Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Nov 22, 2023
Duomenų apsaugos pareigūnas Allaw® supažindina
Bendrasis duomenų apsaugos reglamentas (toliau - BDAR) nustato pareigą organizacijoms, pasitelkiančioms kitus paslaugų teikėjus, kurie organizacijos vardu tvarko / tvarkys asmens duomenis (duomenų tvarkytojus) sudaryti rašytinę duomenų tvarkymo sutartį. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) parengė ir šią savaitę viešosioms konsultacijoms pateikė Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo pavyzdinę formą. Nors dėl sąlygų teksto dar galima teikti siūlymus, tačiau, atsižvelgiant į ankstesnę praktiką, paprastai viešosioms konsultacijoms paskelbti dokumentai (gairės, rekomendacijos) išlikdavo per daug nepakitę nuo jų pirminio varianto. Todėl Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius aspektus, kuriuos duomenų valdytojai turėtų įvertinti peržiūrėdami savo duomenų tvarkymo sutarčių formas ir derindami jų turinį su duomenų tvarkytojais.
Kuo VDAI paskelbta forma reikšminga?
Viešosioms konsultacijoms pateikta Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo pavyzdinę forma turėtų padėti duomenų valdytojams ir duomenų tvarkytojams įvertinti, kokie reikalavimai taikomi asmens duomenų tvarkymo susitarimams, kurie sudaromi tarp jų pagal BDAR 28 str. 3 d., įvertinant duomenų subjektų teisių įgyvendinimo, asmens duomenų apsaugos rizikų mažinimo, duomenų valdytojo ir duomenų tvarkytojo santykių bei atitinkamų teisių ir pareigų aiškumo svarbą. Kitaip tariant tai rekomendacija kokios nuostatos turėtų būti įtrauktos į duomenų tvarkymo sutartį.
Duomenų saugumo priemonių detalizacija duomenų tvarkymo sutartyje
Dažnas ginčas tarp duomenų valdytojo ir duomenų tvarkytojo kyla dėl duomenų valdytojo duomenų tvarkymo sutartyje nustatytų duomenų saugumo priemonių. Praktikoje duomenų tvarkytojams sutartyje nustatytos priemonės dažnai atrodo perteklinės, jie bijo pasirašyti sutartis, kuriose nurodytos konkrečios taikytinos priemonės. Neretas duomenų tvarkytojas už duomenų valdytojo nustatytų duomenų saugumo priemonių taikymą paprašo ir papildomai duomenų valdytoją susimokėti. Kai kurie duomenų valdytojai tokiose situacijoje nusileidžia ir sutinka arba abstrakčiai nurodyti, kad taikomos visos rizikos lygį atitinkančios priemonės, arba susiaurina prašomų taikyti reikalavimų sąrašą. Atkreiptinas dėmesys, kad šioje situacijoje duomenų tvarkytojo derybinė pozicija yra gana ribota, nes BDAR 28 str. 3 d. c) punktas nustato pareigą duomenų tvarkytojui imtis visų priemonių, kurių reikalaujama pagal BDAR 32 str. Taigi bet kokios duomenų tvarkytojo derybos gali signalizuoti duomenų valdytojui apie galimai nepatikimą duomenų tvarkytoją, o duomenų tvarkytojus duomenų valdytojas turi pasitelkti tik įsitikinęs jog duomenų tvarkytojas užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga (BDAR 28 str. 1 d.).
Taigi, kaip detaliai duomenų saugumo priemonės sutartyje turėtų būti nurodytos? VDAI viešosioms konsultacijoms pateiktame dokumente rekomenduoja apibūdinti prieigai, įskaitant nuotolines prieigas, prie asmens duomenų keliamus reikalavimus, taip pat aprašyti asmens duomenų apsaugai keliamus reikalavimus duomenų perdavimo metu, duomenų apsaugai keliamus reikalavimus jų saugojimo metu ir pan. Taigi VDAI siūlo konkrečiai nurodyti kokios priemonės yra taikomos duomenų saugumui užtikrinti, neapsiribojant bendrosiomis frazėmis ar nuorodomis į teisės aktus ar to paties BDAR 32 str., kitaip tariant sutartyje šie reikalavimai turi būti detalizuoti konkrečiomis juos įgyvendinančiomis priemonėmis.
Kaip konkrečiai pasireiškia duomenų tvarkytojo pagalba duomenų valdytojui?
Kadangi BDAR 28 str. 3 d. f) punktas nustato, kad duomenų tvarkytojas padeda duomenų valdytojui užtikrinti BDAR 32–36 str. nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją, dažnai duomenų tvarkymo sutartyse įprastai tik nurodyti pareigą, jog duomenų tvarkytojas padeda duomenų valdytojui atlikti poveikio domenų apsaugai vertinimą (BDAR 35 str.) ar vykdant išankstines konsultacijas su priežiūros institucija (BDAR 36 str.), taip ir nedetalizuojant kokia ir kaip teikiama ta pagalba. VDAI į tai atkreipia dėmesį ir minėtame dokumente siūlo aprašyti duomenų tvarkytojo teikiamos pagalbos apimtį ir mastą, aprašyti konkrečias technines ir organizacines priemones, kurių turi imtis duomenų tvarkytojas, norėdamas padėti duomenų valdytojui. Todėl darytina išvada, kad sutartyse turi būti nurodyta ne tik bendroji nuostata padėti duomenų valdytojui, bet ir šiai pagalbai įgyvendinti skirtos nuostatos, pvz., visą turimą informaciją duomenų valdytojo atliekama poveikio duomenų apsaugai vertinimui duomenų tvarkytojas turi pateikti per tris darbo dienas nuo duomenų valdytojo kreipimosi ir pan.
Į ką atkreipti dėmesį pasirašant duomenų tvarkymo sutartį?
Taigi, kokie svarbiausi aspektai, į kuriuos turėtumėte atkreipti dėmesį, pasirašydami duomenų tvarkymo susitarimą:
pirmiausia įsitikinkite, kad sudarote rašytinį duomenų tvarkymo susitarimą, skirtą apibrėžti duomenų tvarkytojui perduodamų asmens duomenų tvarkymo taisykles (visi bendro pobūdžio dokumentai: taisyklės, asmens duomenų tvarkymo aprašai, principai ir t.t. nėra laikomi duomenų tvarkymo sutartimi),
ar sutarties turinys atitinka BDAR 28 str. 3 d.?
ar sutartyje aiškiai detalizuotos duomenų tvarkytojo / duomenų valdytojo pareigos (ar detalizuotos duomenų saugumo priemonės ar aiškiai nustatyta kaip pasireiškia duomenų tvarkytojo pagalba duomenų valdytojui,
per kiek laiko duomenų tvarkytojas turi pranešti duomenų valdytojui apie nustatytą asmens duomenų tvarkymo susitarimą ir pan.)?
Duomenų tvarkymo sutartyse aprašyti duomenų tvarkytojo teikiamos pagalbos apimtį ir mastą, aprašyti konkrečias technines ir organizacines priemones, kurių turi imtis duomenų tvarkytojas, norėdamas padėti duomenų valdytojui.
Ar Jūsų sudaromos duomenų tvarkymo sutartys atitinka VDAI paskelbtų standartinių sutarčių sąlygų pavyzdinę formą?
Bendrasis duomenų apsaugos reglamentas (toliau - BDAR) nustato pareigą organizacijoms, pasitelkiančioms kitus paslaugų teikėjus, kurie organizacijos vardu tvarko / tvarkys asmens duomenis (duomenų tvarkytojus) sudaryti rašytinę duomenų tvarkymo sutartį. Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) parengė ir šią savaitę viešosioms konsultacijoms pateikė Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo pavyzdinę formą. Nors dėl sąlygų teksto dar galima teikti siūlymus, tačiau, atsižvelgiant į ankstesnę praktiką, paprastai viešosioms konsultacijoms paskelbti dokumentai (gairės, rekomendacijos) išlikdavo per daug nepakitę nuo jų pirminio varianto. Todėl Duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius aspektus, kuriuos duomenų valdytojai turėtų įvertinti peržiūrėdami savo duomenų tvarkymo sutarčių formas ir derindami jų turinį su duomenų tvarkytojais.
Kuo VDAI paskelbta forma reikšminga?
Viešosioms konsultacijoms pateikta Standartinių sutarčių sąlygų tarp duomenų valdytojo ir duomenų tvarkytojo pavyzdinę forma turėtų padėti duomenų valdytojams ir duomenų tvarkytojams įvertinti, kokie reikalavimai taikomi asmens duomenų tvarkymo susitarimams, kurie sudaromi tarp jų pagal BDAR 28 str. 3 d., įvertinant duomenų subjektų teisių įgyvendinimo, asmens duomenų apsaugos rizikų mažinimo, duomenų valdytojo ir duomenų tvarkytojo santykių bei atitinkamų teisių ir pareigų aiškumo svarbą. Kitaip tariant tai rekomendacija kokios nuostatos turėtų būti įtrauktos į duomenų tvarkymo sutartį.
Dažnas ginčas tarp duomenų valdytojo ir duomenų tvarkytojo kyla dėl duomenų valdytojo duomenų tvarkymo sutartyje nustatytų duomenų saugumo priemonių. Praktikoje duomenų tvarkytojams sutartyje nustatytos priemonės dažnai atrodo perteklinės, jie bijo pasirašyti sutartis, kuriose nurodytos konkrečios taikytinos priemonės. Neretas duomenų tvarkytojas už duomenų valdytojo nustatytų duomenų saugumo priemonių taikymą paprašo ir papildomai duomenų valdytoją susimokėti. Kai kurie duomenų valdytojai tokiose situacijoje nusileidžia ir sutinka arba abstrakčiai nurodyti, kad taikomos visos rizikos lygį atitinkančios priemonės, arba susiaurina prašomų taikyti reikalavimų sąrašą. Atkreiptinas dėmesys, kad šioje situacijoje duomenų tvarkytojo derybinė pozicija yra gana ribota, nes BDAR 28 str. 3 d. c) punktas nustato pareigą duomenų tvarkytojui imtis visų priemonių, kurių reikalaujama pagal BDAR 32 str. Taigi bet kokios duomenų tvarkytojo derybos gali signalizuoti duomenų valdytojui apie galimai nepatikimą duomenų tvarkytoją, o duomenų tvarkytojus duomenų valdytojas turi pasitelkti tik įsitikinęs jog duomenų tvarkytojas užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų šio reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga (BDAR 28 str. 1 d.).
Taigi, kaip detaliai duomenų saugumo priemonės sutartyje turėtų būti nurodytos? VDAI viešosioms konsultacijoms pateiktame dokumente rekomenduoja apibūdinti prieigai, įskaitant nuotolines prieigas, prie asmens duomenų keliamus reikalavimus, taip pat aprašyti asmens duomenų apsaugai keliamus reikalavimus duomenų perdavimo metu, duomenų apsaugai keliamus reikalavimus jų saugojimo metu ir pan. Taigi VDAI siūlo konkrečiai nurodyti kokios priemonės yra taikomos duomenų saugumui užtikrinti, neapsiribojant bendrosiomis frazėmis ar nuorodomis į teisės aktus ar to paties BDAR 32 str., kitaip tariant sutartyje šie reikalavimai turi būti detalizuoti konkrečiomis juos įgyvendinančiomis priemonėmis.
Kaip konkrečiai pasireiškia duomenų tvarkytojo pagalba duomenų valdytojui?
Kadangi BDAR 28 str. 3 d. f) punktas nustato, kad duomenų tvarkytojas padeda duomenų valdytojui užtikrinti BDAR 32–36 str. nustatytų prievolių laikymąsi, atsižvelgdamas į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją, dažnai duomenų tvarkymo sutartyse įprastai tik nurodyti pareigą, jog duomenų tvarkytojas padeda duomenų valdytojui atlikti poveikio domenų apsaugai vertinimą (BDAR 35 str.) ar vykdant išankstines konsultacijas su priežiūros institucija (BDAR 36 str.), taip ir nedetalizuojant kokia ir kaip teikiama ta pagalba. VDAI į tai atkreipia dėmesį ir minėtame dokumente siūlo aprašyti duomenų tvarkytojo teikiamos pagalbos apimtį ir mastą, aprašyti konkrečias technines ir organizacines priemones, kurių turi imtis duomenų tvarkytojas, norėdamas padėti duomenų valdytojui. Todėl darytina išvada, kad sutartyse turi būti nurodyta ne tik bendroji nuostata padėti duomenų valdytojui, bet ir šiai pagalbai įgyvendinti skirtos nuostatos, pvz., visą turimą informaciją duomenų valdytojo atliekama poveikio duomenų apsaugai vertinimui duomenų tvarkytojas turi pateikti per tris darbo dienas nuo duomenų valdytojo kreipimosi ir pan.
Taigi, kokie svarbiausi aspektai, į kuriuos turėtumėte atkreipti dėmesį, pasirašydami duomenų tvarkymo susitarimą:
pirmiausia įsitikinkite, kad sudarote rašytinį duomenų tvarkymo susitarimą, skirtą apibrėžti duomenų tvarkytojui perduodamų asmens duomenų tvarkymo taisykles (visi bendro pobūdžio dokumentai: taisyklės, asmens duomenų tvarkymo aprašai, principai ir t.t. nėra laikomi duomenų tvarkymo sutartimi),
ar sutarties turinys atitinka BDAR 28 str. 3 d.?
ar sutartyje aiškiai detalizuotos duomenų tvarkytojo / duomenų valdytojo pareigos (ar detalizuotos duomenų saugumo priemonės ar aiškiai nustatyta kaip pasireiškia duomenų tvarkytojo pagalba duomenų valdytojui,
per kiek laiko duomenų tvarkytojas turi pranešti duomenų valdytojui apie nustatytą asmens duomenų tvarkymo susitarimą ir pan.)?
Nuorodos
Pasitikrinti, ar Jūsų duomenų saugumo priemonės atitinka rizikos lygį
Įsitikinti, kad darbuotojai yra praėję BDAR mokymus
Pasitikrinti, ar Jūsų sutartys su duomenų tvarkytojais atitinka Standartines sąlygas
Duomenų tvarkymo sutartyse aprašyti duomenų tvarkytojo teikiamos pagalbos apimtį ir mastą, aprašyti konkrečias technines ir organizacines priemones, kurių turi imtis duomenų tvarkytojas, norėdamas padėti duomenų valdytojui.
BDAR e-vedlys
BDAR e-mokymų erdvė
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000