Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo.

Šiame straipsnyje bus atsakyta į klausimus: :
– kas yra DAP?
– kokios įmonės turi jį paskirti?
– kokios yra DAP pareigos?

Duomenų apsaugos pareigūno apibrėžimas

Jungtinės Karalystės nepriklausoma duomenų apsaugos institucija ICO.org apibrėžia, kas yra duomenų apsaugos pareigūnas (DAP):

„DAP padeda jums stebėti vidines operacijas, kad jos atitiktų BDAR nurodymus; informuoja ir pataria dėl duomenų apsaugos įsipareigojimų; teikia patarimus dėl poveikio duomenų apsaugai vertinimo (DPIA) ir veikia kaip tarpininkas tarp duomenų subjektų ir duomenų apsaugos inspekcijos.“

Paprasčiau tariant, DAP yra asmuo, kuris yra atsakingas už tai, kad įmonė atitiktų GDPR reikalavimus.

Svarbu žinoti:

Jei DAP pareigybė yra paskirta esamam darbuotojui, jam leidžiama išlaikyti kitą pareigą įmonėje, tačiau tik tiek, kiek tai nesukelia interesų konflikto.

Tai reiškia, kad DAP negali dalyvauti sprendžiant, kurie asmens duomenys turi būti tvarkomi. Tad DAP negali būti bendrovės direktorius ar finansų, personalo, rinkodaros, IT skyrių vadovas, ar už teisinių klausimų įmonėje sprendimą atsakingas asmuo.

DAP paskyrimas

Privacy-regulation.eu nurodo tris pagrindines sąlygas, kuomet DAP turi būti paskirtas:

duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; arba
duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu, arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Prieš sprendžiant ar paskirti DAP, reikia įvertinti, ar įmonė atitinka nustatytas sąlygas. Šis vertinimas galėtų būti vidaus duomenų apsaugos audito dalis. Vertinimas turėtų būti dokumentuota išvada, kuri taip pat galėtų būti prieinama priežiūros institucijai, jei būtina.

Svarbu žinoti:

Įmonės neatitinkančios nei vienos iš nurodytų sąlygų, neprivalo paskirti duomenų apsaugos pareigūno.

Paprastai tariant, DAP neturi būti paskirtas, jei:

asmens duomenys nėra tvarkomi arba tvarkomi nedideliu mastu;
pagrindinė įmonės veikla retai apima duomenų subjektų stebėseną.

DAP vaidmuo ir pareigos

Kadangi DAP atlieka tarpininko tarp įmonės ir duomenų apsaugos imspekcijos vaidmenį, jis turi būti lengvai prieinamas bendrovės vadovybei, darbuotojams, priežiūros institucijoms ir duomenų subjektams.

Jei įmonių grupei paskiriamas vienas duomenų apsaugos pareigūnas, kiekviena dukterinė įmonė turėtų turėti vienodą prieigą prie jo. Todėl DAP kontaktiniai duomenys turi būti nurodyti privatumo politikoje ir pateikti valdžios institucijoms.

Duomenų apsaugos pareigūnas turi dalyvauti visuose su asmens duomenų apsauga susijusių klausimų aptarimuose. BDAR 39 straipsnyje nurodytos pagrindinės DAP užduotys:

informuoti duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šį reglamentą ir kitas Sąjungos arba valstybės narės apsaugos nuostatas ir konsultuoti juos šiais klausimais;
stebėti, kaip laikomasi šio reglamento, kitų Sąjungos arba nacionalinės duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą; didinti informuotumą bei mokyti duomenų tvarkymo operacijose dalyvaujančių darbuotojus;
paprašius konsultuoti dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal str. 35;
bendradarbiauti su priežiūros institucija;
atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant 36 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoti visais kitais klausimais.

Vykdydamas užduotis, DAP privalo suprasti riziką, susijusią su duomenų tvarkymo operacijomis. DAP taip pat turi atsižvelgti į tvarkymo pobūdį, apimtį, kontekstą ir tikslus.

DAP turėtų teikti pirmenybę ir sutelkti dėmesį į rizikingesnes veiklas. Pavyzdžiui, tais atvejais, kai tvarkomi specialiosios kategorijos duomenys arba kai galimas žalingas poveikis duomenų subjekto teisėms ir laisvėms. Todėl DAP turėtų pateikti jį paskyrusiai įmonei rizika pagrįstus patarimus.

Jei bendrovė nusprendžia nesilaikyti DAP patarimų, priežastys turi būti dokumentuojamos, kad būtų įrodyta atskaitomybė.

Apibendrinimas

Bendrajame duomenų apsaugos reglamente duomenų apsaugos pareigūnas yra svarbiausias atnaujinto duomenų valdymo sistemos rodiklis. Jis ne tik padeda laikytis reikalavimų, bet ir yra tarpininkas tarp bendrovės, priežiūros institucijos ir duomenų subjekto. Todėl duomenų apsaugos pareigūnas turi būti paskirtas kruopščiai apsvarstant visas operacijas įmonėje.

Tačiau, nors DAP vaidmuo ir uždaviniai yra labai svarbūs įmonei, svarbu žinoti, kad DAP nėra asmeniškai atsakingas už duomenų apsaugos reglamento reikalavimų laikymąsi. BDAR nurodymų laikymasis yra pačios įmonės atsakomybė.

Įmonė nusprendus nepaskirti DAP, kai jis yra reikalingas, tai gali būti traktuojama kaip BDAR reikalavimų pažeidimas. Įmonė rizikuoja susidurti su BDAR baudomis, kurios gali siekti 20 mln. EUR arba 4% apyvartos.

Daugiau šia tema:

Duomenų tvarkymo veiklos įrašai (BDAR 30 straipsnis)
Kokios baudos taikomos, nesilaikant BDAR?

Ar jūsų įmonė atitinka BDAR reikalavimus?

Įsivertinkite, ar turite laikytis BDAR, ir jei taip, koks yra jūsų BDAR atitikties pasirengimo lygis. Taip pat patikrinkite atsakymus į dažniausiai užduodamus klausimus.

BDAR atitikties kontrolinis sąrašas