201712.08
0

Gerbiami skaitytojai,

dalinamės su Jumis antruoju patarimu, padėsiančiu rengiantis Bendrojo duomenų apsaugos reglamento taikymui.

Šį kartą kalbame apie duomenų apsaugos pareigūno skyrimą: kas jis, kokias funkcijas atlieka bei kurios įmonės privalo jį skirti, o kurios ne? Daugiau apie tai skaitykite toliau.

Iš viso esame parengę 12 praktinių patarimų, kuriais dalinsimės su Jumis kartą per dvi savaites iki gegužės 25 dienos.

Toliau dalinamės antrąja įžvalga ir tikimės, kad ji Jums bus naudinga!

NUSPRĘSKITE DĖL DUOMENŲ APSAUGOS PAREIGŪNO SKYRIMO IR, ESANT POREIKIUI, JĮ PASKIRKITE

  1. PRIIMKITE SPRENDIMĄ DĖL DUOMENŲ APSAUGOS PAREIGŪNO REIKALINGUMO

Viena iš Bendrojo duomenų apsaugos reglamento naujovių – tam tikrų duomenų valdytojų (tvarkytojų) * pareiga paskirti duomenų apsaugos pareigūną.

Duomenų apsaugos pareigūnas – ekspertas, stebintis ir analizuojantis, kaip duomenų valdytojas (tvarkytojas) laikosi asmens duomenų tvarkymui keliamų reikalavimų, konsultuojantis vadovus ir darbuotojus asmens duomenų tvarkymo klausimais bei veikiantis kaip tarpininkas tarp duomenų valdytojo (tvarkytojo) ir priežiūros institucijos**.

Duomenų apsaugos pareigūną privalote paskirti, jei:

  • esate valdžios institucija;

ARBA

  • asmens duomenų tvarkymas yra pagrindinė įmonės veikla, t.y. netvarkydami asmens duomenų, negalėtumėte pasiekti įmonės veiklos tikslų (pavyzdžiui, teikiate sveikatos priežiūros paslaugas, vykdote prekybą internetu);
  • vykdote reguliarų ir sistemingą duomenų subjektų stebėjimą (monitoringą), t.y. tikslu priimti su duomenų subjektais susijusius sprendimus reguliariai ir metodiškai stebite duomenų subjektus, jų statusą (pavyzdžiui, vykdydami lojalumo programas, skleisdami vartotojų elgsena grindžiamą reklamą);
  • duomenų tvarkymą vykdote dideliu mastu; nustatant mastą, atsižvelgiama į duomenų subjektų, kurių duomenys tvarkomi, kiekį, kokioje geografinėje teritorijoje tvarkomi duomenys, duomenų subjekto duomenų apimtį, įvairovę ir pan.

ARBA

  • tvarkote jautresnius asmens duomenis, t.y. duomenis apie apkaltinamuosius nuosprendžius, nusikalstamas veikas, rasinę ar etninę kilmę, politines pažiūras, genetinius, biometrinius, sveikatos duomenis ir pan.
  • jautresnius asmens duomenis tvarkote dideliu mastu.

Jeigu įmonės vykdoma veikla atitinka nurodytus kriterijus, turite pareigą paskirti duomenų apsaugos pareigūną. Tačiau duomenų apsaugos pareigūną galite paskirti taip pat ir tuo atveju, kai tokia pareiga įmonei nėra taikoma.

(!) Įvertinimo dėl duomenų apsaugos pareigūno skyrimo būtinumo rezultatus patariame išsamiai aprašyti parengiant išvadą, kuri prireikus galės būti pateikta priežiūros institucijai.

  1. PASKIRKITE DUOMENŲ APSAUGOS PAREIGŪNĄ

Duomenų apsaugos pareigūnu gali būti skiriamas tiek įmonės darbuotojas, tiek ir specialių žinių turintis išorinis paslaugų teikėjas. Taip pat galima paskirti vieną duomenų apsaugos pareigūną visai įmonių grupei. Konkretūs kvalifikaciniai, išsilavinimo reikalavimai asmens duomenų apsaugos pareigūnui nėra nustatyti, tačiau šias pareigas einantis asmuo turėtų išmanyti teisinius ir techninius asmens duomenų apsaugos aspektus, sektoriaus, kuriame veikia įmonė, specifiką ir pačios įmonės veiklą.

Nepriklausomai nuo to, ar duomenų apsaugos pareigūnu paskirsite darbuotoją, ar išorės paslaugų teikėją, turite užtikrinti duomenų apsaugos pareigūno nepriklausomumą, t. y.

  • neduoti duomenų apsaugos pareigūnui jokių privalomų nurodymų ir instrukcijų jo veiklos klausimais;
  • netaikyti drausminių nuobaudų dėl duomenų apsaugos pareigūno funkcijų vykdymo;
  • užtikrinti, kad tarp duomenų apsaugos pareigūno ir kitų jo, kaip darbuotojo, funkcijų nekiltų interesų konflikto. Pavyzdžiui, interesų konfliktas egzistuotų, jei duomenų apsaugos pareigūnu būtų paskirtas vienas iš vadovaujančias pareigas užimančių įmonės darbuotojų.

(!) Duomenų apsaugos pareigūnas nėra asmeniškai atsakingas už duomenų valdytojo (tvarkytojo) padarytus asmens duomenų tvarkymo pažeidimus, atsakomybė už pažeidimus bet kokiu atveju tenka duomenų valdytojui (tvarkytojui).

  1. PASKELBKITE IR PRANEŠKITE PRIEŽIŪROS INSTITUCIJAI DUOMENŲ APSAUGOS PAREIGŪNO KONTAKTINIUS DUOMENIS

Kadangi duomenų apsaugos pareigūnas veikia kaip tarpininkas tarp duomenų valdytojo (tvarkytojo) ir priežiūros institucijos, priežiūros institucijai turite pranešti paskirto duomenų apsaugos pareigūno kontaktinius duomenis, leidžiančius tiesiogiai su juo susisiekti: elektroninio pašto adresą ir (ar) telefono numerį. Taip pat galite nurodyti ir tokio asmens vardą bei pavardę (pavadinimą).

Pareiga paskelbti duomenų apsaugos pareigūno kontaktinius duomenis apima tiek pareigą informuoti duomenų valdytojo (tvarkytojo) darbuotojus, tiek ir kitus duomenų subjektus, pateikiant informaciją, pavyzdžiui, įmonės interneto svetainėje.

___________________________

*Duomenų valdytojas – fizinis arba juridinis asmuo, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.

 Duomenų tvarkytojas – fizinis arba juridinis asmuo, kuris duomenų valdytojo vardu tvarko asmens duomenis.

**Priežiūros institucija – valstybės narės įsteigta nepriklausoma valdžios institucija, Lietuvoje tai yra Valstybinė duomenų apsaugos inspekcija.