Išorinis duomenų apsaugos pareigūnas
Duomenų apsaugos pareigūnas: vidinis ar išorinė paslauga?
Aprašymas
Duomenų apsaugos pareigūnas (DAP) - pareigybė, numatyta Bendrajame duomenų apsaugos reglamente (BDAR), kuri informuoja organizaciją apie jos pareigas duomenų apsaugos srityje bei konsultuoja dėl šių pareigų įgyvendinimo.
BDAR nustato minimalias pareigas duomenų apsaugos pareigūnui, susijusias su duomenų apsaugos strategijos įgyvendinimo priežiūra, užtikrinimu, kad būtų laikomasi BDAR ir kitų taikomų duomenų apsaugos įstatymų. Duomenų apsaugos pareigūnas taip pat prižiūri duomenų privatumo ir duomenų apsaugos politiką, kad užtikrintų šios politikos įgyvendinimą per visus organizacijos padalinius, ir užtikrina, kad organizacija tinkamai tvarkytų duomenų subjektų (darbuotojų, klientų ir kitų asmenų) asmens duomenis.
DAP turi veikti nepriklausomai, su visapusiu aukštesnės vadovybės bei valdybos palaikymu, turėdamas prieigą prie visų reikalingų išteklių, kad galėtų atlikti savo funkciją vadovaujantis pagal geriausią praktiką.
Reikalavimas
1) Duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
2) Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;
3) Duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veiklas tvarkymas dideliu mastu.
Vienas iš kriterijų, kai duomenų apsaugos pareigūnas turi būti paskirtas yra tai, kad asmens duomenys tvarkomi dideliu mastu. Vertinant, ar tvarkymas yra didelio masto, reikia atsižvelgti į:
1) Susijusių duomenų subjektų skaičių;
2) Įvairių tvarkomų duomenų vienetų kiekį ir (arba) intervalą;
3) Duomenų tvarkymo veiklos trukmę arba pastovumą;
4) Geografinę duomenų tvarkymo veiklos aprėptį.
Žr. taip pat Rizikos veiksniai duomenų subjektų teisėms ir laisvėms
DAP skyrimo kriterijai
Remiantis BDAR 37 str. 5 d. duomenų apsaugos pareigūnu gali būti skiriamas asmuo, kuris:
Turi duomenų apsaugos teisės ir praktikos ekspertinių žinių;
Geba atlikti DAP užduotis;
Nekyla interesų konfliktas.
Rinkdamiesi duomenų apsaugos pareigūną ir rengdami apklausos sąlygas, duomenų apsaugos teisės bei praktikos ekspertines žinias, gebėjimą atlikti DAP užduotis galite patikrinti numatydami kvalifikacinius reikalavimus. Pvz.:
turėti ne trumpesnę nei 2 (dviejų) metų darbo patirtį asmens duomenų saugos srityje per pastaruosius 3 (trejus) metus; arba
turėti ne mažesnę nei 1 metų patirtį kaip duomenų apsaugos pareigūnas.
DAP funkcijos
DAP atliekamos užduotys (BDAR 39 str. 1d.), kurios kuria nepakeičiamą pridėtinę vertę. Išorinio duomenų apsaugos pareigūno, kaip ir vidinio, užduotys:
Plačiau apie funkcijas skaitykite čia.
DAP atsakomybė
DAP yra įpareigotas stebėti vidinę atitiktį ir užtikrinti, kad įmonė ar įstaiga asmens duomenis tvarkytų laikydamasi galiojančių duomenų apsaugos teisės aktų.
Duomenų apsaugos pareigūnas taip pat yra atsakingas už BDAR atitikties įrodymą ir bendradarbiavimą su duomenų apsaugos institucija.
Duomenų apsaugos pareigūnas turėtų bendradarbiauti su kitais organizaciniais vienetais, kurie dalyvauja asmens duomenų tvarkyme, pvz., Rinkodaros, žmogiškųjų išteklių arba teisės.
DAP paprastai yra IT profesionalas ar teisės ekspertas, o ne abu.
Aišku, DAP vaidmuo yra daug daugiau nei pareigos, nurodytos BDAR 39 straipsnyje, mes jas pateikiame žemiau:
✅ Informuoti ir patarti įmonei ar įstaigai (duomenų valdytojui ar duomenų tvarkytojui) bei darbuotojams, kaip laikytis BDAR ir kaip laikytis kitų duomenų apsaugos teisės aktų,
✅ Valdyti vidaus politiką ir įsitikinti, kad įmonė ar įstaiga jos laikosi,
✅ Didinti suvokimą ir mokyti visus darbuotojus, susijusius su tvarkymo veikla
✅ Teikti patarimus dėl poveikio duomenų apsaugai vertinimo ir stebėti jų veikimą
✅ Duoti įmonei ar įstaigai patarimų dėl duomenų apsaugos taisyklių aiškinimo ar taikymo
✅ Tvarkyti institucijų, duomenų valdytojo, duomenų subjektų skundus ar prašymus arba siūlyti tobulinimus
✅ Pranešti apie bet kokį BDAR ar taikomų duomenų apsaugos taisyklių nesilaikymą
✅ Stebėti, kaip laikomasi BDAR ar kitų duomenų apsaugos teisės aktų, įskaitant pareigą informuoti duomenų subjektus
✅ Nustatyti ir įvertinti įmonės ar įstaigos duomenų tvarkymo veiklą,
✅ Bendradarbiauti su priežiūros institucija
✅ Prižiūrėti duomenų tvarkymo veiklos įrašus
DAP nėra asmeniškai atsakingas už organizacijos BDAR atitiktį, atsakingas yra duomenų valdytojas arba duomenų tvarkytojas, kuris privalo įrodyti, kad jis atitinka reikalavimus. Duomenų valdytojas arba duomenų tvarkytojas privalo pateikti visus reikalingus įrankius, išteklius ir personalą, kad duomenų apsaugos pareigūnas galėtų atlikti užduotis. Be to, DAP negali prisiimti visos atsakomybės už atitikties procesą. Todėl DAP ir kiti organizaciniai padaliniai, pvz. koordinatorius, struktūrinių padalinių vadovai, duomenų apsaugos čempionai turėtų pasidalinti atsakomybę. Jei ne, DAP teks susidurti su neįmanomu iššūkiu prižiūrėti visus įmonės ar įstaigos procesus.
Duomenų valdytojo pareigos
Duomenų valdytojas turi užtikrinti, kad bus sudarytos tinkamos sąlygos DAP veiklai, t.y., įgyvendinti reikalavimai, nurodyti žemiau:
Ypatingai svarbu užtikrinti, kad:
- susitikimai su duomenų apsaugos pareigūnu būtų protokoluojami,
- duomenų apsaugos pareigūnas teiktų rašytines rekomendacijas,
- darbuotojai būtų informuoti apie jų pareigas bendradarbiauti su duomenų apsaugos pareigūnu pasirašytinai.
DAP negali iš duomenų valdytojo ir duomenų tvarkytojo gauti jokių nurodymų dėl savo užduočių vykdymo. Jis tiesiogiai atsiskaito organizacijos aukščiausio lygio vadovybei.
Darbuotojų pareigos
Kai yra skiriamas duomenų apsaugos pareigūnas, organizacijos darbuotojai įgauna kelias papildomas pareigas, skirtas užtikrinti pažeidimų prevenciją ir efektyvesnę DAP funkciją (BDAR 38 str. 1 d.). Pavyzdžiui,
Informuoti apie asmens duomenų saugumo pažeidimus;
Įtraukti DAP į visų duomenų tvarkymo ir apsaugos klausimų nagrinėjimą;
Konsultuotis atliekant poveikio duomenų apsaugai vertinimą (PDAV);
Konsultuotis dėl kitų su asmens duomenų tvarkymu susijusių aspektų.
Plačiau žr. Atmintinė darbuotojams ir valstybės tarnautojams dėl DAP
Žr. plačiau atmintinėje.
Galimybės
Nauda
Siekdamos įgyvendinti reikalavimą skirti DAP, organizacijos gali rinktis. Pavyzdžiui, skirti vidinį DAP ar išorinį. Klaidinga manyti, kad tik vidinis duomenų apsaugos pareigūnas (DAP) žino "kuo įmonė kvėpuoja" ir gali geriausiai patarti organizacijai duomenų apsaugos klausimais. Paanalizuokite žemiau, kad įsitikintumėte.
Nauda organizacijai skirti išorinį DAP - galimybė sukurti tokią duomenų apsaugos valdymo struktūrą, kuri leistų išvengti interesų konflikto, atitiktų kitus reikalavimus ir užtikrintų tinkamas sąlygas DAP veiklai, o tuo pačiu sumažintų organizacijos kaštus DAP pareigybei (įrankiams, kvalifikacijos kėlimui, kontrolės priemonėms ir pan.). Skirdama išorinį DAP organizacija turi:
1) Efektyvų asmens duomenų tvarkymo procesų valdymą;
2) Darbuotojų švietimą ir mokymą asmens duomenų tvarkymo klausimais;
3) Pagalbą atsakant į institucijų, duomenų subjektų prašymus dėl duomenų teikimo;
4) Organizacijos iniciatyvų vertinimą asmens duomenų tvarkymo kontekste;
5) Užtikrintumą, jog asmens duomenis organizacija tvarko, pagal naujausią praktiką ir laikydamasi teisės aktų reikalavimų;
6) Mažesnius kaštus, kadangi naudojasi išorinio tiekėjo pateikiamais duomenų apsaugos pareigūno darbo įrankiais (pvz. eDap.lt, DAi.lt)
Tiek BDAR 37 str. 6-7d., tiek praktika rodo, kad lemiamas kriterijus skiriant duomenų apsaugos pareigūną yra tikrai ne jo darbo forma (tai ar jis įmonės darbuotojas ar išorinis konsultantas), tačiau jo ekspertinės žinios, įgūdžiai ir gebėjimas juos pritaikyti praktikoje. Praktika rodo, kad daugelyje DAP darbo situacijų būti vien perskaičius BDAR nepakanka, pvz., asmens duomenų saugumo pažeidimų valdymas neretai reikalauja ne tik greičio (apie pažeidimus, vadovaujantis BDAR 33 str. 1 d., turi būti pranešama per 72 val.), bet ir patirties bei pasiruošimo (kaip geriausiai ir greičiausiai išsiaiškinti galimo pažeidimo aplinkybes, kaip tinkamai ir laiku komunikuoti įmonės viduje ir su VDAI bei duomenų subjektais).
Palyginti
Svarstydami duomenų apsaugos pareigūno kandidatūrą, prieš nuspręsdami, koks duomenų apsaugos pareigūnas geriau pateisins Jūsų organizacijos poreikius, galite palyginti ir paanalizuoti, pavyzdžiui, pagrindinius išorinės paslaugos "Duomenų apsaugos pareigūnas ALLAW" bei vidinio DAP privalumus ir trūkumus:
Daugiau informacijos
Daugiau informacijos apie mūsų paslaugą galite rasite čia: Svarstantiems prenumeruoti paslaugą