Εκτίµηση Αντικτύπου σχετικά µε την Προστασία εδοµένων: Απαιτήσεις και Εφαρµογή, Senior Associate, Ρόκας ικηγορική Εταιρία
Το νοµικό πλαίσιο για την Εκτίµηση Αντικτύπου (ΕΑ) Άρθρα 35-36 του Κανονισµού 2016/679 για την προστασία φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδοµένων αυτών (GDPR) Αιτιολογικές σκέψεις 84, 90-96 του GDPR Κατευθυντήριες Γραµµές WP 248 του Working Party 29 2
Ορισµός της ΕΑ H EA θεµελιώνει και αποδεικνύει τη συµµόρφωση µε τον GDPR. Προϋποθέσεις Είναι εργαλείο για τη λογοδοσία των υπευθύνων επεξεργασίας. 3
ΕΑ Είναι υποχρεωτική; Ναι, αν η επεξεργασία ενέχει υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων * Κυρίως κίνδυνο για το δικαίωµα στην ιδιωτική ζωή, αλλά και για άλλα δικαιώµατα και ελευθερίες, όπως: την ελευθερία λόγου, ελευθερία σκέψης, ελευθερία µετακίνησης, απαγόρευση διακρίσεων, δικαίωµα στην ελευθερία, θρησκεία, κ.ά.. Ιδίως στις εξής περιπτώσεις: Συστηµατική και εκτενής αξιολόγηση προσωπικών δεδοµένων (Π ), που βασίζεται σε αυτοµατοποιηµένη επεξεργασία Κατάρτιση προφίλ (profiling) => έννοµα αποτελέσµατα Μεγάλης κλίµακας επεξεργασία Ευαίσθητων προσωπικών δεδοµένων εδοµένων σχετικά µε ποινικές καταδίκες και αδικήµατα Συστηµατική και σε µεγάλη κλίµακα παρακολούθηση δηµοσίως προσβάσιµου χώρου 4
Υποχρεωτική διενέργεια Κριτήρια & Παραδείγµατα (1) Βάσει του προφίλ γίνεται πρόβλεψη, και εκτίµηση του υποκειµένου, σχετικά λ.χ. µε την απόδοση στην εργασία του, την οικονοµική του κατάσταση, τις προσωπικές προτιµήσεις, κλπ. Τράπεζα αντιπαραβάλλει πελάτες µε βάση δεδοµένων πιστοληπτικής αξιολόγησης πριν χορηγήσει δάνειο, Εταιρία δηµιουργεί προφίλ µε βάση τη χρήση ή την πλοήγηση φυσικών προσώπων στην ιστοσελίδα της Συστηµατική επεξεργασία ευαίσθητων δεδοµένων: Νοσοκοµείο τηρεί αρχείο µε τους ιατρικούς φακέλους των ασθενών του Ιδιωτικός ερευνητής τηρεί αρχείο µε προσωπικά δεδοµένα παραβατών Επεξεργασία Π σε µεγάλη κλίµακα Επεξεργασία δεδοµένων (περιεχοµένου, θέσης, κίνησης) από παρόχους ηλεκτρονικών επικοινωνιών 5
Υποχρεωτική διενέργεια Κριτήρια & Παραδείγµατα (2) Τα υποκείµενα βρίσκονται σε µειονεκτική θέση σε σχέση µε τον υπεύθυνο επεξεργασίας Εργαζόµενοι Ανήλικοι Πνευµατικά ασθενείς Ο υπεύθυνος επεξεργασίας συνδυάζει περισσότερες βάσεις δεδοµένων µε σκοπό επεξεργασίας διαφορετικό από τον αρχικό Καινοτόµος χρήση ή εφαρµογή τεχνολογικών ή οργανωτικών µεθόδων Συνδυασµός ταυτοποίησης δακτυλικών αποτυπωµάτων και αναγνώρισης προσώπου Χρήση εφαρµογών του ιαδικτύου των Πραγµάτων (ΙοΤ) από ασφαλιστές Όταν τα ΠΧ διαβιβάζονται εκτός ΕΕ Η επεξεργασία περιορίζει ή αποτρέπει την άσκηση δικαιώµατος του υποκειµένου Η επεξεργασία διενεργείται σε δηµόσιο χώρο που δεν µπορούν να αποφύγουν τα υποκείµενα Τα αποτελέσµατα της επεξεργασίας οδηγούν σε άρνηση παροχής υπηρεσίας 6
Προαιρετική διενέργεια ΕΑ Η ΕΑ δεν είναι υποχρεωτική όταν: εν συντρέχει υψηλός κίνδυνος για τα δικαιώµατα και τις ελευθερίες των υποκειµένων Έχει διενεργηθεί ήδη ΕΑ για επεξεργασία µε συναφή φύση, αντικείµενο, περιεχόµενο και σκοπό Η επεξεργασία γίνεται µε βάση διατάξεις εθνικού ή ενωσιακού δικαίου Η συγκεκριµένη επεξεργασία περιλαµβάνεται σε σχετικό κατάλογο της Εποπτικής Αρχής Η επεξεργασία έχει ξεκινήσει πριν την εφαρµογή του GDPR Ο υπεύθυνος υποχρεούται να επανεξετάζει την αναγκαιότητα διενέργειας ΕΑ, ιδίως σε περίπτωση σηµαντικών αλλαγών στην επεξεργασία 7
Εφαρµογή Χρόνος Η ΕΑ διενεργείται πριν την έναρξη της διαδικασίας επεξεργασίας Προσαρµόζεται συνεχώς κατά το σχεδιασµό της επεξεργασίας Η ΕΑ είναι διαρκής διαδικασία Επικαιροποιείται κατά τη διάρκεια της επεξεργασίας Επανεξετάζεται σε περίπτωση µεταβολής του κινδύνου ή εάν επέλθει άλλη σηµαντική αλλαγή στη διαδικασία επεξεργασίας 8
Εφαρµογή Εµπλεκόµενα πρόσωπα Ο υπεύθυνος επεξεργασίας έχει την ευθύνη διενέργειας ΕΑ υνατότητα εξωτερικής ανάθεσης Ο Υπεύθυνος Προστασίας εδοµένων (DPO) παρέχει συµβουλές και συνδροµή Ο DPO παρακολουθεί και την υλοποίηση της ΕΑ Μπορεί να ζητηθεί η γνώµη των υποκειµένων ή αντιπροσώπων τους Ο υπεύθυνος αιτιολογεί την απόφαση για µη λήψη γνώµης Ο υπεύθυνος αιτιολογεί την απόκλιση από τη γνώµη αυτή Επιφύλαξη προστασίας εµπορικών ή δηµοσίων συµφερόντων Ο εκτελών την επεξεργασία συνδράµει στη διενέργεια ΕΑ Καταγράφονται τυχόν άλλοι ειδικοί ρόλοι και αρµοδιότητες 9
Εφαρµογή Μεθοδολογία Εφαρµογή & επανεξέταση Περιγραφή επεξεργασίας Φύση, σκοπός, έκταση, κατηγορίες Π, κατηγορίες αποδεκτών Π, µέσα αποθήκευσης, κλπ. Καταγραφή & αιτιολόγηση αποφάσεων - Προαιρετική δηµοσίευση Αιτιολόγηση Καταγραφή ηµοσίευση Εκτίµηση αναγκαιότητας & αναλογικότητας Σε σχέση µε τον επιδιωκόµενο σκοπό επεξεργασίας Μέτρα για αντιµετώπιση κινδύνων Μέτρα για συµµόρφωση Μέτρα για διασφάλιση της αναγκαιότητας & της αναλογικότητας Μέτρα για διασφάλιση των δικαιωµάτων των υποκειµένων Εκτίµηση κινδύνων για δικαιώµατα & ελευθερίες Προέλευση, φύση, ιδιαιτερότητα και σοβαρότητα των κινδύνων εκτίµηση της πιθανότητας επέλευσης αυτών 10
Ρόλος Εποπτικών Αρχών Η εθνική Εποπτική Αρχή συντάσσει και δηµοσιεύει κατάλογο: Των πράξεων επεξεργασίας που υποχρεωτικά υπόκεινται σε προηγούµενη ΕΑ (υποχρεωτικό) Των πράξεων επεξεργασίας που εξαιρούνται από την υποχρέωση προηγούµενης ΕΑ (προαιρετικό) Κοινοποίηση στο Ευρωπαϊκό Συµβούλιο Προστασίας εδοµένων Εφαρµογή του µηχανισµού συνεκτικότητας Προηγούµενη διαβούλευση µε υπεύθυνο επεξεργασίας: Όταν οι κίνδυνοι από την επεξεργασία δεν µπορούν να αντιµετωπιστούν επαρκώς Ενδεχόµενο για σηµαντικές, ή και µη αναστρέψιµες, συνέπειες για τα φυσικά πρόσωπα Προφανής επέλευση κινδύνου Μη εύρεση επαρκών µέτρων αντιµετώπισης Όταν το εθνικό δίκαιο επιβάλλει την προηγούµενη διαβούλευση ή/και τη λήψη προηγούµενης άδειας από την Εποπτική Αρχή 11
Συµπεράσµατα Η πρόβλεψη για ΕΑ ακολουθεί την κινδυνο-κεντρική προσέγγιση του GDPR Είναι µία διαρκής, εξελισσόµενη διαδικασία Η ΕΑ µπορεί να σχεδιασθεί και να εφαρµοσθεί σύµφωνα µε το µέγεθος του υπεύθυνου επεξεργασίας Η διενέργεια ή µη ΕΑ => απόφαση του υπεύθυνου επεξεργασίας Πρόστιµα έως 10 εκατ. ή έως 2% του συνολικού παγκόσµιου ετήσιου κύκλου εργασιών! 12