Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė informaciją apie 2022 m. suplanuotus planinius patikrinimus ir stebėseną 53 organizacijose. Kaip nurodoma pranešime, atlikdama planinius patikrinimus ir stebėseną VDAI stengiasi susipažinti su realia asmens duomenų tvarkymo veikla, nustatyti kylančias rizikas ir padėti organizacijoms pasitaisyti. Planiniai patikrinimai aktualūs ne tik tikrinamoms organizacijoms, atliktų tikrinimų rezultatų vertinimas ir rastų pažeidimų taisymas aktualus visiems, tvarkantiems asmens duomenis.
Kaip praneša VDAI, pagrindinės patikrinimų metu tiriamos sritys šiais metais bus:
- Reikalavimų, susijusių su duomenų apsaugos pareigūno (DAP) veikla, įgyvendinimas. Tinkamam reikalavimų keliamų DAP pareigybei įgyvendinimui, atkreipkite dėmesį į šių reikalavimų atitiktį:
– DAP paskyrimas. Duomenų apsaugos pareigūnas privalomas visoms įmonėms ar organizacijoms, kurių pagrindinė veikla yra dideliu mastu sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis, pvz., finansų įstaigos, sveikatos priežiūros įstaigos;
– tinkamas informavimas apie paskirtą DAP. Apie paskirtą duomenų apsaugos pareigūną turi būti informuota VDAI, kontaktiniai duomenys paskelbti duomenų subjektams, pvz., organizacijos internetinėje svetainėje;
– tinkamų sąlygų ir autonomijos užtikrinimas. Duomenų apsaugos pareigūnui turi būti suteiktos visos sąlygos veiksmingai atlikti savo užduotis. Šiuo aspektu svarbu pabrėžti, kad DAP negali gauti jokių nurodymų dėl savo užduočių vykdymo;
– profesinių savybių atitikimas. DAP turi būti paskirtas remiantis profesinėmis savybėmis, ypač ekspertinėmis žiniomis apie duomenų apsaugos teisę ir praktiką. Pavyzdžiui, Prancūzijos duomenų apsaugos inspekcija pataria, kad norint atitikti profesines savybes, asmuo turi turėti ne mažesnę kaip 3 metų patirtį dirbant su duomenų apsauga.
- Reikalavimų, susijusių su slapukų naudojimu, įgyvendinimas. Šiuo aspektu, stebėseną VDAI atliks rašytinės apklausos būdu, prireikus bus pasitelktas kontrolinis klausimynas. Tinkamam naudojamų slapukų BDAR reikalavimų įgyvendinimui rekomenduojame peržiūrėti:
– ar yra pateikta informacija apie naudojamus slapukus. Naudojant slapukus, apie tai turi būti informuoti duomenų subjektai. Tokia informacija pateikiama privatumo ar slapukų politikoje;
– ar tekstas aiškus. Privatumo ar slapukų politikoje, slapukų pranešime apie naudojamus slapukus turi būti vengiama techninių ar teisinių terminų, informacija turi būti pateikiama aiškia ir lengvai suprantama kalba;
– ar yra tinkamas sutikimo gavimas. Visi slapukai, išskyrus būtinuosius (privalomus) slapukus, reikalauja tinkamo duomenų subjekto sutikimo. Duomenų rinkimas turi būti blokuojamas iki kol gaunamas duomenų subjekto sutikimas. Sutikimas turi būti užregistruotas tik atliekant aiškų ar teigiamą veiksmą, pvz., spustelėjus patvirtinimo mygtuką.
– sutikimo atšaukimą. Duomenų subjektui turi būti suteikiama galimybė atsisakyti svetainėje naudojamų slapukų. Duomenų valdytojas turi užtikrinti, kad galimybė atsisakyti slapukų vartotojui yra tokia patogi, kaip su jais sutinkant, pvz., tame pačiame pranešime, nepereinant į kitą svetainės langą.
Pranešime VDAI pabrėžia ir bendradarbiavimo svarbą. Vykdant patikrinimus baudos taikomos retai, tačiau nebendradarbiavimo su priežiūros institucija atvejai vertinami griežtai.
Atsižvelgiant į šiuos VDAI paskelbtus 2022 m. planus, akivaizdu, kad aukščiau nurodytos sritys tampa vis labiau aktualios ir svarbios, todėl atitinkamos sritys turi būti užtikrintos net tik tose įmonėse ar organizacijose, kurias tikrins VDAI, tačiau ir visose kitose įmonės ar organizacijose, kurios turi DAP ir savo veikloje naudoja slapukus. Plačiau apie tinkamą duomenų apsaugos pareigūno pareigybei keliamų reikalavimų įgyvendinimą skaitykite mūsų straipsniuose čia ir čia (straipsniai prieinami tik anglų kalba), o apie tinkamą reikalavimų įgyvendinimą dėl slapukų naudojimo skaitykite čia (straipsnis prieinamas tik anglų kalba).
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, kviečiame konsultuotis su ECOVIS ProventusLaw duomenų apsaugos ekspertais.
Parengė ECOVIS ProventusLaw sertifikuota duomenų apsaugos ekspertė Milda Šlekytė ir jaunesnioji teisininkė Julija Ginotytė.