Így hatásvizsgálunk mi, avagy adatvédelmi hatásvizsgálat a gyakorlatban I. rész


Kétrészes cikksorozatunk első részében áttekintjük, hogy valójában mikor hatásvizsgálunk, mennyi időt igényel és ki végzi el valójában, ki vesz részt benne az adatkezelő szervezetén belül.


A GDPR[1] 35. cikk (3) bekezdése és az Infotv[2]. 25/G.§ egyaránt meghatározza, hogy mely esetekben szükséges adatvédelmi hatásvizsgálatot végezni. A WP248 számú Iránymutatás[3] foglalkozik a hatásvizsgálat mikéntjével és meghatározza annak szerepét. Eszerint az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával. Az adatvédelmi hatásvizsgálatok az elszámoltathatóság szempontjából is jelentőséggel bírnak, ugyanis nemcsak az általános adatvédelmi rendelet előírásainak teljesítését könnyítik meg az adatkezelők számára, de a rendelet betartása érdekében hozott megfelelő intézkedések végrehajtásának bizonyítását is. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiadott „kötelező hatásvizsgálati lista” szintén támpontot ad az adatkezelők számára.

A recept tehát elvileg adott, de mivel főzünk valóban a hétköznapokban?

Mint gyakorló adatvédelmi tisztviselőt, aki túl van már több ilyen vizsgálaton, kiemelten érdekelt, hogy mit tapasztaltak a kollégák ebben a témában az elmúlt három és fél évben, hogyan érvényesül a jogalkotói akarat a gyakorlatban. Ezért nemcsak saját tapasztalataimra, hanem egy anonim kérdőívre[4] hagyatkozva vizsgáltam meg a témát. Bár a ténylegesen tevékenykedő DPO-knak csak töredéke is a kitöltők száma, az eredmények tanulságosak.

Milyen esetekben hatásvizsgálunk a gyakorlatban?

A valószínűsíthetően magas kockázatot jelentő adatkezelések esetén van erre szükség. A valószínűsíthetően magas kockázat fogalma azonban nincs egzakt módon meghatározva, így a biztos pont, amihez nyúlhatunk, az eredendően magas kockázatot jelentő adatkezelési célokat, vagyis a kötelező hatásvizsgálati esetköröket tartalmazó lista, melyet a NAIH honlapján bárki megtekinthet.

A kérdőív kitöltői is nagyrészt akkor végeznek hatásvizsgálatot, ha ezek valamelyike képezi a tervezett adatkezelés tárgyát, elenyésző arányban történik hatásvizsgálat ezeken az eseteken kívül (a kitöltők 5%-ánál). Mivel sajnos nem készült olyan lista a NAIH által, hogy mely esetekben nincs szükség hatásvizsgálatra, a „kötelezőkön” kívül – figyelemmel a WP29 iránymutatásra is – tulajdonképpen az adatkezelőre van bízva, hogy milyen folyamatokat von hatásvizsgálat alá.

A következő grafikonból látható, hogy a kitöltők milyen arányban végeztek hatásvizsgálatot a NAIH kötelező hatásvizsgálat tárgyát képező adatkezelések listáján szereplő adatkezelési célok tekintetében.

Előrelépést jelenthet e téren, hogy a spanyol adatvédelmi hatóság (AEPD) az idei nyár folyamán útmutatót[5] adott ki a hatásvizsgálatok elvégzésének támogatására, illetve bemutatta az „Evaluate-Risk GDPR[6]” eszközt. Az eszköz segít azonosítani az érintettek jogait és szabadságait fenyegető kockázatokat, a kockázat első (hatásvizsgálatot megelőző) értékelését, ideértve a hatásvizsgálat elvégzésének szükségességét és a fennmaradó kockázat becslését, vagyis azt, hogy előzetes konzultáció szükséges vagy sem.

Mikor kezd(j)ünk bele?

A hatásvizsgálat jellegéből adódóan természetesen az adatkezelés megkezdését megelőzően van erre szükség, figyelemmel a beépített és alapértelmezett adatvédelem elvére.

Azonban sem a jogszabályok, sem a WP29 iránymutatás alapján nem fogjuk megtudni, mennyi is az az időfaktor, amivel számolnunk kell. Azzal tudnánk kiindulópontként kalkulálni, hogy a DPO megfelelő időben történő bevonása kötelező, így az ő kapacitásához mérjük ezt, de így rossz nyomon járnánk. A hatásvizsgálat pont nem egy one man show, tehát szükségünk lesz több olyan időpontra, amikor minden résztvevő elérhető, illetve a személyesen be nem vont területek (pl. külsős partnerek) megküldik a szükséges információkat. A hatásvizsgálat időigényességét egy kitöltő emelte ki nehézségként, 2-3 hétben megjelölve az időtartamot. Személyes tapasztalatom alapján ez egy még -akár a hatásvizsgálatnak köszönhetően is – formálódó folyamat vagy bonyolult projekt esetén akár 2-3 hónapos időt is igényelhet, továbbá az idő előrehaladtával a hatásvizsgálat még többször módosításra is szorulhat, mire a projekt lezárul.

Az időtényezőnél figyelemmel kell lennünk az esetleges előzetes konzultáció (akkor szükséges, ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár) időtartamára (8 + 6 hét) is, ha ezzel eleve számolunk, jócskán meghosszabbodhat az az idő, amikor ténylegesen megkezdhető az adatkezelés.

Az időtényezőt valószínűleg rendszeresen alátervezzük: a kitöltők 70%-a szerint nem mindig készül el a hatásvizsgálat az adatkezelés megkezdése előtt, 15%- szerint inkább nem készül el, mint igen, a 10% esetén soha, és csupán 5%, aki eddig minden ügyében időben lezárta a hatásvizsgálatot.

A kérdőívet kitöltők 10%-a végzett már olyan hatásvizsgálatot, amelyet előzetes konzultációra kellett vinni, de figyelemmel a hatásvizsgálat lezárási idejére ez korántsem valószínűsíti azt, hogy valóban csak ezeknél az adatkezelőknél lett volna ez indokolt.

GDPR

Ki végzi valójában?

A GDPR nem a DPO-t jelöli ki a hatásvizsgálat elvégzésére – a 35. cikk (2)   bekezdése alapján ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni, a 39. cikk (1) bekezdés  c) pontja alapján az adatvédelmi tisztviselő kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését – , inkább tanácsadói, megfigyelői szerepet szán neki. Álláspontom szerint azonban a DPO proaktivitása és aktív részvétele nélkül a hatásvizsgálat nem készül el, ugyanakkor az adatkezelést magában hordozó folyamat résztvevői nélkül a vizsgálat soha nem fog valós alapokon nyugodni. A kérdőív alapján legjellemzőbb résztvevői az adatkezelő terület, a DPO és az IT biztonságért felelős terület.

A fentiek fényében sajnálatos, hogy a kérdőív kitöltőinek 70%-a jelölte azt az opciót, hogy gyakorlatilag ő mint DPO készíti el a hatásvizsgálatot, a többi 30% inkább koordinálja azt, és senki nem nyilatkozott úgy, hogy csak véleményezőként kerül bele a folyamatba.

Ugyanakkor a DPO-k 80%-a érzi úgy, hogy korrekciós javaslatait figyelembe veszik az adatkezelők.

A folytatásban szó esik a partnerek szerepéről, a hatásvizsgálat uralkodó eszközéről, utóéletéről és gyakorlati hasznáról.

dr. Csekő Katalin

Adatvédelmi tisztviselő

főtitkár – Magyar Adatvédelmi Tudatosságért Társaság Egyesülete

[1] AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről

[2] az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

[3] az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e)

[4] A kérdőívem 20 fő válaszait tartalmazza, 12 belsős (alkalmazott) DPO és 8 külsős (tanácsadó vagy ügyvéd) válaszait. A kitöltők közül mindenki részt vett már hatásvizsgálatban (önálló) adatkezelői oldalon, 30%-adatfeldolgozói, 20%-uk közös adatkezelői oldalon is. A kérdések egy részére több opció is választható volt, így nem minden esetben adnak ki az egyes válaszok együttesen 100%-ot

[5] https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf

[6] https://www.aepd.es/es/guias-y-herramientas/herramientas/evalua-riesgo-rgpd




Kapcsolódó cikkek

2021. november 30.

A kizáró okok szabályozása a közbeszerzési eljárásban – 11. rész

A Wolters Kluwer Hungary gondozásában, dr. Dezső Attila szerkesztésében megjelenő, Nagykommentár a közbeszerzési törvényhez című könyv a korábbi kommentár jelentősen átdolgozott és kibővített változata. A könyv célja, hogy részletesen és teljeskörűen feldolgozza a közbeszerzési törvény szabályozását és fogalomrendszerét a Kbt. és a kapcsolódó jogszabályok közötti összefüggésekre is kitérve, valamint kimerítő jelleggel bemutassa az elmúlt időszak joggyakorlatát, nagy hangsúlyt fektetve nemcsak a hazai döntőbizottsági és bírósági, hanem az uniós jogalkalmazói gyakorlatra is. Ezúttal a kizáró okok szabályozásáról olvashatnak egy részletet.

2021. november 30.

Évi 52 költözés? Gondolatok a váltott gondoskodásról

Minden európai uniós tagállamban – így Magyarországon is – óriási vitákat keltett a váltott gondoskodást elrendelő bírósági döntés lehetőségének bevezetése. De vajon helye van ezekben a témákban az ideológiai vitáknak, vagy az empirikus kutatások adnak iránymutatást?