Būtinas su duomenų subjektų teisių ir laisvių pažeidimu susijusių rizikų vertinimas
Su #Allaw komanda, konsultuojant apie BDAR prievoles, atliekant ir audituojant PDAV, tenka matyti klientų anksčiau atliktų poveikio duomenų apsaugai vertinimų ataskaitas. Deja, daugelyje jų apsiribojama aprašyti asmens duomenų tvarkymo operaciją, nurodyti, kokie asmens duomenys tvarkomi, kokios techninės priemonės naudojamos asmens duomenims tvarkyti. Pamirštama itin svarbi procedūra – su duomenų subjektų teisių ir laisvų pažeidimų susijusių rizikų vertinimas. Pagal BDAR poveikio duomenų apsaugai vertinimas yra duomenų subjektų teisėms kylančių pavojų valdymo priemonė, todėl, atliekant šį vertinimą turi būti atsižvelgiama į jų padėtį, organizacija turi įvertinti fizinių asmenų pagrindinėms teisėms ir laisvėms kylantį poveikį dėl galimo asmens duomenų saugumo pažeidimo. Pavyzdžiui, ar gresia tiesiog tam tikri nepatogumai – fizinis asmuo gali susidurti su tam tikrais nepatogumais (pvz., sugaištas laikas iš naujo suvedant informaciją, susierzinimas, nepasitenkinimas ir pan.), ar fizinis asmuo gali patirti dideles ar negrįžtamas pasekmes, kurių negalės ištaisyti, pašalinti (pvz., negalėjimas dirbti, ilgalaikiai psichiniai ar fiziniai negalavimai, mirtis ir pan.). Tik įvertintus rizikas galima parinkti adekvačias organizacines ir technines priemones duomenų apsaugai užtikrinti. Atskira tema, kai rizikų vertinimas atliekamas paviršutiniškai.
Turi būti įvertinamos planuojamos ir esamos asmens duomenų apsaugos priemonės
Praktikoje neretai nėra įvertinamos planuojamos ir esamos asmens duomenų apsaugos priemonės. Nevertinamos nei priemonės, kuriomis prisidedama prie duomenų tvarkymo proporcingumo ir būtinumo, nei priemonės, padedančios užtikrinti duomenų subjektų teises. Apsiribojama šių priemonių aprašymu ir atliktu balanso testu, įvertinant organizacijos teisėto intereso pobūdžio ir šaltinio bei poveikio duomenų subjektui pusiausvyrą (balansą). Tačiau tokiu atveju nepasiekiamas tikslas, kurį turi atlikti poveikio duomenų apsaugai vertinimas – suvaldyti duomenų subjektų teisėms kylančius pavojus.
Kaip atlikti poveikio duomenų apsaugai vertinimą teisingai
Prieš atliekant poveikio duomenų apsaugai vertinimą, būtina kreiptis į duomenų apsaugos pareigūną, duomenų tvarkymo koordinatorių ar kitą duomenų apsaugos specialistą, kuris suteiktų informaciją apie prievoles ir pakonsultuotų. DAP viena iš funkcijų yra paprašius konsultuoti dėl poveikio duomenų apsaugai vertinimo ir stebėti jo atlikimą pagal BDAR 35 straipsnį. Taip pat poveikio duomenų apsaugai vertinimas turi būti atliekamas teisingai (BDAR 35 str. 2 dalis ir 7 -10 dalys). Tam padeda tinkamai parengta Poveikio duomenų apsaugai vertinimo procedūra. Įvertinamos su su duomenų subjektų teisių ir laisvių pažeidimais susijusios rizikos. PDAV ataskaitoje duomenų apsaugos priemonės ne tik aprašomos, bet ir vertinamos. Numatomi korekciniai veiksmai, kurių poreikis nustatomas atliekant poveikio vertinimą. Tik tokia PDAV ataskaita, kuri įvertina minėtas rizikas, numato atitiktį duomenų subjektų teisėms ir BDAR principams bei duomenų saugos rizikų valdymą, padeda užtikrinti atitiktį BDAR reikalavimams. Išmokti, kaip teisingai atlikti poveikio duomenų apsaugai vertinimą, sužinoti, kokie yra vaidmenys ir atsakomybės jo metu, galima pasitelkiant Allaw įrankį „Atitikties mokymų erdvė„. Kaip atlikti PDAV yra mokoma specializuotoje Allaw e-mokymų programoje „Kaip teisingai atlikti PDAV”. Svarbiausi PDAV atlikimo aspektai, tarp kurių ir esamų bei planuojamų priemonių vertinimas, korekcinių priemonių parinkimas analizuojami ir įvadinių BDAR e-mokymų bei kasmetinių BDAR žinių atnaujinimo programose.