Jūsų nesibaigianti BDAR atitikties kūrybinė žaidimų aikštelė
Įsigykite į detales, išbandykite dalykus, kad galėtumėte užtikrinti BDAR atitiktį, ką nors sužinoti daugiau ir supraskite, kad tai jums patinka. Štai dėl ko mes čia – sukurti erdvę, kurioje negalite pasiklysti savo kūrybiniame sraute. Mūsų svetainėje BDAR paslaugos gali būti užsakytos ypač paprastai, čia yra plačiausias jų asortimentas – BDAR sprendimai, BDAR konsultacijos, BDAR dokumentai, BDAR mokymai – nuo privalomų iki rekomenduojamų ir visko tarp jų. Be to, galite prenumeruoti išsamų asmens duomenų tvarkymo ir apsaugos el. DUO žinyną. Visa tai pasiekiama naudojantis DUO prenumerata. Taigi, pasiruoškite atlikti darbą, kuris atkreips Jūsų vadovybės dėmesį.
DUO paslaugas teikia DUO partneriai, kuriuos DUO atrenka labai kruopščiai, tik atsižvelgiant į jų patirtį asmens duomenų tvarkymo ir apsaugos srityje.
BDAR nustato detalius reikalavimus įmonėms ir organizacijoms dėl asmens duomenų rinkimo, saugojimo ir tvarkymo. Jis taikomas tiek Europos organizacijoms, kurios tvarko asmenų asmens duomenis ES, tiek organizacijoms už ES ribų, kurios yra skirtos ES gyvenantiems žmonėms. Šiuos reikalavimus galime vadinti BDAR prievolėmis arba BDAR pareigomis. Už BDAR reikalavimų (prievolių) nevykdymą numatyta atsakomybė.
Viena vertus, BDAR nustato prievoles visoms asmens duomenis tvarkančioms organizacijoms, nepriklausomai nuo to, ar jos yra duomenų valdytojai, ar duomenų tvarkytojai. Pavyzdžiui, yra būtina:
- Paklausti savęs, ar tikslas, kuriuo gali būti renkami asmens duomenys, yra pagrįstas, ir renkami tik tie asmens duomenys, kurie yra būtini konkrečiam (-iems) numatytam (-iems) tikslui (-ams);
- Užtikrinti, kad asmenų asmens duomenys būtų tikslūs ir atnaujinti, ir ištrinti duomenis, kai jų nebereikia;
- Gerbti asmenų teises informuojant juos apie tai, kaip ir kodėl tvarkomi jų duomenys, ir suteikti jiems galimybę naudotis savo teisėmis;
- Patikrinti, ar turite tinkamą teisinį pagrindą tvarkyti asmens duomenis. Jei ketinate remtis fizinių asmenų sutikimu, prieš tvarkydami jų asmens duomenis, paprašykite jų sutikimo;
- Užtikrinti, kad asmens duomenys būtų tvarkomi saugiai;
- Tvarkyti duomenų tvarkymo veiklos įrašus.
Tačiau svarbu žinoti, kad ne visos BDAR prievolės vienodai taikomos visoms įmonėms ar organizacijoms. Netinkamas suvokimas apie taikytinas BDAR prievoles gali reikšti ne tik be reikalo perteklinei BDAR atitikčiai užtikrinti išleistus pinigus, sugaištą laiką, bet ir sankcijas, jei prievolės įgyvendinamos netinkamai.
Pavyzdžiui, prievolė paskirti duomenų apsaugos pareigūną pagal BDAR kyla, kai įmonės asmens duomenų tvarkymas atitinka tam tikrus kriterijus:
- Pagrindinė įmonės veikla – vykdyti veiklą, kuri dėl savo pobūdžio, apimties ir tikslų reikalauja reguliaraus ir sistemingo intensyvaus duomenų subjektų stebėjimo.
- Pagrindinė veikla apima didelio masto specialių kategorijų asmens duomenų tvarkymą pagal BDAR 9 straipsnį ir duomenų apie teistumus ir nusikaltimus pagal BDAR 10 straipsnį.
Taip pat, pagal BDAR reikalaujama, kad kiekviena valdžios institucija ar organizacija (išskyrus teismus, vykdančius teisminę veiklą) paskirtų duomenų apsaugos pareigūną.
Žinotina, kad skirtingi BDAR reikalavimai (prievolės) taikomi priklausomai nuo to, kokį vaidmenį įmonė ar įstaiga atlieka asmens duomenų rinkime, saugojime ar tvarkyme. Pavyzdžiui, ar ji yra duomenų valdytojas, ar duomenų tvarkytojas. Kai nusprendžiama, kokiais tikslais ir priemonėmis bus tvarkomi asmens duomenys, duomenų valdytojas arba bendri duomenų valdytojai privalo užtikrinti asmens duomenų apsaugą. Siekiant to, duomenų valdytojas arba bendri duomenų valdytojai turi imtis priemonių, kad apsaugotų asmens duomenis ir leistų asmenims naudotis savo teisėmis (Daugiau informacijos žr. Valdytojo/bendrų duomenų valdytojų pareigų kontrolinį sąrašą). Duomenų tvarkytojai turi laikytis duomenų valdytojo ir duomenų tvarkytojo sutartyje nustatytų pareigų ir negali tvarkyti duomenų kitaip, nei nurodyta duomenų valdytojo nurodymuose. Tai reguliuoja susitarimas dėl asmens duomenų tvarkymo. BDAR reikalavimai gali priklausyti ir nuo to, ar tai smulki ar vidutinė įmonė, ar stambus verslas. Papildomi reikalavimai gali būti taikomi konkrečiai veiklai, pavyzdžiui, sveikatos priežiūra.
Prieš imantis įgyvendinti BDAR prievoles būtinas adekvatus suvokimas apie jas. Norėtumėte pasitikrinti savo žinias apie BDAR prievoles? Tai galite padaryti čia.
DUO duomenų apsaugos žinynas pirmiausiai skirtas įmonėms, įstaigoms ir organizacijoms, paskyrusioms duomenų apsaugos pareigūnu savo personalo narį (vidinis DAP). Bendrojo duomenų apsaugos reglamento 38 straipsnio 2 dalyje reikalaujama, kad organizacija padėtų savo duomenų apsaugos pareigūnui suteikdama jo užduotims atlikti būtinus išteklius, taip pat suteikdama galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.
Su DUO organizacijos aprūpina savo vidinį DAP papildomais ištekliais, padedančiais užtikrinti jo nuolatinį mokymąsi, ekspertinių žinių lygio kėlimą ir atitiktį pagal BDAR reikalavimus. Taip pat skaitykite: Kaip tinkamai paskirti duomenų apsaugos pareigūną, kai tai yra reikalinga pagal BDAR, viešai skelbti detalesnę informaciją apie jį, taip pat ją pranešti priežiūros institucijai.
DUO gali būti naudingas ir tos organizacijoms, kurioms DAP nėra privalomas, tačiau kurioms reikalingos ekspertinės žinios ir patirtis asmens duomenų apsaugos srityje.
Pagal BDAR 38 str. “Duomenų apsaugos pareigūno statusas” 3d. “Duomenų valdytojas ir duomenų tvarkytojas užtikrina, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl tų užduočių vykdymo. Duomenų valdytojas arba duomenų tvarkytojas negali jo atleisti arba bausti dėl jam nustatytų užduočių atlikimo. Duomenų apsaugos pareigūnas tiesiogiai atsiskaito duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei.” DAP gairėse yra papildomai paaiškinta, kad „tokiomis tiesioginėmis ataskaitomis užtikrinama, kad vyresnioji vadovybė (pvz., direktorių valdyba) žinotų apie duomenų apsaugos pareigūno konsultacijas ir rekomendacijas, kurias jis teikia vykdydamas savo įgaliojimus informuoti ir konsultuoti duomenų valdytoją arba duomenų tvarkytoją. Kitas tiesioginio ataskaitų teikimo pavyzdys yra aukščiausio lygio vadovybei teikiamos duomenų apsaugos pareigūno veiklos metinės ataskaitos rengimas.“
Taigi, duomenų valdytojas ir duomenų tvarkytojas, paskyręs DAP, turi būti reglamentavęs DAP atsiskaitymo duomenų valdytojo vadovybei periodiškumą ir atsiskaitymo formą. Tai paprastai numato Sutartis dėl išorinių duomenų apsaugos pareigūno paslaugų teikimo.
DUO ekspertų komanda gali padėti parengti Jūsų DAP ataskaitos formą, pagal kurią būtų periodiškai atsiskaitoma Jūsų organizacijos vadovybei.
Pagal BDAR 38 str. “Duomenų apsaugos pareigūno statusas” 2d. “Duomenų valdytojas ir duomenų tvarkytojas padeda duomenų apsaugos pareigūnui atlikti 39 straipsnyje nurodytas užduotis suteikdamas toms užduotims atlikti būtinus išteklius, taip pat suteikdamas galimybę susipažinti su asmens duomenimis, dalyvauti duomenų tvarkymo operacijose ir išlaikyti savo ekspertines žinias.” DAP gairėse yra papildomai paaiškinta, kad “duomenų apsaugos pareigūnams turi būti suteikta galimybė sekti naujausias tendencijas duomenų apsaugos srityje. Turėtų būti siekiama nuolat kelti duomenų apsaugos pareigūnų ekspertinių žinių lygį ir jie turėtų būti skatinami dalyvauti mokymo kursuose duomenų apsaugos klausimais ir kitomis formomis kelti kvalifikaciją, pvz., dalyvauti privatumo forumuose, praktiniuose seminaruose ir kt.
DUO komanda tiki, kad viena iš Jūsų organizacijos duomenų apsaugos pareigūno nuolatinio mokymosi priemonių gali būti šis DUO žinynas ir DUO ekspertų komandos palaikymas. Papildomai gali padėti DUO organizuojami BDAR mokymai.
DUO pateikia 3 žingsnių instrukciją, kaip naudotis DUO žinynu, kad gautumėte didžiausią naudą.
1.
Peržiūrėkite DUO sprendimus
Skiltis DUO sprendimai vienoje vietoje pateikia informaciją, kas aktualu, kokios BDAR prievolės ir dokumentai gali būti reikalingi vienu ar kitu atveju. Jei Jūsų atvejis artimas aprašytam sprendimui, jau šiame žingsnyje galite kreiptis į DUO pagalbos jį įgyvendinant.
2.
Palyginkite DUO paslaugas
DUO parduotuvėje palyginkite paslaugas, kad lengviau galėtumėte nuspręsti dėl reikiamų paslaugų apimties. Sudėtingiems atvejams neretai nepakanka vien konsultacijos. Užsakydami DUO narystę, gaunate nuolaidą, BDAR dokumentus ir papildomas paslaugas.
3.
Užsisakykite DUO konsultaciją
DUO skiltyje BDAR konsultacijos aprašytos BDAR įtvirtintos duomenų valdytojo prievolės ir DUO rekomendacijos, kaip jas įgyvendinti praktiškai. Jei pakanka vienos konsultacijos, pasirinkite BDAR konsultaciją, kuri Jums aktuali ir užsakykite.
Viešai matoma dalis DUO žinyno turinio. Daugiau turinio mato ir juo naudotis gali DUO prenumeratoriai. Norite sužinoti daugiau?
Ar geriau skirti vidinį duomenų apsaugos pareigūną, ar samdyti išorinį, priklauso nuo Jūsų įmonės, įstaigos ar organizacijos dydžio ir struktūros. Jeigu Jūsų organizacija nėra didelė, struktūra nesudėtinga, gali būti, kad nėra poreikio samdyti išorinio DAP, kai DAP užduotis atlieka visa duomenų apsaugos specialistų komanda (pvz. DPOaaS arba valdomų paslaugų atveju). Aprūpinę savo vidinį DAP DUO žinynu ir palaikymu, išspręsite kvalifikuoto duomenų apsaugos eksperto poreikio klausimą. Tačiau turėtumėte įvertinti, ar skiriant organizacijos personalo narį nekils interesų konfliktas. Jei nuspręsite samdyti išorinį duomenų apsaugos pareigūną – būtinai pasirūpinkite, kad būtų pasirašyta duomenų apsaugos pareigūno paslaugų sutartis, kurioje būtų detaliai aptartos visos paslaugų teikimo sąlygos. Plačiau skaitykite: Kaip tinkamai paskirti duomenų apsaugos pareigūną, kai tai yra reikalinga pagal BDAR, viešai skelbti detalesnę informaciją apie jį, taip pat ją pranešti priežiūros institucijai
Nesvarbu, ar Jūsų organizacija yra paskyrusi vidinį duomenų apsaugos pareigūną, ar išorinį, mes, DUO, esame pasirengę jam padėti.
Pagal BDAR 38 str. “Duomenų apsaugos pareigūno statusas” 6d. “Duomenų apsaugos pareigūnas gali vykdyti kitas užduotis ir pareigas. Duomenų valdytojas arba duomenų tvarkytojas užtikrina, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas.” 29 straipsnio duomenų apsaugos darbo grupės 2016-12-13 duomenų apsaugos pareigūnų gairėse (toliau – DAP gairės) (3.5 dalis „Interesų konfliktas“) yra pažymėta, kad: „<…> DAP negali organizacijoje eiti pareigų, pagal kurias jis turėtų nustatyti asmens duomenų tvarkymo tikslus ir priemones. <…> Paprastai tokios interesų konfliktą galinčios sukelti pareigybės organizacijoje, be kita ko, gali būti vyresniosios vadovybės pareigybės (pvz., generalinis direktorius, operacijų vadovas, vyriausiasis finansininkas, vyriausiasis gydytojas, rinkodaros padalinio vadovas, žmogiškųjų išteklių arba IT padalinio vadovas), tačiau tai gali būti ir žemesnio lygio pareigos organizacijos struktūroje, jeigu vykdant tas pareigas arba funkcijas reikia nustatyti duomenų tvarkymo tikslus ir priemones.“
Taigi, DAP negali eiti pareigų, susijusių su asmens duomenų tvarkymo tikslų ir priemonių nustatymu. Todėl duomenų valdytojo vadovas negali būti skiriamas DAP, o paskirtas DAP negali atlikti saugos įgaliotinio ar kitų funkcijų, kurios susijusios su sprendimų priėmimu dėl asmens duomenų tvarkymo tikslų, apimties ir kt. Plačiau: Kaip tinkamai paskirti duomenų apsaugos pareigūną, kai tai yra reikalinga pagal BDAR, viešai skelbti detalesnę informaciją apie jį, taip pat ją pranešti priežiūros institucijai.
DUO žinyne galite rasti ir daugiau informacijos, kuri padės Jums išvengti BDAR pažeidimų.
Taip. Aktualų vykdomų BDAR mokymų sąrašą rasite čia. DUO partneriai vykdo BDAR atitikties mokymus tiek privačiam, tiek viešajam sektoriui visose srityse, kuriose teikiamos DAP konsultacijos, žr. BDAR vaidmenys ir mokymai
BDAR mokymai skirti tiek vidiniams duomenų apsaugos pareigūnams, tiek kitam personalui. Galime pasiūlyti savo standartinę BDAR mokymų programą arba, esant poreikiui, ją pritaikyti prie Jūsų įmonės, įstaigos ar organizacijos poreikių.
Įmonės, įstaigos ir organizacijos privalo užtikrinti, kad būtų vykdomas paskirto DAP kvalifikacijos kėlimas ir švietimas. VDAI patikrinimo atveju jos turi gebėti įrodyti, kokiuose mokymuose dalyvavo DAP konkrečiu laikotarpiu arba nurodyti, kokiais kitais būdais užtikrinamas DAP kvalifikacijos kėlimas ir švietimas.
DUO – puiki priemonė ne tik užtikrinti, kad būtų vykdomi BDAR mokymai, bet ir sukurti tam tikrą vertę.
Taip. BDAR vertinimo ir audito paslaugas galite užsisakyti čia. DUO partneriai atlieka BDAR auditą tiek privačiam, tiek viešajam sektoriui visose srityse, kuriose teikiamos BDAR konsultacijos.
BDAR auditas atliekamas pagal mūsų standartinę BDAR audito programą arba, esant poreikiui, ją galime pritaikyti prie Jūsų įmonės, įstaigos ar organizacijos poreikių.
DAP privalo periodiškai atlikti atitikties BDAR reikalavimams vertinimus / auditus ir su vertinimo / audito rezultatais supažindinti duomenų valdytoją. Atitinkamai iš duomenų valdytojo reikalaujama suteikti visas galimybes šiuos vertinimus / auditus DAP atlikti. BDAR 39 straipsnio 1 dalies b punkte nustatyta, kad DAP stebi, kaip laikomasi BDAR, kitų Sąjungos arba nacionalinės duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo politikos asmens duomenų apsaugos srityje bei atlieka susijusius auditus. BDAR 39 straipsnio 2 dalyje reglamentuota, kad DAP, vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. DAP gairėse yra paaiškinta, kad „<…> duomenų apsaugos pareigūnas privalo savo veiklą suskirstyti prioritetais ir daugiausia dėmesio skirti tiems klausimams, kurie kelia didžiausią pavojų duomenų apsaugai. <…>
DUO padeda organizacijoms ir jų vidiniams duomenų apsaugos pareigūnams įgyvendinti šį reikalavimą, konsultuoja duomenų valdytojus, kokią metodiką naudoti atliekant poveikio duomenų apsaugai vertinimą, kokių sričių vidaus ar išorės duomenų apsaugos auditas (BDAR auditas) turėtų būti atliekamas, kokius vidinius mokymus organizuoti už duomenų tvarkymo veiklą atsakingiems darbuotojams ar vadovybei ir kokioms duomenų tvarkymo operacijoms skirti daugiau savo laiko ir išteklių.