Az adatvédelmi hatásvizsgálat az általános adatvédelmi rendelet (GDPR) egyik kiemelt jogintézménye. A magyar jogban újdonságnak számító hatásvizsgálat elsődlegesen a személyes adatok kezelésével kapcsolatos tudatosság növelését, az adatkezelések jogszerűségét és biztonságát, illetve az érintettek magánéletébe történő beavatkozások hatásainak csökkentését hivatott előmozdítani. Ebből kifolyólag, a hatásvizsgálatok megfelelő módon történő elvégzése rendkívül fontos szerepet tölt be az adatkezelések irányításában, az ún. data governance rendszerben.

Az ARB Privacy Kft. szakértői által készített az általános adatvédelmi rendelet 35-36. cikkei szerinti adatvédelmi hatásvizsgálat és előzetes konzultáció elvégzésének szabályairól szóló szabályzat célja, hogy támogassa az adatkezelőket a fent említett tevékenység elvégzése során, illetve hogy meghatározza az arra vonatkozó belső eljárásrendet világos és átlátható szabályok mentén. A szabályzat tartalmát az adatkezelők a saját tevékenységüknek és szervezeti felépítésüknek megfelelően szabadon alakíthatják. Mindenesetre a szakértők könnyebb érthetőség és a transzparencia érdekében az alábbi felépítést javasolják:

-       hatály és fogalmak;

• a hatásvizsgálat elvégzésében közreműködő személyek;
• a hatásvizsgálat elvégzésének esetei;
• a hatásvizsgálat elvégzésének ideje;
• a hatásvizsgálat elvégzésének módszertana;
• előzetes konzultáció;
• dokumentálás és hozzáférés.

A fenti felépítés a gyakorlatban azt szolgálja, hogy az adatkezelők megfelelő időben és módon fel tudjanak készülni a hatásvizsgálat elvégzésére, illetve hogy azt lépésről lépésre, a GDPR-ban, valamint a vonatkozó iránymutatásokban foglaltaknak megfelelően tudják elvégezni. Ezt támogatandó a szabályzat lehetőséget biztosít az adatkezelők számára, amelynek keretében választhatják mind a Nemzeti Adatvédelmi és Információszabadság Hatóság által rendszeresített szoftvert, mind pedig a szabályzat mellékleteiben foglalt mintadokumentációt is.