Kockázatfelmérés, adatvédelmi hatásvizsgálat, előzetes konzultáció
A Rendelet indoklása felsorolja az adatkezeléssel összefüggő legfontosabb adatvédelmi kockázati tényezőket (hátrányos megkülönböztetés, adatlopás vagy adatokkal való visszaélés, adatvesztés stb.), amelyek vagyoni és nem vagyoni károkat, a védett személyes adatok bizalmas jellegének sérülését és egyéb hátrányokat okozhatnak az érintetteknek. Különös kockázattal járhat, ha a szabálytalan adatkezelés gyermekeket vagy nagyszámú magánszemélyt érint.
Az érintett jogait és szabadságait érintő adatvédelmi kockázatok valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében az adatkezelőknek és adatfeldolgozóknak folyamatosan vizsgálniuk kell. A kockázatokat olyan objektív értékelés alapján kell felmérni, amelynek során szükséges megállapítani, hogy az adatkezelési műveletek kockázattal, illetve nagy kockázattal járnak-e.
Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően adatvédelmi hatásvizsgálatot köteles végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.
A Rendelet néhány esetet külön is kiemel, amelyek indokolttá tehetik az adatvédelmi hatásvizsgálat elvégzését:
- automatizált adatkezelésen – ideértve a profilalkotást is –alapuló döntéshozatal alkalmazása;
- különleges személyes adatokra vonatkozó adatkezelések;
- jogi felelősség megállapítására vonatkozó adatkezelése;
- bűnügyi adatkezelése;
- nyilvános helyek nagymértékű, módszeres megfigyelése.
Az adatvédelmi hatásvizsgálatköteles, illetve ilyen vizsgálat elvégzésére nem köteles adatkezelési tevékenységek jegyzékét az adatvédelmi hatóságok határozzák meg és hozzák nyilvánosságra (az unión belüli egységesítési mechanizmuson keresztüli egyeztetést követően).
Az adatvédelmi hatásvizsgálat minimális tartalma:
a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetésére, az adatkezelő által érvényesíteni kívánt jogos érdek bemutatása;
- az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
- az érintett jogait és szabadságait érintő kockázatok vizsgálata;
- a kockázatok kezelését célzó intézkedések bemutatása (ideértve a személyes adatok védelmét és a Rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat);
- az adatvédelmi magatartási kódexek betartásának vizsgálata.
Az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül köteles kikérni az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.
Jogszabályon alapuló hatásvizsgálat esetén, amennyiben a jogszabályalkotást megelőzően történt előzetes, általános jellegű hatásvizsgálat, egyedi hatásvizsgálatot az egyébként hatásvizsgálatköteles adatkezelés esetén sem kell végezni.
Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő köteles ún. előzetes konzultációt folytatni az adatvédelmi hatósággal. Ha az adatvédelmi hatóság véleménye szerint a tervezett adatkezelés megsértené a Rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, az adatvédelmi hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb az előzetes konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az adatvédelmi jogszabályok szerinti hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható.
Az adatvédelmi hatásvizsgálat elvégzését célszerű ebben a tevékenységben jártas adatvédelmi szakértőre (szakértő cégre) bízni
Sorozatunk korábbi részei:
http://perfekt.blog.hu/2018/05/23/gdpr_elso_resz
http://perfekt.blog.hu/2018/05/30/gdpr_masodik_resz
https://perfekt.blog.hu/2018/06/20/gdpr_harmadik_resz
https://perfekt.blog.hu/2018/08/15/gdpr_negyedi_resz
https://perfekt.blog.hu/2018/08/22/gdpr_otodik_resz
