Adatvédelmi hatásvizsgálat: előremenekülve
Előző blogcikkünkben az adatvédelmi incidensekkel foglalkoztunk bővebben; most, mondhatjuk a sor végéről egy nagy ugrással a legelejére kanyarodunk vissza. Azt tekintjük át, hogy még az adatkezelés megkezdése előtt miért lehet szükség adatvédelmi hatásvizsgálatra, egyáltalán mi fán terem, milyen szempontok alapján kell elvégezni, és hogyan kapcsolódik hozzá az érdekmérlegelési teszt kötelezettsége.
A két fogalom sokban kapcsolódik egymáshoz: ahogy az incidensek bejelentése, úgy a hatásvizsgálat esetében is a központi kérdés, hogy az adatkezelés – valószínűsíthetően – mekkora kockázattal jár az érintettre nézve (kockázatalapú megközelítés). Ha úgy ítéljük meg (vagy a NAIH, de erről később), hogy magas kockázattal jár, nincs mese, hatásvizsgálatot kell lefolytatnunk. Megjegyezzük, akkor is jobban járunk, ha inkább elvégezzük, ha bizonytalanok vagyunk a kockázat nagyságában: ha ugyanis ezt megtesszük – mondhatjuk, előremenekülünk –, sokkal nagyobb eséllyel kerülhetjük el, hogy később belefussunk egy (saját hibánkból bekövetkező) incidensbe.
Mérlegelés, vizsgálódás: mikor kötelező, mikor nem?
Tehát akkor, hatásvizsgálat; ám még mielőtt nekilátunk, érdemes kikérni az adatvédelmi tisztviselő szakmai tanácsát; sajnos, ő saját maga viszont nem folytathatja le, ez az adatkezelő feladata. Kezdjük a könnyebbik oldalával, vagyis, hogy mikor nem kell elvégeznünk. Két példa: ha az adatkezelés egy szakorvos vagy egészségügyi szakember betegeinek, egy ügyvéd klienseinek a személyes adataira vonatkozik, nincs szükség hatásvizsgálatra, mert ezekben az esetekben nem tekinthető nagymértékűnek az adatkezelés.
Ám az adatkezelők többsége biztosan nem egyéni orvos vagy ügyvéd, így csak bele kell vágnia. Mutatjuk, mikor nem is kell mérlegelni, mert biztosan szükséges a hatásvizsgálat: profilalkotás, automatizált döntéshozatal (hitelképesség megállapítása, munkavállalók prémiumának automatikus megállapítása, automatikus munkaerő-értékelési rendszer, pályázók önéletrajzának automatikus kiválasztása).
Ugyancsak magas a kockázat egy magánklinikán vagy egy gyermekotthon megfigyelési rendszerénél, egy bevásárlóközpont kamerái esetében; ha egy biztosítótársaság osztályozza ügyfeleit a szolgáltatásai igénybevételéhez. És hogy két internetes példát is hozzunk: ha egy vállalkozás a közösségi médiában megosztott adatok alapján végez profilalkotást ügyfelei és alkalmazottai tekintetében, vagy akár az egyre többek által használt társkereső applikációknál.
Ha nem tudunk dönteni, segít a NAIH: íme, a feketelista!
Van aztán a NAIH-nak is egy hatósági listája – a szakzsargonban csak feketelista – amely 24 bőségesen részletezett pontban sorolja fel azokat az eseteket, amikor ugyancsak mérlegelés nélkül, kötelező jelleggel el kell végezni a vizsgálatot.
Nevezhetjük további rossz hírnek is, hogy a hatásvizsgálat nem egy egyszeri, gyorsan kipipálható feladat, hanem az adatkezelés fennállása alatt folyamatosan felül kell vizsgálni, adott esetben aktualizálni.
A hatásvizsgálathoz szorosan kötődő feladat az érdekmérlegelési teszt elvégzése. Utóbbit a „jogos érdek” jogalapon tervezett adatkezelések előtt a két fél (adatkezelő és érintett) érdekeinek előbbrevalóságát megállapítandó kell lefuttatni – de erről majd következő blogbejegyzésünkben írunk részletesen.
Egyelőre azt jegyezzük meg, hogy mindkettőben ki kell térni az adatkezelés szükségességének és arányosságának vizsgálatára és értékelni kell, hogy ez milyen kockázatokat jelent az érintettek jogaira és szabadságaira.
A gyakorlatban a hatásvizsgálat megelőzheti az érdekmérlegelést, de készülhet azzal egyidejűleg vagy utána is. Be kell mutatni benne a kockázatok kezelését célzó intézkedéseket, garanciákat, biztonsági mechanizmusokat.
Ugyancsak hatósági könnyítés: PIA, a „hatásvizsgáló” szoftver
Ha az előbb rossz hírt emlegettünk a NAIH kapcsán, van ezért egy jó is: a hatásvizsgálat elkészítéséhez segítséget nyújt a hatóság weboldaláról letölthető PIA szoftver. (A szoftver gyakorlati alkalmazásáról már írtunk egy korábbi blogcikkünkben, tekintse meg ITT!) Természetesen nem kötelező ezt használni, de útmutatónak mindenképpen hasznos. A hatásvizsgálatot készíthetjük word vagy excel formátumban, a lényeg, hogy térjünk ki minden olyan szempontra, amire szükség lehet az eredmény érdekében.
Sok a rossz példa, Ön forduljon inkább szakértőhöz!
Zárásként, immár négy esztendőnyi, azaz a bevezetése óta folytatott GDPR-tanácsadói gyakorlattal a hátunk mögött elárulhatjuk, hogy sok jó tapasztalat mellett e téren éppen sok rosszal szembesültünk. Nagyon gyakran nem megfelelően végzik el – vagy sehogy sem –, esetleg nem akkor, amikor kellene. De láttuk már fordítva is, előfordul hogy akkor is megcsinálják, amikor pedig nem lenne rá szükség – mondjuk, ez a kisebbik baj.
Ha tehát Ön vagy a cége magára ismer valamelyik példánkból, és a leírtak alapján úgy ítéli meg, hasznos és/vagy szüksége lenne ilyen vizsgálatok elvégzésére, ne késlekedjen, lépjen kapcsolatba szakértő tanácsadóinkkal, akik gyorsan és hatékonyan segítenek az adatvédelmi megfelelésben.
Díjmentesen letöltöm az Adatvédelmi kisokos sorozatot!
Ha még részletesebb információkat szeretne az adatvédelmi incidensekkel kapcsolatos teendőkről, a fenti gombra kattintva olvassa el Adatvédelmi kisokos sorozatunk közérthető szakmai írásait!
Hasonló tartalmakért pedig kérjük, iratkozzon fel hírlevelünkre, hogy azonnal szólni tudjunk az új cikkekről és díjmentesen letölthető kiadványainkról! Köszönjük!