Įmonės yra teisiškai įpareigotos atitikti BDAR reikalavimus, jeigu tvarko Europos sąjungos žmonių asmens duomenis. BDAR duomenų tvarkymas yra apibrėžiamas, kaip įvairios automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis atliekamos operacijos, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgavimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas. Pateiktas duomenų tvarkymo veiksmų sąrašas nėra baigtinis, nes pakanka, jog būtų atliekamas koks nors veiksmas su duomenimis ir tai būtų traktuojama duomenų tvarkymu.
Duomenų tvarkymas turėtų būti teisėtas ir sąžiningas
Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, susipažindinama kaip jie yra tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba.
Teisėti duomenų tvarkymo pagrindai
Įmonės pradėdamos veiklą, kuri apima asmens duomenų tvarkymą, visada turėtų apsvarstyti, koks būtų tinkamas teisėtas numatomo duomenų tvarkymo pagrindas. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų:
1. Asmuo davė sutikimą tvarkyti duomenis. Sutikimas turi būti duotas laisva valia, duomenų subjektas t. y. fizinis asmuo, kurio duomenys tvarkomi, visada turi turėti galimybę sutikti arba nesutikti su duomenų tvarkymu ir dėl to nepatirti jokių neigiamų pasekmių. Pagal BDAR įtvirtintą bendrą taisyklę, jei duomenų subjektas neturi realaus pasirinkimo, jaučiasi priverstas sutikti arba patirtų neigiamų pasekmių, jei sutikimo neduotų, toks sutikimas negalioja. Apskritai kalbant, sutikimas yra negaliojantis, kai duomenų subjektui daromas bet koks netinkamas spaudimas ar įtaka (kurių išraiška gali būti labai įvairi) ir duomenų subjektas dėl to negali naudotis savo laisva valia. Įmonės turi įrodyti, kad yra įmanoma atsisakyti sutikti su duomenų tvarkymu arba atšaukti sutikimą nepatiriant jokių neigiamų pasekmių. Sutikimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Taip pat duomenų subjektas turėtų žinoti įmonės, kaip duomenų valdytojo, tapatybę ir planuojamo asmens duomenų tvarkymo tikslus.
2. Tvarkyti duomenis būtina siekiant įvykdyti sutartį (sutartinė prievolė). Šiuo atveju svarbu tiksliai nustatyti sutarties sudarymo loginį pagrindą, t. y. jos esmę ir pagrindinį tikslą, nes vien tai, kad tvarkyti kai kuriuos duomenis numatyta sutartyje, ne visada reiškia, kad juos tvarkyti būtina vykdant sutartį.
3. Tvarkyti duomenis būtina, kad būtų įvykdyta teisinė prievolė. Ši prievolė yra nustatyta Europos Sąjungos ar nacionalinės teisės aktuose, kuriuose taip pat turėtų būti nustatytas asmens duomenų tvarkymo tikslas. Įmonės neturi galimybės pasirinkti, ar vykdyti prievolę, ar ne.
4. Tvarkyti duomenis yra būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui (kaip nustatyta Europos Sąjungos ar nacionalinės teisės aktuose). Šio teisinio pagrindo taikymo sritis gali būti labai plati, todėl reikėtų kiekvienu konkrečiu atveju aiškiai nustatyti atitinkamą viešąjį interesą ir oficialų įgaliojimą, kuriuo pagrindžiamas duomenų tvarkymas.
5. Tvarkyti duomenis būtina siekiant apsaugoti gyvybinius asmens interesus. Asmens duomenys remiantis duomenų subjekto ar kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Šis pagrindas taikomas, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, stichijos ar žmogaus sukeltų nelaimių atvejais.
6. Tvarkyti duomenis būtina siekiant teisėtų organizacijos interesų, išskyrus atvejus, asmens teisės yra viršesnės už organizacijos interesus. Teisėtų interesų pagrindas gali būti taikomas įvairiomis aplinkybėmis, jis įpareigoja suderinti įmonės teisėtus interesus ir asmens duomenų tvarkymo būtinumą įvertinus pagrindines asmens teises ir laisves. Prieš pradedant tvarkyti asmens duomenis teisėto intereso pagrindu, būtina atlikti teisėtų interesų vertinimą (balanso testą), jog nustatyti, ar esama teisėto intereso. BDAR preambulėje teisėtais interesais yra įvardijama sukčiavimo prevencija, tinklo ir informacijos saugumo užtikrinimas ir galimų nusikalstamų veikų ar grėsmių visuomenės saugumui identifikavimas.
Asmens duomenys turėtų būti tvarkomi tik tuomet, jei asmens duomenų tvarkymo tikslo pagrįstai negalima pasiekti kitomis priemonėmis.
