Vertikalus


Naujienų prenumerata


 
Konsultacijos
(pirmadienį– ketvirtadienį)
9.00–11.00 val.
13.00–15.00 val.
tel. (8 5) 212 7532
 
Priimamasis
tel. (8 5) 271 2804
 
ŽINIASKLAIDAI
tel. (8 5) 262 6516

 
 
 
 
 


Pradžia

Rekomendacija dėl duomenų tvarkymo veiklos įrašų (2018 m.)

Atsisiųsti rekomendaciją

2018 m. birželio 20 d.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) 30 straipsnis numato duomenų valdytojams ir duomenų tvarkytojams bei, kai taikoma, ir jų atstovams, pareigą tvarkyti duomenų tvarkymo veiklos įrašus, kuriuose būtų detaliai aprašytas atliekamas asmens duomenų tvarkymas.


Kam privalomi duomenų tvarkymo veiklos įrašai?

Duomenų tvarkymo veiklos įrašus privalo tvarkyti:

  1. Valdžios institucijos ir įstaigos – valstybės ir savivaldybių institucijos ir įstaigos, įmonės ir viešosios įstaigos, finansuojamos iš valstybės ar savivaldybių biudžetų bei valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotos atlikti viešąjį administravimą arba teikiančios asmenims viešąsias ar administracines paslaugas ar vykdančios kitas viešąsias funkcijas. BDAR 30 straipsnio 5 dalyje numatyta išimtis šioms valdžios institucijoms ir įstaigoms nėra taikoma.
  2. Įmonės, įstaigos ar organizacijos, kuriose dirba daugiau kaip 250 darbuotojų.
  3. Įmonės, įstaigos ar organizacijos, kurių atliekamas asmens duomenis tvarkymas apima bent vieną iš šių atvejų:
  • kai dėl vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms (pvz., kai dėl duomenų tvarkymo duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, pvz., duomenys susiję su darbo rezultatais, ekonomine situacija, asmeniniais pomėgiais ar interesais ir t. t.; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų; kai dėl tvarkymo gali kilti neigiamos pasekmės asmenims, pvz., diskriminacija, būti pavogta ar suklastota tapatybė, padaryta finansinių nuostolių; kai tvarkymas atliekamas naudojant naujas technologijas ir t. t.);
  • duomenų tvarkymas yra reguliarus (tai reiškia, kad jis atliekamas tam tikrais intervalais, nuolat tebevykstantis, pasikartojantis tam tikrai periodais, yra organizuotas, planuotas, metodiškas ar pan.);
  • duomenų tvarkymas apima specialių kategorijų asmens duomenis (pagal BDAR 9 straipsnio 1 dalį), t. y., kai tvarkomi duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie asmens lytinį gyvenimą ar lytinę orientaciją;
  • tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (pagal BDAR 10 straipsnį).

Net jei įmonei, įstaigai ar organizacijai nėra privaloma tvarkyti duomenų tvarkymo veiklos įrašus, gali būti naudinga tai daryti savanoriškai. Įrašų tvarkymas apie tai, kokiais tikslais ir kokie asmens duomenys tvarkomi, kam perduodami ir t. t., gali padėti efektyviau tvarkyti asmens duomenis, padėti įgyvendinti duomenų subjektų teises bei laikytis kitų BDAR nuostatų.

 

1 pavyzdys

Draudimo bendrovėje dirba 100 darbuotojų. Vykdydama veiklą, ji reguliariai tvarko savo klientų asmens duomenis draudimo sutarčių sudarymo ir administravimo, draudimo išmokų mokėjimo ir t. t. tikslais. Nors bendrovėje dirba mažiau kaip 250 darbuotojų, ji privalo tvarkyti duomenų tvarkymo veiklos įrašus, kadangi duomenų tvarkymas nėra atsitiktinis, bet reguliarus.

Tuo atveju, jeigu draudimo bendrovė retkarčiais atlieka vidinį darbuotojų kaitumo tyrimą, kurio metu tvarko darbuotojų asmens duomenis, tuomet duomenų tvarkymo veiklos įrašų jai tvarkyti nereikia, nes ši veikla nebūtų laikoma reguliaria.

 

2 pavyzdys

Draudimo bendrovė retkarčiais gali atlikti ir kitus asmens duomenų tvarkymo veiksmus, pvz., kartais ji savo klientų duomenis (profilius) tvarko draudimo rizikos klasifikavimo tikslais. Nors šiuo atveju duomenų tvarkymas nėra reguliarus, tačiau bendrovė turėtų tvarkyti tokio duomenų tvarkymo veiklos įrašus, kadangi toks asmens duomenų tvarkymas gali kelti pavojų asmenų teisėms ir laisvėms.

 

3 pavyzdys

Bendrovė vykdo įdarbinimo kampanijas. Šiuo tikslu ji tvarko asmenų, norinčių įsidarbinti, asmens duomenis apie sveikatą. Kampanijos yra retos, tačiau bendrovė vis tiek privalo tvarkyti duomenų tvarkymo veiklos įrašus, kadangi tokia veikla apima specialių kategorijų duomenų tvarkymą.

 

 Kokia forma turi būti tvarkomi duomenų tvarkymo veiklos įrašai?

Duomenų tvarkymo veiklos įrašai turi būti tvarkomi raštu, įskaitant elektronine forma.

Pastebėtina, kad BDAR nenumato prievolės duomenų valdytojui ir (ar) duomenų tvarkytojui duomenų tvarkymo veiklos įrašų skelbti viešai.

Duomenų valdytojas ar duomenų tvarkytojas ir, jei taikoma, duomenų valdytojo arba duomenų tvarkytojo atstovas turi pateikti įrašus Valstybinei duomenų apsaugos inspekcijai, gavę jos prašymą, pavyzdžiui, priežiūros institucijai atliekant prevencinį tyrimą ir (ar) tikrinimą, nagrinėjant duomenų subjekto prašymą ar pan.



Kokia informacija turi būti pateikiama duomenų tvarkymo veiklos įrašuose?

DUOMENŲ VALDYTOJO duomenų tvarkymo veiklos įrašuose turi būti pateikiama ši informacija:

 

(rekomenduojama forma)

 

DUOMENŲ TVARKYTOJO duomenų tvarkymo veiklos įrašuose turi būti pateikiama ši informacija:

(rekomenduojama forma)

 

Duomenų tvarkymo veiklos įrašuose turi būti pateikiama informacija apie visas duomenų valdytojo (duomenų tvarkytojo) atliekamas asmens duomenų tvarkymo operacijas, kurioms taikomas reikalavimas tvarkyti duomenų tvarkymo veiklos įrašus, pvz., apie įdarbinimo proceso metu renkamus asmens duomenis, apie darbuotojų asmens duomenų tvarkymą darbo santykių kontekste, apie darbuotojų darbo vietos elektroninės komunikacijos ir (ar) per GPS atliekamą transporto priemonės buvimo vietos stebėjimą, apie telefoninių pokalbių įrašymą, vaizdo stebėjimą ir t. t.

4 pavyzdys

Odontologijos klinika (kaip smulkaus ir vidutinio verslo subjektas) turėtų tvarkyti duomenų tvarkymo veiklos įrašus dėl odontologijos paslaugų teikimo, kadangi tvarkomi specialių kategorijų duomenys apie asmens sveikatą, tačiau tokių įrašų tvarkyti nereikėtų dėl darbuotojų asmens duomenų tvarkymo personalo administravimo tikslais.


Jeigu duomenų valdytojas (duomenų tvarkytojas) tvarko asmens duomenis keliais tikslais ir asmens duomenų tvarkymas šiais tikslais yra skirtingas (pvz., tvarkomi skirtingų duomenų subjektų grupių asmens duomenys, skiriasi duomenų saugojimo terminai, asmens duomenų tvarkymo būdas (pvz., telefoninių pokalbių įrašymas, vaizdo stebėjimas, klientų asmens duomenų tvarkymas informacinėje sistemoje), duomenų gavėjų kategorijos ir t. t.), duomenų valdytojas kiekvienam asmens duomenų tvarkymo tikslui turėtų tvarkyti atskirą duomenų tvarkymo veiklos įrašą.

Rekomenduotina, kad duomenų tvarkytojas tvarkytų atskirus duomenų tvarkymo veiklos įrašus pagal kiekvieną duomenų valdytoją, kurio vardu jis veikia (ypač tuo atveju, jeigu duomenų tvarkymo veiksmai skiriasi).

 

Kada duomenų tvarkymo veiklos įrašai turi būti atnaujinami?

Kai pasikeičia asmens duomenų tvarkymo veiksmai ar kita informacija, susijusi su asmens duomenų tvarkymu, duomenų tvarkymo veiklos įrašuose esanti informacija turi būti atnaujinama.

Duomenų valdytojas (duomenų tvarkytojas) turi užtikrinti duomenų tvarkymo veiklos įrašų pakeitimų atsekamumą (pvz., kas, kada buvo duomenų apsaugos pareigūnas, kada ir kokie buvo daryti pakeitimai ir t. t.).

 

 

Paskutinis atnaujinimas: 2018-06-29 09:07:22