A cikk a MADAT (Magyar Adatvédelmi Tudatosságért Társaság Egyesülete) Data Facto adatműhelyének előadásán elhangzott anyagból készült. A MADAT, melynek tagjai közé tartozom magam is, egy szakmai barátságokon alapuló kis csoportból nőtte ki magát, és alakult meg egyesületi formában 2016-ban. Célunk az adatvédelem, adatbiztonság és az információszabadság területén tevékenykedő szakemberek összegyűjtése. Rendszeres szakmai műhelyeinken lehetőséget biztosítunk mindenki számára a közös gondolkodásra, véleménycserére. Szakmai anyagok kiadásával, konferenciák, továbbképzések szervezésével az adatvédelmi tudatosság növelését szeretnénk elérni.
Az előzetes adatvédelmi hatásvizsgálat egy alkalmazott eljárás adott adatkezelés esetleges kockázatainak felmérésére és a feltárt kockázatok mértékéhez igazodó intézkedések megtételére. Az európai adatvédelmi rendelet [az európai parlament és a tanács (eu) 2016/679 rendelete] által Magyarországon is kötelezően alkalmazandó eljárás lesz 2018. május 25-e után. Ez az új kötelezettség jól kifejezi az Unió azon törekvését, hogy az adatkezelések kapcsán már a kezdetektől megjelenjen a beépített és alapértelmezett adatvédelem és az ún. elszámoltathatóság elve.
Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.
Összefoglalva tehát a hatásvizsgálat egy célzott eljárás, mely kiterjed az adatkezelés:
1. jellegének feltárására;
2. szükségességének és arányosságának vizsgálatára;
3. adatkezelésből eredő kockázatok kezelésére.
Segítségünkre a Rendelet 35. cikke lesz, mely pontosan meghatározza azon esetek körét, amikor ezzel a technikával kell élnünk:
"ha az adatkezelés valamely - különösen új technológiákat alkalmazó - típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. [...]"
Annak eldöntése során tehát, hogy szükséges-e adatvédelmi hatásvizsgálatot végezni elsődlegesen azt kell vizsgálni, hogy mit jelent a Rendelet vonatkozásában a "kockázat", illetve a "magas kockázat" fogalma. Erre választ a Rendelet és a WP29-es munkacsoport (Rendelet 29-es cikk szerinti munkacsoportja) iránymutatásában [Wp248 Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában "valószínűsíthetően magas kockázattal jár"-e] találunk (pl.: automatizált adatkezelés, ideértve a profilozást is; nyilvános helyek nagymértékű, módszeres megfigyelése, személyes adatok különleges kategóriái; új technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása: az ujjlenyomat- és az arcfelismerés együttes használata).
Minél több kritériumnak felel meg az adatkezelés, annál nagyobb a valószínűsége annak, hogy az adatkezelés magas kockázattal jár az érintettek jogaira és szabadságaira nézve, ezért pedig szükségessé teszi az adatvédelmi hatásvizsgálat elvégzését.
Az adatvédelmi hatásvizsgálat eredményéről előzetesen konzultálni kell a felügyeleti hatósággal (Magyarországon ez a NAIH, Nemzeti Adatvédelmi és Információszabadság Hatóság), ha a fennmaradó kockázatok továbbra is jelentősek. Ez a gyakorlatban azt jelenti, hogy az érintettek jogait és szabadságait érintő kockázatok adatkezelő által történt értékelését követően az adatkezelő nem tud megfelelő kockázatokat enyhítő intézkedéseket hozni, illetve a kockázatok elfogadható szintre való csökkentésére nincs lehetősége.
• az adatkezelés valószínűsíthetően nem jár magas kockázattal;
• a felügyeleti hatóság által összeállított és nyilvánosságra hozott adatkezelések listáján szereplő esetekben;
• hasonló adatkezelések esetében, melyek hasonlóan magas kockázattal járnak egy hatásvizsgálat elvégzés is elegendő lehet;
• "adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot."
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
