Αριθμ. απόφ. 65/2018
(ΦΕΚ Β' 1622/10.05.2019)
Η ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Έχοντας υπόψη:
1. Σύμφωνα με το άρθρο 35 παρ. 1 του ΓΚΠΔ:
«Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους».
2. Σύμφωνα με το άρθρο 35 παρ. 3 του ΓΚΠΔ, η ΕΑΠΔ απαιτείται ιδίως στις ακόλουθες περιπτώσεις:
«(...) α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,
β) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή
γ) συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα (...)».
3. Για την παροχή συνεκτικής ερμηνείας των πράξεων επεξεργασίας στις οποίες απαιτείται η διενέργεια ΕΑΠΔ λόγω του υψηλού κινδύνου που ενέχουν, η Ομάδα Εργασίας του άρθρου 29 εξέδωσε τις «Κατευθυντήριες γραμμές για την εκτίμηση του αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία "ενδέχεται να επιφέρει υψηλό κίνδυνο" για τους σκοπούς του κανονισμού 2016/679» (WP248)1, τις οποίες ενέκρινε το ΕΣΠΔ κατά την πρώτη ολομέλειά του. Οι κατευθυντήριες αυτές γραμμές αποσκοπούν πρωτίστως στην αποσαφήνιση της έννοιας του υψηλού κινδύνου και θέτουν τα κριτήρια για την κατάρτιση των καταλόγων που θα εγκριθούν από τις Αρχές Προστασίας Δεδομένων βάσει του άρθρου 35 παρ. 4 του ΓΚΠΔ. Επίσης, σκοπός του ως άνω κειμένου είναι η διευκόλυνση του έργου του ΕΠΣΔ και η διευκόλυνση των υπευθύνων επεξεργασίας που έχουν την υποχρέωση να διενεργήσουν εκτίμηση αντίκτυπου.
4. Σύμφωνα με τα άρθρα 35 παρ. 4 και παρ. 6 του ΓΚΠΔ:
«(παρ. 4) Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντίκτυπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Αεδομένων που αναφέρεται στο άρθρο 68».
«(παρ. 6) Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση».
5. Σύμφωνα με το άρθρο 64 παρ. 1, 3, 6, 7 και 8 του ΓΚΠΔ:
«(παρ. 1) Το Συμβούλιο εκδίδει γνώμη όποτε μια αρμόδια εποπτική αρχή προτίθεται να θεσπίσει οποιοδήποτε από τα κατωτέρω μέτρα. Για τον σκοπό αυτό, η αρμόδια εποπτική αρχή ανακοινώνει το σχέδιο απόφασης στο Συμβούλιο, όταν: α) αποσκοπεί στην έγκριση καταλόγου πράξεων επεξεργασίας που υπόκεινται στην απαίτηση η για διενέργεια εκτίμησης αντίκτυπου σχετικά με την προστασία των δεδομένων δυνάμει του άρθρου 35 παράγραφος 4 (...)».
«(παρ. 3) Στις περιπτώσεις που αναφέρονται στις παραγράφους 1 και 2, το Συμβούλιο Προστασίας Δεδομένων εκδίδει γνώμη σχετικά με το αντικείμενο που του υποβάλλεται, εφόσον δεν έχει ήδη εκδώσει γνώμη επί του ίδιου θέματος. Η γνώμη αυτή εκδίδεται εντός προθεσμίας οκτώ εβδομάδων με απλή πλειοψηφία των μελών του Συμβουλίου Προστασίας Δεδομένων. Η προθεσμία αυτή μπορεί να παραταθεί κατά έξι ακόμα εβδομάδες, λαμβάνοντας υπόψη την πολυπλοκότητα του θέματος(...)».
«(παρ. 6) Η αρμόδια εποπτική αρχή δεν εγκρίνει το σχέδιο απόφασης που αναφέρεται στην παράγραφο 1 εντός της προθεσμίας που αναφέρεται στην παράγραφο 3». «(παρ. 7) Η εποπτική αρχή που αναφέρεται στην παράγραφο 1 λαμβάνει ιδιαιτέρως υπόψη τη γνώμη του Συμβουλίου Προστασίας Δεδομένων και, εντός δύο εβδομάδων από την παραλαβή της γνώμης, ανακοινώνει στον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων με ηλεκτρονικά μέσα κατά πόσο θα διατηρήσει ή θα τροποποιήσει το σχέδιο απόφασης και, εφόσον συντρέχει περίπτωση, το τροποποιημένο σχέδιο απόφασης, χρησιμοποιώντας τυποποιημένο μορφότυπο».
«(παρ. 8) Όταν η ενδιαφερόμενη εποπτική αρχή ενημερώνει τον Πρόεδρο του Συμβουλίου Προστασίας Δεδομένων, εντός της προθεσμίας που αναφέρεται στην παράγραφο 7 του παρόντος άρθρου, ότι δεν προτίθεται να ακολουθήσει τη γνώμη του Συμβουλίου Προστασίας Δεδομένων, στο σύνολο της ή εν μέρει, παρέχοντας τη σχετική αιτιολογία, εφαρμόζεται το άρθρο 65 παράγραφος 1».
6. Σύμφωνα με τις συστάσεις που περιλαμβάνονται στην γνώμη 7/2018, το ΕΣΠΔ ζητά από την Αρχή να τροποποιήσει το σχέδιο καταλόγου ΕΑΠΔ, ως ακολούθως:
a. Σχετικά με την αναφορά στις κατευθυντήριες γραμμές WP248: να προσθέσει ότι το σχέδιο καταλόγου βασίζεται στις κατευθυντήριες γραμμές WP248 για την εκτίμηση αντίκτυπου, τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω.
b. Σχετικά με την έννοια της μεγάλης κλίμακας: να διαγράψει τα ποσοτικά κριτήρια και να προσθέσει αναφορά στους ορισμούς της μεγάλης κλίμακας όπως παρατίθενται στις κατευθυντήριες γραμμές για τον Υπεύθυνο Προστασίας Δεδομένων (WP243) και την εκτίμηση αντίκτυπου (WP248).
c. Σχετικά με την επεξεργασία δεδομένων η οποία διεξάγεται με τη χρήση εμφυτεύματος: να ορίσει ότι μόνο η επεξεργασία δεδομένων υγείας με τη χρήση εμφυτεύματος υπόκειται στην απαίτηση διενέργειας εκτίμησης αντίκτυπου.
7. Ενόψει των ανωτέρω, η Αρχή, αφού έλαβε υπόψη και εξέτασε τις ανωτέρω συστάσεις, κρίνει ομόφωνα ότι η γνώμη 7/2018 του ΕΣΠΔ πρέπει να γίνει δεκτή, να επέλθουν οι αναγκαίες μεταβολές στο σχέδιο του καταλόγου που είχε υποβάλει αρχικά στο ΕΣΠΔ και να ανακοινώσει τον τροποποιημένο κατάλογο στο ΕΣΠΔ.
8. Για το σκοπό αυτό α) προστίθεται αναφορά ότι ο κατάλογος ΕΑΠΔ βασίζεται στις κατευθυντήριες γραμμές WP248, τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω, β) αφαιρούνται τα ποσοτικά κριτήρια που είχαν περιληφθεί στο αρχικό σχέδιο καταλόγου για τον ορισμό της μεγάλης κλίμακας επεξεργασίας και προστίθεται αναφορά στους σχετικούς ορισμούς των κατευθυντήριων γραμμών WP243 και WP248 και γ) αναμορφώνεται το σημείο 2.2.5 του καταλόγου με αφαίρεση της πρόβλεψης για τη χρήση εμφυτευμάτων δεδομένου ότι η επεξεργασία δεδομένων υγείας με τη χρήση εμφυτευμάτων καλύπτεται από το σημείο 2.1 και σε συνδυασμό με το σημείο 3.1.,
9. Σύμφωνα με τις διατάξεις του άρθρου 19 παρ. 8 του ν. 2472/1997 (ΦΕΚ 50/Α΄/1997) «προστασία του ατόμου από επεξεργασία δεδομένων προσωπικού χαρακτήρα, οι κανονικές πράξεις της Αρχής δημοσιέυονται στην Εφημερίδα της Κυβερνήσεως.
10. Από τις διατάξεις της παρούσας απόφασης δεν προκαλείται δαπάνη σε βάρος του κρατικού προϋπολοογισμού, αποφασίζει ομόφωνα, την τροποποίηση του σχεδίου καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση διενέργειας εκτίμησης αντίκτυπου βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωση του τροποποιημένου καταλόγου στο ΕΣΠΔ. Κατόπιν τούτου, ο τροποποιημένος κατάλογος διαμορφώνεται ως ακολούθως:
Κατάλογος με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντίκτυπου σχετικά με την προστασία δεδομένων σύμφωνα με το άρθρο 35 παρ. 4 του ΓΚΠΔ
Νομική βάση
Σύμφωνα με το άρθρο 35 παρ. 4 του ΓΚΠΔ, η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) δυνάμει της παρ. 1 και ανακοινώνει τον κατάλογο αυτό στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ).
Εάν ο κατάλογος αυτός περιλαμβάνει δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάσουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων στην Ένωση, εφαρμόζεται ο μηχανισμός συνεκτικότητας που αναφέρεται στο άρθρο 63.
Πλαίσιο
Η διενέργεια ΕΑΠΔ απαιτείται όταν ένα είδος επεξεργασίας, ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (άρθρο 35 παρ. 1 του ΓΚΠΔ). Ενδεικτικές περιπτώσεις στις οποίες απαιτείται διενέργεια ΕΑΠΔ παρατίθενται στο άρθρο 35 παρ. 3 του ΓΚΠΔ.
Για την παροχή πιο συνεκτικού συνόλου πράξεων επεξεργασίας που απαιτούν τη διενέργεια ΕΑΠΔ λόγω του υψηλού κινδύνου που ενέχουν, η Ομάδα Εργασίας του άρθρου 29 εξέδωσε τις κατευθυντήριες γραμμές με τίτλο «Κατευθυντήριες γραμμές για την εκτίμηση του αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία "ενδέχεται να επιφέρει υψηλό κίνδυνο" για τους σκοπούς του κανονισμού 2016/679» (WP248 rev.01). Οι παραπάνω κατευθυντήριες γραμμές ορίζουν εννέα κριτήρια τα οποία πρέπει να χρησιμοποιούν οι υπεύθυνοι επεξεργασίας για να καθορίσουν κατά πόσον πρέπει να διενεργηθεί ή όχι ΕΑΠΔ.
Ορισμός της μεγάλης κλίμακας
Κατά τον προσδιορισμό του κατά πόσον η επεξεργασία τελείται σε μεγάλη κλίμακα συνιστάται να λαμβάνονται συγκεκριμένα υπόψη οι ακόλουθες παράμετροι βάσει των προαναφερθεισων κατευθυντήριων γραμμών WP248 καθώς και των κατευθυντήριων γραμμών με τίτλο «Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων» (WP243):
α. ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του συναφούς πληθυσμού·
β. ο όγκος των δεδομένων και/ή το εύρος των διαφόρων στοιχείων δεδομένων που υποβάλλονται σε επεξεργασία·
γ. η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων·
δ. το γεωγραφικό εύρος της δραστηριότητας επεξεργασίας.
Πράξεις επεξεργασίας που υπόκεινται σε απαίτηση ΕΑΠΔ
Ο παρών κατάλογος ομαδοποιεί και εξειδικεύει περαιτέρω τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ με παράθεση και ενδεικτικών παραδειγμάτων. Ο εν λόγω κατάλογος δεν είναι εξαντλητικός και δεν αίρεται ούτε μεταβάλλεται η υποχρέωση να διενεργείται ΕΑΠΔ σε κάθε περίπτωση συνδρομής των προϋποθέσεων του άρθρου 35 παρ. 1 του ΓΚΠΔ. Ο εν λόγω κατάλογος βασίζεται στο άρθρο 35 του ΓΚΠΔ και ιδίως στις παρ. 1 και 3 αυτού καθώς και στις κατευθυντήριες γραμμές για την εκτίμηση αντίκτυπου (WP248), τις οποίες συμπληρώνει και εξειδικεύει περαιτέρω.
Τα κριτήρια για την διενέργεια ΕΑΠΔ ομαδοποιούνται στις παρακάτω τρεις κατηγορίες:
1η κατηγορία: με βάση τα είδη και τους σκοπούς επεξεργασίας.
2η κατηγορία: με βάση το είδος των δεδομένων και/ή τις κατηγορίες των υποκειμένων.
3η κατηγορία: με βάση τα πρόσθετα χαρακτηριστικά και/ή τα χρησιμοποιούμενα μέσα της επεξεργασίας.
Η διενέργεια ΕΑΠΔ κρίνεται υποχρεωτική όταν πληρούται τουλάχιστον ένα από τα κριτήρια της 1ης ή της 2ης κατηγορίας. Είναι επίσης υποχρεωτική όταν συντρέχει ένα τουλάχιστον κριτήριο ως προς την 3η κατηγορία και η επεξεργασία αφορά είδη και σκοπούς επεξεργασίας της 1ης κατηγορίας, ή/και είδη δεδομένων ή/και κατηγορίες υποκειμένων της 2ης κατηγορίας.
1η κατηγορία: είδη και σκοποί της επεξεργασίας
1.1 Συστηματική αξιολόγηση, βαθμολόγηση, πρόβλεψη, πρόγνωση και κατάρτιση προφίλ, ιδίως πτυχών που αφορούν την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις ή ενδιαφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή τις κινήσεις ή την πιστοληπτική ικανότητα των υποκειμένων των δεδομένων.
Σχετικά παραδείγματα είναι η περίπτωση, κατά την οποία χρηματοπιστωτικό ίδρυμα ελέγχει τους πελάτες του με βάση δεδομένα πιστοληπτικής ικανότητας ή δεδομένα για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες και της χρηματοδότησης της τρομοκρατίας ή δεδομένα για εγκλήματα απάτης, ή η περίπτωση, κατά την οποία εταιρεία βιοτεχνολογίας παρέχει απευθείας στους καταναλωτές γενετικές δοκιμές για να εκτιμήσει και να προβλέψει τους κινδύνους νόσου/υγείας.
1.2 Συστηματική επεξεργασία δεδομένων που αποσκοπεί στη λήψη αυτοματοποιημένων αποφάσεων, οι οποίες παράγουν έννομα αποτελέσματα σχετικά με τα υποκείμενα των δεδομένων ή επηρεάζουν σημαντικά τα υποκείμενα των δεδομένων κατά ανάλογο τρόπο και μπορούν να οδηγήσουν σε αποκλεισμό ή διακρίσεις σε βάρος του φυσικού προσώπου.
Σχετικά παραδείγματα είναι η αυτόματη άρνηση επιγραμμικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση (αιτ. 71 του ΓΚΠΔ) ή η αυτόματη άρνηση ασφαλιστικής παροχής.
1.3 Συστηματική επεξεργασία δεδομένων που ενδέχεται να εμποδίζει το υποκείμενο να ασκήσει τα δικαιώματα του ή να χρησιμοποιήσει μια υπηρεσία ή σύμβαση, ιδίως όταν λαμβάνονται υπόψη δεδομένα που συλλέγονται από τρίτους.
Σχετικά παραδείγματα είναι η περίπτωση, κατά την οποία τράπεζα ελέγχει τους πελάτες της χρησιμοποιώντας μια βάση δεδομένων πιστοληπτικής ικανότητας για να αποφασίσει αν θα τους χορηγήσει δάνειο ή όχι, η καταχώρηση του υποκειμένου σε «μαύρη» λίστα, όπως η λίστα των παροχών κινητής τηλεφωνίας (τηλέγνους), η καταχώριση του υποκειμένου σε whistleblowing συστήματα.
1.4 Συστηματική επεξεργασία δεδομένων που αφορά την κατάρτιση προφίλ για το σκοπό της προώθησης προϊόντων και υπηρεσιών εφόσον τα δεδομένα συνδυάζονται με δεδομένα που συλλέγονται από τρίτους.
1.5 Συστηματική και σε μεγάλη κλίμακα επεξεργασία για την παρακολούθηση, την παρατήρηση ή τον έλεγχο των φυσικών προσώπων με χρήση δεδομένων που συλλέγονται μέσω συστημάτων βιντεοεπιτήρησης ή μέσω δικτύων ή με οποιοδήποτε άλλο μέσο σε δημόσιο χώρο, δημοσίως προσβάσιμο χώρο ή ιδιωτικό χώρο προσιτό σε απεριόριστο αριθμό προσώπων. Περιλαμβάνει την παρακολούθηση των κινήσεων ή της τοποθεσίας/γεωγραφικής θέσης σε πραγματικό ή μη χρόνο ταυτοποιημένων ή ταυτοποιήσιμων φυσικών προσώπων.
Σχετικά παραδείγματα είναι η χρήση καμερών σε εμπορικό κέντρο ή σε σταθμούς μέσων μαζικής μεταφοράς, ή η επεξεργασία δεδομένων θέσης των επιβατών σε αεροδρόμιο ή σε μέσα μαζικής μεταφοράς. Επίσης, η παρακολούθηση μέσω wi-fi συστημάτων (wi-fi tracking) επισκεπτών σε εμπορικά κέντρα ή επεξεργασία δεδομένων μέσω drones.
1.6 Μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία και τη δημόσια υγεία για σκοπούς δημοσίου συμφέροντος, όπως η εισαγωγή και χρήση συστημάτων ηλεκτρονικής συνταγογράφησης και η εισαγωγή και χρήση ηλεκτρονικού φακέλου ή ηλεκτρονικής κάρτας υγείας.
1.7 Μεγάλης κλίμακας συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την εισαγωγή, οργάνωση, παροχή και έλεγχο της χρήσης υπηρεσιών ηλεκτρονικής διακυβέρνησης, όπως ορίζονται στο άρθρο 3 του ν. 3979/2011 όπως ισχύει.
2η κατηγορία: είδος δεδομένων ή/και κατηγορίες υποκειμένων
2.1 Μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων (περιλαμβανομένων των γενετικών και των βιομετρικών με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου) που αναφέρονται στο άρθρο 9 παρ. 1 και των δεδομένων που αναφέρονται στο άρθρο 10 του ΓΚΠΔ.
2.2 Συστηματική και σε μεγάλη κλίμακα επεξεργασία δεδομένων ιδιαίτερης σημασίας ή εξαιρετικού χαρακτήρα όπως
2.2.1 δεδομένα κοινωνικής πρόνοιας (δεδομένα σχετικά με τη φτώχεια, την ανεργία, την κοινωνική εργασία κ.λπ.),
2.2.2 δεδομένα ηλεκτρονικών επικοινωνιών, περιλαμβανομένων των δεδομένων περιεχομένου όπως του ηλεκτρονικού ταχυδρομείου, μεταδεδομένων και των δεδομένων γεωγραφικής θέσης/τοποθεσίας, με εξαίρεση την καταγραφή τηλεφωνικών συνδιαλέξεων σύμφωνα με το άρθρο 4 παρ. 3 του ν. 3471/2006,
2.2.3 δεδομένα που αφορούν εθνικό αριθμό ταυτότητας ή άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής ή αλλαγή των προϋποθέσεων και όρων επεξεργασίας και χρήσης αυτών και των συναφών με αυτά δεδομένων προσωπικού χαρακτήρα,
2.2.4 δεδομένα που περιλαμβάνονται σε προσωπικά έγγραφα, ημερολόγια, σημειώσεις από ηλεκτρονικό αναγνώστη (e-reader) και σε εφαρμογές καταγραφής βίου (life logging), που προσφέρουν δυνατότητες τήρησης σημειώσεων και πολύ προσωπικών πληροφοριών,
2.2.5 δεδομένα που συλλέγονται ή παράγονται από συσκευές (όπως αυτές με αισθητήρες) ιδίως μέσω των εφαρμογών του ’διαδικτύου των πραγμάτων ΙοΤ’(όπως έξυπνες τηλεοράσεις, έξυπνες οικιακές συσκευές, συνδεδεμένα παιχνίδια, έξυπνες πόλεις, έξυπνοι μετρητές ενέργειας κλπ) και/ή με τη χρήση άλλων μέσων.
2.3 Συστηματική παρακολούθηση εφόσον είναι επιτρεπτή της θέσης/τοποθεσίας καθώς και του περιεχομένου και των μεταδεδομένων των επικοινωνιών των εργαζομένων με εξαίρεση τα αρχεία καταγραφής για λόγους ασφάλειας εφόσον η επεξεργασία περιορίζεται στα απολύτως απαραίτητα δεδομένα και είναι ειδικά τεκμηριωμένη. Σχετικό παράδειγμα που εμπίπτει στην υποχρέωση διενέργειας ΕΑΠΔ αποτελεί η χρήση συστημάτων DLP.
Συστηματική επεξεργασία βιομετρικών δεδομένων των εργαζομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου καθώς και γενετικών δεδομένων των εργαζομένων.
3η κατηγορία: πρόσθετα χαρακτηριστικά ή/και χρησιμοποιούμενα μέσα της επεξεργασίας
3.1 Καινοτόμος χρήση ή εφαρμογή νέων τεχνολογιών ή οργανωτικών λύσεων, οι οποίες μπορεί να περιλαμβάνουν νέες μορφές συλλογής και χρήσης δεδομένων, με ενδεχόμενο υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων όπως η συνδυασμένη χρήση των δακτυλικών αποτυπωμάτων και η αναγνώριση προσώπου για βελτιωμένο φυσικό έλεγχο πρόσβασης, ή εφαρμογές mhealth ή άλλες «έξυπνες» εφαρμογές, από τις οποίες δημιουργείται προφίλ των χρηστών (π.χ. καθημερινές συνήθειες), ή εφαρμογές τεχνητής νοημοσύνης ή τεχνολογίες δημόσια προσπελάσιμων blockchain που περιλαμβάνουν προσωπικά δεδομένα.
3.2 Συνδυασμό και/ή συσχέτιση προσωπικών δεδομένων από πολλαπλές πηγές ή τρίτους, από δύο ή περισσότερες πράξεις επεξεργασίας που υλοποιούνται για διαφορετικούς σκοπούς ή/και από διαφορετικούς υπευθύνους επεξεργασίας με τρόπο που θα μπορούσε να υπερβαίνει τις εύλογες προσδοκίες του υποκειμένου των δεδομένων.
3.3 Σε περίπτωση που η επεξεργασία αφορά δεδομένα, τα οποία δεν έχουν συλλέγει από το υποκείμενο και η ενημέρωση των υποκειμένων σύμφωνα με το άρθρο 14 ΓΚΠΔ αποδεικνύεται αδύνατη ή θα προϋπέθετε δυσανάλογη προσπάθεια ή είναι πιθανό να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της επεξεργασίας.
Αναθεώρηση του καταλόγου
Ο ανωτέρω κατάλογος υπόκειται σε τακτική αναθεώρηση κάθε δύο έτη ή σε έκτακτη αναθεώρηση σε περίπτωση σημαντικών εξελίξεων σε τεχνολογικό επίπεδο ή στα επιχειρησιακά μοντέλα, καθώς και σε περίπτωση μεταβολής των σκοπών της επεξεργασίας εφόσον οι νέοι αυτοί σκοποί συνεπάγονται υψηλό κίνδυνο.
Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.
Αθήνα, 8 Απριλίου 2019
Ο Πρόεδρος
ΚΩΝΣΤΑΝΤΙΝΟΣ ΜΕΝΟΥΔΑΚΟΣ
______________
1 Οι κατευθυντήριες γραμμές WP248 είναι διαθέσιμες στην ηλεκτρονική διεύθυνση https://edpb.europa.eu/node/70 και http://ec.europa.eu/newsroom/article29/item-detail.cfm?item id=611236.
8 Apr, 2019