A 29. cikk szerinti Adatvédelmi Munkacsoport 2017. április 4-én kiadta az Adatvédelmi Hatásvizsgálatokkal és az adatkezelési tevékenység magas kockázatú voltának meghatározásával kapcsolatos iránymutatását.
Az adatvédelmi hatásvizsgálat elvégzése kulcsfontosságú azon adatkezelési tevékenységek esetében, amelyek magas kockázattal járnak. A Munkacsoport által kibocsátott iránymutatás a magas kockázatú adatkezelések azonosításához, illetőleg a hatásvizsgálat elvégzéséhez nyújtanak segítséget.
Az iránymutatás a GDPR szabályozásával kapcsolatos több fehér foltot igyekszik tartalommal megtölteni, azonban sajnos így sem tekinthető teljes körűnek, illetve az nem kötelező erejű. Bizonyos módszertani kérdéseket (pl. mikor, milyen esetekben kötelező elvégezni) maga a GDPR határoz meg, ugyanakkor sajnos több, explicit módon jelen nem lévő követelményt nem tisztáz sem a jogszabály, sem a munkacsoport iránymutatása.
A kiadott dokumentum több európai módszertanra, illetve az ISO 31000-es, kockázatmenedzsmentről szóló szabványra hivatkozik, ugyanakkor nem említi a kockázatkezelési folyamatokkal kapcsolatos pontos, gyakorlati szempontból kellően részletes követelményeket, továbbá a kockázatcsökkentő intézkedések megfogalmazásával és végrehajtásával, valamint a kockázati étvágy szintjének meghatározásával és annak elfogadásával kapcsolatos előírásokat. Ezen túlmenően sajnos praktikus választ sem ad arra vonatkozóan, hogy az adatvédelmi hatásvizsgálat eredményeit a vállalati kockázatkezelési folyamatokba milyen módon célszerű beépíteni annak érdekében, hogy a felső vezetés nyomon tudja követni a kockázatcsökkentő intézkedések végrehajtását, amely implicit módon vezethető le csak a GDPR rendelkezéseiből. A GDPR-ból jelenleg szintén implicit módon vezethető csak le az ENISA anyagaira figyelemmel a módszertanra vonatkozóan annak szükségszerűen kvalitatív jellege. Felelősség tekintetében szintén azt rögzíti a GDPR, hogy a vállalat felső vezetésének a feladata az adatvédelmi hatásvizsgálat és a szükséges szervezési és technikai intézkedések megtétele, ugyanakkor ezzel kapcsolatban (pl. kötelező erőforrások biztosítása, határidők meghatározása az egyes kockázati szintek esetében, szervezeti felelősségek) nem tartalmaz rendelkezéseket.
A GDPR 36. cikk (1) bekezdése értelmében, ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelőnek konzultálnia kell a felügyeleti hatósággal. A GDPR szövege mindazonáltal ezen a ponton nem egyértelmű, hogy minden esetben konzultálni szükséges-e a hatósággal, vagy csak akkor, ha a kockázat mérséklése céljából tett intézkedések ellenére is magas a reziduális kockázat. A Munkacsoport ez utóbbi jogértelmezést fogadja el, tehát nem szükséges konzultálni a hatósággal, ha a magas kockázat megfelelő intézkedésekkel mérsékelhető. Ha magas kockázatú az adatkezelés, úgy az adatkezelő kötelezettsége a megfelelő hatásvizsgálati módszertan kiválasztása. A Munkacsoport iránymutatása szerint a megfelelőség érdekében javasolt a kiadott iránymutatás 1. számú függelékében felsorolt módszertan kiválasztása, amely biztosítja, hogy az iránymutatás 2. számú függelékében szereplő vagy annak megfelelő vizsgálati szempontok betartásra kerüljenek, szükség esetén a jelentés egyeztetésre kerüljön a hatósággal, a jelentés rendszeresen felülvizsgálatra kerüljön, illetőleg a hatásvizsgálattal kapcsolatos döntések megfelelően dokumentálásra kerüljenek. A Munkacsoport azt támogatja, hogy a jövőben szektorspecifikus hatásvizsgálatok kerüljenek kialakításra, mely szempontból a magatartási kódexeknek lehet ezzel kapcsolatos szerepe.
Az iránymutatás ismertetése:
A 29. cikk szerinti Adatvédelmi Munkacsoport dokumentuma azokra a területekre kíván rávilágítani, amely adatkezelési tevékenységek esetében kötelező, illetve ahol nem szükséges az adatvédelmi hatásvizsgálat elvégzése, egységes módszertan kidolgozása, a felügyeleti szervekkel történő konzultáció kritériumainak meghatározása, valamint EU tagállami szintű javaslatok megfogalmazása.
A kiadott dokumentum a bevezetőjében kijelenti, hogy az adatvédelmi hatásvizsgálatok a GDPR-ral való megfelelés biztosításának eszközei, amelyek végrehajtásának elmaradása, a nem megfelelő módon történő végrehajtása, illetve a felügyeleti hatósággal történő konzultáció elmaradása bírságolási alap lehet.
A kiadott iránymutatás részletesen tárgyalja a GDPR rendelkezéseit, így azt, hogy milyen esetekben kell adatvédelmi hatásvizsgálatot végezni, az alábbi javasolt folyamat szerint:
1. Valószínűsíthetően magas kockázattal jár az adatkezelés? Ha nem, akkor nem szükséges az adatvédelmi hatásvizsgálat;
2. Fennáll-e a 35. Cikk (5) vagy (10) bekezdéseiben (felügyeleti hatóság által, illetve tagállami szabályozás által kivett adatkezelési tevékenységek) megfogalmazott kivétel? Ha nem, akkor nem szükséges az adatvédelmi hatásvizsgálat;
3. Adatvédelmi hatásvizsgálat elvégzése, amelyhez figyelembe kell venni az adatvédelmi tisztviselő tanácsát, aki nyomon követi a folyamatot, a magatartási kódex(ek) előírásait, illetve az adatalanyok, vagy képviselőik véleményét. Az adatvédelmi hatásvizsgálat eredményeként az adatkezelő ellenőrzi az adatkezelési tevékenységeit.
4. Amennyiben az adatvédelmi hatásvizsgálat eredményeként, az azonosított szervezési és technikai kontrollok ellenére még mindig magas maradvány kockázati szint jelentkezik, úgy az adatkezelési tevékenység megkezdése előtt a felügyeleti szervvel történő konzultáció szükséges.
Az iránymutatás az alábbiakat taglalja még továbbá:
A) A 29. cikk szerinti Adatvédelmi Munkacsoport álláspontja szerint az adatvédelmi hatásvizsgálatok több, hasonló adatkezelési tevékenységet is lefedhetnek, így példaként hozva, hogy ha az adatkezelési tevékenység elvégzésére hasonló technológiát alkalmaznak. Közös adatkezelés esetén az adat- és kockázatkezelési tevékenységek pontos meghatározása és felosztása szükséges. Rögzíti a dokumentum, hogy például hardver és szoftver gyártók esetében is célszerű elvégezni az adatvédelmi hatásvizsgálatot a termékeik vonatkozásában.
B) Mely adatkezelési tevékenységek esetében szükséges elvégezni az adatvédelmi hatásvizsgálatot? Sajnos a kiadott dokumentum nem kötelező erejű e tekintetben sem, így az iránymutatásban megfogalmazottak leginkább javaslatként vehetők figyelembe az egyes felügyeleti hatóságok számára. Felsorolás szerűen az alábbi tevékenységeket említi a dokumentum:
1. Scoring, adatalanyok értékelése (pl. profilozás, vagy banki hitelbírálat)
2. Jogi vagy hasonló eredménnyel bíró automatizált döntéshozatal
3. Adatalanyok módszeres megfigyelése (pl. köztéri zártláncú kamerás megfigyelés)
4. Érzékeny adatok esetében, pl. személyes adatok különleges kategóriáinak esetében, külön kiemelve az elektronikus kommunikációt, pénzügyi, geolokációs adatokat, vagy magánszemélyek által használt felhőszolgáltatásokat, személyi asszisztenseket
5. Adatkezelési műveletek kiterjedtsége, amellyel kapcsolatban az alábbiakat javasolja figyelembe venni a 29-es számú Munkacsoport:
– érintett adatalanyok számossága
– kezelt adatok mennyisége, változatossága
– adatkezelés időtartama, állandósága
– földrajzi kiterjedtsége
6. Összekapcsolt adatállományok, adathalmazok
7. Jogérvényesítésükben korlátozott vagy kizárt adatalanyok adatkezelése, pl. gyermekek, fogyatékkal élők, de még munkavállalók is
8. Technológiai vagy szervezési megoldások újítása
9. EU-n kívüli adatkezelés esetén
10. Olyan esetekben, amikor az adatalany nem rendelkezik választási lehetőséggel
A 29. cikk szerinti Adatvédelmi Munkacsoport értelmezése szerint a fentiek közül legalább két adatkezelési tevékenység együttes fennállása már valószínűsíthetően magas kockázattal jár. Ugyanakkor mérlegelni kell azt is, ha csak egy ilyen jellegű adatkezelés valósul meg az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira figyelemmel.
Az iránymutatás tartalmazza azokat az adatkezelési tevékenységeket is, amelyek esetében nem tartja szükségesnek a Munkacsoport az adatvédelmi hatásvizsgálat elvégzését.
Kiemeli a dokumentum, hogy a GDPR szabályainak 2018. május 25-től való alkalmazhatóságára figyelemmel az alkalmazandóvá válást megelőzően megkezdett adatkezelések esetében is célszerű és javasolt elvégezni az adatvédelmi hatásvizsgálatokat.
C) Milyen módon javasolt elvégezni az adatvédelmi hatásvizsgálatot?
A Munkacsoport egyértelművé teszi, hogy a hatásvizsgálatot az adatkezelőnek (és nem az adatfeldolgozónak) kell elvégeznie és ezzel kapcsolatosan az adatvédelmi tisztviselő véleményét, illetőleg az érintettek véleményét is be kell szereznie az adatkezelőnek. Ha az érintettek véleményét nem szerzik be (pl. üzemi tanácsi konzultáció vagy ügyfél kérdőív kitöltése útján), úgy annak indokát az adatkezelőnek dokumentálnia kell. A Munkacsoport azt javasolja legjobb gyakorlatként, hogy belső szabályzatban kerüljön rögzítésre az adatvédelmi hatásvizsgálat elvégzésének folyamata, tehát az, hogy ki kezdeményezheti, illetőleg az értékelési folyamatba kit szükséges bevonni.
A GDPR egyértelműen rögzíti, hogy az adatkezelési tevékenység megkezdése előtt kell végrehajtani az adatvédelmi hatásvizsgálatot, célszerű már az adatkezelési tevékenység tervezésekor elindítani az adatvédelmi hatásvizsgálati folyamatot, és bizonyos esetekben megismételni az adatkezelési tevékenység megkezdését követően, vagy folyamatos gyakorlatként kezelni.
A GDPR rendelkezései alapján az hatásvizsgálatnak az alábbiakra kell kiterjednie:
1. a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére
2. az adatkezelési műveletek szükségességi és arányossági vizsgálata
3. az érintett adatalanyok jogait és szabadságait érintő kockázatok vizsgálatára
4. a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását
Az iránymutatás az alábbi folyamatot javasolja figyelembe venni az adatvédelmi hatásvizsgálat elvégzésekor:
1. Tervezett adatkezelés leírása
2. Szükségességi és arányossági vizsgálata
3. Megfelelőséget biztosító intézkedések leírása
4. Érintett adatalanyok jogait és szabadságait érintő kockázatok vizsgálatának leírása
5. A tervezett kockázatcsökkentő intézkedések leírása
6. Dokumentálás – mind az eredmények, mind a meghozott döntések vonatkozásában
7. Felülvizsgálat és nyomon követés
A fentieken túlmenően a magatartási kódexekben megfogalmazottak figyelembe vétele is javasolt. Külön kiemeli az iránymutatás, hogy a GDPR által definiált adatvédelmi hatásvizsgálat fő fókusza az egyes adatalanyok jogai és szabadságai, és a kockázatot is e szempont alapján kell értelmezni.
Az iránymutatás javaslata alapján – az adatkezelő diszkrecionális jogának elismerésével – célszerű legalább részben publikálni az adatvédelmi hatásvizsgálat eredményét.