Alternative legal and compliance services developed by Juridicon

 
 

Poveikio duomenų apsaugai vertinimas turi būti atliekamas teisingai

Home > Poveikio duomenų apsaugai vertinimas turi būti atliekamas teisingai
 
poveikio duomenų apsaugai vertinimas - allaw
Ar vis dar galvojate, kad, atliekant poveikio duomenų apsaugai vertinimą (PDAV) pakanka aprašyti priemones, kuriomis grindžiamas asmens duomenų tvarkymo operacijų reikalingumas ir proporcingumas, nurodyti, kaip užtikrinamas duomenų subjektų teisių įgyvendinimas?

Būtinas su duomenų subjektų teisių ir laisvių pažeidimu susijusių rizikų vertinimas

Su #Allaw komanda atliekant PDAV tenka matyti klientų anksčiau atliktų poveikio duomenų apsaugai vertinimų ataskaitas. Deja, daugelyje jų apsiribojama aprašyti asmens duomenų tvarkymo operaciją, nurodyti, kokie asmens duomenys tvarkomi, kokios techninės priemonės naudojamos asmens duomenims tvarkyti. Pamirštama itin svarbi procedūra – su duomenų subjektų teisių ir laisvų pažeidimų susijusių rizikų vertinimas. Pagal BDAR poveikio duomenų apsaugai vertinimas yra duomenų subjektų teisėms kylančių pavojų valdymo priemonė, todėl, atliekant šį vertinimą turi būti atsižvelgiama į jų padėtį, organizacija turi įvertinti fizinių asmenų pagrindinėms teisėms ir laisvėms kylantį poveikį dėl galimo asmens duomenų saugumo pažeidimo. Pavyzdžiui, ar gresia tiesiog tam tikri nepatogumai – fizinis asmuo gali susidurti su tam tikrais nepatogumais (pvz., sugaištas laikas iš naujo suvedant informaciją, susierzinimas, nepasitenkinimas ir pan.), ar fizinis asmuo gali patirti dideles ar negrįžtamas pasekmes, kurių negalės ištaisyti, pašalinti (pvz., negalėjimas dirbti, ilgalaikiai psichiniai ar fiziniai negalavimai, mirtis ir pan.). Tik įvertintus rizikas galima parinkti adekvačias organizacines ir technines priemones duomenų apsaugai užtikrinti. Atskira tema, kai rizikų vertinimas atliekamas paviršutiniškai.

Turi būti įvertinamos planuojamos ir esamos asmens duomenų apsaugos priemonės

Praktikoje neretai nėra įvertinamos planuojamos ir esamos asmens duomenų apsaugos priemonės. Nevertinamos nei priemonės, kuriomis prisidedama prie duomenų tvarkymo proporcingumo ir būtinumo, nei priemonės, padedančios užtikrinti duomenų subjektų teises. Apsiribojama šių priemonių aprašymu ir atliktu balanso testu, įvertinant organizacijos teisėto intereso pobūdžio ir šaltinio bei poveikio duomenų subjektui pusiausvyrą (balansą). Tačiau tokiu atveju nepasiekiamas tikslas, kurį turi atlikti poveikio duomenų apsaugai vertinimas – suvaldyti duomenų subjektų teisėms kylančius pavojus.

Kaip atlikti poveikio duomenų apsaugai vertinimą teisingai

Poveikio duomenų apsaugai vertinimas turi būti atliekamas teisingai (BDAR 35 str. 2 dalis ir 7 -10 dalys). Įvertinamos su su duomenų subjektų teisių ir laisvių pažeidimais susijusios rizikos. PDAV ataskaitoje duomenų apsaugos priemonės ne tik aprašomos, bet ir vertinamos. Numatomi korekciniai veiksmai, kurių poreikis nustatomas atliekant poveikio vertinimą. Tik tokia PDAV ataskaita, kuri įvertina minėtas rizikas, numato atitiktį duomenų subjektų teisėms ir BDAR principams bei duomenų saugos rizikų valdymą, padeda užtikrinti atitiktį BDAR reikalavimams. Išmokti, kaip teisingai atlikti poveikio duomenų apsaugai vertinimą, sužinoti, kokie yra vaidmenys ir atsakomybės jo metu, galima pasitelkiant Allaw įrankį „Atitikties mokymų erdvė„. Kaip atlikti PDAV yra mokoma specializuotoje Allaw e-mokymų programoje „Kaip teisingai atlikti PDAV“. Svarbiausi PDAV atlikimo aspektai, tarp kurių ir esamų bei planuojamų priemonių vertinimas, korekcinių priemonių parinkimas analizuojami ir įvadinių BDAR e-mokymų bei kasmetinių BDAR žinių atnaujinimo programose.