Edita Ivanauskienė, advokatė, patentinė patikėtinė, EiiP

Duomenų apsaugos pareigūno (DAP) terminas yra dar pakankamai naujas – tai yra asmuo, atsakingas už asmens duomenų apsaugą organizacijoje, įstaigoje, įmonėje, reikalaujamas pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), taikomą Lietuvoje nuo 2018 m. gegužės 25 d.

Kada privaloma skirti DAP?

BDAR 37-39 straipsnis reglamentuoja, kada DAP privaloma paskirti, jo funkcijas, kvalifikacijas ir statusą.

DAP privaloma paskirti, kai:

(i)                duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;

(ii)            duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;

(iii)             duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Detalesnius paaiškinimus, kas yra valdžios institucija ar įstaiga, kada pagrindinė veikla reguliarus ir sistemingas dideliu mastu duomenų subjektų stebėjimas ir kt. galite rasti Gairėse apie duomenų apsaugos pareigūnus (WP243), kurios buvo patvirtintos Europos duomenų apsaugos tarybos.

Kas gali būti DAP?

DAP gali būti bet kuris asmuo, turintis reikiamą kvalifikaciją asmens duomenų teisinės apsaugos srityje (pvz.: teisininkas, advokatas, asmens duomenų apsaugos specialistas ir kt.). Juo gali būti personalo narys arba teikti tokias paslaugas pagal paslaugų teikimo sutartį. Taip pat gali būti ir juridinis asmuo, vykdantis veiklą šioje srityje, tačiau šiuo atveju rekomenduojama, kad būtų paskirtas atsakingas už klientą asmuo. DAP skiriamas atsižvelgiant į jo profesines savybes, visų pirma duomenų apsaugos teisės ir praktikos ekspertines žinias, taip pat gebėjimu atlikti BDAR 39 straipsnyje nurodytas užduotis, o būtent:

(i)                 informuoti duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal BDAR ir kitus Sąjungos arba valstybės narės apsaugos nuostatas ir konsultuoja juos šiais klausimais;

(ii)               stebėti, kaip laikomasi BDAR, kitų Sąjungos arba nacionalinės duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;

(iii)             paprašius konsultuoti dėl poveikio duomenų apsaugai vertinimo ir stebi jo atlikimą pagal BDAR 35 straipsnį;

(iv)             bendradarbiauti su priežiūros institucija;

(v)               atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant BDAR 36 straipsnyje nurodytas išankstines konsultacijas, ir prireikus konsultuoja visais kitais klausimais.

DAP kontaktiniai duomenys turi būti paskelbti ir apie juos pranešta priežiūros institucijai.

DAP turi būti suteikti būtini ištekliai minėtoms užduotims atlikti ir savo ekspertinėms žinioms išlaikyti.

DAP gali vykdyti kitas užduotis ir pareigas, tačiau turi būti užtikrinama, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.

Jeigu turėsite klausimų ar reikia pagalbos asmens duomenų apsaugos klausimais, prašome kreiptis e. paštu edita.ivanauskiene@eiip.lt arba telefonu 868611584.