Duomenų apsaugos poveikio vertinimas
Duomenų apsaugos poveikio vertinimas (DAPV) yra formalus procesas, naudojamas nustatyti ir sumažinti duomenų apsaugos rizikai, kai tvarkomi asmens duomenys. Organizacijos privalo atlikti DAPV prieš tvarkydamos duomenis, kai tokia tvarkymo veikla gali sukelti didelę riziką asmenų teisėms ir laisvėms, ypač kai naudojamos naujos technologijos arba tvarkomos specialių kategorijų asmens duomenys.
Teisinis pagrindas
„Jei tam tikros rūšies tvarkymas, visų pirma naudojant naujas technologijas ir atsižvelgiant į tvarkymo pobūdį, apimtį, kontekstą ir tikslus, gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms, valdytojas prieš tvarkydamas duomenis atlieka planuojamos tvarkymo veiklos poveikio asmens duomenų apsaugai vertinimą."
— 35 straipsnio 1 dalis, Reglamentas (ES) 2016/679 (BDAR)
Kodėl tai svarbu
Duomenų apsaugos poveikio vertinimai yra būtini bet kuriai organizacijai, kuri naudoja asmens duomenis politinei reklamai nukreipti arba skelbių pateikimo metodams. Pagal BDAR valdytojai privalo atlikti DAPV, kai tvarkymo operacijos gali sukelti didelę riziką, ypač kai naudojamas profiliavimas, specialių kategorijų duomenys arba sisteminga didelio masto asmenų stebėsena.
Politinei reklamai DAPV yra ypač svarbūs, nes nukreipimo metodai dažnai apima jautrių asmens duomenų, pavyzdžiui, politinių pažiūrų, kurios pagal BDAR priskiriamos prie specialios kategorijos duomenų, tvarkymą. Leidėjai ir politinės reklamos paslaugų teikėjai privalo įvertinti, ar jų nukreipimo praktikai reikia DAPV prieš pradedant kampanijas.
DAPV padeda organizacijoms anksčiau nustatyti rizikas, įdiegti tinkamas apsaugos priemones ir pademonstruoti atskaitomybę. Jis taip pat nustato, ar būtina konsultuotis su atitinkama duomenų apsaugos institucija prieš pradedant tvarkyti duomenis. Organizacijos, kurios neatlieka reikalaujamų DAPV, susiduria su didelėmis administracinėmis baudomis pagal BDAR.
Pagrindiniai aspektai
- Privalomas prieš didelės rizikos tvarkymą: DAPV reikalaujamas, kai tvarkymas gali sukelti didelę riziką asmenų teisėms ir laisvėms, ypač kai naudojamos naujos technologijos arba profiliavimas
- Būtinas politinei reklamai: Politinės reklamos nukreipimas naudojant asmens duomenis, ypač specialias kategorijas, pavyzdžiui, politines pažiūras, paprastai reikalauja DAPV
- Turi būti atliktas iš anksto: Vertinimas turi būti atliktas prieš pradedant tvarkyti duomenis, o ne po to, kai kampanijos jau vykdomos
- Nustato ir mažina rizikas: DAPV sistemingai nustato duomenų apsaugos rizikas ir padeda organizacijoms įdiegti tinkamas technines ir organizacines priemones
- Gali reikalauti konsultacijos su institucija: Jei rizikos lieka didelės po rizikos mažinimo priemonių, organizacijos privalo konsultuotis su savo duomenų apsaugos institucija prieš tęsdamos veiklą
- Parodo atitiktį: DAPV atlikimas ir dokumentavimas yra atskaitomybės principo pagal BDAR dalis ir rodo aktyvią atitiktį
Duomenų apsaugos poveikio vertinimas ir rizikos vertinimas
Nors abu procesai vertina rizikas, duomenų apsaugos poveikio vertinimas yra konkretus teisinis reikalavimas pagal BDAR, sutelktas į privatumo ir duomenų apsaugos riziką asmenims. Bendrasis rizikos vertinimas gali apimti platesnes organizacines ar verslo rizikas, pavyzdžiui, reputacijos žalą, finansinius nuostolius ar veiklos saugumą.
DAPV konkrečiai nagrinėja, kaip tvarkymo operacijos veikia asmenų teises ir laisves, atsižvelgiant į tokius veiksnius kaip tvarkymo pobūdis, apimtis, kontekstas ir tikslai. Jis reikalauja konkretaus turinio, įskaitant tvarkymo operacijų aprašymą, būtinumo ir proporcingumo vertinimus, nustatytas rizikas ir planuojamas apsaugos priemones.
Pagal 2024/900 reglamentą dėl politinės reklamos skaidrumo organizacijos taip pat privalo atlikti sisteminės rizikos vertinimus, jei jos kvalifikuojamos kaip labai didelės internetinės platformos (LDIP), tačiau jie yra atskiri nuo DAPV, nors išvados gali viena kitą informuoti.