.
Kas privalo registruoti asmens duomenų tvarkymo veiklą?
Registruoti duomenų tvarkymo veiklą privalo kiekviena įmonė, kuri atitinka BENT VIENĄ iš nurodytų salygų:
- Įmonė turi daugiau, nei 250 darbuotojų
- Asmens duomenys tvarkomi periodiškai (nuolat)
- Tvarkomas bet koks kiekis jautrių asmeninių duomenų (susijusių su sveikata, seksualine orientacija, rasine ar etnine kilme, politinėmis pažiūromis, religiniais ar filosofiniais įsitikinimais, įrašais apie kriminalinę veiką ir kita)
Taip pat įmonės, kurios vykdo bet kurią iš paminėtų veiklų, susijusių su asmens duomenimis:
- Vertinami su darbu susiję rezultatai
- Stebimi asmens įpročiai, buvimo vieta ar judėjimas
- Fiziniams asmenims teikiamos draudimo, investicinės ar finansinės paslaugos
- Siūlomos lojalumo programos (pvz., klientų/nuolaidų kortelės)
- Renkama/registruojama klientų informacija
- Klientų profiliavimas marketingo tikslais
- Teikiamos nuomos ar įdarbinimo paslaugos
- Renkami su azartiniais lošimais susiję asmens duomenys
- Renkami duomenys, susijusių su vaikais, vyresnio amžiaus žmonėmis, psichinėmis ligomis sergančiais asmenimis, rinkimas
- Derinami ir jungiami asmens duomenys gautų/surinktų iš skirtingų šaltinių (dideli duomenų kiekiai)
- Asmens duomenys perduodami už Europos Sąjungos ribų (įskaitant atvejus, kai asmens duomenys saugomi ne ES esančiuose serveriuose)
Kaip saugoti duomenų tvarkymo veiklos įrašus?
Svarbu, kad įrašai būtų saugomi elektronine forma ir reguliariai atnaujinami.
Jei, remiantis BDAR, įmonei reikia paskirti duomenų apsaugos pareigūną (DAP), jis tampa atsakingas už duomenų tvarkymo veiklą ir jos įrašų kurimą bei valdymą.
SVARBU ŽINOTI:
GDPR Register sistemoje galima rasti iš anksto parengtus asmens duomenų tvarkymo veiklos įrašų šablonus, kurie padeda identifikuoti kokia informacija informacija turi būti nurodoma veiklos įrašuose ir kaip jie turi būti formuojami.
Išbandykite asmens duomenų tvarkymo veiklos šablonus. Užsiregistruokite GDPR Register nemokamam bandomajam laikotarpiui.
Kas turi būti nurodoma duomenų tvarkymo veiklos įrašuose?
Jei, esate atsakingas už duomenų apsaugą įmonėje arba, remiantis BDAR 37str, esate paskirtas duomenų apsaugos pareigunu (DAP), pildant duomenų tvarkymo veiklos įrašus privalote nurodyti šią informaciją:
- įmonės pavadinimas ir DAP arba atsakingo asmens kontaktiniai duomenys;
- asmens duomenų subjektų grupė;
- asmens duomenų kategorijos;
- tvarkomų asmens duomenų aprašymas;
- duomenų tvarkymo veiklos tikslai;
- duomenų tvarkymo veiklos pagrindas;
- duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, įskaitant duomenų gavėjus trečiosiose valstybėse ar tarptautines organizacijas, kategorijos;
- kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir 49 straipsnio 1 dalies antroje pastraipoje nurodytais duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;
- kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai;
- kai įmanoma, bendras 32 straipsnio 1 dalyje nurodytų techninių ir organizacinių saugumo priemonių aprašymas.
Žemiau pateiktas pavyzdys, kaip atrodo duomenų tvarkymo veiklos šablonas GDPR Register platformoje.
