Reikalavimai sutartims tarp duomenų valdytojų ir tvarkytojų pagal ES Bendrąjį duomenų apsaugos reglamentą
Be kitų naujovių, nuo 2018 m. gegužės 25 dienos pradedamas taikyti ES Bendrasis duomenų apsaugos reglamentas (BDAR) nustato ne vien rašytinę sutartį tarp duomenų tvarkytojo ir valdytojo kaip bendrąjį reikalavimą, bet ir reikšmingai išplėtoja pareigų, kurias turi prisiimti duomenų tvarkytojas, sąrašą. Jau nebepakaks bendresnio poreikio įsipareigojimų laikytis asmens duomenų apsaugą reglamentuojančių teisės aktų, užtikrinti duomenų saugumą ir veikti tik pagal duomenų valdytojo nurodymus, į sutartį privalės būti įtrauktos papildomos sąlygos. Jos skirtos užtikrinti, kad tvarkymas atitiks visus BDAR keliamus reikalavimus, ne vien užtikrins duomenų saugumą. Privalomus duomenų tvarkymo sutarties elementus galima suskirstyti į dvi kategorijas: informacija, kurią būtina pateikti sutartyje, ir privalomos sutarties sąlygos (įpareigojimai duomenų tvarkytojui). Žemiau trumpai aptariamos abi šios kategorijos.
Privaloma pateikti informacija:
1. Duomenų tvarkymo dalykas ir trukmė; 2. Duomenų tvarkymo pobūdis ir tikslai. 3. Duomenų rūšys ir duomenų subjektų kategorijos; 4. Duomenų valdytojo teisės ir pareigos.
Duomenų tvarkytojui iš sutarties turėtų būti aišku, ką šis turėtų daryti su perduodamais duomenimis, neturėtų būti naudojamos bendro pobūdžio nuostatos.
Privalomos sutarties sąlygos:
1. Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius valdytojo nurodymus. Tai labai svarbu dėl to, kad BDAR duomenų tvarkytoją traktuos kaip duomenų valdytoją tada, jei šis nustatys duomenų tvarkymo tikslus ir priemones nesilaikydamas duomenų valdytojo nurodymų su visomis iš to išplaukiančiomis pareigomis. Sutartyje rekomenduotina nustatyti, kas bus laikoma duomenų valdytojo nurodymu, ar valdytojo priimtos politikos, ar ir el. laiškai su nurodymais, nustatyti teisę duoti nurodymus turintys asmenys. Būtina pabrėžti, kad duomenų tvarkytojas vis vien pasilieka teisę priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia duomenų tvarkymo tikslų. 2. Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus. 3. Tinkamų duomenų tvarkymo saugumo priemonių užtikrinimas. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį duomenų pobūdį ir su jais siejamos grėsmės lygį. BDAR 32 straipsnis kaip tokių priemonių pavyzdžius nurodo pseudonimų suteikimą, šifravimą, duomenų tvarkymo sistemų bei paslaugų konfidencialumo užtikrinimą ir pan. 4. Kitų duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus duomenų tvarkytojus tik gavęs išankstinį duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu tvarkytoju. Tokiu būdu užtikrinama, kad valdytojas išlaikytų asmens duomenų kontrolę net ir tada, kai pradinis tvarkytojas perduoda dalį ar visą tvarkymą kitam. 5. Pagalba įgyvendinant duomenų subjektų teises, įrodinėjant atitikį BDAR keliamiems reikalavimams, atliekant poveikio duomenų apsaugai vertinimą ir, jei tai reikalinga, konsultuojantis su priežiūros institucija. Atsižvelgiant į tai, kad šiems veiksmams įgyvendinti gali būti reikalingos žinios apie tai, kaip tvarkymas vyks ar vyksta praktikoje, o tvarkytojui neretai perduodamas faktinis duomenų tvarkymas, tokia pagalba bus būtina. Tiesa, būtina suvokti, kad ši bendradarbiavimo pareiga nebus neribota ir priklausys nuo duomenų tvarkymo pobūdžio ir duomenų tvarkytojo turimos informacijos. 6. Pagalba teikiant pranešimus apie duomenų saugumo pažeidimus. Skirtingai nei duomenų valdytojas, kuris pareigą nacionalinei priežiūros institucijai pranešti apie asmens duomenų saugumo pažeidimą turės tik tada, jei pažeidimas gali kelti grėsmę fizinių asmenų teisėms ir laisvėms, tokia galimų pasekmių vertinimo sąlyga nėra nustatyta tvarkytojų atžvilgiu. Atitinkamai, šie turės nedelsdami informuoti duomenų valdytoją sužinoję apie bet kokį asmens duomenų saugumo pažeidimą. 7. Duomenų ištrynimo ir/ar grąžinimo pareiga bei tvarka. Sutartyje būtina numatyti, kas nutinka pas duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė. 8. Auditavimo bei patikrinimų galimybė. Praktikoje tai reiškia, kad tvarkytojas turės kaupti dokumentaciją apie tai, kaip vykdo duomenų tvarkymą, visada žinoti, kur yra laikomi jam perduoti duomenys bei kaip jie yra tvarkomi.
Bendrasis duomenų apsaugos reglamentas sudaro sąlygas susitarimą tarp valdytojo ir tvarkytojo visą ar iš dalies pagrįsti standartinėmis sutarčių sąlygomis, įskaitant kai jos yra sertifikavimo dalis arba parengtos Europos Komisijos arba nacionalinės priežiūros institucijos. Tiesa, kol kas tokių standartinių sutarčių sąlygų ir sertifikavimo mechanizmų nėra nustatyta, todėl šiomis priemonėmis pasinaudoti dar nėra galimybės.
Žinoma, ne visais atvejais duomenų valdytojas praktikoje gali nustatyti ir pateikti savo sutarties sąlygas. Didieji debesijos, IT paslaugų teikėjai, nors ir būdami duomenų tvarkytojais, teikia ir toliau teiks savo standartines sutartis su savo nustatytomis sąlygomis. Tačiau net ir tokiu atveju naudinga įsitikinti, ar tikrai duomenų tvarkytojo teikiama sutartis atitinka visus BDAR keliamus reikalavimus, nes net ir didieji rinkos žaidėjai įprastai yra suinteresuoti atitiktimi BDAR, todėl toks klientų spaudimas gali juos paskatinti kuo anksčiau pateikti BDAR atitinkančias standartines sutarčių sąlygas. Tuo tarpu BDAR aiškiai nenurodo, kieno, duomenų tvarkytojo, valdytojo ar abiejų pareiga įtraukti reikiamas nuostatas, o pagal BDAR tiesiogiai už duomenų tvarkymą taps atsakingi ir duomenų tvarkytojai, todėl keliamų reikalavimų nesilaikymas gali turėti neigiamų pasekmių tiek duomenų tvarkytojui, tiek ir valdytojui. Visgi, BDAR preambulėje nurodyta duomenų valdytojo pareiga pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamų garantijų, susijusių visų pirma su ekspertinėmis žiniomis, patikimumu ir ištekliais, kad būtų įgyvendintos techninės ir organizacinės priemonės, kurios atitiks šio reglamento reikalavimus, įskaitant dėl tvarkymo saugumo leidžia spręsti, kad duomenų valdytojai turėtų būti labiausiai suinteresuoti tinkamų susitarimų su tvarkytojais sudarymu.
Bendrasis duomenų apsaugos reglamentas nenumato išimčių ar pereinamojo laikotarpio iki 2018 m. gegužės 25 dienos sudarytoms sutartims, todėl, siekiant išvengti skubaus sutarčių keitimo pradėjus taikyti BDAR, rekomenduotina pasirengti ir pradėti naudoti atnaujintus kontraktus. Jei bendrovė savo tvarkomus asmens duomenis patiki nemažam ratui duomenų tvarkytojų, tinkamu pirmuoju žingsniu galėtų būti visų duomenų tvarkytojų ir su jais sudarytų sutarčių inventorizacija, identifikuojant didžiausios rizikos sutartis ir atitinkamai pradedant peržiūrą nuo jų. Tinkamai parengtos sutartys su duomenų tvarkytojais ne vien padės atitiktį pareigą turėti tokias sutartis, bet ir padės suprasti abiejų sutarties šalių teises, pareigas bei atsakomybę, palengvins atitikties BDAR užtikrinimą ir suteiks geresnę apsaugą perduodamiems duomenims bei galimybę valdytojams pademonstruoti atitikį BDAR reikalavimams.
Pasirinkite jus dominančias įmones ir temas asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos Verslo žiniose, Sodros, Registrų centro ir kt. šaltiniuose.
Prisijungti
Prisijungti
Prisijungti
Prisijungti