GDPR lépésről-lépésre – 3. rész: Az adatvédelmi hatásvizsgálat

Szerző: | márc 27, 2018 | Adatvédelem

Folytatjuk cikksorozatunkat, melyben igyekszünk felkészíteni a cégeket az Európai Unió 2018. május 25-étől alkalmazandó Általános Adatvédelmi Rendelete, a GDPR jelentette kihívásokra. A soron következő cikkben azt vizsgáljuk meg, hogy az adatkezelők milyen esetben kötelesek hatásvizsgálatot végezni az adatkezelést megelőzően.

A GDPR által bevezetett egyik új jogintézmény a hatásvizsgálat, amelynek célja az egyes adatkezelések kockázatának felmérése. A Rendelet szerint, amennyiben a hatásvizsgálat azt az eredményt hozza, hogy az adatkezelés vélhetően magas kockázattal jár, az adatkezelő előzetes konzultációra köteles a felügyeleti hatósággal. A hatásvizsgálat tehát az adatkezelő által saját hatáskörben lefolytatott eljárás, amelynek egy lehetséges kifutásaként az adatkezelő köteles előzetes konzultációt kezdeményezni a NAIH-nál.

Az első kérdés tehát, hogy mikor kell elvégezni a hatásvizsgálatot. A GDPR úgy rendelkezik, hogy a hatásvizsgálat elvégzése abban az esetben kötelező, ha az adatkezelés „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. Megfogalmaz továbbá néhány esetet, amelyekben a hatásvizsgálat elvégzése kötelező, így például amikor természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése történik, amely automatizált adatkezelésen alapul, vagy a nyilvános helyek nagymértékű, módszeres megfigyelése esetén.

Ez azonban csak példálózó felsorolás, ezért a tagállamok adatvédelmi tisztviselőiből álló 29-es munkacsoport iránymutatást adott ki, amelyben kidolgoztak egy kilenc elemből álló szempontrendszert. A munkacsoport iránymutatása szerint, amennyiben a kilenc szempontból legalább kettő teljesül, az adatkezelő tekintheti úgy, hogy szükség van a hatásvizsgálat lefolytatására.

  1. Értékelés vagy pontozás, ideértve a profilalkotást és az előrejelzést is, különösen „az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők” alapján.
  2. Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. A munkacsoport szerint e szempont kapcsán olyan adatkezelési tevékenységeket kell érteni, amelyek adott esetben például egyének kirekesztését vagy hátrányos megkülönböztetését eredményezhetik.
  3. Módszeres megfigyelés, amely lehet akár hálózatokon keresztüli adatgyűjtés vagy a „nyilvános helyek nagymértékű, módszeres megfigyelése”.
  4. Különleges adatok vagy fokozottan személyes jellegű adatok kezelése. A különleges adatok közé tartoznak a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Ezen túlmenően bizonyos adatkategóriák tekinthetők úgy, hogy fokozzák az egyének jogait és szabadságait érintő lehetséges kockázatokat, különös tekintettel az otthoni vagy magánjellegű tevékenységekhez kapcsolódó személyes adatokra.
  5. Nagy számban kezelt adatok. A GDPR konkrét fogalommeghatározást nem ad, ugyanakkor a munkacsoport azt javasolja, hogy e szempont megítélése során az alábbi tényezőket mérlegeljék az adatkezelők:
    1. az érintettek száma konkrét számadatként vagy a lakosság arányában;
    2. a kezelt adatok mennyisége vagy adatfajták köre;
    3. az adatkezelési tevékenység időtartama vagy állandó jellege;
    4. az adatkezelési tevékenység földrajzi kiterjedése.

A GDPR egy konkrét példát hozva kifejti, hogy a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés például egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.

  1. Adatkészletek egymással való megfeleltetése vagy összevonása, így több, különböző célokból, illetve eltérő adatkezelők által végzett adatkezelési műveletből származó adatkészlet összevont kezelése.
  2. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok. Ide tartoznak például a gyerekekre, a munkavállalókra, illetve a lakosság különleges védelmet igénylő, kiszolgáltatottabb helyzetben lévő rétegeire vonatkozó adatok.
  3. Új technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása. A technológia elismert állásának megfelelő módon meghatározott új technológia, mint például az ujjlenyomat és az arcfelismerés együttes használata a beléptetés során.
  4. Azok az esetek, amikor az adatkezelés önmagában véve megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek.

Fontos utalni arra, hogy a felügyeleti hatóságok kötelesek lesznek listát kibocsátani azokról az adatkezelési tevékenységekről, amelyekre vonatkozóan a hatásvizsgálatot kötelező lesz elvégezni. Ilyen listát a NAIH egyelőre még nem tett közzé.

A munkacsoport azokat az eseteket is meghatározta, amikor a hatásvizsgálat végrehajtása nem kötelező, az alábbiak szerint:

  • Ha az adatkezelés valószínűsíthetően nem jár magas kockázattal a természetes személyek jogaira és szabadságaira nézve.
  • Ha az adatkezelés a jellegét, hatókörét, körülményét és céljait tekintve nagyon hasonlít olyan adatkezelésre, amelyről már készült adatvédelmi hatásvizsgálat. Ilyen esetekben felhasználhatók a hasonló adatkezelés adatvédelmi hatásvizsgálatának eredményei.
  • Tekintettel arra, hogy a felügyeleti hatóságok által kiadott engedélyek hatályban maradnak mindaddig, amíg módosításukra, felváltásukra vagy hatályon kívül helyezésükre sor nem kerül, nem szükséges hatásvizsgálat, ha az adatkezelési műveleteket felügyeleti hatóság meghatározott, azóta változatlan feltételek mellett 2018. május előtt ellenőrizte.
  • Ha az adott adatkezelési művelet jogalapjának megállapítása során már készült adatvédelmi hatásvizsgálat;

A felügyeleti hatóságok azokról az adatkezelési tevékenységekről is összeállíthatnak jegyzéket, amelyek esetében biztosan nem kell hatásvizsgálatot lefolytatni. A magyar hatóság azonban egyelőre nem élt ezzel a lehetőséggel.