L’importance de l’Analyse d’impact (PIA ou AIPD ou DPIA)

Η σημασία της Ανάλυσης Επιπτώσεων (PIA ή AIPD ή DPIA)

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Είναι πιθανό η «εκτίμηση των επιπτώσεων στην προστασία δεδομένων» (DPIA) να γίνει το σύμβολο του GDPR (στα αγγλικά, μιλάμε για DPIA, Data Protection Impact Assessment ή, εν συντομία, PIA, Privacy Impact Assessment). Σε κάθε περίπτωση, είναι το εργαλείο που επιλέχθηκε για να λογοδοτούν οι εταιρείες και να τις εμποδίζει να ενεργούν εις βάρος των καταναλωτών πολιτών. Απαιτώντας προηγούμενη εργασία πριν από οποιαδήποτε πράξη επεξεργασίας δεδομένων και, όπου είναι απαραίτητο, διαβούλευση με την εποπτική αρχή, προσφέρει μια σοβαρή εγγύηση σεβασμού της ιδιωτικής ζωής. 

Απαιτείται εκτίμηση επιπτώσεων πριν από την επεξεργασία «όταν ένα είδος επεξεργασίας, ιδίως μέσω της χρήσης νέων τεχνολογιών, και λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, είναι πιθανό να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων» (άρθρο 35-1). Διευκρινίζεται ότι μια ανάλυση μπορεί να αφορά πολλές παρόμοιες πράξεις επεξεργασίας που παρουσιάζουν τον ίδιο τύπο υψηλών κινδύνων. Από αυτές τις διατάξεις μπορεί να συναχθεί ότι εάν δεν υπάρχει «υψηλός κίνδυνος» ή/και εάν έχει ήδη διεξαχθεί ανάλυση για παρόμοιες πράξεις, η ανάλυση δεν είναι υποχρεωτική (ομοίως, όταν η επεξεργασία συνδέεται με αποστολή δημόσιου συμφέροντος, η εξαίρεση έχει ήδη αναφερθεί).

Η έννοια του «υψηλού κινδύνου» δεν ορίζεται ρητά, αλλά η CNIL προσδιορίζει τον όρο «κίνδυνος για την ιδιωτικότητα». Πρόκειται για «ένα σενάριο που περιγράφει: ένα φοβερό συμβάν (μη εξουσιοδοτημένη πρόσβαση, ανεπιθύμητη τροποποίηση ή εξαφάνιση δεδομένων και τις πιθανές επιπτώσεις του στα δικαιώματα και τις ελευθερίες των ατόμων)· όλες τις απειλές που θα επέτρεπαν την εμφάνισή του. Εκτιμάται με βάση τη σοβαρότητα και την πιθανότητα. Η σοβαρότητα πρέπει να αξιολογείται για τα εμπλεκόμενα άτομα, όχι για τον οργανισμό». Αυτό είναι αρκετά ασαφές και γενικό ώστε να θεωρείται ότι ο κίνδυνος για την ιδιωτικότητα, επομένως υψηλός, αντιστοιχεί σε πολλές πράξεις επεξεργασίας.

Το άρθρο 35-4 ορίζει ότι η εποπτική αρχή θα δημοσιεύσει κατάλογο πράξεων για τις οποίες απαιτείται ανάλυση. Εν τω μεταξύ, η G29 έχει συνδυάσει διάφορα σημεία του ΓΚΠΔ για να καταλήξει σε έναν κατάλογο 9 κριτηρίων (κατευθυντήριες γραμμές της 4ης Απριλίου 2017, τροποποιημένες στις 4 Οκτωβρίου 2017), τα οποία ενδέχεται να υποδηλώνουν ότι μια πράξη επεξεργασίας είναι πιθανό να δημιουργήσει υψηλό κίνδυνο:

– «αξιολόγηση ή βαθμολόγηση, συμπεριλαμβανομένων των δραστηριοτήτων κατάρτισης προφίλ ή πρόβλεψης, που αφορούν ιδίως «πτυχές που αφορούν την απόδοση του υποκειμένου των δεδομένων στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά ή την τοποθεσία και τις κινήσεις» (αιτιολογικές σκέψεις 71 και 91)»·

– «αυτοματοποιημένη λήψη αποφάσεων με νομική ή παρόμοια σημαντική ισχύ»·

– «συστηματική παρακολούθηση»·

– «ευαίσθητα δεδομένα ή δεδομένα άκρως προσωπικού χαρακτήρα». Αυτό μπορεί να περιλαμβάνει πληροφορίες σχετικά με πολιτικές απόψεις, ποινικές καταδίκες, ιατρικά αρχεία, αλλά επίσης, αναφέρει η G29, ηλεκτρονικά μηνύματα, ημερολόγια, σημειώσεις. Εάν δεδομένα αυτού του είδους έχουν δημοσιοποιηθεί από το ενδιαφερόμενο άτομο, αυτό θα ληφθεί υπόψη·

– «δεδομένα που υποβάλλονται σε επεξεργασία σε μεγάλη κλίμακα». Η έννοια της μεγάλης κλίμακας δεν προσδιορίζεται, αλλά η WG29 συνιστά να λαμβάνεται υπόψη ο αριθμός των εμπλεκόμενων ατόμων, ο όγκος των δεδομένων, η διάρκεια και το γεωγραφικό εύρος της επεξεργασίας·

– «διασταύρωση ή συνδυασμός συνόλων δεδομένων»·

– «δεδομένα που αφορούν ευάλωτα άτομα (αιτιολογική σκέψη 75)», δηλαδή παιδιά, εργαζόμενους, άτομα που πάσχουν από ψυχικές ασθένειες, αιτούντες άσυλο, ηλικιωμένους, ασθενείς κ.λπ.·

– «καινοτόμος χρήση ή εφαρμογή νέων τεχνολογικών ή οργανωτικών λύσεων». Η G29 αναφέρει ειδικότερα τη συνδυασμένη χρήση της αναγνώρισης δακτυλικών αποτυπωμάτων και της αναγνώρισης προσώπου ή το Διαδίκτυο των Πραγμάτων·

– επεξεργασία που «εμποδίζει τα υποκείμενα των δεδομένων να ασκήσουν ένα δικαίωμα ή να επωφεληθούν από μια υπηρεσία ή σύμβαση». Η G29 δίνει το παράδειγμα μιας τράπεζας που θα έλεγχε τους πελάτες της με βάση μια βάση δεδομένων αξιολόγησης πιστοληπτικής ικανότητας πριν λάβει τις αποφάσεις δανειοδότησης.

Η G29 θεωρεί ότι η επεξεργασία που αντιστοιχεί σε δύο από αυτά τα εννέα κριτήρια απαιτεί ΕΑΠΔ (ακόμα και αν ένα μόνο κριτήριο μπορεί να επαρκεί). Η CNIL παρέχει ένα παράδειγμα: «μια εταιρεία θεσπίζει παρακολούθηση της δραστηριότητας των εργαζομένων της, η επεξεργασία αυτή πληροί το κριτήριο της συστηματικής παρακολούθησης και αυτό των δεδομένων που αφορούν ευάλωτα άτομα, επομένως η εφαρμογή ΕΑΠΔ θα είναι απαραίτητη».

Η ανάλυση πρέπει να περιλαμβάνει τουλάχιστον: περιγραφή των προβλεπόμενων πράξεων καθώς και τους σκοπούς της επεξεργασίας, ένδειξη της αναλογικότητας της πρώτης σε σχέση με τη δεύτερη, αξιολόγηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των ενδιαφερομένων προσώπων, τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων. Η CNIL βασίζει την ανάλυση επιπτώσεων σε δύο πυλώνες: μια πιο νομική αξιολόγηση σχετικά με τις «μη διαπραγματεύσιμες» αρχές και μια πιο τεχνική μελέτη σχετικά με τα μέτρα που προβλέπονται για την προστασία των δεδομένων. Στους οδηγούς DPIA (που βρίσκονται υπό αναθεώρηση) προτείνει την εφαρμογή του σχεδίου GDPR (που αναφέρεται στην αρχή αυτής της παραγράφου). Όταν ενημερωθούν, αναμφίβολα θα αποτελέσουν χρήσιμα εργαλεία για όλους όσους χρειάζεται να καταρτίσουν ένα τέτοιο έγγραφο.

Τίθεται το ερώτημα εάν είναι απαραίτητη η διενέργεια εκτίμησης επιπτώσεων για πράξεις επεξεργασίας που έχουν ήδη εφαρμοστεί από τις 25 Μαΐου 2018. Ο ΓΚΠΔ δεν απαντά σε αυτό το ερώτημα, αλλά η CNIL απαντά. «Δεν θα απαιτείται εκτίμηση επιπτώσεων για: πράξεις επεξεργασίας που έχουν αποτελέσει αντικείμενο προηγούμενης διατύπωσης με την CNIL πριν από τις 25 Μαΐου 2018· πράξεις επεξεργασίας που έχουν καταγραφεί στο μητρώο ενός ανταποκριτή «προστασίας δεδομένων και ελευθεριών». Μετά από 3 χρόνια, ωστόσο, οι πράξεις επεξεργασίας που εκτελούνται τακτικά θα πρέπει να υπόκεινται σε εκτίμηση επιπτώσεων, πάντα σε περίπτωση «υψηλού κινδύνου» για τα υποκείμενα των δεδομένων.  

Στο κάτω μέρος αυτών των κατευθυντήριων γραμμών, η CNIL προσθέτει την ακόλουθη πρόταση: «Η εφαρμογή μιας ΕΑΠΔ αποτελεί, σε κάθε περίπτωση, μια ορθή πρακτική που διευκολύνει τη διαδικασία συμμόρφωσης με τις ουσιαστικές προϋποθέσεις που προβλέπονται από τον ΓΚΠΔ». Δεδομένου ότι η CNIL είναι η εποπτική αρχή στη Γαλλία, αυτή η συμβουλή δεν πρέπει να παραβλέπεται από την άποψη της ορθής πρακτικής. Ειδικά επειδή η G29 αναφέρει: «Σε περίπτωση αμφιβολίας ως προς την ανάγκη διενέργειας ΕΑΠΔ, στο βαθμό που οι ΕΑΠΔ αποτελούν σημαντικό εργαλείο για τους υπεύθυνους επεξεργασίας δεδομένων για τη συμμόρφωση με τη νομοθεσία περί προστασίας δεδομένων, η G29 συνιστά τη διενέργεια μιας ανεξαρτήτως». Η ευρωπαϊκή ομάδα εργασίας προσθέτει τέλος ότι η ΕΑΠΔ είναι υποχρεωτική όταν «οι σχετικοί κίνδυνοι έχουν εξελιχθεί».

Ομοίως, οι υποδείξεις του σχετικά με τους επαγγελματίες που πρέπει να συμμετάσχουν στη διεξαγωγή της ανάλυσης επιπτώσεων δεν είναι άχρηστες: ο υπεύθυνος επεξεργασίας δεδομένων (ο οποίος είναι υπεύθυνος), ο υπεργολάβος, εάν υπάρχει, ο υπεύθυνος προστασίας δεδομένων (θα δούμε ποιος είναι), οι κύριοι και οι διαχειριστές του έργου, ο υπεύθυνος ασφάλειας συστημάτων πληροφοριών, καθώς και, ενδεχομένως, τα ενδιαφερόμενα άτομα, τα οποία μπορούν να ζητηθούν μέσω ερωτηματολογίου.

Το άρθρο 35-7 του ΓΚΠΔ ορίζει το ελάχιστο περιεχόμενο μιας ανάλυσης επιπτώσεων:

– συστηματική περιγραφή των προβλεπόμενων πράξεων και των σκοπών της επεξεργασίας·

– αξιολόγηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε σχέση με τους σκοπούς·

– αξιολόγηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των εν λόγω προσώπων·

– τα μέτρα που προβλέπονται για την αντιμετώπιση των κινδύνων και την απόδειξη της συμμόρφωσης με τους κανονισμούς.

Η G29 παρέχει παραδείγματα μεθοδολογίας σε παράρτημα της ανάλυσής της για το AIPD. Η CNIL μόλις δημοσίευσε οδηγούς με μια μέθοδο και έναν κατάλογο βέλτιστων πρακτικών, καθώς και λογισμικό PIA ανοιχτού κώδικα. Συνεπώς, δεν υπάρχουν πλέον δικαιολογίες για τη μη συμμόρφωση με τις νέες υποχρεώσεις.

Μόλις ολοκληρωθεί η εκτίμηση επιπτώσεων, είτε μπορεί να ξεκινήσει η επεξεργασία είτε ο υπεύθυνος επεξεργασίας πρέπει να συμβουλευτεί την εποπτική αρχή «πριν από την επεξεργασία, εάν μια εκτίμηση επιπτώσεων στην προστασία δεδομένων που διενεργείται βάσει του άρθρου 35 υποδεικνύει ότι η επεξεργασία θα παρουσίαζε υψηλό κίνδυνο εάν ο υπεύθυνος επεξεργασίας δεν είχε λάβει μέτρα για τον μετριασμό του κινδύνου» (άρθρο 36-1). Η παράγραφος 2 του ίδιου άρθρου ορίζει ότι, σε περίπτωση τέτοιας προηγούμενης διαβούλευσης, η εποπτική αρχή έχει προθεσμία 8 εβδομάδων (+6 σε περιπτώσεις πολυπλοκότητας) για να γνωμοδοτήσει.

Η εκτίμηση επιπτώσεων μπορεί να δημοσιευτεί, με στόχο την ενίσχυση της εμπιστοσύνης στην εταιρεία, αλλά αυτό δεν αποτελεί υποχρέωση.

Η μη διενέργεια εκτίμησης επιπτώσεων ή η εσφαλμένη διεξαγωγή εκτίμησης μπορεί να οδηγήσει σε πρόστιμο έως και 10 εκατομμύρια ευρώ ή, για μια εταιρεία, 2,1 δισεκατομμύρια ευρώ του παγκόσμιου κύκλου εργασιών της, όποιο από τα δύο είναι υψηλότερο.

Ανακαλύψτε το Viqtor®
elEL
fr_FRFR en_USEN de_DE_formalDE es_ESES it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL elEL