BDAR nuostatų neapibrėžtumas priežiūros institucijos rankose

2019 - 03 - 20
Straipsnio autorius: Renata Vasiliauskienė

Valstybinei duomenų apsaugos inspekcija (Inspekcija) toliau priima teisės aktus, kurie turėtų įnešti aiškumo gan aptakioms BDAR nuostatoms. Viena tokių nuostatų, ilgą laiką kirbėjusių įmonių ir privatumo specialistų mintyse, buvo susijusi su poveikio duomenų apsaugau vertinimu (PDAV). Lietuvoje šis BDAR reikalavimas – atlikti poveikio duomenų apsaugai vertinimą, buvo naujovė, todėl greičiausiai dar ir todėl jis buvo apipintas įvairias mitais. Kovo 18 d. Inspekcijai paskelbus aiškų sąrašą, įmonių, kurioms bus privaloma atlikti PDAV, rodos, probleminis klausimas, ar mums reikia atlikti PDAV, išspęstas. Bet ar tikrai?

Vertinant sąraše nurodytas duomenų tvarkymo veiklas, galima pasakyti, kad poveikio duomenų apsaugai vertinimas bus reikalingas nemažam kiekiui įmonių. Tiek paslaugų tiek gamybos sektoriai paprastai vykdo bent vieną iš sąraše minėtų operacijų, pavyzdžiui, pokalbių telefonu įrašymas, vaizdo stebėjimas, kai jis apima ne vien tik duomenų valdytojo (įmonės) nuosavybę  arba vaizdo stebėjimas kartu su garso įrašymu, darbuotojų elgsenos stebėjimas ir kontrolė, tai dalis veiklų, kurias vykdant reikalingas PDAV.

Visgi pradinį džiugesį dėl pagaliau atsiradusio sąrašo, šiek tiek slopina tai, kad Inspekcijai nepavyko  išvengti aptakių nuostatų. Pavyzdžiui, numatoma, kad naudojant inovatyvias technologijas reikės atlikti PDAV. Gyvenant spartaus technologijų vystymosi režimu technologijos inovatyvumas, be abejo, liks subjektyvaus vertinimo kriterijumi. Sąraše liko ir daug kritikos sulaukusi duomenų tvarkymo dideliu mastu nuostata, taip pat atsirado duomenų saugoje neįprasta, „pažeidžiamų asmenų“ sąvoka. Belieka tikėtis, kad vertinant įmonių atitiktį šiais aspektais Inspekcija bus tolerantiška arba ateityje pateiks viešą išaiškinimą, kuris padėtų verslui labiau susigaudyti.

Nepaisant to, kad BDAR netrukus jau minės pirmąjį gimtadienį, Inspekcijai  paskelbus veiklų, kurias atliekant reikalingas poveikio duomenų apsaugai vertinimas (PDAV), įmonėms vis dar kyla klausimas: kas tas poveikio duomenų apsaugai vertinimas ir kas turi jį atlikti. Trumpai tariant, PDAV – tai išsami konkrečios duomenų tvarkymo veiklos, tarkim telefoninio įrašo darymo, analizė. Šios analizės metu nustatoma potenciali rizika, kuri gali kilti asmenų privatumui, vertinama, ar yra priemonių (teisinių ir techninių), kurios neigiamas pasekmes galėtų sumažinti ir priimamas sprendimas dėl to, kokie tolimesni įmonės veiksmai šiuo klausimu: toliau tokią veiklą tęsti, koreguoti ar nutraukti. Reikia paminėti, kad atlikus PDAV ir nustačius, kad veikla kelia pavojų žmonių privatumui, būtina kreiptis į Inspekciją dėl jos tolimesnių rekomendacijų ir išaiškinimo.

PDAV yra gan išsamus rizikos asmens privatumui vertinimas, todėl net ir pasinaudojus PDAV gairėmis ir klausimynais, kurių nemažai galima rasti internete, kokybiškai atlikti šį darbą yra sunku: reikalingos ne tik gilios asmens duomenų apsaugos teisinės ir techninės žinios bet ir verslo specifikos išmanymas. Todėl glaudus bendradarbiavimas tarp privatumo eksperto, IT specialisto ir paties verslo, bus esminis raktas į šią BDAR naujovę.

Renata Vasiliauskienė, COBALT asocijuota teisininkė