Publikacijos

Nauja pareiga — vertinti poveikį duomenų apsaugai 2017-11-07

Kornelijawww

Kornelija Basijokienė

Bendrajame duomenų apsaugos reglamente yra dar vieną naujovė - pareiga atlikti vadinamąjį poveikio duomenų apsaugai vertinimą, kuri atsiranda esant tikimybei, kad duomenų tvarkymo operacijų metu kils didelis pavojus asmenų teisėms ir laisvėms. Čia kalbama ne tik apie pavojų privatumui ir asmens duomenims, nors tai, žinoma, išlieka pagrindinis rūpestis. Žvelgiama plačiau - pavojus gali kilti asmenų žodžio, minties, religijos, saviraiškos laisvėms, nuosavybės, laisvo judėjimo teisėms ir kt.

Šis įpareigojimas taip pat bus taikomas nuo Reglamento įsigaliojimo dienos ir bus skirtas tiek duomenų valdytojams ir tvarkytojams ūkio subjektams (ir juridiniams, ir fiziniams asmenims), tiek valstybinės valdžios institucijoms. Už jo nevykdymą, kaip ir kitais Reglamento pažeidimo atvejais, numatomos milžiniškos baudos.

Poveikio duomenų apsaugai vertinimas (angl. Data Protection Impact Assessment, toliau — DPIA) iš esmės yra ne kas kita, kaip jau žinomas duomenų apsaugos įmonėje, įstaigoje, organizacijoje auditas, kurio metu yra įvertinamos atliekamos operacijos bei ateičiai parenkami tam tikri sprendimai, turintys užtikrinti duomenų subjektų teisių ir laisvių apsaugą duomenų tvarkymo operacijų metu.

Šiuo metu galiojanti pareiga duomenų valdytojams (tvarkytojams), prieš pradedant tvarkyti asmens duomenis, registruotis Asmens duomenų valdytojų registre nuo Reglamento įsigaliojimo dienos yra naikinama, vadinasi, formaliai mažinama ūkio subjektams tenkanti administracinė našta. Tačiau iš tiesų naujasis reikalavimas atlikti DPIA daugumai subjektų bus rimtas iššūkis ir pareikalaus ne tik laiko, tam tikrų žinių, bet ir papildomų finansinių įmonės, įstaigos ar organizacijos resursų.

Kai kalbame apie DPIA, mintyse turime du aspektus. Pirma, duomenų valdytojas (tvarkytojas) turi įsivertinti, ar, prieš pradedant tvarkyti asmens duomenis, jam apskritai yra privaloma atlikti DPIA (be abejo, ūkio subjektas gali atlikti DPIA ir savanoriškai). Antra, jei atsakymas teigiamas, jis turi atlikti ir įgyvendinti patį DPIA bei, jei to konkrečiu atveju reikalauja Reglamentas, tokio vertinimo rezultatus pateikti priežiūros institucijai.

Jau užsiminiau, kad DPIA nėra privalomas visais atvejais, o tik kai duomenų tvarkymo operacijų metu fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus. Savaime suprantama, didelis yra vertinamoji sąvoka, tačiau Reglamentas pateikia nebaigtinį sąrašą kriterijų, kuriuos valdytojui (tvarkytojui) atpažinus savo veikloje būtų laikoma, kad duomenų tvarkymo operacijų keliamas pavojus yra didelis. Tam tikrais itin išimtiniais atvejais, net ir nustačius didelį pavojų, Reglamentas leidžia DPIA neatlikti.

Reglamentas didelį pavojų visuomet sieja su duomenų tvarkymo operacijomis, kurios apima naujų technologijų naudojimą arba yra naujos rūšies operacijos, arba susijusios su duomenų perdavimu už ES ribų. Galioja taisyklė, kad jei duomenų valdytojui (tvarkytojui) kyla abejonių, ar jam poveikio vertinimas yra privalomas, rekomenduojama DPIA atlikti.

Pirma kriterijų grupė apima situacijas, kai duomenų valdytojo (tvarkytojo) veikla yra susijusi su sistemingu ir įvairiapusiu duomenų subjekto asmeninių aspektų automatizuotu vertinimu (įskaitant profiliavimą), kai tai duomenų subjekto atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Šių operacijų metu yra siekiama analizuoti arba numatyti tokius duomenų subjekto asmeninius aspektus, kurie yra susiję su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu. Tokių veiklų pavyzdžiai galėtų būti e. parduotuvės atliekama jos klientų pirkimų istorijos analizė, siekiant pasiūlyti individualizuotą produktų krepšelį, arba trumpiausio kelionės maršruto sudarymas ir pasiūlymas programėlės naudotojui, remiantis programėlės surinkta informacija apie jo buvimo vietą, judėjimo greitį, naudojamą transporto priemonę, ir pan.

Antra kriterijų grupė numato, jog DPIA turės būti atliekamas, jei duomenų valdytojo (tvarkytojo) veikla yra susijusi su Reglamente nurodytų specialių kategorijų duomenų tvarkymu dideliu mastu. Tai liečia tiek tam tikrų kategorijų duomenų subjektus, pavyzdžiui, vaikus, psichinėmis ligomis sergančius asmenis, senjorus ir kt., arba tai yra susiję su tam tikrų kategorijų duomenimis, pavyzdžiui, apie teistumą, sveikatą, politines pažiūras, finansinę padėtį, taip pat asmens privatų susirašinėjimą bei tokią asmeniniams poreikiams tenkinti naudojamą informaciją ir duomenis, kaip antai, nuotraukas, užrašus, laikomus „debesyje“ ar kitose duomenų e. kaupyklėse, ir pan. Didelis mastas reiškia, kad yra atliekama tiek ir tokių duomenų tvarkymo operacijų, kuriomis siekiama regioniniu, nacionaliniu ar viršnacionaliniu lygmeniu tvarkyti didelį kiekį asmens duomenų, kurios galėtų daryti poveikį daugeliui duomenų subjektų.

Trečia kriterijų grupė apima veiklas, kurių metu yra atliekamas sistemingas viešos vietos stebėjimas dideliu mastu. Šis kriterijus padeda užtikrinti tokių valdytojo (tvarkytojo) veiklų kontrolę, kurių metu viešose vietose stebimi duomenų subjektai paprastai nežino, kas juos stebi bei kaip jų duomenys vėliau gali būti panaudojami, nekalbant apie tai, kad esama daug situacijų, kai duomenų subjektai gali nė nežinoti, kad apskritai yra stebimi, pavyzdžiui, vaizdo stebėjimo gatvėse, viešojo transporto stotelėse ir kt. atveju.

Savaime suprantama, nesant didelio pavojaus asmenų teisėms ir laisvėms, arba jei DPIA jau anksčiau buvo atliktas panašaus turinio operacijoms įvertinti ir jos stipriai nesikeitė, arba egzistuoja teisinis pagrindas ES arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojui (tvarkytojui), ir tokia teisė reglamentuoja atitinkamą konkrečią duomenų tvarkymo operaciją ar operacijų seką, pareiga atlikti DPIA neatsiranda.

Kalbant apie tai, kaip DPIA turi būti atliekamas, į pagalbą duomenų valdytojui (tvarkytojui) ateina duomenų apsaugos pareigūnas, jei tokį valdytojas (tvarkytojas) privalo turėti arba savanoriškai nusprendžia turėti. Reglamente yra pateikti kertiniai orientaciniai DPIA atlikimo metodologijos etapai, numatantys, jog vertinime turi būti bent jau:

1) aprašomos duomenų tvarkymo operacijos, tvarkymo tikslai;

2) aprašomas duomenų tvarkymo operacijų reikalingumas ir proporcingumas, palyginti su tikslais, ir pateikiamas to vertinimas;

3) įvertinamas pavojus duomenų subjektų teisėms ir laisvėms;

4) aprašomos tokiems pavojams šalinti reikalingos priemonės, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama asmens duomenų apsauga ir įrodoma, kad laikomasi Reglamento, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus.

Naujasis reguliavimas numato pareigą nacionalinėms priežiūros institucijoms (Lietuvoje — Valstybinei duomenų apsaugos inspekcijai) iki 2018 m. balandžio 30 d. sudaryti ir viešai paskelbti duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti DPIA, sąrašą, taip pat ir sąrašą tokių operacijų, kurioms vertinimo atlikimo reikalavimas netaikomas. Susipažinus su šiais sąrašais, ūkio subjektams bus neabejotinai daug paprasčiau įsivertinti, ar jų veiklai reikalingas DPIA, o iki to laiko duomenų valdytojams (tvarkytojams) rekomenduojama pradėti savarankiškai analizuoti savo veiklos procesus ir operacijų turinį jau aptartų kriterijų ir metodologijos etapų kontekste.

Visais atvejais DPIA turės būti atliekamas iš naujo, kai keisis atliekamų procesų ir operacijų turinys. Nesant tokių duomenų valdytojo (tvarkytojo) veiklos pokyčių, rekomenduojama, jog DPIA būtų kartojamas kas treji metai, arba, priklausomai nuo vykdomos veiklos pobūdžio, — ir daug dažniau.

Taigi, kad ir kokį metodą pasirinktų duomenų valdytojas (tvarkytojas), įgyvendindamas anksčiau aptartus etapus ir siekdamas DPIA numatytų tikslų, svarbu, kad poveikio duomenų apsaugai vertinimas nebūtų laikomas dar viena formalia pareiga. Naujuoju reguliavimu siekiama, kad patys valdytojai (tvarkytojai) DPIA suprastų kaip reikšmingą bei naudingą vidinį įmonės, įstaigos, organizacijos procesą, kurio tikslus įmanoma pasiekti tik su sąlyga, kad toks vertinimas yra atliekamas kruopščiai ir teisingai, laikantis Reglamento reikalavimų ir įsiklausant į rekomendacijas.

 

Kornelija Basijokienė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė

Straipsnis publikuotas naujienų portale vz.lt


Teisininkai: Kornelija Basijokienė

Kontaktai

Jogailos 4, 01116 Vilnius
Telefonas: +370 5 2690 700