Εκδόθηκε στις 4 Δεκεμβρίου Εκδόθηκε

Σχετικά έγγραφα
Γνώμη του Συμβουλίου Προστασίας Δεδομένων (άρθρο 64) Γνώμη 9/2018. για

Γνώμη 8/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Φινλανδίας. για

Εκδόθηκε στις 4 Δεκεμβρίου Εκδόθηκε

Γνώμη 1/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Αυστρίας. για

Γνώμη 7/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Ελλάδας. για

Εκδόθηκε στις 4 Δεκεμβρίου Εκδόθηκε

Γνώμη του Συμβουλίου Προστασίας Δεδομένων (άρθρο 64)

Γνώμη 13/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Λιθουανίας. για

Γνώμη 6/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Εσθονίας. για

Γνώμη 16/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής των Κάτω Χωρών. για

Γνώμη 19/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Ρουμανίας. για

Γνώμη 11/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Ιρλανδίας. για

Γνώμη του Συμβουλίου Προστασίας Δεδομένων (άρθρο 64)

Γνώμη 17/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Πολωνίας. για

Γνώμη του Συμβουλίου (άρθρο 64)

Γνώμη 4/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Τσεχικής Δημοκρατίας. για

Γνώμη 3/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Βουλγαρίας. για

Γνώμη 12/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Iταλίας. για

Γνώμη 14/2018. σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής της Λετονίας. για

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8187/

Εκδόθηκαν στις 4 Δεκεμβρίου Εγκρίθηκε 1

Γνώμη 3/2019 σχετικά με τις ερωτήσεις και απαντήσεις για την αλληλεπίδραση μεταξύ του Κανονισμού για τις Κλινικές Δοκιμές και του Γενικού Κανονισμού

3. Στοιχεία Υπευθύνου Προστασίας Δεδομένων ή αρμόδιου για επικοινωνία προσώπου* 2

Εκδόθηκε στις 12 Φεβρουαρίου Εκδόθηκε 1

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Αθήνα, Αριθ. Πρωτ.: Γ/ΕΞ/8187/ Α Π Ο Φ Α Σ Η 65/2018

Ενημερωτικό σημείωμα σχετικά με τις διαβιβάσεις δεδομένων βάσει του ΓΚΠΔ σε περίπτωση Brexit χωρίς συμφωνία

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης L 53/51

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Διαβιβάζεται συνημμένως στις αντιπροσωπίες το έγγραφο C(2017) 5959 final.

Διαβιβάζεται συνημμένως στις αντιπροσωπίες το έγγραφο - COM(2018) 249 final - ANNEXES 1 to 2.

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Πρόταση Ο ΗΓIΑΣ ΤΟΥ ΣΥΜΒΟΥΛIΟΥ

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της XXX

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης. (Μη νομοθετικές πράξεις) ΚΑΝΟΝΙΣΜΟΙ

Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Πρόταση ΟΔΗΓΙΑ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ. για την τροποποίηση της οδηγίας 2001/83/ΕΚ όσον αφορά τη φαρμακοεπαγρύπνηση

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης L 145/25

Διαβιβάζεται συνημμένως στις αντιπροσωπίες το έγγραφο - COM(2018) 249 final.

ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ ΤΟΥ ΑΡΘΡΟΥ 29 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης ΑΠΟΦΑΣΕΙΣ

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

COOPERATION TRANSPARENCY

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης ΑΠΟΦΑΣΕΙΣ

Ε?ΡΩΠΑΙΟΣ ΕΠΟΠΤΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ

COMMISSION DELEGATED REGULATION (EU) /... of

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ. Βρυξέλλες, 2 Ιουλίου 2010 (OR. en) 11160/4/10 REV 4. Διοργανικός φάκελος: 2007/0152 (COD)

Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 25 Απριλίου 2017 (OR. en)

ΚΕΦΑΛΑΙΟ III. Δικαιώματά του υποκειμένου των δεδομένων. Τμήμα 1. Διαφάνεια και ρυθμίσεις. Άρθρο 12

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Πρόταση ΑΠΟΦΑΣΗ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης

ΙΙΙ. (Προπαρασκευαστικές πράξεις) ΣΥΜΒΟΥΛΙΟ

ΕΚΤΕΛΕΣΤΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Επίσημη Εφημερίδα L 127. της Ευρωπαϊκής Ένωσης. Νομοθεσία. 61ο έτος 23 Μαΐου Έκδοση στην ελληνική γλώσσα. Περιεχόμενα.

Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης ΑΠΟΦΑΣΕΙΣ

Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 20 Δεκεμβρίου 2017 (OR. en)

επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές

Τμήμα 5. Κώδικες δεοντολογίας και πιστοποίηση. Άρθρο 40. Κώδικες δεοντολογίας

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

9901/17 ΣΙΚ/γομ 1 DGD 2A

(Μη νομοθετικές πράξεις) ΚΑΝΟΝΙΣΜΟΙ

ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ. Πρόταση ΟΔΗΓΙΑ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ. που τροποποιεί

L 355/60 Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

Διαβιβάζεται συνημμένως στις αντιπροσωπίες το έγγραφο - COM(2016) 598 final.

PE-CONS 23/1/16 REV 1 EL

ΓΕΝΙΚΟΣ ΚΑΝΟΝΙΣΜΟΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ (ΓΚΠΔ) GENERAL DATA PROTECTION REGULATION 2016/679

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Το έγγραφο αυτό συνιστά βοήθημα τεκμηρίωσης και δεν δεσμεύει τα κοινοτικά όργανα

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης. (Μη νομοθετικές πράξεις) ΚΑΝΟΝΙΣΜΟΙ

Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 30 Νοεμβρίου 2015 (OR. en)

Προσωπικά Δεδομένα. 2. Χρήσιμοι ορισμοί και επεξηγήσεις

Πρόταση EKTEΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

ΔΗΛΩΣΗ ΠΕΡΙ ΑΠΟΡΡΗΤΟΥ. Όνομα και στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας: Όνομα και στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων:

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης ΚΑΝΟΝΙΣΜΟΙ

L 181/74 EL Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης

Περίληψη της γνωμοδότησης επί της πρότασης για την αναδιατύπωση της οδηγίας σχετικά με την περαιτέρω χρήση πληροφοριών του δημόσιου τομέα (ΠΔΤ)

ΣΗΜΕΙΩΜΑ ΣΗΜΕΙΟΥ «I/A» Γενικής Γραμματείας την ΕΜΑ / το Συμβούλιο αριθ. προηγ. εγγρ.:6110/11 FREMP 9 JAI 77 COHOM 34 JUSTCIV 16 JURINFO 4 Θέμα:

Διαβιβάζεται συνημμένως στις αντιπροσωπίες το έγγραφο - C(2016) 3356 final.

Προσθήκη στο COM(2016) 456 final Αφορά την προσθήκη του Παραρτήματος 3 στην αρχική διαδικασία ΠΑΡΑΡΤΗΜΑ. στην. Πρόταση απόφασης του Συμβουλίου

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης

Συγκεντρώσεις ΔΗΛΩΣΗ ΠΕΡΙ ΑΠΟΡΡΗΤΟΥ. Όνομα και στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων:

Επίσηµη Εφηµερίδα της Ευρωπαϊκής Ένωσης ΚΑΝΟΝΙΣΜΟΙ

Πρόταση EKTEΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ

Συμβούλιο της Ευρωπαϊκής Ένωσης Βρυξέλλες, 18 Ιουνίου 2015 (OR. en)

***I ΘΕΣΗ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Γνωμοδότηση της Κοινής Εποπτικής Αρχής της Ευρωπόλ

Τροπολογία 7 Lucy Anderson εξ ονόματος της Επιτροπής Εσωτερικής Αγοράς και Προστασίας των Καταναλωτών

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ. της

Τμήμα 2. Αρμοδιότητα, καθήκοντα και εξουσίες. Άρθρο 55. Αρμοδιότητα

Transcript:

Γνώμη 26/2018 σχετικά με το σχέδιο καταλόγου της αρμόδιας εποπτικής αρχής του Λουξεμβούργου για τις πράξεις επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων (άρθρο 35 παράγραφος 4 του ΓΚΠΔ) στις 4 Δεκεμβρίου 2018 1

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ 1 Συνοπτική έκθεση των πραγματικών περιστατικών... 5 2 Αξιολόγηση... 5 2.1 Γενική συλλογιστική του ΕΣΠΔ σχετικά με τον υποβληθέντα κατάλογο... 5 2.2 Εφαρμογή του μηχανισμού συνεκτικότητας στο σχέδιο καταλόγου... 6 2.3 Ανάλυση του σχεδίου καταλόγου... 6 2.3.1 Βιομετρικά δεδομένα... 6 2.3.2 Γενετικά δεδομένα... 7 2.3.3 Συστηματική παρακολούθηση δημόσιων χώρων... 7 2.3.4 Έμμεση συλλογή δεδομένων προσωπικού χαρακτήρα, όταν δεν είναι δυνατή / εφικτή η εγγύηση του δικαιώματος ενημέρωσης (άρθρο 14 παράγραφος 5 του ΓΚΠΔ)... 7 3 Συμπεράσματα/Συστάσεις... 8 4 Τελικές παρατηρήσεις... 9 2

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων Έχοντας υπόψη το άρθρο 63, το άρθρο 64 παράγραφος 1 στοιχείο α), το άρθρο 64 παράγραφοι 3 έως 8 και το άρθρο 35 παράγραφοι 1, 3, 4 και 6 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (εφεξής «ΓΚΠΔ»), Έχοντας υπόψη τη συμφωνία για τον ΕΟΧ, και ιδίως το παράρτημα XI και το πρωτόκολλο 37, όπως αυτά τροποποιήθηκαν με την απόφαση αριθ. 154/2018 της Μικτής Επιτροπής του ΕΟΧ, της 6ης Ιουλίου 2018, Έχοντας υπόψη τα άρθρα 10 και 22 του Εσωτερικού Κανονισμού του, της 25ης Μαΐου 2018, Εκτιμώντας τα ακόλουθα: (1) Ο κύριος ρόλος του Συμβουλίου Προστασίας Δεδομένων (εφεξής «το Συμβούλιο») είναι να εξασφαλίζει τη συνεκτική εφαρμογή του Κανονισμού 2016/679 (ΓΚΠΔ) στο σύνολο του Ευρωπαϊκού Οικονομικού Χώρου. Σύμφωνα με το άρθρο 64 παράγραφος 1 του ΓΚΠΔ, το Συμβούλιο εκδίδει γνώμη όποτε εποπτική αρχή προτίθεται να θεσπίσει κατάλογο πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 παράγραφος 4 του ΓΚΠΔ. Ως εκ τούτου, στόχος της εν λόγω γνώμης είναι η ανάπτυξη μιας εναρμονισμένης προσέγγισης όσον αφορά τις πράξεις επεξεργασίας που είναι διασυνοριακού χαρακτήρα ή που μπορούν να επηρεάσουν την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα ή φυσικά πρόσωπα σε ολόκληρη την Ευρωπαϊκή Ένωση. Μολονότι ο ΓΚΠΔ δεν επιβάλλει ενιαίο κατάλογο, προωθεί τη συνεκτικότητα. Το Συμβούλιο επιδιώκει να προάγει την επίτευξη του στόχου αυτού με τις γνώμες του, πρώτον, ζητώντας από τις εποπτικές αρχές να συμπεριλάβουν στους καταλόγους τους ορισμένα είδη επεξεργασίας, δεύτερον, ζητώντας από αυτές να αφαιρέσουν ορισμένα κριτήρια τα οποία το Συμβούλιο δεν θεωρεί ότι ενέχουν απαραιτήτως υψηλούς κινδύνους για τα υποκείμενα των δεδομένων και, τέλος, ζητώντας από τις εν λόγω αρχές να χρησιμοποιούν ορισμένα κριτήρια με εναρμονισμένο τρόπο. (2) Βάσει του άρθρου 35 παράγραφοι 4 και 6 του ΓΚΠΔ, οι αρμόδιες εποπτικές αρχές καταρτίζουν καταλόγους με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων (εφεξής «ΕΑΠΔ»). Ωστόσο, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, οι αρμόδιες εποπτικές αρχές εφαρμόζουν συναφώς τον μηχανισμό συνεκτικότητας. (3) Εντούτοις, το γεγονός ότι τα σχέδια καταλόγων των αρμόδιων εποπτικών αρχών υπόκεινται στον μηχανισμό συνεκτικότητας δεν σημαίνει ότι οι κατάλογοι πρέπει να είναι πανομοιότυποι. Οι αρμόδιες εποπτικές αρχές διαθέτουν ένα περιθώριο συνεκτίμησης του εθνικού ή του περιφερειακού πλαισίου και θα πρέπει να λαμβάνουν υπόψη την τοπική νομοθεσία τους. Στόχος 3

της αξιολόγησης/γνώμης του ΕΣΠΔ δεν είναι η κατάρτιση ενός ενιαίου ενωσιακού καταλόγου, αλλά η αποφυγή σημαντικών ανακολουθιών οι οποίες θα μπορούσαν να οδηγήσουν σε άνιση προστασία των υποκειμένων των δεδομένων. (4) Σύμφωνα με το άρθρο 35 παράγραφος 1 του ΓΚΠΔ, η διενέργεια ΕΑΠΔ είναι υποχρεωτική για τον υπεύθυνο επεξεργασίας μόνο όταν η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Το άρθρο 35 παράγραφος 3 του ΓΚΠΔ παραθέτει ορισμένα είδη επεξεργασίας τα οποία ενδέχεται να επιφέρουν υψηλό κίνδυνο. Ο κατάλογος αυτός δεν είναι εξαντλητικός. Η Ομάδα Εργασίας του άρθρου 29, στις κατευθυντήριες γραμμές της για την εκτίμηση του αντικτύπου στην προστασία των δεδομένων 1, όπως εγκρίθηκαν από το ΕΣΠΔ 2, διευκρίνισε τα κριτήρια βάσει των οποίων μπορούν να προσδιοριστούν οι πράξεις επεξεργασίας που υπόκεινται στην απαίτηση για τη διενέργεια ΕΑΠΔ. Στις κατευθυντήριες γραμμές αριθ. WP248 της Ομάδας Εργασίας του άρθρου 29 αναφέρεται ότι, στις περισσότερες περιπτώσεις, ο υπεύθυνος επεξεργασίας μπορεί να θεωρεί ότι σε μια επεξεργασία που πληροί δύο κριτήρια θα απαιτούνταν η διενέργεια ΕΑΠΔ, ωστόσο, σε ορισμένες περιπτώσεις, ο υπεύθυνος επεξεργασίας μπορεί να θεωρήσει ότι σε επεξεργασία στην οποία πληρούται μόνο ένα από τα εν λόγω κριτήρια απαιτείται η διενέργεια ΕΑΠΔ. (5) Οι κατάλογοι που καταρτίζουν οι αρμόδιες εποπτικές αρχές εξυπηρετούν τον ίδιο στόχο, δηλαδή τον προσδιορισμό των πράξεων επεξεργασίας που ενδέχεται να επιφέρουν υψηλό κίνδυνο και για τις οποίες, επομένως, απαιτείται η διενέργεια ΕΑΠΔ. Ως εκ τούτου, τα κριτήρια που αναπτύσσονται στις κατευθυντήριες γραμμές της Ομάδας Εργασίας του άρθρου 29 θα πρέπει να εφαρμοστούν κατά την αξιολόγηση του κατά πόσον τα σχέδια καταλόγων των αρμόδιων εποπτικών αρχών επηρεάζουν τη συνεκτική εφαρμογή του ΓΚΠΔ. (6) Είκοσι δύο αρμόδιες εποπτικές αρχές παρέλαβαν τη γνώμη του ΕΣΠΔ σχετικά με τα σχέδια καταλόγων τους στις 5 Σεπτεμβρίου 2018.. Άλλες 4 εποπτικές αρχές υπέβαλαν τα σχέδια καταλόγων τους στις αρχές Οκτωβρίου. Η συνολική αξιολόγηση των εν λόγω σχεδίων καταλόγων προάγει τον στόχο της συνεκτικής εφαρμογής του ΓΚΠΔ, αν και η πολυπλοκότητα του προς αξιολόγηση αντικειμένου αυξάνεται. (7) Σύμφωνα με το άρθρο 64 παράγραφος 3 του ΓΚΠΔ σε συνδυασμό με το άρθρο 10 παράγραφος 2 του Εσωτερικού Κανονισμού του ΕΣΠΔ, η γνώμη του ΕΣΠΔ εκδίδεται εντός οκτώ εβδομάδων από την πρώτη εργάσιμη ημέρα αφότου ο πρόεδρος και η αρμόδια εποπτική αρχή αποφάσισαν ότι ο φάκελος είναι πλήρης. Με απόφαση του προέδρου, η προθεσμία αυτή μπορεί να παραταθεί κατά έξι ακόμη εβδομάδες, λαμβανομένης υπόψη της πολυπλοκότητας του θέματος, ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΓΝΩΜΗ: 1 Ομάδα Εργασίας του άρθρου 29, Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του Κανονισμού 2016/679 (WP 248 αναθ. 1). 2 ΕΣΠΔ, έγκριση 1/2018. 4

1 ΣΥΝΟΠΤΙΚΗ ΕΚΘΕΣΗ ΤΩΝ ΠΡΑΓΜΑΤΙΚΩΝ ΠΕΡΙΣΤΑΤΙΚΩΝ 1. Η αρμόδια εποπτική αρχή του Λουξεμβούργου υπέβαλε το σχέδιο καταλόγου της στο ΕΣΠΔ. Η απόφαση σχετικά με την πληρότητα του φακέλου λήφθηκε στις 28 Ιουλίου 2018. Η προθεσμία εντός της οποίας έπρεπε να εκδοθεί η παρούσα γνώμη παρατάθηκε έως τις 5 Δεκεμβρίου 2018 λόγω της πολυπλοκότητας του αντικειμένου της, λαμβανομένης υπόψη της ανάγκης να συνεκτιμηθεί το αποτέλεσμα της εξέτασης των είκοσι δύο σχεδίων καταλόγων που είχαν προηγουμένως υποβάλει αρμόδιες εποπτικές αρχές και της ανάγκης συνολικής αξιολόγησης όλων των εν λόγω σχεδίων. 2 ΑΞΙΟΛΟΓΗΣΗ 2.1 Γενική συλλογιστική του ΕΣΠΔ σχετικά με τον υποβληθέντα κατάλογο 2. Όλοι οι κατάλογοι που υποβλήθηκαν στο ΕΣΠΔ ερμηνεύθηκαν ως κανόνες που εξειδικεύουν περαιτέρω τις διατάξεις του άρθρου 35 παράγραφος 1, οι οποίες θα υπερισχύουν σε κάθε περίπτωση. Ως εκ τούτου, κανείς κατάλογος δεν μπορεί να είναι εξαντλητικός. 3. Σύμφωνα με το άρθρο 35 παράγραφος 10 του ΓΚΠΔ, το Συμβούλιο είναι της γνώμης ότι, αν έχει ήδη διενεργηθεί ΕΑΠΔ ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της θέσπισης της νομικής βάσης, η υποχρέωση διενέργειας ΕΑΠΔ σύμφωνα με τις παραγράφους 1 έως 7 του άρθρου 35 του ΓΚΠΔ δεν εφαρμόζεται, εκτός αν το κράτος μέλος κρίνει τη διενέργεια ΕΑΠΔ απαραίτητη. 4. Περαιτέρω, αν το Συμβούλιο ζητεί τη διενέργεια ΕΑΠΔ για ορισμένη κατηγορία πράξεων επεξεργασίας και το εθνικό δίκαιο ήδη επιβάλλει την υποχρέωση λήψης ισοδύναμου μέτρου, η Commission nationale pour la protection des données (εφεξής η εποπτική αρχή του Λουξεμβούργου) θα πρέπει να προσθέσει παραπομπή στο μέτρο αυτό. 5. Η παρούσα γνώμη δεν πραγματεύεται στοιχεία τα οποία υπέβαλε η εποπτική αρχή του Λουξεμβούργου, αλλά τα οποία κρίθηκε ότι βρίσκονται εκτός του πεδίου εφαρμογής του άρθρου 35 παράγραφος 6 του ΓΚΠΔ. Πρόκειται συναφώς για στοιχεία τα οποία δεν σχετίζονται ούτε με «την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων» σε περισσότερα του ενός κράτη μέλη ούτε με την παρακολούθηση της συμπεριφοράς υποκειμένων των δεδομένων σε περισσότερα του ενός κράτη μέλη. Επιπλέον, τα εν λόγω στοιχεία δεν ενδέχεται να «επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση». Αυτό ισχύει ιδίως για τα στοιχεία που σχετίζονται με το εθνικό δίκαιο και, κυρίως, τις περιπτώσεις που η υποχρέωση διενέργειας ΕΑΠΔ προβλέπεται από το εθνικό δίκαιο. Ομοίως, εκτός πεδίου εφαρμογής θεωρήθηκαν οι πράξεις επεξεργασίας που σχετίζονται με την επιβολή του νόμου, δεδομένου ότι δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. 6. Το Συμβούλιο παρατήρησε ότι αρκετές εποπτικές αρχές συμπεριέλαβαν στον κατάλογό τους ορισμένα είδη επεξεργασίας τα οποία συνιστούν κατ ανάγκη επεξεργασία τοπικού επιπέδου. Δεδομένου ότι το άρθρο 35 παράγραφος 6 του ΓΚΠΔ αφορά αποκλειστικά τη διασυνοριακή επεξεργασία και την επεξεργασία που μπορεί να επηρεάσει την ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα και τα υποκείμενα των δεδομένων, το Συμβούλιο δεν θα διατυπώσει παρατηρήσεις σχετικά με την εν λόγω τοπικού επιπέδου επεξεργασία. 5

7. Η γνώμη αποσκοπεί στον καθορισμό ενός ενιαίου βασικού συνόλου πράξεων επεξεργασίας οι οποίες επαναλαμβάνονται στους καταλόγους που υπέβαλαν οι εποπτικές αρχές. 8. Αυτό σημαίνει ότι, για περιορισμένο αριθμό ειδών πράξεων επεξεργασίας, που θα καθοριστούν με εναρμονισμένο τρόπο, όλες οι εποπτικές αρχές θα απαιτούν τη διενέργεια ΕΑΠΔ και το Συμβούλιο θα συστήσει στις εποπτικές αρχές να τροποποιήσουν τους καταλόγους τους αναλόγως, ώστε να εξασφαλιστεί συνεκτικότητα. 9. Όσον αφορά τις εγγραφές στον κατάλογο ΕΑΠΔ για τις οποίες η παρούσα γνώμη σιωπά, η εν λόγω σιωπή σημαίνει ότι το Συμβούλιο δεν ζητεί από την εποπτική αρχή του Λουξεμβούργου να προβεί σε περαιτέρω ενέργειες. 10. Τέλος, το Συμβούλιο υπενθυμίζει ότι η διαφάνεια αποτελεί καίριας σημασίας στοιχείο για τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Συναφώς, το Συμβούλιο είναι της άποψης ότι, για λόγους σαφήνειας των εγγραφών στον κατάλογο και ενίσχυσης της διαφάνειας, είναι σκόπιμο να περιλαμβάνεται στους καταλόγους, για κάθε είδος επεξεργασίας, ρητή παραπομπή στα σχετικά κριτήρια που καθορίζονται στις ανωτέρω κατευθυντήριες γραμμές. Ως εκ τούτου, το Συμβούλιο θεωρεί ότι ενδείκνυται ενδεχομένως η προσθήκη από την εποπτική αρχή του Λουξεμβούργου μιας επεξήγησης σχετικά με τα κριτήρια που λήφθηκαν υπόψη για τη δημιουργία του καταλόγου της. 2.2 Εφαρμογή του μηχανισμού συνεκτικότητας στο σχέδιο καταλόγου 11. Το σχέδιο καταλόγου που υπέβαλε η εποπτική αρχή του Λουξεμβούργου σχετίζεται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων, σχετίζεται με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη και/ή σχετίζεται με δραστηριότητες οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση, κυρίως επειδή οι πράξεις επεξεργασίας που περιλαμβάνονται στο υποβληθέν σχέδιο καταλόγου δεν περιορίζονται σε υποκείμενα των δεδομένων στην εν λόγω χώρα. 2.3 Ανάλυση του σχεδίου καταλόγου 12. Λαμβάνοντας υπόψη: 1. ότι το άρθρο 35 παράγραφος 1 του ΓΚΠΔ επιβάλλει τη διενέργεια ΕΑΠΔ όταν η δραστηριότητα επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων και 2. ότι το άρθρο 35 παράγραφος 3 του ΓΚΠΔ παρέχει έναν μη εξαντλητικό κατάλογο των ειδών επεξεργασίας που απαιτούν τη διενέργεια ΕΑΠΔ, το Συμβούλιο είναι της εξής γνώμης: 2.3.1 Βιομετρικά δεδομένα 13. Ο κατάλογος τον οποίο η εποπτική αρχή του Λουξεμβούργου υπέβαλε προς γνωμοδότηση του Συμβουλίου προβλέπει ότι η επεξεργασία βιομετρικών δεδομένων, όπως ορίζεται στο άρθρο 4 παράγραφος 14 του ΓΚΠΔ και η οποία έχει ως σκοπό την ταυτοποίηση των υποκειμένων των δεδομένων, υπόκειται από μόνη της στην υποχρέωση διενέργειας ΕΑΠΔ. Το Συμβούλιο είναι της γνώμης ότι η επεξεργασία βιομετρικών δεδομένων από μόνη της δεν επιφέρει κατ ανάγκη υψηλό κίνδυνο. Ωστόσο, η επεξεργασία βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση φυσικού προσώπου, σε συνδυασμό με τουλάχιστον ένα ακόμη κριτήριο, απαιτεί τη διενέργεια ΕΑΠΔ. Επομένως, το Συμβούλιο ζητεί από την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της αναλόγως, προσθέτοντας ότι το στοιχείο στο οποίο αναφέρεται η επεξεργασία 6

βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση φυσικού προσώπου επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν η εν λόγω επεξεργασία πληροί τουλάχιστον ένα ακόμη κριτήριο, που πρέπει να εφαρμόζεται χωρίς να θίγεται το άρθρο 35 παράγραφος 3 του ΓΚΠΔ. 2.3.2 Γενετικά δεδομένα 14. Ο κατάλογος τον οποίο η εποπτική αρχή του Λουξεμβούργου υπέβαλε προς γνωμοδότηση του Συμβουλίου προβλέπει ότι η επεξεργασία των γενετικών δεδομένων υπόκειται από μόνη της στην υποχρέωση διενέργειας ΕΑΠΔ. Το Συμβούλιο είναι της γνώμης ότι η επεξεργασία γενετικών δεδομένων από μόνη της δεν επιφέρει κατ ανάγκη υψηλό κίνδυνο. Ωστόσο, η επεξεργασία γενετικών δεδομένων σε συνδυασμό με τουλάχιστον ένα ακόμη κριτήριο απαιτεί τη διενέργεια ΕΑΠΔ. Ως εκ τούτου, το Συμβούλιο καλεί την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της αναλόγως, προσθέτοντας ότι το στοιχείο στο οποίο αναφέρεται η επεξεργασία γενετικών δεδομένων επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν η εν λόγω επεξεργασία πληροί τουλάχιστον ένα ακόμη κριτήριο, που πρέπει να εφαρμόζεται χωρίς να θίγεται το άρθρο 35 παράγραφος 3 του ΓΚΠΔ. 2.3.3 Συστηματική παρακολούθηση δημόσιων χώρων 15. Ο κατάλογος τον οποίο η εποπτική αρχή του Λουξεμβούργου υπέβαλε προς γνωμοδότηση του Συμβουλίου προβλέπει ότι οι δραστηριότητες επεξεργασίας που αφορούν ή περιλαμβάνουν την τακτική και συστηματική παρακολούθηση δημόσιων χώρων υπόκεινται στην υποχρέωση διενέργειας ΕΑΠΔ, υπό την προϋπόθεση ότι τα δεδομένα αποθηκεύονται. Το Συμβούλιο είναι της γνώμης ότι οι δραστηριότητες επεξεργασίας που αφορούν ή περιλαμβάνουν την τακτική και συστηματική παρακολούθηση δημόσιων χώρων από μόνες τους δεν επιφέρουν κατ ανάγκη υψηλό κίνδυνο. Ωστόσο, σε συνδυασμό με τουλάχιστον ένα ακόμη κριτήριο ενδέχεται να παρουσιάσει υψηλό κίνδυνο και απαιτεί τη διενέργεια ΕΑΠΔ. Ως εκ τούτου, το Συμβούλιο καλεί την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της αναλόγως, προσθέτοντας ότι το στοιχείο στο οποίο αναφέρονται οι δραστηριότητες επεξεργασίας που αφορούν ή περιλαμβάνουν την τακτική και συστηματική παρακολούθηση δημόσιων χώρων επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν πραγματοποιούνται σε συνδυασμό με ένα ακόμη κριτήριο, που πρέπει να εφαρμόζεται χωρίς να θίγεται το άρθρο 35 παράγραφος 3 του ΓΚΠΔ. 2.3.4 Έμμεση συλλογή δεδομένων προσωπικού χαρακτήρα, όταν δεν είναι δυνατή / εφικτή η εγγύηση του δικαιώματος ενημέρωσης (άρθρο 14 παράγραφος 5 του ΓΚΠΔ) 16. Ο κατάλογος τον οποίο η εποπτική αρχή του Λουξεμβούργου υπέβαλε προς γνωμοδότηση του Συμβουλίου προβλέπει ότι οι δραστηριότητες επεξεργασίας που βασίζονται στην έμμεση συλλογή δεδομένων προσωπικού χαρακτήρα, όταν δεν είναι δυνατή / εφικτή η εγγύηση του δικαιώματος ενημέρωσης, υπόκεινται στην υποχρέωση διενέργειας ΕΑΠΔ. Το Συμβούλιο είναι της γνώμης ότι τα είδη δραστηριοτήτων επεξεργασίας που θα μπορούσαν να στερήσουν από τα υποκείμενα των δεδομένων τα δικαιώματά τους δεν ενέχουν κατ ανάγκη, από μόνα τους, υψηλό κίνδυνο. Κατά συνέπεια, δραστηριότητα επεξεργασίας η οποία διενεργείται από τον υπεύθυνο επεξεργασίας στο πλαίσιο του άρθρου 14 του ΓΚΠΔ και για την οποία η ενημέρωση των υποκειμένων των δεδομένων υπόκειται σε εξαίρεση στο πλαίσιο του άρθρου 14 παράγραφος 5 θα μπορούσε να απαιτεί τη διενέργεια ΕΑΠΔ μόνο όταν η επεξεργασία πληροί τουλάχιστον ένα ακόμη κριτήριο. Το Συμβούλιο επισημαίνει ότι η εξαίρεση από την υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων 7

είναι δυνατή μόνον όταν τα δεδομένα έχουν συλλεχθεί από τρίτο μέρος. Επομένως, στην περίπτωση αυτή η αναφορά στην έμμεση συλλογή δεν λογίζεται ως δεύτερο κριτήριο. 17. Το Συμβούλιο ζητεί από την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της αναλόγως, προσθέτοντας ότι το στοιχείο στο οποίο αναφέρονται οι δραστηριότητες επεξεργασίας που βασίζονται στην έμμεση συλλογή δεδομένων προσωπικού χαρακτήρα όταν δεν είναι δυνατή / εφικτή η εγγύηση του δικαιώματος ενημέρωσης επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν η εν λόγω επεξεργασία πληροί τουλάχιστον ένα ακόμη κριτήριο. 3 ΣΥΜΠΕΡΑΣΜΑΤΑ/ΣΥΣΤΑΣΕΙΣ 18. Το σχέδιο καταλόγου της εποπτικής αρχής του Λουξεμβούργου μπορεί να οδηγήσει σε ασυνεπή εφαρμογή της απαίτησης για τη διενέργεια ΕΑΠΔ και χρειάζεται να πραγματοποιηθούν οι ακόλουθες αλλαγές: Όσον αφορά τα βιομετρικά δεδομένα: το Συμβούλιο ζητεί από την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της, προσθέτοντας ότι το στοιχείο στο οποίο αναφέρεται η επεξεργασία βιομετρικών δεδομένων με σκοπό τη μοναδική ταυτοποίηση φυσικού προσώπου επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν η εν λόγω επεξεργασία πληροί τουλάχιστον ένα ακόμη κριτήριο. Όσον αφορά τα γενετικά δεδομένα: το Συμβούλιο ζητεί από την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της προσθέτοντας ότι το στοιχείο στο οποίο αναφέρεται η επεξεργασία γενετικών δεδομένων επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν η εν λόγω επεξεργασία πληροί τουλάχιστον ένα ακόμη κριτήριο. Όσον αφορά τη συστηματική παρακολούθηση δημόσιων χώρων: το Συμβούλιο ζητεί από την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της, προσθέτοντας ότι το στοιχείο στο οποίο αναφέρονται οι δραστηριότητες επεξεργασίας που αφορούν ή περιλαμβάνουν την τακτική και συστηματική παρακολούθηση δημόσιων χώρων επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν πραγματοποιούνται σε συνδυασμό με ένα ακόμη κριτήριο. Όσον αφορά την έμμεση συλλογή δεδομένων προσωπικού χαρακτήρα, όταν δεν είναι δυνατή / εφικτή η εγγύηση του δικαιώματος ενημέρωσης: το Συμβούλιο ζητεί από την εποπτική αρχή του Λουξεμβούργου να τροποποιήσει τον κατάλογό της, προσθέτοντας ότι το στοιχείο στο οποίο αναφέρονται οι δραστηριότητες επεξεργασίας που βασίζονται στην έμμεση συλλογή δεδομένων προσωπικού χαρακτήρα όταν δεν είναι δυνατή / εφικτή η εγγύηση του δικαιώματος ενημέρωσης επιβάλλει τη διενέργεια ΕΑΠΔ μόνο όταν η εν λόγω επεξεργασία πληροί τουλάχιστον ένα ακόμη κριτήριο. 8

4 ΤΕΛΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ 19. Η παρούσα γνώμη απευθύνεται στην Commission nationale pour la protection des données (εποπτική αρχή του Λουξεμβούργου) και θα δημοσιοποιηθεί σύμφωνα με το άρθρο 64 παράγραφος 5 στοιχείο β) του ΓΚΠΔ. 20. Σύμφωνα με το άρθρο 64 παράγραφοι 7 και 8 του ΓΚΠΔ, η εποπτική αρχή, εντός δύο εβδομάδων από την παραλαβή της γνώμης, ανακοινώνει στον πρόεδρο του Συμβουλίου με ηλεκτρονικά μέσα κατά πόσον θα τροποποιήσει ή θα διατηρήσει το σχέδιο καταλόγου της. Εντός της ίδιας προθεσμίας, υποβάλλει το τροποποιημένο σχέδιο καταλόγου ή, αν δεν προτίθεται να ακολουθήσει τη γνώμη του Συμβουλίου, παρέχει τη σχετική αιτιολογία της άρνησής της να ακολουθήσει τη γνώμη αυτή, στο σύνολό της ή εν μέρει. Για το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων Η Πρόεδρος (Andrea Jelinek) 9

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια