Duomenų tvarkytojai ir duomenų atskleidimas
Duomenų tvarkytojas - tai organizacija arba asmuo, kuris tvarko asmens duomenis duomenų valdytojo vardu. Terminas „duomenų tvarkytojas“ neapima duomenų valdytojo įdarbinto asmens, kuris tvarko asmens duomenis vykdydamas darbo užduotis, bet reiškia įstaigą, kuriai asmens duomenų tvarkymas perduodamas. Duomenų tvarkytojas gali būti, pvz., buhalterinių paslaugų teikėjas, IT paslaugų teikėjas arba reklamos agentūra, kuri tvarko asmens duomenis kitos įmonės vardu. Duomenų tvarkytojas gali tvarkyti duomenis tik duomenų valdytojo nustatytais tikslais. Duomenų tvarkytojas negali pradėti naudoti duomenų valdytojo asmens duomenų savo tikslais, nustatydamas naujus duomenų tvarkymo tikslus ir priemones.
Dėl duomenų tvarkymo veiklos visada turi būti susitarta rašytinėje sutartyje. Minimalus tokios sutarties turinys nustatytas BDAR. Be duomenų valdytojo leidimo pagalbiniai duomenų tvarkytojai (pvz., subranga) negalimi, o duomenų tvarkytojas už pagalbinio duomenų tvarkytojo veiksmus atsako kaip už savo veiksmus. Duomenų tvarkytojas visada turi:
laikytis taisyklių, susijusių su tarptautiniu duomenų perdavimu.
taikyti tinkamas technines ir organizacines saugumo priemones.
sudaryti duomenų tvarkymo sutartį su duomenų valdytoju.
padėti duomenų valdytojui.
bendradarbiauti su nacionaline priežiūros institucija.
Duomenų valdytojas ir asmens duomenų tvarkytojas privalo dokumentuoti savo atsakomybėje atliekamas duomenų tvarkymo užduotis. Duomenų tvarkytojui taip pat tenka tiesioginė atsakomybė už sankcijas, jei jis nesilaiko pirmiau minėtų pareigų. Be to, duomenų valdytojas privalo įgyvendinti tinkamas technines ir organizacines priemones. Tai, pavyzdžiui, darbuotojų instruktavimas, savikontrolė, kaip naudojami duomenys, duomenų sistemų informacijos saugumo priemonės, taip pat kitos apsaugos priemonės, siekiant apsaugoti duomenis.
Asmens duomenų atskleidimas - tai asmens duomenų pateikimas trečiajai šaliai, kuri naudoja duomenis savo, o ne duomenų valdytojo vardu. Todėl asmens duomenų perdavimas išorės paslaugų teikėjams nėra apibrėžiamas kaip duomenų atskleidimas. Duomenų valdytojo teisė atskleisti asmens duomenis ne savo organizacijai priklausančioms šalims reglamentuojama BDAR. Prieš atskleisdamas asmens duomenis trečiosioms šalims, duomenų valdytojas turi įsitikinti, kad duomenų gavėjas turi teisinį pagrindą tvarkyti duomenis pagal BDAR.