We provide premium managed legal services for business!

 
Menu
 

Išorinis duomenų apsaugos pareigūnas: rūpestis ir kaštai ar valdoma paslauga

Home > Išorinis duomenų apsaugos pareigūnas: rūpestis ir kaštai ar valdoma paslauga
 
Posted by on vasario 3, 2020 in | Comments
Duomenu-apsaugos-pareigunas-DAP-uzklausos

Valstybinei duomenų apsaugos inspekcijai (toliau – ir VDAI) paskelbus  prevencinių patikrinimų planą 2020-iesiems, organizacijoms, ypač finansų sektoriaus įmonėms bei elektroninėms parduotuvėms vertėtų pasitikrinti ne tik kaip jų organizacijoje laikomasi asmens duomenų tvarkymo teisėtumo bei privatumo apsaugos reikalavimų, bet ir kaip veikia jų paskirtas išorinis duomenų apsaugos pareigūnas (toliau – ir DAP). DAP savo pareigas gali eiti ir nedirbdamas duomenų valdytojo ar duomenų tvarkytojo organizacijoje, o veikdamas pagal paslaugų teikimo sutartį (išorinis DAP). Praktika rodo, kad neretai kai skiriamas išorinis duomenų apsaugos pareigūnas, tai gali reikšti papildomus organizacijos rūpesčius ir kaštus. Ypač tai aktualu fintech įmonėms, kadangi dauguma jų, dėl savo veiklos specifikos, renka, saugo ir tvarko specialių kategorijų asmens duomenis. Nepriklausomai nuo pasirinkto DAP organizacijos turi sugebėti įrodyti, kaip jos užtikrino duomenų tvarkymo ir apsaugos reikalavimų laikymąsi. Todėl verta apsvarstyti, ar samdyti išorinį duomenų apsaugos pareigūną – laisvai samdomą paslaugų teikėją, ar geriau išvengti papildomų rūpesčių ir kaštų, užsakant DAP kaip valdomą paslaugą.

Duomenų apsaugos pareigūno įtraukimas sprendžiant visus su asmens duomenų apsauga susijusius klausimus

Išorinis duomenų apsaugos pareigūnas turi kompetencinį pranašumą, kadangi specializuojasi asmens duomenų apsaugos srityje ir dažnai turi daugiau praktinės patirties. Tačiau jo įtraukimas į organizacijos procesus gali būti sudėtingesnis, kadangi jis paprastai nėra tose pačiose patalpose kaip ir organizacijos darbuotojai. Be to išorinis DAP paprastai vienu metu užima šias pareigas keliose organizacijose. Bendrojo duomenų apsaugos reglamento 38 straipsnyje numatyta, jog duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas būtų tinkamai ir laiku įtraukiamas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą. Itin svarbu, kad duomenų apsaugos pareigūnas arba jo grupė būtų kuo ankstyvesniu etapu įtraukiami į visus su duomenų apsauga susijusius klausimus, su jais būtų konsultuojamasi. Tokiu būdu organizacijai bus lengviau laikytis BDAR nuostatų,  bus skatinamas pritaikytosios privatumo apsaugos modelis.

Patikrinimo metu organizacija turi sugebėti įrodyti, kad minėtas reikalavimas buvo įgyvendintas, taigi šis procesas turi būti valdomas. Jeigu organizacija samdo išorinį duomenų apsaugos pareigūną, tokiais įrodymais turi pasirūpinti ji pati, nebent ji užsako valdomą duomenų apsaugos pareigūno paslaugą. Pavyzdžiui, Allaw, teikianti valdomas teisines paslaugas ir siūlanti išorinio duomenų apsaugos pareigūno paslaugą, fiksuoja visas organizacijos užklausas bei  kaupia jas  vienoje vietoje. Organizacijai nereikia skirti savo techninių išteklių, įsigyti ar nuomoti serverių, kad turėtų, kur saugoti reikiamą informaciją, o prireikus galėtų ją pateikti. Be to, nesvarbu, kaip organizacijos darbuotojai pateikia užklausą Allaw išoriniam DAP-ui (susitikimo metu, telefonu, el. paštu ar užklausų valdymo sistemoje), užklausų valdymo sistemoje sukuriamas bilietas, pateikiantis visas užklausas vienoje vietoje. Dėl to darbo eiga tampa veiksmingesnė darbuotojams, jiems nereikia atkurti savo užklausų iš kelių vietų ir jų paskirstyti.

Sužinokite, kaip mes tai darome

Taip pat svarbu, kad išorinis duomenų apsaugos pareigūnas būtų lengvai pasiekiamas ir turėtų galimybę efektyviai bendrauti su duomenų subjektais. Kad duomenų subjektai galėtų lengvai susisiekti su duomenų apsaugos pareigūnu (arba fiziškai, vietoje, organizacijos patalpose, arba karštąja linija, užklausų valdymo sistema ar kitomis saugiomis ryšių priemonėmis). Kadangi taip pat svarbu, kad duomenų apsaugos pareigūnas organizacijoje būtų laikomas diskusijų partneriu ir kad jis dalyvautų atitinkamose darbo grupėse, organizacijoje priimančioje sprendimus dėl duomenų tvarkymo veiklos, tam reikalingos ir tam tikros bendradarbiavimo erdvės. Pavyzdžiui, užsisakius Allaw duomenų apsaugos pareigūno paslaugą, išorinis duomenų apsaugos pareigūnas gali vienoje vietoje saugiai bendradarbiauti su organizacijos komanda, teikti savo pasiūlymus, vizualiai atvaizduoti galimus sprendinius, teikti konsultacijas atliekant poveikio duomenų apsaugai vertinimus.

Organizacija privalo užtikrinti ir, prireikus, įrodyti duomenų apsaugos pareigūno dalyvavimą jos veiklos procesuose

Išorinis duomenų apsaugos pareigūnas taip pat turi būti kviečiamas reguliariai dalyvauti tuose organizacijos procesuose ir vyresniosios bei vidurinio lygmens vadovybės posėdžiuose; jam būtų rekomenduojama dalyvauti ten, kur priimami sprendimai dėl duomenų tvarkymo bei apsaugos. Visa aktuali informacija (pvz., įvykus duomenų saugumo pažeidimui ar kitam incidentui) turi būti laiku perduodama duomenų apsaugos pareigūnui, kad jis galėtų organizacijai suteikti tinkamą konsultaciją ir savo išvadą. Organizacija turi pareigą deramai atsižvelgti į duomenų apsaugos pareigūno nuomonę. Jeigu organizacija nusprendžia nesutikti su DAP nuomone, 29 straipsnio duomenų apsaugos darbo grupė rekomenduoja dokumentais įforminti priežastis, kodėl nebuvo vadovaujamasi duomenų apsaugos pareigūno konsultacija. . Vadinasi, patikrinimo metu, organizacija turi turėti galimybę pateikti įrodymus, kad buvo imtasi reikiamų priemonių, kad yra dokumentuotas informacijos perdavimas duomenų apsaugos pareigūnui, įformintos priežastys ir pan. Akivaizdu, kad, pasirinkus išorinio duomenų apsaugos pareigūno paslaugą, pranašumą turi valdomos DAP paslaugos, galinčios užtikrinti reikiamų įrodymų surinkimą.

Išbandykite Allaw DAP paslaugą 14 dienų nemokamai

Išorinis duomenų apsaugos pareigūnas taip pat turi turėti reikiamus išteklius

Bendrojo duomenų apsaugos reglamento 38 straipsnio 2 dalyje nurodoma, kad organizacija padėtų savo duomenų apsaugos pareigūnui suteikdama jo užduotims atlikti būtinus išteklius, taip pat  galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias. Be aktyvios organizacijos vadovybės paramos duomenų apsaugos pareigūnui einant savo pareigas (pvz., valdybos lygmeniu), reikalinga įvertinti ir kitus aspektus:

  • pakankamą paramą finansiniais ištekliais, infrastruktūra (aprūpinant patalpomis, priemonėmis, įranga), o prireikus – ir darbuotojais;
  • galimybę pasitelkti kitus organizacijos skyrius ar darbuotojus,  žmogiškųjų išteklių, teisės, IT ir kt., kad duomenų apsaugos pareigūnas iš tų kitų skyrių ar darbuotojų galėtų gauti būtiną paramą ir informaciją;
  • galimybę nuolatiniam DAP mokymui bei kvalifikacijos kėlimui;
  • atsižvelgiant į organizacijos dydį ir struktūrą, gali prireikti sudaryti duomenų apsaugos pareigūno grupę (duomenų apsaugos pareigūnas ir jo darbuotojai).

Vadinasi, organizacija, turi būti pasiruošusi skirti reikiamus išteklius ir infrastruktūrą,  kas lemia, kad duomenų apsaugos pareigūno užduotims atlikti galimai reikalinga skirti ir papildomus kaštus. Tokius organizacijos kaštus sutaupyti ir siekia Allaw duomenų apsaugos pareigūnas kaip paslauga, pateikdama organizacijai visą reikiamą infrastruktūrą duomenų apsaugos pareigūno užduotims atlikti. Duomenų valdytojas ar duomenų tvarkytojas taip pat gali neturėti ir kitų pareigybių, pvz., žmogiškųjų išteklių, teisės, IT ir kt., arba jų brandos lygis gali būti labai žemas. Todėl Allaw suteikia visą būtiną paramą,   informaciją, taip pat taupo organizacijos kaštus, savo lėšomis suteikdama galimybę išoriniam duomenų apsaugos pareigūnui sekti naujausias tendencijas duomenų apsaugos srityje. Taip DAP, organizacijai nepatiriant papildomų išlaidų, gali nuolat kelti savo ekspertinių žinių lygį. Allaw pasirūpina ir tuo, kai organizacijos dydis ir struktūra reikalauja sudaryti duomenų apsaugos pareigūno grupę. Organizacijai dirbanti dedikuota Allaw duomenų apsaugos pareigūno grupė veiksmingai atlieka duomenų apsaugos pareigūno užduotis kaip komanda, kuriai vadovauja organizacijai paskirtas kontaktinis asmuo. Detaliai visi šie aspektai nurodomi paslaugų teikimo sutartyje.

Išorinis duomenų apsaugos pareigūnas: reikalavimas dėl nepriklausomo pareigų ir užduočių atlikimo

BDAR 38 straipsnio 3 dalyje nustatytos tam tikros minimalios garantijos, padedančios užtikrinti, kad duomenų apsaugos pareigūnai galėtų pakankamai autonomiškai vykdyti savo užduotis organizacijoje. Duomenų valdytojai ir duomenų tvarkytojai visų pirma privalo užtikrinti, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl [savo] užduočių vykdymo. Duomenų valdytojas arba duomenų tvarkytojas ir toliau yra atsakingas už tai, kad būtų laikomasi duomenų apsaugos reikalavimų, ir turi sugebėti tai įrodyti (BDAR 5 straipsnio 2 dalis).  Vadinasi, patikrinimo metu, organizacija turi galėti įrodyti, kad duomenų apsaugos pareigūnui nepateikė nurodymų, kaip spręsti klausimą, pavyzdžiui, koks rezultatas turėtų būti pasiektas, kaip tirti skundą ir ar konsultuotis su priežiūros institucija. Taip pat, kad nenurodyta laikytis tam tikro požiūrio į su duomenų apsaugos reikalavimais susijusį klausimą, pavyzdžiui, tam tikro teisės aiškinimo. Allaw LegalDesk, fiksuojantis visas duomenų valdytojo ar duomenų tvarkytojo darbuotojų užklausas ir susirašinėjimą su išoriniu duomenų apsaugos pareigūnu bet kada, taip pat ir patikrinimo metu, gali pateikti informaciją, kaip organizacija laikėsi šio įpareigojimo. Į Allaw duomenų apsaugos pareigūno paslaugą įeina periodinės ataskaitos duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei. Tokiomis tiesioginėmis DAP ataskaitomis užtikrinama, kad vyresnioji vadovybė (pvz., valdyba, administracijos vadovas) žinotų apie duomenų apsaugos pareigūno konsultacijas ir rekomendacijas, kurias jis teikia vykdydamas savo įgaliojimus informuoti ir konsultuoti duomenų valdytoją arba duomenų tvarkytoją.

Organizacija privalo užtikrinti, kad dėl bet kokių užduočių ir pareigų nekiltų interesų konfliktas

BDAR 38 straipsnio 6 dalyje nustatyta, jog duomenų apsaugos pareigūnui leidžiama vykdyti kitas užduotis ir pareigas. Tačiau minėtame straipsnyje organizacija įpareigojama užtikrinti, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas. Reikėtų nepamiršti, kad interesų konfliktai gali būti įvairių formų, priklausomai nuo to, ar samdomas vidinis, ar išorinis duomenų apsaugos pareigūnas. Išorinio duomenų apsaugos pareigūno atveju interesų konfliktas gali kilti, kai jo paprašoma atstovauti duomenų valdytojui arba duomenų tvarkytojui teismuose, kai nagrinėjamos bylos, susijusios su duomenų apsaugos klausimais. Patikrinimo metu, priklausomai nuo organizacijos veiklos, dydžio ir struktūros, duomenų valdytojo arba duomenų tvarkytojo gali būti paprašyta pateikti įrodymus, kaip jie taiko šią gerąją praktiką: ar nustatytos pareigybės, kurios būtų nesuderinamos su duomenų apsaugos pareigūno funkcijomis, ar į organizacijos vidaus taisykles įtrauktos apsaugos nuostatos ir užtikrinta, kad skelbimas apie laisvą duomenų apsaugos pareigūno pareigybę arba paslaugų sutartis būtų pakankamai tikslūs ir išsamūs ir taip būtų išvengta interesų konflikto ir pan.

Išvados

Išorinio duomenų apsaugos pareigūno įtraukimas sprendžiant visus su asmens duomenų apsauga susijusius klausimus gali būti sudėtingesnis nei vidinio duomenų apsaugos pareigūno atveju. Organizacijos veikla, dydis ir struktūra gali lemti pakankamai reikšmingus kaštus organizacijai, siekiant užtikrinti tinkamą duomenų apsaugos pareigūno užduočių vykdymą ir reikiamų įrodymų surinkimą. Todėl verta ieškoti būdų ir galimybių, kaip šiuos kaštus pasidalinti su duomenų apsaugos pareigūnu. Patikrinimo metu organizacija, nesvarbu, ar tai būtų bankas, ar elektroninės prekybos įmonė, ar kt. industrijos atstovė turi sugebėti įrodyti, kad ėmėsi reikiamų priemonių, kad duomenų apsaugos pareigūnas buvo tinkamai ir laiku įtrauktas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą, kad yra dokumentuotas informacijos perdavimas duomenų apsaugos pareigūnui ir pan.  Todėl organizacijoms versta apsvarstyti apie duomenų apsaugos pareigūną kaip valdomą paslaugą, aprūpintą tinkama infrastruktūra,  fiksuojančia reikiamus įrodymus ir gebančią juos pateikti patikrinimo metu. Be to, naudodamasi tokia paslauga, apimančia ir tinkamas bendradarbiavimo bei diskusijų priemones, organizacija gali ne tik įvykdyti BDAR reikalavimus, bet ir  užtikrinti didesnį savo darbuotojų darbo našumą.

Išbandykite Allaw DAP paslaugą 14 dienų nemokamai

 
Businesses trust Allaw Join us today