Apsilankyti fondia.lt
Šis turinys yra susijęs su Lietuvos teisės aktais.
 

Poveikio duomenų apsaugai vertinimas

Poveikio duomenų apsaugai vertinimas yra teisės aktais nustatytas rizikos vertinimas, kuris turi būti atliekamas vykdant veiklą, kai asmens duomenų tvarkymas gali kelti didelį pavojų asmenų teisėms ir laisvėms. Toks didelis pavojus kyla, kai, pvz.:

  • ji apima automatizuotą sprendimų priėmimą, pavyzdžiui, profiliavimą, ir turi didelį poveikį asmenims, kuriems ji taikoma.

  • neskelbtinų asmens duomenų tvarkymas dideliu mastu.

  • tvarkant asmens duomenis naudojamos naujos technologijos.

  • viešai prieinama vieta yra sistemingai ir dideliu mastu stebima.

Skirtingų šalių duomenų apsaugos institucijos gali pateikti konkretesnes gaires dėl duomenų tvarkymo operacijų, kurių poveikio vertinimas turėtų būti atliekamas, rūšių. Pavyzdžiui, Lietuvoje Valstybinė duomenų apsaugos inspekcija nusprendė, kad poveikio vertinimas turi būti atliekamas, kai:

  • Asmens duomenų tvarkymas vykdomas mokslinių ar istorinių tyrimų tikslais, kai be asmens sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius; kai tvarkomi nepilnamečių asmenų duomenys; kai tvarkomas asmens kodas.

  • Asmens duomenų tvarkymas vykdomas dideliu mastu, kai asmens duomenys gauti ne iš asmens bei informacijos pateikimas tam tikrais atvejais yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma arba jis gali labai sukliudyti pasiekti tvarkymo tikslus.

  • Asmens duomenų tvarkymas, kai duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas arba pareikalautų neproporcingų pastangų.

  • Biometrinių duomenų, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, tvarkymas asmenų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų asmenų duomenys.

  • Genetinių duomenų tvarkymas vykdant asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.

  • Asmens vaizdo duomenų tvarkymas, kai vaizdo stebėjimas vykdomas patalpose ir (ar) teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais; sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims; kartu su garso įrašymu.

  • Kai vykdomas pokalbių telefonu įrašymas.

  • Asmens duomenų tvarkymas naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.

  • Vaikų asmens duomenų tvarkymas tiesioginės rinkodaros tikslais, vaikų asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai yra siūlomos informacinės visuomenės paslaugos.

  • Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais: asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir (ar) duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai; asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.

BDAR numatyti minimalūs poveikio duomenų apsaugai vertinimo požymiai:

  • numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslų identifikavimas;

  • duomenų tvarkymo operacijų reikalingumo ir proporcingumo vertinimas;

  • duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas;

  • priemonės, kuriomis numatoma įrodyti atitiktį BDAR reikalavimams.

Projekto planavimo etape atliktas poveikio duomenų apsaugai vertinimas yra naudingiausias, kadangi gerai parengtame poveikio vertinime bus nurodyti projektui taikomi duomenų apsaugos reikalavimai, o tai leis įvertinti ir pačio projekto tikslus.