Így hatásvizsgálunk mi, avagy adatvédelmi hatásvizsgálat a gyakorlatban I. rész

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Kétrészes cikksorozatunk első részében áttekintjük, hogy valójában mikor hatásvizsgálunk, mennyi időt igényel és ki végzi el valójában, ki vesz részt benne az adatkezelő szervezetén belül.

A GDPR[1] 35. cikk (3) bekezdése és az Infotv[2]. 25/G.§ egyaránt meghatározza, hogy mely esetekben szükséges adatvédelmi hatásvizsgálatot végezni. A WP248 számú Iránymutatás[3] foglalkozik a hatásvizsgálat mikéntjével és meghatározza annak szerepét. Eszerint az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával. Az adatvédelmi hatásvizsgálatok az elszámoltathatóság szempontjából is jelentőséggel bírnak, ugyanis nemcsak az általános adatvédelmi rendelet előírásainak teljesítését könnyítik meg az adatkezelők számára, de a rendelet betartása érdekében hozott megfelelő intézkedések végrehajtásának bizonyítását is. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiadott „kötelező hatásvizsgálati lista” szintén támpontot ad az adatkezelők számára.

A recept tehát elvileg adott, de mivel főzünk valóban a hétköznapokban?

Mint gyakorló adatvédelmi tisztviselőt, aki túl van már több ilyen vizsgálaton, kiemelten érdekelt, hogy mit tapasztaltak a kollégák ebben a témában az elmúlt három és fél évben, hogyan érvényesül a jogalkotói akarat a gyakorlatban. Ezért nemcsak saját tapasztalataimra, hanem egy anonim kérdőívre[4] hagyatkozva vizsgáltam meg a témát. Bár a ténylegesen tevékenykedő DPO-knak csak töredéke is a kitöltők száma, az eredmények tanulságosak.

Milyen esetekben hatásvizsgálunk a gyakorlatban?

A valószínűsíthetően magas kockázatot jelentő adatkezelések esetén van erre szükség. A valószínűsíthetően magas kockázat fogalma azonban nincs egzakt módon meghatározva, így a biztos pont, amihez nyúlhatunk, az eredendően magas kockázatot jelentő adatkezelési célokat, vagyis a kötelező hatásvizsgálati esetköröket tartalmazó lista, melyet a NAIH honlapján bárki megtekinthet.

A kérdőív kitöltői is nagyrészt akkor végeznek hatásvizsgálatot, ha ezek valamelyike képezi a tervezett adatkezelés tárgyát, elenyésző arányban történik hatásvizsgálat ezeken az eseteken kívül (a kitöltők 5%-ánál). Mivel sajnos nem készült olyan lista a NAIH által, hogy mely esetekben nincs szükség hatásvizsgálatra, a „kötelezőkön” kívül – figyelemmel a WP29 iránymutatásra is – tulajdonképpen az adatkezelőre van bízva, hogy milyen folyamatokat von hatásvizsgálat alá.

A következő grafikonból látható, hogy a kitöltők milyen arányban végeztek hatásvizsgálatot a NAIH kötelező hatásvizsgálat tárgyát képező adatkezelések listáján szereplő adatkezelési célok tekintetében.

Előrelépést jelenthet e téren, hogy a spanyol adatvédelmi hatóság (AEPD) az idei nyár folyamán útmutatót[5] adott ki a hatásvizsgálatok elvégzésének támogatására, illetve bemutatta az „Evaluate-Risk GDPR[6]” eszközt. Az eszköz segít azonosítani az érintettek jogait és szabadságait fenyegető kockázatokat, a kockázat első (hatásvizsgálatot megelőző) értékelését, ideértve a hatásvizsgálat elvégzésének szükségességét és a fennmaradó kockázat becslését, vagyis azt, hogy előzetes konzultáció szükséges vagy sem.

Mikor kezd(j)ünk bele?

A hatásvizsgálat jellegéből adódóan természetesen az adatkezelés megkezdését megelőzően van erre szükség, figyelemmel a beépített és alapértelmezett adatvédelem elvére.

Azonban sem a jogszabályok, sem a WP29 iránymutatás alapján nem fogjuk megtudni, mennyi is az az időfaktor, amivel számolnunk kell. Azzal tudnánk kiindulópontként kalkulálni, hogy a DPO megfelelő időben történő bevonása kötelező, így az ő kapacitásához mérjük ezt, de így rossz nyomon járnánk. A hatásvizsgálat pont nem egy one man show, tehát szükségünk lesz több olyan időpontra, amikor minden résztvevő elérhető, illetve a személyesen be nem vont területek (pl. külsős partnerek) megküldik a szükséges információkat. A hatásvizsgálat időigényességét egy kitöltő emelte ki nehézségként, 2-3 hétben megjelölve az időtartamot. Személyes tapasztalatom alapján ez egy még -akár a hatásvizsgálatnak köszönhetően is – formálódó folyamat vagy bonyolult projekt esetén akár 2-3 hónapos időt is igényelhet, továbbá az idő előrehaladtával a hatásvizsgálat még többször módosításra is szorulhat, mire a projekt lezárul.

Az időtényezőnél figyelemmel kell lennünk az esetleges előzetes konzultáció (akkor szükséges, ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár) időtartamára (8 + 6 hét) is, ha ezzel eleve számolunk, jócskán meghosszabbodhat az az idő, amikor ténylegesen megkezdhető az adatkezelés.

Az időtényezőt valószínűleg rendszeresen alátervezzük: a kitöltők 70%-a szerint nem mindig készül el a hatásvizsgálat az adatkezelés megkezdése előtt, 15%- szerint inkább nem készül el, mint igen, a 10% esetén soha, és csupán 5%, aki eddig minden ügyében időben lezárta a hatásvizsgálatot.

A kérdőívet kitöltők 10%-a végzett már olyan hatásvizsgálatot, amelyet előzetes konzultációra kellett vinni, de figyelemmel a hatásvizsgálat lezárási idejére ez korántsem valószínűsíti azt, hogy valóban csak ezeknél az adatkezelőknél lett volna ez indokolt.

Ki végzi valójában?

A GDPR nem a DPO-t jelöli ki a hatásvizsgálat elvégzésére – a 35. cikk (2)   bekezdése alapján ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni, a 39. cikk (1) bekezdés  c) pontja alapján az adatvédelmi tisztviselő kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését – , inkább tanácsadói, megfigyelői szerepet szán neki. Álláspontom szerint azonban a DPO proaktivitása és aktív részvétele nélkül a hatásvizsgálat nem készül el, ugyanakkor az adatkezelést magában hordozó folyamat résztvevői nélkül a vizsgálat soha nem fog valós alapokon nyugodni. A kérdőív alapján legjellemzőbb résztvevői az adatkezelő terület, a DPO és az IT biztonságért felelős terület.

A fentiek fényében sajnálatos, hogy a kérdőív kitöltőinek 70%-a jelölte azt az opciót, hogy gyakorlatilag ő mint DPO készíti el a hatásvizsgálatot, a többi 30% inkább koordinálja azt, és senki nem nyilatkozott úgy, hogy csak véleményezőként kerül bele a folyamatba.

Ugyanakkor a DPO-k 80%-a érzi úgy, hogy korrekciós javaslatait figyelembe veszik az adatkezelők.

A folytatásban szó esik a partnerek szerepéről, a hatásvizsgálat uralkodó eszközéről, utóéletéről és gyakorlati hasznáról.

dr. Csekő Katalin

Adatvédelmi tisztviselő

főtitkár – Magyar Adatvédelmi Tudatosságért Társaság Egyesülete

[1] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről

[2] az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

[3] az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e)

[4] A kérdőívem 20 fő válaszait tartalmazza, 12 belsős (alkalmazott) DPO és 8 külsős (tanácsadó vagy ügyvéd) válaszait. A kitöltők közül mindenki részt vett már hatásvizsgálatban (önálló) adatkezelői oldalon, 30%-adatfeldolgozói, 20%-uk közös adatkezelői oldalon is. A kérdések egy részére több opció is választható volt, így nem minden esetben adnak ki az egyes válaszok együttesen 100%-ot

[5] https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf

[6] https://www.aepd.es/es/guias-y-herramientas/herramientas/evalua-riesgo-rgpd

---