Sąrašas aktualus tiek įmonių ir valstybės institucijoms, tiek su asmens duomenų apsauga dirbančioms teisinėms bendruomenėms.
Kaip rašoma VDAI pranešime spaudai, praėjusių metų gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą, valstybių narių asmens duomenų apsaugos priežiūros institucijos dėl tam tikrų reglamente numatytų naujų veiklų privalėjo parengti nacionalinius teisės aktus, kurie turėjo būti patvirtinti, suderinus su Europos duomenų apsaugos valdyba. Valstybinė duomenų apsaugos inspekcija, kaip ir kitų ES valstybių narių priežiūros institucijos, yra šios valdybos narė. Duomenų tvarkymo operacijų sąrašą inspekcijos direktorius patvirtino šių metų kovo 14 dieną.
„Šio sąrašo jau senokai laukia ne tik verslas, bet ir valstybinės institucijos, nes jis suteiks daugiau aiškumo, kokiais atvejais tvarkant asmens duomenis reikės atlikti poveikio duomenų apsaugai vertinimą“, - sakė VDAI direktorius Raimondas Andrijauskas.
Vis dėlto, jo teigimu, sąrašas nėra baigtinis. Gali pasitaikyti atvejų, kai organizacijos, atsižvelgdamos į Bendrojo duomenų apsaugos reglamento reikalavimus, turės atlikti poveikio duomenų apsaugai vertinimą. Procedūra turi būti atliekama tais atvejais, kai dėl duomenų tvarkymo rūšies fizinių asmenų teisėms bei laisvėms gali kilti didelis pavojus.
Pagal VDAI parengtą sąrašą poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta, kai asmens duomenų tvarkymas vykdomas dideliu mastu, kai asmens duomenys gauti ne iš asmens bei informacijos pateikimas tam tikrais atvejais yra neįmanomas arba tam reikėtų neproporcingų pastangų.
Vertinimas taip pat turi būti atliktas, kai asmens duomenų tvarkymas atliekamas mokslinių ar istorinių tyrimų tikslais ir kai be asmens sutikimo tvarkomi specialių kategorijų asmens duomenys arba tvarkomi nepilnamečių asmenų duomenys, asmens kodas.
Vertinimas atliekamas ir tada, kai asmens duomenys yra tvarkomi naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys. Taip pat kai tvarkant asmens duomenis, duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą nėra įmanomas.
Poveikio duomenų apsaugai vertinimo procedūra turi būti atlikta tais atvejais, kai atliekamas darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais: asmens vaizdo ir ar garso duomenų tvarkymas darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.
Taip pat, kai atliekamas vaikų asmens duomenų tvarkymas tiesioginės rinkodaros tikslais, vaikų asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai yra siūlomos informacinės visuomenės paslaugos. Taip pat tais atvejais, kai atliekamas biometrinių duomenų, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, tvarkymas asmenų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų asmenų duomenys.
Vertinimas reikalingas ir atvejais, kai atliekamas genetinių duomenų tvarkymas vykdant asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą, ir atvejais, kai atliekamas asmens vaizdo duomenų tvarkymas, o vaizdo stebėjimas vykdomas patalpose ir teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės, sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims.