Szerző: dr. Nagy Beatrix Havaska
A cikk a MADAT (Magyar Adatvédelmi Tudatosságért Társaság Egyesülete) Data Facto adatműhelyének előadásán elhangzott anyagból készült. A MADAT, melynek tagjai közé tartozom magam is, egy szakmai barátságokon alapuló kis csoportból nőtte ki magát, és alakult meg egyesületi formában 2016-ban. Célunk az adatvédelem, adatbiztonság, és az információszabadság területén tevékenykedő szakemberek összegyűjtése. Rendszeres szakmai műhelyeinken lehetőséget biztosítunk mindenki számára egy kis közös gondolkodásra, véleménycserére. Szakmai anyagok kiadásával, konferenciák, továbbképzések szervezésével igyekszünk a magyar adatvédelmi tudatosság növelését szeretnénk elérni.
Az előzetes adatvédelmi hatásvizsgálat egy alkalmazott eljárás adott adatkezelés esetleges kockázatainak felmérésére és a feltárt kockázatok mértékéhez igazodó intézkedések megtétele érdekében. Az európai adatvédelmi rendelet (AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE ) által Magyarországon is kötelezendően alkalmazandó eljárás lesz 2018. május 25-e után. Ez az új kötelezettség jól kifejezi az Unió azon törekvését, hogy az adatkezelések kapcsán már a kezdetektől megjelenjen a beépített és alapértelmezett adatvédelem és az ún. elszámoltathatóság elve.
Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.
Összefoglalva tehát a hatásvizsgálat egy célzott eljárás, mely kiterjed az adatkezelés:
- jellegének feltárására
- szükségességének és arányosságának vizsgálatára
- adatkezelésből eredő kockázatok kezelésére
Mikor kell hatásvizsgálatot készíteni?
Segítségünkre a Rendelet 35 cikke lesz, mely pontosan meghatározza azon eseteket körét, amikor ezzel a technikával kell élnünk.
"ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. [...]"
Annak eldöntése során tehát, hogy szükséges-e adatvédelmi hatásvizsgálatot végezni elsődlegesen azt kell vizsgálni, hogy mit jelent a Rendelet vonatkozásában a "kockázat", illetve a "magas kockázat" fogalma. Erre választ a rendelet és a WP29-es munkacsoport (Rendelet 29-es cikk szerinti munkacsoportja) iránymutatásában (Wp248 Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e) találunk. (pl.: automatizált adatkezelés; ideértve a profilozást is; nyilvános helyek nagymértékű, módszeres megfigyelése, személyes adatok különleges kategóriái; új technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása: az ujjlenyomat- és az arcfelismerés együttes használata)
Minél több kritériumnak felel meg az adatkezelés, annál nagyobb a valószínűsége annak, hogy az adatkezelés magas kockázattal jár az érintettek jogaira és szabadságaira nézve, ezért pedig szükségessé teszi az adatvédelmi hatásvizsgálat elvégzését
Az adatvédelmi hatásvizsgálat eredményéről előzetesen konzultálni kell a felügyeleti hatósággal (Magyarországon ez a NAIH, Nemzeti Adatvédelmi és Információszabadság Hatóság), ha a fennmaradó kockázatok továbbra is jelentősek. Ez a gyakorlatban azt jelenti, hogy az érintettek jogait és szabadságait érintő kockázatok adatkezelő által történt értékelését követően az adatkezelő nem tud megfelelő kockázatokat enyhítő intézkedéseket hozni, illetve a kockázatok elfogadható szintre való csökkentésére nincs lehetősége.
Mikor nem kell hatásvizsgálatot végeznünk?
- az adatkezelés valószínűsíthetően nem jár magas kockázattal,
- a felügyeleti hatóság által összeállított és nyilvánosságra hozott adatkezelések listáján szereplő esetekben,
- hasonló adatkezelések esetében, melyek hasonlóan magas kockázattal járnak egy hatásvizsgálat elvégzés is elegendő lehet.
- „adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, „
De mitől lesz jó egy hatásvizsgálat?
A vizsgálat elvégzésére nem ad útmutatást a rendelet. Az elkészítés során alkalmazhatunk már bevett „jó gyakorlatokat”, esetleg más tagország adatvédelmi hatósága által kiadott útmutatást vehetünk alapul.
Egy jó hatásvizsgálat két részből áll. Egyrészt az adatkezelő értékeli az adatvédelmi alapelveknek történő megfelelést, kvázi egy jogi megfelelőségi elemzést végez. Másrészről azonban az adatkezelőnek értékelni kell az adatbiztonsági intézkedéseket, azaz egy informatikai biztonsági elemzést is el kell végeznie.
És még mit tartalmazzon az elkészült anyag?
Kerüljön benne kifejtésre:
- hatásvizsgálat lefolytatásának indoka, részletesen, jól strukturált felépítésben
- az adatkezelés valószínűsíthetően magas az kockázatának indoklása, illetve annak kifejtése, hogy milyen kötelező esetkör indokolta az elemzés elvégzését
- a természetes személyek jogait és szabadságát érintő kockázatok vizsgálata; az adatkezelési tevékenységeikből eredő kockázati szint meghatározása: a súlyosság és valószínűség alapján
- a tervezett adatkezelési műveletek leírása és az adatkezelés céljának ismertetése;
- szükségesség és arányosság vizsgálata;
- a kockázatok kezelését, valamint a GDPR-ral való összhang igazolását célzó intézkedések
Konklúzió:
- A hatásvizsgálat egy folyamat, nem egyetlen alkalomra szól, évenkénti felülvizsgálata javasolt, vagy jelentősebb változás esetén újra elvégezendő
- az adatvédelmi hatásvizsgálat eredményeit a vállalati kockázatkezelési folyamatokba be kell építeni annak érdekében, hogy a felső vezetés nyomon tudja követni a kockázatcsökkentő intézkedések végrehajtását.
- az adatvédelmi tisztviselő, illetőleg az érintettek véleményének beszerzése esetenként kötelező lehet
A hatásvizsgálatról a Rendelet 35.-36. cikkében bővebben is olvashatnak.
Készítette: dr. Nagy Beatrix Havaska
