Duomenų tvarkytojas

Vienas iš neretai sunkiai sprendžiamų klausimų duomenų apsaugos srityje yra kas yra laikytinas duomenų tvarkytoju?

BDAR

4str. 8 p.

Reglamentas pateikia gana abstrakčią sąvoką: tai fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.

Iš esmės akcentuojama, kad duomenų tvarkytojas veikia ne savarankiškai, o duomenų valdytojo vardu.

Tačiau vien tokio atribojimo nepakanka, nes žiūrint į šią apibrėžtį formaliai, duomenų tvarkytoju taptų ir Lietuvos paštas (LP), nors LP tvarko tik tuos duomenis, kurie susiję su gavėju (tik pristatymui), o visi kiti jam perduodami duomenys (esantys voke) LP nėra aktualūs, nėra LP kontroliuojami ar tvarkomi.

Pavyzdžiai:

Marketingo paslaugų teikėjai, buhalterinės apskaitos įmonės, HR agentūros, vertimų biurai, kt.

Kokie yra duomenų tvarkytojo požymiai arba kas jį atriboja nuo duomenų valdytojo ar paslaugų teikėjo, nepriskiriamo duomenų tvarkytojams?

Pirma

[pagrindinis]

Duomenų valdytojas turi realią galimybę nurodyti duomenų tvarkytojui jam perduodamų duomenų tvarkymo ribas: kokiais tikslais, kokia apimtimi, kiek ilgai juos tvarkyti, kokios apsaugos priemonės turi būti įdiegtos/naudojamos ir pan. Duomenų tvarkytojui tokie nurodymai yra privalomi ir jis neturi teisės tvarkyti jam patikėtų duomenų išeinant iš duomenų valdytojo nurodymo ribų.

Tai vienas svarbiausių atribojimų kriterijų, nes reiškia ne tik galimybę teikti privalomus nurodymus, bet ir bet kada patikrinti, kaip jų laikomasi: pavyzdžiui, duomenų valdytojas gali audituoti buhalterinės apskaitos paslaugų įmonę, kuri tvarko jo darbuotojų duomenis, ir tokia įmonė neturi teisės kliudyti tai atlikti.

Nurodymų dėl asmens duomenų tvarkymo pateikimas

Duomenų tvarkytojui tokie nurodymai yra privalomi

[factual influence]

Antra

Duomenų valdytojas gali veiklą, kurią perduoda duomenų tvarkytojui, atlikti pats. Kitaip tariant duomenų valdytojas turi realią galimybę pasirinkti, kas atliks konkrečius veiksmus: ar jo įmonės darbuotojas ar pasitelkti išorinius resursus (kitą juridinį/fizinį asmenį).

Pavyzdžiui, darbdavys gali pasirinkti, ar pasitelkti / pasamdyti savo darbuotoją, kuris teiks buhalterinės apskaitos paslaugas, ar pasitelkti tokias paslaugas teikiantį kitą juridinį/fizinį asmenį. Tuo tarpu atsiskaitymų [pavedimu] duomenų valdytojas negali atlikti be banko ar kito analogiškas paslaugas teikiančio juridinio asmens pasitelkimo.

Duomenų tvarkytojas teikia paslaugą, kurią duomenų valdytojas gali atlikti ir pats

Trečia

[papildomas]

Duomenų tvarkymas, paprastai, yra pagrindinė juridinio/fizinio asmens (duomenų tvarkytojo) veikla. Imant anksčiau pateiktą pavyzdį, buhalterinės apskaitos paslaugas teikianti įmonė gali būti duomenų tvarkytoju teikiant būtent buhalterinės apskaitos paslaugas ir tokių paslaugų teikimas nėra atsitiktinis.

Šis požymis nėra absoliutus, nes, pavyzdžiui, debesų paslaugų teikėjas paprastai teikia ir kitas paslaugas, kurios gali būti ir nesusijusios su duomenų tvarkymu (pavyzdžiui, ugniasienių diegimas ir palaikymas), tad svarbu įvertinti, pirmiausia, atitikti aukščiau nurodytiems kriterijams.

Duomenų tvarkymas yra pagrindinė veikla

[paprastai]