Duomenų apsaugos pareigūnas

Duomenų apsaugos pareigūnas

Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 1 dalies b punktu, duomenų valdytojas ir duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną įmonėje, kai duomenų valdytojo ir tvarkytojo veikla atitinka šiuos kriterijus:

Pagrindinė įmonės veikla – asmens duomenų tvarkymas;
Vykdomas reguliarus ir sistemingas duomenų subjektų stebėjimas;
Duomenų subjektų stebėjimas vykdomas dideliu mastu.

Duomenų apsaugos pareigūnas – daugumoje bendrovių

Paskirti duomenų apsaugos pareigūną (angl. Data Protection Officer) privalės tiek duomenų valdytojai ir tvarkytojai ūkio subjektai, tiek valstybinės valdžios institucijos. ES reglamentas nenustato, kad duomenų apsaugos pareigūnas turi būti paskirtas kiekvienoje bendrovėje ar organizacijoje. Tačiau dėl to, kaip ES Reglamento nuostatos yra išaiškinamos, panašu, kad duomenų apsaugos pareigūno reikės didžiajai daliai įmonių ir organizacijų.

Pagrindinė įmonės veikla

Reglamente (ES) 2016/679 numatyta, kad privačiame sektoriuje pagrindinę duomenų valdytojo veiklą sudaro duomenų tvarkymo operacijos, kai šios yra susijusios su jo svarbiausia veikla ir nesusijusios su duomenų valdytojo papildoma veikla. Vertinant, ar duomenų valdytojas ar tvarkytojas atitinka šį kriterijų, turėtų būti atsižvelgiama, ar įmonei yra įmanoma pasiekti pagrindinių veiklos tikslų netvarkant asmens duomenų.

Vykdomas reguliarus ir sistemingas duomenų subjektų stebėjimas

Reguliari ir sisteminga asmenų stebėsena yra, kai bendrovė pagal tam tikrą nustatytą tvarką, organizuotai, planuotai, metodiškai, nuolat arba reguliariai, tam tikrais intervalais vertina asmenis ir seka jų elgesį ar statusą (asmenų profiliavimas rizikos vertinimo tikslais, asmens buvimo vietos sekimas, lojalumo programų vykdymas, automobilių ar namų valdymas, išmaniųjų skaitiklių, vartotojų elgesiu grindžiama reklama ir t.t. ir pan.)
Kad kiltų pareiga paskirti duomenų apsaugos pareigūną, minėtas duomenų tvarkymas turi būti pagrindinė bendrovės veikla, t.y. duomenys yra būtini pasiekti bendrovės veiklos tikslus arba duomenų tvarkymas yra neatsiejamai susijęs su pagrindine įmonės veikla.

Duomenų apsaugos pareigūnas

Didelis mastas

Reglamentas (ES) 2016/679 nepateikia sąvokos „didelis mastas“ apibrėžimo, tačiau aiškinant šią sąvoką turi būti atsižvelgiama į Reglamento (ES) 2016/679 preambulės 91 punktą, pagal kurią didelio masto operacijos yra tos, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurie galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų. Apibendrinant, kriterijais, pagal kuriuos turėtų būti vertinamas asmens duomenų tvarkymo mastas, galėtų būti duomenų subjektų skaičius, asmens duomenų kiekis ar apimtis, duomenų tvarkymo trukmė ar pastovumas, asmens duomenų tvarkymo geografinis mastas.

Darbuotojas ar išorės paslaugų teikėjas?

ES duomenų apsaugos reglamentas leidžia organizacijoms pasirinkti, ar domenų apsaugos pareigūno funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės.
Duomenų apsaugos funkcijų vykdymas ir duomenų apsaugos atitikties užtikrinimas iš duomenų valdytojų ir tvarkytojų gali pareikalauti daug žmogiškųjų ir administracinių išteklių. Bendrovėms yra tikslingiau šiuos išteklius panaudoti savo pagrindinei veiklai vykdyti. Todėl visiškai racionalu duomenų apsaugos pareigūno atsakomybę patikėti kvalifikuotam paslaugų teikėjui.
Rinkdamosi duomenų apsaugos pareigūno veiklos formą, bendrovės turi atsižvelgti į kelis labai svarbius aspektus:
1. duomenų apsaugos pareigūnas turi turėti visišką autonomiją ir nepriklausomumą, būtina savo funkcijoms tinkamai atlikti.
2. duomenų apsaugos pareigūnas gali eiti kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto. Todėl duomenų apsaugos pareigūnu negali būti skiriami sekantys asmenys: bendrovių direktoriai, operacijų, finansų, žmogiškųjų išteklių, marketingo arba IT vadovai.

Duomenų apsaugos priežiūros pareigūnas ir jo darbuotojai kadencijos metu ir jai pasibaigus įsipareigoja saugoti su bet kuria konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

Novus Nexus asmens duomenų apsaugos paslaugos:

  • Išankstinė įmonių patikra, konsultacijos, dokumentacijos paruošimas klientų įregistravimui asmens duomenų valdytojų valstybės registre, dėl duomenų valdytojo teisinio statuso suteikimo;
  • Vidinių įmonės asmens duomenų apsaugos taisyklių, bendrosios politikos ir kitų dokumentų, susijusių su asmens duomenų tvarkymu, rengimas pagal naują bendrąjį asmens duomenų apsaugos reglamentą (ES) 2016/679, bei duomenų apsaugos procedūrų įdiegimas į įmonės veiklą;
  • Duomenų apsaugos pareigūno paslaugos. Nuolatinė duomenų tvarkymo ir apsaugos priežiūra ir kontrolė įmonėse;
  • Atstovavimas valstybinėje duomenų apsaugos inspekcijoje (dokumentacijos pridavimas, komunikacija su VDAI ir kt.);
  • Nuolatinė įmonių duomenų apsaugos techninė ir juridinė priežiūra, konsultacijos, bei nuolatinio duomenų apsaugos pareigūno paslaugos;
  • Techninių priemonių duomenų apsaugai įgyvendinimas ir konsultavimas. Techninių priemonių poreikis vertinamas atlikus įmonės išankstinę patikrą, pritaikant naujojo reglamento, teisės aktų bei valstybinės duomenų apsaugos inspekcijos reikalavimus asmens duomenų apsaugai.

Paslaugų kainos vertinamos kiekvienai įmonei individualiai pagal jos poreikius ir numatomų darbų apimtį, pateikus atsakymus į duomenų apsaugos klausimyno klausimus. Paslaugų ir darbų įvykdymo terminai skaičiuojami įvertinus faktinius darbus. Duomenų valdytojo kodo suteikimo terminai, priklauso nuo VDAI.