Poveikio duomenų apsaugai vertinimas (PDAV)

Paslauga

Duomenų valdytojai ir duomenų tvarkytojai t. y. organizacijos, kurios atlieka asmens duomenų tvarkymo operacijas, turi įgyvendinti Bendrojo duomenų apsaugos reglamento (BDAR) atitikties reikalavimus, siekiant užtikrinti fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisę į asmens duomenų apsaugą.

Kai dėl duomenų tvarkymo rūšies, ypač naudojant inovatyvias technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus, organizacijos privalo atlikti poveikio duomenų apsaugai vertinimą (PDAV).

PDAV – tai procesas, skirtas duomenų tvarkymui aprašyti ir tokio tvarkymo reikalingumui ir proporcingumui įvertinti, padedantis valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl asmens duomenų tvarkymo, jį įvertinant ir nustatant šio pavojaus pašalinimo priemones. PDAV yra svarbi atskaitomybės priemonė, nes padeda duomenų valdytojams ne tik laikytis BDAR, bet ir įrodyti, kad, siekiant užtikrinti atitiktį BDAR, buvo imtasi tinkamų priemonių. Kitaip tariant, PDAV – tai atitikties užtikrinimo ir įrodymo procesas. Valstybinė duomenų apsaugos inspekcija (VDAI) yra patvirtinusi sąrašą duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti PDAV.

BDAR nustatyta, kad nesilaikant PDAV reikalavimų VDAI gali skirti administracines baudas. Jeigu PDAV neatliekamas tais atvejais, kai dėl duomenų tvarkymo jį reikia atlikti, jei PDAV atliekamas neteisingai arba jei nesikonsultuojama su VDAI, kai to reikalaujama, gali būti skiriama administracinė bauda iki 10 000 000 arba, įmonės atveju, iki 2% bendros pasaulinės metinės apyvartos, gautos ankstesniais finansiniais metais, visada skiriama didesnė bauda.

Eiga

• Surenkame įrodymus ir informaciją
• Vertiname duomenų tvarkymo operacijas ir duomenų tvarkymo tikslus
• Vertiname asmens duomenų tvarkymo teisėtumą ir tvarkymo proporcingumą
• Vertiname duomenų subjektų teisėms ir laisvėms kylančius pavojus
• Pasiūlome priemones pašalinti pavojus duomenų subjektams
• Parengiame motyvuotas vertinimo išvadas

Rezultatas

• Aprašytos duomenų tvarkymo operacijos ir duomenų tvarkymo tikslai. Aprašyta – duomenų tvarkymo operacijų tikslas, duomenų subjektų kategorijos, duomenų kategorijos, specialių kategorijų duomenys, duomenų kilmės šaltinis, apytikslis duomenų subjektų skaičius ir geografinė aprėptis, duomenų gavėjai, duomenų saugojimo terminai
• Atliktas duomenų tvarkymo operacijų reikalingumo ir proporcingumo, palyginti su tikslais, vertinimas. Aprašytas asmens duomenų tvarkymo teisėtumas ir tvarkymo proporcingumas
• Atliktas duomenų subjektų teisėms ir laisvėms kylančių pavojų vertinimas. Nustatyta pavojaus duomenų subjekto teisėms ir laisvėms tikimybė ir rimtumas, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Pavojus įvertintas remiantis objektyviu įvertinimu, kurio metu nustatinėta, ar duomenų tvarkymo operacijos yra susijusios su pavojumi arba dideliu pavojumi (pagal BDAR preambulės 76 punktą)
• Pasiūlytos priemonės pašalinti pavojus duomenų subjektams. Pasiūlytos priemonės pašalinti pavojus duomenų subjektams, įskaitant apsaugos priemones, saugumo priemones ir mechanizmus, kuriais užtikrinama duomenų subjektų duomenų apsauga ir įrodoma, kad laikomasi BDAR, atsižvelgiant į duomenų subjektų ir kitų susijusių asmenų teises ir teisėtus interesus
• Pateiktos PDAV išvados. Parengtos apibendrintos PDAV išvados

Nauda

• Nustatytas asmens duomenų tvarkymo teisėtumas
• Pašalintas pavojus duomenų subjektų teisėms ir laisvėms
• Surinkti PDAV atlikimo įrodymai
• Užtikrinta BDAR reikalavimų atitiktis

Atsiliepimai

• Įgyvendintas Kultūros paveldo departamento prie Kultūros ministerijos „Informacinių sistemų saugos vertinimo paslaugų“ projektas