GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Az adatvédelmi hatásvizsgálat II (Az érintettek véleményének kikérése és konzultáció a felügyeleti hatósággal)

2018. február 22. - Kovacs Zoltan Balazs

Az adatvédelmi hatásvizsgálat II (Az érintettek véleményének kikérése és konzultáció a felügyeleti hatósággal)

A GDPR előírásokat tartalmaz arra vonatkozóan, hogy az adatkezelők mikor kötelesek adatvédelmi hatásvizsgálatot (DPIA) készíteni, mikor kötelesek kikérni az érintettek vagy képviselőik véleményét a tervezett adatkezelésről, továbbá, mikor kötelesek konzultálni a felügyeleti hatósággal az adatkezelést megelőzően.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. április 4-én iránymutatást adott ki az adatvédelmi hatásvizsgálatról (WP248), amelyet 2017. október 4-én felülvizsgált, és amely a GDPR vonatkozó rendelkezéseinek (35-36. cikk és a (75)-(76), (84) és (90)-(95) preambulumbekezdések) értelmezéséről szól.

Az alábbiakban kérdések és válaszok formájában foglalom össze az érintettek véleményének kikérésére és a felügyeleti hatósággal való előzetes konzultációra vonatkozó előírásokat.

1. Ki köteles kikérni az érintettek véleményét?

A GDPR szerint az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

Ennek megfelelően egy üzleti titok vagy üzleti terv alapul szolgálhat arra, hogy az adatkezelő az érintettek véleményének kikérését mellőzze. Az adatkezelő kötelessége annak bizonyítása, hogy a vélemény kikérésének elmaradására jogosan került sor.

2. Mikor kötelező az érintettek véleményének kikérése?

A GDPR szerint az adatkezelő az érintettek vagy képviselőik véleményét a tervezett adatkezelésről köteles kikérni, így a vélemény kikérésére az adatkezelés megkezdése előtt kell, hogy sor kerüljön.

3. Hogyan kérje ki az adatkezelő az érintettek véleményét?

A GDPR nem rendelkezik erről a kérdésről. A WP29 iránymutatásában foglaltak szerint „az érintettek véleménye többféle módon kikérhető” (pl. az adatkezelő potenciális ügyfeleinek küldött kérdés vagy felmérés útján).

Az elszámoltathatóság elvével összhangban,

- ha az adatkezelő végleges döntése eltér az érintettek véleményétől, akkor dokumentálni kell annak okát, hogy az adatkezelő miért végzi mégis vagy miért nem végzi az adott adatkezelést;

- az adatkezelő köteles dokumentálni annak okát, hogy miért nem kérte ki az érintettek véleményét (pl. ha így tett volna, akkor az aránytalan lett volna vagy veszélyeztette volna a társaság üzleti terveit).

4. Mikor kötelező konzultálni a felügyeleti hatósággal?

Ha az adatkezelő nem tudja elfogadható szintűre csökkenteni az azonosított magas kockázatokat, azaz a fennmaradó kockázatok továbbra is magasak, az adatkezelő köteles konzultálni a felügyeleti hatósággal az adatok kezelését megelőzően.

Példák a nem elfogadható magas szintű fennmaradó kockázatokra:

- az érintettek olyan jelentős vagy akár visszafordíthatatlan következményekkel szembesülnek, amelyeket nem tudnak leküzdeni (például adatokhoz való jogosulatlan hozzáférés, amely az érintettek életét fenyegető veszélyt, elbocsátást vagy pénzügyi nehézséget eredményez);

- ha egyértelműnek tűnik, hogy a kockázat be fog következni (például azért, mert az adatkezelő az adatok megosztásának módja miatt nem tudja csökkenteni az adatokhoz hozzáférő személyek számát).

A kockázat mértékének megbecslését illetően hasznos és praktikus iránymutatást tartalmaz az Európai Uniós Hálózat- és Információbiztonsági Ügynökség által az adatvédelmi incidensek súlyosságának értékelésére vonatkozó módszertanról kiadott ajánlás. A részletekért kattintson ide.

5. Milyen információkat kell nyújtani a felügyeleti hatóság részére? 

Az adatkezelő az alábbi információkat és dokumentumokat köteles benyújtani a felügyeleti hatóságnak: 

a) az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatkörei;

b) a tervezett adatkezelés céljai és módjai;

c) az érintettek jogainak és szabadságainak védelmében hozott intézkedések és garanciák;

d) az adatvédelmi tisztviselő elérhetőségei, amennyiben van adatvédelmi tisztviselő;

e) az adatvédelmi hatásvizsgálat és

f) a felügyeleti hatóság által kért minden egyéb információ.

6. Meddig tart a konzultáció?

Ez attól függ, hogy a felügyeleti hatóság hogyan ítéli meg az ügyet. 

Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés sértené a GDPR-t (pl. azért, mert az adatkezelő nem elégséges módon azonosította vagy csökkentette a kockázatot), a felügyeleti hatóság az adatkezelőnek legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket a konzultáció céljából kért.

Mindezt tekintetbe véve a konzultáció 4 hónapig vagy annál tovább is tarthat. Az adatkezelők számára ajánlott mindezt figyelembe venni és jó előre tervezni, amennyiben egy olyan új adatkezelési tevékenységet kívánnak indítani, amelyhez adatvédelmi hatásvizsgálatot kell készíteni. 

A következő bejegyzésemben a felügyeleti hatóságok által kiszabható közigazgatási bírsággal kapcsolatos kérdéseket fogom körüljárni. 

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr4313681828

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.