Duomenų apsaugos pareigūnas: verčia suklupti net pasaulinius verslo banginius
)
Duomenų apsaugos pareigūno skyrimas vienoms organizacijoms yra privalomas, kitoms – neprivalomas, bet galėtų būti naudingas. Pavyzdžiai rodo, kad kai ši pareigybė – privaloma, net didžiausi pasaulio verslo banginiai retkarčiais suklumpa.
Spausdinta: Apskaitos, audito ir mokesčių aktualijos 2020-09-22 numeryje
Pagal BDAR, duomenų apsaugos pareigūno pareigybė yra privaloma visoms valdžios institucijoms ar įstaigoms (išskyrus teismus). Taip pat ši pareigybė yra privaloma organizacijoms, kurių pagrindinė veikla yra nuolat sistemingai dideliu mastu stebėti duomenų subjektus arba specialių kategorijų duomenų tvarkymas dideliu mastu. BDAR nepateikia „pagrindinės veiklos“, „didelio masto“, „reguliaraus ir sistemingo stebėjimo“ apibrėžimų, šie kriterijai yra vertinimo objektas ir todėl praktikoje neretai kelia sunkumų, ypač smulkiam ir vidutiniam verslui.
Duomenų apsaugos pareigūno nepaskyrimas gali lemti BDAR pažeidimą ir administracinių baudų skyrimą. Pavyzdžiui, Vokietijos telekomunikacijų kompanijai „1&1 Telecom GmbH“ duomenų apsaugos pareigūno nepaskyrimas kainavo 10 000 eurų (daugiau informacijos čia). Parenkant baudos dydį buvo atsižvelgta į tai, kad įmonė priklauso labai mažų įmonių kategorijai.
Kas yra „pagrindinė veikla“, „reguliarus ir sistemingas stebėjimas“ bei „didelis mastas“? Estų aiškinimas
29 Straipsnio duomenų apsaugos darbo grupė (po BDAR įsigaliojimo pertvarkyta į Europos duomenų apsaugos valdybą) yra parengusi Duomenų apsaugos pareigūnų gaires (Gairės), kurios paaiškina BDAR nuostatas dėl duomenų apsaugos pareigūno funkcijos bei pateikia rekomendacijas, pavyzdžius dėl paminėtų kriterijų.
Pagrindine veikla gali būti laikomos svarbiausios operacijos arba viena iš svarbiausių operacijų organizacijos tikslams pasiekti. Pvz., pagrindinė ligoninės veikla yra teikti sveikatos priežiūros paslaugas, tačiau ligoninė negalėtų saugiai ir veiksmingai teikti sveikatos priežiūros paslaugų netvarkydama duomenų apie sveikatą. Duomenų tvarkymas turėtų būti laikomas viena iš pagrindinių ligoninės veiklos sričių, todėl ligoninės turi paskirti duomenų apsaugos pareigūnus.
Pažymima, kad neįmanoma nurodyti tikslaus tvarkomų duomenų kiekio ar atitinkamų asmenų skaičiaus, kuris būtų laikytinas dideliu mastu, todėl rekomenduoja atsižvelgti tokius veiksnius, kaip a) susijusių duomenų subjektų skaičius, b) įvairių tvarkomų duomenų vienetų kiekis ir (arba) intervalas, c) duomenų tvarkymo veiklos trukmė arba pastovumas, d) geografinė duomenų tvarkymo veiklos aprėptis. Duomenų tvarkymo dideliu mastu pavyzdžiu taip pat galėtų būti pacientų duomenų tvarkymas ligoninės įprastinės veiklos metu.
Reguliarus reiškia vieną arba keletą šių dalykų: vykstantis arba pasitaikantis tam tikrais intervalais konkrečiu laikotarpiu, pasikartojantis arba kartojamas konkrečiu metu, vykstantis nuolat arba periodiškai. Sistemingas - vykstantis pagal tam tikrą sistemą, iš anksto suplanuotas, suorganizuotas arba metodiškas, vykdomas kaip bendro duomenų rinkimo plano dalis, vykdomas kaip strategijos dalis. Veiklos, kuri gali būti laikoma reguliariu ir sistemingu duomenų subjektų stebėjimu, pavyzdžiais gali būti telekomunikacijų paslaugų teikimas, vietos sekimas mobiliosiomis programėlėmis, lojalumo programos, vartotojų elgesiu grindžiama reklama, savijautos, fizinės formos ir sveikatos duomenų stebėjimas dėvimais įrenginiais ir kt.
Estijos priežiūros institucija, siekdama palengvinti šio kriterijaus vertinimą, yra išleidusi rekomendacijas pagal kurias sprendžiant dėl duomenų apsaugos pareigūno skyrimo „didelis mastas“ turėtų būti suprantamas taip:
5 000+ duomenų subjektų – kai yra tvarkomi specialių kategorijų duomenys; 10 000+ duomenų subjektų – kai tvarkomi duomenys priskiriami didelio pavojaus kategorijai; 50 000+ duomenų subjektų – kai tvarkomi kiti asmens duomenys.
Lietuvos priežiūros institucija nėra išleidusi oficialių rekomendacijų šiuo klausimu, todėl turime vertinti skyrimo pagrindus kiekvienu atveju atskirai.
Kai iškyla interesų konfliktas
50 000 eur – tai administracinė bauda, kurią Belgijos priežiūros institucija skyrė telekomunikacijų paslaugų teikėjui „Proximus SA“ už tai, jog paskyrė Audito, rizikos bei atitikties departamento vadovą duomenų apsaugos pareigūnu, laikant kad ši pareigybių kombinacija grubiai pažeidžia BDAR reikalavimus dėl interesų konflikto vengimo.
Pagal BDAR duomenų apsaugos pareigūnas turi būti skiriamas, atsižvelgiant į profesines savybes, visų pirma duomenų apsaugos teisės ir praktikos ekspertines žinias, pasižymėti gebėjimu atlikti BDAR nurodytas užduotis. Šiuos reikalavimus gali atitikti tiek organizacijos personalo narys, tiek išorės paslaugų teikėjas. BDAR palieka spręsti pačiai organizacijai, kaip elgtis: samdyti darbuotoją šiai pareigybei, duomenų apsaugos pareigūno užduotis pavesti esamam personalo nariui ar pasitelkti paslaugų teikėją. Pagal BDAR, duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Visgi, duomenų valdytojas arba duomenų tvarkytojas privalo užtikrinti, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.
Praktikoje pavedant duomenų pareigūno funkcijas, reikėtų atsižvelgti į tai, jog paprastai interesų konfliktą gali kelti vadovaujančios pozicijos IT, atitikties, audito, teisės, finansų, rinkodaros, žmogiškųjų išteklių departamentuose. Be to, interesų konfliktą gali kelti ir kitos vadovaujančios bei žemesnio lygio pareigos organizacijos struktūroje, jeigu vykdant tas pareigas arba funkcijas reikia nustatyti duomenų tvarkymo tikslus ir priemones.
Pamiršus pranešti apie paskirtą duomenų apsaugos pareigūną
BDAR numato pareigą pranešti duomenų apsaugos pareigūno kontaktinius duomenis priežiūros institucijai. Štai 2019 m. pabaigoje Hamburgo komisaras, atsakingas už duomenų apsaugą, skyrė Facebook dukterinei kompanijai „Facebook Germany GmbH“ 51 000 eurų baudą už tai, kad nebuvo pranešta apie naujo duomenų apsaugos pareigūno paskyrimą būtent Vokietijoje (daugiau informacijos čia).
