Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


UI Text Box
sizemedium

Tikriausiai kiekvienai organizacijai yra tekę gauti banko, institucijos ar fizinio asmens prašymą pateikti asmens duomenis. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) paskelbė gaires dėl prašymų pateikti asmens duomenis vertinimo, kurias dar vasarą buvo teikusi viešosioms konsultacijoms, kad visuomenė pateiktų savo pastabas. Minėtomis gairėmis VDAI siekia padėti duomenų valdytojams ir duomenų tvarkytojams geriau suprasti, kaip jie turi vertinti gaunamus prašymus dėl asmens duomenų teikimo. 

UI Button
colorblue
newWindowtrue
iconlink
tooltipSužinokite, kas gali padėti šiuo klausimu
titleDuomenų apsaugos pareigūnas Allaw®
urlhttps://allaw.lt/legalspaces/pages/viewpage.action?pageId=25231481
 paaiškina, kokius tris kriterijus turi įvertinti organizacijos, prieš įgyvendindamos prašymą atskleisti asmens duomenis, kad galėtų įvertinti prašymo teisėtumą ir proporcingumą.


UI Steps
sizesmall


UI Step

Pirma: ar prašymas grindžiamas teisėtu tikslu ir pagrindu?


VDAI savo gairėse aiškiai išskiria kriterijus, kada asmens duomenų teikimas gali būti laikomas teisėtu. Kiekvieną kartą, gavusi prašymą atskleisti duomenis, organizacija pirmiausia turi įvertinti duomenų teikimo tikslą. Vertinant, ar asmens duomenų teikimas gali būti vykdomas teisėtu tikslu, svarbu įvertinti, kokiu tikslu prašomi asmens duomenys buvo surinkti ir kokiu tikslu jie prašomi pateikti, t. y. ar šie tikslai sutampa, ar yra skirtingi. Tais atvejais, kai prašoma pateikti asmens duomenis kitu tikslu nei tikslas, dėl kurio asmens duomenys buvo surinkti, jei toks prašymas grindžiamas ne duomenų subjekto sutikimu ar duomenų valdytojui taikytina teisine prievole, duomenų valdytojas turi įsitikinti ar duomenų surinkimo  ir duomenų atskleidimo tikslai suderinami. Tik įvertinus asmens duomenų teikimo tikslą, galima pereiti prie kitų asmens duomenų teikimo kriterijų, todėl darbuotojas turi kritiškai vertinti gautą prašymą, jame nurodyto tikslo konkretumą ir aiškumą.

VDAI pastebi, kad asmens duomenų teikimo tikslo teisėtumas yra neatsiejamai susijęs su Bendrojo duomenų apsaugos reglamento (toliau - BDAR) įtvirtintomis teisėto tvarkymo sąlygomis (pagrindu), todėl, gavus prašymą, visais atvejais būtina įvertinti, ar toks duomenų teikimas galėtų būti bent viena jų pagrįstas. Duomenų tvarkymo teisėtumo sąlygos, kuriomis remiantis galima tvarkyti asmens duomenis, numatytos BDAR 6 str., t. y.:

Bootstrap Alert Box
HeadingDuomenų tvarkymo teisėtumo sąlygos
  • sutikimas
  • sutartis arba ketinimas ją sudaryti
  • teisinė prievolė
  • gyvybiniai duomenų subjekto interesai
  • viešasis interesas
  • teisėtas interesas


Bootstrap Alert Box
HeadingDaromos klaidos
Styledanger

Duomenų teikimo atveju dažniausiai duomenys teikiami teisinės prievolės pagrindu, t. y. teisės aktas numato pareigą organizacijai pateikti asmens duomenis. Dažna klaida - teisės aktas, kuriuo remiasi duomenų valdytojai rinkdami (ar teikdami) asmens duomenis, nustato ne pareigą teikti (rinkti) asmens duomenis (BDAR 6 straipsnio 1 dalies c punktas), o duomenų valdytojų funkcijas, įgaliojimus ar pan. (BDAR 6 straipsnio 1 dalies e punktas). Taigi, duomenų valdytojai savo prašymą grįsti BDAR 6 straipsnio 1 dalies c punktu galėtų tik tuomet, jei konkrečiame teisės akte yra nustatyta asmens duomenų teikimo (rinkimo) pareiga. 



UI Step

Antra: ar prašymą pateikęs asmuo tinkamas asmens duomenų gavėjas?


Gavus prašymą pateikti asmens duomenis, organizacijos darbuotojas turėtų įvertinti, ar asmens duomenis prašantis pateikti asmuo, įskaitant nevyriausybines organizacijas, turi teisę tokią informaciją gauti. Teisę gauti asmens duomenis gali nustatyti teisės aktai. Tokiu atveju organizacijos darbuotojas, vertinantis prašymą, turėtų objektyviai įvertinti, ar konkrečiam prašymą pateikusiam duomenų valdytojui ar fiziniam asmeniui teisės aktai nustato teisę tokius asmens duomenis rinkti, ir, jei taip, iš kokių šaltinių.


UI Step

Trečia: ar prašomų pateikti duomenų apimtis proporcinga?


Ar asmens duomenų teikimas yra būtinas tikslui, dėl kurio pateiktas prašymas, pasiekti, ir, jei taip, kokia apimtimi. Pateikti duomenis tik ta apimtimi, kuri būtina konkrečiam tikslui pasiekti. Tuo atveju, jei prašoma asmens duomenų apimtis organizacijos darbuotojui, vertinančiam prašymą, kelia abejonių dėl proporcingumo ar atitikties prašyme nurodytam asmens duomenų tvarkymo tikslui (pavyzdžiui, prašoma trečiųjų asmenų asmens duomenų ar daugiau asmens duomenų negu būtina prašyme nurodytam asmens duomenų tvarkymo tikslui), jis galėtų kreiptis į prašymą pateikusį asmenį, kad gautų papildomos būtinos informacijos, padėsiančios įvertinti, ar asmens duomenų teikimas nepažeistų duomenų kiekio mažinimo principo.



Bootstrap Alert Box
HeadingSvarbu žinoti
Stylewarning

VDAI atkreipia dėmesį, kad duomenų valdytojas, gavęs prašymą, visuomet turi įvertinti tiek prašymo pateikti asmens duomenis tikslą, tiek tokio prašymo proporcingumą ir teisėtumą. Duomenų valdytojas privalo tai įvertinti savarankiškai ir pateikti asmens duomenis (jei priimamas sprendimas juos teikti) tik ta apimtimi, kuri būtina konkrečiam tikslui pasiekti. Ši duomenų valdytojo pareiga nepanaikina asmens duomenų prašančio asmens pareigos pagrįsti prašymą.

Nuorodos


Prašymų dėl asmens duomenų teikimo vertinimo gairės


Kaip Allaw gali padėti


Widget Group
width315

Widget Icon
colorblue-cool
iconhome
linkDAPaaS:Allaw duomenų apsaugos pareigūnas
titlePaslauga
Widget Icon
colorblue-cool
iconworkflow
linkDAPaaS:Allaw BDAR atitikties portalas
titleĮrankiai
Widget Icon
colorblue-cool
iconhelp
linkhttps://allaw.lt/legalspaces/questions/topics/14155786/duomenu-apsaugos-pareigunas
titleDUK
Widget Icon
colorblue-cool
iconblog
linkhttps://allaw.lt/legalspaces/plugins/lively/blog/all.action
titleNaujienos
Widget Icon
colororange-light
lasttrue
iconemail
linkhttps://allaw.lt/legaldesk/plugins/servlet/desk/site/asmens-duomenu-apsaugos-pareigunas
titlePagalba


Widget Group
width315

Widget Icon
sizesmall
iconstar
linkLT:ES Bendrasis duomenų apsaugos reglamentas
Widget Icon
colorblue-cool
sizesmall
iconcomponent
linkDAPaaS:Asmens duomenų apsaugos programos valdymo įrankis
Widget Icon
colorblue-cool
sizesmall
icontroubleshooting-page
linkhttps://allaw.lt/legalspaces/pages/viewpage.action?pageId=19235340
Widget Icon
colorblue-cool
sizesmall
icontask
linkDAPaaS:Duomenų apsaugos teisinio reguliavimo stebėjimo įrankis
Widget Icon
colorblue-cool
sizesmall
icongroup
linkDAPaaS:Duomenų subjektų užklausų valdymo sistema
Widget Icon
colorblue-cool
lasttrue
sizesmall
iconworkflow
linkDAPaaS:Priemonė PDAV (poveikio duomenų apsaugai vertinimui) atlikti