Forrás: 2018. április 16. 11:30
Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen. A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság alapelvéhez.
Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.
Mikor kell adatvédelmi hatásvizsgálatot végezni?
A Rendelet 35. cikke szerint, "ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. [...]"
A Rendelet meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni. Ezek a következők:
- természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
- a személyes adatok különleges kategóriái (Rendelet 9. cikk), vagy a büntetőjogi felelősségmegállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok (Rendelet 10. cikk) nagy számban történő kezelése; vagy
- nyilvános helyek nagymértékű, módszeres megfigyelése.
A felügyeleti hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan adatvédelmi hatásvizsgálatot kell végezni ("fekete lista").
A felügyeleti hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni ("fehér lista").
A fenti felhatamazás alapján egyes hatóságok elkezdték közzétenni a fekete-, illetve fehér listákra vonatkozó tervezeteiket. (Sajnos Magyarországon ilyen lista eddig még tervezet formájában sem jelent meg. A NAIH honlapján ugyanakkor szerepel néhány állásfoglalás, amely az adatvédelmi hatásvizsgálat kérdését is érintik. Ezek elérhetők itt és itt. A NAIH kitér a Rendelet 35. cikk (10) bekezdésében foglaltak elemzésére is, miszerint, "ha a jogalkotási eljárás során egy általános hatásvizsgálat során már elvégezték az adatvédelmi hatásvizsgálatot, akkor azt nem kell elvégeznie az adatkezelőnek, kivéve ha a tagállamok azt az adatkezelési tevékenységet megelőzően szükségesnek tartják. Ezen rendelkezés alapján tehát az adatkezelőt terhelő adatvédelmi hatásvizsgálati kötelezettséget kiválthatja a jogalkotás során végzett adatvédelmi hatásvizsgálat." Ezzel kapcsolatban viszont a NAIH arra a megállapításra jut, hogy a magyar jogalkotási törvény alapján végzendő hatásvizsgálat nem felel meg a GDPR által támasztott feltételeknek, azaz az adatkezelők még ilyen esetekben sem mentesülhetnek a hatásvizsgálati kötelezettségük elvégzése alól!)
Mik szereplnek a fekete listákon?
(1) Belgium
A belga adatvédelmi hatóság közzétett egy iránymutatást az adatvédelmi hatásvizsgálattal kapcsolatban, amelynek mellékletét képezi a fekete- és fehér listák tervezete is. (Elérhető itt: franciául / hollandul). A fekete lista az iránymutatás 2. sz. mellékletét képezi és 10 elemet tartalmaz. (A lista nem hivatalos angol nyelvű fordítása és összefoglalója elérhető: Sidley Austin LLP cikkében a Lexology-n, illletve Van Bael & Bellis cikkében.)
A belga adatvédelmi hatóság fekete listája szerint, adatvédelmi hatásvizsgálatot kell végezni, többek között, az alábbi esetekben:
- biometrikus vagy genetikai adatok kezelése;
- harmadik féltől történő adatszerzés annak érdekében, hogy az adatkezelő döntést hozzon az érintett részére történő szolgáltatás nyújtásának elutasításáról vagy megszüntetéséről;
- az érintett fizetőképességének értékelését célzó adatkezelések;
- olyan adatkezelések, amelyek adatvédelmi incidens esetén az érintettek egészségi állapotát hátrányosan érinthetik;
- pénzügyi vagy érzékeny adatok másodlagos célú kezelése;
- a személyes jellemzők értékelése a munkahelyi teljesítmény, pénzügyi helyzet, egészség, lokáció, érdeklődés stb. alapján;
- nagymértékű profilozás; és
- nagy számú érintettre vonatkozó adatok kezelése, amelyet nyilvánosságra hoznak. (forrás: Van Bael & Bellis cikk)
(2) Nagy-Britannia
A brit adatvédelmi hatóság által a hatásvizsgálatokról kiadott iránymutatás alapján hatásvizsgálatot kell végezni az alábbi esetekben:
- új technológiák használata;
- profilozás vagy adatok különleges kategóriáinak használata egy szolgáltatáshoz való hozzáférésről való döntéshez;
- nagymértékű profilozás;
- biometrikus adatok kezelése;
- genetikai adatok kezelése;
- különböző forrásokból származó adatok egyeztetése vagy összekapcsolása;
- nem az érintettől történő adatgyűjtés anékül, hogy az érintett tájékoztatást kapna ("láthatatlan adatkezelés");
- magánszemélyek mozgásának (lokációs adatok) vagy viselkedésének nyomonkövetése;
- gyermekek profilozása vagy részükre történő szolgáltatás nyújtása; vagy
- olyan adatok kezelése, amelyek incidens esetén az érintettek egészségét vagy biztonságát veszélyeztethetik.
(3) Lengyelország
A lengyel hatóság is közzétette a maga fekete lista tervezetét. (Az eredeti lista elérhető itt. Ennek angol nyelvű összefoglalója pedig itt található, Anna Kobylanska és Marcin Lewoszewski cikkében.) A lenygel lista igen részletes és tíz csoportba sorolja azokat az adatkezeléseket, amelyek esetében szükséges az adatvédelmi hatásvizsgálat elvégzése.
A lengyel lista alapján levonható az a következtetés is, hogy a munkavégzéssel összefüggő adatkezelések esetében is gyakran szükség lehet hatásvizsgálat elvégzésére. Például az alábbi munkavégzéshez kapcsolódó adatkezelések lehetnek érintettek:
- munkaidő vagy a munkavégzés automatikus megfigyelése;
- munkavállalók biometrikus adatainak kezelése;
- a munkavállalók értékelése a számítógépen végzett tevékenységük megfigyelése alapján;
- a munkavállalók hozzájárulása alapján végzett adatkezelés;
- visszaélésbejelentési rendszerek;
- a munkaviszonyra vonatkozó iratok létrehozására és tárolására szolgáló központi adatbázisok alkalmazása, ha az adatok harmadik országba történő továbbítására kerül sor. (forrás: Anna Kobylanska és Marcin Lewoszewski cikke)
(Az adatvédelmi hatásvizsgálattal kapcsolatos korábbi blogbejegyzések elérhetők itt és itt.)