Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Ολοµέλειας στην έδρα της την Τρίτη 9-10-2018 µετά από πρόσκληση του Προέδρου της, προκειµένου να εξετάσει το ζήτηµα της διατήρησης ή τροποποίησης του σχεδίου καταλόγου µε τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία δεδοµένων κατόπιν της µε αριθµό 7/2018 σχετικής γνώµης που εξέδωσε το Ευρωπαϊκό Συµβούλιο Προστασίας ∆εδοµένων (ΕΣΠ∆). Παρέστησαν ο Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος και τα τακτικά µέλη Κωνσταντίνος Χριστοδούλου, Αντώνιος Συµβώνης, Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαµπρινουδάκης, ως εισηγητής, Χαράλαµπος Ανθόπουλος και Ελένη Μαρτσούκου, επίσης ως εισηγήτρια. Παρούσα στη συνεδρίαση, χωρίς δικαίωµα ψήφου, ήταν η Ευφροσύνη Σιουγλέ, ελέγκτρια, ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Τµήµατος ∆ιοικητικών Υποθέσεων, ως γραµµατέας.

Η Αρχή έλαβε υπόψη τα παρακάτω:

Με την µε αριθµό 53/2018 Απόφασή της, η Αρχή αποφάσισε την κατάρτιση σχεδίου καταλόγου µε τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία δεδοµένων (ΕΑΠ∆) βάσει του άρθρου 35 παρ. 4 του Γενικού Κανονισµού Προστασίας ∆εδοµένων (ΕΕ) 679/2016 (ΓΚΠ∆). Η Αρχή, πριν την έκδοση του εν λόγω καταλόγου, εφάρµοσε, κατά τα προβλεπόµενα στο άρθρο 35 παρ. 6 του ΓΚΠ∆, τον µηχανισµό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο ΕΣΠ∆. Το ΕΣΠ∆ κατά τη συνεδρίαση της ολοµέλειας της 25ης Σεπτεµβρίου 2018 εξέδωσε τη γνώµη 7/20181 σχετικά µε το σχέδιο καταλόγου ΕΑΠ∆ της Αρχής βάσει του άρθρου 64 παρ. 1 του ΓΚΠ∆. Με τη γνώµη αυτή, για την οποία ενηµερώθηκε η Αρχή µε ηλεκτρονικό τρόπο στις 2 Οκτωβρίου 2018, το ΕΣΠ∆ ζητά από την Αρχή την τροποποίηση του σχεδίου καταλόγου βάσει των περιλαµβανοµένων σε αυτή συστάσεων.

 

Η Αρχή, αφού άκουσε τους εισηγητές και τη βοηθό εισηγητή και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

  1. Σύµφωνα µε το άρθρο 35 παρ. 1 του ΓΚΠ∆:

«Όταν ένα είδος επεξεργασίας, ιδίως µε χρήση νέων τεχνολογιών και συνεκτιµώντας τη φύση, το πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίµηση των επιπτώσεων των σχεδιαζόµενων πράξεων επεξεργασίας στην προστασία δεδοµένων προσωπικού χαρακτήρα. Σε µία εκτίµηση µπορεί να εξετάζεται ένα σύνολο παρόµοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόµοιους υψηλούς κινδύνους».

 

  1. Σύµφωνα µε το άρθρο 35 παρ. 3 του ΓΚΠ∆, η ΕΑΠ∆ απαιτείται ιδίως στις ακόλουθες περιπτώσεις:

«(…) α) συστηµατικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά µε φυσικά πρόσωπα, η οποία βασίζεται σε αυτοµατοποιηµένη επεξεργασία, περιλαµβανοµένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννοµα αποτελέσµατα σχετικά µε το φυσικό πρόσωπο ή οµοίως επηρεάζουν σηµαντικά το φυσικό πρόσωπο,

β)   µεγάλης κλίµακας επεξεργασίας των ειδικών κατηγοριών δεδοµένων που αναφέρονται στο άρθρο 9  παράγραφος 1 ή δεδοµένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήµατα που αναφέρονται στο άρθρο 10 ή

γ)  συστηµατικής παρακολούθησης δηµοσίως προσβάσιµου χώρου σε µεγάλη κλίµακα (…)».

 

  1. Για την παροχή συνεκτικής ερµηνείας των πράξεων επεξεργασίας στις οποίες απαιτείται η διενέργεια ΕΑΠ∆ λόγω του υψηλού κινδύνου που ενέχουν, η Οµάδα Εργασίας του άρθρου 29 εξέδωσε τις «Κατευθυντήριες γραµµές για την εκτίµηση του αντικτύπου σχετικά µε την προστασία δεδοµένων (ΕΑΠ∆) και καθορισµός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισµού 2016/679» (WP248)2, τις οποίες ενέκρινε το ΕΣΠ∆ κατά την πρώτη ολοµέλειά του. Oι κατευθυντήριες αυτές γραµµές αποσκοπούν πρωτίστως στην αποσαφήνιση της έννοιας του υψηλού κινδύνου και θέτουν τα κριτήρια για την κατάρτιση των καταλόγων που θα εγκριθούν από τις Αρχές Προστασίας ∆εδοµένων βάσει του άρθρου 35 παρ. 4 του ΓΚΠ∆. Επίσης, σκοπός του ως άνω κειµένου είναι η διευκόλυνση του έργου του ΕΠΣ∆ και η διευκόλυνση των υπευθύνων επεξεργασίας που έχουν την υποχρέωση να διενεργήσουν εκτίµηση αντικτύπου.

 

  1. Σύµφωνα µε τα άρθρα 35 παρ. 4 και παρ. 6 του ΓΚΠ∆:

«(παρ. 4) Η εποπτική αρχή καταρτίζει και δηµοσιοποιεί κατάλογο µε τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία των δεδοµένων δυνάµει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συµβούλιο Προστασίας ∆εδοµένων που αναφέρεται στο άρθρο 68».

«(παρ. 6) Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρµόδια εποπτική αρχή εφαρµόζει τον µηχανισµό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαµβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται µε την προσφορά αγαθών ή υπηρεσιών σε υποκείµενα των δεδοµένων ή µε την παρακολούθηση της συµπεριφοράς τους σε περισσότερα του ενός κράτη µέλη ή οι οποίες ενδέχεται να επηρεάζουν σηµαντικά την ελεύθερη κυκλοφορία των δεδοµένων προσωπικού χαρακτήρα στην Ένωση».

 

  1. Σύµφωνα µε το άρθρο 64 παρ. 1, 3, 6, 7 και 8 του ΓΚΠ∆:

«(παρ. 1) Το Συµβούλιο εκδίδει γνώµη όποτε µια αρµόδια εποπτική αρχή προτίθεται να θεσπίσει οποιοδήποτε από τα κατωτέρω µέτρα. Για τον σκοπό αυτό, η αρµόδια εποπτική αρχή ανακοινώνει το σχέδιο απόφασης στο Συµβούλιο, όταν: α) αποσκοπεί στην έγκριση καταλόγου πράξεων επεξεργασίας που υπόκεινται στην απαίτηση η για διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία των δεδοµένων δυνάµει του άρθρου 35 παράγραφος 4 (…)».

«(παρ. 3) Στις περιπτώσεις που αναφέρονται στις παραγράφους 1 και 2, το Συµβούλιο Προστασίας ∆εδοµένων εκδίδει γνώµη σχετικά µε το αντικείµενο που του υποβάλλεται, εφόσον δεν έχει ήδη εκδώσει γνώµη επί του ίδιου θέµατος. Η γνώµη αυτή εκδίδεται εντός προθεσµίας οκτώ εβδοµάδων µε απλή πλειοψηφία των µελών του Συµβουλίου Προστασίας ∆εδοµένων. Η προθεσµία αυτή µπορεί να παραταθεί κατά έξι ακόµα εβδοµάδες, λαµβάνοντας υπόψη την πολυπλοκότητα του θέµατος(…)».

«(παρ. 6) Η αρµόδια εποπτική αρχή δεν εγκρίνει το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 εντός της προθεσµίας που αναφέρεται στην παράγραφο 3».

«(παρ. 7) Η εποπτική αρχή που αναφέρεται στην παράγραφο 1 λαµβάνει ιδιαιτέρως υπόψη τη γνώµη του Συµβουλίου Προστασίας ∆εδοµένων και, εντός δύο εβδοµάδων από την παραλαβή της γνώµης, ανακοινώνει στον Πρόεδρο του Συµβουλίου Προστασίας ∆εδοµένων µε ηλεκτρονικά µέσα κατά πόσο θα διατηρήσει ή θα τροποποιήσει το σχέδιο απόφασης και, εφόσον συντρέχει περίπτωση, το τροποποιηµένο σχέδιο απόφασης, χρησιµοποιώντας τυποποιηµένο µορφότυπο».

«(παρ. 8) Όταν η ενδιαφερόµενη εποπτική αρχή ενηµερώνει τον Πρόεδρο του Συµβουλίου Προστασίας ∆εδοµένων, εντός της προθεσµίας που αναφέρεται στην παράγραφο 7 του παρόντος άρθρου, ότι δεν προτίθεται να ακολουθήσει τη γνώµη του Συµβουλίου Προστασίας ∆εδοµένων, στο σύνολό της ή εν µέρει, παρέχοντας τη σχετική αιτιολογία, εφαρµόζεται το άρθρο 65 παράγραφος 1».

 

  1. Σύµφωνα µε τις συστάσεις που περιλαµβάνονται στη γνώµη 7/2018, το ΕΣΠ∆ ζητά από την Αρχή να τροποποιήσει το σχέδιο καταλόγου ΕΑΠ∆ ως ακολούθως:
    1. Σχετικά µε την έννοια της µεγάλης κλίµακας: να διαγράψει τα ποσοτικά κριτήρια και να προσθέσει αναφορά στους ορισµούς της µεγάλης κλίµακας όπως παρατίθενται στις κατευθυντήριες γραµµές για τον Υπεύθυνο Προστασίας ∆εδοµένων (WP243) και την εκτίµηση αντικτύπου (WP248).
    2. Σχετικά µε την αναφορά στις κατευθυντήριες γραµµές WP248: να προσθέσει ότι το σχέδιο καταλόγου βασίζεται στις κατευθυντήριες γραµµές WP248 για την εκτίµηση αντικτύπου, τις οποίες συµπληρώνει και εξειδικεύει περαιτέρω.
    3. Σχετικά µε την επεξεργασία δεδοµένων η οποία διεξάγεται µε τη χρήση εµφυτεύµατος: να ορίσει ότι µόνο η επεξεργασία δεδοµένων υγείας µε τη χρήση εµφυτεύµατος υπόκειται στην απαίτηση διενέργειας εκτίµησης αντικτύπου.

     

    7. Ενόψει των ανωτέρω, η Αρχή, αφού έλαβε υπόψη και εξέτασε τις ανωτέρω συστάσεις, κρίνει οµόφωνα ότι η γνώµη 7/2018 του ΕΣΠ∆ πρέπει να γίνει δεκτή, να επέλθουν οι αναγκαίες µεταβολές στο σχέδιο του καταλόγου που είχε υποβάλει αρχικά στο ΕΣΠ∆ και να ανακοινώσει τον τροποποιηµένο κατάλογο στο ΕΣΠ∆.

    8. Για τον σκοπό αυτό α) προστίθεται αναφορά ότι ο κατάλογος ΕΑΠ∆ βασίζεται στις κατευθυντήριες γραµµές WP248, τις οποίες συµπληρώνει και εξειδικεύει περαιτέρω, β) αφαιρούνται τα ποσοτικά κριτήρια που είχαν περιληφθεί στο αρχικό σχέδιο καταλόγου για τον ορισµό της µεγάλης κλίµακας επεξεργασίας και προστίθεται αναφορά στους σχετικούς ορισµούς των κατευθυντήριων γραµµών WP243 και WP248 και γ) αναµορφώνεται το σηµείο 2.2.5 του καταλόγου µε αφαίρεση της πρόβλεψης για τη χρήση εµφυτευµάτων δεδοµένου ότι η επεξεργασία δεδοµένων υγείας µε τη χρήση εµφυτευµάτων καλύπτεται από το σηµείο 2.1 και σε συνδυασµό µε το σηµείο 3.1.

    ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

    Η Αρχή, αποφασίζει οµόφωνα, την τροποποίηση του σχεδίου καταλόγου µε τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση διενέργειας εκτίµησης αντικτύπου βάσει των συστάσεων της γνώµης 7/2018 του ΕΣΠ∆ και την ανακοίνωση του τροποποιηµένου καταλόγου στο ΕΣΠ∆. Κατόπιν τούτου, ο τροποποιηµένος κατάλογος διαµορφώνεται ως ακολούθως

 

Κατάλογος µε τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία δεδοµένων σύµφωνα µε το άρθρο 35 παρ. 4 του ΓΚΠ∆

Νοµική βάση

Σύµφωνα µε το άρθρο 35 παρ. 4 του ΓΚΠ∆, η εποπτική αρχή καταρτίζει και δηµοσιοποιεί κατάλογο µε τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίµησης αντικτύπου σχετικά µε την προστασία δεδοµένων (ΕΑΠ∆) δυνάµει της παρ. 1 και ανακοινώνει τον κατάλογο αυτό στο Ευρωπαϊκό Συµβούλιο Προστασίας ∆εδοµένων (ΕΣΠ∆).

 

Εάν ο κατάλογος αυτός περιλαµβάνει δραστηριότητες επεξεργασίας οι οποίες σχετίζονται µε την προσφορά αγαθών ή υπηρεσιών σε υποκείµενα των δεδοµένων ή µε την παρακολούθηση της συµπεριφοράς τους σε περισσότερα του ενός κράτη µέλη ή οι οποίες ενδέχεται να επηρεάσουν σηµαντικά την ελεύθερη κυκλοφορία των δεδοµένων στην Ένωση, εφαρµόζεται ο µηχανισµός συνεκτικότητας που αναφέρεται στο άρθρο 63.

 

Πλαίσιο

Η διενέργεια ΕΑΠ∆ απαιτείται όταν ένα είδος επεξεργασίας, ιδίως µε τη χρήση νέων τεχνολογιών και συνεκτιµώντας τη φύση, το πεδίο εφαρµογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων (άρθρο 35 παρ. 1 του ΓΚΠ∆). Ενδεικτικές περιπτώσεις στις οποίες απαιτείται διενέργεια ΕΑΠ∆ παρατίθενται στο άρθρο 35 παρ. 3 του ΓΚΠ∆.

Για την παροχή πιο συνεκτικού συνόλου πράξεων επεξεργασίας που απαιτούν τη διενέργεια ΕΑΠ∆ λόγω του υψηλού κινδύνου που ενέχουν, η Οµάδα Εργασίας του Άρθρου 29 εξέδωσε τις κατευθυντήριες γραµµές µε τίτλο «Κατευθυντήριες γραµµές για την εκτίµηση του αντικτύπου σχετικά µε την προστασία δεδοµένων (ΕΑΠ∆) και καθορισµός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισµού 2016/679» (WP248 rev.01). Οι παραπάνω κατευθυντήριες γραµµές ορίζουν εννέα κριτήρια τα οποία πρέπει να χρησιµοποιούν οι υπεύθυνοι επεξεργασίας για να καθορίσουν κατά πόσον πρέπει να διενεργηθεί ή όχι ΕΑΠ∆.

 

Ορισµός της µεγάλης κλίµακας

 

Κατά τον προσδιορισµό του κατά πόσον η επεξεργασία τελείται σε µεγάλη κλίµακα συνιστάται να λαµβάνονται συγκεκριµένα υπόψη οι ακόλουθες παράµετροι βάσει των προαναφερθεισών κατευθυντήριων γραµµών WP248 καθώς και των κατευθυντήριων γραµµών µε τίτλο «Κατευθυντήριες γραµµές σχετικά µε τους υπεύθυνους προστασίας δεδοµένων» (WP243):

α. ο αριθµός των εµπλεκόµενων υποκειµένων των δεδοµένων, είτε ως συγκεκριµένος αριθµός είτε ως ποσοστό επί του συναφούς πληθυσµού·

 

β. ο όγκος των δεδοµένων και/ή το εύρος των διαφόρων στοιχείων δεδοµένων που υποβάλλονται σε επεξεργασία·

 

γ. η διάρκεια ή ο µόνιµος χαρακτήρας της δραστηριότητας επεξεργασίας δεδοµένων· δ. το γεωγραφικό εύρος της δραστηριότητας επεξεργασίας.

 

Πράξεις επεξεργασίας που υπόκεινται σε απαίτηση ΕΑΠ∆

Ο παρών κατάλογος οµαδοποιεί και εξειδικεύει περαιτέρω τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠ∆ µε παράθεση και ενδεικτικών παραδειγµάτων. Ο εν λόγω κατάλογος δεν είναι εξαντλητικός και δεν αίρεται ούτε µεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠ∆ σε κάθε περίπτωση συνδροµής των προϋποθέσεων του άρθρου 35 παρ. 1 του ΓΚΠ∆. Ο εν λόγω κατάλογος βασίζεται στο άρθρο 35 του ΓΚΠ∆ και ιδίως στις παρ. 1 και 3 αυτού καθώς και στις κατευθυντήριες γραµµές για την εκτίµηση αντικτύπου (WP248), τις οποίες συµπληρώνει και εξειδικεύει περαιτέρω.

Τα κριτήρια για την διενέργεια ΕΑΠ∆ οµαδοποιούνται στις παρακάτω τρεις κατηγορίες:

  • 1η κατηγορία: µε βάση τα είδη και τους σκοπούς επεξεργασίας.
  • 2η κατηγορία: µε βάση το είδος των δεδοµένων και/ή τις κατηγορίες των υποκειµένων.
  • 3η κατηγορία: µε βάση τα πρόσθετα χαρακτηριστικά και/ή τα χρησιµοποιούµενα µέσα της επεξεργασίας.

Η διενέργεια ΕΑΠ∆ κρίνεται υποχρεωτική όταν πληρούται τουλάχιστον ένα από τα κριτήρια της 1ης ή της 2ης κατηγορίας. Είναι επίσης υποχρεωτική όταν συντρέχει ένα τουλάχιστον κριτήριο ως προς την 3η κατηγορία και η επεξεργασία αφορά είδη και σκοπούς επεξεργασίας της 1ης κατηγορίας, ή/και είδη δεδοµένων ή/και κατηγορίες υποκειµένων της 2ης κατηγορίας.

 

1η κατηγορία: είδη και σκοποί της επεξεργασίας

 

1.1 Συστηµατική αξιολόγηση, βαθµολόγηση, πρόβλεψη, πρόγνωση και κατάρτιση προφίλ, ιδίως πτυχών που αφορούν την οικονοµική κατάσταση, την υγεία, τις προσωπικές προτιµήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συµπεριφορά, τη θέση ή τις κινήσεις ή την πιστοληπτική ικανότητα των υποκειµένων των δεδοµένων.

 

Σχετικά παραδείγµατα είναι η περίπτωση, κατά την οποία χρηµατοπιστωτικό ίδρυµα ελέγχει τους πελάτες του µε βάση δεδοµένα πιστοληπτικής ικανότητας ή δεδοµένα για την καταπολέµηση της νοµιµοποίησης εσόδων από παράνοµες δραστηριότητες και της χρηµατοδότησης της τροµοκρατίας ή δεδοµένα για εγκλήµατα απάτης, ή η περίπτωση, κατά την οποία εταιρεία βιοτεχνολογίας παρέχει απευθείας στους καταναλωτές γενετικές δοκιµές για να εκτιµήσει και να προβλέψει τους κινδύνους νόσου/υγείας.

 

1.2 Συστηµατική επεξεργασία δεδοµένων που αποσκοπεί στη λήψη αυτοµατοποιηµένων αποφάσεων, οι οποίες παράγουν έννοµα αποτελέσµατα σχετικά µε τα υποκείµενα των δεδοµένων ή επηρεάζουν σηµαντικά τα υποκείµενα των δεδοµένων κατά ανάλογο τρόπο και µπορούν να οδηγήσουν σε αποκλεισµό ή διακρίσεις σε βάρος του φυσικού προσώπου.

 

Σχετικά παραδείγµατα είναι η αυτόµατη άρνηση επιγραµµικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέµβαση (αιτ. 71 του ΓΚΠ∆) ή η αυτόµατη άρνηση ασφαλιστικής παροχής.

 

1.3 Συστηµατική επεξεργασία δεδοµένων που ενδέχεται να εµποδίζει το υποκείµενο να ασκήσει τα δικαιώµατά του ή να χρησιµοποιήσει µια υπηρεσία ή σύµβαση, ιδίως όταν λαµβάνονται υπόψη δεδοµένα που συλλέγονται από τρίτους.

 

Σχετικά παραδείγµατα είναι η περίπτωση, κατά την οποία τράπεζα ελέγχει τους πελάτες της χρησιµοποιώντας µια βάση δεδοµένων πιστοληπτικής ικανότητας για να αποφασίσει αν θα τους χορηγήσει δάνειο ή όχι, η καταχώρηση του υποκειµένου σε «µαύρη» λίστα, όπως η λίστα των παρόχων κινητής τηλεφωνίας (τηλέγνους), η καταχώριση του υποκειµένου σε whistleblowing συστήµατα.

 

1.4 Συστηµατική επεξεργασία δεδοµένων που αφορά την κατάρτιση προφίλ για το σκοπό της προώθησης προϊόντων και υπηρεσιών εφόσον τα δεδοµένα συνδυάζονται µε δεδοµένα που συλλέγονται από τρίτους.

 

1.5 Συστηµατική και σε µεγάλη κλίµακα επεξεργασία για την παρακολούθηση, την παρατήρηση ή τον έλεγχο των φυσικών προσώπων µε χρήση δεδοµένων που συλλέγονται µέσω συστηµάτων βιντεοεπιτήρησης ή µέσω δικτύων ή µε οποιοδήποτε άλλο µέσο σε δηµόσιο χώρο, δηµοσίως προσβάσιµο χώρο ή ιδιωτικό χώρο προσιτό σε απεριόριστο αριθµό προσώπων. Περιλαµβάνει την παρακολούθηση των κινήσεων ή της τοποθεσίας/γεωγραφικής θέσης σε πραγµατικό ή µη χρόνο ταυτοποιηµένων ή ταυτοποιήσιµων φυσικών προσώπων.

 

Σχετικά παραδείγµατα είναι η χρήση καµερών σε εµπορικό κέντρο ή σε σταθµούς µέσων µαζικής µεταφοράς, ή η επεξεργασία δεδοµένων θέσης των επιβατών σε αεροδρόµιο ή σε µέσα µαζικής µεταφοράς. Επίσης, η παρακολούθηση µέσω wi-fi συστηµάτων (wi-fi tracking) επισκεπτών σε εµπορικά κέντρα ή επεξεργασία δεδοµένων µέσω drones.

 

1.6 Μεγάλης κλίµακας συστηµατική επεξεργασία δεδοµένων προσωπικού χαρακτήρα που αφορούν την υγεία και τη δηµόσια υγεία για σκοπούς δηµοσίου συµφέροντος, όπως η εισαγωγή και χρήση συστηµάτων ηλεκτρονικής συνταγογράφησης και η εισαγωγή και χρήση ηλεκτρονικού φακέλου ή ηλεκτρονικής κάρτας υγείας.

 

1.7 Μεγάλης κλίµακας συστηµατική επεξεργασία δεδοµένων προσωπικού χαρακτήρα µε σκοπό την εισαγωγή, οργάνωση, παροχή και έλεγχο της χρήσης υπηρεσιών ηλεκτρονικής διακυβέρνησης, όπως ορίζονται στο άρθρο 3 του ν.3979/2011 όπως ισχύει.

 

2η κατηγορία: είδος δεδοµένων ή/και κατηγορίες υποκειµένων

 

2.1 Μεγάλης κλίµακας επεξεργασία των ειδικών κατηγοριών δεδοµένων (περιλαµβανοµένων των γενετικών και των βιοµετρικών µε σκοπό την αδιαµφισβήτητη ταυτοποίηση προσώπου) που αναφέρονται στο άρθρο 9 παρ. 1 και των δεδοµένων που αναφέρονται στο άρθρο 10 του ΓΚΠ∆.

 

2.2 Συστηµατική και σε µεγάλη κλίµακα επεξεργασία δεδοµένων ιδιαίτερης σηµασίας ή εξαιρετικού χαρακτήρα όπως

 

2.2.1 δεδοµένα κοινωνικής πρόνοιας (δεδοµένα σχετικά µε τη φτώχεια, την ανεργία, την κοινωνική εργασία κλπ.),

2.2.2 δεδοµένα ηλεκτρονικών επικοινωνιών, περιλαµβανοµένων των δεδοµένων περιεχοµένου όπως του ηλεκτρονικού ταχυδροµείου, µεταδεδοµένων και των δεδοµένων γεωγραφικής θέσης/τοποθεσίας, µε εξαίρεση την καταγραφή τηλεφωνικών συνδιαλέξεων σύµφωνα µε το άρθρο 4 παρ. 3 του ν.3471/2006,

2.2.3 δεδοµένα που αφορούν εθνικό αριθµό ταυτότητας ή άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρµογής ή αλλαγή των προϋποθέσεων και όρων επεξεργασίας και χρήσης αυτών και των συναφών µε αυτά δεδοµένων προσωπικού χαρακτήρα,

2.2.4 δεδοµένα που περιλαµβάνονται σε προσωπικά έγγραφα, ηµερολόγια, σηµειώσεις από ηλεκτρονικό αναγνώστη (e-reader) και σε εφαρµογές καταγραφής βίου (life logging), που προσφέρουν δυνατότητες τήρησης σηµειώσεων και πολύ προσωπικών πληροφοριών,

2.2.5 δεδοµένα που συλλέγονται ή παράγονται από συσκευές (όπως αυτές µε αισθητήρες) ιδίως µέσω των εφαρµογών του ‘διαδικτύου των πραγµάτων – IoT’ (όπως έξυπνες τηλεοράσεις, έξυπνες οικιακές συσκευές, συνδεδεµένα παιχνίδια, έξυπνες πόλεις, έξυπνοι µετρητές ενέργειας κλπ) και/ή µε τη χρήση άλλων µέσων.

 

2.3 Συστηµατική παρακολούθηση – εφόσον είναι επιτρεπτή – της θέσης/τοποθεσίας καθώς και του περιεχοµένου και των µεταδεδοµένων των επικοινωνιών των εργαζοµένων µε εξαίρεση τα αρχεία καταγραφής για λόγους ασφάλειας εφόσον η επεξεργασία περιορίζεται στα απολύτως απαραίτητα δεδοµένα και είναι ειδικά τεκµηριωµένη. Σχετικό παράδειγµα που εµπίπτει στην υποχρέωση διενέργειας ΕΑΠ∆ αποτελεί η χρήση συστηµάτων DLP.

 

Συστηµατική επεξεργασία βιοµετρικών δεδοµένων των εργαζοµένων µε σκοπό την αδιαµφισβήτητη ταυτοποίηση προσώπου καθώς και γενετικών δεδοµένων των εργαζοµένων.

3η κατηγορία: πρόσθετα χαρακτηριστικά ή/και χρησιµοποιούµενα µέσα της επεξεργασίας

 

3.1 Καινοτόµος χρήση ή εφαρµογή νέων τεχνολογιών ή οργανωτικών λύσεων, οι οποίες µπορεί να περιλαµβάνουν νέες µορφές συλλογής και χρήσης δεδοµένων, µε ενδεχόµενο υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων όπως η συνδυασµένη χρήση των δακτυλικών αποτυπωµάτων και η αναγνώριση προσώπου για βελτιωµένο φυσικό έλεγχο πρόσβασης, ή εφαρµογές mhealth ή άλλες «έξυπνες» εφαρµογές, από τις οποίες δηµιουργείται προφίλ των χρηστών (π.χ. καθηµερινές συνήθειες), ή εφαρµογές τεχνητής νοηµοσύνης ή τεχνολογίες δηµόσια προσπελάσιµων blockchain που περιλαµβάνουν προσωπικά δεδοµένα.

 

3.2 Συνδυασµό και/ή συσχέτιση προσωπικών δεδοµένων από πολλαπλές πηγές ή τρίτους, από δύο ή περισσότερες πράξεις επεξεργασίας που υλοποιούνται για διαφορετικούς σκοπούς ή/και από διαφορετικούς υπευθύνους επεξεργασίας µε τρόπο που θα µπορούσε να υπερβαίνει τις εύλογες προσδοκίες του υποκειµένου των δεδοµένων.

 

3.3 Σε περίπτωση που η επεξεργασία αφορά δεδοµένα, τα οποία δεν έχουν συλλεγεί από το υποκείµενο και η ενηµέρωση των υποκειµένων σύµφωνα µε το άρθρο 14 ΓΚΠ∆ αποδεικνύεται αδύνατη ή θα προϋπέθετε δυσανάλογη προσπάθεια ή είναι πιθανό να καταστήσει αδύνατη ή να βλάψει σε µεγάλο βαθµό την επίτευξη των σκοπών της επεξεργασίας.

 

Αναθεώρηση του καταλόγου

Ο ανωτέρω κατάλογος υπόκειται σε τακτική αναθεώρηση κάθε δύο έτη ή σε έκτακτη αναθεώρηση σε περίπτωση σηµαντικών εξελίξεων σε τεχνολογικό επίπεδο ή στα επιχειρησιακά µοντέλα, καθώς και σε περίπτωση µεταβολής των σκοπών της επεξεργασίας εφόσον οι νέοι αυτοί σκοποί συνεπάγονται υψηλό κίνδυνο.

Αρχική πηγή: http://www.dpa.gr/pls/portal/docs/PAGE/APDPX/NEWSMAIN/INFORMATIONAL/JAN2019.PDF