Adatvédelmi hatásvizsgálat GDPR alapján. Az adatvédelmi rendeletnek való megfelelés előmozdítása érdekében olyan esetekben indokolt, amikor valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve. Az e kockázat forrását, jellegét, egyediségét és súlyosságát felmérő adatvédelmi hatásvizsgálat elvégzéséért az adatkezelő felel.
A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel a GDPR-nak. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek olyan magas kockázattal járnak, amelyet az adatkezelő nem képes a rendelkezésre álló technológia és a végrehajtási költségek szempontjából is megfelelő intézkedésekkel mérsékelni, az adatkezelést megelőzően a felügyeleti hatósággal konzultálni kell.
I. Mit foglal magában az adatvédelmi hatásvizsgálat?
A hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét. Magában foglalja továbbá a GDPR rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat. Ez különösen vonatkozik egyrészt azokra a nagymértékű adatkezelési műveletekre, amelyek jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák. És amelyek az érintettek jelentős számára hatással lehetnek. És amelyek például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak. Másrészt vonatkozik azokra az adatkezelési műveletekre, amelyeknél nagy arányban a technológia elismert állásának megfelelő új technológiát alkalmaznak. Harmadrészt vonatkozik olyan más adatkezelési műveletekre is, amelyek magas kockázattal járnak az érintettek jogaira és szabadságaira nézve.
Adatvédelmi hatásvizsgálatot kell végezni továbbá, amikor az a személyes adatkezelés célja, hogy konkrét természetes személyekkel kapcsolatban döntést lehessen hozni, Mindezt azt követően, hogy elvégzik a természetes személyek személyes jellemzőinek szisztematikus és kiterjedt értékelését az említett adatokon alapuló profilalkotás alapján. Illetve a személyes adatok különleges kategóriáira, a biometrikus adatokra vagy a büntetőjogi felelősség megállapítására és a bűncselekményekre vagy a kapcsolódó biztonsági intézkedésekre vonatkozó adatok kezelését követően.
Az adatvédelmi hatásvizsgálatok elvégzése a nyilvános helyek nagymértékű megfigyelése esetében szintén követelmény. Különösen, ha ezt elektronikus optikai eszközök alkalmazásával hajtják végre. Ezen felül az olyan egyéb műveletek esetében is, amelyeknél az illetékes felügyeleti hatóság úgy ítéli meg, hogy az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve. Különösen mivel megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek. Vagy mivel az említett műveletekre szisztematikusan és nagy számban kerül sor.
Nem nagymértékű adatkezelés
A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik. Ilyen esetekben az adatvédelmi hatásvizsgálatot nem kell kötelezővé tenni.
II. Adatvédelmi hatásvizsgálat GDPR – Az Adatvédelmi Munkacsoport iránymutatása
A 29. cikk alapján létrehozott adatvédelmi munkacsoport 2017. október végén közzétette Iránymutatását. Ez a dokumentum használható az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés a GDPR alkalmazásában „valószínűsíthetően magas kockázattal jár”-e.
Az Iránymutatás az alábbi példákat tartalmazza.
A) Valószínűsíthetően szükség van előzetes adatvédelmi hatásvizsgálatra az alábbi esetekben:
A betegek genetikai és egészségügyi adatait kezelő kórház (kórházi információs rendszer). Különleges adatok vagy fokozottan személyes jellegű adatok. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok. Nagy számban kezelt adatok.
Kamerarendszer használata a vezetői magatartás megfigyelésére az autópályákon. Az adatkezelő intelligens video-elemző rendszer használatát tervezi járművek kiszűrése és automatikus rendszám-felismerés céljából. Módszeres megfigyelés. Technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása.
Az alkalmazottai tevékenységeit módszeresen megfigyelő, így az alkalmazottak munkaállomását, internetes tevékenységeit stb. nyomon követő vállalkozás. Módszeres megfigyelés. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok.
A közösségi médiából származó nyilvános adatok gyűjtése profilalkotás céljából. Értékelés vagy pontozás. Nagy számban kezelt adatok. Adatkészletek egymással való megfeleltetése vagy összevonása. Különleges adatok vagy fokozottan személyes jellegű adatok.
Országos hitelminősítési vagy csalásellenes adatbázist létrehozó pénzügyi vállalkozás. Értékelés vagy pontozás. Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. Megakadályozza, hogy az érintett a jogait gyakorolja vagy szolgáltatást vegyen igénybe vagy szerződést érvényesítsen. Különleges adatok vagy fokozottan személyes jellegű adatok.
Kutatási projektekben vagy klinikai vizsgálatokban részt vevő, kiszolgáltatott helyzetben lévő érintettek. Különleges adatok. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, álnevesített, különleges személyes adatok tárolása archiválás céljából. Érintettekkel kapcsolatos adatok. Megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek.
B) Valószínűsíthetően nem szükséges az előzetes adatvédelmi hatásvizsgálat elvégzése például az alábbi esetekben
- Egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adatainak feldolgozása. Különleges adatok vagy fokozottan személyes jellegű adatok. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok.
- A feliratkozóknak általános napi sajtószemle küldéséhez levelezőlistát használó internetes magazin. Nagy számban kezelt adatok.
- A honlapon megtekintett vagy megvásárolt árucikkek alapján végzett profilalkotás révén veterán járművek alkatrészeire vonatkozó hirdetéseket megjelenítő e-kereskedelmi honlap. Értékelés vagy pontozás.
Ezzel szemben előfordulhat, hogy egy adatkezelési művelet ugyan megfelel a fent ismertetett esetek egyikének, az adatkezelő azonban mégsem úgy ítéli meg, hogy „valószínűsíthetően magas kockázattal jár”. Ilyenkor az adatkezelőnek indokolnia és dokumentumokkal igazolnia kell az adatvédelmi hatásvizsgálat mellőzésének okait, és ezzel összefüggésben az adatvédelmi tisztviselő álláspontját is közölnie/rögzítenie kell. Ezen kívül az elszámoltathatósági elv értelmében mindegyik adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. Ebben szerepelnek egyebek mellett az adatkezelés céljai, az adatkategóriák leírása, az adatok címzettjei. És ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása (a 30. cikk (1) bekezdése). Az adatkezelőknek emellett értékelniük kell, hogy valószínűsíthető-e magas kockázat. Ez még abban az esetben is így van, ha végül úgy döntenek, hogy nem végeznek adatvédelmi hatásvizsgálatot.
Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?
Adatvédelmi tanácsadással vállalkozások (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők számára. Adatkezelési szabályzatok elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában. Adatvédelmi tájékoztatók elkészítésével, adatvédelmi nyilvántartásba vétel kezdeményezésével a Nemzeti Adatvédelmi és Információszabadság Hatóság előtt, valamint NAIH állásfoglalások iránti kérelem előerjesztésében is segítséget nyújtunk.
Jelen blogbejegyzés célja kizárólag a tájékoztatása, így jelen blogbejegyzés nem minősül jogi tanácsadásnak, illetve ajánlattételnek. Amennyiben adatvédelmi jogi kérdése van, készséggel állunk rendelkezésére elérhetőségeink bármelyikén.
Frissítve: 2023.11.06