Managed legal and compliance services

 
 

BDAR atitikties dokumentai tik pritaikyti konkrečiai organizacijai

Home > BDAR atitikties dokumentai tik pritaikyti konkrečiai organizacijai
 
BDAR atitikties dokumentai
BDAR dokumentai turi įrodyti organizacijos atitiktį BDAR reikalavimams, tik tada jie gali būti vadinami BDAR atitikties dokumentais. Tai apima tiek duomenų tvarkymo veiklos dokumentaciją, tiek svarbiausius procesų ir saugumo kontrolės priemonių dokumentus. Pareigą dokumentuoti turi tiek duomenų valdytojai, tiek tvarkytojai. Reikalavimai mažoms ir vidutinėms organizacijoms skiriasi. Pastarosioms privalomi ne visi BDAR dokumentai, kai kurie jų organizacijoje gali būti patvirtinti ir taikomi (paskelbti) ne kaip atskiras dokumentas, o kaip kito dokumento, pvz. Asmens duomenų tvarkymo taisyklių dalis. Duomenų tvarkymo veiklos įrašai joms privalomi tik tam tikroms duomenų tvarkymo veiklos rūšims. Kada BDAR dokumentai tampa BDAR atitikties dokumentais?

Reglamente yra aiškios nuostatos dėl duomenų tvarkymo veiklos dokumentavimo

Pirmiausia, organizacijos BDAR atitikties dokumentai turi apimti kelių dalykų, tokių kaip asmens duomenų tvarkymo tikslai, dalijimasis duomenimis ir saugojimą, įrašus. Ypač, kai kalbama apie tokias asmens duomenų tvarkymo veiklas:

  • kai dėl vykdomo duomenų tvarkymo gali kilti pavojus duomenų subjektų teisėms ir laisvėms (pvz., kai dėl duomenų tvarkymo duomenų subjektai gali netekti galimybės naudotis savo teisėmis ir laisvėmis ar jiems užkertamas kelias kontroliuoti savo asmens duomenis; kai siekiant sukurti arba naudoti asmens profilį vertinami asmeniniai aspektai, pvz., duomenys susiję su darbo rezultatais, ekonomine situacija, asmeniniais pomėgiais ar interesais ir t. t.; kai tvarkomi pažeidžiamų fizinių asmenų, visų pirma vaikų, asmens duomenys; arba kai duomenų tvarkymas apima didelį kiekį asmens duomenų ir daro poveikį daugeliui duomenų subjektų; kai dėl tvarkymo gali kilti neigiamos pasekmės asmenims, pvz., diskriminacija, būti pavogta ar suklastota tapatybė, padaryta finansinių nuostolių; kai tvarkymas atliekamas naudojant naujas technologijas ir t. t.);
  • duomenų tvarkymas yra reguliarus (tai reiškia, kad jis atliekamas tam tikrais intervalais, nuolat tebevykstantis, pasikartojantis tam tikrai periodais, yra organizuotas, planuotas, metodiškas ar pan.);
  • duomenų tvarkymas apima specialių kategorijų asmens duomenis (pagal BDAR 9 straipsnio 1 dalį), t. y., kai tvarkomi duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, sveikatos duomenys, duomenys apie asmens lytinį gyvenimą ar lytinę orientaciją;
  • tvarkomi asmens duomenys apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas (pagal BDAR 10 straipsnį).

Todėl Organizacijoms, net turinčioms mažiau kaip 250 darbuotojų rekomenduojama atlikti išorinį BDAR auditą ar gauti eksperto išvadą, kad būtų nustatyta, ar joms taikomas ir kokia apimtimi reikalavimas dėl duomenų tvarkymo veiklos įrašų. Bet kuriuo atveju duomenų tvarkymo veiklos įrašai padeda efektyviau tvarkyti asmens duomenis, įgyvendinti duomenų subjektų teises bei laikytis kitų BDAR nuostatų. Žinoma, tam būtina sąlyga, kad jie būtų atnaujinami ir atspindėtų esamą organizacijos duomenų tvarkymo veiklą. Kad įrašai tarnautų kaip įrodymas, jie turi būti saugomi raštu. BDAR nenumato prievolės duomenų valdytojui ir (ar) duomenų tvarkytojui duomenų tvarkymo veiklos įrašų skelbti viešai, tačiau juos turi pateikti Valstybinei duomenų apsaugos inspekcijai, gavę jos prašymą, pavyzdžiui, atliekant prevencinį tyrimą ir (ar) tikrinimą, nagrinėjant duomenų subjekto prašymą ar pan.

Organizacijų klaidos rengiant BDAR dokumentus

Antra, BDAR dokumentai turi būti parengti, pritaikyti, atsižvelgiant į konkrečios organizacijos tipą, dydį ir kompleksiškumą, jos informacines sistemas ir kitas turimas technologijas, taip pat į suinteresuotųjų asmenų ir svarbių trečiųjų šalių (klientų, tiekėjų) reikalavimus. Praktikoje organizacijos, siekdamos įrodyti atitiktį BDAR reikalavimams daro dvi pagrindines klaidas:

  • 1. Taikytinų privalomų BDAR dokumentų sąrašo nesudarymas. Kurie konkrečiai BDAR dokumentai privalomi konkrečiai organizacijai? Pirma, nėra išsamaus visų BDAR dokumentų sąrašo, antra, ne visi net VDAI gairėse išvardinti BDAR dokumentai (tiek vidiniai, tiek išoriniai) yra privalomi visais atvejais. Praktikoje neretai įsigyjami šabloniniai dokumentai, neįsitikinus, ar jie organizacijai privalomi, kokia apimtimi privalomi ir pan. Pavyzdžiui, Duomenų subjekto sutikimo forma, pvz., dėl tiesioginės rinkodaros organizacijoje yra privaloma ir organizacijoje turi būti patvirtinta tik tuo atveju, jei tvarkomi asmens duomenys, pvz., tiesioginės rinkodaros tikslu, vadovaujantis sutikimu.
  • 2. BDAR dokumentų nepritaikymas. Kokios konkrečios nuostatos turi būti įtrauktos konkrečios organizacijos BDAR dokumentuose? BDAR dokumentai turi būti pritaikyti konkrečiam veiklose sektoriui, konkrečiai organizacijai, atsižvelgiant į jos duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką fizinių asmenų teisėms ir laisvėms. Tik tada jie gali būti vadinami BDAR atitikties dokumentais. Nepritaikyti BDAR dokumentų šablonai gali neturėti konkrečiai organizacijai privalomų taikyti nuostatų, o gali turėti perteklines ar net klaidinančias nuostatas.
Rekomenduojama neskubėti rengti ar įsigyti BDAR dokumentus. Verta prieš tai atlikti BDAR auditą ar bent preliminarią peržiūrą, gauti eksperto konsultaciją (išvadą), nustatysiančią, kurie dokumentai organizacijai yra „must have“ ir kokios nuostatos juose turi būti įtrauktos, kad įrodytų atitiktį BDAR reikalavimams. Žinoma, organizacija turi turėti bei išsaugoti ir įrodymus, kad darbuotojai buvo supažindinti su šiais dokumentais, buvo pravesti instruktažai ar BDAR mokymai, kaip juos taikyti. Taigi, tik pagal audito rezultatus ar eksperto išvadą konkrečiai organizacijai sudarytų privalomų BDAR dokumentų sąrašą parengti pritaikyti BDAR dokumentai gali būti laikomi BDAR atitikties dokumentais. Ir tik tada jie palengvina asmens duomenų apsaugos procesų ir kontrolės priemonių valdymą.

Turite klausimų? Susisiekite su mumis!

 
Companies trust Allaw Join them today