Valstybinės duomenų apsaugos inspekcijos patikrinimai – ko tikėtis ir kaip pasiruošti?

Valstybinei duomenų apsaugos inspekcijai paskelbus sąrašą įmonių, kuriose 2019 m. bus vykdomi planiniai prevenciniai patikrinimai, į sąrašą įtrauktoms įmonėms iškilo tinkamo pasirengimo inspekcijos patikrinimui klausimas. Nors patikrinimų forma ir apimtis atskirose įmonėse gali smarkiai skirtis, pateikiame keletą bendrųjų patarimų, padėsiančių pasiruošti ir “išgyventi” inspekcijos patikrinimą.

Pirma, įvertinkite, kokiu būdu vyks patikrinimas ir kas jo metu bus tikrinama, nes nuo to priklauso ir pasiruošimo patikrinimui apimtis. Vieni patikrinimai bus vykdomi raštu (el. susirašinėjimo būdu), kiti – tikrinant faktinį asmens duomenų tvarkymo teisėtumą ir privatumo apsaugą duomenų tvarkymo vietoje. Tik 16 iš 75 tikrinamų duomenų valdytojų bus tikrinami atvykus į vietą. Dauguma patikrinimų bus vykdomi susirašinėjimo būdu siekiant patikrinti, kaip yra įgyvendinamas duomenų kiekio mažinimo principas bei duomenų subjektų informavimas. Jei patikrinimas vykdomas raštu, duomenų subjektui bus pateikiamas raštiškas paklausimas, nustatytas ne trumpesnis kaip 10 darbo dienų terminas atsakymui pateikti. Jei patikrinimas bus vykdomas vietoje, reikalingas rimtesnis pasiruošimas. Jei nurodyta, kad patikrinime vietoje dalyvaus ir inspekcijos IT skyriaus atstovas, vadinasi, bus tikrinamos ir informacinės sistemos, taikomos techninės saugumo priemonės ir kiti techniniai aspektai. Apie prevencinį patikrinimą vietoje būsite papildomai informuoti ne vėliau kaip prieš 10 dienų iki patikrinimo, jums bus pateiktas preliminarus sąrašas dokumentų, kuriuos inspekcija prašys pateikti.

Antra, įvertinkite, kaip faktiškai vykdote asmens duomenų tvarkymo procedūras. Peržvelkite užsakymo formas, sutartis, vaizdo kamerų įrengimo vietas, informacinėse sistemose saugomus duomenis. Įvertinkite, ar užtikrinamas informacinių sistemų saugumas, tinkama asmens duomenų, esančių fizinėse laikmenose, apsauga bei kaip įmonėje įgyvendinamos kitos techninės apsaugos priemonės.

Trečia, įvertinkite, ar esate pasirengę reglamento įgyvendinimui būtinas tvarkas. Tuo atveju, jei nesate pilnai paruošę visų reglamento įgyvendinimui skirtų tvarkų, pradėkite nuo duomenų tvarkymo veiklos įrašų. Juose nurodomi duomenų tvarkymo tikslai, asmens duomenų ir duomenų subjektų kategorijos, duomenų gavėjai, saugojimo terminai, taikomos saugumo priemonės ir kita su duomenų tvarkymu susijusi informacija. Šis dokumentas yra pirmoji pagalba atsakant į inspekcijos pateiktus klausimus, kadangi jame saugoma visa esminė su asmens duomenų tvarkymu susijusi informacija. Taip pat pasitvirtinkite asmens duomenų tvarkymo įmonėje tvarką arba taisykles, o visi kiti dokumentai priklauso nuo tikrinimo dalyko. Jei inspekcija tikrins, kaip apie asmens duomenų tvarkymą informuojate duomenų subjektus, būtina turėti informavimo formas, įrodymus arba paaiškinimą apie tai, kaip saugote įrodymus apie informavimą. Jei inspekcija tikrins, kaip gyvendinate duomenų kiekio mažinimo principą, gali būti, kad didžiąją dalį atsakymų rasite tinkamai parengtuose duomenų tvarkymo veiklos įrašuose.

Ketvirta, sudarykite pasiruošimo patikrinimui komandą. Jei patikrinimas vyks raštu, paskirkite asmenį ar asmenis, atsakingus už informacijos surinkimą. Jei patikrinimas bus vykdomas vietoje, paskirkite asmenis, kurie bendraus su inspekcija. Patikrinime turėtų dalyvauti bent vienas darbuotojas ar išorės konsultantas, išmanantis patikrinimo procedūrą reglamentuojančius teisės aktus ir galintis kontroliuoti, ar inspekcija laikosi procedūrinių reikalavimų. Svarbu, kad patikrinimo metu darbuotojai galėtų greitai surasti ir pateikti reikiamus dokumentus, konkrečiai ir išsamiai atsakyti į inspektoriaus klausimus.

Penkta, apmokykite darbuotojus, kaip elgtis patikrinimo metu. Itin svarbu apmokyti ne tik vadovaujančius ir duomenų tvarkymo tikslus nustatančius darbuotojus, bet ir tuos, kuriuos inspekcijos darbuotojai sutiks pirmiausiai – recepcijos ir kitus klientus aptarnaujančius darbuotojus. Siekiant patikrinti, ar darbuotojai yra tinkamai pasiruošę inspekcijos apsilankymui, galima net inscenizuoti patikrinimą – identifikuosite rizikas, turėsite laiko joms pašalinti ir patikrinimo metu jausitės ramiau.

Šešta, įgyvendinę reglamentą ta apimtimi, kuria būsite tikrinami, neatidėliokite ir likusių reglamento įgyvendinimo darbų. Inspekcija tikrinimo metu gali užduoti ir papildomų, su patikrinimo dalyku tiesiogiai nesusijusių klausimų, ypač jei aptiks akivaizdžių reglamento įgyvendinimo spragų. Peržiūrėkite ir įvertinkite, ar turite susitarimus su duomenų tvarkytojais, ar apie asmens duomenų tvarkymą informavote darbuotojus, ar turite jų sutikimus, jei tokie reikalingi. Taip pat patikrinkite, ar interneto svetainėje pateikiate visą su asmens duomenų tvarkymu susijusią informaciją, kurią turite pateikti, ar neliko nepatvirtintų vidinių tvarkų arba su jomis nesupažindintų darbuotojų.

Į inspekcijos vykdomą patikrinimą patartume žiūrėti kaip į galimybę pasitikrinti, ar įmonė tinkamai įgyvendino reglamentą. Jei ėmėtės veiksmų reglamento įgyvendinimui, didelė tikimybė, kad inspekcija, net ir nustačiusi neatitikimus, tiesiog pateiks nurodymus juos pašalinti. Jei reglamento įgyvendinti dar nespėjote, planuojamas inspekcijos patikrinimas yra puiki proga pasirūpinti tvarkomų asmens duomenų apsauga. Žinoma, rūpintis tinkamu reglamento įgyvendinimu turėtų ir į inspekcijos patikrinimų planą neįtrauktos įmonės – inspekcija turi teisę vykdyti ir neplaninius patikrinimus, o gavusi skundą, patikrinimą gali organizuoti ir be išankstinio įspėjimo.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.