Ar pasirašėte papildomus susitarimus su duomenų tvarkytojais?

Bendrasis duomenų apsaugos reglamentas nustato pareigą duomenų valdytojams* sudaryti rašytinius susitarimus su visais duomenų tvarkytojais*, tad iki Reglamento taikymo pradžios turi būti pasirašomi nauji arba atnaujinami turimi susitarimai dėl asmens duomenų tvarkymo.

1. NUSTATYKYTE, KURIE PASLAUGAS JUMS TEIKIANTYS SUBJEKTAI YRA DUOMENŲ TVARKYTOJAI

Duomenų tvarkytojais yra laikomi asmenys (tiek fiziniai, tiek juridiniai), kurie:

  • tvarko asmens duomenis duomenų valdytojo vardu (duomenų valdytojo naudai ir pagal duomenų valdytojo nurodymus);

ir

  • yra nesusiję darbo santykiais su duomenų valdytoju, t.y. nėra duomenų valdytojo darbuotojai.

Paprastai duomenų tvarkytojai bus tokie paslaugų teikėjai kaip: (i) saugos tarnybos (ypač tais atvejais, kai saugos tarnybai yra suteikiama prieiga prie vaizdo duomenų); (ii) informacinių sistemų  priežiūros paslaugas (įskaitant klientų, dokumentų ir procesų valdymo ar pan.) teikiantys asmenys; (iii) skambučių centro paslaugas teikiantys asmenys; (iv) buhalterinės apskaitos paslaugas teikiantys asmenys ir pan.

(!) Svarbu nustatyti (identifikuoti) visus duomenų tvarkytojus, nes su visais jais turi būti sudaryti susitarimai dėl asmens duomenų tvarkymo. Tais atvejais, kai tam tikriems duomenų tvarkymo veiksmams atlikti duomenų tvarkytojas samdo kitą duomenų tvarkytoją (subrangovą), jis taip pat privalo sudaryti susitarimą dėl asmens duomenų tvarkymo su tokiu duomenų tvarkytoju (subrangovu).

2. ĮSITIKINKITE, KAD DUOMENŲ TVARKYTOJAI YRA PAJĖGŪS TVARKYTI ASMENS DUOMENIS LAIKYDAMIESI REGLAMENTO REIKALAVIMŲ

Tvarkyti asmens duomenis gali būti patikima tik tokiems duomenų tvarkytojams, kurie yra (potencialiai) pajėgūs užtikrinti asmens duomenų tvarkymą laikantis Reglamento reikalavimų. Vertinant duomenų tvarkytojo pajėgumus, turėtų būti atsižvelgiama į duomenų tvarkytojo ekspertines žinias, patikimumą, turimus išteklius. Tad renkantis duomenų tvarkytoją, svarbu įvertinti ne tik duomenų tvarkytojo naudojamų techninių priemonių saugumą, bet atkreipti dėmesį ir į tokį rodiklį kaip finansinis stabilumas. Kuo asmens duomenų tvarkymas yra rizikingesnis (tvarkomi jautrūs asmens duomenys, dideliu mastu ir pan.), tuo didesni reikalavimai turi būti keliami duomenų tvarkytojui.

(!) Ateityje turėtų būti priimti duomenų tvarkytojų elgesio kodeksai, vykdomas duomenų tvarkytojų sertifikavimas, tai leis duomenų valdytojams paprasčiau įvertinti duomenų tvarkytojų tinkamumą. Vis dėlto, kol šios priemonės dar nėra taikomos, duomenų valdytojai turi patys įvertinti, ar duomenų tvarkytojas yra pajėgus tvarkyti asmens duomenis pagal Reglamento reikalavimus.

3. SUSITARIMUOSE SU DUOMENŲ TVARKYTOJAIS AIŠKIAI NURODYKITE DUOMENŲ TVARKYTOJŲ PAREIGAS IR ATSAKOMYBES

Susitarimuose su duomenų tvarkytojais turi būti konkrečiai apibrėžta asmens duomenų tvarkymo apimtis, t.y. turi būti nurodyta:

  • duomenų tvarkymo dalykas ir trukmė;
  • duomenų tvarkymo pobūdis ir tikslas;
  • perduodami tvarkyti asmens duomenys (jų rūšys) ir duomenų subjektai (jų kategorijos), kurių asmens duomenys perduodami tvarkyti.

Su duomenų tvarkytojais sudaromuose susitarimuose dėl duomenų tvarkymo taip pat turi būti nurodytos bent šios duomenų tvarkytojo teisės ir pareigos:

  • veikti tik pagal rašytinius duomenų valdytojo nurodymus;
  • užtikrinti, kad asmens duomenis tvarkantys, prieigą prie jų turintys duomenų tvarkytojo darbuotojai ar kiti asmenys turėtų konfidencialumo įsipareigojimus;
  • imtis reikiamų techninių ir organizacinių priemonių, kad būtų užtikrintas tvarkomų asmens duomenų saugumas;
  • pasitelkti tik tuos duomenų tvarkytojus, dėl kurių pasitelkimo yra gautas išankstinis rašytinis duomenų valdytojo sutikimas;
  • sudaryti rašytinius susitarimus dėl asmens duomenų tvarkymo su pasitelktais duomenų tvarkytojais;
  • padėti duomenų valdytojui vykdyti tam tikras su asmens duomenų tvarkymu susijusias pareigas (padėti įgyvendinti duomenų subjekto teises, padėti užtikrinti asmens duomenų saugumą, padėti atlikti poveikio duomenų apsaugai vertinimą, informuoti apie asmens duomenų tvarkymo pažeidimus);
  • pabaigus teikti duomenų tvarkymo paslaugas, duomenų valdytojo pasirinkimu ištrinti visus turimus asmens duomenis arba grąžinti juos duomenų valdytojui;
  • pateikti visą informaciją, įrodančią su duomenų tvarkymu susijusių pareigų laikymąsi, ir padėti duomenų valdytojui ir (ar) tretiesiems asmenims atlikti tvarkomų asmens duomenų auditą.

(!) Ateityje Europos Komisija ir (arba) priežiūros institucija** turėtų patvirtinti pavyzdines (standartines) sutarčių su duomenų tvarkytojais sąlygas. Kol tokios sąlygos nėra patvirtintos, su duomenų tvarkytojais turi būti sudaromi individualūs susitarimai.

(!) Susitarimus dėl asmens duomenų tvarkymo rekomenduojame įforminti kaip papildomus susitarimus greta pagrindinės paslaugų teikimo sutarties.

___________________________

*Duomenų valdytojas – fizinis arba juridinis asmuo, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.

Duomenų tvarkytojas – fizinis arba juridinis asmuo, kuris duomenų valdytojo vardu tvarko asmens duomenis.

**Priežiūros institucija – valstybės narės įsteigta nepriklausoma valdžios institucija, Lietuvoje tai yra Valstybinė duomenų apsaugos inspekcija.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.