Poveikio duomenų apsaugai vertinimą privalės atlikti daugelis įmonių

Valstybinė duomenų apsaugos inspekcija (VDAI) paskelbė ilgai lauktą sąrašą asmens duomenų tvarkymo operacijų, dėl kurių reikia atlikti poveikio duomenų apsaugai vertinimą (PDAV).  Sąrašo paskelbimas turėjo suteikti daugiau aiškumo visiems duomenų valdytojams, kuriems iki šiol buvo pakankamai sudėtinga nuspręsti, ar PDAV atlikimas jiems yra privalomas. Tačiau, išnagrinėjus paskelbtą sąrašą, tebekyla daug klausimų. Taip pat matyti, kad PDAV privalės atlikti ne tik sistemingą ir išsamų asmens duomenų tvarkymą vykdantys verslo subjektai (pavyzdžiui, bankai), bet ir didžioji dalis įmonių, vykdančių verslo praktikoje įprastus veiksmus, tokius kaip vaizdo stebėjimas ar telefono pokalbių įrašymas.

Poveikio duomenų apsaugai vertinimas – viena iš BDAR įtvirtintų naujovių, kurios taikymą turėjo patikslinti VDAI, paskelbdama atvejus, kada PDAV atlikti būtina. BDAR įtvirtintas didelio pavojaus kriterijus pirmiausia siejamas su naujų technologijų naudojimu, taip pat su sistemingu ir išsamiu asmeninių aspektų vertinimu, automatizuotai tvarkant duomenis, bei specialių kategorijų duomenų tvarkymu dideliu mastu.

PDAV reiktų suprasti ne tik kaip atitikties BDAR užtikrinimo priemonę, skirtą aprašyti asmens duomenų tvarkymą ir įvardinti su tokiu tvarkymu susijusias rizikas, bet ir kaip priemonę, kuri padeda suvaldyti dėl asmens duomenų tvarkymo galinčius kilti pavojus. Būtent dėl to į paskelbtą sąrašą įtraukti tie asmens duomenų tvarkymo veiksmai, kurie apima jautrius asmens duomenis arba turi stiprų asmens privatumą ribojantį poveikį. Kita vertus, galima pagrįstai kelti klausimą, ar, pavyzdžiui, darbo pareigų atlikimui naudojamame automobilyje įrengtos GPS stebėjimo priemonės tikrai kelia didelį pavojų asmenų teisėms ir laisvėms. Tuo labiau, kad paskelbtame sąraše nėra numatyta jokių išimčių tais atvejais, kuomet atitinkamos duomenų tvarkymo operacijos paliečia labai nedidelį skaičių duomenų subjektų ar surinkti asmens duomenys saugomi labai trumpą laiką.

VDAI paskelbtame duomenų tvarkymo operacijų sąraše daugeliui įmonių aktualūs atvejai yra šie:

  • vykdomas pokalbių telefonu įrašymas, nepriklausomai nuo to, kokiu tikslu įmonėje ar organizacijoje įrašomi telefono pokalbiai, kiek skambučių per dieną sulaukiama ir kiek laiko saugomi tokie asmens duomenys;
  • vykdomas asmens vaizdo duomenųtvarkymas kartu su garso įrašymu, taip pat kai vaizdo stebėjimas vykdomas patalpose ir (ar) teritorijose, kurios nepriklauso duomenų valdytojui nuosavybės ar kitais teisėtais pagrindais;
  • vykdomi darbuotojų stebėjimo veiksmai, kuomet tvarkomi asmens duomenys, susiję su darbuotojų komunikacijos, elgesio, vietos ar judėjimo stebėjimu. Pavyzdžiui, bendrovei priklausančiuose automobiliuose įrengta GPS stebėjimo įranga arba darbdavys turi galimybę patikrinti darbuotojo darbiniu elektroniniu paštu siunčiamą ir gaunamą korespondenciją. Į darbuotojų stebėjimą taip pat patenka ir vaizdo stebėjimas filmuojant ir (arba) įrašant garsą darbo vietoje, patalpose ar teritorijose, nepriklausomai nuo vaizdo stebėjimo tikslo ar masto;
  • tvarkomi biometriniai asmens duomenys, kurių pagalba siekiama konkrečiai nustatyti fizinio asmens tapatybę, asmenų stebėsenos ar kontrolės tikslu, pavyzdžiui, piršto antspaudo ar veido atpažinimo technologijos naudojimas praėjimo kontrolei, taip pat, kai tvarkomi pažeidžiamų asmenų duomenys.

Kiti inspekcijos sąraše nurodyti asmens duomenų tvarkymo atvejai yra susiję su konkrečia vykdoma  veikla:

  • vykdomi moksliniai ar istoriniai tyrimai, kada tvarkomi specialių kategorijų asmens duomenys, nepilnamečių asmenų duomenys ir (arba) asmens kodai;
  • asmens duomenų tvarkymas vykdomas dideliu mastu, kuomet asmens duomenys gaunami ne iš pačių duomenų subjektų, o informacijos apie asmens duomenų tvarkymą pateikimas duomenų subjektams yra neįmanomas arba tai reikalauja neproporcingų pastangų;
  • vykdant asmens duomenų tvarkymo veiklą būtų neįmanoma ar reikalautų neproporcingų pastangų informuoti asmens duomenų gavėjus, kuriems buvo atskleisti asmens duomenys, apie poreikį šiuos asmens duomenis ištaisyti, ištrinti ar apriboti jų tvarkymą;
  • tvarkomi genetiniai duomenys, kai vykdomas asmens savybių vertinimas arba balų skyrimas;
  • tiesioginės rinkodaros tikslu tvarkomi vaikų asmens duomenys;
  • asmens duomenų tvarkymas vykdomas naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys;
  • vaizdo stebėjimas vykdomas sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims.

Duomenų valdytojas atlikęs PDAV ir nustatęs, kad duomenų tvarkymo operacijos susijusios su dideliu pavojumi asmenų teisėms ir laisvėms, kurio duomenų valdytojas negali sumažinti turimomis priemonėmis, prieš pradėdamas asmens duomenų tvarkymą, turi konsultuotis su VDAI. Tiek PDAV neatlikimas, tiek neteisingas atlikimas arba pareigos konsultuotis su priežiūros institucija nesilaikymas gali būti priežastis skirti duomenų valdytojui  baudą.

Nors VDAI pateikė konkrečių duomenų tvarkymo operacijų sąrašą, reikia nepamiršti, kad šis sąrašas nėra baigtinis. Todėl ir kitais atvejais, kai kyla pagrįstų įtarimų, kad asmenų teisėms ir laisvėms gali kilti didelis pavojus, poveikio vertinimą atlikti būtina. Jis taip pat turi būti atliekamas kiekvieną kartą, kai organizacijoje diegiamos naujos technologijos, nauji veiklos procesai ar pakinta jau vykdomų duomenų tvarkymo operacijų keliamas pavojus. Taigi, PDAV reikėtų vertinti ne kaip vienkartinį veiksmą, o kaip reguliariai naudojamą priemonę užtikrinant atitiktį BDAR reikalavimams.

 

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.