Duomenų apsaugos pareigūno įtraukimas į veiklą kuo anksčiau leidžia organizacijai greičiau sužinoti taikytinus BDAR reikalavimus, įsivertinti galimybes, pasverti alternatyvas. Be to, vienas iš VDAI klausimų duomenų valdytojams, 2022-aisiais tikrinant duomenų apsaugos pareigūno funkciją yra „kokiu būdu užtikrinama, kad DAP būtų įtraukiamas į visus procesus, susijusius su asmens duomenų tvarkymu ir apsauga“. Duomenų valdytojai ir tvarkytojai turi nurodyti pagrindinius procesus, į kuriuos DAP yra įtraukiamas. Ypač svarbu, kad su DAP būtų konsultuojamasi, kai atliekamas poveikio duomenų apsaugai vertinimas (PDAV). Tačiau, ar pavyksta organizacijoms tai užtikrinti? Kokiu būdu tai padaryti? Kaip dokumentuoti duomenų apsaugos pareigūno įtraukimą?

Duomenų apsaugos pareigūno įtraukimo į veiklą svarba

Užtikrindama duomenų apsaugos pareigūno įtraukimą į veiklą kuo anksčiau, organizacija greičiau sužino taikytinus BDAR reikalavimus, gali įsivertinti savo galimybes, pasverti alternatyvas. Pavyzdžiui, jei organizacija ketina pradėti vykdyti pokalbių telefonu įrašymą, kuo anksčiau įtrauktas duomenų apsaugos pareigūnas padės organizacijai įsivertinti tokios naujos duomenų tvarkymo tikslus, pasverti galimą naudą, netvarkymo poveikį, sukurs arba pritaikys konkrečiai organizacijai PDAV metodiką, konsultuos atliekant PDAV. Beje, kalbant apie poveikio duomenų apsaugai vertinimus, BDAR konkrečiai numato reikalavimą į jų atlikimą įtraukti DAP, su juo konsultuotis (35 str. 2d.). Tuo pačiu skatinamas pritaikytosios duomenų apsaugos modelis, todėl tai turėtų būti nustatyta ir dokumentuota kaip standartinis organizacijos procesas.

Tačiau, reikia pastebėti, kad duomenų apsaugos pareigūno įtraukimas į veiklą organizacijose nedaug pasikeitė nuo 2019m. Dar tada VDAI pastebėjo, kad „neretai valdžios institucijose ar įstaigose DAP įtraukimo į jų veiklos procesus reglamentavimas nepakankamas arba netinkamas[1]“. Dėl šios priežasties valstybės tarnautojai ir darbuotojai nežino, kas, kaip ir kada turi kreiptis į DAP, kaip pasireiškia DAP dalyvavimas valdžios institucijos ir įstaigos veikloje, ar konkretus klausimas ar dokumentas turėtų būti derinimas su DAP (pavyzdžiui, ar reikia gauti DAP vizą, ar reikalingas dokumentų suderinimas elektroniniu paštu ar kt.). Ne ką geresnė situacija, kaip pastebima, yra ir privačiame sektoriuje. Nuo ko pradėti duomenų apsaugos pareigūno įtraukimą?

BDAR kontaktinių duomenų paskelbimas

Kaip numato BDAR 38 str. 1 d. „Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą.“

Tam, kad duomenų apsaugos pareigūnas arba jo grupė būtų kuo ankstyvesniu etapu įtraukiami į visus su duomenų apsauga susijusius klausimus, būtina kuo greičiau užtikrinti duomenų subjektų bei priežiūros institucijos lengvą ir tiesioginį susisiekimą su duomenų apsaugos pareigūnu.

Bendrojo duomenų apsaugos reglamento 37 straipsnio 7 dalyje reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas:

• paskelbtų duomenų apsaugos pareigūno kontaktinius duomenis ir
• nurodytų duomenų apsaugos pareigūno kontaktinius duomenis atitinkamoms priežiūros institucijoms.

Kontaktinių duomenų apsaugos pareigūno duomenų paskelbimas yra vienas pirmųjų žingsnių užtikrinant duomenų apsaugos pareigūno įtraukimą į įstaigos, institucijos ar įmonės veiklą. Duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys turėtų būti skelbiami organizacijos viduje – pateikiami intranete, vidaus telefono kataloge ir nurodomi organizacijos struktūros schemoje. Valstybės ir savivaldybių institucijos ir įstaigos asmens duomenų apsaugos pareigūno vardą, pavardę, pareigas, kontaktinę informaciją (telefono numerį ir (ar) elektroninio pašto adresą arba informaciją apie elektroninio pašto adreso sudarymo tvarką) privalo skelbti savo interneto svetainėje. Atitinkamais atvejais (pavyzdžiui, kai duomenų valdytojas ar duomenų tvarkytojas tvarko didelės apimties asmens duomenis) galima nurodyti ir kitas ryšių priemones, pvz. specialią pagalbos liniją arba duomenų apsaugos pareigūnui adresuojamą specialią kontaktinę formą organizacijos svetainėje arba specialiai tam skirtame el. paslaugų portale (pvz. eDap.lt)

DAP įtraukimo į veiklą užtikrinimas

29 straipsnio duomenų apsaugos darbo grupė savo gairėse nurodo, kad „organizacija turėtų užtikrinti, pavyzdžiui, kad:

• duomenų apsaugos pareigūnas būtų kviečiamas reguliariai dalyvauti vyresniosios ir vidurinio lygmens vadovybės posėdžiuose;
• jam būtų rekomenduojama dalyvauti ten, kur priimami sprendimai, turintys padarinių duomenų apsaugai. Visa aktuali informacija laiku turi būti perduodama duomenų apsaugos pareigūnui, kad jis galėtų suteikti tinkamą konsultaciją;
• visada būtų privaloma deramai atsižvelgti į duomenų apsaugos pareigūno nuomonę. Jeigu kyla nesutarimų, WP29 kaip gerąją patirtį rekomenduoja dokumentais įforminti priežastis, kodėl nebuvo vadovaujamasi duomenų apsaugos pareigūno konsultacija;
• įvykus duomenų saugumo pažeidimui ar kitam incidentui visada būtų privaloma nedelsiant pasikonsultuoti su duomenų apsaugos pareigūnu.“

Visgi organizacijos neretai nežino, kaip užtikrinti tinkamą DAP įtraukimą į organizacijos veiklą. 2019m. VDAI atliko apklausą, gautą informaciją iš valdžios institucijų ar įstaigų ir nustatė, kad DAP funkcijos (veikla) neretai nustatoma:

1. Tik pareigybės aprašymais arba įsakymais dėl DAP skyrimo;
2. Asmens duomenų apsaugos taisyklėmis;
3. Atskirais dokumentais, aprašančiais skirtingus su asmens duomenų apsauga susijusius procesus;
4. Tik BDAR (vadovaujantis jo 39 straipsniu), bet vidinių dokumentų nėra priimta;
5. Atskirais pavedimais arba kreipiantis darbine tvarka (vidinių dokumentų nėra priimta).

Duomenų apsaugos pareigūno įtraukimas į veiklą neveiks, kol nebus tinkamai nustatyta DAP funkcija. Akivaizdu, kad DAP funkcijos nustatymas tik BDAR (vadovaujantis jo 39 straipsniu), nesant tinkamų vidinių dokumentų ar net asmens duomenų apsaugos taisyklėmis nėra pakankamas ir sudaro sąlygas DAP neįtraukti į duomenų apsaugos klausimų vertinimą arba įtraukimą netinkamu laiku bei apsunkinant būtinos informacijos prieinamumą. Todėl organizacijose turėtų būti parengtos bent gairės darbuotojams, kuriose būtų išdėstyta, kada turi būti konsultuojamasi su duomenų apsaugos pareigūnu. Dar geresnis būdas, kai organizacijose yra nustatytas ir dokumentuotas DAP konsultacijų teikimo darbuotojams ir duomenų subjektams procesas. Darbuotojai turi būti informuoti apie tai, kad gali kreiptis į DAP dėl konsultacijų. Informavimą darbuotojams rekomenduojama nuolat kartoti, neapsiribojant vien darbuotojų supažindinimu su DAP mokymų metu.

Kaip įrodyti DAP įtraukimą į veiklą

Organizacijos turi ne tik paskelbti DAP kontaktus, tinkamai nustatyti DAP funkciją. Jos turi galėti ir įrodyti, jog DAP dalyvavo  priimant sprendimus, turinčius padarinių duomenų apsaugai. Įrodymais gali tarnauti įvairūs dokumentai – DAP veiklos įrodymai: posėdžių protokolai, DAP veiklos ataskaitos ir pan. Atkreiptinas dėmesys, kad DAP veiklos dokumentavimas organizacijoms padeda ne tik įrodyti DAP įtraukimą į veiklą, bet ir užtikrinti DAP veiklos tęstinumą po DAP pasitraukimo iš pareigų.

[1] https://vdai.lrv.lt/uploads/vdai/documents/files/Rekomendacija-del-DAP-viesajame-sektroiuje-2019-06-13.pdf