inaki-del-olmo-602632-unsplash

Duomenų tvarkymo teisėtumas remiantis BDAR

Duomenų tvarkymo teisėtumas (teisėtas pagrindas) nurodytas Bendrojo duomenų apsaugos reglamento (BDAR) 6 straipsnyje, kuriame nurodoma, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų:

Sutikimas

Duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais. Sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą ir įmonės privalo tai įvykdyti kuo įmanoma paprasčiau  – atšaukti sutikimą turi būti taip pat lengva kaip jį duoti. Įmonė privalo įrodyti, kad asmuo davė sutikimą tvarkyti jo asmens duomenis. Jei duomenys naudojami daugiau, nei vienam tikslui, sutikimas reikalingas kiekvienam procesui atskirai.

Sutartis

Duomenų tvarkymas yra būtinas sutarčiai, kurią įmonė sudaro su klientu, arba dėl to, kad prieš pasirašydamas sutartį klientas paprašė įmonės imtis konkrečių veiksmų. Sutarties, kurioje reikalaujama tvarkyti asmens duomenis, sudarymas yra galiojantis duomenų tvarkymo pagrindas. Įmonė turi informuoti duomenų subjektą apie renkamus duomenis ir jų tvarkymo procesus. Pvz., užsisakant prekes internetu, užsakyme (sutartyje) nurodoma kas apmoka užsakymą ir kam pristatomos  prekės. Kai kuriais atvejais, bus nurodomas asmens namų adresas, kad siunta butų pristatoma į namus.

Teisinė prievolė

Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė. Šalies įstatymai gali reikalauti, kad įmonės tvarkytų asmens duomenis pvz., Lietuvos Respublikos buhalterinės apskaitos pagrindų įstatymas nurodo, kad įmonės privalo saugoti dokumentus 10 metų nuo jų išrašymo datos, todėl įmonės tvarko duomenis remdamosios nacionaliniais įstatymais.  Valstybės pareigūnams teisinė prievolė – tai jų oficiali pareiga, pvz.,  mokesčių inspekcijos, policijos ar finansų tyrimo padalinių pagrindinis darbas yra asmens duomenų tvarkymas.

Gyvybiniai interesai

Tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus, esant pavojuje ir negalint duoti sutikimo, pvz., greitoji pagalba, įvykus nelaimei ar asmeniui esant be sąmonės, turi prieigą prie jo medicininių duomenų.  Duomenų apdorojimas remiantis gyvybiniais interesais dažniausiai naudojamas neįprastomis aplinkybėmis ir kilus ekstremaliai situacijai.

Viešieji interesai

Tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Asmens duomenų tvarkymas visuomenės labui gali būti vertinamas kaip viešasis interesas, pvz., įvyko kažkoks protrūkis, o duomenų tvarkymas gali padėti vesti statistiką ir valdyti informacijos srautą. Esant dideliam visuomenės susidomėjimui, viešojo asmens duomenys yra viešasis interesas.

Teisėti interesai

Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas. Teisėtais interesais galima remtis tik esant tinkamam ryšiui tarp asmens ir duomenų tvarkytojo, pvz., tarp kliento ir prekių/paslaugų tiekėjo, kuomet klientas žino ir supranta, kad jo duomenys bus tvarkomi. Kai įmonė priklauso grupei, perduodant duomenis grupėje vidaus administravimo tikslais,  yra teisėtas interesas. Teisėti interesai netaikomi valdžios institucijoms, tvarkančioms asmens duomenis savo užduotims atlikti.

Kiekvieno tvarkymo veiklos teisėto pagrindo registravimo būdas.

Teisėtas pagrindas turi būti nurodytas duomenų tvarkymo veiklos iraše, reikalaujamame BDAR 30 straipsnyje. 

BDAR Registras – tai sprendimas, turintis suprantamus ir paprastai naudojamus šablonus, galimybę rengti ataskaitas, patvirtintas vietinės duomenų apsaugos inspekcijos.

Žiūrėti visą GDPR 6 straipsnio turinį.

Paprastas naudoti GDPR atitikties įrankis

Su GDPR Register galite tvarkyti tvarkymo veiklos įrašus, kurti ir tvarkyti dokumentus, pranešti duomenų apsaugos agentūrai.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų.Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl tai...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....