Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων

Η υποχρέωση για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) προβλέπεται στο άρθρο 35 παρ. 1 του ΓΚΠΔ.

Η ΕΑΠΔ διενεργείται από τον υπεύθυνο επεξεργασίας όταν οι πράξεις επεξεργασίας ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας το φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ενδεικτικά είδη πράξεων επεξεργασίας οι οποίες ενέχουν υψηλό κίνδυνο παρατίθενται στο άρθρο 35 παρ. 3 του ΓΚΠΔ (βλ. αιτ. 91 του ΓΚΠΔ).

Η Αρχή κατήρτισε, βάσει του άρθρου 35 παρ. 4 του ΓΚΠΔ, σχέδιο καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ. Πριν την έκδοση του εν λόγω καταλόγου ΕΑΠΔ, η Αρχή εφάρμοσε, κατά τα προβλεπόμενα στο άρθρο 35 παρ. 6, το μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).

Το ΕΣΠΔ, κατά τη συνεδρίαση της ολομέλειας της 25ης Σεπτεμβρίου 2018, εξέδωσε, βάσει του άρθρου 64 παρ. 1 του ΓΚΠΔ, τη γνώμη 7/2018[1] σχετικά με το σχέδιο καταλόγου ΕΑΠΔ της Αρχής.

Η Αρχή, με την με αριθμό 65/2018 Απόφασή της, αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ, την τροποποίηση του καταλόγου ΕΑΠΔ βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ.

Η Απόφαση 65/2018 δημοσιεύτηκε στο ΦΕΚ Β΄ 1622/10-5-2019.

 

Ο κατάλογος ΕΑΠΔ της Αρχής βασίζεται στο άρθρο 35 του ΓΚΠΔ και ιδίως στις παρ. 1 και 3 αυτού καθώς και στις κατευθυντήριες γραμμές για την ΕΑΠΔ (WP248[2]), τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω. Επισημαίνεται ότι ο εν λόγω κατάλογος της Αρχής δεν είναι εξαντλητικός και, συνεπώς, δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠΔ σε κάθε περίπτωση συνδρομής των προϋποθέσεων του άρθρου 35 παρ. 1 του ΓΚΠΔ ούτε η γενικότερη υποχρέωση του υπευθύνου επεξεργασίας να συμμορφώνεται με το σύνολο των υποχρεώσεων που απορρέουν από το ΓΚΠΔ.

Για να δείτε τον κατάλογο ΕΑΠΔ της Αρχής, μπορείτε να επιλέξετε την ελληνική ή την αγγλική έκδοση.

Για να δείτε τις κατευθυντήριες γραμμές για την ΕΑΠΔ (WP248), μπορείτε να επιλέξετε την ελληνική ή την αγγλική έκδοση.

 

Η μελέτη ΕΑΠΔ περιέχει τουλάχιστον τα ακόλουθα (άρθρο 35 παρ. 7 του ΓΚΠΔ):

  • συστηματική περιγραφή των πράξεων επεξεργασίας και των σκοπών της επεξεργασίας,
  • εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,
  • εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων,
  • τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφαλείας, ώστε να διασφαλίζεται η προστασία των δεδομένων και να αποδεικνύεται η συμμόρφωση προς τον ΓΚΠΔ.

Για να ελέγξετε τη μελέτη ΕΑΠΔ σε σχέση με τα απαραίτητα τυπικά κριτήρια πληρότητας βάσει του άρθρου 35 παρ. 2 και 7-9 του ΓΚΠΔ και των κατευθυντήριων γραμμών WP248 πατήστε εδώ.

 

Επισημαίνεται ότι με τα παραπάνω κριτήρια δεν αξιολογείται η ορθότητα ή η αποτελεσματικότητα της μελέτης ΕΑΠΔ αλλά αποτελούν τα απαραίτητα τυπικά στοιχεία που πρέπει να περιλαμβάνονται σε αυτή.

Δεν απαιτείται η διενέργεια ΕΑΠΔ σε πράξεις επεξεργασίας για τις οποίες έχει χορηγηθεί άδεια ίδρυσης και λειτουργίας αρχείου με ευαίσθητα δεδομένα βάσει του άρθρου 7 του ν.2472/1997 εφόσον η άδεια βρίσκεται σε ισχύ και δεν έχει επέλθει μεταβολή, η οποία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων λαμβανομένης υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας (WP248).

Δεν απαιτείται η διενέργεια ΕΑΠΔ όταν η πράξη επεξεργασίας, δυνάμει του άρθρου 6 παρ. 1 στ. γ) ή ε), έχει νομική βάση στο δίκαιο της χώρας ή της Ένωσης όταν το εν λόγω δίκαιο ρυθμίζει τη συγκεκριμένη πράξη επεξεργασίας και έχει διενεργηθεί ήδη ΕΑΠΔ στο πλαίσιο της θέσπισης της εν λόγω νομικής βάσης, εκτός εάν κριθεί απαραίτητη η διενέργεια της εν λόγω ΕΑΠΔ πριν από τις δραστηριότητες επεξεργασίας (άρθρο 35 παρ. 10, αιτ. 93 του ΓΚΠΔ).

Πληροφορίες σχετικά με τη διαδικασία που ακολουθείται για προηγούμενη διαβούλευση, εφόσον απαιτείται, με την Αρχή μπορείτε να δείτε στον σύνδεσμο.


[1] Η γνώμη 7/2018 του ΕΣΠΔ είναι διαθέσιμη εδώ.

[2] Για την παροχή συνεκτικής ερμηνείας των πράξεων επεξεργασίας στις οποίες απαιτείται η διενέργεια ΕΑΠΔ λόγω του υψηλού κινδύνου που ενέχουν, η Ομάδα Εργασίας του άρθρου 29 εξέδωσε τις «Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισμού 2016/679» (WP248), τις οποίες ενέκρινε το ΕΣΠΔ κατά την πρώτη ολομέλειά του. Σύμφωνα με τις ως άνω κατευθυντήριες γραμμές, στις περισσότερες περιπτώσεις μπορεί να θεωρηθεί ότι απαιτείται ΕΑΠΔ για επεξεργασία στην οποία πληρούνται δύο από τα κριτήρια που προσδιορίζονται σε αυτές. Σε ορισμένες περιπτώσεις, η διενέργεια ΕΑΠΔ απαιτείται όταν πληρούται ένα εκ των εν λόγω κριτηρίων.