Kaip pasirengti duomenų subjektų prašymų įgyvendinimui?

Triniti

Bendrasis duomenų apsaugos reglamentas (BDAR) duomenų subjektams suteikia visą eilę su jų asmens duomenų tvarkymu susijusių teisių. Šiomis teisėmis, ypač teisėmis susipažinti su duomenimis ir reikalauti juos ištrinti, duomenų subjektai naudojasi vis dažniau.

Prašymams užklupus netikėtai, jų įgyvendinimas gali tapti tikru galvos skausmu. Pavyzdžiui, ilgamečiam darbuotojui pateikus prašymą susipažinti su visais darbdavio tvarkomais jo asmens duomenimis, ieškant tokių duomenų gali tekti apklausti daugumą bendrovės darbuotojų, patikrinti visas naudojamas programas, duomenų laikymo vietas, ilgai naršyti elektroninio pašto dėžutėse, jei el. laiškai įmonėje yra saugomi neterminuotai ar labai ilgą terminą.

Pateikiame patarimus, kokius parengiamuosius veiksmus naudinga atlikti iš anksto, kad į duomenų subjektų prašymus atsakytumėte tinkamai ir be neproporcingų laiko bei finansinių sąnaudų.

  • Pasitvirtinkite aiškią reagavimo į duomenų subjektų prašymus (teisių įgyvendinimo) tvarką. Jau pats šios tvarkos rengimas privers iš anksto apgalvoti, kokių veiksmų turi būti imamasi gavus duomenų subjekto prašymą, kokiais atvejais verta paprašyti duomenų subjekto patikslinti prašymą, kur yra saugomi jūsų tvarkomi duomenys (kokias sistemas, duomenų saugyklas reikės patikrinti rengiant atsakymą), kokios teisių įgyvendinimo išimtys gali būti pritaikomos jūsų organizacijoje ir pan. Aiškių taisyklių turėjimas padės į duomenų subjektų prašymus atsakyti metodiškai ir nepraleidžiant BDAR nustatytų atsakymo terminų (paprastai – 1 mėnuo nuo prašymo gavimo).
  • Parenkite duomenų subjektams rekomendacijas dėl jų prašymų pateikimo. Kad prašymas iš karto pasiektų už jo administravimą atsakingą darbuotoją, iš duomenų subjekto iš karto gautumėte visą prašymo įgyvendinimui reikalingą informaciją (kokias teises ir kokia apimtimi įgyvendina, tapatybės patvirtinimą ir pan.), naudinga iš anksto informuoti duomenų subjektus (pateikti rekomendacijas) apie jų prašymų pateikimą ir nagrinėjimą. Kad būtų dar paprasčiau administruoti prašymus, galima viešai paskelbti (patalpinti interneto svetainėje ir pan.) ir duomenų subjekto prašymo formą. Darbuotojų atžvilgiu tokia informacija turėtų būti įtraukta į darbuotojų asmens duomenų tvarkymo politiką, su kuria jie supažindinami, kitų asmenų – įtraukta į interneto svetainėje skelbiamą privatumo politiką, į kurią pateikiamos nuorodos visuose duomenų subjektams teikiamuose pranešimuose (sutartyse, sutikimų formose ir pan.). Nors nurodyta tvarka duomenų subjektams ir nebus privaloma (pavyzdžiui, reaguoti turėsite ir į prašymus, atsiųstus kitu el. paštu nei nurodytas tvarkoje), tačiau vis vien supaprastins prašymų nagrinėjimą.

Kad būtų dar paprasčiau administruoti prašymus, galima viešai paskelbti (patalpinti interneto svetainėje ir pan.) ir duomenų subjekto prašymo formą.

  • Paskirkite už prašymų administravimą atsakingą darbuotoją. Jei esate paskyrę duomenų apsaugos pareigūną, būtent jis ir bus atsakingas už tinkamą komunikaciją su duomenų subjektais.Vis dėlto, net jei pareiga turėti duomenų apsaugos pareigūną jums nėra taikoma, naudinga paskirti darbuotoją, kuris administruos el. pašto dėžutę ir kitas paskyras, per kurias pateikiami prašymai, bus atsakingas už reikiamos informacijos surinkimą (įvairių sistemų patikrinimą, informacijos gavimą iš duomenų tvarkytojų ir pan.) bei komunikacijąsu duomenų subjektais.
  • Apmokykite darbuotojus. Su duomenų tvarkymu susijusius paklausimus gali gauti iš esmės bet kuris darbuotojas (pavyzdžiui, vadybininkas ar klientų aptarnavimo specialistas, palaikantis ryšį su klientu). Ne visuose duomenų subjektų prašymuose bus tiesiogiai nurodyta, kad kreipiamasi siekiant įgyvendinti BDAR įtvirtintą teisę, gali būti atvejų, kai prašyme apskritai net nebus paminėti žodžiai „asmens duomenys“.

Tuo tarpu terminas atsakymui pateikti pradės tiksėti iš karto, kai bet kuris iš darbuotojų gaus bet kokia forma (žodžiu, per socialinių tinklų paskyras ir pan.) pateiktą prašymą.

Siekiant išvengti nesusipratimų, būtina apmokyti visus darbuotojus, kaip atpažinti prašymus dėl duomenų subjektų teisių įgyvendinimo, kam tokie prašymai turi būti perduodami ir pan.

  • Jei ir kiek tai įmanoma – automatizuokite teisių įgyvendinimo procesą. Net ir turint išsamius duomenų tvarkymo veiklos įrašus, asmens duomenims tvarkyti naudojamų IT išteklių registrą, rankiniu būdu atliekama paieška gali užimti daug laiko, išlieka rizika, kad rasite ne visus tvarkomus asmens duomenis.Tad jei tvarkomų asmens duomenų kiekis yra išties didelis, verta apsvarstyti asmens duomenis aptinkančios ir klasifikuojančios programos įsigijimą. Jei gaunate daug duomenų subjektų prašymų, naudinga būtų sukurti duomenų subjektų savitarnos zoną, prie kurios prisijungę jie galėtų susipažinti su tvarkomais asmens duomenimis, juos keisti ir įgyvendinti kitas teises.
  • Pasirūpinkite saugiu informacijos perdavimu. Prieš pateikdami bet kokią informaciją, įsitikinkite, kad jos gavėjas tikrai yra duomenų subjektas ar jo įgaliotas atstovas. Priklausomai nuo situacijos konteksto, duomenų subjekto tapatybė gali būti patvirtinama paprašant parodyti asmens tapatybę patvirtinantį dokumentą,atsakyti į saugumo klausimus, patikrinant, ar el. pašto adresas, iš kurio kreipiamasi, sutampa su duomenų subjekto įprastai naudojamu el. pašto adresu, ir pan. Ne mažiau svarbu užtikrinti ir informacijos perdavimo kanalų saugumą, t. y. patikimų kurjerių pasitelkimą, šifravimo mechanizmų naudojimą ir pan.
  • Sumažinkite tvarkomų asmens duomenų kiekį. Iš pirmo žvilgsnio duomenų kiekio mažinimas gali pasirodyti nesusijęs su duomenų subjektų teisių įgyvendinimu.

Vis dėlto, kuo mažiau duomenų saugosite, tuo paprasčiau bus atlikti jų paiešką ir pateikti informaciją, bus mažesnė rizika, kad duomenų subjektai reikš pretenzijas dėl perteklinio ir neteisėto duomenų tvarkymo.

Siekiant sumažinti tvarkomų duomenų kiekį, svarbu tiek įsivertinti, ar visa šiuo metu atliekama duomenų tvarkymo veikla jums yra būtina, tiek ir laiku sunaikinti nebereikalingus asmens duomenis. Tam, kad tvarkomi duomenys būtų sunaikinami laiku, svarbu pasirengti asmens duomenų saugojimo terminų taisykles ir instruktuoti už duomenų naikinimą atsakingus darbuotojus.

Pasitarkite su mumis, jei turite klausimų dėl duomenų apsaugos!