Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie. Az előző részben röviden bemutattuk a hatásvizsgálat fogalmát és azt, hogy mely esetekben kell, illetve nem kell hatásvizsgálatot végezni. Az alábbiakban pedig röviden kitérünk a hatásvizsgálat módszertanára, illetve megvizsgáljuk, hogy mi a teendő a már folyamatban lévő adatkezelések esetében.

A hatásvizsgálat módszertana és az adatvédelmi tisztviselő szerepe

A Rendelet nem specifikálja pontosan, hogy milyen módszertan szerint kell elvégezni a hatásvizsgálatot, ebben nyilván lehetnek eltérések az egyes tagállamokban, illetve szektorspecifikusan is. Egy 2014-es tanulmány szerint a különböző "jó gyakorlatok" elemzése alapján egy ideális adatvédelmi hatásvizsgálat főbb elemei az alábbiak:

"1. A hatásvizsgálat szükségességének meghatározása; 2. Az eljárást lefolytató szerv és a hivatkozási rendszer meghatározása; 3. A projekt bemutatása; 4. Az adatmozgások és egyéb személyes adatokat érintő események vizsgálata; 5. Konzultáció az érintettekkel; 6. Kockázatkezelés; 7. Jogszerűség ellenőrzése; 8. Ajánlások megfogalmazása; 9. A beszámoló előkészítése és bemutatása; 10. Az ajánlások implementálása; 11. Megfelelőségi felülvizsgálat; 12. Lefolytatott vizsgálatok központi nyilvántartása (De Hert et al., 2012)." (Balogh Zsolt György – Böröcz István – Kiss Attila – Polyák Gábor − Szőke Gergely László: Az adatvédelmi hatásvizsgálat módszertana, Médiakutató: Médiaelméleti Folyóirat XV. év. 4. szám, 77-92. o.)

Egyes tagállami hatóságok iránymutatásai is komoly segítséget jelenthetnek a hatásvizsgálatok elvégzése során. Érdemes figyelembe venni a francia hatóság (CNIL) útmutatóját (angol nyelvű), továbbá a brit hatóság (ICO) segédanyagait, vagy a spanyol hatóság (AGPD) iránymutatását (spanyol nyelvű) is.

Az adatvédelmi hatásvizsgálat elvégzése az adatkezelő kötelezettsége és felelőssége, ugyanakkor azoknál az adatkezelőknél, ahol működik adatvédelmi tisztviselő, ott az adatvédelmi tisztviselőnek fontos szerepe van a hatásvizsgálat elvégzésében, az ő tanácsát ki kell kérni a hatásvizsgálattal kapcsolatban.    

Egyeztetés a felügyeleti hatósággal

Ha a hatásvizsgálat során azt állapítják meg, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.

Bár a Rendelet szövege talán nem teljesen egyértelmű etekintetben, vélhetően az egyeztetésre akkor kell, hogy sor kerüljön, ha a hatásvizsgálat alapján elhatározott intézkedések ellenére is a kockázat valószínűsíthetően magas marad (ahogy a WP29 iránymutatása is fogalmaz: "when the residual risks are still high"), akkor kötelező a felügyelettel konzultálni.

A tagállami jogalkotó is előírhat konzultációs kötelezettséget: "a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti hatósággal, és szerezzék be a felügyeleti hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is." (Rendelet, 36. cikk (5) bekezdés)

Mi a teendő a már folyamatban lévő adatkezelések esetében?

A GDPR nem tartalmaz olyan előírást, hogy az adatvédelmi hatásvizsgálatot a Rendelet hatályba lépését megelőzően megkezdett adatkezelések tekintetében is el kellene végezni. Ugyanakkor a Rendeleti kimondja, hogy "az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e." Ennek megfelelően az adatkezelések felülvizsgálata és a kockázatok értékelése időről-időre meg kell, hogy történjen, így a GDPR hatályba lépése előtt megkezdett olyan adatkezelések tekintetében is előbb vagy utóbb sor kerülhet az adatvédelmi hatásvizsgálat elvégzésére, ha egyébként a hatásvizsgálat elvégzésének feltételei fennállnak.

A WP29 vonatkozó iránymutatása erősen ajánlja, hogy készüljön adatvédelmi hatásvizsgálat a 2018. május 25-e előtt megkezdett adatkezelések esetében, amelyekre a Rendelet értelmében alkalmazandók lennének a hatásvizsgálat szabályai.

"Jó gyakorlatok"

A WP29 vonatkozó iránymutatása több "jó gyakorlatot" is megjelöl az adatvédelmi hatásvizsgálatok kapcsán. Ezek közé tartoznak az alábbiak:

• a végzett adatkezelések tekintetében folyamatosan értékelni kell az adatvédelmi hatásvizsgálat szükségességét, illetve időről-időre felül kell vizsgálni a meglévő hatásvizsgálatot,
• a belső szabályozásban célszerű meghatározni a hatásvizsgálattal kapcsolatos feladatokat, kötelezettségeket,
• az elkészült hatásvizsgálat egészének vagy egy részének (kivonat) a közzététele, és
• ha nem egyértelmű, hogy kell-e hatásvizsgálatot végezni, akkor készüljön inkább hatásvizsgálat.  

(Az adatvédelmi hatásvizsgálatokra vonatkozó követelmények kapcsán lásd az előző posztot is.)

Pók László

The General Data Protection Regulation (GDPR or Regulation) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment (DPIA). Last week, I summarised the basic rules of DPIAs and collected those cases when DPIAs need to be performed. Below, I focus, among others, on the methodology of the impact assessment, the role of the DPO and we examine the question whether a DPIA is necessary in the case of data processing activities in progress.  

The methodology of the impact assessment and the role of the Data Protection Officer

The Regulation does not specify exactly the methodology of the impact assessment, and there may be differences in individual Member States or sector-specific. According to a study published in 2014, the main elements of an ideal data protection impact assessment based on the analysis of various “good practices” are the followings:

"1. Definition of the need for an impact assessment; 2. Determination of the body conducting the procedure and the reference system; 3. Description of the project; 4. Examination of events affecting data movements and other events affecting personal data ;5. Consultation with stakeholders; 6. Risk management; 7. Checking lawfulness; 8. Drafting of recommendations; 9. Preparing and presenting the report; 10. Implementing the recommendations; 11. Compliance review; 12. Centralized records of the investigations conducted (De Hert et al., 2012)." (György Zsolt Balogh - István Böröcz - Attila Kiss - Gábor Polyák - László Gergely Szőke: Methodology of Data Protection Impact Assessment, Médiakutató: Médiaelméleti Folyóirat, Volume XV, Issue 4, pp. 77-92; [published in Hungarian])

Guidelines issued by the authorities may also help in the course of conducting impact assessments. It is worth taking into account the guidelines of CNIL (the French authority) (available in English), the handbook of ICO (UK), or the guidelines of AEPD (the Spanish authority) (available in Spanish).

It is the data controller's obligation and responsibility to carry out the data protection impact assessment, but at the data controllers where a data protection officer is in place, the DPO has an important role in conducting the impact assessment, his advice should be sought on the impact assessment.

Consultation with the supervisory authority

The controller shall consult the supervisory authority prior to processing where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk.

The wording of the Regulation is not fully clear here but in accordance with the respective guidelines of WP29, "when the residual risks are still high, consultation with the supervisory authority will be necessary."

In addition to the above, "Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health." (Article 36 (5) of the GDPR)

What to do in the case of data processing activities in progress?

The GDPR does not contain any requirement that data protection impact assessments should also be carried out in respect of data processing activities commenced before the entry into force of the Regulation. However, the Regulation stipulates that "where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations." Accordingly, the review of data processing operations and the evaluation of the risks must be made from time to time, therefore data protection impact assessments may take place sooner or later with respect to data processing operations commenced before the entry into force of the GDPR, provided that the conditions for carrying out the impact assessment are met. The WP29’s respective guidelines strongly recommend that a data protection impact assessment should be carried out regarding data processing commenced before May 25, 2018, to which the impact assessment rules would apply under the Regulation.

"Good Practices"

The WP29’s respective guidelines also highlight several "good practices" for data protection impact assessments. These include:

• the need for a data protection impact assessment to be evaluated continuously for the data processing, and the existing impact assessment shall be reviewed from time to time,
• it is appropriate to define the tasks, obligations in connection with the impact assessment in the internal rules,
• the publication of all or part (extract)of the completed impact assessment, and
• if it is not clear whether an impact assessment is to be carried out, then an impact assessment should be prepared.

We have reached half-time in the preparation period for the application of the GDPR (EU’s new General Data Protection Regulation). From May 25, 2018, GDPR will be directly applicable in all EU Member States.

Below I have collected some of the issues that may arise in connection with the preparation.

Is the remaining time enough for the preparation? Shall we hurry or do we still have some time to start preparing?

One year may look like a long period, but it is worth starting the preparation as soon as possible if it has not already been commenced.

GDPR itself is substantial reading, with its 99 articles and a very detailed preamble. Accordingly, all data controllers and processors need time to understand exactly what obligations they have under the GDPR and what tasks they have to cope with.

The preparation is ideally a multi-step process: in the first round, it is advisable to review and evaluate what kind of data processing is carried out, for what purposes and for which personal data. The data processing activities in progress need to be reviewed and the new rules should be taken into account when data processing activities are planned.

After the data processing activities are mapped, it is necessary to examine exactly what obligations must be met for data processing with different purposes and legal bases.

If this task is done, it is time to review existing data processing policies, information sheets, contracts with data processors and other documents in order to meet the legal requirements.

Do not forget that preparation is not just a legal task but, in many cases, it includes IT development, organizing and conducting internal training and many other things. These can also be time-consuming tasks.

Some of the data protection authorities from different Member States try to help in the preparation process with step plan instructions. It is also worth considering these before we start the preparation work. (These were collected in a previous post here.)

Félidejéhez érkezett a GDPR (az EU új általános adatvédelmi rendelete) alkalmazására való felkészülési időszak. Pontosan egy év múlva, 2018. május 25. napjától a GDPR közvetlenül alkalmazandó lesz valamennyi EU tagállamban.

Az alábbiakban néhány olyan kérdést gyűjtöttem össze, amelyek felmerülhetnek a felkészülés kapcsán.

Sok vagy kevés a felkészüléshez a hátralévő időtartam? Ráérünk még?

Az egy év hosszú időnek tűnik, mégis célszerű a felkészülést minél előbb megkezdeni, ha ez még nem történt volna meg.

A GDPR önmagában is egy tartalmas olvasmány, a maga 99 cikkével és a nagyon részletes preambulummal. Ennek megfelelően arra is időt kell szánni, hogy minden adatkezelő és adatfeldolgozó fel tudja egyáltalán mérni, hogy rá pontosan milyen kötelezettségek vonatkoznak és milyen feladatok várnak.

A felkészülés ráadásul ideális esetben több lépcsős folyamat: első körben célszerű áttekinteni és felmérni, hogy milyen adatkezelések történnek, milyen célból és milyen személyes adatok tekintetében. Számba kell venni a már folyamatban lévő adatkezeléseket, illetve az új szabályok tükrében érdemes előkészülni az újonnan tervezett adatkezelésekre.

Az adatkezelések feltérképezését követően kerülhet sor annak a vizsgálatára, hogy pontosan milyen kötelezettségeknek kell megfelelni a különböző célból és jogalappal folytatott adatkezelések esetében.

Ha ez is megtörtént, akkor kerülhet sor a meglévő adatkezelési szabályzatok, tájékoztatók, adatfeldolgozókkal kötött szerződések és egyéb dokumentumok felülvizsgálatára annak érdekében, hogy ezek megfeleljenek a követelményeknek.

Arról se feledkezzünk meg, hogy a felkészülés nem csupán jogi feladat, hanem sok esetben informatikai fejlesztést, belső képzések szervezését és lebonyolítását és számos más teendőt foglal magában. Ezek szintén időigényes feladatok lehetnek.

Több tagállami hatóság igyekszik különböző útmutatókkal lépésről lépésre segíteni a felkészülést. Érdemes ezeket is figyelembe venni, mielőtt belevágunk a munkába. (Ezeket egy korábbi - angol nyelvű - posztban gyűjtöttem össze.)

The General Data Protection Regulation (GDPR or Regulation) is applicable from May 25, 2018 and, for this purpose, many data controllers must perform a data protection impact assessment. The data protection impact assessment has been applied in some Member States of the European Union (e.g. UK, France), even if not fully consistent with GDPR, in order to assess the potential risks of data processing and to take measures that are tailored to the degree of risk identified. In Hungary, however, this legal institution is less known to data controllers, since the Hungarian Data Protection Act does not regulate the data protection impact assessment and does not require the performance of such an obligation.

The obligation to perform a data protection impact assessment connects closely to the principles of data protection by design and by default that are emphasized in the Regulation, since services should be designed so that data protection is already considered from the first step, while the planning and execution of appropriate risk management measures should also happen.

The impact assessment is also closely linked to the accountability principle that requires the development of a data management practice that is consistent with GDPR.

Az általános adatvédelmi rendelet (GDPR vagy Rendelet) 2018. május 25-től alkalmazandó és erre tekintettel számos adatkezelőnek adatvédelmi hatásvizsgálatot (data protection impact assessment) kell végeznie. Az adatvédelmi hatásvizsgálat az Európai Unió egyes tagállamaiban (pl. Nagy-Britannia, Franciaország) már - ha nem is a GDPR-al teljesen megegyezően - alkalmazott eljárás egy adatkezelés esetleges kockázatainak felmérésére és a feltárt kockázatok mértékéhez igazodó intézkedések megtétele érdekében. Magyarországon ugyanakkor ez a jogintézmény kevésbé lehet ismert az adatkezelők előtt, hiszen az Infotv. nem ismeri az adatvédelmi hatásvizsgálatot és nem ír elő ilyen vizsgálat elvégzésére irányuló kötelezettséget.

Az adatvédelmi hatásvizsgálat végzésére vonatkozó kötelezettség jól illeszkedik a Rendeletben hangsúlyosan megjelenő beépített és alapértelmezett adatvédelem elveihez, hiszen a szolgáltatásokat úgy kell megtervezni, hogy az adatvédelem már az első lépésektől kezdődően szempontként merüljön fel és az esetleges kockázatok felmérése és a szükséges kockázatkezelő intézkedések megtervezése és végrehajtása megfelelően megtörténjen.

A hatásvizsgálat továbbá szorosan kapcsolódik a GDPR-nak megfelelő adatkezelési gyakorlat kialakítását és a megfelelés igazolását elváró ún. elszámoltathatóság (accountability) alapelvéhez.

The draft act regarding the implementation of the GDPR in Austria is now available at the website of the Austrian Parliament. The draft act was published on May 12, 2017. An interesting change in Austria that in the current Austrian regime, not only natural persons, but also legal entities are protected by data protection laws, however this will change from May 25, 2018 and only natural persons will be subject to the protection under the GDPR.

As constitutional changes are also necessary (e.g. regarding the fundamental right to data protection), a 2/3-majority is required to pass the decision in the Parliament.

You can find more information here in German and here both in German and in English.

Update (03.07.2017): The Austrian Parliament adopted the amendment of the Austrian Data Protection Act on June 29, 2017 that implements the necessary changes regarding the GDPR. You can find a brief summary here in English.

Obviously, in the past period, the GDPR (the new EU Data Protection Regulation) was the focus of data protection news. However, in the shadow of the GDPR, a draft e-Privacy Regulation was also issued in January 2017, which, if adopted, would replace Directive no. 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).

Why do we need new regulation in the field of electronic communications?

• Several arguments can be raised why the revision of the existing rules are necessary. The adoption and entry into force of the GDPR can in itself justify the re-regulation of the electronic communications area, as this special area needs to be adapted to the new general data protection rules. The GDPR will also apply as a background regulation to the e-Privacy area as well.

• Similarly to the adoption of the GDPR in the form of a regulation, the adoption of an e-Privacy regulation would help to ensure the uniform application of the rules, because the provisions of the regulation will be directly applicable in the Member States.

• Existing rules should be reviewed and amended anyway, since technological development requires the revision of the rules from time to time (the ePrivacy Directive was revised in 2009 by Directive 2009/136/EC).

• In some areas, practical experience indicates that it may be necessary to modify the existing regulatory environment. An example of this may be the cookie regulation, which, as acknowledged in section 22 of the preamble to the draft e-Privacy Regulation, is no longer able to achieve the original purpose of providing information to and requesting approval from end-users. By modifying the rules (e.g. by providing consent through the use of appropriate settings on browsers and other applications), the process of obtaining consent may become more user-friendly.

Érthető módon az elmúlt időszakban a legtöbbször a GDPR-ről (az EU új általános adatvédelmi rendeletéről) szóltak a hírek. A GDPR "árnyékában" azonban 2017 januárjában megjelent az e-Privacy Rendelet tervezete is, amely - elfogadása esetén - az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") váltaná fel. 

Miért van szükség az elektronikus hírközlés területén új szabályozásra?

• A szabályozás megújítása mellett több érv is felhozható. Önmagában a GDPR elfogadása és hatályba lépése indokolttá teheti az elektronikus hírközlési terület újraszabályozását, hiszen az új általános adatvédelmi szabályokhoz kell igazítani ezt a speciális területet is. A GDPR ugyanis az e-Privacy területén is háttérszabályként érvényesül majd.

• A jogalkotás mellett szól, hogy hasonlóan a GDPR-hoz az egységes jogalkalmazást segíti, ha az irányelvi szabályozás helyett e területen is megtörténik az áttérés a rendeleti szabályozásra, azaz a rendelkezések közvetlenül alkalmazandók lesznek a tagállamokban.

• A meglévő szabályozás egyébként is ráncfelvarrásra szorulna, hiszen a technológiai fejlődésnek köszönhetően időről-időre indokolt a szabályozás felülvizsgálata. (Az elektronikus hírközlési adatvédelmi irányelv legutóbb 2009-ben esett át alaposabb felülvizsgálaton, akkor a 2009/136/EK irányelvvel módosították.)

• Egyes területeken pedig a gyakorlati tapasztalatok jelzik, hogy szükség lehet a meglévő szabályozási környezet módosítására. Erre példa lehet a sütikre (cookie) vonatkozó szabályozás, amely - ahogy az e-Privacy Rendelet tervezet preambulumának 22. pontja is elismeri - a végfelhasználók felé irányuló tájékoztatás és jóváhagyás kérés miatt már nem képes az eredeti célnak megfelelő hatást elérni. A szabályozás módosításával (pl. azzal, hogy a hozzájárulás a böngészők és egyéb alkalmazások megfelelő beállításainak használatával is kifejezhető legyen) felhasználóbarátabbá tehető a hozzájárulás megszerzésének folyamata.    

Several supervisory authorities have started to issue step plans to help data controllers in the preparation for the application of the EU General Data Protection Regulation (GDPR).

In April, the Dutch Authority (Autoriteit Persoonsgegevens) issued its step plan consisting of 10 items:

• Awareness,
• Rights of data subjects,
• Keeping records of data processing,
• Privacy Impact Assessment (PIA),
• Privacy by design & privacy by default,
• Data Protection Officer (DPO),
• Notification obligation regarding data breaches,
• Agreements on data processing,
• Lead supervisory authority, and
• Consent.

You can find a summary in English at the Privacy Matters blog.

A bit earlier, the French authority (CNIL) published a 6-step plan regarding compliance with the GDPR with the following steps:

• Appoint a DPO, who can lead the compliance process,
• Review (“mapping”) the data processing activities,
• Prepare a priority list of the measures to be taken,
• Manage the risks (including the preparation of a Privacy Impact Assessment),
• Implement internal rules regarding data protection, and
• Prepare documentation to be able to prove compliance.

You can find a summary in English at the Privacy Matters blog.

Now, the Italian Authority has also “joined the club” and issued its own 6-step plan. The step plan also contains some recommendations from the Italian Authority in the given sections. 

• The legal basis of the processing must be ensured.
• More information needs to be provided.
• Rights of data subject.
• Obligations of data controllers.
• Risk-based approach and accountability measures.
• Transfer of data to third countries.

You can find a summary in English at GamingTechLaw.

In addition to the above, several other authorities have step plans, e.g. the ICO, the Hungarian Authority (NAIH), the Irish Data Protection Commissioner, the Belgian Authority.

László Pók