Adatvédelmi hatásvizsgálat

Az adatvédelmi hatásvizsgálat (DPIA) egy formális folyamat, amelyet a személyes adatok kezelése során felmerülő adatvédelmi kockázatok azonosítására és minimalizálására alkalmaznak. A szervezeteknek adatvédelmi hatásvizsgálatot kell végezniük olyan adatkezelés előtt, amely valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen új technológiák alkalmazása vagy különleges adatkategóriák kezelése esetén.

Jogalap

„Ha az adatkezelés – különösen új technológiák alkalmazása esetén – jellege, hatóköre, körülményei és céljai miatt valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő az adatkezelést megelőzően értékeli a tervezett adatkezelési műveletek adatvédelemre gyakorolt hatását."

— (EU) 2016/679 rendelet (GDPR) 35. cikk (1) bekezdés

Miért fontos

Az adatvédelmi hatásvizsgálatok elengedhetetlenek minden olyan szervezet számára, amely személyes adatokat használ politikai reklámcélzáshoz vagy hirdetésközvetítési technikákhoz. A GDPR értelmében az adatkezelőknek DPIA-t kell végezniük, ha az adatkezelési műveletek valószínűsíthetően magas kockázattal járnak, különösen profilalkotás, különleges adatkategóriák használata vagy személyek nagy léptékű szisztematikus megfigyelése esetén.

A politikai reklámozás tekintetében a DPIA-k különösen fontosak, mivel a célzási technikák gyakran érzékeny személyes adatok, például politikai vélemények kezelését foglalják magukban, amelyek a GDPR szerint különleges adatkategóriába tartoznak. A politikai reklámszolgáltatásokat nyújtó közzétevőknek és szolgáltatóknak fel kell mérniük, hogy célzási gyakorlatuk DPIA elvégzését igényli-e a kampányok indítása előtt.

A DPIA segít a szervezeteknek a kockázatok korai azonosításában, megfelelő biztosítékok bevezetésében és az elszámoltathatóság bemutatásában. Meghatározza továbbá, hogy szükséges-e az illetékes adatvédelmi hatósággal való konzultáció az adatkezelés megkezdése előtt. Azok a szervezetek, amelyek elmulasztják a kötelező DPIA-k elvégzését, jelentős közigazgatási bírságokkal szembesülnek a GDPR alapján.

Főbb pontok

Kötelező a magas kockázatú adatkezelés előtt: DPIA szükséges, ha az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen új technológiák vagy profilalkotás alkalmazása esetén
Elengedhetetlen a politikai reklámozáshoz: A politikai hirdetések személyes adatok, különösen a politikai véleményhez hasonló különleges kategóriák alapján történő célzása általában DPIA-t igényel
Előzetesen kell elvégezni: Az értékelést az adatkezelés megkezdése előtt kell elvégezni, nem pedig a kampányok elindítása után
Azonosítja és csökkenti a kockázatokat: A DPIA-k szisztematikusan azonosítják az adatvédelmi kockázatokat és segítenek a szervezeteknek megfelelő technikai és szervezési intézkedések végrehajtásában
Hatósági konzultációt igényelhet: Ha a kockázatcsökkentő intézkedések ellenére a kockázatok továbbra is magasak maradnak, a szervezeteknek konzultálniuk kell az adatvédelmi hatósággal a folytatás előtt
Bizonyítja a megfelelőséget: A DPIA-k elvégzése és dokumentálása a GDPR szerinti elszámoltathatósági elv része, és proaktív megfelelőséget mutat

Adatvédelmi hatásvizsgálat vs. kockázatértékelés

Bár mindkét folyamat kockázatokat értékel, az adatvédelmi hatásvizsgálat a GDPR szerinti konkrét jogi követelmény, amely az egyéneket érintő adatvédelmi és magánélet-védelmi kockázatokra összpontosít. Az általános kockázatértékelés tágabb szervezeti vagy üzleti kockázatokat fedhet le, mint például a hírnévkárosodást, pénzügyi veszteséget vagy működési biztonságot.

A DPIA kifejezetten azt vizsgálja, hogy az adatkezelési műveletek hogyan érintik az egyének jogait és szabadságait, figyelembe véve olyan tényezőket, mint az adatkezelés jellege, hatóköre, körülményei és céljai. Konkrét tartalmat igényel, beleértve az adatkezelési műveletek leírását, a szükségesség és arányosság értékelését, az azonosított kockázatokat és a tervezett biztosítékokat.

A politikai reklámozásról szóló 2024/900 rendelet alapján a szervezeteknek szisztematikus kockázatértékelést is el kell végezniük, ha nagyon nagy online platformnak (VLOP) minősülnek, de ezek elkülönülnek a DPIA-któl, bár az eredmények kölcsönösen informálhatják egymást.

Kapcsolódó fogalmak

Igen. Uniós rendeletként a TTPA közvetlenül alkalmazandó minden tagállamban anélkül, hogy nemzeti átültetésre lenne szükség. A tagállamoknak csak hatóságokat kell kijelölniük és szankciókat kell megállapítaniuk.

Az átláthatósági követelmények biztosítják, hogy minden politikai szereplő ugyanazon szabályok szerint működjön. A választók láthatják, hogy ki rendelkezik erőforrásokkal és hogyan használják azokat, ezzel támogatva a tisztességes versenyt.

Az átláthatóság bizalmat épít azzal, hogy megmutatja a választóknak, hogy a politikai szereplők nyíltan működnek. A rejtett finanszírozás vagy célzás aláássa a demokratikus folyamatokba vetett bizalmat.

Az egyértelmű jelölés és hozzáférhető átláthatósági információk előírásával a TTPA segít az embereknek felismerni a politikai hirdetéseket és megérteni, hogy ki próbálja őket befolyásolni.

A politikai hirdetés magában foglal minden olyan fizetett üzenetet, amely politikai szereplőt népszerűsít, a szavazói magatartást befolyásolja, a választások vagy népszavazások kimenetelét érinti, vagy jogalkotási vagy szabályozási folyamatokat befolyásol. Ide tartozik továbbá minden olyan hirdetés is, amelyet politikai szereplő ad fel vagy amelyet politikai szereplő nevében adnak fel.

Nem. A TTPA nem érinti a politikai hirdetések tartalmára, a kampányfinanszírozásra, a választási időszakokra vagy a politikai reklámozásra vonatkozó általános tilalmakra vonatkozó nemzeti szabályokat. A meglévő nemzeti jogszabályokon felül átláthatósági követelményeket ír elő.

A hivatalos elnevezése: Az Európai Parlament és a Tanács (EU) 2024/900 rendelete a politikai hirdetések átláthatóságáról és célzásáról. 2024. március 20-án került kihirdetésre.

Igen. A TTPA minden politikai hirdetésre vonatkozik, függetlenül attól, hogy online vagy offline formában jelenik meg, beleértve a nyomtatott sajtót, óriásplakátokat, televíziót, rádiót és digitális csatornákat. A III. fejezetben szereplő célzási szabályok kizárólag az online hirdetésekre vonatkoznak.