2018 m. gegužės 25 d. įsigaliosiančio Bendrojo duomenų apsaugos reglamento (toliau – BDAR) viena iš „naujovių“ yra duomenų apsaugos pareigūnas. Visų pirma verta paminėti, kad tai nėra visiška naujovė. Duomenų apsaugos direktyva numato ES valstybėms narėms galimybę supaprastinti reikalavimą pranešti apie duomenų tvarkymą priežiūros institucijai arba atleisti nuo jo, kai duomenų valdytojas yra paskyręs duomenų apsaugos pareigūną. Taip pat, dabartinis duomenų apsaugos reguliavimas leidžia ES valstybėms narėms pasirinkti, kas atliks išankstinės duomenų tvarkymo operacijų, kurios gali kelti konkretų pavojų duomenų subjekto teisėms ir laisvėms patikras. ES valstybės narės gali pasirinkti ar jas atliks priežiūros institucija, gavusi pranešimą iš duomenų valdytojo, arba duomenų apsaugos pareigūnas, kuris, kilus abejonių, privalo tartis su priežiūros institucija. Taigi, duomenų apsaugos pareigūnas nėra visiška naujiena, tačiau BDAR ženkliai padidina jo vaidmenį asmens duomenų apsaugoje, kadangi ES valstybės narės duomenų apsaugos direktyvą perkeliančios į nacionalinę teisę galėjo pasirinkti kelią, kuriame duomenų apsaugos pareigūnas duomenų apsaugos reguliavime nefigūruoja. Net ES valstybei narei pasirinkus kelią, kuriame duomenų apsaugos pareigūnas figūruoja, direktyva nereikalauja organizacijų paskirti duomenų apsaugos pareigūnus. Skirtingai nuo ES duomenų apsaugos direktyvos BDAR yra tiesiogiai taikomas teisės aktas ir visos jo nuostatos privalomos visoms ES valstybėms narėms, įskaitant nuostatas susijusias su duomenų apsaugos pareigūnu.
BDAR duomenų apsaugos pareigūnas yra pagrindinė figūra naujojoje duomenų valdymo sistemoje, kuris ne tik padeda laikytis reikalavimų įgyvendinant atskaitomybės priemones (pvz.: padeda atlikti poveikio duomenų apsaugai vertinimą, atlieka ar padeda atlikti asmens duomenų apsaugos auditus), o taip pat, veikia kaip tarpininkai santykiuose su priežiūros institucija bei santykiuose tarp bendrovės padalinių ir asmenų, kurių duomenis jie renka. Duomenų apsaugos pareigūno funkcijos taip pat apima bendrovės veiklos stebėjimą, bendrovės darbuotojų informavimą apie jų pareigas, susijusias su asmens duomenų apsauga, konsultuoja dėl poveikio duomenų apsaugai vertinimo atlikimo, konsultuoja ir apmoko darbuotojus ir kt.
Kada reikia paskirti duomenų apsaugos pareigūną
BDAR nuostatos susijusios su duomenų apsaugos pareigūno paskyrimo, kaip ir dauguma kitų reglamento nuostatų yra vertinamojo pobūdžio dėl to nėra visiškai aiškios. BDAR nustato, kad duomenų valdytojai ir duomenų tvarkytojai privalo paskirti duomenų apsaugos pareigūną, kai:
- Duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
- Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, kurios vykdomos reguliariai, sistemingai ir dideliu mastu; arba
- Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialiųjų duomenų tvarkymas dideliu mastu arba duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.
Kaip matyti iš šių kriterijų, dauguma jų yra vertinamieji ir pačiame reglamente nėra paaiškinti, pvz.: didelis mastas, reguliariai ir sistemingai, pagrindinė veikla.
Kad organizacija nustatytų ar ji privalo paskirti duomenų apsaugos pareigūną, jos turėtų įsivertinti ar jos atitinka nurodytus kriterijus. Toks vertinimas gali būti sudedamoji vidinio duomenų apsaugos audito sudedamoji dalis. Vertinimas turėtų būti dokumentuotas išvada, kurią prireikus būtų galima priežiūros institucijai.
Iš paminėtų kriterijų, lengviausiai suprantamas yra pagrindinės veiklos kriterijus. Duomenų valdymo ar tvarkymo operacijos bus laikomos pagrindinė bendrovės veikla tada, kai duomenų tvarkymo operacijos sudaro neatskiriamą duomenų valdytojo arba duomenų tvarkytojo veiklos dalį. Paprastai tariant, jei bendrovės pagrindinei veiklai vykdyti yra privaloma atlikti tam tikras operacijas su asmens duomenimis, būtų laikoma, kad bendrovės pagrindinė veikla yra duomenų tvarkymo operacijos. Pavyzdžiui, nors pagrindinės ligoninės veikla yra teikti sveikatos priežiūros paslaugas, jų neįmanoma teikti saugiai ir veiksmingai netvarkant duomenų apie sveikatą – pacientų medicininių duomenų, todėl šių duomenų tvarkymas laikomas viena iš pagrindinių ligoninės veiklos sričių.
Kitas abstraktus kriterijus, kurį būtina įvertinti yra didelis mastas. 29 str. darbo grupė aiškinanti reglamento nuostatas nurodė, kad siekiant nustatyti ar duomenų tvarkymo operacijos yra vykdomos dideliu mastu reikia atsižvelgti į šiuos veiksnius:
- Duomenų subjektų skaičių;
- Tvarkomų duomenų kiekį ir (arba) intervalą;
- Duomenų tvarkymo veiklos trukmę ir pastovumą;
- Geografinę duomenų tvarkymo veiklos aprėptį.
Nė vienas iš šių kriterijų nėra absoliučiai aiškus ir kiekvieno asmens gali būti vertinamas skirtingai, todėl vertinant patartina papildomai atsižvelgti į tai, ar tvarkomų duomenų skaičius yra ženklus valstybės gyventojų skaičiaus atžvilgiu ar regiono atžvilgiu, ar tvarkomi duomenys yra asmenų, kurie gyvena viename mieste ir pan. aplinkybes. Deja, kol kas nėra aiškaus skaičiaus, kuriuo būtų galima remtis nustatinėjant ar masto dydį, tačiau tikėtina, kad toks skaičius ir neatsiras. Tiesa, galima paminėti, kad didelio masto duomenų tvarkymo operacijomis yra laikomos šios operacijos:
- Pacientų duomenų tvarkymas ligoninės įprastos veiklos metu;
- Klientų duomenų tvarkymas draudimo bendrovės ar banko įprastinės veiklos metu;
- Asmens duomenų tvarkymas paieškos sistemoje vartotojų elgesiu grindžiamos reklamos tikslais;
- Duomenų tvarkymas, kai tai daro telefono ryšio arba interneto paslaugų teikėjai ir pan.
Paskutinis vertinamasis kriterijus, kurį pateikia reglamentas siekiant įvertinti ar būtina paskirti duomenų apsaugos pareigūną yra sistemingas ir reguliarus stebėjimas. 29 straipsnio darbo grupė nurodo, kad sąvoka reguliarus reiškia:
- Vykstantis arba pasitaikantis tam tikrais intervalais konkrečiu laikotarpiu; ir/arba
- Pasikartojantis arba kartojamas konkrečiu metu; ir/arba
- Vykstantis nuolat arba periodiškai.
Atitinkamai, sąvoka sistemingas reiškia:
- Vykstantis pagal tam tikrą sistemą; ir/arba
- Iš anksto suplanuotas, suorganizuotas arba metodiškas; ir/arba
- Vykdomas kaip bendro duomenų rinkimo plano dalis; ir/arba
- Vykdomas kaip strategijos dalis.
Remiantis šiuo 29 straipsnio darbo grupės išaiškinimu bendrovės turės įsivertinti, ar jos atitinką šį kriterijų. Kaip pavyzdžius reguliaraus ir sistemingo stebėjimo galima nurodyti šiuos atvejus: pakartotinis kreipimasis el. paštu; profiliavimas ir vertinimas balais rizikos vertinimo tikslais; vietos sekimas mobiliosiomis programėlėmis; lojalumo programos; vartotoju elgesiu grindžiama reklama; apsauginės vaizdo stebėjimo sistemos veikimas ir pan.
Atskirai paminėtini specialieji duomenys, kadangi jų tvarkymas dideliu mastu taip pat įpareigoja paskirti duomenų apsaugos pareigūną, kai toks tvarkymas yra pagrindinė bendrovės veikla. Kas yra specialieji duomenys nurodo pats reglamentas. Specialieji duomenys, tai duomenys, kurie atskleidžia subjekto rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose. Prie šių duomenų taip pat priskiriami biometriniai duomenys, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys bei duomenys apie fizinio asmens lytinį gyvenimą bei lytinę orientaciją.
Taigi, vadovaudamosi šiais vertinamojo pobūdžio kriterijais bendrovės turės pačios įsivertinti, ar jos privalo paskirti duomenų apsaugos pareigūną, ar ne. Patartina tokio vertinimo nedaryti atmestinai ir viską dokumentuoti. Kadangi už duomenų apsaugos pareigūno nepaskyrimą, kai jį būtina paskirti, gresia baudos, toks vertinimas turėtų būti dokumentuotas, kad esant reikalui jį būtų galima pateikti priežiūros institucijai, o tai galimai padėtų išvengti baudų, jei dokumentuotame vertinime bus nurodyta pakankamai argumentų pagrindžiančių duomenų apsaugos pareigūno nepaskyrimą.
Kas gali būti duomenų apsaugos pareigūnu?
Atkreiptinas dėmesys į tai, kad BDAR leidžia bendrovėms pasirinkti, ar duomenų apsaugos pareigūno funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės. Kadangi duomenų apsaugos funkcijų vykdymas ir duomenų apsaugos atitikties užtikrinimas gali iš duomenų valdytojų ir tvarkytojų pareikalauti nemažai laiko, žmogiškųjų ir administracinių išteklių, gali būti racionalu duomenų apsaugos pareigūno atsakomybę patikėti kvalifikuotam paslaugų teikėjui, kaip tai daroma su buhalterinėmis, apskaitos, IT priežiūros ar teisininko funkcijomis.
Bendrovės paskirdamos duomenų apsaugos pareigūną taip pat turi atkreipti dėmesį į tai, kad duomenų apsaugos pareigūnas turi turėti autonomiją ir nepriklausomumą, reikalingą savo funkcijoms atlikti. Taip pat, svarbu paminėti, kad duomenų apsaugos pareigūnas gali bendrovėje eiti ir kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto. Todėl duomenų apsaugos pareigūnu neturėtų būti skiriami tokie asmenys, kurie dalyvauja sprendžiant kokie duomenys yra/turi būti renkami ir tvarkomi. Taigi, duomenų apsaugos pareigūnu negalėtų būti įmonės direktorius, operacijų, finansų, žmogiškųjų išteklių, marketingo, IT ar teisės skyrių vadovai. Jei duomenų apsaugos pareigūno funkcijos patikimos išorės paslaugų teikėjams, pvz.: advokatų kontorai, jiems nebūtų galima jūsų atstovauti ginčuose dėl duomenų apsaugos pažeidimų.
Galiausiai, pažymėtina, kad į reikalavimą paskirti duomenų apsaugos pareigūną nederėtų numoti ranka, kadangi BDAR numato galimybę skirti baudą už duomenų apsaugos pareigūno nepaskyrimą, kuri gali siekti 10 milijonų eurų arba 2 procentus bendrovės praėjusių metų apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.
Karolis Sadauskas | asocijuotas teisininkas
Mob. tel: +37062993365 | El. paštas: karolis.sadauskas@linden.lt
Tel.: +37052121506 | www.linden.lt