Kérdés:

Mikor van szükség adatvédelmi hatásvizsgálatra?

Válasz:

Adatvédelmi hatásvizsgálatra van szükség olyankor, ha az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve. Legalább az alábbi esetekben adatvédelmi hatásvizsgálatot kell végezni:

• egy személy személyes jellemzőinek rendszeres és kiterjedt értékelése esetén, ideértve a profilalkotást is;
• különleges adatok nagy számban történő kezelése;
• nyilvános helyek nagymértékű, módszeres megfigyelése.

A nemzeti adatvédelmi hatóságok az Európai Adatvédelmi Testülettel egyeztetve listát készíthetnek azon esetekről, amelyeknél adatvédelmi hatásvizsgálatra van szükség. Az adatvédelmi hatásvizsgálatot az adatkezelés előtt kell elvégezni, továbbá élő eszközként kezelendő, nem csupán egyszeri tevékenységként. Amennyiben a fennmaradó kockázatok nem mérsékelhetők a bevezetett intézkedésekkel, az adatkezelés megkezdése előtt konzultálni kell az adatvédelmi hatósággal.

Itt elérhető az Európai Bizottság adatvédelemmel kapcsolatos tájékoztatása!

Példák:

Adatvédelmi hatásvizsgálat szükséges: Egy bank az ügyfeleit szűri egy hitelminősítő adatbázis alapján; egy kórház új, a betegek egészségügyi adatait tartalmazó egészségügyi információs adatbázist vezet be; egy autóbusztársaság fedélzeti kamerákat telepít a vezető és az utasok viselkedésének megfigyelése érdekében.

Nincs szükség adatvédelmi hatásvizsgálatra: Egy családorvos a betegei személyes adatait kezeli. Ebben az esetben nincs szükség adatvédelmi hatásvizsgálatra, mivel az orvos általi adatkezelés nem történik nagy számban, amennyiben a betegek száma korlátozott.

Előző kérdés: Mit nevezünk adatvédelmi incidensnek, és mi a teendő ilyen esetben?