Darbuotojas, atsakingas už duomenų apsaugą

Prieš dvejus metus, 2018 m. gegužės 25 d., įsigaliojęs Bendrasis duomenų apsaugos reglamentas (toliau - BDAR) atnešė ne vieną naujovę duomenų apsaugos srityje. Ir, nors šis teisės aktas niekam nebėra naujiena, dėl jo taikymo vis dar kyla nemažai klausimų. Kokia pareiga kyla įmonėms – skirti duomenų apsaugos pareigūną, ar atsakingą už duomenų apsaugą asmenį.

Apie atvejus, kuomet medicinos įstaigoms kyla pareiga skirti duomenų apsaugos pareigūną bei šio pareigūno funkcijas skaitykite šiame Trustguru blogo įraše. Tais atvejais, kai klinikoms nekyla pareiga skirti duomenų apsaugos pareigūną, klinikos turėtų paskirti atsakingą darbuotoją už duomenų apsaugą.

Žinotina, jog didžiausias skirtumas tarp duomenų apsaugos pareigūno ir darbuotojo, atsakingo už duomenų apsaugą, yra jų atliekamose funkcijose ir kvalifikacijoje. Duomenų apsaugos pareigūnas privalo puikiai išmanyti Europos bei nacionalinius teisės aktus susijusius su asmens duomenų apsauga (tarp jų, žinoma, ir BDAR). Duomenų apsaugos pareigūnas yra atsakingas už visos bendrovės (įmonės ar įstaigos) duomenų tvarkymo procesų priežiūrą. Jis turi stebėti, kaip laikomasi BDAR ir kitų asmens duomenų apsaugos aktų nuostatų reikalavimų bendrovės veikloje, teikti rekomendacijas dėl procesų keitimo, susijusių su duomenų tvarkymu ar informuoti apie bet kokias neatitiktis duomenų apsaugos reikalavimams. Be kita ko, duomenų apsaugos pareigūnas teikia įvairias konsultacijas duomenų apsaugos klausimais (tiek bendrovei, tiek darbuotojams), vykdo darbuotojų mokymus, veda duomenų tvarkymo veiklos įrašus, komunikuoja su priežiūros institucijomis bei padeda laikytis reikalavimų įgyvendinant įvairias atskaitomybės priemones, asistuoja atliekant poveikio duomenų apsaugai vertinimus ar asmens duomenų apsaugos auditus (jei jų neatlieka pats).

Visiškai kitokios funkcijos ir reikalavimai yra priskiriami darbuotojui, atsakingam už duomenų apsaugos reikalavimų įgyvendinimą. Pagrindinė tokio darbuotojo užduotis - užtikrinti, jog yra laikomasi klinikoje galiojančių vidinių duomenų apsaugos procedūrų, politikų ir taisyklių. Vis dėlto, įmonės pačios gali nustatyti šiam darbuotojui papildomų funkcijų, pavyzdžiui, vesti duomenų tvarkymo veiklos įrašus, rengti reikalingą dokumentaciją, komunikuoti su Valstybine duomenų apsaugos inspekcija bei fiziniais asmenimis ar panašiai, kadangi teisės aktuose nėra numatyti jokie ribojimai šiuo klausimu. Rekomenduotina apie atsakingo asmens paskyrimą klinikoje informuoti kitus darbuotojus, kad jie žinotų į ką kreiptis asmens duomenų apsaugos klausimais. Kitaip, nei duomenų apsaugos pareigūno atveju, iš šio darbuotojo yra reikalaujama tik bazinių žinių asmens duomenų apsaugos reguliavimo srityje. Asmuo, esantis atsakingu už duomenų apsaugą medicinos klinikoje, gali būti bet kokias kitas pareigas įmonėje užimantis darbuotojas.