A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elkészítette a GDPR 35. cikk (4) bekezdés szerinti jegyzékét (elérhető itt), amelyben azon adatkezelési műveletek kerülnek felsorolásra, melyek esetén kötelező az adatvédelmi hatásvizsgálat készítése.
Ilyen adatkezelési műveleteknek minősülnek – többek között – az alábbi esetek:
- biometrikus adatok kezelése, ha azok kezelése módszeres megfigyelésre irányul vagy kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos;
- hitelképesség vagy fizetőképesség értékelése nagyszámú személyes adatok vagy módszeres értékelés útján;
- profilozási céllal gyűjtött személyes adatok kezelése;
- joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal;
- okosmérők használata;
- munkavállalók munkájának megfigyelése.
Különösen jelentős, hogy a NAIH a munkavállalók munkájának megfigyelése esetén is adatvédelmi hatásvizsgálat elkészítését írja elő. Ilyen megfigyelésnek minősül például a GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás megelőzése céljából.
Az adatvédelmi hatásvizsgálatokat az adatkezelés megkezdését megelőzően kell elkészíteni, ebben értékelni szükséges, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Tartalmaznia kell legalább az adatkezelési műveletek módszeres leírását és az adatkezelési célok ismertetését, valamint azok szükségességi és arányossági vizsgálatát, az érintett jogait és szabadságait érintő kockázatok vizsgálatát, illetve a kockázatok kezelésére irányuló intézkedések bemutatását.
A Hatóság kiemelte, hogy az adatkezelőknek folyamatosan értékelniük kell az adatkezelési tevékenységeikből eredő kockázatokat, vagyis az adatvédelmi hatásvizsgálat sem egy egyszeriben teljesítendő kötelezettség, hanem egy folyamatosan végezendő vizsgálat.