Kiek duomenų apsaugos pareigūnų reikia?

2018 m. gegužės 25 d. įsigaliojo Bendrasis duomenų apsaugos reglamentas (BDAR), kuris įvedė duomenų apsaugos pareigūno (DPO) poziciją. Šiame straipsnyje aptarsime, kada privaloma skirti duomenų apsaugos pareigūną, kokios jo funkcijos, pareigos ir atsakomybės.

Paulius Šatkauskas, UAB "Sabelija" Vilniaus skyriaus direktorius, paaiškina, kada tai daryti privalu, kokios to darbuotojo pareigos ir atsakomybės.

Kada privaloma skirti duomenų apsaugos pareigūną?

Duomenų apsaugos pareigūną paskirti privaloma, jei duomenis tvarko valdžios institucija. Taip pat tada, jeigu bent vieną iš šių sąlygų įmonė ar įstaiga atitinka:

• Kai asmens duomenų tvarkymas yra pagrindinė įmonės veikla - t. y. netvarkant asmens duomenų, negalima būtų pasiekti įmonės veiklos tikslų, pavyzdžiui, teikiamos skolų išieškojimo paslaugos, sveikatos priežiūros ir panašios paslaugos.
• Jei duomenų tvarkymas yra reguliarus ir sistemingas - reguliariai ir metodiškai yra stebimi duomenų subjektai, pavyzdžiui, vykdant lojalumo programas, duomenų tvarkymas vykdomas dideliu mastu (mastas nustatomas, atsižvelgiant į duomenų subjektų, kurių duomenys tvarkomi, kiekį, kokioje geografinėje teritorijoje tvarkomi duomenys, duomenų subjekto duomenų apimtį, įvairovę ir pan.) duomenų apsaugos pareigūną irgi privalu paskirti.
• Ir trečia, tokį pareigūną privalu paskirti kai tvarkomi specialiosios kategorijos, jautrieji duomenys. Pavyzdžiui, duomenys apie rasinę ar etinę kilmę, politines pažiūras, genetinius, biometrinius, sveikatos duomenis ir kt. ir šie duomenys tvarkomi dideliu mastu.

Tačiau duomenų apsaugos pareigūną galima paskirti ir tada, kai tokia pareiga nėra numatyta Reglamente, pavyzdžiui, įvertinus įmonėje tvarkomų duomenų subjektų duomenų mastą, duomenų saugumo priemones ir kitus kriterijus.

Už duomenų apsaugos pareigūno paskyrimą yra atsakingas įmonės ar įstaigos vadovas. Nepaskyrus duomenų apsaugos pareigūno tais atvejais, kai tai yra privaloma, įmonė ar įstaiga balansuoja ties administracine atsakomybe ir Reglamento pažeidimu. Už pareigos nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos.

Kad organizacija nustatytų ar ji privalo paskirti duomenų apsaugos pareigūną, jos turėtų įsivertinti ar jos atitinka nurodytus kriterijus. Toks vertinimas gali būti sudedamoji vidinio duomenų apsaugos audito sudedamoji dalis.

Kriterijai, į kuriuos reikia atsižvelgti:

• Pagrindinė veikla: Duomenų tvarkymo operacijos sudaro neatskiriamą duomenų valdytojo arba duomenų tvarkytojo veiklos dalį.
• Didelis mastas: Reguliariai ir sistemingai atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų ir kurios galėtų daryti poveikį daugeliui duomenų subjektų.
• Sistemingas ir reguliarus stebėjimas: Duomenų subjektas nuolat arba pasikartojančiais intervalais (reguliariai) yra stebimas bet kuriuo būdu, įskaitant profiliavimą internete ir vartotojų elgsena grįstos reklamos siūlymą. Toks stebėjimas turi būti organizuotas ir metodiškas, t. y. turintis sistemą.
• Specialiųjų duomenų tvarkymas dideliu mastu: Duomenys, kurie atskleidžia subjekto rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose.

Esant neaiškumams, ar reikia skirti duomenų apsaugos pareigūną, geriau jį skirti, o jeigu pareigūnas nebuvo paskirtas, turėti tokius motyvus pagrindžiančius įrašus, kuriuose būtų tinkamai pagrįsta neskyrimo priežastys.

Duomenų apsaugos pareigūno funkcijos ir pareigos

P.Šatkauskas vardija duomenų apsaugos pareigūnų funkcijas:

• Informuoja duomenų valdytojo arba duomenų tvarkytojo ir duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir konsultuoja šiais klausimais.
• Stebi, kaip laikomasi Reglamento, duomenų valdytojo (tvarkytojo) politikos asmens duomenų apsaugos srityje.
• Konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą.
• Bendradarbiauja su Valstybine duomenų apsaugos inspekcija ir atlieka kontaktinio asmens funkciją Valstybinei duomenų apsaugos inspekcijai kreipiantis su duomenų tvarkymu susijusiais klausimais.

Duomenų apsaugos pareigūnas yra atsakingas už bet kurios konfidencialios informacijos saugojimą tiek vykdydamas savo funkcijas, tiek po to. Taigi, duomenų apsaugos pareigūnas padeda laikytis reikalavimų įgyvendinant atskaitomybės priemones. Duomenų apsaugos pareigūnas veikia kaip tarpininkas tarp įvairių suinteresuotųjų subjektų, tiek priežiūros institucijų, tiek duomenų subjektų, įmonės padalinių ir kitų.

Duomenų apsaugos pareigūno užduotys:

• Stebėti valdytojų (tvarkytojų) veiklą.
• Informuoti apie jų pareigas.
• Konsultuoti ir apmokyti darbuotojus.
• Konsultuoti valdytoją (tvarkytoją) dėl poveikio duomenų apsaugai vertinimo atlikimo.
• Komunikuoti su duomenų subjektais bei bendradarbiauti su priežiūros institucija.

Pareigūno atsakomybė

Duomenų apsaugos pareigūnas yra atsakingas už bet kurios konfidencialios informacijos, susijusios su profesine paslaptimi, kurią jis sužinojo eidamas savo pareigas, saugojimą tiek vykdydamas savo funkcijas, tiek po to.

Duomenų apsaugos pareigūnu gali būti paskirtas įmonės ar įstaigos darbuotojas, taip pat išorės paslaugų teikėjas. Visais atvejais šiam asmeniui turi būti užtikrintas nepriklausomumas, t. y. duomenų apsaugos pareigūnui negalima duoti jokių privalomų nurodymų ir instrukcijų jo veiklos klausimais, negalima taikyti drausminių nuobaudų dėl duomenų apsaugos pareigūno funkcijų vykdymo, būtina užtikrinti, kad tarp duomenų apsaugos pareigūno ir kitų jo, kaip darbuotojo, funkcijų nekiltų interesų konflikto.

Duomenų apsaugos pareigūnas nėra asmeniškai atsakingas už įmonės ar įstaigos padarytus asmens duomenų tvarkymo pažeidimus, atsakomybė šiuo atveju bet kokiu atveju tenka įmonei ar įstaigai. Tai reiškia, kad net ir paskyrus duomenų apsaugos pareigūną įmonės vadovai turi skirti pakankamai dėmesio prižiūrint saugaus duomenų tvarkymo procesus.

Kas gali būti duomenų apsaugos pareigūnu?

Duomenų apsaugos pareigūnu gali būti paskirtas tiek įmonės ar įstaigos darbuotojas, tiek ir specialių žinių turintis išorinis paslaugų teikėjas. Įmonių grupei leidžiama paskirti vieną duomenų apsaugos pareigūną. Reglamente nėra nustatyti kokie nors kvalifikaciniai, išsilavinimo reikalavimai duomenų apsaugos pareigūnui, tačiau šias funkcijas atliekantis asmuo turėtų išmanyti teisinius ir techninius asmens duomenų apsaugos aspektus bei sektoriaus, kuriame veikia įmonė ar įstaiga, specifiką ir pačios įmonės ar įstaigos veiklą. Taigi, skiriant duomenų apsaugos pareigūną būtina atsižvelgti į jo ekspertinių žinių lygį, profesines savybes bei gebėjimą atlikti užduotis.

Siekiant išvengti interesų konflikto duomenų apsaugos pareigūnu neturėtų būti paskirtas vienas iš vadovaujančias pareigas užimančių įmonės darbuotojų. Reglamentas nereikalauja įrodyti duomenų apsaugos pareigūno kvalifikaciją oficialiu dokumentu -licencija, sertifikatu ir pan.

Duomenų apsaugos pareigūno funkcijų vykdymas gali pareikalauti nemažai žmogiškųjų ir administracinių išteklių, kuriuos neretai tikslingiau yra panaudoti pagrindinei veiklai vykdyti, todėl racionaliau duomenų apsaugos pareigūno funkcijas patikėti kvalifikuotam paslaugų teikėjui. Kiek esame susidūrę, stambiosios Lietuvos ir Europos įmonės, bei įmonių grupės labiau yra linkusios samdytis atskirą darbuotoją šioms pareigoms užimti, tačiau efektyvumo siekiančios įmonės vis dažniau duomenų apsaugos pareigūno darbo funkcijas perduoda konsultacinėms įmonėms.

Svarbu paminėti, kad duomenų apsaugos pareigūnas turi turėti autonomiją ir nepriklausomumą, reikalingą savo funkcijoms atlikti. Duomenų apsaugos pareigūnas gali bendrovėje eiti ir kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto. Todėl duomenų apsaugos pareigūnu neturėtų būti skiriami tokie asmenys, kurie dalyvauja sprendžiant kokie duomenys yra/turi būti renkami ir tvarkomi. Taigi, duomenų apsaugos pareigūnu negalėtų būti įmonės direktorius, operacijų, finansų, žmogiškųjų išteklių, marketingo, IT ar teisės skyrių vadovai.

tags: #kiek #gali #buti #apsaugos #duomenu #pareigunu