Adatvédelmi hatásvizsgálat

Az (EU) 2016/679 rendeletet 2018. május 25-től kell alkalmazni. Az (EU) 2016/680 irányelv mellett az általános adatvédelmi rendelet (GDPR) 35. cikke is bevezeti az adatvédelmi hatásvizsgálat fogalmát.

Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, illetve a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése, ezen kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával.

Az adatvédelmi hatásvizsgálat nem minden esetben kötelező. Mely esetekben kötelező? Abban az esetben kötelező, ha az adatkezelés „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. A hatásvizsgálatot nem a Hatóság (NAIH) folytatja le, hanem az adatkezelő saját hatáskörben lefolytatott eljárása, amelynek egy lehetséges részeként az adatkezelő köteles előzetes konzultációt kezdeményezni a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH), amennyiben az adatvédelmi hatásvizsgálat azt az eredményt mutatja, hogy az adatkezelés vélhetően magas kockázattal jár (35. cikk (1) bekezdés). Az adatvédelmi hatásvizsgálat tehát a rendelet betartásának elérésére és bizonyítására szolgáló eljárás.

 

A GDPR 35. cikk (7) bekezdés szerint az adatvédelmi hatásvizsgálat kiterjed legalább az alábbiak vizsgálatára:

 

1. A tervezett adatkezelési műveletek és az adatkezelés céljainak módszeres leírása, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
2. Az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
3. az érintett jogait és szabadságait érintő kockázatok vizsgálatára;
4. A kockázatok kezelését célzó intézkedések bemutatása, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

 

Abban az esetben, amikor egy olyan új informatikai rendszert vezetnek be, amely személyes adatot is kezel, az adatkezelés magas kockázattal járhat a természetes személyek jogaira és szabadságaira nézve. Ilyenkor a GDPR szerint az adatkezelőnek hatásvizsgálatot kell végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

 

Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

 

1. a) Értékelés vagy pontozás, ideértve a profilalkotást és az előrejelzést is, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési köreire, megbízhatóságára vagy viselkedésére, tartózkodási helyére vagy mozgására vonatkozó jellemzők esetén;
2. b) Módszeres megfigyelés, érintettek megfigyelése, nyomon követése vagy ellenőrzése céljából végzett adatkezelés, többek között hálózatokon keresztüli adatgyűjtés, továbbá nyilvános helyek nagymértékű, módszeres megfigyelése;
3. c) Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal: adatkezelés, melynek célja a „természetes személyek tekintetében joghatással bíró” vagy a „természetes személyt hasonlóképpen jelentős mértékben érintő” döntések meghozatala;
4. d) Különleges vagy fokozottan személyes jellegű adatok: ide tartoznak a rendelet 9. cikkében meghatározott különleges kategóriájú személyes adatok, azaz pl: faji, etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, továbbá a genetikai adatok, az egészségügyi adatok, illetve a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok, de ide tartoznak még az egyedi azonosítást célzó biometrikus adatok. Fő szabály szerint az ilyen jellegű adatok kezelése tilos!
5. e) Nagy számban kezelt adatok: a rendelet nem határozza meg, hogy mi értendő a nagy szám alatt, de erre vonatkozó iránymutatást nyújt a (91) preambulumbekezdés, mely alapján figyelembe veendő szempontok az alábbiak:

• az érintettek száma konkrét számadatként vagy a lakosság arányában mérve;
• a kezelt adatok mennyisége vagy az adatfajták köre;
• az adatkezelési tevékenység időtartama vagy állandó jellege;
• az adatkezelési tevékenység földrajzi kiterjedése.

f)az adatkezelések egymással való megfeleltetése vagy összevonása;

1. g) kiszolgáltatott helyzetben lévő érintettekkel kapcsolatok adatok esetén. Erre iránymutatásul szolgál a rendelet (75) preambulumbekezdése. Ez azokban az esetekben szokott előfordulni, amikor az érintettek és az adatkezelő között nincs hatalmi egynsúly , azaz az érintettek adott esetben nem tudják az adataik kezelését könnyen engedélyezni vagy ellenezni, illetve a jogaikat nem tudják megfelelően gyakorolni. Erre tipikus példa a munkavállaló és a munkaadó közti egyensúlyhiány esete. De kiszolgáltatott helyzetűeknek kell tekinteni a gyerekeket, az időskorúakat, a betegeket, a mentális betegségekben szenvedőket, és a menedékkérőket is;
2. h) Új technológia vagy szervezési megoldások innovatív használata vagy alkalmazása. Ilyen például az ujjlenyomat- és arcfelismerés együttes használata a hatékonyabb beléptetés érdekében, stb. De ide tartoznak a „dolgok internetét” – internet of things – használó alkalmazások, eszközök, melyek jelentős hatást gyakorolnak az egyének mindennapi életére és magánéletére, ezért szükséges az adatvédelmi hatásvizsgálat elvégzése ezen esetekben.

 

A NAIH gyakorlatias elvárása szerint legalább a következő esetekben kell adatvédelmi hatásvizsgálatot végezni: NAIH hatásvizsgálati lista

 

A hatásvizsgálat elemei:

 

1. a) a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetése, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
2. b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
3. c) az érintett jogait és szabadságait érintő kockázatok vizsgálata; és
4. d) a kockázatok kezelését célzó intézkedések bemutatása, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

 

A rendelet hivatalosan nem határozza meg az adatvédelmi hatásvizsgálat pontos fogalmát, de minimális tartalmát a 35. cikk (7) bekezdése az alábbiak szerint rögzíti:

• „a) a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
• b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
• c) az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára, és
• d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.”

További példák azokra az adatkezelési műveletekre vonatkozóan, amikor el kell végezni az adatvédelmi hatástanulmányt:

• A betegek genetikai és egészségügyi adatait kezelő kórház (kórházi információs rendszer);
• Vezetői magatartás megfigyelése autópályákon kamerarendszer alkalmazásával;
• Az alkalmazotti tevékenységek módszeres megfigyelése (az alkalmazottak internetes tevékenységeit, munkaállomását, GPS alkalmazása esetében, stb);
• A közösségi médiából származó nyilvános adatok gyűjtése profilalkotás céljából;
• Országos hitelminősítési vagy csalás ellenes adatbázist létrehozó pénzügyi vállalkozás esetében;
• Kutatási projektekben vagy klinikai vizsgálatokon részt vevő, kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, álnevesített, különleges személyes adatok tárolása archiválás céljából;

 

Cégünk vállalja adatvédelmi hatásvizsgálatok elkészítését a tervezéstől a megvalósulásig.