A 24 elemből álló lista tartalmazza azokat a célokat, körülményeket, amelyek fennállta esetén kötelező hatásvizsgálatot végezni. Ha egy adatkezelő ezt figyelmen kívül hagyja, akkor azt az adatvédelmi hatóság minden bizonnyal számon fogja kérni.
A GDPR: fekete és fehér listák
A GDPR 35. cikke tartalmazza az adatvédelmi hatásvizsgálatra (angolul: Data Protection Impact Assessement, DPIA) vonatkozó rendelkezéseket. E cikk (4) és (5) bekezdései rendelkeznek az ún. fekete és fehér listákról. A (4) bekezdés arra kötelezi a nemzeti felügyeletei hatóságokat, hogy állítsanak össze és hozzanak nyilvánosságra egy olyan listát, amely tartalmazza azokat az adatkezelési műveleteket, amelyek esetében az adatkezelőknek kötelező hatásvizsgálatot végezniük. Ezt nevezzük fekete listának. Az (5) bekezdés ezzel szemben csak egy lehetőséget biztosít egy olyan lista elkészítésére és közzétételére, amely felsorolja azokat az eseteket, amikor biztosan nem kell hatásvizsgálatot végezni. Nem meglepő módon ez a fehér lista.
Az elmúlt időszakban számos hatóság tett közzé ilyen listákat, a belga hatóság már a GDPR alkalmazását megelőzően is megtette ezt tervezet formájában, amelyet aztán 2018. május 25-ét követően véglegesített. Erről és az adatvédelmi hatásvizsgálat részleteiről korábbi bejegyzésünkben már írtunk. Itt most csak annyit érdemes megjegyezni, hogy a GDPR alapvetően az adatkezelők mérlegelésére bízza, hogy készítenek-e hatásvizsgálatot. A szempontok, amelyeket e körben figyelembe kell venniük, meglehetősen tágan vannak megfogalmazva a 35. cikk (1) és (3) bekezdéseiben.
A GDPR 35. cikk (4) bekezdése azt is tartalmazza, hogy a hatóságoknak továbbítaniuk kell a fekete listákat az Európai Adatvédelmi Testületnek (European Data Protection Board, EDPB).
Az EDPB véleménye a NAIH tervezetéről
A NAIH 2018. május 25-ét követően megküldte a fekete listájának tervezetét az EDPB részére. Ezt az EDPB megvizsgálta, és erről – csakúgy, mint számos más tagállami hatóságtól érkezett tervezetről – 2018. szeptember 25-én véleményt adott ki. A vélemény itt olvasható (angol nyelven). A vélemény összességében egyetért a NAIH tervezetével, néhány esetben azonban pontosításokat, kiegészítéseket javasol. A vélemény továbbá hangsúlyozza, hogy a GDPR 35. cikk (4) bekezdése szerinti fekete lista csak pontosítja az (1) bekezdésben felsorolt általános szabályt, amely minden olyan esetben előírja a hatásvizsgálat elkészítését, amikor egy adatkezelési művelet valószínűsíthetően magas kockázattal jár az érintettekre nézve. Ez azt jelenti, hogy a fekete listát nem lehet teljeskörűnek tekinteni, azaz nem lehet úgy értelmezni, hogy ha egy művelet, körülmény nincs felsorolva, akkor arra biztosan nem kell hatásvizsgálatot készíteni.
A NAIH végleges fekete listája
A NAIH végleges fekete listája november végén került fel a NAIH honlapjára. Jelenleg ennek főoldalán a jobb felső sarokban szereplő „Hatásvizsgálati lista GDPR 35(4)” feliratú gombon keresztül lehet elérni. Az alábbiakban idézzük a listán felsorolt adatkezeléseket, azzal, hogy külön feltüntetjük az EDPB véleményét azoknál a pontoknál, amelyekhez a testület fűzött ilyet.
- Ha egy természetes személy biometrikus adatainak kezelése módszeres megfigyelésre irányul.
- Ha kiszolgáltatott helyzetben lévő érintettekkel – különös tekintettel a gyermekekre, munkavállalókra, idős, mentális betegségben szenvedőkre – kapcsolatos biometrikus adat kezelése történik.
- Ha az adatkezelés egy természetes személy genetikai adatainak egyéb különleges adatokhoz vagy fokozottan személyes jellegű adatokhoz történő hozzákapcsolásával jár.
- Ha egy természetes személy genetikai adatai kezelésének célja a természetes személy értékelése vagy pontozása.
- Pontozás. Az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
- Hitelképesség értékelése. Az adatkezelés célja, hogy az érintett hitelképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
- Fizetőképesség értékelése. Az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
- Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés meghozatalánál.
- Diákok, hallgatók személyes adatainak értékelésre való felhasználása. Az adatkezelés célja a diákok, hallgatók felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.
- Profilozás. Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik
- Csalás elleni fellépés. Az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.
- Okosmérők. Az adatkezelés célja közműszolgáltatók által telepített „okosmérők” alkalmazása (fogyasztási szokások nyomon követése).
- Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. Az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.
- Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera).
- Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.
EDBP vélemény a helymeghatározási adatokkal kapcsolatos korábbi NAIH tervezetre: az EDPB javasolta még egy, az EDPB iránymutatása szerint a magas kockázat megállapításához figyelembe veendő szempont hozzáadását ehhez a ponthoz.
- Munkavállaló munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.
EDBP vélemény a munkavállalók munkájának megfigyelésével kapcsolatos korábbi NAIH tervezetre: az EDPB javasolta, hogy a WP248 iránymutatás (magyarul lásd itt) szempontjai kifejezetten hivatkozásra kerüljenek. A NAIH a végleges listában pontosította (lásd 2. lábjegyzet a 3. oldalon), hogy alábbi szempontokról van szó (i) értékelés és pontozás, különösen, ha az érintett munkahelyi teljesítményére vonatkozó jellemzők alapján történik, és a (ii) módszeres megfigyelés, mert előfordulhat, hogy az érintettek nem tudják, hogy ki gyűjti és hogyan használja fel az adatokat.
- Különleges adatok nagy számban való kezelése. A GDPR (91) preambulumbekezdése alapján a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
- Nagyszámú személyes adatok kezelése bűnüldözési célból.
- Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése: pl. gyermekek, idősek, mentális betegségben szenvedők esetében
- Gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában.
- Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése (pl.: okos televízió, okos háztartási eszközök, okos játékok stb.), és amelyek adatokat szolgáltatnak a természetes személy fizetőképességére, egészségére, személyes érdeklődési körére, megbízhatóságára vagy viselkedésére, tartózkodási helyére és amelyek alapján profilalkotás történik.
- Egészségügyi adatokra vonatkozó adatkezelések. Nagy számban kezelt adatok tekintetében a kórházak, egészségügyi ellátó intézmények, magán-egészségügyi szolgáltatók vagy nagyszámú páciensi körrel rendelkező természetgyógyászok által kezelt különleges adatok vonatkozásában. Ideértve a nagyobb sportlétesítmények, edzőtermek által a tagoktól felvett egészségügyi adatok kezelése
- Amikor több adatkezelő egy egész ágazat által közösen használt alkalmazást, rendszert, eszközt, illetve platformot tervez létrehozni, amelyben különleges adatokat is kezelnek.
- Az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy összehasonlítása.
A NAIH fehér listát egyelőre nem tett közzé.
A bejegyzés elkészítéséhez dr. Gelencsér Adél nyújtott segítséget.
dr. Halász Bálint ügyvéd, partner
Siegler Bird & Bird Ügyvédi Iroda
balint.halasz@twobirds.com
+36 1 301 8900
EDBP vélemény a harmadik személytől gyűjtött adatok további felhasználásával kapcsolatos korábbi NAIH tervezetre: az EDPB javaslata az volt, hogy adatvédelmi hatásvizsgálatra csak akkor van szükség, ha a harmadik személytől gyűjtött adatok kezelése még egy, az EDPB iránymutatása szerint a magas kockázat megállapításához figyelembe veendő szempontnak megfelel.
EDBP vélemény a genetikai adatokkal kapcsolatos korábbi NAIH tervezetre: kezelésük önmagában nem jár a 35. cikk (1) bekezdés szerinti magas kockázattal. Az EDPB javaslata az volt, hogy adatvédelmi hatásvizsgálatra csak akkor van szükség, ha a genetikai adatok megfigyelése még egy, az EDPB iránymutatása szerint a magas kockázat megállapításához figyelembe veendő szempontnak megfelel.
EDBP vélemény a biometrikus adatokkal kapcsolatos korábbi NAIH tervezetre: a biometrikus adatok kezelése önmagában nem jár a 35. cikk (1) bekezdés szerinti magas kockázattal. Az EDPB javaslata az volt, hogy adatvédelmi hatásvizsgálatra csak akkor van szükség, ha a biometrikus adatok megfigyelése még egy, az EDPB iránymutatása szerint a magas kockázat megállapításához figyelembe veendő szempontnak megfelel.