Γιατί η εκπόνηση Μελέτης Εκτίμησης Αντικτύπου (DPIA) αφορά μεγάλο αριθμό επιχειρήσεων στο πλαίσιο της συμμόρφωσής τους με τον GDPR
04/04/2022
Περί τα τέλη Φεβρουαρίου του 2022 δημοσιεύτηκε η υπ’ αριθμ. 5/2022 απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).
Η υπόθεση που εξετάστηκε αφορούσε γνωστή γαλακτοβιομηχανία και στην εγκατάσταση από αυτή συστήματος βιντεοεπιτήρησης σε συγκεκριμένους χώρους του εργοστασίου της. Η ΑΠΔΠΧ – κατόπιν καταγγελίας από εργαζόμενο – εξέτασε τη νομιμότητα αυτής της πράξης υπό το πρίσμα του δικαίου προστασίας δεδομένων προσωπικού χαρακτήρα.
Η βασικότερη πληροφορία που αντλούμε από τη συγκεκριμένη απόφαση αφορά στην Μελέτη Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων (Data Protection Impact Assessment –DPIA). Όπως είχαμε παρατηρήσει, η DPIA “μοιάζει να μην έχει λάβει στη χώρα μας την προσοχή που αναλογεί στη (μεγάλη) σημασία της”. Η διαπίστωση αυτή επιβεβαιώθηκε στην υπό κρίση περίπτωση.
Για να υπενθυμίσουμε, με τη βοήθεια ενός γενικού ορισμού – ο οποίος υιοθετείται και από τον ίδιο τον Γενικό Κανονισμό για την Προστασία Δεδομένων (General Data Protection Regulation 2016/679 EΕ – GDPR) – η υποχρέωση για σύνταξη της DPIA υφίσταται στις περιπτώσεις εκείνες στις οποίες «οι πράξεις επεξεργασίας ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Αυτό μπορεί να οφείλεται σε μία σειρά από λόγους, όπως, για παράδειγμα, λόγω της χρήσης νέων τεχνολογιών κατά την επεξεργασία, κατόπιν, βέβαια, συνεκτίμησης των δεδομένων που τυγχάνουν επεξεργασίας αλλά και του σκοπού για τον οποίο αυτή (ενν. η επεξεργασία) σχεδιάζεται να λάβει χώρα.
Οι ασφαλείς λιμένες – εκεί δηλ. όπου δεν απαιτείται εκπόνηση DPIA – είναι λίγοι, ενώ οι γκρίζες ζώνες πολλές. Βέβαια για την παροχή πιο συνεκτικού συνόλου των πράξεων επεξεργασίας που απαιτούν τη διενέργεια DPIA, κάθε εθνική αρχή εκδίδει κατάλογο﮲ αυτός είναι, ωστόσο, ενδεικτικός. Όπως όμως αναφέρει και η ίδια η ΑΠΔΠΧ στην σχετικό κατάλογο που εκδόθηκε, δεν αίρεται ούτε µεταβάλλεται η υποχρέωση να διενεργείται DPIA σε κάθε περίπτωση επεξεργασίας η οποία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων», ακόμα δηλαδή και αν η συγκεκριμένη περίπτωση δεν περιλαμβάνεται στον (ενδεικτικό εξάλλου) κατάλογο. Είναι αρκετά ασαφές, λοιπόν, το πότε θα κριθεί ότι ήταν υποχρεωτική ή όχι η εκπόνηση DPIA από τον Υπεύθυνο Επεξεργασίας. Για το λόγο αυτό, ενόψει των προστίμων που επαπειλούνται αλλά και επειδή πρόκειται για μια μορφή «αυτοελέγχου» και χρήσιμη προσομείωση πριν ξεκινήσουν οι πράξεις επεξεργασίας (συνεπώς θα βοηθά σημαντικά στην πρόληψη και στον εντοπισμό τυχόν κενών ασφαλείας ήδη πριν την επεξεργασία), είχαμε πει ότι, αναφορικά με την εκπόνηση της DPIA, ισχύει η δράση «better safe than sorry”.
Στην περίπτωση της γνωστής γαλακτοβιομηχανίας, η ΑΠΔΠΧ έκρινε ότι η εγκατάσταση του συστήματος βιντεοεπιτήρησης όφειλε να συνοδεύεται από εκπόνηση DPIA, στην οποία θα αναλύονται μια σειρά από ειδικότερα ζητήματα, στη βάση κυρίως μίας εκτίμησης της αναγκαιότητας και της αναλογικότητας της σκοπούμενης πράξης επεξεργασίας.
Η βασική αιτία για την οποία η καταγγελόμενη γαλακτοβιομηχανία είχε αυτή την υποχρέωση ως Υπεύθυνη Επεξεργασίας ήταν ότι η περίπτωσή της «συναντούσε» δύο από τα κριτήρια των σχετικών κατευθυντήριων γραμμών: οι εργαζόμενοι αποτελούν πράγματι ευάλωτα υποκείμενα των δεδομένων, λόγω της αυξημένα άνισης σχέσης ισχύος (μεταξύ αυτών και της εργοδότριας εταιρείας) αλλά επίσης επρόκειτο και για συστηματική παρακολούθηση σε πραγματικό χρόνο, μέσω ειδικής οθόνης που βρίσκεται σε φυλάκιο, από τον φύλακα βάρδιας.
Το σημείο γενικότερου ενδιαφέροντος είναι ότι η κατάφαση των κριτηρίων αυτών εντοπίζονται, όχι σπάνια, σε πολλές περιπτώσεις στις οποίες παρακολουθείται εργασιακός χώρος. Αυτή η διαπίστωση, σε συνδυασμό με το γεγονός ότι τα πιθανά κριτήρια που οδηγούν σε υποχρέωση εκπόνησης DPIA είναι και άλλα, μας κάνει να πιστεύουμε ότι στο μέλλον θα υπάρξει αυξημένο ενδιαφέρον, από πλευράς Υπεύθυνων Επεξεργασίας, για την εκπόνηση Μελετών Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων (DPIA).
Η απόφαση της ΑΠΔΠΧ, βέβαια, εξέτασε και άλλα επιμέρους ζητήματα και κατέληξε σε αρκετές ακόμα ενδιαφέρουσες κρίσεις. Για παράδειγμα, στον ισχυρισμό της γαλακτοβιομηχανίας ότι οι εγκατασταθείσες κάμερες διέθεταν ειδικό λογισμικό με το οποίο γέμιζε με μαύρο φόντο (χρήση “matrix”) η οθόνη στα σημεία εκτός των μηχανών (και άρα ότι δεν λάμβανε εικόνα από εργαζόμενους) έκρινε ότι «[…] η ρύθμιση της εφαρμογής του μαύρου φόντου των καμερών με χρήση του λογισμικού iVMS 4200, παρότι η εταιρεία το αναφέρει ως μόνιμο, μπορεί ανά πάσα στιγμή και με εύκολο τρόπο να αντιστραφεί ή αλλαχθεί, επίσης από τις σχετικές ρυθμίσεις του συστήματος, ώστε η εικόνα που λαμβάνεται από τις κάμερες να προβάλλεται στην οθόνη προβολής/παρακολούθησης χωρίς καθόλου κάλυψη ή με κάλυψη άλλων τμημάτων (βλ. ΑΠΔ 23/2021, πρβλ. ΑΠΔ 87/2015)».
Η ΑΠΔΠΧ , υπό τις περιστάσεις της συγκεκριμένης περίπτωσης, δεν επέβαλε κάποιο διοικητικό πρόστιμο, παρά μόνο υποχρέωσε στην εκπόνηση DPIA, στην βάση των κατευθύνσεων που παρείχε στην απόφαση. Βέβαια, προϊόντος του χρόνου αναμένεται η αντιμετώπιση της ΑΠΔΠΧ να είναι περισσότερο αυστηρή σε παρόμοιες περιπτώσεις﮲ αυτές οι «πρώτες αποφάσεις» υπό το κράτος του GDPR μοιάζει να έχουν και έναν «προειδοποιητικό» χαρακτήρα για τους Υπεύθυνους (αλλά και Εκτελούντες, κατά περίπτωση) Επεξεργασία, ιδίως σε περιπτώσεις παραβάσεων που εισήχθησαν το πρώτον με τον GDPR (τέτοια περίπτωση αποτελεί και η υποχρέωση σύνταξης DPIA).
Η υπ’ αριθμ. 5/2022 απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι διαθέσιμη εδώ.
*Ο Γιάννης Ψαράκης (Υπ. Διδάκτωρ Νομικής Σχολής ΕΚΠΑ – ΜΔΕ ΙΙΙ) είναι συνεργάτης της Δικηγορικής Εταιρείας Ψαράκης|Κεφαλάς (www.psarakislegal.com) και ιδρυτής του IP Hub «The Trademark Hoop» (www.thetrademarkhoop.com)
