Kokius duomenis galima tvarkyti ir kokiomis sąlygomis?

Atsakymas

Asmens duomenų, kuriuos įmonė ar organizacija gali tvarkyti, rūšis ir kiekis priklauso nuo to, kokiu tikslu jie tvarkomi (t. y. nuo naudojamos teisinės priežasties) ir kaip ketinama juos naudoti. Įmonė ar organizacija privalo laikytis kelių pagrindinių taisyklių:

• asmens duomenys turi būti tvarkomi teisėtai, skaidriai ir sąžiningai asmens, kurio duomenys tvarkomi, atžvilgiu (teisėtumo, sąžiningumo ir skaidrumo principas);
• duomenys turi būti tvarkomi konkrečiais tikslais ir šiuos tikslus įmonė ar organizacija privalo nurodyti asmenims, kai renka jų asmens duomenis. Įmonė ar organizacija negali tiesiog rinkti asmens duomenų neturėdama apibrėžtų tikslų (tikslo apribojimo principas);
• įmonė ar organizacija gali rinkti ir tvarkyti tik tuos asmens duomenis, kurių reikia tam tikslui pasiekti (duomenų kiekio mažinimo principas);
• įmonė ar organizacija turi užtikrinti, kad asmens duomenys būtų tikslūs, atnaujinami atsižvelgiant į jų tvarkymo tikslus ir ištaisomi, jeigu taip nėra (tikslumo principas);
• įmonė ar organizacija negali toliau naudoti asmens duomenų kitiems tikslams, kurie nesuderinami su pirminiu tikslu;
• įmonė ar organizacija turi užtikrinti, kad asmens duomenys būtų saugomi ne ilgiau nei būtina tikslams, kuriems jie buvo surinkti (saugojimo trukmės apribojimo principas);
• įmonė ar organizacija naudodamasi tinkamomis technologijomis turi įdiegti tinkamas technines ir organizacines apsaugos priemones, užtikrinančias asmens duomenų saugumą, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).

Pavyzdys

Jūsų įmonė ar organizacija vykdo kelionių agentūros veiklą. Gaudami savo klientų asmens duomenis turite aiškiai ir suprantama kalba paaiškinti, kodėl jums šių duomenų reikia, kaip juos naudosite ir kiek ketinate juos saugoti. Duomenų tvarkymas turi būti pritaikytas taip, kad būtų laikomasi pagrindinių duomenų apsaugos principų.

Nuorodos

• BDAR 5 straipsnio 1 dalis; 39 konstatuojamoji dalis
• 29 straipsnio darbo grupės nuomonė 03/2013 dėl tikslo apribojimo principo (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)