Svarbu ne tik verslui – veiklos, dėl kurių turės būti atliekamas poveikio duomenų apsaugai vertinimas

Valstybinė duomenų apsaugos inspekcija patvirtino tiek įmonių ir valstybės institucijų, tiek su asmens duomenų apsauga dirbančios teisinės bendruomenės nekantriai lauktą Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.

2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą valstybių narių asmens duomenų apsaugos priežiūros institucijos dėl tam tikrų reglamente numatytų naujų veiklų privalėjo parengti nacionalinius tesės aktus. Jie turėjo būti patvirtinti tik suderinus su Europos duomenų apsaugos valdyba, kuri veiklą pradėjo praėjusių metų gegužę. Europos duomenų apsaugos valdyba yra Bendrajame duomenų apsaugos reglamente įtvirtinta nepriklausoma Europos Sąjungos įstaiga, padedanti užtikrinti nuoseklų duomenų apsaugos taisyklių taikymą visoje Europos Sąjungoje ir skatina duomenų apsaugos institucijų bendradarbiavimą. Valstybinė duomenų apsaugos inspekcija, kaip ir kitų Europos Sąjungos valstybių narių priežiūros institucijos, yra šios valdybos narė.

Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas yra vienas iš tų dokumentų, kuriuos pradėjusiai veikti valdybai įvertinti pateikė visos valstybės narės. Ne išimtis ir Lietuva.

Pagal Europos duomenų apsaugos valdybos pastabas patikslintas Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas patvirtintas Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T- 35 (1.12.E). Pasak Valstybinės duomenų apsaugos inspekcijos direktoriaus Raimondo Andrijausko: „Šio sąrašo jau senokai laukia ne tik verslas, bet ir valstybinės institucijos, nes jis suteiks daugiau aiškumo, kokiais atvejais tvarkant asmens duomenis reikės atlikti poveikio duomenų apsaugai vertinimą. Norėčiau atkreipti dėmesį, kad šis sąrašas nėra baigtinis. Pasitaikys ir kitų atvejų, kai organizacijos, atsižvelgdamos į Bendrojo duomenų apsaugos reglamento reikalavimus, turės atlikti poveikio duomenų apsaugai vertinimą“.

Poveikio duomenų apsaugai vertinimas, tai Bendrojo duomenų apsaugos reglamento naujovė. Tam tikra procedūra, kuri turi būti atliekama tais atvejais, kai dėl duomenų tvarkymo rūšies, ypač kai naudojamos inovatyvios technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Pagal Valstybinės duomenų apsaugos inspekcijos parengtą sąrašą poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta toliau pateiktais atvejais.

  • Asmens duomenų tvarkymas mokslinių ar istorinių tyrimų tikslais, kai be asmens sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius; kai tvarkomi nepilnamečių asmenų duomenys; kai tvarkomas asmens kodas.
  • Asmens duomenų tvarkymas vykdomas dideliu mastu, kai asmens duomenys gauti ne iš asmens bei informacijos pateikimas tam tikrais atvejais yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma arba jis gali labai sukliudyti pasiekti tvarkymo tikslus.
  • Asmens duomenų tvarkymas, kai duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas arba pareikalautų neproporcingų pastangų.
  • Biometrinių duomenų, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, tvarkymas asmenų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų asmenų duomenys.
  • Genetinių duomenų tvarkymas vykdant asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.
  • Asmens vaizdo duomenų tvarkymas, kai vaizdo stebėjimas vykdomas patalpose ir (ar) teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais; sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims; kartu su garso įrašymu.
  • Pokalbių telefonu įrašymas.
  • Asmens duomenų tvarkymas naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.
  • Vaikų asmens duomenų tvarkymas tiesioginės rinkodaros tikslais, vaikų asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai yra siūlomos informacinės visuomenės paslaugos.
  • Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais: asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir (ar) duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai; asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.

Su visu Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu galite susipažinti čia: https://www.e-tar.lt/portal/lt/legalAct/abb01940465511e9a221b04854b985af.

Išsamesnės informacijos apie tai, kaip tinkamai atlikti poveikio duomenų apsaugai vertinimą, galite rasti specialiose gairėse: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

Pranešimą paskelbė: Raminta Sinkevičiūtė-Šečkuvienė, Valstybinė duomenų apsaugos inspekcija