Privatumo politika

ASMENS DUOMENŲ TVARKYMO SAUGUMO POLITIKA

SAUGOS POLITIKA
ASMENS DUOMENŲ TVARKYMAS
Į
Ribotos atsakomybės bendrovė „BizeA“.
kurios registruota buveinė yra Tomice, ul. Europos 4.

Įėjimas


Įgyvendinant kiekvieno asmens konstitucinę teisę į privataus gyvenimo apsaugą ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl asmenų apsaugos tvarkant asmens duomenis nuostatas ir dėl laisvo tokių duomenų judėjimo ir panaikinanti Direktyvą 95/46/EB (bendrasis duomenų apsaugos reglamentas), siekiant taikyti technines ir organizacines priemones, užtikrinančias tvarkomų asmens duomenų apsaugą, atitinkančią grėsmes ir saugomų duomenų kategorijas, visų pirma apsaugoti duomenis nuo neteisėto atskleidimo, pašalinimo iš pašalinio asmens, tvarkymo pažeidžiant aukščiau reguliavimas ir pakeitimas, praradimas, sugadinimas ar sunaikinimas, taikomas toks procedūrų rinkinys.


1 skyrius
Bendrosios nuostatos


§ 1. Kai dokumente minima:
1) reglamentas – tai 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir panaikinantis Direktyvą 95/46. /EB (bendras duomenų apsaugos reglamentas);
2) Asmeniniai duomenys – tai informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybė gali būti nustatyta („duomenų subjektas“); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę galima tiesiogiai ar netiesiogiai nustatyti, visų pirma pagal identifikatorių, pavyzdžiui, vardą ir pavardę, identifikavimo numerį, vietos duomenis, internetinį identifikatorių arba vieną ar daugiau konkrečių veiksnių, lemiančių fizinę, fiziologinę genetinė, psichinė fizinio asmens ekonominė, kultūrinė ar socialinė tapatybė;
3) duomenų rinkinys – tai sutvarkytas asmens duomenų rinkinys, prieinamas pagal konkrečius kriterijus, neatsižvelgiant į tai, ar šis rinkinys yra centralizuotas, decentralizuotas, funkciškai ar geografiškai išsklaidytas;
4) duomenų apdorojimas – tai operacija arba operacijų rinkinys, atliekamas su asmens duomenimis ar asmens duomenų rinkiniais automatizuotu ar neautomatizuotu būdu, pavyzdžiui, rinkimas, įrašymas, tvarkymas, tvarkymas, saugojimas, pritaikymas ar keitimas, atsisiuntimas, peržiūra, naudojimas, atskleisti siunčiant, platinant ar kitaip padarant prieinamą, suderinant ar sujungiant, apribojant, ištrinant ar sunaikinant;
5) IT sistema – duomenims apdoroti naudojamų bendradarbiaujančių įrenginių, programų, informacijos apdorojimo procedūrų ir programinės įrangos priemonių visuma;
6) duomenų apsauga IT sistemoje – tai tinkamų techninių ir organizacinių priemonių, užtikrinančių duomenų apsaugą nuo neteisėto tvarkymo, įgyvendinimą ir veikimą;
7) duomenų ištrynimas – tai asmens duomenų sunaikinimas arba pakeitimas taip, kad nebus įmanoma nustatyti duomenų subjekto tapatybės;
8) duomenų valdytojas – tai fizinis ar juridinis asmuo, valdžios institucija, padalinys ar kitas subjektas, kuris vienas arba kartu su kitais nustato asmens duomenų tvarkymo tikslus ir priemones; kai tokio tvarkymo tikslus ir priemones nustato Sąjungos arba valstybės narės teisė, duomenų valdytojas arba konkretūs jo paskyrimo kriterijai gali būti numatyti Sąjungos arba valstybės narės teisėje;
9) duomenų subjekto sutikimas – tai savanoriškas, konkretus, informuotas ir nedviprasmiškas valios pareiškimas, kuriuo duomenų subjektas pareiškimu arba aiškiais patvirtinančiais veiksmais sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;
10) duomenų gavėjas – tai fizinis ar juridinis asmuo, valdžios institucija, padalinys ar kitas subjektas, kuriam atskleidžiami asmens duomenys, neatsižvelgiant į tai, ar tai trečioji šalis. Tačiau valdžios institucijos, kurios gali gauti asmens duomenis atlikdamos konkretų tyrimą pagal Sąjungos ar valstybės narės teisę, nelaikomos gavėjais; tos valdžios institucijos tvarkydamos šiuos duomenis turi laikytis duomenų apsaugos taisyklių, taikomų atsižvelgiant į tvarkymo tikslus;
11) trečioji šalis – tai šalis, nepriklausanti Europos ekonominei erdvei;
12) technines ir organizacines priemones – tai turėtų būti suprantama kaip techninės ir organizacinės priemonės, būtinos tvarkomų asmens duomenų konfidencialumui, vientisumui ir atskaitomybei užtikrinti;
13) apdorojimo apribojimas – tai turėtų būti suprantama kaip saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;
14) profiliavimas – tai bet kokia automatizuoto asmens duomenų tvarkymo forma, kurią sudaro asmens duomenų naudojimas tam tikriems fizinio asmens asmeniniams veiksniams įvertinti, ypač analizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo, ekonominės padėties, sveikatos padariniais. , asmeniniai pomėgiai, interesai, patikimumas, elgesys, vieta ar judėjimas;
15) pseudoniminimas – tai reiškia asmens duomenų tvarkymą tokiu būdu, kad jie nebegali būti priskirti konkrečiam duomenų subjektui nenaudojant papildomos informacijos, jeigu tokia papildoma informacija laikoma atskirai ir jai taikomos techninės ir organizacinės priemonės, neleidžiančios jos priskirti. nustatytam arba fiziniam asmeniui, kurio tapatybė gali būti nustatyta;
16) apdorojimo subjektas – tai fizinis ar juridinis asmuo, valdžios institucija, padalinys ar kitas subjektas, kuris tvarko asmens duomenis duomenų valdytojo vardu;
17) asmens duomenų apsaugos pažeidimas – tai reiškia saugumo pažeidimą, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami perduodami, saugomi ar kitaip tvarkomi asmens duomenys arba neteisėta prieiga prie jų.

2 skyrius
duomenų administratorius


§ 2. Duomenų administratorius visų pirma:

  1. Atsižvelgdama į tvarkymo pobūdį, apimtį, kontekstą ir tikslus, taip pat į fizinių asmenų teisių ar laisvių pažeidimo riziką, kurios tikimybė ir sunkumas skiriasi, ji įgyvendina tinkamas technines ir organizacines priemones, užtikrinančias, kad duomenų tvarkymas būtų vykdomas laikantis reikalavimų. su reglamentu ir sugebėti tai įrodyti. Šios priemonės peržiūrimos ir prireikus atnaujinamos.
  2. Saugo apdorojimo veiklos apskaitą. Į registrą įtraukiama ši informacija:
    • Duomenų valdytojo ir visų bendrų duomenų valdytojų, taip pat, kai taikoma, duomenų valdytojo atstovo ir DAP, vardas ir pavardė arba įmonės pavadinimas ir kontaktiniai duomenys;
    • tvarkymo tikslais,
    • duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymą,
    • gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijos, įskaitant gavėjus trečiosiose šalyse arba tarptautinėse organizacijose,
    • kai taikoma, asmens duomenų perdavimas trečiajai šaliai ar tarptautinei organizacijai, įskaitant tos trečiosios šalies ar tarptautinės organizacijos pavadinimą, o Reglamente nurodytų duomenų perdavimo atveju – 2 str. 49 sek. 1, antroji pastraipa, atitinkamų apsaugos priemonių dokumentai,
    • jei įmanoma, numatomos atskirų kategorijų duomenų ištrynimo datos,
    • jei įmanoma, bendras techninių ir organizacinių saugumo priemonių, nurodytų 2 str. 32 sek. 1. reguliavimas,

3 skyrius
Techninės ir organizacinės priemonės


§ 3. Siekdamas apsaugoti duomenis, duomenų valdytojas atitinka reglamente nurodytus reikalavimus:

a) atlikti poveikio duomenų apsaugai vertinimą,
b) atlieka rizikos analizę, susijusią su ištekliais, dalyvaujančiais atskiruose procesuose,
c) duomenis galėjo tvarkyti tik duomenų valdytojo įgalioti asmenys (1 priedas),
d) duomenų tvarkymo pavedimo sutartys buvo sudarytos pagal 2 priedą,
e) ši saugumo politika buvo sukurta ir įgyvendinta.

§ 4. Siekiant apsaugoti asmens duomenis, taikoma toliau nurodyta asmens duomenų fizinės apsaugos priemones:

  • asmens duomenų rinkmenos saugomos patalpoje, apsaugotoje įprastomis durimis (nesustiprintomis, neatspariomis ugniai),
  • asmens duomenų bylos saugomos durimis apsaugotoje patalpoje, asmens duomenų bylos saugomos patalpoje, esančioje pirmame ir antrame aukšte.
  • pastate, kuriame yra duomenų valdytojo buveinė, įrengta apsaugos nuo įsilaužimo sistema
  • patekimas į patalpas, kuriose tvarkomos asmens duomenų bylos, yra uždengta įeigos kontrolės sistema – raktai registratūroje išduodami tik įgaliotiems asmenims.
  • patekimas į pastatą, kuriame įsikūręs duomenų valdytojas, kontroliuojamas stebėjimo sistema, naudojant pramonines kameras
  • pastatą, kuriame yra duomenų valdytojo buveinė, 24 valandas per parą prižiūri saugos tarnyba,
  • popierinės formos asmens duomenų bylos saugomos uždaroje metalinėje ir uždarose nemetalinėse spintelėse,
  • asmens duomenų bylų atsarginės/archyvinės kopijos saugomos uždaroje nemetalinėje spintelėje
  • patalpos, kuriose tvarkomos asmens duomenų rinkmenos, nuo gaisro poveikio apsaugotos priešgaisrine sistema ir (arba) atskirai stovinčiu gesintuvu,
  • dokumentai su asmens duomenimis yra mechaniškai sunaikinami pasibaigus jų galiojimo laikui, naudojant dokumentų smulkintuvus.


§ 5. Siekiant apsaugoti asmens duomenis, naudojamos šios IT ir telekomunikacijų infrastruktūros techninės įrangos priemonės:

  • kompiuteriai, naudojami asmens duomenims tvarkyti, yra prijungti prie vietinio kompiuterių tinklo,
  • prietaisai, tokie kaip UPS, elektros generatorius ir (arba) atskiras elektros tinklas, buvo naudojami siekiant apsaugoti IT sistemą, naudojamą asmens duomenims apdoroti, nuo elektros energijos tiekimo sutrikimo padarinių,
  • prieiga prie asmens duomenų rinkmenos, kuri tvarkoma atskiroje kompiuterinėje stotelėje/nešiojamajame kompiuteryje, buvo apsaugota nuo neteisėto aktyvinimo slaptažodžiu
  • prieiga prie kompiuterio, kuriame tvarkomi asmens duomenys, operacinės sistemos yra apsaugota autentifikavimo procesu naudojant vartotojo ID ir slaptažodį,
  • imtasi priemonių, kad būtų išvengta neteisėtų asmens duomenų, tvarkomų naudojant IT sistemas, kopijų,
  • buvo naudojama prieigos prie sistemos/asmens duomenų rinkmenos registravimo sistema,
  • buvo pritaikytos kriptografinės duomenų apsaugos priemonės asmens duomenims, perduodamiems teletransliacijos būdu,
  • diskų masyvas buvo naudojamas asmeniniams duomenims apsaugoti nuo disko atminties gedimo padarinių,
  • buvo pritaikytos apsaugos priemonės nuo žalingos programinės įrangos, tokios kaip kirminai, virusai, Trojos arkliai, rootkit,
  • ugniasienės sistema buvo naudojama prieigai prie kompiuterių tinklo apsaugoti,
  • IDS/IPS sistema buvo naudojama prieigai prie kompiuterių tinklo apsaugoti,


§ 6. Siekiant apsaugoti asmens duomenis, kaip programinės įrangos įrankių ir duomenų bazių dalis, taikomos šios apsaugos priemonės:

  • buvo panaudotos priemonės prieigos teisėms prie nurodytos apimties duomenų, esančių tvarkomų asmens duomenų rinkinyje, nustatyti,
  • prieigai prie IT sistemose apdorojamos dalies duomenų rinkinių reikalingas autentifikavimas naudojant vartotojo ID ir slaptažodį,
  • buvo panaudotos sistemos priemonės nustatant atitinkamas prieigos prie IT išteklių teises, įskaitant atskirų IT sistemos vartotojų asmens duomenų rinkinius,
  • buvo naudojamas mechanizmas, verčiantis periodiškai keisti prieigos prie asmens duomenų rinkmenos slaptažodžius,
  • darbo vietose, kuriose tvarkomi asmens duomenys, įdiegtos ekrano užsklandos,
  • buvo pritaikytas automatinio prieigos prie asmens duomenų tvarkymui naudojamos IT sistemos blokavimo mechanizmas, esant ilgalaikiam vartotojo neveiklumui (ekrano užsklandos),
  • § 7. Asmens duomenims apsaugoti naudojamos šios organizacinės priemonės:
  • asmenys, dirbantys tvarkant duomenis, buvo supažindinti su asmens duomenų apsaugos nuostatomis,
  • asmenys, dirbantys tvarkant asmens duomenis, buvo apmokyti IT sistemų saugumo srityje,
  • asmenys, dirbantys tvarkant asmens duomenis, privalo juos laikyti paslaptyje,
  • kompiuterių, kuriuose tvarkomi asmens duomenys, monitoriai yra nustatyti taip, kad būtų išvengta neteisėtos prieigos prie tvarkomų duomenų,
  • Asmens duomenų rinkinio atsarginės kopijos yra saugomos kitoje patalpoje nei ta, kurioje yra serveris, kuriame nuolat tvarkomi asmens duomenys,
  • duomenų valdytojas yra apibrėžęs pagrindines saugumo taisykles, taikomas visiems Bendrovės darbuotojams, t.y.:
    • būtinybės žinoti principas – prieiga prie duomenų apriboti tik tuos, kurie būtini pareigoms atlikti tam tikrose pareigose;
    • atsakomybės už išteklius principas – tvarkytojas yra atsakingas už savo tvarkomus duomenis ir įsipareigoja šiuo atžvilgiu laikytis nustatytų saugumo procedūrų,
    • rakinamos patalpos principas - nepalikti patalpoje vienų pašalinių asmenų (nesant įgalioto asmens), išeinant iš patalpų absoliučiai užrakinti raktu ir nepalikti raktų spynose,
    • švaraus stalo principas – nepalikti popierinių dokumentų ir duomenų laikmenų be priežiūros ant stalo (CD, DVD, USB atmintinės ir kt.),
    • paskyrų privatumo sistemose principas - kiekvienas darbuotojas privalo dirbti IRT sistemose jam priskirtose paskyrose, kategoriškai draudžiama dalintis paskyromis su joms nepriskirtais asmenimis,
    • slaptažodžių ir prieigos kodų konfidencialumo principas – išlaikyti konfidencialumą ir neteikti slaptažodžių bei prieigos kodų pašaliniams asmenims, ypač šis principas taikomas asmeniniams prieigos prie IRT sistemų ir saugomų zonų slaptažodžiams,
    • verslo elektroninio pašto naudojimo principas – kiekvienas asmuo, įgaliotas tvarkyti duomenis, atlikdamas tarnybines pareigas, naudojasi tik verslo elektroninio pašto dėžute, šiuo atžvilgiu draudžiama naudoti asmeninį el.
    • švaraus ekrano principas - kompiuterio užrakinimas prieš išeinant iš kambario, ilgiau nesant patalpoje būtina atsijungti nuo sistemos,
    • švaraus darbalaukio principas – kompiuterio darbalaukyje turi būti tik standartinės programinės įrangos ir verslo programų piktogramos bei nuorodos į aplankus, jei pavadinime nėra duomenų, ypač asmens duomenų, kurie gali būti atskleisti nekontroliuojamu būdu (pvz. Prezentacija),
    • švarių spausdintuvų / kopijavimo aparatų taisyklė – dokumentų paėmimas iš spausdintuvų iškart po atspausdinimo, ypač ši taisyklė galioja dokumentams, paliktiems kitoje patalpoje esančiuose spausdintuvuose,
    • švarios šiukšliadėžės principas – popieriniai dokumentai, išskyrus reklaminę medžiagą, turi būti sunaikinti smulkintuvuose arba per išorinę įmonę,
    • programinės įrangos teisėtumo principas – draudimas savarankiškai įdiegti programinę įrangą, įskaitant visų pirma saugoti kompiuteryje autorių teises pažeidžiantį turinį ir kitus neteisėtus duomenis,
    • pranešimo apie saugumo incidentus principas – kiekvienas duomenų tvarkytojas privalo 8 skyriuje nustatyta tvarka pranešti apie incidentus, susijusius su informacijos saugumu, t.y. neteisėtu informacijos atskleidimu, sunaikinimu ar pakeitimu,
    • Bendrovės išteklių naudojimo principas – duomenų valdytojo turimi duomenys gali būti tvarkomi tik Bendrovėje patvirtintomis duomenų tvarkymo priemonėmis, ypač šiuo tikslu draudžiama naudoti privačias duomenų tvarkymo priemones,
    • principo nenaudoti vardų, kuriuose yra asmens duomenų, nurodant bylas, aplankus ir pan.
    • Bendrovės techninės įrangos išteklių, naudojamų kaip verslo įranga, tinkamos apsaugos principas – nešiojamieji kompiuteriai, telefonai, išmanieji telefonai, planšetiniai kompiuteriai ir kiti įrenginiai, kuriuos Bendrovėje verslo tikslais naudoja duomenis, turėtų būti tinkamai apsaugoti nuo pašalinių asmenų prieigos, bent jau turėtų turėti prieigos slaptažodžių apsaugą, kad suaktyvintumėte įrenginį.

4 skyrius
DPIA procedūra
(Poveikio duomenų apsaugai vertinimas)


§ 8. Kiekvienam procesui atliekamas poveikio duomenų apsaugai vertinimas (DPAV).
§ 9. DPAV atliekama kiekvieną kartą, kai iš esmės pasikeičia asmens duomenų tvarkymas, pvz., pasikeičia paslaugų teikėjas, keičiasi duomenų tvarkymo būdas, pakeičiami procese dalyvaujantys ištekliai.
§ 10. DPAV kartu su rizikos analize atliekamas ne rečiau kaip kartą per metus dėl procesų, kurie dėl anksčiau atlikto DPAV parodė didelę riziką duomenų subjektų teisėms ir laisvėms.

5 skyrius
Rizikos analizės procedūra ir rizikos valdymo planas


§ 11. Duomenų administratorius atlieka procesuose dalyvaujančių išteklių rizikos analizę.
§ 12. Rizikos analizė atliekama ne rečiau kaip kartą per metus ir yra pagrindas atnaujinti rizikos valdymo metodą.
§ 13. Remdamasis rizikos analizės rezultatais, duomenų valdytojas savarankiškai diegia rizikos valdymo metodus.
§ 14. Kiekvieną kartą duomenų valdytojas pasirenka, kaip elgtis su rizika, ir nustato, kokios rizikos ir kokia tvarka bus svarstomos pirmiausia.

6 skyrius
Bendradarbiavimo su išorės subjektais tvarka


§ 15.1. Prieš kiekvieną naudojimąsi duomenų tvarkymo subjekto paslaugomis sudaroma asmens duomenų tvarkymo patikėjimo sutartis.
2. Duomenų administratorius tvarko išorinių subjektų, kuriems patikėta tvarkyti asmens duomenis, registrą
§ 16. Kiekvieną kartą, prieš sudarydamas sutartį dėl asmens duomenų tvarkymo pavedimo, duomenų valdytojas bendradarbiavimo su išorės subjektais tvarka patikrina, kaip laikomasi visų duomenų tvarkymo subjektų, kurių paslaugomis jis ketina naudotis, reglamentavimo.

7 skyrius
Numatytoji duomenų apsaugos procedūra
(duomenų apsauga pagal dizainą)


§ 17. Kaskart kurdamas naują produktą ar paslaugą, duomenų valdytojas atsižvelgia į duomenų subjektų teises kiekviename pagrindiniame jo kūrimo ir įgyvendinimo etape. Ji įgyvendina atitinkamas technines ir organizacines priemones, užtikrinančias, kad pagal nutylėjimą būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam tvarkymo tikslui pasiekti (renkamų duomenų kiekis, tvarkomų duomenų apimtis ir laikotarpis bei jų prieinamumas).
§ 18. Tuo atveju, kai ketinama pradėti tvarkyti asmens duomenis naujame procese, duomenų valdytojas atlieka su šiuo procesu susijusią DPAV.

8 skyrius
Incidentų valdymo procedūra


§ 20. Kiekvienu asmens duomenų saugumo pažeidimo atveju duomenų valdytojas patikrina, ar dėl pažeidimo nekilo pavojus fizinių asmenų teisėms ar laisvėms.
§ 21. Nustačius, kad pažeidimas sukėlė fizinių asmenų teisių ar laisvių pažeidimo riziką, duomenų valdytojas nedelsdamas, bet ne vėliau kaip per 72 valandas, praneša apie tai priežiūros institucijai. nuo pažeidimo nustatymo naudojant saugumo incidentų valdymo procedūrą.
§ 22. Duomenų valdytojas praneša duomenų subjektams apie pažeidimą, dėl kurio kyla jų teisių ar laisvių pažeidimo pavojus, remdamasis pranešimo duomenų subjektui apie pažeidimą šablonu, nebent jis taikė priemones, kad būtų pašalinta tikimybė didelė aukščiau minėto pažeidimo rizika. pažeidimai.
§ 23. Duomenų valdytojas fiksuoja pažeidimus ir tvarko pažeidimų, dėl kurių pažeidžiamos fizinių asmenų teisės ir laisvės, registrą.

9 skyrius
Asmenų teisių įgyvendinimo tvarka


§ 24. Kiekvieną duomenų subjekto pranešimo apie valią pasinaudoti reglamente numatytomis teisėmis atvejį duomenų valdytojas svarsto individualiai.
§ 25. Duomenų valdytojas nedelsdamas įgyvendina šias duomenų subjektų teises:

  • teisę susipažinti su duomenimis,
  • teisę ištaisyti duomenis,
  • teisę ištrinti duomenis,
  • teisę perduoti duomenis,
  • teisę nesutikti su duomenų tvarkymu,
  • teisę nebūti priimamų sprendimų, pagrįstų vien profiliavimu.


§ 26. Duomenų valdytojas, pasinaudodamas teise ištaisyti, ištrinti ir apriboti duomenų tvarkymą, apie tai nedelsdamas informuoja duomenų gavėjus, kuriems jis suteikė duomenis, išskyrus atvejus, kai tai neįmanoma arba pareikalaus neproporcingų pastangų.
§ 27. Duomenų valdytojas atsisako pasinaudoti duomenų subjektų teisėmis, jeigu tokia galimybė kyla iš reglamento nuostatų, tačiau kiekvieną atsisakymą pasinaudoti duomenų subjektų teisėmis būtina pagrįsti iš reglamento kylančiu teisiniu pagrindu.

10 skyrius
Sutikimų gavimo ir žmonių informavimo tvarka


§ 28. 1. Kiekvienu atveju, kai duomenys renkami tiesiogiai iš duomenų subjekto, duomenų valdytojas vykdo informavimo prievolę duomenų subjekto atžvilgiu.
2. Renkant duomenis iš darbuotojo, naudojamas informavimo prievolės šablonas.
§ 29. Kiekvienu atveju, kai duomenys renkami iš kitų šaltinių nei duomenų subjektas, duomenų valdytojas informavimo prievolę duomenų subjekto atžvilgiu įvykdo nedelsdamas, bet ne vėliau kaip pirmą kartą susisiekus su duomenų subjektu,
§ trisdešimt. Kiekvienu atveju, kai gaunamas duomenų subjekto sutikimas, taikomos sąlygos.

11 skyrius
Baigiamosios nuostatos


§ 31. Visų šiame dokumente aprašytų taisyklių laikosi asmenys, įgalioti tvarkyti asmens duomenis, ypatingą dėmesį skirdami duomenų subjektų gerovei.
§ 32. Šis dokumentas galioja nuo jo patvirtinimo duomenų valdytojo dienos.