Duomenų tvarkytojas

Vienas iš neretai sunkiai sprendžiamų klausimų duomenų apsaugos srityje yra kas yra laikytinas duomenų tvarkytoju? 

BDAR

4 str. 8 p.

BDAR pateikia gana plačią sąvoką: tai fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis. 

Iš esmės akcentuojama, kad duomenų tvarkytojas veikia ne savarankiškai, o duomenų valdytojo vardu. 

Tačiau vien tokio atribojimo nepakanka, nes žiūrint į šią apibrėžtį formaliai, duomenų tvarkytoju taptų ir bankai, nors bankai sudaro tik sąlygas asmens duomenų perlaidoms ir asmens duomenų tvarkymui banku besinaudojantis asmuo neturi įtakos (negali duoti nurodymų). 

Pavyzdžiai:

Marketingo paslaugų teikėjai (ne visada), buhalterinės apskaitos įmonės, HR agentūros, vertimų biurai, kt.

Kokie yra duomenų tvarkytojo požymiai arba kas jį atriboja nuo duomenų valdytojo ar paslaugų teikėjo, nepriskiriamo duomenų tvarkytojams?

Pirma

[pagrindinis]

Duomenų valdytojas turi realią galimybę nurodyti duomenų tvarkytojui jam perduodamų duomenų tvarkymo ribas: kokiais tikslais, kokia apimtimi, kiek ilgai juos tvarkyti, kokios apsaugos priemonės turi būti įdiegtos/naudojamos ir pan. Duomenų tvarkytojui tokie nurodymai yra privalomi ir jis neturi teisės tvarkyti jam patikėtų duomenų išeinant iš duomenų valdytojo nurodymo ribų (pavyzdžiui, savo tikslais). 

Tai vienas svarbiausių atribojimų kriterijų, nes reiškia ne tik galimybę teikti privalomus nurodymus, bet ir bet kada patikrinti, kaip jų laikomasi: pavyzdžiui, duomenų valdytojas gali audituoti buhalterinės apskaitos paslaugų įmonę, kuri tvarko jo darbuotojų duomenis, ir tokia įmonė neturi teisės kliudyti tai atlikti. 

Nurodymų, kaip tvarkyti asmens duomenis teikimas

Duomenų tvarkytojui tokie nurodymai yra privalomi

Antra

Duomenų valdytojas gali veiklą, kurią perduoda duomenų tvarkytojui, atlikti pats. Kitaip tariant duomenų valdytojas turi realią galimybę pasirinkti, kas atliks konkrečius veiksmus: ar jo įmonės darbuotojas ar pasitelkti išorinius resursus (kitą juridinį/fizinį asmenį). 

Pavyzdžiui, darbdavys gali pasirinkti, ar pasitelkti / pasamdyti savo darbuotoją, kuris teiks buhalterinės apskaitos paslaugas, ar pasitelkti tokias paslaugas teikiantį kitą juridinį/fizinį asmenį. Tuo tarpu atsiskaitymų [pavedimu] duomenų valdytojas negali atlikti be banko ar kito analogiškas paslaugas teikiančio juridinio asmens pasitelkimo. 

Duomenų tvarkytojas teikia paslaugą, kurią duomenų valdytojas galėtų (paprastai) atlikti ir pats

Trečia

[papildomas]

Duomenų tvarkymas, paprastai, yra pagrindinė juridinio/fizinio asmens (duomenų tvarkytojo) veikla. Imant anksčiau pateiktą pavyzdį, buhalterinės apskaitos paslaugas teikianti įmonė gali būti duomenų tvarkytoju teikiant būtent buhalterinės apskaitos paslaugas ir tokių paslaugų teikimas nėra atsitiktinis. 

Šis požymis nėra absoliutus, nes, pavyzdžiui, debesų paslaugų teikėjas paprastai teikia ir kitas paslaugas, kurios gali būti ir nesusijusios su duomenų tvarkymu (pavyzdžiui, ugniasienių diegimas ir palaikymas), tad svarbu įvertinti, pirmiausia, atitiktį aukščiau nurodytiems kriterijams. 

Duomenų tvarkymas yra pagrindinė veikla 

(paprastai)