Személyes adatok kezelőjeként még mindig nem könnyű eligazodnunk a GDPR rendelet ránk szabott kötelezettségeinek útvesztőjében, ezek között is különös bizonytalanság lengi körül az adatvédelmi hatásvizsgálat intézményét. A köd eloszlatásában segít a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által 2018 végén kiadott lista, ami egyértelművé teszi számunkra, hogy pontosan milyen adatkezelési műveletek esetén kell adatvédelmi hatásvizsgálatot lefolytatnunk.

A NAIH-ot a GDPR szabályai kötelezték is arra, hogy állítsa össze és hozza nyilvánosságra ezt a jegyzéket: ezt a listát fekete listának nevezzük, mivel a felsorolt adatkezelések esetében kötelező az adatvédelmi hatásvizsgálat elvégzése. Elképzelhető, hogy a közeljövőben a NAIH közzétesz egy olyan jegyzéket is, ami az olyan adatkezelési műveletek típusait tartalmazza, amikre vonatkozóan kifejezetten nem kell adatvédelmi hatásvizsgálatot végezni (ennek közzététele azonban csak lehetőség a NAIH számára a GDPR alapján, ezért is nevezzük ezt fehér listának). Az Európai Unió tagországainak adatvédelmi hatóságai közül egyébként nem sokan tettek közzé eddig ilyen jegyzéket, legyen az akár fekete vagy fekete lista. A belga adatvédelmi hatóság viszont már mindkettőt nyilvánosságra hozta, az Egyesült Királyság (ICO) és Lengyelország adatvédelmi hatósága (GIODO) pedig nagyon részletes, konkrét példákkal kiegészített fekete listákat közölt már korábban.

A magyar listán szereplő adatkezelések – ahogyan a közzétett jegyzékben a NAIH is felhívja a figyelmet – nem jelentik azt, hogy csak ezekben az esetekben kell az adatkezelőnek hatásvizsgálatot lefolytatnia. Ha az adatkezelés a GDPR 35. cikkének (1), illetve (3) bekezdésében található feltételeknek megfelel, úgy az adatkezelő köteles hatásvizsgálatot lefolytatni. Külön kiemeli a hatóság azt is, hogy az adatvédelmi hatásvizsgálatot nem elegendő egyetlen alkalommal elvégezni, hanem folyamatos ellenőrzést, esetlegesen módosítást igényel. (Az adatvédelmi hatásvizsgálat lefolytatásához egyébként hasznos segítséget nyújt a francia adatvédelmi hatóság, a CNIL által kiadott szoftver, amely megkönnyíti a folyamatok elvégzését[1].

A NAIH összefoglaló listája alapján tehát az alábbi adatkezelési műveletek esetében köteles az adatkezelő adatvédelmi hatásvizsgálatot lefolytatni (dőlttel jelöltünk olyan eseteket, amelyek más hatóságok listájában szereplő adatkezelési tevékenység és a magyar listához képest kiegészítő illetve bővítő jelleggel bír):

  1. Ha egy természetes személy egyedi azonosítását célzó biometrikus adatának kezelése módszeres megfigyelésre irányul.
  2. Ha kiszolgáltatott helyzetben lévő érintettekkel – különös tekintettel a gyermekekre, munkavállalókra, idős, mentális betegségben szenvedőkre – kapcsolatos egyedi azonosítását célzó biometrikus adat kezelése történik.
  3. Ha az adatkezelés egy természetes személy genetikai adatainak egyéb különleges adatokhoz vagy fokozottan személyes jellegű adatokhoz történő hozzákapcsolásával jár.
  4. Ha egy természetes személy genetikai adatai kezelésének célja a természetes személy értékelése vagy pontozása.
  5. Pontozás. Az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
  6. Hitelképesség értékelése. Az adatkezelés célja, hogy az érintett hitelképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
  7. Fizetőképesség értékelése. Az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
  8. Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés meghozatalánál. A brit adatvédelmi hatóság külön kiemeli azt az esetet, amikor az érintetten kívüli harmadik személytől származó adat kezelése anélkül történik, hogy az érintett az adatkezelésről tudomást szerzett volna tájékoztatás útján („invisible processing”).
  9. Diákok, hallgatók személyes adatainak értékelésre való felhasználása. Az adatkezelés célja a diákok, hallgatók felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.
  10. Profilozás. Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők alapján történik.
  11. Csalás elleni fellépés. Az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.
  12. Okosmérők. Az adatkezelés célja közműszolgáltatók által telepített „okosmérők” alkalmazása (fogyasztási szokások nyomon követése).
  13. Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. Az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.
  14. Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera).
  15. Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.
  16. Munkavállaló munkájának megfigyelése. Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából.
  17. Különleges adatok nagy számban való kezelése. A GDPR (91) preambulumbekezdése alapján a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
  18. Nagyszámú személyes adatok kezelése bűnüldözési célból.
  19. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése: pl. gyermekek, idősek, mentális betegségben szenvedők esetében. Ezen kategórián belül említhető a lengyel GIODO listáján szereplő belső visszaéléseket bejelentő hálózatokhoz kapcsolódó adatkezelés („whistleblowing hotlines”).
  20. Gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában.
  21. Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése (pl.: okos televízió, okos háztartási eszközök, okos játékok stb.), és amelyek adatokat szolgáltatnak a természetes személy fizetőképességére, egészségére, személyes érdeklődési körére, megbízhatóságára vagy viselkedésére, tartózkodási helyére és amelyek alapján profilalkotás történik.
  22. Egészségügyi adatokra vonatkozó adatkezelések. Nagy számban kezelt adatok tekintetében a kórházak, egészségügyi ellátó intézmények, magán-egészségügyi szolgáltatók vagy nagyszámú páciensi körrel rendelkező természetgyógyászok által kezelt különleges adatok vonatkozásában. Ideértve a nagyobb sportlétesítmények, edzőtermek által a tagoktól felvett egészségügyi adatok kezelése.
  23. Amikor több adatkezelő egy egész ágazat által közösen használt alkalmazást, rendszert, eszközt, illetve platformot tervez létrehozni, amelyben különleges adatokat is kezelnek.
  24. Az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy összehasonlítása.

[1] A szoftver legújabb változata a https://www.cnil.fr/en/pia-software-20-available-and-growth-pia-ecosystem weboldalon érhető el, a magyar változat pedig  a NAIH honlapján is megtalálható, ez azonban még a korábbi verzió fordítása.