Bendruoju duomenų apsaugos reglamentu (Reglamentas), įsigaliojusiu 2018 metų gegužės 25 dieną, siekiama apsaugoti fizinių asmenų pagrindines teises ir laisves, visų pirma jų teisę į asmens duomenų apsaugą. Reglamente pateikiami įvairūs reikalavimai, standartai ir atsakomybė. Nors asmens duomenų apsauga nėra absoliuti teisė, tačiau ji įgauna vis svarbesnį vaidmenį. Atsirado nauja pareigybė – duomenų apsaugos pareigūnas (Pareigūnas), jis yra nepriklausomas subjektas, užtikrinantis, kad organizacija laikytųsi Reglamento. Pareigūnas yra tarpininkas tarp duomenų subjektų, duomenų valdytojo ar tvarkytojo ir duomenų apsaugos priežiūros institucijos. Pareigūno institutas turi vykdyti galimų Reglamento nuostatų pažeidimų prevenciją ir padėti išvengti didelių finansinių nuostolių. Organizacija privalo užtikrinti ir įrodyti atitiktį visiems Reglamento principams, Pareigūno paskyrimas gali būti viena iš priemonių būtinų įgyvendinti atskaitomybės principą.
Problema. Organizacijos dėl Reglamento taikymo teisinio neapibrėžtumo neturi pakankamų žinių, kokie Pareigūno institutui kaip Reglamento reguliavimo sistemos daliai reikalavimai taikomi.
Šio mokslinio straipsnio aktualumas siejamas su Reglamento naujumu ir reikšmingumu duomenų apsaugos teisei.
Straipsnio tikslas – išanalizuoti Pareigūno instituto kaip Reglamento reguliavimo sistemos dalį ir pateikti apibendrintas rekomendacijas organizacijoms. Keliami uždaviniai:
Metodologija – šiame moksliniame straipsnyje naudoti dokumentų analizės, loginis, lyginamasis, apibendrinimo tyrimo metodai. Dokumentų analizės metodas taikomas tiriant įvairius teisinius dokumentus, atsižvelgiant į jų oficialumą, privalomąjį ir neprivalomąjį pobūdį, siekiant ištirti asmens duomenų apsaugos teisinį reguliavimą, nustatytą įvairiose teisės normose. Loginis metodas naudojamas aiškinant teisės normų turinį, jį pritaikant organizacijoms. Lyginamasis metodas naudojamas atliekant lyginamąją analizę. Apibendrinimo metodas taikomas nagrinėjamais klausimais apibendrinant naudotą literatūrą, taip pat formuluojant pagrindinius tyrimo teiginius bei pabaigoje darant galutines išvadas.
Pareigūną privalo paskirti valdžios institucijos ir įstaigos bei kitos organizacijos, kurių pagrindinė veikla yra dideliu mastu sistemingai stebėti asmenis arba dideliu mastu tvarkyti specialių kategorijų asmens duomenis. Reglamento nuostatas, nustatančias kriterijus, pagal kuriuos yra privaloma paskirti Pareigūną, galima vertinti kritiškai dėl teisinio apibrėžtumo, aiškumo trūkumo, todėl kiekvieną atvejį reikia vertinti individualiai, priklausomai nuo organizacijos statuso ir veiklos pobūdžio duomenų tvarkymo kontekste. Pareigūno paskyrimas, nesant konkretesnio teisinio reguliavimo, iš esmės priklauso nuo subjektyvaus pareigos turėtojo savęs ir savo veiklos suvokimo. Dauguma organizacijų nėra tinkamai susipažinusios su Reglamente nuostatomis, todėl nevykdo prievolės paskirti Pareigūną ir (arba) pranešti Valstybinei duomenų apsaugos inspekcijai apie jo paskyrimą.
Vienas iš pagrindinių kriterijų, vertinant, ar dėl konkrečios pareigybės gali kilti interesų konfliktas, yra asmens duomenų tvarkymo tikslų ir priemonių nustatymo galimybė (įgaliojimai). Valdžios institucijos ir įstaigos, atsižvelgiant į jų struktūrą, veiklą ir kitas reikšmingas aplinkybes, turėtų kiekvienu konkrečiu atveju vertinti, ar konkreti pareigybė, net jei ji nepriklauso vyresniajai vadovybei, galėtų kelti interesų konfliktą.
Skiriant Pareigūną organizacijoje reikėtų atsižvelgti į jo ekspertinių žinių lygį, profesines savybes ir gebėjimą atlikti užduotis. Pareigūnas turi nuolatos tobulinti savo žinias duomenų apsaugos srityje, nes profesionali veikla kokybiškai gali būti vykdoma tik remiantis specifinėmis žiniomis apie konkrečią veiklos sritį. Ugdomas gebėjimas derinti, jungti įvairias žinias, įgytas iš įvairių šaltinių, į visumą, skatina savarankišką ir greitą efektyvių sprendimų atradimą. Organizacijoms valdyti žinias lengviau, jei darbuotojai nori jomis dalintis, tai priklauso nuo jų valios. Po Reglamento įsigaliojimo sparčiai formuojasi jo taikymo praktika, tam įtakos turi institucinis izomorfizmas:
Pareigūnas savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai, todėl svarbus jo statusas organizacijoje. Apie Pareigūno paskyrimą turi būti informuoti visi organizacijos darbuotojai, jis kuo ankstyvesniu etapu įtraukiamas į visus su duomenų apsauga susijusius klausimus. Pareigūnui turi būti užtikrinama vyresniosios vadovybės parama ir skiriama pakanka laiko jo funkcijoms atlikti bei galimybė naudotis kitomis organizacijos tarnybomis, o esant poreikiui, sudaryti Pareigūno grupę, kurią sudarytų Pareigūnas ir darbuotojai vykdantys jo užduotis. Pareigūnas neturi gauti nurodymų, kaip spręsti su duomenų apsauga susijusius klausimus. Įpareigojimu laikytis slaptumo ar konfidencialumo Pareigūnui nedraudžiama susisiekti su Inspekcija ir kreiptis į ją konsultacijos.Pareigūnų veiklos principai grindžiami ekspertine kompetencija, nepriklausomumu, interesų konflikto vengimu, prieinamumu, veiklos formos laisve.
Reglamento atitikties priežiūra organizacijoje nereiškia, kad Pareigūnas yra asmeniškai atsakingas už reguliavimo pažeidimus. Duomenų apsaugos atitiktis yra priskiriama duomenų valdytojo ar duomenų tvarkytojo, o ne Pareigūno atsakomybei.