A hatásvizsgálat lefolytatásának kötelező esetei
Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (a továbbiakban: GDPR) 35. cikke értelmében az adatkezelést megelőzően hatásvizsgálatot kell lefolytatnia az adatkezelőnek, amennyiben adatkezelése valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. A GDPR 35. cikk (4) bekezdése szerint az adatvédelmi hatóságnak össze kell állítania az adatkezelések azon jegyzékét, amely esetekben a hatásvizsgálat elvégzése kötelező.
A NAIH közzétette jegyzékét
A Nemzeti Adatvédelmi és Információszabadság Hatóság felhívja az adatkezelők figyelmét, hogy nem csupán a jegyzékben felsorolt esetekben kötelező a hatásvizsgálat elvégzése, hanem akkor is, ha az adatkezelő által történő adatvédelmi kockázatok felmérésének eredménye a GDPR 35. cikkének (1), illetve (3) bekezdését kimeríti.
A fentiek figyelembevételével köteles az adatkezelő adatvédelmi hatásvizsgálatot lefolytatni a Hatóság jegyzéke szerint a következő esetekben (a példákat a PPOS szakemberei gyűjtötték, a Hatóság eredeti szövege dőlt betűtípussal jelezve):
- Ha egy természetes személy biometrikus adatainak kezelése módszeres megfigyelésre irányul.
(pl.: arcfelismerő rendszer egy bevásárlóközpontban)
- Ha kiszolgáltatott helyzetben lévő érintettekkel – különös tekintettel a gyermekekre, munkavállalókra, idős, mentális betegségben szenvedőkre – kapcsolatos biometrikus adat kezelése történik.
(pl.: dolgozói ujjlenyomattal működő beléptetőrendszer)
- Ha az adatkezelés egy természetes személy genetikai adatainak egyéb különleges adatokhoz vagy fokozottan személyes jellegű adatokhoz történő hozzákapcsolásával jár.
(pl.: egészségügyi intézményekben)
- Ha egy természetes személy genetikai adatai kezelésének célja a természetes személy értékelése vagy pontozása.
(pl.: donorlista)
- Pontozás. Az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
(pl.: üzletszerzési profilok készítése a cég honlapjának felhasználók általi böngészése alapján)
- Hitelképesség értékelése. Az adatkezelés célja, hogy az érintett hitelképességét felmérje a személyes adatok nagyszámú, illetve módszeres értékelése útján.
(pl.: természetes személy hitelkérelmének elbírálása hitelinformációs intézet adatbázisa alapján)
- Fizetőképesség értékelése. Az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagyszámú, illetve módszeres értékelése útján.
(pl.: országos hitelminősítési vagy csalásellenes adatbázist létrehozó pénzügyi vállalkozás)
- Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés meghozatalánál.
(pl.: külső szolgáltató igénybevételével e-mail cím létezésének ellenőrzése)
- Diákok, hallgatók személyes adatainak értékelésre való felhasználása. Az adatkezelés célja a diákok, hallgatók felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.
(pl.: alapítványi ösztöndíj pályázat)
- Profilozás. Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás különösen, ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik.
(pl.: a közösségi médiából származó nyilvános adatok gyűjtése profilalkotás céljából)
- Csalás elleni fellépés. Az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.
(pl.: jelentős értékű zálogtárgy zálogházba történő elhelyezése esetén ügyfél-átvilágítás)
- Okosmérők. Az adatkezelés célja közműszolgáltatók által telepített „okosmérők” alkalmazása (fogyasztási szokások nyomon követése). (pl.: áramszolgáltató fogyasztójának energiaprofilja)
- Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. Az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.
(pl.: biztosító általi ügyfélbesorolás a biztosítási szerződés megkötése céljából, közösségi oldalakon megjelenő, személyre szabott reklám)
- Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera). A Munkacsoport értelmezése szerint a módszeres, „szisztematikus kifejezés jelentése az alábbiak közül egy vagy több:
- egy adott rendszer szerint fordul elő;
- előre megszervezett, szervezett vagy módszeres;
- az adatkezelésre vonatkozó általános terv részeként történik;
- egy adott stratégia részeként végzik.”
Munkacsoport azt ajánlja, hogy „különösen a következő tényezőket vegyék figyelembe annak meghatározásakor, hogy az adatkezelés nagy számban történik-e:
- az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában;
- az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre;
- az adatkezelési tevékenység időtartama vagy állandósága;
- az adatkezelési tevékenység földrajzi kiterjedése.”
(pl.: kamerarendszer által rögzített felvétel más – arcfelismerő, rendszámfelismerő, stb. – rendszerekkel történő együttes alkalmazása esetén. Amennyiben egy éjjel-nappali kisboltban csupán egy-két kamera készít felvételeket a polcok környékén történtekről, és annak felhasználása csak a megtekintésig terjed, úgy hatásvizsgálat elkészítése véleményünk szerint nem szükséges, ellenben a tucatnyi kamerát működtető nagyáruházzal, ahol a munkavállalókat, pl. a pénztárosokat is érinti a megfigyelés.)
- Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.
(pl.: egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok kezelése mobil applikációval.)
- Munkavállaló munkájának megfigyelése.
Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagyszámú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.
(pl.: a munkavállalók internetes tevékenységének, e-mail levelezésének nyomon követése.)
- Különleges adatok nagy számban való kezelése. A GDPR (91) preambulumbekezdése alapján a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
(pl.: betegek adatainak kezelése a kórház szokásos működése keretében.)
18. Nagyszámú személyes adatok kezelése bűnüldözési célból
19. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése: gyermekek, idősek, mentális betegségben szenvedők esetében.
(pl.: idősek otthonának lakóiról az otthont népszerűsítő fotók készítése)
- Gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában.
(pl.: gyermekeknek szánt online játék)
- Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése (pl.: okos televízió, okos háztartási eszközök, okos játékok stb.), és amelyek adatokat szolgáltatnak a természetes személy fizetőképességére, egészségére, személyes érdeklődési körére, megbízhatóságára vagy viselkedésére, tartózkodási helyére és amelyek alapján profilalkotás történik.
(pl.: az érintett tekintetét követő kamerarendszer üzemeltetése üzletben érdeklődésalapú reklám küldése céljából)
- Egészségügyi adatokra vonatkozó adatkezelések. Nagy számban kezelt adatok tekintetében a kórházak, egészségügyi ellátó intézmények, magán-egészségügyi szolgáltatók vagy nagyszámú páciensi körrel rendelkező természetgyógyászok által kezelt különleges adatok vonatkozásában. Ideértve a nagyobb sportlétesítmények, edzőtermek által a tagoktól felvett egészségügyi adatok kezelése.
(pl.: sportegyesületek által kezelt sportorvosi vizsgálatok eredményei, egészségügyi állapotfelmérés eredményeinek kezelése egy fitneszteremben)
- Amikor több adatkezelő egy egész ágazat által közösen használt alkalmazást, rendszert, eszközt, illetve platformot tervez létrehozni, amelyben különleges adatokat is kezelnek.
(pl.: szálláshelyek közös online foglalási rendszere)
- Az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy összehasonlítása.
(pl.: ügyfélminősítő adatbázis kezelése)
A Hatóság hangsúlyozta azt is, hogy az adatkezelési hatásvizsgálatot nem elég csupán egyetlen alkalommal elvégezni az adatkezelés megkezdése előtt, hanem az adatkezelést folyamatosan figyelemmel követve, különösképpen, ha az adatkezelési művelet állandóan változik, folyamatosan végezni kell, ezért arra, mint egy folyamatra kell tekinteni az adatkezelés teljes időtartama alatt.
A PPOS Audit Kft. vállalja professzionális adatvédelmi hatásvizsgálat lefolytatását.
Elérhetőségeink: https://ppos.hu/kapcsolat/
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.
