Λυκαβηττού 2, Κολωνάκι, 210 36 41 214 - 210 36 46 874

main image

GDPR και Μελέτη Εκτίμησης Αντικτύπου (DPIA): Better safe than sorry?


meleth-ektimhshs-antiktypou

Legal Insight

Απρίλιος 2021

(Αναδημοσίευση από Οικονομικό Ταχυδρόμο)

Του Γιάννη Ψαράκη, ΜΔΕ (mult)

Αν και οι αναφορές σε ζητήματα που άπτονται του Γενικού Κανονισμού για την Προστασία Δεδομένων (General Data Protection Regulation 2016/679 EU - GDPR) έχουν πλέον κατακλύσει την καθημερινότητά μας, με μία σύντομη αναζήτηση στο διαδίκτυο διαπιστώνει κανείς ότι η Μελέτη Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων (Data Protection Impact Assessment –DPIA) μοιάζει να μην έχει λάβει στη χώρα μας την προσοχή που αναλογεί στη (μεγάλη) σημασία της.

- Τι είναι η μελέτη Εκτίμησης Αντικτύπου;

Η σύνταξη Μελέτης Εκτίμησης Αντικτύπου συνιστά μία συχνά απολύτως απαραίτητη προεργασία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Επιχειρώντας να τη συνοδεύσουμε με έναν τίτλο, με απλά λόγια, πρόκειται για την έκθεση μίας μορφής «αυτοελέγχου» της οντότητας που πρόκειται να διενεργήσει μία πράξη επεξεργασίας, πριν προβεί σε αυτή (π.χ. πριν την εγκατάσταση CCTV και την καταγραφή εικόνας και ήχου).

- Τι προκάλεσε τη «γέννηση» της DPIA – είναι χρήσιμη;

Πρόκειται για μία απαίτηση η οποία δεν προβλεπόταν από το προϊσχύσαν κανονιστικό πλαίσιο. Η αλλαγή παραδείγματος που επήλθε με τη Μελέτη Εκτίμησης Αντικτύπου συνοψίζεται εν πολλοίς στην ακόλουθη διαπίστωση (την οποία εντοπίζουμε και στη σκ. 89 του προοιμίου του GDPR):  ενώ υπό το προϊσχύσαν καθεστώς προβλεπόταν μία γενική υποχρέωση γνωστοποίησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στις αρμόδιες εποπτικές αρχές, αυτή η υποχρέωση, πλέον, κρίθηκε σκόπιμο να αντικατασταθεί από αποτελεσματικές διαδικασίες και μηχανισμούς που επικεντρώνονται σε εκείνους τους τύπους πράξεων επεξεργασίας οι οποίοι ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων˙ λόγω της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών τους. Σε αυτή την εξέλιξη – δηλ. την εγκατάλειψη του καθεστώτος προηγούμενης γνωστοποίησης στις εποπτικές αρχές - συνέτεινε ουσιωδώς και η παρατήρηση ότι η μέχρι τότε πρακτική δεν συνέβαλε σε όλες τις περιπτώσεις στη βελτίωση της προστασίας των δεδομένων προσωπικού χαρακτήρα.

Η προσέγγιση αυτή - για περισσότερους λόγους - διακρίνεται για την οικονομική αποτελεσματικότητά της. Ας αναλογιστούμε το φόρτο εργασίας της Ελληνικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) όταν, πριν ακόμα προκύψει κάποιο περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα, επιβαρυνόταν με φακέλους υποθέσεων που αφορούσαν απλώς γνωστοποίηση της επεξεργασίας. Πλέον, αυτό το βάρος μετατίθεται σε εκείνον ο οποίος «αντλεί συμφέρον» από την επεξεργασία. Η ελάφρυνση του έργου της Αρχής είναι προφανής.

Η DPIA όμως ευνοεί και εκείνον για τον οποίο συντάσσεται. Ειδικότερα, όπως πολύ συχνά παρατηρείται στην πράξη, κατά τη διαδικασία σύνταξης μιας DPIA (και ακριβώς λόγω της από την αρχή και επί εγγράφου ενδελεχούς εξέτασης) εντοπίζονται κενά ασφαλείας και ζητήματα τα οποία σε περίπτωση ελέγχου θα αποτελούσαν την αιτία όχι μόνο για την επιβολή κυρώσεων αλλά και για μία σειρά από αρνητικές συνέπειες για την επιχείρηση (εταιρικό προφίλ – οι επιπτώσεις έχουν αναδειχθεί από σειρά διεθνών δημοσιεύσεων στον τομέα της επιστήμης του marketing). Η DPIA αποτελεί μία κρησάρα που οδηγεί τελικά σε αυτοέλεγχο και σε επαλήθευση. 

- Ποιο είναι το ελάχιστο περιεχόμενο μιας DPIA;

Μια DPIA περιλαμβάνει μία όσο το δυνατόν πιο αναλυτική και συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας, των σκοπών αυτής (δηλ. της επεξεργασίας) και του, κατά περίπτωση, έννομου συμφέροντος που επιδιώκει ο Υπεύθυνος Επεξεργασίας (π.χ. η εταιρεία η οποία λαμβάνει την απόφαση εγκατάστασης συστήματος CCTV στις εγκαταστάσεις της προς αποτροπή βανδαλισμών και εν γένει εγκληματικών πράξεων).

Παρουσιάζεται επίσης μία εκτίμηση της αναγκαιότητας και της αναλογικότητας της σκοπούμενης πράξης επεξεργασίας. Για να εξηγηθεί αυτό με απλά λόγια, η DPIA επιχειρεί να συγκεντρώσει τους λόγους για τους οποίους κάθε πράξη επεξεργασίας η οποία πρόκειται να λάβει χώρα (π.χ. καταγραφή εικόνας με ανάρτηση δεδομένων σε cloud) αποτελεί μία λύση όχι μόνο ικανή-κατάλληλη να εξυπηρετήσει τους σκοπούς για τους οποίους σκοπείται να υιοθετηθεί (σύνηθες παράδειγμα σκοπού που επικαλούνται οι Υπεύθυνοι Επεξεργασίας είναι η αποτροπή εγκληματικών ενεργειών π.χ. σε χώρο εργοστασίου) αλλά και τη λιγότερο επεμβατική, σε σύγκριση με άλλες εξίσου κατάλληλες, στα δικαιώματα των υποκειμένων (ενν. των ανθρώπων που καταγράφονται). 

Για παράδειγμα, μία DPIA θα προβάλλει τους λόγους για τους οποίους ένα μέτρο όπως η τοποθέτηση συναγερμού, παρ’ ότι είναι πράγματι λιγότερο επεμβατικό στα δικαιώματα, δε θα μπορούσε να εξασφαλίσει την ασφάλεια του χώρου.

Τονίστηκε ήδη ότι κεντρική παράμετρο στη σύνολη διαδικασία αποτελεί ο σεβασμός στα δικαιώματα των υποκειμένων. Ευλόγως, λοιπόν, μια DPIA οφείλει να προβαίνει και σε εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες αυτών. Εκείνη (δηλ. η εκτίμηση των κινδύνων) συνοδεύεται από αξιολογήσεις στους άξονες της σοβαρότητας και τη πιθανότητας του κινδύνου να προκύψει (λαμβάνοντας υπ’ όψιν τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας και τις πηγές του κινδύνου). Μια DPIA περιγράφει, επίσης, τα προβλεπόμενα μέτρα, εγγυήσεις και μηχανισμούς που μετριάζουν το διαπιστωθέντα κίνδυνο.

Με τη βοήθεια όλων των παραπάνω,  βασική επιδίωξη της DPIA είναι όχι μόνο να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα αλλά και να αποδεικνύεται η συμμόρφωση προς τον GDPR. Επειδή, δε, πρόκειται για μία άσκηση της οποίας τα αποτελέσματα ενδέχεται ανά πάσα στιγμή να διαφοροποιηθούν (π.χ. χρήση νέων μέσων επεξεργασίας, γέννηση νέων κινδύνων, διάδοση νέων τρόπων αθέμιτης πρόσβασης σε δίκτυα) οι Υπεύθυνοι Επεξεργασίας οφείλουν να αξιολογούν συνεχώς τους (νέους) κινδύνους που απορρέουν από τις δραστηριότητες επεξεργασίας, ώστε να εξακριβώνουν το ζητούμενο˙ το πότε δηλαδή ένα είδος επεξεργασίας, λαμβάνοντας υπ’ όψιν μία σειρά παραμέτρων (όπως π.χ. οι δικλίδες ασφαλείας που τυχόν έχουν προβλεφθεί) «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων».

- Σε ποιες περιπτώσεις είναι υποχρεωτική;

Με τη βοήθεια ενός γενικού ορισμού – ο οποίος υιοθετείται και από τον ίδιο τον GDPR - η υποχρέωση για σύνταξη της DPIA υφίσταται στις περιπτώσεις εκείνες στις οποίες «οι πράξεις επεξεργασίας ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Αυτό μπορεί να οφείλεται σε μία σειρά από λόγους, όπως για παράδειγμα λόγω της χρήσης νέων τεχνολογιών κατά την επεξεργασία, κατόπιν, βέβαια, συνεκτίμησης των δεδομένων που τυγχάνουν επεξεργασίας αλλά και του σκοπού για τον οποίο αυτή (ενν. η επεξεργασία) σχεδιάζεται να λάβει χώρα.

Η αλήθεια είναι ότι είναι λίγες οι περιπτώσεις στις οποίες θα μπορούσαμε με βεβαιότητα να λάβουμε θέση υπέρ ή κατά της ανάγκης διενέργειας DPIA στο πλαίσιο συγκεκριμένων πράξεων επεξεργασίας και σε συγκεκριμένο πραγματικό περιβάλλον. Τούτο διότι ο ορισμός (ορθώς) είναι αρκετά γενικός. Ως «ασφαλείς λιμένες» μπορούμε να χαρακτηρίσουμε μόνο τις περιπτώσεις οι οποίες αναφέρονται στο έγγραφο της Ομάδας του άρθρου 29 (ανεξάρτητη ευρωπαϊκή ομάδα εργασίας που έχει χειριστεί θέματα σχετικά με την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα, οι Οδηγίες της οποίας φέρουν βαρύνουσα καθοδηγητική αξία), δηλαδή κατά βάση απλές και ήσσονος επεμβατικότητας πράξεις.

Σύμφωνα και με την 91η αιτιολογική σκέψη του GDPR, πράξη η οποία δεν απαιτεί εκπόνηση DPIA αποτελεί για παράδειγμα η συγκέντρωση σε αρχείο διευθύνσεων ηλεκτρονικού ταχυδρομείου από υπεύθυνο επεξεργασίας για την αποστολή newsletters  ή  η επεξεργασία δεδομένων προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελματία του τομέα της υγείας ή δικηγόρου.

Αντιθέτως, είναι πολλές οι περιπτώσεις στις οποίες βαδίζουμε σε μία γκρίζα ζώνη όπου κρίση περί του εάν ο Υπεύθυνος Επεξεργασίας είναι υποχρεωμένος να εκπονήσει DPIA ή αυτό εναπόκειται απλώς στη διακριτική του ευχέρεια, δεν μπορεί να διατυπωθεί με ασφάλεια. Το ενδιαφέρον πρακτικά (και οικονομικά) κομμάτι εδώ είναι ότι εάν εκ των υστέρων (π.χ. κατόπιν ενδεχόμενου ελέγχου από την ΑΠΔΠΧ) κριθεί ότι απαιτείτο DPIA αλλά δεν έχει διενεργηθεί τέτοια, τα πρόστιμα μπορεί να είναι υψηλά. 

Συχνά γίνεται αναφορά βέβαια στο 2% ή 4% του τζίρου της επιχείρησης. Πράγματι τα πρόστιμα μπορεί να φτάσουν μέχρι εκεί, τα ποσοστά αυτά αποτελούν «ταβάνι». Με άλλα λόγια, τέτοια πρόστιμα προβλέπεται να επιβληθούν μόνο σε περιπτώσεις «σχολικών παραδειγμάτων» κακής πρακτικής και έλλειψης συνεργασίας με την Αρχή κ.ο.κ. Έχοντας πει αυτό, βέβαια, πρόστιμα σε ύψος χαμηλότερο των ανωτάτων, δεν παύουν να αποτελούν δυνητικά πολύ σοβαρό πρόβλημα για την εκάστοτε επιχείρηση, σε σημείο στο οποίο να μπορεί να ανατρέψει τον οικονομικό σχεδιασμό της. 

Περί τα τέλη Νοεμβρίου του 2020, η Γαλλική Αρχή (CNIL) επέβαλε πρόστιμα συνολικού ύψους 3.000.000€ σε δύο εταιρείες του ομίλου Carrefour για παραβίαση πλειόνων διατάξεων του GDPR.

 Η παράλειψη διενέργειας DPIA σε επεξεργασία που υπόκειται σε απαίτηση διενέργειας τέτοιας ή ακόμα και η διενέργεια DPIA με εσφαλμένο τρόπο, μπορούν να επιφέρουν διοικητικό πρόστιμο ύψους έως 10.000.000€ ή, σε περίπτωση επιχείρησης, έως 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

- Υπάρχει καθοδήγηση για μια περισσότερο προβλέψιμη και ασφαλή κρίση περί του εάν απαιτείται διενέργεια DPIA στην περίπτωσή μου;

Ως «κανόνα του δακτύλου», οι οικογένειες των κριτηρίων που πρέπει να λαμβάνουμε υπ’ όψιν όταν αποφασίζουμε για την υποχρεωτικότητα διενέργειας DPIA ομαδοποιούνται στις παρακάτω τρεις κατηγορίες:

- 1η κατηγορία: με βάση τα είδη και τους σκοπούς επεξεργασίας.

- 2η κατηγορία: με βάση το είδος των δεδομένων και/ή τις κατηγορίες των υποκειμένων.

- 3η κατηγορία: με βάση τα πρόσθετα χαρακτηριστικά και/ή τα χρησιμοποιούμενα μέσα της επεξεργασίας.

Επεξήγηση των κριτηρίων παρέχεται εδώ (https://www.dpa.gr/sites/default/files/2019-09/65_2018anonym.pdf) – αξίζει να διαβαστεί.

Εντούτοις, ακόμα και με αυτή την καθοδήγηση, η υπαγωγή σε κάθε συγκεκριμένη περίπτωση είναι ένα εγχείρημα για το αποτέλεσμα του οποίου πολλές φορές δικαιολογημένα θα διατηρούμε επιφυλάξεις. Είναι πολύ πιθανό να υπάρξουν οριακές περιπτώσεις στις οποίες η θέση του Υπεύθυνου επεξεργασίας ή και του DPO (Data Protection Officer – Υπεύθυνος Προστασίας Δεδομένων) δε θα «συναντήσουν» την κρίση της Αρχής. 

Κάποια περαιτέρω καθοδήγηση και πάλι δεν μπορεί να προσδώσει απόλυτη βεβαιότητα στο όλο εγχείρημα. Σύμφωνα με αυτή, η εκπόνηση DPIA είναι απαραίτητη όταν η σκοπούμενη επεξεργασία εμπεριέχει συστηματική επεξεργασία στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή το επηρεάζουν σημαντικά. Το ίδιο ισχύει και για τη συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα αλλά και όταν η επεξεργασία αφορά σε μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων. 

Πρακτικά παραδείγματα στα οποίες σύμφωνα με σχετικά Guidelines απαιτείται η προηγούμενη διενέργεια DPIA είναι τα εξής:

- Εταιρεία που παρακολουθεί συστηματικά τις δραστηριότητες των εργαζομένων της, καθώς και τον σταθμό εργασίας τους, τη δραστηριότητά τους στο διαδίκτυο κ.ο.κ.

- Νοσοκομείο που επεξεργάζεται τα γενετικά δεδομένα και τα δεδομένα υγείας των ασθενών του.

- Συλλογή δημόσιων δεδομένων στα μέσα κοινωνικής δικτύωσης για την κατάρτιση προφίλ.

- Αποθήκευση για λόγους αρχείου ψευδωνυμοποιημένων ευαίσθητων δεδομένων προσωπικού χαρακτήρα που αφορούν ευάλωτα υποκείμενα δεδομένων σε ερευνητικά έργα ή κλινικές δοκιμές.

Κλείνοντας, οφείλουμε να προσθέσουμε το εξής: για την παροχή πιο συνεκτικού συνόλου των πράξεων επεξεργασίας που απαιτούν τη διενέργεια DPIA, κάθε εθνική αρχή εκδίδει κατάλογο ο οποίος, ωστόσο, είναι ενδεικτικός. Όπως αναφέρει και η ίδια η ΑΠΔΠΧ στην απόφασή της, δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται DPIA σε κάθε περίπτωση επεξεργασίας η οποία «ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων». Επομένως, η προβληματική του «γενικού ορισμού» συνεχίζει να υφίσταται. Εξάλλου η αλματώδης και συνεχής πρόοδος της τεχνολογίας θα προσπέρναγε σίγουρα την όποια αναφορά σε συγκεκριμένες πράξεις, ακόμα και αν αν λάβουμε υπ’ όψιν τη δυνατότητα ανανέωσης του καταλόγου αυτού. 

- Ανεξαρτήτως της υποχρεωτικότητας, είναι χρήσιμη για την επιχείρησή μου η εκπόνηση μίας DPIA;

Η εκπόνηση DPIA συμφέρει τελικά την επιχείρηση για δύο βασικούς λόγους:

1. Όπως παρατηρήσαμε (και εάν ίσως εξαιρέσουμε μόνο απλές περιπτώσεις επεξεργασίας) δύσκολα θα είναι κανείς σε θέση να καταλήξει με ασφάλεια στο συμπέρασμα ότι συγκεκριμένη πράξη επεξεργασίας δεν απαιτεί τη διενέργεια DPIA. Πράγματι, μόνο για ήσσονος επεμβατικότητας πράξεις θα μπορούμε με βεβαιότητα να εκφέρουμε αρνητική κρίση (βλ. το παράδειγμα ηλεκτρονικού περιοδικού που χρησιμοποιεί κατάλογο ηλεκτρονικών διευθύνσεων για να αποστέλλει γενικές ημερήσιες συνόψεις στους συνδρομητές του). Αποτέλεσμα του θολού αυτού τοπίου είναι η πιθανότητα μιας συνεχούς διακινδύνευσης επιβολής προστίμου από την ΑΠΔΠΧ και όχι μόνο (βλ. και αστικές αλλά και ποινικές ευθύνες).

Εξάλλου, όταν προκειμένου για μία πράξη επεξεργασίας, η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της παρουσιάζουν πολλές ομοιότητες με επεξεργασία για την οποία έχει ήδη διενεργηθεί DPIA, η τελευταία μπορεί να καλύπτει και εκείνες τις «παρόμοιες» επεξεργασίες. Με άλλα λόγια, με μία DPIA μπορεί ο Υπεύθυνος Επεξεργασίας να πετύχει τη συμμόρφωσή του με περισσότερες της μίας πράξεις επεξεργασίας «αμφιλεγόμενης έντασης».

Εκτός αυτού, δεν αποκλείεται καθόλου η εκπόνηση DPIA – ακόμα και αν δεν απαιτείται – να εκτιμηθεί θετικά από την αρμόδια Αρχή σε περίπτωση οποιασδήποτε παραβίασης προσωπικών δεδομένων και κατά τούτο να ασκήσει επιρροή στην επιμέτρηση του τυχόν προστίμου που πρόκειται να επιβληθεί. 

2. Πιο σημαντική όμως είναι ίσως η ακόλουθη διαπίστωση, η οποία προκύπτει και από την πράξη και την οποία ήδη υπαινιχθήκαμε: στο πλαίσιο εκπόνησης μίας DPIA λαμβάνει χώρα μία «προσομοίωση» των πράξεων που θα ακολουθήσουν˙ η συνολική και ενδελεχής ανάλυση της διαδικασίας της επεξεργασίας, των μέτρων που έχουν ήδη αποφασισθεί να ληφθούν, των κινδύνων και η εν γένει εκ των προτέρων δικαιολόγηση, μάς επιτρέπει συχνά να αντιληφθούμε  και να διορθώσουμε κενά ασφαλείας και ασυμφωνίες με το ισχύον καθεστώς, με μηδενικό κόστος. Το κόστος όμως δε θα είναι μηδενικό εάν τα κενά αυτά γίνουν αντιληπτά κατόπιν ελέγχου της Αρχής.

Διαβάστε περισσότερα
 
back to top