Kas ir DAS un vai jūsu organizācijai šāds speciālists ir vajadzīgs?
Kas ir DAS un ko viņš dara?
Datu aizsardzības speciālists (DAS) ir datu aizsardzības eksperts, kas sniedz padomus par datu aizsardzības prasību ievērošanu organizācijā.
DAS ir pienācīgi un savlaicīgi jāiesaista visos jautājumos, kas saistīti ar personas datu aizsardzību.
Saskaņā ar VDAR DAS uzdevumi ir vismaz šādi:
- informēt un konsultēt organizāciju un tās darbiniekus par datu aizsardzības ievērošanu;
- uzraudzīt atbilstību datu aizsardzības prasībām;
- sniegt konsultācijas par pieprasījumiem saistībā ar novērtējumu par ietekmi uz datu aizsardzību (NIDA);
- būt datu aizsardzības iestādes (DAI) kontaktpersonai un sadarboties ar minēto DAI;
- būt par kontaktpersonu iedzīvotājiem.
Datu aizsardzības speciālista klātbūtne parasti ir ieteicama gadījumos, kad tiek pieņemti lēmumi, kas ietekmē datu aizsardzību. Tiklīdz ir noticis datu aizsardzības pārkāpums vai cits starpgadījums, ir nekavējoties jāapspriežas ar DAS.
Praksē datu pārzinis vai datu apstrādātājs bieži uztic datu aizsardzības speciālistam veikt apstrādes darbību uzskaiti.
Vai manai organizācijai ir vajadzīgs DAS?
DAS iecelšana ir obligāta šādos gadījumos:
- publiskās pārvaldes iestādēm, kas veic personas datu apstrādi;
- organizācijas pamatdarbība ir personu regulāra un sistemātiska uzraudzība plašā mērogā, piemēram, ģeolokācija, izmantojot mobilo lietotni, vai tirdzniecības centru un sabiedrisko vietu uzraudzība, izmantojot videonovērošanas kameras;
- organizācijas pamatdarbība ir plaša mēroga sensitīvu datu apstrāde.
Jēdzieni “pamatdarbība”, “regulāra un sistemātiska uzraudzība” un “plašs mērogs” ir būtiski, lai noteiktu, vai organizācijai būtu jāieceļ DAS.
“Pamatdarbības” nozīmē, ka apstrādes darbības ir būtiskas, lai sasniegtu datu pārziņa vai apstrādātāja mērķus. Tās ietver arī visas darbības, kurās datu apstrāde ir pārziņa vai apstrādātāja darbības neatņemama sastāvdaļa.
“Plašs mērogs” ir atkarīgs no dažādiem faktoriem, piemēram, apstrādāto datu apjoma, attiecīgo personu skaita (vai kā konkrēts skaits, vai kā attiecīgo iedzīvotāju daļas), no apstrādes ilguma un ģeogrāfiskās darbības jomas.
“Regulāra un sistemātiska uzraudzība” ietver visu veidu izsekošanu un profilēšanu internetā, tostarp uz uzvedību balstītas reklāmas nolūkos. Tomēr monitoringa jēdziens neaprobežojas tikai ar tiešsaistes vidi.
Praksē
- Pamatdarbības
Piemēram, klīnikas galvenais mērķis ir sniegt veselības aprūpes pakalpojumus privātpersonām. Šajā gadījumā veselības datu, piemēram, pacientu veselības karšu, apstrāde būtu jāuzskata par vienu no organizācijas pamatdarbībām.
Tomēr visas organizācijas veic noteiktas papildu darbības, piemēram, maksā saviem darbiniekiem algas vai veic standarta IT darbības. Tie ir piemēri papildu funkcijām, kas nepieciešami organizācijas pamatdarbībai vai galvenajai uzņēmējdarbībai. Lai gan šīs darbības ir nepieciešamas vai būtiskas, tās parasti uzskata par palīgfunkcijām, nevis pamatdarbībām.
- Plašs mērogs
Plaša mēroga apstrādes piemēri ir:
1. pacienta datu apstrāde slimnīcas ikdienas darbā;
2. klientu datu apstrāde apdrošināšanas sabiedrību vai banku darbībā;
3. starptautiskās ātrās ēdināšanas ķēdes klientu reāllaika atrašanās vietas datu apstrāde statistikas nolūkos, ko veic apakšuzņēmējs, kurš specializējies šādu pakalpojumu sniegšanā;
4. personas datu apstrāde uz uzvedību balstītai reklāmai, ko veic meklētājprogramma;
5. datu (satura, plūsmas, atrašanās vietas) apstrāde, ko veic tālruņu un interneta pakalpojumu sniedzēji.
Apstrādes piemēri, ko neuzskata par plaša mēroga apstrādi:- pacientu datu apstrāde, ko veic viens ģimenes ārsts;
- personas datu apstrāde, kas attiecas uz notiesājošiem spriedumiem un pārkāpumiem, ko veic advokāts.
- Regulāra un sistemātiska uzraudzība
Piemēram, regulāra un sistēmiska uzraudzība attiecas uz e-pasta mērķauditorijas maiņu, uz datiem balstītām mārketinga darbībām, profilēšanu un vērtēšanu riska novērtēšanas nolūkā (piemēram, kredītvērtējuma noteikšanai, apdrošināšanas prēmiju noteikšanai, krāpšanas novēršanai, nelikumīgi iegūtu līdzekļu legalizācijas atklāšanai), atrašanās vietas izsekošanu (piemēram, ar mobilajām lietotnēm), lojalitātes programmām, uz uzvedību balstītu reklāmu, veselības, fiziskās sagatavotības un veselības datu uzraudzību, izmantojot valkājamās ierīces, videonovērošanu, savienotajām ierīcēm (piemēram, viedie skaitītāji), viedajiem automobiļiem, mājas automatizāciju utt.
Tādējādi datu apstrādātājam, kura pamatdarbība ir tīmekļa vietņu analītikas pakalpojumu sniegšana un palīdzība mērķtiecīgas reklāmas un mārketinga jomā, būs jāieceļ DAS.
Jūs varat iecelt DAS brīvprātīgi, pat ja tas nav obligāti noteikts ar likumu. Lūdzu, ņemiet vērā, ka šādā gadījumā jums ir jāievēro visi VDAR noteikumi par datu aizsardzības speciālista uzdevumiem un amatu. Tāpēc ir ieteicams izmantot DAS nosaukumu tikai tādai personai, kuras funkcijas un amats atbilst VDAR aprakstam.
Kas var būt DAS manā organizācijā?
Datu aizsardzības speciālistam savi uzdevumi un pienākumi jāspēj veikt patstāvīgi. Tas nozīmē, ka jūsu organizācija:
- nedrīkst dot norādījumus DAS par viņa pienākumu izpildi;
- nedrīkst sodīt vai atlaist DAS par savu uzdevumu izpildi.
Tomēr DAS autonomija nenozīmē, ka viņiem ir lēmumu pieņemšanas pilnvaras, kas pārsniedz viņu pienākumus. Organizācijas joprojām ir atbildīgas par datu aizsardzības tiesību aktu ievērošanu, un tām ir jāspēj to pierādīt.
DAS jāuzskata par organizācijas sadarbības partneri, un viņam ir jāpiedalās diskusijās par datu apstrādes darbībām organizācijā.
DAS ir tieši pakļauts pārziņa vai apstrādātāja augstākā līmeņa vadībai.
DAS var veikt citus uzdevumus organizācijā, bet tie nevar radīt interešu konfliktu. Tas nozīmē, ka DAS nevar noteikt personas datu apstrādes mērķus un procesus. Konfliktējošās funkcijas galvenokārt ietver vadošos amatus (izpilddirektors, finanšu direktors, personāla vadītājs, IT vadītājs, rīkotājdirektors), kā arī citas funkcijas, ja to rezultātā var noteikt apstrādes nolūkus un procesus.
Saskaņā ar VDAR ir iespējams iecelt ārēju DAS, noslēdzot līgumu par tā pakalpojumiem. Šo līgumu var noslēgt ar privātpersonu vai organizāciju. Ir būtiski, lai katrs organizācijas loceklis nebūtu interešu konfliktā un būtu aizsargāts ne tikai pret netaisnīgu līguma izbeigšanu, bet arī pret ļaunprātīgu individuāla organizācijas locekļa atlaišanu par DAS pienākumu pildīšanu.
Jūsu organizācijai būtu jāpalīdz DAS nodrošināt piekļuvi visām apstrādes darbībām un visiem personas datiem, kas apstrādāti saistībā ar šīm darbībām. Ir ļoti svarīgi, lai DAS pēc iespējas ātrāk tiktu iesaistīts visos datu aizsardzības jautājumos. DAS būtu jānodrošina arī nepieciešamie resursi viņa uzdevumu izpildei (laiks, apmācība, aprīkojums un finanšu resursi).
Praksē
Veicot savus pienākumus, DAS nedrīkst saņemt norādījumus par to, kā risināt jautājumu. Piemēram, DAS nevajadzētu dot norādījumus par to, kādam vajadzētu būt viņa ieteikuma rezultātam, vai par to, kā viņam ir jāizmeklē personas sūdzība, vai par to, vai apspriešanās ar datu aizsardzības iestādi ir piemērota vai obligāta. Turklāt DAS nav jāuzdod paust noteiktu viedokli par jautājumu, kas saistīts ar datu aizsardzības tiesībām, piemēram, par konkrētu tiesību aktu interpretāciju.
Kontrolsaraksts DAS iecelšanai
- Pārbaudiet, vai DAS ir nepieciešams! Pārbaudiet, vai jums ir jāieceļ DAS, un, ja rodas šaubas, piefiksējiet iemeslus, kāpēc jūs ieceļat vai neieceļat DAS.
- Ja ir nepieciešams DAS:
- Izlemiet, vai viņš būs jūsu organizācijas darbinieks vai ārējs DAS, ar kuru noslēgsiet pakalpojumu līgumu;
- Pārliecinieties, vai DAS ir profesionālās zināšanas datu aizsardzības jomā, kā arī, vai viņš spēj pienācīgi pildīt uzdevumus;
- Pārbaudiet, vai jūsu DAS nav citu pienākumu, kas varētu apdraudēt viņa neatkarību, pildot savus uzdevumus (interešu konflikti);
- Izstrādājiet standarta procedūras jūsu organizācijas pārvaldībā DAS iesaistīšanai.
- Ja DAS nav nepieciešams:
- Padomājiet! Pat, ja jūs neieceļat datu aizsardzības speciālistu VDAR izpratnē, jums joprojām būs jāievēro vairākas datu aizsardzības prasības. Mēs iesakām iecelt DAS vai arī personu, kurai nav DAS nosaukuma un kura, ja ne pilnībā veic DAS uzdevumus, bet tomēr uzrauga atbilstību un darbojas kā kontaktpersona cilvēkiem, kuri īsteno savas datu subjekta tiesības.