GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adatvédelmi hatásvizsgálat I.

2017. május 23. 15:00 - poklaszlo

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot (data protection impact assessment) kell végeznie. Az adatvédelmi hatásvizsgálat az Európai Unió egyes tagállamaiban (pl. Nagy-Britannia, Franciaország) már - ha nem is a GDPR-al teljesen megegyezően - alkalmazott eljárás egy adatkezelés esetleges kockázatainak felmérésére és a feltárt kockázatok mértékéhez igazodó intézkedések megtétele érdekében. Magyarországon ugyanakkor ez a jogintézmény kevésbé lehet ismert az adatkezelők előtt, hiszen az Infotv. nem ismeri az adatvédelmi hatásvizsgálatot és nem ír elő ilyen vizsgálat elvégzésére irányuló kötelezettséget.

Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen.

A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság (accountability) alapelvéhez.

Mi az az adatvédelmi hatásvizsgálat?

A Rendelet 35. cikke szerint, "ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. [...]"

Az adatvédelmi hatásvizsgálat tehát egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

A Rendelet szerint (35. cikk (7) bekezdés) a hatásvizsgálat kiterjed legalább:

  • a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére (beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket);
  • az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  • az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
  • a kockázatok kezelését célzó intézkedések bemutatására.

Mikor kell adatvédelmi hatásvizsgálatot végezni?

A Rendelet meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni. Ezek a következők:

  • természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
  • a személyes adatok különleges kategóriái (Rendelet 9. cikk), vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok (Rendelet 10. cikk) nagy számban történő kezelése; vagy
  • nyilvános helyek nagymértékű, módszeres megfigyelése

Ezen túlmenően is hatásvizsgálatot kell végezni minden olyan adatkezelés tekintetében, amelyek valószínűsíthetően magas kockázattal járnak az érintettekre nézve. Annak eldöntése során tehát, hogy szükséges-e adatvédelmi hatásvizsgálatot végezni elsődlegesen azt kell vizsgálni, hogy mit jelent a Rendelet vonatkozásában a "kockázat", illetve a "magas kockázat" fogalma. Szerencsére a GDPR ezirányú elemzése kapcsán nem vagyunk teljesen kapaszkodók nélkül. A WP29 már 2017. április elején publikálta az adatvédelmi hatásvizsgálatokra vonatkozó iránymutatásának tervezetét (WP248), amely - többek között - a valószínűsíthetően magas kockázat fogalmának értelmezésével is foglalkozik. Emellett, dr. Szabó Endre Győző, a NAIH elnökhelyettese is foglalkozott az adatvédelmi hatásvizsgálat kérdésével egy publikációjában (dr. Szabó Endre Győző: Az Európai Unió általános adatvédelmi rendeletének egyes kérdéseiről I. - Az adathordozhatóság és az adatvédelmi hatásvizsgálat).    

További segítséget nyújt majd az adatkezelőknek, hogy a felügyeleti hatóságoknak össze kell állítania és nyilvánosságra kell hoznia azon adatkezelések listáját, amelyek tekintetében adatvédelmi hatásvizsgálatot kell végezni. Ezen túlmenően a felügyeleti hatóságok összeállíthatnak és közzétehetnek olyan listát is, amely azon adatkezeléseket tartalmazza, amelyek esetében nincs szükség hatásvizsgálat elvégzésére. (A szükséges egyeztetésekre tekintettel, dr. Szabó Endre Győző véleménye szerint vélhetően 2018 tavaszán jelenhetnek meg ezek a listák.) dr. Szabó Endre Győző szerint számolni lehet ugyanakkor azzal, hogy a kkv-k adminisztratív terheinek csökkentése érdekében, ezek a vállalkozások bizonyos esetekben mentességeket, könnyítéseket élveznek majd az adatvédelmi hatásvizsgálatokkal kapcsolatban is (dr. Szabó Endre Győző im. 10. o.).

Mikor nem kell adatvédelmi hatásvizsgálatot végezni? 

Bizonyos esetekben az adatkezelők mentesülnek a hatásvizsgálat elvégzésének kötelezettsége alól. Ilyen esetek, ha

  • az adatkezelés valószínűsíthetően nem jár magas kockázattal,
  • egymáshoz hasonló típusú adatkezelési műveletek esetében, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat is elegendő, azaz nem kell feltétlenül külön hatásvizsgálatot készíteni (GDPR, 35. cikk (1) bekezdés),
  • a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés (az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez vagy  az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges) jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot (GDPR, 35. cikk (10) bekezdés), 
  • a felügyeleti hatóság azon listáján szerepel, amely szerint az adott kezelés tekintetében nem kötelező hatásvizsgálatot végezni (lásd az előző pontban írtakat is).

Folytatjuk.... (A következő posztban kitérünk a hatásvizsgálat módszertanára, az adatvédelmi tisztviselő szerepére és arra is, hogy a folyamatban lévő adatkezelések kapcsán kell-e hatásvizsgálatot végezni a Rendelet alkalmazandóvá válására tekintettel.)

Pók László