GDPR (General Data Protection Regulation) jau seniai tapo kasdienybe visiems, kurie valdo svetaines, aplikacijas ar SaaS ir vienaip ar kitaip tvarko ES gyventoj\u0173 asmens duomenis. Nesvarbu, ar turi ma\u017e\u0105 tinklara\u0161t\u012f, ar e. komercij\u0105 su t\u016bkstan\u010diais klient\u0173 \u2013 jei renkama, saugoma ar perduodama informacija apie identifikuojamus asmenis, reikalavimai galioja.<\/p>\n\n\n\n
Svarbu ir tai, kad GDPR taikomas ne tik ES \u012fmon\u0117ms: jei tavo verslas u\u017e ES rib\u0173, bet tvarkai ES gyventoj\u0173 duomenis, taikymas i\u0161lieka. O u\u017e neatitikt\u012f numatytos sankcijos realios: baudos gali siekti iki 20 mln. \u20ac arba 4% metin\u0117s pasaulin\u0117s apyvartos (atsi\u017evelgiant \u012f tai, kuri suma didesn\u0117).<\/p>\n\n\n\n
\u017demiau \u2013 i\u0161samus, prakti\u0161kai pritaikomas GDPR atitikties kontrolinis s\u0105ra\u0161as svetaini\u0173 savininkams. Strukt\u016bra s\u0105moningai tokia, kad gal\u0117tum pereiti nuo inventorizacijos (k\u0105 turi) iki proces\u0173 (kaip valdai) ir iki \u012fgyvendinimo (kokie konkret\u016bs \u017eingsniai svetain\u0117je).<\/p>\n\n\n\n
GDPR \u2013 tai ES taikomas asmens duomen\u0173 apsaugos reglamentas, \u012fsigalioj\u0119s 2018-05-25. Jis nustato taisykles, kaip organizacijos renka, naudoja, saugo ir dalijasi asmens duomenimis. Reglamentas taikomas tiek ES viduje, tiek u\u017e ES rib\u0173, jei tvarkomi ES gyventoj\u0173 asmens duomenys.<\/p>\n\n\n\n
Prie\u0161 pradedant tvarkyti dokumentus ar diegti slapuk\u0173 banerius, reikia ai\u0161kiai suprasti, kok\u012f vaidmen\u012f turi tavo organizacija. GDPR \u010dia naudoja tris kertines s\u0105vokas.<\/p>\n\n\n\n
Praktikoje vienas verslas gali b\u016bti ir valdytojas, ir tvarkytojas skirtinguose procesuose (pvz., savo klient\u0173 at\u017evilgiu esi valdytojas, o teikdamas paslaug\u0105 kitai \u012fmonei \u2013 tvarkytojas).<\/p>\n\n\n\n
Kad kontrolinis s\u0105ra\u0161as neb\u016bt\u0173 tik \u201etickbox\u201c pratimas, naudinga \u012fsiminti reglamento principus \u2013 jie atsikartoja visur: nuo form\u0173 iki retention period.<\/p>\n\n\n\n
Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Tai turi b\u016bti realus inventorius, k\u0105 i\u0161 tikr\u0173j\u0173 laikai (pvz., vardas, pavard\u0117, adresas, el. pa\u0161tas, IP, mok\u0117jimo identifikatoriai ir pan.). Kiekvienam duomen\u0173 tipui u\u017efiksuok: i\u0161 kur duomenys gaunami, su kuo jais daliniesi, kam jie naudojami ir kiek laiko laikomi.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n \u010cia svarbu nepamir\u0161ti, kad \u201evietos\u201c n\u0117ra vien tik DB. Tai gali b\u016bti MySQL\/PostgreSQL, log\u0173 sistema, CRM, el. pa\u0161to \u012frankis, fail\u0173 saugykla, helpdesk, analitikos platforma, taip pat offline laikmenos (pvz., popieriniai dokumentai). Duomen\u0173 srautai (data flows) tarp \u0161i\u0173 viet\u0173 turi b\u016bti ai\u0161kiai suprantami.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Privatumo politika turi apimti, kaip tvarkai asmens duomenis, ir ai\u0161kiai nurodyti (arba tur\u0117ti nuorodas \u012f) duomen\u0173 tipus bei vietas, kur jie laikomi. Esmin\u0117 id\u0117ja: \u017emogus turi suprasti, kas vyksta su jo duomenimis.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Vien tik \u201emes renkame duomenis\u201c nepakanka. Turi b\u016bti ai\u0161kus pagrindas, pvz., sutarties vykdymas (contract performance) ar kitas Article 6 numatytas teis\u0117tumo pagrindas.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n DPO n\u0117ra privalomas visiems. Jis reikalingas tik trimis atvejais:<\/p>\n\n\n\n Jei DPO privalomas, jis turi i\u0161manyti GDPR gaires ir tavo vidinius procesus, kuriuose tvarkomi asmens duomenys.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Tai \u201eorganizacinis\u201c punktas, bet prakti\u0161kai jis i\u0161sprend\u017eia daug problem\u0173. Jei sprendimus priimantys \u017emon\u0117s turi aktualias \u017einias, ma\u017eiau \u0161ans\u0173, kad bus paleistas funkcionalumas, kuris renka per daug duomen\u0173 ar neturi teis\u0117to pagrindo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ypa\u010d SaaS atveju verta remtis saugumo checklistais kaip startine baze ir u\u017esitikrinti, kad technin\u0117s priemon\u0117s (access control, patching, hardening, monitoring) realiai veikia, o ne egzistuoja tik dokumentuose.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Taikoma: Data Processor<\/em><\/p>\n\n\n\n Dalis saugumo incident\u0173 \u012fvyksta ne d\u0117l \u201enulau\u017eimo\u201c, o d\u0117l social engineering ar nety\u010dinio veiksm\u0173 sekos. Jei \u017emon\u0117s turi prieig\u0105 prie vidini\u0173 sistem\u0173, jie turi suprasti rizikas ir tipinius scenarijus.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Taikoma: Data Processor<\/em><\/p>\n\n\n\n Jei kaip tvarkytojas pasitelki kitus tvarkytojus (sub-processors), klientai turi b\u016bti informuoti, ir j\u0173 sutikimas turi b\u016bti gautas per privatumo politikos pri\u0117mim\u0105.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Jei verslas \u012fsteigtas ne ES, bet renka \/ tvarko ES pilie\u010di\u0173 duomenis, reikia paskirti atstov\u0105 vienoje i\u0161 ES valstybi\u0173 nari\u0173. \u0160is asmuo turi tvarkyti su duomen\u0173 tvarkymu susijusius klausimus; svarbu, kad prie\u017ei\u016bros institucija gal\u0117t\u0173 su juo susisiekti.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Pa\u017eeidimus reikia prane\u0161ti vietinei prie\u017ei\u016bros institucijai per 72 valandas. Prane\u0161ime turi b\u016bti: kokie duomenys prarasti \/ nutekinti, kokios pasekm\u0117s ir kokios atsakomosios priemon\u0117s pritaikytos. Jei nutek\u0117j\u0119 duomenys nebuvo \u0161ifruoti (encrypted), paprastai reikia informuoti ir pat\u012f duomen\u0173 subjekt\u0105.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Sutartyje turi b\u016bti ai\u0161kios instrukcijos d\u0117l duomen\u0173 saugojimo \/ tvarkymo: tvarkymo objektas ir trukm\u0117, pob\u016bdis ir tikslas, asmens duomen\u0173 tipai, duomen\u0173 subjekt\u0173 kategorijos, taip pat valdytojo teis\u0117s ir pareigos. Prakti\u0161kas pavyzdys \u2013 sutartis su hostingo tiek\u0117ju.<\/p>\n\n\n\n Tie patys reikalavimai galioja ir tada, kai tvarkytojas pasitelkia sub-processor, kad \u012fgyvendint\u0173 tvarkymo veiklas valdytojo vardu.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Turi b\u016bti apibr\u0117\u017etas procesas, kaip tvarkai duomen\u0173 subjekto prieigos pra\u0161ymus (access requests): kanalai, atsakingi asmenys, terminai, autentifikavimas, k\u0105 ir kokiu formatu pateiki.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Reikia mechanizmo, leid\u017eian\u010dio pataisyti netikslius duomenis (rectification). Tai gali b\u016bti paskyros nustatymai, support workflow ar kita prakti\u0161ka priemon\u0117.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Retention neturi b\u016bti \u201eam\u017einas\u201c. Praktinis pavyzdys: automati\u0161kai i\u0161trinti klient\u0173 duomenis, kuri\u0173 sutartys nebuvo prat\u0119stos ir n\u0117ra kito teis\u0117to pagrindo laikyti duomenis.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Turi b\u016bti ai\u0161kus procesas, kaip priimi ir \u012fgyvendini pra\u0161ymus i\u0161trinti duomenis: k\u0105 trini, ko negali trinti d\u0117l teisini\u0173 prievoli\u0173, kaip informuoji apie rezultat\u0105.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Apribojimas (restriction) rei\u0161kia, kad vartotojas turi teis\u0119 laikinai sustabdyti tam tikr\u0105 tvarkym\u0105, kol, pavyzd\u017eiui, i\u0161sprend\u017eiami tikslumo ar teis\u0117tumo klausimai.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Perkeliamumas rei\u0161kia, kad duomenys turi b\u016bti pateikiami strukt\u016brizuotu, pla\u010diai naudojamu ir ma\u0161ininio nuskaitymo formatu (machine-readable), kad vartotojas gal\u0117t\u0173 persikelti pas kit\u0105 paslaugos teik\u0117j\u0105.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Tai aktualu tik tada, jei darai profiling ar kit\u0105 automatizuot\u0105 sprendim\u0173 pri\u0117mim\u0105, galint\u012f tur\u0117ti poveik\u012f asmeniui.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Jei svetain\u0117 renka asmens duomenis remdamasi sutikimu, turi b\u016bti ai\u0161ki nuoroda \u012f privatumo politik\u0105 ir vartotojas turi ai\u0161kiai patvirtinti s\u0105lygas. Sutikimas turi b\u016bti aktyvus veiksmas (affirmative action) \u2013 i\u0161 anksto pa\u017eym\u0117ti checkbox\u2019ai negalimi.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Tekstas turi b\u016bti ai\u0161kus, paprastas ir netur\u0117ti pasl\u0117pt\u0173 intencij\u0173. Jei politika neai\u0161ki, tai gali panaikinti pat\u012f susitarim\u0105. Jei paslaugos skirtos vaikams, politika turi b\u016bti pakankamai paprasta ir jiems.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Jei sutikim\u0105 duoti u\u017eteko vieno paspaudimo, jo at\u0161aukimas netur\u0117t\u0173 reikalauti support ticket\u2019o ir savait\u0117s laukimo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Jei vaikui ma\u017eiau nei 16 met\u0173, turi u\u017etikrinti, kad sutikim\u0105 dav\u0117 teis\u0117tas glob\u0117jas. Jei sutikimas gaunamas per svetain\u0119, reikia bandyti \u012fsitikinti, kad patvirtinimas tikrai gautas i\u0161 glob\u0117jo (o ne i\u0161 vaiko).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Pavyzd\u017eiui, el. pa\u0161tu prane\u0161i apie b\u016bsimus pakeitimus ir paprastai paai\u0161kini, kas pasikeit\u0117.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Realyb\u0117je kei\u010diasi tiek tavo produktas, tiek \u012frankiai (sub-processors), tiek tarptautin\u0117s s\u0105lygos. Tod\u0117l b\u016btina periodi\u0161kai per\u017ei\u016br\u0117ti praktik\u0105 ir dokumentacij\u0105, kad ji atspind\u0117t\u0173 faktin\u0119 b\u016bsen\u0105.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n Taikoma: Data Controller<\/em><\/p>\n\n\n\n Tai aktualu, kai vykdomas didelio masto duomen\u0173 tvarkymas, profiliavimas ar kita veikla, galinti kelti didel\u0119 rizik\u0105 \u017emoni\u0173 teis\u0117ms ir laisv\u0117ms. Tokiais atvejais atliekamas Data Protection Impact Assessment (DPIA).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n Taikoma: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Cross-border perdavimus turi atskleisti privatumo politikoje. Perduodant \u012f \u0161alis, kurios nelaikomos \u201eadequate\u201c, naudojami Standard Contractual Clauses (SCCs) arba Binding Corporate Rules (BCRs).<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n \u017demiau \u2013 teisi\u0173 rinkinys, kuris galioja visiems Data Subjects (asmenims, kuri\u0173 duomenys tvarkomi). Tai naudinga tur\u0117ti kaip \u201ereikalavim\u0173 s\u0105ra\u0161\u0105\u201c kuriant support procesus, account settings, export\/deletion funkcijas ir privatumo politik\u0105.<\/p>\n\n\n\n Valdytojas turi imtis tinkam\u0173 priemoni\u0173, kad pateikt\u0173 informacij\u0105 apie tvarkym\u0105 glaustai, skaidriai, suprantamai ir lengvai prieinama forma, naudodamas ai\u0161ki\u0105 ir paprast\u0105 kalb\u0105; ypa\u010d, kai informacija skirta vaikui. Informacija pateikiama ra\u0161tu ar kitomis priemon\u0117mis, \u012fskaitant, kai tinka, elektronines priemones.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 12<\/p>\n\n\n\n Kai asmens duomenys renkami i\u0161 paties asmens, turi b\u016bti pateikta \u0161i informacija:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 13<\/p>\n\n\n\n Jei duomenys gaunami ne i\u0161 duomen\u0173 subjekto, analogi\u0161ka informacija taip pat privaloma, papildomai nurodant tvarkom\u0173 duomen\u0173 kategorijas ir duomen\u0173 \u0161altin\u012f.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 14<\/p>\n\n\n\n Asmuo turi teis\u0119 gauti patvirtinim\u0105, ar jo duomenys tvarkomi, ir prieig\u0105 prie:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 15<\/p>\n\n\n\n Asmuo turi teis\u0119 be nepagr\u012fsto delsimo i\u0161taisyti netikslius duomenis ir papildyti nei\u0161samius.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 16<\/p>\n\n\n\n Asmuo turi teis\u0119 reikalauti i\u0161trynimo, kai:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 17<\/p>\n\n\n\n Asmuo turi teis\u0119 reikalauti apribojimo, kai:<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 18<\/p>\n\n\n\n Valdytojas turi prane\u0161ti kiekvienam gav\u0117jui, kuriam duomenys buvo atskleisti, apie bet kok\u012f i\u0161taisym\u0105, i\u0161trynim\u0105 ar apribojim\u0105, nebent tai ne\u012fmanoma arba reikalauja neproporcing\u0173 pastang\u0173.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 19<\/p>\n\n\n\n Asmuo turi teis\u0119 gauti duomenis strukt\u016brizuotu, pla\u010diai naudojamu ir ma\u0161ininio nuskaitymo formatu bei perduoti juos kitam valdytojui be trukdymo.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 20<\/p>\n\n\n\n Asmuo turi teis\u0119 bet kada paprie\u0161tarauti tvarkymui, grind\u017eiamam teis\u0117tu interesu ar vie\u0161uoju interesu, \u012fskaitant profiliavim\u0105, d\u0117l su jo situacija susijusi\u0173 prie\u017eas\u010di\u0173.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 21<\/p>\n\n\n\n Asmuo turi teis\u0119 neb\u016bti sprendimo, grind\u017eiamo vien automatizuotu tvarkymu (\u012fskaitant profiliavim\u0105), objektu, jei toks sprendimas sukelia teisines pasekmes arba daro pana\u0161iai reik\u0161ming\u0105 poveik\u012f.<\/p>\n\n\n\n Reference:<\/strong> GDPR Article 22<\/p>\n\n\n\n Jei naudoji neb\u016btinus (non-essential) cookies, prie\u0161 aktyvuodamas juos turi gauti ai\u0161k\u0173 sutikim\u0105. Vadinasi, vien informacinis baneris, kuris nieko neblokuoja, da\u017enai nepad\u0117s.<\/p>\n\n\n\n Cookie baneris turi:<\/p>\n\n\n\n Scroll\u2019inimas ar jokios s\u0105veikos su baneriu n\u0117ra sutikimas. Reikalingas ai\u0161kus vartotojo veiksmas.<\/p>\n\n<\/div>\n\n\n\n Kiekviena forma, kuri renka asmens duomenis (kontaktai, registracija, checkout, newsletter, support), turi b\u016bti sutvarkyta pagal GDPR logik\u0105.<\/p>\n\n\n\n Jei svetain\u0117 sukurta su WordPress, dalis GDPR atitikties tiesiogiai priklauso nuo naudojam\u0173 tem\u0173 ir \u012fskiepi\u0173 (plugins), nes jie da\u017enai renka duomenis, krauna third-party skriptus ar \u012fdiegia cookies.<\/p>\n\n\n\n GDPR sankcijos da\u017enai minimos d\u0117l baud\u0173, bet reali rizika gali b\u016bti ir operacin\u0117 (draudimas tvarkyti duomenis, nurodymas trinti duomenis, ribojami perdavimai).<\/p>\n\n\n\n Be baud\u0173, institucijos gali: i\u0161duoti \u012fsp\u0117jimus, laikinai ar visam laikui u\u017edrausti tvarkyti duomenis, nurodyti i\u0161trinti duomenis arba apriboti tarptautinius perdavimus.<\/p>\n\n\n\n GDPR atitikties kontrolinis s\u0105ra\u0161as \u2013 tai veiksm\u0173 rinkinys, padedantis \u012fgyvendinti General Data Protection Regulation reikalavimus. Jis padeda identifikuoti spragas ir susitvarkyti duomen\u0173 apsaugos praktik\u0105.<\/p>\n\n\n\n Pagrindin\u0117 atsakomyb\u0117 tenka duomen\u0173 valdytojui (da\u017eniausiai svetain\u0117s \/ verslo savininkui). Duomen\u0173 tvarkytojai taip pat turi savo prievoles ir atsakomyb\u0119.<\/p>\n\n\n\n Taip \u2013 jei tvarkai ES gyventoj\u0173 asmens duomenis, nepriklausomai nuo to, kur \u012fsik\u016br\u0119s verslas.<\/p>\n\n\n\n Iki 20 mln. \u20ac arba 4% metin\u0117s pasaulin\u0117s apyvartos (atsi\u017evelgiant \u012f tai, kuri suma didesn\u0117).<\/p>\n\n\n\n Taip, jei svetain\u0117 naudoja neb\u016btinus (non-essential) slapukus ir turi lankytoj\u0173 i\u0161 ES.<\/p>\n\n\n\n Tik jei: (1) esi vie\u0161oji institucija, (2) pagrindin\u0117 veikla reikalauja didelio masto, sistemingo asmen\u0173 steb\u0117jimo, arba (3) dideliu mastu tvarkai sensitive data (Article 9) ar duomenis apie teistum\u0105 \/ nusikalstamas veikas (Article 10).<\/p>\n\n\n\n \u0160is kontrolinis s\u0105ra\u0161as yra bendro pob\u016bd\u017eio gidas ir n\u0117ra teisin\u0117 konsultacija. Konkre\u010diai situacijai verta pasitarti su kvalifikuotu teis\u0117s profesionalu.<\/p>\n\n<\/div>\n\n\n2) Turi viet\u0173 s\u0105ra\u0161\u0105, kur laikai asmens duomenis, ir duomen\u0173 sraut\u0173 tarp j\u0173 \u017eem\u0117lap\u012f<\/h4>\n\n\n\n
3) Turi vie\u0161ai prieinam\u0105 privatumo politik\u0105, apra\u0161an\u010di\u0105 visus su asmens duomenimis susijusius procesus<\/h4>\n\n\n\n
4) Privatumo politikoje nurodytas teis\u0117tas pagrindas (lawful basis), kod\u0117l apskritai tvarkai duomenis<\/h4>\n\n\n\n
Atskaitomyb\u0117 ir valdymas (Accountability & Management)<\/h3>\n\n\n\n
5) Paskirtas Data Protection Officer (DPO), jei to reikalauja situacija<\/h4>\n\n\n\n
\n\n
6) Sprendim\u0173 pri\u0117m\u0117jai (vadovai, produktas, marketingas) supranta GDPR gaires<\/h4>\n\n\n\n
7) Technin\u0117 sauga atnaujinta ir atitinka \u201eprivacy by design\u201c logik\u0105<\/h4>\n\n\n\n
8) Darbuotojai apmokyti duomen\u0173 apsaugos (awareness) temomis<\/h4>\n\n\n\n
9) Turi sub-processors s\u0105ra\u0161\u0105 ir privatumo politikoje ai\u0161kiai nurodai, kad juos naudoji<\/h4>\n\n\n\n
10) Jei veiki u\u017e ES rib\u0173 \u2013 paskirtas atstovas ES (EU representative)<\/h4>\n\n\n\n
11) Asmens duomen\u0173 saugumo pa\u017eeidimus (breaches) prane\u0161i institucijai ir duomen\u0173 subjektams<\/h4>\n\n\n\n
12) Turi sutartis su kiekvienu duomen\u0173 tvarkytoju, kuriam perduodi duomenis<\/h4>\n\n\n\n
Naujos teis\u0117s (New Rights) \u2013 k\u0105 turi u\u017etikrinti tavo procesai<\/h3>\n\n\n\n
13) Vartotojai lengvai gali papra\u0161yti prieigos prie savo asmens duomen\u0173<\/h4>\n\n\n\n
14) Vartotojai gali atnaujinti \/ i\u0161taisyti savo duomenis, kad jie b\u016bt\u0173 tiksl\u016bs<\/h4>\n\n\n\n
15) Automati\u0161kai i\u0161trini duomenis, kuri\u0173 verslui nebereikia<\/h4>\n\n\n\n
16) Vartotojai lengvai gali papra\u0161yti i\u0161trinti j\u0173 asmens duomenis (right to be forgotten)<\/h4>\n\n\n\n
17) Vartotojai gali papra\u0161yti apriboti duomen\u0173 tvarkym\u0105<\/h4>\n\n\n\n
18) Vartotojai gali papra\u0161yti savo duomen\u0173 perkeliamumo (data portability) sau arba tre\u010diajai \u0161aliai<\/h4>\n\n\n\n
19) Vartotojai gali nesutikti su profiliavimu ar automatizuotu sprendim\u0173 pri\u0117mimu<\/h4>\n\n\n\n
Sutikimas (Consent)<\/h3>\n\n\n\n
20) Jei tvarkymas paremtas sutikimu \u2013 jis laisvas, konkretus, informuotas ir at\u0161aukiamas<\/h4>\n\n\n\n
21) Privatumo politika para\u0161yta ai\u0161kiai ir suprantamai<\/h4>\n\n\n\n
22) Sutikim\u0105 at\u0161aukti turi b\u016bti taip pat paprasta, kaip j\u012f duoti<\/h4>\n\n\n\n
23) Jei tvarkai vaik\u0173 duomenis \u2013 patikrink am\u017ei\u0173 ir gauk glob\u0117jo sutikim\u0105<\/h4>\n\n\n\n
24) Atnaujinus privatumo politik\u0105 \u2013 informuoji esamus klientus<\/h4>\n\n\n\n
Per\u017ei\u016bros ir t\u0119stinumas (Follow-up)<\/h3>\n\n\n\n
25) Reguliariai per\u017ei\u016bri politik\u0105: poky\u010diai, efektyvumas, duomen\u0173 tvarkymo poky\u010diai, \u0161ali\u0173 poky\u010diai, kur keliauja duomenys<\/h4>\n\n\n\n
Special\u016bs atvejai (Special Cases)<\/h3>\n\n\n\n
26) \u017dinai, kada privalai atlikti DPIA, jei tvarkymas yra didel\u0117s rizikos<\/h4>\n\n\n\n
27) Duomenis u\u017e ES rib\u0173 perduodi tik ten, kur u\u017etikrinamas tinkamas apsaugos lygis<\/h4>\n\n\n\n
Duomen\u0173 subjekt\u0173 teis\u0117s (User Rights \/ Data Subject Rights) \u2013 k\u0105 privalai u\u017etikrinti visiems<\/h2>\n\n\n\n
Teis\u0117 \u012f skaidri\u0105 informacij\u0105 (transparent information)<\/h3>\n\n\n\n
Teis\u0117 gauti konkre\u010di\u0105 informacij\u0105, kai duomenys renkami tiesiogiai<\/h3>\n\n\n\n
\n\n
Teis\u0117 gauti konkre\u010di\u0105 informacij\u0105, kai duomenys renkami ne tiesiogiai<\/h3>\n\n\n\n
Teis\u0117 susipa\u017einti (right of access)<\/h3>\n\n\n\n
\n\n
Teis\u0117 \u012f duomen\u0173 i\u0161taisym\u0105 (right to rectification)<\/h3>\n\n\n\n
Teis\u0117 \u012f i\u0161trynim\u0105 (right to erasure \/ right to be forgotten)<\/h3>\n\n\n\n
\n\n
Teis\u0117 apriboti tvarkym\u0105 (right to restriction of processing)<\/h3>\n\n\n\n
\n\n
Teis\u0117 b\u016bti informuotam apie rectification\/erasure\/restriction<\/h3>\n\n\n\n
Teis\u0117 \u012f duomen\u0173 perkeliamum\u0105 (right to data portability)<\/h3>\n\n\n\n
Teis\u0117 paprie\u0161tarauti (right to object)<\/h3>\n\n\n\n
Teis\u0117 neb\u016bti automatizuoto sprendimo objektu<\/h3>\n\n\n\n
Praktiniai \u012fgyvendinimo \u017eingsniai svetain\u0117je<\/h2>\n\n\n\n
1) U\u017etikrink svetain\u0117s saugum\u0105 (security baseline)<\/h3>\n\n\n\n
\n\n
2) \u012ediek slapuk\u0173 (cookie) sutikimo baner\u012f, kuris realiai valdo \u012fk\u0117lim\u0105<\/h3>\n\n\n\n
\n\n
Svarbu<\/h4>\n\n\n
3) Per\u017ei\u016br\u0117k visas svetain\u0117s formas (forms)<\/h3>\n\n\n\n
\n\n
4) Marketingo el. lai\u0161kai: sutikimai, \u012frodymai ir atsisakymas<\/h3>\n\n\n\n
\n\n
5) Pasiruo\u0161imas incidentams (data breaches)<\/h3>\n\n\n\n
\n\n
WordPress specifika: k\u0105 patikrinti pirmiausia<\/h2>\n\n\n\n
\n\n
Baudos ir kitos pasekm\u0117s<\/h2>\n\n\n\n
\n\n
DUK: da\u017eniausi klausimai apie GDPR atitikt\u012f<\/h2>\n\n\n\n
Kas yra GDPR compliance checklist?<\/h3>\n\n\n\n
Kas atsakingas u\u017e GDPR atitikt\u012f?<\/h3>\n\n\n\n
Ar GDPR galioja JAV (US) verslams?<\/h3>\n\n\n\n
Kokia maksimali bauda u\u017e neatitikt\u012f?<\/h3>\n\n\n\n
Ar man reikia cookie banerio?<\/h3>\n\n\n\n
Ar man reikia Data Protection Officer (DPO)?<\/h3>\n\n\n\n
Pastaba<\/h4>\n\n\n
Nuorodos \/ \u0160altiniai<\/h2>\n