Duomenų apsaugos pareigūnas

Duomenų apsaugos pareigūnas (DAP) – nauja pareigybė, numatyta Bendrajame duomenų apsaugos reglamente (BDAR), kuris Lietuvoje ir kitose Europos Sąjungos valstybėse narėse pradėtas taikyti 2018 m. gegužės 25 d.

Kokios organizacijos turi paskirti duomenų apsaugos pareigūną?
BDAR numatyta, kad DAP privalo paskirti valdžios institucijos ir įstaigos bei kitos organizacijos, kurių pagrindinė veikla yra dideliu mastu sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis. DAP gali būti organizacijos darbuotojas arba asmuo iš išorės.

Valstybinei duomenų apsaugos inspekcijai (VDAI) turite pateikti pranešimą apie paskirtą duomenų apsaugos pareigūną
DĖMESIO! Pranešimas turi būti pasirašytas vadovo ar jo įgalioto asmens ir jame turi būti pateikta ši informacija:

  • Įmonės, įstaigos ar organizacijos, t. y. duomenų valdytojo ar duomenų tvarkytojo, pavadinimas, juridinio asmens kodas, kontaktiniai duomenys;
  • Informacija, ar DAP paskyrė duomenų valdytojas ar duomenų tvarkytojas;
  • DAP vardas ir pavardė;
  • DAP pareigos (jei yra paskiriamas duomenų valdytojo darbuotojas) arba juridinio asmens pavadinimas (jei DAP yra kito juridinio asmens darbuotojas);
  • DAP adresas;
  • DAP telefono ryšio numeris;
  • DAP elektroninio pašto adresas;
  • Kitos DAP ryšių priemonės.   

Kokiu būdu galima pateikti Valstybinei duomenų apsaugos inspekcijai pranešimą apie paskirtą duomenų apsaugos pareigūną

  1. Užpildant El. paslaugos formą El. valdžios vartuose.
  2. NaudojantisEl. siuntų sistema E.pristatymas (siuntos pristatymas E.pristatymo sistemoje turi teisinę ir įrodomąją galią, atitinkančią registruotojo laiško įteikimą).
  3. El. parašų pasirašytų dokumentų siuntimas el. paštu [email protected].
  4. Dokumento pateikimas registruotu paštu ar įteikimas vietoje VDAI patalpose.

(Elektroniniu būdu pateikti dokumentai sudaromi taip, kad VDAI galėtų atpažinti elektroninio dokumento formatą ir turinį, identifikuoti elektroninį parašą ir dokumentus pateikusį asmenį).

Informacija apie pranešimą apie paskirtą DAP teikiančio asmens ar paskirto DAP asmens duomenų tvarkymą pateikiama šiame Privatumo pranešime (DAP).

Svarbiausi duomenų apsaugos pareigūno pareigybės aspektai

Kai kurioms organizacijos, t. y. tam tikriems duomenų valdytojams ir duomenų tvarkytojams, atsižvelgiant į BDAR reikalavimus, privalu paskirti DAP. Tai daryti privalo visos valdžios institucijos ir įstaigos ir kitos organizacijos, kurių pagrindinė veikla yra dideliu mastu sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis.

DAP gali būti darbuotojas arba kitas asmuo iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi.

Net kai pagal BDAR nereikalaujama paskirti DAP, organizacijoms kartais gali būti naudinga jį paskirti savanoriškai.

DAP padeda laikytis reikalavimų įgyvendindami atskaitomybės priemones (pvz., padeda atlikti poveikio duomenų apsaugai vertinimus ir atlieka arba padeda atlikti auditus). DAP veikia kaip tarpininkai tarp įvairių suinteresuotųjų subjektų (pvz., priežiūros institucijų, duomenų subjektų ir organizacijos verslo padalinių).

Jei organizacija nesilaiko BDAR, tai DAP nėra už tai asmeniškai atsakingi. BDAR aiškiai nustatyta, kad būtent duomenų valdytojas arba duomenų tvarkytojas privalo užtikrinti ir sugebėti įrodyti, kad duomenys tvarkomi laikantis BDAR nuostatų. Už duomenų tvarkymo atitiktį reikalavimams atsakingas duomenų valdytojas arba duomenų tvarkytojas.

DAP turi būti sudarytos sąlygos veiksmingai atlikti savo užduotis, jam turi būti suteikta pakankama autonomija ir ištekliai jo užduotims veiksmingai atlikti.

DAP pripažįstamas vienu pagrindinių dalyvių naujojoje duomenų valdymo sistemoje, BDAR 37–39 straipsniuose nustatytos jo paskyrimo sąlygos, statusas ir užduotys. Daugiau informacijos galite rasti Direktyvos 95/46/EB 29 straipsnio darbo grupės 2016 m. gruodžio 13 d. duomenų apsaugos pareigūnų gairėse Nr. WP 243 (toliau – Gairės).

Duomenų apsaugos pareigūno kvalifikacija

BDAR 37 straipsnio 5 dalyje nustatyta, kad „duomenų apsaugos pareigūnas paskiriamas remiantis profesinėmis savybėmis, visų pirma duomenų apsaugos teisės ir praktikos ekspertinėmis žiniomis, taip pat gebėjimu atlikti 39 straipsnyje nurodytas užduotis“. BDAR preambulės 97 konstatuojamojoje dalyje nustatyta, kad „būtinas ekspertinių žinių lygis turėtų būti nustatomas atsižvelgiant į atliekamas duomenų tvarkymo operacijas ir reikiamą tvarkomų asmens duomenų apsaugą“.

Minėtose Gairėse yra pateikta informacija, į ką reikėtų atsižvelgti skiriant DAP:

1. Ekspertinių žinių lygis. Reikiamas ekspertinių žinių lygis nėra griežtai apibrėžtas, tačiau jis turi atitikti duomenų neskelbtinumą, sudėtingumą, kiekį ir organizacinius procesus. Pavyzdžiui, kai duomenų tvarkymo veikla yra itin sudėtinga arba tvarkoma daug neskelbtinų duomenų, DAP gali prireikti aukštesnio lygio ekspertinių žinių ir pagalbos. Taip pat padėtis skiriasi atsižvelgiant į tai, ar organizacija sistemingai, ar tik kartais perduoda asmens duomenis už Europos Sąjungos ribų. Taigi, DAP turėtų būti pasirenkamas atidžiai, deramai įvertinus organizacijoje kylančius duomenų apsaugos klausimus.

2. Profesinės savybės. Nors BDAR 37 straipsnio 5 dalyje nenurodytos profesinės savybės, į kurias turėtų būti atsižvelgiama skiriant DAP, svarbu tai, kad DAP privalo turėti nacionalinės ir Europos duomenų apsaugos teisės aktų bei praktikos žinių ir išsamiai suprasti BDAR. Be to, DAP turėtų gerai suprasti duomenų valdytojo vykdomas duomenų tvarkymo operacijas, informacines sistemas, duomenų saugumo ir duomenų apsaugos poreikius.

3. Gebėjimas atlikti užduotis. Gebėjimas atlikti DAP skiriamas užduotis turėtų būti aiškinamas ir jo asmeninių savybių, ir žinių požiūriu, taip pat atsižvelgiant į jo statusą organizacijoje. Asmeninės savybės, pavyzdžiui, galėtų būti profesinis sąžiningumas ir aukšta profesinė etika. Pagrindinė DAP pareiga turėtų būti sudaryti sąlygas laikytis BDAR. DAP atlieka itin svarbų vaidmenį skatinant organizacijoje duomenų apsaugos kultūrą ir padeda įgyvendinti esminius BDAR elementus, pvz., duomenų tvarkymo principus, duomenų subjektų teises, pritaikytąją ir standartizuotąją duomenų apsaugą, taip pat daryti duomenų tvarkymo veiklos įrašus, užtikrinti duomenų tvarkymo saugumą ir teikti pranešimus apie duomenų saugumo pažeidimus.

Duomenų apsaugos pareigūno funkcijos
BDAR 39 straipsnio 1 dalyje nustatyta, kad DAP atlieka bent šias užduotis:

  1. Informuoja duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal BDAR ir kitus Europos Sąjungos arba valstybės narės duomenų apsaugos nuostatas ir konsultuoja juos šiais klausimais.
  2. Stebi, kaip laikomasi BDAR, kitų Europos Sąjungos arba nacionalinių duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus.
  3. Paprašius konsultuoja dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal BDAR 35 straipsnį;
  4. Bendradarbiauja su priežiūros institucija, t. y. Valstybine duomenų apsaugos inspekcija.
  5. Atlieka kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant BDAR 36 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoja visais kitais klausimais.

Išsamesnės informacijos apie DAP atliekamas užduotis galite rasti pirmiau minėtose Gairėse.

Valstybinės duomenų apsaugos inspekcijos duomenų apsaugos pareigūnas
Valstybinės duomenų apsaugos inspekcijos duomenų apsaugos pareigūne paskirta Margarita Valčiukė. Su ja dėl Valstybinės duomenų apsaugos inspekcijos tvarkomų asmens duomenų galima susisiekti el. p. [email protected].

Informuojame, kad Jums kreipiantis į Valstybinę duomenų apsaugos inspekciją  su prašymu įgyvendinti savo, kaip duomenų subjekto teises, arba pranešimu apie Valstybinėje duomenų apsaugos inspekcijoje įvykusį asmens duomenų saugumo pažeidimą Jūsų asmens duomenis Valstybinė duomenų apsaugos inspekcija tvarkys duomenų apsaugos pareigūno funkcijų vykdymo tikslu, įskaitant duomenų subjektų prašymų nagrinėjimą, asmens duomenų saugumo pažeidimų vertinimą. Daugiau informacijos apie Jūsų asmens duomenų tvarkymą (teisinius pagrindus, saugojimo terminus, duomenų subjekto teises ir kt.) skaitykite prie šiame Privatumo pranešime.

Valstybinės duomenų apsaugos inspekcijos konsultacijos dėl asmens duomenų ir privatumo apsaugos teikiamos
Tel. +370 5 212 7532
El. p. [email protected]

Atnaujinimo data: 2024-05-22