Η Γνώμη του ΕΣΠΔ για τον κατάλογο της ΑΠΔΠΧ σχετικά με τις πράξεις επεξεργασίας για τις οποίες απαιτείται η διενέργεια εκτίμησης αντικτύπου
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ – EPDB) εξέδωσε τη Γνώμη 7/2018 σχετικά με την πρόταση της ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφορικά με τις πράξεις επεξεργασίας που χρειάζονται εκτίμηση αντικτύπου (ΕΑΠΔ – DPIA).
Υπενθυμίζεται ότι με βάση το άρθρο 35 παρ. 4 του Γενικού Κανονισμού για την Προστασία Δεδομένων, η εποπτική αρχή (εν προκειμένω η ΑΠΔΠΧ) καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων και τον ανακοινώνει στο Συμβούλιο Προστασίας Δεδομένων.
Οι παρατηρήσεις του Συμβουλίου
Το έγγραφο περιλαμβάνει τις παρατηρήσεις του Συμβουλίου επί της πρότασης της ΑΠΔΠΧ. Ειδικότερα:
ΑΝΑΦΟΡΑ ΣΤΙΣ ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ
Το EPDB υποστηρίζει την άποψη ότι η ανάλυση που έγινε στις κατευθυντήριες γραμμές της ομάδας εργασίας του άρθρου 29 (WP29) αποτελούν βασικό στοιχείο για τη διασφάλιση της συνοχής σε ολόκληρη την Ένωση.
Ως εκ τούτου, ζητά από τις εποπτικές αρχές να προσθέσουν μία δήλωση στο έγγραφο που περιλαμβάνει τη λίστα τους, η οποία διευκρινίζει ότι ο κατάλογός τους βασίζεται στις κατευθυντήριες γραμμές, τις οποίες συμπληρώνει και διευκρινίζει περαιτέρω.
Δεδομένου ότι το έγγραφο της ελληνικής Αρχής δεν περιέχει τέτοια δήλωση, το Συμβούλιο συνιστά στην Αρχή να τροποποιήσει ανάλογα το έγγραφό της.
ΒΙΟΜΕΤΡΙΚΑ ΔΕΔΟΜΕΝΑ
Ο κατάλογος που υπέβαλε η ελληνική Αρχή προβλέπει ότι η επεξεργασία βιομετρικών δεδομένων με σκοπό τη μοναδική αναγνώριση ενός φυσικού προσώπου, σε συνδυασμό με τουλάχιστον ένα άλλο κριτήριο, απαιτεί τη διενέργεια εκτίμησης αντικτύπου.
Το Συμβούλιο αναγνωρίζει ότι στο σημείο αυτό ο κατάλογος της Αρχής ευθυγραμμίζεται με τους στόχους της συνοχής.
ΓΕΝΕΤΙΚΑ ΔΕΔΟΜΕΝΑ
Ο κατάλογος που υπέβαλε η ελληνική Αρχή προβλέπει ότι η επεξεργασία γενετικών δεδομένων, σε συνδυασμό με τουλάχιστον ένα άλλο κριτήριο, απαιτεί τη διενέργεια εκτίμησης αντικτύπου.
Το Συμβούλιο υποστηρίζει την άποψη ότι η επεξεργασία των γενετικών δεδομένων από μόνη της δεν συνεπάγεται αναγκαστικά ότι υπάρχει υψηλός κίνδυνος.
Ωστόσο, η επεξεργασία των γενετικών δεδομένων σε συνδυασμό με τουλάχιστον ένα άλλο κριτήριο απαιτεί τη διενέργεια DPIA. Το Συμβούλιο επισημαίνει ότι το κριτήριο αυτό περιλαμβάνεται στον κατάλογο της ελληνικής εποπτικής αρχής.
ΜΕΓΑΛΗ ΚΛΙΜΑΚΑ
Ο GDPR δεν καθορίζει με ακρίβεια τι αποτελεί επεξεργασία μεγάλης κλίμακας.
Στις κατευθυντήριες γραμμές της WP29 σχετικά με τον Υπεύθυνο Προστασίας Δεδομένων και σχετικά με την DPIA, έχει προταθεί να λαμβάνονται υπόψη ορισμένοι ειδικο παράγοντες κατά τον προσδιορισμό του εάν μια επεξεργασία πραγματοποιείται σε
μεγάλη κλίμακα.
Το Συμβούλιο είναι της γνώμης ότι οι παράγοντες αυτοί είναι επαρκείς για να εκτιμηθεί κατά πόσο η επεξεργασία των προσωπικών δεδομένων πραγματοποιείται σε μεγάλη κλίμακα.
Ως εκ τούτου, το Συμβούλιο ζητάει από την ελληνική αρχή να τροποποιήσει ανάλογα τον κατάλογό της, διαγράφοντας τα συγκεκριμένα αριθμητικά στοιχεία του καταλόγου, και παραθέτοντας τους προαναφερθέντες ορισμούς μεγάλης κλίμακας.
ΕΠΕΞΕΡΓΑΣΙΑ ΓΙΑ ΕΠΙΣΤΗΜΟΝΙΚΟΥΣ Ή ΙΣΤΟΡΙΚΟΥΣ ΣΚΟΠΟΥΣ ΧΩΡΙΣ ΣΥΓΚΑΤΑΘΕΣΗ
Το Συμβούλιο είναι της γνώμης ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα για επιστημονικούς ή ιστορικούς σκοπούς από μόνος του δεν συνεπάγεται αναγκαστικά ότι υπάρχει υψηλός κίνδυνος.
Ωστόσο, η επεξεργασία των προσωπικών δεδομένων για επιστημονικό ή ιστορικό σκοπό σε συνδυασμό με τουλάχιστον ένα άλλο κριτήριο απαιτεί τη διενέργεια DPIA.
Ο κατάλογος που υπέβαλε η ελληνική Αρχή αναφέρει ότι αυτό το είδος της επεξεργασίας σε συνδυασμό με τουλάχιστον ένα άλλο κριτήριο εμπίπτει στην υποχρέωση διενέργειας DPIA.
ΕΞΑΙΡΕΣΕΙΣ ΣΤΗΝ ΠΑΡΟΧΗ ΠΛΗΡΟΦΟΡΙΩΝ ΠΡΟΣ ΤΟ ΥΠΟΚΕΙΜΕΝΟ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΑΡΘΡΟ 14.5 GDPR
Το Συμβούλιο υποστηρίζει την άποψη ότι οι τύποι δραστηριοτήτων επεξεργασίας που θα μπορούσαν να στερήσουν τα δικαιώματα των υποκειμένων των δεδομένων δεν συνεπάγονται αναγκαστικά ότι υπάρχει υψηλός κίνδυνος.
Ως εκ τούτου, για μια δραστηριότητα επεξεργασίας, η οποία εκτελείται από τον υπεύθυνο επεξεργασίας σύμφωνα με το άρθρο 14 του GDPR και στην οποία οι πληροφορίες που πρέπει να παρέχονται στα υποκείμενα εμπίπτουν στις εξαιρέσεις της παραγράφου 5 στοιχεία β) έως δ), εκτίμηση αντικτύπου θα πρέπει να διεξάγεται μόνο σε συνδυασμό με τουλάχιστον ένα ακόμα κριτήριο.
Ο κατάλογος που υποβλήθηκε από την ελληνική Αρχή αναφέρει ότι αυτό το είδος επεξεργασίας σε συνδυασμό με τουλάχιστον ένα ακόμα κριτήριο εμπίπτει στην υποχρέωση διενέργειας DPIA.
ΕΠΕΞΕΡΓΑΣΙΑ ΜΕ ΤΗΝ ΧΡΗΣΗ ΕΜΦΥΤΕΥΜΑΤΟΣ
Το Συμβούλιο είναι της γνώμης ότι η επεξεργασία των δεδομένων που δεν αφορούν στην υγεία, με τη βοήθεια εμφυτεύματος, δεν απαιτεί τη διενέργεια DPIA σε κάθε περίπτωση.
Ο κατάλογος που υπέβαλε η ελληνική Αρχή δεν διευκρινίζει επί του παρόντος εάν πρέπει να διενεργηθεί εκτίμηση αντικτύπου για την επεξεργασία δεδομένων υγείας με τη βοήθεια εμφυτεύματος.
Ως εκ τούτου, το Συμβούλιο ζητά από την Αρχή να τροποποιήσει ανάλογα τον κατάλογό της, δηλώνοντας ότι σε κάθε περίπτωση η επεξεργασία των δεδομένων υγείας με τη βοήθεια ενός εμφυτεύματος απαιτεί τη διενέργεια DPIA.
Σύμφωνα με το άρθρο 64 παράγραφοι 7 και 8 του GDPR, η εποπτική αρχή θα πρέπει να ενημερώσει τον Πρόεδρο του Συμβουλίου εντός δύο εβδομάδων από τη λήψη της γνωμοδότησης, σχετικά με το εάν θα τροποποιήσει ή θα διατηρήσει τον κατάλογο.
Εντός της ίδιας περιόδου, υποβάλλει το τροποποιημένο σχέδιο καταλόγου ή όταν δεν προτίθεται να ακολουθήσει τη γνώμη του Συμβουλίου, διευκρινίζει τους λόγους για τους οποίους δεν προτίθεται να ακολουθήσει εν όλω ή εν μέρει τη γνωμοδότηση αυτή.
Δείτε τη Γνώμη 7/2018 του ΕΣΔΠ εδώ.