GDPR – Adatvédelmi hatásvizsgálat – 2. rész

  • Értesítő a rovat cikkeiről

Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.

A 2018. május 25-én hatályba lépő EU-s adatvédelmi rendelet (GDPR, Rendelet) már most is nagy hatással van az adatvédelem teljes területére, hiszen az új szabályoknak való megfelelésre a felkészülés igen nagy terheket ró az adatkezeléssel foglalkozó szervezetekre. A GDPR célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk, mint például az adatvédelmi hatásvizsgálat fogalma, amelyet a Rendelet vezet be.

Előző írásunkban a hatásvizsgálat szükségességét jártuk körbe, most pedig néhány fontos kérdéssel folytatjuk.

Kötelező-e nyilvánosságra hozni az adatvédelmi hatásvizsgálatot?

A Rendelet nem követeli meg az adatkezelőktől, hogy az adatvédelmi hatásvizsgálat elvégzését követően annak eredményét nyilvánosságra hozzák, vagyis arról mérlegelés után saját belátása szerint dönthet minden adatkezelő. Azonban meggondolandó szempont, hogy a közzétételével növelhető a bizalom az adatkezelést folytató szervezet irányába, már akkor is, ha a teljes eredmény helyett mindössze egy összefoglaló, vagy az adatvédelmi hatásvizsgálat elvégzéséről szóló közleményt hoz nyilvánosságra.

Különösen akkor érdemes nyilvánosságra hozni az adatvédelmi hatásvizsgálatot, ha az adatkezelési művelet a nyilvánosságot érinti. Ez főként akkor fordulhat elő, ha közhatalmi szerv végez adatvédelmi hatásvizsgálatot.

Kell- e konzultálni a hatósággal?

A GDPR szerint akkor szükségszerű az adatvédelmi hatásvizsgálat, ha az adatkezelési művelet valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Az adatkezelő feladatául szolgál az érintettek jogait és szabadságait érintő kockázatok értékelése, ahogy az is, hogy megállapítsa az e kockázatok elfogadható szintre való csökkentésére irányuló megfelelő intézkedéseket, és igazolja a rendelettel való összhangot.

GDPR, EU

Fontos tudni, hogy a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport iránymutatása alapján nincs szükség az adatvédelmi hatásvizsgálat elvégzésére olyan adatkezelési műveleteknél, amelyek a 95/46/EK irányelv 20. cikke értelmében a felügyeleti hatóság vagy az adatvédelmi tisztviselő ellenőrzött, és amelyeket az előzetes ellenőrzés óta változatlan módon hajtanak végre

Fennállhat azonban annak esélye, hogy az adatkezelő nem képes a feltárt kockázatokat a megfelelő mértékre csökkenteni. Vagyis például valószínűsíthető, hogy a kockázat bekövetkezik, vagy az érintett személyek számára visszafordíthatatlan következményekkel jár. Ilyen esetekben az adatkezelőnek kötelező konzultáció céljából a felügyeleti hatósághoz fordulnia, a Rendelet 36. cikk (1) bekezdése alapján.

Ezen kívül a 36. cikk (5) bekezdésének megfelelően a tagállami jog is előírhatja a kötelező konzultációt, illetve azt, hogy az adatkezelők szerezzék be a felügyeleti hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.

Természetesen azonban az adatvédelmi hatásvizsgálat aktualizálásának kötelezettsége nem függ a kötelező konzultációtól, vagyis akkor is fennáll a továbbiakban is, ha az adatkezelő nem tár fel olyan mértékű kockázatot, amelyet a felügyelettel meg kellene tárgyalnia.

Mi a helyzet a GDPR hatályba lépése előtti adatkezelésekkel?

A Rendelet külön nem tér ki arra, hogy a hatályba lépésekor már folyamatban lévő adatkezelésekkel kapcsolatban mi a teendő. Ez azonban nem azt jelenti, hogy ezek kívül esnek az adatvédelmi hatásvizsgálatra kötelezett adatkezelések köréből, hiszen a GDPR 35. cikke úgy fogalmaz, hogy az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e. Ez pedig azt jelenti, hogy időről időre visszatérően kötelező lefolytatni a vizsgálatot, így a Rendelet hatályba lépésekor már folyamatban lévő adatkezelések ellenőrzésére is előbb-utóbb sort kell keríteni. A kockázatok változása adódhat például az új technológiák bevezetéséből, vagy a személyes adatok eltérő célra történő felhasználásából.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

 

Fontos azonban tudni, hogy a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport iránymutatása alapján nincs szükség az adatvédelmi hatásvizsgálat elvégzésére olyan adatkezelési műveleteknél, amelyek a 95/46/EK irányelv 20. cikke értelmében a felügyeleti hatóság vagy az adatvédelmi tisztviselő ellenőrzött, és amelyeket az előzetes ellenőrzés óta változatlan módon hajtanak végre. Emellett a Rendelet 171. számú Preambulum-bekezdése szól arról is, hogy a 95/46/EK irányelv alapján a Bizottság által hozott határozatok, valamint a felügyeleti hatóságok által kiadott engedélyek hatályban maradnak mindaddig, amíg módosításukra, felváltásukra vagy hatályon kívül helyezésükre sor nem kerül.

Az adatvédelmi hatásvizsgálatot tehát a fentiek alapján folyamatosan érdemes felülvizsgálni és újra lefolytatni, azonban a GDPR 5. cikke szerinti személyes adatok kezelését illető elveknek minden adatkezelőnek meg kell felelni, ennél fogva legkésőbb az elszámoltathatósági kötelezettség részeként már képesnek kell lennie valamennyi adatkezelőnek a megfelelés igazolására.

Van- e pontos formája a hatásvizsgálatnak?

Az általános adatvédelmi rendelet rugalmasságot biztosít az adatkezelők számára abból a szempontból, hogy saját belátásuk szerint határozhatják meg az adatvédelmi hatásvizsgálat pontos felépítését és formáját, így igazodhatnak a már meglévő munkamódszereikhez. A legfontosabb betartandó szabály, hogy a kockázatok valódi értékelésére irányuljon a hatásvizsgálat. Ehhez a Rendelet (90) Preambulum-bekezdése tartalmaz figyelembe veendő elemeket: „Ez a hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat.” Az adatvédelmi és a magánélet védelmére vonatkozó hatásvizsgálat módszereire néhány példa a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport iránymutatásának 1. mellékletében található. Annak érdekében pedig, hogy ezek a különböző megközelítések alkalmazhatóak legyenek, és az adatkezelők képesek legyenek betartani a Rendelet szabályait, a munkacsoport készített közös szempontokat is a hatásvizsgálat elkészítéséhez (Iránymutatás 2. sz. melléklete tartalmazza). Eszerint tehát az adatkezelők választhatják meg a hatásvizsgálat módszerét, azonban (a munkacsoport szerint) annak meg kell felelnie az előre meghatározott szempontoknak ahhoz, hogy a Rendelettel is összhangban legyen a hatásvizsgálat formája, vagyis megfelelően mutassa ki a kockázatokat.

Az Iránymutatás 1. és 2. számú melléklete a NAIH oldaláról letölthető: https://naih.hu/files/wp248-rev.01_hu_hatasvizsg.pdf

  • Értesítő a rovat cikkeiről

Kapcsolódó cikkek

  • kamera

    Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.

  • GDPR, EU

    Nyilvános a GDPR alapján kiszabható közigazgatási bírságról szóló iránymutatás – írja az adatvedelmirendelet.hu.

  • adatvédelem

    A május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen érzékenyen érintheti az érintett vállalkozásokat, mivel a bírság akár 20 millió euró (6,2 milliárd forint) is lehet, hívta fel a figyelmet a nemzetközi adótanácsadó és könyvvizsgáló Crowe FST.

  • Forrás: http://www.northeastern.edu/datascience/

    A GDPR rendelet alapján bizonyos esetekben kötelező adatvédelmi hatásvizsgálatot készíteni. Fontos megérteni, hogy a sebtében összerakott „papír” önmagában nem lesz elegendő egy ellenőrzés során, mert a hatóság minden esetben a tényleges folyamatot fogja minősíteni.

  • Fotó: shutterstock

    Az EU idén május 25-étől hatályos adatvédelmi rendelete két új fogalmat is bevezet: az adathordozhatósághoz és az elfeledtetéshez való jogot. De mit is jelent ez a két fogalom és hogyan teljesítheti praktikusan az adatkezelő a két intézménnyel kapcsolatos kötelezettségeit? A jelen cikkben ezekről esik szó, bemutatva néhány gyakorlati problémát és az azokra megfelelő megoldási javaslatot.

Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • tárgyalóterem, új polgári perrendtartás

    Az esetek nagy részében a munkavállaló akkor indít pert a munkáltatójával szemben, ha a munkaviszony már véget ért. Nincs azonban akadálya, hogy a munkavállaló egy fennálló munkaviszony mellett vitassa a foglalkoztatása jogszerűségét. Ez önmagában semmilyen kötelezettségszegést nem jelent a munkavállaló részéről, noha kétségkívül kényes helyzetet eredményez.

  • Fotó: shutterstock

    Megszűnik a pénzügyi szervezetek különadója, még vonzóbb lesz a kiva, és emelkedik a cigaretta jövedéki adója – mindez az adócsomag parlamenti vitáján hangzott el.

  • parlament

    Nem kell szochót fizetni a tb-törvény szerint külföldinek minősülő személy által megszerzett vállalkozásból kivont jövedelem után – derült ki a törvényjavaslat parlamenti vitáján.

  • nav_logo

    Az elmúlt két évben több mint huszonhétezer magánszemély és vállalkozás élt a lehetőséggel, és kérte felvételét a köztartozásmentes adózói adatbázisba - közölte a NAV. Az adatbázisban már 164 828 adózó szerepel.
     

  • GDPR, EU

    A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárását, működését szabályozó törvénymódosítást fogadott el az Országgyűlés.