Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα


Εισαγωγή

  • Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) είναι μια διαδικασία που βοηθά τους οργανισμούς να εντοπίσουν και να μετριάσουν τους κινδύνους προστασίας δεδομένων μιας δραστηριότητας.
  • Συστήνεται όπως η ΕΑΠΔ διενεργείται για ορισμένα είδη επεξεργασίας που αναφέρονται στον ενδεικτικό κατάλογο ή για οποιαδήποτε άλλη επεξεργασία που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα συμφέροντα των ατόμων.
  • Είναι επίσης καλή πρακτική η πραγματοποίηση μιας ΕΑΠΔ για οποιοδήποτε άλλη σημαντική δραστηριότητα η οποία απαιτεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
  • Η ΕΑΠΔ πρέπει:
    - Να περιγράφει τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας ·
    - Να αξιολογεί την αναγκαιότητα, την αναλογικότητα και τα μέτρα συμμόρφωσης ·
    - Να εντοπίζει και αξιολογεί τους κινδύνους για τα άτομα · και
    - Να προσδιορίσει τυχόν πρόσθετα μέτρα για τον μετριασμό των εν λόγω κινδύνων.
  • Για να αξιολογηθεί το επίπεδο κινδύνου, πρέπει να εξεταστεί τόσο η πιθανότητα όσο και η σοβαρότητα των επιπτώσεων στα άτομα. Ο υψηλός κίνδυνος μπορεί να οφείλεται είτε σε υψηλή πιθανότητα κάποιας βλάβης είτε σε μικρότερη πιθανότητα σοβαρής βλάβης.
  • Ο υπεύθυνος επεξεργασίας πρέπει να συμβουλεύεται τον υπεύθυνο προστασίας δεδομένων (αν έχει οριστεί) και, κατά περίπτωση, τα υποκείμενα των δεδομένων και ειδικούς εμπειρογνώμονες. Οι εκτελούντες την επεξεργασία μπορεί επίσης να συμβάλουν.
  • Εάν εντοπιστεί υψηλός κίνδυνος και δεν μπορεί να μετριαστεί, τότε ο υπεύθυνος επεξεργασίας πρέπει να συμβουλευτεί τον Επίτροπο πριν ξεκινήσει την επεξεργασία.
  • Ο Επίτροπος θα δώσει γραπτή συμβουλή σε πολύπλοκες περιπτώσεις. Σε κατάλληλες περιπτώσεις, ενδέχεται να απευθύνει προειδοποίηση για αναστολή της επεξεργασίας ή να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας.
  • Η μη συμμόρφωση με τις απαιτήσεις ΕΑΠΔ μπορεί να οδηγήσει στην επιβολή προστίμων από τον Επίτροπο.
  • Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξέδωσε κατευθυντήριες γραμμές με στόχο την καλύτερη εφαρμογή των προνοιών του ΓΚΠΔ στον τομέα αυτό.


Πότε διενεργείται ΕΑΠΔ από υπεύθυνο επεξεργασίας;

Για κάθε πράξη επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών, που ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων απαιτείται η διενέργεια ΕΑΠΔ, πριν την επεξεργασία, με σκοπό την εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων.

Κριτήρια που καθορίζουν πότε υπάρχει Υψηλός κίνδυνος:

1. Διενεργείται αυτοματοποιημένη επεξεργασία, με βάση την οποία γίνεται συστηματική και εκτενής αξιολόγηση προσωπικών πτυχών φυσικών προσώπων (περιλαμβανομένης της κατάρτισης προφίλ) και στην οποία λαμβάνονται αποφάσεις που παράγουν έννομα ή σημαντικά αποτελέσματα για φυσικά πρόσωπα. Επεξεργασία με μικρό ή μηδαμινό αντίκτυπο στα φυσικά πρόσωπα δεν πληροί τους όρους του συγκεκριμένου κριτηρίου.

2. Εκτελείται σε μεγάλη κλίμακα επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων ή προσωπικών δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα.

3. Διενεργείται συστηματική παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

Ορισμοί/ διευκρινήσεις:

Ειδικές κατηγορίες προσωπικών δεδομένων: φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν στην υγεία ή δεδομένων που αφορούν στη σεξουαλική ζωή φυσικού προσώπου, γενετήσιο προσανατολισμό

Μεγάλης κλίμακας επεξεργασία: ο Κανονισμός δεν ορίζει τι συνιστά μεγάλης κλίμακας επεξεργασία, ωστόσο η αιτιολογική σκέψη 91 παρέχει ορισμένες κατευθύνσεις.

Το Ευρωπαϊκό Συμβούλιο συνιστά να λαμβάνονται υπόψη οι ακόλουθες παράμετροι κατά τον προσδιορισμό του κατά πόσον η επεξεργασία τελείται σε μεγάλη κλίμακα.

(α) Ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού.
(β) Ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων που υποβάλλονται σε επεξεργασία.
(γ) Η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων.
(δ) Το γεωγραφικό εύρος της δραστηριότητας επεξεργασίας.

Συστηματική παρακολούθηση: επεξεργασία για την παρατήρηση, την παρακολούθηση ή τον έλεγχο των υποκειμένων των δεδομένων, περιλαμβανομένων των δεδομένων που συλλέγονται μέσω δικτύων.

Στον όρο «συστηματική» αποδίδεται μία ή περισσότερες από τις ακόλουθες έννοιες:
- λαμβάνει χώρα σύμφωνα με ένα σύστημα·
- είναι προκαθορισμένη, οργανωμένη ή μεθοδική·
- υλοποιείται στο πλαίσιο γενικού σχεδίου συλλογής δεδομένων·
- διενεργείται στο πλαίσιο στρατηγικής.

Δημοσίως προσβάσιμος χώρος: κάθε χώρο που είναι ανοικτός στο κοινό, όπως μια πλατεία, ένα εμπορικό κέντρο, ένας δρόμος, μια αγορά, ένας σιδηροδρομικός σταθμός ή μια δημόσια βιβλιοθήκη.

Σημείωση: όσο περισσότερα κριτήρια πληρούνται με την επεξεργασία, τόσο πιθανότερο είναι να τίθενται σε υψηλό κίνδυνο τα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων και, ως εκ τούτου, να απαιτείται η διενέργεια ΕΑΠΔ, ανεξάρτητα από τα προβλεπόμενα μέτρα του υπεύθυνου επεξεργασίας. Ωστόσο, σε ορισμένες περιπτώσεις, ο υπεύθυνος επεξεργασίας μπορεί να θεωρήσει ότι σε επεξεργασία στην οποία πληρούται μόνο ένα από τα εν λόγω κριτήρια απαιτείται η διενέργεια ΕΑΠΔ.

Αντιθέτως, μια πράξη επεξεργασίας που ενδεχομένως αντιστοιχεί στις ανωτέρω αναφερόμενες περιπτώσεις κατά τον υπεύθυνο επεξεργασίας μπορεί να θεωρείται ότι εξακολουθεί να μην «ενδέχεται να επιφέρει υψηλό κίνδυνο». Στις εν λόγω περιπτώσεις, ο υπεύθυνος επεξεργασίας θα πρέπει να δικαιολογεί και να τεκμηριώνει τους λόγους μη διενέργειας ΕΑΠΔ και να περιλαμβάνει/καταγράφει τις απόψεις του υπεύθυνου προστασίας δεδομένων.

Πιο κάτω δημοσιεύεται ενδεικτικός κατάλογος με πράξεις επεξεργασίας που χρειάζονται την διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

Επιπρόσθετα, στο πλαίσιο της αρχής της λογοδοσίας, κάθε υπεύθυνος επεξεργασίας τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος, στο οποίο περιλαμβάνονται μεταξύ άλλων οι σκοποί της επεξεργασίας, και πρέπει να αξιολογεί αν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο, ακόμη και αν τελικά αποφασίσει να μη διενεργήσει ΕΑΠΔ.

Σε ποιες περιπτώσεις δεν απαιτείται η διενέργεια ΕΑΠΔ;

Όταν η επεξεργασία δεν «ενδέχεται να επιφέρει υψηλό κίνδυνο» στα δικαιώματα και οι ελευθερίες των υποκειμένων των δεδομένων.

Για παράδειγμα:

· Μια επεξεργασία δεδομένων προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελματία του τομέα της υγείας,

· Μια επεξεργασία δεδομένων προσωπικού χαρακτήρα πελατών δικηγόρου,

· Ηλεκτρονικό περιοδικό που χρησιμοποιεί κατάλογο ηλεκτρονικών διευθύνσεων για να αποστέλλει γενικές ημερήσιες συνόψεις στους συνδρομητές του,

· Δικτυακός τόπος ηλεκτρονικού εμπορίου που διαφημίζει ανταλλακτικά αυτοκινήτων-αντικών και περιλαμβάνει περιορισμένη κατάρτιση προφίλ βάσει των αντικειμένων που έχουν προβληθεί ή αγοραστεί στον δικτυακό του τόπο.

Τι ισχύει για τις ήδη υφιστάμενες πράξεις επεξεργασίας;

Η απαίτηση διενέργειας ΕΑΠΔ ισχύει σε υφιστάμενες πράξεις επεξεργασίας που ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λαμβανομένης υπόψη της φύσης, του πεδίου εφαρμογής, του πλαισίου και των σκοπών της επεξεργασίας.

Πότε θα πρέπει να διενεργείται η ΕΑΠΔ;

Η ΕΑΠΔ θα πρέπει να διενεργείται πριν από την επεξεργασία. Αυτό συνάδει με τις αρχές προστασίας των δεδομένων εξ ορισμού και από τον σχεδιασμό (άρθρο 25 του ΓΚΠΔ). Η ΕΑΠΔ θα πρέπει να αντιμετωπίζεται ως εργαλείο που βοηθά στη λήψη αποφάσεων σε σχέση με την επεξεργασία.


Ποιος οφείλει να διενεργεί την ΕΑΠΔ;

Ο υπεύθυνος επεξεργασίας είναι αρμόδιος για τη διασφάλιση της διενέργειας της ΕΑΠΔ. Η ΕΑΠΔ μπορεί να πραγματοποιηθεί από άλλο πρόσωπο, εντός ή εκτός του οργανισμού, ωστόσο ο υπεύθυνος επεξεργασίας παραμένει ο τελικός υπεύθυνος για το εν λόγω καθήκον. Αν η επεξεργασία, ή μέρος αυτής, έχει ανατεθεί σε εκτελούντα, ο εκτελών την επεξεργασία έχει υποχρέωση να παράσχει τη συνδρομή του στον υπεύθυνο επεξεργασίας κατά την διενέργεια της ΕΑΠΔ.

Ο υπεύθυνος επεξεργασίας πρέπει επίσης να ζητεί τη γνώμη του υπεύθυνου προστασίας δεδομένων (ΥΠΔ), εφόσον έχει οριστεί.

Ο υπεύθυνος επεξεργασίας οφείλει, όποτε ενδείκνυται, να ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους.

Με ποια μεθοδολογία πρέπει να διενεργείται μια ΕΑΠΔ;

Με διάφορες μεθοδολογίες, αλλά με κοινά κριτήρια.

Ο ΓΚΠΔ παρέχει ευελιξία στους υπεύθυνους επεξεργασίας για τον καθορισμό της ακριβούς δομής και της μορφής της ΕΑΠΔ, προκειμένου αυτή να εξυπηρετεί τις υφιστάμενες πρακτικές εργασίας. Υπάρχουν πολυάριθμες καθιερωμένες διαδικασίες, εντός της ΕΕ και παγκοσμίως, που λαμβάνουν υπόψη τα στοιχεία που περιγράφονται στην αιτιολογική σκέψη 90. Ωστόσο, ανεξαρτήτως της μορφής που θα λάβει, η ΕΑΠΔ θα πρέπει να αποτελεί μια πραγματική αξιολόγηση των κινδύνων, που θα παρέχει στους υπεύθυνους επεξεργασίας τη δυνατότητα να λάβουν μέτρα για την αντιμετώπισή τους.

Στο Παράρτημα 1 των κατευθυντήριων γραμμών βρίσκονται παραδείγματα υφιστάμενων πλαισίων ΕΑΠΔ της ΕΕ.

Στο Παράρτημα 2 των κατευθυντήριων γραμμών βρίσκονται ορισμένα κοινά κριτήρια που έχουν προσδιοριστεί ώστε να επιτρέπεται στους υπεύθυνους επεξεργασίας να υιοθετούν διαφορετικές προσεγγίσεις, συμμορφούμενοι παράλληλα με τον ΓΚΠΔ. Τα εν λόγω κριτήρια αποσαφηνίζουν τις βασικές απαιτήσεις του κανονισμού και παρέχουν επαρκές έδαφος για τη χρήση διαφορετικών μορφών υλοποίησης. Τα εν λόγω κριτήρια μπορούν να χρησιμοποιηθούν για την απόδειξη ότι μια συγκεκριμένη μεθοδολογία ΕΑΠΔ πληροί τα απαιτούμενα πρότυπα που θέτει ο ΓΚΠΔ. Ο υπεύθυνος επεξεργασίας είναι αρμόδιος να επιλέξει τη μεθοδολογία, η οποία όμως θα πρέπει να συνάδει με τα κριτήρια του Παραρτήματος 2.

Πιο κάτω βρίσκονται ενδεικτικές ερωτήσεις που μπορούν να χρησιμοποιηθούν κατά τη διαδικασία διενέργειας ΕΑΠΔ.

Είναι υποχρεωτική η δημοσίευση της ΕΑΠΔ;

Όχι, ωστόσο η δημοσίευση μιας σύνοψης θα μπορούσε να προαγάγει την εμπιστοσύνη, ενώ η πλήρης ΕΑΠΔ πρέπει να κοινοποιείται στον Επίτροπο εφόσον έχει προηγηθεί διαβούλευση ή το ζητεί ο Επίτροπος.

Πότε πρέπει να ζητείται η γνώμη της εποπτικής αρχής;

Όταν οι υπολειπόμενοι κίνδυνοι είναι υψηλοί.

Είναι ο υπεύθυνος επεξεργασίας που ευθύνεται για την εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και για τον προσδιορισμό των προβλεπόμενων μέτρων για τη μείωση αυτών σε αποδεκτό επίπεδο, καθώς και για την απόδειξη της συμμόρφωσης προς τον ΓΚΠΔ.

Ένα παράδειγμα μετριασμού των κινδύνων που αφορά την αποθήκευση δεδομένων προσωπικού χαρακτήρα σε φορητούς υπολογιστές θα μπορούσε να είναι η χρήση κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας (αποτελεσματική πλήρης κρυπτογράφηση δίσκου, ισχυρή διαχείριση κλειδιών, κατάλληλος έλεγχος πρόσβασης, ασφαλή εφεδρικά αντίγραφα κ.ο.κ.), επιπλέον των υφιστάμενων πολιτικών (ειδοποίηση, συναίνεση, δικαίωμα πρόσβασης, δικαίωμα εναντίωσης κ.ο.κ.).

Μόνο στις περιπτώσεις όπου ο υπεύθυνος επεξεργασίας δεν μπορεί να βρει επαρκή μέτρα για τη μείωση των κινδύνων σε αποδεκτό επίπεδο (δηλαδή οι υπολειπόμενοι κίνδυνοι παραμένουν υψηλοί) τότε απαιτείται η διαβούλευση με τον Επίτροπο.

Για τους σκοπούς της διαβούλευσης, ο υπεύθυνος επεξεργασίας υποβάλλει στον Επίτροπο:
    • την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων
    • κατά περίπτωση, τις αντίστοιχες αρμοδιότητες του υπευθύνου επεξεργασίας, των από κοινού υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία που συμμετέχουν στις εργασίες, ιδίως όσον αφορά επεξεργασία εντός ομίλου επιχειρήσεων
    • τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας,
    • τα μέτρα και τις εγγυήσεις για την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με τον παρόντα κανονισμό
    • τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, αν έχει οριστεί

Εν συντομία

Σε περίπτωση σχεδιασμού επεξεργασίας που ενέχει υψηλό κίνδυνο, ο υπεύθυνος επεξεργασίας οφείλει:
    · να επιλέξει μια μεθοδολογία ΕΑΠΔ (παραδείγματα παρατίθενται στο Παράρτημα 1) ή να ορίσει και να εφαρμόσει μια συστηματική διαδικασία ΕΑΠΔ που:
        o να πληροί τα κριτήρια του Παραρτήματος 2·
        o να είναι ενσωματωμένη στις υφιστάμενες διαδικασίες σχεδιασμού, ανάπτυξης, μεταβολής και επανεξέτασης κινδύνων και λειτουργίας σύμφωνα με τις εσωτερικές διαδικασίες, το πλαίσιο και τη νοοτροπία·
        o να περιλαμβάνει τα ενδεδειγμένα ενδιαφερόμενα μέρη και να ορίζει σαφώς τις αρμοδιότητές τους (υπεύθυνος επεξεργασίας, ΥΠΔ, υποκείμενα δεδομένων ή οι εκπρόσωποί τους, επιχειρηματικές δραστηριότητες, τεχνική εξυπηρέτηση, εκτελούντες την επεξεργασία, υπεύθυνοι ασφαλείας πληροφοριών κ.ο.κ.)·
    · εφόσον απαιτείται, να υποβάλει την έκθεση της ΕΑΠΔ στον Επίτροπο·
    · να ζητεί τη γνώμη του Επιτρόπου σε περίπτωση που δεν έχουν κατορθώσει να καθορίσουν επαρκή μέτρα για τον μετριασμό του υψηλού κινδύνου·
    · να επανεξετάζει σε περιοδική βάση την ΕΑΠΔ και την επεξεργασία που αξιολογεί, τουλάχιστον όταν έχει μεταβληθεί ο κίνδυνος που θέτει η πράξη επεξεργασίας·
    · να τεκμηριώνει τις αποφάσεις που λήφθηκαν.

Ενδεικτικές ερωτήσεις κατά τη διαδικασία διενέργειας ΕΑΠΔ

1. Περιγραφή της πράξης επεξεργασίας: περιστασιακή ή συνεχιζόμενη;

2. Σε ποια τμήματα του οργανισμού, συστήματα και υποδομή της πληροφορικής αφορά η ΕΑΠΔ;

3. Ποιο σκοπό εξυπηρετεί η πράξη επεξεργασίας;

4. Ποιο είναι το έννομο συμφέρον που επιδιώκει ο υπεύθυνος επεξεργασίας;

5. Ποια θα είναι τα οφέλη για τον υπεύθυνο επεξεργασίας, τα υποκείμενα των δεδομένων και ενδεχομένως τρίτους, από την προβλεπόμενη πράξη επεξεργασίας;

6. Ποια είναι τα είδη των προσωπικών δεδομένων που θα τυγχάνουν επεξεργασίας; Να αναφερθούν επακριβώς οι ειδικές κατηγορίες προσωπικών δεδομένων και αν θα τυγχάνουν επεξεργασίας προσωπικά δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα

7. Ποιες κατηγορίες φυσικών προσώπων επηρεάζονται;

8. Ποιες είναι οι πηγές συλλογής των προσωπικών δεδομένων;

9.1. Έχει καθοριστεί χρονικό διάστημα διατήρησης των προσωπικών δεδομένων;

9.2. Ποιο είναι αυτό;

9.3. Με ποιο τρόπο γίνεται η διαγραφή των δεδομένων; π.χ. αυτόματα

10.1. Είναι σύμφωνη η προβλεπόμενη πράξη επεξεργασίας με τις βασικές αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων; (άρθρο 5 του Κανονισμού)

10.2. Με ποιο τρόπο η προβλεπόμενη πράξη επεξεργασίας είναι αναγκαία και ανάλογη του σκοπού που επιδιώκεται;

11. Ποια είναι η νομική βάση της προβλεπόμενης πράξης επεξεργασίας (άρθρα 6 και 9 του Κανονισμού)

12.1. Θα κοινοποιούνται/ανακοινώνονται προσωπικά δεδομένα εκτός του οργανισμού; Ποιοι θα είναι οι αποδέκτες και για πιο σκοπό θα γίνεται η κοινοποίηση/ανακοίνωση;

12.2. Ποια είναι η νομική βάση της εν λόγω κοινοποίησης/ανακοίνωσης (άρθρα 6 και 9 του Κανονισμού)

13. Ποια είναι τα υφιστάμενα τεχνικά και οργανωτικά μέτρα ασφάλειας που εφαρμόζονται με σκοπό την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων ; Να περιγραφούν αναλυτικά.

14. Αυτά τα μέτρα αναθεωρούνται τακτικά για να λαμβάνουν υπόψη τις νέες τεχνολογικές εξελίξεις;

15. Έχουν εντοπιστεί οι κίνδυνοι ασφαλείας ή οι πιθανές επιπτώσεις στην προστασία προσωπικών δεδομένων (κίνδυνοι για τα δικαιώματα και τις ελευθερίες των επηρεαζόμενων προσώπων );

16. Τα υφιστάμενα συστήματα πληροφορικής παρέχουν προστασία από τους κινδύνους ασφαλείας που έχουν εντοπιστεί;

16.1. Αν η απάντηση είναι θετική, να στοιχειοθετηθεί πως τα υφιστάμενα συστήματα παρέχουν ικανοποιητική προστασία των κινδύνων ασφάλειας.

16.2. Αν η απάντηση είναι αρνητική, ποια μέτρα προτίθεται να λάβει ο Οργανισμός για να διασφαλίσει τον μετριασμό των εν λόγω κινδύνων;

17. Ποια είναι τα άτομα/τμήματα που θα αναλάβουν τη διαχείριση και τον έλεγχο της σωστής επιβολής των μέτρων και ποια είναι η καθορισμένη ημερομηνία ολοκλήρωσης των ενεργειών;

18. Με ποιο τρόπο διασφαλίζεται η ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων;

19. Σε περίπτωση αυτοματοποιημένης λήψης απόφασης (π.χ. κατάρτιση προφίλ), ποια είναι η λογική, η σημασία και οι επιπτώσεις τέτοιας επεξεργασίας στα υποκείμενα των δεδομένων;

20.1. Θα διαβιβάζονται προσωπικά δεδομένα φυσικών προσώπων σε τρίτες χώρες;

20.2. Εάν πρόκειται να διαβιβαστούν προσωπικά δεδομένα σε τρίτες χώρες, ποια είναι η νομική βάση για τη διαβίβαση (άρθρα 45 έως 49 του ΓΚΠΔ);

21. Έχει συναφθεί συμφωνία με άλλο υπεύθυνο επεξεργασίας σε περίπτωση που καθορίζονται από κοινού τους σκοπούς και τα μέσα της επεξεργασίας;

22.1. Σε περίπτωση που έχει ανατεθεί η επεξεργασία ή μέρος αυτής σε εκτελούντα την επεξεργασία, η ανάθεση έχει γίνει με γραπτή σύμβαση;

22.2. Η εν λόγω γραπτή σύμβαση δεσμεύει τον εκτελούντα με τις υποχρεώσεις του που απορρέουν από το άρθρο 28(3) του Κανονισμού;

23. Έχουν εντοπιστεί κάποιοι κινδύνοι ασφάλειας και/ή για τα δικαιώματα και τις ελευθερίες των επηρεαζόμενων προσώπων που δεν κατέστη δυνατό να μετριαστούν με την εφαρμογή των υφιστάμενων μέτρων και/ή μετά τη λήψη επιπρόσθετων;

24. Ποια είναι τα άτομα που εμπλάκηκαν στη διενέργεια της ΕΑΠΔ και ποια η θέση τους;

Για περισσότερες λεπτομέρειες, βλέπετε τις κατευθυντήριες γραμμές για την εκτίμηση αντικτύπου της 4ης Οκτωβρίου 2017.





Κατεβάστε το αρχείο τύπου Acrobat Καθοδηγητικές γραμμές για την εκτίμηση αντικτύπου el.pdf

Κατεβάστε το αρχείο τύπου Acrobat Ενδεικτικός κατάλογος ΕΑΠΔ.pdf


Back To Top