Ar man reikia paskirti DAP?
Atsakykite į klausimus mūsų interaktyvioje struktūrinėje schemoje, kad sužinotumėte!
*Teismai, vykdantys savo teismines funkcijas, yra išimtis!Tvarkau specialių kategorijų duomenis arba duomenis, susijusius su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis
Asmens duomenis tvarkau dideliu mastu
Reguliariai ir sistemingai stebiu asmenis
Mano pagrindinė veikla reikalauja tvarkyti specialių kategorijų duomenis arba duomenis,
susijusius su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis
Asmens duomenis tvarkau dideliu mastu
Mano pagrindinė veikla reikalauja reguliarios ir sistemingos stebėsenos
Ar man reikia paskirti DAP?
Taip, paskirti DAP yra privaloma
Ar man reikia paskirti DAP?
Ne, DAP paskyrimas yra savanoriškas.
Tačiau tai yra skatinama.
Kas yra DAP ir ar Jūsų organizacijai jo reikia?
Kas yra DAP ir ką jie daro?
Duomenų apsaugos pareigūnas (dar vadinamas DAP) yra duomenų apsaugos ekspertas, kuris organizacijoje konsultuoja dėl duomenų apsaugos reikalavimų laikymosi.
DAP turi būti tinkamai ir laiku įtrauktas į visus su asmens duomenų apsauga susijusius klausimus.
DAP užduotys pagal BDAR yra bent šios:
- informuoti ir konsultuoti organizaciją ir jos darbuotojus dėl duomenų apsaugos reikalavimų laikymosi;
- stebėti, kaip laikomasi duomenų apsaugos reikalavimų;
- teikti konsultacijas dėl prašymų, susijusių su poveikio duomenų apsaugai vertinimu (PDAV);
- veikti kaip kontaktinis asmuo duomenų apsaugos priežiūros institucijai (PI) ir bendradarbiauti su ta PI;
- veikti kaip kontaktinis asmuo atskiriems asmenims.
DAP dalyvavimas paprastai rekomenduojamas tais atvejais, kai priimami sprendimai, darantys poveikį duomenų apsaugai. Su DAP taip pat turi būti nedelsiant konsultuojamasi, kai įvyksta duomenų saugumo pažeidimas ar kitas incidentas.
Praktiškai DAP taip pat dažnai paskiria duomenų valdytojas arba duomenų tvarkytojas, kurio užduotis – tvarkyti duomenų tvarkymo operacijų įrašus.
Ar mano organizacijai reikalingas DAP?
Paskirti DAP privaloma šiais trimis atvejais:
- organizacija yra valdžios institucija, kuri tvarko asmens duomenis;
- pagrindinė organizacijos veikla – reguliarus ir sistemingas didelio masto asmenų stebėjimas, pavyzdžiui, geografinės vietos nustatymas naudojant mobiliąją programėlę, arba prekybos centrų ir viešųjų erdvių stebėjimas naudojant vaizdo stebėjimo sistemą;
- pagrindinė organizacijos veikla – didelio masto neskelbtinų duomenų tvarkymas
„Pagrindinės veiklos“, „reguliarios ir sistemingos stebėsenos“ ir „didelio masto“ sąvokos yra labai svarbios nustatant, ar organizacija turėtų paskirti DAP.
„Pagrindinė veikla“ reiškia, kad duomenų tvarkymo operacijos yra labai svarbios siekiant duomenų valdytojo arba duomenų tvarkytojo tikslų. Tai taip pat apima visą veiklą, kai duomenų tvarkymas yra neatsiejama duomenų valdytojo arba duomenų tvarkytojo veiklos dalis.
„Didelis mastas“ priklauso nuo įvairių veiksnių, pavyzdžiui, tvarkomų duomenų kiekio, susijusių asmenų skaičiaus (konkretus skaičius arba atitinkamos populiacijos dalis), duomenų tvarkymo trukmė ir geografinė aprėptis.
„Reguliarus ir sistemingas stebėjimas“ apima visų formų sekimą ir profiliavimą internete, be kita ko, vartotojų elgesiu grindžiamą reklamą. Tačiau stebėsenos sąvoka neapsiriboja vien interneto aplinka.
Praktiškai
- Pagrindinė veikla
Pavyzdžiui, pagrindinis klinikos tikslas yra teikti sveikatos priežiūros paslaugas asmenims. Šiuo atveju sveikatos duomenų, pvz., pacientų sveikatos įrašų, tvarkymas turėtų būti laikomas viena iš pagrindinių organizacijos veiklos rūšių.
Tačiau visos organizacijos vykdo ir tam tikrą pagalbinę veiklą, pavyzdžiui, moka savo darbuotojams atlyginimus arba vykdo standartines IT palaikymo veiklas. Tai būtinų pagalbinių funkcijų pavyzdžiai pagrindinei organizacijos veiklai. Nors šios veiklos yra būtinos, jos paprastai laikomos pagalbinėmis funkcijomis, o ne pagrindine veikla.
- Didelio masto
Pavyzdžiui, didelio masto duomenų tvarkymo pavyzdžiai:- paciento duomenų tvarkymas vykdant kasdienę ligoninės veiklą;
- klientų duomenų tvarkymas vykdant draudimo bendrovės arba banko kasdienę veiklą;
- subrangovas, kurio specializacija – tokios paslaugos, kaip statistiniais tikslais tvarkomi tarptautinės greitojo maisto grandinės klientų buvimo vietos duomenys;
- asmens duomenų tvarkymas vartotojų elgesiu grindžiamos reklamos tikslu, remiantis paieškos sistemų informacija;
- telefono ir interneto paslaugų teikėjų atliekamas duomenų (turinio, srauto, vietos) tvarkymas.
Duomenų tvarkymo, kuris nebūtų laikomas dideliu mastu, pavyzdžiai:
- vieno bendrosios praktikos gydytojo atliekamas pacientų duomenų tvarkymas;
- asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikalstamomis veikomis, tvarkymas, kurį atlieka individualus advokatas.
- Reguliarus ir sistemingas stebėjimas
Pavyzdžiui, reguliarus ir sistemingas stebėjimas apima pakartotinį el. pašto naudojimą; duomenimis grindžiama rinkodaros veikla; profiliavimas ir asmens duomenų tvarkymas rizikos vertinimo tikslais (pvz., kredito reitingo, draudimo įmokų nustatymo, sukčiavimo prevencijos, pinigų plovimo nustatymo tikslais); buvimo vietos stebėjimas (pvz., naudojant mobiliąsias programėles); lojalumo programos; vartotojų elgsena grindžiama reklama; sveikatingumo, sporto ir sveikatos duomenų stebėjimas naudojant dėvimuosius prietaisus; vaizdo stebėjimo sistema; prijungti įrenginiai (pvz., išmanieji skaitikliai), išmanieji automobiliai, išmanūs namų ir kt.
Todėl duomenų tvarkytojas, kurio pagrindinė veikla – teikti interneto svetainių analizės paslaugas ir padėti vykdyti tikslinę reklamą ir rinkodarą, turės paskirti DAP.
Visada galite paskirti DAP savanoriškai, net jei tai nėra teisiškai reikalaujama. Atkreipkite dėmesį, kad tokiu atveju turite laikytis visų BDAR nuostatų dėl DAP užduočių ir pareigų. Todėl rekomenduojama naudoti DAP pavadinimą tik asmeniui, kurio pareigos ir pozicija atitinka BDAR aprašymą.
Kas gali būti DAP mano organizacijoje?
DAP turi gebėti nepriklausomai vykdyti savo pareigas ir užduotis. Tai reiškia, kad Jūsų organizacija:
- negali duoti nurodymų DAP dėl DAP pareigų vykdymo;
- negali bausti ar atleisti DAP už jo užduočių vykdymą.
Tačiau DAP savarankiškumas nereiškia, kad jie turi sprendimų priėmimo įgaliojimus, viršijančius jų užduotis. Organizacijos išlieka atsakingos už duomenų apsaugos teisės aktų laikymąsi ir turi sugebėti įrodyti, kad jų laikomasi.
DAP turėtų būti laikomas organizacijos patarėju ir turėtų dalyvauti diskusijose, susijusiose su organizacijoje vykdoma duomenų tvarkymo veikla.
DAP tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausiam vadovybės lygmeniui.
DAP gali atlikti kitas organizacijos užduotis, tačiau dėl to negali kilti interesų konfliktas. Tai reiškia, kad DAP negali turėti tokios pozicijos, kurioje nustatytų asmens duomenų tvarkymo tikslus ir priemones. Prieštaringos funkcijos daugiausia apima vadovaujančias pareigas (generalinis direktorius, direktorius, finansų direktorius, žmogiškųjų išteklių vadovas, IT vadovas, vykdomasis direktorius), tačiau jos taip pat gali apimti kitas funkcijas, jei dėl jų nustatomi duomenų tvarkymo tikslai ir priemonės.
Pagal BDAR galima paskirti išorinį DAP sudarant sutartį. Ši sutartis gali būti sudaryta su asmeniu ar organizacija. Pastaruoju atveju labai svarbu, kad kiekvienas organizacijos narys nepatirtų interesų konflikto ir būtų apsaugotas nuo bet kokio nesąžiningo paslaugų sutarties nutraukimo, bet ir nuo bet kurio atskiro organizacijos nario atleidimo iš darbo dėl DAP veiklos.
Jūsų organizacija turėtų padėti DAP, suteikdama galimybę susipažinti su bet kokiomis duomenų tvarkymo operacijomis, taip pat su visais vykdant šias duomenų tvarkymo operacijas tvarkomais asmens duomenimis. Labai svarbu, kad DAP kuo anksčiau dalyvautų sprendžiant visus su duomenų apsauga susijusius klausimus. DAP taip pat turėtų būti skirta reikiamų išteklių, kad jis galėtų vykdyti savo pareigas (laikas, mokymas, įranga ir finansiniai ištekliai).
Praktiškai
DAP, vykdančiam užduotį, neturi būti nurodinėjama, kaip tai daryti. Pavyzdžiui, DAP neturėtų būti duodami nurodymai, kokie turėtų būti jo konsultacijų rezultatai, kaip jis turi ištirti asmens skundą arba, ar konsultuotis su duomenų apsaugos priežiūros institucija yra tikslinga ar privaloma. Be to, DAP neturi būti nurodyta laikytis tam tikros pozicijos su duomenų apsaugos teise susijusiu klausimu, pavyzdžiui, konkrečiu teisės akto aiškinimu.
DAP skyrimo kontrolinis sąrašas
- Patikrinkite, ar DAP yra reikalingas: patikrinkite, ar Jums reikia paskirti DAP, ir, kilus abejonių, dokumentuokite priežastis, dėl kurių paskyrėte ar nepaskyrėte DAP.
- Jei DAP reikalingas, turite:
- Nuspręsti dėl vidaus arba išorės DAP: jei reikalingas DAP, nuspręskite, ar jis bus Jūsų organizacijos narys, ar DAP pagal paslaugų sutartį;
- Patikrinti, ar DAP turi profesinių savybių ir patirties duomenų apsaugos teisės ir praktikos srityje, taip pat ar jis geba atlikti užduotis;
- Patikrinti nepriklausomumo reikalavimus: patikrinkite, ar Jūsų DAP turi kitų pareigų, kurios galėtų trukdyti jo nepriklausomumui vykdant savo užduotis (interesų konfliktai);
- Sukurkite standartines procedūras savo organizacijos valdyme DAP dalyvavimui.
- Jei DAP nereikalingas, turite:
- Pagalvoti apie tai: net jei nepaskiriate DAP, kaip apibrėžta BDAR, vis tiek turėsite laikytis tam tikrų duomenų apsaugos reikalavimų. Patariame savanoriškai paskirti DAP arba asmenį, neturintį DAP vardo, kuris, nors ir ne visiškai vykdo DAP užduotis, tačiau stebi, kaip laikomasi reikalavimų, ir veikia kaip kontaktinis asmuo asmenims, kurie naudojasi savo duomenų subjekto teisėmis.