Adatvédelmi hatásvizsgálat elvégzése szükséges az adatkezelő részéről, amikor valószínűsíthetően az adatkezelési műveletek magas kockázattal járnak. Az adatvédelmi hatásvizsgálat szabályait az általános adatvédelmi rendelet (GDPR) 35. cikkében találhatjuk meg.

Adatvédelmi hatásvizsgálat nem minden adatkezelésnél kell, hanem csak meghatározott esetekben. A GDPR rendelet értelmében csak akkor van szükség adatvédelmi hatásvizsgálat elvégzésére, ha az adatkezelés valamelyik fajtája valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.

Mint ahogy sok cégnél, akiket felkészítettem a GDPR alkalmazására, elmondtam, hogy a GDPR nem csak a papírról szól, nem csak dokumentum szükséges, hanem folyamatosan fejleszteni kell, stb, ez most itt is igaz. Az adatkezelőnek folyamatosan kötelező értékelni az adatkezeléséből eredő kockázatokat.

Az általános adatvédelmi rendelet szövegezéséből megállapítható, hogy mi az adatvédelmi hatásvizsgálat célja:

  • az adatvédelmi hatásvizsgálat feltárja a személyes adatkezelések célját;
  • az arányosságot és szükségességet vizsgálja;
  • kockázatkezelés elősegítése;
  • a kockázatkezelésre vonatkozó szabályok, intézkedések pontos meghatározása.

Fontos kiemelni, hogy ha valamely cég a számára kötelező adatvédelmi hatásvizsgálat elvégzését elmulasztja, úgy a hatóságtól bírságra számíthat.

Egy vállalkozásnál – mint korábban említettem – akkor kell az adatvédelmi hatásvizsgálat, ha az adatkezelés valószínűsíthetően magas kockázattal jár, vagyis olyan jogot érint, mint például:

  • szólásszabadság;
  • vallásszabadság;
  • hátrányos megkülönböztetés tilalma;
  • lelkiismereti szabadság;
  • gondolatszabadság;
  • adatvédelemhez való jog;
  • magánélet tiszteletben tartásához való jog;

A GDPR rendelet azt is meghatározza, hogy mikor minősül magas kockázatúnak az adatkezelés. Az adatkezelés akkor magas kockázatú, ha:

  • a természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése történik, amely automatizált adatkezelésen illetve profilalkotáson alapul és amelyre joghatással bíró vagy jelentős mértékben érintő döntések épülnek;
  • nyilvános helyek nagymértékű, módszeres megfigyelése történik;
  • a személyes adatok különleges kategóriáit kezelik.

Az általános adatvédelmi rendelet meghatározza azt is, hogy mi legyen a mit tartalmazzon egy adatvédelmi hatásvizsgálat:

  • a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
  • az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
  • az érintett jogait és szabadságait érintő kockázatok vizsgálatára;
  • a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

A hatásvizsgálatot mindenképpen az adatkezelő cégnek kell elvégeznie.