Jei atliekate vaizdo stebėjimą, Jums gali tekti atlikti poveikio duomenų apsaugai vertinimą

Kaip jau žinia, šių metu gegužės 25 d. įsigaliojo Bendrasis duomenų apsaugos reglamentas (toliau – „GDPR“), kuriuo buvo atlikta reforma asmens duomenų apsaugos srityje, Europos mastu. Šis reglamentas numato bendrąsias taisyklės bei principus, kuriomis turi vadovautis duomenų valdytojai ir duomenų tvarkytojai, rinkdami, naudodami ir saugodami asmens duomenis.

GDPR 35 straipsnis numato aplinkybes, kurioms esant turėtų būti atliekamas poveikio duomenų apsaugai vertinimas. Visų pirma, aptarkime, kas yra poveikio duomenų apsaugai vertinimas. Trumpai apibūdinant šį procesą, tai yra vieno ar kelių susijusių bendrovės vidinių procesų, kuriais yra renkami, naudojami ar saugomi asmens duomenys, auditas. Tokiu auditu siekiama patikrinti kaip tikrinami procesai gali paveikti fizinių asmenų teises ar laisves, t. y. siekiama patikrinti ar dėl naudojamų procesų gali kilti pavojus asmenų teisėms ir laisvėms.

Grįžtant prie teisinių aspektų, GDPR nurodo, kad poveikio vertinimas turi būti atliekamas tokiems procesams, dėl kurių gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. GDPR apibrėžė kriterijus, kuomet poveikio vertinimas pirmiausia turi būti atliekamas:

  • kai atliekamas sistemingas ir išsamus su fiziniais asmenimis susijusių asmeninių aspektų vertinimas, kuris grindžiamas automatizuotu tvarkymu (įskaitant asmenų profiliavimą) ir kuriuo remiantis yra priimami sprendimai, kuriais padaromas teisinis arba panašus didelis poveikis;
  • kai dideliu mastu yra tvarkomi jautrūs duomenys arba duomenys apie asmenų teistumą;
  • kai yra atliekamas sistemingas viešos vietos stebėjimas dideliu mastu.

Taip pat, GDPR nurodo, kad sprendžiant ar reikia atlikti poveikio asmens duomenų apsaugai vertinimą būtina atsižvelgti į kitus elementus, tokius kaip duomenų tvarkymo rūšį, ar naudojamos naujos technologijos, duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus ir pan. Galutinį sąrašą atvejų, kuomet privaloma atlikti poveikio duomenų apsaugai vertinimą GDPR paliko nuspręsti kompetentingoms valstybių narių institucijoms (Lietuvoje – Valstybinė duomenų apsaugos inspekcija). Šis sąrašas turi būti derinamas su naujai įkurta ES institucija – Europos duomenų apsaugos valdyba.

Taigi, nacionalinės institucijos turi nustatyti konkrečius atvejus, kada poveikio duomenų apsaugai vertinimas bus privalomas. Jos, taip pat, gali nustatyti atvejus kada tokio vertinimo nereikės. Taigi, Valstybinė duomenų apsaugos inspekcija yra parengusi teisės akto projektą (jį galite rasti paspaudę ant šios nuorodos), kuriame numatyta, kad poveikio duomenų apsaugai vertinimą būtina atlikti, kai:

  • vaizdo stebėjimas vykdomas duomenų valdytojui nepriklausančiose patalpose/teritorijose, sveikatos priežiūros, socialinės globos, įkalinimo įstaigose bei kitose įstaigose, kuriose paslaugos teikiamos pažeidžiamiems asmenims arba vaizdo stebėjimas vykdomas kartu su garso įrašymu;
  • vaizdo stebėjimas yra atliekamas darbo vietoje, kurioje dirba duomenų valdytojo darbuotojai.

Pažymėtina, kad tai nėra vieninteliai atvejai, kada poveikio vertinimas gali būti privalomas. Šiame teisės akto projekte taip pat numatyta, kad tokį poveikio asmens duomenų apsaugai vertinimą, įsigaliojus šiam teisės aktui, būtų privaloma atlikti ir kitais atvejais, kurie naudojami praktikoje, pvz.:

  • kai atliekamas pokalbių telefonu įrašymas;
  • kai atliekamas darbuotojų komunikacijos, elgesio, vietos ar judėjimo stebėjimas;
  • kai tvarkomi biometriniai ir genetiniai asmens duomenys ir t.t.

Svarbu tai, kad poveikio duomenų apsaugai vertinimas turi būti atliekamas prieš pradedant tvarkyti duomenis naudojant aukščiau paminėtus atvejus. Taigi, jei atliekate vaizdo stebėjimą, telefoninių pokalbių įrašymą ar atliekate kitus duomenų tvarkymo veiksmus, patenkančius į šį sąrašą, nenorėdami atlikti GDPR pažeidimo, privalėsite nedelsiant nutraukti šias operacijas ir atlikti poveikio duomenų apsaugai vertinimą. Negana to, jei poveikio duomenų apsaugai vertinime būtų nustatyta, kad taikoma priemonė gali kelti didelį pavojų asmenų teisėms ir laisvėms, norint ją naudoti bus privaloma konsultuotis su Valstybine duomenų apsaugos inspekcija. Jai turėsite nurodyti priemones, kuriomis sumažintumėte esamą pavojų. Atsakymą bei savo rekomendacijas Valstybinė duomenų apsaugos inspekcija privalės pateikti per 8 savaites, šis terminas gali būti pratęstas šešiomis savaitėmis.

Atkreipiame dėmesį, kad šis teisės aktas šiuo metu dar nėra įsigaliojęs, todėl yra tikimybė, kad šis duomenų tvarkymo priemonių sąrašas dar gali pasikeisti. Savo skaitytojus informuosime apie šio teisės akto įsigaliojimą bei pakeitimus.

 

Karolis Sadauskas | Asocijuotas teisininkas

Pylimo g. 41A, LT–01136, Vilnius, Lietuva

El. paštas: karolis.sadauskas@linden.lt

Tel.: +37052121506