Įžvalgos
Lietuva
Tinklaraštis
Advokatų kontora, kuri rūpinasi savo klientais

TOP 6 klausimai, kuriuos turėtų sau išsikelti visi naujai paskirti Duomenų apsaugos pareigūnai

Kiekvienas naujai paskirtas Duomenų apsaugos pareigūnas, savo darbą užtikrinant asmens duomenų tvarkymo suderinamumą su Bendrojo duomenų apsaugos reglamento (BDAR) nuostatomis turėtų pradėti nuo įsitikinimo, ar tvarkant asmens duomenis yra laikomasi esminių BDAR įtvirtintų asmens duomenų tvarkymo veiklos principų, o tai jis galėtų padaryti išsikeldamas sau šiuos 6 klausimus:

Ar visi organizacijos tvarkomi asmens duomenys yra tvarkomi teisėtai, t. y. turint tam tinkamą teisinį pagrindą, sąžiningai bei skaidriai?

 Teisėto asmens duomenų tvarkymo pagrindai yra 6: a. sutikimas; b. sutarties vykdymas; c. teisinė prievolė; d. gyvybiniai interesai; e. viešasis interesas; f. teisėti interesai. Tai yra baigtinis sąrašas, kuris negali būti aiškinamas plečiamai.

 Ar laikomasi tikslo apribojimo principo?

 Duomenų apsaugos pareigūnas privalo įsitikinti, ar asmens duomenys organizacijoje tvarkomi tik iš anksto nustatytais konkrečiais, aiškiais bei teisėtais tikslais. Šie tikslai priklauso nuo organizacijos veiklos, o jais tvarkomi asmens duomenys gali persidengti, t. y. kartotis, pavyzdžiui, kontaktiniai klientų duomenys gali būti tvarkomi ir veiklos sutarčių vykdymo ir tiesioginės rinkodaros tikslais.

 Ar laikomasi duomenų minimizacijos principo?

Reikia kelti klausimą, ar organizacijoje tvarkomi tik tie asmens duomenys, kurie yra absoliučiai būtini duomenų tvarkymo tikslui pasiekti? Jei organizacijoje yra saugomi duomenys, kurie nėra naudojami konkretiems tikslams, t. y. yra taip vadinamų „toksinių duomenų“, jų tvarkymo reikėtų atsisakyti.

 Ar tvarkomi asmens duomenys yra tikslūs?

Organizacija turi dėti maksimalias pastangas siekdama užtikrinti, kad jos veikloje būtų tvarkomi tik tikslūs bei  išsamūs asmens duomenys. Taip pat, jei tai yra reikalinga, organizacijos turima asmens duomenų bazė turi būti nuolat atnaujinama.

 Ar organizacija turi nustačiusi bei laikosi asmens duomenų saugojimo laikotarpių bei jų nustatymo tvarkos?

Organizacija turi turėti pasitvirtinusi konkrečius asmens duomenų saugojimo laikotarpius ar kriterijus jiems nustatyti, taip pat, turi būti užtikrinama, kad tvarkant asmens duomenis šių laikotarpiu būtų laikomasi, o jiems pasibaigus, bet koks duomenų tvarkymas ir, jei įmanoma, saugojimas, būtų nedelsiant nutrauktas.

Svarbu atskirti, kad dokumento, kuriame užfiksuoti asmens duomenys, ir pačių asmens duomenų saugojimas nėra tapačios sąvokos ir net ir tais atvejais, kai dokumentus teisės aktai įpareigoja saugoti tam tikra laikotarpį, kuris, kaip taisyklė, būna itin ilgas, asmens duomenų tvarkymas aktyviuose duomenų bazėse turėtų būti kur kas trumpesnis.

Ar yra užtikrinamas duomenų integralumas bei konfidencialumas?

 Duomenų apsaugos pareigūnas turėtų įvertinti, ar asmens duomenis organizacija saugo bei tvarko taip, kad būtų užtikrintas pakankamas jų saugumas. Taip pat užtikrinti, kad ateityje, planuojant naujas duomenų tvarkymo operacijas ar diegiant naujus IT sprendimus, būtų laikomasi pritaikytos ir standartizuotos duomenų pasaugos principų laikymosi.

 Organizacijos, kurioje darbo imasi Duomenų apsaugos pareigūnas, pareiga bei gebėjimas laikytis visų šių principų turėtų atsispindėti nuolat atnaujinamoje bei tobulinamoje vidinėje organizacijos asmens duomenų apsaugai skirtoje dokumentacijoje, taip užtikrinant atskaitomybės principo laikymąsi.