Navigation
GDPR > 6 straipsnis. Tvarkymo teisėtumas
Download PDF

6 straipsnis BDAR. Tvarkymo teisėtumas

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

Guidelines & Case Law Related

b) tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

Guidelines & Case Law Recitals

(44) duomenų tvarkymas turėtų būti laikomas teisėtu, kai jis būtinas siekiant vykdyti sutartį arba ketinant ją sudaryti;

Related

c) tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė;

Recitals

(45) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. Šiuo reglamentu nereikalaujama kiekvienu atskiru duomenų tvarkymo atveju specialaus teisės o Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas. Be to, šiame pagrinde galėtų būti nurodytos bendrosios šio reglamento sąlygos, kuriomis reglamentuojamas asmens duomenų tvarkymo teisėtumas, nustatytos asmens duomenų valdytojo, tvarkytinų asmens duomenų rūšies, atitinkamų duomenų subjektų, subjektų, kuriems asmens duomenys gali būti atskleisti, tikslų apribojimų, saugojimo laikotarpio ir kitų priemonių, kuriomis užtikrinamas teisėtas ir sąžiningas duomenų tvarkymas, specifikacijos. Sąjungos arba valstybės narės teisėje taip pat turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, įskaitant sveikatos apsaugos tikslais, tokiais kaip visuomenės sveikata ir socialinė apsauga bei sveikatos priežiūros paslaugų valdymas, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija;

d) tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus;

Recitals

(46) asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

e) tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas;

Guidelines & Case Law Recitals

(115) kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti valstybių narių jurisdikcijai priklausančią fizinių ir juridinių asmenų duomenų tvarkymo veiklą. Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis. Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą asmenų apsaugą. Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias valstybes taikomos šiame reglamente nustatytos sąlygos. Taip gali būti, inter alia, jeigu atskleisti duomenis būtina dėl svarbios Sąjungos ar valstybės narės teisėje, taikytinoje duomenų valdytojui, pripažintos viešojo intereso priežasties;

f) tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas.

Guidelines & Case Law Recitals

(47) teisėti duomenų valdytojo, įskaitant duomenų valdytoją, kuriam gali būti atskleisti asmens duomenys, arba trečiosios šalies interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, atsižvelgiant į pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu. Toks teisėtas interesas galėtų būti, pavyzdžiui, kai egzistuoja susijęs ir atitinkamas santykis tarp duomenų subjekto ir duomenų valdytojo, pavyzdžiui, kai duomenų subjektas yra duomenų valdytojo klientas arba dirba duomenų valdytojo tarnyboje. Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. Duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. Atsižvelgiant į tai, kad teisinį asmens duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, tas teisinis pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas. Asmens duomenų tvarkymas tik tiek, kiek tai yra būtina sukčiavimo prevencijos tikslais, yra ir atitinkamo. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu;

(48) duomenų valdytojai, priklausantys įmonių grupėms arba įstaigoms, susijusioms su pagrindine įstaiga, gali turėti teisėtą interesą vidaus administraciniais tikslais, įskaitant klientų ar darbuotojų asmens duomenų tvarkymą, įmonių grupėje persiųsti asmens duomenis. Tuo nedaromas poveikis bendriesiems principams, reglamentuojantiems asmens duomenų perdavimą įmonių grupės viduje trečiojoje valstybėje esančiai įmonei;

(49) valdžios institucijų, kompiuterinių incidentų tyrimo tarnybų, kompiuterių saugumo incidentų tyrimo tarnybų, elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų atliekamas asmens duomenų tvarkymas tik tiek, kiek tai yra būtina ir proporcinga siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar persiunčiamų asmens duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia tie tinklai ir sistemos arba kurios per juos prieinamos, saugumą, laikomas teisėtu atitinkamo duomenų valdytojo interesu. Tai galėtų, pavyzdžiui, užkirsti kelią neteisėtai prieigai prie elektroninių ryšių tinklų ir kenkimo programų kodų platinimui, taip pat sustabdyti atkirtimo nuo paslaugos atakas ir neleisti pakenkti kompiuterių bei elektroninių ryšių sistemoms;

Šios pastraipos f punktas netaikomas duomenų tvarkymui, kurį valdžios institucijos atlieka vykdydamos savo užduotis.

Recitals

(40) kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo duomenų subjekto sutikimą arba remiantis kitu teisėtu teisiniu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos teisės akte ar valstybės narės teisėje, įskaitant būtinybę, kad duomenų valdytojas vykdytų jam tenkančią teisinę prievolę, arba būtinybę vykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis priemonių duomenų subjekto prašymu prieš sudarant sutartį;

(50) asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos arba valstybės narės teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos ar valstybės narės teisėje numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose.

Jei duomenų subjektas yra davęs sutikimą arba duomenų tvarkymas yra grindžiamas Sąjungos arba valstybės narės teise, o tai demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant apsaugoti visų pirma svarbius bendro viešojo intereso tikslus, asmens duomenų valdytojui turėtų būti leidžiama toliau tvarkyti duomenis neatsižvelgiant į tikslų suderinamumą. Bet kuriuo atveju turėtų būti užtikrinta, kad būtų taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas būtų informuotas apie tuos kitus tikslus ir apie savo teises, įskaitant teisę nesutikti. Kai duomenų valdytojas nurodo galimas nusikalstamas veikas arba grėsmes viešajam saugumui ir persiunčia susijusius atskirų atvejų arba kelių atvejų, susijusių su ta pačia nusikalstama veika arba grėsmėmis visuomenės saugumui, asmens duomenis kompetentingai institucijai, laikoma, kad tai atitinka duomenų valdytojo teisėtą interesą. Tačiau toks duomenų persiuntimas dėl duomenų valdytojo teisėto intereso arba tolesnis asmens duomenų tvarkymas turėtų būti draudžiamas, jei duomenų tvarkymas yra nesuderinamas su teisine, profesine ar kita įpareigojančia prievole saugoti paslaptį;

2. Valstybės narės gali toliau taikyti arba nustatyti konkretesnes nuostatas šio reglamento taisyklių taikymui pritaikyti, kiek tai susiję su duomenų tvarkymu, kad būtų laikomasi 1 dalies c ir e punktų, tiksliau nustatydamos konkrečius duomenų tvarkymui keliamus reikalavimus ir kitas teisėto ir sąžiningo duomenų tvarkymo užtikrinimo priemones, įskaitant kitais specialiais IX skyriuje numatytais duomenų tvarkymo atvejais.

3. 1 dalies c ir e punktuose nurodytas duomenų tvarkymo pagrindas nustatomas:

a) Sąjungos teisėje; arba

b) duomenų valdytojui taikomoje valstybės narės teisėje.

Duomenų tvarkymo tikslas nustatomas tame teisiniame pagrinde arba, 1 dalies e punkte nurodyto duomenų tvarkymo atveju, yra būtinas, siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Tame teisiniame pagrinde galėtų būti išdėstytos konkrečios nuostatos pagal šį reglamentą taikomų taisyklių pritaikymui, įskaitant bendrąsias sąlygas, reglamentuojančias duomenų valdytojo atliekamo duomenų tvarkymo teisėtumą, tvarkytinų duomenų rūšis, atitinkamus duomenų subjektus, subjektus, kuriems asmens duomenys gali būti atskleisti ir tikslus, dėl kurių asmens duomenys gali būti atskleisti, tikslo apribojimo principą, saugojimo laikotarpius ir duomenų tvarkymo operacijas bei duomenų tvarkymo procedūras, įskaitant priemones, kuriomis būtų užtikrintas teisėtas ir sąžiningas duomenų tvarkymas, kaip antai tas, kurios skirtos kitiems specialiems IX skyriuje numatytiems duomenų tvarkymo atvejams. Sąjungos arba valstybės narės teisė atitinka viešojo intereso tikslą ir yra proporcinga teisėtam tikslui, kurio siekiama.

Recitals

(41) kai šiame reglamente nurodomas teisinis pagrindas arba teisėkūros priemonė, tai nebūtinai reiškia, kad parlamentas turi priimti teisėkūros procedūra priimamą aktą, nedarant poveikio reikalavimams, taikomiems pagal atitinkamos valstybės narės konstitucinę tvarką. Tačiau toks teisinis pagrindas ar teisėkūros priemonė turėtų būti aiškūs ir tikslūs, o jų taikymas turėtų būti numatomas tiems asmenims, kuriems jie turi būti taikomi, pagal Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) ir Europos Žmogaus Teisių Teismo praktiką;

4. Kai duomenų tvarkymas kitu tikslu nei tas dėl kurio duomenys buvo surinkti, nėra grindžiamas duomenų subjekto sutikimu arba Sąjungos ar valstybės narės teise, kuri yra demokratinėje visuomenėje būtina ir proporcinga priemonė 23 straipsnio 1 dalyje nurodytiems tikslams apsaugoti, duomenų valdytojas siekdamas įsitikinti, ar duomenų tvarkymas kitu tikslu yra suderinamas su tikslu, dėl kurio iš pradžių asmens duomenys buvo surinkti, atsižvelgia, inter alia, į:

a) visas sąsajas tarp tikslų, kuriais asmens duomenys buvo surinkti, ir numatomo tolesnio duomenų tvarkymo tikslų;

b) aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma susijusias su duomenų subjektų ir duomenų valdytojo tarpusavio santykiu;

c) asmens duomenų pobūdį, visų pirma ar tvarkomi specialių kategorijų asmens duomenys pagal 9 straipsnį, ar tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas pagal 10 straipsnį;

d) numatomo tolesnio duomenų tvarkymo galimas pasekmes duomenų subjektams;

e) tinkamų apsaugos priemonių, kurios gali apimti šifravimą ar pseudonimų suteikimą, buvimą.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6(4)(e) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

[…]


to read the full text

Expert commentary ISO 27701 Recitals Guidelines & Case Law Related Leave a comment
Expert commentary
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 6 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

The legal basis for the processing of PII can include:

[…]


to read the full text

Recitals

(40) kad duomenų tvarkymas būtų teisėtas, asmens duomenys turėtų būti tvarkomi gavus atitinkamo duomenų subjekto sutikimą arba remiantis kitu teisėtu teisiniu pagrindu, nustatytu šiame reglamente arba – kai šiame reglamente nurodoma – kitame Sąjungos teisės akte ar valstybės narės teisėje, įskaitant būtinybę, kad duomenų valdytojas vykdytų jam tenkančią teisinę prievolę, arba būtinybę vykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis priemonių duomenų subjekto prašymu prieš sudarant sutartį;

(41) kai šiame reglamente nurodomas teisinis pagrindas arba teisėkūros priemonė, tai nebūtinai reiškia, kad parlamentas turi priimti teisėkūros procedūra priimamą aktą, nedarant poveikio reikalavimams, taikomiems pagal atitinkamos valstybės narės konstitucinę tvarką. Tačiau toks teisinis pagrindas ar teisėkūros priemonė turėtų būti aiškūs ir tikslūs, o jų taikymas turėtų būti numatomas tiems asmenims, kuriems jie turi būti taikomi, pagal Europos Sąjungos Teisingumo Teismo (toliau – Teisingumo Teismas) ir Europos Žmogaus Teisių Teismo praktiką;

(42) kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turėtų galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Visų pirma kai rašytinis pareiškimas teikiamas kitu klausimu, apsaugos priemonėmis turėtų būti užtikrinta, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Laikantis Tarybos direktyvos 93/13/EEB [10], duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turėtų būti pateiktas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Kad sutikimas būtų grindžiamas informacija, duomenų subjektas turėtų bent žinoti duomenų valdytojo tapatybę ir planuojamo asmens duomenų tvarkymo tikslus. Sutikimas neturėtų būti laikomas duotas laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo ar negali atsisakyti sutikti arba sutikimo atšaukti, nepatirdamas žalos;

[10] 1993 m. balandžio 5 d. Tarybos direktyva 93/13/EEB dėl nesąžiningų sąlygų sutartyse su vartotojais (OL L 95, 1993 4 21, p. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC

(43) siekiant užtikrinti, kad sutikimas būtų duotas laisva valia, sutikimas neturėtų būti laikomas pagrįstu asmens duomenų tvarkymo teisiniu pagrindu konkrečiu atveju, kai yra aiškus duomenų subjekto ir duomenų valdytojo padėties disbalansas, ypač kai duomenų valdytojas yra valdžios institucija ir dėl to nėra tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, buvo duotas laisva valia. Laikoma, kad sutikimas nebuvo duotas laisva valia, jeigu neleidžiama duoti atskiro sutikimo atskiroms asmens duomenų tvarkymo operacijoms, nors tai ir tikslinga atskirais atvejais, arba jeigu sutarties vykdymas, įskaitant paslaugos teikimą, priklauso nuo sutikimo, nepaisant to, kad toks sutikimas nėra būtinas tokiam vykdymui;

(44) duomenų tvarkymas turėtų būti laikomas teisėtu, kai jis būtinas siekiant vykdyti sutartį arba ketinant ją sudaryti;

(45) kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, duomenų tvarkymo pagrindas turėtų būti įtvirtintas Sąjungos arba valstybės narės teisėje. Šiuo reglamentu nereikalaujama kiekvienu atskiru duomenų tvarkymo atveju specialaus teisės o Kelioms duomenų tvarkymo operacijoms gali užtekti vieno teisės akto, kai duomenų valdytojas duomenis tvarko vykdydamas jam tenkančią teisinę prievolę arba kai duomenis būtina tvarkyti siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas. Be to, Sąjungos ar valstybės narės teisėje turėtų būti nustatytas asmens duomenų tvarkymo tikslas. Be to, šiame pagrinde galėtų būti nurodytos bendrosios šio reglamento sąlygos, kuriomis reglamentuojamas asmens duomenų tvarkymo teisėtumas, nustatytos asmens duomenų valdytojo, tvarkytinų asmens duomenų rūšies, atitinkamų duomenų subjektų, subjektų, kuriems asmens duomenys gali būti atskleisti, tikslų apribojimų, saugojimo laikotarpio ir kitų priemonių, kuriomis užtikrinamas teisėtas ir sąžiningas duomenų tvarkymas, specifikacijos. Sąjungos arba valstybės narės teisėje taip pat turėtų būti nustatyta, ar duomenų valdytojas, atlikdamas užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, turėtų būti valdžios institucija arba kitas viešosios teisės reglamentuojamas fizinis ar juridinis asmuo arba, kai tai pateisinama viešuoju interesu, įskaitant sveikatos apsaugos tikslais, tokiais kaip visuomenės sveikata ir socialinė apsauga bei sveikatos priežiūros paslaugų valdymas, privatinės teisės reglamentuojamas asmuo, toks kaip profesinė asociacija;

(46) asmens duomenų tvarkymas taip pat turėtų būti laikomas teisėtu, kai jis būtinas norint apsaugoti gyvybinį duomenų subjekto ar kito fizinio asmens interesą. Asmens duomenys remiantis kito fizinio asmens gyvybiniu interesu turėtų būti tvarkomi tik iš esmės kai duomenų tvarkymas negali būti akivaizdžiai grindžiamas kitu teisiniu pagrindu. Kai kurių rūšių duomenų tvarkymas gali būti reikalingas tiek dėl svarbių viešojo intereso priežasčių, tiek dėl duomenų subjekto gyvybinių interesų, pavyzdžiui, kai duomenis būtina tvarkyti humanitariniais tikslais, be kita ko, siekiant stebėti epidemiją ir jos paplitimą arba susidarius ekstremaliajai humanitarinei situacijai, visų pirma, gaivalinių ir žmogaus sukeltų nelaimių atvejais;

(47) teisėti duomenų valdytojo, įskaitant duomenų valdytoją, kuriam gali būti atskleisti asmens duomenys, arba trečiosios šalies interesai gali būti teisiniu duomenų tvarkymo pagrindu, jeigu duomenų subjekto interesai arba pagrindinės teisės ir laisvės nėra viršesni, atsižvelgiant į pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu. Toks teisėtas interesas galėtų būti, pavyzdžiui, kai egzistuoja susijęs ir atitinkamas santykis tarp duomenų subjekto ir duomenų valdytojo, pavyzdžiui, kai duomenų subjektas yra duomenų valdytojo klientas arba dirba duomenų valdytojo tarnyboje. Bet kuriuo atveju reikėtų atidžiai įvertinti, ar esama teisėto intereso, be kita ko, siekiant nustatyti, ar duomenų subjektas gali tuo metu, kai renkami asmens duomenys, arba asmens duomenų rinkimo kontekste tikėtis, kad duomenys gali būti tvarkomi tuo tikslu. Duomenų subjekto interesai ir pagrindinės teisės gali visų pirma būti viršesni už duomenų valdytojo interesus, kai asmens duomenys tvarkomi tokiomis aplinkybėmis, kuriomis duomenų subjektai pagrįstai nesitiki tolesnio tvarkymo. Atsižvelgiant į tai, kad teisinį asmens duomenų tvarkymo pagrindą valdžios institucijoms teisės aktu turi sukurti teisės aktų leidėjas, tas teisinis pagrindas neturėtų būti taikomas tais atvejais, kai valdžios institucijos duomenis tvarko vykdydamos savo funkcijas. Asmens duomenų tvarkymas tik tiek, kiek tai yra būtina sukčiavimo prevencijos tikslais, yra ir atitinkamo. Asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu;

(48) duomenų valdytojai, priklausantys įmonių grupėms arba įstaigoms, susijusioms su pagrindine įstaiga, gali turėti teisėtą interesą vidaus administraciniais tikslais, įskaitant klientų ar darbuotojų asmens duomenų tvarkymą, įmonių grupėje persiųsti asmens duomenis. Tuo nedaromas poveikis bendriesiems principams, reglamentuojantiems asmens duomenų perdavimą įmonių grupės viduje trečiojoje valstybėje esančiai įmonei;

(49) valdžios institucijų, kompiuterinių incidentų tyrimo tarnybų, kompiuterių saugumo incidentų tyrimo tarnybų, elektroninių ryšių tinklų bei paslaugų teikėjų ir saugumo technologijų bei paslaugų teikėjų atliekamas asmens duomenų tvarkymas tik tiek, kiek tai yra būtina ir proporcinga siekiant užtikrinti tinklo ir informacijos saugumą, t. y. tinklo ar informacinės sistemos nustatyto patikimumo laipsnio atsparumą trikdžiams arba neteisėtiems ar tyčiniams veiksmams, kuriais pažeidžiamas saugomų ar persiunčiamų asmens duomenų prieinamumas, autentiškumas, vientisumas ir konfidencialumas, ir susijusių paslaugų, kurias teikia tie tinklai ir sistemos arba kurios per juos prieinamos, saugumą, laikomas teisėtu atitinkamo duomenų valdytojo interesu. Tai galėtų, pavyzdžiui, užkirsti kelią neteisėtai prieigai prie elektroninių ryšių tinklų ir kenkimo programų kodų platinimui, taip pat sustabdyti atkirtimo nuo paslaugos atakas ir neleisti pakenkti kompiuterių bei elektroninių ryšių sistemoms;

(50) asmens duomenų tvarkymas kitais tikslais nei tais, kuriais iš pradžių buvo rinkti asmens duomenys, turėtų būti leidžiamas tik tuomet, kai duomenų tvarkymas suderinamas su tikslais, kuriais iš pradžių buvo rinkti asmens duomenys. Tokiu atveju nereikalaujama atskiro teisinio pagrindo, užtenka to pagrindo, kuriuo remiantis leidžiama rinkti asmens duomenis. Jeigu duomenų tvarkytojui tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant viešosios valdžios funkcijas, Sąjungos arba valstybės narės teisėje galima apibrėžti ir sukonkretinti užduotis ir tikslus, kuriais tolesnis duomenų tvarkymas turėtų būti laikomas suderinamu ir teisėtu. Tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti laikomas suderinamomis teisėtomis duomenų tvarkymo operacijomis. Sąjungos ar valstybės narės teisėje numatytas asmens duomenų tvarkymo teisinis pagrindas taip pat gali būti tolesnio duomenų tvarkymo teisinis pagrindas. Tam, kad įsitikintų, ar tolesnio duomenų tvarkymo tikslas suderinamas su tikslu, kuriuo iš pradžių duomenys buvo rinkti, duomenų valdytojas po to, kai įvykdo visus reikalavimus dėl pradinio asmens duomenų tvarkymo teisėtumo, turėtų atsižvelgti, inter alia, į sąsajas tarp tų tikslų ir numatomo tolesnio asmens duomenų tvarkymo tikslų, aplinkybes, kuriomis asmens duomenys buvo surinkti, visų pirma pagrįstus duomenų subjektų lūkesčius jų santykių su duomenų valdytoju pagrindu dėl tolesnio duomenų naudojimo; asmens duomenų pobūdį; numatomo tolesnio duomenų tvarkymo pasekmes duomenų subjektams ir tinkamų apsaugos priemonių buvimą tiek pradinėse, tiek numatomose tolesnėse duomenų tvarkymo operacijose.

Jei duomenų subjektas yra davęs sutikimą arba duomenų tvarkymas yra grindžiamas Sąjungos arba valstybės narės teise, o tai demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant apsaugoti visų pirma svarbius bendro viešojo intereso tikslus, asmens duomenų valdytojui turėtų būti leidžiama toliau tvarkyti duomenis neatsižvelgiant į tikslų suderinamumą. Bet kuriuo atveju turėtų būti užtikrinta, kad būtų taikomi šiame reglamente nustatyti principai, visų pirma, kad duomenų subjektas būtų informuotas apie tuos kitus tikslus ir apie savo teises, įskaitant teisę nesutikti. Kai duomenų valdytojas nurodo galimas nusikalstamas veikas arba grėsmes viešajam saugumui ir persiunčia susijusius atskirų atvejų arba kelių atvejų, susijusių su ta pačia nusikalstama veika arba grėsmėmis visuomenės saugumui, asmens duomenis kompetentingai institucijai, laikoma, kad tai atitinka duomenų valdytojo teisėtą interesą. Tačiau toks duomenų persiuntimas dėl duomenų valdytojo teisėto intereso arba tolesnis asmens duomenų tvarkymas turėtų būti draudžiamas, jei duomenų tvarkymas yra nesuderinamas su teisine, profesine ar kita įpareigojančia prievole saugoti paslaptį;

(155) valstybės narės teisėje ar kolektyvinėse sutartyse, įskaitant darbo sutartis, gali būti numatytos specialios taisyklės, kuriomis reglamentuojamas darbuotojų asmens duomenų tvarkymas su darbo santykiais susijusiame kontekste, visų pirma sąlygos, kuriomis asmens duomenys su darbo santykiais susijusiame kontekste gali būti tvarkomi remiantis darbuotojo sutikimu, siekiant įdarbinti, vykdyti darbo sutartį, įskaitant teisės aktais arba kolektyvinėmis sutartimis nustatytų prievolių vykdymą, darbo administravimą, planavimą ir organizavimą, lygybę ir įvairovę darbo vietoje, darbuotojų saugą ir sveikatą, taip pat siekiant naudotis su darbo santykiais susijusiomis individualiomis ir kolektyvinėmis teisėmis ir išmokomis, taip pat siekiant nutraukti darbo santykius;

Guidelines & Case Law Related Leave a comment
[js-disqus]