Adatvédelmi hatásvizsgálat alá eső adatkezelési tevékenységek
A magyar adatvédelmi hatóság (NAIH) a honlapján elérhetővé tette azon adatkezelési tevékenységek listáját, amelyek esetében kötelező adatvédelmi hatásvizsgálat (DPIA) végzése. Jóllehet a lista szükségképpen nem taxatív, az segítséget nyújthat az adatkezelők számára ahhoz, hogy mérlegelni tudják azt, hogy szükséges-e adatvédelmi hatásvizsgálatot végezniük egy-egy adatkezelési tevékenység vonatkozásában.
A lista a következő adatkezelési tevékenységeket nevezi meg:
1) Biometrikus adatok kezelése rendszeres megfigyelés céljából történik.
2) Biometrikus adatok kezelése sérülékeny érintetti körre vonatkozik, különösen gyermekekre, munkavállalókra és mentálisan sérült személyekre.
3) Genetikai adatok kezelése érzékeny adatokkal vagy különösen személyes természetű adatokkal kapcsolatban történik.
4) Genetikai adatok kezelésének célja természetes személy értékelése vagy pontozása.
5) Pontozás ("scoring"). Az adatkezelés célja az érintett bizonyos jellemzőinek értékelése, amely értékelés eredményének kihatása van az érintett részére nyújtott vagy nyújtandó szolgáltatás minőségére vagy nyújtására.
6) Hitelképességi bírálat. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett hitelképes-e.
7) Fizetőképességi besorolás. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett fizetéképes-e.
8) Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja harmadik személytől gyűjtött személyes adatok kezelése annak eldöntése céljából, hogy az adatkezelő az érintett részére megtagadja-e a szolgáltatás nyújtását vagy megszüntesse azt.
9) Tanulók és diákok személyes adatainak értékelés céljából történő kezelése. Az adatkezelés célja – függetlenül attól, hogy a tanulmányok alap-, közép- vagy emeltszintűek – a tanulók és diákok felkészültségének, teljesítményének, képességének és mentális állapotának vizsgálata és rögzítése és az adatkezelés nem törvényen alapuló.
10) Profilalkotás. Az adatkezelés célja személyes adatok nagymértékű és rendszeres kiértékelése révén történő profilalkotás, különösen, ha az az érintett munkahelyi teljesítményének, pénzügyi helyzetének, egészségi állapotának, személyes preferenciáinak vagy érdeklődésének, megbízhatóságának vagy magatartásának, lakóhelyének vagy mozgásának jellemzőin alapul.
11) Csalásellenes tevékenység. Az adatkezelés célja hitelképességi, pénzmosási, terrorista-ellenes finanszírozási és csalásellenes adatbázisok ügyfelek átvilágítása céljából történő használata.
12) Okos mérőórák. Az adatkezelés célja közüzemi szolgáltatók által beállított okos mérőórák alkalmazása (a fogyasztási szokások figyelemmel kísérése).
13) Automatizált döntéshozatal, amely joghatással jár vagy hasonlóképpen jelentős hatása van. Az adatkezelés célja természetes személyekre joghatással vagy más jelentős hatással járó olyan döntés meghozatala, amely döntés bizonyos esetekben személyek kizárásával vagy diszkriminációjával járhat.
14) Rendszeres megfigyelés. Érintettek közterületen – kamerával, drónnal vagy egyéb új technológiával (wifi-s nyomon követéssel, Bluetooth nyomon követéssel vagy test kamerákkal) – történő rendszeres és nagymértékű megfigyelése.
15) Lokációs adatok. Amennyiben a lokációs adatok kezelése rendszeres megfigyelés vagy profilalkotás céljából történik.
16) Munkavállaló munkahelyi megfigyelése. Amennyiben az adatkezelés célja a munkavállalóról a munkavégzése során gyűjtött személyes adatainak rendszeres és széleskörű kezelése és értékelése, beleértve például a gépjárművekbe szerelt GPS nyomkövetőket és a vagyonvédelem érdekében felszerelt kamerát.
17) Személyes adatok különleges kategóriáinak jelentős számban történő kezelése. A GDPR (91) preambulumbekezdése szerint a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
18) Személyes adatok nagyszámban történő kezelése (hatósági, bírósági) végrehajtás céljából.
19) Sérülékeny érintettekre, például idősekre, gyermekekre és mentálisan sérült személyekre vonatkozó személyes adatok nagyszámban történő kezelése olyan célból, amely az eredeti céltól különbözik.
20) Gyermekek személyes adatainak profilalkotás, automatizált döntéshozatal, marketing vagy információs társadalommal összefüggő szolgáltatások közvetlen nyújtása céljából történő kezelése.
21) Új technológiák személyes adatok kezelésére való használata. Ez magában foglalja a szenzorral felszerelt eszközök (például okos tv-k, okos háztartási eszközök, okos játékok, stb.) révén gyűjtött személyes adatok nagyszámban történő olyan kezelését és azok Interneten vagy más csatornán történő továbbítását, hogy ezen eszközök a természetes személy pénzügyi helyzetének, egészségi állapotának, személyes érdeklődéseinek, megbízhatóságának és magatartásának, tartózkodásának vagy mozgásának jellemzőiről nyújtanak adatot és ezen adatok profilalkotás alapját képezik.
22) Egészségügyi adatok kezelése. Kórházak, egészségügyi szolgáltatók, magán orvosi szolgáltatók vagy nagy ügyfélkörrel rendelkező nem orvosi szolgáltatók által a személyes adatok különleges kategóriáját érintő nagymértékű adatkezelés. Ez magában foglalja a nagyobb sport intézmények vagy edzőtermek tagjaitól gyűjtött egészségügyi adatok kezelését is.
23) Amennyiben az adatkezelő egy olyan alkalmazás, eszköz vagy platform létrehozását tervezi, amelyet egy egész szektor használna a személyes adatok különleges kategóriájának kezelésére is.
24) Az adatkezelés célja különböző forrásból származó adatok, összepárosítás és összehasonlítás céljából történő összekapcsolása.
Az adatkezelő kötelezettsége annak az adatkezelés megkezdését megelőző dokumentált elemzése, hogy egy konkrét adatkezelési tevékenység kapcsán szükséges-e hatásvizsgálatot végezni. Úgyszintén, annak figyelemmel kísérése is az adatkezelő kötelezettsége, hogy folyamatosan figyelemmel kísérje azt, hogy a körülmények változása okán szükségessé válik-e adatvédelmi hatásvizsgálatot végezni. Amennyiben hatásvizsgálatot kell végezni, akkor az adatkezelést megelőzően el kell azt végeznie és adott esetben (ha a hatásvizsgálat által azonosított maradék kockázat továbbra sem elfogadható szintű) konzultálnia kell az adatvédelmi hatósággal.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.