Duomenų tvarkytojai ir jų pasirinkimas

Kas jie?

Be abejonės tinkamam paslaugų vykdymui, duomenų valdytojui tenka pasitelkti įvairių sričių paslaugų teikėjus – duomenų tvarkytojus. Tačiau, vertinant šį klausimą duomenų apsaugos apimtyje, itin dažnai kyla neaiškumų: kas laikytini duomenų tvarkytojais? Ar darbuotojai yra duomenų tvarkytojai? Kokie reikalavimai gali būti keliami ir kaip pasirinkti?

Pirmiausia vertintina sąvoka:

  • Duomenų tvarkytojas – fizinis ar juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis. Tai reiškia, jog tai bet kuris išorinis partneris, kuris teikdamas Jums paslaugas turi galimybę prieiti prie įstaigos tvarkomų asmens duomenų.

Pavyzdžiui: IT įmonė, buhalterija, serverių nuoma ar kt.

Darbuotojai = duomenų tvarkytojai?

Labai dažna klaida, laikyti darbuotojus duomenų tvarkytojais.

Kadangi duomenų valdytojas yra pati bendrovė, o ne atskiras asmuo, visi bendrovėje dirbantys darbuotojai, ar paprastas personalas, ar administracija yra priskirtini prie duomenų valdytojo grupės, nes yra įmonės darbuotojai.

Kaip pasirinkti?

BDAR numato, kad turi būti pasirenkamas toks duomenų tvarkytojas, kuris garantuotų reikiamas organizacines ir technines duomenų apsaugos priemonės ir užtikrintų, kad tokių priemonių būtų laikomasi. Pasirenkant duomenų tvarkytoją siūlytina atsižvelgti į tai, ar duomenų tvarkytojas turi tinkamos patirties, ar turi technines galimybes įgyvendinti nurodomas jam saugumo priemones ir pan.

Ko galima reikalauti?

Svarbiausia pažymėti, kad duomenų tvarkytojas asmens duomenis privalo tvarkyti pagal duomenų valdytojo nurodymus. Todėl duomenų valdytojas, būdamas atsakingas už tai, kaip atliekamas duomenų tvarkymas ir kas jį atlieka, gali reikalauti duomenų tvarkytojo:

  • Užtikrinti, kad duomenis tvarkyti įgalioti asmenys (darbuotojai) būtų įsipareigoję užtikrinti konfidencialumą;
  • Imtis saugumo priemonių;
  • Baigus teikti paslaugas ištrinti arba grąžinti asmens duomenis bei ištrinti kopijas (išskyrus atvejus, kai reikalaujama saugoti duomenis teisės aktų pagrindu);
  • Pateikti reikiamą informaciją, įrodant, kad atitinka nustatytus jam duomenų apsaugos reikalavimus;
  • Gauti leidimą, norint pasitelkti kitą duomenų tvarkytoją.

Parengta remiantis Bendruoju duomenų apsaugos reglamentu ir Valstybinės duomenų apsaugos inspekcijos rekomendacijomis.