Verslas
Verslas > Svarbu ne tik verslui: turės būti atliekamas poveikio duomenų apsaugai vertinimas | Spausdinti |
Svarbu ne tik verslui: turės būti atliekamas poveikio duomenų apsaugai vertinimas | 2019 03 18 |
Valstybinė duomenų apsaugos inspekcija patvirtino tiek įmonių ir valstybės institucijų, tiek su asmens duomenų apsauga dirbančios teisinės bendruomenės nekantriai lauktą Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą.
Pagal Europos duomenų apsaugos valdybos pastabas patikslintas Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas patvirtintas Valstybinės duomenų apsaugos inspekcijos direktoriaus 2019 m. kovo 14 d. įsakymu Nr. 1T- 35 (1.12.E).
Pasak Valstybinės duomenų apsaugos inspekcijos direktoriaus Raimondo Andrijausko: „Šio sąrašo jau senokai laukia ne tik verslas, bet ir valstybinės institucijos, nes jis suteiks daugiau aiškumo, kokiais atvejais tvarkant asmens duomenis reikės atlikti poveikio duomenų apsaugai vertinimą. Norėčiau atkreipti dėmesį, kad šis sąrašas nėra baigtinis. Pasitaikys ir kitų atvejų, kai organizacijos, atsižvelgdamos į Bendrojo duomenų apsaugos reglamento reikalavimus, turės atlikti poveikio duomenų apsaugai vertinimą“.
Poveikio duomenų apsaugai vertinimas, tai Bendrojo duomenų apsaugos reglamento naujovė. Tam tikra procedūra, kuri turi būti atliekama tais atvejais, kai dėl duomenų tvarkymo rūšies, ypač kai naudojamos inovatyvios technologijos, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus.
Pagal Valstybinės duomenų apsaugos inspekcijos parengtą sąrašą poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta toliau pateiktais atvejais.
- Asmens duomenų tvarkymas mokslinių ar istorinių tyrimų tikslais, kai be asmens sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius; kai tvarkomi nepilnamečių asmenų duomenys; kai tvarkomas asmens kodas.
- Asmens duomenų tvarkymas vykdomas dideliu mastu, kai asmens duomenys gauti ne iš asmens bei informacijos pateikimas tam tikrais atvejais yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma arba jis gali labai sukliudyti pasiekti tvarkymo tikslus.
- Asmens duomenų tvarkymas, kai duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas arba pareikalautų neproporcingų pastangų.
- Biometrinių duomenų, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, tvarkymas asmenų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų asmenų duomenys.
- Genetinių duomenų tvarkymas vykdant asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.
- Asmens vaizdo duomenų tvarkymas, kai vaizdo stebėjimas vykdomas patalpose ir (ar) teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais; sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims; kartu su garso įrašymu.
- Pokalbių telefonu įrašymas.
- Asmens duomenų tvarkymas naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.
- Vaikų asmens duomenų tvarkymas tiesioginės rinkodaros tikslais, vaikų asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai yra siūlomos informacinės visuomenės paslaugos.
- Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais: asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir (ar) duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai; asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.
Su visu Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašu galite susipažinti čia: https://www.e-tar.lt/portal/lt/legalAct/abb01940465511e9a221b04854b985af.
Išsamesnės informacijos apie tai, kaip tinkamai atlikti poveikio duomenų apsaugai vertinimą, galite rasti specialiose gairėse: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.