aA
Iki 2018 m. duomenų apsauga turės būti įtraukta į visų bendrovių ir įstaigų strategijas, veiklos planus ir biudžetus. Europos Sąjungos (ES) bendrasis duomenų apsaugos reglamentas įsigalioja po pusantrų metų.
Julius Zaleskis
© Bendrovės archyvas

Atėjo metas pradėti ruoštis vienai didžiausių naujovių – duomenų apsaugos pareigūno skyrimui.

Nuo šio darbuotojo arba paslaugos teikėjo priklausys bendrovės santykiai su vartotojais, darbuotojais ir priežiūros institucijomis ir bendrovei tenkančios didelių baudų rizikos.

Atsakingos duomenų apsaugos pagrindas

2018 m. įsigaliojus ES bendrajam duomenų apsaugos reglamentui, duomenų apsauga Lietuvoje iš periferinės, mažai rizikingos srities turėtų virsti svarbia bendrovių veiklos dalimi, nuo kurios priklausys organizacijos sėkmė.

Lengviausias ir populiariausias būdas sudominti verslą nauju reguliavimu – daugiau nei 30 tūkst. kartų (!) – iki 20 mln. eurų – išaugsiančios baudos už pažeidimus.

Vis dėlto organizacijos turėtų koncentruotis ne į baudas, o suprasti, kodėl ir ko iš jų pareikalaus reguliavimas.

Valstybė ir priežiūros institucijos negali ir neturi kontroliuoti milžiniškų informacijos apie asmenis kiekių kiekvienoje organizacijoje. Valstybė turi skatinti verslą prisiimti atsakomybę už tai, kad duomenis jis naudos taip, kad negalėtų pakenkti asmenims, kurių tie duomenys yra.

Valstybė turi pasitikėti verslu ir į informacijos naudojimo laisvę kištis tada, kai šis nesusitvarko su savo atsakomybe.

Ši modernų supratimą atspindi ES bendrajame duomenų apsaugos reglamente įtvirtintas atskaitomybės principas.

Tai gruodžio viduryje patvirtino ES 29 str. duomenų apsaugos darbo grupė – autoritetinga Europos Komisijos patarėja.

Kvalifikuotas duomenų apsaugos pareigūnas organizacijoje yra tokio požiūrio pamatas. Taip, tai pareikalaus biudžeto eilutės ir administracinių išteklių.

Tačiau reguliavimą ir organizacijos poreikius išmanantis ekspertas leis efektyviai įgyvendinti daugybę kitų ES reglamente įtvirtinančių reikalavimų.

Duomenų apsaugos pareigūnas taps tarpininku tarp bendrovės darbuotojų padalinių, asmenų, kurių duomenys renkami (vartotojų, klientų, partnerių, interneto puslapio lankytojų, vaizdo kameromis stebimų asmenų ir kt.), ir priežiūros institucijų.

Tai leis užtikrinti pasitikėjimą ir sklandų bendradarbiavimą tarp paminėtų subjektų, valdyti baudų riziką.

Duomenų apsaugos pareigūnas – daugumoje bendrovių

ES reglamentas nenustato, kad duomenų apsaugos pareigūnas turi būti kiekvienoje organizacijoje.

Tačiau dėl to, kaip ES Reglamento nuostatos yra išaiškinamos, panašu, kad duomenų apsaugos pareigūno reikės didžiajai daliai rinkos.

Bendrovėms bus privaloma paskirti duomenų apsaugos pareigūną, jeigu jos atitiks visus tris toliau nurodytus kriterijus:

1) Tvarkomi ypatingi duomenys arba vykdoma reguliari ir sisteminė asmenų stebėsena; ir
2) Paminėtas duomenų tvarkymas yra pagrindinė bendrovės veikla; ir
3) Paminėti duomenys bendrovėje tvarkomi dideliu mastu.

Kaip įprasta duomenų apsaugos reguliavime, paminėti kriterijai pateikia daugiau klausimų nei atsakymų. Bendrovės pirmiausia turėtų įsivertinti, ar jos atitinka nurodytus kriterijus. Vertinimas būtų logiška kito naujajame reglamente įvtirtinto proceso – vidinio duomenų apsaugos audito (poveikio duomenų apsaugai vertinimo) – dalis.

Toks vertinimas turėtų būti dokumentuotas išvada, kurią prireikus galima būtų pateikti priežiūros institucijai.

Duomenų apsaugos pareigūnas gali būti privalomas toms bendrovėms, kurios renka, saugo ir naudoja ypatingus, jautresnius duomenis arba užsiima sistemine asmenų stebėsena.

Ypatingais, jautresniais duomenimis laikoma informacija apie žmogaus rasę ar etninę kilmę, lytinį gyvenimą ir lytinę orientaciją, genetiniai, biometriniai duomenys, kuriais siekiama identifikuoti asmenį.

Sisteminė ir reguliari asmenų stebėsena yra, kai bendrovė pagal tam tikrą tvarką, organizuotai, metodiškai, nuolat arba reguliariai vertina asmenis ir seka jų statusą ar elgesį.

Pavyzdžiui, bendrovė užsiima tokia veikla kaip asmenų profiliavimas rizikos vertinimo tikslais (kreditingumo vertinimo, draudimų įmokų nustatymo, pinigų plovimo prevencijos tikslais), asmens buvimo vietos sekimas mobiliųjų telefonų programėlių pagalba, lojalumo programų vykdymas, daiktų interneto, išmaniųjų skaitiklių, automobilių, namų valdymas, vartotojų elgesiu grindžiama reklama.

Kad kiltų pareiga paskirti duomenų apsaugos pareigūną, neužtenka, kad bendrovė tvarko ypatingus duomenis arba užsiima sisteminiu asmenų stebėjimu.

Paminėtas duomenų tvarkymas turi būti pagrindinė bendrovės veikla. Tai reiškia, kad duomenys yra būtini pasiekti bendrovės veiklos tikslus arba duomenų tvarkymas yra neatsiejamai susijęs su pagrindine veikla.

Reikėtų įvertinti, ar netvarkydama duomenų bendrovė gali užsiimti savo pagrindine veikla.

Pavyzdžiui, pacientų arba klientų duomenų tvarkymas yra neatsiejamai susijęs su sveikatos priežiūros arba finansinių paslaugų teikimu ir greičiausiai pareikalaus duomenų apsaugos pareigūno.

Reguliavimas neapibrėžia, kada duomenų tvarkymo mastas laikomas dideliu.

Bendrovės turi įvertinti asmenų, kurių duomenys tvarkomi, konkretų skaičių arba proporciją tam tikroje grupėje, duomenų kiekį ir jo svyravimus, duomenų tvarkymo trukmę ir nuolatinumą, kiek plačiai gyvena asmenys, kurių duomenys tvarkomi.

Didelio masto duomenų tvarkymu gali būti laikomas klientų duomenų tvarkymas įprastoje finansų įstaigų veikloje, duomenų tvarkymas vartotojų elgesiu grindžiamos reklamos tikslais paieškos sistemoje, telefonijos arba interneto paslaugų teikėjo atliekamas duomenų tvarkymas.

ES 29 str. darbo grupė duomenų apsaugos pareigūną rekomenduoja skirti ir kitoms bendrovėms. Tai joms padės įgyvendinti sudėtingus ES bendrojo duomenų apsaugos reglamento reikalavimus ir sumažins pažeidimų riziką.

Darbuotojas ar išorės paslaugų teikėjas?

ES duomenų apsaugos reglamentas leidžia organizacijoms pasirinkti, ar domenų apsaugos pareigūno funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės.

Duomenų apsaugos reguliavimas Lietuvoje vis dar paini ir neaiški sritis.

Duomenų apsaugos funkcijų vykdymas ir duomenų apsaugos atitikties užtikrinimas gali iš duomenų valdytojų ir tvarkytojų pareikalauti nemažai laiko, žmogiškųjų ir administracinių išteklių. Organizacijos šiuos išteklius gali labiau norėti skirti savo pagrindinei veiklai vykdyti.

Todėl gali būti racionalu duomenų apsaugos pareigūno atsakomybę patikėti kvalifikuotam paslaugų teikėjui.

Lygiai taip pat bendrovės palengvina savo kasdieninę veiklą outsourcindamos (patikėdamos į išorę) apskaitos, personalo valdymo, IT priežiūros, teisininkų funkcijas.

Rinkdamosi duomenų apsaugos pareigūno veiklos formą, bendrovės turi atsižvelgti į dar kelis aspektus.

Pirma, duomenų apsaugos pareigūnas turi turėti autonomiją ir nepriklausomumą, būtina savo funkcijoms tinkamai atlikti.

Antra, duomenų apsaugos pareigūnas gali eiti kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto.

Prižiūrėti duomenų apsaugos neturėtų būti skiriami asmenys, kurie dalyvauja sprendžiant, kokie duomenys yra renkami ir naudojami: bendrovių direktoriai, operacijų, finansų, žmogiškųjų išteklių, marketingo arba IT vadovai.

ES bendrasis duomenų apsaugos reglamentas taip pat suteikia galimybę paskirti vieną duomenų apsaugos pareigūną visai įmonių grupei, jeigu vienas pareigūnas yra pasiekiamas visoms grupės bendrovėms.

J. Zaleskis yra advokatų kontoros „Valiunas Ellex“ advokatas, Vilniaus universiteto lektorius ir blogo apie ES bendrąjį duomenų apsaugos reglamentą www.dataprotection.lt autorius.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją

Vitalijus Kuodis: Politika ir verslas Lietuvoje: kaip šuo su kate ar vis dėlto vilties yra? (4)

Bet kokie santykiai – bendras gyvenimas, verslo kūrimas – reikalauja abipusių įsipareigojimų...

Tadas Vilčinskas. Nemokamas ikiteisminis darbo ginčų nagrinėjimas: ar tikrai naudingiau abiem šalims

2018 m. spalio 24 d. Lietuvos Aukščiausiasis Teismas priėjo prie išvados, kad DK 217...

Vilius Juzikis. Trys investicijų į šalies transporto infrastruktūrą varikliai (1)

Vilniaus ir Kauno oro uostų atnaujinimas, o gal net ir naujas oro uostas. Projektų „ Via Baltica...

„Barclays“ pasitraukimas ir mokytojų streikas (13)

„ Barclays “ išėjimas iš Lietuvos ir šiuo metu vykstantis mokytojų streikas yra susiję...

Rūta Armonė. Nuo sausio 1 d. visos įmonės privalės nustatyti ir registruoti galutinius naudos gavėjus (4)

Lietuvos Respublikoje įsteigti juridiniai asmenys nuo 2019-01-01 privalės gauti, atnaujinti ir...

Top naujienos

Anglijoje išžagintos ir nužudytos 14-metės byloje – motinos liudijimas: ji kėlė labai daug rūpesčių (89)

14-metės iš Lietuvos, kuri buvo nužudyta Vulverhamptone, Jungtinėje Karalystėje, motina...

Šūviai Kalėdų mugėje Strasbūre: skaičiuojami nukentėję skelbiama apie vieną žuvusįjį (51)

Prancūzijoje, Strasbūre po šaudynių netoli miesto kalėdinės mugės mažiausiai vienas asmuo...

Gyvai / Europos taurės dvikova Italijoje: „Fiat“ – „Rytas“ (15)

Vilniaus „Rytas“ (3-5) antradienį išvykoje kimba į atlapus Europos taurės D grupėje dar nė...

Ekspertai įvertino Statkevičiaus ir Janus rietenas: kažkas turi pasakyti, kad karalius nuogas (331)

Pirmadienio vakarą viešai skalbinius džiaustę dizaineriai Juozas Statkevičius ir Julija Janus...

Vėžiu susirgusi Vaiva pinigų negauna: kovoja ne tik su liga, bet ir su draudimo bendrove (152)

Kaip ir daugeliui vėžio diagnozė Vaivai Mickuvienei buvo tarsi žaibas iš giedro dangaus. „Man...

Geriausią sezoną Kinijoje žaidžiantis Motiejūnas patyrė traumą (15)

Donatas Motiejūnas šios dienos rungtynėse sužaidė vos 12 minučių, o kaip praneša Kinijos...

Valstybės politika žeidžia studentą: kodėl skatinama būti išlaikytiniu? (7)

Esu paskutinio kurso dieninio skyriaus magistrantas. Prieš kelias dienas netekau darbo. Kaip žinia,...

Išskirtinio muziejaus idėją Rokiškiui dovanojęs italas: prakartėlė nėra tik religinis simbolis

Italas kūrėjas, mecenatas Angelo Frosio Rokiškiui dovanojo unikalią idėją: jo dėka Rokiškio...

Įvertino „Barclays“ pasitraukimą: taip gerai Lietuvoje jau seniai nebuvo – bus dar daug kitų (93)

Daliai žmonių pradėjus skambinti pavojaus varpais, kad „ Barclays “ – tik pirmoji kregždė,...