We provide premium managed legal services for business!

 

Duomenų apsaugos pareigūnas: koks jo vaidmuo poveikio duomenų apsaugai vertinimo procese

Home > Duomenų apsaugos pareigūnas: koks jo vaidmuo poveikio duomenų apsaugai vertinimo procese
 
Posted by on 15 gegužės, 2020 in | Comments
Duomenu-apsaugos-pareigunas-Allaw
Nors už vertinimo atlikimą yra atsakingas duomenų valdytojas, tačiau būtent duomenų apsaugos pareigūnas (DAP) poveikio duomenų apsaugai vertinimo procese gali padėti atsakyti į iškylančius klausimus ir taip atlikti reikšmingą bei labai naudingą vaidmenį. Neretai duomenų valdytojams dėl šio proceso kyla daugybė klausimų: kada reikalinga jį atlikti? Kaip ir kokia metodika vadovaujantis? Kokias duomenų saugumo priemones pasirinkti, kad būtų sumažintos duomenų subjektų teisėms ir laisvėms kylančios rizikos?

BDAR 35 str. numato, kad atlikdamas poveikio duomenų apsaugai vertinimą duomenų valdytojas turi konsultuotis su duomenų apsaugos pareigūnu. Duomenų apsaugos pareigūnas, savo ruožtu, turi pareigą, paprašius duomenų valdytojui, jį konsultuoti ir stebėti poveikio duomenų apsaugai atlikimą. Koks duomenų apsaugos pareigūno vaidmuo ir kaip jis gali prisidėti prie sėkmingo poveikio duomenų apsaugai vertinimo proceso įgyvendinimo?

DAP konsultuoja dėl poreikio atlikti PDAV

Kiekvieną kartą prieš naudodamas naujas technologijas ar įgyvendindamas savo veikloje procesus/projektus, kurių metu bus tvarkomi asmens duomenys, duomenų valdytojas, atsižvelgdamas į asmens duomenų tvarkymo pobūdį, apimtį, kontekstą ir tikslus, turi įvertinti ar fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus[1] ir ar bus reikalinga atlikti poveikio duomenų apsaugai vertinimą. Šiuo atveju 29 straipsnio darbo grupė savo gairėse[2] rekomenduoja duomenų valdytojui kreiptis į duomenų apsaugos pareigūną konsultacijos dėl poreikio atlikti poveikio duomenų apsaugai vertinimą. Duomenų apsaugos pareigūnas savo ruožtu įvertina ar organizacijos ketinamas vykdyti duomenų tvarkymas atitinka BDAR 35 str. 3 d. ir Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) direktoriaus įsakymu[3] nustatytus atvejus, kai poveikio duomenų apsaugai vertinimas privalo būti atliekamas, ir pateikia duomenų valdytojui savo išvadą.

Ši konsultacija ir duomenų valdytojui pateikta išvada turėtų būti įtraukta į PDAV dokumentaciją[4]. Rekomenduojama šį procesą bei kitas DAP atsakomybes PDAV procese reguliuoti organizacijos Poveikio duomenų apsaugai vertinimo procedūros apraše. Atkreiptinas dėmesys, kad reikalavimo atlikti poveikio duomenų apsaugai vertinimą neįgyvendinimas vertinamas kaip BDAR nuostatų nesilaikymas ir gali lemti administracinės baudos[5] skyrimą organizacijai, todėl DAP nuomonė šiuo atveju itin reikšminga.

Sužinokite, kaip mes tai darome

DAP konsultuoja, kokia metodika atliekant PDAV vadovautis

Nustačiusi poreikį atlikti poveikio duomenų apsaugai vertinimą, organizacija turi pasirinkti tinkamą metodiką šiam vertinimui atlikti. Priešingu atveju, netinkamas poveikio duomenų apsaugai vertinimo atlikimas, pavyzdžiui, pasirinkus metodiką, neatitinkančią BDAR reikalavimų, gali lemti, kad organizacija bus pripažinta neužtikrinanti atitikties BDAR reikalavimams ir lems administracinės baudos skyrimą.

Pasirinkti metodiką, atitinkančią visus reikalavimus, taip pat gali padėti duomenų apsaugos pareigūnas. Paprastai praktikoje poveikio duomenų apsaugai vertinimą atlieka duomenų valdytojas kartu su duomenų tvarkytojais, konsultuojant duomenų apsaugos pareigūnui. Įvertinęs duomenų valdytojo resursus ir planuojamą vykdyti duomenų tvarkymą DAP gali padėti duomenų valdytojui priimti sprendimą ar poveikio duomenų apsaugai vertinimą atlikti pačioje organizacijoje, ar jį užsakyti,[6] tačiau, bet kuriuo atveju, už šios pareigos vykdymą atsako organizacija (duomenų valdytojas).

DAP teikia rekomendacijas dėl tinkamų duomenų saugumo priemonių

Poveikio duomenų apsaugai vertinimo ataskaita apima planuojamas vykdyti duomenų tvarkymo operacijas, būtinumo ir proporcingumo bei duomenų subjektų teisėms ir laisvėms kylančių pavojų (rizikų) vertinimą. Taip duomenų apsaugos pareigūnas organizacijai gali padėti pasirinkti duomenų apsaugos priemones (įskaitant technines ir organizacines priemones), skirtas taikyti siekiant sumažinti riziką duomenų subjektų teisėms ir interesams.[7]

Duomenų saugumo priemones DAP rekomenduoja, atsižvelgdamas į atitinkamą duomenų tvarkymu duomenų subjektams keliamą rizikos lygį. Taip duomenų valdytojui padėdamas ne tik įgyvendinti pareigą taikyti tinkamas technines ir organizacines duomenų saugumo priemones, bet ir sumažinti duomenų tvarkymu duomenų subjektų teisėms ir laisvėms keliamą pavojų.

DAP stebi PDAV atlikimą ir teikia išvadas dėl jo tinkamumo

Vadovaudamasis BDAR 39 str. 1 d. c) punktu, DAP stebi poveikio duomenų apsaugai vertinimo atlikimą ir teikia duomenų valdytojui rekomendacijas[8]. Galiausiai, organizacijai atlikus poveikio duomenų apsaugai vertinimą, duomenų apsaugos pareigūnas teikia išvadas, ar vertinimas buvo tinkamai atliktas ir ar jo išvados (ar toliau tvarkyti duomenis ir kokias apsaugos priemones taikyti) atitinka Bendrojo duomenų apsaugos reglamento nuostatas[9]. Jeigu duomenų valdytojas nesutinka su duomenų apsaugos pareigūno suteikta konsultacija/išvadomis, poveikio duomenų apsaugai vertinimo dokumentacijoje turėtų būti raštu konkrečiai pagrįsta, kodėl neatsižvelgta į konsultaciją/išvadas.[10] Poveikio duomenų apsaugai vertinimo ataskaita turi įtraukti tiek duomenų apsaugos pareigūno suteiktas konsultacijas/išvadas, tiek nurodymą, ar į jas buvo atsižvelgta.

Vykdydamas PDAV stebėseną ir teikdamas savo išvadas duomenų apsaugos pareigūnas prisideda prie jo atitikties BDAR reikalavimams užtikrinimo. Tiesa, 29 straipsnio darbo grupė savo rekomendacijose tik nurodo, kad duomenų apsaugos pareigūnas, vykdydamas jam BDAR 39 straipsnio 1 dalies b punkte numatytą pareigą stebėti, kaip laikomasi reglamento, gali padėti atlikti tam tikrus veiksmus. Pavyzdžiui, rinkti informaciją duomenų tvarkymo veiklai identifikuoti, nagrinėti ir tikrinti, ar duomenų tvarkymo veikla atitinka reikalavimus, informuoti duomenų valdytoją ar duomenų tvarkytoją, jį konsultuoti ir teikti jam rekomendacijas. Manytina, kad šiai pareigai atlikti gali padėti tiek paties projekto projektinės dokumentacijos peržiūra, eigos stebėjimas, poveikio duomenų apsaugai vertinimo ataskaitos rezultatų įgyvendinimo stebėjimas.

Išbandykite Allaw DAP paslaugą 14 dienų nemokamai

Išvados

Duomenų apsaugos pareigūnas, teikdamas konsultacijas duomenų valdytojui dėl poveikio duomenų apsaugai vertinimo atlieka naudingą ir reikšmingą vaidmenį šiame procese. Jau pačiame šio proceso inicijavime duomenų valdytojas, pasikonsultavęs su DAP gali nustatyti, ar PDAV išvis turi būti atliekamas. Atlikdamas šį procesą, duomenų valdytojas gali konsultuotis su DAP dėl su jo vykdymu susijusių aspektų, pavyzdžiui, kokią metodiką taikyti, kokias duomenų saugumo priemones pasirinkti. Duomenų apsaugos pareigūno atliekama PDAV stebėsena padeda užtikrinti šio proceso atitiktį BDAR reikalavimams ir išvengti duomenų valdytojo administracinės atsakomybės dėl netinkamo jo vykdymo.

Dažniausiai užduodami klausimai duomenų apsaugos pareigūnui (DUK)

 

[1] Bendrojo duomenų apsaugos reglamento 35 str. 1 d.

[2] Duomenų apsaugos pareigūnų gairės, priimta 2016 m. gruodžio 13 d., priimta su paskutiniais pakeitimais 2017 m. balandžio 5 d. 16/LT WP 243 rev.01., https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.

[3] Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymas Nr. 1T- 35 (1.12.E) Dėl duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo.

[4] Poveikio duomenų apsaugai vertinimo (PDAV) gairės, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų Priimta 2017 m.

[5] Bendrojo duomenų apsaugos reglamento 83 str. 4 d.

[6] Poveikio duomenų apsaugai vertinimo (PDAV) gairės, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų Priimta 2017 m. balandžio 4 d. Paskutinį kartą peržiūrėta ir priimta 2017 m. spalio 4 d. 17/LT WP 248, 1-oji peržiūrėta versija.

[7] Duomenų apsaugos pareigūnų gairės, priimta 2016 m. gruodžio 13 d., priimta su paskutiniais pakeitimais 2017 m. balandžio 5 d. 16/LT WP 243 rev.01., https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.

[8] Bendrojo duomenų apsaugos reglamento 35 str. 2 d.

[9] Duomenų apsaugos pareigūnų gairės, priimta 2016 m. gruodžio 13 d., priimta su paskutiniais pakeitimais 2017 m. balandžio 5 d. 16/LT WP 243 rev.01., https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.

[10] Duomenų apsaugos pareigūnų gairės Priimta 2016 m. gruodžio 13 d. Priimta su paskutiniais pakeitimais 2017 m. balandžio 5 d. 16/LT WP 243 rev.01., https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048.

 
Businesses trust Allaw Join us today