Duomenų apsaugos pareigūno paslaugos

Bendrajame duomenų apsaugos reglamente (BDAR) atsirado nauja pareigybė – duomenų apsaugos pareigūnas (toliau – Pareigūnas arba DAP) turintis užtikrinti, kad organizacija tinkamai įgyvendintų BDAR reikalavimus. Pareigūnas (DAP), suteiktų įgaliojimų ir priskirtų funkcijų apimtyje turi atstovauti duomenų valdytoją ir (ar) tvarkytoją santykyje su duomenų subjektais ir Valstybine duomenų apsaugos inspekcija (VDAI). Pareigūno pagrindinė pareiga padėti užtikrinti duomenų valdytojui ir (ar) tvarkytojui BDAR numatytas duomenų subjektų teises ir laisves.

Pareigūną (DAP) privalu paskirti, kai:

• Duomenis tvarko valdžios institucijos arba įstaigos, išskyrus teismus, kai jie vykdo teismo funkcijas;
• Pagrindinė duomenų valdytojo arba duomenų tvarkytojo, veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų duomenų subjektai yra reguliariai bei sistemingai stebimi dideliu mastu;
• Pagrindinė duomenų valdytojo arba duomenų tvarkytojo veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

ES 29 straipsnio duomenų apsaugos darbo grupės gairėse teigiama, kad niekas neužkerta kelio organizacijai, kuri teisiškai neprivalo paskirti Pareigūno ir nepageidauja jo paskirti savanoriškai, vis tiek įdarbinti darbuotojų arba samdyti išorės konsultantų, kuriems būtų pavestos su asmens duomenų apsauga susijusios užduotys.

Duomenų valdytojai ir duomenų tvarkytojai privalo įgyvendinti tinkamas technines ir organizacines duomenų saugumo priemones, kad būtų užtikrintas pavojų atitinkančio lygio saugumas. Pažeidus BDAR nuostatas gali būti skiriamos administracinės baudos, kurios gali siekti iki 2 – 4% ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 10 000 000 – 20 000 000 eurų.

• Informuojame duomenų valdytoją arba duomenų tvarkytoją ir duomenis tvarkančius darbuotojus apie jų prievoles
• Parengiame asmens duomenų apsaugos politiką ir jos įgyvendinimą reglamentuojančius dokumentus
• Atliekame rizikos vertinimą
• Atliekame poveikio duomenų apsaugai vertinimą (PDAV)
• Organizuojame asmens duomenų apsaugos mokymus
• Koordinuojame asmens duomenų saugumo pažeidimų valdymą
• Bendradarbiaujame su VDAI, atliekame kontaktinio asmens funkcijas VDAI kreipiantis su duomenų tvarkymu susijusiais klausimais

• Parengta ir periodiškai atnaujinama asmens duomenų apsaugos politika bei jos įgyvendinimo dokumentai
• Atliktas rizikos vertinimas. Nustatyti ir įvertinti asmens duomenų apsaugos pažeidžiamumai, grėsmės ir rizikos, turinčios įtaką organizacijos veiklai ir veiklos tęstinumui. Nepriimtinoms rizikos valdyti parengtas rizikos valdymo priemonių planas
• Atliktas PDAV. Aprašytos duomenų tvarkymo operacijos ir duomenų tvarkymo tikslai, teisėtumas. Atliktas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas. Pasiūlytos priemonės pašalinti pavojus duomenų subjektams. Pateiktos PDAV išvados
• Organizuojami asmens duomenų apsaugos mokymai, darbuotojams suteikiama pagalba ir konsultacijos
• Užtikrintas asmens duomenų saugumo pažeidimų valdymas. Suvaldyti asmens duomenų saugumo pažeidimai pagal BDAR reikalavimus
• Bendradarbiaujama su VDAI, atliekamos kontaktinio asmens funkcijos VDAI kreipiantis su duomenų tvarkymu susijusiais klausimais
• Stebimas BDAR įgyvendinimas. Stebimas BDAR įgyvendinimas ir informuojami duomenų valdytojai arba duomenų tvarkytojai ir duomenis tvarkantys darbuotojai apie jų prievoles

• Užtikrinamas nuolatinis organizacijos asmens duomenų apsaugos valdymas
• Nuolatos vertinamos asmens duomenų saugumo rizikos bei įgyvendinamos priemonės joms suvaldyti
• Keliama ir palaikoma darbuotojų kvalifikacija asmens duomenų apsaugos srityje
• Stebimas BDAR įgyvendinimas ir informuojami duomenų valdytojai arba duomenų tvarkytojai ir duomenis tvarkantys darbuotojai apie jų prievoles
• Bendradarbiaujama su VDAI, atliekamos kontaktinio asmens funkcijos VDAI kreipiantis su duomenų tvarkymu susijusiais klausimais
• Užtikrinama atitiktis LR teisės aktų ir BDAR reikalavimams

• Valstybinėje mokesčių inspekcijoje įgyvendintas atitikties vertinimo projektas
• Informatikos ir ryšių departamente atliktas valstybės informacinių išteklių bei ryšių ir informacinių sistemų atitikties vertinimas
• Valstybinėje ligonių kasoje įgyvendintas naudotojų tapatybės ir teisių valdymo bei naudotojų registravimo ir kontrolės sistemos diegimo projektas
• Registrų Centre įgyvendintas nepriklausomo Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) saugumo audito projektas