hello@compactszolg.hu
+36 30 446 2562

Az adatvédelmi hatásvizsgálat

18/04/2023

Ha elolvastad az adatvédelmi tisztviselő szolgáltatással kapcsolatos oldalamat, akkor biztos, hogy láttad az adatvédelmi hatásvizsgálat kifejezést, esetleg korábban már hallottál róla, de nem tudod mit is jelent valójában.

Lényegében az adatvédelmi hatásvizsgálat a személyes adatok kezelésének az érintettekre gyakorolt negatív hatását vizsgálja, feltárja az adatkezelésből eredő kockázatokat és azokat kezeli.

A "kockázat" olyan eshetőség, amely a súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit. A "kockázatkezelés" viszont a szervezet kockázati vonatkozású irányítására és ellenőrzésére szolgáló összehangolt tevékenységek összességeként határozható meg.

Az hogy a GDPR alkalmazásában mit tekintünk kockázatnak, arra segítségül szolgál a GDPR [75] preambulumbekezdése, ami felsorolásszerűen rögzíti, hogy az adatvédelmi szempontból releváns kockázatok elsősorban miből származhatnak. Ez a felsorolás nem kimerítő jellegű, de mindenesetre felsorolja azokat az eseteket, amikor eredendően kockázatos a személyes adatok kezelése, ha az alábbi jellemzők közül egy is fennáll:

  1. A (nem megfelelő) adatkezelés eredménye lehet fizikai, vagyoni, nem vagyoni kár. 
  2. Abból hátrányos megkülönböztetés származhat. 
  3. Abból személyazonosság-lopás, vagy személyazonossággal való visszaélés következhet. 
  4. Szakmai titoktartási kötelezettség által védett személyes adat bizalmas jellegének sérülése következhet be. 
  5. Az álnevesítés engedély nélküli feloldása következhet be. 
  6. Gazdasági vagy szociális hátrányt okozhat a (nem megfelelő) adatkezelés. 
  7. Az érintettek az adatkezeléssel összefüggésben nem gyakorolhatják jogaikat. 
  8. Az érintettek nem rendelkezhetnek saját személyes adataik felett.  
  9. Olyan személyes adatok kezelése történik, amely faji vagy etnikai származásra vagy politikai véleményre, vallási, illetve világnézeti meggyőződésre, szakszervezeti tagságra utalnak (a személyes adatok különleges kategóriái). 
  10. Ugyancsak ide tartozik, ha az adatkezelés genetikai adatokra, egészségügyi adatokra, a szexuális életre, a büntetőjogi felelősség megállapítására vonatkozik. 
  11. Végül, ha személyes jellemzők értékelésére, így a munkahelyi teljesítmény, gazdasági helyzet, egészségi állapot, személyes preferenciák, érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére és előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából (tulajdonképp profilalkotásra kerül sor az adatokkal). 

A kockázatok kezelése történhet technikai intézkedések útján (informatikai, szoftveres és hardveres védelem, titkosítás stb.) és szervezési intézkedés útján (eljárásrend, kézikönyvek belső utasítások, jogosultság kiosztás és nyilvántartás stb.).

Az adatvédelmi hatásvizsgálatot az adatkezelő folytatja le, és amennyiben van kijelölt adatvédelmi tisztviselő, akkor az adatkezelő köteles kikérni az adatvédelmi tisztviselő szakmai álláspontját, illetve a hatásvizsgálat során folyamatosan egyeztetni a tisztviselővel.

Tehát az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával.

Az általános adatvédelmi rendelet értelmében az adatvédelmi hatásvizsgálatra vonatkozó előírások be nem tartása esetén az illetékes felügyeleti hatóság bírságot szabhat ki. Amennyiben az adatkezelést kötelező adatvédelmi hatásvizsgálatnak alávetni, annak elmulasztása, helytelen elvégzése, vagy szükség esetén az illetékes felügyeleti hatósággal való egyeztetés elmulasztása közigazgatási bírsággal sújtható.

A fentiekből is következik, hogy nem szabad "félvállról" venni adatkezelőként a kérdést.

Nem minden adatkezeléshez szükséges adatvédelmi hatásvizsgálatot lefolytatni. A hatásvizsgálat lefolytatása akkor kötelező, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

Mit jelent a valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve?

Azt, hogy az adatkezelés az adatvédelemhez és a magánélet tiszteletben tartásához való joghoz kapcsolódik, de érinthet más alapvető jogokat, úgymint a szólásszabadságot, a gondolatszabadságot, a mozgás szabadságát, a hátrányos megkülönböztetés tilalmát, a szabadsághoz való jogot, valamint a lelkiismereti és vallásszabadságot is.

Az adatkezelőknek folyamatosan értékelniük kell az adatkezelési tevékenységeikből eredő kockázatokat, hogy felismerjék, ha az adatkezelés valamely fajtája "valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve".

A természetes személyek jogait és szabadságait érintő kockázatok viszont csak akkor kezelhetők, ha rendszeresen beazonosítják, elemzik, felmérik, értékelik, orvosolják (például csökkentik stb.) és felülvizsgálják őket. Az adatkezelők nem bújhatnak ki felelősségük alól azzal, hogy biztosításokat kötnek a kockázatokra.

A fenti felsorolásban szereplő jellemzők a GDPR szerint eleve kockázatosnak minősülnek. Az adatkezelőnek kell megállapítani a kockázatosság fokát.  Az adatkezelőnek tehát a felsorolásban szereplő körülmények fennállása esetén még nem biztos, hogy mindenképpen el kell végeznie az adatkezelés megkezdése előtt a hatásvizsgálatot, mivel az csak a "magas kockázatú" adatkezeléseknél kötelező. 

Mindenesetre, ha az adatkezelő a felsorolásban szereplő tényezőt is magában foglaló adatkezelést szeretné kialakítani, mindenképpen meg kell vizsgálnia, hogy nincs-e hatásvizsgálati kötelezettsége. Ilyen lehet például, hogy a fenti elemek mellett egy másik kockázatot növelő tényező is megvalósul, például nagyszámú személyes adat kezelése.

Nézzük mikor kötelező az adatvédelmi hatásvizsgálat.

Az általános adatvédelmi rendelet három esetet határoz meg, amikor a hatásvizsgálat elvégzése biztosan kötelező, ezek az adatkezelések tehát eleve magas kockázatúnak minősülnek. Megjegyzendő, hogy ez a felsorolás kimerítő jellegű.

a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b) a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy

c) nyilvános helyek nagymértékű, módszeres megfigyelése.

Ilyen például az automatikus hitelképesség vizsgálata, amikor az adatok feldolgozása után az algoritmus elutasítja a kérelmező hitelkérelmét, vagy az egészségügyi intézmények által a felvett betegek állapotára, vizsgálati eredményekre, diagnózisokra vonatkozó személyes adatok.

Valamint a 95/46/EK irányelv 29. cikke alapján létrejött adatvédelmi munkacsoport WP 248 rev.01 iránymutatása  összesen kilenc olyan esetet sorol fel, amelyek szinte minden esetben valószínűsíthetően magas kockázattal járó adatkezelést eredményeznek.

Az iránymutatás a következő linken elérhető magyar nyelven

https://naih.hu/files/WP248_rev01_hu.pdf

Ezen kívül a magyar felügyeleti hatóság (NAIH) honlapján közzétette azokat a további adatkezeléseket, amelyek esetén szintén kötelező az adatvédelmi hatásvizsgálat lefolytatása.

Néhány példa a listáról.

Pontozás. Az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.

Hitelképesség értékelése. Az adatkezelés célja, hogy az érintett hitelképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.

Fizetőképesség értékelése. Az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.

Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés meghozatalánál.

Diákok, hallgatók személyes adatainak értékelésre való felhasználása. Az adatkezelés célja a diákok, hallgatók felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.

Profilozás. Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik.

Csalás elleni fellépés. Az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.

Okosmérők. Az adatkezelés célja közműszolgáltatók által telepített "okosmérők" alkalmazása (fogyasztási szokások nyomon követése).

Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal.Az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.

Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera).

Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.

Munkavállaló munkájának megfigyelése. Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.

A közzétett listában szereplő adatkezelési műveleteken túl az adatkezelőknek általános kötelezettsége az általa folytatott adatkezelések vonatkozásában az adatvédelmi kockázatok felmérése és a megfelelő kockázatkezelés.

A listán szereplő adatkezelések nem jelentik azt, hogy csak ezekben az esetekben kell az adatkezelőnek hatásvizsgálatot lefolytatnia. Ezenfelül akkor is szükség lehet adatvédelmi hatásvizsgálatra, ha az adatkezelési műveletekből eredő kockázatok megváltoznak, például azért, mert új technológiákat kezdenek el használni, vagy a személyes adatokat eltérő célra használják fel.

Az adatkezelési műveletek gyorsan átalakulhatnak, és új sebezhetőségek merülhetnek fel. Ezért megjegyzendő, hogy az adatvédelmi hatásvizsgálat felülvizsgálata nemcsak a folyamatos fejlődés szempontjából hasznos, de az idővel változó környezetben az adatvédelem szintjének fenntartásához is elengedhetetlen.

Akkor is szükségessé válhat az adatvédelmi hatásvizsgálat, ha az adatkezelési tevékenység szervezeti vagy társadalmi körülményei megváltoznak, például bizonyos automatizált döntések hatása felerősödik, vagy érintettek új kategóriái válnak kiszolgáltatottá a hátrányos megkülönböztetéssel szemben.

Mindegyik említett példa olyan tényező lehet, amely az adott adatkezelési tevékenységből eredő kockázatok megváltozásához vezet. Ugyanakkor bizonyos változások csökkenthetik is a kockázatokat. Az adatkezelési művelet például átalakulhat úgy, hogy a döntések már nem automatizáltan születnek, vagy a megfigyelési tevékenység már nem módszeresen zajlik.

Ez esetben az elvégzett kockázatelemzés felülvizsgálata kimutathatja, hogy már nincs szükség adatvédelmi hatásvizsgálatra. Az adatvédelmi hatásvizsgálatot érdemes folyamatosan felülvizsgálni, és rendszeresen újraértékelni.

Hogyan kell a hatásvizsgálatot elvégezni?

Az általános adatvédelmi rendelet szerinti adatvédelmi hatásvizsgálat az érintettek jogait érintő kockázatok kezelésére szolgál, így az ő szemszögükből készül.

Az általános adatvédelmi rendelet rugalmasságot biztosít az adatkezelők számára abból a szempontból, hogy saját belátásuk szerint határozhatják meg az adatvédelmi hatásvizsgálat pontos felépítését és formáját, így igazodhatnak a már meglévő munkamódszereikhez.

A francia adatvédelmi hatóság (Commission Nationale de l'Informatique et des Libertés, a továbbiakban: CNIL) közzétett egy nyílt forráskódú szoftvert (eredeti elnevezéssel: "PIA software"), amellyel az adatkezelők könnyen elkészíthetnek egy adatvédelmi hatásvizsgálatot. A szoftver magyar nyelven is elérhető, letölthető és webesen is futtatható.

https://naih.hu/hatasvizsgalati-szoftver

Például a szoftver használatával is elvégezhető az adatvédelmi hatásvizsgálat.

Lényegében bármely módszer alkalmas lehet, ami megfelel bizonyos kritériumoknak. Ilyen kritériumokat fogalmazott meg a 95/46/EK irányelv 29. cikke alapján létrejött adatvédelmi munkacsoport WP 248 rev.01 iránymutatása, amit a GDPR hatálya alatt is figyelembe kell venni.

Mikor kell elvégezni az adatvédelmi hatásvizsgálatot?

Még az adatkezelés tervezési szakaszában, tehát az adatkezelés megkezdését megelőzően. Viszont nem elegendő egyszer elvégezni a hatásvizsgálatot, azt a rendszeresen felül kell vizsgálni. Ha változik az adatkezelés módja vagy technikai, szervezési változás történik, akkor felül kell vizsgálni a hatásvizsgálatban korábban rögzített körülményeket és azonosító kell az új technológia vagy eljárásrend természetes személyek jogaira gyakorolt hatását. 

Nyilvánosságra kell hozni az adatvédelmi hatásvizsgálatot?

Az általános adatvédelmi rendelet nem követeli meg az adatvédelmi hatásvizsgálat nyilvánosságra hozatalát, erről az adatkezelő saját belátása szerint dönt. Az adatkezelőknek azonban érdemes mérlegelniük a legalább a hatásvizsgálat egyes részeinek közzétételét, például összefoglaló vagy következtetések formájában.


Jelen ismeretanyag nem teljes körű és nem minősül szakmai állásfoglalásnak vagy tanácsadásnak. Jelen ismeretanyag az adatkezelők/adatfeldolgozók alapvető tájékozódását szolgálja.