Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) Lietuvoje tiesiogiai taikomas jau daugiau nei tris metus, tačiau vis dar daugelis verslo subjektų susiduria su sunkumais atskiriant duomenų valdytojo ir tvarkytojo sąvokas. Tai turi įtakos didesnių ar mažesnių klaidų atsiradimui derinant taikytinas asmens duomenų tvarkymo sąlygas su verslo partneriais bei tiekėjais.
Vadovaujantis BDAR, duomenų valdytojas yra subjektas, nustatantis asmens duomenų tvarkymo tikslus ir priemones. Jeigu duomenų tvarkymo tikslus bei priemones nustato keli subjektai drauge, tuomet tokie subjektai yra laikomi bendrais duomenų valdytojais.
Tuo tarpu duomenų tvarkytojas yra atskiras subjektas, asmens duomenis tvarkantis duomenų valdytojo vardu bei jo pateiktais nurodymais. Vadinasi, duomenų tvarkytoją yra paprasčiau identifikuoti jeigu pastarasis pasižymi dvejomis sąlygomis: pirma, jis turi būti nuo duomenų valdytojo atskiras juridinis asmuo, antra, jis turi tvarkyti asmens duomenis duomenų valdytojo vardu bei jo pateiktais nurodymais.
Atsižvelgiant į tai, duomenų valdytojo ir tvarkytojo atskyrimas atrodo labai paprastas, tačiau praktika rodo, jog bendrovės dažnai suklysta vertindamos, kurie jų verslo partneriai bei tiekėjai yra duomenų tvarkytojai, o kurie vis dėlto yra savarankiški duomenų valdytojai. Vien aplinkybė, jog verslo partneris ar tiekėjas, su kuriuo bendrovė bendradarbiauja teikiant bendrovei ar jos klientams paslaugas ir atitinkamai tvarko bendrovės turimus asmens duomenis, savaime nereiškia, jog toks verslo partneris ar tiekėjas bus laikomas duomenų tvarkytoju.
Pavyzdžiui, bendrovė A samdo apskaitos bendrovę B, kad pastaroji atliktų pagal teisės aktus privalomą finansinių ataskaitų auditą ir tuo tikslu jai perduoda reikiamus duomenis (įskaitant asmens duomenis). Bendrovė B tvarko šiuos duomenis vadovaudamasi teisės aktais, kurie aiškiai nustato, kokie duomenys turi būti įvertinti ir pan., o ne bendrovės A pateiktais nurodymais. Šiuo atveju bendrovė B yra laikoma savarankišku duomenų valdytoju paslaugų teikimo bendrovei A metu, tad sutarties dėl asmens duomenų tvarkymo sudaryti nereikia.
Tuo tarpu, bendrovei A pasamdžius apskaitos bendrovę B, kad ši suteiktų darbuotojų darbo užmokesčio skaičiavimo ir sumokėjimo paslaugas, sutartis dėl asmens duomenų tvarkymo turės būti sudaryta. Šiuo atveju, bendrovė A pateiks bendrovei B konkrečius nurodymus, kokiu tikslu ir kaip asmens duomenys turi būti tvarkomi, t. y. nurodys kam turi būti mokamas atlyginimas, kokio dydžio (pvz. nurodant konkretų dydį arba apskaičiavimo metodiką), į kokią sąskaitą turi būti atliktas mokėjimas ir t. t., todėl bendrovė A bus duomenų valdytojas, o bendrovė B – duomenų tvarkytojas.
Yra atvejų, kuomet bendrovė siūlo tam tikrą duomenų tvarkymo paslaugą, kuri yra iš anksto gan aiškiai ir griežtai apibrėžta, t. y. klientui, norinčiam įsigyti paslaugą, nėra suteikiama galimybė koreguoti tų paslaugų teikimo būdo ar priemonių (angl. take it or leave it).
Pavyzdžiui, debesijos saugyklos paslaugų teikėjas savo klientams siūlo galimybę saugoti didelius asmens duomenų kiekius. Paslauga yra visiškai standartizuota, o klientai turi mažai galimybių arba visai negali koreguoti paslaugos teikimo būdo ar priemonių. Duomenų tvarkymo sąlygas vienašališkai nustato debesijos saugyklos paslaugų teikėjas. Bendrovė X nusprendžia perkelti saugojimui visus turimus asmens duomenis į debesiją. Šiuo atveju, nors bendrovė X neturi galimybės duoti konkrečių nurodymų debesijos saugyklos paslaugų teikėjui dėl duomenų tvarkymo būdo ir priemonių, būtent bendrovė X nustato konkretų tų asmens duomenų tvarkymo tikslą – saugoti asmens duomenis iki bendrovės X nurodyto termino. Bendrovė X išliks šių duomenų valdytoja, nes ji išlaiko teisę nurodyti debesijos saugyklos paslaugų teikėjui tvarkymo tikslą, tvarkymo terminą bei turi galimybę bet kuriuo metu nutraukti duomenų tvarkymą ir atsiimti pateiktus asmens duomenis. Debesijos saugyklos paslaugų teikėjas bus duomenų tvarkytojas, nes gautų duomenų jis netvarkys jokiu kitu tikslu tik tuo, kurį nurodė bendrovė X. Svarbu paminėti, kad vėliau (pradėjus tvarkyti asmens duomenis) duomenų tvarkytojas (debesijos saugyklos paslaugų teikėjas) negali keisti esminių perduotų duomenų tvarkymo sąlygų be duomenų valdytojo (bendrovės X) pritarimo.
Duomenų valdytojo bei duomenų tvarkytojo sąvokų ir atitinkamai statusų atskyrimas yra fundamentaliai svarbus siekiant nustatyti kurios, iš BDAR kylančios, teisės ir pareigos bei, žinoma, atsakomybės yra pritaikomos kiekvienam iš subjektų. Priešingai, kilus atsakomybės klausimui atsirastų tam tikras chaosas, kurio rezultatas atsispindėtų šalių rizikos prisiėmimo dėl savo įsipareigojimų nevykdymo vengime. Pabrėžtina ir tai, jog vien sutarties dėl asmens duomenų tvarkymo turinys neturi lemiamos reikšmės, nustatant tikrąjį šalies teisinį statusą, t. y. nustatant, ar tai yra duomenų tvarkytojas ar valdytojas, dėl ko tikrasis šalies statusas turi būti identifikuojamas atsižvelgiant į konkrečias aplinkybes – tikslų ir priemonių nustatymo priskyrimą vienai iš šalių, tikrąjį šalies vykdomos kontrolės lygį atliekant tam tikrą rolę ir veiksmus bei duomenų subjektų atžvilgiu kuriamą įvaizdį (pavyzdžiui, duomenų valdytojui internetinėje svetainėje viešai suteikus informaciją apie savąjį statusą duomenų tvarkymo procese).
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866