2009 m. sausio 1 d. įsigaliojus naujos redakcijos Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymui (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804) (toliau – ADTAĮ), Valstybinė duomenų apsaugos inspekcija sulaukia vis daugiau duomenų valdytojų klausimų dėl už duomenų apsaugą atsakingo asmens ar padalinio paskyrimo.

ADTAĮ 32 straipsnio 1 dalyje yra įtvirtinta duomenų valdytojo teisė, o ne pareiga paskirti už duomenų apsaugą atsakingą asmenį ar padalinį. Vadovaujantis ADTAĮ 32 straipsnio 5 dalimi, duomenų valdytojas per 30 kalendorinių dienų nuo už duomenų apsaugą atsakingo asmens ar padalinio paskyrimo ar atšaukimo dienos turi pranešti apie tai Valstybinei duomenų apsaugos inspekcijai. Atsakingu asmeniu gali būti tiek fizinis, tiek juridinis asmuo ar jo padalinys – tiek vidinis, tiek išorinis. ADTAĮ nėra nustatyta, kokiais teisiniais santykiais atsakingas asmuo turi būti susijęs su duomenų valdytoju, – taip duomenų valdytojui paliekama pasirinkimo laisvė. Atkreipiame dėmesį, kad už duomenų apsaugą atsakingas asmuo ar padalinys nėra laikomas duomenų tvarkytoju, jeigu jam duomenų valdytojas atskirai nepavedė atlikti duomenų tvarkytojo funkcijų.

Už duomenų apsaugą atsakingas asmuo ar padalinys prižiūri, kad asmens duomenys būtų tvarkomi laikantis ADTAĮ ir kitų teisės aktų, reglamentuojančių duomenų apsaugą, nuostatų ir viešai skelbia apie duomenų valdytojo atliekamus duomenų tvarkymo veiksmus Vyriausybės nustatyta tvarka. Kitos už duomenų apsaugą atsakingo asmens ar padalinio funkcijos yra įtvirtintos ADTAĮ 32 straipsnio 2 dalyje.

ADTAĮ 32 straipsnio 3 dalis nustato duomenų valdytojui pareigą už duomenų apsaugą atsakingam asmeniui ar padaliniui suteikti išsamią informaciją apie numatomą asmens duomenų tvarkymą, ketinamas naudoti automatines asmens duomenų tvarkymo priemones ir nustatyti protingą terminą išvadai dėl numatomo asmens duomenų tvarkymo pateikti. Šio straipsnio 4 dalis numato, kad duomenų valdytojas privalo sudaryti sąlygas už duomenų apsaugą atsakingam asmeniui ar padaliniui savarankiškai atlikti šiame straipsnyje numatytas jo funkcijas.

Informuojame, kad tuo atveju, jei duomenų valdytojas pagal ADTAĮ 31 straipsnį turi pateikti Valstybinei duomenų apsaugos inspekcijai pranešimą apie duomenų tvarkymą ir yra paskyręs už duomenų apsaugą atsakingą asmenį (-is) ar padalinį, jam vadovaujantis Duomenų valdytojų pranešimo apie duomenų tvarkymą taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu Nr. 262 (Žin., 2002, Nr. 20-768; 2005, Nr. 144-5249), 8 punktu, gali būti taikoma supaprastinta pranešimo tvarka.