Mikor kötelező az adatvédelmi hatásvizsgálat?


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH közzétette, hogy a GDPR 35. Cikk (4) bekezdése szerinti adatvédelmi hatásvizsgálatot milyen esetekben kötelező elvégeznie az adatkezelőknek.

Az adatkezelőknek, amennyiben az adatkezelésük valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve adatkezelés megkezdése előtt adatvédelmi hatásvizsgálatot kell végezniük.

A NAIH felhívta az adatkezelők figyelmét, hogy a hatásvizsgálat elvégzésére vonatkozó kötelezettségüket minden esetben alaposan mérlegeljék és ne kizárólag a közzétett listában szereplő
adatkezelési műveletek esetén végezzenek hatásvizsgálatot.

Az adatkezelőknek ugyanis általános kötelezettségük az általuk folytatott adatkezelések vonatkozásában az adatvédelmi kockázatok felmérése és a megfelelő kockázatkezelés.

A NAIH szerint az alábbi adatkezelési műveletek esetében mindenképpen kötelező az adatvédelmi
hatásvizsgálatot lefolytatni.

  • Kötelező az adatvédelmi hatásvizsgálat elvégzése, ha egy természetes személy biometrikus adatainak kezelése módszeres megfigyelésre irányul.
  • Ha kiszolgáltatott helyzetben lévő érintettekkel – különös tekintettel a gyermekekre, munkavállalókra, idős, mentális betegségben szenvedőkre – kapcsolatos biometrikus adat kezelése történik.
  • Ha az adatkezelés egy természetes személy genetikai adatainak egyéb különleges adatokhoz vagy fokozottan személyes jellegű adatokhoz történő hozzákapcsolásával jár.
  • Ha egy természetes személy genetikai adatai kezelésének célja a természetes személy értékelése vagy pontozása. Pontozáson azt kell érteni, ha az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az
    érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
  • Hitelképesség értékelése. Ha az adatkezelés célja, hogy az érintett hitelképességét az adatkezelő felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
  • Fizetőképesség értékelése. Az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
  • Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés
    meghozatalánál.
  •  Diákok, hallgatók személyes adatainak értékelésre való felhasználása. Az adatkezelés célja a diákok, hallgatók felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.
  • Profilozás. Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik.
  • Csalás elleni fellépés. Az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.
  • Okosmérők. Az adatkezelés célja közműszolgáltatók által telepített „okosmérők” alkalmazása (fogyasztási szokások nyomon követése).
  • Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. Az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.
  • Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking,
    testkamera).
  • Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.
  • Munkavállaló munkájának megfigyelése. Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.
  • Különleges adatok nagy számban való kezelése. A GDPR (91) preambulumbekezdése alapján a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
  • Nagyszámú személyes adatok kezelése bűnüldözési célból
  • Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése: pl. gyermekek, idősek, mentális betegségben szenvedők esetében.
  • Gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában.
  • Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése (pl.: okos televízió, okos háztartási eszközök, okos játékok stb.), és amelyek adatokat szolgáltatnak a természetes személy fizetőképességére, egészségére, személyes érdeklődési körére, megbízhatóságára vagy viselkedésére, tartózkodási helyére és
    amelyek alapján profilalkotás történik.
  • Egészségügyi adatokra vonatkozó adatkezelések. Nagy számban kezelt adatok tekintetében a kórházak, egészségügyi ellátó intézmények, magán-egészségügyi szolgáltatók vagy nagyszámú páciensi körrel rendelkező természetgyógyászok által kezelt
    különleges adatok vonatkozásában. Ideértve a nagyobb sportlétesítmények, edzőtermek által a tagoktól felvett egészségügyi adatok kezelése.
  • Amikor több adatkezelő egy egész ágazat által közösen használt
    alkalmazást, rendszert, eszközt, illetve platformot tervez
    létrehozni, amelyben különleges adatokat is kezelnek.
  • Az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy összehasonlítása.

Az GDPR alapján az adatvédelmi hatásvizsgálat eredményéről előzetesen konzultálni kell NAIH-hal, ha az érintettek jogait és szabadságait érintő kockázatok adatkezelő által történt értékelését követően az adatkezelő nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére, azaz a fennmaradó kockázatok továbbra is jelentősek.
Az adatkezelőknek folyamatosan értékelniük kell az adatkezelési tevékenységeiből eredő kockázatokat, hogy felismerjék, ha az adatkezelés valamely fajtája „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. Az adatvédelmi hatásvizsgálat egy folyamat, különösen akkor, ha az adatkezelési művelet dinamikus és állandóan változik. Az adatvédelmi hatásvizsgálatot nem egyetlen alkalommal, hanem folyamatosan kell végezni.

(naih.hu)


Kapcsolódó cikkek

2024. október 31.

Az EU eljárást indított a Temu ellen a digitális szolgáltatásokról szóló jogszabály alapján

Az Európai Bizottság eljárást indított csütörtökön a Temu ellen annak megállapítására, hogy a kínai online kereskedelmi óriásvállalat megsértette-e a digitális szolgáltatásokról szóló jogszabályt az illegális termékek értékesítésével, a szolgáltatás esetleges függőséget okozó kialakításával, a felhasználók számára vásárlások ajánlására használt rendszereivel, valamint az adatokhoz való hozzáféréssel kapcsolatos területeken.Az uniós bizottság közleménye szerint a vizsgálat a Temu által szeptember végén benyújtott kockázatértékelési jelentés alapján indult, és arra összpontosít, hogy a vállalat rendszerei arra szolgálnak-e, hogy korlátozzák a nem megfelelő termékek értékesítését az Európai Unióban.

2024. október 30.

Mit tehet a munkavállaló, ha elfogyott az éves fizetett szabadsága?

Év vége közeledtével felmerül a kérdés, pontosan mi történik, ha valakinek elfogy az éves szabadságkerete. Az éves fizetett szabadság a munka világában alapvető jog, amelyet minden munkavállaló igénybe vehet. A szabadság kiadása mindig a munkáltató felelőssége és kötelezettsége, ennek ütemezése során számos jogszabályi előírást kell figyelembe vennie.

2024. október 29.

Rangos nemzetközi díjjal ismerték el a UCC AI-alapú ügyfélszolgálati megoldásait

A szakmai zsűri döntése alapján a United Call Centers (UCC) elnyerte a rangos Titan Business Awards díjat az ügyfélszolgálat – mesterséges intelligencia kategóriában. Az idén 25 éves magyar szolgáltató cég az általa fejlesztett, mesterséges intelligencián (AI) alapuló ügyfélszolgálati megoldásaival a legmagasabb, platina fokozatot szerezte meg.