Dažniausiai pasitaikantys BDAR neatitikimai duomenų apsaugos pareigūno veikloje
Praėjusią savaitę Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė apžvalgą, kurioje apibendrino savo patikrinimų rezultatus dėl reikalavimų, susijusių su duomenų apsaugos pareigūno (DAP) veikla. VDAI taip pat išskyrė dažniausiai pasitaikiusius neatitikimus Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimams.
Šiame blog‘e trumpai aptarsiu išskirtus neatitikimus BDAR reikalavimams dėl DAP funkcijų atlikimo bei pasidalinsiu rekomendacijomis:
Organizacijos vadovas ar saugos įgaliotinis negali atlikti DAP funkcijų.
Savo praktikoje neteko susidurti su organizacijomis, kurios skirtų DAP organizacijos vadovą. Visgi, praktika skirti saugos įgaliotinį buvo dažna ir panašu, kad ji nepakito. DAP pagal BDAR organizacijoje gali vykdyti ir kitas pareigas, visgi, organizacijai keliama pareiga užtikrinti, kad dėl tokių pareigų nekiltų interesų konfliktas. Paprastai interesų konfliktą kelia vadovaujančios pareigybės (pvz., direktorius, vyriausiasis finansininkas, rinkodaros padalinio vadovas, žmogiškųjų išteklių vadovas, IT padalinio vadovas ir t.t.). Visgi, interesų konfliktą gali kelti ir žemesnio lygio pareigybės, jeigu vykdant tas pareigas reikia nustatyti duomenų tvarkymo tikslus ir priemones. Vadovaujantis naujausia VDAI apžvalga, dalis tikrintų organizacijų skyrė tiek vadovą, tiek saugos įgaliotinį DAP. Taip pat buvo skiriami ir kiti darbuotojai (pareigybės VDAI nebuvo išskirtos), kurių paskyrimas kelia interesų konfliktą. Tokia praktika neatitinka BDAR reikalavimų.
Rekomenduoju atlikti ir dokumentuoti vertinimą dėl DAP paskyrimo. Savo praktikoje tokį vertinimą atlieku tam, kad būtų įvertinta, ar konkrečiai organizacijai DAP privalomas, ar užtikrinami reikalavimai, kurie yra keliami paskirtam DAP, ar dėl konkretaus asmens gali kilti interesų konfliktas. Tokį vertinimą atlieku ir dokumentuoju, net jei ir matau, kad organizacijai DAP nėra privalomas (jame pateikiu argumentus, kodėl neprivalomas ir kaip bus prižiūrimi duomenų apsaugos klausimai organizacijoje, pvz., skiriant duomenų apsaugos koordinatorių, t.t.).
Duomenų apsaugos pareigūnas turi būti vienas, bet gali turėti komandą.
VDAI apžvalgoje atkreipia dėmesį, jog tais atvejais, kai yra poreikis turėti daugiau nei vieną asmenį, atliekantį DAP funkcijas, organizacijos gali sudaryti DAP komandą. Tokiu atveju, turėtų būti paskiriamas vienas asmuo, kaip DAP, bei sudaroma DAP komanda. Nemažiau svarbu sudarant DAP komandas yra sudaryti aiškią vidaus struktūrą, išdėstyti kiekvieno komandos nario užduotis ir pareigas.
Savo ruožtu noriu atkreipti dėmesį, kad ir pačioje DAP komandoje gali kilti interesų konfliktas, tad aiškus užduočių ir pareigų paskirstymas būtinas. Jei dar to neatlikote, rekomenduoju peržiūrėti tiek vidaus tvarkas, tiek paslaugų teikimo sutartis, kai DAP yra paslaugų teikėjas.
Jei paslaugų teikimo sutartimi DAP paslaugos yra ribojamos valandomis, privalo būti nustatytas konkretus procesas, kas atliks DAP funkcijas valandų limitui pasibaigus.
Patikrinimų metu nustatyta, kad DAP paslaugų teikimo sutartyse nustatytas paslaugų teikimo ribojimas valandomis, tačiau organizacijos nėra numatę priemonių dėl DAP veiklos tęstinumo, kai baigsis numatytas valandų limitas. Perkant DAP paslaugas iš paslaugų teikėjo gana dažnai sutartyse yra numatomas tam tikras valandų limitas (mėnesiui ar metams). VDAI ragina nustatyti aiškų ir konkretų procesą, kas atliks DAP funkcijas, pasibaigus nustatytam valandų limitui.
Vertindama savo praktiką, manau, kad šis BDAR neatitikimas labiau pasitaiko viešajame sektoriuje. Bet kokiu atveju, rekomenduoju peržiūrėti turimas paslaugų sutartis su DAP paslaugų teikėjų ir jei reikia, jas patikslinti, kaip bus elgiamasi „valandų bankui“ pasibaigus. Jei matoma, kad nebus galimybės didinti „valandų banko“ pagal poreikį, tuomet būtina nustatyti aiškų ir konkretų procesą, kas atliks DAP funkcijas tuo atveju, jei paslaugų teikėjas išnaudos visas sutartas valandas ir atsisakys teikti paslaugas valandoms pasibaigus.
Būtina reglamentuoti atsiskaitymų vadovybei formą ir užtikrinti atsiskaitymų aukščiausiajai vadovybei periodiškumą.
Patikrinimų metu nustatyta, kad dalis organizacijų nėra to įgyvendinę. Mano vertinimu, tai labai aktualus neatitikimas daugeliui organizacijų, ypač dėl reikalavimo užtikrinti atsiskaitymų realų periodiškumą (ne tik ataskaitų, pristatymų išsiuntimą el. paštu). Mano rekomendacija būtų tiek išorės, tiek vidaus DAP – tiesiog nuosekliai komunikuoti su vadovybe.
Organizacijos darbuotojai taip pat turi žinoti apie paskirtą DAP.
Patikrinimų metu nustatyta, kad nors yra paskiriamas DAP, nurodomi jo kontaktiniai duomenys interneto ar intraneto svetainėje, bet nėra imamasi papildomų informavimo priemonių, kad darbuotojai žinotų apie paskirtą DAP ir jo atliekamas funkcijas.
Rekomenduoju visais atvejais organizuoti gyvo kontakto susitikimus, mokymus, klausimų – atsakymų sesijas (pvz., kartu pietaujant su DAP ir pan.).
VDAI privalo būti informuota apie paskirtą ar pasikeitusį DAP.
Patikrinimų metu nustatyta, kad dalis organizacijų nebuvo informavę VDAI apie paskirtą ar pasikeitusį DAP. Daugiau informacijos apie tai, kaip tai padaryti, galima rasti čia.
Turi būti nustatytas procesas, kokie veiksmai turi būti atliekami, kai nepritariama DAP nuomonei.
Patikrinimų metu nustatyta, kad nėra atskirai dokumentuota procedūra, kokių veiksmų imamasi bei kas priima sprendimus, jeigu nepritariama DAP nuomonei.
Neturėjau praktikoje situacjos, kada nebuvo pritarta DAP nuomonei. Visgi, tai labai aktualus aspektas, rekomenduoju peržiūrėti turimas politikas ir tvarkas.
Organizacijos turi suteikti visas galimybes DAP atlikti vertinimus ir/ar auditus.
Patikrinimų metu nustatyta, kad nors BDAR numatyta, jog DAP privalo atlikti atitikties BDAR reikalavimams vertinimus ir (ar) auditus, tačiau tik maža dalis DAP šiuos vertinimus/ auditus buvo atlikę. VDAI savo apžvalgoje pabrėžia, kad DAP privalo periodiškai atlikti atitikties BDAR reikalavimams vertinimus/ auditus ir su jų rezultatais supažindinti duomenų valdytoją. Atitinkamai organizacijos turi suteikti visas galimybes šiuos vertinimus/ auditus atlikti.
Jei turite klausimų dėl DAP paskyrimo, domina DAP, kaip paslauga ar norite papildyti savo DAP komandą mūsų duomenų apsaugos ekspertais, kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasikalbėti su Fondia teisininku.
Pokalbį galite paskirti Jums patogiu laiku paspaudę Calendly nuorodą. Savo klausimą taip pat galite pateikti tiesiogiai el. paštu lithuania@fondia.com.
Jei norite daugiau sužinoti apie teisės aktų naujoves bei gauti praktinius teisininkų patarimus, kviečiame prenumeruoti mūsų naujienlaiškį!