Turinys
BDAR > 4 straipsnis. Apibrėžtys
Atsisiųsti pdf

4 straipsnis BDAR. Apibrėžtys

Article 4 GDPR. Definitions

Šiame reglamente:

For the purposes of this Regulation:

1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Ekspertų komentaras

(RU)

Когда номер телефона – персональные данные?

(1) В настоящем комментарии рассматривается Позиция WP29 4/2007 о концепции
персональных данных от 20 июня 2007 года (далее—Позиция WP29).

В европейской доктрине и законодательстве определение персональных данных умышленно дано широко, не имеет и, скорее всего, никогда не будет иметь четких и однозначных критериев. Для чего эксперты в области приватности в составе WP29, а затем и законодатели это сделали?

Раздел III Позиции WP29 выделяет в конструкции персональных данных 4 «несущих» блока: «любая информация», «относящаяся к», «идентифицированному или идентифицируемому», «физическому лицу». Для целей нашего анализа потребуются два центральных элемента: «относящаяся к» и «идентифицированному или идентифицируемому», поскольку они в наибольшей степени характеризуют сторону контролера персональных данных как участника правоотношений.

(2) Данные, «относящиеся к» субъекту, включают в себя не только информацию о самом субъекте, но и о принадлежащих ему или иным образом связанных с ним объектах, питомцах. Таким образом, данными, «относящимися к» субъекту, являются не только номер телефона, автомобиля, компьютера, банковской карты, фитнес трекера, чипа питомца, но и иные характеристики этих объектов и животных: цена, износ, серийные номера, поломки, диагнозы, результаты анализов и т.д.

Позиция WP29 также выделяет три элемента, каждый из которых, независимо от наличия других, может сделать любую информацию «относящейся к» субъекту — это содержание, цель и результат.

Информация может относиться к субъекту по своему содержанию, если она о конкретном физическом лице, например, результаты тестов на экзамене, номер телефона конкретного лица, профиль определенного пользователя в соцсетях.

Информация может относиться к субъекту также по цели, если она используется или, вероятнее всего, будет использована в целях оценки, влияния на статус или поведение субъекта, проявления определенного рода отношения к субъекту. Например, список посещенных сотрудниками компании интернет страниц в корпоративной сети, может быть использован для целей мониторинга эффективности использования рабочего времени каждым сотрудником, или для блокировки определенных страниц определенным сотрудникам.

Информация может относиться к субъекту персональных данных, даже в отсутствие признаков «содержания» и «цели», если есть признак результата: если обработка данных, вероятнее всего, повлияет на права и интересы субъекта, например, даже если слегка изменит отношение окружающих к нему, заставит выделять его среди остальных в сообществе. Например, информация о том, что дедушка школьника получил премию Дарвина, может вызвать насмешки и издевательства со стороны сверстников.

Эти три элемента относимости данных к субъекту применяются каждый в отдельности, но, если присутствует хотя бы один элемент, нет надобности выявлять остальные два — данные точно относятся к субъекту.

(3) Третий блок конструкции персональных данных: «идентифицированному или идентифицируемому» — имеет квалифицирующее значение для номера телефона и прочих номеров, характеристик объектов и живых существ, относящихся к субъектам.

Позиция WP29 определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).

Однако одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными. В этом месте некоторые контролеры с радостью воскликнут, что у них и в мыслях не было идентифицировать кого либо, что они всего лишь собирают номера телефонов, автомобилей и некоторых карт, принадлежащих субъектам. Но мы понимаем, что идентификация по этим номерам возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем.

Как же определить степень и вероятность того, что контролер или любое третье лицо, завладевшее информацией, решит воспользоваться возможностью идентифицировать субъектов?

Для этого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить для идентификации конкретных субъектов: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.

В каждом конкретном случае необходимо определять наличие возможности и прилагаемые ресурсы контролера для идентификации субъектов по номеру телефона. Если возможность есть, или цель и контекст обработки предполагает идентификацию субъекта, то номер телефона является персональными данными.

Номер телефона — является персональными данными, так как он в зависимости от ситуации либо служит идентификатором личности, либо представляет собой информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Все прочие номера и характеристики принадлежащих субъекту объектов и живых существ, в том или ином контексте обработки, также могут квалифицироваться в качестве персональных данных.

(4) Даже при отсутствии ФИО субъекта персональных данных у контролера и любого третьего лица, и даже при отсутствии у них возможности идентифицировать субъекта, они все же имеют возможность очень серьезно повлиять на поведение субъекта, нарушить его права и интересы.

Ведь номер телефона, существенно отличается от остальных номеров вещей принадлежностей еще и тем, что по нему можно непосредственно связаться с субъектом и вмешаться в его частную жизнь, причинить ему беспокойство. Возможны: мошенничество, пранк, звонки ночью или ранним утром в выходные, нежелательные смс, звонки, спам. Все это может не только причинить вред здоровью субъекта, нанести ущерб его материальному благосостоянию, но и заставить субъекта сменить номер телефона, и даже поменять контролера, по вине которого произошло нарушение его прав.

Контактные данные в целом (номер телефона, email, адрес и т.д.) позволяют злоумышленникам вступить в непосредственный контакт с субъектом против его воли, чтобы, предположим, угрожать его жизни и безопасности, манипулировать им, назойливо завладеть его вниманием, мешать работе и личной жизни (вторжение согласно Таксономии приватности). Дополнением к мерам защиты таких данных должна быть разумная осмотрительность самого субъекта при раскрытии своих контактных данных третьим лицам, поскольку их компрометация может заставить субъекта сменить номер или переехать, а также нарушить интересы третьих лиц, например семьи субъекта.

Как показано выше, даже без полной идентификации субъекта по контактным данным возможно нарушение его прав. Конфиденциальность этих данных обеспечивает безопасность жизни и здоровья субъекта, его близких, позволяет держать под контролем свои внешние коммуникации, снижает его доступность для внешнего мира, выстраивает личные границы субъекта, оберегает его личное пространство, что дает субъекту комфорт и уверенность.


norėdami pasiekti visą tekstą

(EN) Author
(EN) Elena Sebjakina CIPP/E, Privacy by design
(EN) Data Protection Officer, GDPR Consultant
(EN) Siarhei Varankevich CIPP/E, CIPM, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Oficialūs dokumentai ir sprendimai Preambulės

(26) duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais;

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

Ekspertų komentaras
(EN) Author
(EN) Siarhei Varankevich CIPP/E, CIPM, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Oficialūs dokumentai ir sprendimai

3) duomenų tvarkymo apribojimas – saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

(3) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;

4) profiliavimas – bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

Oficialūs dokumentai ir sprendimai

5) pseudonimų suteikimas – asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

Ekspertų komentaras
(EN) Author
(EN) Siarhei Varankevich CIPP/E, CIPM, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Oficialūs dokumentai ir sprendimai Preambulės

(26) duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais;

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(28) pseudonimų suteikimas asmens duomenims gali sumažinti atitinkamiems duomenų subjektams kylančius pavojus ir padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles. Šiame reglamente aiškiai numatytu pseudonimų suteikimu neketinama kliudyti taikyti kitas duomenų apsaugos priemones;

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.

(29) siekiant sukurti paskatas, kad tvarkant asmens duomenis būtų suteikiami pseudonimai, turėtų būti galima pas tą patį duomenų valdytoją taikyti pseudonimų suteikimo asmens duomenims priemones, tuo pat metu sudarant sąlygas atlikti bendrą analizę, kai tas duomenų valdytojas yra ėmęsis techninių ir organizacinių priemonių, būtinų užtikrinti, kad atitinkamo duomenų tvarkymo atžvilgiu būtų įgyvendinamas šis reglamentas, ir užtikrinant, kad papildoma informacija, naudojama priskiriant asmens duomenis konkrečiam duomenų subjektui, būtų laikoma atskirai. Asmens duomenis tvarkantis duomenų valdytojas turėtų nurodyti įgaliotus asmenis pas tą patį duomenų valdytoją;

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

6) susistemintas rinkinys – bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

(6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

Ekspertų komentaras
Oficialūs dokumentai ir sprendimai Jungtys

7) duomenų valdytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;

Ekspertų komentaras
Oficialūs dokumentai ir sprendimai

8) duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

9) duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

(9) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;

Preambulės

(31) valdžios institucijos, kurioms asmens duomenys atskleidžiami laikantis teisinės prievolės, kad jos galėtų vykdyti oficialias savo funkcijas kaip, pavyzdžiui, mokesčių institucijos ar muitinės, finansinių tyrimų padaliniai, nepriklausomos administracinės valdžios institucijos ar finansų rinkų institucijos, atsakingos už vertybinių popierių rinkų reguliavimą ir priežiūrą, neturėtų būti laikomos asmens duomenų gavėjais, jei jos gauna duomenis, kurie yra būtini konkrečiam tyrimui atlikti pagal bendrą interesą, vadovaujantis Sąjungos arba valstybės narės teise. Valdžios institucijų prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs ir neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje. Tos valdžios institucijos asmens duomenis turėtų tvarkyti laikydamosi taikomų duomenų apsaugos taisyklių, atsižvelgiant į duomenų tvarkymo tikslus;

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

10) trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

(10) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;

11) duomenų subjekto sutikimas – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

(11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

Oficialūs dokumentai ir sprendimai Preambulės

(32) sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis,, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) dažnai būna neįmanoma asmens duomenų rinkimo metu galutinai nustatyti, kad duomenys bus tvarkomi mokslinių tyrimų tikslais. Todėl duomenų subjektai turėtų turėti galimybę duoti sutikimą dėl tam tikrų mokslinių tyrimų sričių, laikantis pripažintų mokslinių tyrimų srities etikos standartų. Duomenų subjektai turėtų turėti galimybę duoti sutikimą tik dėl tam tikrų tyrimų sričių arba tyrimų projektų dalių tiek, kiek tai leidžiama pagal numatytą tikslą;

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

Jungtys

12) asmens duomenų saugumo pažeidimas – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

(12) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

Oficialūs dokumentai ir sprendimai

13) genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

(13) ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

Oficialūs dokumentai ir sprendimai Preambulės

(34) genetiniai duomenys turėtų būti apibrėžiami kaip fizinio asmens duomenys, susiję su asmens paveldėtomis ar įgytomis genetinėmis savybėmis, kurios nustatytos išanalizavus biologinį atitinkamo fizinio asmens mėginį, ypač išanalizavus chromosomas ir dezoksiribonukleino rūgštį (DNR) arba ribonukleino rūgštį (RNR), arba kitus elementus, iš kurių galima gauti lygiavertę informaciją;

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

14) biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

(14) ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

Oficialūs dokumentai ir sprendimai

15) sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

(15) ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status;

Oficialūs dokumentai ir sprendimai Preambulės

(35) prie asmens sveikatos duomenų turėtų būti priskirti visi duomenys apie duomenų subjekto sveikatos būklę, kurie atskleidžia informaciją apie duomenų subjekto buvusią, esamą ar būsimą fizinę ar psichinę sveikatą. Tai apima informaciją apie fizinį asmenį, surinktą registruojantis sveikatos priežiūros paslaugoms gauti ar jas teikiant tam fiziniam asmeniui, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje 2011/24/ES [9]; fiziniam asmeniui priskirtą numerį, simbolį ar žymę, pagal kurią galima konkrečiai nustatyti fizinio asmens tapatybę sveikatos priežiūros tikslais; informaciją, gautą atliekant kūno dalies ar medžiagos tyrimus ar analizę, įskaitant genetinius duomenis ir biologinius mėginius; ir bet kurią informaciją apie, pavyzdžiui, ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pavyzdžiui, ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos priemonės ar in vitro diagnostinio tyrimo;

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council [9] to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] 2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

16) pagrindinė buveinė –

(16) ‘main establishment’ means:

Preambulės

(36) duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje; tokiu atveju ta kita buveinė turėtų būti laikoma pagrindine buveine. Duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią valdymo veiklą, priimdama pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių. Pagal tą kriterijų neturėtų būti svarbu, ar asmens duomenys faktiškai tvarkomi toje vietoje. Asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra esminiai pagrindinės buveinės nustatymo kriterijai. Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungoje, o jeigu jis neturi centrinės administracijos Sąjungoje – vieta, kurioje Sąjungoje vykdoma pagrindinė duomenų tvarkymo veikla. Tais atvejais, kurie yra susiję tiek su duomenų valdytoju, tiek su duomenų tvarkytoju, kompetentinga vadovaujanti priežiūros institucija turėtų ir toliau būti valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, priežiūros institucija, o duomenų tvarkytojo priežiūros institucija turėtų būti laikoma susijusia priežiūros institucija ir ta priežiūros institucija turėtų dalyvauti šiuo reglamentu numatytoje bendradarbiavimo procedūroje. Bet kuriuo atveju valstybės narės arba valstybių narių, kuriose yra viena ar kelios duomenų tvarkytojo buveinės, priežiūros institucijos neturėtų būti laikomos susijusiomis priežiūros institucijomis, kai sprendimo projektas yra susijęs tik su duomenų valdytoju. Kai duomenis tvarko įmonių grupė, tos įmonių grupės pagrindine buveine turėtų būti laikoma kontroliuojančiosios įmonės pagrindinė buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita įmonė;

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

a) duomenų valdytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti; tokiu atveju tokius sprendimus priėmusi buveinė laikoma pagrindine buveine;

(a) as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment;

b) duomenų tvarkytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, arba jeigu duomenų tvarkytojas neturi centrinės administracijos Sąjungoje – duomenų tvarkytojo buveinė Sąjungoje, kurioje vykdoma pagrindinė duomenų tvarkymo veikla, kai duomenų tvarkytojo buveinė vykdydama savo veiklą tvarko duomenis tiek, kiek duomenų tvarkytojui taikomos konkrečios prievolės pagal šį reglamentą;

(b) as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation;

Jungtys

17) atstovas – Sąjungoje įsisteigęs, duomenų valdytojo arba duomenų tvarkytojo raštu pagal 27 straipsnį paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su jų atitinkamomis prievolėmis pagal šį reglamentą, atstovauja duomenų valdytojui arba duomenų tvarkytojui;

(17) ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation;

Jungtys

18) įmonė – bet kokios teisinės formos ekonomine veikla užsiimantis fizinis arba juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus;

(18) ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;

19) įmonių grupė – kontroliuojančioji įmonė ir jos kontroliuojamos įmonės;

(19) ‘group of undertakings’ means a controlling undertaking and its controlled undertakings;

Ekspertų komentaras
Preambulės

(37) įmonių grupę turėtų sudaryti kontroliuojančioji įmonė ir jos kontroliuojamos įmonės, o kontroliuojančioji įmonė turėtų būti įmonė, galinti daryti lemiamą poveikį kitoms įmonėms, pavyzdžiui, dėl nuosavybės, finansinio dalyvavimo arba įmonės veiklą reglamentuojančių taisyklių, arba įgaliojimo įgyvendinti asmens duomenų apsaugos taisykles. Įmonė, kuri kontroliuoja asmens duomenų tvarkymą su ja susijusiose įmonėse, su tomis įmonėmis turėtų būtų laikoma „įmonių grupe“;

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

20) įmonei privalomos taisyklės – asmens duomenų apsaugos politikos nuostatos, kurių valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas laikosi, perduodamas asmens duomenis arba atlikdamas perdavimų seką vienos ar daugiau trečiųjų valstybių duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei;

(20) ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;

21) priežiūros institucija – valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;

(21) ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51;

22) susijusi priežiūros institucija – priežiūros institucija, kuri yra susijusi su asmens duomenų tvarkymu dėl to, kad:

(22) ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because:

Preambulės

(36) duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje; tokiu atveju ta kita buveinė turėtų būti laikoma pagrindine buveine. Duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią valdymo veiklą, priimdama pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių. Pagal tą kriterijų neturėtų būti svarbu, ar asmens duomenys faktiškai tvarkomi toje vietoje. Asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra esminiai pagrindinės buveinės nustatymo kriterijai. Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungoje, o jeigu jis neturi centrinės administracijos Sąjungoje – vieta, kurioje Sąjungoje vykdoma pagrindinė duomenų tvarkymo veikla. Tais atvejais, kurie yra susiję tiek su duomenų valdytoju, tiek su duomenų tvarkytoju, kompetentinga vadovaujanti priežiūros institucija turėtų ir toliau būti valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, priežiūros institucija, o duomenų tvarkytojo priežiūros institucija turėtų būti laikoma susijusia priežiūros institucija ir ta priežiūros institucija turėtų dalyvauti šiuo reglamentu numatytoje bendradarbiavimo procedūroje. Bet kuriuo atveju valstybės narės arba valstybių narių, kuriose yra viena ar kelios duomenų tvarkytojo buveinės, priežiūros institucijos neturėtų būti laikomos susijusiomis priežiūros institucijomis, kai sprendimo projektas yra susijęs tik su duomenų valdytoju. Kai duomenis tvarko įmonių grupė, tos įmonių grupės pagrindine buveine turėtų būti laikoma kontroliuojančiosios įmonės pagrindinė buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita įmonė;

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

a) duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs tos priežiūros institucijos valstybės narės teritorijoje,

(a) the controller or processor is established on the territory of the Member State of that supervisory authority;

b) duomenų tvarkymas daro arba gali padaryti didelį poveikį tos priežiūros institucijos valstybėje narėje gyvenantiems duomenų subjektams; arba

(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or

c) skundas buvo pateiktas tai priežiūros institucijai;

(c) a complaint has been lodged with that supervisory authority;

23) tarpvalstybinis duomenų tvarkymas – vienas iš toliau nurodytų:

(23) ‘cross-border processing’ means either:

a) asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

(a) processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or

b) asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje;

(b) processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State.

Jungtys

24) tinkamas ir pagrįstas prieštaravimas – prieštaravimas sprendimo projektui dėl to, ar buvo padarytas šio reglamento pažeidimas, arba, ar numatomas veiksmas, susijęs su duomenų valdytoju arba duomenų tvarkytoju, atitinka šį reglamentą, kuris aiškiai parodo sprendimo projekto keliamų pavojų duomenų subjektų pagrindinėms teisėms ir laisvėms ir, kai taikoma, laisvam asmens duomenų judėjimui Sąjungoje, reikšmingumą;

(24) ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union;

25) informacinės visuomenės paslauga – paslauga, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos (ES) 2015/1535 [19] 1 straipsnio 1 dalies b punkte;

(25) ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council [19];

Jungtys

[19] 2015 m. rugsėjo 9 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/1535, kuria nustatoma informacijos apie techninius reglamentus ir informacinės visuomenės paslaugų taisykles teikimo tvarka (OL L 241, 2015 9 17, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

[19] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

26) tarptautinė organizacija – organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, ar bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

(26) ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.

Preambulės Palikite komentarą
Preambulės

(26) duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta. Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą. Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta. Todėl šis reglamentas netaikomas tokios anonimiškos informacijos tvarkymui, įskaitant statistiniais ar tyrimų tikslais;

(26) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(27) šis reglamentas netaikomas mirusių asmenų asmens duomenims. Valstybės narės gali numatyti mirusių asmenų asmens duomenų tvarkymo taisykles;

(27) This Regulation does not apply to the personal data of deceased persons. Member States may provide for rules regarding the processing of personal data of deceased persons.

(28) pseudonimų suteikimas asmens duomenims gali sumažinti atitinkamiems duomenų subjektams kylančius pavojus ir padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles. Šiame reglamente aiškiai numatytu pseudonimų suteikimu neketinama kliudyti taikyti kitas duomenų apsaugos priemones;

(28) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.

(29) siekiant sukurti paskatas, kad tvarkant asmens duomenis būtų suteikiami pseudonimai, turėtų būti galima pas tą patį duomenų valdytoją taikyti pseudonimų suteikimo asmens duomenims priemones, tuo pat metu sudarant sąlygas atlikti bendrą analizę, kai tas duomenų valdytojas yra ėmęsis techninių ir organizacinių priemonių, būtinų užtikrinti, kad atitinkamo duomenų tvarkymo atžvilgiu būtų įgyvendinamas šis reglamentas, ir užtikrinant, kad papildoma informacija, naudojama priskiriant asmens duomenis konkrečiam duomenų subjektui, būtų laikoma atskirai. Asmens duomenis tvarkantis duomenų valdytojas turėtų nurodyti įgaliotus asmenis pas tą patį duomenų valdytoją;

(29) In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller.

(30) fiziniai asmenys gali būti susieti su savo įrenginių, taikomųjų programų, priemonių ir protokolų interneto identifikatoriais, pavyzdžiui, IP adresais, slapukų identifikatoriais, arba kitais identifikatoriais, pavyzdžiui, radijo dažninio atpažinimo žymenimis. Taip gali likti pėdsakų, kurie visų pirma kartu su unikaliais identifikatoriais ir kita serverių gauta informacija gali būti panaudoti fizinių asmenų profiliams kurti ir jiems identifikuoti;

(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

(31) valdžios institucijos, kurioms asmens duomenys atskleidžiami laikantis teisinės prievolės, kad jos galėtų vykdyti oficialias savo funkcijas kaip, pavyzdžiui, mokesčių institucijos ar muitinės, finansinių tyrimų padaliniai, nepriklausomos administracinės valdžios institucijos ar finansų rinkų institucijos, atsakingos už vertybinių popierių rinkų reguliavimą ir priežiūrą, neturėtų būti laikomos asmens duomenų gavėjais, jei jos gauna duomenis, kurie yra būtini konkrečiam tyrimui atlikti pagal bendrą interesą, vadovaujantis Sąjungos arba valstybės narės teise. Valdžios institucijų prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs ir neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje. Tos valdžios institucijos asmens duomenis turėtų tvarkyti laikydamosi taikomų duomenų apsaugos taisyklių, atsižvelgiant į duomenų tvarkymo tikslus;

(31) Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing.

(32) sutikimas turėtų būti duodamas aiškiu aktu patvirtinant, kad yra suteiktas laisva valia, konkretus, informacija pagrįstas ir vienareikšmis nurodymas, kad duomenų subjektas sutinka, kad būtų tvarkomi su juo susiję asmens duomenys, pavyzdžiui raštiškas, įskaitant elektroninėmis priemonėmis,, arba žodinis pareiškimas. Tai galėtų būti atliekama pažymint langelį interneto svetainėje, pasirenkant informacinės visuomenės paslaugų techninius parametrus arba kitu pareiškimu arba poelgiu, iš kurio aiškiai matyti tame kontekste, kad duomenų subjektas sutinka su siūlomu jo asmens duomenų tvarkymu. Todėl tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Sutikimas turėtų apimti visą duomenų tvarkymo veiklą, vykdomą tuo pačiu tikslu ar tais pačiais tikslais. Kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų. Jeigu duomenų subjekto sutikimo prašoma elektroniniu būdu, prašymas turi būti aiškus, glaustas ir bereikalingai nenutraukiantis naudojimosi paslauga, dėl kurios prašoma sutikimo;

(32) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

(33) dažnai būna neįmanoma asmens duomenų rinkimo metu galutinai nustatyti, kad duomenys bus tvarkomi mokslinių tyrimų tikslais. Todėl duomenų subjektai turėtų turėti galimybę duoti sutikimą dėl tam tikrų mokslinių tyrimų sričių, laikantis pripažintų mokslinių tyrimų srities etikos standartų. Duomenų subjektai turėtų turėti galimybę duoti sutikimą tik dėl tam tikrų tyrimų sričių arba tyrimų projektų dalių tiek, kiek tai leidžiama pagal numatytą tikslą;

(33) It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(34) genetiniai duomenys turėtų būti apibrėžiami kaip fizinio asmens duomenys, susiję su asmens paveldėtomis ar įgytomis genetinėmis savybėmis, kurios nustatytos išanalizavus biologinį atitinkamo fizinio asmens mėginį, ypač išanalizavus chromosomas ir dezoksiribonukleino rūgštį (DNR) arba ribonukleino rūgštį (RNR), arba kitus elementus, iš kurių galima gauti lygiavertę informaciją;

(34) Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained.

(35) prie asmens sveikatos duomenų turėtų būti priskirti visi duomenys apie duomenų subjekto sveikatos būklę, kurie atskleidžia informaciją apie duomenų subjekto buvusią, esamą ar būsimą fizinę ar psichinę sveikatą. Tai apima informaciją apie fizinį asmenį, surinktą registruojantis sveikatos priežiūros paslaugoms gauti ar jas teikiant tam fiziniam asmeniui, kaip nurodyta Europos Parlamento ir Tarybos direktyvoje 2011/24/ES [9]; fiziniam asmeniui priskirtą numerį, simbolį ar žymę, pagal kurią galima konkrečiai nustatyti fizinio asmens tapatybę sveikatos priežiūros tikslais; informaciją, gautą atliekant kūno dalies ar medžiagos tyrimus ar analizę, įskaitant genetinius duomenis ir biologinius mėginius; ir bet kurią informaciją apie, pavyzdžiui, ligą, negalią, riziką susirgti, sveikatos istoriją, klinikinį gydymą arba duomenų subjekto fiziologinę ar biomedicininę būklę, neatsižvelgiant į informacijos šaltinį, pavyzdžiui, ar ji būtų gauta iš gydytojo, ar iš kito sveikatos priežiūros specialisto, ligoninės, medicinos priemonės ar in vitro diagnostinio tyrimo;

(35) Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council [9] to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test.

[9] 2011 m. kovo 9 d. Europos Parlamento ir Tarybos direktyva 2011/24/ES dėl pacientų teisių į tarpvalstybines sveikatos priežiūros paslaugas įgyvendinimo (OL L 88, 2011 4 4, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

[9] Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:088:TOC

(36) duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje; tokiu atveju ta kita buveinė turėtų būti laikoma pagrindine buveine. Duomenų valdytojo pagrindinė buveinė Sąjungoje turėtų būti nustatoma pagal objektyvius kriterijus, be to, per stabilias struktūras ji turėtų vykdyti veiksmingą ir realią valdymo veiklą, priimdama pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių. Pagal tą kriterijų neturėtų būti svarbu, ar asmens duomenys faktiškai tvarkomi toje vietoje. Asmens duomenų tvarkymo techninių priemonių ir technologijų buvimas ir naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra esminiai pagrindinės buveinės nustatymo kriterijai. Duomenų tvarkytojo pagrindinė buveinė turėtų būti jo centrinės administracijos vieta Sąjungoje, o jeigu jis neturi centrinės administracijos Sąjungoje – vieta, kurioje Sąjungoje vykdoma pagrindinė duomenų tvarkymo veikla. Tais atvejais, kurie yra susiję tiek su duomenų valdytoju, tiek su duomenų tvarkytoju, kompetentinga vadovaujanti priežiūros institucija turėtų ir toliau būti valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, priežiūros institucija, o duomenų tvarkytojo priežiūros institucija turėtų būti laikoma susijusia priežiūros institucija ir ta priežiūros institucija turėtų dalyvauti šiuo reglamentu numatytoje bendradarbiavimo procedūroje. Bet kuriuo atveju valstybės narės arba valstybių narių, kuriose yra viena ar kelios duomenų tvarkytojo buveinės, priežiūros institucijos neturėtų būti laikomos susijusiomis priežiūros institucijomis, kai sprendimo projektas yra susijęs tik su duomenų valdytoju. Kai duomenis tvarko įmonių grupė, tos įmonių grupės pagrindine buveine turėtų būti laikoma kontroliuojančiosios įmonės pagrindinė buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita įmonė;

(36) The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking.

(37) įmonių grupę turėtų sudaryti kontroliuojančioji įmonė ir jos kontroliuojamos įmonės, o kontroliuojančioji įmonė turėtų būti įmonė, galinti daryti lemiamą poveikį kitoms įmonėms, pavyzdžiui, dėl nuosavybės, finansinio dalyvavimo arba įmonės veiklą reglamentuojančių taisyklių, arba įgaliojimo įgyvendinti asmens duomenų apsaugos taisykles. Įmonė, kuri kontroliuoja asmens duomenų tvarkymą su ja susijusiose įmonėse, su tomis įmonėmis turėtų būtų laikoma „įmonių grupe“;

(37) A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings.

Palikite komentarą