitikčiai užtikrinti.

Susiję komandiniai procesai

Visa atotrūkio vertinimo atlikimo procedūra reguliuojama šia procedūra (vidiniam naudojimui).

Dažniausiai užduodami klausimai

Popular Questions

    No questions found.


Terminai ir santraukos


Abbreviations

Explanation

HR

Human Ressources

Taikomi dokumentai


Paskelbti dokumentai

Naujienos

Blog Posts