Ποια η χρησιμότητα Εκτίμησης Αντικτύπους για την επιχείρηση σας;
Η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data protection impact assessment – DPIA), που βαρύνει πλέον αποκλειστικά τον υπεύθυνο επεξεργασίας με βάσει τις διατάξεις του ΓΚΠΔ, είναι, ταυτόχρονα, ως ένα σημαντικό μέτρο προστασίας των υποκειμένων των δεδομένων από «υψηλούς κινδύνους» και ως ένα εξίσου σημαντικό μέτρο συμμόρφωσης των υπεύθυνων επεξεργασίας προς τις διατάξεις του ΓΚΠΔ. για να αποφευχθούν τυχόν κυρώσεις του GDPR.
Ο υπεύθυνος επεξεργασίας μόνο υποχρεούται να προβεί στη διενέργεια εκτίμησης αντικτύπου, πριν από την επεξεργασία, κάθε φορά που μία επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Είναι δυνατό η διενέργεια εκτίμησης αντικτύπου να μην αφορά μεμονωμένη επεξεργασία, αλλά ένα σύνολο πράξεων επεξεργασίας, εφόσον αυτές είναι παρόμοιες και ενέχουν παρόμοιους υψηλούς κινδύνους για τα ενδιαφερόμενα υποκείμενα.
Ο ΓΚΠΔ, εξειδικεύοντας την έννοια των επεξεργασιών που μπορεί να επιφέρουν υψηλούς κινδύνους καθιστά κατά τρόπο ενδεικτικό τη διενέργεια εκτίμησης αντικτύπου υποχρεωτική σε τρεις περιπτώσεις επεξεργασιών:
- της συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών των υποκειμένων, που βασίζεται σε αυτοματοποιημένη επεξεργασία και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα για τα υποκείμενα αυτά ή τα επηρεάζουν σε σημαντικό βαθμό,
- της μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα,
- της συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα
Σε αυτό το σημείο είναι σημαντικό να τονίσουμε πως κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων (DPO) λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
Ο υπεύθυνος επεξεργασίας μπορεί κατά την διενέργεια εκτίμησης αντικτύπου να ζητήσει από τον Υπεύθυνο Προστασίας δεδομένων συμβουλές όσο αφορά τον τρόπο που θα πραγματοποιηθεί η εκτίμηση. Ο Υπεύθυνος Προστασίας δεδομένων δεν συμμετέχει στη διαδικασία και στην αξιολόγηση όμως μπορεί να συμβουλεύσει τον υπεύθυνο επεξεργασίας πριν την επεξεργασία των δεδομένων.