Duomenų tvarkymo sutartis su paslaugų teikėju: į ką atkreipti dėmesį ją rengiant?

Pastebiu, kad pastaruoju metu organizacijos skiria vis daugiau dėmesio duomenų tvarkymo sutarčių su savo paslaugų teikėjais peržiūrai ir koregavimui, todėl noriu pasidalinti patarimais į ką atkreipti dėmesį tuo atveju, jei esate šiame procese.

Bendrasis duomenų apsaugos reglamentas (BDAR) pateikia gana paprastą apibrėžimą, ką turėtume laikyti „duomenų tvarkytoju“ – tai fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis. Visgi, praktikoje pasitaiko atvejų, kai nėra aišku, ar konkretus paslaugų teikėjas yra duomenų tvarkytojas. Prieš ruošiant ir pasirašant duomenų tvarkymo sutartį su konkrečiu paslaugų teikėju, svarbu įvertinti, ar paslaugų teikėjui iš tikrųjų prieinami Jūsų organizacijos valdomi asmens duomenys. Jei taip, tuomet reikėtų įvertinti paslaugų teikėjo vaidmenį asmens duomenų tvarkymo prasme pagal teikiamas paslaugas (kadangi paslaugų teikimo kontekste, Jūsų paslaugų teikėjas gali būti laikomas duomenų valdytoju, ne tvarkytoju).

Europos duomenų apsaugos valdyba - institucija, padedanti užtikrinti nuoseklų duomenų apsaugos taisyklių taikymą visoje ES - 2019 m. liepos 9 d. paskelbė nuomonę 14/2019 dėl pavyzdinių sutartinių nuostatų projekto, kurį pateikė danų asmens duomenų apsaugos priežiūros institucija (nuomonę rasite čia). Šioje nuomonėje, valdyba pasisakė dėl reikalavimų, įgyvendinant BDAR 28 str., kai yra pasitelkiamas duomenų tvarkytojas. Danų asmens duomenų priežiūros institucija, atsižvelgdama į valdybos nuomonę, 2020 m. sausio mėnesį parengė naujas pavyzdines sutartines nuostatas⁠ (nuostatos anglų kalba).

Praktikoje Valstybinė duomenų apsaugos inspekcija vertindama duomenų tvarkymo sutarčių atitiktį BDAR 28 str. reikalavimams vadovaujasi minėta Europos duomenų apsaugos valdybos nuomone, todėl danų parengtos nuostatos laikytinos gerąja praktika, į kurią turime atsižvelgti rengdami savo organizacijų duomenų tvarkymo sutartis.

Galima paminėti, kad Europos Komisija planuoja ateityje pateikti pavyzdines sutartines nuostatas taip pat (bent jau tokie planai išdėstyti 2020 m. birželio 24 d. paskelbtoje Europos Komisijos komunikacijoje dėl 2 metų BDAR taikymo).⁠

Paslaugų teikėjas (duomenų tvarkytojas), tvarkydamas duomenis veikia Jūsų organizacijos vardu. Jūsų organizacija, visų pirma, yra atsakinga už atitiktį BDAR reikalavimams, todėl Jūsų pasitelktas paslaugų teikėjas turi veikti pagal Jūsų organizacijos nurodymus, instrukcijas.

Skaitydami Europos duomenų apsaugos valdybos nuomonę bei danų pavyzdines sutartines nuostatas, pastebėsite, kaip kruopščiai ir detaliai santykiai tarp duomenų tvarkytojo ir duomenų valdytojo turi būti reguliuojami duomenų tvarkymo sutartimi, ypač teikiant instrukcijas dėl taikytinų organizacinių ir techninių priemonių. T. y. Jūsų organizacija turi duoti labai aiškius ir konkrečius nurodymus bei instrukcijas, kokias organizacines ir technines priemones paslaugų teikėjas privalo įgyvendinti asmens duomenų tvarkymo metu, atsižvelgiant į rizikos vertinimo fizinių asmenų teisėms ir laisvėms rezultatus.

Primenu, jog atliekant rizikos vertinimą bei parenkant organizacines ir technines priemones rekomenduojama vadovautis Valstybinė duomenų apsaugos inspekcijos gairėmis⁠, kurios 2020 m. birželio mėn. buvo atnaujintos.