Kas tai? Eksperto įžvalgos

Duomenų apsaugos pareigūnas – viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių

Publikuota: 2017-10-02 10:30

Viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių yra pareiga paskirti duomenų apsaugos pareigūną. Tai turės padaryti tam tikrus kriterijus atitinkantys asmens duomenų valdytojai ir tvarkytojai. Ši pareiga bus taikoma nuo Reglamento įsigaliojimo dienos.

Paskirti duomenų apsaugos pareigūną (angl. Data Protection Officer (toliau – DPO)) privalės tiek duomenų valdytojai ir tvarkytojai ūkio subjektai, tiek valstybinės valdžios institucijos. Už pareigos nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos, todėl iki 2018 m. gegužės 25 d. likus nebedaug laiko duomenų valdytojai ir tvarkytojai turėtų suskubti aktyviai domėtis šiuo klausimu ir įsivertinti, ar naujasis reikalavimas bus taikomas ir jiems.

Reglamentas DPO priskiria gana svarbų vaidmenį visoje duomenų valdymo sistemoje ir suteikia daug funkcijų bei plačius įgaliojimus, turėsiančius užtikrinti, kad DPO padės duomenų valdytojams ir tvarkytojams tinkamai įgyvendinti duomenų apsaugos reikalavimus savo įmonės, įstaigos ar organizacijos veikloje, taip pat užtikrinsiančius, kad DPO veiktų kaip tam tikras tarpininkas minėtoje duomenų valdymo sistemoje tarp duomenų subjektų, įvairių savo įmonės, organizacijos ar įstaigos padalinių ir priežiūros institucijos.

Reglamentas numato, kad DPO privalės paskirti tie valdytojai ir tvarkytojai ūkio subjektai, kurių veikla atitinka visus tris žemiau nurodytus kriterijus:

  • Pagrindinė duomenų valdytojo arba tvarkytojo veikla yra asmens duomenų tvarkymo operacijos.
  • Tokių duomenų tvarkymo operacijų metu duomenų subjektai yra reguliariai ir sistemingai stebimi.
  • Minėtasis duomenų subjektų stebėjimas vykdomas dideliu mastu.

Pareiga paskirti DPO taip pat keliama duomenis tvarkančioms valdžios institucijoms arba įstaigoms, bei duomenų valdytojams arba tvarkytojams, kurių pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu, taip pat asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Kalbant apie ūkio subjektus, pirmasis kriterijus yra bene lengviausiai suprantamas, kiti du – kol nėra realios reguliavimo įgyvendinimo praktikos - interpretuojami kiek kebliau. Dėl šių kriterijų sampratos nekonkretumo duomenų valdytojams ir tvarkytojams, siekiantiems savarankiškai įsivertinti savo veiklą, gali kilti klausimų, ar jie teisingai pritaikė nustatytus kriterijus savo veiklai. Todėl rekomenduojama, kad duomenų valdytojai ir tvarkytojai ne tik atliktų išsamią analizę ir įvertintų, ar jų veikla atitinka minėtuosius kriterijus, bet ir šios analizės rezultatus įtvirtintų raštu bei išsaugotų su kitais įmonės, įstaigos, organizacijos dokumentais. Tokio dokumentavimo tikslas – galimybė duomenų valdytojams ir tvarkytojams, esant reikalui ir užtikrinant atskaitomybės principo įgyvendinimą, priežiūros institucijai parodyti visos analizės eigą ir padarytas išvadas.

Taigi pirmasis kriterijus – „pagrindinėveikla“, kurios metu yra atliekamos asmens duomenų tvarkymo operacijos, yra suprantama kaip veikla, kurią duomenų valdytojas ar tvarkytojas vykdo, siekdamas savo tikslų, įskaitant tokią veiklą, kurios metu atliekamos duomenų tvarkymo operacijos yra glaudžiai susijusios su jo svarbiausia veikla ir atitinkamai yra nesusijusios su asmens duomenų tvarkymu kaip papildoma veikla.

Tipiškiausias pavyzdys - gydymo įstaigų teikiamos sveikatos paslaugos, kurių metu gydymo įstaigos tvarko pacientų sveikatos duomenis. Akivaizdu, kad sveikatos paslaugų teikimas yra laikytina pagrindine gydymo įstaigų veikla, nes jos negalėtų teikti sveikatos paslaugų, jeigu negalėtų tvarkyti asmens duomenų. Taigi tokios įstaigos privalės paskirti DPO.

Kitas pavyzdys - saugos tarnybos paslaugas teikiančios bendrovės veikla, susijusi su prekybos centrų ir kitų viešų vietų vaizdo stebėjimu. Vėlgi, vaizdo duomenų tvarkymas yra pagrindinė tokios tarnybos veikla, neatlikdama šių duomenų tvarkymo operacijų, saugos tarnyba negalėtų įgyvendinti savo veikloje siekiamų tikslų ir teikti apsaugos paslaugų. Todėl ir šiuo atveju bendrovė turės paskirti DPO.

Tačiau jeigu patalpas vaizdo kameromis stebi ūkio subjektas, kuris tose patalpose vykdo prekybinę veiklą, ir vaizdą stebėti jam būtina tik turto apsaugos tikslais, toks vaizdo duomenų tvarkymas bus laikomas papildoma veikla. Pastaroji gali būti labai reikalinga ir svarbi vykdant pagrindinę veiklą, tačiau visgi laikoma tik antrine. Tokiu atveju paskirti DPO nebus privaloma.

Antrasis kriterijus „reguliarus ir sistemingas duomenų subjektų stebėjimas“ turi būti suprantamas kaip toks, kurio metu duomenų subjektas nuolat arba pasikartojančiais intervalais (reguliariai) yra stebimas bet kuriuo būdu, įskaitant profiliavimą internete ir vartotojų elgsena grįstos reklamos siūlymą (angl. behavioural advertising). Tačiau toks stebėjimas turi būti ne šiaip atsitiktinis, o organizuotas ir metodiškas, t. y. turintis sistemą. Paprasčiausias reguliaraus ir sistemingo stebėjimo pavyzdys yra įvairių programėlių, sekančių mūsų valgymo įpročius, skaičiuojančių mūsų pajamas ir išlaidas, ar rekomenduojančių mums fizinės veiklos režimą, naudojimas. Reguliariu ir sistemingu stebėjimas nebūtų laikomas, jei, pavyzdžiui, prekybos centre naujos parduotuvės atidarymo proga užpildytumėte anketą apie savo apsipirkimo įpročius.

Trečiasis kriterijus „dideliu mastu“reiškia, kad reguliariai ir sistemingai atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama „regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų ir kurios galėtų daryti poveikį daugeliui duomenų subjektų“. Šį kriterijų bene sudėtingiausia įvertinti, taigi, kol jis nebus patikrintas ir įgyvendintas daugelyje praktinių situacijų, duomenų valdytojams ir tvarkytojams rekomenduojama atsižvelgti į tokius faktorius: koks duomenų subjektų skaičius yra stebimas, koks duomenų kiekis yra apdorojamas (ypač, jei apdorojama daug skirtingų duomenų), koks yra tokių operacijų geografinis paplitimas (rajonas, miestas, kt.) ar kokia yra šių operacijų trukmė.

Vėlgi tipiniai didelio masto pavyzdžiai yra gydymo įstaigų atliekamas pacientų duomenų tvarkymas, taip pat telekomunikacijų ir interneto paslaugų tiekėjų vykdomas klientų duomenų tvarkymas, įskaitant vietos nustatymo, turinio duomenų ir kt. tvarkymą.

Duomenų valdytojas ar tvarkytojas, arba ir vienas, ir kitas, atitinkantys anksčiau aptartus kriterijus, privalės paskirti po DPO (arba vieną bendrą DPO).

Tačiau, kas yra tas DPO, kokios jo funkcijos, statusas, kokie reikalavimai keliami į tokią poziciją pretenduojančiam asmeniui?

DPO gali būti tiek duomenų valdytojo arba tvarkytojo vidaus darbuotojas, tiek samdomas pagal paslaugų teikimo sutartį fizinis ar juridinis asmuo.

Reglamentas numato, kad DPO paskiriamas remiantis profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti Reglamente DPO priskirtas užduotis. Kiekvienas valdytojas (tvarkytojas) atsižvelgia į savo atliekamų operacijų su duomenimis sudėtingumą, apdorojamų duomenų rūšį, sektorių, kuriame vykdo veiklą, įmonės, įstaigos, organizacijos dydį ir struktūrą, ir pasirenka tokių gebėjimų ir patirties DPO, kuris geriausiai užtikrintų užduočių įgyvendinimą.

DPO keliamos užduotys yra susijusios su jau anksčiau aptartu DPO vaidmeniu visoje duomenų valdymo sistemoje: DPO stebi valdytojų (tvarkytojų) veiklą, informuoja apie jų pareigas, konsultuoja ir apmoko darbuotojus, konsultuoja valdytoją (tvarkytoją) dėl poveikio duomenų apsaugai vertinimo atlikimo, komunikuoja su duomenų subjektais bei bendradarbiauja su priežiūros institucija. Reglamentas reikalauja, kad duomenų valdytojas ir tvarkytojas užtikrintų, jog DPO būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

„Tinkamai“reiškia, kad DPO turi dalyvauti valdytojo (tvarkytojo) aukščiausių vadovų, taip pat atitinkamų padalinių vadovų susitikimuose, kuriuose sprendžiami su duomenų tvarkymu susiję klausimai; taip pat tai, kad į DPO nuomonę privaloma atsižvelgti ir vykdyti teikiamus pasiūlymus, ir kt.

„Laiku“ reiškia, kad DPO turi būti įtraukiamas į visų su duomenų tvarkymu įmonėje, įstaigoje, organizacijoje susijusių klausimų sprendimą kuo anksčiau ir greičiau, kai tik tai įmanoma padaryti. Pavyzdžiui, bendrovė planuoja plėsti veiklą, kurioje neišvengiamai reikės tvarkyti didesnį asmens duomenų kiekį. Tokiu atveju rekomenduojama įtraukti DPO jau į pradinę, verslo plėtros planavimo, stadiją, siekiant kuo geriau užtikrinti duomenų tvarkymą nustatančių taisyklių įgyvendinimą užbaigus tokią verslo plėtrą.

Pažymėtina, kad bene svarbiausia valdytojo (tvarkytojo) DPO suteikiama garantija yra autonomija ir nepriklausomumas. Turi būti užtikrinama, jog DPO negautų jokių nurodymų dėl savo užduočių vykdymo ir jam nebūtų daroma įtaka, siekiant apeiti duomenų tvarkymą nustatančius reikalavimus. Taip pat reguliavimas nustato, kad duomenų valdytojas (tvarkytojas) negali DPO atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Tačiau, kaip įprasta, jeigu DPO netinkamai atliks savo pareigas ar nevykdys sutarties, valdytojas (tvarkytojas) galės atleisti ar nutraukti sutartį su DPO, tačiau tik įsitikinęs, kad DPO atleidžiamas ar sutartis nutraukiama ne dėl DPO pareigų vykdymo.

Kiekvienas valdytojas (tvarkytojas) turi įsidėmėti, kad DPO nebus laikomi asmeniškai atsakingais už Reglamento pažeidimą ir jiems nebus taikomos Reglamente numatytos sankcijos, jeigu duomenų valdytojai ar tvarkytojai pažeis Reglamento reikalavimus. Jų laikymasis yra išimtinai duomenų valdytojų ir tvarkytojų pareiga, kurios įgyvendinimą jie ir privalo užtikrinti.

DPO turi turėti galimybę nevaržomai įgyvendinti jam keliamus tikslus ir užduotis, todėl valdytojas (tvarkytojas) privalo užtikrinti DPO būtinus resursus, įskaitant darbo vietą, darbuotojus (jei reikia), taip pat galimybę tiesiogiai ir netrukdomai komunikuoti ir bendradarbiauti su kitais įmonės, įstaigos, organizacijos padaliniais, pavyzdžiui, IT, teisės, finansų, personalo ir kt.

Tam, kad tiek duomenų subjektai, tiek priežiūros institucija turėtų galimybę tiesiogiai ir operatyviai susisiekti su DPO, pavyzdžiui, įvykus duomenų saugumo pažeidimui (duomenų praradimo, atskleidimo, sunaikinimo, kitiems incidentams), valdytojas (tvarkytojas) privalo nedelsiant apie DPO paskyrimą informuoti priežiūros instituciją ir pateikti jai DPO kontaktus, taip pat paskelbti juos viešai (savo interneto svetainėje, socialinio tinklo paskyroje ir kt.).

Taigi naujasis reguliavimas, nustatydamas šią naują pareigą, ūkio subjektams iš tiesų padidina bendrą administracinę naštą, o atsižvelgiant į Reglamente nustatytus DPO skyrimo kriterijus ir remiantis šių kriterijų išaiškinimu, manytina, kad pareiga paskirti DPO teks daugeliui Lietuvos ūkio subjektų.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 

Verslo žinių pasiūlymai

Nepamirštamos kelionės laiku

Nepamirštamos kelionės laiku

Kas mėnesį laukia nauji įspūdžiai ir netikėti atradimai

Smalsiems, protingiems, norintiems suprasti

Smalsiems, protingiems, norintiems suprasti

Tiems, kurie niekada nenustoja mokytis

NEMOKAMI specializuoti savaitraščiai

NEMOKAMI specializuoti savaitraščiai

Nepraleiskite savo srities naujienų

Pažintinis žurnalas

Pažintinis žurnalas

Tiems, kas brangina savo laisvalaikį ir domisi rytojumi

Siekdami pagerinti Jūsų naršymo kokybę, statistiniais ir rinkodaros tikslais šioje svetainėje naudojame slapukus (angl. „cookies“), kuriuos galite bet kada atšaukti.
Sutinku Plačiau