Laisvai samdomi specialistai ir BDAR: ar būtina sudaryti duomenų tvarkymo sutartis ir kodėl?

Taip, pagal BDAR fizinis asmuo gali būti laikomas duomenų tvarkytoju, jeigu jis tvarko asmens duomenis kito asmens, t. y. duomenų valdytojo vardu, veikdamas profesionaliame, komerciniame ar su individualia veikla susijusiame kontekste (t.y. kai tai nėra tvarkymas tik asmeninėms ar buitinėms reikmėms).

Praktikoje tai gali būti laisvai samdomas IT specialistas, kuris pagal sutartį su įmone administruoja jos klientų duomenų bazę, individualią veiklą vykdantis buhalteris, tvarkantis įmonės darbuotojų darbo užmokesčio apskaitą, taip pat vertėjas, dizaineris ar kitas specialistas, dirbantis su asmens duomenimis kliento pavedimu.

Tokiais atvejais fizinis asmuo pats nenusprendžia, kokiais tikslais ir kokiomis priemonėmis asmens duomenys yra tvarkomi. Jis veikia tik pagal duomenų valdytojo – organizacijos – nurodymus, todėl jo vaidmuo ir atitinka duomenų tvarkytojo sampratą pagal BDAR.

2. Ar įmonei reikia pasirašyti duomenų tvarkymo sutartį su freelanceriu ar išorės konsultantu, kuriam suteikiama prieiga prie asmens duomenų?

Taip, duomenų tvarkymo sutartis yra būtina nepriklausomai nuo to, ar trečioji šalis yra įmonė, ar fizinis asmuo, jeigu ji veikia kaip duomenų tvarkytojas. Todėl įmonė privalo sudaryti duomenų tvarkymo sutartį su kiekvienu freelanceriu, išorės konsultantu ar individualią veiklą vykdančiu asmeniu, kuriam suteikiama prieiga prie asmens duomenų ir kuris šiuos duomenis tvarko įmonės vardu bei pagal jos nurodymus.

Tokia sutartis turi būti sudaryta raštu ir joje privalo būti numatytos bent minimalios sąlygos, nustatytos Bendrojo duomenų apsaugos reglamento 28 straipsnio 3 dalyje. Sutartyje turi būti aiškiai apibrėžtas duomenų tvarkymo objektas, trukmė, pobūdis ir tikslas, nurodytos tvarkomų asmens duomenų kategorijos bei duomenų subjektų rūšys, taip pat nustatytos sąlygos, kuriomis leidžiama pasitelkti subrangovus, ir kiti privalomi aspektai.

Be to, duomenų valdytojas turi pareigą įsitikinti, kad pasirinktas duomenų tvarkytojas taiko tinkamas saugumo priemones, turi pakankamą duomenų apsaugos kompetenciją ir yra pajėgus laikytis visų taikomų teisinių reikalavimų.

Ne, duomenų tvarkymo sutarties turinys negali būti supaprastintas vien dėl to, kad duomenų tvarkytojas yra fizinis asmuo ar freelanceris. BDAR aiškiai numato privalomas sutarties nuostatas, kurios turi būti taikomos visiems duomenų tvarkytojams be išimties. Tai reiškia, kad įmonė privalo sudaryti visavertę sutartį, apimančią visas teisės aktuose numatytas sąlygas, ir įvertinti, ar fizinis asmuo turi pakankamus techninius bei organizacinius pajėgumus duomenų saugumui užtikrinti. Supaprastinimas gali būti taikomas kalbai, bet ne turiniui.

4. Ką daryti, jei freelanceris atsisako pasirašyti duomenų tvarkymo sutartį, nes ji jam atrodo per daug įpareigojanti?

Pirmiausia verta aiškiai paaiškinti, kad ši sutartis nėra įmonės „vidinis formalumas“, o tiesioginis teisės aktų reikalavimas, taikomas abiem šalims.

Duomenų tvarkymo sutartis saugo ne tik duomenų valdytoją, bet ir patį freelancerį, nes aiškiai apibrėžia jo įgaliojimus ir atsakomybės ribas. Todėl abi pusės suinteresuotos pasirašymu.

Neturėdamas tokios sutarties, fizinis asmuo rizikuoja būti laikomas veikiančiu savarankiškai ir prisiimti visą duomenų valdytojo atsakomybę. Jei susitarti nepavyksta, įmonė turi atsisakyti bendradarbiavimo ir ieškoti alternatyvaus paslaugų teikėjo.

5. Kas duomenų tvarkymo sutartyje labiausiai „gąsdina“ freelancerius?

Freelanceriai dažnai vengia pasirašyti duomenų tvarkymo sutartis, nes jos atrodo pernelyg teisiškai griežtos ir neproporcingos jų veiklai.

Nerimą dažniausiai kelia konfidencialumo įsipareigojimai – dirbdami iš namų, naudodami bendrus šeimos įrenginius ar viešą belaidį tinklą (angl.Wi-Fi), jie abejoja, ar pajėgs užtikrinti reikalaujamą duomenų apsaugą.

Taip pat gąsdina techniniai saugumo reikalavimai (šifravimas, slaptažodžių valdymas, atsarginės kopijos), nes ne visi turi tam skirtas priemones ar dokumentuotas praktikas.

Kita dažnai nepatogi nuostata – pareiga, pasibaigus sutarčiai, sunaikinti ar grąžinti visus duomenis. Tai neretai sunku užtikrinti, ypač naudojant automatines atsargines kopijas ir debesijos saugyklas, kuriose sunku garantuoti visišką ištrinimą.

Papildomą įtampą sukelia draudimas pasitelkti subtvarkytojus be duomenų valdytojo leidimo, nes praktikoje freelanceris gali naudoti neautorizuotus įrankius, trečiųjų šalių redaktorius ar virtualius asistentus, apie kuriuos valdytojas nežino.

Galiausiai, audito teisė gali būti suvokiama kaip nepasitikėjimas ar įsikišimas į asmeninę darbo erdvę, ypač jei dirbama asmeniniame kompiuteryje, kuris naudojamas ir neprofesiniais tikslais.

BDAR reikalavimai gali sukurti įspūdį, kad freelanceris turi veikti kaip įmonė – su politikomis, procedūromis ir kontrolėmis, kas atrodo sudėtinga ir kelia atsakomybės baimę. Todėl siekiant konstruktyvaus bendradarbiavimo svarbu ne tik laikytis BDAR reikalavimų, bet ir padėti freelanceriui suprasti jų esmę – pasiūlyti suprantamą, aiškiai išdėstytą ir proporcingą dokumentą, kuris užtikrintų abipusę apsaugą bei pasitikėjimą.

Mūsų „Fondia“ praktikoje dažniausiai pavyksta rasti sprendimą, kuris atitinka BDAR reikalavimus ir kartu yra priimtinas abiem pusėms. Jei susiduriate su panašiomis situacijomis ar norite pagalbos rengiant ar vertinant sutartis – kviečiame kreiptis.

Kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe. Daugiau informacijos apie tai galite rasti ir pokalbį Jums patogiu laiku paskirti: čia. Arba kreiptis el. paštu į lithuania@fondia.com.