Poreikis atlikti poveikio duomenų apsaugai vertinimą (PDAV)
Esate savo pacientų genetinius ir sveikatos duomenis tvarkanti ligoninė (ligoninės informacinė sistema)? Sistemingai stebite savo darbuotojų veiklą, įskaitant darbuotojų darbo vietos stebėseną, veiklą internete ir pan.? O galbūt dėl kitų priežasčių manote, kad Jums reikalingas poveikio duomenų apsaugai vertinimas (PDAV)?
Priimtino PDAV kriterijai
Poveikio duomenų apsaugai vertinimą (PDAV) atliekame pagal Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų, ISO standartus ir gerąją praktiką.
Rengdami PDAV ataskaitą vadovaujamės minėtų 29 straipsnio duomenų apsaugos grupės gairių 2 priedu „Priimtino PDAV kriterijai”. Remiantis šiais kriterijais taip pat vertiname, ar PDAV arba PDAV atlikimo metodika yra pakankamai išsami, kad atitiktų BDAR:
pateiktas sisteminis duomenų tvarkymo operacijų aprašymas (35 straipsnio 7 dalies a
punktas):
atsižvelgiama į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus (90
konstatuojamoji dalis);
registruojami asmens duomenys, gavėjai ir asmens duomenų saugojimo laikotarpis;
pateikiamas funkcinis duomenų tvarkymo operacijos aprašymas;
nustatomas turtas, kuris naudojamas tvarkant asmens duomenis (aparatinė įranga,
programinė įranga, tinklai, žmonės, spausdinti dokumentai arba spausdintų dokumentų
siuntimo kanalai);
atsižvelgiama į atitiktį patvirtintiems elgesio kodeksams (35 straipsnio 8 dalis);
įvertinamas būtinumas ir proporcingumas (35 straipsnio 7 dalies b punktas):
nustatomos priemonės, kuriomis numatoma užtikrinti atitiktį reglamentui (35
straipsnio 7 dalies d punktas ir 90 konstatuojamoji dalis), atsižvelgiant į:
priemones, kuriomis prisidedama prie duomenų tvarkymo proporcingumo ir
būtinumo remiantis:
konkrečiu (-iais), aiškiu (-iais) ir teisėtu (-ais) tikslu (-ais) (5
straipsnio 1 dalies b punktas);
tvarkymo teisėtumu (6 straipsnis);
adekvačiais, tinkamais ir tik tokiais, kurių reikia siekiant tikslų,
duomenimis (5 straipsnio 1 dalies c punktas);
ribota saugojimo trukme (5 straipsnio 1 dalies e punktas);
priemones, padedančias užtikrinti duomenų subjektų teises:
duomenų subjektui teikiama informacija (12, 13 ir 14 straipsniai);
teisė susipažinti su duomenimis ir teisė į duomenų perkeliamumą (15
ir 20 straipsniai);
teisė ištaisyti ir ištrinti duomenis (16, 17 ir 19 straipsniai);
teisė prieštarauti duomenų tvarkymui ir teisė apriboti duomenų
tvarkymą (18, 19 ir 21 straipsniai);
santykiai su duomenų tvarkytojais (28 straipsnis);
su tarptautiniu (-iais) perdavimu (-ais) susijusios apsaugos priemonės
(V skyrius);
išankstinės konsultacijos (36 straipsnis).
valdomi duomenų subjektų teisėms ir laisvėms kylantys pavojai (35 straipsnio 7 dalies c
punktas):
įvertinama pavojų kilmė, pobūdis, specifika ir rimtumas (plg. 84 konstatuojamąją dalį)
arba konkrečiau tariant, įvertinamas kiekvienas pavojus (neteisėta prieiga prie
duomenų, nepageidaujamas duomenų pakeitimas ir duomenų pradanginimas) iš
duomenų subjektų perspektyvos:
atsižvelgiama į pavojų šaltinius (90 konstatuojamoji dalis);
nustatomas galimas poveikis duomenų subjektų teisėms ir laisvėms tam
tikrais atvejais, kai, pavyzdžiui, prieiga prie duomenų yra neteisėta, duomenys
nepageidaujamai pakeičiami arba pradanginami;
nustatomos grėsmės, dėl kurių gali būti gaunama neteisėta prieiga prie
duomenų, jie gali būti nepageidaujamai pakeičiami arba pradanginami;
įvertinama tikimybė ir rimtumas (90 konstatuojamoji dalis);
34 ISO/IEC 29134 (projektas), Informacinės technologijos – Saugumo būdai – Poveikio privatumui vertinimas –
rekomendacijos, Tarptautinė standartizacijos organizacija (ISO).
25
nustatomos priemonės, kuriomis planuojama šalinti šiuos pavojus (35 straipsnio 7
dalies d punktas ir 90 konstatuojamoji dalis);
dalyvauja suinteresuotosios šalys:
siekiama konsultuotis su duomenų apsaugos pareigūnu (35 straipsnio 2 dalis);
kai tinkama, siekiama išsiaiškinti duomenų subjektų arba jų atstovų nuomones (35
straipsnio 9 dalis)
Plačiau skaityti galite čia