PDAV yra tam tikras procesas, kuris yra skirtas duomenų tvarkymo reikalingumui ir proporcingumui įvertinti bei duomenų tvarkymui aprašyti, padedantis valdyti pavojų, kuris fizinių asmenų teisėms ir laisvėms kyla dėl asmens duomenų tvarkymo. Nustačius galimas grėsmes, jų suvaldymui būtina parinkti tinkamas technines ir organizacines priemones. PDAV – atitikties reglamentui užtikrinimo ir įrodymo procesas.
Advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė Asta Kederytė sako, kad vadovaujantis BDAR, PDAV yra privaloma atlikti, kai dėl duomenų tvarkymo rūšies, ypatingai naudojant naujas technologijas, ir atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus. Papildomai ir Valstybinė duomenų apsaugos inspekcija (VDAI) yra parengusi duomenų tvarkymo operacijų sąrašą, kuomet poveikio duomenų apsaugai vertinimo procedūra privalo būti atlikta. Šis sąrašas apima tam tikras situacijas, kuomet tvarkomi biometriniai duomenys, genetiniai duomenys, vykdomas vaizdo stebėjimas ar pokalbių telefonu įrašymas, ar net darbuotojų stebėsena ir kt.
Jeigu abejojama, ar dėl vykdomo duomenų tvarkymo reikia atlikti PDAV, privaloma atsižvelgti į Europos duomenų apsaugos valdybos gaires (toliau – Gairės) dėl poveikio duomenų apsaugai vertinimo (PDAV). Vadovaujantis Gairėmis turi būti vertinami devyni kriterijai:
1. Vertinimas arba balų skyrimas.
2. Automatizuotas sprendimų, sukeliančių teisinį arba panašų rimtą poveikį, priėmimas.
3. Sisteminga stebėsena.
4. Neskelbtini duomenys arba labai asmeniški duomenys.
5. Didelio masto duomenų tvarkymas.
6. Duomenų rinkinių siejimas ir derinimas.
7. Su pažeidžiamais duomenų subjektais susiję duomenys.
8. Naujoviškas naudojimas arba naujų technologinių ar organizacinių sprendimo būdų taikymas.
9. Duomenų subjektams užkertamas kelias naudotis savo teisėmis, paslaugomis arba sudaryti sutartis.
Tikimybė, kad kils didelis pavojus duomenų subjektų teisėms ir laisvėms išauga atitinkamai tuomet, kai duomenų tvarkymo operacija apima vis daugiau kriterijų. Todėl tam, kad PDAV turėtų būti atliktas, duomenų tvarkymas turi atitikti bent du kriterijus.
Kitų šalių praktika rodo, kad neatliekant PDAV, galima sulaukti labai skaudžių pasekmių. Pavyzdžiui, Nyderlandų duomenų apsaugos institucija 2023 m. gruodžio mėnesį skyrė 150 tūkstančių eurų baudą vienai didžiausių finansines paslaugas teikiančių įmonių Nyderlanduose International Card Services B.V. (toliau – ICS). Įmonei buvo paskirta bauda dėl BDAR reikalavimų pažeidimo, būtent dėl poveikio duomenų apsaugai vertinimo neatlikimo, sureaguojant į gautus skundus iš vartotojų, po to, kai 2019 metais ICS iš naujo pradėjo identifikuoti savo klientus internete taikant „identifikavimo ir tikrinimo procesą“.
ICS savo sprendimą neatlikti vertinimo siekė pateisinti teigdama, jog yra sukūrusi išsamų rizikos procesą poveikio privatumui vertinti, kurio pagalba rizika yra identifikuojama, mažinama ir stebima. Taip pat ICS argumentavo, jog yra ABN AMRO dukterinė įmonė ir naudoja tą pačią techniką, kad iš naujo identifikuotų savo klientus, dėl to nebuvo jokios priežasties atlikti kitą analizę, nes ji jau buvo atlikta ABN AMRO. Be to, ICS teigė, kad taikant identifikavimo ir tikrinimo procesą nebuvo didelės piktnaudžiavimo asmens duomenimis rizikos, nes naudojami asmens tapatybę identifikuojantys duomenys nėra neskelbtini ar labai asmeniški duomenys, dėl ko turėtų būti laikomasi teisinių reikalavimų.
Advokatė pažymi, kad visgi, atlikus tyrimą, institucija nustatė, jog ICS rizikos procesas poveikio privatumui vertinti, vertinamas kartu su ABN AMRO, nėra lygiavertis PDAV, nes įmonių procesai, pirmiausia, buvo skirti sukčiavimo (tapatybės) prevencijai ir kovai su juo, ir nebuvo konkrečiai susiję su asmens duomenų apsauga. Be to, institucija nustatė, kad identifikavimo ir tikrinimo procese naudojami fizinių asmenų duomenys, kaip vardas ir pavardė, gimimo data, gimimo vieta, adresas, el. pašto adresas, telefono numeris, lytis, BSN (unikalus Nyderlandų gyventojo) numeris ir kt. yra laikomi neskelbtinais ir labai asmeninio pobūdžio duomenimis, taip pat ICS turi maždaug 1,5 mln. klientų, kurie turėjo iš naujo nustatyti tapatybę ir kurių duomenis saugo ICS, todėl įmonės duomenų tvarkymo operacija atitinka du iš pirmiau nurodytų kriterijų, būtent: „labai asmeniški duomenys“ ir „didelio masto duomenų tvarkymas“, o nustačius bent du kriterijus, yra laikoma, kad tokia duomenų tvarkymo rūšis gali kelti didelį pavojų fizinių asmenų teisėms ir laisvėms, ir yra privaloma atlikti PDAV.
Tad šiuo atveju ICS neatliko PDAV prieš įdiegdama identifikavimo ir tikrinimo procesą, nors toks vertinimas buvo privalomas, taip pažeidė BDAR įtvirtintą reikalavimą, ir dėl to teko sumokėti 150 tūkstančių eurų baudą.
Taigi, norint užtikrinti fizinių asmenų teises ir laisves, visų pirma, jų teisę į asmens duomenų apsaugą, yra labai svarbu tinkamai įvertinti, ar būtina atlikti poveikio duomenų apsaugai vertinimą. Juk tinkamas BDAR keliamų reikalavimų įgyvendinimas užkerta kelią finansinių nuostolių atsiradimui, – teigia advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė A. Kederytė.
