Amikor valószínű­síthető, hogy az adatkezelési műveletek magas kockázattal járnának a természetes személyek jogaira és szabadságaira nézve, akkor a cégnek adatvédelmi hatásvizsgálatot kell végezni ezen kockázat forrását, jellegét, egyediségét és súlyosságát felmérve.

Adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:

1. természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek,
2. személyes adatok különleges kategóriái kezelésének esetében,
3. nyilvános helyek nagymértékű, módszeres megfigyelése esetében,
4. jogszabály által előírt egyéb esetekben.

Az adatvédelmi hatásvizsgálat minimális tartalma: 

1. a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetése, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket,
2. az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata,
3. az érintett jogait és szabadságait érintő kockázatok vizsgálata és
4. a kockázatok kezelését célzó intézkedések bemutatása, ideértve a GDPR rendelkezéseivel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

A Társaságnak nem kell végeznie hatásvizsgálatot abban az esetben, ha

1. az adatkezelés valószínűsíthetően nem jár magas kockázattal a természetes személyek jogaira és szabadságaira nézve,
2. az adatkezelés a jellegét, hatókörét, körülményét és céljait tekintve nagyon hasonlít olyan adatkezelésre, amelyről már készült adatvédelmi hatásvizsgálat. Ilyen esetekben felhasználhatók a hasonló adatkezelés adatvédelmi hatásvizsgálatának eredményei.
3. az adatkezelési műveleteket felügyeleti hatóság meghatározott,
4. amennyiben az adatkezelés jogi kötelezettségen vagy közhatalmi jogosítvány gyakorlásának jogcímén történik, jog szabályozza az adott adatkezelési műveletet és a jogalap megállapítása során már készült adatvédelmi hatásvizsgálat (kivéve, ha a tagállam kimondta, hogy az adatkezelési műveletet megelőzően hatásvizsgálatot szükséges végezni),
5. az adatkezelés szerepel azoknak az adatkezelési műveleteknek a (felügyeleti hatóság által összeállított) nem kötelező jegyzékében, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni.

Amennyiben a cég valószínűsíthetően magas kockázattal járó adatkezelést tervez, akkor köteles:
         1. olyan adatvédelmi hatásvizsgálati módszert választani, amely megfelel a 2. pontban felsorolt szempontoknak, vagy olyan módszeres adatvédelmi hatásvizsgálati eljárást meghatározni és végrehajtani, amely

• összhangban van a 2. pontban felsorolt szempontokkal,
• a belső eljárásoknak, körülményeknek és kultúrának megfelelően beépül a meglévő tervezési, fejlesztési, módosítási, kockázati és működési felülvizsgálati eljárásokba,
• a megfelelő érdekeltek részvételével zajlik és egyértelműen meghatározza felelősségi körüket (adatkezelő, adatvédelmi tisztviselő, érintettek vagy képviselőik, vállalkozás, műszaki szolgálatok, adatfeldolgozók, információbiztonsági tisztviselő, stb.),
  
  2. kérésre az adatvédelmi hatásvizsgálatról szóló jelentést benyújtani az illetékes felügyeleti hatóságnak,
  3. konzultálni a felügyeleti hatósággal abban az esetben, ha nem sikerült megfelelő intézkedéseket hozni a magas kockázatok csökkentésére,
  4. rendszeresen, de legalább az adatkezelési művelettel járó kockázat megváltozása esetén felülvizsgálni az adatvédelmi hatásvizsgálatot és a tárgyát képező adatkezelést,
  5. írásba foglalni a hozott döntéseket.

Az adatvédelmi hatásvizsgálat menetét a cég a törvényi előírások figyelembevételével saját maga határozza meg. Amennyiben a cég nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére (tehát a fennmaradó kockázatok továbbra is jelentősek), akkor kötelező konzultálni a felügyeleti hatósággal.

A hatásvizsgálat elvégzésének általános, ismétlődő folyamata:

1. a tervezett adatkezelés leírása
2. a szükségesség és az arányosság vizsgálata
3. a már tervezett intézkedések
4. a jogokat és szabadságokat érintő kockázatok vizsgálata
5. a kockázatok kezelésére irányuló intézkedések
6. dokumentálás
7. nyomonkövetés és felülvizsgálat

A cég kikérheti az érintettek véleményét is, ha pedig a végleges döntés eltér az érintettek véleményétől, akkor annak okait dokumentumokkal alá kell támasztania. Adott esetben ajánlott tanácsot kérni különböző szakterületek független szakértőitől is (jogászok, informatikai szakértők, biztonsági szakértők, szociológusok, etikai szakértők stb.). Amennyiben a cég úgy dönt, nem kéri ki az érintettek véleményét, ezt a döntését is indokokkal és dokumentumokkal kell alátámasztania.

Főbb hatásvizsgálati lépések:

1. a körülmények meghatározása az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a kockázat forrásait figyelembe véve,
2. a kockázatok értékelése annak érdekében, hogy a cég felmérje a magas kockázat különös valószínűségét és súlyosságát,
3. a kockázatok orvoslása, melynek célja a kockázatok mérséklése, a személyes adatok védelme, valamint a GDPR előírásainak megfelelés bizonyítása.

Bármilyen eljárást is választ a cég a vizsgálat során, annak a kockázatok valódi értékelésére kell irányulnia, mert csak ebben az esetben hozhat észszerű és konkrét intézkedéseket a cég a kockázatok kezelésére.

A cég az adatvédelmi hatásvizsgálat következtetései alapján az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése GDPR előírásaival összhangban történik. Ezeket az intézkedéseket a cég felülvizsgálja és szükség esetén naprakésszé teszi.

Amennyiben az adatvédelmi hatásvizsgálat jelentős fennmaradó kockázatokat tár fel, a cég köteles az adatkezeléssel kapcsolatos előzetes konzultáció céljából a felügyeleti hatósághoz fordulni (GDPR 36. cikk (1) bekezdés). A konzultáció keretében az adatvédelmi hatásvizsgálatot teljes egészében közölni kell (GDPR 36. cikk (3) bekezdés e) pont). A felügyeleti hatóság tanácsot adhat.

A személyes adatok kezelése tekintetében a főbb irányadó jogszabályok a természetes személyeknek a személyes adatok kezeléséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (infotv.), a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény, illetve a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.).

Az adatvédelmi hatásvizsgálatok tekintetében főbb iránymutatás a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport -  Iránymutatás az adatvédelmi hatásvizsgálat elvégzéséhez és annak megállapításához, hogy az adatkezelés az (EU) 2016/679 rendelet alkalmazásában „valószínűsíthetően magas kockázattal jár”-e (17/HU WP 248 rev.01)

Az elfogadható adatvédelmi hatásvizsgálatra vonatkozó szempontok a 29. cikk alapján létrehozott Adatvédelmi Munkacsoport iránymutatásának 2.sz. melléklete alapján:

a. módszeres leírás készült az adatfeldolgozásról (GDPR 35. cikk (7) bekezdés a) pont)

• figyelembe vették az adatkezelés jellegét, hatókörét, körülményeit és céljait (GDPR (90) preambulumbekezdés),
• személyes adatokat, a címzetteket, valamint a személyes adatok tárolásának időtartamát rögzítették,
• funkcionális leírás készült az adatkezelési műveletről,
• a személyes adatokhoz használt eszközöket (hardverek, szoftverek, hálózatok, személyek, papírok vagy papíralapú továbbítási csatornák) azonosították,

• értékelték a szükségességet és az arányosságot (GDPR 35. cikk (7) bekezdés b) pont),
• a rendelet betartására irányuló intézkedéseket meghatározták (GDPR 35. cikk (7) bekezdés d) pont és a (90) preambulumbekezdés), figyelembe véve az alábbiakat:
• az adatkezelés arányosságát és szükségességét előmozdító intézkedések a következők alapján:
  • meghatározott, kifejezett és jogos cél(ok) (GDPR 5. cikk (1) bekezdés b) pont),
  • az adatkezelés jogszerűsége (GDPR 6. cikk),
  • megfelelőek, relevánsak, és a szükséges adatokra korlátozódnak (GDPR 5. cikk (1) bekezdés c) pont),
• korlátozott tárolási időtartam (GDPR 5. cikk (1) bekezdés e) pont),
• figyelembe vették az érintettek jogait támogató intézkedéseket:
  - az érintetteknek nyújtott tájékoztatás (GDPR 12., 13. és 14. cikk),
  - betekintési jog és az adathordozhatósághoz való jog (GDPR 15. és 20. cikk),
  - a helyesbítéshez és a törléshez való jog (GDPR 16., 17. és 19. cikk),
  - kifogásolási jog és az adatkezelés korlátozásához való jog (GDPR 18., 19. és 21. cikk),
  - az feldolgozókkal fennálló kapcsolatok (GDPR 28. cikk),
  - a nemzetközi adattovábbításhoz kapcsolódó garanciák (GDPR V. fejezet),
  - előzetes konzultáció (GDPR 36. cikk),

• a kockázatok forrását, jellegét, egyediségét és súlyosságát felmérték (vö. GDPR (84) preambulumbekezdés) vagy konkrétabban mindegyik kockázat (jogosulatlan hozzáférés, nemkívánatos módosítás és az adatok eltűnése) esetében az érintettek szemszögéből:
  - figyelembe vették a kockázatforrásokat (GDPR (90) preambulumbekezdés),
  - az érintettek jogaira és szabadságaira esetlegesen gyakorolt hatásokat beazonosították olyan eseményekre vonatkozóan, mint a jogosulatlan hozzáférés, a nemkívánatos módosítás és az adatok eltűnése,
  - az esetleg jogosulatlan hozzáféréshez, nemkívánatos módosításhoz vagy adatok eltűnéséhez vezető veszélyeket beazonosították,
  - felmérték a valószínűséget és a súlyosságot (GDPR (90) preambulumbekezdés),
• az említett kockázatok orvoslására irányuló intézkedéseket meghatározták (GDPR 35. cikk (7) bekezdés d) pont és a (90) preambulumbekezdés),

• kikérték az adatvédelmi tisztviselő tanácsát (GDPR 35. cikk (2) bekezdés),
• adott esetben kikérték az érintettek véleményét (GDPR 35. cikk (9) bekezdés)
• adott esetben tanácsot kértek különböző szakterületek független szakértőitől (jogászok, informatikai szakértők, biztonsági szakértők, szociológusok, etikai szakértők stb.)
• kérték az adatfeldolgozó segítségét, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat (a 28. cikk (3) bekezdésé f) pontja).