Kas tai? Eksperto įžvalgos

Duomenų apsaugos pareigūnas – viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių

Reklama publikuota: 2017-10-02
svg svg

Viena didžiausių Bendrojo duomenų apsaugos reglamento naujovių yra pareiga paskirti duomenų apsaugos pareigūną. Tai turės padaryti tam tikrus kriterijus atitinkantys asmens duomenų valdytojai ir tvarkytojai. Ši pareiga bus taikoma nuo Reglamento įsigaliojimo dienos.

Paskirti duomenų apsaugos pareigūną (angl. Data Protection Officer (toliau – DPO)) privalės tiek duomenų valdytojai ir tvarkytojai ūkio subjektai, tiek valstybinės valdžios institucijos. Už pareigos nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos, todėl iki 2018 m. gegužės 25 d. likus nebedaug laiko duomenų valdytojai ir tvarkytojai turėtų suskubti aktyviai domėtis šiuo klausimu ir įsivertinti, ar naujasis reikalavimas bus taikomas ir jiems.

Reglamentas DPO priskiria gana svarbų vaidmenį visoje duomenų valdymo sistemoje ir suteikia daug funkcijų bei plačius įgaliojimus, turėsiančius užtikrinti, kad DPO padės duomenų valdytojams ir tvarkytojams tinkamai įgyvendinti duomenų apsaugos reikalavimus savo įmonės, įstaigos ar organizacijos veikloje, taip pat užtikrinsiančius, kad DPO veiktų kaip tam tikras tarpininkas minėtoje duomenų valdymo sistemoje tarp duomenų subjektų, įvairių savo įmonės, organizacijos ar įstaigos padalinių ir priežiūros institucijos.

Reglamentas numato, kad DPO privalės paskirti tie valdytojai ir tvarkytojai ūkio subjektai, kurių veikla atitinka visus tris žemiau nurodytus kriterijus:

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 
  • Pagrindinė duomenų valdytojo arba tvarkytojo veikla yra asmens duomenų tvarkymo operacijos.
  • Tokių duomenų tvarkymo operacijų metu duomenų subjektai yra reguliariai ir sistemingai stebimi.
  • Minėtasis duomenų subjektų stebėjimas vykdomas dideliu mastu.

Pareiga paskirti DPO taip pat keliama duomenis tvarkančioms valdžios institucijoms arba įstaigoms, bei duomenų valdytojams arba tvarkytojams, kurių pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu, taip pat asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Kalbant apie ūkio subjektus, pirmasis kriterijus yra bene lengviausiai suprantamas, kiti du – kol nėra realios reguliavimo įgyvendinimo praktikos - interpretuojami kiek kebliau. Dėl šių kriterijų sampratos nekonkretumo duomenų valdytojams ir tvarkytojams, siekiantiems savarankiškai įsivertinti savo veiklą, gali kilti klausimų, ar jie teisingai pritaikė nustatytus kriterijus savo veiklai. Todėl rekomenduojama, kad duomenų valdytojai ir tvarkytojai ne tik atliktų išsamią analizę ir įvertintų, ar jų veikla atitinka minėtuosius kriterijus, bet ir šios analizės rezultatus įtvirtintų raštu bei išsaugotų su kitais įmonės, įstaigos, organizacijos dokumentais. Tokio dokumentavimo tikslas – galimybė duomenų valdytojams ir tvarkytojams, esant reikalui ir užtikrinant atskaitomybės principo įgyvendinimą, priežiūros institucijai parodyti visos analizės eigą ir padarytas išvadas.

Taigi pirmasis kriterijus – „pagrindinėveikla“, kurios metu yra atliekamos asmens duomenų tvarkymo operacijos, yra suprantama kaip veikla, kurią duomenų valdytojas ar tvarkytojas vykdo, siekdamas savo tikslų, įskaitant tokią veiklą, kurios metu atliekamos duomenų tvarkymo operacijos yra glaudžiai susijusios su jo svarbiausia veikla ir atitinkamai yra nesusijusios su asmens duomenų tvarkymu kaip papildoma veikla.

Tipiškiausias pavyzdys - gydymo įstaigų teikiamos sveikatos paslaugos, kurių metu gydymo įstaigos tvarko pacientų sveikatos duomenis. Akivaizdu, kad sveikatos paslaugų teikimas yra laikytina pagrindine gydymo įstaigų veikla, nes jos negalėtų teikti sveikatos paslaugų, jeigu negalėtų tvarkyti asmens duomenų. Taigi tokios įstaigos privalės paskirti DPO.

Kitas pavyzdys - saugos tarnybos paslaugas teikiančios bendrovės veikla, susijusi su prekybos centrų ir kitų viešų vietų vaizdo stebėjimu. Vėlgi, vaizdo duomenų tvarkymas yra pagrindinė tokios tarnybos veikla, neatlikdama šių duomenų tvarkymo operacijų, saugos tarnyba negalėtų įgyvendinti savo veikloje siekiamų tikslų ir teikti apsaugos paslaugų. Todėl ir šiuo atveju bendrovė turės paskirti DPO.

Tačiau jeigu patalpas vaizdo kameromis stebi ūkio subjektas, kuris tose patalpose vykdo prekybinę veiklą, ir vaizdą stebėti jam būtina tik turto apsaugos tikslais, toks vaizdo duomenų tvarkymas bus laikomas papildoma veikla. Pastaroji gali būti labai reikalinga ir svarbi vykdant pagrindinę veiklą, tačiau visgi laikoma tik antrine. Tokiu atveju paskirti DPO nebus privaloma.

Antrasis kriterijus „reguliarus ir sistemingas duomenų subjektų stebėjimas“ turi būti suprantamas kaip toks, kurio metu duomenų subjektas nuolat arba pasikartojančiais intervalais (reguliariai) yra stebimas bet kuriuo būdu, įskaitant profiliavimą internete ir vartotojų elgsena grįstos reklamos siūlymą (angl. behavioural advertising). Tačiau toks stebėjimas turi būti ne šiaip atsitiktinis, o organizuotas ir metodiškas, t. y. turintis sistemą. Paprasčiausias reguliaraus ir sistemingo stebėjimo pavyzdys yra įvairių programėlių, sekančių mūsų valgymo įpročius, skaičiuojančių mūsų pajamas ir išlaidas, ar rekomenduojančių mums fizinės veiklos režimą, naudojimas. Reguliariu ir sistemingu stebėjimas nebūtų laikomas, jei, pavyzdžiui, prekybos centre naujos parduotuvės atidarymo proga užpildytumėte anketą apie savo apsipirkimo įpročius.

Trečiasis kriterijus „dideliu mastu“reiškia, kad reguliariai ir sistemingai atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama „regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų ir kurios galėtų daryti poveikį daugeliui duomenų subjektų“. Šį kriterijų bene sudėtingiausia įvertinti, taigi, kol jis nebus patikrintas ir įgyvendintas daugelyje praktinių situacijų, duomenų valdytojams ir tvarkytojams rekomenduojama atsižvelgti į tokius faktorius: koks duomenų subjektų skaičius yra stebimas, koks duomenų kiekis yra apdorojamas (ypač, jei apdorojama daug skirtingų duomenų), koks yra tokių operacijų geografinis paplitimas (rajonas, miestas, kt.) ar kokia yra šių operacijų trukmė.

Vėlgi tipiniai didelio masto pavyzdžiai yra gydymo įstaigų atliekamas pacientų duomenų tvarkymas, taip pat telekomunikacijų ir interneto paslaugų tiekėjų vykdomas klientų duomenų tvarkymas, įskaitant vietos nustatymo, turinio duomenų ir kt. tvarkymą.

Duomenų valdytojas ar tvarkytojas, arba ir vienas, ir kitas, atitinkantys anksčiau aptartus kriterijus, privalės paskirti po DPO (arba vieną bendrą DPO).

Tačiau, kas yra tas DPO, kokios jo funkcijos, statusas, kokie reikalavimai keliami į tokią poziciją pretenduojančiam asmeniui?

DPO gali būti tiek duomenų valdytojo arba tvarkytojo vidaus darbuotojas, tiek samdomas pagal paslaugų teikimo sutartį fizinis ar juridinis asmuo.

Reglamentas numato, kad DPO paskiriamas remiantis profesinėmis savybėmis, visų pirma, duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti Reglamente DPO priskirtas užduotis. Kiekvienas valdytojas (tvarkytojas) atsižvelgia į savo atliekamų operacijų su duomenimis sudėtingumą, apdorojamų duomenų rūšį, sektorių, kuriame vykdo veiklą, įmonės, įstaigos, organizacijos dydį ir struktūrą, ir pasirenka tokių gebėjimų ir patirties DPO, kuris geriausiai užtikrintų užduočių įgyvendinimą.

DPO keliamos užduotys yra susijusios su jau anksčiau aptartu DPO vaidmeniu visoje duomenų valdymo sistemoje: DPO stebi valdytojų (tvarkytojų) veiklą, informuoja apie jų pareigas, konsultuoja ir apmoko darbuotojus, konsultuoja valdytoją (tvarkytoją) dėl poveikio duomenų apsaugai vertinimo atlikimo, komunikuoja su duomenų subjektais bei bendradarbiauja su priežiūros institucija. Reglamentas reikalauja, kad duomenų valdytojas ir tvarkytojas užtikrintų, jog DPO būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.

„Tinkamai“reiškia, kad DPO turi dalyvauti valdytojo (tvarkytojo) aukščiausių vadovų, taip pat atitinkamų padalinių vadovų susitikimuose, kuriuose sprendžiami su duomenų tvarkymu susiję klausimai; taip pat tai, kad į DPO nuomonę privaloma atsižvelgti ir vykdyti teikiamus pasiūlymus, ir kt.

„Laiku“ reiškia, kad DPO turi būti įtraukiamas į visų su duomenų tvarkymu įmonėje, įstaigoje, organizacijoje susijusių klausimų sprendimą kuo anksčiau ir greičiau, kai tik tai įmanoma padaryti. Pavyzdžiui, bendrovė planuoja plėsti veiklą, kurioje neišvengiamai reikės tvarkyti didesnį asmens duomenų kiekį. Tokiu atveju rekomenduojama įtraukti DPO jau į pradinę, verslo plėtros planavimo, stadiją, siekiant kuo geriau užtikrinti duomenų tvarkymą nustatančių taisyklių įgyvendinimą užbaigus tokią verslo plėtrą.

Pažymėtina, kad bene svarbiausia valdytojo (tvarkytojo) DPO suteikiama garantija yra autonomija ir nepriklausomumas. Turi būti užtikrinama, jog DPO negautų jokių nurodymų dėl savo užduočių vykdymo ir jam nebūtų daroma įtaka, siekiant apeiti duomenų tvarkymą nustatančius reikalavimus. Taip pat reguliavimas nustato, kad duomenų valdytojas (tvarkytojas) negali DPO atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Tačiau, kaip įprasta, jeigu DPO netinkamai atliks savo pareigas ar nevykdys sutarties, valdytojas (tvarkytojas) galės atleisti ar nutraukti sutartį su DPO, tačiau tik įsitikinęs, kad DPO atleidžiamas ar sutartis nutraukiama ne dėl DPO pareigų vykdymo.

Kiekvienas valdytojas (tvarkytojas) turi įsidėmėti, kad DPO nebus laikomi asmeniškai atsakingais už Reglamento pažeidimą ir jiems nebus taikomos Reglamente numatytos sankcijos, jeigu duomenų valdytojai ar tvarkytojai pažeis Reglamento reikalavimus. Jų laikymasis yra išimtinai duomenų valdytojų ir tvarkytojų pareiga, kurios įgyvendinimą jie ir privalo užtikrinti.

DPO turi turėti galimybę nevaržomai įgyvendinti jam keliamus tikslus ir užduotis, todėl valdytojas (tvarkytojas) privalo užtikrinti DPO būtinus resursus, įskaitant darbo vietą, darbuotojus (jei reikia), taip pat galimybę tiesiogiai ir netrukdomai komunikuoti ir bendradarbiauti su kitais įmonės, įstaigos, organizacijos padaliniais, pavyzdžiui, IT, teisės, finansų, personalo ir kt.

Tam, kad tiek duomenų subjektai, tiek priežiūros institucija turėtų galimybę tiesiogiai ir operatyviai susisiekti su DPO, pavyzdžiui, įvykus duomenų saugumo pažeidimui (duomenų praradimo, atskleidimo, sunaikinimo, kitiems incidentams), valdytojas (tvarkytojas) privalo nedelsiant apie DPO paskyrimą informuoti priežiūros instituciją ir pateikti jai DPO kontaktus, taip pat paskelbti juos viešai (savo interneto svetainėje, socialinio tinklo paskyroje ir kt.).

Taigi naujasis reguliavimas, nustatydamas šią naują pareigą, ūkio subjektams iš tiesų padidina bendrą administracinę naštą, o atsižvelgiant į Reglamente nustatytus DPO skyrimo kriterijus ir remiantis šių kriterijų išaiškinimu, manytina, kad pareiga paskirti DPO teks daugeliui Lietuvos ūkio subjektų.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Tema „Vadyba“
VŽ klausomiausi podkastai kovą

Pateikiame daugiausia „Verslo žinių“ prenumeratorių dėmesio sulaukusių podkastų TOP 10.

Prognozuojama, kad darbuotojų kaita šiemet augs pusantro karto: kaip reikia keistis vadovams Premium 4

Daugelis, prasidėjus karui, manė, kad darbuotojų migracija bus kur kas mažesnė ar sustos. Visgi, anot...

Vadyba
12:50
„Compensa“ valdybai vadovauja T. Milašius

Tomas Milašius perima vadovavimą Baltijos šalyse paslaugas teikiančiai gyvybės draudimo bendrovei „Compensa...

Vadyba
12:30
„Sodra“: ligos išmoką už dvi pirmas nedarbingumo dienas gaus visi darbuotojai 1

Darbuotojui susirgus, nuo balandžio 1 d. kiekvienas darbdavys mokės jam ligos išmoką už dvi pirmąsias...

Vadyba
11:44
Psichologas J. Burokas: ukrainiečiai kur kas tvirtesni už mus Premium

„Pasitraukusieji nuo karo išgyveno įvairiausių patirčių ir, mano galva, nėra tokie trapūs, kaip mums kartais...

Laisvalaikis
11:03
Specialistų trūksta, alga ne per didžiausia: stringa Kibernetinio saugumo centro vadovo paieška Premium 1

Krašto apsaugos ministerijai (KAM) kol kas sunkiai sekasi surasti naująjį Nacionalinio kibernetinio saugumo...

Inovacijos
05:45
Euro zonoje nedarbas vasarį siekė 6,8%, Lietuvoje – 7%

Vasarį euro zonoje darbo neturėjo 6,8% darbo ieškančių asmenų – 0,1 proc. punkto mažiau nei sausio mėnesį.

Vadyba
2022.03.31
Tarp TOP 20 įtakingiausiųjų – nauji vardai

Šių metų potencialios įtakos indekso TOP 20 kone pusė pernai čia nebuvusių vardų. Tarp naujai patekusių yra...

Rinkodara
2022.03.31
Viliasi, kad naujas bandymas perkrauti valstybės tarnybą nemeluos Premium 5

Ingridos Šimonytės Vyriausybė puoselėja planus padėti viešojo administravimo sistemos pertvarkos pagrindus,...

Verslo aplinka
2022.03.31
„Tūkstantmečio mokyklų“ programoje dalyvaus 54 iš 60 savivaldybių 1

„Tūkstantmečio mokyklų“ programoje dalyvaus 54 iš 60 savivaldybių, sako Jurgita Šiugždinienė, Švietimo,...

Vadyba
2022.03.30
Tadas Dovbyšas: stipri organizacijos kultūra – geriausia instrukcija visiems gyvenimo atvejams Verslo tribūna

Nepaisant rimtus išbandymus atnešusio pandeminio laikotarpio, draudimo bendrovė ERGO stiprino tiek komandos...

PowerUP
2022.03.30
Iš „Inter Rao Lietuva“ stebėtojų tarybos pasitraukė J. Garbaravičius ir R. Davidovičius 2

Verslininkas Jonas Garbaravičius pasitraukė iš Rusijos energetikos milžinės „Inter RAO“ netiesiogiai...

Pramonė
2022.03.29
Geidžiamiausių darbdavių vasario atlygio medianos Premium

Naujausi „Sodros“ duomenys rodo, kokias algų medianas šių metų antrąjį mėnesį darbuotojams mokėjo...

Vadyba
2022.03.29
V. Vasiliauskas: geras, kompetentingas biurokratas yra vertybė Premium 16

Vyriausybė tikisi pradėti viešojo administravimo reformos įgyvendinimą. Pasak premjerės patarėjo Vito...

Verslo aplinka
2022.03.29
Atidaromas didžiausias dienos SPA centras Vilniaus mieste Verslo tribūna 1

Vilniaus senamiestyje, verslo ir laisvalaikio komplekse „Bokšto skveras“, vilniečiams ir miesto svečiams...

Verslo aplinka
2022.03.29
Startuolio savo noru nepaliko nė vienas darbuotojas: ką galima būtų pritaikyti ir kitoms organizacijoms Premium 3

Lietuviškas transporto užsakymų valdymo startuolis „GoRamp“ per pastaruosius kelerius metus užaugino komandą...

Vadyba
2022.03.28
Kokias algų medianas vasarį mokėjo didžiausi šalies darbdaviai Premium

„Sodros“ duomenys rodo, kad šių metų vasarį ant aukščiausiojo atlyginimų medianų laiptelio ir toliau laikosi...

Vadyba
2022.03.28
Ukrainiečių įdarbinimas: procesas palengvintas, tačiau dar yra likę daug nežinomųjų Premium

Kalbinti verslų atstovai, nors ir giria pagreitėjusį procesą, kartu pripažįsta, kad dar yra daug tobulintinų...

Vadyba
2022.03.28
Rusiją palaikantys darbuotojai – kaip elgtis vadovui? 2

Šiuo metu vadovams iškyla daug nestandartinių klausimų. Vienas iš jų – kaip elgtis su Rusijos karinius...

Vadyba
2022.03.26
Patarimai startuoliams: kaip suburti sėkmingą komandą

60% naujų įmonių susidūrė su problemomis įkūrėjų komandoje, primena „TechHub“ preakceleratorius. Tinkamai...

Gazelė
2022.03.26

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku