Poveikio analizės (PAV, AIPD arba DPAV) svarba

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Gali būti, kad „duomenų apsaugos poveikio vertinimas“ (DPIA) taps BDAR simboliu (anglų k. DPIA – duomenų apsaugos poveikio vertinimas arba trumpai PIA – privatumo poveikio vertinimas). Bet kuriuo atveju tai yra priemonė, pasirinkta siekiant užtikrinti įmonių atsakomybę ir užkirsti kelią jų veiksmams, kenkiantiems vartotojams piliečiams. Reikalaujant išankstinio darbo prieš bet kokią duomenų tvarkymo operaciją ir, jei reikia, konsultacijų su priežiūros institucija, tai suteikia rimtą privatumo užtikrinimo garantiją. 

Prieš pradedant tvarkyti duomenis, reikalingas poveikio vertinimas, „kai tvarkymo rūšis, ypač naudojant naujas technologijas, ir atsižvelgiant į tvarkymo pobūdį, apimtį, kontekstą ir tikslus, gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms“ (35-1 straipsnis). Nurodoma, kad analizė gali būti susijusi su keliomis panašiomis tvarkymo operacijomis, kurios kelia tą pačią didelę riziką. Iš šių nuostatų galima daryti išvadą, kad jei nėra „didelės rizikos“ ir (arba) jei jau buvo atlikta panašių operacijų analizė, analizė nėra privaloma (panašiai, kai tvarkymas yra susijęs su viešojo intereso misija, išimtis jau minėta).

„Didelės rizikos“ sąvoka nėra aiškiai apibrėžta, tačiau CNIL nurodo „rizikos privatumui“ sąvoką. Tai „scenarijus, apibūdinantis: baimę keliantį įvykį (neteisėtą prieigą prie duomenų, nepageidaujamą jų pakeitimą ar praradimą ir galimą poveikį asmenų teisėms ir laisvėms); visas grėsmes, kurios leistų jam įvykti. Rizika įvertinama pagal jos sunkumą ir tikimybę. Rizikos sunkumas turi būti vertinamas atitinkamiems asmenims, o ne organizacijai.“ Tai pakankamai neapibrėžta ir plati sąvoka, kad būtų galima manyti, jog rizika privatumui, taigi ir didelė, atitinka daugelį tvarkymo operacijų.

35-4 straipsnyje numatyta, kad priežiūros institucija paskelbs operacijų, kurioms reikalinga analizė, sąrašą. Tuo tarpu G29 sujungė įvairius BDAR punktus ir sudarė 9 kriterijų sąrašą (2017 m. balandžio 4 d. gairės, iš dalies pakeistos 2017 m. spalio 4 d.), kurie gali rodyti, kad tvarkymo operacija gali kelti didelę riziką:

– „vertinimas ar reitingavimas, įskaitant profiliavimo ar prognozavimo veiklą, susijusią visų pirma su „duomenų subjekto darbo rezultatų, ekonominės padėties, sveikatos, asmeninių pageidavimų ar interesų, patikimumo ar elgesio arba buvimo vietos ir judėjimo aspektais“ (71 ir 91 konstatuojamosios dalys)“;

– „automatizuotas sprendimų priėmimas, turintis teisinį arba panašų reikšmingą poveikį“;

– „sistemingas stebėjimas“;

– „neskelbtini arba labai asmeninio pobūdžio duomenys“. Tai gali būti informacija apie politines pažiūras, apkaltinamuosius nuosprendžius, medicininius įrašus, bet taip pat, kaip teigia G29, el. laiškus, dienoraščius, užrašus. Jei atitinkamas asmuo paviešino tokio tipo duomenis, į tai bus atsižvelgta;

– „dideliu mastu tvarkomi duomenys“. Didelio masto sąvoka nėra nurodyta, tačiau WG29 rekomenduoja atsižvelgti į atitinkamų asmenų skaičių, duomenų kiekį, tvarkymo trukmę ir geografinę aprėptį;

– „duomenų rinkinių kryžminimas arba sujungimas“;

– „duomenys apie pažeidžiamus asmenis (75 konstatuojamoji dalis)“, t. y. vaikus, darbuotojus, asmenis, sergančius psichikos ligomis, prieglobsčio prašytojus, pagyvenusius asmenis, pacientus ir kt.;

– „inovatyvus naujų technologinių ar organizacinių sprendimų naudojimas ar taikymas“. G29 ypač mini pirštų atspaudų atpažinimo ir veido atpažinimo arba daiktų interneto bendrą naudojimą;

– tvarkymas, kuris „užkerta kelią duomenų subjektams pasinaudoti teise arba gauti naudos iš paslaugos ar sutarties“. G29 pateikia banko, kuris prieš priimdamas sprendimus dėl skolinimo, pavyzdį, patikrintų savo klientus kredito reitingų duomenų bazėje.

G29 mano, kad tvarkymas, atitinkantis du iš šių devynių kriterijų, reikalauja DPAV (net jei pakaktų vieno kriterijaus). CNIL pateikia pavyzdį: „įmonė pradeda savo darbuotojų veiklos stebėseną, šis tvarkymas atitinka sistemingos stebėsenos ir pažeidžiamų asmenų duomenų kriterijų, todėl DPAV įgyvendinimas bus būtinas“.

Analizėje turi būti pateikta bent jau: numatytų operacijų ir tvarkymo tikslų aprašymas, nurodymas dėl pirmojo proporcingumo antrojo atžvilgiu, rizikos atitinkamų asmenų teisėms ir laisvėms vertinimas, numatytos priemonės rizikai šalinti. CNIL poveikio analizę grindžia dviem ramsčiais: labiau teisiniu „nederybų“ principų vertinimu ir labiau techniniu duomenų apsaugos priemonių tyrimu. Savo DPIA vadovuose (šiuo metu peržiūrimuose) ji siūlo taikyti BDAR planą (nurodytą šios pastraipos pradžioje); juos atnaujinus, jie neabejotinai bus naudingi įrankiai visiems, kuriems reikia parengti tokį dokumentą.

Kyla klausimas, ar būtina atlikti poveikio vertinimą tvarkymo operacijoms, jau įgyvendintoms nuo 2018 m. gegužės 25 d. BDAR į šį klausimą neatsako, tačiau CNIL tai daro. „Poveikio vertinimo nereikės atlikti: tvarkymo operacijoms, kurios iki 2018 m. gegužės 25 d. buvo oficialiai patvirtintos CNIL; tvarkymo operacijoms, kurios buvo įrašytos į „duomenų apsaugos ir laisvių“ korespondento registrą.“ Tačiau po 3 metų reguliariai vykdomoms tvarkymo operacijoms turės būti atliekamas poveikio vertinimas, visada tuo atveju, jei duomenų subjektams kyla „didelė rizika“.  

Šių gairių apačioje CNIL prideda tokį sakinį: „DPAV atlikimas visais atvejais yra geroji praktika, palengvinanti esminių BDAR numatytų sąlygų laikymosi procesą.“ Kadangi CNIL yra priežiūros institucija Prancūzijoje, šio patarimo nereikėtų ignoruoti kaip gerosios praktikos. Ypač todėl, kad G29 teigia: „Kylant abejonių dėl poreikio atlikti DPAV, tiek, kiek DPAV yra svarbi priemonė duomenų valdytojams laikytis duomenų apsaugos teisės aktų, G29 rekomenduoja jį atlikti bet kuriuo atveju.“ Galiausiai Europos darbo grupė priduria, kad DPAV yra privalomas, kai „pasikeitė susijusi rizika“.

Taip pat ne beprasmiai pateikiami nurodymai dėl specialistų, kurie privalo dalyvauti atliekant poveikio analizę: duomenų valdytojo (kuris yra atsakingas), subrangovo, jei toks yra, duomenų apsaugos pareigūno (pamatysime, kas jis), projektų savininkų ir projektų vadovų, informacinių sistemų saugumo vadovo, taip pat, galbūt, susijusių asmenų, kurių nuomonę galima gauti pateikiant klausimyną.

BDAR 35-7 straipsnyje apibrėžiamas minimalus poveikio analizės turinys:

– sistemingas numatomų operacijų ir tvarkymo tikslų aprašymas;

– tvarkymo operacijų būtinumo ir proporcingumo tikslams vertinimas;

– atitinkamų asmenų teisėms ir laisvėms kylančios rizikos vertinimas;

– numatytos priemonės rizikai šalinti ir atitikties reglamentams įrodymams pateikti.

G29 pateikia metodologijos pavyzdžių AIPD analizės priede. CNIL ką tik paskelbė vadovus su metodu ir geriausios praktikos katalogu, taip pat atvirojo kodo PIA programinę įrangą. Todėl nebėra jokių pasiteisinimų nesilaikyti naujųjų įsipareigojimų.

Užbaigus poveikio vertinimą, galima pradėti tvarkymą arba duomenų valdytojas privalo pasikonsultuoti su priežiūros institucija „prieš tvarkymą, jei pagal 35 straipsnį atliktas duomenų apsaugos poveikio vertinimas rodo, kad tvarkymas keltų didelį pavojų, jei duomenų valdytojas nesiimtų priemonių rizikai sumažinti“ (36-1 straipsnis). To paties straipsnio 2 dalyje nustatyta, kad tokios išankstinės konsultacijos atveju priežiūros institucija turi 8 savaites (+6 savaites sudėtingumo atvejais) savo nuomonei pateikti.

Poveikio vertinimas gali būti skelbiamas siekiant sustiprinti pasitikėjimą bendrove, tačiau tai nėra privaloma.

Neatlikus poveikio vertinimo arba jį atlikus neteisingai, gali būti skiriama bauda iki 10 mln. eurų arba, įmonei, iki 2,1 mlrd. eurų jos pasaulinės apyvartos, atsižvelgiant į tai, kuri suma didesnė.