VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS

DIREKTORIUS

 

ĮSAKYMAS

DĖL DUOMENŲ TVARKYMO OPERACIJŲ, KURIOMS TAIKOMAS REiKALaVIMAS ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ, SĄRAŠO PATVIRTINIMO

 

2019 m. kovo 14 d. Nr. 1T-35 (1.12.E)

Vilnius

 

 

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) 35 straipsnio 4 dalimi, atsižvelgdamas į 29 straipsnio duomenų apsaugos darbo grupės, įkurtos 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL 2004 m. specialusis leidimas, 13 skyrius, 15 tomas, p. 355) pagrindu, 2017 m. balandžio 4 d. Poveikio duomenų apsaugai vertinimo (PDAV) gaires, kuriomis Reglamento (ES) 2016/679 taikymo tikslais nurodoma, kaip nustatyti, ar duomenų tvarkymo operacijos gali sukelti didelį pavojų, pabrėždamas, kad šiuo įsakymu tvirtinamas duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašas negali būti laikomas baigtiniu,

tvirtinu Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašą (pridedama).

 

 

 

Direktorius                                                                                                       Raimondas Andrijauskas

 

PATVIRTINTA

Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2019 m. kovo 14 d.

įsakymu Nr. 1T-35 (1.12.E)

 

 

DUOMENŲ TVARKYMO OPERACIJŲ, KURIOMS TAIKOMAS REIKALAVIMAS ATLIKTI POVEIKIO DUOMENŲ APSAUGAI VERTINIMĄ, SĄRAŠAS

 

1.       Asmens duomenų tvarkymas vykdomas mokslinių ar istorinių tyrimų tikslais bent vienu iš žemiau nurodytų atvejų:

1.1.    kai be duomenų subjekto sutikimo tvarkomi specialių kategorijų asmens duomenys arba asmens duomenų tvarkymas vykdomas susiejant ar derinant duomenų rinkinius;

1.2.    kai tvarkomi nepilnamečių asmenų duomenys;

1.3.    kai tvarkomas asmens kodas.

2.       Asmens duomenų tvarkymas dideliu mastu, kai asmens duomenys gauti ne iš duomenų subjekto bei informacijos, numatytos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679) 14 straipsnio 1 ir 2 dalyse, pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų, arba jeigu dėl tokio informacijos pateikimo gali tapti neįmanoma arba jis gali labai sukliudyti pasiekti tvarkymo tikslus.

3.       Asmens duomenų tvarkymas, kai duomenų gavėjų, kuriems buvo atskleisti asmens duomenys, informavimas apie asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą pagal Reglamento (ES) 2016/679 19 straipsnį, nėra įmanomas arba pareikalautų neproporcingų pastangų.

4.       Biometrinių duomenų, kuriais siekiama konkrečiai nustatyti fizinio asmens tapatybę, tvarkymas duomenų subjektų stebėsenos ar kontrolės tikslais arba kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.

5.       Genetinių duomenų tvarkymas vykdant duomenų subjekto savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą.

6.       Asmens vaizdo duomenų tvarkymas, kai vaizdo stebėjimas vykdomas bent vienu iš žemiau nurodytų atvejų:

6.1.    patalpose ir (ar) teritorijose, kurios nėra duomenų valdytojo valdomos nuosavybės ar kitais teisėtais pagrindais, kai vaizdo stebėjimas vykdomas laikantis Reglamento (ES) 2016/679 5 straipsnyje nustatytų su asmens duomenų tvarkymu susijusių principų;

6.2.    sveikatos priežiūros, socialinės globos, įkalinimo įstaigose ir kitose įstaigose, kuriose paslaugos yra teikiamos pažeidžiamiems asmenims;

6.3.    kartu su garso įrašymu.

7.       Pokalbių telefonu įrašymas.

8.       Asmens duomenų tvarkymas naudojant inovatyvias technologijas arba egzistuojančias technologijas panaudojant nauju būdu, kai tvarkomi pažeidžiamų duomenų subjektų asmens duomenys.

9.       Vaikų asmens duomenų tvarkymas tiesioginės rinkodaros tikslais, vaikų asmeninių aspektų vertinimas, kuris yra grindžiamas automatizuotu tvarkymu, įskaitant profiliavimą, arba kai vaikams tiesiogiai yra siūlomos informacinės visuomenės paslaugos.

10.     Darbuotojų asmens duomenų tvarkymas stebėsenos ar kontrolės tikslais: asmens vaizdo ir (ar) garso duomenų tvarkymas darbo vietoje ir (ar) duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai; asmens duomenų, susijusių su darbuotojų, komunikacijos, elgesio, vietos ar judėjimo stebėsena, tvarkymas.

__________________