beatriz-perez-moya-111685-unsplash

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens duomenų apsaugai vertinimą (angl.trump. DPIA). Tai būtina, nes bendrovės yra atsakingos už tai, kad veikla būtų tvarkoma taip, kad fizinių asmenų teisės ir laisvės būtų apsaugotos. 

Jei įmonėje DPIA dar nėra atliekamas,  jis turi būti parengtas ir įdiegtas į įmonės veiklos politiką ir procedūras.

Kas yra poveikio duomenų apsaugai vertinimas?

Poveikio duomenų apsaugai vertinimas skirtas sistemingai ir išsamiai analizuoti įmonės asmens duomenų tvarkymo veiklą ir jo keliamą riziką. DPIA padeda įmonei nustatyti ir išvengti rizikos, susijusios su duomenų apsauga ir privatumu. DPIA padengia atitikties riziką iš įmonės perspektyvos, ir riziką asmenų teisėms ir laisvėms. Asmens duomenų tvarkymo pažeidimai gali asmeniui sukelti didelę socialinę ar ekonominę žalą.

Todėl atliekant DPIA reiktų atsižvelgti rizikos laipsnį – galimas neigiamas poveikis asmenims ir jo tikimybė. DPIA nepadeda visiškai neišvengia rizikos, tačiau jis turėtų būti rengiamas taip, kad būtų kuo tiksliau nustatomas ir sumažinamas galimas neigiamas duomenų tvarkymo poveikis, ir įvertinama ar likusi rizika gali būti suvaldyta. DPIA taip pat gali remtis platesnia atitiktimi, atsižvelgiant į finansinę ir reputacijos naudą, įrodant atskaitomybę kiekvienam individualiam klientui.

Kada reikia parengti DPIA?

DPIA būtina, kai asmens duomenų tvarkymas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms. Tai reiškia plačiai paplitusį ar rimtą poveikį asmeniui ar visuomenei apskritai. Parengti DPIA reikia, kai:

  • Sistemingas ir platus profiliavimas arba automatinis apdorojimas, turintis teisinių pasekmių asmeniui;
  • Didelės apimties specialiųjų duomenų ar asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais, apdorojimas;
  • Sistemingas viešos teritorijos stebėjimas.

Siekiant nustatyti tikslesnį duomenų tvarkymo operacijų, dėl kurių, atsižvelgiant į joms būdingą didelį pavojų, reikia atlikti DPIA, turėtų būti įvertinti toliau nurodyti devyni kriterijai:

  • Vertinimas arba balų skyrimas, įskaitant profiliavimą ir prognozavimą;
  • Automatizuotas sprendimų, sukeliančių teisinį arba panašų rimtą poveikį, priėmimas;
  • Sisteminga stebėsena;
  • Tvarkomi neskelbtini duomenys arba labai asmeniški duomenys;
  • Didelio masto duomenų tvarkymas;
  • Duomenų rinkinių siejimas ir derinimas;
  • Tvarkomi su pažeidžiamais duomenų subjektais susiję duomenys;
  • Naujoviškas naudojimas arba naujų technologinių ar organizacinių sprendimo būdų taikymas;
  • Duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis.

DPIA poreikis turi būti atidžiai apsvarstytas, juolab, kad ES valstybėse DPIA reikalavimai gali kisti. Pavyzdžiui, Suomija į pradinį duomenų apdorojimo sąrašą neįtraukė vietos duomenų, kol EDPB (Europos duomenų apsaugos taryba) patarė ją pridėti. Taip pat, ne kiekviena ES valstybė reikalauja DPIA, jei įmonė naudojasi naujomis technologijomis. Tačiau DPIA rengimas turėtų būti laikomas kaip bendra taisykle tais atvejais, kai duomenų tvarkymas apima profiliavimą ar nuolatinį stebėjimą, kai sprendimai dėl galimybės naudotis paslaugomis ar galimybėmis daromi pasitelkiant technologiją arba, kai tduomenų tvarkymas yra susijęs su ypač slaptais duomenimis ar pažeidžiamais asmenimis. Net jei didelė rizika asmeniui nėra aptikta, DPIA yra pagrindinis duomenų apsaugos dokumentas, kai tvarkymo veikla yra kintanti nuolat dokumentuojama.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Get your compliance organized with proper GDPR tools.
Contact us for a demo and get access to 14-day trial.

Save time and be confident

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų. Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....