data protection officer dpo

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo.

Šiame straipsnyje bus atsakyta į klausimus: :
– kas yra DAP?
– kokios įmonės turi jį paskirti?
– kokios yra DAP pareigos? 

Duomenų apsaugos pareigūno apibrėžimas

Jungtinės Karalystės nepriklausoma duomenų apsaugos institucija ICO.org apibrėžia, kas yra duomenų apsaugos pareigūnas (DAP):

„DAP padeda jums stebėti vidines operacijas, kad jos atitiktų BDAR nurodymus; informuoja ir pataria dėl duomenų apsaugos įsipareigojimų; teikia patarimus dėl  poveikio duomenų apsaugai vertinimo (DPIA) ir veikia kaip tarpininkas tarp  duomenų subjektų ir duomenų apsaugos inspekcijos.“

Paprasčiau tariant, DAP yra  asmuo, kuris yra atsakingas už tai, kad įmonė atitiktų GDPR reikalavimus.

Svarbu žinoti:

Jei DAP pareigybė yra paskirta esamam darbuotojui, jam leidžiama išlaikyti kitą pareigą įmonėje, tačiau tik tiek, kiek tai nesukelia interesų konflikto.

Tai reiškia, kad DAP negali dalyvauti sprendžiant, kurie asmens duomenys turi būti tvarkomi. Tad DAP negali būti bendrovės direktorius ar finansų, personalo, rinkodaros, IT skyrių vadovas, ar už teisinių klausimų įmonėje sprendimą atsakingas asmuo.

DAP paskyrimas

Privacy-regulation.eu nurodo tris pagrindines sąlygas, kuomet DAP turi būti paskirtas:

  1. duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
  2. duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus; arba
  3. duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu, arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.
Prieš sprendžiant ar paskirti DAP, reikia įvertinti, ar įmonė atitinka nustatytas sąlygas. Šis vertinimas galėtų būti vidaus duomenų apsaugos audito dalis. Vertinimas turėtų būti dokumentuota išvada, kuri taip pat galėtų būti prieinama priežiūros institucijai, jei būtina.


Svarbu žinoti:

Įmonės neatitinkančios nei vienos iš nurodytų sąlygų, neprivalo paskirti duomenų apsaugos pareigūno.

Paprastai tariant, DAP neturi būti paskirtas, jei: 

  • asmens duomenys nėra tvarkomi arba tvarkomi nedideliu mastu; 
  • pagrindinė įmonės veikla retai apima duomenų subjektų stebėseną.

DAP vaidmuo ir pareigos

Kadangi DAP atlieka tarpininko tarp įmonės ir duomenų apsaugos imspekcijos vaidmenį, jis turi būti lengvai prieinamas bendrovės vadovybei, darbuotojams, priežiūros institucijoms ir duomenų subjektams.

Jei įmonių grupei paskiriamas vienas duomenų apsaugos pareigūnas, kiekviena dukterinė įmonė turėtų turėti vienodą prieigą prie jo. Todėl DAP kontaktiniai duomenys turi būti nurodyti privatumo politikoje ir pateikti valdžios institucijoms.

Duomenų apsaugos pareigūnas turi dalyvauti visuose su asmens duomenų apsauga susijusių klausimų aptarimuose. BDAR 39 straipsnyje nurodytos pagrindinės DAP užduotys:

  1. informuoti duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal šį reglamentą ir kitas Sąjungos arba valstybės narės apsaugos nuostatas ir konsultuoti juos šiais klausimais;
  2. stebėti, kaip laikomasi šio reglamento, kitų Sąjungos arba nacionalinės duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą; didinti informuotumą bei mokyti duomenų tvarkymo operacijose dalyvaujančių darbuotojus;
  3. paprašius konsultuoti dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal str. 35;
  4. bendradarbiauti su priežiūros institucija;
  5. atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant 36 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoti visais kitais klausimais.

Vykdydamas užduotis, DAP privalo suprasti riziką, susijusią su duomenų tvarkymo operacijomis. DAP taip pat turi atsižvelgti į tvarkymo pobūdį, apimtį, kontekstą ir tikslus.

DAP turėtų teikti pirmenybę ir sutelkti dėmesį į rizikingesnes veiklas. Pavyzdžiui, tais atvejais, kai tvarkomi specialiosios kategorijos duomenys arba kai galimas žalingas poveikis duomenų subjekto teisėms ir laisvėms. Todėl DAP turėtų pateikti jį paskyrusiai įmonei rizika pagrįstus patarimus.

Jei bendrovė nusprendžia nesilaikyti DAP patarimų, priežastys turi būti dokumentuojamos, kad būtų įrodyta atskaitomybė.

Apibendrinimas

Bendrajame duomenų apsaugos reglamente duomenų apsaugos pareigūnas yra svarbiausias atnaujinto duomenų valdymo sistemos rodiklis. Jis ne tik padeda laikytis reikalavimų, bet ir yra tarpininkas tarp bendrovės, priežiūros institucijos ir duomenų subjekto. Todėl duomenų apsaugos pareigūnas turi būti paskirtas kruopščiai apsvarstant visas operacijas įmonėje.

Tačiau, nors DAP vaidmuo ir uždaviniai yra labai svarbūs įmonei, svarbu žinoti, kad DAP nėra asmeniškai atsakingas už duomenų apsaugos reglamento  reikalavimų laikymąsi. BDAR nurodymų laikymasis yra pačios įmonės atsakomybė.

Įmonė nusprendus nepaskirti DAP, kai jis yra reikalingas, tai gali būti traktuojama kaip BDAR reikalavimų pažeidimas. Įmonė rizikuoja susidurti su BDAR baudomis, kurios gali siekti 20 mln. EUR arba 4%  apyvartos.

Daugiau šia tema: 

Duomenų tvarkymo veiklos įrašai (BDAR 30 straipsnis)
Kokios baudos taikomos, nesilaikant BDAR?

Ar jūsų įmonė atitinka BDAR reikalavimus?

Įsivertinkite, ar turite laikytis BDAR, ir jei taip,  koks yra jūsų BDAR atitikties pasirengimo lygis. Taip pat patikrinkite atsakymus į dažniausiai užduodamus klausimus.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų. Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....