Atsakymus į šiuos klausimus galima rasti 2018 m. gegužės 25 d. įsigaliojusiame Bendrajame duomenų apsaugos reglamente (toliau – BDAR), kuriame buvo numatyta nauja pareigybė – duomenų apsaugos pareigūnas. Kaip galima suprasti iš šią pareigybę sudarančių žodžių, šios naujos profesijos atstovai bus atsakingi už duomenų apsaugą tiek valstybinėse institucijose, tiek ir privačiose įmonėse.
BDAR numato, kad duomenų valdytojas ir duomenų tvarkytojas privalo paskirti duomenų apsaugos pareigūną, jeigu yra tenkinamos šios sąlygos:
- duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas;
- duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus;
- duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.
Apžvelgiant aukščiau nurodytus privalomo duomenų apsaugos pareigūno paskyrimo kriterijus matoma, jog aiškiai ir konkrečiai dėl duomenų apsaugos pareigūno paskyrimo privalomumo yra įpareigotos tik valdžios įstaigos, o kitais dviem atvejais (2 ir 3 punktai) – įmonės pačios subjektyviai privalo įsivertinti ir nusistatyti, ar jos patenka po BDAR numatytais kriterijais, kuomet yra privalu įmonėje pasiskirti duomenų apsaugos pareigūną („pagrindinė veikla – duomenų tvarkymo operacijos“, „reguliarus ir sistemingas duomenų subjektų stebėjimas“, „didelis mastas“).
Suprantama, kad duomenų valdytojams ir duomenų tvarkytojams kartais bus sunku suprasti aukščiau paminėtus aspektus, o būtent: ar įmonės pagrindinė veikla yra duomenų tvarkymo operacijos? Ar įmonė duomenų subjektų duomenis tvarko sistemingai ir reguliariai? Ar įmonė šiuos duomenis tvarko dideliu mastu? Todėl rekomenduočiau šiuos aspektus įsivertinti pasitelkiant duomenų apsaugos specialistus ir nustačius, jog įmonei privalu turėti duomenų apsaugos pareigūną – jį paskirti stipriai nedelsiant. Tokiu keliu einant būtų galima užsitikrinti įmonės duomenų saugumą bei atitiktį BDAR, taip pat išvengti baudų.