BDAR ir DI duomenų apsaugos pareigūnui
Duomenų apsaugos pareigūnas yra DI projekto kelio rodyklė BDAR požiūriu. Praktikoje tai reiškia: PDAA pagal 35 straipsnį prieš sistemai pradedant veikti, teisėto pagrindo įvertinimas su sutikimu arba teisėtu interesu, subtvarkytojų grandinės sutvarkymas, duomenų subjekto teisių techninis užtikrinimas (paslepimo teisė, prieigos teisė, perkeliamumas), 22 straipsnio žmogaus paskutinio žodžio kontrolė ir VDAI lūkesčių laikymasis.
Poveikio duomenų apsaugai vertinimas (PDAA)
BDAR 35 straipsnis reikalauja PDAA, kai apdorojimas gali sukelti didelę riziką fiziniams asmenims. DI sistemos, apdorojančios asmens duomenis arba palaikančios sprendimus dėl asmenų, beveik visada reikalauja PDAA. Šabloną pateikiame kaip pristatymo dalį, su skiltimis: apdorojimo aprašymas, būtinumo ir proporcingumo įvertinimas, rizikų sąrašas ir kontrolinės priemonės.
Teisėto pagrindo įvertinimas
Šeši galimi pagrindai pagal 6 straipsnį, du dažniausi DI atvejais: sutikimas (4 str. 11 dalis - laisvas, konkretus, informuotas, vienareikšmis) ir teisėtas interesas (6 str. 1 dalies f punktas - balanso testas). Ypatingų kategorijų duomenims (9 str.) reikalingas papildomas pagrindas, paprastai konkretus įstatymo nustatytas pagrindas. Pagrindo pasirinkimą fiksuojame projekto registracijoje.
VDAI lūkesčiai
Lietuvos Valstybinė duomenų apsaugos inspekcija per pastaruosius metus paskelbė konsultacijos dokumentus DI atveju, taip pat dalyvauja Europos duomenų apsaugos valdybos (EDAV) gairių rengime. Praktiniai VDAI lūkesčiai: PDAA prieš diegimą, aiškus teisėtas pagrindas, dokumentuota subtvarkytojų grandinė, ES regiono saugojimas pagal nutylėjimą, asmens informavimas apie automatizuotą sprendimą.
Subtvarkytojų grandinės valdymas
BDAR 28 straipsnis reikalauja sutartinės bazės su kiekvienu subtvarkytoju ir 30 dienų prieštaravimo teisės dėl naujų subtvarkytojų. DI projekte tipiškai dalyvauja: pamatinio modelio tiekėjas, hostingo platforma, vektorių duomenų bazė, įrankių API. Pateikiame subtvarkytojų sąrašą su jurisdikcija, BDAR pagrindu duomenų perdavimui ir subprocesorių grandine.
Duomenų subjekto teisės
Prieigos teisė (15 str.), pataisymo teisė (16 str.), paslepimo teisė (17 str., dar žinoma kaip teisė būti pamirštam), perkeliamumo teisė (20 str.), prieštaravimo teisė (21 str.). Kiekvienai teisei numatome techninę įgyvendinimo grandinę, įskaitant duomenų indeksą, kuris leidžia greitai rasti visus konkretaus asmens įrašus per pamatinio modelio kontekstą, vektorių duomenų bazę ir audito žurnalus.
BDAR 22 straipsnis ir žmogaus paskutinis žodis
Sprendimai, sukeliantys teisinius padarinius, negali būti tik automatizuoti. ESTT SCHUFA byla (C-634/21, 2023 m. gruodis) išplėtė šio straipsnio aiškinimą iki tarpinių vertinimų, kurie iš esmės nulemia galutinį sprendimą. Mūsų architektūroje žmogaus paskutinio žodžio žingsnis yra privalomas, su atsisakymo galimybe ir paaiškinimo pateikimu duomenų subjektui pagal 13-15 straipsnių reikalavimus.
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.