Atėjo metas pradėti ruoštis vienai didžiausių naujovių – duomenų apsaugos pareigūno skyrimui.
Nuo šio darbuotojo arba paslaugos teikėjo priklausys bendrovės santykiai su vartotojais, darbuotojais ir priežiūros institucijomis ir bendrovei tenkančios didelių baudų rizikos.
Atsakingos duomenų apsaugos pagrindas
2018 m. įsigaliojus ES bendrajam duomenų apsaugos reglamentui, duomenų apsauga Lietuvoje iš periferinės, mažai rizikingos srities turėtų virsti svarbia bendrovių veiklos dalimi, nuo kurios priklausys organizacijos sėkmė.
Lengviausias ir populiariausias būdas sudominti verslą nauju reguliavimu – daugiau nei 30 tūkst. kartų (!) – iki 20 mln. eurų – išaugsiančios baudos už pažeidimus.
Vis dėlto organizacijos turėtų koncentruotis ne į baudas, o suprasti, kodėl ir ko iš jų pareikalaus reguliavimas.
Valstybė ir priežiūros institucijos negali ir neturi kontroliuoti milžiniškų informacijos apie asmenis kiekių kiekvienoje organizacijoje. Valstybė turi skatinti verslą prisiimti atsakomybę už tai, kad duomenis jis naudos taip, kad negalėtų pakenkti asmenims, kurių tie duomenys yra.
Valstybė turi pasitikėti verslu ir į informacijos naudojimo laisvę kištis tada, kai šis nesusitvarko su savo atsakomybe.
Ši modernų supratimą atspindi ES bendrajame duomenų apsaugos reglamente įtvirtintas atskaitomybės principas.
Tai gruodžio viduryje patvirtino ES 29 str. duomenų apsaugos darbo grupė – autoritetinga Europos Komisijos patarėja.
Kvalifikuotas duomenų apsaugos pareigūnas organizacijoje yra tokio požiūrio pamatas. Taip, tai pareikalaus biudžeto eilutės ir administracinių išteklių.
Tačiau reguliavimą ir organizacijos poreikius išmanantis ekspertas leis efektyviai įgyvendinti daugybę kitų ES reglamente įtvirtinančių reikalavimų.
Duomenų apsaugos pareigūnas taps tarpininku tarp bendrovės darbuotojų padalinių, asmenų, kurių duomenys renkami (vartotojų, klientų, partnerių, interneto puslapio lankytojų, vaizdo kameromis stebimų asmenų ir kt.), ir priežiūros institucijų.
Tai leis užtikrinti pasitikėjimą ir sklandų bendradarbiavimą tarp paminėtų subjektų, valdyti baudų riziką.
Duomenų apsaugos pareigūnas – daugumoje bendrovių
ES reglamentas nenustato, kad duomenų apsaugos pareigūnas turi būti kiekvienoje organizacijoje.
Tačiau dėl to, kaip ES Reglamento nuostatos yra išaiškinamos, panašu, kad duomenų apsaugos pareigūno reikės didžiajai daliai rinkos.
Bendrovėms bus privaloma paskirti duomenų apsaugos pareigūną, jeigu jos atitiks visus tris toliau nurodytus kriterijus:
1) Tvarkomi ypatingi duomenys arba vykdoma reguliari ir sisteminė asmenų stebėsena; ir
2) Paminėtas duomenų tvarkymas yra pagrindinė bendrovės veikla; ir
3) Paminėti duomenys bendrovėje tvarkomi dideliu mastu.
Kaip įprasta duomenų apsaugos reguliavime, paminėti kriterijai pateikia daugiau klausimų nei atsakymų. Bendrovės pirmiausia turėtų įsivertinti, ar jos atitinka nurodytus kriterijus. Vertinimas būtų logiška kito naujajame reglamente įvtirtinto proceso – vidinio duomenų apsaugos audito (poveikio duomenų apsaugai vertinimo) – dalis.
Toks vertinimas turėtų būti dokumentuotas išvada, kurią prireikus galima būtų pateikti priežiūros institucijai.
Duomenų apsaugos pareigūnas gali būti privalomas toms bendrovėms, kurios renka, saugo ir naudoja ypatingus, jautresnius duomenis arba užsiima sistemine asmenų stebėsena.
Ypatingais, jautresniais duomenimis laikoma informacija apie žmogaus rasę ar etninę kilmę, lytinį gyvenimą ir lytinę orientaciją, genetiniai, biometriniai duomenys, kuriais siekiama identifikuoti asmenį.
Sisteminė ir reguliari asmenų stebėsena yra, kai bendrovė pagal tam tikrą tvarką, organizuotai, metodiškai, nuolat arba reguliariai vertina asmenis ir seka jų statusą ar elgesį.
Pavyzdžiui, bendrovė užsiima tokia veikla kaip asmenų profiliavimas rizikos vertinimo tikslais (kreditingumo vertinimo, draudimų įmokų nustatymo, pinigų plovimo prevencijos tikslais), asmens buvimo vietos sekimas mobiliųjų telefonų programėlių pagalba, lojalumo programų vykdymas, daiktų interneto, išmaniųjų skaitiklių, automobilių, namų valdymas, vartotojų elgesiu grindžiama reklama.
Kad kiltų pareiga paskirti duomenų apsaugos pareigūną, neužtenka, kad bendrovė tvarko ypatingus duomenis arba užsiima sisteminiu asmenų stebėjimu.
Paminėtas duomenų tvarkymas turi būti pagrindinė bendrovės veikla. Tai reiškia, kad duomenys yra būtini pasiekti bendrovės veiklos tikslus arba duomenų tvarkymas yra neatsiejamai susijęs su pagrindine veikla.
Reikėtų įvertinti, ar netvarkydama duomenų bendrovė gali užsiimti savo pagrindine veikla.
Pavyzdžiui, pacientų arba klientų duomenų tvarkymas yra neatsiejamai susijęs su sveikatos priežiūros arba finansinių paslaugų teikimu ir greičiausiai pareikalaus duomenų apsaugos pareigūno.
Reguliavimas neapibrėžia, kada duomenų tvarkymo mastas laikomas dideliu.
Bendrovės turi įvertinti asmenų, kurių duomenys tvarkomi, konkretų skaičių arba proporciją tam tikroje grupėje, duomenų kiekį ir jo svyravimus, duomenų tvarkymo trukmę ir nuolatinumą, kiek plačiai gyvena asmenys, kurių duomenys tvarkomi.
Didelio masto duomenų tvarkymu gali būti laikomas klientų duomenų tvarkymas įprastoje finansų įstaigų veikloje, duomenų tvarkymas vartotojų elgesiu grindžiamos reklamos tikslais paieškos sistemoje, telefonijos arba interneto paslaugų teikėjo atliekamas duomenų tvarkymas.
ES 29 str. darbo grupė duomenų apsaugos pareigūną rekomenduoja skirti ir kitoms bendrovėms. Tai joms padės įgyvendinti sudėtingus ES bendrojo duomenų apsaugos reglamento reikalavimus ir sumažins pažeidimų riziką.
Darbuotojas ar išorės paslaugų teikėjas?
ES duomenų apsaugos reglamentas leidžia organizacijoms pasirinkti, ar domenų apsaugos pareigūno funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės.
Duomenų apsaugos reguliavimas Lietuvoje vis dar paini ir neaiški sritis.
Duomenų apsaugos funkcijų vykdymas ir duomenų apsaugos atitikties užtikrinimas gali iš duomenų valdytojų ir tvarkytojų pareikalauti nemažai laiko, žmogiškųjų ir administracinių išteklių. Organizacijos šiuos išteklius gali labiau norėti skirti savo pagrindinei veiklai vykdyti.
Todėl gali būti racionalu duomenų apsaugos pareigūno atsakomybę patikėti kvalifikuotam paslaugų teikėjui.
Lygiai taip pat bendrovės palengvina savo kasdieninę veiklą outsourcindamos (patikėdamos į išorę) apskaitos, personalo valdymo, IT priežiūros, teisininkų funkcijas.
Rinkdamosi duomenų apsaugos pareigūno veiklos formą, bendrovės turi atsižvelgti į dar kelis aspektus.
Pirma, duomenų apsaugos pareigūnas turi turėti autonomiją ir nepriklausomumą, būtina savo funkcijoms tinkamai atlikti.
Antra, duomenų apsaugos pareigūnas gali eiti kitas pareigas, tačiau tik tiek, kiek jos nesukelia interesų konflikto.
Prižiūrėti duomenų apsaugos neturėtų būti skiriami asmenys, kurie dalyvauja sprendžiant, kokie duomenys yra renkami ir naudojami: bendrovių direktoriai, operacijų, finansų, žmogiškųjų išteklių, marketingo arba IT vadovai.
ES bendrasis duomenų apsaugos reglamentas taip pat suteikia galimybę paskirti vieną duomenų apsaugos pareigūną visai įmonių grupei, jeigu vienas pareigūnas yra pasiekiamas visoms grupės bendrovėms.
J. Zaleskis yra advokatų kontoros „Valiunas Ellex“ advokatas, Vilniaus universiteto lektorius ir blogo apie ES bendrąjį duomenų apsaugos reglamentą www.dataprotection.lt autorius.