Dėl COVID-19 situacijos organizacijos pradėjo tvarkyti naujus, iki šiol netvarkytus savo darbuotojų asmens duomenis, pavyzdžiui, ar darbuotojas buvo išvykęs į „rizikos valstybę“, ar darbuotojas kontaktavo su asmeniu, išvykusiu į „rizikos valstybę“, ar sergančiu COVID-19 ir pan. Šių, kaip ir bet kurių kitų, asmens duomenų tvarkymas turi atitikti Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus, t.y., turi atitikti duomenų tvarkymo principus, turėti teisinį tokių duomenų tvarkymo pagrindą ir kt. Organizacijos, tvarkančios asmens duomenis, turi net tik laikytis šių reikalavimų, bet ir sugebėti įrodyti, kad jų laikosi (atskaitomybės principas). Tikėtina, kad, pradėjus tvarkyti naujus asmens duomenis, organizacijoms būtina papildyti savo duomenų apsaugos dokumentaciją. Kai kurie saugos specialistai siūlo papildyti tik organizacijoms asmens duomenų saugumo politiką. Tačiau organizacijoms, ypač neturinčioms duomenų apsaugos pareigūno, kyla praktiniai klausimai, ar pakanka tik šio dokumento atnaujinimo? Kokia ir kaip organizacijos atliekamo asmens duomenų tvarkymo dokumentacija COVID-19 situacijoje turėtų būti atnaujinama? 

Asmens duomenų tvarkymas COVID-19 situacijos metu

Valstybinė duomenų apsaugos inspekcija (VDAI) savo pranešimuose ir rekomendacijose atkreipia dėmesį, kad visi BDAR nustatyti reikalavimai lieka galioti ir COVID-19 situacijos metu. Tiesa, turėtų būti įvertintas papildomų duomenų tvarkymas, nulemtas šios situacijos ir dėl jos pasirinktos darbo organizavimo formos (nuotolinio darbo), laikantis duomenų kiekio mažinimo bei kitų BDAR įtvirtintų principų. Pagrindinius aspektus dėl asmens duomenų tvarkymo COVID-19 situacijos metu (pavyzdžiui, ar darbdavys turi informuoti darbuotoją jeigu dėl darbo organizavimo nuotoliniu būdu keičiasi jo asmens duomenų tvarkymo apimtis, trukmė, tikslai ar kokius aspektus darbdavys turi įvertinti pasirinkdamas duomenų saugumo priemones organizuojant darbą nuotoliniu būdu) ir pan. rasite čia.

VDAI atkreipia dėmesį, kad priemonės, kurių imamasi siekiant valdyti susidariusią nepaprastąją padėtį, ir sprendimų priėmimo procesas turėtų būti atitinkamai dokumentuojami, laikantis atskaitomybės principo. Tai suteiktų galimybę užtikrinti skaidrų asmens duomenų tvarkymą kaip to reikalauja BDAR. Atitinkamai organizacijoms reikalinga peržiūrėti atliekamo asmens duomenų tvarkymo dokumentaciją ir nustačius poreikį ją atnaujinti.

Asmens duomenų tvarkymą organizacijoje reguliuojanti dokumentacija ir jos atnaujinimas

Paprastai duomenų tvarkymą organizacijoje reguliuoja asmens duomenų tvarkymo taisyklės. Praktikoje tenka pastebėti, kad neretai šiame dokumente organizacijos nurodo ne tik bendrąsias nuostatas ir principus bei atsakomybes dėl duomenų tvarkymo procesų organizacijoje, bet ir pateikia tvarkomų asmens duomenų bei jų tvarkymo tikslų sąrašą. Toks pasirinkimas rodo, kad tikėtina, jog organizacija, prieš rengdama dokumentus neatliko tvarkomų asmens duomenų inventorizacijos, todėl bendrą, ir neretu atveju, ne visiškai organizacijos duomenų tvarkymo situaciją atitinkantį sąrašą pateikia būtent minėtame dokumente. Tokia praktika iš esmės gali apsunkinti organizacijos dokumentų valdymą, kadangi, nustačius poreikį tvarkyti naujus duomenis, reikėtų inicijuoti šio dokumento atnaujinimą ir tvirtinimą. Todėl organizacijų veiklos organizavimo dokumentų autoriai turėtų apsvarstyti, ar tikrai verta tvarkomus asmens duomenis išvardinti dokumente, kuris yra skirtas duomenų tvarkymo procesams aprašyti ir kurį, atsiradus naujiems tvarkomiems asmens duomenims, bus kiekvieną kartą reikalinga pildyti ir iš naujo tvirtinti.

Tiesa, pasitaiko atvejų, kai tvarkomi asmens duomenys yra nurodomi ir jų saugumo priemones turinčiame detalizuoti dokumente – asmens duomenų apsaugos politikoje. Asmens duomenų apsaugos politiką, dėl COVID-19 situacijos, rekomenduojama peržiūrėti papildomų priemonių šiai situacijai valdyti pasirinkimo ir dokumentavimo kontekste ir atitinkamai ją papildyti. Tos organizacijos, kurios asmens duomenų saugumo politikoje yra nurodžiusios ir savo tvarkomus asmens duomenis, taip pat reikalinga apsvarstyti, ar tikrai verta kartoti tvarkomų asmens duomenų sąrašą ir šiame dokumente, taip tik apsisunkinant organizacijos vidaus dokumentacijos atnaujinimą, keičiantis tvarkomų asmens duomenų apimčiai.

Nepriklausomai nuo to - asmens duomenų tvarkymo taisyklėse ar kitame dokumente organizacija yra nurodžiusi kokius duomenis ji tvarko, tvarkomiems asmens duomenims ir jų tvarkymo tikslams bei kitiems susijusiems aspektams fiksuoti kiekviena, reguliariai duomenų tvarkymą atliekanti, organizacija turi pildyti duomenų tvarkymo veiklos įrašus (BDAR 30 str.). Duomenų tvarkymo veiklos įrašai turėtų atsispindėti ir visus su duomenų tvarkymu susijusius pokyčius. Efektyviai sekti ir planuoti šiuos pokyčius gali padėti tvarkomų asmens duomenų inventorizacija. Tvarkomų asmens duomenų inventorizacija po pirmojo jos atlikimo turi būti atliekama periodiškai bent kartą per metus, kad būtų galima peržiūrėti, ar dėl pasikeitusių verslo procesų neatsirado naujai tvarkomų asmens duomenų, o jeigu keičiasi teisės aktų reikalavimai ir dažniau. Tvarkomų asmens duomenų inventorizacijos atlikimas leidžia organizacijoms tinkamai užpildyti ir atnaujinti užpildytus duomenų tvarkymo veiklos įrašus.

Išvados

BDAR dokumentacijos atnaujinimas dėl COVID-19 situacijos priklausys nuo to kaip organizacija rengė BDAR atitikties dokumentaciją ar atliko tvarkomų asmens duomenų inventorizaciją. Jeigu organizacija atliko tvarkomų asmens duomenų inventorizaciją, gali pakakti atnaujinti tvarkomų asmens duomenų registrus. Jeigu tvarkomus asmens duomenis organizacija yra išvardinusi duomenų tvarkymą reguliuojančiuose dokumentuose (asmens duomenų tvarkymo taisyklėse, asmens duomenų apsaugos politikoje ar kt.), teks papildomai atnaujinti ir juos. Bet kuriuo atveju verta pasikonsultuoti su duomenų apsaugos specialistu arba duomenų apsaugos pareigūnu.