3-asis patarimas: poveikio duomenų apsaugai vertinimas

Prieš pasitinkant gražiausias metų šventes norime su Jumis pasidalinti paskutiniuoju šiais metais patarimu, rengiantis Bendrojo duomenų apsaugos reglamento taikymui.

Šį kartą kalbame apie poveikio duomenų apsaugai vertinimo atlikimą: kada būtina jį atlikti, koks jo tikslas ir kaip turi būti įforminami vertinimo rezultatai. Tikimės, jog pateikta informacija Jums bus naudinga, o iškilus klausimams – esame visuomet pasirengę padėti.

Iš viso esame parengę 12 praktinių patarimų, kuriais dalinsimės su Jumis kartą per dvi savaites iki gegužės 25 dienos.

Poveikio duomenų apsaugai vertinimas – tai procedūra, skirta duomenų valdytojui (duomenų tvarkytojui)* įvertinti atliekamus duomenų tvarkymo veiksmus, jų būtinumą ir proporcingumą bei padėti valdyti rizikas, susijusias su fizinių asmenų teisių ir laisvių pažeidimu tvarkant asmens duomenis.

III. ATLIKITE POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ IR PARINKITE TINKAMAS DUOMENŲ SAUGUMO PRIEMONES

1. Nustatykite, ar privalote atlikti poveikio duomenų apsaugai vertinimą

Poveikio duomenų apsaugai vertinimas privalomas ne visais atvejais,  o tik tada, kai gali kilti didelis pavojus fizinių asmenų teisėms bei laisvėms. Didelis pavojus gali kilti tuomet, kai diegiamos naujos technologijos (pavyzdžiui, asmens identifikavimas naudojant pirštų atspaudus), dideliu mastu tvarkomi specialiųjų kategorijų ar pažeidžiamų asmenų (vaikų ir kt.) duomenys (pavyzdžiui, sveikatos duomenys), vykdomas viešų vietų stebėjimas dideliu mastu ar atliekamas sistemingas ir išsamus asmens savybių vertinimas, grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą. Pavojus gali pasireikšti kūno sužalojimu ar žala sveikatai (pavyzdžiui, dėl netikslių ar neišsamių sveikatos duomenų), diskriminacija (atskleidus duomenis apie asmens etninę kilmę), pavogta ar suklastota tapatybe (pasisavinus asmens identifikavimui skirtus duomenis), turtine ar neturtine žala (praradus pinigines lėšas ar laiku negavus kredito), žala reputacijai (atskleidus duomenis apie privatų gyvenimą) ir pan.

Priežiūros institucija** turi pareigą sudaryti ir viešai paskelbti sąrašą duomenų tvarkymo operacijų, kurioms bus taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą. Priežiūros institucija taip pat gali viešai paskelbti tokių operacijų, kurioms vertinimo atlikimo reikalavimas netaikomas, sąrašą.

Poveikio duomenų apsaugai vertinimas skirtas didelio masto duomenų tvarkymo veiksmams, kuriais siekiama regioniniu, nacionaliniu ar tarpvalstybiniu lygmeniu tvarkyti didelį kiekį asmens duomenų. Jeigu, pavyzdžiui, sveikatos duomenis tvarko pavieniai sveikatos priežiūros specialistai, poveikio duomenų apsaugai vertinimas nėra privalomas.

(!) Poveikio duomenų apsaugai vertinimo išvada prireikus gali padėti įrodyti, kad duomenų valdytojas (tvarkytojas) ėmėsi reikiamų priemonių siekdamas tinkamai laikytis reglamento reikalavimų.

(!) Prieš pradedant vykdyti naujas duomenų tvarkymo operacijas, poveikio duomenų apsaugai vertinimas turi būti atliekamas pakartotinai.

 

2. Atlikite vertinimą ir parenkite vertinimo išvadą 

Vertinimo tikslas yra: 1) nustatyti, ar pavojus fizinių asmenų teisėms ir laisvėms yra, ar jo nėra; 2) esant pavojui, nustatyti tinkamas priemones, padedančias šį pavojų neutralizuoti.

Vertinimo išvadoje turi būti aptarti šie klausimai:

  • pateiktas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai; jeigu duomenų tvarkymo teisinis pagrindas yra teisėti duomenų valdytojo interesai, turi būti nurodomi tokie interesai;
  • pagrindžiamas duomenų tvarkymo operacijų reikalingumas ir proporcingumas, palyginti su tikslais;
  • įvertinami pavojai duomenų subjektų teisėms ir laisvėms;
  • įvardijamos pavojams šalinti numatytos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi reglamento reikalavimų (pavyzdžiui, duomenų šifravimas ir kitos technologinės priemonės, reikšmingas asmenų, turinčių prieigą prie tam tikrų asmens duomenų, rato apribojimas, reikalavimų prieigos teises turinčių vartotojų identifikavimui sugriežtinimas ir pan.).

(!) Atlikus poveikio duomenų apsaugai vertinimą, parengta vertinimo išvada turi būti saugoma ir prireikus pateikiama priežiūros institucijai.

 

3. Konsultuokitės su priežiūros institucija

Tokiu atveju, kai atlikus poveikio duomenų apsaugai vertinimą nustatoma, jog tvarkant asmens duomenis gali kilti didelis pavojus asmenų teisėms ir laisvėms, duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, privalo konsultuotis su priežiūros institucija.

Konsultuojantis priežiūros institucijai pateikiamas poveikio duomenų apsaugai vertinimas, nurodomos duomenų valdytojo ir duomenų tvarkytojo atsakomybės sritys, numatyto duomenų tvarkymo tikslai ir priemonės, nustatytos duomenų subjektų teisių ir laisvių apsaugos priemonės, duomenų apsaugos pareigūno (jei toks yra paskirtas) kontaktiniai duomenys, taip pat bet kokia kita priežiūros institucijos prašoma informacija.

Priežiūros institucija, manydama, kad duomenų valdytojas nepakankamai nustatė ar nepakankamai sumažino pavojų, pateikia duomenų valdytojui rekomendacijas arba gali taikyti kitas priemones, įskaitant duomenų tvarkymo apribojimą.

__________________________

*   Duomenų valdytojas – fizinis arba juridinis asmuo, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones.

    Duomenų tvarkytojas – fizinis arba juridinis asmuo, kuris duomenų valdytojo vardu tvarko asmens duomenis.

** Priežiūros institucija – valstybės narės įsteigta nepriklausoma valdžios institucija, Lietuvoje tai yra Valstybinė duomenų apsaugos inspekcija.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24,, Vilnius, jį tvarkytų tiesioginės rinkodaros tikslu.