Poveikio duomenų apsaugai vertinimas. Kas tai ir kada jo reikia?

2018 m. gegužės 25 d. įsigaliojęs bendrasis duomenų reglamentas (toliau - BDAR) atnešė nemažai naujovių, kurių taikymą kartais vis dar sudėtinga perprasti. Paminėtina, būtent poveikio duomenų apsaugai vertinimas.

Apie šį reikalavimą Lietuvoje plačiau pradėta kalbėti dar ne taip ir seniai - nuo tada, kai 2019 m. kovo 14 d. Valstybinės duomenų apsaugos inspekcijos direktorius įsakymu patvirtino duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą. Su juo galite susipažinti paspaudę ant šios nuorodos.

Išties, paskelbus šį sąrašą pareiga atlikti poveikio duomenų apsaugai vertinimą atsirado daugybei įmonių, kadangi į sąrašą buvo įtrauktos ir, iš pirmo žvilgsnio, išties ganėtinai paprastos ir dažnai pasitaikančios duomenų tvarkymo operacijos.

Poveikio duomenų apsaugai vertinimu siekiama įvertinti ar atliekama duomenų tvarkymo operacija nekelia didelio pavojaus fizinių asmenų teisėms ir laisvėms, ar kitaip neapriboja fizinių asmenų galimybės pasinaudoti savo teisėmis duomenų apsaugos srityje ir galimybės valdyti savo asmens duomenis.

Atvejų, kuomet yra privalomas poveikio duomenų apsaugai vertinimas sąrašas yra ganėtinai platus, tačiau žiūrint iš medicinos įstaigų perspektyvos, dažniausiai pasitaikantys atvejai, kuomet klinikoms reikėtų atlikti poveikio duomenų apsaugai vertinimą yra šie:

• pokalbių telefonu įrašymas;
• Vaizdo stebėjimas, kuomet į stebėjimo lauką patenka ne medicinos įstaigos patalpos ir teritorija (valdoma nuomos ar nuosavybės teise);
• Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais (t.y. ne saugumo tikslais, pavyzdžiui, atliekamas asmens vaizdo ir (ar) garso duomenų stebėjimas darbo kokybės vertinimo tikslais).

Aukščiau minėtame Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymo 6.2 p. yra nurodyta, kad poveikio duomenų apsaugai vertinimas turi būti atliktas, kai vaizdo stebėjimas vykdomas sveikatos priežiūros įstaigose. Atsižvelgiant į šią nuostatą, TrustGuru teisininkai yra pateikę užklausą ADA, kurioje buvo klausiama:

1. jei vaizdo stebėjimas vykdomas turto apsaugos tikslu, medicinos klinikoje, patalpoje, kurioje teikiamos medicinos paslaugos ir, be kita ko, yra įrengta brangi paslaugų teikimui reikalinga įranga, ar medicinos klinikai būtina atlikti poveikio duomenų apsaugai vertinimą?
2. jei vaizdo stebėjimas vykdomas turto apsaugos bei darbuotojų apsaugos tikslu, medicinos klinikoje, laukiamajame (patalpoje, kurioje medicinos paslaugos nėra teikiamos), ar medicinos klinikai būtina atlikti poveikio duomenų apsaugai vertinimą?
3. jei vaizdo stebėjimas vykdomas medicinos klinikoje, patalpoje, kurioje atliekamos rentgenodiagnostikos procedūros ir vaizdo stebėjimas yra įrengtas bei atliekamas pagal Lietuvos higienos normos HN 31:2008 „Radiacinės saugos reikalavimai medicininėje rentgenodiagnostikoje“ 21 p., o vaizdo stebėjimo duomenys nėra išsaugomi, ar būtina medicinos klinikai atlikti poveikio duomenų apsaugai vertinimą?

Gavę atsakymus iš Valstybinės duomenų apsaugos inspekcijos atnaujinsime šį Trustguru blogo įrašą.

Poveikio duomenų apsaugai vertinime turėtų būti:

• duomenų tvarkymo operacijos/-ų aprašymas;
• duomenų tvarkymo tikslai (įskaitant, jei duomenų tvarkymo operacija yra vykdoma remiantis teisėtu interesu, teisėtų interesų aprašymą);
• duomenų tvarkymo operacijos/-ų reikalingumo ir proporcingumo vertinimas;
• pavojams pašalinti numatytos saugumo ir apsaugos priemonės, procedūros ar mechanizmai;
• išvada, kad atliekant vertinamą duomenų tvarkymo operaciją yra laikomasi BDAR.

Jei atlikus tokį vertinimą gaunama išvada, jog vertinama duomenų tvarkymo operacija nekelia didelio pavojaus fizinių asmenų teisėms ir laisvėms, be kliūčių galima pradėti šią vykdyti. Pažymėtina, jog patį poveikio duomenų apsaugai vertinimo aktą vertinga tvarkingai dokumentuoti ir išsaugoti, kadangi jis gali būti nepakeičiamas įrodinėjant, kad laikomasi BDAR nuostatų, susijusių su poveikio duomenų apsaugai vertinimu, bei kitų reglamento taisyklių.