Duomenų tvarkymo teisėtumas (teisėtas pagrindas) nurodytas Bendrojo duomenų apsaugos reglamento (BDAR) 6 straipsnyje, kuriame nurodoma, kad duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų:
Sutikimas
Duomenų subjektas duoda sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais. Sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą ir įmonės privalo tai įvykdyti kuo įmanoma paprasčiau – atšaukti sutikimą turi būti taip pat lengva kaip jį duoti. Įmonė privalo įrodyti, kad asmuo davė sutikimą tvarkyti jo asmens duomenis. Jei duomenys naudojami daugiau, nei vienam tikslui, sutikimas reikalingas kiekvienam procesui atskirai.
Sutartis
Duomenų tvarkymas yra būtinas sutarčiai, kurią įmonė sudaro su klientu, arba dėl to, kad prieš pasirašydamas sutartį klientas paprašė įmonės imtis konkrečių veiksmų. Sutarties, kurioje reikalaujama tvarkyti asmens duomenis, sudarymas yra galiojantis duomenų tvarkymo pagrindas. Įmonė turi informuoti duomenų subjektą apie renkamus duomenis ir jų tvarkymo procesus. Pvz., užsisakant prekes internetu, užsakyme (sutartyje) nurodoma kas apmoka užsakymą ir kam pristatomos prekės. Kai kuriais atvejais, bus nurodomas asmens namų adresas, kad siunta butų pristatoma į namus.
Teisinė prievolė
Tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė. Šalies įstatymai gali reikalauti, kad įmonės tvarkytų asmens duomenis pvz., Lietuvos Respublikos buhalterinės apskaitos pagrindų įstatymas nurodo, kad įmonės privalo saugoti dokumentus 10 metų nuo jų išrašymo datos, todėl įmonės tvarko duomenis remdamosios nacionaliniais įstatymais. Valstybės pareigūnams teisinė prievolė – tai jų oficiali pareiga, pvz., mokesčių inspekcijos, policijos ar finansų tyrimo padalinių pagrindinis darbas yra asmens duomenų tvarkymas.
Gyvybiniai interesai
Tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus, esant pavojuje ir negalint duoti sutikimo, pvz., greitoji pagalba, įvykus nelaimei ar asmeniui esant be sąmonės, turi prieigą prie jo medicininių duomenų. Duomenų apdorojimas remiantis gyvybiniais interesais dažniausiai naudojamas neįprastomis aplinkybėmis ir kilus ekstremaliai situacijai.
Viešieji interesai
Tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Asmens duomenų tvarkymas visuomenės labui gali būti vertinamas kaip viešasis interesas, pvz., įvyko kažkoks protrūkis, o duomenų tvarkymas gali padėti vesti statistiką ir valdyti informacijos srautą. Esant dideliam visuomenės susidomėjimui, viešojo asmens duomenys yra viešasis interesas.
Teisėti interesai
Tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas. Teisėtais interesais galima remtis tik esant tinkamam ryšiui tarp asmens ir duomenų tvarkytojo, pvz., tarp kliento ir prekių/paslaugų tiekėjo, kuomet klientas žino ir supranta, kad jo duomenys bus tvarkomi. Kai įmonė priklauso grupei, perduodant duomenis grupėje vidaus administravimo tikslais, yra teisėtas interesas. Teisėti interesai netaikomi valdžios institucijoms, tvarkančioms asmens duomenis savo užduotims atlikti.
Kiekvieno tvarkymo veiklos teisėto pagrindo registravimo būdas.
Teisėtas pagrindas turi būti nurodytas duomenų tvarkymo veiklos iraše, reikalaujamame BDAR 30 straipsnyje.
BDAR Registras – tai sprendimas, turintis suprantamus ir paprastai naudojamus šablonus, galimybę rengti ataskaitas, patvirtintas vietinės duomenų apsaugos inspekcijos.
Paprastas naudoti GDPR atitikties įrankis
Su GDPR Register galite tvarkyti tvarkymo veiklos įrašus, kurti ir tvarkyti dokumentus, pranešti duomenų apsaugos agentūrai.