GDPR: a hatásvizsgálat megvalósítása

Szerző: Bardócz Iván
Dátum: 2018. január 30.
Rovat:

A GDPR rendelet alapján bizonyos esetekben kötelező adatvédelmi hatásvizsgálatot készíteni. Fontos megérteni, hogy a sebtében összerakott „papír” önmagában nem lesz elegendő egy ellenőrzés során, mert a hatóság minden esetben a tényleges folyamatot fogja minősíteni.


Az Európai Parlament és a Tanács (EU) 2016/679 számú, 2018. május 25-étől alkalmazandó adatvédelmi rendelete (GDPR vagy Rendelet) szerint, amikor valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek adatvédelmi hatásvizsgálatot kell végezni. A vizsgálatnak azonosítania kell a kockázat forrását, jellegét, egyediségét és súlyosságát, és eme szempontok figyelembevételével kell megfelelő eljárásrendet kialakítani az érintett cégnél.

Többször tapasztalható, hogy a vállalkozások úgy tekintenek a hatásvizsgálatra, mint egy szükséges rosszra, amit akár egy hatósági eljárás során büszkén lobogtathatnak, mondván, az előírásoknak azzal is megfelelnek, hogy létezik hatásvizsgálati dokumentumok. Érdemes a hatásvizsgálatot a gyakorlatban megvalósuló folyamatokra „ráültetni”, nem pedig a már meglévő eljárásrendeket radikálisan átalakítani a GDPR szövegének történő megfelelés érdekében. Mielőtt azonban egy vállalkozás nekilátna a feladatnak, érdemes az alábbi, gyakorlati kérdésekre választ találnia.

Kinek szükséges hatásvizsgálatot végeznie?

Egyrészt a Rendelet 35. cikke tartalmaz néhány példát, amikor az adatvédelmi hatásvizsgálat elvégzése kötelező – így profilalkotás esetén, személyes adatok különleges kategóriáira vonatkozóan, nyilvános helyek nagymértékű, módszeres megfigyelése során.

Másrészt, ha a vállalat tevékenysége nem esik a fenti felsorolásba, akkor köteles hatásvizsgálati eljárást kezdeményeznie, ha az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve. De mit is jelent a magas kockázat? Az adatvédelemmel foglalkozó európai uniós munkacsoport számos útmutatást adott ki ebben a tárgyban. Az iránymutatásokból, állásfoglalásokból kitűnik, hogy az elemzés során számos szempontot figyelembe kell venni, így például a kezelt adatok mennyiségét, mennyire szenzitívek ezek az adatok, az adatok alapján hoz-e valamilyen döntést az adatkezelő.

Az alábbi példákat emelném ki, melyek az adatkezelést egyértelműen magas kockázatúnak minősítik, és sokakat érintenek:

– a munkáltató a munkavállaló teljesítményét rendszeres értékelés alá veti, vagy megfigyeli az alkalmazott munkáját;

– az elektronikus áruház monitorozza regisztrált vásárlóinak korábbi megrendeléseit, és ez alapján ajánl fel újabb termékeket számára;

– a bank adatbázist épít arra vonatkozóan, hogy milyen mértékben, ütemben teljesít a hitelfelvevő, és ezt figyelembe veszi egy újabb hitelbírálati eljárás során;

– a munkaerő-közvetítő cég profilalkotást végez, ez alapján szűri jelöltjeit egy adott pozíció kapcsán;

– a vállalkozás új technológiát alkalmaz az ügyfeleivel (természetes személyekkel) való szerződéskötés során;

– az idősek otthona bentlakóira vonatkozóan kezel személyes adatot;

– online magazin a feliratkozókból levelező listát hoz létre és az e-mail-címekre hírösszefoglalókat küld.

A fentiek alapján érzékelhető, hogy nagyon sok esetben lesz szükség hatásvizsgálat elvégzésére. Mielőtt azonban minden egyes cég elkezdené a folyamatot, érdemes tájékozódni, nincs-e olyan, az iparágban már megalkotott magatartási kódex vagy más hasonló tevékenységű vállalkozás által nyilvánosságra hozott hatásvizsgálat, amelyet referenciaként használhat – időt és pénzt megtakarítva. Továbbá a felügyeleti hatóságnak ki kell majd adnia egy jegyzéket azon művelettípusokról, amire vonatkozóan kötelező lesz hatásvizsgálatot elvégezni. Tudomásunk szerint erről a listáról a tagállami hatóságok jelenleg is egyeztetnek.

Mikor szükséges elvégezni a hatásvizsgálatot?

Minden esetben az adatkezelés megkezdése előtt. Ha tehát egy cég személyes adatot kezel, akkor 2018. május 25-e előtt már köteles elvégezni a vizsgálatot.

[htmlbox gdpr_komm]

Sokszor merül fel kérdésként, hogyha egy cég már bejelentette adatkezelését a Nemzeti Adatvédelmi és Információbiztonság Hatóság (NAIH) felé, akkor is köteles lesz-e lefolytatni a hatásvizsgálatot. Álláspontunk szerint igen, mert a magyarországi hatósági nyilvántartás nem az adatkezelés jogszerűségét, csak annak tényét igazolja, az uniós rendelet előírása pedig az, hogyha korábban még nem vizsgálták, vagy hagyták jóvá az adatkezelés jogszerűségét, akkor az általános szabályok szerint kell eljárni.

Be kell-e jelenteni, közzé kell-e tenni a hatásvizsgálat elvégzését, eredményét?

Nincs az adatkezelőnek sem bejelentési, sem nyilvántartásba vételi kötelezettsége. Saját döntése alapján nyilvánosságra hozhatja a hatásvizsgálat eredményét, akár egy összefoglaló formájában is, ami növelheti a szerződéses partnerei bizalmát, ugyanakkor nem fenyegeti az adatbiztonságát, üzleti titkainak felfedését.

Összegezve látható, hogy már annak eldöntése, kell-e hatásvizsgálatot végezni, megkívánja az adatkezelőtől, hogy kompetens munkatársa segítségével vagy külső szolgáltató (pl. ügyvéd, IT-szakember) igénybevételével felmérje adatkezelési folyamatait és az új uniós szabályoknak (is) megfelelő eljárásrendet alakítson ki. Végezetül fontos megjegyezni, hogy ha egy cég nem is kötelezett hatásvizsgálat elkészítésére, attól függetlenül ugyanúgy követnie kell a Rendelet szabályait, vagyis személyes adatok kezelése esetén – mennyiségtől és szenzitivitástól függetlenül – be kell tartania az adatkezelőre vonatkozó előírásokat.

 

Olvassa el GDPR témában megjelent további cikkeinket is!


Kapcsolódó cikkek:


Átláthatóbban tünteti fel árait az Airbnb
2018. szeptember 20.

Átláthatóbban tünteti fel árait az Airbnb

Az Európai Bizottság és az uniós fogyasztóvédelmi hatóságok júliusi felhívását követően az Airbnb elkötelezte magát amellett, hogy módosítja szerződéses feltételeit és az árait átláthatóbban tünteti fel.

Tovább gyorsult a keresetek emelkedése
2018. szeptember 20.

Júliusban 12,8 százalékkal volt magasabb a bruttó átlagkereset az egy évvel korábbinál, az első hét hónapban 12,1 százalékkal nőttek a munkajövedelmek - jelentette csütörtökön a Központi Statisztikai Hivatal (KSH). A keresetek emelkedése ezzel tovább gyorsult a májusi 10,9 és a júniusi 11,2 százalékos emelkedés után.

Az ingatlanpiaci tranzakciók húzzák a hazai M&A-piacot
2018. szeptember 19.

Az ingatlanpiaci tranzakciók húzzák a hazai M&A-piacot

Tovább bővült a hazai összeolvadások és felvásárlások (M&A) piaca a tranzakciók számát tekintve. Az idei év első hat hónapjában 66 tranzakciót hoztak nyilvánosságra Magyarországon, ezzel a piac becsült mérete elérte a 2,3 milliárd dolláros értéket - derül ki az EY legfrissebb elemzéséből.

Csökkent az üzemanyagok ára
2018. szeptember 19.

A Mol Nyrt. szerdán a 95-ös benzin literenkénti nagykereskedelmi árát 2 forinttal, a gázolajét 3 forinttal mérsékelte.