2017-10-30
Ruošiantis 2018 m. gegužės 25 d. Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, pradėti taikyti tiesioginio taikymo Europos Sąjungos teisės aktą Bendrąjį duomenų apsaugos reglamentą (toliau – Reglamentas), direktyvos 95/46/EB 29 straipsnio darbo grupė paskelbė poveikio duomenų apsaugai vertinimo gaires. Duomenų valdytojams jos svarbios tuo, kad poveikio duomenų apsaugai vertinimas yra aktualus įrankis kalbant apie duomenų valdytojų atskaitomybę ir prireikus gali padėti įrodyti, kad buvo imtasi atitinkamų priemonių, siekiant užtikrinti, kad yra laikomasi Reglamento reikalavimų.
Poveikio duomenų apsaugai vertinimas – tai procesas, skirtas apibūdinti, įvertinti būtinumą ir proporcingumą bei padėti valdyti rizikas, galinčias kilti dėl fizinių asmenų teisių ir laisvių tvarkant asmens duomenis. Nors reglamentas formaliai neapibrėžia poveikio duomenų apsaugai vertinimo turinio, tačiau pateikia minimalius turinio reikalavimus, nurodydamas, kad vertinime pateikiama bent jau:
1. sistemingas numatytų duomenų tvarkymo operacijų aprašymas ir duomenų tvarkymo tikslai;
2. duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas;
3. duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas; ir
4. pavojams pašalinti numatytos priemonės, kuriomis užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi Reglamento.
Kitaip tariant, poveikio duomenų apsaugai vertinimas laikytinas procesu, įrodančiu atitiktį Reglamentui. Žinotina, kad poveikio duomenų apsaugai vertinimas privalomas ne visais atvejais, o tik tada, kai fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus“, t. y. įskaitant, bet neapsiribojant, kai vykdomas:
1. sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, ir kuriuo remiantis priimami sprendimai, kuriais padaromas su fiziniu asmeniu susijęs teisinis poveikis arba kurie daro panašų didelį poveikį fiziniam asmeniui;
2. specialiųjų kategorijų duomenų arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu; arba
3. sistemingas viešos vietos stebėjimas dideliu mastu.
Nuoroda į duomenų subjektų „teises ir laisves“ visų pirma susijusi su teisėmis į duomenų apsaugą ir privatumą, bet gali apimti ir kitas pagrindines teises, tokias kaip žodžio laisvė, minties laisvė, judėjimo laisvė, diskriminacijos draudimas.
Sprendžiant, ar asmenų teisėms ir laisvėms gali kilti „didelis pavojus“, Darbo grupė ir Reglamentas rekomenduoja vadovautis šiais devyniais kriterijais:
1. vykdomas vertinimas ar balų suteikimas, įskaitant profiliavimą ir prognozavimą, ypač duomenų subjekto veiklos ar darbo aspektų, ekonominės padėties, sveikatos buklės, asmeninių pomėgių ar interesų, patikimumo ar elgesio, buvimo vietos ir judėjimo aspektų atžvilgiu, pvz., finansinė institucija, kuri tikrina savo klientus kredito informacijos duomenų bazėse arba pinigų plovimo ir kovos su teroristų finansavimu ar sukčiavimo duomenų bazėse;
2. atliekamas automatinis sprendimų priėmimas, turintis teisinių pasekmių arba daro panašų didelį poveikį;
3. vykdomas viešų vietų stebėjimas dideliu mastu;
4. tvarkomi specialiųjų kategorijų asmens duomenys;
5. duomenys tvarkomi dideliu mastu;
6. lyginami ir derinami duomenų rinkiniai;
7. tvarkomi pažeidžiamų asmenų duomenys – vaikų, darbuotojų, pabėgėlių ir kt.;
8. naudojamos naujos technologijos ar organizaciniai sprendimai;
9. pats duomenų tvarkymas „užkerta kelią duomenų subjektui naudotis savo teisėmis, paslaugomis ar sudaryti sutartis“.
Daugeliu atvejų duomenų valdytojas privalės atlikti Poveikio duomenų apsaugai vertinimą, jeigu duomenų tvarkymas atitinka du aukščiau išvardintus kriterijus. Tačiau kartais ir tik vieną kriterijų atitinkančiam duomenų tvarkymui Poveikio duomenų apsaugai vertinimas gali būti privalomas. Poveikio duomenų apsaugai vertinimas turėtų būti atliekamas duomenų valdytojo, konsultuojantis su duomenų apsaugos pareigūnu ir duomenų tvarkytoju, iki pradedant tvarkyti asmens duomenis, savarankiškai pasirenkant metodologiją.
Vadovaudamasi Reglamento 35 str. 4 d., Lietuvos Respublikos priežiūros institucija, t. y. Lietuvai atstovaujanti VDAI, turėtų sudaryti ir viešai paskelbti tų rūšių duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti Poveikio duomenų apsaugai vertinimą, sąrašą.