A GDPR által újonnan bevezetett jogintézmények egyike az adatvédelmi hatásvizsgálat, amelynek legfontosabb elemeit az alábbiakban foglaltuk össze:

1. Adatvédelmi hatásvizsgálatra akkor kerülhet sor, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. Ekkor az Egyetem az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

2. Az adatvédelmi hatásvizsgálat lefolytatása különösen az alábbi esetekben kötelező:

a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése esetén, amely automatizált adatkezelésen – ideértve a profilalkotást [1] is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;

b) a személyes adatok különleges kategóriái [2], vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése estén; vagy

c) nyilvános helyek nagymértékű, módszeres megfigyelése esetén (kamerás megfigyelés);

d) a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) jegyzéket tett közzé, meghatározva a kötelező hatásvizsgálatot igénylő adatkezelési műveletek típusait. 

[1] „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
[2] a személyes adatok különleges kategóriái: a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

3. Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az Egyetem által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatvédelmi tisztviselő az adatkezelés tervezett időpontját legalább 14 héttel megelőzően konzultál a felügyeleti hatósággal (NAIH).

Az adatvédelmi hatásvizsgálat lefolytatásához az ún. PIA szoftvert szükséges alkalmazni, ehhez az adatvédelmi tisztviselő segítségére lesz szükségese:
dr. Csibra Klára
ELTE Adatvédelmi Iroda
Cím: HU-1053 Budapest, Ferenciek tere 6.
Tel.: +36-1-4116700/2855
E-mail: adatvedelem@elte.hu