Adatvédelmi reggeli: Második felvonás
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az ARB Consulting szervezésében megrendezett második adatvédelmi reggelin a Wolters Kluwer kiadásában megjelent Magyarázat a GDPR-ról című könyv adatvédelmi hatásvizsgálatról szóló fejezetéről beszélgettek.
A rendezvény megnyitásakor dr. Révész Balázs, az ARB Consulting vezetője, köszöntötte a résztvevőket és azon véleményének adott hangot, hogy a GDPR megalkotásakor az EU alapvetően segíteni akart, de a rendelet alkalmazásakor számos olyan anomália jelentkezett (kaputelefonokról a nevek eltüntetése, az érettségi tablók kirakatokból való eltüntetése), amely már túlzásnak tekinthető.
Dr. Révész Balázs ezt követően áttért a GDPR salátával bevezetett, fontosabb módosítások ismertetésére. Elmondta, hogy a módosítás elsősorban a GDPR és az új Infotörvény szóhasználatát vezette át a 86 módosított jogszabályon.
Először a Munka Törvénykönyvén (Mt.) eszközölt változtatásokat vette górcső alá. Véleménye szerint az Mt. módosítással a jogalkotó sok kérdésben tiszta vizet öntött a pohárba, de maradtak még bőven olyan kérdés, amely dilemmát okoz a szakemberek és a jogalkalmazók számára is.
Az Mt. kapcsán dr. Révész Balázs kifejtette, hogy ugyan eddig is csak a munkaviszonnyal szorosan összefüggő okból és a szükségesség-arányosság követelményeinek betartásával lehetett a munkavállalók személyiségi jogait korlátozni.
A GDPR saláta ezt tovább pontosította és eltolta a hangsúlyokat a tényleges szükségesség- arányosság felé, illetve előírja a munkavállalók, helyben szokásos módon történő, tényleges, előzetes írásbeli tájékoztatását.
Az erkölcsi bizonyítványokkal kapcsolatos szabályozás szigorításának hátterét megvilágítva dr. Révész Balázs elmondta, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóságnál végzett munkája során sokszor tapasztalta, hogy nagy cégek HR osztályai közvetlenül és tömegesen, ugyanakkor jogszerűtlenül, fordultak a munkavállalók erkölcsi bizonyítványának beszerzése érdekében a bűnügyi nyilvántartó szervhez.
Az erkölcsi bizonyítványokra vonatkozó szabályokkal kapcsolatban kiemelte, hogy az Mt. módosítással meghatározásra kerültek azok az esetek, amikor erkölcsi bizonyítványt lehet kérni a munkakör betöltéséhez. A munkáltató ezekben az esetekben is csak az okirat bemutatását kérheti és ennek megtörténtét egy jegyzőkönyvben rögzítheti az okirat számával együttesen, tehát a bemutatott erkölcsi bizonyítvány elkérése és a munkavállaló személyi anyagában való tárolása továbbra sem jogszerű. Az erkölcsi bizonyítványokat dr. Révész Balázs szerint egyébként sem érdemes tárolni, hiszen az csak a kibocsátást követő 90 napig tanúsítja a benne foglaltakat.
Dr. Révész Balázs szerint korábban előfordult, hogy a munkaügyi hatóság azért büntetett, mert az adatkezelő nem tudta bemutatni, hogy a munkába álláskor bekérte az erkölcsi bizonyítványt és, hogy az mit tartalmazott. Ennek az Mt. módosítással és a GDPR hatályba lépésével vége lesz, mivel az erkölcsi bizonyítványokat csak az Mt. szerint lehet kezelni.
A GDPR alapvetően abból indul ki, hogy a bűnügyi személyes adatok, mint különleges személyes adatok kezelése tilos, de ez alól bizonyos esetekben a tagállami jogalkotó tehet kivételt.
Dr. Révész Balázs elsősorban a közszférában dolgozókat, a Hszt. alapján foglalkoztatottakat, a mezőőröket és a gyámhivatali dolgozókat említette példaként.
Előadásában felvetette, hogy erkölcsi bizonyítványban található adatokat, esetleg jogos érdek alapján is lehet kérni, például akkor, ha egy nagyvállalatnál a dolgozók olyan bizalmas adatokhoz férnek hozzá, amelyek a vállalat üzleti titkát képezik.
Amennyiben jogos érdek alapján kívánjuk a munkavállaló bűnügyi személyes adatát kezelni, akkor természetesen a jogos érdekünket bemutató érdekmérlegelési tesztet kell készíteni, amelyben részletesen bemutatjuk, hogy a munkáltató érdeke miért élvez elsőbbséget a munkavállaló alapjogaihoz, személyes adatainak védelméhez képest, illetve azok korlátozása a munkáltatói intézkedés következtében szükséges és azzal arányos-e.
Dr. Révész Balázs szerint az érdekmérlegelést munkakörönként kell elvégezni és csak azon munkaköröknél kérhető az erkölcsi bizonyítvány bemutatása, ahol azt a munkáltató jogos érdeke alátámasztja. Tehát például az üzleti titok vonatkozásában csak azon munkavállalóktól, akik jogszerűen hozzáférhetnek az üzleti titkot képező információkhoz.
A munkáltató által biztosított munkaeszközök magáncélú korlátozásának általános tilalmát górcső alá véve dr. Révész Balázs kiemelte, hogy ha a munkavállaló a saját eszközét használja munka céljára, vagy megszegi a munkáltató által rendelkezésre bocsátott eszköz magáncélú használatára vonatkozó tilalmat, a munkáltató akkor is kizárólag az eszközön tárolt, munkával összefüggő adatokba tekinthet be ellenőrzési jogosultságaival élve. Azaz, ha egyértelmű, hogy az információ a munkavállaló magánügyeire vonatkozik, azt a munkáltató nem ellenőrizheti tovább.
A biometrikus adatok kezelését a GDPR saláta az erkölcsi bizonyítványok mintájára szabályozza és a biometrikus azonosító rendszerek kezelését csak nagyon szűk körben teszi lehetővé.
A biometrikus azonosító rendszer alkalmazása egyértelműen személyes adatok kezelésével jár, mert célja a jogosultsággal rendelkező személy azonosítása.
A biomertrikus azonosító rendszert akkor lehet alkalmazni, ha valamilyen jelentős érdek, bizalmas vagy annál szigorúbb minősítésű titok, lőfegyver, lőszer, robbanószer vagy mérgező-, vegyi-, vagy nukleáris anyag, illetve a Btk. által meghatározott különösen nagy (50 millió 1 forintot meghaladó) vagyoni érdek védelmére szolgál.
Dr. Révész Balázs másik témája a „whistle blowing” volt, azaz a munkáltatók és állami szervek által működtetett panaszbejelentés.
Elmondta, hogy a bejelentések legtöbbször tömegesen tartalmaznak különleges személyes adatokat, ezek közül azonban csak azokat lehet jogszerűen kezelni, amelyek a bejelentés kivizsgálásához szükségesek.
Dr. Révész Balázs kitért az Szvtv. módosítására is, amelyből törlése kerültek a biztonsági kamerák által készített képfelvételek megőrzésére előírt szigorú határidők, így ha más jogszabály nem ír elő megőrzési időt, az adatkezelőkre van bízva, hogy azokat meddig tárolják, azonban a hosszabb idejű tároláshoz, mint adatkezeléshez elsősorban jogos érdek szükséges, amelyet az adatkezelőnek érdekmérlegelési tesztben kell bemutatnia. Ezt Dr. Buzás Péter, az ARB Consulting szenior adatvédelmi tanácsadója is megerősítette, illetve elmondta, hogy a jogalkotó korábban egységesen 30 napban szabályozta az Szvtv-ben a megőrzési időt, amelyet az Alkotmánybíróság 36/2005 (X.5.) AB határozatával alkotmányellenesnek minősített, ezért kerültek bevezetésre a differenciált megőrzési idők.
A biometrikus adatokra vonatkozóan elmondta, hogy az Mt. módosítással bevezetett szabályozást az EU 29-es Munkacsoportja dolgozta ki és ezt vette át most a jogalkotó.
Ezzel kapcsolatban a hallgatóság részéről érkezett egy kérdés a személyszállítási szolgáltatásokról szóló törvénnyel összefüggésben, amely 15 napos határidőt ír elő a felvételek megőrzésére, amely hátrányos helyzetbe hozhatja a szolgáltatót, ha az utas a határidő elteltét követően érvényesít kártérítési igényt az utazás során őt ért kár miatt.
Dr. Amigya Andrea, az ARB Consulting szenior adatvédelmi tanácsadója válaszában kifejtette, hogy a szolgáltatók általános szerződési feltételeiben kellene összhangba hozni a kárbejelentési határidőt a tárolási időtartammal és erről tájékoztatni kellene az utasokat is.
A kamerák által rögzített felvételek megőrzési idejével kapcsolatban Dr. Révész Balázs kifejtette, hogy a jogszabályokban meghatározott határidők zsinórmértékül szolgálhatnak az olyan felvételek megőrzésénél, ahol a megőrzési időt jogszabály nem írja elő. Tehát a jogszabály által lehetővé tett legrövidebb határidőig biztosan jogszerűen lehet a felvételeket őrizni, a jogszabályok által lehetővé tett leghosszabb határidőt meghaladó megőrzés esetén pedig biztosan érdekmérlegelést kell végezni. Dr. Révész Balázs szerint a legtöbben az általános elévülési időhöz fogják kötni a felvételek megőrzését, amely jelentős költséggel jár majd az adatkezelőkre nézve, illetve az ehhez fűződő érdek sem minden esetben igazolható majd megfelelően.
A hatásvizsgálattal kapcsolatban Dr. Révész Balázs úgy látja, hogy az adatkezelők nem hajlandók együttműködni és megosztani a tudásukat, mert az egyfajta szellemi terméknek tekintik, és úgy értékelik, hogy az olyan üzleti titok, amely versenyelőnyt jelent a számukra.
A NAIH konzultációs és tájékoztató tevékenységével kapcsolatban elmondta, hogy még NAIH-os pályafutása során, de nehezen döntöttek ezen tevékenység abbahagyása mellett, mert a konzultációs tevékenység a bírósági gyakorlatot is alakította, de az adatkezelők sokszor téves következtetéseket vontak le, amely félrevezette őket.
Dr. Révész Balázs előadását követően Németh László mutatta be a Wolters Kluwer Hungary Kft. Legisway Essentials nevű szoftverét, amely egy olyan platform független, személyre szabható, felhőalapú, jogi ügyviteli rendszer, amely a különböző típusú jogi dokumentum- és adat nyilvántartása mellett átláthatóvá teszi az adatkezelési folyamatokat is, ezzel segítve az adatkezelőket a jogszabályoknak való adatkezelési rendszer kialakításában és az érintetti kérelmek és hatósági kérdések megválaszolásában.
Németh László elmondta, hogy a Legiswayt Hollandiában, a Wolters Kluwer anyacége fejlesztette ki, elsősorban vállalti jogtanácsosoknak, de ma már számos kisebb cég, önkormányzat és hivatal számára is elérhető világszerte.
A rendszer biztonságos adattárolást tesz lehetővé, rendelkezik a legfejlettebb informatikai biztonsági tanúsítványokkal és mobil applikáción keresztül is elérhető.
A rendszer teljes mértékben személyre szabható, az egyes modulok az ügyfelek igényei alapján ki- és bekapcsolhatók, illetve a keretrendszerbe saját modulok is kérhetők. A rendszerbe felvitt dokumentumok és adatok kereshetők, beállíthatók jogosultsági szintek és szervezeti egység szerinti korlátozások is. A rendszer támogatja védett adatszobák létrehozását, amelybe a dokumentum szerkesztője hívhat meg résztvevőket.
A bevitt adatokból riportok készíthetőek, illetve beállítható, hogy a rendszer automatikusan figyelmeztessen a dokumentumokban található határidőkre (szerződés lejárat, felmondás, fizetés, stb.).
Németh László kiemelte az adatbiztonsági modult, amelyben a GDPR által előírt adatkezelési tevékenységekre és adatvédelmi incidensekre nyilvántartásokat lehet vezetni, keresni, az érintettek tájékoztatásához naprakész értesítőket lehet készíteni, amelyek bármely formába exportálhatók és a rendszerből közvetlenül kiküldhetők, illetve bemutathatók egy esetleges NAIH ellenőrzés során. A rendszer természetesen naplózza a tevékenységeket, így mindig megállapítható, hogy ki és mikor módosította a bevitt adatokat.
A szoftver bemutatását követően Dr. Buzás Péter vette át a szót, aki a Magyarázat a GDPR-ról című könyv adatvédelmi hatásvizsgálatról szóló fejezetéhez kapcsolódó gyakorlati tapasztalatait osztotta meg a hallgatósággal.
Előadásában hiányolta az adatkezelői tudatosságot és elmondta, hogy munkája során inkább azzal találkozott, hogy az adatkezelők megpróbálták elkerülni a hatásvizsgálat elvégzését, illetve nem voltak nyitottak a szakemberek meglátásaira.
Véleménye szerint, ha adatkezelőként nem vagyunk biztosak benne, hogy hatásvizsgálatot kellene végeznünk, akkor célszerűbb, ha elvégezzük. Utólag egy esetleges NAIH ellenőrzés során sokkal jobban járunk, ha a Hatóság is azt állapítja meg, hogy nem kellett volna hatásvizsgálatot végeznünk, mintha elmarasztalja az adatkezelőt, mert nem végezte el azt.
Dr. Buzás Péter felhívta a figyelmet, hogy a hatásvizsgálat a legjobb eszköz a GDPR megfelelésre és ennek elvégzésével tudjuk igazolni azt a NAIH felé is.
A hatásvizsgálat tárgyát elsősorban az adatkezelőnek kell meghatároznia, mivel neki kell tisztában lennie az adatkezelési folyamataival és az azok során jelentkező esetleges kockázatokkal.
A hatásvizsgálat fontos kritériuma, hogy könnyen átlátható követhető legyen, ezért érdemes a bonyolultabb, több részből álló adatkezelési műveleteket tárgy vagy időállapot szerint szétbontani és a hatásvizsgálatot részenként elvégezni.
A hatásvizsgálatban az adatkezelési tevékenység során felmerülő kockázatokat kell feltárni és elemezni (pl. ellopják az adatokat tartalmazó eszközt) és megfelelően értékelni. A kockázatelemzéskor meg kell határozni az érintettek és a személyes adatok kategóriáit és, hogy milyen hatással lehetnek rájuk a jövőben bekövetkező kockázatok.
Ezzel szorosan összefügg az érdekmérlegelési teszt, de ott inkább az adatkezelő és az érintettek oldalán felmerülő érdekeket kell bemutatni.
Dr. Amigya Andrea egy hallgatói kérdésre elmondta, hogy a hatásvizsgálatot és az érdekmérlegelést egy dokumentumban is el lehet készíteni, de a két részt élesen el kell különíteni egymástól, amellyel Dr. Eszteri Dániel a NAIH főosztályvezetője is egyetértett.
A feltárt kockázatok alapján a jövőre nézve cselekvési tervet kell alkotni és a kockázatkezelési módszert írásba kell foglalni. Ennek azért van jelentősége, mert egy incidens bekövetkezésekor a NAIH bekérheti a kockázatkezelési módszerünket és megnézheti, hogy aszerint jártunk-e el.
Dr. Buzás Péter példaként említette az olasz adatvédelmi hatóság döntését, amelyben 50.000 € bírságot szabott ki egy adatfeldolgozóra, mert nem tett eleget a biztonságos adatkezelés követelményeinek, a rendszer nem készített logokat az adatkezelési tevékenységekről és nem működött közre az adatvédelmi hatásvizsgálat elkészítésében sem.
Az adatfeldolgozók szerepét vizsgálva elmondta, hogy tapasztalt már olyat, hogy az adatfeldolgozó nem volt hajlandó közreműködni az adatkezelő hatásvizsgálatának elvégzésében. A GDPR már előírja ezt a kötelezettséget az adatfeldolgozók számára és bizonyos esetekben közvetlenül is felelősségre vonhatók. A hatásvizsgálatot szerinte az adatfeldolgozó maga is elvégezheti, amelyet az adatkezelő felülvizsgálhat.
Az adatvédelmi tisztviselő szerepére kitérve Dr. Buzás Péter elmondta, hogy az adatvédelmi tisztviselő nem végezhet hatásvizsgálatot, mert később nem ellenőrizheti saját magát, ezért a hatásvizsgálatot csak ellenőrizheti, véleményezheti.
Szerinte nem szabad félni az adatvédelmi tisztviselő véleményétől, mert sokkal jobb, ha ő kifogásolja a hatásvizsgálatot, mint ha a NAIH, illetve egy esetleges vizsgálat során is jól mutat, ha az adatvédelmi tisztviselő kiegészítést tesz a hatásvizsgálathoz, amelyet az adatkezelő beépít.
Dr. Buzás Péter kérdésre válaszolva kifejtette, hogy a hatásvizsgálati- és az érdekmérlegelési dokumentációt kérésre ki kell adni az érintettnek, kivéve, ha olyan érzékeny adatot vagy biztonsági kockázatot tartalmaz, amely veszélyezteti az adatkezelő érdekeit vagy az adatkezelés biztonságát.
Dr. Buzás Péter dicsérte a NAIH hatásvizsgálati szoftverét, amely a Hatóság honlapjáról ingyenesen letölthető, könnyen kezelhető és úgy lett kialakítva, hogy a legbonyolultabb adatkezelésekre vonatkozóan is tudjunk hatásvizsgálatot készíteni vele. A piacon vannak még hatásvizsgálat végzésére szolgáló szoftverek, ezeket is lehet használni, de gyakran nem megfelelő terminológiát használnak a rossz fordítások miatt.
A GDPR-ral kapcsolatosan azon véleményének adott hangot, hogy a korábbi hozzájárulás vagy törvényi jogalapot, így az adatkezelők lehetőségeit is kiszélesítette a rendelet, de ehhez többletfelelősség is társul. Az adatkezelőknek 27 évük volt adatvédelmileg tudatossá válni és felkészülni, ezért nem lehet alappal hivatkozni a rövid felkészülési időre.
Dr. Buzás Péter előadását követően Dr. Eszteri Dániel a NAIH Engedélyezési és Incidenskezelési Főosztályának vezetője folytatta az előadást, aki a NAIH hatásvizsgálattal kapcsolatos tapasztalatait osztotta meg a közönséggel.
Kifejtette, hogy a hatásvizsgálat és a dokumentáció elkészítése a GDPR által előírt elszámoltathatóság elvéből vezethető le és a GDPR ezt az adatkezelők kizárólagos kötelezettségévé teszi.
Az adatkezelőnek a hatásvizsgálati dokumentációban be kell mutatnia a feltárt kockázatokat és, hogy hogyan mérsékelte azokat. A hatásvizsgálat célja az adatkezelés megtervezése, annak érdekében, hogy az adatkezelő tudja kezelni a jövőben bekövetkező eseményeket, incidenseket.
Egy társadalmi felmérést említett példaként, ahol a felmérést végzők tableteken rögzítették a válaszadók személyes adatait. Ebben az esetben a felmérést végző a hatásvizsgálatban bemutatta, hogy az eszközök jelszóval védettek és a személyes adatok nem az eszközön tárolódnak, így minimális a kockázata egy incidens bekövetkezésének.
A hatósági tapasztalatokkal kapcsolatban megjegyezte, hogy eddig nem sok hatásvizsgálat érkezett a NAIH-hoz, amely vagy annak köszönhető, hogy az adatkezelők nincsenek tisztában a kötelezettségeikkel, vagy egyedül is megfelelően le tudják folytatni a hatásvizsgálatokat. Több megkeresés érkezett már a NAIH-hoz, amelyekben az elvégzett hatásvizsgálatot kívánták „jóváhagyatni” a NAIH-hal, de a Hatóság az ilyen megkeresésekre általában nem válaszol.
Dr. Eszteri Dániel elmondta, hogy a NAIH közzétette a GDPR 35. cikke szerinti azon kockázatos adatkezeléseket, amelyek esetén kötelező az adatvédelmi hatásvizsgálat, illetve a francia adatvédelmi hatóságtól átvette, lefordította és honlapján közzétette azt az ingyenesen letölthető szoftvert, amely segít a hatásvizsgálat elkészítésében. Egy kérdésre válaszolva Dr. Eszteri Dániel kifejtette, hogy a szoftverbe betáplált adatok a felhasználó számítógépén tárolódnak, ezért azokra a NAIH nem lát rá. Sok kritika éri a rendszer bonyolultságát, de erre azért van szükség, hogy a bonyolultabb adatkezelési tevékenységek hatását is vizsgálni lehessen. Az egyszerűbb adatkezeléseknél elegendő egy GDPR-ban foglaltaknak megfelelő pároldalas hatásvizsgálati dokumentáció elkészítése.
Ezenkívül a NAIH kizárólag azokban az esetekben biztosít konzultációs lehetőséget az adatkezelők számára, ha a hatásvizsgálat alapján arra a következtetésre jutnak, hogy a kockázatokat nem tudják mérsékelni és ezért a Hatósághoz fordulnak. Ilyen megkeresés még nem érkezett a NAIH-hoz a GDPR hatályba lépése óta, de a főosztályvezető szerint például egy mesterséges intelligenciával foglalkozó projekt, ahol számtalan adatot táplálnak be a mesterséges intelligenciába és aztán az MI kezeli az adatokat, egy olyan érdekes kérdés lenne, ahol nem lehet egyértelműen mérsékelni a kockázatokat.
Dr. Eszteri Dániel elmondta, hogy az általános konzultációt és az ajánlások, állásfoglalások közzétételét azért állították le, mert az adatkezelők nem bocsátották a NAIH rendelkezésére a teljes tényállást, az adatkezelésüket csak általánosságban írták le, illetve az általános tájékoztatásból olyan konkrétumokat következtettek ki, amelyekre a tényállás hiányossága miatt a NAIH nem tudott ajánlásában kitérni, így ezek kibocsátása lényegében értelmét vesztette.
A nagyszámú adatkezeléssel kapcsolatban elmondta, hogy az Európai Adatvédelmi Testület álláspontját követve a NAIH sem akarja pontosabban meghatározni a nagyszámú személyes adat körülbelüli alsó határát. Ennek megítélésekor az adatkezelés jellegét, az érintettek számát és a személyes adatokat kell figyelembe venni, amely minden esetben egyedi. Példaként említette, hogy egy több százezer érintettet érintő adatkezelés biztosan a nagyszámú adatkezelés körébe fog esni.
Dr. Eszteri Dániel beszámolt a jogszabályok előkészítése során felmerülő hatásvizsgálatokról is, amelyekkel kapcsolatban pozitívabb tapasztalatokkal rendelkezik, mert a jogalkotók már nagyobb tapasztalattal rendelkeznek a tervezett jogszabályok hatásainak vizsgálata terén, illetve a tervezett jogszabályok adatvédelmi hatásának vizsgálatában a NAIH is aktívan közreműködik.
Dr. Eszteri Dániel szerint pozitív lenne az érintettek bevonása a hatásvizsgálat elkészítése során, illetve, ha az adatkezelők nyilvánosságra hoznák a hatásvizsgálati dokumentációjukat, de ilyennel még nem találkozott, pedig ez bizalmat ébresztene az érintettekbe, ugyanakkor az adatok biztonságát garantáló intézkedések nyilvánosságra hozatalát nem ajánlja.
A főosztályvezető elmondta azt is, hogy a hatásvizsgálattal kapcsolatos dokumentumoknál nem, de az incidensekkel kapcsoltban várható felülvizsgálat.
Dr. Amigya Andrea személyes tapasztalatairól beszámolva megerősítette a Dr. Eszteri Dániel és Dr. Buzás Péter által elmondottakat, hogy az adatkezelők gyakran kerülik a hatásvizsgálat elvégzését és gyakran keverik azt az érdekmérlegeléssel. Az adatkezelői tudatosság keretében szerinte sokkal jobban kell ismerniük az adatkezelőknek saját adatkezelési tevékenységüket, ehhez pedig együtt kell működniük az adatvédelmi tisztviselőkkel és szakemberekkel.
A kettő közötti különbség érzékeltetésére Dr. Amigya Andrea kifejtette, hogy míg a hatásvizsgálat elsősorban a kockázatok értékeléséről és mérsékléséről szól, addig az érdekmérlegelés az adatkezelő és az érintett oldalán fennálló érdekeket veszi számba és azt állapítja meg, hogy melyik élvez elsőbbséget a másikhoz képest.
Rossz gyakorlatnak nevezte, amikor az adatkezelők leültetik az adatvédelmi tisztviselőt a számítógép elé és rábízzák, hogy végezze el a hatásvizsgálatot. Szerinte ez egy csapatmunka, amelybe a nagy cégeknél több területet is be kell vonni. Az adatvédelmi tisztviselő véleménye is fontos, de vannak olyan kérdések, amelyek feltárásához, értékeléséhez és mérséklési megoldás kidolgozásához nem rendelkezik a megfelelő szakértelemmel (például IT kockázatok). A gyakorlatban viszont azt tapasztalta, hogy az adatkezelők elzárkóznak az együttműködéstől.
A NAIH hatásvizsgálati szoftverével kapcsolatban annak a véleményéhnek adott hangot, hogy természetesen nem kötelező használni, de jó támpont lehet a hatásvizsgálat elvégzéséhez.
Szintén jó gyakorlatként említette, ha egy termék esetében az adatkezelő valamilyen piktogrammal jelöli, hogy elvégezte az adatvédelmi hatásvizsgálatot, amely bizalmat ébreszthet a termék iránt.