2018 m. gegužės 25 d. įsigaliojo Bendrasis duomenų apsaugos reglamentas (BDAR), kurio viena iš naujovių yra duomenų apsaugos pareigūnas. Visų pirma verta paminėti, kad tai nėra visiška naujovė. Duomenų apsaugos direktyva numato ES valstybėms narėms galimybę supaprastinti reikalavimą pranešti apie duomenų tvarkymą priežiūros institucijai arba atleisti nuo jo, kai duomenų valdytojas yra paskyręs duomenų apsaugos pareigūną.
Taigi, duomenų apsaugos pareigūnas nėra visiška naujiena, tačiau BDAR ženkliai padidina jo vaidmenį asmens duomenų apsaugoje, kadangi ES valstybės narės duomenų apsaugos direktyvą perkeliančios į nacionalinę teisę galėjo pasirinkti kelią, kuriame duomenų apsaugos pareigūnas duomenų apsaugos reguliavime nefigūruoja.
BDAR duomenų apsaugos pareigūnas yra pagrindinė figūra naujojoje duomenų valdymo sistemoje, kuris ne tik padeda laikytis reikalavimų įgyvendinant atskaitomybės priemones, o taip pat, veikia kaip tarpininkai santykiuose su priežiūros institucija bei santykiuose tarp bendrovės padalinių ir asmenų, kurių duomenis jie renka.
Paulius Šatkauskas, UAB Sabelija Vilniaus skyriaus direktorius pasakoja, kada tai daryti privalu, kokios to darbuotojo pareigos ir atsakomybės.
Kada privaloma paskirti duomenų apsaugos pareigūną?
„Pirma duomenų apsaugos pareigūną paskirti privaloma, jei duomenis tvarko valdžios institucija. Taip pat tada, jeigu bent vieną iš šių sąlygų įmonė ar įstaiga atitinka:
- kai asmens duomenų tvarkymas yra pagrindinė įmonės veikla - t. y. netvarkant asmens duomenų, negalima būtų pasiekti įmonės veiklos tikslų, pavyzdžiui, teikiamos skolų išieškojimo paslaugos, sveikatos priežiūros ir panašios paslaugos.
- Jei duomenų tvarkymas yra reguliarus ir sistemingas - reguliariai ir metodiškai yra stebimi duomenų subjektai, pavyzdžiui, vykdant lojalumo programas, duomenų tvarkymas vykdomas dideliu mastu (mastas nustatomas, atsižvelgiant į duomenų subjektų, kurių duomenys tvarkomi, kiekį, kokioje geografinėje teritorijoje tvarkomi duomenys, duomenų subjekto duomenų apimtį, įvairovę ir pan.) duomenų apsaugos pareigūną irgi privalu paskirti.
- Ir trečia, tokį pareigūną privalu paskirti kai tvarkomi specialiosios kategorijos, jautrieji duomenys. Pavyzdžiui, duomenys apie rasinę ar etinę kilmę, politines pažiūras, genetinius, biometrinius, sveikatos duomenis ir kt. ir šie duomenys tvarkomi dideliu mastu”, - aiškina P.Šatkauskas.
Tačiau duomenų apsaugos pareigūną galima paskirti ir tada, kai tokia pareiga nėra numatyta Reglamente, pavyzdžiui, įvertinus įmonėje tvarkomų duomenų subjektų duomenų mastą, duomenų saugumo priemones ir kitus kriterijus.
Pašnekovas sako, kad už duomenų apsaugos pareigūno paskyrimą yra atsakingas įmonės ar įstaigos vadovas: „Nepaskyrus duomenų apsaugos pareigūno tais atvejais, kai tai yra privaloma, įmonė ar įstaiga balansuoja ties administracine atsakomybe ir Reglamento pažeidimu. Už pareigos nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos“.
BDAR nuostatos susijusios su duomenų apsaugos pareigūno paskyrimo, kaip ir dauguma kitų reglamento nuostatų yra vertinamojo pobūdžio dėl to nėra visiškai aiškios. Kad organizacija nustatytų ar ji privalo paskirti duomenų apsaugos pareigūną, jos turėtų įsivertinti ar jos atitinka nurodytus kriterijus. Toks vertinimas gali būti sudedamoji vidinio duomenų apsaugos audito sudedamoji dalis. Iš paminėtų kriterijų, lengviausiai suprantamas yra pagrindinės veiklos kriterijus. Duomenų valdymo ar tvarkymo operacijos bus laikomos pagrindinė bendrovės veikla tada, kai duomenų tvarkymo operacijos sudaro neatskiriamą duomenų valdytojo arba duomenų tvarkytojo veiklos dalį.
Paprastai tariant, jei bendrovės pagrindinei veiklai vykdyti yra privaloma atlikti tam tikras operacijas su asmens duomenimis, būtų laikoma, kad bendrovės pagrindinė veikla yra duomenų tvarkymo operacijos. Kitas abstraktus kriterijus, kurį būtina įvertinti yra didelis mastas. 29 str. Nė vienas iš šių kriterijų nėra absoliučiai aiškus ir kiekvieno asmens gali būti vertinamas skirtingai, todėl vertinant patartina papildomai atsižvelgti į tai, ar tvarkomų duomenų skaičius yra ženklus valstybės gyventojų skaičiaus atžvilgiu ar regiono atžvilgiu, ar tvarkomi duomenys yra asmenų, kurie gyvena viename mieste ir pan. aplinkybes. Deja, kol kas nėra aiškaus skaičiaus, kuriuo būtų galima remtis nustatinėjant ar masto dydį, tačiau tikėtina, kad toks skaičius ir neatsiras. Paskutinis vertinamasis kriterijus, kurį pateikia reglamentas siekiant įvertinti ar būtina paskirti duomenų apsaugos pareigūną yra sistemingas ir reguliarus stebėjimas. Remiantis šiuo 29 straipsnio darbo grupės išaiškinimu bendrovės turės įsivertinti, ar jos atitinką šį kriterijų.
Atskirai paminėtini specialieji duomenys, kadangi jų tvarkymas dideliu mastu taip pat įpareigoja paskirti duomenų apsaugos pareigūną, kai toks tvarkymas yra pagrindinė bendrovės veikla. Kas yra specialieji duomenys nurodo pats reglamentas. Specialieji duomenys, tai duomenys, kurie atskleidžia subjekto rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose.
Taigi, vadovaudamosi šiais vertinamojo pobūdžio kriterijais bendrovės turės pačios įsivertinti, ar jos privalo paskirti duomenų apsaugos pareigūną, ar ne. Patartina tokio vertinimo nedaryti atmestinai ir viską dokumentuoti. Atkreiptinas dėmesys į tai, kad BDAR leidžia bendrovėms pasirinkti, ar duomenų apsaugos pareigūno funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės.
Tačiau pabrėžia, kad duomenų apsaugos pareigūno paskyrimas negali būti formalus veiksmas, kadangi atsakomybė, numatyta šioje srityje yra didelė ir „skausminga“: „Verta atkreipti dėmesį, kad Duomenų apsaugos pareigūno funkcijų vykdymas gali pareikalauti nemažai žmogiškųjų ir administracinių išteklių, kuriuos neretai tikslingiau yra panaudoti pagrindinei veiklai vykdyti, todėl racionaliau duomenų apsaugos pareigūno funkcijas patikėti kvalifikuotam paslaugų teikėjui. Kiek esame susidūrę, stambiosios Lietuvos ir Europos įmonės, bei įmonių grupės labiau yra linkusios samdytis atskirą darbuotoją šioms pareigoms užimti, tačiau efektyvumo siekiančios įmonės vis dažniau duomenų apsaugos pareigūno darbo funkcijas perduoda konsultacinėms įmonėms.“
Duomenų apsaugos pareigūno funkcijos ir pareigos
P.Šatkauskas vardija duomenų apsaugos pareigūnų funkcijas: „Jis informuoja duomenų valdytojo arba duomenų tvarkytojo ir duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir konsultuoja šiais klausimais: stebi, kaip laikomasi Reglamento, duomenų valdytojo (tvarkytojo) politikos asmens duomenų apsaugos srityje.
Taip pat konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą. Pareigūnas bendradarbiauja su Valstybine duomenų apsaugos inspekcija ir atlieka kontaktinio asmens funkciją Valstybinei duomenų apsaugos inspekcijai kreipiantis su duomenų tvarkymu susijusiais klausimais.“
Duomenų apsaugos pareigūnas veikia kaip tarpininkas tarp įvairių suinteresuotųjų subjektų, tiek priežiūros institucijų, tiek duomenų subjektų, įmonės padalinių ir kitų. Duomenų apsaugos pareigūnas padeda laikytis reikalavimų įgyvendinant atskaitomybės priemones.
Bendrovės paskirdamos duomenų apsaugos pareigūną taip pat turi atkreipti dėmesį į tai, kad duomenų apsaugos pareigūnas turi turėti autonomiją ir nepriklausomumą, reikalingą savo funkcijoms atlikti. Taip pat, svarbu paminėti, kad duomenų apsaugos pareigūnas gali bendrovėje eiti ir kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto. Todėl duomenų apsaugos pareigūnu neturėtų būti skiriami tokie asmenys, kurie dalyvauja sprendžiant kokie duomenys yra/turi būti renkami ir tvarkomi. Taigi, duomenų apsaugos pareigūnu negalėtų būti įmonės direktorius, operacijų, finansų, žmogiškųjų išteklių, marketingo, IT ar teisės skyrių vadovai.
Pareigūno atsakomybė
Tačiau duomenų apsaugos pareigūnas yra atsakingas už bet kurios konfidencialios informacijos, susijusios su profesine paslaptimi, kurią jis sužinojo eidamas savo pareigas, saugojimą tiek vykdydamas savo funkcijas, tiek po to.
„Duomenų apsaugos pareigūnu gali būti paskirtas įmonės ar įstaigos darbuotojas taip pat išorės paslaugų teikėjas. Visais atvejais šiam asmeniui turi būti užtikrintas nepriklausomumas, t. y. duomenų apsaugos pareigūnui negalima duoti jokių privalomų nurodymų ir instrukcijų jo veiklos klausimais, negalima taikyti drausminių nuobaudų dėl duomenų apsaugos pareigūno funkcijų vykdymo, būtina užtikrinti, kad tarp duomenų apsaugos pareigūno ir kitų jo, kaip darbuotojo, funkcijų nekiltų interesų konflikto“, - sako P.Šatkauskas.
Jis primena, kad duomenų apsaugos pareigūnas nėra asmeniškai atsakingas už įmonės ar įstaigos padarytus asmens duomenų tvarkymo pažeidimus, atsakomybė šiuo atveju bet kokiu atveju tenka įmonei ar įstaigai. Tai reiškia, kad net ir paskyrus duomenų apsaugos pareigūną įmonės vadovai turi skirti pakankamai dėmesio prižiūrint saugaus duomenų tvarkymo procesus.
Kas gali būti duomenų apsaugos pareigūnu?
„Kaip minėta, duomenų apsaugos pareigūnu gali būti paskirtas tiek įmonės ar įstaigos darbuotojas, tiek ir specialių žinių turintis išorinis paslaugų teikėjas. Įmonių grupei leidžiama paskirti vieną duomenų apsaugos pareigūną.
Reglamente nėra nustatyti kokie nors kvalifikaciniai, išsilavinimo reikalavimai duomenų apsaugos pareigūnui, tačiau šias funkcijas atliekantis asmuo turėtų išmanyti teisinius ir techninius asmens duomenų apsaugos aspektus bei sektoriaus, kuriame veikia įmonė ar įstaiga, specifiką ir pačios įmonės ar įstaigos veiklą. Taigi, skiriant duomenų apsaugos pareigūną būtina atsižvelgti į jo ekspertinių žinių lygį, profesines savybes bei gebėjimą atlikti užduotis“, - aiškina P.Šatkauskas.
Jis sako, kad siekiant išvengti interesų konflikto duomenų apsaugos pareigūnu neturėtų būti paskirtas vienas iš vadovaujančias pareigas užimančių įmonės darbuotojų. Ir siūlo atkreipti dėmesį, kad Reglamentas nereikalauja įrodyti duomenų apsaugos pareigūno kvalifikaciją oficialiu dokumentu -licencija, sertifikatu ir pan.
„Dar 2017 metais diskusijų su Valstybinės duomenų apsaugos inspekcijos atsakingais darbuotojais metu buvo konkretizuoti duomenų apsaugos pareigūno skyrimo kriterijai, tačiau Reglamento įgyvendinimo priežiūrą vykdyti ir taikyti sankcijas duomenų valdytojams Lietuvoje paskirta inspekcija pacitavo Reglamento 83 straipsnio 1 dalį: „kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio Reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos. Todėl, kai įmonei ar įstaigai nėra aišku, ar reikia skirti duomenų apsaugos pareigūną, geriau jį skirti, o jeigu pareigūnas nebuvo paskirtas, turėti tokius motyvus pagrindžiančius įrašus, kuriuose būtų tinkamai pagrįsta neskyrimo priežastys“, - sako P. Šatkauskas.
Bendrovės paskirdamos duomenų apsaugos pareigūną taip pat turi atkreipti dėmesį į tai, kad duomenų apsaugos pareigūnas turi turėti autonomiją ir nepriklausomumą, reikalingą savo funkcijoms atlikti. Taip pat, svarbu paminėti, kad duomenų apsaugos pareigūnas gali bendrovėje eiti ir kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto. Todėl duomenų apsaugos pareigūnu neturėtų būti skiriami tokie asmenys, kurie dalyvauja sprendžiant kokie duomenys yra/turi būti renkami ir tvarkomi. Taigi, duomenų apsaugos pareigūnu negalėtų būti įmonės direktorius, operacijų, finansų, žmogiškųjų išteklių, marketingo, IT ar teisės skyrių vadovai.