Asmens duomenys - tai informacija, kuri yra susijusi su jumis, kaip asmeniu, ir leidžia jus identifikuoti.
Asmens duomenys gali būti įvairiausių formų. Tai gali būti vardas ir pavardė, asmens kodas, elektroninio pašto adresas, telefono numeris, gyvenamoji vieta ir kiti duomenys, kurie tiesiogiai ar netiesiogiai leidžia nustatyti jūsų tapatybę.
Asmens duomenys turi tam tikrą subkategoriją duomenų, kurie vadinami specialių kategorijų asmens duomenimis. Šie duomenys - tai asmens rasė ar etninė kilmė, politinės pažiūros, religiniai ar filosofiniai įsitikinimai, seksualinė orientacija, narystė profsąjungose; taip pat šie duomenys gali būti susiję su asmens sveikata ar lytiniu gyvenimu. Šie duomenys laikomi ypatingais dėl ypač privataus ir intymaus pobūdžio. Todėl jais galima lengvai piktnaudžiauti ir naudoti prieš konkretų asmenį, pavyzdžiui, kaip pagrindą išankstinei nuomonei ar diskriminacijai. Taigi šių duomenų tvarkymas apskritai yra draudžiamas, išskyrus kai kurias įstatymuose numatytas išimtis. Viena iš išimčių - asmens raštiškas sutikimas. Taip pat prie specialių kategorijų duomenų priskiriami biometriniai duomenys, kurie atskleidžia asmens fizines savybes.
Paprastai mes nekalbame apie duomenis apskritai - mes turime galvoje asmens duomenis.
Bendrasis duomenų apsaugos reglamentas (BDAR)
Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas asmens duomenų tvarkymui. Už ES ribų įsisteigusios įmonės, kurios tvarko ES piliečių duomenis, turi paskirti atstovą Europos Sąjungoje.
BDAR taikomos griežtos sutikimu pagrįsto duomenų tvarkymo taisyklės. Sutikimas - savanoriškas duomenų subjekto valios pareiškimas tvarkyti jo asmens duomenis jam žinomu tikslu. Sutikimas turi būti duotas aiškiai, pavyzdžiui, pažymint žymimąjį langelį arba pasirašant formą. Duomenys gali būti tvarkomi tik tais tikslais, dėl kurių buvo duotas sutikimas. Duomenų valdytojas privalo užtikrinti, kad duomenų subjektas turėtų galimybę atšaukti savo sutikimą.
Jeigu asmens duomenys perduodami už ES ribų, BDAR suteikiama apsauga turėtų „keliauti" kartu su duomenimis. Tai reiškia, kad ES nepriklausančios šalies apsaugos priemones ES laiko tinkamomis tik tuomet, jei jos atitinka BDAR nustatytus standartus ir sąlygas.
Asmens duomenų tvarkymo principai
Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Konkretūs asmens duomenų saugojimo terminai nustatyti Tarybos dokumentacijos plane ir kituose teisės aktuose.
Asmens duomenis, susijusius su asmens teistumu, nusikalstamomis veikomis ar saugumo priemonėmis, vykdant nusikalstamų veikų prevenciją, tyrimą, taip pat kitais įstatymų nustatytais atvejais įstatymų nustatyta tvarka gali tvarkyti tik valstybės institucija ar įstaiga. Kiti fiziniai ar juridiniai asmenys tokius duomenis gali tvarkyti įstatymų nustatytais atvejais, kai yra tinkamai įgyvendintos įstatymuose ir kituose teisės aktuose nustatytos priemonės duomenų subjekto teisėtiems interesams apsaugoti.
Duomenų tvarkymo paskirtis - užtikrinti, kad asmuo suprastų, dėl ko jis duoda sutikimą. Prašymą dėl sutikimo gavimo turėtumėte pateikti aiškia ir suprantama kalba. Informacija turėtų apimti:
- Duomenų valdytojo tapatybę.
- Asmens duomenų tvarkymo tikslus.
- Kokio tipo asmens duomenys bus tvarkomi.
- Kam bus teikiami asmens duomenys (jei taikoma).
- Duomenų saugojimo laikotarpį.
- Duomenų subjekto teises (t. y. teisę susipažinti su savo duomenimis, juos ištaisyti, ištrinti, apriboti tvarkymą, nesutikti su tvarkymu, teisę į duomenų perkeliamumą, teisę pateikti skundą duomenų apsaugos institucijai).
- Informaciją apie sprendimo loginį pagrindą, svarbą ir pasekmes (jei taikoma automatizuota duomenų analizė).
Jei tvarkote duomenis dideliu mastu, pavyzdžiui, internete, rodymo ieškos moduliuose tikslais, reikalaujama, kad turėtumėte duomenų apsaugos pareigūną (DAP). Jei jūsų įmonės pagrindinė veikla yra didelio masto reguliari ir sisteminga duomenų tvarkymo priežiūra, tuomet DAP bus reikalingas. Jei jūsų įmonė tvarko specialių kategorijų duomenis, pavyzdžiui, apie genetiką arba sveikatą, tuomet DAP bus reikalingas. Jei duomenų tvarkymas yra tik šalutinis veiklos aspektas ir nėra didelio poveikio, tuomet DAP tikriausiai nereikalingas. Jūs galite pasinaudoti sutartį dirbančiu išorės rangovu, kuris atliks DAP funkcijas, tačiau sutartis turi būti sudaryta tarp dviejų šalių. DAP funkcijas nurodys duomenų valdytojas.
Jeigu duomenų subjektui kelia susirūpinimą Įmonės veiksmai (neveikimas), kuriais galimai nesilaikoma šių Taisyklių arba teisės aktų reikalavimų, Duomenų subjektas turi teisę kreiptis į Įmonę bet kuriuo jam patogiu būdu: el. paštu, telefonu ar raštu. Nepavykus išspręsti klausimo su Įmone, Duomenų subjektas turi teisę kreiptis į Valstybinę duomenų apsaugos inspekciją.
Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Duomenų valdytojo, duomenų tvarkytojo ir jų atstovų darbuotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai.
Įmonė, rūpindamasi Duomenų subjekto privatumu ir vertindama Duomenų subjekto pasitikėjimą, įsipareigoja saugoti Duomenų subjekto privatumą bei pateiktą informaciją naudoti šiose Taisyklėse nurodytiems tikslams, be Duomenų subjekto sutikimo neatskleisti šios informacijos jokiems tretiesiems asmenims, išskyrus Įmonės partnerius, teikiančius su Duomenų subjekto užsakytų paslaugų tinkamu įvykdymu susijusias paslaugas. Įmonė taip pat gali perduoti Duomenų subjekto asmens duomenis tretiesiems asmenims, kurie Įmonės vardu veikia kaip Duomenų tvarkytojai.
Duomenų subjektas, registruodamasis Įmonės Internetinėje svetainėje, privalo pateikti išsamius ir teisingus Asmens duomenis. Duomenų subjektas privalo atlikti atitinkamus Asmens duomenų pakeitimus Interneto svetainėje, jei Asmens duomenys pasikeičia po jų suvedimo Interneto svetainėje.
Įmonė gali statistikos ir rinkodaros tikslaisnaudoti Duomenų subjekto pateikiamus duomenis.
Visi Duomenų subjekto nurodyti ir gauti asmens duomenys yra kaupiami, saugomi ir tvarkomi pagal Lietuvos Respublikos asmens duomenų įstatyme numatytus reikalavimus bei kitus Lietuvos Respublikoje asmens duomenų apsaugą reglamentuojančius teisės aktus.
Asmens duomenys Įmonės aktyviojoje duomenų bazėje saugomi 3 (tris) metus skaičiuojant nuo paskutinio aktyvaus veiksmo atlikimo Duomenų subjekto paskyroje Internetinėje svetainėje momento.
Tvarkyti asmens duomenis turi teisę tik Įmonės Darbuotojai, kurie buvo tinkamai apmokyti ir informuoti taip, kaip numatyta Taisyklių 20 straipsnyje. Darbuotojai privalo saugoti asmens duomenų paslaptį ir saugoti dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengti nereikalingų kopijų darymo.
Duomenų subjekto teisės
Duomenų subjektas turi teisę susipažinti su savo asmens duomenimis nemokamai. Jis turi teisę reikalauti, kad jam būtų pateiktas jam tvarkomų asmens duomenų kopija (prieinamu formatu). Jis taip pat turi teisę reikalauti, kad jo duomenys būtų ištaisyti arba papildyti, jei jie yra neteisingi ar neišsamūs. Duomenų subjektas turi teisę prašyti ištrinti jo asmens duomenis, jei jie nebereikalingi tikslams, kuriems buvo surinkti, arba jei jis atšaukė savo sutikimą. Jis turi teisę reikalauti apriboti jo asmens duomenų tvarkymą tam tikrais atvejais, pavyzdžiui, kai ginčijamas duomenų tikslumas ar teisėtumas. Tai vadinama teise į duomenų perkeliamumą - jis gali reikalauti, kad jo asmens duomenys būtų perduoti kitai įmonei, bendrai naudojamu ir automatizuotai nuskaitomu formatu.
Duomenų valdytojas turi motyvuotai pagrįsti atsisakymą vykdyti duomenų subjekto prašymą įgyvendinti šio įstatymo nustatytas duomenų subjekto teises. Duomenų valdytojas, gavęs duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos turi pateikti jam atsakymą. Duomenų subjektas gali skųsti duomenų valdytojo veiksmus (neveikimą) Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo iš duomenų valdytojo gavimo dienos arba per 3 mėnesius nuo tos dienos, kada baigiasi šio straipsnio 3 dalyje nustatytas terminas pateikti atsakymą.
Duomenų valdytojas privalo nedelsdamas informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų).
Duomenų subjektas turi teisę nesutikti (raštu, žodiu ar kitokia forma), kad būtų tvarkomi jo asmens duomenys. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, nenurodydamas nesutikimo motyvų, kai duomenys tvarkomi ar ketinami tvarkyti tiesioginės rinkodaros tikslais.
Jeigu duomenų valdytojas įvertina duomenų subjekto savybes automatiniu būdu ir duomenų subjektas nesutinka su tokiu įvertinimu, jis turi teisę pareikšti savo nuomonę dėl jo savybių įvertinimo, taip pat prašyti, kad įsikištų žmogus, ir ginčyti automatizuotą sprendimą.
Duomenų subjektas, kreipdamasis į Valstybinę duomenų apsaugos inspekciją ir pateikdamas asmens tapatybę patvirtinantį dokumentą, turi teisę prašyti Valstybinę duomenų apsaugos inspekciją surinkti iš registruotų duomenų valdytojų jo asmens duomenis ar informaciją apie jo asmens duomenų tvarkymą ir jį supažindinti su surinktais duomenimis ar informacija.
Duomenų saugojimas ir perdavimas
Duomenys saugomi ne ilgiau, nei to reikia duomenų tvarkymo tikslais. Konkretūs asmens duomenų saugojimo terminai nustatyti Tarybos dokumentacijos plane ir kituose teisės aktuose.
Duomenų teikimas į Europos Sąjungos struktūrinių fondų lėšų bendrai finansuojamų projektų duomenų mainų svetainę vyksta vadovaujantis Projektų administravimo ir finansavimo taisyklėmis. Duomenys teikiami VšĮ Mokslo ir studijų stebėsenos ir analizės centrui pagal sutartis dėl duomenų teikimo.
Asmens duomenys šio įstatymo nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis.
UAB „Savaitė“ įsipareigoja naudoti Jūsų pateiktus duomenis tik savo reikmėms ir perduoti tik būtinus duomenis leidinių platintojams (AB „Lietuvos paštas“, ‚“Lietuvos ryto" platinimo tarnybai ir pan.) užtikrinant tinkamą leidinių pristatymą nurodytais adresais. Duomenys gali būti naudojami UAB "Savaitė" naujienų ir informacijos siuntimui, tačiau, vartotojas jų gali, bet kada atsisakyti.
Asmens duomenys (dokumentai, kuriuose yra asmens duomenys, ar jų kopijos) saugomi tam skirtose patalpose, vietinio tinklo srityse, kompiuterių standžiuosiuose diskuose. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, naudoja slaptažodius. Slaptažodžiai yra keičiami periodiškai arba nedelsiant, susidarius tam tikroms aplinkybėms.
Vaizdo stebėjimas ir skolininkų duomenys
Draudžiama įrengti ir eksploatuoti įrengtas vaizdo stebėjimo priemones, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų nustatytus atvejus.
Duomenų valdytojas turi teisę skolininkų duomenis, taip pat ir asmens kodą, teikti duomenų valdytojams, tvarkantiems jungtines skolininkų duomenų rinkmenas. Duomenys apie faktą, kad duomenų subjektas laiku ir tinkamai neįvykdė savo finansinių ir (arba) turtinių įsipareigojimų, negali būti tvarkomi ilgiau negu 10 metų nuo įsiskolinimo padengimo dienos.
Valstybinė duomenų apsaugos inspekcija
Kaip vykdomas šis įstatymas, prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija. Valstybinė duomenų apsaugos inspekcija yra Vyriausybės įstaiga, finansuojama iš valstybės biudžeto. Ji atskaitinga Vyriausybei.
Valstybinės duomenų apsaugos inspekcijos veikla grindžiama teisėtumo, nešališkumo, viešumo, profesionalumo atliekant savo funkcijas principais. Valstybinė duomenų apsaugos inspekcija, atlikdama šio įstatymo jai nustatytas funkcijas bei priimdama sprendimus, susijusius su šiame įstatyme jai nustatytų funkcijų atlikimu, yra nepriklausoma.
Valstybinė duomenų apsaugos inspekcija ne vėliau kaip per 2 mėnesius nuo duomenų valdytojo kreipimosi dienos išduoda arba atsisako išduoti leidimą teikti asmens duomenis į trečiąsias valstybes.
Didelės finansinės sankcijos gali siekti iki 20 mln. EUR arba sudaryti 4 proc. jūsų įmonės pasaulinės apyvartos. Valstybinė duomenų apsaugos inspekcija gali nurodyti jums nustoti tvarkyti asmens duomenis.
