/English

Naujienos

Atgal

Nepaskyrus duomenų apsaugos pareigūno, gresia baudos. Ar įmanoma nuo jų apsisaugoti?

2020 11 26
 
Duomenų apsaugos pareigūnas (toliau – DPO) yra itin svarbi figūra duomenų apsaugos teisinio reguliavimo džiunglėse. Viešajame sektoriuje DPO yra privaloma pareigybė, tuo tarpu privačiame sektoriuje situacija – kitokia. Kiekvienu konkrečiu atveju tenka spręsti galvosūkius, ar DPO yra būtinas. AVOCAD pateikia trumpus praktinius patarimus dėl DPO skyrimo privačiame sektoriuje.
 
Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) numato 2 DPO skyrimo atvejus:  
 
(a) kai valdytojo ar tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, kurių metu duomenys yra renkami reguliariai, sistemingai bei dideliu mastu;
 
(b) kai tokio valdytojo ar tvarkytojo pagrindinė veikla yra specialiųjų kategorijų (pvz. sveikatos, genetiniai, biometriniai, lytinės orientacijos asmens duomenys ir kt.) duomenų tvarkymas dideliu mastu.
 
Nors BDAR ir numato aiškius DPO skyrimo atvejus, tačiau jame yra pateikti tik vertinamojo pobūdžio kriterijai: kai tvarkytojo/valdytojo pagrindinė veikla yra (I) duomenų tvarkymo operacijos (II); jis duomenis tvarko sistemingai ir reguliariai bei (III) dideliu mastu. Toliau apžvelgiame šias svarbias sąvokas:
 
Pagrindine veikla gali būti laikomos svarbiausios operacijos valdytojo arba tvarkytojo tikslams pasiekti. Pavyzdžiui, gydymo įstaigų pagrindinė veikla yra pacientų asmens duomenų tvarkymas;
 
Reguliarus – vykstantis nuolat, periodiškai. 
 
Sistemingai – vykstantis pagal tam tikrą sistemą, iš anksto suplanuotas;
 
Dideliu mastu – vertinamojo pobūdžio kriterijus. Rekomenduojame atsižvelgti į tvarkomų duomenų kiekį, trukmę ir pastovumą, geografinę duomenų tvarkymo aprėptį (pavyzdžiui, ar gydymo įstaigos pacientų duomenys yra tvarkomi visoje Lietuvoje, ar tik tam tikroje teritorijoje ir pan.). Estijos duomenų apsaugos tarnyba yra išleidusi rekomendacijas, jog dideliu mastu yra laikoma, kai tvarkoma daugiau nei 5 000 specialios kategorijos duomenų, 10 000 duomenų, priskirtų didelio pavojaus duomenims, arba 50 000 subjektų, kai tvarkomi kiti asmens duomenys.
 
Akivaizdu, jog didžiausias iššūkis yra įsivertinti, ar įmonė patenka į „didelio masto“ kategoriją. Įmonei, atitinkančiai visus kriterijus, tačiau manančiai, jog tvarkomų duomenų kiekis nėra didelio masto, rekomenduojama atitinkamai pasiruošti. Tai yra, parengti vertinimo išvadas, kuriose atsispindėtų svarūs argumentai (tai yra, nustatyti aiškius kriterijus, kurie bus vertinami, pvz., tvarkomų duomenų kiekis, geografinė aprėptis, trukmė ir panašiai, taip pat, siekiant sustiprinti argumentus, galima atsižvelgti ir į kitų valstybių praktiką, pvz., į nurodytas Estijos ar kitų valstybių praktikas), jog įmonės tvarkomi asmens duomenys nepatenka į šią kategoriją.
 
Žinoma, reikėtų įsidėmėti, jog įmonės pozicija gali nesutapti su Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) pozicija. Tačiau tinkamas pasirengimas gali sušvelninti situaciją. Tokiu atveju, net ir nesutapus nuomonei su VDAI, bet bendradarbiaujant bei turint parengtas aiškias bei argumentuotas išvadas/vertinimus, tai gali padėti išvengti neigiamų pasekmių. Primename, jog į DPO nepaskyrimą yra žiūrima itin rimtai. Dar šį mėnesį Ispanijos duomenų apsaugos tarnybą nubaudė saugos paslaugas teikiančią įmonę, kuriai DPO nepaskyrimas kainavo net 50 000 EUR dydžio baudą.
 
Apibendrinat, AVOCAD rekomenduoja ir galėtų padėti itin preciziškai įvertinti, ar jūsų įmonė (ne)patenka į BDAR reglamentavimo apimtis, kurioms taikomas privalomasis reikalavimas paskirti DPO. Siekiant išsiaiškinti, ar turima tokia pareiga, patariama turėti aiškius argumentus, kurie turėtų atsispindėti rašytinėje formoje, jog, esant poreikiui, galėtumėte juos nurodyti bei pagrįsti. Laiku bei neatidėliotinai atlikti veiksmai gali leisti išvengti beprasmių baudų mokėjimo.