logo-print

Η εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)

Καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του GDPR

16/01/2018

24/01/2018

Με τις κατευθυντήριες γραμμές της Ομάδας Εργασίας του Άρθρου 29 (WP29*) παρέχονται διευκρινίσεις αναφορικά με την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και τον καθορισμό του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).

Όπως είναι γνωστό, ο κανονισμός 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων – ΓΚΠΔ) θα τεθεί σε εφαρμογή από την 25η Μαΐου 2018.

Το άρθρο 35 του ΓΚΠΔ εισάγει την έννοια της εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ1), όπως και η οδηγία 2016/6802.

Σύμφωνα με την WP 29, η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων είναι μια διαδικασία που έχει σχεδιαστεί για να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα3, με την αξιολόγησή τους και τον καθορισμό μέτρων για την αντιμετώπισή τους.

Διαβάστε επίσης: Η έννοια της συγκατάθεσης στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)

Η ΕΑΠΔ αποτελεί σημαντικό εργαλείο για την πλήρωση της υποχρέωσης λογοδοσίας, καθώς παρέχει συνδρομή στους υπεύθυνους επεξεργασίας όχι μόνον προκειμένου να συμμορφώνονται με τις προδιαγραφές του ΓΚΠΔ, αλλά και για να αποδεικνύουν ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα για τη διασφάλιση της συμμόρφωσης προς τον κανονισμό (βλ. επίσης άρθρο 24)4.

Με άλλα λόγια, η ΕΑΠΔ είναι μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης.

Βάσει του ΓΚΠΔ, η μη συμμόρφωση με τις απαιτήσεις ΕΑΠΔ μπορεί να οδηγήσει στην επιβολή προστίμων από την αρμόδια εποπτική αρχή.

Η παράλειψη διενέργειας ΕΑΠΔ σε επεξεργασία που υπόκειται σε απαίτηση διενέργειας ΕΑΠΔ (άρθρο 35 παράγραφος 1 και παράγραφοι 3-4), η διενέργεια ΕΑΠΔ με εσφαλμένο τρόπο (άρθρο 35 παράγραφος 2 και παράγραφοι 7-9) ή η μη διαβούλευση με την αρμόδια εποπτική αρχή εφόσον απαιτείται [άρθρο 36 παράγραφος 3 στοιχείο ε)] μπορούν να επιφέρουν διοικητικό πρόστιμο ύψους έως 10 εκατ. ευρώ ή, σε περίπτωση επιχείρησης, έως 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

ΕΑΠΔ: επεξήγηση του κανονισμού

Κατά τις επιταγές του ΓΚΠΔ, οι υπεύθυνοι επεξεργασίας οφείλουν να εφαρμόζουν ενδεδειγμένα μέτρα για να διασφαλίζουν και να είναι σε θέση να αποδεικνύουν τη συμμόρφωση προς τον ΓΚΠΔ, λαμβάνοντας υπόψη μεταξύ άλλων «τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων» (άρθρο 24 παράγραφος 1).

Η υποχρέωση των υπεύθυνων επεξεργασίας για τη διενέργεια ΕΑΠΔ σε ορισμένες περιστάσεις θα πρέπει να γίνεται αντιληπτή σε σχέση με τη γενική τους υποχρέωση να διαχειρίζονται με ενδεδειγμένο τρόπο τους κινδύνους5 που ενέχει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα.

Ως «κίνδυνος» νοείται μια υπόθεση εργασίας που περιγράφει ένα συμβάν και τις επιπτώσεις του, που έχουν εκτιμηθεί με όρους σοβαρότητας και πιθανότητας επέλευσης.

Από την άλλη, ως «διαχείριση κινδύνου» μπορούν να νοηθούν οι συντονισμένες δραστηριότητες για την καθοδήγηση και τον έλεγχο ενός οργανισμού ως προς τον κίνδυνο.

Το άρθρο 35 κάνει λόγο για ενδεχόμενο υψηλό κίνδυνο «για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων».

Όπως προκύπτει από τη δήλωση της ομάδας εργασίας του άρθρου 29 για την προστασία των δεδομένων αναφορικά με τον ρόλο μιας προσέγγισης βάσει κινδύνου στο νομικό πλαίσιο της προστασίας δεδομένων, η παραπομπή «στα δικαιώματα και στις ελευθερίες» των υποκειμένων των δεδομένων αφορά πρωτίστως τα δικαιώματα προστασίας των δεδομένων και της ιδιωτικής ζωής, ενδέχεται όμως να συμπεριλαμβάνει και άλλα θεμελιώδη δικαιώματα, όπως την ελευθερία του λόγου, την ελευθερία της σκέψης, την ελευθερία κυκλοφορίας, την απαγόρευση των διακρίσεων, το δικαίωμα στην ελευθερία, την ελευθερία συνειδήσεως και θρησκείας.

Σύμφωνα με την προσέγγιση βάσει κινδύνου που υιοθετεί ο ΓΚΠΔ, δεν απαιτείται η διενέργεια ΕΑΠΔ σε κάθε πράξη επεξεργασίας.

Αντιθέτως, η διενέργεια ΕΑΠΔ απαιτείται μόνον όταν ένα είδος επεξεργασίας «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων» (άρθρο 35 παράγραφος 1).

Αυτό καθαυτό γεγονός της μη πλήρωσης των όρων που ενεργοποιούν την υποχρέωση διενέργειας ΕΑΠΔ δεν μειώνει, εντούτοις, τη γενική υποχρέωση των υπεύθυνων επεξεργασίας να εφαρμόζουν μέτρα για την ενδεδειγμένη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.

Στην πράξη, αυτό σημαίνει ότι οι υπεύθυνοι επεξεργασίας πρέπει να αξιολογούν συνεχώς τους κινδύνους που απορρέουν από τις δραστηριότητες επεξεργασίας τους, για να εξακριβώνουν πότε ένα είδος επεξεργασίας «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων».

Οι κατευθυντήριες γραμμές είναι διαθέσιμες στην ελληνική γλώσσα εδώ.

* Η Ομάδα Εργασίας του άρθρου 29 είναι ένα ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση. Συστάθηκε με βάση το άρθρο 29 της Οδηγίας 95/46/EC, ενώ οι αρμοδιότητές του περιγράφονται στο άρθρο 30 της ίδιας Οδηγίας, καθώς και στο άρθρο 15 της Οδηγίας 2002/58/EC.

  • 1. Ο όρος «εκτίμηση των επιπτώσεων στην ιδιωτική ζωή» είθισται να χρησιμοποιείται σε άλλες περιπτώσεις για να δηλώσει την ίδια έννοια
  • 2. Το άρθρο 27 της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, επίσης ορίζει ότι η εκτίμηση των επιπτώσεων στην ιδιωτική ζωή είναι αναγκαία όταν «[ο] τύπος [της] επεξεργασίας [...] είναι πιθανόν να προκαλέσει μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων».
  • 3. Ο ΓΚΠΔ δεν παρέχει τον επίσημο ορισμό της ΕΑΠΔ, ωστόσο - το ελάχιστο περιεχόμενό της προσδιορίζεται στο άρθρο 35 παράγραφος 7, ως ακολούθως: o «α) συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας, o β) εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς, o γ) εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και o δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων»· - η έννοια και ο ρόλος της αποσαφηνίζονται στην αιτιολογική σκέψη 84, ως ακολούθως: «Προκειμένου να ενισχυθεί η συμμόρφωση προς τον παρόντα κανονισμό όταν οι πράξεις επεξεργασίας ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να ευθύνεται για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων, ώστε να αξιολογήσει, ιδίως, την προέλευση, τη φύση, την πιθανότητα και τη σοβαρότητα του εν λόγω κινδύνου».
  • 4. Βλέπε επίσης την αιτιολογική σκέψη 84: «Το αποτέλεσμα της εκτίμησης θα πρέπει να λαμβάνεται υπόψη όταν καθορίζεται ποια μέτρα ενδείκνυται να ληφθούν ώστε να αποδειχθεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι σύμφωνη με τον παρόντα κανονισμό».
  • 5. Πρέπει να επισημανθεί ότι για τη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, απαιτείται η εξακρίβωση, ανάλυση, εκτίμηση, αξιολόγηση, αντιμετώπιση (λ.χ. μετριασμός...) των κινδύνων και η τακτική τους επανεξέταση. Οι υπεύθυνοι επεξεργασίας δεν μπορούν να απεκδύονται την αρμοδιότητά τους μέσω της κάλυψης των κινδύνων με ασφαλιστικές συμβάσεις.

Σύνδεση στο Lawspot

Enter your e-mail address or username.
Enter the password that accompanies your e-mail.
Ξεχάσατε τον κωδικό σας;
logo

Δεν έχετε λογαριασμό;

Μπορείτε να εγγραφείτε στο Lawspot ανεξαρτήτως ιδιότητας, ως δικηγόρος, συμβολαιογράφος ή και απλός χρήστης, συμπληρώνοντας τη σχετική φόρμα εδώ.

Αν είστε δικηγόρος, με την εγγραφή σας στο Lawspot.gr κερδίζετε σημαντικά οφέλη. Δείτε αναλυτικές πληροφορίες εδώ.

send