BDAR nustato detalius reikalavimus įmonėms ir organizacijoms dėl asmens duomenų rinkimo, saugojimo ir tvarkymo. Jis taikomas tiek Europos organizacijoms, kurios tvarko asmenų asmens duomenis ES, tiek organizacijoms už ES ribų, kurios yra skirtos ES gyvenantiems žmonėms. Šiuos reikalavimus galime vadinti BDAR prievolėmis arba BDAR pareigomis. Už BDAR reikalavimų (prievolių) nevykdymą numatyta atsakomybė.
Viena vertus, BDAR nustato prievoles visoms asmens duomenis tvarkančioms organizacijoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai, ar duomenų tvarkytojai. Pavyzdžiui, yra būtina:
- Paklausti savęs, ar tikslas, kuriuo gali būti renkami asmens duomenys, yra pagrįstas, ir renkami tik tie asmens duomenys, kurie yra būtini konkrečiam (-iems) numatytam (-iems) tikslui (-ams);
- Užtikrinti, kad asmenų asmens duomenys būtų tikslūs ir atnaujinti, ir ištrinti duomenis, kai jų nebereikia;
- Gerbti asmenų teises informuojant juos apie tai, kaip ir kodėl tvarkomi jų duomenys, ir suteikti jiems galimybę naudotis savo teisėmis;
- Patikrinti, ar turite tinkamą teisinį pagrindą tvarkyti asmens duomenis. Jei ketinate remtis fizinių asmenų sutikimu, prieš tvarkydami jų asmens duomenis, paprašykite jų sutikimo;
- Užtikrinti, kad asmens duomenys būtų tvarkomi saugiai;
- Tvarkyti duomenų tvarkymo veiklos įrašus.
Tačiau svarbu žinoti, kad ne visos BDAR prievolės vienodai taikomos visoms įmonėms ar organizacijoms. Netinkamas suvokimas apie taikytinas BDAR prievoles gali reikšti ne tik be reikalo perteklinei BDAR atitikčiai užtikrinti išleistus pinigus, sugaištą laiką, bet ir sankcijas, jei prievolės įgyvendinamos netinkamai.
Pavyzdžiui, prievolė paskirti duomenų apsaugos pareigūną pagal BDAR kyla, kai įmonės asmens duomenų tvarkymas atitinka tam tikrus kriterijus:
- Pagrindinė įmonės veikla – vykdyti veiklą, kuri dėl savo pobūdžio, apimties ir tikslų reikalauja reguliaraus ir sistemingo intensyvaus duomenų subjektų stebėjimo.
- Pagrindinė veikla apima didelio masto specialių kategorijų asmens duomenų tvarkymą pagal BDAR 9 straipsnį ir duomenų apie teistumus ir nusikaltimus pagal BDAR 10 straipsnį.
Taip pat, pagal BDAR reikalaujama, kad kiekviena valdžios institucija ar organizacija (išskyrus teismus, vykdančius teisminę veiklą) paskirtų duomenų apsaugos pareigūną.
Žinotina, kad skirtingi BDAR reikalavimai (prievolės) taikomi priklausomai nuo to, kokį vaidmenį įmonė ar įstaiga atlieka asmens duomenų rinkime, saugojime ar tvarkyme. Pavyzdžiui, ar ji yra duomenų valdytojas, ar duomenų tvarkytojas. Kai nusprendžiama, kokiais tikslais ir priemonėmis bus tvarkomi asmens duomenys, duomenų valdytojas arba bendri duomenų valdytojai privalo užtikrinti asmens duomenų apsaugą. Siekiant to, duomenų valdytojas arba bendri duomenų valdytojai turi imtis priemonių, kad apsaugotų asmens duomenis ir leistų asmenims naudotis savo teisėmis (Daugiau informacijos žr. Valdytojo/bendrų duomenų valdytojų pareigų kontrolinį sąrašą). Duomenų tvarkytojai turi laikytis duomenų valdytojo ir duomenų tvarkytojo sutartyje nustatytų pareigų ir negali tvarkyti duomenų kitaip, nei nurodyta duomenų valdytojo nurodymuose. Tai reguliuoja susitarimas dėl asmens duomenų tvarkymo. BDAR reikalavimai gali priklausyti ir nuo to, ar tai smulki ar vidutinė įmonė, ar stambus verslas. Papildomi reikalavimai gali būti taikomi konkrečiai veiklai, pavyzdžiui, sveikatos priežiūra.
Prieš imantis įgyvendinti BDAR prievoles būtinas adekvatus suvokimas apie jas. Norėtumėte pasitikrinti savo žinias apie BDAR prievoles? Tai galite padaryti čia.