BDAR DPIA: kada privaloma ir kaip atlikti duomenų apsaugos poveikio vertinimą

Duomenų apsaugos poveikio vertinimas (DPIA) pagal BDAR 35 str. yra privalomas, kai tvarkymas gali sukelti didelę riziką fizinių asmenų teisėms ir laisvėms. Trys pagrindiniai atvejai, kai DPIA privaloma automatiškai: (1) sistemingas ir išsamus fizinių asmenų vertinimas ar profiliavimas, kuris daro sprendimus su teisinėmis pasekmėmis (pvz., kredito vertinimas, automatizuotas įdarbinimas); (2) specialių kategorijų duomenų (sveikatos, biometrinių, politinių pažiūrų) tvarkymas dideliu mastu; (3) viešų erdvių sistemingas stebėjimas (vaizdo stebėjimas, sekimas). Be šių trijų atvejų, BDAR 35 str. 4 d. įpareigoja priežiūros institucijas sudaryti sąrašus veiklų, kurioms DPIA privaloma. VDAI Lietuva 2018 m. paskelbė tokį sąrašą, apimantį: biometriniams duomenims tvarkyti, asmenų sveikatai ar elgsenai sekti, dideliam asmens duomenų kiekiui tvarkyti trečiosiose šalyse. Jei netikras, ar tvarkymas patenka į privalomą DPIA kategoriją, rekomenduojama atlikti pirminį rizikos vertinimą — vadinamąjį screening testą.

Europos duomenų apsaugos valdyba (EDPB) savo gairėse WP248 apibrėžė 9 kriterijus, pagal kuriuos vertinama rizika. Jei tvarkymas atitinka bent 2 iš šių kriterijų, DPIA labai rekomenduojama (ar net privaloma): (1) vertinimas ar skorinimas; (2) automatizuoti sprendimai su teisiniais padariniais; (3) sistemingas stebėjimas; (4) jautrūs ar itin asmeniniai duomenys; (5) dideliu mastu tvarkomi duomenys; (6) duomenų rinkimų susiejimas ar derinimas; (7) pažeidžiamų asmenų duomenys (vaikai, pacientai, darbuotojai); (8) naujoviškas ar naujai diegiama technologija; (9) tvarkymas, kuris trukdo teisę prieigos arba pasinaudoti paslauga. Sveikatos priežiūros įstaigos, draudimo kompanijos, didelės el. prekybos platformos, HR technologijų įmonės — šios kategorijos dažniausiai patenka į privalomą DPIA zoną. Svarbu: net jei DPIA formaliai neprivaloma, jos atlikimas gali būti geroji praktika, parodo atskaitomybę ir padeda identifikuoti rizikas prieš jas realizuojantis.

BDAR 35 str. 7 d. nustato minimalų DPIA turinio standartą — sistemingo tvarkymo aprašymas, proporcingumo vertinimas, rizikų įvertinimas ir suplanuotos rizikos mažinimo priemonės. EDPB gairėse rekomenduojami 9 žingsniai: (1) Parengiamasis darbas — apibrėžti vertinimo apimtį, paskirti atsakingus asmenis; (2) Tvarkymo aprašymas — duomenų kategorijos, tikslai, teisinis pagrindas, duomenų srautų schema; (3) Konsultacija su DPO — jei paskirtas duomenų apsaugos pareigūnas, jo nuomonė privaloma pagal BDAR 35 str. 2 d.; (4) Teisėtumo ir proporcingumo vertinimas — ar tvarkymas reikalingas ir proporcingas tikslams; (5) Rizikų identifikavimas — galimų grėsmių katalogavimas (duomenų nutekėjimas, neteisėta prieiga, klaidinga profiliacija); (6) Rizikų vertinimas — tikimybė ir poveikio sunkumas; (7) Priemonių planai — techninės ir organizacinės priemonės rizikoms mažinti; (8) Galutinis rizikos vertinimas po priemonių — ar likutinė rizika priimtina; (9) Patvirtinimas ir dokumentavimas — vadovybės patvirtinimas, įrašas DPIA registre.

BDAR 36 str. numato privalomą išankstinę konsultaciją su priežiūros institucija (VDAI Lietuvoje), kai DPIA rodo, kad likutinė rizika išlieka didelė net taikius visas suplanuotas priemones. Ši konsultacija nėra bendra procedūra — ji taikoma tik išimtiniais atvejais, kai duomenų valdytojas negali pats sumažinti rizikos iki priimtino lygio. Konsultacijos procesas: VDAI turi 8 savaites atsakyti (gali pratęsti iki 14 savaičių sudėtingais atvejais); VDAI gali patarti, reikalauti papildomos informacijos arba drausti tvarkyti duomenis. Praktikoje VDAI konsultavosi rengiant: viešojo sektoriaus biometrinių duomenų sistemas, didelės apimties sveikatos duomenų tvarkymo projektus, automatinius sprendimų priėmimo sistemas su socialiniais padariniais. Patarimas: jei jūsų DPIA rodo didelę likutinę riziką, verta pasikonsultuoti su VDAI savanoriškai dar prieš sistemos paleidimą — tai sumažina riziką gauti nurodymą sustabdyti veiklą po pradžios.

BDAR atskaitomybės principas (5 str. 2 d.) reikalauja, kad DPIA būtų tinkamai dokumentuota ir prieinama tiek VDAI tikrinimo metu, tiek vidinės audito metu. DPIA dokumentas turi apimti: tvarkymo operacijos aprašymą ir tikslą; proporcingumo ir būtinumo vertinimą; identifikuotas rizikas ir jų pobūdį; suplanuotas ir įgyvendintas priemones; DPO nuomonę (jei paskirtas); galutinę rizikos išvadą ir vadovybės patvirtinimą. DPIA nėra vienkartinis dokumentas — jis turi būti periodiškai peržiūrimas. EDPB rekomenduoja peržiūrą: (a) pasikeitus tvarkymo tikslams ar metodams; (b) pasikeitus technologijoms; (c) pasikeitus teisinei bazei; (d) periodinę peržiūrą bent kas 3 metus. VDAI tikrinimų metu dažniausiai prašomas DPIA dokumentas, susijusios duomenų tvarkymo veiklos registro įrašai (BDAR 30 str.) ir techninių bei organizacinių priemonių dokumentacija. Be šių dokumentų darbdavys rizikuoja ne tik administracinėmis baudomis, bet ir sunkumais įrodinėjant sąžiningą duomenų tvarkymą.

BDAR 83 str. numato baudas už DPIA pažeidimus iki 10 mln. EUR arba 2% pasaulinės apyvartos (priklausomai, kas daugiau). Dažniausiai pažeidimai, kuriuos fiksuoja VDAI ir kitos ES priežiūros institucijos: (1) neatlikus DPIA, kai ji privaloma — taikoma net jei duomenų tvarkymas savaime buvo teisėtas; (2) nekokybiška DPIA — dokumentas formaliai parengtas, bet neatspindi realios rizikų analizės ar priemonių; (3) neįtrauktas DPO — jei paskirtas, jo dalyvavimas privalomas; (4) neperžiūrėta po pokyčių — pasenusi DPIA veikiančiam projektui. Geroji praktika: (a) naudoti DPIA šabloną, atitinkantį EDPB gaires; (b) paskirti atsakingą asmenį DPIA koordinavimui; (c) integruoti DPIA į projektų valdymo procesą (Privacy by Design principas pagal BDAR 25 str.); (d) saugoti visas DPIA versijas ir pakeitimų istoriją. Lietuvos VDAI 2023-2025 m. atliko keletą patikrinimų, kurių metu konstatuoti DPIA trūkumai lėmė įspėjimus ir paskesnius baudų tyrimus.