Naujienos

Kada privaloma atlikti poveikio duomenų apsaugai vertinimą?

Poveikio duomenų apsaugai vertinimo pareiga bendrovėms / valstybinėms institucijoms įtvirtinta nuo praėjusių metų gegužės 25 d. įsigaliojusiame Bendrajame duomenų apsaugos reglamente (ES) 2016/679 (BDAR). Šis tiesiogiai taikomas ES teisės aktas numato, jog asmens duomenų valdytojai turi atlikti išankstinę vertinamąją procedūrą, kai dėl duomenų tvarkymo rūšies (ypač kai naudojamos inovatyvios technologijos) ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus.

Jeigu skaitant pirmąją pastraipą pagalvojote, kad pagal BDAR painu nustatyti ir Jums nėra aišku, kada faktiškai duomenų valdytojo atliekamas asmens duomenų tvarkymas gali kelti pavojų fizinių asmenų teisėms ir laisvėms bei reikalinga atlikti poveikio duomenų apsaugai vertinimą – ilgai lauktą atsakymą teikia Valstybinė duomenų apsaugos inspekcija (VDAI). VDAI direktoriaus įsakymu buvo patvirtintas asmens duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas ir nustatyta, kad jį būtina iš anksto atlikti tais atvejais, kai bendrovė / valstybinė institucija siekia:

  • Asmens duomenų tvarkymą atlikti mokslinių ar istorinių tyrimų tikslais bent vienu iš žemiau nurodytų atvejų:
  1. kai be duomenų subjekto (asmens) sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius;
  2. kai tvarkomi nepilnamečių asmenų duomenys;
  3. kai tvarkomas asmens kodas.
  • Asmens duomenų tvarkymą vykdyti dideliu mastu, kai asmens duomenys gaunami ne iš asmens, o informacijos apie tvarkymą šiam asmeniui pateikimas yra neįmanomas arba informavimui reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma pasiekti tvarkymo tikslus, arba jų pasiekimas būtų apsunkinamas.
  • Vykdyti asmens duomenų tvarkymą, kai visų duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas arba pareikalautų neproporcingų pastangų.
  • Tvarkyti biometrinis duomenis, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, asmenų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų asmenų duomenys.
  • Vykdyti genetinių duomenų tvarkymą, siekiant atlikti asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.
  • Atlikti vaizdo duomenų tvarkymą, kai vaizdo stebėjimas vykdomas patalpose ir / ar teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais. Arba vykdyti vaizdo duomenų tvarkymą sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims. Arba vaizdo stebėjimas vykdyti kartu su garso įrašymu.
  • Atlikti pokalbių telefonu įrašymą.
  • Asmens duomenų tvarkymą įgyvendinti naudojant inovatyvias technologija sarba egzistuojančias technologijas panaudojant nauju būdu ir kai siekiama tvarkyti pažeidžiamų asmenų asmens duomenis.
  • Vaikų asmens duomenų tvarkyti tiesioginės rinkodaros tikslais, atlikti vaikų asmeninių aspektų vertinimą, kuris grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai siekiama siūlyti informacinės visuomenės paslaugas.
  • Atlikti darbuotojų asmens duomenų tvarkymą stebėsenos ar kontrolės tikslais: asmens vaizdo ir / ar garso duomenų tvarkymą darbo vietoje ir / ar duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, vykdyti asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymą.

Aukščiau nurodytas asmens duomenų tvarkymo operacijų sąrašas nėra baigtinis. Atveju, jeigu duomenų valdytojas sieks kitais tikslais tvarkyti asmens duomenis ir dėl šių tikslų gali kilti didelis pavojus asmenų teisėms bei laisvėms (kaip tai numato BDAR 35 str.) – poveikio duomenų apsaugai vertinimą visgi reikalinga atlikti.

Su visu VDAI patvirtintu duomenų tvarkymo operacijų sąrašu ir susijusia informacija galima susipažinti čia.

Susijusios naujienos

Norime pasidžiaugti mūsų AAA Law kontoros pasiektu Lietuvos apeliaciniame teisme procesiniu sprendimu, kuriame teismas pasisakė dėl tarptautinio teismingumo AAA Law kliento (ieškovo) naudai ir konstatavo, jog byla nepaisant atsakovo…

1962 m. įkurta šeimos valdoma drabužių įmonė „Bentley Clothing“ naudojo prekių ženklą „Bentley“ drabužiams žymėti. Tuo tarpu prabangių automobilių gamintojas drabužius pirmą kartą pradėjo pardavinėti 1987 m. ir tam…

Norime pasidžiaugti mūsų AAA LAW kontoros laimėta byla Lietuvos vyriausiame administraciniame teisme sėkmingai apgynus mūsų atstovaujamo pareiškėjo, kuris buvo pareiškęs pareiškimą dėl patirtos turtinės ir neturtinės žalos…

Siekdami tobulinti svetainę, pasiūlyti geresnes bei Jums pritaikytas paslaugas, šioje svetainėje naudojame slapukus (angl. cookies). Sutikdami, paspauskite mygtuką „Sutinku“. Nenaudosime slapukų jūsų įrenginyje, jei nesutiksite. Tačiau paaiškiname, jog jeigu nesutiksite, tam tikros svetainės funkcijos gali neveikti tinkamai arba visai neveikti. Savo duotą sutikimą bet kada galėsite atšaukti. Daugiau informacijos apie asmens duomenų tvarkymą, slapukus, jais renkamus asmens duomenis, Jūsų teises bei kitą su privatumu susijusią informaciją, rasite mūsų Privatumo politikoje.