stefanos oikonomou
stefanos oikonomou
ΕΚΘΕΣΗ ΕΚΤΙΜΗΣΗΣ ΑΝΤΙΚΤΥΠΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ – DATA PROTECTION IMPACT ASSESSMENT ( DPIA )
Μία από τις σημαντικότερες νέες υποχρεώσεις που εισάγει ο Κανονισμός GDPR είναι η εκπόνηση έκθεσης εκτίμησης αντικτύπου της επεξεργασίας για την προστασία των προσωπικών δεδομένων από τον υπεύθυνο επεξεργασίας ή Data Protection Impact Assessment στα αγγλικά που συντομογραφείται ως DPIA.
Το δικηγορικό μας γραφείο έχοντας εμπειρία ετών σε ανάλογες εκθέσεις εκτίμησης, και risk analysis and assessments reports μπορεί να αναλάβει την αρχική εκτίμηση για το αν οι επεξεργασίες στις οποίες προβαίνει η επιχείρησή σας απαιτούν την εκπόνηση έκθεσης εκτίμησης αντικτύπου ή όχι σύμφωνα με τον GDPR και αν η απάντηση είναι θετική να αναλάβει και την εκπόνηση της έκθεσης εκτίμησης.
Η υποχρέωση για εκπόνηση Έκθεση Εκτίμησης Αντικτύπου, υπάρχει σύμφωνα με τον GDPR, όταν η επεξεργασία των δεδομένων ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Για να κριθεί αν πληρούται αυτή η προυπόθεση, ο Κανονισμός GDPR θέτει ορισμένα κριτήρια που πρέπει να λαμβάνονται υπόψη και είναι τα κάτωθι:
Η χρήση νέων τεχνολογιών, η φύση, το πεδίο εφαρμογής, το πλαίσιο και οι σκοποί της επεξεργασίας των δεδομένων.
Η εκτίμηση αντικτύπου σχετικά με την προστασία προσωπικών δεδομένων απαιτείται σύμφωνα με τον GDPR ιδίως στις εξής περιπτώσεις:
α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,
β) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή
γ) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα ( σε αυτή την κατηγορία εντάσσονται οι εταιρίες παροχής υπηρεσιών ασφάλειας ( security ).
Η DPIA πρέπει να περιέχει τουλάχιστον:
α) συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,
β) εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,
γ) εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και
δ) τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.
Όταν απαιτείται, ιδίως όταν μεταβάλλεται ο κίνδυνος που προκύπτει από τις πράξεις επεξεργασίας, ο ο υπεύθυνος επεξεργασίας οφείλει να προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των προσωπικών δεδομένων διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.