Paulius Šatkauskas, UAB Sabelija Vilniaus skyriaus direktorius pasakoja, kada tai daryti privalu, kokios to darbuotojo pareigos ir atsakomybės.
„Pirma duomenų apsaugos pareigūną paskirti privaloma, jei duomenis tvarko valdžios institucija. Taip pat tada, jeigu bent vieną iš šių sąlygų įmonė ar įstaiga atitinka: kai asmens duomenų tvarkymas yra pagrindinė įmonės veikla – t. y. netvarkant asmens duomenų, negalima būtų pasiekti įmonės veiklos tikslų, pavyzdžiui, teikiamos skolų išieškojimo paslaugos, sveikatos priežiūros ir panašios paslaugos. Jei duomenų tvarkymas yra reguliarus ir sistemingas – reguliariai ir metodiškai yra stebimi duomenų subjektai, pavyzdžiui, vykdant lojalumo programas, duomenų tvarkymas vykdomas dideliu mastu (mastas nustatomas, atsižvelgiant į duomenų subjektų, kurių duomenys tvarkomi, kiekį, kokioje geografinėje teritorijoje tvarkomi duomenys, duomenų subjekto duomenų apimtį, įvairovę ir pan.) duomenų apsaugos pareigūną irgi privalu paskirti. Ir trečia, tokį pareigūną privalu paskirti kai tvarkomi specialiosios kategorijos, jautrieji duomenys. Pavyzdžiui, duomenys apie rasinę ar etinę kilmę, politines pažiūras, genetinius, biometrinius, sveikatos duomenis ir kt. ir šie duomenys tvarkomi dideliu mastu”, – aiškina P.Šatkauskas.
Tačiau duomenų apsaugos pareigūną galima paskirti ir tada, kai tokia pareiga nėra numatyta Reglamente, pavyzdžiui, įvertinus įmonėje tvarkomų duomenų subjektų duomenų mastą, duomenų saugumo priemones ir kitus kriterijus.
Pašnekovas sako, kad už duomenų apsaugos pareigūno paskyrimą yra atsakingas įmonės ar įstaigos vadovas: „Nepaskyrus duomenų apsaugos pareigūno tais atvejais, kai tai yra privaloma, įmonė ar įstaiga balansuoja ties administracine atsakomybe ir Reglamento pažeidimu. Už pareigos nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos“.
Pareigūno funkcijos ir pareigos
P.Šatkauskas vardija duomenų apsaugos pareigūnų funkcijas: „Jis informuoja duomenų valdytojo arba duomenų tvarkytojo ir duomenis tvarkančius darbuotojus apie jų prievoles pagal Reglamentą ir konsultuoja šiais klausimais: stebi, kaip laikomasi Reglamento, duomenų valdytojo (tvarkytojo) politikos asmens duomenų apsaugos srityje. Taip pat konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą. Pareigūnas bendradarbiauja su Valstybine duomenų apsaugos inspekcija iratlieka kontaktinio asmens funkciją Valstybinei duomenų apsaugos inspekcijai kreipiantis su duomenų tvarkymu susijusiais klausimais.“
Duomenų apsaugos pareigūnas yra atsakingas už bet kurios konfidencialios informacijos saugojimą tiek vykdydamas savo funkcijas, tiek po to.
Taigi, duomenų apsaugos pareigūnas padeda laikytis reikalavimų įgyvendinant atskaitomybės priemones. Duomenų apsaugos pareigūnas veikia kaip tarpininkas tarp įvairių suinteresuotųjų subjektų, tiek priežiūros institucijų, tiek duomenų subjektų, įmonės padalinių ir kitų.
Pareigūno atsakomybė
Tačiau duomenų apsaugos pareigūnas yra atsakingas už bet kurios konfidencialios informacijos, susijusios su profesine paslaptimi, kurią jis sužinojo eidamas savo pareigas, saugojimą tiek vykdydamas savo funkcijas, tiek po to.
„Duomenų apsaugos pareigūnu gali būti paskirtas įmonės ar įstaigos darbuotojas taip pat išorės paslaugų teikėjas. Visais atvejais šiam asmeniui turi būti užtikrintas nepriklausomumas, t. y. duomenų apsaugos pareigūnui negalima duoti jokių privalomų nurodymų ir instrukcijų jo veiklos klausimais, negalima taikyti drausminių nuobaudų dėl duomenų apsaugos pareigūno funkcijų vykdymo, būtina užtikrinti, kad tarp duomenų apsaugos pareigūno ir kitų jo, kaip darbuotojo, funkcijų nekiltų interesų konflikto“, – sako P.Šatkauskas. Jis primena, kad duomenų apsaugos pareigūnas nėra asmeniškai atsakingas už įmonės ar įstaigos padarytus asmens duomenų tvarkymo pažeidimus, atsakomybė šiuo atveju bet kokiu atveju tenka įmonei ar įstaigai. Tai reiškia, kad net ir paskyrus duomenų apsaugos pareigūną įmonės vadovai turi skirti pakankamai dėmesio prižiūrint saugaus duomenų tvarkymo procesus.
Kas gali būti duomenų apsaugos pareigūnu?
„Kaip minėta, duomenų apsaugos pareigūnu gali būti paskirtas tiek įmonės ar įstaigos darbuotojas, tiek ir specialių žinių turintis išorinis paslaugų teikėjas. Įmonių grupei leidžiama paskirti vieną duomenų apsaugos pareigūną. Reglamente nėra nustatyti kokie nors kvalifikaciniai, išsilavinimo reikalavimai duomenų apsaugos pareigūnui, tačiau šias funkcijas atliekantis asmuo turėtų išmanyti teisinius ir techninius asmens duomenų apsaugos aspektus bei sektoriaus, kuriame veikia įmonė ar įstaiga, specifiką ir pačios įmonės ar įstaigos veiklą. Taigi, skiriant duomenų apsaugos pareigūną būtina atsižvelgti į jo ekspertinių žinių lygį, profesines savybes bei gebėjimą atlikti užduotis“, – aiškina P.Šatkauskas.
Jis sako, kad siekiant išvengti interesų konflikto duomenų apsaugos pareigūnu neturėtų būti paskirtas vienas iš vadovaujančias pareigas užimančių įmonės darbuotojų. Ir siūlo atkreipti dėmesį, kad Reglamentas nereikalauja įrodyti duomenų apsaugos pareigūno kvalifikaciją oficialiu dokumentu –licencija, sertifikatu ir pan.
„Dar 2017 metais diskusijų su Valstybinės duomenų apsaugos inspekcijos atsakingais darbuotojais metu buvo konkretizuoti duomenų apsaugos pareigūno skyrimo kriterijai, tačiau Reglamento įgyvendinimo priežiūrą vykdyti ir taikyti sankcijas duomenų valdytojams Lietuvoje paskirta inspekcija pacitavo Reglamento 83 straipsnio 1 dalį: „kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio Reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos. Todėl, kai įmonei ar įstaigai nėra aišku, ar reikia skirti duomenų apsaugos pareigūną, geriau jį skirti, o jeigu pareigūnas nebuvo paskirtas, turėti tokius motyvus pagrindžiančius įrašus, kuriuose būtų tinkamai pagrįsta neskyrimo priežastys“, – sako P. Šatkauskas.
Tačiau pabrėžia, kad duomenų apsaugos pareigūno paskyrimas negali būti formalus veiksmas, kadangi atsakomybė, numatyta šioje srityje yra didelė ir „skausminga“: „Verta atkreipti dėmesį, kad Duomenų apsaugos pareigūno funkcijų vykdymas gali pareikalauti nemažai žmogiškųjų ir administracinių išteklių, kuriuos neretai tikslingiau yra panaudoti pagrindinei veiklai vykdyti, todėl racionaliau duomenų apsaugos pareigūno funkcijas patikėti kvalifikuotam paslaugų teikėjui. Kiek esame susidūrę, stambiosios Lietuvos ir Europos įmonės, bei įmonių grupės labiau yra linkusios samdytis atskirą darbuotoją šioms pareigoms užimti, tačiau efektyvumo siekiančios įmonės vis dažniau duomenų apsaugos pareigūno darbo funkcijas perduoda konsultacinėms įmonėms.“