Faktą, kad didelė dalis įmonių neįgyvendino savo prievolių šioje srityje, atskleidžia Valstybinės duomenų apsaugos inspekcijos pateikta informacija, jog daugiau nei pusėje įmonių, kuriose turi būti paskirtas duomenų apsaugos pareigūnas, jo nėra! O tokių įmonių – tūkstančiai! Sunku spręsti, kas tai lemia: abejingumas, nežinojimas? Turėdami tai omenyje, šioje publikacijoje aptarsime klausimus, susijusius su duomenų apsaugos pareigūnu.
Kada privalu skirti duomenų apsaugos pareigūną
BDAR 37 str. nurodyta, kad duomenų apsaugos pareigūną, jeigu subjektas tenkina toliau nurodytuosius kriterijus, turi skirti tiek duomenų valdytojas (fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kurie vienas ar kartu su kitais nustato duomenų tvarkymo tikslus ir priemones), tiek ir duomenų tvarkytojas (fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kurie duomenų valdytojo vardu tvarko asmens duomenis). Minėtoji BDAR norma nustato kriterijus, kuomet duomenų apsaugos pareigūną skirti privalu:
1) duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
2) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir / ar tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;
3) duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.
Taip pat norėtųsi paminėti ir dar vieną labai svarbų aspektą – nepaisant to, ar įmonė skiria duomenų apsaugos pareigūną, ar ne, net nepaisant to, kad ji neprivalo turėti tokio pareigūno, įmonė vis tiek privalo užtikrinti tinkamą turimą asmens duomenų tvarkymą. Tai reiškia, kad kiekviena įmonė privalo pasirengti tinkamas vidines tvarkas, aptariančias tokių duomenų tvarkymo procedūras. Būtent toks yra pagrindinis iš BDAR išplaukiantis reikalavimas, taikomas įmonėms. To lyg šiol nepadariusieji gali pasinaudoti bendrovės „Pačiolis“ išleista darbo priemone „Asmens duomenų apsauga – darbo tvarkos, rekomendacijos ir pavyzdžiai“.
Duomenų apsaugos pareigūno užduotys
BDAR 39 str. nustatyta, kad duomenų apsaugos pareigūnas yra atsakingas už šias užduotis:
1) informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal BDAR bei kitus teisės aktus ir konsultuoja juos šiais klausimais;
2) stebi, kaip laikomasi BDAR, kitų teisės aktų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje;
3) stebi atitinkamų pareigų, susijusių su duomenų tvarkymo operacijomis, paskirstymą įmonėje, užtikrina tokių darbuotojų informuotumo didinimą bei mokymą, organizuoja reikiamus su tuo susijusius tikrinimus ar auditus;
4) esant poreikiui, kai tai nustato BDAR, konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą;
5) atlieka kontaktinio asmens funkcijas, kuomet Valstybinė duomenų apsaugos inspekcija kreipiasi į įmonę dėl klausimų, susijusių su asmens duomenų tvarkymu
6) vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, imasi priemonių jų išvengti ar bent sumažinti tokių pavojų grėsmę.
Suprantama, duomenų apsaugos pareigūnui gali būti pavestos ir kitos su asmens duomenų tvarkymu susijusios funkcijos (pvz., vidinių įmonės dokumentų rengimas ir derinimas, jų skelbimas). Beje, gali būti pavesti ir ne tik su asmens duomenų apsauga susiję darbai: leidžiama vykdyti ir kitas užduotis bei pareigas (pvz., priskirtos teisininko ar personalo darbuotojo pareigos ir darbai), tačiau reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas užtikrintų, kad dėl bet kokių kitų užduočių ir pareigų nekiltų interesų konfliktas. Be abejo, už išvardintų pareigų vykdymą atsakingas išimtinai duomenų apsaugos pareigūnas.
Pažymėtina, kad BDAR nustato tam tikras pareigas ir duomenų valdytojui bei duomenų tvarkytojui, nurodydamas, kad jie privalo užtikrinti, jog duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą, be to, privalo suteikti priskirtoms užduotims atlikti būtinus išteklius ir galimybę susipažinti su asmens duomenimis, taip pat dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.
Duomenų apsaugos pareigūno skyrimas
BDAR tiesiogiai nenustato, kokie asmenys gali būti renkami į šias pareigas. Tiesiog nurodoma, kad duomenų apsaugos pareigūnas paskiriamas pagal profesines savybes, visų pirma – duomenų apsaugos teisės ir praktikos ekspertines žinias, taip pat gebėjimą atlikti jam BDAR priskirtas užduotis.
Valstybinė duomenų apsaugos inspekcija yra pateikusi konsultaciją, kad, skiriant duomenų apsaugos pareigūną, reikėtų atsižvelgti į:
1) Ekspertinių žinių lygį. Pastebėtina, kad ekspertinių žinių lygis nėra griežtai apibrėžtas, – nustatyta, kad žinios turi atitikti duomenų neskelbtinumą, sudėtingumą, kiekį ir organizacinius procesus. Pavyzdžiui, kai duomenų tvarkymo veikla yra itin sudėtinga arba tvarkoma daug neskelbtinų duomenų, duomenų apsaugos pareigūnui gali prireikti aukštesnio lygio ekspertinių žinių ir pagalbos. Taip pat padėtis skiriasi atsižvelgiant į tai, ar organizacija sistemingai, ar tik kartais perduoda asmens duomenis už Europos Sąjungos ribų. Taigi, duomenų apsaugos pareigūnas turėtų būti pasirenkamas atidžiai, deramai įvertinus organizacijoje kylančius duomenų apsaugos klausimus.
2) Profesines savybes. Nors BDAR neaptariamos profesinės savybės, į kurias turėtų būti atsižvelgiama skiriant duomenų apsaugos pareigūną, svarbu tai, kad toks asmuo privalo turėti nacionalinės ir Europos duomenų apsaugos teisės aktų bei praktikos žinių ir turi išsamiai suprasti BDAR. Be to, duomenų apsaugos pareigūnas turėtų gerai suprasti duomenų valdytojo vykdomas duomenų tvarkymo operacijas, informacines sistemas, duomenų saugumo ir duomenų apsaugos poreikius.
3) Gebėjimą atlikti užduotis. Gebėjimas atlikti skiriamas užduotis turėtų būti aiškinamas ir jo asmeninių savybių, ir žinių požiūriu, taip pat atsižvelgiant į jo statusą organizacijoje. Asmeninės savybės, pavyzdžiui, galėtų būti profesinis sąžiningumas ir aukšta profesinė etika. Pagrindinė duomenų apsaugos pareigūno pareiga turėtų būti sudaryti sąlygas laikytis BDAR. Toks pareigūnas atlieka itin svarbų vaidmenį, skatinant organizacijoje duomenų apsaugos kultūrą, ir padeda įgyvendinti esminius BDAR elementus, pvz., duomenų tvarkymo principus, duomenų subjektų teises, pritaikytąją ir standartizuotąją duomenų apsaugą, taip pat turi daryti duomenų tvarkymo veiklos įrašus, užtikrinti duomenų tvarkymo saugumą ir teikti pranešimus apie duomenų saugumo pažeidimus.
Pabrėžtina štai kas: nors duomenų apsaugos pareigūnas gali būti su įmone susietas darbo santykiais (arba komercine sutartimi) ir gali tapti vienu iš įmonės darbuotoju, BDAR užtikrina tam tikrą jo nepriklausomumą. Reglamente nustatyta, jog duomenų valdytojas ir / ar duomenų tvarkytojas privalo užtikrinti, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl jam priskirtų užduočių vykdymo. Kitaip tariant, jis pats yra atsakingas už šių užduočių atlikimo organizavimą įmonėje, už jų kontrolę. Darbdavys neturi teisės kištis į šį procesą. Pagal BDAR, duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.
Be to, kaip tam tikrą nepriklausomumo nuo įmonės vadovybės garantą galima įvardyti ir dar vieną nuostatą, numatančią, kad duomenų valdytojas arba duomenų tvarkytojas negali atleisti duomenų apsaugos pareigūno arba bausti dėl jam nustatytų užduočių atlikimo.
Beje, duomenų valdytojas arba duomenų tvarkytojas, paskyrę asmenį duomenų apsaugos pareigūnu, turi viešai paskelbti jo kontaktinius duomenis (pvz., interneto svetainėje) ir apie paskyrimą privalo pranešti Valstybinei duomenų apsaugos inspekcijai. Pastaroji yra parengusi ir savo interneto svetainėje paskelbusi atitinkamą tokio pranešimo formą. Žinant, kad inspekcija renka duomenis apie įmonėse paskirtus duomenų apsaugos pareigūnus, galima daryti išvadą, kad jos duomenys apie tai, kad dauguma įmonių, kurios turėtų paskirti šį pareigūną, tačiau to nepadarė, yra ganėtinai tiksli. Beje, įmonės, kurioms kyla tokia prievolė, turėtų į tai atsižvelgti ir turėtų suvokti, kad šios prievolės nevykdymas gali tapti administracinės atsakomybės taikymo pagrindu.
