Duomenų apsaugos pareigūnas (DAP) – pareigybė, numatyta Bendrajame duomenų apsaugos reglamente (BDAR), kuris Lietuvoje ir kitose Europos Sąjungos valstybėse narėse pradėtas taikyti 2018 m. gegužės 25 d. Duomenų apsaugos pareigūną privalo paskirti valdžios institucijos ir įstaigos bei kitos organizacijos, kurių pagrindinė veikla yra dideliu mastu sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis. Per daugiau kaip trejus duomenų apsaugos pareigūno praktikos metus pastebėta, kad rinkoje veikia dviejų pagrindinių tipų duomenų apsaugos pareigūnai. Vienas jų, pavadinkime jį DAP – pagalbininkas, kuris koncentruojasi vien tam, kad patenkintų duomenų valdytojo poreikius, o kitas – Duomenų apsaugos pareigūnas kaip paslauga, kuris atsižvelgia į platesnius verslo poreikius ir kontekstą. Koks reikalingas Jūsų organizacijai?

Duomenų apsaugos pareigūnas: orientuotas į užduotis ar procesą

Organizacijai turi sudaryti DAP sąlygas veiksmingai atlikti savo užduotis, jam turi būti suteikta pakankama autonomija ir ištekliai jo užduotims veiksmingai atlikti. Naujojoje duomenų valdymo sistemoje duomenų apsaugos pareigūnas pripažįstamas vienu pagrindinių dalyvių naujojoje duomenų valdymo sistemoje, BDAR 37–39 straipsniuose nustatytos jo paskyrimo sąlygos, statusas ir užduotys. BDAR 39 straipsnio 1 dalyje nustatyta, kad DAP atlieka bent šias užduotis:

1. Informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal BDAR ir kitas Europos Sąjungos arba valstybės narės duomenų apsaugos nuostatas ir konsultuoja juos šiais klausimais.
2. Stebi, kaip laikomasi BDAR, kitų Europos Sąjungos arba nacionalinių duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus.
3. Paprašius konsultuojadėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal BDAR 35 straipsnį;
4. Bendradarbiaujasu priežiūros institucija, t. y. Valstybine duomenų apsaugos inspekcija.
5. Atlieka kontaktinio asmensfunkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant BDAR 36 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoja visais kitais klausimais.

Daugiau informacijos pateikta Direktyvos 95/46/EB 29 straipsnio darbo grupės 2016 m. gruodžio 13 d. duomenų apsaugos pareigūnų gairėse Nr. WP 243 (toliau – Gairės).

Iš čia išplaukia, kad tipinis duomenų apsaugos pareigūnas yra orientuotas į užduotis, jų atlikimą ir koncentruojasi į duomenų valdytojo prašymus. Jei organizacija didelė, jai gali būti reikalingas ir duomenų apsaugos koordinatorius. Praktikoje duomenų valdytojas išplatina savo darbuotojams atmintinę, kada ir kokiais atvejais reikalinga kreiptis į duomenų apsaugos pareigūną ar duomenų apsaugos koordinatorius, kokios pagalbos iš jų prašyti. Tokių prašymų pavyzdžiai gali būti: prašymas įvertinti gautą prašymą pateikti asmens duomenis, prašymas peržiūrėti atnaujintą asmens duomenų tvarkymo politiką (taisykles), įvertinti, ar numatomam asmens duomenų tvarkymo operacijai taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, padėti atsakyti į gautą duomenų subjekto skundą ir t.t. Kitaip sakant, duomenų valdytojo atstovui kyla klausimas, tada jis kreipiasi į duomenų apsaugos pareigūną, o šis atsako. Toks pagalbos modelis praktikoje dar vadinamas „kreipiasi-atsakau“ modeliu.

Kas yra „duomenų apsaugos pareigūnas kaip paslauga”

Duomenų apsaugos pareigūnas kaip paslauga yra platesnė funkcija, ji labiau strateginė ir tarp-organizacinė. Duomenų apsaugos pareigūnas kaip paslauga atsižvelgia į platesnius verslo poreikius ir kontekstą, nei tipinis duomenų apsaugos pareigūnas, kuris koncentruojasi vien tik tam, kad patenkintų duomenų valdytojo, jo darbuotojų poreikius suteikti konsultaciją, informuoti ar atstovauti.

Duomenų apsaugos pareigūnas kaip paslauga atlieka visas tas pačias BDAR 39 straipsnio 1 dalyje nustatytas užduotis, tačiau yra labiau orientuotas į procesą, o ne į užduotis. Jo bendras tikslas yra aktyviai kelti organizacijos atitikties BDAR reikalavimams lygį, tobulinti BDAR, duomenų ir informacijos bei verslo procesus visoje organizacijoje. Duomenų apsaugos pareigūnas kaip paslauga, pasitelkdamas paslaugų valdymo technologijas, nuolat ieško galimybių efektyviau vykdyti visus BDAR ir duomenų apsaugos procesus, įskaitant BDAR 39 straipsnyje nurodytų užduočių atlikimą. Pavyzdžiui, „Duomenų apsaugos pareigūnas kaip paslauga Allaw“ savo platformoje automatiškai registruoja kiekvieną gautą duomenų valdytojo užklausą, pranešimą apie galimą duomenų saugumo pažeidimą, automatizuoja užklausų sekimą ir eigą, taip pat teikia pranešimus el. paštu tam, kad jo ir duomenų valdytojo komandos būtų informuotos realiuoju laiku. Kaupia įrodymus, kad, duomenų valdytojui prireikus, galėtų padėti pademonstruoti atskaitomybės principo įgyvendinimą. Teikia patarimus, kaip patobulinti vieną ar kitą verslo procesą, kad efektyviau būtų užtikrinamas BDAR reikalavimų laikymasis. Taigi, organizacijai, kuri prenumeruoja paslaugą duomenų apsaugos pareigūnas kaip paslauga, nereikia rūpintis nei duomenų apsaugos pareigūno darbo priemonėmis, nei BDAR procesų tobulinimu, nei duomenų apsaugos programos valdymu. Skirtingai nuo tipinio duomenų apsaugos pareigūno, kuris tik reaktyviai atsako į duomenų valdytojo darbuotojų užklausas, duomenų apsaugos pareigūnas kaip paslauga vadovaujasi iniciatyviu požiūriu, identifikuoja, vertina ir valdo duomenų apsaugos rizikas, nuolatos investuoja į savo procesų tobulinimą bei technologijas. Į verslą orientuotas duomenų apsaugos pareigūnas kaip paslauga mato „visą paveikslą“, padeda ne tik valdyti duomenų saugumo pažeidimus, atsakinėti į gautus raštus, skundus, bet ir užbėgti jiems už akių, plėtodamas proaktyvius ilgalaikius sprendimus. Išklausyti BDAR mokymai vadovams ar net trumpa konsultacija gali padėti pasirinkti labiausiai organizacijos kelionei į BDAR atitiktį tinkamą duomenų apsaugos pareigūno tipą.

Duomenų apsaugos pareigūno pasirinkimas: geroji praktika

Valstybinė duomenų apsaugos inspekcija rekomenduoja kuriant (diegiant) ar vertinant turimas organizacines ir technines duomenų saugumo priemones visapusiškai atsižvelgti į „duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. BDAR 24 ir 32 straipsniai organizacijas įpareigoja visais atvejais atlikti rizikos vertinimą“. Šios rekomendacijos tinka ir renkantis duomenų apsaugos pareigūną. Taip pat reikėtų suvokti organizacijos poreikius, įvertinti turimą biudžetą. Prieš priimdama sprendimą, organizacija turėtų pasverti, ar jai reikalingas labiau taktinis duomenų apsaugos pareigūnas, ar strateginis. Taip pat gali būti, kad organizacijai reikalingas ir duomenų apsaugos koordinatorius. O tai labai lemia ir kokio atitikties lygio siekia organizacija. Tik tada pasirinkti geriausiai visa tai atitinkantį, atitinkamai pasirengti paslaugos techninę specifikaciją ir paslaugą įsigyti.