Duomenų apsaugos pareigūnas: ką paskirti?

Nuolat užduodamas klausimas ar duomenų apsaugos reikalavimai taikomi verslui, ar verslas turi prisitaikyti prie duomenų apsaugos reikalavimų? Ne mažai verslo daliai, varomąja jėga tampa asmens duomenys. Internetinė prekyba, rezervacijos, sveikatos apsaugos paslaugos, kelionės ir kt., tokiais atvejais, veikla negalėtų būti vykdoma netvarkant asmens duomenų, todėl būtent asmens duomenys suteikia galimybę tokiam verslui funkcionuoti. Asmens duomenimis laikytini bet kurie duomenys, kurie leidžia identifikuoti asmenį. Tai gali būti bet kokio pobūdžio informacija: vardas pavardė, automobilio valstybinis numeris, piršto antspaudas ar kt. Dėl tokios asmens duomenų kategorijų gausos, pradėjusiam vykdyti duomenų tvarkymo procesą duomenų valdytojui – fiziniam ar juridiniam asmeniui, ar įstaigai nustatantiems duomenų tvarkymo tikslus ir priemones, tenka ne maža administracinė našta – duomenų apsaugos reguliavimo užtikrinimas. Tačiau svarbu nepamiršti, kad būtent duomenų apsaugos klausimai turi būti pritaikomi prie vykdomos verslo krypties, bet ne atvirkščiai.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR) dėl abstraktaus normų pobūdžio gali būti sunkiai „įkandamas“ asmenims neturintiems reikiamų žinių. Šiuo atveju BDAR numato duomenų valdytojui pagalbininką – duomenų apsaugos pareigūną (toliau – DAP). Tai asmuo leisiantis duomenų valdytojui priimti reikiamus sprendimus užtikrinant įvairių reikalavimų įgyvendinimą.

Šiai dienai DAP institutas dar nėra pakankamai detaliai išanalizuotas, tačiau jo reikšmės tikrai nereikėtų nuvertinti. Kalbant apie DAP pirmiausia BDAR išskiria aplinkybes, kurioms esant DAP turi būti paskiriamas privalomai. Remiantis BDAR 37 str., 1 d., tai atvejai, kai duomenis tvarko valdžios institucija ar įstaiga ar, kai duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra reguliarus duomenų tvarkymas dideliu mastu stebint subjektus. Į šį sąrašą patenką ir duomenų tvarkymas, kai duomenų valdytojo arba duomenų tvarkytojo veikla yra specialiųjų kategorijų duomenų ar duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu. Tačiau 29 straipsnio darbo grupė (toliau – W29), nepriklausomas Europos Sąjungos patariamasis organas duomenų apsaugos ir privatumo klausimais, labai teigiamai vertina ir tuos atvejus, kai duomenų valdytojas savarankiškai paskiria organizacijos duomenų apsaugos pareigūną. Pastebėtina, kad tokiais atvejais vis dėl to duomenų apsaugos pareigūnui taikomi tokie patys BDAR 37 – 39 str., reikalavimai, kaip ir privalomo paskyrimo atveju.

Itin daug diskusijų sukeliantis klausimas, ką paskirti? BDAR nenumato apribojimo, tai turėtų būti organizacijos darbuotojas ar išorinis partneris. Tačiau apsispręsti lengviau padės analizė reikalavimų, kuriuos turi atitikti asmuo paskiriamas į šias pareigas. Konkrečių reikalavimų kvalifikacijai nenurodoma, tačiau abstraktumą panaikina reikalavimai atitinkamoms savybėms, kuriomis turi pasižymėti į pareigas skiriamas asmuo ir statusui, kurį jis įgyja paskirtas į šias pareigas.

BDAR 37 str., 5 d., nurodoma, jog turi būti remiamasi pirmiausia asmens profesinėmis savybėmis, tai tiek teorinės žinios duomenų apsaugos teisės klausimais, tiek praktinės žinios apie verslo sektoriaus ypatybes, kurioje veikia duomenų valdytojas. Kitas griežtas reikalavimas  - ekspertinės žinios. W29  išaiškina, jog duomenų apsaugos pareigūnas turi pasižymėti tokio lygio žiniomis, kurios leistų išspręsti netgi labai keblias situacijas ir padėti duomenų valdytojui suvaldyti komplikuotas situacijas. Ir tai sąlygoja sekantį reikalavimą – gebėti atlikti užduotis. Asmuo einantis duomenų apsaugos pareigūno pareigas turi pasižymėti sąžiningumu ir aukšta profesine etika, be to jis turi turėti pakankamai aukštą autoritetą tarp organizacijos darbuotojų, kad jo teikiamos rekomendacijos turėtų „svorį“.

Vertinant kas gali būti paskiriamas į šias pareigas, ne mažiau reikšminga įvertinti principus, kuriais remiantis turi veikti asmuo. Remiantis BDAR 38 str., pirmiausia DAP statusas reiškia, jog organizacijoje tai privilegijuota pareigybė. DAP turi būti įtraukiamas į visus aptarimus ir darbo grupes, sprendžiant klausimus asmens duomenų apsaugos apimtyje. Todėl BDAR 38 str., 6 d., suponuoja, kad šiuo atveju turi būti vertinama ar paskirto darbuotojo pareigybė nesukels interesų konflikto. Detalizuodama paskyrimo klausimus W29 pateikia pavyzdžių, kad DAP negalėtų būti paskiriamas direktorius, vadovas ar kita vadovybės kategorija – asmuo nustatantis duomenų procesų tikslus, apimtis, priemones ir kt. Asmuo negali vertinti savo paties darbo. Šiuo atveju geriausia to iliustracija naujausias Belgijos priežiūros institucijos 2020 m.  balandžio 28 dienos sprendimas, kuriame bendrovė nubausta 50 000 EUR bauda už tai, jog DAP paskirtas asmuo esantis trijų organizacijos skyrių vadovu. Tai sąlygoja DAP nesavarankiškumą bei aiškų interesų konfliktą.

Tam, kad techniniai klausimai netrukdytų vykdyti DAP pareigų, turi būti suteikiami būtini ištekliai. Tai apima tiek vadovybės palaikymą autoriteto stiprinimui, tiek suteikiant pakankamai laiko užduočių atlikimui, tiek finansiniai ištekliai. Esant poreikiui, duomenų valdytojas turi užtikrinti DAP pagalbą sprendžiant informacinės saugos klausimus, todėl savarankiškai gebėti konsultuoti ne tik duomenų apsaugos teisės klausimais, bet ir informacinės saugos apimtyje, būtų didelis DAP privalumas bei duomenų valdytojo naštos sumažinimas.

Be jau aptartų DAP statuso ypatumų, BDAR 38 str., 3 d., įtvirtina kitas aplinkybes, kurios turi būti įgyvendinamos DAP veikloje – DAP negali būti teikiami nurodymai, turi būti užtikrinamas nepriklausomumas ir negali būti taikomos baudos. Šios sąlygos leidžia užtikrinti objektyvų duomenų valdytojo veiklos vertinimą bei atlikti DAP paskirtas užduotis.

Taigi, sprendžiant ar galima sutaupyti ir paskirti DAP organizacijos darbuotoją, žinoma, kad galima, bet kartu reikia įvertinti atsakymus į klausimus. Ar darbuotojas turi pakankamai žinių ir patirties asmens duomenų apsaugos teisės klausimais? Ar darbuotojas turės galimybę žinoti aktualiausią praktiką duomenų apsaugos klausimais? Ar darbuotojas, nesantis administracijos nariu, turės autoritetą prieš darbuotojus? Ar darbuotojas vykdydamas pagrindines funkcijas turės pakankamai laiko ir koncentracijos vykdyti DAP pareigas? Ar bus užtikrinama asmens autonomija, jeigu kitos jo pareigos paremtos pavaldumu? Ar bus išvengta interesų konflikto? Ar darbuotojas turi patirties bendraujant su Priežiūros institucija? Ar gebės darbuotojas vertinti objektyviai organizacijos, kurioje dirba situaciją? O gal vis dėl to būtent kompetentingas išorinis partneris galėtų objektyviai veikti DAP pareigų apimtyje bei skirti pakankamai laiko ir savo komandos resursų paskirtų užduočių tinkamam įgyvendinimui?