Pagrindinės seminaro temos: 1.Asmens teisė į privatumą

ASMENS DUOMENŲ APSAUGA ĮSIGALIOJUS ES BENDRAJAM DUOMENŲ APSAUGOS REGLAMENTUI
Pagrindinės seminaro temos: 1.Asmens teisė į privatumą 2. Pagrindinės Reglamento nuostatos. 3. Asmens duomenų apsaugos principai ir teisinis pagrindas; 4. Duomenų valdytojas ir duomenų tvarkytojas: jų prievolės 5. Duomenų tvarkymo saugumas 6. Asmens duomenų subjekto teisės ir jų užtikrinimas 7. Vaizdo stebėjimas 8. Institucijų veiklos žingsniai Doc. Kęstutis Vitkauskas

1. ASMENS TEISĖS Į PRIVATUMĄ TURINYS
Tarptautinių teisės aktų analizė ( Visuotinės žmogaus teisių deklaracijos 12 str., Tarptautinio pilietinių ir politinių teisių pakto 17 str., Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8 str.ir kt.) leidžia daryti išvadą, kad asmens teisės į privatumą turinį sudaro keturi savarankiški, ir kartu tarpusavyje susiję elementai: - informacinis privatumas yra susijęs su duomenų apie asmenį tvarkymu ir vadinamas asmens duomenų apsauga , t.y. kai asmuo pats savo iniciatyva gali disponuoti savo asmens duomenimis , žinoti apie savo duomenų tvarkymą medicinos, kreditų ir kt. srityse, susipažinti su savo asmens duomenimis, kai juos tvarko kiti asmenys, reikalauti ištaisyti savo duomenis ir pan. (žmogaus teisė į informacinį privatumą tiesiogiai susijusi su teise į informaciją). - fizinis privatumas (kūno neliečiamumas), t.y. nesant žmogaus sutikimo, jo atžvilgiu negali būti atliekami jokie medicininiai ar moksliniai bandymai (pvz., privaloma tvarka atliekami narkotikų testai ir pan.); - komunikacinis privatumas, t.y. asmens susirašinėjimo, pokalbių telefonu, telegrafo pranešimų ir kitokio susižinojimo neliečiamumas; - teritorinis privatumas, t.y. asmens būsto arba teritorijos neliečiamumas.

Reformos tikslas Vienodos asmens duomenų apsaugos taisyklės visose ES valstybėse narėse

ES BENDRASIS ASMENS DUOMENŲ APSAUGOS REGLAMENTAS 2016/ 679
Reglamentas yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. atliekamas asmens duomenų tvarkymas turės atitikti Reglamente nustatytą teisinį reguliavimą. Bus taikomas visiems duomenų valdytojams ir tvarkytojams – valstybės institucijoms, mažoms įmonėms, didelėms korporacijoms, nevyriausybinėms organizacijoms ir kt. NACIONALINĖ TEISĖ Reglamentas įpareigoja valstybes nares priimti teisės aktus (pvz., patvirtinti sertifikavimo įstaigų akreditavimo kriterijus ir kt) Reglamentas numato teisę valstybėms narėms tam tikrais atvejais asmens duomenų tvarkymo teisinį reguliavimą įtvirtinti nacionalinėje teisėje: detaliau reglamentuoti kai kurių asmens duomenų kategorijų tvarkymą, pvz., genetinių, biometrinių, sveikatos duomenų, asmens kodo, ir kt. pasirinktu būdu reglamentuoti tam tikrus santykius (pvz., nustatyti kitus atvejus, kai turi būti paskirtas duomenų apsaugos pareigūnas ir kt.) numatyti duomenų subjekto teisių apribojimus (pvz., kai duomenys tvarkomi mokslinių, istorinių tyrimų tikslais ir kt. Taigi, bus keičiamas ADTAĮ bei jį įgyvendinantys poįstatyminiai teisės aktai

2.1. REGLAMENTO PASKIRTIS IR TAIKYMO SRITIS– 2 str.
Reglamentas taikomas fiziniams asmenims tvarkant jų asmens duomenis, neatsižvelgiant į jų pilietybę ar gyvenamąją vietą. Netaikomas juridiniams asmenims . Netaikomas tais atvejais, kai asmens duomenis fizinis asmuo tvarko vykdydamas grynai asmeninę ar namų ūkio priežiūros veiklą ir nesusiedamas to su profesine ar komercine veikla. Šią veiklą gali sudaryti: - susirašinėjimas ir adresų saugojimas arba naudojimasis socialiniais tinklais ir internetinė veikla, vykdoma atliekant tokią veiklą. Tačiau Reglamentas taikomas duomenų valdytojams (tvarkytojams), kurie suteikia priemones asmens duomenų tvarkymui vykdant tokią asmeninę ar namų ūkio priežiūros veiklą [18 p];

Kaip pasiruošti reglamento įgyvendinimui
Ką daryti ? Susipažinti su teisės aktais ir pasikeitusiais reikalavimais bei supažindinti su jais darbuotojus Atlikti asmens duomenų tvarkymo ,,inventorizaciją“ Peržiūrėti vidaus teisės aktus (pvz.: asmens duomenų tvarkymo taisykles ar privatumo politiką) Peržiūrėti tiek dokumentus, tiek procesus, susijusius su duomenų subjektų teisių įgyvendinimu Peržiūrėti duomenų subjekto teisės susipažinti su savo asmens duomenimis įgyvendinimą Susipažinti su teise į duomenų perkeliamumą ir apgalvoti kaip ją įgyvendinsite Įvertinti, kokiu teisiniu pagrindu grindžiamas Jūsų vykdomas asmens duomenų tvarkymas Žinių apie BDAR skleidimas savivaldybėje 6

Kaip pasiruošti reglamento įgyvendinimui
Peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir įvertinti, ar nereikia pakeitimų Įvertinti, ar tvarkote vaikų asmens duomenis. Jei taip, pagalvoti apie sistemų, leidžiančių patikrinti vaikų amžių, įdiegimą bei apie tai, kaip gausite tėvų sutikimą Nustatyti procedūras kaip aptikti, pranešti ir ištirti asmens duomenų saugumo pažeidimus Atlikti poveikio duomenų apsaugai vertinimą Paskirti duomenų apsaugos pareigūną (jeigu reikia) Jeigu veikiate tarptautiniu mastu, nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite Skirti lėšas pokyčių įgyvendinimui 7

VDAI iki 2018 m. balandžio 30 d. turi parengti šiuos VDAI direktoriaus įsakymų projektus:
- „Dėl Pranešimo apie duomenų saugumo pažeidimą tvarkos aprašo patvirtinimo“; - „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“; - „Dėl Akreditavimo kriterijų patvirtinimo“; - „Dėl Sertifikavimo kriterijų patvirtinimo“; - „Dėl Sertifikavimo įstaigų akreditavimo kriterijų patvirtinimo“; - „Dėl Standartinių duomenų apsaugos sąlygų patvirtinimo“).

I. ASMENS DUOMENŲ INVENTORIZACIJA IR AUDITAS
AUDITO METU NUSTATYTI: Kokios operacijos atliekamos su duomenimis; Kokios duomenų kategorijos tvarkomos; Koks yra tvarkomų duomenų judėjimas, t.y iš kur gaunami, kam perduodami, ar duomenys patenka už ES teritorijos. Duomenų saugumo būklę, identifikuojant galimas rizikas duomenų saugumui bei nustatyti didelės rizikos galimybę; įvertinti, kokie IT sprendimai, apsaugos priemonės įdiegtos įmonėje, kokia dokumentacijos kokybė Audito metu vertinama ar įmonės vykdoma asmens duomenų tvarkymo praktika atitinka Bendrajam duomenų apsaugos reglamentui. .

I. ASMENS DUOMENŲ INVENTORIZACIJA IR AUDITAS
SO Standartas/IEC oficialiai apibrėžia valdymo sistemą, kurios paskirtis – užtikrinti informacijos saugumą aiškiomis valdymo priemonėmis. Standarte numatyti konkretūs saugumo valdymo sistemos reikalavimai. Visos organizacijos, kurios teigia įgyvendinusios ISO/IEC standartą, gali būti oficialiai audituojamos ir gali būti tikrinama jų atitiktis standartui. Vertinimą rekomenduojama atlikti vadovaujantis ISO ir ISO standartų reikalavimais. ISO/IEC reikalauja, kad vadovybė: - sistemingai tikrintų organizacijos informacijos saugumo riziką, įvertintų grėsmes, pažeidžiamas vietas ir poveikį; - suprojektuotų ir įgyvendintų nuoseklias ir išsamias saugumo kontrolės priemones ir (arba) kitus rizikos valdymo metodus (pavyzdžiui, rizikos vengimo ar rizikos perdavimo) rizikai, kuri laikoma nepriimtina, valdyti; - taikytų visa apimantį valdymo procesą siekdama užtikrinti, kad informacijos saugumo kontrolės priemonės nenutrūkstamai tenkintų organizacijos informacijos saugumo poreikius

ASMENS DUOMENŲ SAMPRATA IR KATEGORIJAS
Dažniausiai organizacijos saugo daugiau duomenų nei joms reikia, todėl būtina aiškiai apibrėžti „asmens duomenų“ sąvoką Reglamente asmens duomenys yra apibrėžiami kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti,“ ir pabrėžiama, kad tapatybės nustatymas gali būti: tiesioginis (žinant vardą ar pavardę) netiesioginis (Lietuvoje dirbanti advokatų kontoros „Sorainen“ advokatė“). 1 ) NUSTATYKITE, KOKIUS IR KIENO ASMENS DUOMENIS TVARKOTE Tvarkomų duomenų sąrašas turi būti ne preliminarus, bet duomenų kategorijos turi būti konkrečiai apibrėžtos. Jūsų įstaigos darbuotojai geriausiai gali žinoti, kokių asmenų kokius duomenis įstaiga tvarko. Duomenų subjektai gali būti bendrovės klientai, darbuotojai, siekiantys įsidarbinti asmenys, į bendrovės vaizdo kamerų stebėjimo lauką patenkantys asmenys, skambinantieji telefonu (jeigu pokalbiai įrašomi) ir t.t.

ASMENS DUOMENŲ SAMPRATA
Reglamente pateikiamą „asmens duomenų“ apibrėžimą sudaro keturi pagrindiniai elementai: 1. „Bet kokia informacija“: dėl plataus apibrėžimo bet kokia informacija – net ir lengvai gaunama ir neesminė, bet susijusi su fiziniu asmeniu – patenka į šį apibrėžimą. „Informacija“ apima garso, vaizdo, genetinius duomenis. Telefoninė bankininkystė: jeigu į garsajuostę yra įrašomas kliento, teikiančio bankui informaciją, balsas, toks įrašas yra laikomas asmens duomenimis. Sekimas vaizdo kameromis: sekimo vaizdo kamerų užfiksuoti asmenų atvaizdai, jeigu juose galima atpažinti asmenis, yra laikomi asmens duomenimis. 2. „Su asmeniu susijusi informacija“: neatsižvelgiant į tai, ar informacija yra tiesiogiai susijusi su asmeniu ar ne, visi duomenys siejami su konkrečiu asmeniu patenka į šį apibrėžimą. Namo vertė yra siejama su objektu ir duomenų apsaugos taisyklės nereguliuos situacijų, kai informacija apie vertę bus naudojama nurodant kainų lygį tam tikrame regione. Kita vertus, jei informacija apie namo vertę bus naudojama nustatyti asmens įsipareigojimą mokėti mokesčius ir vertinant savininko turtą, šią informaciją reikia laikyti asmens duomenimis. Automobilių remonto dirbtuvių įrašuose esanti informacija apie konkretų automobilį – nuvažiuotą atstumą, automobilio patikros datas, technines problemas, bendrą jo būklę – yra siejama su automobilio registracijos numeriu, kurį galima susieti su savininku. Jeigu darbuotojai nustato ryšį tarp transporto priemonės ir jos savininko išrašydami sąskaitą, ši informacija yra laikoma asmens duomenimis.

ASMENS DUOMENŲ SAMPRATA
3. „Fizinis asmuo“: Reglamentas kaip duomenų subjektus apsaugo tik fizinius asmenis. Nors pagal Reglamentą juridinių asmenų duomenys nėra saugomi, informacija apie juridinį asmenį gali būti susieta su fiziniu asmeniu, taip sudarant pagrindą asmens duomenų apsaugos užtikrinimui. Fiziniu asmeniu yra laikomas tik gyvas asmuo, todėl mirusio asmens Reglamento nuostatos neapsaugo. Įmonės mokumas: informacija apie asmeniui priklausančios įmonės mokumą apima ir informaciją apie jos savininko finansinę situaciją, todėl yra laikoma asmens duomenimis. Mirusio asmens informacija: genetinė mirusio žmogaus informacija, kuri taip pat yra mirusiojo giminių genetinė informacija, yra laikoma asmens duomenimis. 4. „Kurio tapatybė yra arba gali būti nustatyta“: nustatyti asmens tapatybę galima tiesiogiai arba netiesiogiai. Asmens tapatybė gali būti nustatyta pagal asmens pavardę, kodą, nuotrauką, genetinį kodą arba kelių svarbių kriterijų ir veiksnių grupę (adresą, gimimo datą, profesiją ir pan.). Net jei asmeniui suteikiamas slapyvardis ar jo informacija yra užkoduojama, gali būti situacijų, kai asmens tapatybę yra įmanoma nustatyti – pavyzdžiui, duomenų valdytojui žinant „kodą“, kuris susieja slapyvardį su duomenų subjektu. Spaudoje pateikiama nauja informacija apie seną bylą, kuri patraukė visuomenės dėmesį praeityje. Naujoje informacijoje nėra pateikta žymenų, naudojamų tapatybei nustatyti – nėra asmens vardo, pavardės, gimimo datos. Kita vertus, ankstesnėse su byla susijusiose publikacijose galima rasti papildomos informacijos ir identifikuoti asmens tapatybę. Dėl egzistuojančios galimybės nesunkiai išaiškinti žymenis, nustatančius tapatybę, ši informacija yra laikoma asmens duomenimis. Duomenų valdytojai dažnai teigia, jog asmens tapatybę iš vaizdo kamerų įrašų galima nustatyti tik retais atvejais, todėl iki faktiško tapatybės nustatymo asmens duomenys nėra tvarkomi. Kita vertus, atsižvelgiant į vaizdo kamerų veikimo tikslą, kuris yra nustatyti vaizdo įrašuose asmenų tapatybę, sistemos taikymas turi būti laikomas duomenų apie asmenis, kurių tapatybę galima nustatyti, tvarkymu. Ši nuostata galioja net ir atvejais, kai vaizdo įrašuose asmenų tapatybės nustatyti praktiškai neįmanoma.

Ar energijos suvartojimo skaitiklių rodmenys yra asmens duomenys?
Vadovaujantis ADTAĮ 2 str. 1 dalimi, asmens duomenys – bet kuri informacija, susijusi su fiziniu asmeniu – duomenų subjektu, daugiabučių gyvenamųjų namų atskirų butų karšto vandens apskaitos įrenginių duomenys yra laikytini asmens duomenimis, kurie turi būti tvarkomi vadovaujantis ADTAĮ. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo 29 straipsnio Darbo grupės Nuomonė Nr. 12/2011 dėl pažangiųjų skaitiklių naudojimo, priimtą 2011 m. balandžio 4 d. (ją galima rasti adresu: Šioje nuomonėje pažymima, kad vienas iš argumentų, kuriuo remiantis yra padaryta išvada, kad naudojant pažangiuosius skaitiklius ir atitinkamai bet kokias būsimas pažangiųjų tinklų ir išmaniųjų prietaisų technologijas yra tvarkomi asmens duomenys yra toks: „Pirmiau išvardyti pažangiųjų skaitiklių duomenys dažniausiai yra susieti su atskirais identifikacijos numeriais, pavyzdžiui, su skaitiklio identifikacijos numeriu. Kai energija tiekiama namų ūkiams, šis identifikacijos numeris yra neatsiejamas nuo fizinio asmens, kuris atsako už to namų ūkio energijos sąskaitą. Kitaip tariant, šis prietaisas suteikia galimybę išskirti konkretų asmenį iš kitų vartotojų.“

SPECIALIŲJŲ KATEGORIJŲ ASMENS DUOMENYS
ES Reglamente nelieka sąvokos „ypatingi asmens duomenys“, tačiau jis numato specialių kategorijų asmens duomenis, kuriems priskiriami duomenys: atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus; narystę profesinėse sąjungose, genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie asmens lytinį gyvenimą ar lytinę orientaciją. Šiuos duomenis tvarkyti draudžiama [9 str. 1 d.] Biometriniai duomenys, kurie pagal ADTAĮ nelaikomi ypatingais asmens duomenimis, - pagal Reglamentą priskiriami specialių kategorijų duomenims, todėl svarbu atkreipti dėmesį, kad šie duomenys gali būti tvarkomi išimtiniais atvejais, tik esant bent vienai Reglamento 9 str. 2 d. numatytai sąlygai. Pagal ADTAĮ 2 str. 8 d. informacija apie teistumą laikoma ypatingais asmens duomenimis, - o Reglamente, priešingai, duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas nėra priskirtini specialių kategorijų duomenims ir nors jie gali būti tvarkomi tik prižiūrint valdžios institucijai, tačiau jų tvarkymas turės būti grindžiamas bendrais pagrindais, numatytais Reglamento 6 str. 1 d.

Asmens duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka: rinkimas kaupimas užrašymas saugojimas klasifikavimas paieška grupavimas jungimas keitimas (papildymas ar taisymas) skleidimas naikinimas kiti veiksmai Duomenų tvarkymo veiksmų sąrašas nėra baigtinis, o juos atlikti gali tiek duomenų valdytojas, tiek duomenų tvarkytojas, tiek ir bet kurie kiti asmenys. SVARBU. Kiekviena tvarkymo operacija turi būti teisėtai grindžiama arba ADTAĮ, arba kito įstatymo nuostata.

ASMENS DUOMENŲ TEISĖTO TVARKYMO KRITERIJAI
Asmens duomenų teisėto tvarkymo kriterijus – tai teisinis pagrindas, kuriam esant gali būti tvarkomi asmens duomenys. Jie nustatyti BADAR 6 str. ir ADTAĮ 5 ir 7 str. 3) NUSTATYKITE TVARKOMŲ ASMENS DUOMENŲ TEISINĮ PAGRINDĄ Nesant teisėto tvarkymo kriterijaus, asmens duomenų tvarkymas laikomas neteisėtu Pagal BDAR, duomenų tvarkymas yra teisėtas tik tuomet, jei taikoma bent viena iš sąlygų, nurodytų 6 arba 9 straipsniuose, ir tik tokiu mastu, kokiu ji yra taikoma.

6 str. 1 d. DUOMENŲ TVARKYMAS YRA TEISĖTAS TIK TUO ATVEJU, JEI:
a) Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais; d) Tai būtina siekiant apsaugoti Subjekto ar kito asmens gyvybinius interesus; b) Tai būtina siekiant įvykdyti sutartį (pvz. sudarant sutartį dėl prekių pardavimo); e) Tai būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; f) Tai būtina siekiant teisėtų Valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai Subjekto interesai arba pagrindinės teisės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas. c) Tai būtina, kad būtų įvykdytos teisinės prievolės (pvz. mokesčių sumokėjimas); Svarbu įvertinti, ar kiekvienu atveju duomenų tvarkymas yra atliekamas, esant kuriai nors iš šių sąlygų. Priešingu atveju, toks duomenų tvarkymas neturėtų būti vykdomas.

Pirmoji teisėto duomenų tvarkymo sąlygą
Duomenų subjekto sutikimas– bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys; A) Duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais; Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

Sutikimo sąlygos – 7 str. 1. Kai duomenys tvarkomi remiantis sutikimu, Valdytojas turi galėti įrodyti, kad Subjektas sutiko, kad būtų tvarkomi jo asmens duomenys. 2. Jeigu subjekto sutikimas duodamas rašytiniu pareiškimu, susijusiu ir su kitais klausimais, prašymas duoti sutikimą pateikiamas tokiu būdu, kad jis būtų aiškiai atskirtas nuo kitų klausimų, pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Jokia tokio pareiškimo dalis, kuria pažeidžiamas Reglamentas, nėra privaloma. 3. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Subjektas apie tai informuojamas prieš jam duodant sutikimą. Atšaukti sutikimą turi būti taip pat lengva kaip jį duoti. 4. Vertinant, ar sutikimas duotas laisva valia, labiausiai atsižvelgiama į tai, ar, inter alia, sutarties vykdymui, įskaitant paslaugos teikimą, yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti.

Sąlygos, taikomos vaiko, kuriam siūlomos informacinės visuomenės paslaugos, sutikimui – 8 str.
1. Taikant 6 str. 1 punktą ( davė sutikimą), kai tai susiję su informacinės visuomenės paslaugų tiesioginiu siūlymu vaikui, vaiko asmens duomenų tvarkymas yra teisėtas tik tuo atveju, jei vaikas yra bent 16 metų amžiaus. Kai vaikas yra jaunesnis nei 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Valstybės narės tais tikslais įstatymu gali numatyti jaunesnio amžiaus ribą su sąlyga, kad toks jaunesnis amžius reiškia ne mažiau nei 13 metų. 2. Duomenų valdytojas, atsižvelgdamas į turimas technologijas, deda pagrįstas pastangas, kad tokiais atvejais patikrintų, ar yra gautas vaiko tėvų pareigų turėtojo sutikimas arba leidimas. 3. 1 dalis nedaro poveikio bendrajai valstybių narių sutarčių teisei, kaip antai taisyklėms dėl su vaiku sudaromos sutarties galiojimo, sudarymo arba poveikio. Tėvų sutikimo neturėtų būti reikalaujama tiesiogiai vaikui teikiant prevencijos ar konsultavimo paslaugas;

ASMENS DUOMENŲ TVARKYMAS SU ASMENS SUTIKIMU VALSTYBĖS IR SAVIVALDYBIŲ INSTITUCIJOSE
LR teisės aktuose pasitaiko atvejų, kuomet valstybės ir savivaldybių institucijos ir įstaigos tvarko asmens duomenis su asmens sutikimu. BDAR preambulės 43 p. numato, kad tuo atveju, kai duomenų valdytojas yra valdžios institucija sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu, nes yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas. Be to, Reglamento 7 str. 3 d. aiškiai įtvirtinta duomenų subjekto teisė bet kuriuo metu atšaukti savo sutikimą ( ADTAĮ to nereglamentuoja) o Reglamento 20 str. numatyta, kad tuo atveju, kai asmens duomenų tvarkymas grindžiamas asmens sutikimu, duomenų subjektas įgyja teisę ir į duomenų perkeliamumą. Pastarosios aplinkybės turi būti ypač įvertintos rengiant teisės aktų projektus, numatančius duomenų subjekto sutikimą, kaip teisinį asmens duomenų tvarkymo pagrindą.

Rekomenduojama sutikimo forma
Lietuvos Respublikos teisės aktai nenustato, kokia forma turi būti duotas sutikimas dėl fotografavimo, filmavimo ar atvaizdo skelbimo, todėl sutikimas gali būti išreikštas bet kokia forma: žodžiu, numanomas iš konkliudentinių veiksmų (iš konkrečių aplinkybių) arba raštu. Rekomenduotina parengti sutikimų formas, su alternatyviais variantais, kad tėvai galėtų pasirinkti, kokiais atvejais ir tikslais jie sutinka, kad jų vaikas būtų fotografuojamas, bei kur ir kokiais tikslais vaiko atvaizdas gali būti skelbiamas, o kokiais atvejais – ne. Tai nurodyti svarbu, nes tėvai, sutikę, kad vaikas būtų fotografuojamas ir jo nuotrauka skelbiama mokyklos vidiniame intraneto puslapyje ar spausdinama mokyklos brošiūroje, gali nesutikti, jog atvaizdas būtų skelbiamas mokyklos interneto svetainėje Būtina informuoti apie teisę atšaukti sutikimą bet kuriuo momentu bei apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis. Nerekomenduojama į mokymo sutartį įtraukti sąlygos dėl mokinių fotografavimo, filmavimo ir jų atvaizdo skelbimo, nes mokinys (jo tėvai), pasirašydamas mokymo sutartį, bus priverstas sutikti ir su sąlyga dėl jo fotografavimo bei nuotraukų skelbimo internete. Tokiu atveju gali būti pažeistas savanoriškumo principas ir sutikimas negalios. Mokyklos, net ir turėdamos išankstinį tėvų sutikimą, kiekvienu konkrečiu atveju privalo įvertinti nuotraukos pobūdį ir būtinumą ją skelbti, ar tai proporcinga priemonė siekiant nustatytų tikslų, ar nėra kitų priemonių jiems pasiekti.

Sutikimo forma (pavyzdys)
KAUNO ŠV. MATO GIMNAZIJOS VAIKO TĖVO PAREIGŲ TURĖTOJO SUTIKIMAS DĖL ASMENS DUOMENŲ TVARKYMO Aš, Vardas Pavardenis, sutinku, kad mano vaiko Vardeliuko Pavardenio, 1 B klasės mokinio, asmens duomenys būtų tvarkomi nurodytiems tikslams: Asmens duomenų tvarkymo tikslas Sutinku Nesutinku Vaiko fotografavimas mokyklos veiklos viešinimo tikslais grupinėse ir individualiose nuotraukose mokyklos teritorijoje. + Vaiko fotografavimas mokyklos veiklos viešinimo tikslais sporto, kultūros ir kituose viešuosiuose renginiuose už mokyklos teritorijos Vaiko filmavimas mokyklos veiklos viešinimo tikslais Vaiko nuotraukų skelbimas mokyklos patalpose esančiuose stenduose bei vidiniame tinklalapyje (INTRANETE) Vaiko nuotraukų skelbimas mokyklos interneto puslapyje Vaizdo medžiagos apie vaiką skelbimas mokyklos interneto puslapyje Vaiko nuotraukų ir vaizdo įrašų perdavimas tretiems asmenims ( gal kokios parodos?) Kiti tikslai ( galima susigalvoti jų daug) Vaiko nuotraukos ir vaizdo medžiaga mokyklos interneto puslapyje bus laikomi 1 ( gali būti ir 2,3 ar daugiau metų); Vaiko nuotraukos ir vaizdo medžiaga gali būti perduota saugoti į mokyklos archyvą (metraštį). Internetiniame puslapyje saugomų nuotraukų apsaugai taikomos priemonės: Vaiko tėvo pareigų turėtojo teisės: 1) bet kada atšaukti savo duotą sutikimą. 2) susipažinti su vaiko asmens duomenų saugojimu, reikalauti ištaisyti netinkamus duomenis; 3) Įgyvendinti asmens duomenų perkėlimo teisę Vardenis Pavardenis Parašas

Antroji teisėto duomenų tvarkymo sąlygą
B) Sudaroma arba vykdoma sutartis, kai viena iš šalių yra duomenų subjektas Duomenų tvarkymas turėtų būti laikomas teisėtu, kai jis būtinas siekiant vykdyti sutartį arba ketinant ją sudaryti; Būtinumo principas neapsiriboja pirminiais sutarties tikslais (pvz., užtikrinti vaiko lavinimą). Būtinumas gali būti siejamas su papildoma pareiga, kuri paprastai atsiranda vykdant pastovią sutartį. Be to, sutarties šalys gali savo nuožiūra keisti esamas sutartis ar parengti naujas. Tokiu būdu sunku nustatyti, kokie duomenys laikomi būtinais tam tikru tikslu. Dėl kiekvienos sutarties reikia atlikti išsamų įvertinimą. Sudarant sutartį nereikėtų tapatinti sutikimo sudaryti sandorį su sutikimu tvarkyti asmens duomenis

Trečioji teisėto duomenų tvarkymo sąlygą
Šia nuostata bandoma subalansuoti interesus tarp: 1) esminių asmens interesų ir 2) intereso, kad be asmens sutikimo nebūtų tvarkomi jo duomenys. Ši nuostata galioja tik išimtiniais atvejais. D) Siekiama apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus; (46). Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais; Šis teisėto tvarkymo kriterijus gali būti labai svarbus, kai tėvai netinkamai vykdo savo pareigas ir dėl to gali būti pažeistos vaiko teisės ar teisėti interesai, o kito teisėto asmens duomenų tvarkymo kriterijaus nėra. Tačiau būtina įsidėmėti, kad asmens duomenų tvarkymas turi būti atliekamas išimtinai vaiko interesais, be to, jei vaikas yra pajėgus priimti sprendimą dėl asmens duomenų tvarkymo, turi būti atsiklausiama jo nuomonės. Pavyzdžiui, tėvai akivaizdžiai nesirūpina vaiku, ir dėl to kyla būtinybė kreiptis į vaiko teises ginančias institucijas

Ketvirtoji teisėto duomenų tvarkymo sąlygą
Toks teisėtas interesas galėtų būti, pavyzdžiui, esant atitinkamiems santykiams tarp subjekto ir valdytojo (subjektas yra duomenų valdytojo klientas arba dirba valdytojo tarnyboje). Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. Duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. ES arba valstybės narės teisė turi atitikti viešojo intereso tikslą ir būti proporcinga teisėtam tikslui, kurio siekiama ( t.y. taikomi BDAR 5 str. 1d. C ir E punktai) F) Reikia tvarkyti dėl teisėto intereso, kurio siekia duomenų valdytojas arba trečiasis asmuo, kuriam teikiami asmens duomenys, ir jei duomenų subjekto interesai nėra svarbesni. Atkreiptinas dėmesys, kad šis teisinis pagrindas, kuris atitinka galiojančio ADTAĮ 5 str. 1 d. 6 punktą, nėra taikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

Penktoji teisėto duomenų tvarkymo sąlygą
Įstatymų nustatyti įpareigojimai turi būti nustatyti suverenios institucijos priimtuose teisės aktuose, o ne, pvz., sutartyse. Tokiais teisės aktais yra laikomi įstatymai, antriniai teisės aktai, potvarkiai. Tokių teisės aktų nustatyti įpareigojimai yra, pvz., įpareigojimas saugoti duomenis tam tikrą laiko tarpą, kuris galioja komercinėje ar mokesčių teisėje. Be to, Statistikos įstatymas nustato tam tikras pareigas duomenų, įskaitant ir asmens duomenų, perdavimui. Ši nuostata yra taip pat teisinis pagrindas asmens duomenims atskleisti teismams, esant įpareigojimui pateikti medžiagą teisme arba duoti liudytojo parodymus teisme. Šis teisėto tvarkymo kriterijus taikomas tada, kai įstatymai įpareigoja duomenų valdytoją atlikti tam tikrus asmens duomenų tvarkymo veiksmus, pavyzdžiui, teikti duomenis pagal Valstybės registrų įsakymą C ) Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė. - pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis

Ar gali daugiabučių gyvenamųjų namų bendrijos nariai susipažinti su bendrijos narių sąrašu (įgaliotinių sąrašu)? LR Daugiabučių gyvenamųjų namų ir kitos paskirties pastatų savininkų bendrijų įstatymo 21 str. 4 d. 8 p. suteikia butų ir patalpų savininkams teisę susipažinti su bendrijos narių sąrašu (įgaliotinių sąrašu) ir gauti bendrijos organų narių kontaktinius duomenis. Šis įstatymas aiškiai numato teisę susipažinti su bendrijos narių sąrašu (įgaliotinių sąrašu) visiems butų ir kitų patalpų savininkams. Taigi toks asmens duomenų teikimas nepažeistų ADTAĮ numatytų reikalavimų asmens duomenų tvarkymui, t. y. duomenys būtų teikiami esant ADTAĮ 5 str. 1d. 3 p. numatytam asmens duomenų tvarkymo teisėto tvarkymo kriterijui, t. y. pagal įstatymus duomenų valdytojas yra įpareigotas tvarkyti asmens duomenis.

Šeštoji teisėto duomenų tvarkymo sąlygą
KAS GALI BŪTI DUOMENŲ VALDYTOJAS, TVARKANTIS ASMENS DUOMENIS DĖL VIEŠOJO INTERESO? Reglamento (45) p. numatyta, kad nacionalinėje teisėje turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija ar kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija. E) Tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas - ši nuostata suteikia teisę valstybės institucijoms gauti duomenis ir iš valstybės, ir iš privataus sektoriaus įmonių, kai joms būtina įgyvendinti savo įgaliojimus. Tačiau ši teisė gauti duomenis nesutampa su privataus sektoriaus įstaigų pareiga atskleisti duomenis potencialiam gavėjui. PROPORCINGUMAS Pažymėtina, kad rengiant teisės aktų projektus, kuriais įtvirtinami asmens duomenų teisėto tvarkymo pagrindai, numatyti Reglamento 6 str. 1 d. c ir e punktuose, turi būti įvertinta, ar asmens duomenų tvarkymas atitinka viešojo intereso tikslą ir ar yra proporcingas teisėtam tikslui, kurio siekiama [6.3 str.].

ATVEJAI, KAI GALIMA TVARKYTI SPECIALIŲJŲ KATEGORIJŲ ASMENS DUOMENIS
Tam tikros sąlygos, kurioms esant netaikomas draudimas tvarkyti specialių kategorijų asmens duomenis (BDAR 9 str. 2 d. B, G, H, I, J punktai), yra siejamos su jų įtvirtinimu ES arba valstybės narės teisėje. Įsidėmėtina – BDAR 9 str. 4 d. suteikiama teisė valstybėms narėms teisės aktuose nustatyti ir taikyti papildomas sąlygas, įskaitant ir apribojimus genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui.

Pagal Reglamento 9 str. 2d., draudimas netaikomas, jei:
a) Subjektas duoda sutikimą; išskyrus atvejus, kai nurodyto draudimo duomenų subjektas negali panaikinti; b) tvarkymas būtinas, kad Valdytojas arba Subjektas galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis darbo ir socialinės apsaugos teisės srityje, kai nustatytos tinkamos Subjekto pagrindinių teisių ir interesų apsaugos priemonės c) reikia apsaugoti Subjekto arba kito asmens esminius interesus, kai Subjektas nepajėgia duoti sutikimo dėl fizinės negalios arba yra neveiksnus; d) ) asmens duomenis tvarko savo veikloje fondas, asociacija ar kita ne pelno organizacija politiniais, filosofiniais, religiniais ar su profesinėmis sąjungomis susijusiais tikslais, jei tvarkomi asmens duomenys yra susiję tik su šios organizacijos nariais arba su asmenimis, kurie nuolat kitaip dalyvauja jos veikloje dėl šios organizacijos siekiamų tikslų. Šie asmens duomenys negali būti teikiami trečiajam asmeniui be duomenų subjekto sutikimo;

e) duomenų subjektas asmens duomenis akivaizdžiai paskelbė viešai; f) tvarkyti duomenis būtina siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus arba tuo atveju, kai teismai vykdo savo teisminius įgaliojimus; g) tvarkyti duomenis būtina dėl svarbaus viešojo intereso priežasčių, remiantis ES arba valstybės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės; h) tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas remiantis Sąjungos arba valstybės narės teise arba pagal sutartį su sveikatos priežiūros specialistu, taikant 3 dalyje nurodytas sąlygas ir apsaugos priemones;

i) tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus, remiantis ES arba valstybės teise, kurioje numatomos tinkamos ir konkrečios priemonės duomenų subjekto teisėms ir laisvėms apsaugoti, visų pirma profesinė paslaptis; J ) tvarkyti duomenis būtina archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais pagal 89 str. 1 dalį, remiantis Sąjungos arba valstybės narės teise, kurie turi būti proporcingi tikslui, kurio siekiama, nepažeisti esminių teisės į duomenų apsaugą nuostatų ir kuriuose turi būti numatytos tinkamos ir konkrečios duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonės. 3. asmens duomenys gali būti tvarkomi 2 dalies h punkte nurodytais tikslais, kai tuos duomenis tvarko specialistas, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taikoma pareiga saugoti profesinę paslaptį, arba duomenys tvarkomi jo atsakomybe, arba kitas asmuo, kuriam pagal Sąjungos arba valstybės narės teisę arba nacionalinių kompetentingų įstaigų nustatytas taisykles taip pat taikoma pareiga saugoti paslaptį. 4. Valstybės narės gali toliau taikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, genetinių duomenų, biometrinių duomenų arba sveikatos duomenų tvarkymui.

SPECIALIŲ KATEGORIJŲ ASMENS DUOMENŲ TVARKYMAS
Įsidėmėtina, kad rengiant teisės aktų projektus, kuriais siekiama įtvirtinti minėtas sąlygas tvarkyti specialių kategorijų asmens duomenis, turi būti atsižvelgiama į tam tikrus papildomus BADAR 9 str. 2 dalies b, g, h, i, j punktuose numatytus reikalavimus, kurie turi būti aptarti tuose teisės aktų projektuose, t. y. kad: Numatomas reglamentavimas turi būti proporcingas tikslui, kurio siekiama ( 9 str. 2 dalies g, j punktai); Nepažeisti esminių teisės į duomenų apsaugą nuostatų ( 9 str.2 dalies g, j punktai); Turi būti numatytos tinkamos ir konkrečios subjekto pagrindinių teisių apsaugos priemonės (9 str. 2 dalies b, g, i, j); Turi būti numatyta pareiga saugoti profesinę paslaptį (9 str. 2 dalies h, i punktai).

Duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones nepriskiriami specialių (ypatingų) duomenų kategorijai, bet jų tvarkymui nustatytos atskiros taisyklės (pagal BADAR 10 str.): šie duomenys tvarkomi remiantis teisėto tvarkymo sąlygomis, nurodytomis BDSAR 6 str. 1 d., tik prižiūrint valdžios institucijai kai duomenų tvarkymas leidžiamas ES arba valstybės narės teise, kurioje nustatytos tinkamos duomenų subjektų teisių ir laisvių apsaugos priemonės (t.y. šiais atvejais minėtus duomenis gali tvarkyti ne tik valdžios institucijos); bet kuris išsamus apkaltinamųjų nuosprendžių duomenų registras tvarkomas tik prižiūrint valdžios institucijai;

Asmens duomenų tvarkymo teisinis pagrindas valstybės ir savivaldybės institucijose
Pastebėtina, kad asmens duomenų tvarkymas, atliekamas valstybės ir savivaldybių institucijų ar įstaigų, iš esmės turėtų remtis Reglamento 6 str. 1 dalies: 3 punktu, kai asmens duomenis tvarkyti būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė ir 5 punktu, kai asmens duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Svarbu atkreipti dėmesį, kad šie asmens duomenų tvarkymo pagrindai turi būti nustatomi: ES teisėje - valstybės narės teisėje. Vadovaujantis Reglamento (41) punktu, minėti asmens duomenų tvarkymo pagrindai nacionalinėje teisėje gali būti įtvirtinti ne tik įstatymuose, bet ir, pavyzdžiui, LR Vyriausybės nutarime, ministro įsakyme ir pan., tačiau juose nustatytas reglamentavimas turi būti aiškus ir tikslus. o kai tvarkomi specialių kategorijų duomenys: – Reglamento 9 str. 1 dalies b, g, h, i, j punktuose, įtvirtintais pagrindais.

Asmens duomenų tvarkymo teisinis pagrindas valstybės ir savivaldybės institucijose
Valdžios institucijų, vykdančių kontrolės funkcijas, atliekamam asmens duomenų tvarkymui, kai jos vykdo konkretų tyrimą, taikytinos taisyklės (BDAR preambulės 31 p.): asmens duomenys šioms institucijoms atskleidžiami laikantis teisinės prievolės (t.y. ES arba valstybės narės teisės aktų, reglamentuojančių tokį duomenų tvarkymą); - valdžios institucijų prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs ir neturėtų būti susiję susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje; - valdžios institucijos asmens duomenis turėtų tvarkyti laikydamosi taikomų duomenų apsaugos taisyklių, atsižvelgiant į duomenų tvarkymo tikslus.

BENDRIEJI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
3) NUSTATYKITE TVARKOMŲ ASMENS DUOMENŲ TEISINĮ PAGRINDĄ DUOMENŲ VALDYTOJAI atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų. (Pavyzdinės asmens duomenų tvarkymo taisyklės, 5.4 p.)

1 principas: Teisėtumo, sąžiningumo ir skaidrumo
Teisėtai Teisėtumas reiškia tai, kad duomenų valdytojas turi turėti asmens duomenų teisėto tvarkymo kriterijų, arba, kitaip tariant, teisinį pagrindą. - reikia aiškiai apibrėžti, ar bus renkami nepilnamečių asmens duomenys, jei taip, nustatyti amžių ir įvertinti kitas aplinkybes, pavyzdžiui, tai, kad gali būti reikalingas tėvų sutikimas. Yra trys pagrindai, kuriais remdamasis duomenų valdytojas gali panaudoti duomenis kitam tikslui negu tie duomenys buvo suteikti: - asmens sutikimas; - įstatymo prievarta; - viešasis interesas. Viešasis interesas nebūtinai pateisina duomenų paviešinimą. Duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu į Reglamentą įtrauktas papildomas reikalavimas tvarkyti duomenis skaidriai. Įmonės privalės atkreipti ypatingą dėmesį į šį reikalavimą kurdamos duomenų tvarkymo sistemas bei užsiimdamos veikla, susijusia su asmens duomenų tvarkymu ir informacijos subjektui pateikimu Praktikoje, svarstant, ar duomenys buvo tvarkomi teisėtai, didžiausias dėmesys dažnai skiriamas tam, kaip duomenys buvo gauti, ir ar jų gavimo būdas nepažeidė kokių nors teisės aktų nuostatų. Duomenų tvarkymas yra laikomas nesąžiningu ir neteisėtu, jei asmens duomenys yra renkami slaptai, neinformavus apie tai duomenų subjekto. Sąžiningas tvarkymas: mokesčių mokėtojas turi būti išsamiai informuotas apie būdus, kaip jo duomenys bus tvarkomi.

ĮVARDINKITE, IŠ KUR ASMENS DUOMENYS YRA GAUTI IR/AR KAM TEIKIAMI
Aiškiai nustatykite, kokiais būdais gaunate asmens duomenis: iš paties duomenų subjekto ar ir iš kitų šaltinių, pvz., , jungtinių skolininkų duomenų rinkmenų. Taip pat nustatykite, kokiems tretiesiems asmenims jie yra arba gali būti perduodami, pvz., Valstybinei mokesčių inspekcijai. ĮVARDINKITE, IŠ KUR ASMENS DUOMENYS YRA GAUTI IR/AR KAM TEIKIAMI

Duomenų tvarkymo skaidrumas
Duomenų valdytojas turi: nustatyti priemones, kurios įprastomis aplinkybėmis padėtų užtikrinti, kad atliekant tvarkymo operacijas būtų laikomasi duomenų apsaugos taisyklių. turėti atitinkamus dokumentus sugebėti įrodyti, kad laikosi su duomenų subjektais susijusių duomenų apsaugos nuostatų... Nebėra pranešimų VDAI, bet: didesnis dėmesys BDAR atitikčiai daugiau administracinės naštos (veiklos įrašai, PDAV, ...) daugiau bendravimo su VDAI, kuri turi daugiau įgaliojimų

2 principas: Tikslo apribojimo
Šis principas apima baigtumo principą ir nustato ribas duomenų tvarkymui kitais tikslais negu jie buvo gauti . 2 principas: Tikslo apribojimo 2. Renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi nesuderinamais su nustatytaisiais prieš renkant asmens duomenis tikslais. Duomenų valdytojas turi nustatyti tikslą taip, kad nekiltų abejonių dėl tikslo, kurio jis nori pasiekti tvarkydamas asmens duomenis; Duomenų valdytojas turi nustatyti tikslą iš anksto, prieš rinkdamas asmens duomenis (kartais tikslai nustatomi tik surinkus duomenis – tai prieštarauja įstatymui) Reglamente šis principas iš dalies susiaurinamas, numatant, kad duomenų archyvavimas viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais yra laikomas suderinamu su pirminiais tikslais Neleistina laikyti duomenis remiantis tuo, kad jie galbūt bus naudingi ateityje, neturint tikslo, kaip jie bus panaudoti. Nustačius duomenų tvarkymo tikslus, svarbu įvertinti, ar kiekvienu konkrečiu tikslu nėra tvarkomi pertekliniai asmens duomenys. Jeigu atitinkami duomenys nėra būtini nustatytiems tikslams pasiekti, jie ir neturi būti renkami, o surinkti duomenys – ištrinami. Pavyzdžiui, sudarant sutartį elektroninėje parduotuvėje bendrovei nėra būtina žinoti pirkėjo asmens kodą.

ASMENS DUOMENŲ TVARKYMO TIKSLO NUSTATYMO KONKREČIOS NUOSTATOS
SVARBU: Teisės aktų projektus rengiančioms valstybės institucijoms svarbu atkreipti dėmesį į tai, kad teisės akte, kuriuo įtvirtinamas asmens duomenų teisėto tvarkymo pagrindas, numatytas BDAR 6 str. 1 d. C punkte (tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė), turi būti nustatomas asmens duomenų tvarkymo tikslas, o BDAR 6 str. 1 d. E punkte (siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas), nurodyto asmens duomenų tvarkymo atveju tikslas yra būtinas. Tame teisės akte galėtų būti išdėstytos tokios konkrečios nuostatos: Reglamentuojančios duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą; Tvarkytinų duomenų rūšis; Atitinkamus duomenų subjektus; Subjektus, kuriems asmens duomenys gali būti atskleisti; Tikslus, dėl kurių asmens duomenys gali būti atskleisti; Tikslo apribojimo principą; Saugojimo laikotarpius; Duomenų tvarkymo operacijas; Duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas.

3 principas: Duomenų kiekio mažinimo
Šis esminis principas apriboja duomenų, kurie renkami ir tvarkomi, dydį (apimtį). Asmens duomenų apimtis nustatoma atsižvelgiant į tvarkymo tikslą – būtent juo remiantis nusprendžiama, kokie asmens duomenys yra būtini nustatytam tvarkymo tikslui pasiekti. Labai svarbu, kad duomenų valdytojas įvertintų, ar jo siekiamiems tikslams apskritai būtini asmens duomenys. Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Labai dažnai duomenų valdytojai surenka daugiau asmens duomenų negu reikia nustatytiems tikslams. Tai nesuderinama su ADTAĮ. Jau surinkti asmens duomenys, kurie nėra tapatūs ir tinkami atsižvelgiant į tikslus, turi būti ištrinami. Šis principas buvo sugriežtintas ir Reglamentui įsigaliojus bus reikalaujama užtikrinti, jog renkami duomenys yra adekvatūs ir būtini siekiant tvarkymo tikslų. Informacija, kuri nėra naudojama šiam tikslui pasiekti, negalės būti renkama. Gali būti situacijų, kai tam tikrus asmens duomenis pateikti privaloma, o kai kurių duomenų pateikimas yra neprivalomas ir priklauso nuo duomenų subjekto apsisprendimo.

4 principas: Tikslumo Tikslūs ir prireikus atnaujinami; - turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi. Kas atsakingas, už asmens duomenų tikslumą? Jeigu subjektas duomenis pateikė netikslius?

5 principas: Saugojimo trukmės apribojimo
Asmens duomenys turėtų būti saugomi ne ilgiau nei tai yra būtina atsižvelgiant į tikslus, kurių siekiant asmens duomenys yra tvarkomi. Suėjus nustatytiems terminams asmens duomenys privalo būti sunaikinti. Todėl svarbu įstaigoje įdiegti procedūras, kurios užtikrintų, kad duomenys, pasibaigus jų saugojimo terminui, toliau nebebūtų tvarkomi. Reglamentas taip pat numato, jog duomenys gali būti saugomi ilgiau, jei jie bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais. Šis principas turi būti interpretuojamas atsižvelgiant į „teisės būti pamirštam“ principą Pagrįstas saugojimo terminas, priklausomai nuo duomenų tvarkymo tikslo ir duomenų pobūdžio, konkrečiu atveju gali būti labai skirtingas. Pvz., vaizdo duomenis gali būti tikslinga saugoti kelias savaites, o sutarties vykdymo tikslu renkamus duomenis – keletą metų. Duomenų saugojimo terminus tam tikrais atvejais gali nustatyti teisės aktai.

6 principas: Vientisumo ir konfidencialumo
Tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą: nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo

7 principas: Atskaitomybės
Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi visų aukščiau išvardytų principų. Duomenų valdytojas taip pat privalo sugebėti įrodyti, kad šių principų yra laikomasi. Šis principas yra viena esminių Reglamento naujovių ir laikomas jo šerdimi. Siekiant tinkamai įgyvendinti šį principą, duomenų apsauga turi tapti integralia įmonės veiklos dalimi: nuo prekės ar paslaugos sukūrimo pradžios iki kliento duomenų sunaikinimo etapo. Reglamente įtvirtintos priemonės, skirtos įgyvendinti šį principą: Pagal minėtų principų įgyvendinimą vertinama Valdytojo vykdoma atitinkama duomenų apsaugos politika.

Atskaitomybės principas
BDAR numatytos priemonės atskaitomybės principui įgyvendinti: Duomenų tvarkymo veiklos įrašai Pranešimas apie asmens duomenų saugumo pažeidimą, duomenų saugumo pažeidimų dokumentavimas Poveikio duomenų apsaugai vertinimas Išankstinės konsultacijos Duomenų apsaugos pareigūno paskyrimas Elgesio kodeksai Sertifikavimas Įmonei privalomos taisyklės ir kt. Skirta tam, kad principai ir reikalavimai būtų veiksmingesni. Jokios įgyvendinamos priemonės negali būti teisinė asmens duomenų apsaugos reikalavimų įgyvendinimo prielaida, t.y. pažeidimo tikimybė išlieka. Į tai, kokiu mastu buvo įgyvendinamas atskaitomybės principas, turėtų būti atsižvelgiama sprendžiant poveikio priemonių taikymo klausimą.

ATVIRI DUOMENYS BADAR 29 str. duomenų apsaugos darbo grupė priimtoje nuomonėje dėl atvirųjų duomenų ir viešojo sektoriaus informacijos (VSI) pakartotinio naudojimo pažymėjo: [...] net ir tais atvejais, kai tam tikri duomenys yra laisvai prieinami, jų pakartotinis naudojimas gali būti ribojamas dėl duomenų apsaugos priežasčių. [...] 29 str. darbo grupė skatintų nacionalinėje teisėje priimti teisines nuostatas, aiškiai apibrėžiančias: Kokie duomenys yra skelbiami viešai; kokiems tikslams; tam tikrais atvejais nurodančias, kokiu mastu ir kokiomis sąlygomis šie duomenys gali būti pateikti pakartotiniam naudojimui.

ASMENS DUOMENŲ TVARKYMAS IR VISUOMENĖS INFORMAVIMO LAISVĖS DERINIMAS
8 str. Asmens duomenų tvarkymą visuomenės informavimo priemonėse visuomenės informavimo, meninės ir literatūrinės raiškos tikslais prižiūri žurnalistų etikos inspektorius. Jo kompetenciją nustato Visuomenės informavimo įstatymas. Šiais atvejais asmens duomenų tvarkymui taikomos tik ADTAĮ 1, 2, 3, 4, 5, 6, 7, 30, 53 ir 54 straipsnių nuostatos Raiškos laisvė yra viena svarbiausių žmogaus teisių, todėl laisvę reikšti savo mintis ir įsitikinimus garantuoja EŽTPLK 10 str. Teisę į privatumą, kuri apima ir teisę į duomenų apsaugą, taip pat garantuoja EŽTPLK 8 str. - poreikis surasti pusiausvyrą tarp šių pagrindinių viena kitai prieštaraujančių teisių. Pagrindinė Direktyvos 9 str. paskirtis – aiškiai nustatyti, kad duomenų apsaugos įstatymai yra iš principo taikomi ir žiniasklaidai. Nei viena iš šių tarpusavyje konkuruojančių teisių negali nustelbti kitos. Prioritetu nelaikoma nei raiškos laisvė, nei duomenų apsauga. Pagal Direktyvos 9 str. , atsakomybė tenka nacionalinėms valdžios institucijoms ir teismams, kurie taiko Direktyvą 95/46/EB įgyvendinančius nacionalinius teisės aktus, užtikrinti teisingą pusiausvyrą tarp atitinkamų teisių ir interesų, įskaitant ir Bendrijos teisinio režimo saugomas pagrindines teises“

ADTAĮ 8 str. 3 sakiniu yra apribojamas ADTAĮ taikymas. - jo užduotis nėra atleisti žurnalistus nuo duomenų apsaugos įstatymo apribojimų. - tikslas yra apsaugoti raiškos laisvę, todėl privilegija suteikiama tik tokiam asmens duomenų tvarkymui, kuris atitinka tam tikrus tikslus, susijusius su raiškos laisve. ADTAĮ 8 str. yra taikomas tik tai informacijai, kuri padeda formuoti viešąją nuomonę. VIĮ daugiausia kalba apie „klasikinę“ žiniasklaidą: spaudą, radiją ir televiziją. VIĮ ir ADTAĮ 8 str. nustato, kad informacija turi būti skelbiama viešai demokratinėje visuomenėje. Kad taptų viešąja, tokia informacija turi būti siejama su tam tikru visuomenės interesu. Priešingu atveju tokia informacija yra „privati“. Ji galėtų būti ir asmens duomenys. ( VIĮ – 1 str.) Šis įstatymas nustato viešosios informacijos rinkimo, rengimo, skelbimo ir platinimo tvarką, viešosios informacijos rengėjų, skleidėjų, jų dalyvių, žurnalistų ir jų veiklą reglamentuojančių institucijų teises, pareigas ir atsakomybę. Visuomenės informavimas – viešosios informacijos teikimas visuomenei. Viešoji informacija – informacija, skirta viešai skleisti, išskyrus pornografinio pobūdžio informaciją, taip pat informaciją, kuri pagal Lietuvos Respublikos įstatymus negali būti viešai skleidžiama. Privataus pobūdžio informacija – žmogaus teisės į privataus gyvenimo apsaugą užtikrinimo požiūriu neskelbtina informacija apie žmogaus asmeninį ir jo šeimos gyvenimą, jo sveikatą ir kt.

Materialinės teisės prasme svarbiausia duomenų apsaugos nuostata yra VIĮ 13 ir 14 straipsniai. Juose reikalaujama, kad žiniasklaida gerbtų asmens orumą ir privatumą. 14 straipsnis. Privataus gyvenimo apsauga 1. Rengiant ir platinant viešąją informaciją, privaloma užtikrinti žmogaus teisę į privataus pobūdžio informacijos apsaugą. 2. Informaciją apie privatų gyvenimą galima skelbti, išskyrus šio straipsnio 3 dalyje nurodytus atvejus, tik jei tas žmogus sutinka. 3. Informacija apie privatų gyvenimą gali būti skelbiama be žmogaus sutikimo tais atvejais, kai ji padeda atskleisti įstatymų pažeidimus ar nusikalstamas veikas, taip pat kai informacija yra pateikiama viešai nagrinėjant bylą. Be to, informacija apie viešojo asmens privatų gyvenimą gali būti skelbiama be jo sutikimo, jeigu ši informacija atskleidžia visuomeninę reikšmę turinčias privataus šio asmens gyvenimo aplinkybes ar asmenines savybes. (VIĮ 14 str.) 13 straipsnis. Asmens teisių, garbės ir orumo apsauga 1. Siekiant nepažeisti asmens teisių, apsaugoti jo garbę ir orumą, renkant ir viešai skelbiant informaciją draudžiama: 1) be asmens sutikimo filmuoti, fotografuoti, daryti garso ir vaizdo įrašus fizinio asmens gyvenamojoje patalpoje, fizinio asmens privačioje namų valdoje ir jai priklausančioje aptvertoje ar kitaip aiškiai pažymėtoje teritorijoje, nepaisant to, ar tas asmuo yra nurodytose vietose; 2) filmuoti, fotografuoti ar daryti garso ir vaizdo įrašus neviešų renginių metu be organizatorių, turinčių teisę rengti tokius renginius, sutikimo; 3) filmuoti ir fotografuoti žmogų ir naudoti jo atvaizdus reklamai visuomenės informavimo priemonėse be šio žmogaus sutikimo; 4) filmuoti ir fotografuoti asmenį su aiškiais fiziniais trūkumais be šio asmens sutikimo arba filmuoti ir fotografuoti asmenį jam esant bejėgiškos būklės dėl sveikatos sutrikimo; 5) filmuoti, fotografuoti vaiką ar daryti jo garso ir vaizdo įrašus be nors vieno iš tėvų, globėjų ar rūpintojų ir paties vaiko sutikimo. Draudžiama naudoti vaikų fotografijas, garso ar vaizdo įrašus erotinio, pornografinio ir smurtinio pobūdžio informacijose; 6) be mirusiojo ar žuvusiojo šeimos narių sutikimo filmuoti, fotografuoti mirusįjį ar žuvusįjį stambiu planu ar daryti jo vaizdo įrašus. 2. Šio straipsnio 1 dalyje nurodyti draudimai netaikomi fiksuojant teisės pažeidimus ir šio įstatymo 14 straipsnio 3 dalyje nurodytais atvejais

3 PRINCIPO PAŽEIDIMO TEISMŲ PRAKTIKA -1 byla
VDAI, nagrinėdama asmens skundą nustatė, kad duomenų valdytojas lojalumo kortelei išduoti naudojamoje anketoje ją pildančio asmens reikalauja pateikti tokius asmens duomenis: vardas, pavardė, asmens kodas, lytis, gyvenamoji vieta, telefono numeris, el. pašto adresas. Duomenų valdytojas tvarko klientų asmens kodą, tačiau asmens kodas nėra naudojamas jokiems tikslams įgyvendinti. - Duomenų valdytojo naudojamojoje anketoje nustatyta, kad šioje anketoje nurodytų duomenų tvarkymo tikslas yra taškų, suteikiamų asmenims, atsiskaitantiems duomenų valdytojo valdomame prekybos tinkle duomenų valdytojo lojalumo kortelėms, apskaita bei informacijos apie prekybos tinkle vykdomas akcijas siuntimas kortelės turėtojui. Duomenų valdytojas tvarkydamas perteklinį asmens duomenį – asmens kodą – pažeidžia ADTAĮ 3 str. 1 d. 4 p.. Už šį pažeidimą VDAI duomenų valdytojui pagal ATPK surašė administracinio teisės pažeidimo protokolą. Vilniaus m. apylinkės teismas administracinio teisės pažeidimo protokolu, bylos medžiaga nustatė, kad duomenų valdytojo direktorius padarė pažeidimus, numatytus ATPK 214,14 straipsnio 1 d. ir str. 1 d. ir duomenų valdytojo direktorių pripažino kaltu padarius šiuos pažeidimus ir paskyrė jam baudą.

Sprendimas buvo apskųstas, motyvuojant tuo, kad ADTAĮ 3 str. 1 d. 4 p. nepateiktas baigtinis sąrašas duomenų, kuriuos galima rinkti ir tvarkyti, tai paliekant nusistatyti pačiam duomenų valdytojui. Duomenų valdytojas savo klientams, išreiškusiems tokį norą, suteikia korteles, kuriomis fiksuojami klientų renkami taškai, vėliau tampantys materialine nauda, t. y. už juos teikiamos dovanos, nuolaidos. Todėl asmenų, kuriems yra išduodamos tokios kortelės, tikslus identifikavimas užtikrina, kad kortelės teikiama materialinė nauda tektų būtent konkrečiam asmeniui. Kortelės praradimo atveju duomenų valdytojas užtikrina sukauptų lojalumo programoje taškų išsaugojimą, o tam būtina asmenį tiksliai identifikuoti. LVAT konstatavo, kad asmens identifikavimas, kiek tai yra būtina duomenų valdytojui vykdant lojalumo programą, yra galimas ir pagal kitus duomenis. Lojalumo taškų skaičiavimas, nuolaidų teikimas, kortelių teikimas ir kiti veiksmai gali būti atliekami ir nežinant bei netvarkant lojalumo programoje dalyvaujančio kliento asmens kodo. Teismas pripažino, kad duomenų valdytojas pažeidė ADTAĮ 3 str. 1 d. 4 p. nustatytą principą ir pripažino, kad apeliantas pagrįstai patrauktas administracinėn atsakomybėn.

VDAI išnagrinėjusi asmens skundą nustatė, kad valstybės institucija gavo piliečio (pareiškėjo) prašymą ištirti kito piliečio (ne pareiškėjo) veiksmų, įsigyjant žemės sklypus Trakų rajono Onuškio apylinkėse, teisėtumą. Valstybės institucija parengė atsakymą į minėtą prašymą, kuriame nurodyti pertekliniai kito piliečio (ne pareiškėjo) asmens duomenys (gyvenamosios vietos adresas, šio piliečio turimų žemės sklypų buvimo vieta, paskirtis, dydis, vertė) ir taip pažeistas ADTAĮ 3 str. 1 d. 4 p. reikalavimas, kad asmens duomenys turi būti tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti. Vilniaus m. apylinkės teismas konstatavo, kad, palyginus VĮ Registrų centro Nekilnojamojo turto registro centrinio duomenų banko išraše, kuris yra viešojoje duomenų bazėje ir internetu visiems prieinamas, nurodytus duomenis ir valstybės institucijos atsakyme nurodytus piliečio (ne pareiškėjo) duomenis, jie iš esmės yra identiški. Atsižvelgiant į tai, teismas konstatavo, kad valstybės institucijos veiksmai negali būti vertinami kaip ADTAĮ pažeidimas ir administracinio teisės pažeidimo bylą nutraukė.

VDAI apeliacine tvarka LVAT apskundė apylinkės teismo nutarimą, motyvuojant tuo, kad teismas netinkamai taikė ADTAĮ. Pagal ADTAĮ 3 str. 1 d. 1 ir 4 p. asmens duomenų apimtis siejama su asmens duomenų tvarkymo tikslais. Todėl valstybės institucija pareiškėjui galėjo pateikti tik tiek asmens duomenų, kiek jų reikėjo jo prašymui išnagrinėti, t. y., kiek jie yra susiję su piliečio (ne pareiškėjo) turimu sklypu Trakų rajone. Skunde nurodoma, kad teismas nepagrįstai siejo Nekilnojamojo turto registro duomenų viešumą su valstybės institucijos veikla. ADTAĮ numatyti duomenų apsaugos principai taikomi nepriklausomai nuo duomenų prieinamumo. Apeliaciniu skundu VDAI Teismo prašė panaikinti pirmosios instancijos teismo nutarimą ir grąžinti bylą pirmosios instancijos teismui nagrinėti iš naujo. LVAT konstatavo, kad ADTAĮ 3 str., jame įvardytų asmens duomenų tvarkymo principų laikymosi nesieja su asmens duomenų viešumo apimtimi, t. y. šie bendrieji principai taikytini visiems asmens duomenims tvarkyti. Todėl valstybės institucija, kaip asmens duomenų tvarkytojas, vykdydama viešojo administravimo funkcijas (nagrinėdama pareiškėjo prašymą), privalėjo vadovautis ADTAĮ 3 str. nurodytais bendraisiais duomenų tvarkymo principais. Teismas konstatavo, kad išdėstytų motyvų pagrindu darytina išvada, jog pirmosios instancijos teismo išvados, kad asmens duomenims, kurie skelbiami viešame registre, tvarkyti netaikomos specialaus Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatos, reglamentuojančios asmens duomenų tvarkymo principus, yra nepagrįstos. Teismas apeliacinį skundą patenkino.

VDAI , nagrinėdama asmens skundą, nustatė, kad policijos pareigūnai, sulaikę pareiškėją dėl kelių eismo taisyklių pažeidimo bei siekdami nustatyti jo tapatybę, tikrino pareiškėjo asmens duomenis ir sudarė jo genealoginį medį. Duomenis apie pareiškėjo giminystės ryšius atspausdino ir pridėjo prie administracinio teisės pažeidimo bylos kaip įrodymus, kad administracinį teisės pažeidimą padarė pareiškėjas. VDAI pateikė Policijos departamentui nurodymą panaikinti programinę priemonę, suteikiančią teisę apjungti iš Gyventojų registro gaunamus asmens duomenis ir juos apjungus sudaryti genealoginį medį, nes naršyklės priemonė veikia nesant tam jokio teisinio pagrindo, dėl to pažeidžiamas ADTAĮ 3 str. 1 d. 2 p. Policijos departamentas apskundė VDAI nurodymą teigdamas, kad naršyklės programinė priemonė būtina įgyvendinant LR Policijos veiklos įstatyme numatytus uždavinius, LR Organizuoto nusikalstamumo užkardymo įstatymo, LR Operatyvinės veiklos įstatymo, LR Ginklų ir šaudmenų kontrolės įstatymo nuostatas. Vilniaus apygardos administracinis teismas konstatavo, kad tokios programinės priemonės naudojimas atitinka ADTAĮ 5 str. 1 d. 6 p. įtvirtintą asmens duomenų teisėto tvarkymo kriterijų. Šiuo atveju programinė priemonė, leidžianti apjungti duomenis iš Gyventojų registro ir sudaryti asmens genealoginį medį, yra reikalinga siekiant teisėto intereso, t. y. įgyvendinti policijai įstatymu nustatytus uždavinius, ir šiuo atveju pripažinta, kad duomenų subjekto interesai nėra svarbesni. Teismas priėmė sprendimą panaikinti VDAI nurodymą.

Vilniaus apygardos administracinio teismo sprendimas buvo apskųstas LVAT LVAT nustatė, kad PD Kelių eismo taisyklių pažeidimų duomenų bazėje renka ir tvarko ne tik pažeidėjo asmens duomenis, bet ir apie jo senelius, dėdes, tetas, brolius, seseris, pusbrolius, pusseseres, pusbrolių ir pusseserių vaikus. Šių duomenų saugojimo laikas nenustatytas. Jokiais teisės aktais nėra nustatyta, kad duomenų bazėje apie KET pažeidimus turi ar gali būti formuojamas pažeidėjo genealoginis medis. Apie tokį asmens duomenų tvarkymą duomenų subjektai nėra informuojami. Teismas konstatavo, kad sudarant KET pažeidėjo genealoginį medį yra tvarkomi ne tik pažeidėjo, bet ir daugelio kitų asmenų asmens duomenys, o tai niekaip nėra susiję nei su padarytu KET pažeidimu, nei su Policijos veiklos įstatymo 5 str. 1 d., Operatyvinės veiklos įstatymo 7 str. 1 d. 11 p. ar Ginklų ir šaudmenų kontrolės įstatymo 17 str. 1 d. 9 p. nuostatomis. Tokie duomenys, sudarant teisės pažeidėjo genealoginį medį, galėtų būti tvarkomi tik asmeniui, dėl kurio atliekamas operatyvinis tyrimas, bet ne asmeniui, pažeidusiam Kelių eismo taisykles. Teismas pripažino Valstybinės duomenų apsaugos inspekcijos nurodymą pagrįstu.

ADTAĮ taikymo teismų praktika – 1 byla
VDAI išnagrinėjo asmens skundą, kuriuo valstybės tarnautojas skundė darbdavio įsakymą dėl tarnybinės nuobaudos skyrimo. - dviem valstybės tarnautojams buvo paskirtos tarnybinės nuobaudos, jame buvo nurodyta valstybės tarnautojų vardas, pavardė, pareigos ir tarnybinė nuobauda. VDAI priėmė sprendimą, kad valstybės tarnybos santykiai yra viešojo valstybės gyvenimo sritis ir jie nėra susiję su privačiu žmogaus gyvenimu. Atsižvelgiant į tai, skundžiamu atveju valstybės tarnautojo vardo, pavardės, pareigų, tarnybinės nuobaudos atskleidimas kitam asmeniui nepatenka į ADTAĮ taikymo sritį. Tarnautojai nesutiko, kad pareiškėjo duomenų atskleidimas kitam asmeniui nepatenka į ADTAĮ taikymo sritį. Jis pažymėjo, kad VDAĮ nesirėmė net valstybės tarnautojo sąvoka, nurodyta LR Valstybės tarnybos įstatyme, kuri parodo, kad valstybės tarnautojas yra fizinis asmuo ir nenumato išimčių dėl šio fizinio asmens apsaugos. ADTAĮ 1 str. 2 d., 2 str. 1 d. numato apsaugą fiziniams asmenims, t. y. ir valstybės tarnautojams.

AT konstatavo, kad ADTAĮ 1 str. 1 d. nustatyta, kad įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę ryšium su asmens duomenų tvarkymu. Pagal LR VTĮ - valstybės tarnautoju laikytinas fizinis asmuo, einantis pareigas valstybės tarnyboje ir atliekantis viešojo administravimo veiklą, o būtent valstybės tarnyba – teisinių santykių, atsirandančių įgijus valstybės tarnautojo statusą visuma. LR VTĮ apibrėžia, kas laikytina tarnybiniu nusižengimu, tai yra valstybės tarnautojo pareigų neatlikimas arba netinkamas atlikimas dėl valstybės tarnautojo kaltės. Priimtas darbdavio įsakymas dėl tarnybinės nuobaudos buvo priimtas asmeniui, kaip valstybės tarnautojui, už jo netinkamą pareigų atlikimą. Šiuo atveju darbdavys įsakyme jokių privačių asmens duomenų neatskleidė, įsakyme nurodyti duomenys, kurie susiję su tiesioginiu valstybės tarnautojų pareigų atlikimu – asmenų vardai, pavardės, pareigos, už personalo duomenų tvarkymą atsakinga specialistė.

LR Konstitucinis Teismas (Žin., 2000, Nr ), konstatavo, kad privataus gyvenimo teisinė samprata siejama su asmens būsena, kai asmuo gali tikėtis privatumo, su jo teisėtais privataus gyvenimo lūkesčiais. O jei asmuo atlieka viešojo pobūdžio veikas ir tą supranta arba turi ir gali suprasti, tai tokios viešojo pobūdžio veikos nebus apsaugos objektas pagal Konstitucijos 22 ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos 8str. , ir asmuo negali tikėtis privatumo. Valstybės tarnautojų veikla susijusi su valstybės bei savivaldybių valdžios ir valdymo funkcijų įgyvendinimu, visada yra vieša. Šiuo atveju asmuo būdamas valstybės tarnautoju atliko valstybės tarnautojui pavestas funkcijas ir jis neturėjo savo fizinio asmens savybių sutapatinti su valstybės tarnautojo statusu, kuriam suteiktas specialus statusas, numatantis tam tikras privilegijas, bet taip pat kaip viešam asmeniui numatantis tam tikrus apribojimus. Tarnybinė veikla yra visada vieša, tarnybinė nuobauda tuo pačiu įsakymu skirta kitam valstybės tarnautojui, todėl asmens teisė į privatų žmogaus gyvenimą nebuvo pažeista. Taigi darbdavys, priimdamas įsakymą, atliko savo, kaip darbdavio, funkcijas, nepažeisdamas asmens, valstybės tarnautojo, teisių į jo privataus gyvenimo apsaugą. Teismas asmens skundą atmetė kaip nepagrįstą.

ASMENS DUOMENŲ TVARKYMO ŠIRVINTŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLĖS
III. ASMENS DUOMENŲ TVARKYMAS 14. Asmens duomenys tvarkomi ir teikiami atitinkamoms institucijoms vadovaujantis ADTAĮ, LR valstybinio socialinio draudimo įstatymu, LR gyventojų pajamų mokesčių įstatymu, LR valstybės tarnybos įstatymu bei kitais teisės aktais. 15. Administracijoje tvarkomi tokie duomenų subjektų asmens duomenys: asmens vardas ir pavardė, gimimo data, asmens kodas, pilietybė, gyvenamoji vieta, darbovietės pavadinimas ir pareigos, šeiminė padėtis, asmens tapatybę patvirtinančio dokumento numeris, socialinio draudimo pažymėjimo numeris, valstybės tarnautojo pažymėjimo numeris, ypatingi asmens duomenys: informacija apie teistumą, sveikatą, kai kurie kiti asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio ar socialinio pobūdžio duomenys. 16. Duomenų subjektų asmens duomenys saugomi asmens bylose bei atitinkamose Administracijos tvarkomose duomenų bazėse. 17. Pretendentų į valstybės karjeros tarnautojų ar darbuotojų, dirbančių pagal darbo sutartis, pareigas, asmens duomenys Administracijoje saugomi tiek laiko, kiek pagal įstatymus ar kitus teisės aktus turi būti saugomi dokumentai ar bylos, kuriuose šie duomenys yra nurodyti

ASMENS DUOMENŲ TVARKYMO ROKIŠKIO RAJONO SAVIVALDYBĖS ADMINISTRACIJOJE TAISYKLĖS
15. Savivaldybė, įgyvendindama savarankiškąsias ir valstybines (valstybės perduotas savivaldybėms) funkcijas, asmens duomenis tvarko šiais tikslais: Civilinės metrikacijos skyrius – registruodamas civilinės būklės aktus ir su registravimu susijusias kitas funkcijas, naudoja šiuos asmens duomenis: vardas, pavardė, gimimo data, asmens kodas, gimimo vieta, tautybė, pilietybė, įrašo sudarymo data, vieta ir numeris, mirties data, mirties vieta, mirties priežastis, santuokos sudarymo data ir vieta, santuokos nutraukimo data, pareiškėjo vardas, pavardė ir gyvenamoji vieta. Naudojasi Gyventojų registro duomenų baze ir jų sukurtomis programomis, Dokumentų valdymo sistema Juridinis ir personalo skyrius – tvarkydamas Administracijos valstybės tarnautojų, darbuotojų, dirbančių pagal darbo sutartis, Pretendentų į valstybės karjeros tarnautojų asmens bylas, naudoja šiuos duomenis: asmens vardas ir pavardė, gimimo data, asmens kodas, pilietybė, gyvenamoji vieta, darbovietės pavadinimas ir pareigos, šeiminė padėtis, asmens tapatybę patvirtinančio dokumento numeris, valstybės tarnautojo pažymėjimo numeris, diplomas ar kitas dokumentas, ypatingi asmens duomenys: informacija apie teistumą, sveikatą, taip pat kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos būtina tvarkyti užtikrinant tinkamą vidaus administravimą, naudojasi Valstybės tarnautojų registru VATARAS, Privačių interesų deklaracijų informacine sistema IDIS, Sodros duomenų baze, Lietuvos teismų elektroninių paslaugų portalu EPP, Dokumentų valdymo sistema. Teikdamas valstybės garantuojamą pirminę teisinę pagalbą, atstovaudamas Savivaldybei ir (ar) Savivaldybės administracijai teisėsaugos institucijose ir teismuose naudoja šiuos duomenis: asmens vardas, pavardė, asmens kodas arba gimimo data, gyvenamoji vieta, asmens deklaravimo vieta, telefono numeris, šeimyninė padėtis, deklaruojamos pajamos, duomenys apie nustatytą darbingumo lygį Statybos ir infrastruktūros plėtros skyrius – atliekant statinių, kurie neturi savininkų ar kurių savininkai nežinomi, apskaitą, naudoja šiuos asmens duomenis: asmens vardas, pavardė, asmens kodas, gyvenamoji vieta, el. pašto adresas. Naudojasi Informaciniu programiniu kompleksu SĄMATA, Dokumentų valdymo sistema, Kelių projektų informacine sistema, Nekilnojamojo turto registru Kanceliarijos skyrius – rengdamas dokumentus išduodant juridinio asmens darbuotojo leidimą dirbti ar susipažinti su įslaptinta informacija naudoja asmens duomenis: vardas, pavardė, gimimo vieta ir data. Naudojasi Dokumentų valdymo sistema, Teisės aktų informacine sistema.

Tvarkytinų asmens duomenų rekomendacijos
Tvarkymo tikslas Teisinis pagrindas Tvarkomi duomenys Saugojimo terminas Mokymo sutarčių apskaitos mokinių, jų tėvų (ar globėjų) vardai, pavardės, gyvenamoji vieta ir telefonų numeriai Žurnalų pildymo mokinio vardas, pavardė, klasė, mokslo metai, įvertinimai, asmens bylos numeris, tėvų (ar globėjų) vardai, pavardės, gyvenamoji vieta, telefono numeriai Įvairių pažymėjimų (pvz.: apie dalyvavimą konkurse) mokinio vardas, pavardė, pažymėjimo serija, numeris, išdavimo data, registracijos numeris, renginio pavadinimas. Moksleivių krepšelio paskaičiavimo tikslu - privalomai tvarko moksleivių vardą, pavardę, asmens kodą, lytį, gimimo datą, mokytis į mokyklą atvykimo/išvykimo duomenis, bendrus duomenis apie mokslą (kalba, kuria mokosi, kalbos, kurių mokosi, mokymosi forma, pažymėjimai, mokyklos baigimo data, socialiai remtinas/remiamas, klasė, prailgintos dienos grupė, kurso kartojimas, mokymosi profilis ir pakraipa, mokinio bylos numeris); - neprivalomai gali tvarkyti: adresą, telefono numerį, tėvų, globėjų ar rūpintojų vardus, pavardes bei kontaktinius telefonus. Neprivalomų asmens duomenų sąrašas turi būti patvirtintas mokyklos direktoriaus įsakymu (rekomenduotina nurodyti įsakymo datą ir numerį). Neprivalomi duomenys bei duomenys apie sveikatą tvarkomi tik esant duomenų subjekto savanoriškam sutikimui. Sutikimas tvarkyti ypatingus asmens duomenis turi būti išreikštas aiškiai – rašytine, jai prilyginta ar kita forma, neabejotinai įrodančia duomenų subjekto valią .

Tvarkytinų asmens duomenų rekomendacijos
Tvarkymo tikslas Teisinis pagrindas Tvarkomi duomenys Specialiojo ugdymo komisijos darbo organizavimo ir vykdymo tikslu mokinio vardas, pavardė, gimimo data, gyvenamoji vieta, telefono numeris, sutrikimai. Ypatingi asmens duomenys (pvz., specialieji moksleivio poreikiai) gali būti tvarkomi tik esant tėvų (globėjų) raštiškam sutikimui Pagrindinio ugdymo pasiekimų patikrinimo (pvz., egzaminų) organizavimo ir vykdymo tikslu mokinio vardas, pavardė, asmens kodas, kalba, kuria mokosi. Užklasinės veiklos organizavimo tikslu - mokinio vardas, pavardė, klasė, vadovas, mokslo metai Nemokamo maitinimo organizavimo tikslu – mokinio vardas, pavardė, gimimo data (gal galima klasę ar amžių?) Mokyklos nelankančių moksleivių apskaitos tikslu – mokinio vardas, pavardė, klasė, gimimo data. Kiti apibrėžti ir teisėti tikslai ***************************************************************

DUOMENŲ SUBJEKTO TEISIŲ UŽTIKRINIMAS
Reglamentas įtvirtina naujas duomenų subjekto teises: – teisę būti pamirštam bei teisę į duomenų perkeliamumą, išplečia duomenų subjekto teisių turinį. 4 žingsnis. DUOMENŲ SUBJEKTO TEISIŲ UŽTIKRINIMAS Atsižvelgiant į tai, valstybės ir savivaldybių institucijos ir įstaigos turėtų peržiūrėti savo srities teisės aktus, vidinius dokumentus, kuriais reglamentuojama duomenų subjektų teisių įgyvendinimo tvarka. REKOMENDUOJAMA peržiūrėti visas procedūras, kokios yra taikomos duomenų subjekto teisėms įgyvendinti, ir nuspręsti, ką Jūs darytumėte, jeigu Subjektas paprašytų įgyvendinti jo teisę būti pamirštam. Ar Jūsų valdomos sistemos sugebėtų nustatyti ir ištrinti tvarkomus jo asmens duomenis? Kas galės priimti sprendimus dėl asmens duomenų ištrynimo?

ASMENS DUOMENŲ SUBJEKTO TEISĖS
13 str. Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto 1. Duomenų valdytojas imasi tinkamų priemonių, kad visą nurodytą informaciją, susijusią su duomenų tvarkymu, Subjektui būtu pateikta glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Valdytojas sudaro palankesnes sąlygas naudotis 15– 22 str. nustatytomis duomenų subjekto teisėmis. . 14 str. Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto 15 str. Duomenų subjekto teisė susipažinti su duomenimis 16 str. Teisė reikalauti ištaisyti duomenis 17 str.Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“) 18 str. Teisė apriboti duomenų tvarkymą () 19 str. Prievolė pranešti apie asmens duomenų ištaisymą ar ištrynimą arba duomenų tvarkymo apribojimą 20 str. Teisė į duomenų perkeliamumą 21 str. Teisė nesutikti 22 str. Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą 34 str. Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą

Bendrosios teisių įgyvendinimo sąlygos: skaidrumo principo įgyvendinimas
BDAR nustato bendrąsias duomenų subjekto teisių įgyvendinimo sąlygas: Nemokamai, išskyrus Reglamente nustatytus atvejus Galimybė pateikti prašymą elektroniniu būdu. Duomenų subjekto tapatybės nustatymas. Duomenų valdytojas turės nurodyti priežastis, dėl kurių neketina įgyvendinti prašymo, ir informuoti duomenų subjektą apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti kitomis teisių gynimo priemonėmis Subjektui teikiama informacija ir pranešimai bei visi Valdytojo veiksmai, atliekami siekiant įgyvendinti duomenų subjekto teises, yra nemokami. Kai subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, valdytojas gali: imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba gali atsisakyti imtis veiksmų pagal prašymą Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas

Duomenų valdytojas nepagrįstai nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, pateikia duomenų subjektui informaciją apie veiksmus, kurių imtasi gavus prašymą. Terminas gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių Duomenų valdytojas per vieną mėnesį nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdamas vėlavimo priežastis Kai duomenų subjektas prašymą pateikia elektroninės formos priemonėmis, informacija jam taip pat pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip

Jei duomenų valdytojas nesiima veiksmų pagal duomenų subjekto prašymą, jis privalo nedelsdamas, tačiau ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, informuoti duomenų subjektą apie: neveikimo priežastis ir apie galimybę pateikti skundą priežiūros institucijai bei pasinaudoti teisių gynimo priemone Jeigu dėl tikslų, kuriais duomenų valdytojas tvarko asmens duomenis, duomenų valdytojui nebūtina ar nebėra būtina nustatyti duomenų subjekto tapatybės, duomenų valdytojas nėra įpareigojamas laikyti, gauti ar tvarkyti papildomą informaciją duomenų subjekto tapatybei nustatyti vien tam, kad būtų laikomasi BDAR nuostatų (BDAR 11 straipsnis). Jei dėl aukščiau minėtų priežasčių duomenų valdytojas neturi galimybės nustatyti duomenų subjekto tapatybės, 15 –20 straipsniai netaikomi, išskyrus atvejus, kai duomenų subjektas, siekdamas pasinaudoti pagal tuos straipsnius jam suteiktomis teisėmis, pateikia papildomos informacijos, leidžiančios nustatyti jo tapatybę.

SKAIDRAUS SUBJEKTO INFORMAVIMO PRINCIPO ĮGYVENDINIMAS
(58) Pagal skaidrumo principą visuomenei arba duomenų subjektui skirta informacija turi būti glausta, lengvai prieinama ir suprantama, pateikiama aiškia ir paprasta kalba ir, be to, prireikus naudojamas vizualizavimas. Tokia informacija galėtų būti pateikta elektronine forma, pavyzdžiui, interneto svetainėje, kai ji skirta viešai paskelbti. - Tai ypač svarbu tais atvejais, kai dėl dalyvių gausos ir naudojamų technologijų sudėtingumo Subjektui sunku suvokti ir pastebėti, ar jo asmens duomenys renkami, kas juos renka ir kokiu tikslu. Atsižvelgiant į tai, kad vaikams turi būti užtikrinta ypatinga apsauga, informacija ir pranešimai, kai duomenų tvarkymas orientuotas į vaiką, turėtų būti suformuluoti vaikui lengvai suprantama aiškia ir paprasta kalba; (59) Turėtų būti sudarytos sąlygos palengvinti duomenų subjekto naudojimąsi savo teisėmis, įskaitant mechanizmus, kaip prašyti ir atitinkamais atvejais visų pirma nemokamai gauti galimybę susipažinti su asmens duomenimis ir juos ištaisyti ar ištrinti bei pasinaudoti teise nesutikti. Valdytojas turėtų sudaryti sąlygas pateikti prašymus elektroniniu būdu, ypač tais atvejais, kai asmens duomenys tvarkomi elektroniniu būdu. Valdytojas turėtų į duomenų subjekto prašymus atsakyti nepagrįstai nedelsdamas ir ne vėliau kaip per vieną mėnesį ir nurodyti priežastis, kai jis neketina patenkinti prašymų;

duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis;
Duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją: duomenų valdytojo ir, jeigu taikoma, duomenų valdytojo atstovo tapatybę ir kontaktinius duomenis duomenų apsaugos pareigūno, jeigu taikoma, kontaktinius duomenis; Duomenų tvarkymo tikslus ir tvarkymo teisinį pagrindą teisėtus duomenų valdytojo arba trečiosios šalies interesus (kai tvarkymas grindžiamas BDAR 6 straipsnio 1 dalies f punktu) asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai 5) apie tam tikras duomenų subjekto teises, įskaitant teisę pateikti skundą VDAI. [13 str]. TEISĖ BŪTI INFORMUOTAM, KAI DUOMENYS RENKAMI IŠ DUOMENŲ SUBJEKTO Informuoti neprivaloma tik tada, jei duomenų tvarkymą numato įstatymas. Kai asmens duomenys renkami ne iš duomenų subjekto, papildomai pateikiama informacija: apie atitinkamų asmens duomenų kategorijas, asmens duomenų kilmės šaltinius [14 str.] 74

Teisė būti informuotam, kai duomenys renkami iš duomenų subjekto
Duomenų valdytojas duomenų rinkimo metu taip pat pateikia šią informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti: asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti informaciją apie duomenų subjekto teisių įgyvendinimą teisę bet kuriuo metu atšaukti sutikimą, nedarant poveikio sutikimu grindžiamo duomenų tvarkymo iki sutikimo atšaukimo teisėtumui (taikoma, kai duomenų tvarkymas grindžiamas sutikimu) teisę pateikti skundą priežiūros institucijai tai, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį, taip pat tai, ar duomenų subjektas privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes tai, kad vykdomas automatizuotas sprendimų priėmimas, įskaitant profiliavimą, ir pateikiama kita su tuo susijusi informacija (numatomos pasekmės duomenų subjektui ir kt.)

2. Subjektas turi tisę susipažinti su savo asmens duomenimis, įskaitant informacijos šaltinį, šių duomenų saugojimo tikslą ir potencialius jų gavėjus 1. Subjektas turi teisę iš Valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi ir susipažinti su jais, gaunant informaciją apie: 1) duomenų tvarkymo tikslus ir atitinkamas jų kategorijas; 2) ) duomenų gavėjus, ypač iš trečių valstybių ar tarptautinių organizacijų; 3) duomenų saugojimo laikotarpį arba kriterijus laikotarpiui nustatyti; 4) Valdytojo patvirtinimą apie subjekto teisę reikalauti duomenis taisyti, naikinti ar skųstis į priežiūros institucijoms; 5) kai duomenys renkami ne iš Subjekto, visa turima informacija apie jų šaltinius; 6) Loginį pagrindimą dėl 22 str. 1 ir 4 d. numatyto automatizuoto sprendimų priėmimo (įskaitant profiliavimą) taikymo. Reglamento 15 str.. išplečiamas Subjekto teisės susipažinti su savo asmens duomenimis turinys

DUOMENŲ SUBJEKTO TEISĖ SUSIPAŽINTI SU SAVO DUOMENIMIS
Įgyvendinant Subjekto teisę susipažinti su savo asmens duomenimis, tais atvejais, kai Valdytojas tvarko didelį informacijos, susijusios su duomenų subjektu, kiekį, jis prieš teikdamas informaciją gali prašyti Subjekto nurodyti, dėl kokios informacijos ar duomenų tvarkymo veiklos pateiktas prašymas. 2. Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, Subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones, numatytas 46 str. . Atkreiptinas dėmesys, kad apie duomenų šaltinius informacija duomenų subjektui turės būti pateikta tik tuo atveju, jeigu asmens duomenys gauti ne iš duomenų subjekto.

TEISĖ REIKALAUTI IŠTAISYTI ASMENS DUIOMENIS
Duomenų subjektas turi teisę reikalauti, kad Valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, Subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, pateikdamas papildomą pareiškimą [ 16 str.]

TEISĖ REIKALAUTI IŠTRINTI DUOMENIS ( „TEISĖ BŪTI PAMIRŠTAM“)
1. Subjektas turi teisę reikalauti, kad Valdytojas ištrintų su juo susijusius asmens duomenis, Valdytojas privalo nepagrįstai nedelsdamas ištrinti duomenis šiais atvejais: [ 17str. ]. asmens duomenys nebereikalingi tvarkymo tikslams, kuriems buvo renkami; subjektas atšaukia sutikimą ir nėra jokio kito teisinio pagrindo tvarkyti duomenis ( 6 , 9 str.); subjektas nesutinka su duomenų tvarkymu pagal 21 str. 1 d. ( atšaukia savo duotą sutikimą)ir nėra viršesnių teisėtų priežasčių juos tvarkyti arba Subjektas nesutinka su duomenų tvarkymu pagal 21 str. 2 dalį;(duomenys tvarkomi rinkodaros tikslais) asmens duomenys buvo tvarkomi neteisėtai; asmens duomenys turi būti ištrinti laikantis duomenų valdytojui nustatytos teisinės prievolės asmens duomenys buvo surinkti informacinės visuomenės paslaugų siūlymo kontekste (BDAR 8 str

17 str. 2 d. „Teisės būti pamirštam„ įgyvendinimas
Atkreiptinas dėmesys, jog ši teisė pagal Reglamento 17 str. 3 d. nėra taikoma, jeigu: Duomenų tvarkymas yra būtinas siekiant laikytis ES ar LR teise nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis, arba siekiant atlikti užduotį, vykdomą viešojo intereso labui, arba vykdant duomenų valdytojui viešosios valdžios institucijos funkcijas; Dėl viešojo intereso priežasčių visuomenės sveikatos srityje; Archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais; Siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus. 2. Kai Valdytojas viešai paskelbė asmens duomenis ir privalo juos ištrinti, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.

18 str. Teisė apriboti duomenų tvarkymą
1. Subjektas turi teisę reikalauti, kad Valdytojas apribotų duomenų tvarkymą vienu iš šių atvejų: Subjektas užginčija duomenų tikslumą laikotarpiui, per kurį valdytojas gali patikrinti jų tikslumą; duomenų tvarkymas yra neteisėtas ir subjektas nesutinka, kad jie būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą; valdytojui nebereikia asmens duomenų jų tvarkymo tikslais, tačiau jų reikia subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; subjektas pagal 21 str. 1 d. paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar valdytojo teisėtos priežastys yra viršesnės už subjekto priežastis 2. Kai duomenų tvarkymas yra apribotas, tokius duomenis galima tvarkyti, išskyrus saugojimą: tik gavus Subjekto sutikimą; siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus, apsaugoti kito fizinio ar juridinio asmens teises, dėl svarbių ES ar valstybės narės viešojo intereso priežasčių. 3. Duomenų subjektą, kuris pasiekė, kad būtų apribotas duomenų tvarkymas pagal 1 dalį, valdytojas informuoja prieš panaikinant apribojimą tvarkyti duomenis.

Kai asmens duomenis norima tvarkyti, remiantis šiais teisiniais pagrindais:
duomenis tvarkyti būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso; vykdant Valdytojui pavestas viešosios valdžios funkcijas, vadovaujantis Valdytojo arba trečiosios šalies teisėtais interesais, Duomenų subjektas vis tiek turi teisę nesutikti su bet kokių su jo konkrečiu atveju susijusių asmens duomenų tvarkymu. Pareiga įrodyti, kad įtikinamas teisėtas Valdytojo interesas yra viršesnis už Subjekto interesus arba pagrindines teises ir laisves, tenka Valdytojui [ 21 str.] 4. Duomenų subjektas gali prieštarauti, kad būtų tvarkomi jo asmens duomenys. Institucijos privalo ištirti prašymą ir jei šis prašymas yra pagrįstas, jį patenkinti. Bet kokiu atveju institucija privalo informuoti duomenų subjektą apie savo sprendimą. Kai duomenys tvarkomi tiesioginės rinkodaros tikslais, Subjektas gali bet kuriuo metu nesutikti, kad jie būtų tvarkomi šiais tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara. Tokiu atveju asmens duomenys nebetvarkomi. Subjektas apie teisę nesutikti aiškiai informuojamas ne vėliau kaip pirmą kartą su juo susisiekus, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos. Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais pagal 89 str. 1 dalį, Subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad duomenys būtų tvarkomi, išskyrus atvejus, kai juos tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių 82

Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam daro didelį poveikį. [ BADAR 22 str.] Toks duomenų tvarkymas apima "profiliavimą", kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, siekiant analizuoti arba įvertinti darbo rezultatus, ekonominę padėtį, sveikatos būklę, pomėgius ar interesus, lojalumą, judėjimą, kai tai gali sukelti teisinių pasekmių arba daryti didelį poveikį subjektui. Tokia priemonė negali būti susijusi su vaiku. Toks tvarkymas leidžiamas, jeigu sprendimas: yra būtinas siekiant sudaryti arba vykdyti sutartį tarp Subjekto ir Valdytojo; yra aiškiai teisės aktais leidžiamas Valdytojui, (ypač sukčiavimo, mokesčių slėpimo stebėsenos ir prevencijos tikslais), laikantis ES ar nacionalinių priežiūros institucijų taisyklių ir standartų. yra pagrįstas aiškiu duomenų subjekto sutikimu 1 ir 3 punktuose nurodytais atvejais Valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos Subjekto teisės bei laisvės ir teisėti interesai, Leidimas tvarkyti duomenis negrindžiamas 9 str. 1 d. nurodytais specialių kategorijų duomenimis, nebent taikomi 9 str. 2 d. a arba g punktai ir yra nustatytos tinkamos priemonės Subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

PROFILIAVIMAS Profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, - visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu; fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, - pavyzdžiui, IP adresais, slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie visų pirma kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

TEISĖ Į DUOMENŲ PERKELIAMUMĄ
Pvz., iš internetinio knygyno asmens įsigytų knygų pavadinimai arba naudojantis srautinio muzikos siuntimo paslauga klausomos dainos yra asmens duomenų, kuriems paprastai taikomas duomenų perkeliamumas, pavyzdžiai, nes šie duomenys tvarkomi pagal duomenų subjekto sudarytą sutartį. Reglamento 20 str. sukuriama nauja teisė į duomenų perkeliamumą, kuri yra glaudžiai susijusi su teise susipažinti su duomenimis, tačiau nuo jos daugeliu atžvilgių skiriasi. Šia teise duomenų subjektams suteikiama galimybė gauti asmens duomenis, kuriuos jie pateikė Valdytojui: susistemintu, įprastai naudojamu; ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui. Kadangi teise į duomenų perkeliamumą suteikiama galimybė tiesiogiai perduoti asmens duomenis iš vieno duomenų valdytojo kitam, teisė į duomenų perkeliamumą taip pat yra svarbi priemonė, padėsianti skatinti laisvą asmens duomenų srautą ES ir duomenų valdytojų konkurenciją. Ji padės pereiti nuo vieno paslaugų teikėjo prie kito ir taip skatins naujų paslaugų kūrimą, kaip numatyta bendrosios skaitmeninės rinkos strategijoje.

Teisė į duomenų perkeliamumą
Duomenų subjektas Duomenų valdytojas 1 Duomenų valdytojas 2 Prašymas Asmens duomenys Duomenų valdytojas 1 Duomenų subjektas Duomenų valdytojas 2 Asmens duomenys Asmens duomenys

TEISĖ Į DUOMENŲ PERKELIAMUMĄ
Reglamente nenustatyta bendra teisė į duomenų perkeliamumą tais atvejais, kai asmens duomenų tvarkymas nėra grindžiamas sutikimu arba sutartimi. Teisė į duomenų perkeliamumą gali būti įgyvendinama, kai asmens duomenų tvarkymas yra grindžiamas: duomenų subjekto sutikimu; sutarties vykdymu duomenys tvarkomi automatinėmis priemonėmis Reglamento: 6 str. 1 dalies 1 punktas, 6 str. 1 dalies 2 punktas 9 str. 2 dalies a punktas] Pvz., kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant valdytojui pavestas viešosios valdžios funkcijas, arba tada, kai duomenų valdytojas vykdo savo viešąsias pareigas arba teisinę prievolę. Todėl valdytojai neprivalo šiais atvejais sudaryti sąlygas perkelti duomenis. Tačiau, vadovaujantis principais, kuriais grindžiama teisė į duomenų perkeliamumą tikslinga sukurti procesus, kuriuos vykdant būtų automatiškai atsakoma į prašymus perkelti duomenis. PVZ., valdžios paslauga, suteikianti galimybę lengvai atsisiųsti praeityje pateiktas asmens pajamų mokesčio deklaracijas.

I. KOKIE YRA PAGRINDINIAI DUOMENŲ PERKELIAMUMO ELEMENTAI?
1.1. Teisė gauti asmens duomenis Šie duomenys turėtų būti perduodami susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu. Pavyzdžiui, duomenų subjektas gali pageidauti atsisiųsti savo dabartinį kūrinių sąrašą (arba klausytų kūrinių istoriją) iš srautinio muzikos siuntimo paslaugos, siekdamas išsiaiškinti, kiek kartų jis klausėsi konkrečių kūrinių, arba patikrinti, kokios muzikos jis nori įsigyti ar klausyti kitoje platformoje. Panašiai jis gali norėti atsisiųsti savo adresatų sąrašą iš saityno pašto programos, pavyzdžiui, siekdamas sudaryti vestuvių svečių sąrašą, arba atsisiųsti informaciją apie pirkinius naudojant įvairias lojalumo korteles, arba pasitikrinti savo anglies pėdsaką Pirmiausia, duomenų perkeliamumas yra Subjekto teisė gauti Valdytojo tvarkomų su duomenų subjektu susijusių asmens duomenų poaibį ir saugoti asmeniniam naudojimui. (saugomi privačiame įrenginyje arba privačioje debesijoje, nebūtinai persiunčiant juos kitam duomenų valdytojui). Šiuo aspektu duomenų perkeliamumas papildo teisę susipažinti su duomenimis

1.2. Teisė persiųsti asmens duomenis iš vieno duomenų valdytojo kitam duomenų valdytojui
Antra teisė be kliūčių persiųsti asmens duomenis iš vieno duomenų valdytojo kitam duomenų valdytojui. subjekto prašymu duomenis vienas duomenų valdytojas taip pat gali tiesiogiai persiųsti kitam, kai tai techniškai įmanoma. Remdamiesi gerąja patirtimi, Valdytojai turėtų pradėti rengti priemones, padėsiančias atsakyti į prašymus perkelti duomenis, - pvz., atsisiuntimo priemones ir programų sąsajas. Jie turėtų garantuoti, kad asmens duomenys būtų perduodami susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, nes jie turėtų būti skatinami užtikrinti formato, kuriuo duomenys teikiami tenkinant prašymą perkelti duomenis, sąveikumą. Duomenų perkeliamumas garantuoja teisę gauti asmens duomenis ir juos tvarkyti pagal duomenų subjekto pageidavimus

Valdytojai, perkeliantys duomenis, nėra konkrečiai įpareigoti prieš persiųsdami duomenis patikrinti duomenų kokybę ir ja įsitikinti. - šie duomenys turėtų būti tikslūs ir atnaujinti laikantis Reglamento 5 str. 1 d. nurodytų principų 1.3. Kontrolė Valdytojas, įgyvendinantis subjekto prašymą perkelti duomenis, nėra atsakingas už subjekto ar kitos asmens duomenis gaunančios įmonės atliekamą duomenų tvarkymą: jis tik veikia subjekto vadu. - nėra atsakingas ar naujas valdytojas laikysis duomenų apsaugos teisės; Duomenų perkeliamumu Valdytojas neįpareigojamas saugoti duomenų ilgiau negu reikalinga arba ilgiau negu nurodytą duomenų saugojimo laikotarpį. Kai prašomus asmens duomenis tvarko duomenų tvarkytojas, pagal Reglamento 28 str. jam nustatyta prievolė padėti duomenų valdytojui taikant tinkamas technines ir organizacines priemones [...] atsakyti į prašymus pasinaudoti duomenų subjekto teisėmis. Taigi, valdytojas, bendradarbiaudamas su tvarkytojais, turėtų įdiegti specialias procedūras. Kai duomenis bendrai valdo keli duomenų valdytojai, sutartyje turėtų būti aiškiai paskirstyta kiekvieno duomenų valdytojo atsakomybė už prašymų perkelti duomenis nagrinėjimą . Kartu duomenų valdytojas turėtų nustatyti apsaugos priemones, kuriomis būtų užtikrinta, kad jis tikrai veiktų duomenų subjekto vardu. - Pavyzdžiui, Valdytojai gali nustatyti procedūras, kuriomis užtikrinama, kad persiunčiami asmens duomenys tikrai yra tokio tipo, kokius duomenų subjektas nori persiųsti. Tai būtų galima padaryti gaunant duomenų subjekto patvirtinimą arba iki duomenų persiuntimo, arba anksčiau, kai duodamas pradinis sutikimas tvarkyti duomenis arba baigiama sudaryti sutartį.

Duomenis gaunantis valdytojas privalo užtikrinti, kad jam perkeliami duomenys būtų aktualūs ir jų nebūtų per daug, palyginti su tuo, kas reikalinga naujam duomenų tvarkymui. - Pvz., , jeigu prašymas perkelti duomenis teikiamas saityno pašto tarnybai, o prašymą duomenų subjektas teikia siekdamas gauti e. pašto laiškus ir juos nusiųsti į apsaugotą archyvavimo platformą, naujasis duomenų valdytojas neprivalo tvarkyti duomenų subjekto korespondencijos partnerių kontaktinių duomenų. Jeigu ši informacija nėra aktuali naujo duomenų tvarkymo tikslu, jis neturėtų būti laikoma ir tvarkoma. Bet kuriuo atveju duomenis gaunantys duomenų valdytojai neprivalo priimti ir tvarkyti asmens duomenų, persiunčiamų pagal prašymą perkelti duomenis. Kitaip tariant, priimami ir išsaugomi duomenys turėtų būti tik tie, kurie yra reikalingi ir aktualūs duomenis gaunančio duomenų valdytojo paslaugai teikti. Duomenis gaunanti organizacija tampa nauju šių asmens duomenų valdytoju ir turi laikytis Reglamento 5 str. nurodytų principų. Taigi, duomenis gaunantis naujasis duomenų valdytojas, vadovaudamasis 14 str. išdėstytais skaidrumo reikalavimais, turi aiškiai ir tiesiogiai nurodyti naujo duomenų tvarkymo tikslą prieš teikdamas bet kokį prašymą persiųsti perkeliamus duomenis.

Teisė į darbuotojų duomenų perkeliamumą paprastai taikoma tik tuo atveju, jei duomenys tvarkomi pagal sutartį, kurios viena iš šalių yra duomenų subjektas. Daugeliu atvejų šiomis aplinkybėmis sutikimas nebus laikomas laisvai duotu, nes darbdavio ir darbuotojo galios nėra vienodos. Kai kurie žmogiškųjų išteklių duomenų tvarkymo atvejai grindžiami teisėtu interesu kaip teisiniu pagrindu arba yra reikalingi konkrečioms teisinėms prievolėms įdarbinimo srityje įvykdyti. - Praktiškai teisė į duomenų perkeliamumą žmogiškųjų išteklių srityje neabejotinai bus susijusi su kai kuriomis duomenų tvarkymo operacijomis (pvz., darbo užmokesčio ir kompensacijų mokėjimo paslaugomis, vidaus samda), tačiau daugelį kitų atvejų reikės kiekvieną kartą vertinti atskirai, kad būtų galima patikrinti, ar įvykdytos visos teisės į duomenų perkeliamumą sąlygos. Galiausiai teisė į duomenų perkeliamumą taikoma tik tuo atveju, jei duomenys tvarkomi automatizuotomis priemonėmis, todėl neapima didžiosios dalies popierinių bylų

2.2. Kokiems asmens duomenims turi būti taikomas perkeliamumas?
Pagal 20 str. 1 d. teisė į duomenų perkeliamumą taikoma, jeigu atitinkami duomenys yra: - su duomenų subjektu susiję asmens duomenys, - kuriuos duomenų subjektas pateikė duomenų valdytojui. - šios teisės įgyvendinimas neturi daryti neigiamo poveikio kitų asmenų teisėms ir laisvėms [20 str. 4 d.]. 1 sąlyga Prašyme perkelti duomenis gali būti nurodyti tik asmens duomenys. Todėl bet kurie anoniminiai arba su duomenų subjektu nesusiję duomenys nebus prašymo objektas. Tačiau pseudoniminius duomenis, kuriuos galima aiškiai susieti su duomenų subjektu perkelti galima Daugeliu aplinkybių duomenų valdytojai tvarko informaciją, apimančią keleto duomenų subjektų asmens duomenis. Pvz., , telefono pokalbių, asmeninių žinučių ar interneto telefonijos išklotinėse gali būti nurodyti trečiųjų šalių, dalyvavusių priimamuose ir siunčiamuose skambučiuose, duomenys. Tačiau abonentams turėtų būti suteikta galimybė gauti šiuos duomenis pagal prašymus perkelti duomenis, nes išklotinės yra susijusios (ir) su duomenų subjektu. Vis dėlto kai tokios išklotinės persiunčiamos naujam duomenų valdytojui, šis naujas duomenų valdytojas neturėtų jų tvarkyti jokiu tikslu, kuris turėtų neigiamą poveikį trečiųjų šalių teisėms ir laisvėms

Antroji sąlyga: duomenų subjekto pateikti duomenys
Tuo tarpu netiesiogiai nustatomus ir išvedamus duomenis sukuria duomenų valdytojas, remdamasis duomenų subjekto pateiktais duomenimis. Asmens duomenys gali būti laikomi pateiktais duomenų subjekto: duomenų subjekto aktyviai ir sąmoningai pateikti duomenys (pvz., , pašto adresas, vartotojo vardas, amžius ir kt.); - duomenų subjekto pateikti duomenys, nustatyti stebėjimo būdu pagal naudojimąsi paslauga arba įrenginiu, pvz., gali būti asmens paieškos istorija, srauto duomenys ir duomenys apie vietovę. Tai gali būti ir kiti neapdoroti duomenys, pvz., nešiojamo įrenginio sekamas pulsas Taigi, sąvoka pateikti apima asmens duomenis, susijusius su duomenų subjekto veikla ar asmens elgsenos stebėjimo rezultatu, tačiau neapima duomenų, gautų atliekant vėlesnę tos elgsenos analizę. O asmens duomenys, kuriuos duomenų valdytojas sukūrė tvarkydamas duomenis, pvz., suasmenindamas paslaugas ar teikdamas rekomendacijas, suskirstydamas vartotojus į kategorijas arba juos profiliuodamas, yra duomenys, kurie išvedami arba netiesiogiai nustatomi iš duomenų subjekto asmens duomenų, ir jų atžvilgiu teisė į duomenų perkeliamumą netaikoma.

Trečioji sąlyga. Dėl asmens duomenų, susijusių su kitais duomenų subjektais
Trečiąja sąlyga siekiama užtikrinti, kad duomenys, tarp kurių yra kitų (sutikimo nedavusių) asmenų asmens duomenų, nebūtų paimami ir perduodami naujam Valdytojui tais atvejais, kai šie duomenys, tikėtina, bus tvarkomi taip, kad tai turės neigiamą poveikį kitų duomenų subjektų teisėms. Subjektas, inicijuojantis savo duomenų persiuntimą kitam Valdytojui: arba duoda jam savo sutikimą tvarkyti duomenis, arba su tuo duomenų valdytoju sudaro sutartį. Kai duomenų rinkinyje yra trečiųjų šalių asmens duomenų, turi būti nurodytas kitas duomenų tvarkymo teisinis pagrindas. Toks neigiamas poveikis būtų daromas, pvz., jeigu persiuntus duomenis iš vieno valdytojo kitam, trečiosios šalys netektų galimybės pasinaudoti savo teisėmis pagal Reglamentą (pvz., teisėmis į informaciją, teise susipažinti su duomenimis ir kt.). Pvz.,, valdytojas gali siekti teisėto intereso pagal 6 str. 1 d. f punktą, ypač kai valdytojo tikslas yra suteikti subjektui paslaugą, kuria pastarajam sudaromos sąlygos asmens duomenis tvarkyti vien asmeniniais ar namų ūkio veiklos tikslais. Duomenų subjekto inicijuotos duomenų tvarkymo operacijos, susijusios su asmenine veikla, kuri savo ruožtu yra susijusi su trečiosiomis šalimis ir gali turėti joms poveikį, ir toliau priklauso duomenų subjekto atsakomybei, jeigu dėl tokio duomenų tvarkymo duomenų valdytojas nepriima jokio savarankiško sprendimo.

Pavyzdžiai Duomenų subjekto banko sąskaitoje gali būti asmens duomenų, susijusių net tik su sąskaitos turėtojo operacijomis, bet ir su kitų asmenų operacijomis (pvz., jeigu jie pervedė pinigus sąskaitos turėtojui). - tų trečiųjų šalių teisėms ir laisvėms nebus padarytas neigiamas poveikis banko sąskaitos informaciją persiuntus sąskaitos turėtojui, kai pateikiamas prašymas perkelti duomenis, jeigu duomenys bus naudojami tuo pačiu tikslu (t. y. adresato adresą naudos tik duomenų subjektas arba bus naudojama duomenų subjekto banko sąskaitos istorija) Trečiųjų šalių teisės bus pažeistos, jeigu naujasis valdytojas asmens duomenis naudos kitais tikslais, pvz., jeigu duomenis gaunantis duomenų valdytojas kitų duomenų subjekto adresatų kataloge esančių asmenų asmens duomenis naudos rinkodaros tikslais.

Todėl, siekiant išvengti neigiamo poveikio atitinkamoms trečiosioms šalims, tvarkyti tokius asmens duomenis kitam duomenų valdytojui leidžiama tik tuo atveju, jeigu duomenis prižiūri tik perkėlimo prašantis vartotojas ir jie tvarkomi tik asmeninėms ar namų ūkio reikmėms. Duomenis gaunantis naujasis duomenų valdytojas (kuriam vartotojo prašymu gali būti persiunčiami duomenys), negali persiųstų trečiosios šalies duomenų naudoti savo paties tikslais, - pvz., negali siūlyti tiems kitiems tretiesiems duomenų subjektams rinkodaros produktų ir paslaugų Pavyzdžiui, ši informacija be trečiojo duomenų subjekto žinios ir sutikimo neturėtų būti naudojama trečiojo duomenų subjekto profiliui praturtinti ir jo socialinei aplinkai sumodeliuoti23 Valdytojai turėtų įdiegti sutikimo gavimo mechanizmus kitiems atitinkamiems duomenų subjektams, kad duomenų persiuntimas būtų lengvesnis tais atvejais, kai tokios šalys pageidauja duoti sutikimą, Visiems valdytojams (ir siunčiančių, ir gaunančių duomenis) rekomenduojama įdiegti priemones, kuriomis subjektams būtų sudarytos sąlygos pasirinkti aktualius duomenis, kuriuos jie pageidauja gauti ir persiųsti, ir, kai aktualu, atskirti kitų asmenų duomenis.

2.2. Dėl duomenų, kuriems taikomos intelektinės nuosavybės teisės ir komercinės paslaptys:
Nors į šias teises turėtų būti atsižvelgiama, tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją. Be to, duomenų valdytojas neturėtų atmesti prašymo perkelti duomenis remdamasis kitos sutartinės teisės pažeidimu (pavyzdžiui, nesumokėta skola ar komerciniu konfliktu su duomenų subjektu). Teisė į duomenų perkeliamumą nėra asmens teisė netinkamai naudoti informaciją tokiu būdu, kurį būtų galima laikyti nesąžininga praktika arba kuriuo būtų pažeidžiamos intelektinės nuosavybės teisės. Tačiau galima verslo rizika pati savaime negali būti laikoma pagrindu neatsakyti į prašymą perkelti duomenis, o duomenų valdytojai gali persiųsti duomenų subjektų pateiktus asmens duomenis tokia forma, kuria nebūtų atskleista informacija, kuriai taikomos komercinės paslaptys arba intelektinės nuosavybės teisės.

3. KAIP BENDROSIOS NAUDOJIMOSI DUOMENŲ SUBJEKTO TEISĖMIS TAISYKLĖS TAIKOMOS DUOMENŲ PERKELIAMUMUI?
Kokia išankstinė informacija turėtų būti pateikta duomenų subjektui? Valdytojai turi informuoti subjektus apie šią naują teisę duomenų gavimo metu. Jeigu duomenys yra gauti ne iš subjekto, valdytojas turi pateikti informaciją, reikalaujamą 13 str. 2 d. b punkte ir 14 str. 2 d. c punkte Kai duomenys yra gauti ne iš subjekto, 14 str. 3 d. reikalaujama, kad informacija būtų pateikta per pagrįstą laikotarpį, bet ne vėliau kaip per vieną mėnesį nuo duomenų gavimo, ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu arba ne vėliau kaip atskleidžiant duomenis trečiosioms šalims. Teikdami reikalaujamą informaciją, valdytojai turi užtikrinti, kad jie teisę į duomenų perkeliamumą atskirtų nuo kitų teisių. Todėl rekomenduojama valdytojams aiškiai išdėstyti, kuo skiriasi duomenų, kuriuos duomenų subjektas gali gauti naudodamasis teise susipažinti su duomenimis ir teise į duomenų perkeliamumą, tipai.

SUBJEKTO TEISIŲ APRIBOJIMAI
BDAR 23 straipsnis: ES ar valstybės narės teisėkūros priemone gali būti apribotos duomenų subjekto teisės, taip pat teisė būti informuotam apie duomenų saugumo pažeidimą (34 str.), bei su asmens duomenų tvarkymu susijusių principų įgyvendinimas (5 str.), jei tai būtina siekiant apsaugoti nurodytas vertybes (nacionalinį saugumą, gynybą, ir kt. – BDAR 23 straipsnio 1 dalis); Minėtose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios su tvarkymo tikslais, duomenų kategorijomis, duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimu, apribojimų apimtimi ir kt., įskaitant duomenų subjektų teisę būti informuotiems apie apribojimą, nebent tai pakenktų apribojimo tikslui (23 straipsnio 2 dalis). Gali būti ribojamos šios subjekto teisės: - konkretūs principai ir teisė gauti informaciją, - teisė susipažinti su duomenimis; - teisė reikalauti ištaisyti ar ištrinti duomenis, - teisė į duomenų perkeliamumą, - teisė nesutikti, - profiliavimu grindžiami sprendimai, duomenų subjekto informavimas apie asmens duomenų saugumo pažeidimą ir kai kurios susijusios duomenų valdytojų prievolės,

DUOMENŲ VALDYTOJO VEIKLA

DUOMENŲ VALDYTOJAS IR DUOMENŲ TVARKYTOJAS
Reglamentas remiasi atitikties logika, kuri grindžiama: - duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe Kitaip negu Direktyvoje 95/46/EB, kuri numatė atitiktis asmens duomenų tvarkymo teisiniam reguliavimui grindžiama tam tikrais išankstiniais formalumais (pranešimais, leidimais). Duomenų valdytojas – organizacija ar asmuo, kuris naudoja asmens duomenis profesiniais tikslais, Jis nustato duomenų tvarkymo tikslus ir priemones, t. y. kokiu apibrėžtu ir teisėtu tikslu, teisiniu pagrindu vadovaudamasis ir kokius asmens duomenis tvarko, kam teikia, kaip užtikrina duomenų subjekto teises, kokią programinę įrangą naudoja duomenims tvarkyti ir t. Kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti nacionalinės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti nacionaline teise. pvz., valstybės institucija, įstaiga, savivaldybė, ligoninė, poliklinika, policija, bankas, kredito unija, draudimo bendrovė, e. parduotuvė, kelionių agentūra, mokykla, advokatas, antstolis, notaras ir t. t.

BENDRI DUOMENŲ VALDYTOJAI – 26 STR.
1. Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Jie tarpusavio susitarimu skaidriu būdu nustato savo atitinkamą atsakomybę už Reglamente nustatytų prievolių vykdymą (ypač dėl duomenų subjekto teisių, numatytų 13 ir 14 str., užtikrinimo). Susitarimu gali būti paskirtas duomenų subjektų informavimo punktas. Atsižvelgiant į duomenų subjektų teisių bei laisvių apsaugą ir duomenų valdytojų bei duomenų tvarkytojų atsakomybę, reikia aiškiai paskirstyti atsakomybę pagal šį Reglamentą, Duomenų subjektui sudaroma galimybė susipažinti su esminėmis šio susitarimo nuostatomis. Duomenų subjektas gali naudotis savo teisėmis kiekvieno iš duomenų valdytojų atžvilgiu.

24 str. Duomenų valdytojo atsakomybė
nurodytos priemonės apima Valdytojo įgyvendinamą atitinkamą duomenų apsaugos politiką. 1. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis Reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos. Valdytojo prievolių vykdymas gali būti vertinamas pagal tai, kaip laikomasi patvirtintų elgesio kodeksų (40 str.) arba patvirtintų sertifikavimo mechanizmų (42 str.).

REIKALAVIMAI DUOMENŲ TVARKYTOJAMS
Duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis; Duomenų valdytojas pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga. Atliekamas duomenų tvarkymas reglamentuojamas sutartimi ar kitu teisės aktu (pagal ES arba valstybės narės teisę), kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu Teisės akte nustatomi: duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, asmens duomenų rūšis ir duomenų subjektų kategorijos bei duomenų valdytojo prievolės ir teisės. Reikalavimai tvarkytojui praplečiami

Reikalavimai duomenų tvarkytojams
Sutartyje ar kitame teisės akte nustatoma, kad duomenų tvarkytojas: tvarko asmens duomenis tik pagal dokumentais įformintus nurodymus, įskaitant susijusius su asmens duomenų perdavimu į trečiąją valstybę ar tarptautinei organizacijai; užtikrina, kad asmens duomenis tvarkyti įgalioti asmenys būtų įsipareigoję užtikrinti konfidencialumą; imasi visų duomenų saugumo priemonių, kurių reikalaujama; laikosi kito duomenų tvarkytojo pasitelkimo sąlygų; atsižvelgdamas į duomenų tvarkymo pobūdį, padeda valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdytos valdytojo prievolės atsakyti į duomenų subjekto prašymus

Reikalavimai duomenų tvarkytojams
padeda valdytojui užtikrinti BDAR 32–36 str. nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir turimą informaciją užbaigus teikti su duomenų tvarkymu susijusias paslaugas, ištrina arba grąžina valdytojui visus asmens duomenis ir ištrina esamas jų kopijas, išskyrus atvejus, kai ES ar valstybės narės teise reikalaujama asmens duomenis saugoti pateikia valdytojui visą informaciją, būtiną siekiant įrodyti, kad vykdomos nustatytos prievolės, ir sudaro sąlygas įgaliotam auditoriui atlikti auditą, įskaitant patikrinimus

Naujos pareigos Duomenų valdytojas Duomenų tvarkytojas
Tvarkyti duomenų tvarkymo veiklos įrašus (BADAR 30 str.) Tvarkyti duomenų tvarkymo veiklos įrašus (BADAR 30 str.) Vertinti poveikį duomenų apsaugai (BADAR 35 str.) Padėti valdytojui užtikrinti prievolės vertinti poveikį duomenų apsaugai laikymąsi Konsultuotis su VDAI (Išankstinės konsultacijos) (BADAR 36 str.) Padėti valdytojui užtikrinti prievolę konsultuotis su VDAI Skirti duomenų apsaugos pareigūną ( BADAR 37 str.) Pranešti apie duomenų saugumo pažeidimą VDAI ir duomenų subjektui, jeigu dėl pažeidimo gali kilti didelis pavojus duomenų subjekto teisėms ir laisvėms ( BADAR 33 str.) Pranešti apie duomenų saugumo pažeidimą valdytojui ( BADAR 33 str.)

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS
ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą) [ 35 str.]. Duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą. Panašius didelius pavojus keliančių duomenų tvarkymo operacijų sekai išnagrinėti galima atlikti vieną vertinimą. Atlikdamas vertinimą Valdytojas konsultuojasi su duomenų apsaugos pareigūnu, jei toks yra paskirtas. Vertinimas atliekamas šiais atvejais: atliekamas sistemingas ir išsamus asmeninių aspektų vertinimas ( automatizuotu tvarkymu, įskaitant profiliavimą) ir kuriuo remiantis priimami sprendimai, darantys subjektams poveikį; specialių kategorijų duomenų ( 9 str.) arba duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu (10 str.); sistemingas viešos vietos stebėjimas dideliu mastu. Vertinimą reikės atlikti tik tais atvejais, kai gali kilti didelis pavojus asmenų teisėms bei laisvėms, pavyzdžiui, kai naudojamos naujos technologijos dideliu mastu ar atliekamas asmeninių savybių vertinimas, remiantis profiliavimu, kuris turės reikšmingą poveikį duomenų subjetui.

Poveikio duomenų apsaugai vertinime pateikiama:
1) sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai, įskaitant, teisėtus Valdytojo interesus; 2) duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas; 3) Subjektų teisėms ir laisvėms kylančių pavojų vertinimas; 4) pavojams pašalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi Reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus. Jeigu duomenys tvarkomi pagal teisinį pagrindą ES ar valstybės teisėje ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, o poveikio duomenų apsaugai vertinimas jau buvo atliktas kaip dalis bendro poveikio vertinimo priimant tą teisinį pagrindą, vertinimas netaikomos, išskyrus atvejus, kai valstybės mano, kad prieš pradedant duomenų tvarkymo veiklą būtina atlikti tokį vertinimą. d VDAI planuoja sudaryti ir viešai paskelbti sąrašą duomenų tvarkymo operacijų, kurioms bus taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą pagal Reglamento 35 str. 1 dalį.

36 str. IŠANKSTINĖS KONSULTACIJOS
1. Valdytojas, prieš pradėdamas tvarkyti duomenis, konsultuojasi su VDAI jeigu, įvertinus poveikį, jis mano, kad gali kilti pavojus duomenų saugumui, jei nebūtų imtasi priemonių. 2. Jeigu priežiūros institucija mano, kad numatytas duomenų tvarkymas pažeistų Reglamentą ( ypač jei Valdytojas nepakankamai įvertino ar sumažino pavojų), ne vėliau kaip per aštuonias savaites nuo prašymo dėl konsultacijos gavimo, raštu pateikia Valdytojui ir Tvarkytojui, rekomendacijas ir gali pasinaudoti visais jai priskirtais įgaliojimais. - Tas laikotarpis gali būti pratęstas šešioms savaitėms, atsižvelgiant į numatyto duomenų tvarkymo sudėtingumą. - Apie tai ji informuoja per vieną mėnesį nuo prašymo dėl konsultacijos gavimo, kartu su vėlavimo priežastimis. duomenų tvarkytojas prireikus arba gavęs prašymą turėtų padėti duomenų valdytojui užtikrinti, kad būtų vykdomos prievolės, atsirandančios atliekant poveikio duomenų apsaugai vertinimus ir iš anksto konsultuojantis su priežiūros institucija;

II. DUOMENŲ APSAUGOS PAREIGŪNAS
Duomenų apsaugos pareigūnas – ekspertas, stebintis ir analizuojantis, kaip duomenų valdytojas (tvarkytojas) laikosi asmens duomenų tvarkymui keliamų reikalavimų, konsultuojantis vadovus ir darbuotojus asmens duomenų tvarkymo klausimais bei veikiantis kaip tarpininkas tarp duomenų valdytojo (tvarkytojo) ir priežiūros institucijos. Reglamentas (ES) numato prievolę visoms valdžios institucijoms ar įstaigoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai ar duomenų tvarkytojai, paskirti duomenų apsaugos pareigūną Valdytojas (tvarkytojas) privalo paskelbti DAP kontaktinius duomenis ir pranešti VADAI

Kurios organizacijos privalo paskirti duomenų apsaugos pareigūną?
Duomenų apsaugos pareigūną paskirti privaloma: jeigu duomenis tvarko valdžios institucija arba įstaiga (neatsižvelgiant į tai, kokie duomenys tvarkomi); jeigu duomenų valdytojo ( tvarkytojo) pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; jeigu duomenų valdytojo ( tvarkytojo) pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu. Kai paskirti pareigūno neprivaloma, rekomenduojama valdytojams ( tvarkytojams) dokumentais įforminti vidinę analizę, atliktą siekiant nustatyti, ar turi būti skiriamas duomenų apsaugos pareigūnas, kad būtų galima įrodyti, jog buvo tinkamai atsižvelgta į atitinkamus veiksnius. Ši analizė sudaro atskaitomybės principu rengiamos dokumentacijos dalį. Priežiūros institucija gali šios analizės pareikalauti ir ji turi būti prireikus atnaujinama, pavyzdžiui, jeigu duomenų valdytojai ar duomenų tvarkytojai ima vykdyti naują veiklą arba teikti naujas paslaugas, galinčias patekti tarp 37 str. 1 d. išvardytų atvejų. Užduotį viešojo intereso labui ir viešosios valdžios funkcijas gali vykdyti ne tik valdžios institucijos ar įstaigos, bet ir kiti viešosios arba privatinės teisės reglamentuojami fiziniai ar juridiniai asmenys. Pvz., viešojo transporto paslaugos, vandens ir energijos tiekimas, kelių infrastruktūra, visuomeninis transliuotojas, socialinis būstas ar reguliuojamų profesijų drausminės atsakomybės organai.

Ką reiškia sąvoka pagrindinė veikla?
Pvz., pagrindinė ligoninės veikla yra teikti sveikatos priežiūros paslaugas. Tačiau ligoninė negalėtų saugiai ir veiksmingai teikti sveikatos priežiūros paslaugų netvarkydama duomenų apie sveikatą, pvz., pacientų medicinos dokumentų. Taigi, šių duomenų tvarkymas turėtų būti laikomas viena iš pagrindinių ligoninės veiklos sričių, todėl ligoninės turi skirti asmens duomenų apsaugos pareigūną. (96) pagrindinę duomenų Valdytojo veiklą sudaro duomenų tvarkymo operacijos, kai šios yra susijusios su jo svarbiausia veikla ir nesusijusios su valdytojo papildoma veikla. Vertinant, ar Valdytojas atitinka šį kriterijų, atsižvelgiama, ar įmanoma pasiekti įstaigos pagrindinių veiklos tikslų netvarkant asmens duomenų. Pvz., privati apsaugos paslaugų įmonė vykdo tam tikrų privačių prekybos centrų ir viešųjų erdvių stebėjimą. Stebėjimas yra įmonės pagrindinė veikla, kuri savo ruožtu yra susijusi su asmens duomenų tvarkymu. Taigi, ši įmonė taip pat turi paskirti duomenų apsaugos pareigūną Kita vertus, visos organizacijos vykdo tam tikrą pagalbinę veiklą, pvz., , moka darbo užmokestį savo darbuotojams arba vykdo standartinę IT sistemų priežiūros veiklą. Tai yra pagrindinei organizacijos veiklai arba pagrindiniam verslui reikalingų pagalbinių funkcijų pavyzdžiai. Nors ši veikla yra reikalinga arba būtina, ji paprastai laikoma pagalbinėmis funkcijomis, o ne pagrindine. Pvz., duomenų apie sveikatą, tokių kaip pacientų medicinos dokumentai, tvarkymas turėtų būti laikomas viena iš pagrindinių ligoninės veiklos sričių, todėl ligoninės turi paskirti duomenų apsaugos pareigūnus.

Ką reiškia sąvoka dideliu mastu?
Duomenų tvarkymo dideliu mastu pavyzdžiai: pacientų duomenų tvarkymas ligoninės įprastinės veiklos metu; asmens kelionių naudojantis viešojo transporto sistema duomenų tvarkymas (pvz., sekimas naudojant kelionės korteles); klientų duomenų tvarkymas draudimo bendrovės arba banko įprastinės veiklos metu; asmens duomenų tvarkymas paieškos sistemoje vartotojų elgesiu grindžiamos reklamos tikslais; duomenų (turinio, srauto, vietos duomenų) tvarkymas, kai tai daro telefono ryšio arba interneto paslaugų teikėjai. Reglamente neapibrėžta, kas yra duomenų tvarkymas dideliu mastu. Rekomenduoja nustatant, ar duomenų tvarkymas vykdomas dideliu mastu, atsižvelgti į šiuos veiksnius: susijusių duomenų subjektų skaičių – konkretų skaičių arba atitinkamo gyventojų skaičiaus procentinę dalį; įvairių tvarkomų duomenų vienetų kiekį ir (arba) intervalą; duomenų tvarkymo veiklos trukmę arba pastovumą; geografinę duomenų tvarkymo veiklos aprėptį. (94) Didelio masto operacijos yra tos, kuriomis siekiama regioniniu, nacionaliniu ar virš nacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų. Nėra duomenų tvarkymu dideliu mastu: - asmens duomenų tvarkymas, kai tai daro pavienis gydytojas; - asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas, kai tai daro pavienis advokatas.

Ką reiškia sąvoka reguliariai ir sistemingai stebėti?
Reguliaraus ir sistemingo duomenų subjektų stebėjimo sąvoka Reglamente nėra apibrėžta, bet ji akivaizdžiai apima visų formų stebėjimą ir profiliavimą internete, taip pat vartotojų elgesiu grindžiamos reklamos tikslais. Vis dėlto stebėjimo sąvoka taikoma ne tik internetinėje aplinkoje. WP29 vertinimu, sąvoka reguliarus reiškia vieną arba keletą šių dalykų: vykstantis arba pasitaikantis tam tikrais intervalais konkrečiu laikotarpiu; pasikartojantis arba kartojamas konkrečiais momentais; vykstantis nuolat arba periodiškai. Reguliaraus ir sistemingo stebėjimo, pavyzdžiai: - telekomunikacijų tinklo eksploatavimas, telekomunikacijų paslaugų teikimas; - pakartotinis kreipimasis e. paštu; - profiliavimas ir vertinimas balais rizikos vertinimo tikslais (pvz., siekiant įvertinti kreditingumą, nustatyti draudimo įmokas, užkirsti kelią sukčiavimui, nustatyti pinigų plovimo atvejus); - vietos sekimas, pvz., mobiliosiomis programėlėmis; - lojalumo programos; - vartotojų elgesiu grindžiama reklama; savijautos, fizinės formos ir sveikatos duomenų stebėjimas dėvimais įrenginiais; apsauginė vaizdo stebėjimo sistema; sujungtieji įrenginiai, pvz., išmanieji skaitikliai, išmanieji automobiliai, namų automatizavimas ir kt. WP29 vertinimu, sąvoka sistemingas reiškia vieną arba keletą šių dalykų: - vykstantis pagal tam tikrą sistemą; - iš anksto suplanuotas arba metodiškas; - vykdomas kaip bendro duomenų rinkimo plano dalis; - vykdomas kaip strategijos dalis.

Parduotuvė vykdo vaizdo stebėjimą turto apsaugos tikslu.
1 Pavyzdys Sveikatos priežiūros įstaigos pagrindinė veikla – teikti sveikatos priežiūros paslaugas viso miesto ar rajono gyventojams. Įstaiga, siekdama tinkamai teikti šias paslaugas, pagal teisės aktus privalo tvarkyti tam tikrus pacientų asmens duomenis. Atsižvelgiant į tai, asmens duomenų tvarkymas būtų laikomas pagrindine sveikatos priežiūros įstaigos veikla. Vertinant tai, kad sveikatos paslaugos teikiamos viso miesto ar rajono mastu, manytina, kad asmens duomenų tvarkymas vykdomas dideliu mastu. Pažymėtina, kad kiekvieno paciento atžvilgiu pagal teisės aktus yra pildoma asmens sveikatos istorija, o tai vertintina kaip reguliarus ir sistemingas asmens stebėjimas. Taigi , sveikatos priežiūros įstaiga turi paskirti duomenų apsaugos pareigūną 2 Pavyzdys Parduotuvė vykdo vaizdo stebėjimą turto apsaugos tikslu. Šiuo atveju vaizdo duomenų tvarkymas nėra būtinas, siekiant vykdyti prekybą, todėl toks duomenų tvarkymas nėra pagrindinė parduotuvės veikla ir ji pareigos paskirti duomenų apsaugos pareigūną neturi, nepaisant to, kad tam tikrais atvejais vaizdo stebėjimas gali būti didelio masto ir turi reguliaraus ir sistemingo stebėjimo požymius.

Duomenų tvarkytojo duomenų apsaugos pareigūnas
Atsižvelgiant į tai, kas atitinka privalomo paskyrimo kriterijus: kai kuriais atvejais duomenų apsaugos pareigūną paskirti privalo tik Valdytojas arba tik Tvarkytojas, o kitais atvejais – ir Valdytojas, ir Tvarkytojas. Pavyzdys Nedidelis šeimos verslas, veikiantis buitinių prietaisų platinimo srityje vieninteliame miestelyje, naudojasi duomenų tvarkytojo paslaugomis, kurio pagrindinė veikla yra teikti interneto svetainių analizės paslaugas ir pagalbą kuriant tikslinę reklamą ir rinkodarą. Šeimos verslo veikla ir jo klientai nelemia duomenų tvarkymo dideliu mastu, nes klientų mažai, o veikla – gana riboto pobūdžio. Tačiau duomenų tvarkytojo veikla, atsižvelgiant į tai, kad jis turi daug tokių klientų kaip ši nedidelė įmonė, kartu paėmus yra laikytina duomenų tvarkymu dideliu mastu. Todėl duomenų tvarkytojas pagal 37 str. 1 dalies b punktą turi paskirti duomenų apsaugos pareigūną. O pats šeimos verslo subjektas duomenų apsaugos pareigūno paskirti neprivalo. Pažymėtina, kad net ir tuo atveju, kai Valdytojas atitinka privalomo duomenų apsaugos pareigūno paskyrimo kriterijus, jo duomenų tvarkytojas nebūtinai privalo duomenų apsaugos pareigūną paskirti. Tačiau tai gali būti geroji patirtis.

Ar gali organizacijos duomenų apsaugos pareigūną paskirti bendrai
Ar gali organizacijos duomenų apsaugos pareigūną paskirti bendrai? Jei taip, kokiomis sąlygomis ? Taip. Grupė įmonių gali paskirti vieną bendrą duomenų apsaugos pareigūną, jeigu su juo yra lengva susisiekti iš kiekvienos buveinės. Lengvo susisiekimo sąvoka susijusi su duomenų apsaugos pareigūno, kaip kontaktinio asmens, užduotimis palaikyti ryšius su duomenų subjektais, priežiūros institucijomis, taip pat pačioje organizacijoje. Vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms valdžios institucijoms arba įstaigoms, atsižvelgiant į jų organizacinę struktūrą ir dydį. Taikomi tie patys argumentai dėl išteklių ir bendravimo. Kadangi duomenų apsaugos pareigūnas yra atsakingas už įvairias užduotis, Valdytojas ( tvarkytojas) turi užtikrinti, kad vienas bendras duomenų apsaugos pareigūnas, prireikus padedant jo grupei, galėtų šias užduotis atlikti, nors jis paskirtas ir kelioms valdžios institucijoms ir įstaigoms.

Ar įmanoma paskirti išorinį duomenų apsaugos pareigūną?
Siekiant: teisinio aiškumo ir gero organizavimo, užkirsti kelią grupės narių interesų konfliktams, Rekomenduojama paslaugų sutartimi: aiškiai paskirstyti užduotis išorinio duomenų apsaugos pareigūno grupės nariams; ir vieną asmenį paskirti už klientą atsakingu vadovaujančiu kontaktiniu asmeniu. Taip. Duomenų apsaugos pareigūnas gali būti valdytojo personalo narys (vidinis duomenų apsaugos pareigūnas) arba atlikti užduotis pagal paslaugų teikimo sutartį, sudarytą su asmeniu ar organizacija (išorinis).

Kokias profesines savybes turėtų turėti duomenų apsaugos pareigūnas?
Duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis: - visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, - taip pat gebėjimu atlikti savo užduotis Atitinkami gebėjimai ir ekspertinės žinios:  nacionalinės ir Europos duomenų apsaugos teisės aktų ir praktikos ekspertinės žinios, taip pat išsamus Bendrojo duomenų apsaugos reglamento supratimas;  atliekamų duomenų tvarkymo operacijų supratimas;  informacinių technologijų ir duomenų saugumo išmanymas;  žinios apie verslo sektorių ir organizaciją;  gebėjimas organizacijoje skatinti duomenų apsaugos kultūrą.

Duomenų apsaugos pareigūno statusas
1. Valdytojas užtikrina, kad DAP būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą. 2. Valdytojas suteikia DAP būtinus išteklius jo funkcijoms atlikti, taip pat suteikia galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir kelti kvalifikaciją; 3. Valdytojas užtikrina, kad DAP veiklai nebūtų daroma jokia įtaka. Valdytojas negali jo atleisti arba bausti dėl jam nustatytų užduočių atlikimo. DAP tiesiogiai atsiskaito Valdytojo aukščiausio lygio vadovybei. 4. Duomenų subjektai gali kreiptis į DAP visais Reglamente numatytų asmeninių duomenų tvarkymo ir subjekto teisių užtikrinimo klausimais. 5. DAP privalo užtikrinti teisės aktuose numatytą slaptumą arba konfidencialumą, susijusį su jo užduočių vykdymu. 6. DAP gali vykdyti kitas užduotis ir pareigas. Valdytojas užtikrina, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.

Duomenų apsaugos pareigūno užduotys
informuoja Valdytoją ir duomenis tvarkančius darbuotojus apie jų prievoles, numatytas Reglamente ir konsultuoja juos šiais klausimais; stebi, kaip laikomasi Reglamento ir duomenų valdytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus; 3) paprašius konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą; 4) bendradarbiauja su VADAI; 5) atlieka kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais ir prireikus konsultuoja visais kitais klausimais. 2. DAP vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.

Ką reiškia stebėti, ar laikomasi reglamento?
Vykdydamas šias pareigas – stebėti, kaip laikomasi reglamento, – duomenų apsaugos pareigūnas gali: rinkti informaciją duomenų tvarkymo veiklai identifikuoti, nagrinėti ir tikrinti, ar duomenų tvarkymo veikla atitinka reikalavimus, informuoti duomenų valdytoją ar duomenų tvarkytoją, jį konsultuoti ir teikti jam rekomendacijas.

Ar duomenų apsaugos pareigūnas yra asmeniškai atsakingas, jei nesilaikoma duomenų apsaugos reikalavimų? Ne. Duomenų apsaugos pareigūnai nėra asmeniškai atsakingi, jei nesilaikoma duomenų apsaugos reikalavimų. Duomenų valdytojas ( tvarkytojas) privalo užtikrinti ir sugebėti įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Už tai, kad duomenų tvarkymas atitiktų reikalavimus, atsakingas duomenų valdytojas arba duomenų tvarkytojas

30 str. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
Kad įrodytų, jog laikosi Reglamento, Valdytojas ( ar jo atstovas) ir Tvarkytojas tvarko veiklos, už kurią yra atsakingas, įrašus. Kiekvienas valdytojas ar tvarkytojas įpareigotas bendradarbiauti su priežiūros institucija ir jos prašymu pateikti tuos įrašus, kad pagal juos būtų galima stebėti tas duomenų tvarkymo operacijas; Įrašuose pateikiam informacija: Valdytojo (jo atstovo ir duomenų apsaugos pareigūno) vardas bei pavardė ir kontaktiniai duomenys; duomenų tvarkymo tikslai; duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas; duomenų gavėjų kategorijos; kai asmens duomenys perduodami trečiai valstybei arba tarptautinei organizacijai – jų pavadinimus ir tinkamų apsaugos priemonių dokumentai; kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai; kai įmanoma, bendras 32 str. 1 d. nurodytų techninių ir organizacinių saugumo priemonių aprašymas. Nurodytos prievolės netaikomos įmonei arba organizacijai, kurioje dirba mažiau kaip 250 darbuotojų, išskyrus atvejus, kai dėl jos vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms, duomenų tvarkymas nėra nereguliarus arba duomenų tvarkymas apima specialių kategorijų asmens duomenis, kaip nurodyta 9 str. 1 dalyje, arba tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, kaip nurodyta 10 str.

DUOMENŲ TVARKYMO SAUGUMAS – 32 str.
1. Atsižvelgdamas į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį ir tikslus, Valdytojas ir Tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad būtų užtikrintas atitinkančio lygio saugumas, įskaitant, inter alia, jei reikia: pseudonimų suteikimą asmens duomenims ir jų šifravimą; gebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą; gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju; reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą. 2. Nustatant tinkamo lygio saugumą visų pirma atsižvelgiama į pavojus, kurie kyla dėl duomenų tvarkymo, visų pirma dėl netyčinio arba neteisėto persiųstų, saugomų ar kitaip tvarkomų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų.

Pavojai dėl duomenų tvarkymo:
Įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms gali kilti dėl tokio duomenų tvarkymo, kurio metu galėtų būti padarytas kūno sužalojimas, materialinė ar nematerialinė žala, kilti diskriminacija, pavogta ar suklastota tapatybė, padaryta finansinių nuostolių, pakenkta reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas, neleistinai panaikinti pseudonimai arba padaryta kita didelė ekonominė ar socialinė žala; kai Subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai tvarkomi asmens duomenys, kurie atskleidžia rasinę arba etninę kilmę, politines pažiūras, religiją ar filosofinius įsitikinimus, priklausymą profesinėms sąjungoms, taip pat tvarkant genetinius duomenis, sveikatos duomenis ar duomenis apie lytinį gyvenimą, arba apkaltinamuosius nuosprendžius ir nusikalstamas veikas, arba susijusias saugumo priemones; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, visų pirma nagrinėjami arba numatomi su asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu susiję aspektai; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų (75) (76) pavojaus Subjekto teisėms ir laisvėms tikimybė ir rimtumas turėtų būti nustatomi atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus turėtų būti vertinamas remiantis objektyviu įvertinimu, kurio metu nustatoma, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi; 77) Valdytojo arba Tvarkytojo tinkamų priemonių įgyvendinimo ir Reglamento laikymosi įrodymo gairės (ypač nustatant su duomenų tvarkymu susijusį pavojų ar įvertinant jo tikimybę ir rimtumą bei nustatant geriausią jo mažinimo patirtį) , galėtų būti pateiktos patvirtintuose elgesio kodeksuose, sertifikatuose, Valdybos pateiktose gairėse arba duomenų apsaugos pareigūno pateiktuose nurodymuose.

DUOMENŲ TVARKYMO SAUGUMAS – 32 str.
3. Pagal tai, kaip laikomasi Elgesio kodekso ( 40 str.), arba patvirtinto Sertifikavimo mechanizmo (42 str.) , gali būti remiamasi įrodant asmens duomenų saugumo užtikrinimo laikymąsi. 4. Valdytojas ir Tvarkytojas imasi priemonių užtikrinti, kad bet kuris jiems pavaldus fizinis asmuo, galintis susipažinti su asmens duomenimis, jų netvarkytų, išskyrus atvejus, kai valdytojas nurodo juos tvarkyti, nebent tas asmuo privalo tai daryti pagal ES arba valstybės narės teisę [29 str].

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAS
Tai saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga; 87) turėtų būti įsitikinta, ar įgyvendintos visos tinkamos technologinės apsaugos ir organizacinės priemonės, kad nedelsiant būtų nustatytas asmens duomenų saugumo pažeidimas, ir skubiai apie tai būtų informuoti VADAI ir duomenų subjektas. Turėtų būti nustatytas faktas, kad pranešimas buvo pateiktas nedelsiant, atsižvelgiant visų pirma į saugumo pažeidimo pobūdį ir sunkumą, jo pasekmes ir neigiamus padarinius duomenų subjektui. Dėl tokio pranešimo priežiūros institucija gali imtis intervencinių veiksmų vykdydama šiame reglamente nustatytas užduotis ir įgaliojimus; (88) nustatant išsamias pranešimo apie asmens duomenų saugumo pažeidimus formos ir tvarkos taisykles, turėtų būti tinkamai atsižvelgiama į to pažeidimo aplinkybes, įskaitant tai, ar asmens duomenys buvo apsaugoti tinkamomis techninėmis apsaugos priemonėmis, veiksmingai ribojančiomis tapatybės klastojimo arba kitokio neteisėto duomenų naudojimo tikimybę. Be to, nustatant tokias taisykles ir tvarką reikėtų atsižvelgti į teisėtus teisėsaugos institucijų interesus, kai ankstyvas informacijos atskleidimas galėtų bereikalingai pakenkti asmens duomenų pažeidimo aplinkybių tyrimui;

Pranešimas priežiūros institucijai apie asmens duomenų saugumo pažeidimą – 33 str.
1. Asmens duomenų saugumo pažeidimo atveju Valdytojas nedelsdamas ir, jei įmanoma, ne vėliau kaip per 72 val. nuo sužinojimo apie pažeidimą, apie tai praneša priežiūros institucijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu priežiūros institucijai apie pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys. Duomenų apsaugos pareigūno užduotys 2. Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, nedelsdamas apie tai praneša duomenų valdytojui. 3. Pranešime turi būti: a) aprašytas duomenų saugumo pažeidimo pobūdis; b) nurodyti duomenų apsaugos pareigūno ar kito kontaktinio asmens, galinčio suteikti daugiau informacijos, duomenys; c) aprašytos tikėtinos saugumo pažeidimo pasekmės; d) aprašytos priemonės, kurių ėmėsi Valdytojas, kad būtų pašalintas šis saugumo pažeidimas; 4. Kai neįmanoma pateikti visos informacijos apie pažeidimą , ji turi būti teikiama etapais. 5. Duomenų valdytojas dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi tais dokumentais, priežiūros institucija turi galėti patikrinti, ar laikomasi šio straipsnio.

34 str. Pranešimas duomenų subjektui apie asmens duomenų saugumo pažeidimą
1. Kai dėl duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Valdytojas nedelsdamas praneša apie duomenų saugumo pažeidimą duomenų subjektui. 2. Pranešime duomenų subjektui aiškiai aprašomas asmens duomenų saugumo pažeidimo pobūdis ir pateikiama bent 33 str. 3 d. b, c ir d punktuose nurodyta informacija ir priemonės. 3. Pranešti duomenų subjektui nereikalaujama, jeigu įvykdomos bet kurios toliau nurodytos sąlygos: Valdytojas įgyvendino tinkamas technines ir organizacines apsaugos priemones, visų pirma tas, kuriomis užtikrinama, kad asmeniui, neturinčiam leidimo susipažinti su asmens duomenimis, jie būtų nesuprantami, pavyzdžiui, šifravimo priemones; Valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinama, kad nebegalėtų kilti didelis pavojus Subjektų teisėms ir laisvėms; tai pareikalautų neproporcingai daug pastangų. Tokiu atveju apie tai viešai paskelbiama arba taikomos kitos informavimo priemonės. 4. Jeigu Valdytojas dar nėra pranešęs Subjektui apie pažeidimą, priežiūros institucija, apsvarsčiusi, kokia yra tikimybė, kad dėl šio pažeidimo kils didelis pavojus, gali pareikalauti, kad Valdytojas tą padarytų, arba gali įpareigoti, kad būtų įvykdyta bet kuri iš šių sąlygų.

Priežiūros institucijos įgaliojimai pagal BDAR
BDAR 58 straipsnis – priežiūros institucijos įgaliojimai imtis taisomųjų veiksmų: įspėti valdytoją arba tvarkytoją, kad numatomomis duomenų tvarkymo operacijomis gali būti pažeistos BDAR nuostatos; pareikšti papeikimus valdytojui arba tvarkytojui, kai duomenų tvarkymo operacijomis buvo pažeistos BADAR nuostatos; nurodyti valdytojui pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą; nurodyti valdytojui arba tvarkytojui: - patenkinti duomenų subjekto prašymus pasinaudoti savo teisėmis pagal BDAR; - suderinti duomenų tvarkymo operacijas su BDAR nuostatomis.

(tęsinys) nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą; nurodyti ištaisyti arba ištrinti asmens duomenis arba apriboti jų tvarkymą pagal 16, 17 ir 18 straipsnius ir pranešti apie tokius veiksmus duomenų gavėjams, kuriems asmens duomenys buvo atskleisti; atšaukti sertifikatą arba nurodyti tai padaryti sertifikavimo įstaigai; skirti administracinę baudą pagal BDAR 83 straipsnį; nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai.

Be prieš tai minėtų taisomųjų veiksmų, priežiūros institucija turi: tyrimo įgaliojimus (gauti informaciją, patekti į visas duomenų valdytojo ir duomenų tvarkytojo patalpas, įskaitant prieigą prie visos duomenų tvarkymo įrangos ir priemonių, ir kt.); leidimo išdavimo ir patariamuosius įgaliojimus (patarti duomenų valdytojui vykdant išankstinių konsultacijų procedūrą, savo iniciatyva ar gavus prašymą patarti teisėkūros subjektams, teikti nuomonę ir tvirtinti elgesio kodeksų projektus, akredituoti sertifikavimo įstaigas ir kt.). Valstybė narė teisės aktais gali nustatyti, kad jos priežiūros institucija be BDAR nurodytų įgaliojimų turi papildomų įgaliojimų. Naudojimasis tais įgaliojimais neturi pakenkti bendradarbiavimo ir nuoseklumo veiksmingumui.

Administracinių baudų skyrimas
Priežiūros institucija užtikrina, kad pagal BDAR 83 straipsnį skiriamos administracinės baudos kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos Administracinės baudos, atsižvelgiant į kiekvieno konkretaus atvejo aplinkybes, skiriamos: kartu su 58 straipsnio 2 dalies a–h punktuose ir j punkte nurodytomis priemonėmis (taisomieji veiksmai) arba vietoj jų Jei valdytojas arba tvarkytojas, atlikdamas tą pačią tvarkymo operaciją ar susijusias tvarkymo operacijas, pažeidžia kelias BDAR nuostatas, bendra administracinės baudos suma negali būti didesnė nei suma, kuri nustatyta už rimčiausią pažeidimą

Sprendžiant dėl to, ar skirti administracinę baudą, ir sprendžiant jos dydžio kiekvienu konkrečiu atveju deramai atsižvelgiama į šiuos dalykus (BDAR 83 straipsnio 2 dalis): pažeidimo pobūdį, sunkumą ir trukmę, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį tai, ar pažeidimas padarytas tyčia, ar dėl aplaidumo veiksmus, kurių valdytojas arba tvarkytojas ėmėsi, kad sumažintų duomenų subjektų patirtą žalą duomenų valdytojo arba duomenų tvarkytojo atsakomybės dydį, atsižvelgiant į jų įgyvendintas technines ir organizacines priemones bet kuriuos to duomenų valdytojo arba duomenų tvarkytojo svarbius ankstesnius pažeidimus

(tęsinys) bendradarbiavimo su priežiūros institucija siekiant atitaisyti pažeidimą ir sumažinti galimą neigiamą jo poveikį laipsnį asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas tai, kokiu būdu priežiūros institucija sužinojo apie pažeidimą, visų pirma tai, ar duomenų valdytojas arba duomenų tvarkytojas pranešė apie pažeidimą (jei taip – kokiu mastu) jei atitinkamam valdytojui arba tvarkytojui dėl to paties dalyko anksčiau buvo taikytos taisomosios priemonės – ar laikytasi tų priemonių ar laikomasi patvirtintų elgesio kodeksų arba sertifikavimo mechanizmų kitus sunkinančius ar švelninančius veiksnius, susijusius su konkretaus atvejo aplinkybėmis

Administracinės baudos iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, skiriamos pažeidus: duomenų valdytojo ir duomenų tvarkytojo prievoles pagal 8, 11, ir 42 bei 43 straipsnius sertifikavimo įstaigos prievoles pagal 42 ir 43 straipsnius stebėsenos įstaigos prievoles pagal 41 straipsnio 4 dalį

Administracinės baudos iki 20 000 000 EUR arba, įmonės atveju – iki 4 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė, skiriamos pažeidus: pagrindinius duomenų tvarkymo principus, įskaitant sutikimo sąlygas, pagal 5, 6, 7 ir 9 straipsnius duomenų subjekto teises pagal 12–22 straipsnius asmens duomenų perdavimą duomenų gavėjui trečiojoje valstybėje arba tarptautinei organizacijai pagal 44–49 straipsnius prievoles pagal valstybės narės teisės aktus, priimtus pagal BDAR IX skyrių (pvz., dėl asmens kodo naudojimo, duomenų tvarkymo su darbo santykiais susijusiame kontekste ir kt.) jei nesilaikoma priežiūros institucijos nurodymo, arba trukdoma vykdyti tyrimo įgaliojimus (nesuteikiama prieiga ir pan.)

Pagrindinės seminaro temos: 1.Asmens teisė į privatumą

Similar presentations

Presentation on theme: "Pagrindinės seminaro temos: 1.Asmens teisė į privatumą"— Presentation transcript:

Similar presentations

About project

Feedback

Log in

Auth with social network:

Pagrindinės seminaro temos: 1.Asmens teisė į privatumą

Similar presentations

Presentation on theme: "Pagrindinės seminaro temos: 1.Asmens teisė į privatumą"— Presentation transcript:

Similar presentations

About project

Feedback