Poveikio duomenų apsaugai vertinimas. Kas tai ir kada jo reikia?

Bendrasis duomenų apsaugos reglamentas (toliau – BDAR), kuris įsigaliojo 2018 m. gegužės  25 d. pakeitė nemažai iki tol galiojusių taisyklių bei įnešė keletą naujovių. Viena iš tokių – poveikio duomenų apsaugai vertinimas. Iki šiol apie reikalavimą atlikti tokį vertinimą nebuvo daug kalbama, tačiau taip buvo ne be priežasties.

Europos sąjungos valstybių kompetentingos institucijos turėjo sukurti sąrašus, kuriuose būtų numatytos duomenų tvarkymo operacijos, kurioms privaloma atlikto poveikio duomenų apsaugai vertinimą ir paskelbti juos viešai. Valstybinė duomenų apsaugos inspekcija tokio sąrašo projektą parengė ganėtinai senai, tačiau jis turėjo būti suderintas su Europos duomenų apsaugos valdyba, tad galutinis sąrašo paskelbimas kiek užtruko. Ir štai, 2019 m. kovo 15 d. Valstybinės duomenų apsaugos inspekcijos direktorius įsakymu patvirtino duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikto poveikio duomenų apsaugai vertinimą, sąrašą. Su juo galite susipažinti paspaudę ant šios nuorodos.

Paskelbus šį sąrašą, prievolė atlikti tokį vertinimą atsirado daugybei įmonių, kadangi į šį sąrašą buvo įtrauktos, iš pirmos pažiūros, ganėtinai paprastos ir dažnai pasitaikančios duomenų tvarkymo operacijos. Tačiau apie jas šiek tiek vėliau. Pirma reikėtų išsiaiškinti, kas yra poveikio duomenų apsaugai vertinimas?

Kaip apibrėžiame 29 straipsnio darbo grupės gairėse (dabartinė Europos duomenų apsaugos valdyba), poveikio duomenų apsaugai vertinimas yra procesas, skirtas apibūdinti vertinamą duomenų tvarkymo operaciją, įvertinti jos būtinumą bei proporcingumą ir padėti suvaldyti iš šio duomenų tvarkymo operacijos kylantį pavojų fizinių asmenų teisėms ir laisvėms. Trumpai tariant, šiuo procesu siekiama įvertinti ar atliekama duomenų tvarkymo operacija nekelia didelio pavojaus fizinių asmenų teisėms ir laisvėms ar kitaip neapriboja fizinių asmenų pasinaudoti savo teisėmis duomenų apsaugos srityje ar gebėti valdyti savo asmens duomenis. Tokiame vertinime turėtų būti:

• duomenų tvarkymo operacijos/-ų aprašymas;
• duomenų tvarkymo tikslai;
• jei duomenų tvarkymo operacija vykdoma remiantis teisėto intereso pagrindu, teisėtų interesų aprašymas;
• duomenų tvarkymo operacijos/-ų reikalingumo  ir proporcingumo vertinimas;
• pavojams pašalinti numatytos saugumo priemonės, procedūros ar mechanizmai;
• išvada, kad atliekant vertinamą duomenų tvarkymo operaciją yra laikomasi šio reglamento.

Atlikus tokį vertinimą ir gavus išvadą, kad vertinama duomenų operacija nekelią didelio pavojaus fizinių asmenų teisėms ir laisvėms, bus galima pradėti vykdyti vertinamą duomenų tvarkymo operaciją. Patį poveikio duomenų apsaugai vertinimo aktą derėtų išsaugoti, kadangi jis atlieka įrodymo funkciją, kad laikomasi reglamento nuostatų susijusių su poveikio duomenų apsaugai vertinimų bei padeda užtikrinti bei pademonstruoti, kad yra laikomasi BDAR.

Tiesa, ne visada vertinimo išvada bus tokia, kad vertinama duomenų tvarkymo operacija visiškai atitinka reglamento reikalavimus, nekelia didelio pavojaus fizinių asmenų teisėms ir laisvėms ir/ar neužkerta kelio asmens pasinaudoti savo teisėmis ar žinoti kas yra daroma su jų asmens duomenimis. Tokiu atveju bus privaloma kreiptis į Valstybinę duomenų apsaugos inspekciją ir gauti jų konsultaciją/-as dėl tokios duomenų tvarkymo operacijos vykdymo.

Taigi, kada visgi būtina atlikti šį vertinimą? Į sąrašą duomenų tvarkymo operacijų, kurioms būtinas poveikio duomenų apsaugai vertinimas pateko šios, dažnai sutinkamos duomenų tvarkymo operacijos:

• darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais (pvz.: atliekamas vaizdo stebėjimas, komunikacijos, elgesio, vietos, judėjimo stebėsena);
• pokalbių telefonu įrašymas;
• vaizdo stebėjimas, kai jis nėra atliekamas nuosavybės teise ar kitu pagrindu valdomose patalpose.

Šios duomenų tvarkymo operacijos yra ganėtinai dažnos ir joms teks atlikti poveikio asmens duomenų apsaugai vertinimą, tačiau tai nėra vienintelės duomenų tvarkymo operacijos kai poveikio duomenų apsaugai vertinimas yra būtinas. Į šį sąrašą patenką kiti įvairūs atvejai susiję su jautrių duomenų tvarkymu, atvejais, kai neįmanoma informuoti asmens apie jo duomenų tvarkymą, jautrių duomenų tvarkymą, naujų technologijų naudojimą duomenų tvarkymui ir pan. Tačiau šie atvejai nėra tokie dažni kaip aukščiau paminėti. Taipogi, neverta pamiršti ir paties BDAR, kurio 35 straipsnio 3 dalis nurodo, kad poveikio duomenų apsaugai vertinimas turi būti atliktas, kai:

• dideliu mastu tvarkomi jautrūs duomenys;
• vykdomas sistemingas viešos vietos stebėjimas dideliu mastu;
• vykdomas sistemingas ir išsamus fizinių asmenų asmeninių aspektų vertinimas automatiniu būdų ir remiantis tokiu vertinimu yra priimami sprendimai, kuris sukelia asmeniui teisinį ar panašų didelį poveikį.

Taigi, iš Valstybinės duomenų apsaugos inspekcijos paskelbto sąrašo su duomenų tvarkymo operacijomis, kurioms būtina atlikti poveikio duomenų apsaugai vertinimą bei BDAR 35 straipsnio nuostatų, galima susidaryti bendresnį vaizdą, kokioms operacijoms gali reikėti atlikti poveikio duomenų apsaugai vertinimą.

Kodėl būtinas bendresnis vaizdas? Ogi todėl, kad Valstybinės duomenų apsaugos inspekcijos paskeltas duomenų tvarkymo operacijų sąrašas, kurioms reikalingas poveikio duomenų apsaugai vertinimas, yra tik pavyzdinis. Tai reiškia, kad gali būti tokių atvejų, kai tam tikra duomenų tvarkymo operacija nėra nurodyta šiame sąraše, taip pat nurodyta BDAR 35 straipsnio 3 dalyje, tačiau jai vis vien bus privaloma atlikti tokį vertinimą.

29 straipsnio darbo grupė (dabartinė Europos duomenų apsaugos valdyba) nurodė šiuos kriterijus, siekiant įsivertinti ar nėra būtina atlikti poveikio asmens duomenų apsaugai vertinimą:

• atliekamas asmenų asmeninių savybių vertinimas, įskaitant profiliavimą;
• atliekamas automatinis sprendimų priėmimas, sukeliantis teisines ar panašias neigiamas pasekmes;
• atliekamas sistemingas asmenų stebėjimas;
• tvarkomi jautrūs asmens duomenys;
• duomenys tvarkomi dideliu mastu;
• atliekamas duomenų rinkinių susijimas ar derinimas;
• tvarkomi pažeidžiamų asmenų duomenys (pvz.: pacientų);
• duomenų tvarkymas atliekamas pasitelkiant naujas technologijas ar senas technologijas panaudojant nauju būdu;
• dėl atliekamo duomenų tvarkymo asmuo negali pasinaudoti savo teisėmis (bent viena teise), negali gauti paslaugos ar sudaryti sutarties.

Jei yra tenkinamos bent dvi iš šių sąlygų, laikytina, kad poveikio duomenų apsaugai vertinimas yra privalomas. Pažymėtina, kad kai kurios sąlygos sutampa su Valstybinės duomenų apsaugos inspekcijos paskelbtomis duomenų tvarkymo operacijomis, kuomet būtina atlikti poveikio duomenų apsaugai vertinimą. Tokiais atvejais būtina atlikti tokį vertinimą ir kad duomenų tvarkymo operacija tenkintų dar bent vieną aukščiau paminėtą kriterijų.

Deja, tačiau vargu ar įmanoma sukurti baigtinį sąrašą duomenų tvarkymo operacijų, kurioms būtinas poveikio asmens duomenų apsaugai vertinimas, todėl kiekvienas duomenų valdytojas turėtų įsivertinti, ar jo atliekamoms duomenų tvarkymo operacijoms nereikia atlikti poveikio asmens duomenų apsaugai vertinimo ir esant poreikiui, jį atlikti.