Az adatvédelmi hatásvizsgálat II (Az érintettek véleményének kikérése és konzultáció a felügyeleti hatósággal)
A GDPR előírásokat tartalmaz arra vonatkozóan, hogy az adatkezelők mikor kötelesek adatvédelmi hatásvizsgálatot (DPIA) készíteni, mikor kötelesek kikérni az érintettek vagy képviselőik véleményét a tervezett adatkezelésről, továbbá, mikor kötelesek konzultálni a felügyeleti hatósággal az adatkezelést megelőzően.
A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. április 4-én iránymutatást adott ki az adatvédelmi hatásvizsgálatról (WP248), amelyet 2017. október 4-én felülvizsgált, és amely a GDPR vonatkozó rendelkezéseinek (35-36. cikk és a (75)-(76), (84) és (90)-(95) preambulumbekezdések) értelmezéséről szól.
Az alábbiakban kérdések és válaszok formájában foglalom össze az érintettek véleményének kikérésére és a felügyeleti hatósággal való előzetes konzultációra vonatkozó előírásokat.
1. Ki köteles kikérni az érintettek véleményét?
A GDPR szerint az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.
Ennek megfelelően egy üzleti titok vagy üzleti terv alapul szolgálhat arra, hogy az adatkezelő az érintettek véleményének kikérését mellőzze. Az adatkezelő kötelessége annak bizonyítása, hogy a vélemény kikérésének elmaradására jogosan került sor.
2. Mikor kötelező az érintettek véleményének kikérése?
A GDPR szerint az adatkezelő az érintettek vagy képviselőik véleményét a tervezett adatkezelésről köteles kikérni, így a vélemény kikérésére az adatkezelés megkezdése előtt kell, hogy sor kerüljön.
3. Hogyan kérje ki az adatkezelő az érintettek véleményét?
A GDPR nem rendelkezik erről a kérdésről. A WP29 iránymutatásában foglaltak szerint „az érintettek véleménye többféle módon kikérhető” (pl. az adatkezelő potenciális ügyfeleinek küldött kérdés vagy felmérés útján).
Az elszámoltathatóság elvével összhangban,
- ha az adatkezelő végleges döntése eltér az érintettek véleményétől, akkor dokumentálni kell annak okát, hogy az adatkezelő miért végzi mégis vagy miért nem végzi az adott adatkezelést;
- az adatkezelő köteles dokumentálni annak okát, hogy miért nem kérte ki az érintettek véleményét (pl. ha így tett volna, akkor az aránytalan lett volna vagy veszélyeztette volna a társaság üzleti terveit).
4. Mikor kötelező konzultálni a felügyeleti hatósággal?
Ha az adatkezelő nem tudja elfogadható szintűre csökkenteni az azonosított magas kockázatokat, azaz a fennmaradó kockázatok továbbra is magasak, az adatkezelő köteles konzultálni a felügyeleti hatósággal az adatok kezelését megelőzően.
Példák a nem elfogadható magas szintű fennmaradó kockázatokra:
- az érintettek olyan jelentős vagy akár visszafordíthatatlan következményekkel szembesülnek, amelyeket nem tudnak leküzdeni (például adatokhoz való jogosulatlan hozzáférés, amely az érintettek életét fenyegető veszélyt, elbocsátást vagy pénzügyi nehézséget eredményez);
- ha egyértelműnek tűnik, hogy a kockázat be fog következni (például azért, mert az adatkezelő az adatok megosztásának módja miatt nem tudja csökkenteni az adatokhoz hozzáférő személyek számát).
A kockázat mértékének megbecslését illetően hasznos és praktikus iránymutatást tartalmaz az Európai Uniós Hálózat- és Információbiztonsági Ügynökség által az adatvédelmi incidensek súlyosságának értékelésére vonatkozó módszertanról kiadott ajánlás. A részletekért kattintson ide.
5. Milyen információkat kell nyújtani a felügyeleti hatóság részére?
Az adatkezelő az alábbi információkat és dokumentumokat köteles benyújtani a felügyeleti hatóságnak:
a) az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatkörei;
b) a tervezett adatkezelés céljai és módjai;
c) az érintettek jogainak és szabadságainak védelmében hozott intézkedések és garanciák;
d) az adatvédelmi tisztviselő elérhetőségei, amennyiben van adatvédelmi tisztviselő;
e) az adatvédelmi hatásvizsgálat és
f) a felügyeleti hatóság által kért minden egyéb információ.
6. Meddig tart a konzultáció?
Ez attól függ, hogy a felügyeleti hatóság hogyan ítéli meg az ügyet.
Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés sértené a GDPR-t (pl. azért, mert az adatkezelő nem elégséges módon azonosította vagy csökkentette a kockázatot), a felügyeleti hatóság az adatkezelőnek legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket a konzultáció céljából kért.
Mindezt tekintetbe véve a konzultáció 4 hónapig vagy annál tovább is tarthat. Az adatkezelők számára ajánlott mindezt figyelembe venni és jó előre tervezni, amennyiben egy olyan új adatkezelési tevékenységet kívánnak indítani, amelyhez adatvédelmi hatásvizsgálatot kell készíteni.
A következő bejegyzésemben a felügyeleti hatóságok által kiszabható közigazgatási bírsággal kapcsolatos kérdéseket fogom körüljárni.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.