Iki Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo liko vos kelios dienos, tad organizacijos intensyviai ruošiasi naujajam, sugriežtintam asmens duomenų apsaugos reglamentavimui. Tačiau „Deloitte Legal“ vyresnioji teisininkė Monika Rudytė pastebi, kad, besiruošdamos BDAR, organizacijos dažnai painioja duomenų valdytojo ir duomenų tvarkytojo sąvokas, kas lemia klaidas, organizacijoms derintis dėl duomenų tvarkymo taisyklių su verslo partneriais bei tiekėjais.
Kaip atskirti duomenų valdytoją nuo duomenų tvarkytojo?
BDAR nustato, kad duomenų valdytojas – tai subjektas, kuris nustato asmens duomenų tvarkymo tikslus ir priemones; tuo tarpu duomenų tvarkytojas asmens duomenis tvarko duomenų valdytojo vardu, vadovaudamasis pastarojo nurodymais. Jeigu keli subjektai duomenų tvarkymo tikslus ir priemones nustato drauge, tuomet tokie subjektai, vadovaujantis BDAR, laikomi bendraisiais duomenų valdytojais. Iš pirmo žvilgsnio viskas atrodo labai paprasta, tačiau praktika rodo, kad organizacijos labai dažnai klysta vertindamos, kurie jų verslo partneriai bei tiekėjai yra asmens duomenų tvarkytojai, o su kuriais jos veikia kaip (bendrieji) duomenų valdytojai.
„Deloitte Legal“ vyresnioji teisininkė Monika Rudytė pabrėžia, kad vien tai, jog tiekėjas, su kuriuo dirbate, teikdamas jums ar jūsų klientams paslaugas, turi tvarkyti jūsų įmonės turimus asmens duomenis, dar nereiškia, kad toks tiekėjas bus laikomas duomenų tvarkytoju. Pagrindinis duomenų tvarkytojo kriterijus yra tas, kad pats duomenų tvarkymas ir yra pagrindinė tiekėjo teikiama paslauga. Jei jūsų tiekėjo atliekamas duomenų tvarkymas yra tik tiekėjo kitos teikiamos paslaugos rezultatas, tai greičiausiai reikš, kad jūsų tiekėjas iš tiesų yra ne duomenų tvarkytojas, o (bendrasis) duomenų valdytojas. Pavyzdžiui, jūsų įmonė siūlo namų tvarkymo paslaugas per internetinę platformą. Esate pasirašę sutartį su įmone, kuri tiekia valymo priemones tam, kad paslaugos užsakovas internetinėje platformoje galėtų užsisakyti ne tik valymo paslaugas, bet ir priemones, kurias naudojant turėtų būti atliekama valymo paslauga. Abi įmonės yra susijusios su techniniu svetainės administravimu, su valymo priemonių įmone dalijatės užsakymų informacija. Tokiu atveju laikytina, kad abi įmonės naudoja platformą bendriems tikslams (t. y. valymo paslaugos bei valymo priemonių teikimo tikslais), todėl pagal BDAR jos būtų laikomos bendraisiais duomenų valdytojais.
Duomenų valdytojo ir duomenų tvarkytojo santykį puikiai iliustruoja darbo užmokesčio mokėjimo paslaugos teikimo pavyzdys: bankas, turintis daug darbuotojų, pasirašo sutartį su buhalterinę apskaitą tvarkančia bendrove. Bankas nurodo apskaitą tvarkančiai bendrovei, kada darbuotojams turi būti išmokėti darbo užmokesčiai, informuoja, koks darbuotojas išėjo iš darbo ir kaip su juo turi būti atsiskaityta, taip pat nurodo, kuriems darbuotojams darbo užmokestis pakeltas ir teikia kitą panašią su darbo užmokesčio mokėjimu susijusią informaciją. Pateiktu atveju buhalterinės apskaitos bendrovė vykdo banko nurodymus, suteikia IT sistemą ir saugo banko darbuotojų asmens duomenis, tačiau pati nenustato duomenų tvarkymo tikslų. Taigi šiuo atveju bankas laikomas duomenų valdytoju, o buhalterinės apskaitos bendrovė – duomenų tvarkytoju.
Kodėl svarbu teisingai nustatyti duomenų valdytoją ir tvarkytoją?
Besiruošdamos BDAR, įmonės dažnai nueina paprasčiausiu keliu ir, taupydamos laiką, iš visų savo tiekėjų, kuriems atskleidžiami įmonės darbuotojų ar klientų asmens duomenys, reikalauja, kad šie pasirašytų įmonės pasiruoštą asmens duomenų tvarkymo sutarties šabloną. Tačiau tokia praktika yra klaidinga. Galvodamos, kad nuėjo saugiausiu keliu, įmonės dažnai neįvertina galimų rizikų dėl neteisingai parinkto tiekėjo statuso – pabrėžia teisininkė Monika Rudytė.
Jeigu tiekėjas, su kuriuo pasirašėte duomenų tvarkymo sutartį, kaip su duomenų tvarkytoju, iš tiesų yra bendrasis duomenų valdytojas, tuomet santykiams su tokiu tiekėju turėtų būti taikomos visai kitokios taisyklės, kadangi tokiam tiekėjui, vadovaujantis BDAR, taikomos duomenų valdytojo, o ne duomenų tvarkytojo pareigos ir atsakomybės. Su tokiu tiekėju BDAR įpareigoja susitarti dėl funkcijų ir atsakomybių pasidalijimo, ypač duomenų subjektų atžvilgiu (pavyzdžiui, į kurį iš bendrųjų valdytojų kreiptis norint įgyvendinti savo teises, kuris iš bendrųjų valdytojų turi pateikti duomenų subjektams informaciją apie duomenų tvarkymą ir pan.).
Taigi prieš pasirašydama duomenų tvarkymo sutartį su kiekvienu tiekėju, kuriam prieinami organizacijos turimi asmens duomenys, organizacija turėtų atidžiai įvertinti savo ir tiekėjo santykį ir nustatyti, ar duomenų tvarkymo sutartis yra tikrai tinkamas sprendimas. Toliau pateikiami keli požymiai, galintys reikšti, kad jūsų pasitelktas tiekėjas iš tiesų yra ne duomenų tvarkytojas, o (bendrasis) valdytojas:
- tiekėjas pats nusprendžia, kuriuos jūsų darbuotojų ar klientų asmens duomenis jam reikia tvarkyti tam, kad galėtų suteikti paslaugą;
- jis pats nusprendžia duomenų tvarkymo tikslus;
- jis pats nustato duomenų saugojimo terminus;
- jis turi visišką prieigos prie patikėtų asmens duomenų kontrolę;
- jis savarankiškai nusprendžia, ar perduoti duomenis tretiesiems asmenims.