Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen. A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság alapelvéhez.

Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.

Mikor kell adatvédelmi hatásvizsgálatot végezni?

A Rendelet 35. cikke szerint, "ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. [...]"

A Rendelet meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni. Ezek a következők:

• természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
• a személyes adatok különleges kategóriái (Rendelet 9. cikk), vagy a büntetőjogi felelősségmegállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok (Rendelet 10. cikk) nagy számban történő kezelése; vagy
• nyilvános helyek nagymértékű, módszeres megfigyelése. 

A felügyeleti hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan adatvédelmi hatásvizsgálatot kell végezni ("fekete lista"). 

A felügyeleti hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni ("fehér lista").

A fenti felhatamazás alapján egyes hatóságok elkezdték közzétenni a fekete-, illetve fehér listákra vonatkozó tervezeteiket. (Sajnos Magyarországon ilyen lista eddig még tervezet formájában sem jelent meg. A NAIH honlapján ugyanakkor szerepel néhány állásfoglalás, amely az adatvédelmi hatásvizsgálat kérdését is érintik. Ezek elérhetők itt és itt. A NAIH kitér a Rendelet 35. cikk (10) bekezdésében foglaltak elemzésére is, miszerint, "ha a jogalkotási eljárás során egy általános hatásvizsgálat során már elvégezték az adatvédelmi hatásvizsgálatot, akkor azt nem kell elvégeznie az adatkezelőnek, kivéve ha a tagállamok azt az adatkezelési tevékenységet megelőzően szükségesnek tartják. Ezen rendelkezés alapján tehát az adatkezelőt terhelő adatvédelmi hatásvizsgálati kötelezettséget kiválthatja a jogalkotás során végzett adatvédelmi hatásvizsgálat." Ezzel kapcsolatban viszont a NAIH arra a megállapításra jut, hogy a magyar jogalkotási törvény alapján végzendő hatásvizsgálat nem felel meg a GDPR által támasztott feltételeknek, azaz az adatkezelők még ilyen esetekben sem mentesülhetnek a hatásvizsgálati kötelezettségük elvégzése alól!)

Mik szereplnek a fekete listákon?

(1) Belgium

A belga adatvédelmi hatóság közzétett egy iránymutatást az adatvédelmi hatásvizsgálattal kapcsolatban, amelynek mellékletét képezi a fekete- és fehér listák tervezete is. (Elérhető itt: franciául / hollandul). A fekete lista az iránymutatás 2. sz. mellékletét képezi és 10 elemet tartalmaz. (A lista nem hivatalos angol nyelvű fordítása és összefoglalója elérhető: Sidley Austin LLP cikkében a Lexology-n, illletve Van Bael & Bellis cikkében.) 

A belga adatvédelmi hatóság fekete listája szerint, adatvédelmi hatásvizsgálatot kell végezni, többek között, az alábbi esetekben: 

• biometrikus vagy genetikai adatok kezelése;
• harmadik féltől történő adatszerzés annak érdekében, hogy az adatkezelő döntést hozzon az érintett részére történő szolgáltatás nyújtásának elutasításáról vagy megszüntetéséről;
• az érintett fizetőképességének értékelését célzó adatkezelések;
• olyan adatkezelések, amelyek adatvédelmi incidens esetén az érintettek egészségi állapotát hátrányosan érinthetik;
• pénzügyi vagy érzékeny adatok másodlagos célú kezelése;
• a személyes jellemzők értékelése a munkahelyi teljesítmény, pénzügyi helyzet, egészség, lokáció, érdeklődés stb. alapján;
• nagymértékű profilozás; és
• nagy számú érintettre vonatkozó adatok kezelése, amelyet nyilvánosságra hoznak. (forrás: Van Bael & Bellis cikk)

(2) Nagy-Britannia

A brit adatvédelmi hatóság által a hatásvizsgálatokról kiadott iránymutatás alapján hatásvizsgálatot kell végezni az alábbi esetekben: 

• új technológiák használata;
• profilozás vagy adatok különleges kategóriáinak használata egy szolgáltatáshoz való hozzáférésről való döntéshez;
• nagymértékű profilozás;
• biometrikus adatok kezelése;
• genetikai adatok kezelése;
• különböző forrásokból származó adatok egyeztetése vagy összekapcsolása;
• nem az érintettől történő adatgyűjtés anékül, hogy az érintett tájékoztatást kapna ("láthatatlan adatkezelés");
• magánszemélyek mozgásának (lokációs adatok) vagy viselkedésének nyomonkövetése;
• gyermekek profilozása vagy részükre történő szolgáltatás nyújtása; vagy
• olyan adatok kezelése, amelyek incidens esetén az érintettek egészségét vagy biztonságát veszélyeztethetik. 

(3) Lengyelország

A lengyel hatóság is közzétette a maga fekete lista tervezetét. (Az eredeti lista elérhető itt. Ennek angol nyelvű összefoglalója pedig itt található, Anna Kobylanska és Marcin Lewoszewski cikkében.) A lenygel lista igen részletes és tíz csoportba sorolja azokat az adatkezeléseket, amelyek esetében szükséges az adatvédelmi hatásvizsgálat elvégzése.

A lengyel lista alapján levonható az a következtetés is, hogy a munkavégzéssel összefüggő adatkezelések esetében is gyakran szükség lehet hatásvizsgálat elvégzésére. Például az alábbi munkavégzéshez kapcsolódó adatkezelések lehetnek érintettek: 

• munkaidő vagy a munkavégzés automatikus megfigyelése;
• munkavállalók biometrikus adatainak kezelése;
• a munkavállalók értékelése a számítógépen végzett tevékenységük megfigyelése alapján; 
• a munkavállalók hozzájárulása alapján végzett adatkezelés;
• visszaélésbejelentési rendszerek;
• a munkaviszonyra vonatkozó iratok létrehozására és tárolására szolgáló központi adatbázisok alkalmazása, ha az adatok harmadik országba történő továbbítására kerül sor. (forrás: Anna Kobylanska és Marcin Lewoszewski cikke)

(Az adatvédelmi hatásvizsgálattal kapcsolatos korábbi blogbejegyzések elérhetők itt és itt.)