DUOMENŲ APSAUGOS PAREIGŪNAS. POREIKIS IR PAREIGOS

Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 1 dalies b punktu, duomenų valdytojas ir duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną įmonėje, kai duomenų valdytojo ir tvarkytojo veikla atitinka šiuos kriterijus:

Pagrindinė įmonės veikla – asmens duomenų tvarkymas;
Vykdomas reguliarus ir sistemingas duomenų subjektų stebėjimas;
Duomenų subjektų stebėjimas vykdomas dideliu mastu.

Duomenų apsaugos pareigūnas – daugumoje bendrovių

Paskirti duomenų apsaugos pareigūną (angl. Data Protection Officer) privalės tiek duomenų valdytojai ir tvarkytojai ūkio subjektai, tiek valstybinės valdžios institucijos. ES reglamentas nenustato, kad duomenų apsaugos pareigūnas turi būti paskirtas kiekvienoje bendrovėje ar organizacijoje. Tačiau dėl to, kaip ES Reglamento nuostatos yra išaiškinamos, panašu, kad duomenų apsaugos pareigūno reikės didžiajai daliai įmonių ir organizacijų.

Pagrindinė įmonės veikla

Reglamente (ES) 2016/679 numatyta, kad privačiame sektoriuje pagrindinę duomenų valdytojo veiklą sudaro duomenų tvarkymo operacijos, kai šios yra susijusios su jo svarbiausia veikla ir nesusijusios su duomenų valdytojo papildoma veikla. Vertinant, ar duomenų valdytojas ar tvarkytojas atitinka šį kriterijų, turėtų būti atsižvelgiama, ar įmonei yra įmanoma pasiekti pagrindinių veiklos tikslų netvarkant asmens duomenų.

Vykdomas reguliarus ir sistemingas duomenų subjektų stebėjimas

Reguliari ir sisteminga asmenų stebėsena yra, kai bendrovė pagal tam tikrą nustatytą tvarką, organizuotai, planuotai, metodiškai, nuolat arba reguliariai, tam tikrais intervalais vertina asmenis ir seka jų elgesį ar statusą (asmenų profiliavimas rizikos vertinimo tikslais, asmens buvimo vietos sekimas, lojalumo programų vykdymas, automobilių ar namų valdymas, išmaniųjų skaitiklių, vartotojų elgesiu grindžiama reklama ir t.t. ir pan.)
Kad kiltų pareiga paskirti duomenų apsaugos pareigūną, minėtas duomenų tvarkymas turi būti pagrindinė bendrovės veikla, t.y. duomenys yra būtini pasiekti bendrovės veiklos tikslus arba duomenų tvarkymas yra neatsiejamai susijęs su pagrindine įmonės veikla.

Didelis mastas

Reglamentas (ES) 2016/679 nepateikia sąvokos „didelis mastas“ apibrėžimo, tačiau aiškinant šią sąvoką turi būti atsižvelgiama į Reglamento (ES) 2016/679 preambulės 91 punktą, pagal kurią didelio masto operacijos yra tos, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurie galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų. Apibendrinant, kriterijais, pagal kuriuos turėtų būti vertinamas asmens duomenų tvarkymo mastas, galėtų būti duomenų subjektų skaičius, asmens duomenų kiekis ar apimtis, duomenų tvarkymo trukmė ar pastovumas, asmens duomenų tvarkymo geografinis mastas.

Darbuotojas ar išorės paslaugų teikėjas?

ES duomenų apsaugos reglamentas leidžia organizacijoms pasirinkti, ar domenų apsaugos pareigūno funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės.
Duomenų apsaugos funkcijų vykdymas ir duomenų apsaugos atitikties užtikrinimas iš duomenų valdytojų ir tvarkytojų gali pareikalauti daug žmogiškųjų ir administracinių išteklių. Bendrovėms yra tikslingiau šiuos išteklius panaudoti savo pagrindinei veiklai vykdyti. Todėl visiškai racionalu duomenų apsaugos pareigūno atsakomybę patikėti kvalifikuotam paslaugų teikėjui.
Rinkdamosi duomenų apsaugos pareigūno veiklos formą, bendrovės turi atsižvelgti į kelis labai svarbius aspektus:
1. duomenų apsaugos pareigūnas turi turėti visišką autonomiją ir nepriklausomumą, būtina savo funkcijoms tinkamai atlikti.
2. duomenų apsaugos pareigūnas gali eiti kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto. Todėl duomenų apsaugos pareigūnu negali būti skiriami sekantys asmenys: bendrovių direktoriai, operacijų, finansų, žmogiškųjų išteklių, marketingo arba IT vadovai.

Duomenų apsaugos priežiūros pareigūnas ir jo darbuotojai kadencijos metu ir jai pasibaigus įsipareigoja saugoti su bet kuria konfidencialia informacija susijusią profesinę paslaptį, kurią jie sužinojo eidami savo tarnybines pareigas.

[sm_hr]

Novus Nexus asmens duomenų apsaugos paslaugos:

• Išankstinė bendrovių, įstaigų ar organizacijų patikra, duomenų tvarkymo tikslų analizė, dokumentacijos, duomenų tvarkymo tvarkų auditas;
• Duomenų tvarkymo dokumentacijos rengimas bendrovėms, įstaigoms ar organizacijoms, vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (ADTAĮ), Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 (BDAR), Lietuvos Respublikos elektroninių ryšių įstatymu, Lietuvos Respublikos vyriausybės nutarimu patvirtintu bendrųjų elektroninės informacijos saugos reikalavimų aprašu, saugos dokumentų turinio gairių aprašu ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, Lietuvos Respublikos kibernetinio saugumo įstatymu ir kitais Lietuvos Respublikos bei tarptautiniais teisės aktais bei standartais reglamentuojančiais asmens duomenų tvarkymą ir informacijos (duomenų) saugumą;
• Duomenų apsaugos pareigūno paslaugos. Nuolatinė duomenų tvarkymo priežiūra ir kontrolė bendrovėse, įstaigose ar organizacijose;
• Atstovavimas valstybinėje duomenų apsaugos inspekcijoje;
• Nuolatinė bendrovių, įstaigų ar organizacijų duomenų apsaugos techninė ir juridinė priežiūra, konsultacijos, mokymai;
• Konsultacijos dėl organizacinių ir techninių duomenų apsaugos priemonių įgyvendinimo. Techninių priemonių poreikis vertinamas atlikus bendrovių, įstaigų ar organizacijų IT ūkio auditą.

Paslaugų kainos ir darbų įvykdymo terminai vertinami individualiai pagal faktinius poreikius ir numatomų darbų apimtis.