Kas tai? Eksperto įžvalgos

Duomenų apsaugos pareigūnas – viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių

Publikuota: 2017-10-02

Viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių yra pareiga paskirti duomenų apsaugos pareigūną. Tai turės padaryti tam tikrus kriterijus atitinkantys asmens duomenų valdytojai ir tvarkytojai. Ši pareiga bus taikoma nuo Reglamento įsigaliojimo dienos.

Paskirti duomenų apsaugos pareigūną (angl. Data Protection Officer (toliau – DPO)) privalės tiek duomenų valdytojai ir tvarkytojai ūkio subjektai, tiek valstybinės valdžios institucijos. Už pareigos nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos, todėl iki 2018 m. gegužės 25 d. likus nebedaug laiko duomenų valdytojai ir tvarkytojai turėtų suskubti aktyviai domėtis šiuo klausimu ir įsivertinti, ar naujasis reikalavimas bus taikomas ir jiems.

Reglamentas DPO priskiria gana svarbų vaidmenį visoje duomenų valdymo sistemoje ir suteikia daug funkcijų bei plačius įgaliojimus, turėsiančius užtikrinti, kad DPO padės duomenų valdytojams ir tvarkytojams tinkamai įgyvendinti duomenų apsaugos reikalavimus savo įmonės, įstaigos ar organizacijos veikloje, taip pat užtikrinsiančius, kad DPO veiktų kaip tam tikras tarpininkas minėtoje duomenų valdymo sistemoje tarp duomenų subjektų, įvairių savo įmonės, organizacijos ar įstaigos padalinių ir priežiūros institucijos.

Reglamentas numato, kad DPO privalės paskirti tie valdytojai ir tvarkytojai ūkio subjektai, kurių veikla atitinka visus tris žemiau nurodytus kriterijus:

  • Pagrindinė duomenų valdytojo arba tvarkytojo veikla yra asmens duomenų tvarkymo operacijos.
  • Tokių duomenų tvarkymo operacijų metu duomenų subjektai yra reguliariai ir sistemingai stebimi.
  • Minėtasis duomenų subjektų stebėjimas vykdomas dideliu mastu.

Pareiga paskirti DPO taip pat keliama duomenis tvarkančioms valdžios institucijoms arba įstaigoms, bei duomenų valdytojams arba tvarkytojams, kurių pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu, taip pat asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Kalbant apie ūkio subjektus, pirmasis kriterijus yra bene lengviausiai suprantamas, kiti du – kol nėra realios reguliavimo įgyvendinimo praktikos - interpretuojami kiek kebliau. Dėl šių kriterijų sampratos nekonkretumo duomenų valdytojams ir tvarkytojams, siekiantiems savarankiškai įsivertinti savo veiklą, gali kilti klausimų, ar jie teisingai pritaikė nustatytus kriterijus savo veiklai. Todėl rekomenduojama, kad duomenų valdytojai ir tvarkytojai ne tik atliktų išsamią analizę ir įvertintų, ar jų veikla atitinka minėtuosius kriterijus, bet ir šios analizės rezultatus įtvirtintų raštu bei išsaugotų su kitais įmonės, įstaigos, organizacijos dokumentais. Tokio dokumentavimo tikslas – galimybė duomenų valdytojams ir tvarkytojams, esant reikalui ir užtikrinant atskaitomybės principo įgyvendinimą, priežiūros institucijai parodyti visos analizės eigą ir padarytas išvadas.

Taigi pirmasis kriterijus – „pagrindinėveikla“, kurios metu yra atliekamos asmens duomenų tvarkymo operacijos, yra suprantama kaip veikla, kurią duomenų valdytojas ar tvarkytojas vykdo, siekdamas savo tikslų, įskaitant tokią veiklą, kurios metu atliekamos duomenų tvarkymo operacijos yra glaudžiai susijusios su jo svarbiausia veikla ir atitinkamai yra nesusijusios su asmens duomenų tvarkymu kaip papildoma veikla.

Tipiškiausias pavyzdys - gydymo įstaigų teikiamos sveikatos paslaugos, kurių metu gydymo įstaigos tvarko pacientų sveikatos duomenis. Akivaizdu, kad sveikatos paslaugų teikimas yra laikytina pagrindine gydymo įstaigų veikla, nes jos negalėtų teikti sveikatos paslaugų, jeigu negalėtų tvarkyti asmens duomenų. Taigi tokios įstaigos privalės paskirti DPO.

Kitas pavyzdys - saugos tarnybos paslaugas teikiančios bendrovės veikla, susijusi su prekybos centrų ir kitų viešų vietų vaizdo stebėjimu. Vėlgi, vaizdo duomenų tvarkymas yra pagrindinė tokios tarnybos veikla, neatlikdama šių duomenų tvarkymo operacijų, saugos tarnyba negalėtų įgyvendinti savo veikloje siekiamų tikslų ir teikti apsaugos paslaugų. Todėl ir šiuo atveju bendrovė turės paskirti DPO.

Tačiau jeigu patalpas vaizdo kameromis stebi ūkio subjektas, kuris tose patalpose vykdo prekybinę veiklą, ir vaizdą stebėti jam būtina tik turto apsaugos tikslais, toks vaizdo duomenų tvarkymas bus laikomas papildoma veikla. Pastaroji gali būti labai reikalinga ir svarbi vykdant pagrindinę veiklą, tačiau visgi laikoma tik antrine. Tokiu atveju paskirti DPO nebus privaloma.

Antrasis kriterijus „reguliarus ir sistemingas duomenų subjektų stebėjimas“ turi būti suprantamas kaip toks, kurio metu duomenų subjektas nuolat arba pasikartojančiais intervalais (reguliariai) yra stebimas bet kuriuo būdu, įskaitant profiliavimą internete ir vartotojų elgsena grįstos reklamos siūlymą (angl. behavioural advertising). Tačiau toks stebėjimas turi būti ne šiaip atsitiktinis, o organizuotas ir metodiškas, t. y. turintis sistemą. Paprasčiausias reguliaraus ir sistemingo stebėjimo pavyzdys yra įvairių programėlių, sekančių mūsų valgymo įpročius, skaičiuojančių mūsų pajamas ir išlaidas, ar rekomenduojančių mums fizinės veiklos režimą, naudojimas. Reguliariu ir sistemingu stebėjimas nebūtų laikomas, jei, pavyzdžiui, prekybos centre naujos parduotuvės atidarymo proga užpildytumėte anketą apie savo apsipirkimo įpročius.

Trečiasis kriterijus „dideliu mastu“reiškia, kad reguliariai ir sistemingai atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama „regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų ir kurios galėtų daryti poveikį daugeliui duomenų subjektų“. Šį kriterijų bene sudėtingiausia įvertinti, taigi, kol jis nebus patikrintas ir įgyvendintas daugelyje praktinių situacijų, duomenų valdytojams ir tvarkytojams rekomenduojama atsižvelgti į tokius faktorius: koks duomenų subjektų skaičius yra stebimas, koks duomenų kiekis yra apdorojamas (ypač, jei apdorojama daug skirtingų duomenų), koks yra tokių operacijų geografinis paplitimas (rajonas, miestas, kt.) ar kokia yra šių operacijų trukmė.

Vėlgi tipiniai didelio masto pavyzdžiai yra gydymo įstaigų atliekamas pacientų duomenų tvarkymas, taip pat telekomunikacijų ir interneto paslaugų tiekėjų vykdomas klientų duomenų tvarkymas, įskaitant vietos nustatymo, turinio duomenų ir kt. tvarkymą.

Duomenų valdytojas ar tvarkytojas, arba ir vienas, ir kitas, atitinkantys anksčiau aptartus kriterijus, privalės paskirti po DPO (arba vieną bendrą DPO).

Tačiau, kas yra tas DPO, kokios jo funkcijos, statusas, kokie reikalavimai keliami į tokią poziciją pretenduojančiam asmeniui?

DPO gali būti tiek duomenų valdytojo arba tvarkytojo vidaus darbuotojas, tiek samdomas pagal paslaugų teikimo sutartį fizinis ar juridinis asmuo.

Reglamentas numato, kad DPO paskiriamas remiantis profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti Reglamente DPO priskirtas užduotis. Kiekvienas valdytojas (tvarkytojas) atsižvelgia į savo atliekamų operacijų su duomenimis sudėtingumą, apdorojamų duomenų rūšį, sektorių, kuriame vykdo veiklą, įmonės, įstaigos, organizacijos dydį ir struktūrą, ir pasirenka tokių gebėjimų ir patirties DPO, kuris geriausiai užtikrintų užduočių įgyvendinimą.

DPO keliamos užduotys yra susijusios su jau anksčiau aptartu DPO vaidmeniu visoje duomenų valdymo sistemoje: DPO stebi valdytojų (tvarkytojų) veiklą, informuoja apie jų pareigas, konsultuoja ir apmoko darbuotojus, konsultuoja valdytoją (tvarkytoją) dėl poveikio duomenų apsaugai vertinimo atlikimo, komunikuoja su duomenų subjektais bei bendradarbiauja su priežiūros institucija. Reglamentas reikalauja, kad duomenų valdytojas ir tvarkytojas užtikrintų, jog DPO būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

„Tinkamai“reiškia, kad DPO turi dalyvauti valdytojo (tvarkytojo) aukščiausių vadovų, taip pat atitinkamų padalinių vadovų susitikimuose, kuriuose sprendžiami su duomenų tvarkymu susiję klausimai; taip pat tai, kad į DPO nuomonę privaloma atsižvelgti ir vykdyti teikiamus pasiūlymus, ir kt.

„Laiku“ reiškia, kad DPO turi būti įtraukiamas į visų su duomenų tvarkymu įmonėje, įstaigoje, organizacijoje susijusių klausimų sprendimą kuo anksčiau ir greičiau, kai tik tai įmanoma padaryti. Pavyzdžiui, bendrovė planuoja plėsti veiklą, kurioje neišvengiamai reikės tvarkyti didesnį asmens duomenų kiekį. Tokiu atveju rekomenduojama įtraukti DPO jau į pradinę, verslo plėtros planavimo, stadiją, siekiant kuo geriau užtikrinti duomenų tvarkymą nustatančių taisyklių įgyvendinimą užbaigus tokią verslo plėtrą.

Pažymėtina, kad bene svarbiausia valdytojo (tvarkytojo) DPO suteikiama garantija yra autonomija ir nepriklausomumas. Turi būti užtikrinama, jog DPO negautų jokių nurodymų dėl savo užduočių vykdymo ir jam nebūtų daroma įtaka, siekiant apeiti duomenų tvarkymą nustatančius reikalavimus. Taip pat reguliavimas nustato, kad duomenų valdytojas (tvarkytojas) negali DPO atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Tačiau, kaip įprasta, jeigu DPO netinkamai atliks savo pareigas ar nevykdys sutarties, valdytojas (tvarkytojas) galės atleisti ar nutraukti sutartį su DPO, tačiau tik įsitikinęs, kad DPO atleidžiamas ar sutartis nutraukiama ne dėl DPO pareigų vykdymo.

Kiekvienas valdytojas (tvarkytojas) turi įsidėmėti, kad DPO nebus laikomi asmeniškai atsakingais už Reglamento pažeidimą ir jiems nebus taikomos Reglamente numatytos sankcijos, jeigu duomenų valdytojai ar tvarkytojai pažeis Reglamento reikalavimus. Jų laikymasis yra išimtinai duomenų valdytojų ir tvarkytojų pareiga, kurios įgyvendinimą jie ir privalo užtikrinti.

DPO turi turėti galimybę nevaržomai įgyvendinti jam keliamus tikslus ir užduotis, todėl valdytojas (tvarkytojas) privalo užtikrinti DPO būtinus resursus, įskaitant darbo vietą, darbuotojus (jei reikia), taip pat galimybę tiesiogiai ir netrukdomai komunikuoti ir bendradarbiauti su kitais įmonės, įstaigos, organizacijos padaliniais, pavyzdžiui, IT, teisės, finansų, personalo ir kt.

Tam, kad tiek duomenų subjektai, tiek priežiūros institucija turėtų galimybę tiesiogiai ir operatyviai susisiekti su DPO, pavyzdžiui, įvykus duomenų saugumo pažeidimui (duomenų praradimo, atskleidimo, sunaikinimo, kitiems incidentams), valdytojas (tvarkytojas) privalo nedelsiant apie DPO paskyrimą informuoti priežiūros instituciją ir pateikti jai DPO kontaktus, taip pat paskelbti juos viešai (savo interneto svetainėje, socialinio tinklo paskyroje ir kt.).

Taigi naujasis reguliavimas, nustatydamas šią naują pareigą, ūkio subjektams iš tiesų padidina bendrą administracinę naštą, o atsižvelgiant į Reglamente nustatytus DPO skyrimo kriterijus ir remiantis šių kriterijų išaiškinimu, manytina, kad pareiga paskirti DPO teks daugeliui Lietuvos ūkio subjektų.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Patvirtinti BDAR reikalavimus įdiegiantys Lietuvos įstatymai

Nors jau prieš daugiau kaip mėnesį visoje Europos Sąjungoje įsigaliojo naujus reikalavimus duomenų apsaugos...

Verslo aplinka
2018.06.30
Geidžiamiausi darbdaviai: kurių algų medianos didžiausios

„Sodros“ skelbiami vieši algų duomenys leidžia pasidairyti po geidžiamiausių šių metų darbdavių mokamą darbo...

Vadyba
2018.06.30
Moterys prie vairo – galimybė kelti ekonomiką 1

Saudo Arabijoje šią savaitę buvo panaikintas paskutinis pasaulyje galiojęs draudimas vairuoti moterims. Taip...

Verslo aplinka
2018.06.30
Verslininkės – tarp 100 Lietuvos moterų, kuriomis didžiuojasi viso pasaulio lietuviai 8

Atskleistas Lietuvos valstybės atkūrimo šimtmečio proga sudarytas šimtukas – jame verslo lyderės Lietuvoje,...

Vadyba
2018.06.29
Seimo sprendimas prijungti Sporto universitetą prie LSMU prieštarauja Konstitucijai 4

Seimo sprendimas prijungti Lietuvos sporto universitetą (LSU) prie Lietuvos sveikatos mokslų universiteto...

Vadyba
2018.06.29
Lietuviai kurs prototipą, leisiantį stresą valdyti virtualioje realybėje 1

UAB „Žmogaus studijų centras“ kurs prototipą, leisiantį stresą valdyti virtualioje realybėje.

Vadyba
2018.06.28
Kaip įmonėje išlaikyti aukščiausio lygio vadovą Premium 1

Rasti kompetentingą vadovą ypač mažose rinkose – sudėtinga, todėl įmonėms apsimoka pačioms investuoti į...

Vadyba
2018.06.28
Kokios valstybės labiausiai traukia talentus 2

Dar niekada taip darbuotojų iš užsienio nemasino Vokietija, o Didžioji Britanija praranda savo anksčiau...

Vadyba
2018.06.27
Sudarytas pasaulio turistų sąrašas, lietuviai – prie labiausiai nepatekintų 1

Rusai yra laimingiausi turistai pasaulyje, o ispanai – pikčiausi. Į sudarytą turistų reitingą pateko ir...

Vadyba
2018.06.27
Užsieniečiai po studijų Lietuvoje galės likti metams 1

Seimas vienbalsiai nubalsavo už tai, kad Lietuvoje studijuojantys ar mokslinius tyrimus atliekantys trečiųjų...

Vadyba
2018.06.27
Lemiamas futbolo mūšis su Pietų Korėja Vokietijai kainuos šimtus milijonų 5

Trečiadienį Vokietijos rinktinė susikaus su Pietų Korėja svarbiame mūšyje, kurio kaina – ne tik bilietas į...

Vadyba
2018.06.27
Verslo pradžia: kada pirkti veikiančią įmonę naudingiau nei kurti patiems Premium

Tie, kurie įsigyja dirbančią įmonę, išvengia verslo kūrimo klaidų ir gali pradėti dirbti iš karto. Vis dėlto...

Vadyba
2018.06.26
Ligoninė apsisprendė: gydytojų algas kelia iki 3.000 Eur, slaugytojoms mokės 1.000 23

Respublikinė Vilniaus psichiatrijos ligoninė praneša kelianti algas. Pasak ligoninės vadovo, gydytojo...

Didžiausių Lietuvos darbdavių algų medianos gegužę 5

Papildomai viešinami „Sodros“ duomenys leidžia atidžiau pažiūrėti, kokios algos vyrauja 20-yje didžiausių...

Vadyba
2018.06.26
TOP 20 įmonių didžiausi atlyginimai gegužę: vidurkiai ir medianos 12

Jau antrą mėnesį „Sodra“ viešina daugiau duomenų apie Lietuvos įmonių mokamus atlyginimus. Šie duomenys...

Vadyba
2018.06.25
„Tiffany & Co.“ rado būdų, kaip priversti Y kartą pamėgti prabangą ir deimantus Premium 1

Prabangių juvelyrinių dirbinių JAV mažmenininkė „Tiffany & Co.“ suprato, kad senoji prekių ženklo legenda,...

Vadyba
2018.06.25
Panevėžio statybos trestas išsirinko valdybos pirmininką

AB Panevėžio statybos trestas (PST) valdybos pirmininku išrinko Remigijų Juodviršį, kuris valdybai vadovavo...

Vadyba
2018.06.25
Japonas gavo baudą, nes pietų pertrauką pradėjo trimis minutėmis anksčiau

Japonijoje valstybės tarnautojas buvo nubaustas už tai, kad nuolatos kelias minutes prieš prasidedant...

Vadyba
2018.06.25
Mentorius sutaupo 5 metus ieškojimų ir išlaidų, bet gali ir supykdyti Premium

Kai jauni verslininkai bando stotis ant kojų ar sėkmės atveju siekia suvaldyti neplanuotą augimą, retas...

Vadyba
2018.06.25
Lietuvos verslo lyderiai vienui vieni į kovą nebeina Premium 4

Kasmet VŽ analitikai nagrinėja didžiausių šalies bendrovių tūkstantuką: skaičiuoja, kas džiaugėsi didžiausia...

Vadyba
2018.06.24

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau