GDPR – A hatásvizsgálat tényleges megvalósítása


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A GDPR rendelet alapján bizonyos esetekben kötelező adatvédelmi hatásvizsgálatot készíteni. Fontos megérteni, hogy a sebtében összerakott „papír” önmagában nem lesz elegendő egy ellenőrzés során, mert a hatóság minden esetben a tényleges folyamatot fogja minősíteni.


Az Európai Parlament és a Tanács (EU) 2016/679 számú, 2018. május 25-étől alkalmazandó adatvédelmi rendelete (GDPR vagy Rendelet) szerint, amikor valószínűsíthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek adatvédelmi hatásvizsgálatot kell végezni. A vizsgálatnak azonosítania kell a kockázat forrását, jellegét, egyediségét és súlyosságát, és eme szempontok figyelembevételével kell megfelelő eljárásrendet kialakítani az érintett cégnél.

Többször tapasztalható, hogy a vállalkozások úgy tekintenek a hatásvizsgálatra, mint egy szükséges rosszra, amit akár egy hatósági eljárás során büszkén lobogtathatnak, mondván, az előírásoknak azzal is megfelelnek, hogy létezik hatásvizsgálati dokumentumok. Érdemes a hatásvizsgálatot a gyakorlatban megvalósuló folyamatokra „ráültetni”, nem pedig a már meglévő eljárásrendeket radikálisan átalakítani a GDPR szövegének történő megfelelés érdekében. Mielőtt azonban egy vállalkozás nekilátna a feladatnak, érdemes az alábbi, gyakorlati kérdésekre választ találnia.

Kinek szükséges hatásvizsgálatot végeznie?

Egyrészt a Rendelet 35. cikke tartalmaz néhány példát, amikor az adatvédelmi hatásvizsgálat elvégzése kötelező – így profilalkotás esetén, személyes adatok különleges kategóriáira vonatkozóan, nyilvános helyek nagymértékű, módszeres megfigyelése során.

Másrészt, ha a vállalat tevékenysége nem esik a fenti felsorolásba, akkor köteles hatásvizsgálati eljárást kezdeményeznie, ha az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve. De mit is jelent a magas kockázat? Az adatvédelemmel foglalkozó európai uniós munkacsoport számos útmutatást adott ki ebben a tárgyban. Az iránymutatásokból, állásfoglalásokból kitűnik, hogy az elemzés során számos szempontot figyelembe kell venni, így például a kezelt adatok mennyiségét, mennyire szenzitívek ezek az adatok, az adatok alapján hoz-e valamilyen döntést az adatkezelő.

Az alábbi példákat emelném ki, melyek az adatkezelést egyértelműen magas kockázatúnak minősítik, és sokakat érintenek:

– a munkáltató a munkavállaló teljesítményét rendszeres értékelés alá veti, vagy megfigyeli az alkalmazott munkáját;

– az elektronikus áruház monitorozza regisztrált vásárlóinak korábbi megrendeléseit, és ez alapján ajánl fel újabb termékeket számára;

– a bank adatbázist épít arra vonatkozóan, hogy milyen mértékben, ütemben teljesít a hitelfelvevő, és ezt figyelembe veszi egy újabb hitelbírálati eljárás során;

– a munkaerő-közvetítő cég profilalkotást végez, ez alapján szűri jelöltjeit egy adott pozíció kapcsán;

– a vállalkozás új technológiát alkalmaz az ügyfeleivel (természetes személyekkel) való szerződéskötés során;

– az idősek otthona bentlakóira vonatkozóan kezel személyes adatot;

– online magazin a feliratkozókból levelező listát hoz létre és az e-mail-címekre hírösszefoglalókat küld.

A fentiek alapján érzékelhető, hogy nagyon sok esetben lesz szükség hatásvizsgálat elvégzésére. Mielőtt azonban minden egyes cég elkezdené a folyamatot, érdemes tájékozódni, nincs-e olyan, az iparágban már megalkotott magatartási kódex vagy más hasonló tevékenységű vállalkozás által nyilvánosságra hozott hatásvizsgálat, amelyet referenciaként használhat – időt és pénzt megtakarítva. Továbbá a felügyeleti hatóságnak ki kell majd adnia egy jegyzéket azon művelettípusokról, amire vonatkozóan kötelező lesz hatásvizsgálatot elvégezni. Tudomásunk szerint erről a listáról a tagállami hatóságok jelenleg is egyeztetnek.

Mikor szükséges elvégezni a hatásvizsgálatot?

Minden esetben az adatkezelés megkezdése előtt. Ha tehát egy cég személyes adatot kezel, akkor 2018. május 25-e előtt már köteles elvégezni a vizsgálatot.

[htmlbox gdpr_komm]

Sokszor merül fel kérdésként, hogyha egy cég már bejelentette adatkezelését a Nemzeti Adatvédelmi és Információbiztonság Hatóság (NAIH) felé, akkor is köteles lesz-e lefolytatni a hatásvizsgálatot. Álláspontunk szerint igen, mert a magyarországi hatósági nyilvántartás nem az adatkezelés jogszerűségét, csak annak tényét igazolja, az uniós rendelet előírása pedig az, hogyha korábban még nem vizsgálták, vagy hagyták jóvá az adatkezelés jogszerűségét, akkor az általános szabályok szerint kell eljárni.

Be kell-e jelenteni, közzé kell-e tenni a hatásvizsgálat elvégzését, eredményét?

Nincs az adatkezelőnek sem bejelentési, sem nyilvántartásba vételi kötelezettsége. Saját döntése alapján nyilvánosságra hozhatja a hatásvizsgálat eredményét, akár egy összefoglaló formájában is, ami növelheti a szerződéses partnerei bizalmát, ugyanakkor nem fenyegeti az adatbiztonságát, üzleti titkainak felfedését.

Összegezve látható, hogy már annak eldöntése, kell-e hatásvizsgálatot végezni, megkívánja az adatkezelőtől, hogy kompetens munkatársa segítségével vagy külső szolgáltató (pl. ügyvéd, IT-szakember) igénybevételével felmérje adatkezelési folyamatait és az új uniós szabályoknak (is) megfelelő eljárásrendet alakítson ki. Végezetül fontos megjegyezni, hogy ha egy cég nem is kötelezett hatásvizsgálat elkészítésére, attól függetlenül ugyanúgy követnie kell a Rendelet szabályait, vagyis személyes adatok kezelése esetén – mennyiségtől és szenzitivitástól függetlenül – be kell tartania az adatkezelőre vonatkozó előírásokat.

 

Olvassa el GDPR témában megjelent további cikkeinket is!


Kapcsolódó cikkek