CLV Partners

Adatvédelmi hatásvizsgálat: feketelista

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) közzétette az Európai Parlament és a Tanács (EU) 2016/679 Rendelete („GDPR”) 35. cikkének (4) bekezdése szerinti adatkezelési műveletek típusainak a jegyzékét („feketelista”), amelyre nézve az adatkezelőnek kötelező hatásvizsgálatot lefolytatnia.

A GDPR 35. cikke szerint: Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

A GDPR meghatároz néhány körülményt, amikor adatvédelmi hatásvizsgálatot kell elvégezni:
• természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
• a személyes adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
• nyilvános helyek nagymértékű, módszeres megfigyelése.

A feketelistában szereplő alábbi adatkezelési műveletek, amikor adatvédelmi hatásvizsgálatot kell elvégezni:
• biometrikus vagy genetikai adatok kezelése;
• pontozás;
• hitelképesség vagy fizetőképesség értékelése;
• harmadik személytől gyűjtött adatok további felhasználása;
• diákok, hallgatók személyes adatainak értékelésre való felhasználása;
• profilozás;
• csalás elleni fellépés;
• okosmérők;
• joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal;
• módszeres megfigyelés;
• helymeghatározási adatok kezelése;
• munkavállaló munkájának megfigyelése;
• különleges adatok nagy számban való kezelése;
• nagyszámú személyes adatok kezelése bűnüldözési célból;
• gyermekek személyes adatainak kezelése;
• új technológiai megoldások használata az adatkezelés során;
• egészségügyi adatokra vonatkozó adatkezelések;
• egy egész ágazat által közösen használt alkalmazás, rendszer, eszköz ill. platform;
• különböző forrásokból származó adatok összevonása.