Asmens duomenų apsaugos reikalavimų įgyvendinimas įmonės veikloje yra kompleksinis procesas. Advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė Asta Kederytė pažymi, kad tai ypač aktualu dėl to, kad Bendrasis duomenų apsaugos reglamentas (BDAR) ir kiti teisės aktai dažnai nenustato išsamaus bei konkretaus reikalavimų sąrašo, o tik pateikia pagrindinius principus, minimalius standartus ar bendruosius duomenų apsaugos kriterijus. Siekiant tinkamai vykdyti įmonėms tenkančias pareigas ir užtikrinti aukštą asmens duomenų apsaugos lygį, būtina vadovautis ne tik BDAR nuostatomis, bet ir susijusiu teisiniu reguliavimu, teismų praktika bei šiuos teisės aktus aiškinančiais metodiniais dokumentais.

Be to, BDAR numato pareigą tam tikrais atvejais paskirti duomenų apsaugos pareigūną (DAP) – specialistą, turintį reikiamų žinių šioje srityje. DAP privalo būti paskirtas, kai:

1. duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
2. duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; arba
3. duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Advokatė Asta Kederytė paaiškina, kad kitais atvejais įmonės pačios pasirenka, ar nori pasitelkti DAP, ar ne. DAP padeda įmonėms užtikrinti tinkamą asmens duomenų tvarkymo procesų atitiktį teisės aktų reikalavimams: vertina galimas duomenų tvarkymo rizikas, padeda pasirinkti rizikos valdymo priemones bei nustatyti susijusias organizacijos pareigas. Pasak Valstybinės duomenų apsaugos inspekcijos, DAP paskyrimas nesant prievolės, laikytinas gerąja praktika.

Kai įmonėje vykdoma daug arba itin sudėtingų asmens duomenų tvarkymo veiklų ir akivaizdu, jog vieno asmens pastangų neužteks tinkamam DAP funkcijų vykdymui, rekomenduojama sudaryti kelių asmenų grupę, atsakingą už šių užduočių atlikimą (toliau – DAP komanda). DAP gali būti tiek įmonės darbuotojas, tiek asmuo, teikiantis DAP funkcijas pagal paslaugų teikimo sutartį. Advokatė Asta Kederytė atkreipia dėmesį, kad sudarant DAP komandą, įmonė gali į ją įtraukti tiek savo darbuotoją, tiek išorinį paslaugos teikėją (pasirenkant, kuris iš jų bus pagrindinis atsakingas asmuo). Kai DAP užduočių vykdymui pasitelkiamas išorinis paslaugos teikėjas (juridinis asmuo), paslaugų teikimo sutartyje turėtų būti nustatyta, ar DAP užduotis vykdys vienas konkretus šios įmonės darbuotojas ar DAP komanda. Vienas iš DAP komandos narių turi būti paskirtas už klientą atsakingu vadovaujančiu kontaktiniu asmeniu (paslaugų teikimo sutartyje toks asmuo turėtų būti nurodytas kaip DAP ir apie jį pranešta VDAI).

BDAR įpareigoja įmones tinkamai ir laiku įtraukti DAP į visų su asmens duomenų apsauga susijusių klausimų svarstymą. Svarbu pabrėžti, kad DAP turėtų būti laikomas lygiaverčiu diskusijų partneriu, kurio dalyvavimas padeda išsamiai įvertinti planuojamas ar vykdomas duomenų tvarkymo veiklas, naujų ar tobulinamų informacinių sistemų kūrimą bei technologinių sprendimų taikymą. DAP įžvalgos leidžia laiku identifikuoti galimas neatitikties rizikas, įvertinti jų pasekmes ir siekti pusiausvyros tarp įvairių suinteresuotų šalių interesų.

Advokatė pažymi, kad DAP turi būti įtraukiamas į sprendimų dėl asmens duomenų tvarkymo priėmimo procesus kuo ankstesnėje jų stadijoje. Tinkamas ir savalaikis įtraukimas reiškia, kad DAP turi būti iš anksto pateikiama su nagrinėjamu klausimu susijusi informacija ir dokumentai, kad jis galėtų tinkamai pasiruošti. Kad darbuotojams būtų aišku, kada ir kokiu būdu jie turi įtraukti DAP, įmonėje rekomenduojama patvirtinti aiškią tvarką, reglamentuojančią šį procesą. Nors daugelyje įmonių vidiniais dokumentais apibrėžiama DAP kompetencija ir atskaitomybė, dažnai nėra nustatytas konkretus procesas, kaip ir kada reikia kreiptis į DAP, kokiais atvejais jis turi dalyvauti, bei kokia tvarka turi būti derinami dokumentai. Tokios spragos lemia nenuoseklią praktiką ir padidina riziką, kad DAP bus įtrauktas per vėlai arba neturės visos reikalingos informacijos sprendimams priimti.

Apibendrinant advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė Asta Kederytė pažymi, kad DAP veikla iš esmės yra orientuota į konsultacijų ir pagalbos teikimą įmonei, todėl jis nėra asmeniškai atsakingas už tai, ar organizacija tinkamai laikosi BDAR reikalavimų. DAP funkcija yra patarti ir teikti rekomendacijas, tačiau galutinį sprendimą dėl duomenų tvarkymo priima pati įmonė. Už tai, kad visos BDAR ir kitų taikytinų teisės aktų pareigos būtų įgyvendintos tinkamai, visais atvejais atsakomybę prisiima pati įmonė. Šios atsakomybės negalima perkelti DAP. Tai reiškia, kad įmonė turi užtikrinti tinkamą savo darbuotojų ir kitų su duomenų tvarkymu susijusių asmenų informavimą bei instruktavimą, kad jų veiksmai atitiktų nustatytus reikalavimus ir duomenų tvarkymo tikslus.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866