Duomenų apsaugos pareigūnas – tai nauja pareigybė įtraukta į organizacijų pareigybių sąrašus pagal įsigaliojusį Bendrąjį duomenų apsaugos reglamentą 2016/679 (toliau – BDAR). Remiantis Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) duomenimis per 2019 m. tris ketvirčius VDAI pranešta apie 508-ių duomenų apsaugos pareigūnų paskyrimą. Bendras paskirtų duomenų apsaugos pareigūnų skaičius – 1 980. Kol dalis organizacijų vis dar vertina, ar jose vykdomi BDAR reikalavimai ir ar jos atitinka BDAR nurodytas sąlygas duomenų apsaugos pareigūnui skirti ir kokias funkcijas jam deleguoti, jau paskirti domenų apsaugos pareigūnai praktikoje spėjo susidurti su savo pareigų keliamais iššūkiais. Tai pastebinčios organizacijos ėmėsi ieškoti būdų jiems įveikti ir pasinaudojo inovatyviu Allaw sprendimu – “duomenų apsaugos pareigūnas kaip paslauga”.

Duomenų apsaugos pareigūnas: kada jį privaloma paskirti?

BDAR 37 str. 1 d. numato atvejus, kada duomenų valdytojas ir duomenų tvarkytojas privalo paskirti duomenų apsaugos pareigūną. Verslui aktualūs atvejai yra šie:
1) Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;

2) Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu ir asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.
Organizacijoms, atitinkančioms bent vieną iš aukščiau išvardintų kriterijų, skirti duomenų apsaugos pareigūną privaloma, tačiau tokį pareigūną gali paskirti bet kuri organizacija savo iniciatyva, taip parodydama, kad teikia ypatingą dėmesį organizacijos atliekamų asmens duomenų tvarkymo procesų atitikčiai teisės aktų reikalavimams.

Duomenų apsaugos pareigūno funkcijos

BDAR 39 str. 1 d. nurodo, kad duomenų apsaugos pareigūnas atlieka organizacijos ir jos darbuotojų informavimą apie jų prievoles duomenų apsaugos srityje, stebi kaip organizacijoje vykdomi BDAR reikalavimai ir kiti teisės aktai, reguliuojantys asmens duomenų apsaugą, konsultuoja duomenų apsaugos klausimais bei atlieka kontaktinio asmens su Valstybine duomenų apsaugos inspekcija (toliau – VDAI) ir duomenų subjektais funkciją. Paprastai duomenų apsaugos pareigūno funkcijos organizacijose aprašomos šio pareigūno pareiginiuose nuostatuose (kai duomenų apsaugos pareigūnu yra paskiriamas organizacijos darbuotojas) arba sutartyje su duomenų apsaugos pareigūnu (kai duomenų apsaugos pareigūnu paskiriamas išorinis paslaugų teikėjas). Dažniausiai šiuose dokumentuose duomenų apsaugos pareigūnams priskiriamos šios funkcijos:

  1. Organizacijos atliekamos duomenų tvarkymo veiklos stebėsena ir rekomendacijų teikimas;
  2. Organizacijos ir jos darbuotojų informavimas apie organizacijos prievoles;
  3. Bendradarbiavimas su priežiūros institucija, pranešimų, ataskaitų teikimas ir kt.;
  4. Kontaktinio asmens funkcijų atlikimas duomenų subjektams kreipiantis į organizaciją (atsakant į duomenų subjektų klausimus, nagrinėjant jų prašymus);
  5. Konsultacijų dėl poveikio duomenų apsaugai vertinimo teikimas ir atliekamo poveikio duomenų apsaugai vertinimo stebėjimas;
  6. Kitų konsultacijų asmens duomenų tvarkymo klausimais (įskaitant dėl duomenų tvarkymo veiklos įrašų pildymo, duomenų apsaugos techninių ir organizacinių priemonių taikymo) teikimas.

Duomenų apsaugos pareigūno iššūkiai praktikoje

Svarbu atkreipti dėmesį į tai, ar paskirtas duomenų apsaugos pareigūnas galės efektyviai įgyvendinti BDAR nurodytas funkcijas. Nes tai jis galės atlikti tik tada, kai organizacijoje bus aktyviai įtraukiamas į asmens duomenų tvarkymo procesus, savo pareigoms atlikti turės pakankamai laiko ir išteklių. Taip pat bus užtikrinta efektyvi komunikacija tarp duomenų apsaugos pareigūno ir organizacijos darbuotojų. Tačiau neretai visų šių sąlygų įgyvendinimas organizacijoms sukelia sunkumų, mat tas pats asmuo yra paskiriamas ne vienos organizacijos duomenų apsaugos pareigūnu. Veiklų gausa kelia aplaidumo grėsmę.

Teisinerizika.lt

Praktikoje duomenų apsaugos pareigūnai susiduria su šiais pagrindiniais iššūkiais:

  • nepakankamos organizacijos technologinis pasirengimas. Tokioms duomenų apsaugos pareigūno užduotims, kaip inventorizacijos atlikimui ar duomenų tvarkymo žemėlapių sudarymui, duomenų subjektų užklausų valdymui ar poveikio duomenų apsaugai vertinimo stebėsenai atlikti dažnai organizacijose naudojamos neefektyvios technologinės priemonės. Informacija renkama el. paštu, saugoma nesusisteminus ir nekategorizuojant, per kelias sistemas ar net visai be jų, nenaudojant vientisos žinių valdymo sistemos, taip eikvojant tiek duomenų apsaugos pareigūno, tiek kitų organizacijos darbuotojų laiką, darbą paverčiant itin neefektyviu. Be to toks informacijos saugojimo/rinkimo būdas kelia riziką jos saugumui, apsunkina duomenų apsaugos pareigūno veiklos atskaitomybę ir gerosios asmens duomenų tvarkymo praktikos organizacijoje formavimą.
  • organizacijos netinkamai įvertina laiką, reikalingą skirti duomenų apsaugos pareigūno užduotims atlikti. Praktikoje organizacijos, samdydamos išorinį duomenų apsaugos pareigūną arba skirdamos duomenų apsaugos pareigūnu savo darbuotoją neretai apsiriboja susitarimu dėl kelių valandų per mėnesį. Tačiau funkcijų prasme duomenų apsaugos pareigūnui siekia perduoti platų spektrą pareigų: BDAR mokymai,  tvarkomų asmens duomenų inventorizacija, poveikio duomenų apsaugai vertinimo atlikimas (PDAV) ar duomenų tvarkymo veiklos įrašų pildymas. Mažoms organizacijoms, turinčioms iki 20 darbuotojų arba organizacijoms, kuriose duomenų tvarkymo procesai yra inventorizuoti ir aprašyti, to gali pakakti, tačiau didesnėms organizacijoms vos kelios valandos tikėtina neleis ne tik duomenų apsaugos suvokimo kultūros užtikrinti, bet ir atitikties BDAR reikalavimams įgyvendinti.
  • nepakankamas organizacijų dėmesys duomenų apsaugos pareigūno ir kitų organizacijos darbuotojų bendradarbiavimui užtikrinti. Yra organizacijų, kurios laikosi nuomonės, kad paskyrus duomenų apsaugos pareigūną ir pranešus apie jo paskyrimą Valstybinei duomenų apsaugos inspekcijai ties tuo jų pareigos duomenų apsaugos srityje ir pasibaigia. Tačiau BDAR 39 str. 2 d. duomenų valdytojams nustato pareigą padėti duomenų apsaugos pareigūnui atlikti jo užduotis suteikiant toms užduotims atlikti būtinus išteklius bei galimybę susipažinti su asmens duomenimis ir dalyvauti duomenų tvarkymo operacijose. Atsižvelgiant į tai duomenų valdytojas apie paskirtą duomenų apsaugos pareigūną turi informuoti savo darbuotojus ir apie jų pareigą pranešti duomenų apsaugos pareigūnui apie visus su asmens duomenimis susijusius procesus organizacijoje bei planuojamus naujus projektus bei įtraukti į juos duomenų apsaugos pareigūną. Nepakankamas dėmesys bendradarbiavimui tarp duomenų apsaugos pareigūno ir organizacijos darbuotojų užtikrinti gali lemti neišsamias ar netgi netikslias duomenų apsaugos pareigūno konsultacijas arba galimus duomenų valdytojui nustatytų pareigų (pvz., pranešti apie duomenų saugumo pažeidimą) vėlavimus.

Šių iššūkių įveikimu turėtų būti suinteresuota kiekviena organizacija, siekianti įgyvendinti efektyvią asmens duomenų tvarkymo procesų priežiūrą ir atitiktį teisės aktų reikalavimams.

Duomenų apsaugos pareigūnas kaip paslauga greitesniam geros praktikos įtvirtinimui

Organizacijos gali pasirinkti ir skirti arba vidinį, arba išorinį duomenų apsaugos pareigūną. Išorinis duomenų apsaugos pareigūnas leidžia ne tik išvengti interesų konflikto, bet ir padeda organizacijai sutaupyti, kadangi nereikia nuolatos išlaikyti duomenų apsaugos pareigūno darbo vietos. Tačiau  vien išorinio duomenų apsaugos pareigūno paskyrimas neįveikia aukščiau aptartų iššūkių. Juos padaryti gali padėti “duomenų apsaugos pareigūnas kaip paslauga” teikiama Allaw. Pirmiausia, ši paslauga yra pritaikoma konkrečiai organizacijai, jos dydžiui, veiklai, poreikiams. Taip pat, kadangi ji paremta technologiniu sprendimu, ji apima standartizuotą ir organizuotą užklausų duomenų apsaugos pareigūnui pateikimo bei valdymo procesą. Tai padeda ne tik užtikrinti duomenų apsaugos pareigūno veiklos atskaitomybę, tačiau sudaro sąlygas greičiau įtvirtinti gerąją duomenų apsaugos praktiką organizacijoje, efektyviai bendradarbiauti. Tai ypač aktualu didesnėse, daugiau kaip 50 darbuotojų turinčiose organizacijose. Mažesnėse organizacijose dalijimasis informacija yra gana paprastas. Organizacijos darbuotojai, dirbantys tame pačiame pastate, gali dažnai gyvai bendrauti ar kolegas pasiekti el. laišku bei žinutėmis. Didesnėse organizacijose, kai komanda yra pasiskirsčiusi per kelis biurus ar kai skirtingi padaliniai yra išsidėstę keliuose miestuose, reikalinga efektyvesnių bendradarbiavimo formų paieška. Tokiu atveju gali pasitarnauti duomenų apsaugos pareigūnas kaip paslauga bendradarbiavimo platformoje. Šioje platformoje užduodami klausimus duomenų apsaugos pareigūnui organizacijos darbuotojai gali greičiau gauti atsakymus į užduotus klausimus, dalintis idėjomis ir patirtimis. Būtent tai prisideda prie savaitės darbo sumažinimo iki vos kelių minučių. Efektyvus dalijimasis idėjomis ir dokumentais padidina organizacijos produktyvumą ir pelningumą bei palengvina duomenų apsaugos pareigūno užduočių atlikimą.

Išvados

Tam, kad organizacijoje būtų įgyvendinami BDAR reikalavimai, būtų įtvirtinta geroji asmens duomenų tvarkymo praktika bei užtikrinta BDAR atitiktis, nepakanka vien tik paskirti duomenų apsaugos pareigūną. Ir svarbu ne tik konkretaus asmens ekspertinių žinių lygis, profesinės savybės, bet ir jo gebėjimas atlikti užduotis. Reikalinga sudaryti tinkamas sąlygas jam vykdyti savo pareigas, t.y., skirti dėmesį duomenų apsaugos pareigūno ir organizacijos darbuotojų bendradarbiavimui užtikrinti, įsitikinti, kad duomenų apsaugos pareigūnas turi pakankamai laiko savo užduotims atlikti bei skirti reikiamus išteklius. Greitesniam gerosios praktikos duomenų apsaugos srityje įtvirtinimui efektyviai gali padėti duomenų apsaugos pareigūnas kaip paslauga, paremta technologiniu sprendimu. Ši bendradarbiavimo platforma ne tik leidžia efektyviai išspręsti duomenų apsaugos pareigūno veikloje kylančius iššūkius, bet ir taupo organizacijos išteklius, kadangi nereikia rūpintis techninėmis priemonėmis.

Duomenų apsaugos pareigūnas kaip paslauga

ALLAW teisinės paslaugos teisės departamentams
Asmens duomenų apsauga Patogios priemonės Teisininko patarimai