Patvirtintas duomenų tvarkymo operacijų sąrašas, kurias vykdant privaloma atlikti poveikio duomenų apsaugai vertinimą

2019-03-19

Valstybinė duomenų apsaugos inspekcija patvirtino Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.

Poveikio duomenų apsaugai vertinimas, tai 2016-04-27 Europos parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau Bendrasis duomenų apsaugos reglamentas) naujovė.

Kaip nurodoma Bendrojo duomenų apsaugos reglamento 35 straipsnyje poveikio duomenų apsaugai vertinimas yra tam tikra procedūra, kuri turi būti atliekama tais atvejais, kai dėl duomenų tvarkymo rūšies, ypač kai naudojamos inovatyvios technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus.

Atliekant poveikio duomenų apsaugai vertinimą, yra aprašomas duomenų tvarkymo procesas ir nustatomas galimas pavojus asmens teisėms ir laisvėms, o taip pat tokio pavojaus pašalinimo priemonės.

Poveikio duomenų apsaugai vertinimas atliekamas  taip pat vertinant duomenų apsaugos poveikį technologiniam produktui, t.y. konkrečiai aparatinei ar programinei įrangai, kurią naudojant yra tvarkomi asmens duomenis.

Pagal Valstybinės duomenų apsaugos inspekcijos parengtą sąrašą poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta toliau pateiktais atvejais:

Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas:

-1- Asmens duomenų tvarkymas vykdomas mokslinių ar istorinių tyrimų tikslais bent vienu iš žemiau -nurodytų atvejų:

1.1.    kai be duomenų subjekto sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius;

1.2.    kai tvarkomi nepilnamečių asmenų duomenys;

1.3.    kai tvarkomas asmens kodas.

-2- Asmens duomenų tvarkymas vykdomas dideliu mastu, kai asmens duomenys gauti ne iš asmens bei informacijos pateikimas tam tikrais atvejais yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma arba jis gali labai sukliudyti pasiekti tvarkymo tikslus.

-3- Asmens duomenų tvarkymas, kai duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas arba pareikalautų neproporcingų pastangų.

-4- Biometrinių duomenų, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, tvarkymas duomenų subjektų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.

-5- Genetinių duomenų tvarkymas vykdant duomenų subjekto savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.

-6- Asmens vaizdo duomenų tvarkymas, kai vaizdo stebėjimas vykdomas bent vienu iš žemiau nurodytų atvejų:

6.1.    patalpose ir (ar) teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais, kai vaizdo stebėjimas vykdomas laikantis Reglamento (ES) 2016/679 5 straipsnyje nustatytų su asmens duomenų tvarkymu susijusių principų;

6.2.    sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims;

6.3.    kartu su garso įrašymu.

-7-Pokalbių telefonu įrašymas.

-8- Asmens duomenų tvarkymas naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.

-9- Vaikų asmens duomenų tvarkymas tiesioginės rinkodaros tikslais, vaikų asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai yra siūlomos informacinės visuomenės paslaugos.

-10- Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais: asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir (ar) duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai; asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.

Taigi, asmenys, kurie savo veikloje susiduria su aukščiau nurodytomis veiklomis, turi imtis veiksmų, kad būtų laiku ir tinkamai atliktas nurodytų duomenų tvarkymo veiksmų poveikio duomenų apsaugai vertinimas.

Poveikio duomenų apsaugai vertinimas yra svarbi atskaitomybės priemonė, nes padeda duomenų valdytojams įrodyti, kad buvo siekiama užtikrinti atitiktį Bendrojo duomenų apsaugos reglamentui.

Valstybinė duomenų apsaugos inspekcijos paskelbtas sąrašas nėra baigtinis, todėl įvertinant ar atliekamoms duomenų tvarkymo operacijoms reikia atlikti poveikio duomenų apsaugai vertinimą, turi būti vadovaujamasi bendrais Bendrojo duomenų apsaugos reglamento 35 straipsnyje nurodytais kriterijais.

Su visu Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu galite susipažinti čia: https://www.etar.lt/portal/lt/legalAct/abb01940465511e9a221b04854b985af.

Advokatų kontora ECOVIS ProventusLaw pasirengiant taikyti Bendrojo duomenų apsaugos reglamento reikalavimus yra padėjusi kelioms dešimtims įmonių, todėl jei Jums reikalinga pagalba atliekant poveikio duomenų apsaugai vertinimą, kviečiame kreiptis į mus žemiau nurodytais kontaktais.

Naujienlaiškio prenumerataSusisiekti