Vertikalus


Naujienų prenumerata


 
Konsultacijos
(pirmadienį– ketvirtadienį)
9.00–11.00 val.
13.00–15.00 val.
tel. (8 5) 212 7532
 
Priimamasis
tel. (8 5) 271 2804
 
ŽINIASKLAIDAI
tel. (8 5) 262 6516

 
 
 
 
 


Pradžia

Dėl pareigos paskirti duomenų apsaugos pareigūną (2017 m.)

Atsisiųsti viešąją konsultaciją

Valstybinė duomenų apsaugos inspekcija teikdama konsultacijas pastebi, kad vienas iš dažniausių klausimų, kylančių duomenų valdytojams ir duomenų tvarkytojams, besirengiantiems 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) taikymui, ar jie turi pareigą paskirti duomenų apsaugos pareigūną. Atsižvelgdami į tai, teikiame konsultaciją dėl Reglamento (ES) 2016/679 37 straipsnio 1 dalies c ir b punktų taikymo. Pažymėtina, kad viešoji konsultacija yra skirta ūkio subjektams, todėl Reglamento (ES) 2016/679 37 straipsnio 1 dalies a punkte nustatytas atvejis, įpareigojantis valdžios instituciją arba įstaigą paskirti duomenų apsaugos pareigūną, atskirai neaptariamas.

Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 1 dalies b punktu, duomenų valdytojas ir duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną, kai duomenų valdytojo ir duomenų tvarkytojo veikla atitinka visus šiuos kriterijus:

  • Pagrindinė veikla – asmens duomenų tvarkymas;
  • Reguliarus ir sistemingas duomenų subjektų stebėjimas;
  • Duomenų subjektų stebėjimas vykdomas dideliu mastu.


Pagrindinė veikla

Reglamento (ES) 2016/679 preambulės 97 punkte numatyta, kad privačiame sektoriuje pagrindinę duomenų valdytojo veiklą sudaro duomenų tvarkymo operacijos, kai šios yra susijusios su jo svarbiausia veikla ir nesusijusios su duomenų valdytojo papildoma veikla. Pastebėtina, kad vertinant, ar duomenų valdytojas ar duomenų tvarkytojas atitinka šį kriterijų, turėtų būti atsižvelgiama, ar įmanoma pasiekti duomenų valdytojo ar duomenų tvarkytojo pagrindinių veiklos tikslų netvarkant asmens duomenų.


Reguliarus ir sistemingas duomenų subjektų stebėjimas

Reglamento (ES) 2016/679 preambulės 24 punkte numatyta, kad, siekiant nustatyti, ar duomenų tvarkymo veikla gali būti laikoma duomenų subjektų elgesio stebėsena, reikėtų įsitikinti, ar fiziniai asmenys internete atsekami, be kita ko, vėliau galbūt taikant asmens duomenų tvarkymo metodus, kuriais fiziniam asmeniui suteikiamas profilis, ypač siekiant priimti su juo susijusius sprendimus arba išnagrinėti ar prognozuoti jo asmeninius pomėgius, elgesį, pažiūras. Stebėsena internete yra tik vienas iš duomenų subjektų stebėjimo pavyzdžių. Stebėjimas jokiu būdu neturi būti siejamas tik su duomenų subjektų stebėsena tiesiogiai (angl. on-line).

Stebėjimas turi būti reguliarus ir sistemingas, tai reiškia, kad jis atliekamas tam tikrais intervalais, nuolat tebevykstantis, pasikartojantis tam tikrai periodais, yra organizuotas, planuotas, metodiškas, atliekamas pagal tam tikrą sistemą.


Didelis mastas

Reglamentas (ES) 2016/679 nepateikia sąvokos „didelis mastas“ apibrėžimo, tačiau aiškinant šią sąvoką turi būti atsižvelgiama į Reglamento (ES) 2016/679 preambulės 91 punktą, pagal kurią didelio masto operacijos yra tos, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų ir kurios gali kelti didelį pavojų. Minėtame Reglamento (ES) 2016/679 punkte taip pat pažymima, kad asmens duomenų tvarkymas neturėtų būti laikomas didelio masto duomenų tvarkymu, jei tai yra atskirų gydytojų, kitų sveikatos priežiūros specialistų pacientų arba teisininko klientų asmens duomenų tvarkymas.

Apibendrinant, kriterijais, pagal kuriuos turėtų būti vertinamas asmens duomenų tvarkymo mastas, galėtų būti duomenų subjektų skaičius (vertinant pagal potencialų duomenų subjektų skaičių), asmens duomenų kiekis ar apimtis, duomenų tvarkymo trukmė ar pastovumas, asmens duomenų tvarkymo geografinis mastas.

1 pavyzdys

Sveikatos priežiūros įstaigos pagrindinė veikla – teikti sveikatos priežiūros paslaugas viso miesto ar rajono gyventojams. Sveikatos priežiūros įstaiga, siekdama tinkamai teikti šias paslaugas, pagal teisės aktus privalo tvarkyti tam tikrus pacientų asmens duomenis. Atsižvelgiant į tai, asmens duomenų tvarkymas būtų laikomas pagrindine sveikatos priežiūros įstaigos veikla. Vertinant tai, kad sveikatos paslaugos teikiamos viso miesto ar rajono mastu, manytina, kad asmens duomenų tvarkymas vykdomas dideliu mastu. Pažymėtina, kad kiekvieno paciento atžvilgiu pagal teisės aktus yra pildoma asmens sveikatos istorija, o tai vertintina kaip reguliarus ir sistemingas asmens stebėjimas. Taigi aptariamu atveju, sveikatos priežiūros įstaiga turi paskirti duomenų apsaugos pareigūną.

 

2 pavyzdys

Parduotuvė vykdo vaizdo stebėjimą turto apsaugos tikslu. Šiuo atveju vaizdo duomenų tvarkymas nėra būtinas, siekiant vykdyti prekybą, todėl toks duomenų tvarkymas nėra pagrindinė parduotuvės veikla ir ji pareigos paskirti duomenų apsaugos pareigūną neturi, nepaisant to, kad tam tikrais atvejais vaizdo stebėjimas gali būti didelio masto ir turi reguliaraus ir sistemingo stebėjimo požymius.

 

 

3 pavyzdys

Asmuo, užsiimantis individualia veikla, internete prekiauja savo užauginta produkcija viename mieste ir naudojasi informacinių technologijų paslaugas teikiančios įmonės paslaugomis, kuri prižiūri šio asmens internetinį tinklalapį bei teikia tikslinės reklamos ir tiesioginės rinkodaros paslaugas individualia veikla užsiimančio asmens klientams. Tokio asmens, užsiimančio individualia veikla, atliekamas asmens duomenų tvarkymas nebus laikomas didelio masto, tačiau informacinių technologijų paslaugas teikiančios įmonės, kaip duomenų tvarkytojo, kuris turi daug tokio pobūdžio klientų, veikla, atsižvelgiant į aptarnaujamų klientų ir jų duomenų subjektų skaičių, gali būti laikoma didelio masto ir tokia įmonė turės pareigą paskirti duomenų apsaugos pareigūną.

 

Vadovaujantis Reglamento (ES) 2016/679 37 straipsnio 1 dalies c punktu, duomenų valdytojas arba duomenų tvarkytojas, turi pareigą paskirti duomenų apsaugos pareigūną, kuris atitinka visus šiuos kriterijus:

  • Pagrindinė veikla – specialių kategorijų duomenų tvarkymas pagal Reglamento 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas;
  • Duomenų tvarkymas atliekamas dideliu mastu.

Pastebėtina, kad didelė dalis asmens duomenų kategorijų, kurie pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą apibrėžiami kaip ypatingi asmens duomenys, Reglamente (ES) 2016/679 įvardijami specialių kategorijų asmens duomenimis. Specialių kategorijų asmens duomenimis pagal Reglamento (ES) 2016/679 9 straipsnio 1 dalį laikomi duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, ar narystę profesinėse sąjungose, genetiniai, biometriniai duomenys, sveikatos duomenys, duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. Taigi duomenų valdytojai ar duomenų tvarkytojai, tvarkantys tokių kategorijų asmens duomenis dideliu mastu, turi pareigą paskirti duomenų apsaugos pareigūną.

Atkreiptinas dėmesys, kad Reglamento (ES) 2016/679 37 straipsnio 1 dalies c punkte vartojamas jungtukas „ir“ turėtų būti suprantamas kaip jungtukas „arba“, t. y., jeigu asmens duomenys tvarkomi dideliu mastu, remiantis Reglamento (ES) 2016/679 9 arba 10 straipsniu, duomenų valdytojas arba duomenų tvarkytojas turi pareigą paskirti duomenų apsaugos pareigūną.

Pažymėtina, kad duomenų valdytojas arba duomenų tvarkytojas, paskyręs duomenų apsaugos pareigūną pagal Reglamento (ES) 2016/679 37 straipsnio 7 dalį, privalo apie tai pranešti Valstybinei duomenų apsaugos inspekcijai. Ši pareiga bus pradėta taikyti nuo 2018 m. gegužės 25 d.

Pastebėtina, kad Reglamento (ES) 2016/679 68 straipsnio 1 dalimi įsteigiama Europos duomenų apsaugos valdyba (šiuo metu Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupė), kurios uždavinys – užtikrinti, kad šis reglamentas būtų taikomas nuosekliai. Įgyvendinant šį uždavinį Europos duomenų apsaugos valdybai Reglamente (ES) 2016/679 suteikti įgaliojimai teikti gaires, rekomendacijas ir geriausios praktikos pavyzdžius tam tikrais klausimais (Reglamento (ES) 2016/679 70 straipsnis). Atsižvelgdami į tai, siūlome remtis Europos Parlamento ir Tarybos direktyvos 95/46/EB 29 straipsnio darbo grupės 2016 m. gruodžio 13 d. parengtomis ir 2017 m. balandžio 5 d. atnaujintomis gairėmis dėl duomenų apsaugos pareigūnų WP 243, kurias galite rasti šiuo adresu:

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf.




Paskutinis atnaujinimas: 2018-07-10 11:22:01