Az adatvédelmi hatástanulmány az adatkezelés kapcsán keletkezhető kockázatok elemzésének, illetve ezen kockázatok kezelésére tett javaslatnak felel meg.
Az adatvédelmi hatástanulmány célja, hogy megvizsgálja az adott szervezet valamennyi olyan tevékenységét, vagy alaptevékenységéhez szükséges, kapcsolódó tevékenységeket, amelyek kapcsán olyan adatokat kell rögzíteni, kezelni, tárolni, adott estben továbbítani, amely adatok alkalmasak az adathoz kötődő személyek beazonosítására.
A vizsgálódás során az adatkezelési folyamat valamennyi részfolyamatát és az adatkezeléshez, adatfeldolgozáshoz szükséges eszközöket számba kell venni, olyan szemmel nézve, hogy hol, melyikben, milyen módon keletkezhet olyan kockázat, más szóval adatvédelmi veszélyhelyzet, amely a kezelt adatok tulajdonosára nézve hátrányosak lehetnek.
Ugyancsak vizsgálni kell, hogy ezen adatvédelmi veszélyhelyzetek milyen súlyos következményekkel járhatnának, valamint, hogy az esetleges bekövetkezésüknek mekkora az esélye, vagyis valószínűsége.
A veszély, mint kockázat által okozható kár és a bekövetkeztének a valószínűségi foka együttesen szabják meg, hogy a szóban forgó veszélyhelyzet forrására nézve milyen módosító intézkedéseket, milyen változtatásokat szükséges bevezetni.
Ha az adott szervezet végrehajtja a hatástanulmány kimeneteként megfogalmazott javaslatokat, akkor készíthető el a GDPR-nak mindenben megfelelő adatkezelését leíró Adatkezelési Szabályzat.
A MAPOSZ gyakorlatában követi a GDPR-nak való megfelelés alapját képező Hatástanulmány készítését pontosan szabályozó európai szabvány, az ISO/IEC 229134:2017 azon határozott meghagyásait (1., 7.1.)*, miszerint az útmutatások, előírások alkalmasak bármekkora méretű, bárhol a világon létező, bármely foglalkozást vagy hivatást folytató szervezetre, a sok-ezer alkalmazottat és milliós létszám ügyfélkört kezelő multi vállalattól az egyszemélyes egyéni vállalkozóig, így tehát az ennél általában alig nagyobb orvosi praxisokra is.