Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) 28 straipsnio 3 dalimi nustato reikalavimą, kad duomenų tvarkytojo atliekamas duomenų tvarkymas turi būti reglamentuojamas sutartimi. Remiantis šiuo BDAR straipsniu, tais atvejais, kai duomenų valdytojas siekia į pagalbą duomenų tvarkymui pasitelkti duomenų tvarkytoją, tarp duomenų valdytojo ir duomenų tvarkytojo turi būti sudaroma sutartis arba susitarimas dėl asmens duomenų tvarkymo (toliau – sutartis arba susitarimas). Šioje sutartyje itin svarbu aptarti visus praktinius aspektus, reikalingus duomenų tvarkymo reglamentavimui ir duomenų tvarkytojo priežiūrai bei kontrolei. Kokias nuostatas turi apimti susitarimas dėl asmens duomenų tvarkymo ir kaip išvengti praktikoje daromų klaidų?

Susitarimas dėl asmens duomenų tvarkymo turi apimti tam tikras sąlygas

Pirmiausia būtina žinoti, kad susitarimui dėl asmens duomenų tvarkymo taikomi tam tikri BDAR reikalavimai. BDAR 28 straipsnio 3 dalyje yra nustatyta, kokios sąlygos turi būti aptariamos jame. Susitarimas dėl asmens duomenų tvarkymo privalo apimti šias sąlygas:

  • duomenų tvarkymo dalykas ir trukmė,
  • duomenų tvarkymo pobūdis ir tikslas,
  • asmens duomenų rūšis ir duomenų subjektų kategorijos,
  • duomenų valdytojo prievolės ir teisės,
  • duomenų tvarkytojo pareiga tvarkyti duomenis tik pagal duomenų valdytojo dokumentais įformintus nurodymus,
  • duomenų tvarkytojo konfidencialumo pareiga,
  • duomenų tvarkytojo pareiga užtikrinti pakankamas saugumo priemones,
  • subtvarkytojo pasitelkimo tvarka,
  • duomenų tvarkytojo pareiga padėti užtikrinti duomenų subjekto teisių įgyvendinimą,
  • duomenų tvarkytojo pareiga teikti pagalbą duomenų valdytojui BDAR 32-36 straipsniuose numatytais atvejais (duomenų tvarkymo saugumas, pranešimas priežiūros institucijai apie duomenų saugumo pažeidimą, pranešimas duomenų subjektui apie duomenų saugumo pažeidimą, poveikio duomenų apsaugai vertinimas ir išankstinės konsultacijos),
  • duomenų tvarkytojo veiksmai, užbaigus teikti su duomenų tvarkymu susijusias paslaugas,
  • duomenų tvarkytojo veiksmai, kurių turi būti imamasi audito ar patikrinimo metu.

Susitarimas dėl asmens duomenų tvarkymo turi turėti tam tikrą struktūrą

Remiantis BDAR 28 straipsnio 6 dalimi, sutartis su duomenų tvarkytoju gali būti grindžiama standartinėmis sutarčių sąlygomis. Pagal to paties BDAR straipsnio 7 ir 8 dalį, standartines sutarties sąlygas gali nustatyti Europos Komisija arba priežiūros institucija. Remiantis minėtomis BDAR nuostatomis 2020 m. sausio mėn. Danijos asmens duomenų priežiūros institucija parengė pavyzdines susitarimo dėl asmens duomenų tvarkymo sąlygas (toliau – pavyzdinės sąlygos). Šios pavyzdinės sąlygos buvo parengtos remiantis 2019 m. liepos 9 d. EDAV nuomone 14/2019 dėl pavyzdinių sutartinių nuostatų projekto, kurį pateikė Danijos asmens duomenų priežiūros institucija (BDAR 28 straipsnio 8 dalis). Šios pavyzdinės sąlygos yra laikomos gerąja praktika, skirta užtikrinti atitiktį BDAR 28 straipsnio reikalavimams, todėl jomis galima vadovautis kaip pavyzdžiu rengiant sutartį.

Nors pavyzdinės sąlygos yra teikiamos tik kaip pavyzdys ir galima sudaryti kitokią sutartį, negu nurodyta pavyzdyje, tačiau šios pavyzdinės sąlygos yra aktualios ir naudingos sprendžiant dėl sutarties struktūros. Vadovaujantis pavyzdinėmis sąlygomis ir jose pateiktu turiniu, į sutartį įtraukus visas turinyje nurodytas sąlygas, sutartis atitiktų BDAR 28 straipsnio reikalavimams. Pavyzdinėse sąlygose yra pateikiamas toks turinys:

  1. Preambulė;
  2. Duomenų valdytojo teisės ir prievolės;
  3. Duomenų tvarkytojas veikia pagal nurodymus;
  4. Konfidencialumas;
  5. Duomenų tvarkymo saugumas;
  6. Naudojimasis pagalbinių duomenų tvarkytojų (subtvarkytojų) paslaugomis;
  7. Duomenų perdavimas į trečiąsias valstybes arba tarptautinėms organizacijoms;
  8. Pagalba duomenų valdytojui;
  9. Pranešimas apie asmens duomenų saugumo pažeidimus;
  10. Duomenų ištrynimas arba grąžinimas;
  11. Auditas ir patikrinimas;
  12. Šalių susitarimas dėl kitų sąlygų;
  13. Galiojimo pradžia ir pabaiga.

Praktiniai aspektai, kad susitarimas dėl asmens duomenų tvarkymo būtų tinkamas

Asmens duomenų auditai atskleidžia, kad praktikoje duomenų tvarkymo susitarimuose, net ir siekiant nurodyti visas BDAR 28 straipsnio reikalaujamas sąlygas, gana dažnai į reikalaujamų sąlygų aptarimą yra pažiūrima per siaurai. Duomenų apsaugos pareigūnas Allaw pasidalijo, kad praktikoje, kai sudaromas susitarimas dėl asmens duomenų tvarkymo, dažniausiai daromos šios klaidos:

  • nedetalizuojamos asmens duomenų saugumo priemonės. Paprastai sutartyse yra nustatomos pernelyg abstrakčios saugumo priemonės, o kartais yra nustatomas tik reikalavimas duomenų tvarkytojui laikytis saugos priemonių, jų net nenurodant, nedetalizuojant. Rekomenduojama įvertinti sudaromą sutartį ir kiek įmanoma detaliau išvardyti visas minimalias organizacines ir technines saugos priemones bei numatyti, kokiu būdu duomenų tvarkytojas turi įrodyti atitiktį šių saugos priemonių reikalavimams. Tokiu būdu bus įgyvendintas BDAR 28 straipsnio reikalavimas, bei duomenų valdytojas galės būti tikras, kad duomenų tvarkytojas imasi būtinų ir realių priemonių apsaugoti tvarkomiems asmens duomenims;
  • nenurodoma duomenų tvarkytojo pareiga kreiptis į duomenų valdytoją, jeigu tvarkant duomenis jam kyla neaiškumų arba sunkumų. BDAR 28 straipsnis reikalauja, kad duomenų tvarkytojas veiktų pagal duomenų valdytojo nurodymus. Nors reikalavimas veikti pagal duomenų valdytojo nurodymus yra dažnai nurodomas sutartyse, tačiau neatsižvelgiama į tai, kad duomenų tvarkytojas gali susidurti su situacijomis, kurios nenumatytos pateiktuose nurodymuose, o duomenų valdytojas apie tai gali net nežinoti, kas gali lemti atitinkamai duomenų tvarkytojo savivalę priimant sprendimus šiose situacijose. Duomenų tvarkytojui turint aiškiai numatytą prievolę kreiptis į duomenų valdytoją dėl tolimesnių nurodymų bus įpareigotas šią prievolę vykdyti ir veiks kaip prevencinė priemonė duomenų tvarkytojui nesiimti savavališkų veiksmų;
  • nenurodoma duomenų tvarkytojo pareiga užtikrinti, kad subtvarkytojo atliekamas duomenų tvarkymas atitiktų teisės aktų keliamus reikalavimus. Rekomenduojama sutartyje numatyti, kaip dažnai ir kokiomis priemonėmis duomenų tvarkytojas gali atlikti subtvarkytojo auditus/patikrinimus, kaip apie atitiktį bus informuojamas duomenų valdytojas. Nusimačius šias sąlygas bus paprasčiau kontroliuoti subtvarkytojo atliekamą duomenų tvarkymą ir pasirūpinti jo atitiktimi teisės aktų reikalavimams;
  • nenurodoma duomenų laikymo vieta. Rekomenduojama nurodyti konkrečią vietą, kurioje bus laikomi tvarkomi asmens duomenys. Žinant konkrečią duomenų laikymo vietą bus galima įvertinti, ar ši vieta atitinka saugumo reikalavimus;
  • nenurodomi konkretūs terminai duomenų valdytojo veiksmų atlikimui. Nors nei BDAR, nei pavyzdinės sąlygos nenustato reikalavimo susitarti dėl konkrečių terminų tam tikrų veiksmų atlikimui, pavyzdžiui, dokumentų/informacijos pateikimui, kuris reikalingas atsakant į duomenų subjekto paklausimus, tačiau praktikoje tai yra gana svarbi sąlyga. Jei susitarimas dėl asmens duomenų tvarkymo nustatys konkretų terminą, tai leis duomenų valdytojui lengviau apginti savo teises, kadangi kilus situacijai, kurios metu duomenų tvarkytojas neįgyvendintų savo pareigos per konkretų nustatytą terminą, iškart po termino suėjimo būtų galima imtis teisinių priemonių duomenų tvarkytojo atsakomybei atsirasti. Taip pat yra itin svarbu numatyti konkretų terminą, per kurį duomenų tvarkytojas turi pranešti duomenų valdytojui apie įvykusį duomenų saugumo pažeidimą, kadangi duomenų valdytojas tik laiku gavęs informaciją iš duomenų tvarkytojo galės tinkamai įgyvendinti jam kylančias prievoles, pvz., per 72 valandas nuo sužinojimo apie duomenų saugumo pažeidimą pranešti Valstybinei duomenų apsaugos inspekcijai (BDAR 33 str. 1 d.).

“Šių klaidų išvengti padeda BDAR vidaus mokymai, kaip sudaryti tinkamas sutartis su duomenų tvarkytojais ir standartinių formų naudojimas. Jeigu prenumeruojate paslaugą Duomenų apsaugos pareigūnas Allaw arba užsisakėte vienkartinius BDAR mokymus, Allaw atitikties mokymų erdvėje galite pasirinkti temas ir sužinoti daugiau, kaip sudaryti susitarimus dėl asmens duomenų tvarkymo bei, panaudojant technologijas, juos efektyviai valdyti.”

Teisinerizika.lt

Duomenų apsaugos pareigūnas Allaw rekomenduoja

Rengiant sutartį ar susitarimą dėl asmens duomenų tvarkymo yra svarbu, kad jame būtų užtikrinami BDAR reikalavimai, aptariant sutarties šalims reikšmingas sąlygas. Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį, kad susitarimas dėl asmens duomenų tvarkymo yra svarbus ne tik teisės aktų atitikčiai, tačiau ir praktinių duomenų tvarkymo vykdymo taisyklių nustatymui. Ši sutartis yra pagrindinis dokumentas, reguliuojantis santykius tarp duomenų valdytojo ir duomenų tvarkytojo, padedantis prižiūrėti ir kontroliuoti duomenų tvarkytojus, todėl rekomenduojama kuo detaliau aptarti visas įmanomas situacijas, kurios gali kilti tvarkant perduotus duomenis.

Teisinės paslaugos internetu - Allaw

Atlikite savo organizacijos atitikties BDAR reikalavimams testą, gaukite mokymų programą ir registruokitės mokymams!

Atlikti
Asmens duomenų apsauga Patogios priemonės Rizikų eksperto patarimai