GDPR – Adatvédelmi hatásvizsgálat


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.


A 2018. május 25-én hatályba lépő adatvédelmi rendelet (GDPR, Rendelet) már most is nagy hatással van az adatvédelem teljes területére, hiszen az új szabályoknak való megfelelésre a felkészülés igen nagy terheket ró az adatkezeléssel foglalkozó szervezetekre. A GDPR célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk, ilyen például az adatvédelmi hatásvizsgálat fogalma, amelyet a Rendelet vezet be.

Az adatvédelmi hatásvizsgálat célja

A Rendelet 24. cikk (1) bekezdése úgy rendelkezik, hogy „Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.”

A Rendelet fenti bekezdése tehát az adatkezelőket arra kötelezi, hogy a rendelkezések betartásának biztosítása érdekében megfelelő intézkedéseket tegyenek. Ez azt jelenti, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben az adatkezelőnek fel kell mérnie a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, amely magában foglalja az említett kockázat mérséklését, a személyes adatok védelmét, valamint a Rendeletnek való megfelelés bizonyítását célzó tervezett intézkedéseket, garanciákat és mechanizmusokat. Vagyis az adatvédelmi hatásvizsgálat egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik- e.

Az adatvédelmi hatásvizsgálat célja tehát alapvetően a természetes személyek jogait és szabadságait érintő kockázatok megfelelő kezelésének elősegítése, amelyhez legfőképp az alábbiak feltárása szükséges:

– az adatkezelés jellegének meghatározása;

– az adatkezelési műveletek szükségességének és arányosságának vizsgálata;

– annak feltárása, hogy milyen kockázatokkal lehet számolni és azok kezelésére milyen intézkedések szolgálhatnak.

A Rendelet 35. cikke felsorolja, különösen mely esetekben kell elvégezni az adatvédelmi hatásvizsgálatot; ilyen például a nyilvános helyek nagymértékű, módszeres megfigyelése, különösen abban az esetben, ha azt elektronikus optikai eszközök alkalmazásával hajtják végre

Milyen esetekben kötelező az adatvédelmi hatásvizsgálat elvégzése?

A Rendelet 35. cikke alapján adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

a.) amikor a személyes adatkezelés célja a természetes személyekkel kapcsolatos döntés meghozatala, méghozzá a természetes személyek személyes jellemzőinek szisztematikus, kiterjedt és automatizált értékelése alapján (pl. profilalkotás);

b.) a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok, mint a személyes adatok különleges kategóriáinak kezelése;

c.) a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy

d.) nyilvános helyek nagymértékű, módszeres megfigyelése, különösen abban az esetben, ha azt elektronikus optikai eszközök alkalmazásával hajtják végre.

Az adatvédelmi hatásvizsgálatok elvégzése a fentieken kívül még olyan egyéb műveletek esetében is kötelező lehet, amelyeknél az illetékes felügyeleti hatóság úgy ítéli meg, hogy az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen mivel megakadályozza, hogy az érintettek a jogaikat gyakorolják, vagy szolgáltatásokat vegyenek igénybe, illetve szerződést érvényesítsenek, esetleg mindössze azért, mert az említett műveletekre szisztematikusan és nagy számban kerül sor.

Vannak azonban kivételek

A Rendeletben kifejezésre juttatott kockázatalapú megközelítéssel összhangban azonban nem mindegyik adatkezelési művelet esetében kötelező adatvédelmi hatásvizsgálatot végezni. A 29. cikk alapján létrehozott adatvédelmi munkacsoport iránymutatása szerint a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik, ennél fogva ilyen esetekben az adatvédelmi hatásvizsgálatot nem kell kötelezővé tenni.

[htmlbox gdpr_komm]

Ám önmagában az a tény, hogy az adatvédelmi hatásvizsgálat elvégzésének kötelezettségét keletkeztető feltételek nem teljesülnek, semmit nem von le az adatkezelők ama általános kötelezettségéből, hogy intézkedéseket hajtsanak végre az érintettek jogait és szabadságait érintő kockázatok megfelelő kezelése érdekében. A gyakorlatban ez azt jelenti, hogy az adatkezelőknek folyamatosan értékelniük kell az adatkezelési tevékenységeikből eredő kockázatokat, hogy felismerjék, ha az adatkezelés valamely fajtája valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ezt a Rendelet 35. cikkének (11) bekezdése is alátámasztja, amely szerint „Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e”.

A mulasztás magas bírsággal járhat

A GDPR értelmében az adatvédelmi hatásvizsgálatra vonatkozó előírások be nem tartása esetén az illetékes felügyeleti hatóság bírságot szabhat ki. Ennek összege a Rendelet szerint legfeljebb tízmillió euró összegű közigazgatási bírság, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 százalékát kitevő összeg lehet, amelyek közül a magasabb összeget kell kiszabni.


Kapcsolódó cikkek

2024. november 19.

Több mint sportjog

A legendás professzorra emlékeztek a VI. Sárközy Tamás Sportjogi Konferencián.