A magyar jogban eddig ismeretlen adatvédelmi hatásvizsgálat komoly kihívást jelent a személyes adatokat kezelő szervezetek részére. A GDPR-ban ez az egyik olyan rész, amely a legtöbb mérlegelési szempontot tartalmazza, de talán pont ezért a jogszabály maga teremt lehetőséget arra, hogy a nemzeti hatóságok fekete és fehér listákat hozzanak létre, amelyekben jelzik, hogy mely tervezett adatkezelések esetén kell minden esetben hatásvizsgálatot végezni és melyek azok, amikor ez biztosan nem szükséges. Ebben a bejegyzésben bemutatjuk a belga adatvédelmi hatóság ilyen listáit.

Mi az az adatvédelmi hatásvizsgálat?

A GDPR szerint, ha egy tervezett adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelőnek az adatkezelést megelőzően hatásvizsgálatot (Data Protection Impact Assessment, DPIA) kell végeznie arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Azzal kapcsolatban, hogy mi jelent „valószínűsíthetően magas kockázatot” a GDPR maga nyújt általános kapaszkodót:

35. cikk Adatvédelmi hatásvizsgálat

(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b) a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy

c) nyilvános helyek nagymértékű, módszeres megfigyelése.

A fenti három eset sem feltétlenül nyújt egyértelmű választ minden esetben, de ez nem meglepő, hiszen a GDPR – nevéből is egyértelműen – általános szabályokat és előírásokat tartalmaz. A 35. cikk konkrét esetekre történő alkalmazhatósága tekintetében további nehézség, hogy a (1) bekezdésben található valószínűsíthetően magas kockázat (likely to result in a high risk), a (3) bekezdésben olvasható különösen (in particular) mellett a többi bekezdés is számos hasonló nyitott fordulatot, példálódzó felsorolást tartalmaz:

(7) A hatásvizsgálat kiterjed legalább [angolul: at least] […]

(9) Az adatkezelő adott esetben [angolul: where appropriate] – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(7) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.

(11) Az adatkezelő szükség szerint [angolul: where necessary], de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.

Ami a (10) bekezdést illeti, kérdés, hogy mennyiben az adatkezelők felelőssége megítélni, hogy ha adott esetben az adatkezelés jogalapja kötelező adatkezelés (a szónak az Infotv-beli értelmében, azaz ha tagállami jogszabály alapján kell valamilyen adatot kezelni), akkor az adott tagállam végzett-e hatásvizsgálatot és ha igen, akkor ez megfelel a GDPR-ban az adatvédelmi hatásvizsgálattal szemben támasztott kritériumoknak.

Az értelmezési nehézségek feloldásában ugyanakkor segít a WP29 iránymutatása, amelyben már a gyakorlathoz jóval közelebb álló tanácsok találhatóak.

Fekete- és fehér listák

A GDPR 35. cikke kötelezettséget, illetve lehetőséget teremt a hatóságok számára, hogy további segítséget nyújtsanak az hatásvizsgálat szükségességének kérdésével szembesülő szervezetek számára: a (4) bekezdés szerint az adatvédelmi hatóságnak össze kell (!) állítania azon adatkezelések jegyzékét, amelyek esetében minden esetben el kell végezni a hatásvizsgálatot. Az (5) bekezdés egy olyan jegyzék összeállításának a lehetőségét (!) teremti meg, amely azon adatkezeléseket tartalmazza, amelyek esetében nem kell hatásvizsgálatot végezni.

A közelmúltban a német adatvédelmi hatóságok, valamint az osztrák adatvédelmi hatóság is közzétették a saját vonatkozó listáit, ezen felül korábban az angol és a lengyel hatóság is tett közzé hasonló listákat. Ezekről angol nyelvű összefoglalók elérhetőek a következő linkeken: a német adatvédelmi hatóságok listái; az osztrák adatvédelmi hatóság fehér listája; az angol hatóság vonatkozó ajánlásai; a lengyel hatóság fekete lista tervezete.

A belga hatóság listái

A belga adatvédelmi hatóság elsőként tett közzé egy olyan ajánlást az adatvédelmi hatásvizsgálat lefolytatásának szükségességéről, mely tartalmaz egy feketelistát (ahol a hatásvizsgálat szükséges) és egy fehér listát (ahol a hatásvizsgálat nem szükséges). A belga hatóság ezeket már a GDPR hatálybalépése előtt, mint tervezet közzétette. A listák csak ajánlásként szolgálnak, azok változhatnak. Az alábbi táblázat a belga hatóság által közzétett két lista legfontosabb elemeinek fordítását tartalmazza kérdés formátumban. (A francia változat itt érhető el, a listák az 1. és 2. mellékletben vannak)

Hangsúlyozzuk, hogy az alábbi listákat nem a NAIH tette közzé és ezek nem rendelkeznek kötelező erővel a hatóságokra nézve. A NAIH honlapján ilyen listák egyelőre nem érhetőek el.

Fekete Lista – Ha a válasz igen, hatásvizsgálat szükséges

  • Használ az érintettek azonosításához az (új) adatkezelési művelet/technológia biometrikus adatokat?
  • Érint-e genetikai adatokat az (új) adatkezelési művelet/technológia?
  • Az (új) adatkezelési művelet/technológia érdemben figyelembe vesz harmadik féltől gyűjtött személyes adatokat annak eldöntése során, hogy egy szolgáltatás nyújtását az adatkezelő megtagadja, vagy leállítsa egy érintett tekintetében?
  • Célja az (új) adatkezelési műveletnek/technológiának az érintett pénzügyi helyzetének értékelése vagy az érintettre vonatkozó egyéb kockázati profil kialakítása, amelyet figyelembe vesz az érintett részére nyújtott szolgáltatásai során (vagy szolgáltatás visszautasításáról vagy megszüntetéséről szóló döntésnél)?
  • Az (új) adatkezelési művelet/technológia jellegéből adódik-e, hogy egy adatvédelmi incidens veszélybe sodorhatja az érintett egészségét?
  • Jár az (új) adatkezelési művelet/technológia olyan pénzügyi vagy különleges adatok kezelésével, amelyeket azok gyűjtésétől eltérő más célokra használnak fel vagy használnak újra, amennyiben az adatkezelés jogalapja nem az érintett hozzájárulása, vagy jogi kötelezettség teljesítése?
  • Alkalmat ad az az (új) adatkezelési művelet/technológia a nagyszámú érintetthez kapcsolódó személyes adatok közlésére vagy hozzáférhetővé tételére?
  • Magában foglalja az (új) adatkezelési művelet/technológia személyes jellemzők értékelését a munkahelyi teljesítmény, gazdasági helyzet, egészség, személyes preferenciák és érdeklődés, megbízhatóság vagy viselkedés, helymeghatározás és mozgás elemzése vagy előrejelzése céljából?
  • Magában foglalja az (új) adatkezelési művelet/technológia természetes személyek kiterjedt jellegű profilozását?
  • Érinti-e az (új) adatkezelési művelet/technológia kiszolgáltatott helyzetű érintettek – különösen gyermekek – személyes adatainak nagymértékű kezelését más célokra, mint amire gyűjtötték ezeket?

Fehér lista – Ha a válasz igen, hatásvizsgálat nem szükséges

  • Az (új) adatkezelési művelet/technológia kizárólag a bérszámfejtéshez szükséges adatokhoz kapcsolódik, és az adatokat kizárólag ilyen célokra használják-e fel (feltéve, hogy az adatokat csak a bérszámfejtésre jogosult címzetteknek továbbítják és azokat nem tárolják tovább a szükségesnél)?
  • Az (új) adatkezelési művelet/technológia kizárólag a személyzet adminisztrációjával kapcsolatos, nem különleges adatokra vonatkozik, leszámítva a munkavállaló értékelésére vonatkozó adatokat (feltéve, hogy az adatokat nem tárolják tovább a szükségesnél és nem továbbítják harmadik személyek részére, kivéve, ha ez jogszabály alapján vagy az adatkezelési célok elérése érdekében szükséges)?
  • Az (új) adatkezelési művelet/technológia kizárólag olyan érintettek adataira vonatkozik, amelyeknek kezelése számviteli célokból szükségesek, és kizárólag ebből a célból kezelik az adatokat (feltéve, hogy az adatokat nem tárolják tovább a szükségesnél és nem továbbítják harmadik személyek részére, kivéve, ha ez jogszabály alapján vagy az adatkezelési célok elérése érdekében szükséges)?
  • Az (új) adatkezelési művelet/technológia kizárólag a részvényesek és a tagok adminisztrációjához kapcsolódik és kizárólag olyan érintettek adataira vonatkozik, amelyek a részvényesek és a tagok adminisztrációjához szükségesek (feltéve, hogy az adatokat nem tárolják tovább a szükségesnél és nem továbbítják harmadik személyek részére, kivéve, ha ez jogszabály alapján vagy az adatkezelési célok elérése érdekében szükséges)?
  • Az (új) adatkezelési művelet/technológia kizárólag a látogatók belépés-ellenőrzése keretében történő nyilvántartásba vételéhez kapcsolódik, és az adatok a látogató nevére munkahelyének címére, munkáltatójának azonosítására, a látogató járművének azonosítására, a meglátogatott személy nevére, részlegére és funkciójára, valamint a látogatás időpontjára korlátozódnak (feltéve, hogy az adatokat csak belépés-ellenőrzési célokra használják és nem tárolják tovább a szükségesnél)?
  • Alapítvány, egyesület vagy bármely más nonprofit intézmény végzi az (új) adatkezelési műveletet/technológiát a szokásos tevékenysége során, és az csak a saját tagjaira, kedvezményezettjeire és azok személyekre vonatkozó személyes adatokra vonatkozik, akivel az adatkezelő rendszeres kapcsolatot tart fenn (feltéve, hogy harmadik személyektől kapott adatok alapján egyetlen személyt sem vesznek nyilvántartásba, és feltéve, hogy az adatokat nem tárolják tovább a szükségesnél és nem továbbítják harmadik személyek részére, kivéve ha ez jogszabály alapján szükséges)?
  • Oktatási intézmény végzi az (új) adatkezelési műveletet/technológiát a tanulóikkal vagy hallgatóikkal való kapcsolattartás céljából oktatási feladataik körében és az csak potenciális, jelenlegi és korábbi hallgatók személyes adataira vonatkozik? (feltéve, hogy harmadik személyektől kapott adatok alapján egyetlen személyt sem vesznek nyilvántartásba és feltéve, hogy az adatokat nem tárolják tovább a szükségesnél és nem továbbítják harmadik személyek részére, kivéve ha ez jogszabály alapján szükséges)