Asmens duomenų saugos pareigūno nuoma

ES duomenų apsaugos reglamentas leidžia organizacijoms pasirinkti, ar domenų apsaugos pareigūno (DAP) funkcijas atliks darbuotojas ar pagal paslaugų teikimo sutartį veikiantis fizinis ar juridinis asmuo iš išorės. Vienas kertinių DAP nuomos pranašumų yra sprendimų siūlymas remiantis ne tik tos organizacijos specifika, bet ir gerosiomis praktikomis visame tos srities sektoriuje, nes nuomojamo darbuotojo išskirtinumas tai, kad jis susiduria su daug daugiau skirtingų situacijų nei nuosavas darbuotojas.

Simona Lydekaitytė
IT sprendimų projektų vadovė

Duomenų apsaugos reguliavimas Lietuvoje vis dar paini ir neaiški sritis. Duomenų apsaugos funkcijų vykdymas ir duomenų apsaugos atitikties užtikrinimas gali iš duomenų valdytojų ir tvarkytojų pareikalauti nemažai laiko, žmogiškųjų ir administracinių išteklių. Organizacijos šiuos išteklius gali labiau norėti skirti savo pagrindinei veiklai vykdyti. Todėl gali būti racionalu duomenų apsaugos pareigūno atsakomybę patikėti kvalifikuotam paslaugų teikėjui. Lygiai taip pat bendrovės palengvina savo kasdieninę veiklą outsourcindamos (patikėdamos į išorę) apskaitos, personalo valdymo, IT priežiūros, teisininkų funkcijas.

  • Dalyvauti formuojant informacijos saugumo politiką Įmonėje;
  • Pagal poreikį rengti, periodiškai peržiūrėti ir atnaujinti įmonės teisės aktus, formuojančius ir įgyvendinančius informacinės saugos politiką;
  • Koordinuoti informacijos saugumo politikos įgyvendinimą bei dalyvauti užtikrinant jos laikymąsi;
  • Prižiūrėti/vertinti informacinių sistemų atitikimą informacijos saugumo reikalavimams ir standartams;
  • Atlikti planuojamų informacinių sistemų pokyčių atitikties vertinimą informacijos saugumo reikalavimams ir standartams;
  • Periodiškai vertinti įmonės informacijos saugumo rizikas;
  • Konsultuoti darbuotojus informacinės saugos klausimais, organizuoti/pravesti informacinės saugos mokymus;
  • Organizuoti informacijos saugumo incidentų tyrimus;
  • Periodiškai rengti informacijos saugumo incidentų ataskaitas;
  • Analizuoti informacijos saugumo incidentų priežastis ir pasekmes;
  • Kartu su įmonės darbuotojais spręsti, kokios informacijos saugumo priemonės reikalingos informacijos saugumo prevencijai;
  • Organizuoti ir/ar vykdyti planinius informacijos apsaugos auditus, rengti audito ataskaitas, išryškinti tobulintinas sritis;
  • Teikti konsultacijas informacinių išteklių fizinės apsaugos klausimais;
  • Informuoti duomenų valdytoją ir duomenis tvarkančius darbuotojus apie jų prievoles pagal BDAR ir pagal kitus Sąjungos ar valstybės narės teisės aktus dėl duomenų apsaugos;
  • Konsultuoti, teikti patarimus duomenų valdytojui ir duomenis tvarkantiems darbuotojams dėl asmens duomenų tvarkymo ir asmens duomenų saugumo užtikrinimo;
  • Stebėti, kaip laikomasi BDAR, kitų Sąjungos ar valstybės narės teisės aktų dėl duomenų apsaugos ir duomenų valdytojo taikomos politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;
  • Gavus prašymą teikti patarimus dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal BDAR;
  • Bendradarbiauti su priežiūros institucija
  • Atlikti kontaktinio asmens funkcijas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant išankstines konsultacijas, ir prireikus konsultuoti visais kitais klausimais.