Managed legal and compliance services

 
 

BDAR dokumentai: privalomi ir rekomenduotini

Home > BDAR dokumentai: privalomi ir rekomenduotini
 
BDAR dokumentai

BDAR nereglamentuoja, kokie konkrečiai BDAR dokumentai ar nuostatos yra privalomi, išskyrus duomenų tvarkymo veiklos įrašus. BDAR nurodyta tik tai, kad duomenų valdytojas turi įgyvendinti tinkamą duomenų apsaugos politiką. Todėl neretai organizacijos nežino, kokie BDAR dokumentai joms yra privalomi, kokius būtina pasitvirtinti ir skelbti (taikyti). Įgyvendindama 2018 m. rugsėjo 17 d.  startavusį projektą SolPriPa, Valstybinė duomenų apsaugos inspekcija parengė asmens duomenų apsaugos gaires smulkiajam ir vidutiniam verslui. Jose nurodyta, kad  BDAR atitiktį įrodantys dokumentai gali būti skirstomi į „išorinius“ ir „vidinius“, išvardinta, kurie dokumentai privalomi, o kurie rekomenduotini. Ar padeda šios gairės, siekiant įrodyti, kad tinkamai taikomas BDAR ir laikomasi BDAR reikalavimų, t. y. užtikrinama atitiktis BDAR?

BDAR dokumentai: „išoriniai“ ir „vidiniai“

Kaip nurodo VDAI savo gairėse, BDAR atitiktį įrodantys dokumentai gali būti skirstomi į:

  • Dokumentus, kurie skelbiami viešai;
  • Vidinius dokumentus.

Dokumentai, skelbiami viešai, skirti „išoriniams“ duomenų subjektams, vadinami „išoriniais“ dokumentais. Vidiniai dokumentai skirti reglamentuoti tam tikroms procedūroms, susijusioms su BDAR atitiktimi. Su šiais dokumentais privaloma supažindinti darbuotojus ir pasilikti susipažinimo įrodymus. Naujai įdarbinamiems darbuotojams taip pat privaloma susipažinti su „vidinių“ dokumentų paketu. Šis skirstymas praktikoje svarbus tuo, kad iki gairių pasirodymo daugelis nežinojo, kuriuos BDAR dokumentus būtina skelbti viešai, o kuriuos pakanka pasitvirtinti organizacijos viduje. Tiesa, ir dabar yra atvejų, kai vidinio naudojamo dokumentas paskelbiamas organizacijos interneto svetainėje.

Kokie BDAR dokumentai priskirtini „išoriniams“, t.y. kuriuos būtina skelbti viešai ar pateikti susipažinti „išoriniams“ duomenų subjektams? Tai pirmiausia organizacijos tinklapyje, aplikacijoje ar pan. skelbiama Privatumo politika (privatumo pranešimas), Sutartis su klientu (fiziniu asmeniu), jei organizacija teikia paslaugas fiziniams asmenims, Duomenų subjekto sutikimo forma, pvz., dėl tiesioginės rinkodaros, įvairios duomenų teikimo sutarčių formos. Nėra nė vieno „išorinio“ BDAR dokumento, kuris būtų besąlygiškai privalomas. Visų jų privalomumas siejamas su tam tikra sąlyga: pavyzdžiui, jei asmens duomenys renkami tam tikroje priemonėje (svetainėje ar aplikacijoje), jei asmens duomenys perduodami ir pan. Tai leidžia daryti išvadą, kad, norint nustatyti, kurie „išoriniai“ dokumentai organizacijai yra privalomi, būtinas kruopštus BDAR auditas, kuris nustatytų organizacijos duomenų tvarkymo kontekstą.

„Vidiniams“ dokumentams priskiamos Asmens duomenų tvarkymo taisyklės (ar kitas analogiškas dokumentas, kuris gali būti ir skirtingo pavadinimo), Duomenų tvarkymo veiklos įrašai, Poveikio duomenų apsaugai vertinimo procedūra, Asmens duomenų saugumo pažeidimų procedūra ir registras, IT saugumo politika, Poveikio duomenų apsaugai vertinimo (PDAV) procedūra ir kt. Svarbu atkreipti dėmesį, kad šioje kategorijoje yra daug daugiau visoms net smulkiojo ir vidutinio verslo organizacijoms privalomų dokumentų. Taip pat būtina nepamiršti, kad organizacijos turi surinkti ir išsaugoti įrodymus, jog jos supažindino savo darbuotojus su „vidiniais“ BDAR dokumentais. Ypač įvykus duomenų saugumo pažeidimui VDAI prašo duomenų valdytojų „nurodyti, ar asmens duomenų saugumo pažeidimą padaręs darbuotojas yra supažindintas su Bendrovės asmens duomenų saugumo politika, pateikiant tai patvirtinančius įrodymus“. Papildomai rekomenduojama, kad darbuotojams būtų organizuoti BDAR mokymai, kuriuose jie būtų apmokyti, kaip tą asmens duomenų saugumo politiką taikyti.

Gairės tik smulkiajam ir vidutiniam verslui

Atkreiptinas dėmesys, kad minėtos gairės yra skirtos tik smulkiajam ir vidutiniam verslui. Jų pagrindinė tikslinė grupė – smulkaus ir vidutinio verslo atstovai, startuoliai, sveikatos priežiūros ir žiniasklaidos sektoriai. BDAR dokumentai, kurie gairėse yra nurodyti kaip „rekomenduotini“ šiai tikslinei grupei paprastai yra privalomi didesnėms, daugiau kaip 250 darbuotojų turinčioms organizacijoms. Be to, atkreiptinas dėmesys, kad, kuriant (diegiant) organizacines ir technines saugumo priemones, organizacijos turi visapusiškai atsižvelgti į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką, kylančią fizinių asmenų teisėms ir laisvėms. BDAR 24 ir 32 straipsniai numato, kad organizacijos visais atvejais privalo atlikti rizikos vertinimą. Todėl net smulkiojo ar vidutinio verslo įmonė, kurios asmens duomenų tvarkymo veikla susijusi su bent keliais rizikos veiksniais, turėtų pasitvirtinti ir paskelbti (taikyti) ne vien VDAI gairėse išvardintus „privalomus“ dokumentus. Taigi, nevertėtų labai pasikliauti įvairiomis gairėmis, nurodančiomis „privalomus” ir „rekomenduotinus” BDAR dokumentus ar skelbiančius BDAR dokumentų sąrašus, kuriuos „turi turėti kiekviena įmonė“. BDAR atitiktis taip pat nėra „kontrolinio sąrašo“ punktų pažymėjimo pratimas. Verta pirmiausia inicijuoti nors paprasčiausios apimties savo vadovaujamos organizacijos BDAR auditą ir suvokti jos asmens duomenų tvarkymo kontekstą.

Paspaudę nuorodą galite nemokamai pasitikrinti, ar Jūsų Organizacija tinkamai taiko BDAR ir laikotės BDAR reikalavimų, susijusių su BDAR dokumentais, t.y., ar užtikrinate atitiktį BDAR.

 
Companies trust Allaw Join them today