A GDPR 36. cikk (4) bekezdése a felügyeleti hatósággal való előzetes konzultációt kötelezővé teszi a személyes adatok kezeléséhez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre – vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre – irányuló javaslat előkészítése során.

Magyarországon a jogszabálytervezetek adatvédelmi hatásvizsgálatára vonatkozó részletes szabályokat a Módtv. hatálybalépését követően az Infotv. tartalmazza. Az Infotv. 25/G. § (6) bekezdése mondja ki, hogy kötelező adatkezelés esetén az adatvédelmi hatásvizsgálatot az adatkezelést előíró jogszabály előkészítője folytatja le. Kötelező adatkezelések alatt a törvény a jogszabály előírásain alapuló adatkezeléseket [így a GDPR 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezeléseket] érti. A fentiek alapján tehát egy személyes adatok kezelését is érintő, azt előíró jogszabály előkészítése során a jogszabály előkészítőjének adatvédelmi hatásvizsgálatot kell készítenie.

A hatásvizsgálati iránymutatás alapján az adatvédelmi hatásvizsgálat eredményéről akkor kell előzetesen konzultálni a Hatósággal, ha az érintettek jogait és szabadságait érintő kockázatok adatkezelő által történt értékelését követően az adatkezelő nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére (tehát a fennmaradó kockázatok továbbra is jelentősek).

A Hatóság az ajánlásra tekintettel csak azokban az esetekben tartja szükségesnek az előzetes konzultáció lefolytatását, ha a hatóságvizsgálat megállapítja, hogy a kockázatok továbbra is jelentősek és az adatkezelő nem képes azokat csökkenteni. A Hatóság ezt az előírást a jogalkotás során elkészítendő adatvédelmi hatásvizsgálatokkal kapcsolatban is irányadónak tekinti, amennyiben a tervezett adatkezeléssel kapcsolatban a GDPR alkalmazandó. Amennyiben a jogszabálytervezet előkészítése során az előkészítő által lefolytatott adatvédelmi hatásvizsgálat eredménye alapján megállapítható, hogy a tervezett adatkezelés magas kockázatú és az adatkezelő nem képes azokat csökkenteni, úgy a jogszabály előkészítője konzultációt kezdeményez a Hatósággal. Ez az előírás a GDPR tárgyi hatálya alá tartozó adatkezelésekre irányadó. Így a GDPR hatálya szerinti adatkezelések jogszabályban történő előkészítése esetén csak a fennmaradó, az adatkezelő által nem csökkentett kockázatot jelentő adatkezelések esetén van szükség előzetes konzultációra.

Más a helyzet a GDPR hatálya alá nem tartozó, így kizárólagos magyar joghatóság alá tartozó adatkezelésekkel összefüggésben. Ezekkel kapcsolatban az Infotv. 25/H. § (1) és (2) bekezdésében foglaltak határozzák meg az előzetes konzultáció kezdeményezésének feltételeit. A magas kockázatot és ennek megfelelően az előzetes konzultáció szükségességét a kivett adatkezelések közül a bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezelések esetén vélelmezni kell a törvény alapján. Ezek szerint valamennyi bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezelést szabályozó jogszabály előkészítése során hatásvizsgálatot kell készítenie az előkészítőnek és konzultálni is kell a Hatósággal.

Mind a GDPR hatálya, mind a kizárólag magyar joghatóság alá tartozó adatkezelésekkel kapcsolatos jogszabályok előkészítése során fontos, hogy amennyiben előzetes konzultációra kerül sor, úgy azt a Hatóság a jogszabály előkészítőjével (ez legtöbbször az illetékes minisztérium) folytatja le. Amennyiben az előkészítés folyamata már lezárult, és a jogszabálytervezet már benyújtásra került a parlamentnek elfogadásra, vagy azt esetleg már ki is hirdették, úgy a konzultációs eljárás is lezárul, annak tovább folytatására az elfogadást követően nincs lehetőség.

 

A jogszabály előkészítése során készített adatvédelmi hatásvizsgálat tartalmi kritériumai

A jogszabálytervezet szövegéhez mellékelt adatvédelmi hatásvizsgálati dokumentációval kapcsolatban a törvény csupán annyit ír elő, hogy annak tartalmaznia kell a tervezett adatkezelési műveletek általános leírását, az érintettek alapvető jogainak érvényesülését fenyegető, az adatkezelő által azonosított kockázatok leírását és jellegét, az e kockázatok kezelése céljából tervezett, valamint a személyes adatokhoz fűződő jog érvényesülésének biztosítására irányuló, az adatkezelő által alkalmazott intézkedéseket. A jogszabályok előkészítése során elkészített adatvédelmi hatásvizsgálati dokumentációnak tehát elvileg pontosan ugyanazokat az elemeket kell tartalmaznia, mint az adatkezelők által lefolytatott hatásvizsgálatnak.

A hatásvizsgálati dokumentációnak a jogszabály tervezetében meghatározott, előrelátható, konkrét adatkezeléseket kell leírnia (pl. az adatkezeléshez használt rendszerek működése, használata stb.) valamint azt, hogy az ezzel kapcsolatban kialakult konkrét és beazonosított kockázatokat hogyan kívánja az adatkezelő mérsékelni. Nem elég tehát például, ha a hatásvizsgálatban leírják általánosságban, hogy „személyiséglopás kockázata fennáll”, hanem le kell írni pontosan, hogy az adott adatkezelés kapcsán ez hogyan következhet be (pl. jogosulatlan külső támadó hozzáférhet a rendszergazda jelszavához). Az azonosított kockázatok elhárítására tett intézkedéseket is konkrétan le kell írni a hatásvizsgálati dokumentációban (pl. havonta megváltoztatandó, szoftveresen kikényszerített erős jelszavak használata a bejelentkezéseknél).

A konkrét kockázatok beazonosítására természetesen a jogszabály előkészítője saját hatáskörben a legtöbbször nem képes, mivel nincsen minden információ birtokában az adatkezeléssel kapcsolatban. Ennek feloldására a majdani adatkezelővel való konzultációra lehet szükség és adott esetben fel kell kérnie arra, hogy egészítse ki észrevételeivel a hatásvizsgálati dokumentációt.

Természetesen az is előfordulhat, hogy a jogalkotás adott szakaszában még az adatkezelésből eredő konkrét kockázatok nem azonosíthatóak be (pl. a jogszabályszöveg csak egy általános felhatalmazást tartalmaz az adatkezeléssel kapcsolatban). Amennyiben ez a helyzet, úgy erre egyértelműen utalnia kell a jogalkotónak a hatásvizsgálati dokumentációban és a hatásvizsgálat kiegészítésének jövőbeli kötelezettségéről kell döntenie (pl. az adatkezelő megbízásával a teljes értékű hatásvizsgálat lefolytatására a rendszer beüzemelése és a technikai paraméterek kialakítása előtt).