#dviskaidro Jaunumi Ziņas
Pētījumi

Datu aizsardzības speciālists ir persona ar speciālām zināšanām datu aizsardzības tiesību un praktiskas datu aizsardzības piemērošanā. Līdzīgi kā darba drošības speciālists, kam ir speciālas zināšanas darba aizsardzības sistēmas organizācijā un nepieciešamo prasību nodrošināšanā attiecībā uz darba drošību, tā datu aizsardzības speciālists ir eksperts ar speciālām zināšanām savā atbildības jomā.

Lai skaidrotu datu aizsardzības speciālista lomu, statusu, nepieciešamību norīkot datu aizsardzības speciālistu organizācijā un iespējamo interešu konflikta novēršanu, esam sagatavojuši otro rakstu iniciatīvas #DVIskaidro ietvaros gan datu aizsardzības speciālistiem, gan organizācijām.

Lūgums pēc skaidrojuma, ar kuru pie Datu valsts inspekcijas nereti vēršas gan datu aizsardzības speciālisti, gan pati organizācija, tieši par datu aizsardzības speciālista iesaisti iekšējo dokumentu sagatavošanā, pārskatīšanā un tā darba uzdevumiem. Šajā skaidrojumā pievērsīsimies tieši šiem jautājumiem.


Datu aizsardzības speciālista funkcijas

Šauri skatoties, datu aizsardzības speciālista norīkošana nepieciešama, lai nodrošinātu atbilstību Datu regulas [1]  prasībām. Ja organizācijai, atbilstoši Datu regulai ir pienākums norīkot datu aizsardzības speciālistu, bet tas nav izdarīts, tad tas ir uzskatāms par Datu regulas pārkāpumu.

Skatoties plašāk, datu aizsardzības speciālista primārā funkcija ir būt organizācijas vadošajam konsultantam personas datu aizsardzības jautājumos. Šī virsmērķa sasniegšanai tā uzdevumus varētu sakārtot atbilstoši šādām pamatfunkcijām:

  • Pārbaudīt un uzraudzīt, vai organizācijas darbība atbilst Datu regulā noteiktajam

Organizācijai jāņem vērā, ka līdzīgi kā auditors – datu aizsardzības speciālists organizācijai sniegs savu neatkarīgu novērtējumu par esošo vai plānoto datu apstrādi organizācijā.

Šī mērķa sasniegšanai datu aizsardzības speciālistam jo īpaši jāseko līdz organizācijas plānotajām un jau īstenotajām personas datu apstrādes darbībām, jāpārbauda un jāanalizē šo darbību atbilstība Datu regulas prasībām.

Par konstatēto datu aizsardzības speciālistam jāinformē organizācijas vadība, kā arī, nepieciešamības gadījumā, jāizsaka savi ieteikumi un rekomendācijas kā pilnveidot personas datu apstrādi un aizsardzību organizācijā.

Gala lēmums par veicamajām darbībām ir organizācijas vadības ziņā, tomēr datu aizsardzības speciālista atzinumam būtu jābūt būtiskam, vērā ņemamam apstāklim lēmuma par plānotu personas datu apstrādes procesu pieņemšanā.

Datu aizsardzības speciālista iesaiste datu apstrādes procesu izvērtēšanā

Datu regulai atbilstoši būs, ja datu aizsardzības speciālistam būs uzdots regulāri iesaistīties organizācijas darbā, sniedzot atzinumus par visiem esošajiem un jaunajiem procesiem, kuru ietvaros būs paredzēts veikt personas datu apstrādi. Neatbilstošs risinājums būs ierobežot datu aizsardzības speciālista iesaisti tikai uz kāda procesa posma atbilstības novērtējumu vai arī liegt tiesības datu aizsardzības speciālistam pārbaudīt noteiktus organizācijas darbības aspektus.

  • Līdzdarbojas novērtējuma par ietekmi uz datu aizsardzību (NIDA) veikšanā

Nozīmīgs personas datu apstrādes atbilstības pašnovērtējuma rīks, kas ieviests ar Datu regulu, ir novērtējums par ietekmi uz datu aizsardzību. Praksē bieži saskaramies ar situāciju, kad novērtējumu par ietekmi uz datu aizsardzību organizācija uzdod veikt tieši datu aizsardzības speciālistam. Šāda prakse nav Datu regulai atbilstoša un rada būtisku interešu konflikta risku – datu aizsardzības speciālistam vērtējot savu darbu.

Datu aizsardzības speciālists, attiecībā uz novērtējumu par ietekmi uz datu aizsardzību, var tikai ieteikt, kuros gadījumos novērtējums veicams, kā arī kādu novērtējuma veikšanas metodoloģiju izmantot, piemēram, novērtējumu var veikt organizācijas eksperti vai arī piesaistīts ārpakalpojums.

Pēc ietekmes novērtējuma sagatavošanas datu aizsardzības speciālistam ir jānovērtē, vai tas ir veikts atbilstoši un vai novērtējumā ietvertie secinājumi ir Datu regulai atbilstoši. Tāpat ieteikt pasākumus, kuri organizācijai jāievieš, lai mazinātu novērtējumā identificētos riskus personas tiesībām un brīvībām.

Datu aizsardzības speciālists pārbauda, nevis veic novērtējumu par ietekmi uz datu aizsardzību

Datu regulai un datu aizsardzības speciālista funkcijām būs neatbilstoši, ja novērtējumu par datu aizsardzību izstrādās pats datu aizsardzības speciālists, ar organizācijas norīkoto datu aizsardzības speciālistu saistīts uzņēmums, vai datu aizsardzības speciālista institucionālais vadītājs. Tas liegs datu aizsardzības speciālistam sniegt neatkarīgu un brīvu viedokli par izstrādāto novērtējumu.

Organizācijai ir pienākums nodrošināt, ka datu aizsardzības speciālists veic neatkarīgu kvalitātes kontroli attiecībā uz citu piesaistīto ekspertu izstrādāto novērtējumu par ietekmi uz datu aizsardzību.

  • Nodrošina saziņu un sadarbību ar uzraudzības iestādi

Gadījumos, kad organizācijai ir nepieciešama saziņa ar uzraudzības iestādi (Datu valsts inspekciju vai citas valsts uzraudzības iestādi) attiecībā uz dokumentu iesniegšanu iestādei, atbilžu sniegšana uz informācijas pieprasījumiem vai vienkāršu konsultēšanos ar iestādi, saziņas procesā ir jāiesaista datu aizsardzības speciālists. Tas nodrošinās iespējamu pārpratumu komunikācijā novēršanu.

Datu aizsardzības speciālists sagatavo atbildes uz informācijas pieprasījumiem

Saņemot informācijas pieprasījumu no Datu valsts inspekcijas, par labo praksi būtu uzskatāms, ka atbildes izstrādē tiek piesaistīts arī datu aizsardzības speciālists.

Datu aizsardzības speciālista uzdevumi

Datu aizsardzības speciālista galvenie uzdevumi ir saistīti ar organizācijas darbības atbilstības Datu regulai kontroli. Šī nolūka sasniegšanai organizācija datu aizsardzības speciālistam varētu uzticēt pienākumus, kas līdzinās iekšējā auditora pienākumiem, tikai šauri specializētā – personas datu aizsardzības – jomā. Tālāk aprakstīsim izplatītākos, ar datu aizsardzības speciālista pienākumiem saistītos, uzdevumus:

  • Dokumentu izstrāde

Datu aizsardzības speciālistam ir jāvērtē citu struktūru sagatavoto dokumentu un procedūru atbilstība Datu regulai. Datu aizsardzības speciālists var sagatavot tikai tos dokumentus, kas pēc būtības neradīs interešu konfliktu viņa darbā.

Datu aizsardzības speciālistam var uzdot izstrādāt metodikas darbību veikšanai, lai veiktu personas datu apstrādes atbilstības pašnovērtējumu. Vienlaikus pašnovērtējuma rezultātus datu aizsardzības speciālistam jebkurā gadījumā jāspēj novērtēt neatkarīgi.

Organizācijas iekšējos noteikumus personas datu apstrādei personāla atlases laikā, konsultējoties ar datu aizsardzības speciālistu, izstrādā, piemēram, organizācijas juridiskās un/vai personāla atlases nodaļas. Datu aizsardzības speciālists sniedz gala novērtējumu par izstrādātā dokumenta atbilstību Datu regulai.
  • Atbilžu gatavošana uz datu subjekta pieprasījumiem

Lai arī organizācijas praksē bieži visu saziņu par personas datu aizsardzības jautājumiem uzdod datu aizsardzības speciālistam – šis nav pareizs risinājums.

Datu aizsardzības speciālistam ir jāizskata no fiziskām personām saņemtās sūdzības par personas datu apstrādes procesiem organizācijā, tai skaitā sniegt izvērstas atbildes par konkrētu personas datu apstrāžu elementiem.

Informāciju par organizācijas apstrādātiem personas datiem visdrīzākais sniegs organizācijas lietvedība sadarbībā ar datu aizsardzības speciālistu, kurš savukārt varētu sniegt lietvedībai atbalstu norādot kuru organizācijas personas datu apstrādes procesu ietvaros konkrētās personas dati varēja tikt apstrādāti.

Datu regula nosaka, ka fiziskās personas, kuru dati tiek apstrādāti, var vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar viņu personas datu apstrādi un Datu regulā paredzēto tiesību īstenošanu [2], tomēr tas nenozīmē, ka datu aizsardzības speciālistam atbildes uz šiem pieprasījumiem jāgatavo vienpersoniski.

Datu aizsardzības speciālistam ir jāizmeklē visas saņemtās fizisku personu sūdzības par to tiesību nodrošināšanu organizācijā un, ja tiek atklāti pārkāpumi, tad jāievieš pasākumi, kas nākotnē nodrošinās, lai organizācija ievērotu Datu regulā noteiktās prasības.

Atbilstoši

Datu aizsardzības speciālistam pēc saņemta datu subjekta informācijas pieprasījuma ir jāveic izmeklēšana ne tikai par to, kā organizācija nodrošina nepieciešamās informācijas izsniegšanu, bet arī iespējamo incidentu (ja informācijas pieprasījums saņemts notikuša incidenta kontekstā), noskaidrojot incidenta cēloņus un rodot risinājumus to novēršanai.

Neatbilstoši

Datu aizsardzības speciālists uz saņemtiem informācijas pieprasījumiem gatavotu formālas atbildes tikai Datu regulas prasību izpildes nodrošināšanai, pēc būtības neiedziļinoties ar datu apstrādi saistītajos lēmuma pieņemšanas procesos un informācijas pieprasījuma būtībā.

  • Konsultēšana

Viens no galvenajiem datu aizsardzības speciālista uzdevumiem ir organizācijas vadības konsultēšana par personas datu aizsardzības jautājumiem.

Lai datu aizsardzības speciālists varētu konsultēt organizācijas vadību, tam jāpiedalās ar personas datu aizsardzību un apstrādi saistītās augstākās un vidējās vadības sanāksmēs. Datu aizsardzības speciālistam jābūt klātesošam, kad tiek pieņemti lēmumi, kas ietekmēs personas datu apstrādi un aizsardzību organizācijā.

Informācija par plānotajām vai esošajām personas datu apstrādēm datu aizsardzības speciālistam ir sniedzama laicīgi, ļaujot pilnvērtīgi iepazīties ar tās būtību. Organizācijas vadībai datu aizsardzības speciālists ir jānodrošina ar pietiekošiem resursiem (personāla, materiāliem un laika), lai tas spētu efektīvi pildīt uzticētos uzdevumus.

Jāņem vērā, ka datu aizsardzības speciālists strādā visas organizācijas kopējās atbilstības Datu regulai vārdā. Piesaistītā datu aizsardzības speciālista darba kvalitāte nodrošinās organizācijas atbilstību Datu regulai.

Rekomendējam organizācijas vadībai vienmēr uzklausīt un izvērtēt datu aizsardzības speciālista viedokli par esošo vai plānoto datu apstrādi. Ja organizācija izlemj datu aizsardzības speciālista viedokli neņemt vērā, tad par labo praksi uzskatāms šāda lēmuma iemeslu dokumentēt, piemēram, sastādīt aktu par faktiskajiem apstākļiem lēmuma pieņemšanā. Tas nozīmē, ka, lai arī datu aizsardzības speciālista viedokli organizācijai nav jāuzskata par obligāti saistošu, tas vienmēr ir jāizvērtē un jāņem vērā lēmumu pieņemšanas procesā.

Organizācijai, ja noticis personas datu aizsardzības pārkāpums vai cits drošības incidents, bez nepamatotas kavēšanās ir jākonsultējas ar datu aizsardzības speciālistu. Tai skaitā, lai izvērtētu iespējamos riskus datu subjekta tiesībām un brīvībām, vai par notikušo incidentu ir jāziņo uzraudzības iestādei vai pašam datu subjektam, tāpat datu aizsardzības speciālists varētu konsultēt attiecībā uz primārajiem incidenta izmeklēšanas virzieniem.

  • Apstrādes darbības reģistra uzturēšana

Datu regula nosaka pienākumu atsevišķos gadījumos organizācijām uzturēt apstrādes darbību reģistru [3]. Praksē, lai vienkāršotu organizācijas īstenoto personas datu apstrādes darbību uzraudzību, datu aizsardzības speciālists ieviesīs līdzīgu reģistru paša ērtībai. Līdz ar to organizācija var apsvērt arī šāda uzdevuma noteikšanu datu aizsardzības speciālista amata aprakstā kā vienu no tiešajiem veicamajiem pienākumiem. Šī uzdevuma veikšana datu aizsardzības speciālistam interešu konfliktu neradīs. 

 

Vēršam uzmanību, ka datu aizsardzības speciālistam var būt arī citas funkcijas un uzdevumi, kas nav iekļauti šajā skaidrojumā un nerada interešu konfliktu amata pienākumu pildīšanai!

Darbinieks aizpilda veidlapu

INFORMATIVA ATSAUCE:

[1] Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)

[2] Datu regulas 38.panta 4.punkts

[3] Datu regulas 30.pants