Poveikio duomenų apsaugai vertinimas: kada jis reikalingas ir kokia jo nauda?
Vis dažniau girdime apie duomenų apsaugą, privatumo politiką ir kibernetinius nusikaltimus, tačiau vienas iš svarbiausių įrankių, užtikrinančių mūsų duomenų saugumą, yra prevencija ir tinkamas rizikų identifikavimas. Tik žinodami galimas grėsmes iš anksto galime joms pasirengti.
Dauguma organizacijų jau ėmėsi svarbių duomenų apsaugos veiksmų (pasirengė vidines tvarkas, organizavo darbuotojams mokymus, minimizavo duomenų tvarkymą), bet tai tik vienas iš žingsnių, kad viskas būtų tvarkinga. Šiuo metu vis labiau akcentuojamas pačios asmens duomenų tvarkymo operacijos vertinimas ir rizikų analizė, todėl poveikio duomenų apsaugai vertinimas (PDAV), dar žinomas kaip DPIA (angl. Data Protection Impact Assessment), tampa itin svarbus įrankis. Nors šis terminas gali pasirodyti techninis, jis yra tiesiogiai susijęs su asmens duomenų apsauga.
„PDAV yra procesas, skirtas įvertinti galimai rizikai, kurią tam tikras duomenų tvarkymas gali sukelti asmenų privatumui. Paprasčiau tariant, tai būdas iš anksto nustatyti, kokių gali kilti grėsmių žmonių asmeniniams duomenims ir kaip šias grėsmes valdyti. Šis vertinimas privalomas tais atvejais, kai vykdoma veikla, susijusi su dideliu kiekiu jautrių asmens duomenų arba kai duomenų tvarkymas gali kelti riziką žmonių teisėms ir laisvėms“, – paaiškina advokatų kontoros „Glimstedt“ vyresnioji teisininkė Brigida Bacienė.
Kada reikia atlikti PDAV?
PDAV pirmiausia reikalingas organizacijoms ir įmonėms, kurių veikloje yra tvarkomas didelis kiekis asmens duomenų arba jei net asmens duomenų kiekiai nėra dideli, bet informacija yra labai jautri, todėl jos praradimas arba nutekinimas gali sukelti didelę žalą.
Valstybinė duomenų apsaugos inspekcija yra patvirtinusi sąrašą asmens duomenų tvarkymo operacijų, kada toks vertinimas privalomas. Tačiau šis sąrašas nėra baigtinis, nes įmonės, atsižvelgdamos į savo veiklos specifiką, gali nuspręsti, kad jos patenka į taikomą sritį pagal kitus kriterijus, pavyzdžiui, pagal duomenų jautrumą.
„PDAV aktualus įvairiems verslams ir organizacijoms. Susirūpinti turi „Fintech“ ar kitos finansines paslaugas teikiančios įmonės, nes dažnos iš jų identifikuoja klientą per nuotolį ir dažniausiai naudoja sistemą, skenuojančią biometrinius duomenis. Organizacijos, kurios vykdo platų vaizdo stebėjimą (pvz., degalinės, saugomos teritorijos), taip pat tiems verslams, kurie įrašinėja pokalbius su klientais (pavyzdžiui, sveikatos priežiūros, valstybinės institucijos, telekomunikacijos, skambučių centrai, klientų aptarnavimo padaliniai). Bendrovės, vykdančios darbuotojo stebėseną (kai darbuotojai filmuojami jų darbo vietoje), arba, pavyzdžiui, įėjimui į patalpas naudojant darbuotojo antspaudus ar veido atpažinimą, stebint jų veiklą įmonės IT sistemose, el. pašte ir kitais panašiais atvejais“, – vardina advokatų kontoros „Glimstedt“ vyresnioji teisininkė Brigida Bacienė.
Taip pat dažnai pasitaiko atvejų, kai PDAV atliekamas norint įsidiegti naujas IT sistemas ir taip patikrinti jų saugumą tiek iš techninės, tiek iš teisinės pusės.
Kokias problemas sprendžia PDAV?
Reikia pripažinti, kad poveikio duomenų apsaugai vertinimas suteikia ne tik teisinių ir reguliacinių privalumų, bet ir praktinę naudą organizacijai.
Teisininkė Brigida Bacienė įvardija pagrindinius privalumus:
Privatumo pažeidimų prevencija. PDAV padeda iš anksto numatyti galimus pavojus duomenims ir imtis priemonių jiems išvengti. Tai reiškia, kad organizacijos gali laiku sukurti stipresnes saugumo priemones ir sumažinti riziką, kad duomenys bus pavogti, nutekinti ar neteisėtai naudojami.
Atitiktis teisės aktams. Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad organizacijos vykdytų PDAV, kai tvarkomi asmens duomenys, kurie gali sukelti didelę riziką žmonių teisėms. Nevykdant šių reikalavimų, įmonėms gali būti skirtos baudos.
Pasitikėjimo užtikrinimas. Organizacijos, kurios atsakingai vykdo PDAV, siunčia aiškų signalą klientams, kad jų duomenys yra tvarkomi saugiai ir atsakingai. Tai padeda stiprinti pasitikėjimą tarp įmonės ir vartotojų.
„PDAV nėra tik dar viena techninė procedūra – tai esminis procesas, kuris padeda apsaugoti tiek organizacijas, tiek žmonių privatumą. Jis užtikrina, kad asmens duomenys būtų tvarkomi saugiai, atsakingai ir pagal teisės aktus. Kiekviena organizacija, kuri rimtai žiūri į duomenų apsaugą, turėtų užtikrinti, kad PDAV būtų neatsiejama jų veiklos dalis“, – apibendrina Brigida Bacienė.