Duomenų apsaugos pareigūnas: darbuotojas ar išorinis paslaugos teikėjas

Duomenų apsaugos pareigūnas (toliau - DAP), jo paskyrimas - tai vienas iš reikalavimų, kurį turi įgyvendinti kiekviena organizacija, atliekanti asmens duomenų tvarkymą. Šį reikalavimą nustatė daugiau nei prieš metus įsigaliojęs Bendrasis duomenų apsaugos reglamentas 2016/679 (toliau - BDAR). DAP gali būti tiek vidinis – kai juo paskiriamas vidinis organizacijos  darbuotojas, tiek išorinis – kai duomenų apsaugos pareigūno funkcijas atlieka organizacijos pasirinktas paslaugų teikėjas. Duomenų apsaugos pareigūnas privalo  būti paskirtas organizacijų, atitinkančių BDAR nustatytus kriterijus. Kyla klausimas, kaip pasirinkti ir kokius aspektus organizacijoms verta apsvarstyti prieš paskiriant duomenų apsaugos pareigūną, kad jis padėtų organizacijai efektyviai užtikrinti atitiktį BDAR?

Duomenų apsaugos pareigūnas: vidinis organizacijos darbuotojas

Iš pirmo žvilgsnio atrodytų gana paprasta ir patogu duomenų apsaugos pareigūnu paskirti vidinį organizacijos darbuotoją. Tokiam tarsi visada „po ranka“ esančiam DAP tikėtina bus reikalingos mažesnės laiko sąnaudos susipažinti su organizacijos atliekamais duomenų tvarkymo procesais, o ankstesnė patirtis organizacijoje atliekant kitas pareigas leis lengviau bendradarbiauti ir vykdyti projektus kartu su kitais organizacijos darbuotojais. Tačiau prieš skiriant organizacijos darbuotoją į šias pareigas reiktų įvertinti keletą aspektų:

1) savo turimus žmogiškuosius išteklius: darbuotojo kompetenciją atlikti šias pareigas (BDAR kelia reikalavimą skiriamiems DAP turėti duomenų apsaugos teisės ir praktikos ekspertinių žinių bei gebėti atlikti DAP užduotis), laiką, skiriamą DAP užduotims atlikti (t.y., ar darbuotojas galės skirti pakankamai laiko jau organizacijoje užimamoms ir DAP pareigoms vykdyti);

2) kitas darbuotojo atliekamas pareigas organizacijoje (t.y., ar jos nekelia interesų konflikto (pvz., IT skyriaus vadovas negalėtų būti skiriamas DAP);

3) organizacijos turimus technologinius išteklius (DAP funkcijoms atlikti, pvz., duomenų subjektų teisėms įgyvendinti, reikalingus funkcionalumus);

4) DAP nepriklausomumo užtikrinimo galimybes (t.y., kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl jo užduočių vykdymo);

5) turimą biudžetą, pavyzdžiui, darbo užmokesčiui, kvalifikacijos kėlimui, naujo darbuotojo samdymui ir pan.;

6) duomenų apsaugos pareigūno funkcijos tęstinumą (t.y., pavadavimą jo nebuvimo darbe laikotarpiais, pvz.: atostogų, ligos atveju organizacijai bus reikalingas jį pavaduojantis asmuo, todėl vidinio duomenų apsaugos pareigūno atveju iš esmės reikalingi du šias pareigas galintys atlikti darbuotojai, siekiant užtikrinti šių funkcijų vykdymo užtikrinimą organizacijoje);

Konkreti vidinio duomenų apsaugos pareigūno skyrimo praktika rodo, kad kai DAP yra vidinis organizacijos darbuotojas, organizacijos procesų išmanymas  „iš vidaus“ taupo laiką, tačiau eikvoja daugiau organizacijos lėšų ir pajėgumų technologiniam organizacijos pasirengimui - tinkamai ir dažniausiai brangiai programinei įrangai, jos įdiegimo paslaugoms, atnaujinimams ir galbūt nepatyrusių ar reikiamos kompetencijos neturinčių darbuotojų apmokymams.

Išorinis duomenų apsaugos pareigūnas

Paprastai išorinis duomenų apsaugos pareigūnas turi kompetencinį pranašumą, kadangi specializuojasi asmens duomenų apsaugos srityje ir turi praktinės duomenų tvarkymą reglamentuojančių teisės aktų taikymo patirties. Todėl iš jo galima tikėtis kvalifikuotos pagalbos organizacijos veikloje kylančiais klausimais. Tačiau toks duomenų apsaugos pareigūnas paprastai yra ne vienos organizacijos DAP, kaip laisvai samdomam darbuotojui įmonė neprivalo jam suteikti darbo priemonių. Todėl įmonė ne visada gali būti tikra, kad šio pareigūno tvarkomi asmens duomenys yra patikimai saugomi. Kitaip tariant, gali būti, kad laisvai samdomas išorinis DAP nėra pakankamai rūpestingas ar finansiškai pajėgus investuoti į patikimus ir efektyvius technologinius sprendimus, užtikrinančius DAP paslaugos tinkamą suteikimą. Pasiūlymuose dėl DAP paslaugų dažnai net nenurodoma kaip vyksta duomenų apsaugos pareigūno paslaugos teikimo, duomenų saugojimo ar duomenų tvarkymo procesas, ar atliekamos jų atsarginės kopijos. Todėl renkantis išorinio DAP teikiamas paslaugas svarbu, atkreipti dėmesį į šiuos aspektus:

1) duomenų apsaugos pareigūno paslaugas teikiančio paslaugų teikėjo technologinę pažangą tam, kad organizacija taupytų laiką bei kaštus, jos darbuotojams nereikėtų atlikti DAP „namų darbų“. T.y., kad duomenų apsaugos pareigūnas ne tik užtikrintų informacijos saugą, duomenų tvarkymą  pagal BDAR reikalavimus, bet ir suteiktų organizacijoms priemones, efektyviam ir veiksmingam bendradarbiavimui su organizacijos darbuotojais, klausimų uždavimui bei visos su asmens duomenų tvarkymu susijusios dokumentacijos ir kitos aktualios informacijos prieigai, saugojimui);

2) DAP paslaugų teikimo proceso organizavimą (ar išorinis DAP galės ir kaip greitai skirti Jūsų organizacijos klausimams pakankamą dėmesį, ar nebus vien formalus funkcijos vykdytojas);

3)  galimą DAP paslaugų suteikimo būdą (ar duomenų apsaugos pareigūnas savo paslaugas gali teikti tik nuotoliniu būdu, ar ir atvykdamas į įmonę);

4) DAP atliekamų funkcijų tęstinumo užtikrinimą (kaip bus užtikrinamas paslaugų teikimas paslaugų teikėjo atostogų ar ligos atveju? Ar tikrai Jūsų organizacija bus suinteresuota įtraukti į savo duomenų tvarkymo procesus kitus asmenis šiais laikotarpiais? Kam teks duomenų apsaugos pareigūno pakeičiamumo kaštai šiais laikotarpiais?);

5) DAP priemones Jūsų organizacijos tvarkomų asmens duomenų apsaugai užtikrinti. Tam, kad Jūsų pasamdytas DAP galėtų vykdyti savo pareigas supažindinsite jį su organizacijos asmens duomenų tvarkymo bei kitais susijusiais ir organizacijos vykdomais procesais, atskleisite jam organizacijos konfidencialią informaciją, todėl turite įsitikinti, kad DAP imasi tinkamų priemonių šiai informacijai apsaugoti. Praktikoje laisvai samdomas darbuotojas neretai laikomas viena silpniausių grandžių organizacijos informacijos saugai užtikrinti.

Išorinio DAP kompetencija leidžia kvalifikuotai reaguoti į organizacijai kylančius duomenų apsaugos klausimus, tačiau kyla klausimas, ar gali pakankamai užtikrinti šių paslaugų teikimo tęstinumą ir tinkamą technologinį pasirengimą. Todėl, renkantis išorinį duomenų apsaugos pareigūną, verta rinktis tokį, kuris ne tik atitinka BDAR reikalavimus, bet ir veikia komandoje bei yra technologiškai pasirengęs.

Išvados

Pirmiausia organizacijos, svarstydamos kurį duomenų apsaugos pareigūną visgi pasirinkti: vidinį ar išorinį, turėtų įvertinti aspektus, susijusius su pačia organizacija, jos tikslais, veikla ir turimais ištekliais, įvertinus vidinio ir išorinio DAP privalumus bei trūkumus. Jeigu organizacijai priimtinesnis vidinis DAP, ji turėtų būti pasiryžusi investuoti į reikiamas technologijas, darbuotojų kvalifikacijos kėlimą ar net įgijimą, galbūt derinti keletą darbuotojo funkcijų organizacijoje bei užtikrinti reikiamus procesus darbuotojo pavadavimui. Siekiant išvengti prieš tai paminėtų kaštų, galima rinktis išorinio DAP paslaugas, tačiau svarbu įsitikinti, kad toks DAP veikia komandoje, yra technologiškai pasirengęs ir gali užtikrinti savo teikiamų paslaugų tęstinumą.