Poveikio duomenų apsaugai vertinimas (PDAV)
PDAV (DPIA) pagal BDAR 35 str.: kada privalomas, metodika ir rezultatas. Veriva atlieka poveikio vertinimą Lietuvos verslui — teisė + IT vienoje komandoje.
Paslauga
Poveikio duomenų apsaugai vertinimas (PDAV) — tai struktūruota procedūra, kuria įvertinama, kaip planuojamas asmens duomenų tvarkymas paveiks fizinių asmenų teises ir laisves. BDAR 35 straipsnis numato, kad PDAV privalomas, kai tvarkymas dėl savo pobūdžio, apimties, konteksto ar tikslų gali kelti didelę riziką — pavyzdžiui, sistemingai stebint asmenis, dideliu mastu tvarkant specialių kategorijų duomenis arba naudojant naujas technologijas.
Praktikoje PDAV nėra formalus dokumentas „dėl varnelės“. Tai įrankis, padedantis valdytojui dar prieš pradedant tvarkymą atpažinti riziką ir numatyti priemones jai sumažinti. Valstybinė duomenų apsaugos inspekcija (VDAI) yra paskelbusi tvarkymo operacijų sąrašą, kuriam PDAV privalomas — nuo darbuotojų stebėsenos iki biometrinių sistemų ir didelės apimties profiliavimo.
Neatliktas arba paviršutiniškas PDAV yra viena dažniausių VDAI patikrinimų išvadų. BDAR 83 straipsnis numato administracines baudas iki 10 mln. EUR arba 2 % metinės pasaulinės apyvartos būtent už 35 straipsnio pažeidimus. Lietuvoje VDAI vis dažniau reikalauja pateikti PDAV dokumentaciją reaguodama į skundus ar incidentus, todėl turėti parengtą ir atnaujinamą vertinimą yra ne pasirinkimas, o teisinė prievolė rizikingam tvarkymui.
Veriva atlieka PDAV jungdama teisinę ir IT kompetenciją vienoje komandoje. Vertiname ne tik teisinį pagrindą pagal BDAR, bet ir realią techninę architektūrą — kur saugomi duomenys, kas turi prieigą, kaip užtikrinamas šifravimas ir žurnalizavimas. Rezultatas yra naudojamas dokumentas, kurį galima pateikti VDAI ir kuris realiai sumažina incidento tikimybę.
BDAR 35 straipsnis (PDAV) · VDAI duomenų apsaugos pareigūnui skirtos gairės · EDPB gairės dėl PDAV (WP248)
Kam reikalinga
- Privačios klinikos ir sveikatos įstaigos, tvarkančios sveikatos (BDAR 9 str.) duomenis dideliu mastu.
- Įmonės, diegiančios darbuotojų ar klientų stebėsenos sistemas (vaizdo, GPS, prieigos žurnalai).
- Platformos ir e-parduotuvės, atliekančios klientų profiliavimą ar automatizuotą sprendimų priėmimą.
- Organizacijos, pradedančios naują technologinį projektą (AI, biometrija, didelės apimties analitika).
- Subjektai, gavę VDAI paklausimą ar skundą, kuriame reikalaujama pagrįsti tvarkymo rizikos vertinimą.
Eiga
- Nustatome, ar planuojamam tvarkymui PDAV apskritai privalomas pagal BDAR 35 str. ir VDAI sąrašą.
- Aprašome tvarkymo operacijas: duomenų kategorijas, tikslus, srautus, gavėjus ir saugojimo terminus.
- Įvertiname tvarkymo būtinumą ir proporcingumą pasirinkto teisėto pagrindo atžvilgiu.
- Identifikuojame rizikas duomenų subjektų teisėms ir priskiriame joms tikimybės bei poveikio lygį.
- Pasiūlome technines ir organizacines priemones rizikai sumažinti iki priimtino lygio.
- Parengiame PDAV ataskaitą ir, esant likutinei didelei rizikai, įvardijame, kada būtina konsultacija su VDAI.
Rezultatas
PDAV ataskaita. Pilnas dokumentas pagal BDAR 35 str. struktūrą — tvarkymo aprašymas, būtinumo vertinimas, rizikų registras ir priemonių planas. Paruoštas pateikti VDAI.
Rizikų registras su prioritetais. Kiekviena nustatyta rizika įvertinta pagal tikimybę ir poveikį, su konkrečiomis mažinimo priemonėmis ir atsakingais asmenimis.
Techninių priemonių rekomendacijos. IT lygmens patarimai — šifravimas, prieigos kontrolė, žurnalizavimas, pseudonimizavimas — pritaikyti jūsų realiai infrastruktūrai, ne bendros frazės.
Sprendimas dėl konsultacijos su VDAI. Aiškus atsakymas, ar likutinė rizika reikalauja išankstinės konsultacijos su priežiūros institucija pagal BDAR 36 str.
Nauda
- Įvykdyta BDAR 35 str. prievolė — apsauga nuo iki 10 mln. EUR baudos už neatliktą vertinimą.
- Rizikos atpažintos prieš diegimą, ne po incidento — pigiau ir saugiau.
- Dokumentas, kurį galima parodyti VDAI, klientams ir partneriams kaip atitikties įrodymą.
- Teisė + IT viename vertinime — be atotrūkio tarp dokumento ir realios sistemos.
Susijusios paslaugos
Kontaktinis asmuo
Justinas Gliebus, Įkūrėjas, Veriva UAB
+37064003632 · info@veriva.lt
Dažniausi klausimai
Šaltiniai
- BDAR. 35 straipsnis (PDAV). eur-lex.europa.eu (accessed June 2026)
- VDAI. duomenų apsaugos pareigūnui skirtos gairės. vdai.lrv.lt (accessed June 2026)
- EDPB. gairės dėl PDAV (WP248). edpb.europa.eu (accessed June 2026)