A GDPR 35. cikk (1) bekezdése alapján adatvédelmi hatásvizsgálatot akkor kell elvégezni, amikor az adatkezelés „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. De mit is jelent a valószínűsíthetően magas kockázat? Milyen munkafolyamatokat értünk adatvédelmi hatásvizsgálat elvégzése alatt? Mire kell kiterjednie? Kell-e konzultálni előzetesen az adatvédelmi hatósággal? – Cikkünk összefoglalja a legfontosabb tudnivalókat!
Több, mint 5 éve lépett hatályba az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (GDPR), az az uniós norma, amely jelentősen „átírta” a már meglévő adatvédelmi szabályozási struktúrát. A GDPR magával hozott számos olyan fogalmat, amelyet részben az azóta eltelt gyakorlat töltött meg tartalommal. A rendeletnek való megfelelés általános követelmény a személyes adatok kezelése esetén, amely a személyes adatok különbözőségéből fakadóan eltérő mértékű kötelezettségeket ró az adatkezelőkre.
Mit jelent az adatvédelmi hatásvizsgálat és milyen esetekben kötelező annak elvégzése?
A GDPR 35. cikke szerint, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával.
Az adatvédelmi hatásvizsgálat egy folyamat, különösen akkor, ha az adatkezelési művelet dinamikus és állandóan változik. Az adatvédelmi hatásvizsgálatot tehát nem egyetlen alkalommal, hanem folyamatosan kell végezni.
Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni. Az adatfeldolgozó segíti az adatkezelőt abban, hogy teljesüljenek az adatvédelmi hatásvizsgálatok elvégzéséből és a felügyeleti hatósággal folytatott előzetes konzultációból eredő kötelezettségek.
Milyen esetekben kell különösen elvégezni az adatvédelmi hatásvizsgálatot?
- természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
- a GDPR 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
- nyilvános helyek nagymértékű, módszeres megfigyelése.
Mire kell kiterjednie az adatvédelmi hatásvizsgálatnak?
Az adatvédelmi hatásvizsgálat alapvetően két nagy részből áll. Egyrészről az adatkezelő értékeli az adatvédelmi alapelveknek történő megfelelést, kvázi egy jogi megfelelőségi elemzést végez. Másrészről azonban az adatkezelőnek értékelnie kell az adatbiztonsági intézkedéseket, azaz egy informatikai biztonsági elemzést is el kell végeznie. Az adatvédelmi hatásvizsgálatban kiemelten az adatbiztonsági intézkedések nyújtanak a legnagyobb mozgásteret a kockázatok csökkentésére.
Az adatvédelmi hatásvizsgálatnak tehát ki kell terhednie
- a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
- az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
- az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
- a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat biztonsági intézkedéseket és mechanizmusokat.
Mit kell figyelembe venni az adatvédelmi hatásvizsgálat elvégzésekor?
A hatásvizsgálat megállapításait figyelembe kell venni annak meghatározásakor, hogy mely intézkedések a megfelelőek annak bizonyítására, hogy a személyes adatok kezelése megfelel a rendeletnek.
Az adatkezelőknek folyamatosan értékelniük kell az adatkezelési tevékenységeiből eredő kockázatokat, hogy felismerjék, ha az adatkezelés valamely fajtája „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”.
Kell-e konzultálni az adatvédelmi hatósággal?
A 29-es Munkacsoport vonatkozó iránymutatása (hatásvizsgálati iránymutatás) szerint, ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, az adatkezelő nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére és a fennmaradó kockázatok továbbra is jelentősek, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti hatósággal konzultálni kell [GDPR 36. cikk (1) bekezdés és (94) preambulum-bekezdés].
A GDPR 36. cikkének (3) bekezdése tartalmazza azokat az információkat, amelyeket az adatkezelőnek a konzultáció során ismertetnie kell a hatósággal.
Amennyiben az előzetes konzultáció során a Hatóság véleménye szerint a tervezett adatkezelés megsértené a GDPR-t, különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette, úgy gyakorolhatja a GDPR 58. cikkében említett hatásköreit, így többek között azt megtilthatja [GDPR 36. cikk (2) bekezdése].
Mikor beszélhetünk valószínűsíthetően magas kockázatról?
Valószínűsíthetően ilyen magas kockázattal járnak a személyes adatok kezelésének bizonyos típusai és az adatkezelés bizonyos mértéke és gyakorisága, amelyek emellett kárt is okozhatnak, illetve hátrányosan érinthetik a természetes személy jogait és szabadságait.
A Nemzeti Adatvédelmi és Információszabadság Hatóság közzé tette az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a GDPR 35. cikkének (4) bekezdése szerinti adatkezelési műveletek típusainak a jegyzékét, amelyekre nézve az adatkezelőnek kötelező hatásvizsgálatot lefolytatnia – ez a hatóság honlapján bárki számára elérhető:
- Ha egy természetes személy biometrikus adatainak kezelése módszeres megfigyelésre irányul.
- Ha kiszolgáltatott helyzetben lévő érintettekkel – különös tekintettel a gyermekekre, munkavállalókra, idős, mentális betegségben szenvedőkre – kapcsolatos biometrikus adat kezelése történik.
- Ha az adatkezelés egy természetes személy genetikai adatainak egyéb különleges adatokhoz vagy fokozottan személyes jellegű adatokhoz történő hozzákapcsolásával jár.
- Ha egy természetes személy genetikai adatai kezelésének célja a természetes személy értékelése vagy pontozása.
- Pontozás – az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
- Hitelképesség értékelése – az adatkezelés célja, hogy az érintett hitelképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
- Fizetőképesség értékelése – az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
- Harmadik személytől gyűjtött adatok további felhasználása – az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés meghozatalánál.
- Diákok, hallgatók személyes adatainak értékelésre való felhasználása – az adatkezelés célja a diákok, hallgatók felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.
- Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik.
- Csalás elleni fellépés – az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.
- Okosmérők – az adatkezelés célja közműszolgáltatók által telepített „okosmérők” alkalmazása (fogyasztási szokások nyomon követése).
- Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal – az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.
- Módszeres megfigyelés – érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera).
- Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.
- Munkavállaló munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése.[2] Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.
- Különleges adatok nagy számban való kezelése. A GDPR (91) preambulumbekezdése alapján a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
- Nagyszámú személyes adatok kezelése bűnüldözési célból.
- Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése: pl. gyermekek, idősek, mentális betegségben szenvedők esetében.
- Gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában.
- Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése (pl.: okos televízió, okos háztartási eszközök, okos játékok stb.), és amelyek adatokat szolgáltatnak a természetes személy fizetőképességére, egészségére, személyes érdeklődési körére, megbízhatóságára vagy viselkedésére, tartózkodási helyére és amelyek alapján profilalkotás történik.
- Egészségügyi adatokra vonatkozó adatkezelések. Nagy számban kezelt adatok tekintetében a kórházak, egészségügyi ellátó intézmények, magán-egészségügyi szolgáltatók vagy nagyszámú páciensi körrel rendelkező természetgyógyászok által kezelt különleges adatok vonatkozásában. Ideértve a nagyobb sportlétesítmények, edzőtermek által a tagoktól felvett egészségügyi adatok kezelése.
- Amikor több adatkezelő egy egész ágazat által közösen használt alkalmazást, rendszert, eszközt, illetve platformot tervez létrehozni, amelyben különleges adatokat is kezelnek.
- Az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy összehasonlítása.