GDPR Article 30

Duomenų tvarkymo veiklos įrašai (BDAR 30 straipsnis)

.

Kas privalo registruoti asmens duomenų tvarkymo veiklą?

Registruoti duomenų tvarkymo veiklą privalo kiekviena įmonė, kuri atitinka BENT VIENĄ iš nurodytų salygų:  

  • Įmonė turi daugiau, nei 250 darbuotojų
  • Asmens duomenys tvarkomi periodiškai (nuolat)
  • Tvarkomas bet koks kiekis jautrių asmeninių duomenų (susijusių su sveikata, seksualine orientacija, rasine ar etnine kilme, politinėmis pažiūromis, religiniais ar filosofiniais įsitikinimais, įrašais apie kriminalinę veiką ir kita)

Taip pat įmonės, kurios vykdo bet kurią iš paminėtų veiklų, susijusių su asmens duomenimis:

  • Vertinami su darbu susiję rezultatai
  • Stebimi asmens įpročiai, buvimo vieta ar judėjimas
  • Fiziniams asmenims teikiamos draudimo, investicinės ar  finansinės paslaugos
  • Siūlomos lojalumo programos (pvz., klientų/nuolaidų kortelės)
  • Renkama/registruojama klientų informacija
  • Klientų profiliavimas marketingo tikslais
  • Teikiamos nuomos ar įdarbinimo paslaugos
  • Renkami su azartiniais lošimais susiję asmens duomenys
  • Renkami duomenys,  susijusių su vaikais, vyresnio amžiaus žmonėmis, psichinėmis ligomis sergančiais asmenimis, rinkimas
  • Derinami ir jungiami asmens duomenys gautų/surinktų iš skirtingų šaltinių (dideli duomenų kiekiai)
  • Asmens duomenys perduodami už Europos Sąjungos ribų (įskaitant atvejus, kai asmens duomenys saugomi ne ES esančiuose serveriuose)

Kaip saugoti duomenų tvarkymo veiklos įrašus?

Svarbu, kad įrašai būtų saugomi elektronine forma ir reguliariai atnaujinami. 

Jei, remiantis BDAR, įmonei  reikia paskirti duomenų apsaugos pareigūną (DAP), jis tampa atsakingas už duomenų tvarkymo veiklą ir jos įrašų kurimą bei valdymą.

SVARBU ŽINOTI:
GDPR Register sistemoje galima rasti iš anksto parengtus asmens duomenų tvarkymo veiklos įrašų šablonus, kurie padeda identifikuoti kokia informacija informacija turi būti nurodoma veiklos įrašuose ir kaip jie turi būti formuojami.

Išbandykite asmens duomenų tvarkymo veiklos šablonus. Užsiregistruokite GDPR Register nemokamam bandomajam laikotarpiui.

Kas turi būti nurodoma duomenų tvarkymo veiklos įrašuose?

Jei, esate atsakingas už duomenų apsaugą įmonėje arba, remiantis BDAR 37str,  esate paskirtas duomenų apsaugos pareigunu (DAP), pildant duomenų tvarkymo veiklos įrašus privalote nurodyti šią  informaciją:

  • įmonės pavadinimas ir DAP arba atsakingo asmens kontaktiniai duomenys; 
  • asmens duomenų subjektų grupė;
  • asmens duomenų kategorijos;
  • tvarkomų asmens duomenų aprašymas;
  • duomenų tvarkymo veiklos tikslai;
  • duomenų tvarkymo veiklos pagrindas;
  • duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;
  • kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;
  • kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;
  • kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.

Žemiau pateiktas pavyzdys, kaip atrodo duomenų tvarkymo veiklos šablonas GDPR Register platformoje.

 

tvarkymo veiklos įrašo šablonas
Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų. Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....