Ο κατάλογος ομαδοποιεί και εξειδικεύει τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ με παράθεση παραδειγμάτων
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ανακοίνωσε τη λίστα για τις επεξεργασίες δεδομένων που υπόκεινται στην υποχρέωση διενέργειας Εκτίμησης Αντικτύπου (ΕΑΠΔ ή Data Protection Impact Assesment – DPIA).
Όπως αναφέρει η Αρχή, η υποχρέωση για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) προβλέπεται στο άρθρο 35 παρ. 1 του ΓΚΠΔ.
Η ΕΑΠΔ διενεργείται από τον υπεύθυνο επεξεργασίας όταν οι πράξεις επεξεργασίας ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας το φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
Η Αρχή κατήρτισε, βάσει του άρθρου 35 παρ. 4 του ΓΚΠΔ, σχέδιο καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ.
Πριν την έκδοση του εν λόγω καταλόγου ΕΑΠΔ, η Αρχή εφάρμοσε, κατά τα προβλεπόμενα στο άρθρο 35 παρ. 6, το μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).
Η Αρχή αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ, την τροποποίηση του καταλόγου ΕΑΠΔ βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ.
Η Αρχή επισημαίνει ότι ο εν λόγω κατάλογος δεν είναι εξαντλητικός και, συνεπώς, δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠΔ σε κάθε περίπτωση συνδρομής των προϋποθέσεων του άρθρου 35 παρ. 1 του ΓΚΠΔ ούτε η γενικότερη υποχρέωση του υπευθύνου επεξεργασίας να συμμορφώνεται με το σύνολο των υποχρεώσεων που απορρέουν από το ΓΚΠΔ.
Πράξεις επεξεργασίας που υπόκεινται σε απαίτηση ΕΑΠΔ
Ο κατάλογος ομαδοποιεί και εξειδικεύει περαιτέρω τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ με παράθεση και ενδεικτικών παραδειγμάτων.
Τα κριτήρια για την διενέργεια ΕΑΠΔ ομαδοποιούνται στις παρακάτω τρεις κατηγορίες:
- 1η κατηγορία: με βάση τα είδη και τους σκοπούς επεξεργασίας.
- 2η κατηγορία: με βάση το είδος των δεδομένων και/ή τις κατηγορίες των υποκειμένων.
- 3η κατηγορία: με βάση τα πρόσθετα χαρακτηριστικά και/ή τα χρησιμοποιούμενα μέσα της επεξεργασίας.
Η διενέργεια ΕΑΠΔ κρίνεται υποχρεωτική όταν πληρούται τουλάχιστον ένα από τα κριτήρια της 1ης ή της 2ης κατηγορίας.
Είναι επίσης υποχρεωτική όταν συντρέχει ένα τουλάχιστον κριτήριο ως προς την 3η κατηγορία και η επεξεργασία αφορά είδη και σκοπούς επεξεργασίας της 1ης κατηγορίας, ή/και είδη δεδομένων ή/και κατηγορίες υποκειμένων της 2ης κατηγορίας.
1η κατηγορία: είδη και σκοποί της επεξεργασίας
1.1 Συστηματική αξιολόγηση, βαθμολόγηση, πρόβλεψη, πρόγνωση και κατάρτιση προφίλ, ιδίως πτυχών που αφορούν την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή τις κινήσεις ή την πιστοληπτική ικανότητα των υποκειμένων των δεδομένων.
Σχετικά παραδείγματα είναι η περίπτωση, κατά την οποία χρηματοπιστωτικό ίδρυμα ελέγχει τους πελάτες του με βάση δεδομένα πιστοληπτικής ικανότητας ή δεδομένα για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες και της χρηματοδότησης της τρομοκρατίας ή δεδομένα για εγκλήματα απάτης, ή η περίπτωση, κατά την οποία εταιρεία βιοτεχνολογίας παρέχει απευθείας στους καταναλωτές γενετικές δοκιμές για να εκτιμήσει και να προβλέψει τους κινδύνους νόσου/υγείας.
1.2 Συστηματική επεξεργασία δεδομένων που αποσκοπεί στη λήψη αυτοματοποιημένων αποφάσεων, οι οποίες παράγουν έννομα αποτελέσματα σχετικά με τα υποκείμενα των δεδομένων ή επηρεάζουν σημαντικά τα υποκείμενα των δεδομένων κατά ανάλογο τρόπο και μπορούν να οδηγήσουν σε αποκλεισμό ή διακρίσεις σε βάρος του φυσικού προσώπου.
Σχετικά παραδείγματα είναι η αυτόματη άρνηση επιγραμμικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση (αιτ. 71 του ΓΚΠΔ) ή η αυτόματη άρνηση ασφαλιστικής παροχής.
1.3 Συστηματική επεξεργασία δεδομένων που ενδέχεται να εμποδίζει το υποκείμενο να ασκήσει τα δικαιώματά του ή να χρησιμοποιήσει μια υπηρεσία ή σύμβαση, ιδίως όταν λαμβάνονται υπόψη δεδομένα που συλλέγονται από τρίτους.
Σχετικά παραδείγματα είναι η περίπτωση, κατά την οποία τράπεζα ελέγχει τους πελάτες της χρησιμοποιώντας μια βάση δεδομένων πιστοληπτικής ικανότητας για να αποφασίσει αν θα τους χορηγήσει δάνειο ή όχι, η καταχώρηση του υποκειμένου σε «μαύρη» λίστα, όπως η λίστα των παρόχων κινητής τηλεφωνίας (τηλέγνους), η καταχώριση του υποκειμένου σε whistleblowing συστήματα.
1.4 Συστηματική επεξεργασία δεδομένων που αφορά την κατάρτιση προφίλ για το σκοπό της προώθησης προϊόντων και υπηρεσιών εφόσον τα δεδομένα συνδυάζονται με δεδομένα που συλλέγονται από τρίτους.
1.5 Συστηματική και σε μεγάλη κλίμακα επεξεργασία για την παρακολούθηση, την παρατήρηση ή τον έλεγχο των φυσικών προσώπων με χρήση δεδομένων που συλλέγονται μέσω συστημάτων βιντεοεπιτήρησης ή μέσω δικτύων ή με οποιοδήποτε άλλο μέσο σε δημόσιο χώρο, δημοσίως προσβάσιμο χώρο ή ιδιωτικό χώρο προσιτό σε απεριόριστο αριθμό προσώπων. Περιλαμβάνει την παρακολούθηση των κινήσεων ή της τοποθεσίας/γεωγραφικής θέσης σε πραγματικό ή μη χρόνο ταυτοποιημένων ή ταυτοποιήσιμων φυσικών προσώπων.
Σχετικά παραδείγματα είναι η χρήση καμερών σε εμπορικό κέντρο ή σε σταθμούς μέσων μαζικής μεταφοράς, ή η επεξεργασία δεδομένων θέσης των επιβατών σε αεροδρόμιο ή σε μέσα μαζικής μεταφοράς. Επίσης, η παρακολούθηση μέσω wi-fi συστημάτων (wi-fi tracking) επισκεπτών σε εμπορικά κέντρα ή επεξεργασία δεδομένων μέσω drones.
1.6 Μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία και τη δημόσια υγεία για σκοπούς δημοσίου συμφέροντος, όπως η εισαγωγή και χρήση συστημάτων ηλεκτρονικής συνταγογράφησης και η εισαγωγή και χρήση ηλεκτρονικού φακέλου ή ηλεκτρονικής κάρτας υγείας.
1.7 Μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την εισαγωγή, οργάνωση, παροχή και έλεγχο της χρήσης υπηρεσιών ηλεκτρονικής διακυβέρνησης, όπως ορίζονται στο άρθρο 3 του ν.3979/2011 όπως ισχύει.
2η κατηγορία: είδος δεδομένων ή/και κατηγορίες υποκειμένων
2.1 Μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων (περιλαμβανομένων των γενετικών και των βιομετρικών με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου) που αναφέρονται στο άρθρο 9 παρ. 1 και των δεδομένων που αναφέρονται στο άρθρο 10 του ΓΚΠΔ.
2.2 Συστηματική και σε μεγάλη κλίμακα επεξεργασία δεδομένων ιδιαίτερης σημασίας ή εξαιρετικού χαρακτήρα όπως
2.2.1 δεδομένα κοινωνικής πρόνοιας (δεδομένα σχετικά με τη φτώχεια, την ανεργία, την κοινωνική εργασία κλπ.),
2.2.2 δεδομένα ηλεκτρονικών επικοινωνιών, περιλαμβανομένων των δεδομένων περιεχομένου όπως του ηλεκτρονικού ταχυδρομείου, μεταδεδομένων και των δεδομένων γεωγραφικής θέσης/τοποθεσίας, με εξαίρεση την καταγραφή τηλεφωνικών συνδιαλέξεων σύμφωνα με το άρθρο 4 παρ. 3 του ν.3471/2006,
2.2.3 δεδομένα που αφορούν εθνικό αριθμό ταυτότητας ή άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής ή αλλαγή των προϋποθέσεων και όρων επεξεργασίας και χρήσης αυτών και των συναφών με αυτά δεδομένων προσωπικού χαρακτήρα,
2.2.4 δεδομένα που περιλαμβάνονται σε προσωπικά έγγραφα, ημερολόγια, σημειώσεις από ηλεκτρονικό αναγνώστη (e-reader) και σε εφαρμογές καταγραφής βίου (life logging), που προσφέρουν δυνατότητες τήρησης σημειώσεων και πολύ προσωπικών πληροφοριών,
2.2.5 δεδομένα που συλλέγονται ή παράγονται από συσκευές (όπως αυτές με αισθητήρες) ιδίως μέσω των εφαρμογών του ‘διαδικτύου των πραγμάτων – IoT’ (όπως έξυπνες τηλεοράσεις, έξυπνες οικιακές συσκευές, συνδεδεμένα παιχνίδια, έξυπνες πόλεις, έξυπνοι μετρητές ενέργειας κλπ) και/ή με τη χρήση άλλων μέσων.
2.3 Συστηματική παρακολούθηση – εφόσον είναι επιτρεπτή – της θέσης/τοποθεσίας καθώς και του περιεχομένου και των μεταδεδομένων των επικοινωνιών των εργαζομένων με εξαίρεση τα αρχεία καταγραφής για λόγους ασφάλειας εφόσον η επεξεργασία περιορίζεται στα απολύτως απαραίτητα δεδομένα και είναι ειδικά τεκμηριωμένη. Σχετικό παράδειγμα που εμπίπτει στην υποχρέωση διενέργειας ΕΑΠΔ αποτελεί η χρήση συστημάτων DLP.
Συστηματική επεξεργασία βιομετρικών δεδομένων των εργαζομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου καθώς και γενετικών δεδομένων των εργαζομένων.
3η κατηγορία: πρόσθετα χαρακτηριστικά ή/και χρησιμοποιούμενα μέσα της επεξεργασίας
3.1 Καινοτόμος χρήση ή εφαρμογή νέων τεχνολογιών ή οργανωτικών λύσεων, οι οποίες μπορεί να περιλαμβάνουν νέες μορφές συλλογής και χρήσης δεδομένων, με ενδεχόμενο υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων όπως η συνδυασμένη χρήση των δακτυλικών αποτυπωμάτων και η αναγνώριση προσώπου για βελτιωμένο φυσικό έλεγχο πρόσβασης, ή εφαρμογές mhealth ή άλλες «έξυπνες» εφαρμογές, από τις οποίες δημιουργείται προφίλ των χρηστών (π.χ. καθημερινές συνήθειες), ή εφαρμογές τεχνητής νοημοσύνης ή τεχνολογίες δημόσια προσπελάσιμων blockchain που περιλαμβάνουν προσωπικά δεδομένα.
3.2 Συνδυασμό και/ή συσχέτιση προσωπικών δεδομένων από πολλαπλές πηγές ή τρίτους, από δύο ή περισσότερες πράξεις επεξεργασίας που υλοποιούνται για διαφορετικούς σκοπούς ή/και από διαφορετικούς υπευθύνους επεξεργασίας με τρόπο που θα μπορούσε να υπερβαίνει τις εύλογες προσδοκίες του υποκειμένου των δεδομένων.
3.3 Σε περίπτωση που η επεξεργασία αφορά δεδομένα, τα οποία δεν έχουν συλλεγεί από το υποκείμενο και η ενημέρωση των υποκειμένων σύμφωνα με το άρθρο 14 ΓΚΠΔ αποδεικνύεται αδύνατη ή θα προϋπέθετε δυσανάλογη προσπάθεια ή είναι πιθανό να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της επεξεργασίας.
Δείτε αναλυτικά τον κατάλογο της Αρχής και πληροφορίες σχετικά με την Εκτίμηση Αντικτύπου.