aA
Emocijos ir sumaištis, kilusios praėjusių metų gegužės 25 d., įsigaliojus Europos Parlamento bei Tarybos patvirtintam Bendrajam duomenų apsaugos reglamentui (BDAR), aprimo. Dalis įmonių, įstaigų bei organizacijų prisitaikė prie naujų reikalavimų. Tinkamai ar ne, – kitas klausimas. Bet bent jau minimalias korekcijas savo veikloje, susijusioje su asmens duomenų tvarkymu, padarė. Dalis įmonių, kaip visuomet, šiuos klausimus atidėjo „vėlesniam laikui“. Tiksliau sakant, kol iškils kokių nors problemų dėl asmens duomenų.
Vaidotas Dauskurdas
© DELFI

Faktą, kad didelė dalis įmonių neįgyvendino savo prievolių šioje srityje, atskleidžia Valstybinės duomenų apsaugos inspekcijos pateikta informacija, jog daugiau nei pusėje įmonių, kuriose turi būti paskirtas duomenų apsaugos pareigūnas, jo nėra! O tokių įmonių – tūkstančiai! Sunku spręsti, kas tai lemia: abejingumas, nežinojimas? Turėdami tai omenyje, šioje publikacijoje aptarsime klausimus, susijusius su duomenų apsaugos pareigūnu.

Kada privalu skirti duomenų apsaugos pareigūną

BDAR 37 str. nurodyta, kad duomenų apsaugos pareigūną, jeigu subjektas tenkina toliau nurodytuosius kriterijus, turi skirti tiek duomenų valdytojas (fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kurie vienas ar kartu su kitais nustato duomenų tvarkymo tikslus ir priemones), tiek ir duomenų tvarkytojas (fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kurie duomenų valdytojo vardu tvarko asmens duomenis). Minėtoji BDAR norma nustato kriterijus, kuomet duomenų apsaugos pareigūną skirti privalu:

1) duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
2) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir / ar tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;
3) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Žinotina, kad BDAR suteikia galimybę gana lanksčiai spręsti šios pareigybės darbuotojo darbo organizavimo klausimą, atsižvelgiant į galimą jo užimtumą įmonėje. Nustatyta, kad įmonių grupė gali paskirti vieną duomenų apsaugos pareigūną, jeigu su duomenų apsaugos pareigūnu lengva susisiekti iš kiekvienos buveinės. Jeigu duomenų valdytojas arba duomenų tvarkytojas yra valdžios institucija ar įstaiga, vienas duomenų apsaugos pareigūnas gali būti skiriamas kelioms tokioms institucijoms arba įstaigoms, atsižvelgiant į jų organizacinę struktūrą ir dydį. Be to, pačiam subjektui leidžiama apsispręsti, ar duomenų apsaugos pareigūną įdarbinti įmonėje (įstaigoje), ar verčiau sudaryti paslaugų sutartį, kurios pagrindu asmuo teiktų tokias paslaugas. Žinoma, tokiu atveju privalu įvertinti, kokiu pagrindu asmuo vykdytų šias pareigas, – ar jis yra įregistravęs individualią veiklą, ar veikia įmonės, teikiančios atitinkamas paslaugas, vardu. Kad ir kaip ten būtų, su duomenų apsaugos pareigūnu leidžiama sudaryti ne tik darbo, bet ir paslaugų sutartį.

Valstybinės duomenų apsaugos inspekcijos pateikta informacija, jog daugiau nei pusėje įmonių, kuriose turi būti paskirtas duomenų apsaugos pareigūnas, jo nėra! O tokių įmonių – tūkstančiai!
Vaidotas Dauskurdas

Taip pat norėtųsi paminėti ir dar vieną labai svarbų aspektą – nepaisant to, ar įmonė skiria duomenų apsaugos pareigūną, ar ne, net nepaisant to, kad ji neprivalo turėti tokio pareigūno, įmonė vis tiek privalo užtikrinti tinkamą turimą asmens duomenų tvarkymą. Tai reiškia, kad kiekviena įmonė privalo pasirengti tinkamas vidines tvarkas, aptariančias tokių duomenų tvarkymo procedūras. Būtent toks yra pagrindinis iš BDAR išplaukiantis reikalavimas, taikomas įmonėms. To lyg šiol nepadariusieji gali pasinaudoti bendrovės „Pačiolis“ išleista darbo priemone „Asmens duomenų apsauga – darbo tvarkos, rekomendacijos ir pavyzdžiai“.

Duomenų apsaugos pareigūno užduotys

BDAR 39 str. nustatyta, kad duomenų apsaugos pareigūnas yra atsakingas už šias užduotis:
1) informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal BDAR bei kitus teisės aktus ir konsultuoja juos šiais klausimais;
2) stebi, kaip laikomasi BDAR, kitų teisės aktų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje;
3) stebi atitinkamų pareigų, susijusių su duomenų tvarkymo operacijomis, paskirstymą įmonėje, užtikrina tokių darbuotojų informuotumo didinimą bei mokymą, organizuoja reikiamus su tuo susijusius tikrinimus ar auditus;
4) esant poreikiui, kai tai nustato BDAR, konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą;
5) atlieka kontaktinio asmens funkcijas, kuomet Valstybinė duomenų apsaugos inspekcija kreipiasi į įmonę dėl klausimų, susijusių su asmens duomenų tvarkymu
6) vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, imasi priemonių jų išvengti ar bent sumažinti tokių pavojų grėsmę.

Suprantama, duomenų apsaugos pareigūnui gali būti pavestos ir kitos su asmens duomenų tvarkymu susijusios funkcijos (pvz., vidinių įmonės dokumentų rengimas ir derinimas, jų skelbimas). Beje, gali būti pavesti ir ne tik su asmens duomenų apsauga susiję darbai: leidžiama vykdyti ir kitas užduotis bei pareigas (pvz., priskirtos teisininko ar personalo darbuotojo pareigos ir darbai), tačiau reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas užtikrintų, kad dėl bet kokių kitų užduočių ir pareigų nekiltų interesų konfliktas. Be abejo, už išvardintų pareigų vykdymą atsakingas išimtinai duomenų apsaugos pareigūnas.

Pažymėtina, kad BDAR nustato tam tikras pareigas ir duomenų valdytojui bei duomenų tvarkytojui, nurodydamas, kad jie privalo užtikrinti, jog duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą, be to, privalo suteikti priskirtoms užduotims atlikti būtinus išteklius ir galimybę susipažinti su asmens duomenimis, taip pat dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.

Pridurtina, kad, pagal BDAR nuostatas, duomenų apsaugos pareigūnas privalo užtikrinti slaptumą arba konfidencialumą, susijusius su jo užduočių vykdymu. Taigi, jis tampa atsakingas už jam prieinamos informacijos saugojimą, o pažeidęs šią pareigą, gali būti įpareigotas netgi atlyginti dėl to padarytą žalą.

Taip pat norėtųsi paminėti ir dar vieną labai svarbų aspektą – nepaisant to, ar įmonė skiria duomenų apsaugos pareigūną, ar ne, net nepaisant to, kad ji neprivalo turėti tokio pareigūno, įmonė vis tiek privalo užtikrinti tinkamą turimą asmens duomenų tvarkymą.
Vaidotas Dauskurdas

Duomenų apsaugos pareigūno skyrimas

BDAR tiesiogiai nenustato, kokie asmenys gali būti renkami į šias pareigas. Tiesiog nurodoma, kad duomenų apsaugos pareigūnas paskiriamas pagal profesines savybes, visų pirma – duomenų apsaugos teisės ir praktikos ekspertines žinias, taip pat gebėjimą atlikti jam BDAR priskirtas užduotis.

Valstybinė duomenų apsaugos inspekcija yra pateikusi konsultaciją, kad, skiriant duomenų apsaugos pareigūną, reikėtų atsižvelgti į:

1) Ekspertinių žinių lygį. Pastebėtina, kad ekspertinių žinių lygis nėra griežtai apibrėžtas, – nustatyta, kad žinios turi atitikti duomenų neskelbtinumą, sudėtingumą, kiekį ir organizacinius procesus. Pavyzdžiui, kai duomenų tvarkymo veikla yra itin sudėtinga arba tvarkoma daug neskelbtinų duomenų, duomenų apsaugos pareigūnui gali prireikti aukštesnio lygio ekspertinių žinių ir pagalbos. Taip pat padėtis skiriasi atsižvelgiant į tai, ar organizacija sistemingai, ar tik kartais perduoda asmens duomenis už Europos Sąjungos ribų. Taigi, duomenų apsaugos pareigūnas turėtų būti pasirenkamas atidžiai, deramai įvertinus organizacijoje kylančius duomenų apsaugos klausimus.

2) Profesines savybes. Nors BDAR neaptariamos profesinės savybės, į kurias turėtų būti atsižvelgiama skiriant duomenų apsaugos pareigūną, svarbu tai, kad toks asmuo privalo turėti nacionalinės ir Europos duomenų apsaugos teisės aktų bei praktikos žinių ir turi išsamiai suprasti BDAR. Be to, duomenų apsaugos pareigūnas turėtų gerai suprasti duomenų valdytojo vykdomas duomenų tvarkymo operacijas, informacines sistemas, duomenų saugumo ir duomenų apsaugos poreikius.

3) Gebėjimą atlikti užduotis. Gebėjimas atlikti skiriamas užduotis turėtų būti aiškinamas ir jo asmeninių savybių, ir žinių požiūriu, taip pat atsižvelgiant į jo statusą organizacijoje. Asmeninės savybės, pavyzdžiui, galėtų būti profesinis sąžiningumas ir aukšta profesinė etika. Pagrindinė duomenų apsaugos pareigūno pareiga turėtų būti sudaryti sąlygas laikytis BDAR. Toks pareigūnas atlieka itin svarbų vaidmenį, skatinant organizacijoje duomenų apsaugos kultūrą, ir padeda įgyvendinti esminius BDAR elementus, pvz., duomenų tvarkymo principus, duomenų subjektų teises, pritaikytąją ir standartizuotąją duomenų apsaugą, taip pat turi daryti duomenų tvarkymo veiklos įrašus, užtikrinti duomenų tvarkymo saugumą ir teikti pranešimus apie duomenų saugumo pažeidimus.

Pabrėžtina štai kas: nors duomenų apsaugos pareigūnas gali būti su įmone susietas darbo santykiais (arba komercine sutartimi) ir gali tapti vienu iš įmonės darbuotoju, BDAR užtikrina tam tikrą jo nepriklausomumą. Reglamente nustatyta, jog duomenų valdytojas ir / ar duomenų tvarkytojas privalo užtikrinti, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl jam priskirtų užduočių vykdymo. Kitaip tariant, jis pats yra atsakingas už šių užduočių atlikimo organizavimą įmonėje, už jų kontrolę. Darbdavys neturi teisės kištis į šį procesą. Pagal BDAR, duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.

Be to, kaip tam tikrą nepriklausomumo nuo įmonės vadovybės garantą galima įvardyti ir dar vieną nuostatą, numatančią, kad duomenų valdytojas arba duomenų tvarkytojas negali atleisti duomenų apsaugos pareigūno arba bausti dėl jam nustatytų užduočių atlikimo.

Beje, duomenų valdytojas arba duomenų tvarkytojas, paskyrę asmenį duomenų apsaugos pareigūnu, turi viešai paskelbti jo kontaktinius duomenis (pvz., interneto svetainėje) ir apie paskyrimą privalo pranešti Valstybinei duomenų apsaugos inspekcijai. Pastaroji yra parengusi ir savo interneto svetainėje paskelbusi atitinkamą tokio pranešimo formą. Žinant, kad inspekcija renka duomenis apie įmonėse paskirtus duomenų apsaugos pareigūnus, galima daryti išvadą, kad jos duomenys apie tai, kad dauguma įmonių, kurios turėtų paskirti šį pareigūną, tačiau to nepadarė, yra ganėtinai tiksli. Beje, įmonės, kurioms kyla tokia prievolė, turėtų į tai atsižvelgti ir turėtų suvokti, kad šios prievolės nevykdymas gali tapti administracinės atsakomybės taikymo pagrindu.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(0 žmonių įvertino)
0
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją

Robertas Dargis. Seneliai vs Anūkai (14)

Demografiniai rodikliai jau spustelėjo aliarmo mygtuką – pirmą kartą istorijoje pasaulyje...

Romualdas Jonaitis. Paryžiaus tragedija vėl kelia į paviršių gaisrų prevencijos paradoksus (2)

Praėjusią savaitę itin išsamiai buvo aptarinėjamas Paryžiaus švč. Dievo Motinos katedros...

Tomas Mieliauskas. Pavežėjų reguliavimas: vėl einame perteklinių draudimų keliu (6)

Pavežėjų populiarėjimas pasaulyje sudarė sąlygas laisviau reguliuoti keleivių vežimą, o tuo...

Agnė Jonaitytė-Karalienė. Darbo ir asmeninio gyvenimo balansas – nepasiekiamas miražas?

Augantis darbo bei gyvenimo tempas išpopuliarino subalansuoto profesinio ir asmeninio gyvenimo...

Artūras Kapitanovas. Mokesčių amnestija: viena ranka glosto, kita – muša? (3)

Mokesčių amnestija – štai kuo gali pasinaudoti Lietuvos gyventojai ir įmonės iki liepos...

Top naujienos

Apie naują universitetų reformą pasakė paprastai: tai – didžiausias nesusipratimas (40)

Jei paklaustume ekonomikos ir inovacijų ministro Virginijaus Sinkevičiaus, kiek Lietuvai reikia...

Lietuvos kurortuose nakvynės kainos šiemet ir toliau kyla: štai ko laukti atostogaujantiems (52)

Jau kurį laiką burnojantys tautiečiai sako, kad atostogauti Turkijoje yra pigiau nei Lietuvos...

Infliacija vargingiausioje pasaulio ekonomikoje pasiekė septynženklį skaičių (9)

Infliacija Venesueloje, kaip skelbia prognozės, šiais metais gali pasiekti neregėtas aukštumas, 8...

Aštrumo ir atsarginių pasigedęs Jasikevičius: prastai žaidė abi komandos (70)

Kauno „Žalgiris“ spaudė iš paskutiniųjų ir buvo netoli tikslo, bet Stambulo „Fenerbahče...

Dirbtinis apvaisinimas gali padėti tūkstančiams porų, tačiau kodėl lietuviai jo taip bijo?

Nors tikslios statistikos nėra, manoma, kad Lietuvoje porų, kurioms nepavyksta susilaukti vaikų,...

Prasideda brandos egzaminai: abiturientams – pirmasis išbandymas (2)

Trečiadienį, balandžio 24 dieną, prasideda brandos egzaminai. Pirmasis išbandymas abiturientams...

Šiaurės Korėjos lyderis Kim Jong Unas kirto Rusijos sieną (10)

Šiaurės Korėjos lyderis Kim Jong Unas trečiadienį ryte atvyko į Rusiją ir pradėjo pirmąjį...

Jei po šventinio maisto vis dar sunku: 12 organizmą valančių produktų (1)

Per šventes dažnas mūsų atsipalaiduoja, praranda budrumą ir prisikemša galbūt vaikystę...

Pusantro mėnesio Vietname su mažais vaikais keliavęs Vytautas Bikus: niekaip neįsivaizduoju, kaip jie gali būti kliūtimi (12)

Pusantro mėnesio kelionė po Vietnamą su mažais vaikais. Skamba tarsi iššūkis? Tam veikiausiai...

Mandagus Obradovičius: šitaip su „Žalgiriu“ kapojamės jau trejus metus (6)

Kauno „Žalgiris“ ir Stambulo „Fenerbahče “ Eurolygos ketvirtfinalyje ietis surėmė...