Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az előző részben áttekintettük, hogy valójában mikor hatásvizsgálunk, mennyi időt igényel és ki végzi el valójában, ki vesz részt benne az adatkezelő szervezetén belül. Mai cikkünkben pedig partnerekről, a hatásvizsgálati szoftverekről és a hatásvizsgálattal elérhető célokról olvashatnak.
Partnerek (?) a hatásvizsgálatban
A hatásvizsgálat számos esetben túlmutat az adatkezelő szervezeti keretein.
Személyes tapasztalatom, hogy az adatfeldolgozók hozzáállása és módszerei tekintetében hatalmas a szórás és a kapott válaszok (több jellemző tapasztalatot is meg lehetett jelölni) is ezt mutatják.
A legtöbb adatfeldolgozó nem tesz semmit, amíg az adatkezelő nem vonja be őket, de akkor közreműködik a hatásvizsgálatban, a kitöltők negyede tapasztalt olyat adatfeldolgozói oldalról eljárva, hogy előre elkészített hatásvizsgálatot adtak a szolgáltatás mellé, és közösen egyeztették az egyedi sajátosságokat az adatkezelőkkel. Több kitöltő esetében fordult már elő, hogy nem vett részt a hatásvizsgálatban, mert az adatkezelők nem vonták be őket.
Úgyszintén több kitöltő nyilatkozott úgy, hogy a tulajdonképpen a teljes anyagot ők készítik, bizonyos esetben az adatkezelő csak így vesz meg egy szolgáltatást vagy nem foglalkozik magától a hatásvizsgálattal. Ez az adatkezelői hozzáállás nem megfelelő: az adatkezelő felelősségéből is következik, de a WP29 iránymutatás is rámutat az ilyen eseteknél, hogy a terméket üzembe helyező adatkezelő természetesen változatlanul köteles saját adatvédelmi hatásvizsgálatot végezni a konkrét megvalósításról, de ehhez adott esetben felhasználható a termék szolgáltatója által elvégzett adatvédelmi hatásvizsgálat.
Az adatfeldolgozók 65%-a díjazás nélkül, 35% viszont térítés ellenében vesz vagy venne részt hatásvizsgálatban.
Ezt a kérdés adatkezelőként szemlélve a következőképp alakult (többféle opció is megadható volt):
A kitöltők 30%-a nem vett részt még olyan hatásvizsgálatban, ahol adatfeldolgozó is érintett lett volna, 35% pedig eleve soha be se vonja őket.
Ha az adatkezelő olyan adatfeldolgozóval, dolgozott, aki részt vett a hatásvizsgálatban érdemben: vagy egy kérdőív kitöltése és egyeztetése vagy teljes közös munka eredményeként került sor a vizsgálatra.
A válaszadók 5%-a járt már úgy, hogy a bevont adatfeldolgozó egyáltalán nem működött együtt. Az esetek 15%-ában pedig nem olyan az adatkezelés jellege, hogy az adatfeldolgozó bevonható lenne (gondoljunk pl. a nagy techcégekre), ezek a hatásvizsgálatok értelemszerűen mindig hiányosak lesznek, mert az adatkezelő nem lesz birtokában minden szükséges információnak.
Közös adatkezelőként a kitöltők 60% -a szerint a hatásvizsgálatot jellemzően valamelyik fél „hozza”, 10%-a érzi kooperatívnak a munkát, a többi kitöltő nem volt még érintett a témában vagy nem volt a véleményt megalapozó tapasztalata.
A PIA szoftver
A kérdőívben adott válaszok alapján a módszert illetően a francia adatvédelmi hatóság (CNIL) által fejlesztett, magyar nyelven is elérhető PIA szoftver szinte teljesen egyeduralkodó, a kitöltők 50%-a ezt használja, és szinte mindenki más is erre alapozza a módszerét. Véleményem szerint gyakorlatban a szoftver használatán kívül többek között azért lehet szükség kiegészítő vizsgálatokra, mert az nem képes az egyes kockázatokat önállóan súlyozni, és így a végeredményen se mérhető, csak becsülhető az összkockázat változása egy tényező kiiktatása vagy csökkentése esetén. A végeredményként látható kockázati mátrixban pedig nem húzódik egyértelmű határt a vállalható és a nem vállalható kockázat között, nem ad egzakt támpontot az előzetes konzultáció szükségességéről.
Ha készül majd fordítás a már említett spanyol eszközhöz, elképzelhető, hogy számos adatkezelő áttér majd erre.
A DPIA utóélete
A kockázatok valós felmérésén és az adatkezelés megkezdése előtti enyhítésén túl a hatásvizsgálat másik értelme annak utóélete: a nyomonkövetés és a felülvizsgálat. A felülvizsgálat kötődhet módosításokhoz, illetve lehet időszakos is, pontosabban kötődhet bizonyos idő elteltéhez vagy egy esemény (adatvédelmi incidens bekövetkeztéhez).
A GDPR 35. cikk (11) bekezdése alapján az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
A kérdőívet kitöltők fele tapasztalja úgy, hogy egyáltalán nem készül a hatásvizsgálathoz intézkedési terv, 30% szerint igen, de nincs igazi utóélete, a maradék 20% az, aki készít tervet és követi is azt.
A felülvizsgálatot illetően rosszabb az arány a kitöltők 35%-a semmilyen körülmények között nem vizsgálja felül a hatásvizsgálatot, 20% csak az adatkezelésben bekövetkező változáskor, 35% csak időszakos felülvizsgálatot végez és csupán 10% vizsgálja felül módosításkor is és ütemezetten is.
A GDPR előtt már megkezdett adatkezelések kapcsán 40% jelezte, hogy még nincs minden hatásvizsgálva, de dolgoznak rajta, 35% egyáltalán nem készült el, 25% pedig naprakész ezek tekintetében.
Mit nyerünk általa?
A hatásvizsgálat kérdéskör legizgalmasabb része, hogy egy elméletben a jogalkotó által szükségesnek, hasznosnak ítélt eljárás ténylegesen segíti-e a személyes adatok védelmét és hasznára válik-e annak a folyamatnak, amelynek az adott adatkezelés a része.
A kitöltő kollégák 65%-a látja hatásvizsgálat gyakorlati hasznát, 35 % nem.
Mivel a cél a realitások feltárása, nem mehetünk el a többször egybecsengő (és a 35%-os arány mögött felsorakozó) rossz tapasztalatok mellett, vagyis, hogy az adatkezelő hozzáállása az, hogy a hatásvizsgálat felesleges, puszta formalitás, nincs komolyan véve, és ellenőrizve, bármi lesz az eredménye, nincs meg a szándék az eredetileg tervezett folyamat megváltoztatására, a menet közben felbukkanó, előzetesen nem látott problémákra nem keresnek megoldást: így nem teljesíti a jogalkotó eredeti szándékát, csak plusz költséget jelent.
A jó tapasztalatok között éppen ezért többen jelölték meg a hatásvizsgálat előnyeként, hogy igazi csapatmunka a területek között, több szervezeti egység bevonása által párbeszéd alakulhat ki az adatvédelmi kérdéseket maguktól fel nem ismerő kollégákkal, a folyamatok átbeszélése gyakran nemcsak adatvédelmi szempontból lényeges, hanem segítséget nyújt egyéb problémák, megoldandó feladatok felderítéséhez is. Az adatfeldolgozói szerződések megkötése is sokkal gördülékenyebb egy jó hatásvizsgálat nyomán. A DPO itt többletinformációkhoz juthat, technikai fronton is, amihez akkor nem jutna, ha nem ásnák bele magukat ilyen mélyen a témába. Az üzletnek is jó, mert üzleti kockázatokat is képes feltárni, mélyebb elemzésre kényszerít, mint egy hagyományos előkészítés.
A képet árnyalhatja, hogy akár az adatkezelő szervezetén belül is lehet eltérő a területek hozzáállása.
Ugyanakkor a kitöltők 80%-a nyilatkozott úgy, hogy a hatásvizsgálat feltárt valamilyen (nem feltétlenül adatkezelési) hibát a folyamatban.
Saját tapasztalat alapján adatvédelmi tisztviselőként éppen ennek a láttatása, a területek érdekeltté tétele a fontos hiszen a hatásvizsgálat – ahogy fent már szó esett róla – adatvédelmi szempontból ideális esetben egy kerekasztal, ahol a valós folyamat tükrében tekintik át a kulcsszereplők jogi (alapelvi) megfelelőséget, a tervezett kockázatcsökkentő intézkedéseket és a kockázatokat. Ha ekként tudjuk szemlélni, akkor működést támogató dokumentum lehet belőle és nem a fióknak készül.
dr. Csekő Katalin
Adatvédelmi tisztviselő
főtitkár – Magyar Adatvédelmi Tudatosságért Társaság Egyesülete
