Hírek

Hírek

Mekkora a kockázat?

Mekkora a kockázat?


A hatásvizsgálat célja: kockázatelemzés.

Nincs MÉG módszertana. Várható egy közös európai uniós jegyzék azokról az adatkezelési műveletekről, amelyekre nézve kötelező elvégezni. Azokról is, amelyek esetében nem kötelező elvégezni. A módszertanát is ki fogják dolgozni. Mikor? Azt még nem tudjuk.

Addig is mit lehet tenni? Abból építkezni, amit már tudunk. Ez nem lesz könnyű olvasmány…

 

Mikor kell elvégezni a hatásvizsgálatot?

Ha valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve az azadatkezelés.

 

Mit jelent a kockázat?

Egy eshetőség, ami a súlyosság és a valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit.

Pl. egy eshetőség, hogy ellopják a laptopot, amelyen személyes adatokat tárolok.

Ennek az a kockázata, hogy jogosulatlan hozzáférés történik a személyes adatokhoz. Mekkora a valószínűsége? Kicsi, ha nem tűnik lehetségesnek, óriási, ha abszolút lehetséges.

Lehet ennek súlyos következménye? Milyen kár érheti az érintetteket? Kicsi, nagy vagy óriási?

Ha ezeket a kérdéseket bizonyos adatkezeléseknél áttekinted, látni fogod, hogy mekkora a kockázata az adatkezelésnek.  Azt is látni fogod, hogy ésszerű intézkedésekkel tudod-e csökkenteni a kockázatot.

 

Mit jelent az a kifejezés, hogy a természetes személyek „jogaira és szabadságára nézve”?

A magánélet tiszteletben tartásához való joghoz, és az adatvédelemhez való joghoz kapcsolódik. Érinthet azonban más alapvető jogokat is, pl emberi méltósághoz való jog, szólásszabadság, hátrányos megkülönböztetés tilalma, lelkiismereti- és vallásszabadság stb.

Az előbbi laptopos példánál maradva. Takarítószolgálatot üzemeltetsz, ismered a megbízóid lakásriasztójának a kódjait. Eltulajdonítják a laptopot, amin ezt tárolod. Magasnak tűnik a kockázat ugye? Konkrét veszélynek teszed ki a megbízóid magánéletét, vagyonát. Persze, ha megfelelő védelemmel láttad el a laptopot (IT szakember segítségére szükséged lehet ennek megítélésére), akkor csökkented ezt a kockázatot.

 

A hatásvizsgálatot nem úgy kell felfogni, mint egy elviselhetetlen adminisztrációs terhet. A vállalkozókat segíti az önellenőrzésben. Mindent megtettem-e azért, hogy a rám bízott személyes adatokat ne tegyem ki magas kockázatnak? Ezt folyamatosan értékelni kell.  Ha van adatvédelmi tisztségviselőd, hasznos tanácsokkal tud ellátni.

 

JÓ TANÁCS: ha nem egyértelmű, hogy kell-e végezni hatásvizsgálatot, akkor mindenképp végezd el!

 

Néhány példa, amikor maga a Rendelet mondja ki, hogy kötelező hatásvizsgálatot végezni:

  • természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált - ideértve a profilalkotást is – adatkezelésen alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt jelentős mértékben érintő döntések épülnek;
  • a személyes adatok különleges kategóriáit kezeled (különleges kategóriák: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló személyes adatok, a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, egészségügyi adatok, a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok);
  • nagy számban kezelsz büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokat;
  • nyilvános helyek nagymértékű és módszeres megfigyelése esetén.

 

Mikor nincs szükség hatásvizsgálatra?

  • ha az adatkezelés valósznűsíthetően NEM jár magas kockázattal a természetes személyek jogaira és szabadságára nézve;
  • ha az adatkezelés nagyon hasonlít olyan adatkezelésre, amelyről már készült hatásvizsgálat (a jellegét, hatókörét, körülményeit és céljait tekintve);
  • ha az adatkezelési művelet szerepel abban a jegyzékben, amelynek a megjelenését várjuk;
  • ha az adatkezelést jogi kötelezettség írja elő vagy  a jogalapja a közérdekből, közhatalom gyakorlásából eredő jogalap ÉS a jogalap megállapítása során már készült hatásvizsgálat. 

 

Az összefoglalás megírását segítette a 29. cikk alapján létrehozott adatvédelmi Munkacsoport iránymutatása, amelynek teljes szövege itt olvasható

 

 

A bejegyzéshez illusztrációként haszbált kép forrása: Merofotó