PDAA (poveikio duomenų apsaugai vertinimas)
PDAA, dar žinomas kaip Data Protection Impact Assessment (DPIA), yra poveikio duomenų apsaugai vertinimas pagal BDAR 35 straipsnį. Privalomas, kai apdorojimas gali sukelti didelę riziką fiziniams asmenims. DI sistemos, apdorojančios asmens duomenis arba palaikančios sprendimus dėl asmenų, beveik visada reikalauja PDAA. VDAI 2018 m. paskelbė PDAA reikalingumo sąrašą, kuris apima ir sistemingą profiliavimą bei automatizuotą sprendimų priėmimą.
Privalomos PDAA dalys
Apdorojimo aprašymas ir tikslai (35 str. 7 dalies a punktas), būtinumo ir proporcingumo vertinimas (b punktas), rizikų asmens teisėms ir laisvėms vertinimas (c punktas), kontrolinės priemonės rizikoms mažinti (d punktas). VDAI gali reikalauti išankstinės konsultacijos prieš didelę riziką keliantį apdorojimą (36 str.).
Kada PDAA privaloma DI projekte
Sistemingas duomenų subjektų profiliavimas, ypač nulemiantis sprendimus, sukeliančius teisinius padarinius (BDAR 22 str. taikymas). Didelio masto asmens duomenų apdorojimas. Ypatingų kategorijų duomenų apdorojimas (BDAR 9 str.) - sveikatos, biometriniai, etniniai. Naujų technologijų naudojimas, įskaitant pamatinius modelius ir generatyvinį DI.
Kaip Impetora paruošia PDAA
Pažinties etape pateikiame PDAA šabloną pagal VDAI gairę. Užpildome kartu su kliento DPO arba teisės departamentu. Diegimo etape PDAA atnaujinamas, kai keičiasi apimties parametrai. Eksploatavimo etape periodiškai peržiūrime, ne rečiau kaip kasmet arba esant esminiam pakeitimui.
Susiję terminai
BDAR, BDAR 22 straipsnis, VDAI, DPA, ES DI akto 27 straipsnis (pamatinių teisių poveikio vertinimas, FRIA, kuris papildo PDAA aukšto rizikos sistemoms).
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.