Danijos duomenų apsaugos priežiūros institucijos sprendimas didina detalumo reikalavimus duomenų tvarkymo veiklos įrašams
Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) didelei daliai duomenų valdytojų numatė pareigą vesti duomenų tvarkymo veiklos įrašus. Šis dokumentas atspindi Bendrovės atliekamas duomenų tvarkymo operacijas ir yra vienas svarbiausių dokumentų atskaitomybės principo įgyvendinimui.
Vadovaujantis BDAR nuostatomis, šiame dokumente turėtų būti nurodyta:
- duomenų valdytojo tapatybė bei duomenų valdytojo atstovo ir duomenų apsaugos pareigūno (jei jis paskirtas) vardas, pavardė ir kontaktiniai duomenys;
- tikslai, kuriais duomenų valdytojas tvarko asmens duomenis;
- asmenų, kurių asmens duomenys tvarkomi, kategorijos bei tvarkomų asmens duomenų kategorijos;
- duomenų gavėjai, kuriems buvo ar bus atskleisti asmens duomenys;
- numatomi duomenų ištrynimo terminai;
- jei yra, duomenų gavėjai ne Europos ekonominės erdvės valstybėse ir tokiam asmens duomenų perdavimui taikomos apsaugos priemonės;
- techninių ir organizacinių saugumo priemonių aprašymas, kai tai įmanoma.
Pats BDAR tekstas nenumato daugiau jokių specifinių reikalavimų šio dokumento turiniui. Atsižvelgiant į tai, beveik iškart po BDAR įsigaliojimo, Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) parengė rekomendaciją dėl duomenų tvarkymo veiklos įrašų vedimo bei parengė pavyzdinę duomenų tvarkymo veiklos įrašų formą duomenų valdytojui (taip pat ir duomenų tvarkytojui, tačiau dėl jų problemų paprastai nekyla).
Nors VDAI parengta pavyzdinė duomenų tvarkymo veiklos įrašų forma nėra labai praktiška, dauguma bendrovių ir įstaigų naudojasi būtent šia forma. Tačiau šių metų rugpjūčio mėnesį, Danijos duomenų apsaugos priežiūros institucija išleido atnaujintas gaires dėl duomenų tvarkymo veikos įrašų vedimo, pateikdama atsakymus į keletą svarbių klausimų, kurie nebuvo atsakyti VDAI ir nėra pateikti BDAR tekste. Atkreiptinas dėmesys, kad vadovaujantis Danijos duomenų apsaugos priežiūros institucijos gairėmis, VDAI parengta pavyzdinė duomenų tvarkymo veiklos įrašų forma kai kuriais atvejais nebus tinkama naudojimui.
Danijos priežiūros institucija išaiškino:
- taikytinos techninės ir organizacinės saugumo priemonės asmens duomenų apsaugai užtikrinti neprivalo būti pateiktos duomenų tvarkymo veiklos įrašuose. Užtenka pateikti nuorodą į techninių ir organizacinių saugumo priemonių aprašą (ar kito pavadinimo atitinkamo turinio dokumentą), kuriame detaliai aprašytos taikomos techninės ir organizacinės saugumo priemonės;
- duomenų tvarkymo veiklos įrašai turėtų aiškiai atspindėti kokių asmenų kategorijų (pvz.: klientų, pacientų, paslaugų teikėjų, darbuotojų ir pan.) asmens duomenys yra tvarkomi, o taip pat, kokių asmens duomenų kategorijos apie šiuos asmenis yra tvarkomos (pvz.: identifikaciniai duomenys, kontaktiniai duomenys, duomenys apie kvalifikaciją ir pan.);
- aprašant duomenų gavėjų kategorijas reikalaujama didelio detalumo. Kalbant apie konkretų duomenų tvarkymo tikslą, duomenų tvarkymo veiklos įrašuose turi būti aiškiai nurodyta, kokie asmens duomenys (ar jų kategorijos), kokiems duomenų gavėjams buvo ar bus perduoti.
Būtent pastaroji dalis yra svarbi sprendžiant ar VDAI parengta rekomendacinė duomenų tvarkymo veiklos įrašų forma Jums bus tinkama. VDAI parengta pavyzdinė forma bus tinkama tik tuo atveju, jeigu visi asmens duomenys (ar jų kategorijos), kurie yra tvarkomi konkrečiu tikslu, buvo ar bus perduoti nurodytiems duomenų gavėjams. Tačiau jei dalis konkrečiu tikslu tvarkomų asmens duomenų gali būti perduodami duomenų gavėjams A, B ir C, o likusi dalis duomenų gavėjams A, D ir E, VDAI parengta pavyzdinė forma nebebus tinkama.
Pažymėtina, kad Danijos duomenų apsaugos priežiūros pozicija nėra skirta nuo VDAI pozicijos. VDAI savo rekomendacijoje dėl duomenų tvarkymo veiklos įrašų teigia, kad duomenų tvarkymo veiklos įrašuose turi būti „detaliai aprašytas atliekamas asmens duomenų tvarkymas“. Taigi, Bendrovės vesdamos savo duomenų tvarkymo veiklos įrašus turėtų įvertinti, ar jų atliekamam asmens duomenų tvarkymui yra tinkama VDAI parengta pavyzdinė forma.
Taip pat, reikėtų paminėti, kodėl Danijos duomenų apsaugos priežiūros institucijos sprendimas yra aktualus. BDAR galioja visoje Europos Sąjungoje ir Europos Ekonominės Erdvės valstybėse. Taigi, šiai dienai, įvairias rekomendacijas dėl BDAR įgyvendinimo teikia 31 valstybės nacionalinės duomenų apsaugos priežiūros institucijos. Šie išaiškinimai, siekiant vienodo BDAR taikymo, turėtų būti laikomi galiojančiais visose ES valstybėse, kadangi jie papildo esamus nacionalinius išaiškinimus. Tokios pozicijos laikosi ir Valstybinė duomenų apsaugos inspekcija.
Apibendrinant Danijos duomenų apsaugos priežiūros institucijos atnaujintas gaires dėl duomenų tvarkymo veiklos įrašų vedimo, galima daryti išvadą, kad duomenų tvarkymo veiklos įrašai turėtų būti vedami taip, kad jie itin detaliai atspindėtų bendrovės ar įstaigos veiklą su asmens duomenimis. Be kitų privalomų turinio elementų, iš šio dokumento turėtų būti aišku:
- kokių asmenų asmens duomenys yra renkami;
- kokie asmens duomenys (duomenų kategorijos) apie šiuos asmenis yra renkami;
- kokiais asmens duomenimis (duomenų kategorijomis) ir su kokiais duomenų gavėjais (ar jų kategorijomis) gali būti dalinamasi kiekvienu duomenų tvarkymo tikslu;
- kiek laiko bus saugomi asmens duomenys (jų kategorijos).