Ar Jums reikia turėti asmens duomenų pareigūną?

Triniti

Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė 2019 m. I pusmečio veiklos statistiką.

Be kitų statistinių duomenų, matyti įdomus faktas, kad nors apie tai jokios išsamesnės viešos informacijos nėra, VDAI pagal BDAR yra skyrusi ne vieną, bet dvi baudas – visų gerai žinomą 61 500 EUR dydžio baudą UAB „MisterTango“ bei 2 400 EUR dydžio bauda nežinomai organizacijai, kuri buvo skirta dar 2018 metais. Kalbėdama apie atsakomybę, VDAI taip pat nurodo, kad viso taikytos 110 poveikio priemonės, be baudos UAB „MisterTango“, dar 72 nurodymai bei 43 papeikimai.

Tikrinti 42 prekių ir paslaugų teikėjai, 17 valstybės ir savivaldybių institucijų ir įstaigų, 13 fiziniai asmenų, 7 švietimo ir kultūros įstaigos, 2 advokatai, notarai, antstoliai, 2 draudimo paslaugų teikėjai, 2 elektroninių ryšių paslaugų teikėjai, 2 elektroninės parduotuvės, 2 finansų ir kredito įstaigos, 2 sveikatos įstaigos, 2 teisėsaugos ir teisėtvarkos įstaigos, 1 skolų išieškojimo įmonė, 1 apgyvendinimo paslaugų teikėjas ir dar 15 kitų asmenų.

VDAI skelbia, kad 2019 m. I pusmetį VDAI pranešta apie 397 duomenų apsaugos pareigūnų paskyrimą. Bendras paskirtų duomenų apsaugos pareigūnų skaičius – 1 869. Kartu kiek anksčiau, VDAI buvo pažymėjusi, kad pareigą skirti duomenų apsaugos pareigūną turi kur kas platesnis duomenų valdytojų ratas. Tokią pareigą turintiems, tačiau duomenų apsaugos pareigūno nepaskyrusiems asmenims, VDAI turi teisę taikyti BDAR numatytas sankcijas.

TRINITI primena, kad duomenų apsaugos pareigūną privalo skirti:

  1. Visas valstybinis sektorius;
  2. Duomenų valdytojai, kurie dideliu mastu tvarko specialių kategorijų asmens duomenis arba duomenis apie apkaltinamuosius nuosprendžius; taip pat
  3. Duomenų valdytojai, kurių pagrindinė veika – duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus.

Pažymėtina, kad pagrindinė veikla čia neturėtų būti suprantama kaip veika, kuri duomenų valdytojui tiesiogiai nešą pajamas, tačiau tokia veikla, be kurios duomenų valdytojas savo įprastinės bei pagrindinės veiklos vykdyto negalėtų. Pavyzdžiui, internetinė parduotuvė, siunčianti prekes savo pirkėjams, savo veiklos be pirkėjų kontaktinių duomenų tvarkymo vykdyti negalėtų.

Taip pat, pareiga skirti duomenų apsaugos pareigūną nepriklauso nuo organizacijos dydžio. Svarbi yra tik veika. Tad, jei grįžtume prie internetinės parduotuvės, jei jos pirkėjų ratas yra pakankamai didelis, pareigą skirti duomenų apsaugos pareigūną ji turi net ir tais atvejais, kai realiai ji yra valdoma vos vieno ar kelių asmenų.

Apie paskirtą duomenų apsaugos pareigūną privalu pranešti VDAI, jo kontaktai turi būti skelbiami viešai, pvz., duomenų valdytojo internetinėje svetainėje. Duomenų apsaugos pareigūnu gali būti skiriamas tik vidinis darbuotojas, dirbantis organizacijoje pagal darbo sutartį, tiek asmuo „iš išorės“, su kuriuo tokiu atveju sudaroma paslaugų teikimo sutartis.