3 mitai apie duomenų apsaugos pareigūną

Nepaisant to, kad savo klientams nuolat aiškiname bei straipsniuose jau esame nagrinėję dažniausiai kylančius klausimus apie duomenų apsaugos pareigūną (DAP), pastebime, kad dar vis kyla klaidingų įsitikinimų apie šią pareigybę. Kokie yra 3 pagrindiniai mitai, kuriais turite nustoti tikėti, ir kodėl jie dar atsiranda, atsakome blog‘o įraše žemiau.

Pirmasis mitas – DAP paskyrimas yra privalomas tik didelėms organizacijoms.

Daugelis verslininkų tiki, kad DAP yra reikalingas tik didelėms organizacijoms. Toks įsitikinimas dažniausiai susiformuoja dėl daromos prielaidos, kad tik stambūs verslo subjektai tvarko didelius asmens duomenų kiekius.

Iš tikrųjų, būtinumą paskirti DAP dažnu atveju lemia ne organizacijos dydis, o vykdomos veiklos ir tvarkomų asmens duomenų pobūdis bei ūkio subjekto teisinis statusas. Norime priminti, kad pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) DAP paskyrimas yra privalomas 3 atvejais: 1) kai asmens duomenis tvarko valdžios institucija ar įstaiga; 2) kai įmonės pagrindinė veikla yra reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus (pvz., tikslinės reklamos ir tiesioginės rinkodaros paslaugas teikiančios įmonės, draudimo bendrovės, kredito įstaigos, vaizdo stebėjimą vykdančios apsaugos tarnybos ir pan.); 3) kai įmonės pagrindinė veikla yra specialių kategorijų duomenų (t.y. duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie asmens lytinį gyvenimą ar lytinę orientaciją) ir asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Iš aukščiau nurodyto teisinio reglamentavimo seka, kad apie 10 darbuotojų turinti odontologijos klinika, kurios veikloje yra neišvengiamas pacientų sveikatos duomenų tvarkymas arba tokio pat dydžio apsaugos tarnyba, kuri vykdo vaizdo stebėjimą daugelyje klientų objektų, turi paskirti duomenų apsaugos pareigūną, o stambiai gamybinei įmonei, turinčiai apie 1000 darbuotojų toks reikalavimas paprastai nėra keliamas. Tokiu būdu, DAP paskyrimo būtinybę lemia ne organizacijos mastas, o jos atliekamų verslo procesų specifika, tvarkomų asmens duomenų rūšis ir apimtis bei organizacijos teisinė forma.

Antrasis mitas – DAP yra atsakingas už organizacijos tvarkomų asmens duomenų saugumą.

Daug žmonių tiki, kad DAP pagrindinė funkcija yra tiesiogiai susijusi su techninių saugumo priemonių įdiegimu ir organizacijos kibernetine apsauga nuo asmens duomenų saugumo pažeidimų (pvz., asmens duomenų nutekėjimų). Tačiau tokia pozicija nėra teisinga.

DAP uždaviniai daugiau yra orientuoti į teisinius ir procedūrinius duomenų apsaugos aspektus, negu į techninius kibernetinio saugumo dalykus. DAP užtikrina, kad organizacijos dokumentai ir procesai atitiktų BDAR, konsultuoja bei edukuoja įmones teisiniais duomenų apsaugos klausimais, taip pat atlieka kontaktinio asmens funkciją santykiuose su priežiūros institucijomis ir duomenų subjektais. Taigi, yra darytina išvada, kad DAP yra daugiau teisininkas ir procesų stebėtojas nei kibernetinio saugumo specialistas.

Už techninių priemonių skirtų sumažinti duomenų saugumo pažeidimų riziką paprastai yra atsakingas organizacijos IT departamentas arba kibernetinio saugumo specialistai. DAP gali teikti patarimus dėl gerų duomenų apsaugos praktikų ir bendrų saugumo procesų, tačiau jis neturėtų būti tiesiogiai atsakingas už šių techninių priemonių įgyvendinimą. Tokiu būdu, DAP pagrindinė užduotis yra užtikrinti teisinę ir etinę duomenų tvarkymo pusiausvyrą, o ne organizacijos kibernetinį saugumą.

Trečiasis mitas – DAP negali eiti kitų pareigų organizacijoje.

Neretai painiavą kelią klaidingas įsitikinimas, kad DAP neturi teisės eiti jokių kitų pareigų organizacijoje. Galiojantys teisės aktai nedraudžia DAP vykdyti kitų užduočių ir pareigų, tačiau duomenų valdytojas arba duomenų tvarkytojas privalo užtikrinti, kad nekiltų interesų konfliktas ir DAP išliktų nepriklausomas. Svarbu užtikrinti tai, kad DAP organizacijoje neužimtų pareigų, pagal kurias jis turėtų nustatyti asmens duomenų tvarkymo tikslus ir priemones. Paprastai interesų konfliktą sukelia  vyresniosios vadovybės pareigybės (pvz., generalinis direktorius, operacijų vadovas, vyriausiasis finansininkas, vyriausiasis gydytojas, rinkodaros padalinio vadovas, žmogiškųjų išteklių arba IT padalinio vadovas) arba žemesnio lygio pareigos organizacijos struktūroje, jeigu vykdant tas pareigas arba funkcijas reikia nustatyti duomenų tvarkymo tikslus ir priemones.

Atkreipkite dėmesį, kad interesų konfliktą, visgi, geriausiai eliminuoja išorinio paslaugų teikėjo kaip DAP paskyrimas. Fondia Lietuva duomenų apsaugos ekspertai teikia išorinio duomenų apsaugos pareigūno paslaugą (DPOaaS – Data Protection Officer as a Service). DPOaaS paslauga apima ne tik teisės aktuose numatytų DAP užduočių vykdymą, bet ir nuolatinį duomenų apsaugos teisininkų komandos darbą Jums.

Kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasikalbėti apie Fondia išorinio DAP paslaugą. Pokalbį galite paskirti Jums patogiu laiku paspaudę  Calendly  nuorodą.

Jei norite daugiau sužinoti apie teisės aktų naujoves bei gauti praktinius teisininkų patarimus, kviečiame prenumeruoti mūsų naujienlaiškį!