Ar mums reikia duomenų apsaugos pareigūno (DAP) ? Kokios jo funkcijos?

Duomenų apsaugos pareigūnas (DAP) yra atsakingas už asmens duomenų apsaugos procesų užtikrinimą organizacijoje pagal Bendrąjį duomenų apsaugos reglamentą (BDAR). Šiame trumpame straipsnyje atsakysime į labai dažnai mums užduodama klausimą 'Ar mums reikia DAP' ir kokios jo funkcijos?

Kamgi reikalingas DAP?

1. Kontroliuoti BDAR laikymąsi. DAP padeda organizacijai:

• suprasti ir įgyvendinti duomenų apsaugos reikalavimus.
• vertinti duomenų tvarkymo rizikas.
• koreguoti procesus, kad jie atitiktų teisės aktus.

2. Konsultuoti ir šviesti darbuotojus:

• Mokyti darbuotojus apie duomenų apsaugą.
• Patarti vadovybei dėl duomenų tvarkymo politikos, sutarčių, sistemų ir pan.

3. Dalyvauti poveikio duomenų apsaugai vertinime (PDAV):

• Kai planuojamos naujos technologijos ar procesai, galintys paveikti asmens duomenų saugumą, DAP dalyvauja vertinant rizikas.
• Padeda atlikti poveikio duomenų apsaugai vertinimą, teikia savo nuomonę.

4. Veikti kaip ryšio asmuo su priežiūros institucijomis:

• DAP yra kontaktinis asmuo tarp organizacijos ir Valstybinės duomenų apsaugos inspekcijos (VDAI), taip pat tarp organizacijos (duomenų valdytojo ar duomenų tvarkytojo) ir duomenų subjektų. Jis padeda bendrauti, teikti atsakymus į užklausas ar pranešti apie duomenų saugumo pažeidimus.

5. Atsakyti į vidines ir išorines asmenų (duomenų subjektų) užklausas

DAP taip pat padeda organizacijai tvarkyti:

• prašymus dėl duomenų prieigos
• duomenų ištrynimo (teisė būti pamirštam).
• duomenų perkeliamumo.
• ar kitus asmens teisių įgyvendinimo klausimus.

Trumpai tariant DAP yra "duomenų apsaugos sargas" – jis padeda organizacijai būti atsakingai, skaidriai ir teisėtai veikiančiai, kai kalbama apie Europos sąjungos piliečių asmens duomenis ir jų tvarkymą. Tačiau ne kiekviena įmonė privalo paskirti DAP — BDAR nurodo aiškius kriterijus, kada tai yra privaloma.

Kada įmonė privalo paskirti duomenų apsaugos pareigūną?

Pagal BDAR 37 straipsnį, DAP būtinas šiais atvejais: 

1. Jei Jūs - viešojo sektoriaus institucija ar įstaiga, išskyrus teismus vykdant jų teisines funkcijas.
2. Jei Jūs - įmonė, kurios pagrindinei veiklai užtikrinti reikalingas: Didelio masto specialių kategorijų duomenų (pvz., sveikatos, rasės, religijos, politinių pažiūrų ir pan.) arba teistumo duomenų tvarkymas. Kaip pvz.: ligoninės, draudimo bendrovės ir kt.
3. Kai įmonės pagrindinė veikla apima: Reguliarų ir sistemingą stebėjimą dideliu mastu (pvz., asmenų veiksmų stebėjimas internetu, darbuotojų stebėjimas, stebėjimo kameros prekybos centruose ir pan.). Kaip pvz.:. IT įmonės, kurios siūlo stebėjimo paslaugas, rinkodaros arba internetinės platformos, kurios stebi vartotojų elgesį, bankai ir kt.

DAP gali būti paskirtas ir įmonės viduje ir pasamdytas iš išorės (kaip įmonė arba individualios veiklos pažymą turintis asmuo).

Pastaba: Net jei DAP paskyrimas nėra privalomas, įmonė gali tai padaryti savanoriškai — tai padeda užtikrinti atitiktį BDAR, stiprina klientų ir institucijų pasitikėjimą įmonės skiriamu dėmesiu ir gebėjimu tvarkyti asmens duomenis.

Valstybinės duomenų apsaugos inspekcijos komentaras:
VDAI rekomendacijos dėl duomenų apsaugos pareigūno paskyrimo, užduočių ir atsakomybės
(2025-04-16)

UAB Sabelija, BDAR specialistų komanda