Πότε πρέπει να γίνεται εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ);

Απάντηση

ΕΑΠΔ απαιτείται όταν η επεξεργασία είναι πιθανό να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες φυσικών προσώπων. ΕΑΠΔ απαιτείται οπωσδήποτε στις ακόλουθες περιπτώσεις:

• σε μια συστηματική και εκτενή εκτίμηση των προσωπικών πτυχών φυσικού προσώπου, συμπεριλαμβανομένης της κατάρτισης προφίλ·
• στην επεξεργασία ευαίσθητων δεδομένων σε μεγάλη κλίμακα·
• στη συστηματική παρακολούθηση δημόσιων χώρων σε μεγάλη κλίμακα.

Οι εθνικές αρχές προστασίας δεδομένων, σε συντονισμό με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, μπορούν να παρέχουν καταλόγους περιπτώσεων όπου απαιτείται ΕΑΠΔ. Η ΕΑΠΔ θα πρέπει να πραγματοποιείται πριν από την επεξεργασία και θα πρέπει να θεωρείται ζωντανό εργαλείο και όχι μόνο εφάπαξ άσκηση. Όπου υπάρχουν υπολειπόμενοι κίνδυνοι που δεν μπορούν να μετριαστούν με τα μέτρα που έχουν ληφθεί, πρέπει να συμβουλευθείτε την ΑΠΔ πριν ξεκινήσετε την επεξεργασία.

Παραδείγματα

Απαιτείται ΕΑΠΔ
Τράπεζα ελέγχει τους πελάτες της σε συνάρτηση με βάση δεδομένων αναφοράς για πιστώσεις· νοσοκομείο πρόκειται να θέσει σε εφαρμογή νέα βάση δεδομένων με πληροφορίες για την υγεία, που θα περιλαμβάνει δεδομένα υγείας των ασθενών· εταιρεία λεωφορείων πρόκειται να εγκαταστήσει κάμερες μέσα στα οχήματα για να παρακολουθεί τη συμπεριφορά οδηγών και επιβατών.

Δεν απαιτείται ΕΑΠΔ
Κοινοτικός γιατρός επεξεργάζεται δεδομένα προσωπικού χαρακτήρα των ασθενών του. Σε αυτή την περίπτωση, δεν απαιτείται ΕΑΠΔ καθώς η επεξεργασία από τους κοινοτικούς γιατρούς δεν γίνεται σε μεγάλη κλίμακα σε περιπτώσεις όπου ο αριθμός ασθενών είναι περιορισμένος.

Παραπομπές

• Κατευθυντήριες οδηγίες του ΕΣΠΔ για την εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ)
• Άρθρα 35 και 36·και αιτιολογικές σκέψεις 89-96 του ΓΚΠΔ

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.

• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Articles 35 and 36 and Recitals (89) to (96) of the GDPR