Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.
A 2018. május 25-én hatályba lépő EU-s adatvédelmi rendelet (GDPR, Rendelet) már most is nagy hatással van az adatvédelem teljes területére, hiszen az új szabályoknak való megfelelésre a felkészülés igen nagy terheket ró az adatkezeléssel foglalkozó szervezetekre. A GDPR célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk, mint például az adatvédelmi hatásvizsgálat fogalma, amelyet a Rendelet vezet be.
Előző írásunkban a hatásvizsgálat szükségességét jártuk körbe, most pedig néhány fontos kérdéssel folytatjuk.
Kötelező-e nyilvánosságra hozni az adatvédelmi hatásvizsgálatot?
A Rendelet nem követeli meg az adatkezelőktől, hogy az adatvédelmi hatásvizsgálat elvégzését követően annak eredményét nyilvánosságra hozzák, vagyis arról mérlegelés után saját belátása szerint dönthet minden adatkezelő. Azonban meggondolandó szempont, hogy a közzétételével növelhető a bizalom az adatkezelést folytató szervezet irányába, már akkor is, ha a teljes eredmény helyett mindössze egy összefoglaló, vagy az adatvédelmi hatásvizsgálat elvégzéséről szóló közleményt hoz nyilvánosságra.
Különösen akkor érdemes nyilvánosságra hozni az adatvédelmi hatásvizsgálatot, ha az adatkezelési művelet a nyilvánosságot érinti. Ez főként akkor fordulhat elő, ha közhatalmi szerv végez adatvédelmi hatásvizsgálatot.
Kell- e konzultálni a hatósággal?
A GDPR szerint akkor szükségszerű az adatvédelmi hatásvizsgálat, ha az adatkezelési művelet valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Az adatkezelő feladatául szolgál az érintettek jogait és szabadságait érintő kockázatok értékelése, ahogy az is, hogy megállapítsa az e kockázatok elfogadható szintre való csökkentésére irányuló megfelelő intézkedéseket, és igazolja a rendelettel való összhangot.
Fontos tudni, hogy a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport iránymutatása alapján nincs szükség az adatvédelmi hatásvizsgálat elvégzésére olyan adatkezelési műveleteknél, amelyek a 95/46/EK irányelv 20. cikke értelmében a felügyeleti hatóság vagy az adatvédelmi tisztviselő ellenőrzött, és amelyeket az előzetes ellenőrzés óta változatlan módon hajtanak végre
Fennállhat azonban annak esélye, hogy az adatkezelő nem képes a feltárt kockázatokat a megfelelő mértékre csökkenteni. Vagyis például valószínűsíthető, hogy a kockázat bekövetkezik, vagy az érintett személyek számára visszafordíthatatlan következményekkel jár. Ilyen esetekben az adatkezelőnek kötelező konzultáció céljából a felügyeleti hatósághoz fordulnia, a Rendelet 36. cikk (1) bekezdése alapján.
Ezen kívül a 36. cikk (5) bekezdésének megfelelően a tagállami jog is előírhatja a kötelező konzultációt, illetve azt, hogy az adatkezelők szerezzék be a felügyeleti hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.
Természetesen azonban az adatvédelmi hatásvizsgálat aktualizálásának kötelezettsége nem függ a kötelező konzultációtól, vagyis akkor is fennáll a továbbiakban is, ha az adatkezelő nem tár fel olyan mértékű kockázatot, amelyet a felügyelettel meg kellene tárgyalnia.
Mi a helyzet a GDPR hatályba lépése előtti adatkezelésekkel?
A Rendelet külön nem tér ki arra, hogy a hatályba lépésekor már folyamatban lévő adatkezelésekkel kapcsolatban mi a teendő. Ez azonban nem azt jelenti, hogy ezek kívül esnek az adatvédelmi hatásvizsgálatra kötelezett adatkezelések köréből, hiszen a GDPR 35. cikke úgy fogalmaz, hogy az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e. Ez pedig azt jelenti, hogy időről időre visszatérően kötelező lefolytatni a vizsgálatot, így a Rendelet hatályba lépésekor már folyamatban lévő adatkezelések ellenőrzésére is előbb-utóbb sort kell keríteni. A kockázatok változása adódhat például az új technológiák bevezetéséből, vagy a személyes adatok eltérő célra történő felhasználásából.
[htmlbox gdpr_komm]
Fontos azonban tudni, hogy a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport iránymutatása alapján nincs szükség az adatvédelmi hatásvizsgálat elvégzésére olyan adatkezelési műveleteknél, amelyek a 95/46/EK irányelv 20. cikke értelmében a felügyeleti hatóság vagy az adatvédelmi tisztviselő ellenőrzött, és amelyeket az előzetes ellenőrzés óta változatlan módon hajtanak végre. Emellett a Rendelet 171. számú Preambulum-bekezdése szól arról is, hogy a 95/46/EK irányelv alapján a Bizottság által hozott határozatok, valamint a felügyeleti hatóságok által kiadott engedélyek hatályban maradnak mindaddig, amíg módosításukra, felváltásukra vagy hatályon kívül helyezésükre sor nem kerül.
Az adatvédelmi hatásvizsgálatot tehát a fentiek alapján folyamatosan érdemes felülvizsgálni és újra lefolytatni, azonban a GDPR 5. cikke szerinti személyes adatok kezelését illető elveknek minden adatkezelőnek meg kell felelni, ennél fogva legkésőbb az elszámoltathatósági kötelezettség részeként már képesnek kell lennie valamennyi adatkezelőnek a megfelelés igazolására.
Van- e pontos formája a hatásvizsgálatnak?
Az általános adatvédelmi rendelet rugalmasságot biztosít az adatkezelők számára abból a szempontból, hogy saját belátásuk szerint határozhatják meg az adatvédelmi hatásvizsgálat pontos felépítését és formáját, így igazodhatnak a már meglévő munkamódszereikhez. A legfontosabb betartandó szabály, hogy a kockázatok valódi értékelésére irányuljon a hatásvizsgálat. Ehhez a Rendelet (90) Preambulum-bekezdése tartalmaz figyelembe veendő elemeket: „Ez a hatásvizsgálat magában foglalja különösen az említett kockázat mérséklését, a személyes adatok védelmét, valamint az e rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat.” Az adatvédelmi és a magánélet védelmére vonatkozó hatásvizsgálat módszereire néhány példa a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport iránymutatásának 1. mellékletében található. Annak érdekében pedig, hogy ezek a különböző megközelítések alkalmazhatóak legyenek, és az adatkezelők képesek legyenek betartani a Rendelet szabályait, a munkacsoport készített közös szempontokat is a hatásvizsgálat elkészítéséhez (Iránymutatás 2. sz. melléklete tartalmazza). Eszerint tehát az adatkezelők választhatják meg a hatásvizsgálat módszerét, azonban (a munkacsoport szerint) annak meg kell felelnie az előre meghatározott szempontoknak ahhoz, hogy a Rendelettel is összhangban legyen a hatásvizsgálat formája, vagyis megfelelően mutassa ki a kockázatokat.
Az Iránymutatás 1. és 2. számú melléklete a NAIH oldaláról letölthető: https://naih.hu/files/wp248-rev.01_hu_hatasvizsg.pdf
