Naujienos

Kada privaloma atlikti poveikio duomenų apsaugai vertinimą?

Poveikio duomenų apsaugai vertinimo pareiga bendrovėms / valstybinėms institucijoms įtvirtinta nuo praėjusių metų gegužės 25 d. įsigaliojusiame Bendrajame duomenų apsaugos reglamente (ES) 2016/679 (BDAR). Šis tiesiogiai taikomas ES teisės aktas numato, jog asmens duomenų valdytojai turi atlikti išankstinę vertinamąją procedūrą, kai dėl duomenų tvarkymo rūšies (ypač kai naudojamos inovatyvios technologijos) ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus.

Jeigu skaitant pirmąją pastraipą pagalvojote, kad pagal BDAR painu nustatyti ir Jums nėra aišku, kada faktiškai duomenų valdytojo atliekamas asmens duomenų tvarkymas gali kelti pavojų fizinių asmenų teisėms ir laisvėms bei reikalinga atlikti poveikio duomenų apsaugai vertinimą – ilgai lauktą atsakymą teikia Valstybinė duomenų apsaugos inspekcija (VDAI). VDAI direktoriaus įsakymu buvo patvirtintas asmens duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas ir nustatyta, kad jį būtina iš anksto atlikti tais atvejais, kai bendrovė / valstybinė institucija siekia:

  • Asmens duomenų tvarkymą atlikti mokslinių ar istorinių tyrimų tikslais bent vienu iš žemiau nurodytų atvejų:
  1. kai be duomenų subjekto (asmens) sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius;
  2. kai tvarkomi nepilnamečių asmenų duomenys;
  3. kai tvarkomas asmens kodas.
  • Asmens duomenų tvarkymą vykdyti dideliu mastu, kai asmens duomenys gaunami ne iš asmens, o informacijos apie tvarkymą šiam asmeniui pateikimas yra neįmanomas arba informavimui reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma pasiekti tvarkymo tikslus, arba jų pasiekimas būtų apsunkinamas.
  • Vykdyti asmens duomenų tvarkymą, kai visų duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas arba pareikalautų neproporcingų pastangų.
  • Tvarkyti biometrinis duomenis, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, asmenų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų asmenų duomenys.
  • Vykdyti genetinių duomenų tvarkymą, siekiant atlikti asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.
  • Atlikti vaizdo duomenų tvarkymą, kai vaizdo stebėjimas vykdomas patalpose ir / ar teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais. Arba vykdyti vaizdo duomenų tvarkymą sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims. Arba vaizdo stebėjimas vykdyti kartu su garso įrašymu.
  • Atlikti pokalbių telefonu įrašymą.
  • Asmens duomenų tvarkymą įgyvendinti naudojant inovatyvias technologija sarba egzistuojančias technologijas panaudojant nauju būdu ir kai siekiama tvarkyti pažeidžiamų asmenų asmens duomenis.
  • Vaikų asmens duomenų tvarkyti tiesioginės rinkodaros tikslais, atlikti vaikų asmeninių aspektų vertinimą, kuris grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai siekiama siūlyti informacinės visuomenės paslaugas.
  • Atlikti darbuotojų asmens duomenų tvarkymą stebėsenos ar kontrolės tikslais: asmens vaizdo ir / ar garso duomenų tvarkymą darbo vietoje ir / ar duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, vykdyti asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymą.

Aukščiau nurodytas asmens duomenų tvarkymo operacijų sąrašas nėra baigtinis. Atveju, jeigu duomenų valdytojas sieks kitais tikslais tvarkyti asmens duomenis ir dėl šių tikslų gali kilti didelis pavojus asmenų teisėms bei laisvėms (kaip tai numato BDAR 35 str.) – poveikio duomenų apsaugai vertinimą visgi reikalinga atlikti.

Su visu VDAI patvirtintu duomenų tvarkymo operacijų sąrašu ir susijusia informacija galima susipažinti čia.

Susijusios naujienos

Dirbtinis intelektas – tai reiškinys, kurį galima būtų susieti ir su antikos mitologija, ir pasakų vaikams herojais. Šiam reiškiniui priskiriama visa, kas nėra gyva ir neturi galimybės savarankiškai pažinti priežasties ir pasekmės…

Facebook grupėje, vienijančioje konkretaus produkto gerbėjus, kilo diskusija, dėl patento ir dizaino terminologijos. Produkto pardavėjai paskelbė, jog jų gaminys yra patentuotas, tačiau, kaip įrodymą, pateikė dizaino registracijos…

Informuojame, kad šioje svetainėje naudojami slapukai (angl. cookies). Sutikdami, paspauskite mygtuką „Sutinku“ arba naršykite toliau. Savo duotą sutikimą bet kada galėsite atšaukti pakeisdami savo interneto naršyklės nustatymus ir ištrindami įrašytus slapukus.