Nepriklausomai nuo veiklos srities paprastai visos įmonės tvarko asmens duomenis. 2018 metų gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau – BDAR) numato pareigą įmonėms (duomenų valdytojams) imtis tinkamų techninių ir organizacinių priemonių asmens duomenų apsaugai bei asmens duomenų subjekto teisių užtikrinimui.

Situacija, kai įmonėje nėra nustatyta vieninga duomenų tvarkymo sistema, neparengti asmens duomenų tvarkymo dokumentai, nepaskirti už duomenų tvarkymą atsakingi asmenys kelia grėsmę asmens duomenų saugumui. BDAR šiuo atžvilgiu numato itin griežtas sankcijas – administracines baudas. Jos gali siekti net iki 4% įmonės metinės apyvartos.

Asmens duomenimis vadinama bet kokia informacija apie fizinį asmenį – jo vardas, pavardė, telefonas, adresas, buvimo vieta, pajamos, pomėgiai, pirkimo įpročiai, IP adresas, sveikatos informacija, nuotraukos ir kt. Šie duomenys leidžia identifikuoti asmenį, kuris kitaip dar vadinamas duomenų subjektu. Įmonės, turinčios klientų duomenų bazes, veikloje pasitelkiančios tiesioginę rinkodarą, vykdančios savo patalpų stebėjimą, tvarkančios savų darbuotojų ar kitų organizacijų perduotus duomenis, vadinamos duomenų valdytojais (tvarkytojais). Bendrasis duomenų apsaugos reglamentas apibrėžia su duomenų kaupimu susijusias teises ir pareigas.

Asmens duomenų tvarkymo taisyklės yra vienos pagrindinių įmonės duomenų tvarkymo dokumentacijos sudėtinės dalys. Prieš rengiant dokumentus BDAR atitikčiai, būtina įvertinti kokie asmens duomenys, kokiais tikslais ir kokiu pagrindu įmonėje yra renkami, kaip jie gaunami, kokie asmenys įmonėje yra atsakingi už jų tvarkymą. Taip pat, ar duomenis tvarko pati įmonė ar pasitelkiami kiti asmenys/įmonės pagal paslaugų sutartis (duomenų tvarkytojai) ar duomenys perduodami į trečiąsias šalis. Įvertinus paminėtus aspektus taps aiškūs įmonėje atliekami asmens duomenų tvarkymo procesai, kurių žinojimas leis nustatyti reikiamus paruošti dokumentus.