Διευκρινίσεις για την εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (DPIA)

Χρήσιμες πληροφορίες και παραδείγματα αναφορικά με την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) κατά τον Γενικό Κανονισμό για την Προστασία Δεδομένων παρέχει η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Κυπριακής Δημοκρατίας.

Σύμφωνα με το Γραφείο της Επιτρόπου, η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) είναι μια διαδικασία που βοηθά τους οργανισμούς να εντοπίσουν και να ελαχιστοποιήσουν τους κινδύνους προστασίας δεδομένων μιας δραστηριότητας.

Η ΕΑΠΔ πρέπει να διενεργείται για ορισμένα είδη επεξεργασίας που αναφέρονται στον κατάλογο ή για οποιαδήποτε άλλη επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα συμφέροντα των ατόμων, ενώ είναι καλή πρακτική η πραγματοποίησή της για οποιοδήποτε άλλη σημαντική δραστηριότητα η οποία απαιτεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Πότε διενεργείται ΕΑΠΔ από υπεύθυνο επεξεργασίας;

Για κάθε πράξη επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων απαιτείται η διενέργεια ΕΑΠΔ, πριν την επεξεργασία, με σκοπό την εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων.

Κριτήρια που καθορίζουν πότε υπάρχει Υψηλός κίνδυνος:

1. Διενεργείται αυτοματοποιημένη επεξεργασία, με βάση την οποία γίνεται συστηματική και εκτενής αξιολόγηση προσωπικών πτυχών φυσικών προσώπων (περιλαμβανομένης της κατάρτισης προφίλ) και στην οποία λαμβάνονται αποφάσεις που παράγουν έννομα ή σημαντικά αποτελέσματα για φυσικά πρόσωπα. Επεξεργασία με μικρό ή μηδαμινό αντίκτυπο στα φυσικά πρόσωπα δεν πληροί τους όρους του συγκεκριμένου κριτηρίου.

2. Εκτελείται σε μεγάλη κλίμακα επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων ή προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

3. Διενεργείται συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

Ορισμοί/ διευκρινήσεις:

Ειδικές κατηγορίες προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν στην υγεία ή δεδομένων που αφορούν στη σεξουαλική ζωή φυσικού προσώπου, γενετήσιο προσανατολισμό

Μεγάλης κλίμακας επεξεργασία: ο Κανονισμός δεν ορίζει τι συνιστά μεγάλης κλίμακας επεξεργασία, ωστόσο η αιτιολογική σκέψη 91 παρέχει ορισμένες κατευθύνσεις. 

Η ομάδα εργασίας του άρθρου 29 συνιστά να λαμβάνονται υπόψη οι ακόλουθες παράμετροι κατά τον προσδιορισμό του κατά πόσον η επεξεργασία τελείται σε μεγάλη κλίμακα.

(α) Ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού.
(β) Ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων που υποβάλλονται σε επεξεργασία.
(γ) Η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων.
(δ) Το γεωγραφικό εύρος της δραστηριότητας επεξεργασίας.

Συστηματική παρακολούθηση: επεξεργασία για την παρατήρηση, την παρακολούθηση ή τον έλεγχο των υποκειμένων των δεδομένων, περιλαμβανομένων των δεδομένων που συλλέγονται μέσω δικτύων. 

Στον όρο «συστηματική» αποδίδεται μία ή περισσότερες από τις ακόλουθες έννοιες:

- λαμβάνει χώρα σύμφωνα με ένα σύστημα·

- είναι προκαθορισμένη, οργανωμένη ή μεθοδική·

- υλοποιείται στο πλαίσιο γενικού σχεδίου συλλογής δεδομένων·

- διενεργείται στο πλαίσιο στρατηγικής.

Δημοσίως προσβάσιμος χώρος: κάθε χώρο που είναι ανοικτός στο κοινό, όπως μια πλατεία, ένα εμπορικό κέντρο, ένας δρόμος, μια αγορά, ένας σιδηροδρομικός σταθμός ή μια δημόσια βιβλιοθήκη.

Σημείωση: όσο περισσότερα κριτήρια πληρούνται με την επεξεργασία, τόσο πιθανότερο είναι να τίθενται σε υψηλό κίνδυνο τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων και, ως εκ τούτου, να απαιτείται η διενέργεια ΕΑΠΔ, ανεξάρτητα από τα προβλεπόμενα μέτρα του υπεύθυνου επεξεργασίας. Ωστόσο, σε ορισμένες περιπτώσεις, ο υπεύθυνος επεξεργασίας μπορεί να θεωρήσει ότι σε επεξεργασία στην οποία πληρούται μόνο ένα από τα εν λόγω κριτήρια απαιτείται η διενέργεια ΕΑΠΔ.

Αντιθέτως, μια πράξη επεξεργασίας που ενδεχομένως αντιστοιχεί στις ανωτέρω αναφερόμενες περιπτώσεις κατά τον υπεύθυνο επεξεργασίας μπορεί να θεωρείται ότι εξακολουθεί να μην «ενδέχεται να επιφέρει υψηλό κίνδυνο». Στις εν λόγω περιπτώσεις, ο υπεύθυνος επεξεργασίας θα πρέπει να δικαιολογεί και να τεκμηριώνει τους λόγους μη διενέργειας ΕΑΠΔ και να περιλαμβάνει/καταγράφει τις απόψεις του υπεύθυνου προστασίας δεδομένων. 

Παράλληλα, η Επίτροπος ανήρτησε κατάλογο με δραστηριότητες επεξεργασίας για τις οποίες η διενέργεια ΕΑΠΔ είναι υποχρεωτική.

Σε ποιες περιπτώσεις δεν απαιτείται η διενέργεια ΕΑΠΔ; 

Όταν η επεξεργασία δεν «ενδέχεται να επιφέρει υψηλό κίνδυνο».

Για παράδειγμα:

• Μια επεξεργασία δεδομένων προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελματία του τομέα της υγείας,
• Μια επεξεργασία δεδομένων προσωπικού χαρακτήρα πελατών δικηγόρου,
• Ηλεκτρονικό περιοδικό που χρησιμοποιεί κατάλογο ηλεκτρονικών διευθύνσεων για να αποστέλλει γενικές ημερήσιες συνόψεις στους συνδρομητές του,
• Δικτυακός τόπος ηλεκτρονικού εμπορίου που διαφημίζει ανταλλακτικά αυτοκινήτων-αντικών και περιλαμβάνει περιορισμένη κατάρτιση προφίλ βάσει των αντικειμένων που έχουν προβληθεί ή αγοραστεί στον δικτυακό του τόπο.