Proceso informacija



Trumpas aprašymasPreliminarus atotrūkio (GAP) vertinimas - tai BDAR reikalavimus atitinkantis pagal svetainės lankytojo pateiktus atsakymus atliekamas vertinimas. Anketos klausimų atsakymas lengvas, užtrunka iki 5 min. 
Doctypeteam-processhide
PavadinimasPreliminarus atotrūkio vertinimas: BDAR reikalavimai
Short NameThe shortened name of the document to be unique within the doctype's defined context.
Parent

Audience


Subject

hide
Categories

Tags
hide
FlagsFlags are like tags, but are not documented. For teams that require each tag to have a tag document, flags do not define such a demand.hide
Iteration
hide
Tipas


Participants
hide
Sort KeyAdd a character sequence to support sorting documents.hide
Triggered by

hide
Input Datasets

hide
Output Datasetshide
Outcome List

hide
Impact Listhide


Priemonės


BDAR auditas (klausimynas)

Duomenų apsaugos inspektorius

Proceso tikslai



Preliminaraus atotrūkio (GAP) vertinimo tikslas - pagal lankytojo pateiktą informaciją preliminariai įvertinti organizacijoje atliekamo asmens duomenų tvarkymo atitiktį teisės aktų reikalavimams, duomenų praradimo ir baudos skyrimo grėsmę. 


Preliminaraus atotrūkio vertinimo, atitikties ar kita peržiūros tikslas yra susijęs su teisėtumu (oficialių kriterijų, pavyzdžiui, atitinkamų įstatymų, teisės aktų ir susitarimų, laikymusi). Preliminarus vertinimas nėra teisinė konsultacija. Jeigu lankytojas pageidauja gauti teisinę konsultaciją, jo prašoma atsakyti į išsiųstą žinutę el. paštu. Jeigu lankytojas pageidauja gauti paslaugų pasiūlymą, jam išsiunčiamas paslaugų pasiūlymas.


Proceso priežastys





Turinys



Eiga ir proceso žemėlapis

Informacija prieinama tik registruotiems Allaw klientams. Išbandyti paslaugą.




Eiga


Pateiktų atsakymų vertinimą atlieka virtualus jaunesnysis teisininkas Teiris. Vertinimo rezultatas - preliminaraus atotrūkio BDAR reikalavimams ataskaita, sugeneruojama automatiškai ir pateikiama svetainės lankytojui ekrane iš karto. Svetainės lankytojui, nurodžiusiam savo el. pašto adresą ir pažymėjusiam varnelę, elektroninė jo atsakymų versija išsiunčiama jo nurodytu el. paštu iš karto. 


R = Responsible, A = Accountable, C = Consulted, I = Informed


Process step

Risks

Chances

R

A

C

I

Įvestis

  • Asmens duomenų apsaugos teisės aktų reikalavimai, nurodyti aukščiau. Taip pat šios priemonės:







Veiklos








1

Process step 1

    • Describe the process step briefly and concisely here.

  • What are the risks if this process step is not carried out or is carried out incorrectly / incompletely?

  • What is the benefit of carrying out this step?





2

Process step 2

    • Describe the process step briefly and concisely here.

  • What are the risks if this process step is not carried out or is carried out incorrectly/ incompletely?

  • What is the benefit of carrying out this step?





3

Process step 3

    • Describe the process step briefly and concisely here.

  • What are the risks if this process step is not carried out or is carried out incorrectly/ incompletely?

  • What is the benefit of carrying out this step?






Add further steps here







Išvestis

  • Vertinimo rezultatas - preliminaraus atotrūkio BDAR reikalavimams ataskaita. Ji sugeneruojama automatiškai ir pateikiama lankytojui ekrane iš karto. Lankytojui, nurodžiusiam savo el. pašto adresą ir pažymėjusiam varnelę, elektroninė jo atsakymų versija išsiunčiama lankytojui nurodytu el. paštu iš karto. 











Asmens duomenų apsaugos teisės aktų reikalavimai, konkrečiai BDAR: 

straipsnis 25
ES Bendrasis duomenų apsaugos reglamentas
"Pritaikytoji duomenų apsauga ir standartizuotoji duomenų apsauga"


=> straipsnis: 5
=> Priežastis: 78
=> administrative fine: Art. 83 (4) lit a

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas, tiek nustatydamas duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu, įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą, kuriomis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų šio reglamento reikalavimus ir apsaugotų duomenų subjektų teises.
2. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
3. Patvirtintu sertifikavimo mechanizmu pagal straipsnis 42 gali būti remiamasi kaip vienu iš elementų siekiant įrodyti, kad laikomasi šio straipsnio 1 ir 2 dalyse nustatytų reikalavimų.



straipsnis 30
ES Bendrasis duomenų apsaugos reglamentas
"Duomenų tvarkymo veiklos įrašai"


=> Priežastis: 13, 39, 82
=> administrative fine: Art. 83 (4) lit a

1. Kiekvienas duomenų valdytojas ir, kai taikoma, duomenų valdytojo atstovas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Tame įraše pateikiama visa toliau nurodyta informacija:
=> straipsnis: 4



a) duomenų valdytojo ir, jei taikoma, bendro duomenų valdytojo, duomenų valdytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;




b) duomenų tvarkymo tikslai;




c) duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas;




d) duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;




e) kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;




f) kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;




g) kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.


2. Kiekvienas duomenų tvarkytojas ir, jei taikoma, duomenų tvarkytojo atstovas tvarko su visų kategorijų su duomenų tvarkymo veikla, vykdoma duomenų valdytojo vardu, susijusius įrašus, kuriuose nurodoma:



a) duomenų tvarkytojo ar duomenų tvarkytojų ir kiekvieno duomenų valdytojo, kurio vardu veikia duomenų tvarkytojas, taip pat, jei taikoma, duomenų valdytojo ar duomenų tvarkytojo atstovo ir duomenų apsaugos pareigūno vardas bei pavardė (pavadinimas) ir kontaktiniai duomenys;




b) kiekvieno duomenų valdytojo vardu atliekamo duomenų tvarkymo kategorijos;




c) kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, be kita ko, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;




d) kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.


3. 1 ir 2 dalyse nurodyti įrašai tvarkomi raštu, įskaitant elektronine forma.
4. Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas pateikia įrašą priežiūros institucijai, gavę prašymą.
5. 1 ir 2 dalyse nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 straipsnio 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 straipsnyje.
=> Priežastis: 13


straipsnis 32
ES Bendrasis duomenų apsaugos reglamentas
"Duomenų tvarkymo saugumas"


=> Priežastis: 83, 74, 75, 76, 77
=> administrative fine: Art. 83 (4) lit a

1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas ir duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia:
=> straipsnis: 24



a) pseudonimų suteikimą asmens duomenims ir jų šifravimą;
=> straipsnis: 4




b) gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;




c) gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;




d) reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.


2. Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.
=> Priežastis: 75
3. Tuo, kad laikomasi patvirtinto elgesio kodekso, kaip nurodyta 40 straipsnyje, arba patvirtinto sertifikavimo mechanizmo, kaip nurodyta 42 straipsnyje, gali būti remiamasi kaip vienu iš elementų, kuriuo siekiama įrodyti, kad laikomasi šio straipsnio 1 dalyje nustatytų reikalavimų.
4. Duomenų valdytojas ir duomenų tvarkytojas imasi priemonių, siekdami užtikrinti, kad bet kuris duomenų valdytojui arba duomenų tvarkytojui pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai duomenų valdytojas duoda nurodymus juos tvarkyti, nebent tas asmuo privalo tai daryti pagal Sąjungos arba valstybės narės teisę.
=> straipsnis: 29







Nustatomas atotrūkis BDAR reikalavimams, įvertinama duomenų praradimo ir baudos skyrimo organizacijai grėsmė, preliminarus veiksmų planas BDAR atitikčiai užtikrinti.





Visa atotrūkio vertinimo atlikimo procedūra reguliuojama šia procedūra (vidiniam naudojimui).


Add project-private notes to the document. This information is not intended to be exported to other parties and is usually only read-able by users with write access. The information is NOT secured. The section is for convenience of the reader. Do NOT add any confidential information to this section!

Dažniausiai užduodami klausimai


Terminai ir santraukos


Abbreviations

Explanation

HR

Human Ressources

Taikomi dokumentai


Paskelbti dokumentai

Naujienos