Duomenų valdytojai yra pagrindinius sprendimus priimantys asmenys, nes nusprendžia, kodėl ir kaip bus tvarkomi asmens duomenys. BDAR apibrėžiama, kad duomenų valdytojas yra fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.
Teiginiai, padedantys identifikuoti, ar esate duomenų valdytojas
Didžiosios Britanijos informacijos ir duomenų apsaugos institucija (ICO) pateikė 12 teiginių, pagal kuriuos galima identifikuoti, ar esate duomenų valdytojas. Kuo daugiau teiginių bus teigiami, tuo didesnė tikimybė, kad esate duomenų valdytojas.
1. Nusprendėte rinkti ar tvarkyti asmens duomenis.
2. Nusprendėte, koks turi būti tvarkymo tikslas ar rezultatas.
3. Nusprendėte, kokie asmens duomenys turėtų būti renkami.
4. Nusprendėte, kurie asmenys renka asmens duomenis.
5. Iš duomenų tvarkymo gaunate komercinę ar kitokią naudą, išskyrus bet kokius atsiskaitymus už paslaugas iš kito valdytojo.
6. Tvarkote asmens duomenis siekiant įvykdyti sutartį.
7. Duomenų subjektai yra jūsų darbuotojai.
8. Priimame sprendimus, susijusius su duomenų subjektų asmens duomenų tvarkymu.
9. Tvarkote asmens duomenis praktikuodami profesionalų vertinimą.
10. Turite tiesioginį ryšį su duomenų subjektais.
11. Esate visiškai savarankiški tvarkant asmens duomenis.
12. Paskyrėte duomenų tvarkytojus, kurie tvarkytų asmens duomenis jūsų vardu.
Duomenų valdytojo atsakomybė
Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairias tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Prireikus techninės ir organizacinės priemonės yra peržiūrimos ir atnaujinamos, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Duomenų valdytojas, įgyvendindamas atitinkamą duomenų apsaugos politiką ir taikydamas tinkamas ir veiksmingas priemones, privalo įrodyti, kad duomenys tvarkomi laikantis BDAR reikalavimų.
Bendras duomenų valdytojas
Kai du ar daugiau duomenų valdytojų kartu nustato duomenų tvarkymo tikslus ir priemones, jie yra bendri duomenų valdytojai. Tačiau jie nėra bendrieji duomenų valdytojai, jei jie tvarko tuos pačius duomenis skirtingais tikslais. Bendri duomenų valdytojai turi sudaryti susitarimą, kuriame išdėstomos jų prievolės laikytis BDAR reikalavimų. Asmenims, kurių duomenys tvarkomi, turi būti sudaryta galimybė susipažinti su esminėmis šio susitarimo nuostatomis.
Bendras duomenų valdytojas turi visišką prieigos prie patikėtų asmens duomenų kontrolę ir pats nusprendžia, kuriuos asmens duomenis jam reikia tvarkyti tam, kad galėtų suteikti paslaugą. Taip pat bendras duomenų valdytojas pats išsikelia duomenų tvarkymo tikslus, nustato duomenų saugojimo terminus ir savarankiškai nusprendžia, ar perduoti duomenis trečiosioms šalims.
