Kad jāveic novērtējums par ietekmi uz datu aizsardzību?

Atbilde

Novērtējums par ietekmi uz datu aizsardzību ir jāveic ikreiz, kad pastāv iespējamība, ka datu apstrāde varētu radīt augstu risku fizisku personu tiesībām un brīvībām. Novērtējums par ietekmi uz datu aizsardzību ir nepieciešams vismaz šādos gadījumos:

• ar fiziskām personām saistītu personisku aspektu sistemātiska un plaša novērtēšana, tostarp profilēšana;
• sensitīvu datu apstrāde plašā mērogā;
• publiski pieejamu zonu sistemātiska uzraudzība plašā mērogā.

Valsts datu aizsardzības iestādes sadarbībā ar Eiropas Datu aizsardzības kolēģiju var sagatavot sarakstus ar gadījumiem, kuros būtu nepieciešams novērtējums par ietekmi uz datu aizsardzību. Novērtējums par ietekmi uz datu aizsardzību būtu jāveic pirms datu apstrādes un tas būtu jāuztver kā pielāgojams rīks, nevis vienreizējs pasākums. Ja pastāv nenovērsti riski, ko nevar mazināt ar ieviestajiem pasākumiem, pirms apstrādes sākšanas ir jākonsultējas ar datu aizsardzības iestādi.

Piemēri

Novērtējums par ietekmi uz datu aizsardzību ir jāveic
Banka pārbauda savus klientus kredītu datubāzē; slimnīca gatavojas ieviest jaunu veselības informācijas datubāzi, kas satur datus par pacientu veselības stāvokli; autobusu satiksmes uzņēmums gatavojas autobusos uzstādīt videokameras, lai novērotu autovadītāju un pasažieru uzvedību.

Novērtējums par ietekmi uz datu aizsardzību nav jāveic
Ģimenes ārsts apstrādā savu pacientu personas datus. Šajā gadījumā novērtējums par ietekmi uz datu aizsardzību nav jāveic, jo gadījumos, kad pacientu skaits ir ierobežots, ģimenes ārsti datu apstrādi neveic plašā mērogā.

Atsauces

• EDAK pamatnostādnes par novērtējumu par ietekmi uz datu aizsardzību (NIDA)
• 35. un 36. pants, 89.–96. apsvērums

Examples

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.