Įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR), organizacijos daugelio atvejų jau turi pasirengusios didžiąją dalį dokumentacijos, tokios kaip privatumo politika, vidinės duomenų tvarkymo taisyklės, duomenų tvarkymo veiklos įrašai ir pan. Tačiau atitiktis BDAR ties šiais dokumentais nepasibaigia / vis dar dažnai nepagrįstai pamirštamas poveikio duomenų apsaugai vertinimas (PDAV). ECOVIS ProventusLaw supažindina, kodėl jis būtinas ir reikalingas.
Kas yra poveikio duomenų apsaugai vertinimas (PDAV) ir kam jis yra reikalingas?
Poveikio duomenų apsaugai vertinimas – duomenų valdytojo pareiga įvertinti duomenų tvarkymo operacijų poveikį duomenų apsaugai, tais atvejais, kai duomenų tvarkymo rūšis, pobūdis, aprėptis, kontekstas ir tikslai gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms. Kitaip tariant, kai dėl duomenų tvarkymo operacijų gali kilti didelis pavojus asmenų teisėms, organizacija turi įvertinti tokio pavojaus kilmę, pobūdį, specifiką ir rimtumą, o taip pat nusimatyti priemones identifikuotoms rizikoms sumažinti. PDAV turi būti dokumentuotas, o esant reikalui periodiškai peržiūrimas.
Reguliarūs PDAV vertinimai yra BDAR įtvirtinto atskaitomybės principo dalis ir padeda organizacijai įrodyti atitiktį BDAR bei sumažinti duomenų tvarkymo rizikas. Be to, poveikio duomenų apsaugai vertinimas padeda sumažinti finansines sąnaudas ir tolimesnius trikdžius iš anksto įdiegiant papildomas duomenų apsaugos priemones bei renkant ir tvarkant tik būtinus duomenis.
Atvejai, kai poveikio duomenų apsaugai vertinimas būtinas
Vykdomas pokalbių telefonu įrašymas. Dažna organizacija naudojasi telefoninių pokalbių įrašymu, pavyzdžiui užtikrindama kliento aptarnavimo kokybę, arba užtikrindama nenutrūkstamą paslaugų teikimą. Beveik visada, kai paskambiname į gydymo įstaigas, viešųjų paslaugų teikėjus arba naudojamės viešojo administravimo paslaugomis mūsų pokalbiai įrašomi. Visais šiais atvejais organizacijos, prieš pradėdamos šiuos procesus, turi būti atlikusios PDAV.
Vykdomas vaizdo duomenų tvarkymas. Toks pats reikalavimas taikytinas, jei organizacijos vykdo teritorijų, į kurią patenka viešoji vieta, stebėjimą dideliu mastu. Turto, ofisų, sandėlių apsauga arba viešosios tvarkos užtikrinimas dažnai yra vaizdo stebėjimo priežastis. Šiuo atveju nepakanka informuoti asmenis apie vykdomą vaizdo stebėjimą, būtina atlikti PDAV ir įsivertinti, kokias rizikas kelia vaizdo stebėjimas ir su tuo susijęs vaizdo duomenų tvarkymas asmenų teisėms.
Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais arba asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas. Kitas dažnai pamirštamas atvejis yra darbuotojų stebėjimas. Darbuotojų stebėjimas šiuo atveju negali būti suprantamas siaurąją prasme, t. y. tik kaip darbuotojų filmavimas. Darbuotojų stebėjimas pagal VDAI turi būti aiškinamas plačiai. Į darbuotojų stebėjimą patenka ir tie atvejai, kai darbdavys turi galimybę tikrinti darbuotojų veiksmus IT sistemose (kokius failus atsidarė, kuriuos parsisiuntė, ištrynė), interneto naršyklėje, tikrinti (esant konkrečiam teisėtam pagrindui) el. pašto dėžutes, taip pat kai vykdomas darbuotojų transporto priemonės GPS stebėjimas ir kiti panašūs atvejai.
Atliekant PDAV turėtų būti išsamiai ir visapusiškai įvertintos rizikos bei priemonės, kurių organizacija imsis jų sumažinimui.
Pasimokykime iš kitų klaidų
Nors yra daug įvairių duomenų apsaugos reikalavimų ir gali būti nepaprastai sunku pradėti atitikties užtikrinimo kelionę, tokie procesai, kaip poveikio duomenų apsaugai vertinimas, yra skirti duomenų subjektų ir organizacijų labui. Neatlikus PDAV, asmens duomenų tvarkymas gali lemti asmens duomenų pažeidimus ir klientų pasitikėjimo praradimą. Galime matyti daugelį pavyzdžių įvairiose šalyse, kai už PDAV neatlikimą buvo skiriamos nemenkos baudos, pvz.:
- Suomijos duomenų apsaugos institucija skyrė 16 000 EUR baudą bendrovei „Kymen Vesi Oy“ už tai, kad ji neatliko PDAV dėl darbuotojų buvimo vietos duomenų tvarkymo transporto priemonių informacine sistema;
- Norvegijos duomenų apsaugos institucija Rælingeno savivaldybei skyrė 46 660 EUR baudą už vaikų sveikatos duomenų, susijusių su negalia, tvarkymą skaitmeninėje mokymosi platformoje „Showbie“. Savivaldybė prieš pradėdama tvarkyti duomenis neatliko PDAV ir nesiėmė tinkamų techninių ir organizacinių priemonių, todėl padidėjo rizika, kad mokinių asmens duomenys gali būti neteisėtai prieinami;
- Portugalijos duomenų apsaugos institucija skyrė 4 300 000 EUR baudą Portugalijos nacionaliniam statistikos institutui už daugybę GPDR pažeidimų, susijusių su 2021 m. gyventojų surašymu Portugalijoje. Vienas iš pažeidimų buvo tas, kad Portugalijos nacionalinis statistikos institutas neatliko su surašymu susijusio PDAV;
- Prancūzijos duomenų apsaugos institucija skyrė 800 000 EUR baudą bendrovei „DISCORD INC“. Bendrovė padarė daug BDAR pažeidimų, pavyzdžiui, nenustatė ir nesilaikė duomenų saugojimo laikotarpio, atitinkančio duomenų tvarkymo tikslą, nepakankamai užtikrino asmens duomenų saugumą, priimdama iš naudotojų nesaugius slaptažodžius, neatliko PDAV ir kt.
Jei jūsų organizacija vertina poreikį atlikti, planuoja atlikti arba susiduria su sunkumais atliekant poveikio duomenų apsaugai vertinimą, nedvejodami kreipkitės į ECOVIS ProventusLaw duomenų apsaugos teisės ekspertus, kurie yra pasiryžę jums padėti.
Parengė Brigida Bacienė, ECOVIS ProventusLaw duomenų apsaugos ekspertė, ir Gabija Bacevičiūtė, ECOVIS ProventusLaw jaunesnioji teisininkė