Kada reikia atlikti poveikio duomenų apsaugai vertinimą (PDAV)?

Atsakymas

PDAV atliekamas, kai dėl duomenų tvarkymo gali kilti didelis pavojus asmenų teisėms ir laisvėms. PDAV reikalingas bent šiais trim atvejais:

• atliekant sistemingą ir išsamų su fiziniais asmenimis susijusių asmeninių aspektų vertinimą, įskaitant profiliavimą;
• tvarkant neskelbtinus duomenis dideliu mastu;
• sistemingai stebint viešąsias erdves dideliu mastu.

Nacionalinės duomenų apsaugos institucijos kartu su Europos duomenų apsaugos valdyba gali pateikti sąrašą atvejų, kai reikia atlikti PDAV. PDAV turi būti atliekamas prieš duomenų tvarkymą. Jis turėtų būti laikomas „gyvąja priemone“, o ne vienkartine veikla. Jeigu kurio nors pavojaus negalima sumažinti esamomis priemonėmis, prieš pradedant tvarkyti duomenis reikėtų pasitarti su DAI.

Pavyzdžiai

Reikalingas PDAV
Bankas atlieka savo klientų patikrą kredito informacijos duomenų bazėje; ligoninė ketina įdiegti naują sveikatos informacijos duomenų bazę, kurioje saugomi pacientų sveikatos duomenys; autobusų operatorius planuoja įdiegti kameras autobusuose, kad galėtų stebėti vairuotojų ir keleivių elgesį.

Nereikalingas PDAV
Šeimos gydytojas tvarko savo pacientų asmens duomenis. Tokiu atveju PDAV nereikia, nes šeimos gydytojai tvarko duomenis nedideliu mastu, kai pacientų skaičius yra ribotas.

Nuorodos

• Europos duomenų apsaugos valdybos gairės dėl poveikio duomenų apsaugai vertinimo (PDAV)
• BDAR 35–36 straipsniai; 89–96 konstatuojamosios dalys

Examples

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.