Απόφαση 65/2018 Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Η ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Έχοντας υπόψη:

1. Σύμφωνα με το άρθρο 35 παρ. 1 του ΓΚΠΔ:

«Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους».

2. Σύμφωνα με το άρθρο 35 παρ. 3 του ΓΚΠΔ, η ΕΑΠΔ απαιτείται ιδίως στις ακόλουθες περιπτώσεις:

«(...) α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,

β) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή

γ) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα (...)».

3. Για την παροχή συνεκτικής ερμηνείας των πράξεων επεξεργασίας στις οποίες απαιτείται η διενέργεια ΕΑΠΔ λόγω του υψηλού κινδύνου που ενέχουν, η Ομάδα Εργασίας του άρθρου 29 εξέδωσε τις «Κατευθυντήριες γραμμές για την εκτίμηση του αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία "ενδέχεται να επιφέρει υψηλό κίνδυνο" για τους σκοπούς του κανονισμού 2016/679» (WP248), τις οποίες ενέκρινε το ΕΣΠΔ κατά την πρώτη ολομέλειά του. Οι κατευθυντήριες αυτές γραμμές αποσκοπούν πρωτίστως στην αποσαφήνιση της έννοιας του υψηλού κινδύνου και θέτουν τα κριτήρια για την κατάρτιση των καταλόγων που θα εγκριθούν από τις Αρχές Προστασίας Δεδομένων βάσει του άρθρου 35 παρ. 4 του ΓΚΠΔ. Επίσης, σκοπός του ως άνω κειμένου είναι η διευκόλυνση του έργου του ΕΠΣΔ και η διευκόλυνση των υπευθύνων επεξεργασίας που έχουν την υποχρέωση να διενεργήσουν εκτίμηση αντίκτυπου.

4. Σύμφωνα με τα άρθρα 35 παρ. 4 και παρ. 6 του ΓΚΠΔ:

«(παρ. 4) Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντίκτυπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Αεδομένων που αναφέρεται στο άρθρο 68». «(παρ. 6) Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση».

5. Σύμφωνα με το άρθρο 64 παρ. 1, 3, 6, 7 και 8 του ΓΚΠΔ:

«(παρ. 1) Το Συμβούλιο εκδίδει γνώμη όποτε μια αρμόδια εποπτική αρχή προτίθεται να θεσπίσει οποιοδήποτε από τα κατωτέρω μέτρα. Για τον σκοπό αυτό, η αρμόδια εποπτική αρχή ανακοινώνει το σχέδιο απόφασης στο Συμβούλιο, όταν: α) αποσκοπεί στην έγκριση καταλόγου πράξεων επεξεργασίας που υπόκεινται στην απαίτηση η για διενέργεια εκτίμησης αντίκτυπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 παράγραφος 4 (...)»

«(παρ. 3) Στις περιπτώσεις που αναφέρονται στις παραγράφους 1 και 2, το Συμβούλιο Προστασίας Δεδομένων εκδίδει γνώμη σχετικά με το αντικείμενο που του υποβάλλεται, εφόσον δεν έχει ήδη εκδώσει γνώμη επί του ίδιου θέματος. Η γνώμη αυτή εκδίδεται εντός προθεσμίας οκτώ εβδομάδων με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων. Η προθεσμία αυτή μπορεί να παραταθεί κατά έξι ακόμα εβδομάδες, λαμβάνοντας υπόψη την πολυπλοκότητα του θέματος(...)».

«(παρ. 6) Η αρμόδια εποπτική αρχή δεν εγκρίνει το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 εντός της προθεσμίας που αναφέρεται στην παράγραφο 3».

«(παρ. 7) Η εποπτική αρχή που αναφέρεται στην παράγραφο 1 λαμβάνει ιδιαιτέρως υπόψη τη γνώμη του Συμβουλίου Προστασίας Δεδομένων και, εντός δύο εβδομάδων από την παραλαβή της γνώμης, ανακοινώνει στον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων με ηλεκτρονικά μέσα κατά πόσο θα διατηρήσει ή θα τροποποιήσει το σχέδιο απόφασης και, εφόσον συντρέχει περίπτωση, το τροποποιημένο σχέδιο απόφασης, χρησιμοποιώντας τυποποιημένο μορφότυπο».

«(παρ. 8) Όταν η ενδιαφερόμενη εποπτική αρχή ενημερώνει τον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων, εντός της προθεσμίας που αναφέρεται στην παράγραφο 7 του παρόντος άρθρου, ότι δεν προτίθεται να ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων, στο σύνολο της ή εν μέρει, παρέχοντας τη σχετική αιτιολογία, εφαρμόζεται το άρθρο 65 παράγραφος 1».

6. Σύμφωνα με τις συστάσεις που περιλαμβάνονται στην γνώμη 7/2018, το ΕΣΠΔ ζητά από την Αρχή να τροποποιήσει το σχέδιο καταλόγου ΕΑΠΔ, ως ακολούθως:

a. Σχετικά με την αναφορά στις κατευθυντήριες γραμμές WP248: να προσθέσει ότι το σχέδιο καταλόγου βασίζεται στις κατευθυντήριες γραμμές WP248 για την εκτίμηση αντίκτυπου, τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω.

b. Σχετικά με την έννοια της μεγάλης κλίμακας: να διαγράψει τα ποσοτικά κριτήρια και να προσθέσει αναφορά στους ορισμούς της μεγάλης κλίμακας όπως παρατίθενται στις κατευθυντήριες γραμμές για τον Υπεύθυνο Προστασίας Δεδομένων (WP243) και την εκτίμηση αντίκτυπου (WP248).

c. Σχετικά με την επεξεργασία δεδομένων η οποία διεξάγεται με τη χρήση εμφυτεύματος: να ορίσει ότι μόνο η επεξεργασία δεδομένων υγείας με τη χρήση εμφυτεύματος υπόκειται στην απαίτηση διενέργειας εκτίμησης αντίκτυπου.

7. Ενόψει των ανωτέρω, η Αρχή, αφού έλαβε υπόψη και εξέτασε τις ανωτέρω συστάσεις, κρίνει ομόφωνα ότι η γνώμη 7/2018 του ΕΣΠΔ πρέπει να γίνει δεκτή, να επέλθουν οι αναγκαίες μεταβολές στο σχέδιο του καταλόγου που είχε υποβάλει αρχικά στο ΕΣΠΔ και να ανακοινώσει τον τροποποιημένο κατάλογο στο ΕΣΠΔ. 8. Για το σκοπό αυτό α) προστίθεται αναφορά ότι ο κατάλογος ΕΑΠΔ βασίζεται στις κατευθυντήριες γραμμές WP248, τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω, β) αφαιρούνται τα ποσοτικά κριτήρια που είχαν περιληφθεί στο αρχικό σχέδιο καταλόγου για τον ορισμό της μεγάλης κλίμακας επεξεργασίας και προστίθεται αναφορά στους σχετικούς ορισμούς των κατευθυντήριων γραμμών WP243 και WP248 και γ) αναμορφώνεται το σημείο 2.2.5 του καταλόγου με αφαίρεση της πρόβλεψης για τη χρήση εμφυτευμάτων δεδομένου ότι η επεξεργασία δεδομένων υγείας με τη χρήση εμφυτευμάτων καλύπτεται από το σημείο 2.1 και σε συνδυασμό με το σημείο 3.1.,

9. Σύμφωνα με τις διατάξεις του άρθρου 19 παρ. 8 του ν. 2472/1997 (ΦΕΚ 50/Α΄/1997) «προστασία του ατόμου από επεξεργασία δεδομένων προσωπικού χαρακτήρα, οι κανονικές πράξεις της Αρχής δημοσιέυονται στην Εφημερίδα της Κυβερνήσεως.

10. Από τις διατάξεις της παρούσας απόφασης δεν προκαλείται δαπάνη σε βάρος του κρατικού προϋπολοογισμού, αποφασίζει ομόφωνα, την τροποποίηση του σχεδίου καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση διενέργειας εκτίμησης αντίκτυπου βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωση του τροποποιημένου καταλόγου στο ΕΣΠΔ.

Κατόπιν τούτου, ο τροποποιημένος κατάλογος διαμορφώνεται ως ακολούθως: