Az adatvédelmi hatásvizsgálat I (Az adatvédelmi hatásvizsgálat elkészítése)
A GDPR előírásokat tartalmaz arra vonatkozóan, hogy az adatkezelők mikor kötelesek adatvédelmi hatásvizsgálatot (DPIA) készíteni, mikor kötelesek kikérni az érintettek vagy képviselőik véleményét a tervezett adatkezelésről, továbbá, mikor kötelesek konzultálni a felügyeleti hatósággal az adatkezelést megelőzően.
A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. április 4-én iránymutatást adott ki az adatvédelmi hatásvizsgálatról (WP248), amelyet 2017. október 4-én felülvizsgált, és amely a GDPR vonatkozó rendelkezéseinek (35-36. cikk és a (75)-(76), (84) és (90)-(95) preambulumbekezdések) értelmezéséről szól.
Az alábbiakban kérdések és válaszok formájában foglalom össze az adatvédelmi hatásvizsgálat elkészítésére vonatkozó előírásokat.
1. Ki köteles adatvédelmi hatásvizsgálatot készíteni?
A GDPR alapján az adatkezelőt terheli az adatvédelmi hatásvizsgálat elkészítésének kötelezettsége.
Érdemes megjegyezni, hogy amennyiben az adatkezelőnek van adatvédelmi tisztviselője (DPO-ja), akkor az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor köteles kikérni az adatvédelmi tisztviselő szakmai tanácsát. Így az adatvédelmi tisztviselőnek szintén fontos szerepe lehet az adatvédelmi hatásvizsgálat elkészítésében. Erre való tekintettel, érdemes egy olyan rendelkezést beemelni az adatvédelmi tisztviselővel kötött szerződésbe, amelynek értelmében az adatvédelmi tisztviselő köteles minden módon segíteni az adatkezelőt az adatvédelmi hatásvizsgálattal kapcsolatosan, beleértve annak elkészítését is.
2. Az adatfeldolgozó terheli bármilyen kötelezettség az adatvédelmi hatásvizsgálattal kapcsolatosan?
A GDPR alapján az adatkezelő és az adatfeldolgozó közötti szerződésnek tartalmaznia kell egy olyan kikötést, amely szerint az adatfeldolgozó köteles segíteni az adatkezelőt bizonyos, többek között az adatvédelmi hatásvizsgálattal kapcsolatos kötelezettségek teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat.
3. Mikor kötelező adatvédelmi hatásvizsgálat készítése?
Adatvédelmi hatásvizsgálat készítése akkor kötelező, ha az adatkezelés “valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”, kivéve, ha az adatkezelés szerepel azon adatkezelési tevékenységek jegyzékében, amelyek vonatkozásában nem szükséges adatvédelmi hatásvizsgálatot készíteni (35. cikk (5) bekezdés) vagy, ha bizonyos feltételeknek megfelelő uniós vagy tagállami jog alapján nem szükséges adatvédelmi hatásvizsgálatot készíteni (35. cikk (10) bekezdés).
Az adatvédelmi hatásvizsgálat a kockázatok kezeléséről, azok megfelelő kezeléséről szól. Az adatvédelmi hatásvizsgálat célja, hogy a természetes személyek jogaira és szabadságaira nézve fennálló kockázatokat minimalizálja. Ahogyan a WP29 írja, „a „kockázat” olyan eshetőség, amely a súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit”. Továbbá, a kockázatkezelés „összehangolt tevékenységek összességeként határozható meg, amelyek célja egy szervezet kockázati szempontú irányítása és ellenőrzése.”
Fontos kiemelni, hogy az adatkezelők akkor is kötelesek megfelelő intézkedéseket tenni a kockázat elfogadható szintjének biztosítása érdekében, ha nem áll fenn az adatvédelmi hatásvizsgálat elkészítésének kötelezettsége. Úgyszintén hangsúlyozza a WP29 azt, hogy az elszámoltathatóság elvével összhangban az adatkezelők kötelesek folyamatosan értékelni az adatkezelési tevékenységeikből eredő kockázatokat, hogy felismerjék, ha az adatkezelés valamely fajtája „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”.
További részletekért ld. az 5. kérdésre adott választ.
4. Mely időpontban kötelező az adatvédelmi hatásvizsgálat elkészítése?
A GDPR egyértelműen azt írja elő, hogy az adatvédelmi hatásvizsgálatot az adatkezelést megelőzően kell elkészíteni, amennyiben fennállnak a 3. és 5. kérdésben meghatározott feltételek. Így a beépített és az alapértelmezett adatvédelem elvének megfelelően az adatkezelők számára feltétlenül ajánlott az előre tervezés és annak figyelembe vétele, hogy egy tervezett adatkezelési tevékenység adatvédelmi hatásvizsgálat elkészítését teheti szükségessé, amely időbe telik.
5. Mikor jár az adatkezelés “valószínűsíthetően magas kockázattal”?
A GDPR nem tartalmaz erre vonatkozóan kifejezett rendelkezést, azonban némi iránymutatással szolgál és felsorolja a három alábbi esetkört, amikor kötelező adatvédelmi hatásvizsgálat készítése:
„(a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
(b) személyes adatok különleges kategóriáinak (pl. egészségügyi adatok, büntetőjogi felelősség megállapítására vonatkozó személyes adatok) nagy számban történő kezelése; vagy
(c) nyilvános helyek nagymértékű, módszeres megfigyelése.”
Ez a lista nem teljeskörű, így lehetnek egyéb olyan adatkezelési tevékenységek, amelyeket nem tartalmaz a felsorolás. A WP29 kidolgozott egy olyan listát, amelyen az a kilenc kritérium szerepel, amelyeket figyelembe kell venni annak eldöntése érdekében, hogy szükséges-e adatvédelmi hatásvizsgálatot készíteni. Ez a kilenc feltétel a következő:
(i) értékelés vagy pontozás (pl. profilozás), különösen “az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési köreire, megbízhatóságára vagy viselkedésére, tartózkodási helyére vagy mozgására vonatkozó jellemzők” (a GDPR (71) és (91) preambulumbekezdései) alapján. Példák: pénzügyi vállalkozás, amely hitelreferencia és pénzmosás elleni adatbázist használ ügyfelei szűrésére; vállalkozás, amely üzletszerzési profilokat készít a honlapjának böngészése alapján.
(ii) joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal: adatkezelés, amelynek célja a „természetes személy tekintetében joghatással bíró” vagy „a természetes személyt hasonlóképpen jelentős mértékben érintő” döntések meghozatala.
(iii) módszeres megfigyelés: pl. hálózatokon keresztül gyűjtött adatok. Az adatok olyan módon gyűjthetők, hogy az érintettek adott esetben nem tudják, ki gyűjti és hogyan használja fel adataikat.
(iv) különleges adatok vagy fokozottan személyes jellegű adatok: pl. egészségügyi / orvosi adatok, politikai véleményre, vallásra vonatkozó adatok, büntetőjogi felelősségre vonatkozó adatok, pénzügyi adatok vagy személyes dokumentumok, naplók.
(v) adatok nagy számban történő kezelése: a GDPR nem határozza meg a „nagy számban történő” kifejezést. Azonban a WP29 ad némi támpontot a kifejezés jelentéséhez az adatvédelmi tisztviselőről (DPO) szóló iránymutatásában. A részletekért kattintson ide.
Annak eldöntéséhez, hogy adatok nagy számban történő kezeléséről van-e szó az alábbi szempontokat kell figyelembe venni:
- az érintettek száma konkrét számadatként vagy a lakosság arányában;
- a kezelt adatok mennyisége vagy adatfajták köre;
- az adatkezelési tevékenység időtartama vagy állandó jellege;
- az adatkezelési tevékenység földrajzi kiterjedése.
(vi) adatkészletek összevonása: pl. két olyan adatkészlet összevonása, amelyek különböző célokból felvett adatokat tartalmaznak.
(vii) sérülékeny érintettek adatai: pl. gyermekek, idősek, munkavállalók, betegek vagy olyan személyek adatainak kezelése, akik tekintetében az adatkezelő és az érintettek közötti kapcsolatban egyenlőtlen helyzet alakul ki.
(viii) új technológiai és szervezési megoldása innovatív használata: pl. ujjlenyomat- és arcfelismerés együttes használata a hatékonyabb beléptetés érdekében. Az új technológia használata magasabb kockázatot jelenthet az érintettek jogaira és szabadságaira nézve, mert az ilyen új technológia használatának lehetséges következményei nem feltétlen ismertek. A WP29 kiemeli, hogy a „dolgok internetét” (IoT) használó alkalmazások szükségessé tehetik az adatvédelmi hatásvizsgálat elvégzését.
(ix) adatkezelés, amely önmagában “megakadályozza, hogy az érintettek a jogaikat gyakorolják vagy szolgáltatásokat vegyenek igénybe vagy szerződést érvényesítsenek”: pl. egy bank hitelreferencia adatbázis alapján szűri ügyfeleit, hogy eldöntse, kínál-e nekik hitelt.
A WP29 iránymutatás értemében
“Az esetek többségében az adatkezelő tekintheti úgy, hogy két szempontnak megfelelő adatkezelés esetében szükség van adatvédelmi hatásvizsgálatra. A 29. cikk szerinti adatvédelmi munkacsoport általában véve úgy véli, hogy minél több szempontnak felel meg az adatkezelés, annál nagyobb a valószínűsége annak, hogy az magas kockázattal jár az érintettek jogaira és szabadságaira nézve, így az adatkezelő által végrehajtani tervezett intézkedésektől függetlenül szükséges az adatvédelmi hatásvizsgálat elvégzése.
Bizonyos esetekben azonban az adatkezelő tekintheti úgy, hogy a mindössze egy szempontnak megfelelő adatkezelés esetében is szükség van adatvédelmi hatásvizsgálatra.”
Az iránymutatás tartalmaz egy nem teljeskörű listát azon adatkezelési tevékenységekről, amelyek esetében szükséges, illetve nem szükséges adatvédelmi hatásvizsgálatot végezni.
Példák arra, amikor szükséges adatvédelmi hatásvizsgálatot végezni:
- betegek egészségügyi adatait kezelő kórház;
- munkavállalói tevékenységeit módszeresen megfigyelő, így az alkalmazottak munkaállomását, internetes tevékenységeit nyomon követő vállalkozás;
- a közösségi médiából származó adatok gyűjtése profilalkotás céljából;
- kutatási projektekben vagy klinikai vizsgálatokban részt vevő, kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, álnevesített, különleges személyes adatok tárolása (archiválás céljából).
A WP29 hozzáteszi, hogy abban az esetben is, ha egy adatkezelés a fenti szempontok bármelyikét teljesíti, akkor is lehetséges, hogy nem szükséges adatvédelmi hatásvizsgálatot végezni, amennyiben az adatkezelés valószínűsíthetően nem jár magas kockázattal az érintettek jogaira és szabadságaira nézve. Ilyen esetben az adatkezelő köteles dokumentálni annak okát, hogy miért nem készített adatvédelmi hatásvizsgálatot.
Példák arra, amikor nem szükséges adatvédelmi hatásvizsgálatot végezni:
- „egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adatainak” kezelése;
- a feliratkozóknak napi sajtószemle küldéséhez levelezőlistát használó internetes magazin.
A WP29 ajánlása szerint, amennyiben nem egyértelmű, hogy szükséges-e adatvédelmi hatásvizsgálatot végezni, akkor ajánlatos az adatkezelőnek elkészíteni azt.
6. Mi a helyzet azokkal az adatkezelésekkel, amelyek 2018. május 25-e előtt már folynak?
A GDPR értelmében, amennyiben adatvédelmi hatásvizsgálatot kell készíteni, akkor azt az adatkezelés előtt kell elkészíteni. Ez alapján arra a következtetésre juthatunk, hogy nem szükséges adatvédelmi hatásvizsgálatot végezni olyan adatkezelési tevékenység vonatkozásában, amely 2018. május 25-e előtt már folyamatban van, mivel nem lehetséges adatvédelmi hatásvizsgálatot készíteni egy már folyamatban lévő adatkezelést megelőzően. Azonban egy ilyen következtetést óvatosan kell kezelni. A WP29 hangsúlyozza, hogy
„Az adatvédelmi hatásvizsgálatot érdemes folyamatosan felülvizsgálni, és rendszeresen újraértékelni. Jóllehet tehát, hogy még, ha 2018. május 25-ig nincs is szükség adatvédelmi hatásvizsgálatra, az adatkezelőnek az általános elszámoltathatósági kötelezettségei részeként el kell majd végeznie azt a megfelelő időben.”
A fentieket figyelembe véve, az elszámoltathatóság elvével összhangban, ajánlott elemzést készíteni arról, hogy szükséges-e adatvédelmi hatásvizsgálatot készíteni és, amennyiben az elemzés arra a következtetésre jut, hogy szükséges, akkor feltétlen ajánlott elkészíteni azt 2018. május 25-ét megelőzően. Továbbá, még abban az esetben is, ha az a következtetés, hogy nem szükséges hatásvizsgálatot készíteni, az elemzés folyamatos figyelemmel kísérése és újraértékelése szükséges, tekintettel arra, hogy a kockázatok idővel változhatnak, és adatvédelmi hatásvizsgálat válhat szükségessé.
7. Mit kell tartalmaznia az adatvédelmi hatásvizsgálatnak?
A GDPR felsorolja azokat a tartalmi elemeket, amelyeket az adatvédelmi hatásvizsgálatnak mindenképpen tartalmaznia kell, amelyek a következők:
(a) a tervezett adatkezelési műveletek és az adatkezelés céljainak módszeres leírása, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
(b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
(c) az érintett jogait és szabadságait érintő kockázatok vizsgálata; és
(d) a kockázatok kezelését célzó intézkedések bemutatása, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
A GDPR nem tartalmaz rendelkezést a hatásvizsgálat elkészítésének módszertanára vonatkozóan. Azonban az iránymutatás tartalmaz egy nem teljeskörű listát az egyes adatvédelmi hatóságok (angol, német, francia és spanyol adatvédelmi hatóságok) által kialakított, továbbá két szektor-specifikus módszertanról (jelesül a rádió frekvenciás (RFID) alkalmazások és az okos fogyasztásmérők adatvédelmi hatásvizsgálati sablonja).
Az RFID alkalmazások adatvédelmi hatásvizsgálati sablonja megnevezi azokat a 8. kérdésben felsorolt szempontokat, amelyeket az adatvédelmi hatásvizsgálatnak tartalmaznia kell. Részletekért, ld. a 8. kérdésre adott választ.
8. Hogyan kell elkészíteni az adatvédelmi hatásvizsgálatot?
A GDPR csak azokat a tartalmi elemeket sorolja fel, amelyeket az adatvédelmi hatásvizsgálatnak mindenképpen tartalmaznia kell, azonban nem tartalmaz rendelkezést módszertanra.
Érdemes megemlíteni továbbá, hogy a GDPR (90) preambulumbekezdése további hasznos iránymutatásokat tartalmaz abban a tekintetben, hogy mit kell tartalmaznia és elemeznie az adatvédelmi hatásvizsgálatnak. Nevezetesen, az adatvédelmi hatásvizsgálat készítésekor,
(a) „az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a kockázat forrásait” azonosítani kell és figyelembe kell venni;
(b) fel kell mérni a „magas kockázat különös valószínűségét és súlyosságát”;
(c) a kockázatokat megfelelően kell kezelni.”
Jóllehet az RFID alkalmazások adatvédelmi hatásvizsgálati sablonja értelemszerűen az RFID alkalmazásokhoz készült, az hasznos és gyakorlatias információkat tartalmaz, amelyek az adatkezelők részére segítséget jelenthetnek. Az RFID alkalmazások adatvédelmi hatásvizsgálati sablonja alapján a következő kérdéseket kell kezelni az adatvédelmi hatásvizsgálatban:
(a) az adatkezelési tevékenységek leírása (az adatkezelés áttekintő leírása, ki kezeli az adatokat, mi az adatkezelés célja és jogalapja, hol tárolják az adatokat, hova továbbítják az adatokat, kinek van hozzáférése az adatokhoz, mi az adatkezelés időtartama);
(b) a kockázatok azonosítása és értékelése (mik a kockázatok, mi a kockázat valószínűsége, mi a kockázat súlyossági foka);
Lehetséges kockázatok:
- az adatgyűjtés célja nem lett meghatározva, a szükségesnél több adatot kezelnek;
- az érintettnek adott tájékoztatás nem teljeskörű;
- az adatok olyan adatokkal való együttes használata, amelyek nem szükségesek az adatkezelés céljának eléréséhez;
- az adatokat a szükségesnél tovább tárolják;
- egyes adatokat titkosan, azaz az érintett tudta nélkül vesznek fel;
- az érintett nem tud tiltakozni az adatkezelés ellen, illetőleg nem tudja gyakorolni a jogait;
- a hozzáférési jogokat nem vonják vissza miután azokra már nincs szükség;
- az érintetteket nem tájékoztatják az automatizált döntéshozatalhoz használt logikáról;
- gyanús mennyiségű, adatokhoz való hozzáférési kísérletet nem akadályoznak meg;
- az adatkezelésnek nincs megfelelő jogalapja;
- az alkalmazott „logolás” nem megfelelő.
(c) a kockázatok csökkentését célzó intézkedések (melyek az adatkezelő által a kockázatok csökkentése érdekében tett intézkedések);
Lehetséges csökkentő intézkedések:
- megfelelő adatkezelési szabályzat alkalmazása;
- a hozzáférési jogok megfelelő kialakítása;
- megfelelő adatmegőrzési szabályzat alkalmazása;
- megfelelő IT biztonsági szabályzat alkalmazása.
(d) vannak-e fennmaradó kockázatok (a kockázatokat csökkentő intézkedések ellenére maradnak-e fenn kockázatok);
(e) intézkedések végrehajtása és a következtetések levonása.
Az angol adatvédelmi hatóság (ICO) 2014. februárjában kiadott egy “Adatvédelmi hatásvizsgálatok elvégzése, Gyakorlati Útmutató” elnevezésű dokumentumot, amelynek logikája lényegében megegyezik az RFID alkalmazások adatvédelmi hatásvizsgálati sablonjáéval.
9. Kötelesek az adatkezelők naprakészen tartani az adatvédelmi hatásvizsgálatot?
Igen. A GDPR értelmében “az adatkezelő szükség szerint, legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.”
A WP29 megfogalmazásában, “az adatvédelmi hatásvizsgálatot nem egyetlen alkalommal, hanem folyamatosan kell végezni.” Az adatvédelmi hatásvizsgálat a megfelelés egy fontos eszköze, “az adatvédelmi hatásvizsgálat tehát a rendelet betartásának elérésére és bizonyítására szolgáló eljárás” és azt folyamatosan figyelemmel kell kísérni és rendszeresen újra kell értékelni.
10. Az adatvédelmi tisztviselőnek van kötelezettsége az adatvédelmi hatásvizsgálattal kapcsolatban?
Ha az adatkezelőnek van adatvédelmi tisztviselője (DPO-ja), akkor az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor köteles kikérni az adatvédelmi tisztviselő szakmai tanácsát. Így az adatvédelmi tisztviselőnek szintén fontos szerepe lehet az adatvédelmi hatásvizsgálat elkészítésében. Amennyiben az adatkezelő nem fogadja meg az adatvédelmi tisztviselő tanácsát, akkor köteles annak tényét és a meg nem fogadás indokát dokumentálni.
Érdemes egy olyan rendelkezést beemelni az adatkezelő és az adatvédelmi tisztviselő közötti szerződésbe, amelynek értelmében az adatvédelmi tisztviselő köteles minden módon segíteni az adatkezelőt az adatvédelmi hatásvizsgálattal kapcsolatosan, beleértve annak elkészítését is.
11. Köteles az adatkezelő nyilvánosságra hozni az adatvédelmi hatásvizsgálatot?
Nem. Az adatkezelő azonban dönthet úgy, hogy a honlapján nyilvánosságra hozza az adatvédelmi hatásvizsgálatot vagy annak lényegi megállapításait (természetesen üzleti titkok vagy üzleti szempontból bizalmas információk megosztása nélkül) abból a célból, hogy ezáltal is igazolja a megfelelést.
A következő bejegyzésemben az érintettek véleményének kikérésével és a felügyeleti hatósággal való konzultációval kapcsolatos kérdéseket fogom körüljárni.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.