Adatvédelmi hatásvizsgálat: előremenekülve

Szűcs Zsolt - 2022.05.17. 14:38:07

hatasvizsgalat-2022-16x9

Előző blogcikkünkben az adatvédelmi incidensekkel foglalkoztunk bővebben; most, mondhatjuk a sor végéről egy nagy ugrással a legelejére kanyarodunk vissza. Azt tekintjük át, hogy még az adatkezelés megkezdése előtt miért lehet szükség adatvédelmi hatásvizsgálatra, egyáltalán mi fán terem, milyen szempontok alapján kell elvégezni, és hogyan kapcsolódik hozzá az érdekmérlegelési teszt kötelezettsége.

A két fogalom sokban kapcsolódik egymáshoz: ahogy az incidensek bejelentése, úgy a hatásvizsgálat esetében is a központi kérdés, hogy az adatkezelés – valószínűsíthetően – mekkora kockázattal jár az érintettre nézve (kockázatalapú megközelítés). Ha úgy ítéljük meg (vagy a NAIH, de erről később), hogy magas kockázattal jár, nincs mese, hatásvizsgálatot kell lefolytatnunk. Megjegyezzük, akkor is jobban járunk, ha inkább elvégezzük, ha bizonytalanok vagyunk a kockázat nagyságában: ha ugyanis ezt megtesszük – mondhatjuk, előremenekülünk –, sokkal nagyobb eséllyel kerülhetjük el, hogy később belefussunk egy (saját hibánkból bekövetkező) incidensbe.

Mérlegelés, vizsgálódás: mikor kötelező, mikor nem?

Tehát akkor, hatásvizsgálat; ám még mielőtt nekilátunk, érdemes kikérni az adatvédelmi tisztviselő szakmai tanácsát; sajnos, ő saját maga viszont nem folytathatja le, ez az adatkezelő feladata. Kezdjük a könnyebbik oldalával, vagyis, hogy mikor nem kell elvégeznünk. Két példa: ha az adatkezelés egy szakorvos vagy egészségügyi szakember betegeinek, egy ügyvéd klienseinek a személyes adataira vonatkozik, nincs szükség hatásvizsgálatra, mert ezekben az esetekben nem tekinthető nagymértékűnek az adatkezelés.

Ám az adatkezelők többsége biztosan nem egyéni orvos vagy ügyvéd, így csak bele kell vágnia. Mutatjuk, mikor nem is kell mérlegelni, mert biztosan szükséges a hatásvizsgálat: profilalkotás, automatizált döntéshozatal (hitelképesség megállapítása, munkavállalók prémiumának automatikus megállapítása, automatikus munkaerő-értékelési rendszer, pályázók önéletrajzának automatikus kiválasztása).

Ugyancsak magas a kockázat egy magánklinikán vagy egy gyermekotthon megfigyelési rendszerénél, egy bevásárlóközpont kamerái esetében; ha egy biztosítótársaság osztályozza ügyfeleit a szolgáltatásai igénybevételéhez. És hogy két internetes példát is hozzunk: ha egy vállalkozás a közösségi médiában megosztott adatok alapján végez profilalkotást ügyfelei és alkalmazottai tekintetében, vagy akár az egyre többek által használt társkereső applikációknál.

Ha nem tudunk dönteni, segít a NAIH: íme, a feketelista!

Van aztán a NAIH-nak is egy hatósági listája – a szakzsargonban csak feketelista – amely 24 bőségesen részletezett pontban sorolja fel azokat az eseteket, amikor ugyancsak mérlegelés nélkül, kötelező jelleggel el kell végezni a vizsgálatot.

Nevezhetjük további rossz hírnek is, hogy a hatásvizsgálat nem egy egyszeri, gyorsan kipipálható feladat, hanem az adatkezelés fennállása alatt folyamatosan felül kell vizsgálni, adott esetben aktualizálni.
A hatásvizsgálathoz szorosan kötődő feladat az érdekmérlegelési teszt elvégzése. Utóbbit a „jogos érdek” jogalapon tervezett adatkezelések előtt a két fél (adatkezelő és érintett) érdekeinek előbbrevalóságát megállapítandó kell lefuttatni – de erről majd következő blogbejegyzésünkben írunk részletesen.
Egyelőre azt jegyezzük meg, hogy mindkettőben ki kell térni az adatkezelés szükségességének és arányosságának vizsgálatára és értékelni kell, hogy ez milyen kockázatokat jelent az érintettek jogaira és szabadságaira.

A gyakorlatban a hatásvizsgálat megelőzheti az érdekmérlegelést, de készülhet azzal egyidejűleg vagy utána is. Be kell mutatni benne a kockázatok kezelését célzó intézkedéseket, garanciákat, biztonsági mechanizmusokat.

Ugyancsak hatósági könnyítés: PIA, a „hatásvizsgáló” szoftver

Ha az előbb rossz hírt emlegettünk a NAIH kapcsán, van ezért egy jó is: a hatásvizsgálat elkészítéséhez segítséget nyújt a hatóság weboldaláról letölthető PIA szoftver. (A szoftver gyakorlati alkalmazásáról már írtunk egy korábbi blogcikkünkben, tekintse meg ITT!) Természetesen nem kötelező ezt használni, de útmutatónak mindenképpen hasznos. A hatásvizsgálatot készíthetjük word vagy excel formátumban, a lényeg, hogy térjünk ki minden olyan szempontra, amire szükség lehet az eredmény érdekében.

Sok a rossz példa, Ön forduljon inkább szakértőhöz!

Zárásként, immár négy esztendőnyi, azaz a bevezetése óta folytatott GDPR-tanácsadói gyakorlattal a hátunk mögött elárulhatjuk, hogy sok jó tapasztalat mellett e téren éppen sok rosszal szembesültünk. Nagyon gyakran nem megfelelően végzik el – vagy sehogy sem –, esetleg nem akkor, amikor kellene. De láttuk már fordítva is, előfordul hogy akkor is megcsinálják, amikor pedig nem lenne rá szükség – mondjuk, ez a kisebbik baj.
Ha tehát Ön vagy a cége magára ismer valamelyik példánkból, és a leírtak alapján úgy ítéli meg, hasznos és/vagy szüksége lenne ilyen vizsgálatok elvégzésére, ne késlekedjen, lépjen kapcsolatba szakértő tanácsadóinkkal, akik gyorsan és hatékonyan segítenek az adatvédelmi megfelelésben.

 

Díjmentesen letöltöm az Adatvédelmi kisokos sorozatot!

Ha még részletesebb információkat szeretne az adatvédelmi incidensekkel kapcsolatos teendőkről, a fenti gombra kattintva olvassa el Adatvédelmi kisokos sorozatunk közérthető szakmai írásait!
 Hasonló tartalmakért pedig kérjük, iratkozzon fel hírlevelünkre, hogy azonnal szólni tudjunk az új cikkekről és díjmentesen letölthető kiadványainkról! Köszönjük!

Iratkozzon fel hírlevelünkre!

 

 

 

Rovatok: GDPR- Crosssec

Szűcs Zsolt

Szűcs Zsolt

Kommunikációs menedzserként a nyelvi kiválóság elkötelezett híve – saját megfogalmazásával ő felel azért, hogy írásainkban a betűk mindig az ideális összetételben és sorrendben kövessék egymást. Hogy cikkeink, blogjaink tartalma legyen bár mindig lexikális alaposságú, a formájuk maradjon mégis érdekes, színes, olvasmányos.

Előző cikk

Adatvédelmi incidens? Jelentést kérünk!

Következő cikk

Hurrá! Négyéves a GDPR! Ön már vele ünnepelhet?

0 Comments

HÍRLEVÉL-FELIRATKOZÁS

Iratkozzon Fel Hírlevelünkre!

Hírlevelünkben sok olyan hasznos információval találkozhat, amelyek elengedhetetlenek egy vállalkozás szabályos és gördülékeny működéséhez.

Ahhoz, hogy fel tudjon iratkozni a hírlevelünkre, kérjük, a megcsillagozott jelölőnégyzet segítségével jelezze, hogy tudomásul veszi, hogy a Crosssec Solutions Kft. a marketing célú megkeresésről és hirlevélküldésről szóló adatkezelési tájékoztató szerint kezeli az adatait, és időnként hírlevelet küld az Ön számára. Annak érdekében, hogy elsősorban olyan témákban küldjünk hírlevelet, amelyek leginkább érdeklik Önt, kérjük jelölje, melyek ezek. Köszönjük.

Legfrissebb cikkek