GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adatvédelmi hatásvizsgálat II.

2017. június 01. 11:30 - poklaszlo

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az előző részben röviden bemutattuk a hatásvizsgálat fogalmát és azt, hogy mely esetekben kell, illetve nem kell hatásvizsgálatot végezni. Az alábbiakban pedig röviden kitérünk a hatásvizsgálat módszertanára, illetve megvizsgáljuk, hogy mi a teendő a már folyamatban lévő adatkezelések esetében.

A hatásvizsgálat módszertana és az adatvédelmi tisztviselő szerepe

A Rendelet nem specifikálja pontosan, hogy milyen módszertan szerint kell elvégezni a hatásvizsgálatot, ebben nyilván lehetnek eltérések az egyes tagállamokban, illetve szektorspecifikusan is. Egy 2014-es tanulmány szerint a különböző "jó gyakorlatok" elemzése alapján egy ideális adatvédelmi hatásvizsgálat főbb elemei az alábbiak:

"1. A hatásvizsgálat szükségességének meghatározása; 2. Az eljárást lefolytató szerv és a hivatkozási rendszer meghatározása; 3. A projekt bemutatása; 4. Az adatmozgások és egyéb személyes adatokat érintő események vizsgálata; 5. Konzultáció az érintettekkel; 6. Kockázatkezelés; 7. Jogszerűség ellenőrzése; 8. Ajánlások megfogalmazása; 9. A beszámoló előkészítése és bemutatása; 10. Az ajánlások implementálása; 11. Megfelelőségi felülvizsgálat; 12. Lefolytatott vizsgálatok központi nyilvántartása (De Hert et al., 2012)." (Balogh Zsolt György – Böröcz István – Kiss Attila – Polyák Gábor − Szőke Gergely László: Az adatvédelmi hatásvizsgálat módszertana, Médiakutató: Médiaelméleti Folyóirat XV. év. 4. szám, 77-92. o.)

Egyes tagállami hatóságok iránymutatásai is komoly segítséget jelenthetnek a hatásvizsgálatok elvégzése során. Érdemes figyelembe venni a francia hatóság (CNIL) útmutatóját (angol nyelvű), továbbá a brit hatóság (ICO) segédanyagait, vagy a spanyol hatóság (AGPD) iránymutatását (spanyol nyelvű) is.

Az adatvédelmi hatásvizsgálat elvégzése az adatkezelő kötelezettsége és felelőssége, ugyanakkor azoknál az adatkezelőknél, ahol működik adatvédelmi tisztviselő, ott az adatvédelmi tisztviselőnek fontos szerepe van a hatásvizsgálat elvégzésében, az ő tanácsát ki kell kérni a hatásvizsgálattal kapcsolatban.    

Egyeztetés a felügyeleti hatósággal

Ha a hatásvizsgálat során azt állapítják meg, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.

Bár a Rendelet szövege talán nem teljesen egyértelmű etekintetben, vélhetően az egyeztetésre akkor kell, hogy sor kerüljön, ha a hatásvizsgálat alapján elhatározott intézkedések ellenére is a kockázat valószínűsíthetően magas marad (ahogy a WP29 iránymutatása is fogalmaz: "when the residual risks are still high"), akkor kötelező a felügyelettel konzultálni.

A tagállami jogalkotó is előírhat konzultációs kötelezettséget: "a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti hatósággal, és szerezzék be a felügyeleti hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is." (Rendelet, 36. cikk (5) bekezdés)

Mi a teendő a már folyamatban lévő adatkezelések esetében?

A GDPR nem tartalmaz olyan előírást, hogy az adatvédelmi hatásvizsgálatot a Rendelet hatályba lépését megelőzően megkezdett adatkezelések tekintetében is el kellene végezni. Ugyanakkor a Rendeleti kimondja, hogy "az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e." Ennek megfelelően az adatkezelések felülvizsgálata és a kockázatok értékelése időről-időre meg kell, hogy történjen, így a GDPR hatályba lépése előtt megkezdett olyan adatkezelések tekintetében is előbb vagy utóbb sor kerülhet az adatvédelmi hatásvizsgálat elvégzésére, ha egyébként a hatásvizsgálat elvégzésének feltételei fennállnak.

A WP29 vonatkozó iránymutatása erősen ajánlja, hogy készüljön adatvédelmi hatásvizsgálat a 2018. május 25-e előtt megkezdett adatkezelések esetében, amelyekre a Rendelet értelmében alkalmazandók lennének a hatásvizsgálat szabályai.

"Jó gyakorlatok"

A WP29 vonatkozó iránymutatása több "jó gyakorlatot" is megjelöl az adatvédelmi hatásvizsgálatok kapcsán. Ezek közé tartoznak az alábbiak:

  • a végzett adatkezelések tekintetében folyamatosan értékelni kell az adatvédelmi hatásvizsgálat szükségességét, illetve időről-időre felül kell vizsgálni a meglévő hatásvizsgálatot,
  • a belső szabályozásban célszerű meghatározni a hatásvizsgálattal kapcsolatos feladatokat, kötelezettségeket,
  • az elkészült hatásvizsgálat egészének vagy egy részének (kivonat) a közzététele, és
  • ha nem egyértelmű, hogy kell-e hatásvizsgálatot végezni, akkor készüljön inkább hatásvizsgálat.  

Pók László