Άρθρο 65 Εκτίμηση αντικτύπου της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα (άρθρο 27 της Οδηγίας)

1. Εάν μια μορφή επεξεργασίας, ιδίως όταν χρησιμοποιούνται νέες τεχνολογίες, ενδέχεται να δημιουργήσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα των ενδιαφερομένων λόγω της φύσης, του πεδίου εφαρμογής, των συνθηκών και των σκοπών της επεξεργασίας, ο υπεύθυνος επεξεργασίας αξιολογεί πρώτα τις συνέπειες της εκτέλεσης της επεξεργασίας για τα υποκείμενα των δεδομένων.
2.Για τη διερεύνηση περισσότερων παρόμοιων πράξεων επεξεργασίας με παρόμοιες δυνατότητες σημαντικού κινδύνου, μπορεί να διεξαχθεί κοινή εκτίμηση αντίκτυπου για την προστασία των δεδομένων προσωπικού χαρακτήρα.
3. Ο υπεύθυνος επεξεργασίας δύναται να εμπλέκει την Αρχή κατά την εφαρμογή της εκτίμησης αντικτύπου.
4. Η εκτίμηση αντικτύπου λαμβάνει υπόψη τα δικαιώματα του υποκειμένου που επηρεάζονται από την επεξεργασία και πρέπει να περιέχει τουλάχιστον τα ακόλουθα:
α) συστηματική περιγραφή των προβλεπόμενων πράξεων και σκοπών της επεξεργασίας•
β) εκτίμηση της αναγκαιότητας και αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους επιδιωκόμενους σκοπούς•
γ) εκτίμηση των κινδύνων για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων• και
δ) τα μέτρα που πρέπει να ληφθούν για την αντιμετώπιση των υφιστάμενων κινδύνων, συμπεριλαμβανομένων των εγγυήσεων, των διασφαλίσεων και των διαδικασιών για την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και για την απόδειξη της συμμόρφωσης με τις νομικές απαιτήσεις.
5. Όταν κρίνεται απαραίτητο, ο υπεύθυνος επεξεργασίας ελέγχει κατά πόσον η επεξεργασία ακολουθεί τις απαιτήσεις που προέκυψαν από την εκτίμηση αντικτύπου.

  • 20 Αυγούστου 2019, 19:27 | Δημήτριος Ευ. Τζέλλης
    Το βλέπω Θετικά/Αρνητικά:  

    Καθώς ο θεσμός της εκτίμησης αντικτύπου είναι καινοφανής στο ελληνικό δίκαιο, θα ήταν σκόπιμο να διευκρινιστεί στην πρώτη παράγραφο του άρθρου το ότι η αξιολόγηση των συνεπειών της επεξεργασίας γίνεται με «εκτίμηση αντικτύπου».

    Η εκτίμηση αντιτύπου (PIA) αποτελεί μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης, βρίσκεται, δε, σε συνεχή βελτίωση.
    Το βάρος της διενέργειας της εκτίμησης αντικτύπου φέρει ο υπεύθυνος επεξεργασίας ή / και ο εκτελών την επεξεργασία. Ενδέχεται να χρειαστούν επαναλήψεις της διαδικασίας για να επιτευχθεί ένα αποδεκτό σύστημα προστασίας των προσωπικών δεδομένων. Απαιτείται επίσης η παρακολούθηση των αλλαγών με την πάροδο του χρόνου (στις συνθήκες και σκοπούς της επεξεργασίας, τα μέτρα, τους κινδύνους, κ.λπ.), και επικαιροποίηση κάθε φορά που συμβαίνει μια σημαντική αλλαγή.

    Παράλληλα, η εμπλοκή της Αρχής στην εκτίμηση αντικτύπου έχει αποκλειστικά τον χαρακτήρα διαβούλευσης, και αυτό πρέπει να αποτυπωθεί στο άρθρο.

    Να επαναδιατυπωθούν οι παράγραφοι 1, 3, και 5 του άρθρου 65 ως εξής:
    1. Εάν μια μορφή επεξεργασίας, ιδίως όταν χρησιμοποιούνται νέες τεχνολογίες, ενδέχεται να δημιουργήσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα των ενδιαφερομένων λόγω της φύσης, του πεδίου εφαρμογής, των συνθηκών και των σκοπών της επεξεργασίας, ο υπεύθυνος επεξεργασίας αξιολογεί πρώτα τις συνέπειες της επεξεργασίας για τα υποκείμενα των δεδομένων, διενεργώντας εκτίμηση αντικτύπου στην προστασία των δεδομένων προσωπικού χαρακτήρα των προβλεπόμενων πράξεων επεξεργασίας.

    3. Ο υπεύθυνος επεξεργασίας διαβουλεύεται με την Αρχή όταν, μετά τη διενέργεια εκτίμησης αντικτύπου, δεν μπορεί να βρει επαρκή μέτρα για τη μείωση των κινδύνων σε αποδεκτό επίπεδο, ιδίως όταν η επεξεργασία περιλαμβάνει την κατάρτιση προφίλ ή τη λήψη αυτοματοποιημένων αποφάσεων.

    5. Ο υπεύθυνος επεξεργασίας διαρκώς ελέγχει κατά πόσον η επεξεργασία ακολουθεί τις απαιτήσεις που προέκυψαν από την εκτίμηση αντικτύπου, τηρεί αρχείο της εκτίμησης αντικτύπου και όταν κρίνεται απαραίτητο, προβαίνει σε επικαιροποίηση της εκτίμησης αντικτύπου.

  • 16 Αυγούστου 2019, 21:08 | Γιώργος Ρουσόπουλος
    Το βλέπω Θετικά/Αρνητικά:  

    Η διάταξη της παρ. 3 με την οποία «Ο υπεύθυνος επεξεργασίας δύναται να εμπλέκει την Αρχή κατά την εφαρμογή της εκτίμησης αντικτύπου» αντίκειται στο πνεύμα της οδηγίας και της τροποποίησης των διατάξεων για τα προσωπικά δεδομένα. Η Αρχή μπορεί να εμπλακεί μόνο μετά τη διενέργεια της εκτίμησης αντικτύπου, για διαβούλευση. Ο φορέας έχει το δικό του DPO για να ζητήσει βοήθεια και αυτός μπορεί να λάβει κατευθύνσεις από την Αρχή.