Savarankiškai dirbantys asmenys ir BDAR: duomenų apsaugos pareigos

BDAR 4 str. 7 d. apibrėžia duomenų valdytoją kaip fizinį ar juridinį asmenį, kuris nustato asmens duomenų tvarkymo tikslus ir priemones. Freelanceriams ir savarankiškai dirbantiems asmenims duomenų valdytojo statusas atsiranda, kai jie tvarko asmens duomenis savo vardu ir savo tikslams — ne kliento vardu ar nurodymu. Praktiniai pavyzdžiai, kai freelanceris yra duomenų valdytojas: (1) saugo klientų kontaktinę informaciją (vardas, el. paštas, telefono numeris) savo CRM sistemoje ar Excel skaičiuoklėje; (2) siunčia naujienlaiškius savo klientų sąrašui; (3) tvarko potencialių klientų duomenis rinkodaros tikslais; (4) saugo ankstesnių klientų kontaktus ateities pardavimams. Jeigu freelanceris tvarko tik tuos duomenis, kurie yra būtini konkrečiam projektui atlikti, ir tai daro kliento vardu pagal kliento instrukcijas — jis yra duomenų tvarkytojas, o ne valdytojas. Ši skirtis yra fundamentali: duomenų valdytojas turi visus BDAR įpareigojimus (privatumo politika, duomenų subjektų teisių įgyvendinimas, tvarkymo veiklos registras), o duomenų tvarkytojas — siauresnį, bet taip pat svarbų įpareigojimų rinkinį.

BDAR 28 str. reikalauja, kad duomenų valdytojas su duomenų tvarkytoju (subrangovais, rangovais, platformomis) sudarytų rašytinę duomenų tvarkymo sutartį. Freelanceriams ši norma aktuali dviem aspektais. Pirma, jeigu freelanceris tvarko kliento asmens duomenis kliento vardu — freelanceris yra duomenų tvarkytojas, o klientas yra valdytojas. Tokiu atveju klientas privalo sudaryti DTS su freelanceriu. Praktikoje daug klientų to neprašo, tačiau freelanceris turi žinoti savo pareigas. Antra, jeigu freelanceris yra duomenų valdytojas ir naudoja trečiųjų šalių paslaugas (pvz., el. pašto rinkodaros platforma, buhalterinės programos, debesų saugykla), jis taip pat turi sudaryti DTS su tais teikėjais. Didelės platformos (Google Workspace, Mailchimp, Stripe) paprastai jau turi standartines DTS, kurias galima pasirašyti elektroniniu būdu. Klientų atžvilgiu freelancerio pagrindinės DTS pareigos: (1) tvarkyti duomenis tik pagal kliento instrukcijas; (2) neperduoti duomenų tretiesiems be kliento leidimo; (3) užtikrinti konfidencialumą; (4) grąžinti arba sunaikinti duomenis po projekto.

BDAR 13 str. numato pareigą informuoti duomenų subjektus apie jų duomenų tvarkymą renkant duomenis tiesiogiai iš jų. Freelanceriai, turintys verslo svetainę ar el. paštu renkantys potencialių klientų kontaktus, privalo turėti privatumo politiką. Privatumo politikoje turi būti nurodyta: (1) kas yra duomenų valdytojas (vardas, pavardė ar individualios veiklos pavadinimas, kontaktai); (2) kokie duomenys renkami ir kokiais tikslais; (3) teisėtas tvarkymo pagrindas kiekvienam tikslui (sutikimas, sutartinis santykis, teisėtas interesas); (4) kiek laiko saugomi duomenys; (5) kam perduodami duomenys (subrangovai, IT platformos); (6) ar duomenys perkeliami į trečiąsias šalis ne ES; (7) duomenų subjektų teisės (prieigos, ištaisymo, ištrynimo, nesutikimo teisė). Freelanceriai dažnai tenkina reikalavimus paprastu vieno puslapio privatumo pareiškimu, kurį galima saugoti svetainėje. Svarbu: privatumo politiką rengti faktinei veiklai, o ne kopijuoti šabloną — netiksli politika gali būti laikoma pažeidimu.

BDAR 32 str. reikalauja, kad duomenų valdytojas ir tvarkytojas įgyvendintų tinkamas technines ir organizacines priemones, užtikrinančias saugumą atsižvelgiant į riziką. Freelanceriams tai reiškia konkrečius veiksmus: (1) įrenginių apsauga — kompiuteris, telefonas ir kiti įrenginiai su klientų duomenimis turi būti apsaugoti slaptažodžiu ar PIN kodu; pilno disko šifravimas (FileVault, BitLocker) yra stipriai rekomenduojamas; (2) debesų paslaugos — naudojant Google Drive, Dropbox ar kitas saugyklas, tikrinkite, ar jie atitinka BDAR reikalavimus ir ar sudarytos DTS; (3) el. paštas — naudokite saugų el. pašto tiekėją, venkite siųsti jautrių klientų duomenis nešifruotais el. laiškais; (4) slaptažodžių valdymas — naudokite slaptažodžių valdymo programą ir dviejų veiksnių autentifikaciją svarbioms paskyroms; (5) duomenų saugojimo terminai — nekaupkite duomenų ilgiau nei būtina; senų klientų kontaktus trinkite pagal nustatytą politiką. Duomenų saugumo pažeidimo atveju freelanceris privalo pranešti VDAI per 72 valandas nuo pažeidimo nustatymo (BDAR 33 str.), jeigu pažeidimas kelia riziką duomenų subjektų teisėms.

BDAR 5 str. 1 d. e punktas įtvirtina „saugojimo apribojimo" principą: asmens duomenys turi būti saugomi ne ilgiau nei būtina tvarkymo tikslams. Freelanceriams tai reiškia, kad reikalinga duomenų saugojimo politika, net jei ji ir neformali. Rekomenduojami saugojimo terminai: (1) aktyvių klientų kontaktai — saugomi tol, kol trunkos klientų santykiai; (2) buvusių klientų duomenys — paprastai 3–5 metai po paskutinio kontakto (suderinus su apskaitos ir sutarčių senaties reikalavimais); (3) sąskaitos faktūros ir finansiniai dokumentai — 10 metų pagal Buhalterinės apskaitos įstatymą; (4) el. pašto korespondencija su klientais — 3 metai po projekto pabaigos; (5) potencialių klientų kontaktai, kurie nevirto klientais — paprastai 1–2 metai. Duomenų subjektui paprašius ištrinti jo duomenis (BDAR 17 str. teisė „būti pamirštam"), freelanceris privalo įvykdyti šį prašymą, nebent yra teisinis pagrindas toliau saugoti (pvz., aktyvus teisminis ginčas ar apskaitos reikalavimai). Praktiškai rekomenduojama kartą per metus atlikti „duomenų valymą" — peržiūrėti ir ištrinti nebereikalingus duomenis.

BDAR nenumato bendrojo verslo registracijos VDAI reikalavimo — tai buvo atsisakyta nuo 2018 m. Tačiau tam tikrais atvejais BDAR 37 str. reikalauja paskirti duomenų apsaugos pareigūną (DAP). Freelanceriams DAP privalomos, kai: (1) tvarkoma dideliu mastu — pvz., freelancer rinkodaros specialistas tvarkantis didelę duomenų bazę; (2) tvarkomi jautrūs duomenų kategorijų duomenys sistemingai (sveikatos, finansiniai, teistumų duomenys); (3) atliekamas sistemingas viešos erdvės stebėjimas. Daugeliui freelancerių DAP paskyrimas nėra privalomas, tačiau savanoriška DAP paskyrimas (arba bent jau BDAR atitikties koordinatoriaus) yra gerosios praktikos ženklas. Tvarkymo veiklos registras (BDAR 30 str.): kiekvienas duomenų valdytojas privalo tvarkyti asmens duomenų tvarkymo veiklos registrą, nebent organizacijoje dirba mažiau nei 250 darbuotojų ir tvarkymas nesukelian didelės rizikos. Savarankiškai dirbantys asmenys paprastai eina į šią išimtį, tačiau jei tvarkymas yra reguliarus ir sistemingas — registras rekomenduojamas. Praktiškai paprastas Excel failas su pagrindiniais duomenų srautais yra pakankamas.