Dažnose publikacijose BDAR klausimais teigiama, kad prieš pradedant daryti pakeitimus organizacijos asmens duomenų apsaugos politikoje būtinas tvarkomų asmens duomenų auditas. Teisininkai teigia, kad jis neprivalomas. Kaip iš tikrųjų? 2018 m. gegužės 25 d. įsigaliojęs Europos Parlamento ir Tarybos Bendrasis duomenų apsaugos reglamentas[1] (toliau – BDAR) įtvirtino daug naujų reikalavimų duomenų valdytojams ir tvarkytojams. Tačiau daug kam dar nėra aišku, kaip tie visi reikalavimai turėtų būti įgyvendinami ir užtikrinta BDAR atitiktis. Netgi Valstybinė duomenų apsaugos inspekcija teigia, kad reglamento įsigaliojimo pradžioje labiau koncentruosis ties konsultavimu, nei baudimu. Pačiame BDAR nėra įtvirtinto reikalavimo atlikti asmens duomenų auditą, tuo labiau nėra nustatyta jokių audito turinio reikalavimų. Kam reikalingas asmens duomenų auditas ir koks turėtų būti tokio audito turinys?

Asmens duomenų auditas: šaknys

Asmens duomenų auditas kildintinas iš BDAR atskirų reikalavimų. Vienas iš pagrindinių – BDAR 5 straipsnio 2 dalis, kurioje pasakyta, jog duomenų valdytojas privalo sugebėti įrodyti, kad organizacijoje laikomasi su asmens duomenų apsauga susijusių principų. Būtent iš įpareigojimo užtikrinti šių principų įgyvendinimą  ir išplaukia duomenų audito reikalavimas. Lentelėje pateikiama principų atitiktis teisinio audito procedūrai:

PrincipasAudito metu atliekama procedūra
Teisėtumo, sąžiningumo ir skaidrumo – asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būduNustatoma pagrindai, kuriais duomenys yra tvarkomi, iš kur duomenys yra gaunami (duomenų subjekto ar trečiųjų asmenų)
Tikslo apribojimo – duomenų rinkimas galimas tik aiškiai apibrėžtais ir teisėtais tikslaisNustatoma, kokiu tikslu asmenų duomenys yra laikomi
Duomenų kiekio mažinimo – renkama adekvatus kiekis duomenųNustatoma, proporcingai siekiamam tikslui reikalingų duomenų kiekis
Saugojimo trukmės apribojimo – duomenys saugomi neilgiau nei būtina tais tikslaisNustatoma, kokį laiko tarpą duomenys bus saugomi
Vientisumo ir konfidencialumo – užtikrinamas asmens duomenų saugumasNustatoma. kur ir kas saugo Jūsų klientų ir darbuotojų asmens duomenis

Asmens duomenų auditas – valdomų duomenų inventorizacija

BDAR nenumatyta reikalavimas atlikti asmens duomenų auditą, tačiau specialistai teigia, kad toks auditas yra reikalingas. Pirmiausia dėl to, kad jo metu būtų atliekama įmonės valdomų duomenų apie fizinius asmenis inventorizacija. Svarbu suprasti, kad duomenys apie asmenį nėra tik jo gimimo data ar gyvenamoji vieta. Reglamentas asmens duomenis apibrėžia kaip informacija, kurios pagalba nustatyti asmens tapatybę. Tai gali būti ne tik asmens vardas ar pavardė, asmens kodas ar gyvenamoji vieta, tačiau ir duomenys apie asmens fiziologines, genetines ir panašias savybes. Kadangi saugomų duomenų apie asmenis sąvoka tampa labai plačia, kas anksčiau galėjo neatrodyti asmens duomenimis dabar yra. Būtent dėl to svarbu nustatyti, kokie duomenys apie asmenis yra įmonės žinioje. Duomenų rinkimo būdai taip pat gali būti labai įvairūs, pavyzdžiui įmonei priklausanti stebėjimo kameros gali užfiksuoti asmenų biometrinius duomenis, o tokie duomenys jau pateks į saugomų duomenų apie asmenis sąrašą. Dėl šios priežasties duomenų subjektais įmonės atžvilgiu nebus tik klientai ar darbuotojai, tačiau tai taip pat gali būti ir tiesiog pro šalį einantis žmogus ir pan.

Asmens duomenų auditas – duomenų tvarkymo tikslų nustatymas

Kitas svarbus reikalavimas būtų nustatyti duomenų tvarkymo tikslus. Tik įsigaliojus reglamentui duomenų valdytojui atsirado pareiga renkant duomenis iš subjekto nurodyti, kokiu tikslu yra renkami šie duomenys. Kadangi toks reikalavimas anksčiau nebuvo nustatytas, todėl prie iki šiol duomenų valdytojų surinktų duomenų apie asmenis turėtų atsirasti informacija, kokiu tikslu tokie duomenys laikomi. Toks reikalavimas kyla iš kelių BDAR straipsnių, pavyzdžiui – 15 straipsnis numato, kad duomenų subjektas turi teisę susipažinti su duomenų valdytojo turimais duomenimis apie. Vienas iš tokių duomenų aspektų – duomenų tvarkymo tikslai. Dėl to duomenų valdytojas privalėdamas įgyvendinti duomenų subjekto teisėtą reikalavimą turi būti nustatęs, kokiu tikslu duomenys yra valdomi. Kita aspektas dėl ko svarbus duomenų tvarkymo tikslas – atitikimas 7 reglamento straipsniui. Teisėtumo reikalavimas – nesant teisėto pagrindo, duomenys apskritai negali būti tvarkomi. Vienas iš tokių reikalavimų yra, jog asmens duomenys negali būti tvarkomi, jeigu atitinkamu tikslu duomenų subjektas nedavė sutikimo tvarkyti duomenis. Taigi, duomenų tvarkymo tikslo nustatymas yra svarbus,  nes turi būti užtikrinama BDAR atitiktis.

“Būtent išsamus asmens duomenų auditas padeda nustatyti esamą organizacijos padėtį BDAR atitikties aspektais, aptikti spragas ir jas pašalinti.”

Teisinerizika.lt

Asmens duomenų auditas – atsakingų asmenų ir duomenų saugojimo vietos nustatymas

Taip pat audito metu svarbu nustatyti kokie asmenys atsakingi už asmens duomenų valdymą ir kur tokie duomenys yra saugomi – kokių techninių priemonių įmonė imasi, kad duomenų saugumas būtų užtikrintas. Kitas svarbus aspektas – terminai. Duomenų valdytojas negali tvarkyti duomenų ilgiau nei reikalinga tikslui. Todėl turi būti nustatyta tvarka – kiek duomenys laiko saugomi, kokios procedūros užtikrina, kad duomenys pašalinami kai jie tampa nebereikalingi jų tvarkymo tikslui.

Svarbu suklasifikuoti iš kur duomenys yra gaunami – ar duomenų valdytojas duomenis renka pats ar duomenys gaunami iš trečiųjų asmenų. Duomenų subjektas gali pareikalauti iš duomenų valdytojo informacijos kam duomenys buvo perduoti.

Šis asmens duomenų audito metu atliktinų veiksmų sąrašas nėra galutinis. Kadangi nėra reglamentuota, kas reikalinga atlikti asmens duomenų audito metu, todėl įmonių tvarkomų asmens duomenų audito apimtis gali skirtis. Kiekviena įmonė priklausomai nuo duomenų tvarkymo apimties, rūšies, konteksto asmens duomenų audito metu gali daryti ir kitus įvairius veiksmus. Čia paminėti veiksmai yra reikalingi kiekvienam duomenų valdytojui.

Kuo skiriasi poveikio duomenų apsaugai vertinimas ir  asmens duomenų auditas?

Reikia skirti poveikio duomenų apsaugai vertinimą nuo asmens duomenų audito. Kaip ir anksčiau minėta – tvarkomų asmens duomenų auditui nėra nustatyta tiksli forma, kokie minimalūs reikalavimai turi būti įgyvendinti kadangi teisinio reikalavimo atlikti tokią procedūrą nėra. Kitaip yra su poveikio duomenų apsaugai vertinimu – ši procedūra tam tikrais atvejais yra privaloma. Duomenų auditas ir poveikio duomenų apsaugai vertinimas savo turiniu gali būti labai panašūs. BDAR numato, kokios minimalios išvados turi būti pateiktos atlikus poveikio duomenų apsaugai vertinimą. Turi būti numatyta duomenų tvarkymo operacijų aprašymas ir tikslai, vertinimas dėl duomenų tvarkymo reikalingumo ir tikslų siekimo proporcingumo, taip pat galimi pavojai duomenų subjektų teisėms ir laisvėms ir kokios priemonės numatytos pavojams šalinti. Tapati informacija gali būti nustatoma ir duomenų audito metu – duomenų tvarkymo tikslai, atsakingi asmenys, procedūra ir pan. Poveikio duomenų apsaugai vertinimą būtina atlikti tokiais atvejais, kuomet dėl duomenų tvarkymo rūšies naudojamos naujos technologijos, kai dėl duomenų tvarkymo apimties asmenų teisėms ir laisvėms gali kilti didelis pavojus. Konkretūs pavyzdžiai būtų sistemingas viešos vietos stebėjimas dideliu mastu, asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas stambiu mastu. Įmonės, kurios nepatenka tarp tokių duomenų valdytojų poveikio duomenų apsaugai vertinimas nėra reikalingas, tačiau duomenų auditas išlieka reikalingu. Todėl svarbu nesutapatinti šių procedūrų, kad asmenys, kuriems nėra reikalingas poveikių duomenų apsaugai vertinimas nebūtų suklaidinti, jog duomenų auditas taip pat nėra reikalingas.

Išvados:

  • Tvarkomų asmens duomenų auditas nėra tiesiogiai kylantis reikalavimas iš BDAR. Nepadarius teisinio audito įmonei atsakomybė nekiltų. Tačiau būtent išsamus asmens duomenų auditas padeda nustatyti esamą organizacijos padėtį BDAR atitikties aspektais, aptikti spragas ir jas pašalinti. Tik po tvarkomų asmens duomenų audito gali būti rengiami asmens duomenų tvarkymo dokumentai. Be to, atitinkamos BDAR normos reikalauja duomenų subjektą vykdyti tam tikras pareigas, pavyzdžiui sugebėti įrodyti, kad laikomasi su asmens duomenų apsauga susijusių principų;
  • Asmens duomenų auditui forma ir apimtis nėra nustatyta – tai apsprendžia pati įmonė. Kadangi tiesiogiai asmens duomenų auditas nėra reikalaujamas, todėl ir formos reikalavimų nėra. Tačiau, atsižvelgiant į BDAR reikalavimus duomenų valdytojams ir tvarkytojams, galimas pavyzdinis asmens duomenų audito veiksmų sąrašas;
  • Asmens duomenų audito metu nustatoma:
    • Kiek ir kokios informacijos įmonė valdo apie asmenis;
    • Kokiais tikslais ir kokiu teisiniu pagrindu informacija turima;
    • Kas įmonėje atsakingas už informacijos saugą ir kokie techniniai sprendimai priimami;
    • Kiek duomenys įmonėje bus saugomi;
    • Kaip duomenys perduodami kietiems asmenims;
  • Poveikių duomenų apsaugai vertinimas nėra identiška procedūra asmens duomenų auditui. Poveikio duomenų apsaugai vertinimas yra privaloma procedūra tam tikrai grupei asmens duomenų informacijos valdytojų. Tačiau poveikio duomenų apsaugai vertinimo kriterijų neatitinkančios įmonėms taip pat reikėtų atlikti tvarkomų asmens duomenų auditą
  • Atsakingos įmonės turėtų atlikti tvarkomų asmens duomenų auditą. Anksčiau ar vėliau audito metu sudaroma informacija bus reikalinga. Iš anksto asmens duomenų auditą atlikusios įmonės apsisaugo nuo rizikos būti užkluptoms netikėtais informacijos reikalavimais.

[1] Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 2016 m. balandžio 27 d. dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)

Susiję sprendimai ir teisinės paslaugos:

BDAR-Atitikties-Radaras - asmens duomenų apsaugos reglamento paslaugos

BDAR atitikties lygio įvertinimas

Asmens duomenų apsauga Teisininko patarimai