eDap rizika pagrįstas požiūris

Kai Jūsų organizacija renka, saugo ar tvarko asmens duomenis, asmenys, kurių duomenis tvarkote, gali susidurti su rizika. Svarbu, kad asmens duomenis tvarkančios organizacijos imtųsi veiksmų, leidžiančių užtikrinti, kad duomenys būtų tvarkomi teisėtai, saugiai, veksmingai ir efektyviai, kad būtų užtikrinama geriausia įmanoma priežiūra.

BDAR 39 straipsnio 2 dalyje reikalaujama, kad duomenų apsaugos pareigūnas tinkamai įvertintų su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Šiuo bendru sveiko proto principu išorinis "Duomenų apsaugos pareigūnas ALLAW" vadovaujasi kasdieniame savo darbe.

Taip pat vadovaujamės BDAR numatytomis  dviem esminėmis būsimų projektų planavimo koncepsijomis: pritaikytąja duomenų apsauga ir standartizuotąja duomenų apsauga. Nors abu šie principai ilgą laiką buvo rekomenduojami kaip geroji praktika, dabar jie yra įtvirtinti įstatymo lygmenyje  BDAR (25 straipsnis).

Pritaikytoji duomenų apsauga reiškia duomenų privatumo funkcijų ir duomenų privatumą gerinančių technologijų įtraukimą tiesiai į projektų kūrimą ankstyvame etape. Tai padeda užtikrinti geresnę ir ekonomiškesnę asmens duomenų privatumo apsaugą.

Standartizuotoji duomenų apsauga reiškia, kad vartotojo paslaugų nustatymai (pvz., nėra automatinio pasirinkimo kliento paskyrų puslapiuose) turi būti automatiškai pritaikyti duomenų apsaugai ir kad apskritai turi būti renkami tik tie duomenys, kurie yra būtini kiekvienam konkrečiam tvarkymo tikslui.

Pagal BDAR poveikio duomenų apsaugai vertinimas (PDAV) yra privalomas išankstinis asmens duomenų tvarkymo reikalavimas, kai numatomas projektas/iniciatyva/paslauga apima duomenų tvarkymą, kuris „gali sukelti didelį pavojų fizinių asmenų teisėms ir laisvėms“. Tai ypač aktualu, kai jūsų organizacijoje diegiama nauja duomenų tvarkymo technologija. Tais atvejais, kai neaišku, ar PDAV yra griežtai privalomas, (pavyzdžiui, duomenų tvarkymo operacija nėra įtraukta į VDAI patvirtintą Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą), PDAV atlikti vis dar yra geriausia praktika ir labai naudinga priemonė, padedanti duomenų valdytojams įrodyti, kad laikosi duomenų apsaugos reikalavimų. PDAV yra įvairių dydžių ir gali būti įvairių formų, tačiau BDAR nustato pagrindinį veiksmingo PDAV reikalavimą. DPIA atlikimo gaires prisijungę vartotojai ras čia.

Kaip tai darome?

Pirmiausia įvertiname, kokie rizikos veiksniai yra susiję ir kiek jų yra asmens duomenų tvarkymo veikloje.  Nustatome organizacijos duomenų apsaugos rizikas ir jų lygį. Gavę kliento užklausą, taip pat įvertiname grėsmes. Tada savo veiklą suskirstome prioritetais ir daugiausia dėmesio skiriame tiems klausimams, kurie kelia didžiausią pavojų duomenų apsaugai. Tai nereiškia, kad aplaidžiau stebime, kaip laikomasi reglamento vykdant duomenų tvarkymo operacijas, kurių rizikos lygis palyginti žemas, tačiau pagrindinį dėmesį skiriame didelės rizikos sritims. Šis atrankusis pragmatinis požiūris padeda mums konsultuoti duomenų valdytojus, kokią metodiką naudoti atliekant poveikio duomenų apsaugai vertinimą (PDAV), kokių sričių vidaus ar išorės duomenų apsaugos auditas turėtų būti atliekamas, kokius vidinius mokymus organizuoti už duomenų tvarkymo veiklą atsakingiems darbuotojams ar vadovybei ir kokioms duomenų tvarkymo operacijoms skirti daugiau savo laiko ir išteklių.

Kokia nauda klientui?

Rizikos įvertinimas didina mūsų klientų informuotumą apie galimas duomenų apsaugos problemas, susijusias su jų veikla ar atskira jos sritimi, programa, projektu. Tai savo ruožtu padeda  tobulinti planavimą organizacijoje  ir pagerina klientų bendravimą apie duomenų privatumo riziką su atitinkamomis suinteresuotosiomis šalimis.

Duomenų apsaugos rizikos registro tvarkymas leidžia nustatyti ir sumažinti duomenų apsaugos riziką, taip pat įrodyti, kad laikomasi reikalavimų, kai atliekamas priežiūros institucijos tyrimas ar auditas.

Papildoma informacija