Kada galima tvarkyti asmens duomenis?

Atsakymas

Jūsų įmonė ar organizacija gali tvarkyti asmens duomenis tik esant šioms aplinkybėms:

• gavus atitinkamų asmenų sutikimą;
• esant sutartinei prievolei (pagal jūsų įmonės ar organizacijos ir kliento sutartį);
• siekiant įvykdyti teisinę prievolę (nustatytą ES ar nacionalinės teisės aktuose);
• tvarkyti duomenis yra būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui (kaip nustatyta ES ar nacionalinės teisės aktuose);
• siekiant apsaugoti asmens gyvybinius interesus;
• jūsų organizacijos teisėtų interesų labui, tačiau tik patikrinus, ar tai neturi didelio poveikio asmens, kurio duomenis tvarkote, pagrindinėms teisėms ir laisvėms. Jeigu asmens teisės yra viršesnės už jūsų interesus, jūs negalite tvarkyti jo asmens duomenų vadovaudamiesi teisėtu interesu. Vertinant, ar jūsų įmonės ar organizacijos teisėti interesai tvarkyti duomenis yra viršesni už atitinkamų asmenų teisėtus interesus, atsižvelgiama į konkrečias aplinkybes.

Pavyzdžiai

Sutikimas
Jūsų įmonė ar organizacija siūlo muzikos programėlę. Tam, kad galėtumėte pasiūlyti specialiai parinktas dainas ir galbūt koncertus, prašote programėlės naudotojų sutikimo tvarkyti duomenis apie jų muzikinį skonį.

Sutartinė prievolė
Jūsų įmonė ar organizacija vykdo prekybą internetu. Ji gali tvarkyti tuos duomenis, kurių reikia, kad galėtumėte imtis veiksmų asmens prašymu prieš sudarant sutartį ir ją vykdant. Taigi, galite tvarkyti tokią informaciją kaip vardas, pavardė, pristatymo adresas, kredito kortelės numeris (jeigu mokama kortele) ir pan.

Teisinė prievolė
Jūs turite įmonę ir samdomų darbuotojų. Tam, kad gautumėte socialinio draudimo apsaugą, teisės aktu esate įpareigotas atitinkamai institucijai pateikti asmens duomenis (pvz., savo darbuotojų savaitines pajamas).

Viešasis interesas
Profesinė asociacija, kaip antai advokatų ar medicinos specialistų draugija, kuriai yra oficialiai suteikti atitinkami įgaliojimai, gali savo nariams taikyti drausmines procedūras.

Asmens gyvybiniai interesai
Ligoninėje gydomas į didelę avariją patekęs pacientas; ligoninei nereikia jo sutikimo ieškoti jo asmens dokumentų, kad galėtumėte patikrinti, ar šis asmuo yra ligoninės duomenų bazėje, ir rasti jo ankstesnę ligos istoriją ar susisiekti su jo artimaisiais.

Jūsų organizacijos teisėti interesai
Tam, kad užtikrintų tinklo saugumą, jūsų įmonė ar organizacija stebi savo darbuotojų IT įrenginių naudojimą. Jūsų įmonė ar organizacija gali teisėtai tvarkyti asmens duomenis šiuo tikslu tik tuo atveju, jeigu pasirenkamos mažiausiai savo darbuotojų teises į privatumą ir duomenų apsaugą apribojančios priemonės, pavyzdžiui, apribojamas tam tikrų svetainių prieinamumas. (Atkreipiame dėmesį, kad tai neleidžiama tose valstybėse narėse, kuriose nacionaliniais įstatymais nustatomos griežtesnės darbuotojų duomenų tvarkymo taisyklės.)

Nuorodos

• BDAR 6 straipsnis; 40–49 konstatuojamosios dalys
• 29 straipsnio darbo grupės nuomonė 06/2014 dėl duomenų valdytojo teisėtų interesų sąvokos pagal Direktyvos 95/46/EB 7 straipsnį

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E