Kas tai? Eksperto įžvalgos

Duomenų apsaugos pareigūnas – viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių

Publikuota: 2017-10-02

Viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių yra pareiga paskirti duomenų apsaugos pareigūną. Tai turės padaryti tam tikrus kriterijus atitinkantys asmens duomenų valdytojai ir tvarkytojai. Ši pareiga bus taikoma nuo Reglamento įsigaliojimo dienos.

Paskirti duomenų apsaugos pareigūną (angl. Data Protection Officer (toliau – DPO)) privalės tiek duomenų valdytojai ir tvarkytojai ūkio subjektai, tiek valstybinės valdžios institucijos. Už pareigos nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos, todėl iki 2018 m. gegužės 25 d. likus nebedaug laiko duomenų valdytojai ir tvarkytojai turėtų suskubti aktyviai domėtis šiuo klausimu ir įsivertinti, ar naujasis reikalavimas bus taikomas ir jiems.

Reglamentas DPO priskiria gana svarbų vaidmenį visoje duomenų valdymo sistemoje ir suteikia daug funkcijų bei plačius įgaliojimus, turėsiančius užtikrinti, kad DPO padės duomenų valdytojams ir tvarkytojams tinkamai įgyvendinti duomenų apsaugos reikalavimus savo įmonės, įstaigos ar organizacijos veikloje, taip pat užtikrinsiančius, kad DPO veiktų kaip tam tikras tarpininkas minėtoje duomenų valdymo sistemoje tarp duomenų subjektų, įvairių savo įmonės, organizacijos ar įstaigos padalinių ir priežiūros institucijos.

Reglamentas numato, kad DPO privalės paskirti tie valdytojai ir tvarkytojai ūkio subjektai, kurių veikla atitinka visus tris žemiau nurodytus kriterijus:

  • Pagrindinė duomenų valdytojo arba tvarkytojo veikla yra asmens duomenų tvarkymo operacijos.
  • Tokių duomenų tvarkymo operacijų metu duomenų subjektai yra reguliariai ir sistemingai stebimi.
  • Minėtasis duomenų subjektų stebėjimas vykdomas dideliu mastu.

Pareiga paskirti DPO taip pat keliama duomenis tvarkančioms valdžios institucijoms arba įstaigoms, bei duomenų valdytojams arba tvarkytojams, kurių pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu, taip pat asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Kalbant apie ūkio subjektus, pirmasis kriterijus yra bene lengviausiai suprantamas, kiti du – kol nėra realios reguliavimo įgyvendinimo praktikos - interpretuojami kiek kebliau. Dėl šių kriterijų sampratos nekonkretumo duomenų valdytojams ir tvarkytojams, siekiantiems savarankiškai įsivertinti savo veiklą, gali kilti klausimų, ar jie teisingai pritaikė nustatytus kriterijus savo veiklai. Todėl rekomenduojama, kad duomenų valdytojai ir tvarkytojai ne tik atliktų išsamią analizę ir įvertintų, ar jų veikla atitinka minėtuosius kriterijus, bet ir šios analizės rezultatus įtvirtintų raštu bei išsaugotų su kitais įmonės, įstaigos, organizacijos dokumentais. Tokio dokumentavimo tikslas – galimybė duomenų valdytojams ir tvarkytojams, esant reikalui ir užtikrinant atskaitomybės principo įgyvendinimą, priežiūros institucijai parodyti visos analizės eigą ir padarytas išvadas.

Taigi pirmasis kriterijus – „pagrindinėveikla“, kurios metu yra atliekamos asmens duomenų tvarkymo operacijos, yra suprantama kaip veikla, kurią duomenų valdytojas ar tvarkytojas vykdo, siekdamas savo tikslų, įskaitant tokią veiklą, kurios metu atliekamos duomenų tvarkymo operacijos yra glaudžiai susijusios su jo svarbiausia veikla ir atitinkamai yra nesusijusios su asmens duomenų tvarkymu kaip papildoma veikla.

Tipiškiausias pavyzdys - gydymo įstaigų teikiamos sveikatos paslaugos, kurių metu gydymo įstaigos tvarko pacientų sveikatos duomenis. Akivaizdu, kad sveikatos paslaugų teikimas yra laikytina pagrindine gydymo įstaigų veikla, nes jos negalėtų teikti sveikatos paslaugų, jeigu negalėtų tvarkyti asmens duomenų. Taigi tokios įstaigos privalės paskirti DPO.

Kitas pavyzdys - saugos tarnybos paslaugas teikiančios bendrovės veikla, susijusi su prekybos centrų ir kitų viešų vietų vaizdo stebėjimu. Vėlgi, vaizdo duomenų tvarkymas yra pagrindinė tokios tarnybos veikla, neatlikdama šių duomenų tvarkymo operacijų, saugos tarnyba negalėtų įgyvendinti savo veikloje siekiamų tikslų ir teikti apsaugos paslaugų. Todėl ir šiuo atveju bendrovė turės paskirti DPO.

Tačiau jeigu patalpas vaizdo kameromis stebi ūkio subjektas, kuris tose patalpose vykdo prekybinę veiklą, ir vaizdą stebėti jam būtina tik turto apsaugos tikslais, toks vaizdo duomenų tvarkymas bus laikomas papildoma veikla. Pastaroji gali būti labai reikalinga ir svarbi vykdant pagrindinę veiklą, tačiau visgi laikoma tik antrine. Tokiu atveju paskirti DPO nebus privaloma.

Antrasis kriterijus „reguliarus ir sistemingas duomenų subjektų stebėjimas“ turi būti suprantamas kaip toks, kurio metu duomenų subjektas nuolat arba pasikartojančiais intervalais (reguliariai) yra stebimas bet kuriuo būdu, įskaitant profiliavimą internete ir vartotojų elgsena grįstos reklamos siūlymą (angl. behavioural advertising). Tačiau toks stebėjimas turi būti ne šiaip atsitiktinis, o organizuotas ir metodiškas, t. y. turintis sistemą. Paprasčiausias reguliaraus ir sistemingo stebėjimo pavyzdys yra įvairių programėlių, sekančių mūsų valgymo įpročius, skaičiuojančių mūsų pajamas ir išlaidas, ar rekomenduojančių mums fizinės veiklos režimą, naudojimas. Reguliariu ir sistemingu stebėjimas nebūtų laikomas, jei, pavyzdžiui, prekybos centre naujos parduotuvės atidarymo proga užpildytumėte anketą apie savo apsipirkimo įpročius.

Trečiasis kriterijus „dideliu mastu“reiškia, kad reguliariai ir sistemingai atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama „regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų ir kurios galėtų daryti poveikį daugeliui duomenų subjektų“. Šį kriterijų bene sudėtingiausia įvertinti, taigi, kol jis nebus patikrintas ir įgyvendintas daugelyje praktinių situacijų, duomenų valdytojams ir tvarkytojams rekomenduojama atsižvelgti į tokius faktorius: koks duomenų subjektų skaičius yra stebimas, koks duomenų kiekis yra apdorojamas (ypač, jei apdorojama daug skirtingų duomenų), koks yra tokių operacijų geografinis paplitimas (rajonas, miestas, kt.) ar kokia yra šių operacijų trukmė.

Vėlgi tipiniai didelio masto pavyzdžiai yra gydymo įstaigų atliekamas pacientų duomenų tvarkymas, taip pat telekomunikacijų ir interneto paslaugų tiekėjų vykdomas klientų duomenų tvarkymas, įskaitant vietos nustatymo, turinio duomenų ir kt. tvarkymą.

Duomenų valdytojas ar tvarkytojas, arba ir vienas, ir kitas, atitinkantys anksčiau aptartus kriterijus, privalės paskirti po DPO (arba vieną bendrą DPO).

Tačiau, kas yra tas DPO, kokios jo funkcijos, statusas, kokie reikalavimai keliami į tokią poziciją pretenduojančiam asmeniui?

DPO gali būti tiek duomenų valdytojo arba tvarkytojo vidaus darbuotojas, tiek samdomas pagal paslaugų teikimo sutartį fizinis ar juridinis asmuo.

Reglamentas numato, kad DPO paskiriamas remiantis profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti Reglamente DPO priskirtas užduotis. Kiekvienas valdytojas (tvarkytojas) atsižvelgia į savo atliekamų operacijų su duomenimis sudėtingumą, apdorojamų duomenų rūšį, sektorių, kuriame vykdo veiklą, įmonės, įstaigos, organizacijos dydį ir struktūrą, ir pasirenka tokių gebėjimų ir patirties DPO, kuris geriausiai užtikrintų užduočių įgyvendinimą.

DPO keliamos užduotys yra susijusios su jau anksčiau aptartu DPO vaidmeniu visoje duomenų valdymo sistemoje: DPO stebi valdytojų (tvarkytojų) veiklą, informuoja apie jų pareigas, konsultuoja ir apmoko darbuotojus, konsultuoja valdytoją (tvarkytoją) dėl poveikio duomenų apsaugai vertinimo atlikimo, komunikuoja su duomenų subjektais bei bendradarbiauja su priežiūros institucija. Reglamentas reikalauja, kad duomenų valdytojas ir tvarkytojas užtikrintų, jog DPO būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

„Tinkamai“reiškia, kad DPO turi dalyvauti valdytojo (tvarkytojo) aukščiausių vadovų, taip pat atitinkamų padalinių vadovų susitikimuose, kuriuose sprendžiami su duomenų tvarkymu susiję klausimai; taip pat tai, kad į DPO nuomonę privaloma atsižvelgti ir vykdyti teikiamus pasiūlymus, ir kt.

„Laiku“ reiškia, kad DPO turi būti įtraukiamas į visų su duomenų tvarkymu įmonėje, įstaigoje, organizacijoje susijusių klausimų sprendimą kuo anksčiau ir greičiau, kai tik tai įmanoma padaryti. Pavyzdžiui, bendrovė planuoja plėsti veiklą, kurioje neišvengiamai reikės tvarkyti didesnį asmens duomenų kiekį. Tokiu atveju rekomenduojama įtraukti DPO jau į pradinę, verslo plėtros planavimo, stadiją, siekiant kuo geriau užtikrinti duomenų tvarkymą nustatančių taisyklių įgyvendinimą užbaigus tokią verslo plėtrą.

Pažymėtina, kad bene svarbiausia valdytojo (tvarkytojo) DPO suteikiama garantija yra autonomija ir nepriklausomumas. Turi būti užtikrinama, jog DPO negautų jokių nurodymų dėl savo užduočių vykdymo ir jam nebūtų daroma įtaka, siekiant apeiti duomenų tvarkymą nustatančius reikalavimus. Taip pat reguliavimas nustato, kad duomenų valdytojas (tvarkytojas) negali DPO atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Tačiau, kaip įprasta, jeigu DPO netinkamai atliks savo pareigas ar nevykdys sutarties, valdytojas (tvarkytojas) galės atleisti ar nutraukti sutartį su DPO, tačiau tik įsitikinęs, kad DPO atleidžiamas ar sutartis nutraukiama ne dėl DPO pareigų vykdymo.

Kiekvienas valdytojas (tvarkytojas) turi įsidėmėti, kad DPO nebus laikomi asmeniškai atsakingais už Reglamento pažeidimą ir jiems nebus taikomos Reglamente numatytos sankcijos, jeigu duomenų valdytojai ar tvarkytojai pažeis Reglamento reikalavimus. Jų laikymasis yra išimtinai duomenų valdytojų ir tvarkytojų pareiga, kurios įgyvendinimą jie ir privalo užtikrinti.

DPO turi turėti galimybę nevaržomai įgyvendinti jam keliamus tikslus ir užduotis, todėl valdytojas (tvarkytojas) privalo užtikrinti DPO būtinus resursus, įskaitant darbo vietą, darbuotojus (jei reikia), taip pat galimybę tiesiogiai ir netrukdomai komunikuoti ir bendradarbiauti su kitais įmonės, įstaigos, organizacijos padaliniais, pavyzdžiui, IT, teisės, finansų, personalo ir kt.

Tam, kad tiek duomenų subjektai, tiek priežiūros institucija turėtų galimybę tiesiogiai ir operatyviai susisiekti su DPO, pavyzdžiui, įvykus duomenų saugumo pažeidimui (duomenų praradimo, atskleidimo, sunaikinimo, kitiems incidentams), valdytojas (tvarkytojas) privalo nedelsiant apie DPO paskyrimą informuoti priežiūros instituciją ir pateikti jai DPO kontaktus, taip pat paskelbti juos viešai (savo interneto svetainėje, socialinio tinklo paskyroje ir kt.).

Taigi naujasis reguliavimas, nustatydamas šią naują pareigą, ūkio subjektams iš tiesų padidina bendrą administracinę naštą, o atsižvelgiant į Reglamente nustatytus DPO skyrimo kriterijus ir remiantis šių kriterijų išaiškinimu, manytina, kad pareiga paskirti DPO teks daugeliui Lietuvos ūkio subjektų.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Siūlymas: el. laiškai, gauti ne darbo metu, automatiškai susinaikins 1

Gali būti, kad netrukus bus tiesiog beprasmiška siųsti elektroninius laiškus Vokietijos „Porsche“ gamyklos...

Vadyba
13:53
Kokias algas lapkritį mokėjo geidžiamiausi darbdaviai  1

Paskelbti nauji „Sodros“ duomenys leidžia pažiūrėti, kokie vidutiniai atlyginimai lapkričio mėn. vyravo...

Vadyba
2017.12.30
Konkuruoti su „Amazon“ – įmanoma 1

Norintys įsitvirtinti elektroninėje erdvėje pirmiausia turėtų pasižvalgyti po amazon.com, nes būtent čia...

Geriausi pardavėjai tie, kurie perka Premium

Verslo sėkmė iš dalies priklauso nuo gerų pardavėjų, tik jų rasti nėra paprasta. Smulkiųjų verslininkų...

Mano verslas
2017.12.29
Verslas visuomenei ar atvirkščiai: kaip atrasti lūkesčių balansą? 4

Kitais metais švęsime Lietuvos valstybės atkūrimo šimtmetį, o dar po kelerių metų pradėsime skaičiuoti...

Vadyba
2017.12.29
Kas mokėjo didžiausias algas lapkritį 4

Paskelbti duomenys su Lietuvos bendrovių vidutinėmis lapkričio mėn. algomis. Skelbiame didžiausius vidutinius...

Vadyba
2017.12.28
„Apple“ vadovo premija už 2017 m. išaugo 74% 1

Timas Cookas, JAV technologijų bendrovės „Apple“ vadovas, už praėjusius finansinius metus gavo 74% didesnę...

Vadyba
2017.12.28
Paprastas būdas pardavimams padvigubinti Premium

Neretai įmonės klientams, kurių nepažįsta, taiko išankstinį apmokėjimą. Nors taip ir galima apsidrausti nuo...

Rinkodara
2017.12.28
VDI įspėja: nelegalių darbuotojų iš užsienio daugės 2

Valstybinė dabo inspekcija (VDI) prognozuoja, kad nelegaliai dirbančių užsienio piliečių bei prekybos...

Vadyba
2017.12.28
Lietuvos MMA kitais metais ES šalių sąraše kris žemyn 26

Lietuvos minimali alga tiek eurais, tiek pagal perkamosios galios standartą velkasi ES uodegoje, o kitais...

Vadyba
2017.12.28
„McDonald‘s“ gręžiasi į veganus 1

Greitojo maisto restoranų tinklas „McDonald‘s“ į valgiaraščius Suomijoje ir Švedijoje įtraukia veganiškus...

Vadyba
2017.12.28
Šachmatų čempionė nedalyvaus turnyre Saudo Arabijoje dėl pažeidinėjamų moterų teisių 1

Ukrainietė Ana Muzyčuk, dukart pasaulio greitųjų šachmatų čempionė, nusprendė nedalyvauti Saudo Arabijoje...

Vadyba
2017.12.27
2018 m. tendencijos: taikiklyje – mūšis dėl talentų Premium 2

Kova dėl darbuotojų bus dar aštresnė, o lyderiams teks ieškoti naujų veiksmingų ginklų, norint prisivilioti...

Verslo klasė
2017.12.27
TOP20: didžiausių darbdavių vidutinės algos lapkritį 3

„Sodra“ paskelbė lapkričio mėnesį Lietuvos bendrovių mokėtas vidutines algas. VŽ pateikia 20-ies didžiausių...

Vadyba
2017.12.27
Maži sprendimai, kurie padeda dirbti efektyviau

Dėmesys, darbo įprasminimas, mažiau taisyklių – tokie paprasti dalykai nedaug kainuoja ir padeda pakelti tiek...

Vadyba
2017.12.27
Vadovas turi išmokti galvoti kaip kiti Premium

Spalio „Verslo klasėje“ rašiau apie svarbiausią vadovų darbą – sprendimų priėmimą. O šį kartą pakalbėkime...

Verslo klasė
2017.12.26
Kuriuose miestuose renkasi gyventi turtingi žmonės 5

Itin turtingi žmonės noriai investuoja pinigus į nekilnojamąjį turtą. Išnagrinėjus duomenis, paaiškėjo, kad...

Vadyba
2017.12.26
Kokių specialistų ieško įmonės ir kokias klaidas daro kandidatai

Norint atsirinkti darbuotojus, sukuriančius daugiausia vertės, įmonėms reikia rasti būdą, kaip tinkamai...

Vadyba
2017.12.25
Tetampa NE naujuoju TAIP  Premium 1

Net jei visi keliai vestų į Romą, kai jūsų protas neapsisprendęs, nuolat besiblaškantis ir nesusikaupęs,...

Verslo klasė
2017.12.24
ES sezoniniai darbuotojai rečiau renkasi Jungtinę Karalystę

„Brexit“ kelia sunkumų Jungtinės Karalystės (JK) darbdaviams, nes į šalį vis mažiau nori atvykti ES...

Vadyba
2017.12.24

Verslo žinių pasiūlymai

Pažintinis žurnalas

Pažintinis žurnalas

Tiems, kas brangina savo laisvalaikį ir domisi rytojumi

Nepamirštamos kelionės laiku

Nepamirštamos kelionės laiku

Kas mėnesį laukia nauji įspūdžiai ir netikėti atradimai

NEMOKAMI specializuoti savaitraščiai

NEMOKAMI specializuoti savaitraščiai

Nepraleiskite savo srities naujienų

„Verslo žinių“ akademija

„Verslo žinių“ akademija

Išsamūs praktiniai mokymai ne didesnėse nei 14 dalyvių grupėse

Siekdami pagerinti Jūsų naršymo kokybę, statistiniais ir rinkodaros tikslais šioje svetainėje naudojame slapukus (angl. „cookies“), kuriuos galite bet kada atšaukti.
Sutinku Plačiau