A GDPR 35. cikk (1) bekezdése alapján az adatvédelmi hatásvizsgálatot akkor kell elvégezni, amikor az adatkezelés „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával.
A 29-es Munkacsoport vonatkozó iránymutatása[1] [a továbbiakban: hatásvizsgálati iránymutatás] szerint, ha az adatvédelmi hatásvizsgálat azt jelzi, hogy a kockázat mérséklését célzó garanciák, biztonsági intézkedések és mechanizmusok hiányában az adatkezelés magas kockázattal járna a természetes személyek jogaira és szabadságaira nézve, és az adatkezelő véleménye alapján a kockázat nem mérsékelhető a rendelkezésre álló technológiák és a végrehajtási költségek szempontjából észszerű módon, akkor az adatkezelési tevékenység megkezdése előtt a felügyeleti hatósággal konzultálni kell [lásd: GDPR 36. cikk (1) bekezdés és (94) preambulum-bekezdés].
Az adatvédelmi hatásvizsgálat eredményéről a fentiek alapján tehát előzetesen konzultálni kell a felügyeleti hatósággal, ha az érintettek jogait és szabadságait érintő kockázatok adatkezelő által történt értékelését követően az adatkezelő nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére, azaz a fennmaradó kockázatok továbbra is jelentősek.
Az elfogadhatatlanul magas fennmaradó kockázatra példa, ha az érintettek olyan jelentős vagy akár visszafordíthatatlan következményekkel szembesülnek, amelyeket nem tudnak leküzdeni (például adatokhoz való jogosulatlan hozzáférés, amely az érintettek életét fenyegető veszélyt, elbocsátást vagy pénzügyi nehézséget eredményez). A Hatóság – mint az Alaptörvény VI. cikk (4) bekezdése és az Infotv. 38. § (2a) bekezdése szerint az általános adatvédelmi rendelet szerinti felügyeleti hatóság, ebből következően az adatvédelmi hatásvizsgálatra vonatkozó előzetes konzultációt a Hatóság végzi el.
A Hatóság az előzetes konzultáció keretében a szervezet által már lefolytatott hatásvizsgálat dokumentációjából azt állapítja meg, hogy az adatvédelmi hatásvizsgálat lefolytatása a GDPR vonatkozó rendelkezései, illetve a hatásvizsgálati iránymutatás előírásai szerint történt-e. Továbbá azt vizsgálja, hogy a fennmaradó kockázatok mérséklésében tud-e segítséget nyújtani.
A GDPR 36. cikkének (3) bekezdése tartalmazza azokat az információkat, amelyeket az adatkezelőnek a konzultáció során ismertetnie kell a Hatósággal. A Hatóság a konzultáció során az adatkezelés tényleges folyamatát vizsgálja, így a benyújtott adatkezelési folyamatok vonatkozásában elsősorban azt nézi, hogy az adatkezelő pontosan azonosítja-e az adatkezelési tevékenységeket, illetve az adatkezelések kockázatait, valamint sikerül-e a kockázatok kezelésére irányuló intézkedéseket meghozni. Továbbá a Hatóság vizsgálja, hogy az adatkezelésben érintett adatok körének vizsgálatánál pontosan szét van-e választva a személyes adatok és a különleges adatok kezelése az adatkezelés folyamatában, az adatkezelések jogszerűek és az adatkezelő lefolytatta-e az érdekmérlegelési tesztet. Az adatvédelmi hatásvizsgálatot többfajta, különböző módszertan segítségével el lehet végezni, de a hatásvizsgálatnál figyelembe veendő szempontok azonosak, hiszen a GDPR meghatározza az adatvédelmi hatásvizsgálat alapvető jellemzőit. Az adatvédelmi hatásvizsgálat alapvető szempontjainak meghatározásával kapcsolatosan a Hatóság kiemeli a hatásvizsgálati iránymutatás 2. mellékletét, amelyben az adatvédelmi hatóságok által közös szempontok kerültek kidolgozásra annak érdekében, hogy lehetővé váljon a választás a különböző adatvédelmi hatásvizsgálati módszertanok alkalmazása során, egyúttal az adatkezelők be tudják tartani a GDPR rendelkezéseit. A Hatóság az előzetes konzultáció során mindig hangsúlyozza, hogy a kockázatelemzés a személyes adatok kezelésével összefüggő folyamatokra, adatkezelési műveletekre vonatkozik, amelyek a hatásvizsgálat lefolytatásának eredményeként az érintett jogait és szabadságait érintő kockázatot jelentenek. Az adatvédelmi hatásvizsgálat lényege az adatkezelés előzetes kontrollja a kockázatok feltárása és a kockázatok mérséklésére teendő intézkedések értékelése révén. A kockázatnak egyértelműnek, konkrétnak kell lennie, és ahhoz, hogy az adatkezelő azonosítani tudjon kockázatokat, meg kell előznie egy kockázatelemzési folyamatnak.
Az adatvédelmi hatásvizsgálat alapvetően két nagy részből áll. Egyrészről az adatkezelő értékeli az adatvédelmi alapelveknek történő megfelelést, kvázi egy jogi megfelelőségi elemzést végez. Másrészről azonban az adatkezelőnek értékelnie kell az adatbiztonsági intézkedéseket, azaz egy informatikai biztonsági elemzést is el kell végeznie. Az adatvédelmi hatásvizsgálatban kiemelten az adatbiztonsági intézkedések nyújtanak a legnagyobb mozgásteret a kockázatok csökkentésére. Ennek megfelelően a Hatóság a magasabb szintű megfelelőség érdekében olyan módszertan kiválasztását javasolja, amelyet az adott adatvédelmi hatóság már összhangba hozott a GDPR rendelkezéseivel. Ilyen például a francia adatvédelmi hatóság (CNIL) által a saját honlapján is közzétett módszertan, amely alkalmazását tovább erősíti az a tény, hogy a CNIL közzétett egy nyílt forráskódú szoftvert is, amellyel az adatkezelők könnyen elkészíthetik a módszertannak megfelelő adatvédelmi hatásvizsgálatot. A CNIL szoftvert főleg olyan adatkezelőknek fejlesztették ki, amelyek némileg jártasak a hatásvizsgálat elvégzésében. Az adatkezelők könnyen le tudják tölteni és elindítani a számítógépre az önálló verziót. A szoftvert egy szervezet a szerverére is telepítheti, hogy más eszközökkel és rendszerekkel integrálva együtt tudja használni a cégen belül. A fenti szoftver magyar nyelvű verzióval is rendelkezik és elérhető a Hatóság honlapjáról.
Amennyiben az előzetes konzultáció során a Hatóság véleménye szerint a tervezett adatkezelés megsértené a GDPR-t, különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette, úgy gyakorolhatja a GDPR 58. cikkében említett hatásköreit, így többek között azt megtilthatja [GDPR 36. cikk (2) bekezdése].
[1] Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e [WP 248 rev.01]