ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

X Πρόλογος Τα κίνητρα για τη διενέργεια Εκτίμησης Αντικτύπου δεν περιορίζονται ή δεν θα έπρεπε να περιορίζονται στην απόδειξη συμμόρφωσης του υπευθύνου επεξερ- γασίας με τις απαιτήσεις του Γενικού Κανονισμού και στην αποφυγή των προβλε- πόμενων κυρώσεων. Χωρίς αμφιβολία, με τη διενέργεια Εκτίμησης Αντικτύπου τα οφέλη για τον υπεύθυνο επεξεργασίας είναι πολλαπλά, καθώς λαμβάνονται προληπτικά τα απαιτούμενα οργανωτικά και τεχνικά μέτρα, χαρτογραφούνται υποχρεωτικά τα αρχεία των διαδικασιών επεξεργασίας, εξοικονομούνται πολύτι- μοι πόροι, ελαχιστοποιούνται οι κίνδυνοι που σχετίζονται με την προστασία των προσωπικών δεδομένων και αυξάνεται η ευαισθητοποίηση του απασχολούμενου προσωπικού σε θέματα ασφάλειας και προστασίας προσωπικών δεδομένων. Το παρόν έργο, βασισμένο στη μεθοδολογία/μηχανισμό της Γαλλικής Αρχής Προ- στασίας Προσωπικών ∆εδομένων (CNIL), αποτελεί την πρώτη συστηματική προ- σπάθεια καταγραφής και ανάλυσης των δύο πυλώνων, στους οποίους βασίζεται κάθε μελέτη εκτίμησης αντικτύπου, σύμφωνα με την CNIL. Οι πυλώνες αυτοί είναι αφενός η εκτίμηση κατά πόσον η επεξεργασία συνάδει με τις νομικές απαιτήσεις και τον σεβασμό των δικαιωμάτων του υποκειμένου των δεδομένων, αφετέρου ο εντοπισμός, η διαβάθμιση και η διαχείριση των κινδύνων που συνεπάγεται η επε- ξεργασία για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Το βιβλίο χωρίζεται σε δύο μέρη. Στο πρώτο μέρος, αναλύονται οι νομικές απαι- τήσεις που προβλέπει ο Γενικός Κανονισμός για τον υπεύθυνο επεξεργασίας προ- σωπικών δεδομένων, εισάγοντας τον αναγνώστη σε βασικές γνώσεις, όπως στις βασικές έννοιες για τα προσωπικά δεδομένα, τις γενικές αρχές επεξεργασίας προσωπικών δεδομένων, τους σκοπούς και τις νομικές βάσεις για τη νομιμότη- τα της επεξεργασίας, την έννοια της συγκατάθεσης, τα δικαιώματα του υποκει- μένου των δεδομένων και τους τρόπους άσκησής τους, την προστασία των δε- δομένων ήδη από τον σχεδιασμό και εξ ορισμού, την υποχρέωση διαβούλευσης του υπευθύνου επεξεργασίας με τις αρμόδιες εποπτικές αρχές, όπου αυτό απαι- τείται, τις σχέσεις με τους εκτελούντες την επεξεργασία και με τρίτους, την πο- λιτική διαχείρισης της αυτορρύθμισης που πρέπει να ακολουθείται – μεταξύ άλ- λων – για τις διασυνοριακές διαβιβάσεις προσωπικών δεδομένων. Ενδιαφέρον παρουσιάζει το γεγονός ότι όλα τα παραπάνω εξετάζονται και για την περίπτωση που υπεύθυνος επεξεργασίας είναι οι αρμόδιες αρχές επιβολής του νόμου, σύμ- φωνα με τα όσα προβλέπονται στην Οδηγία 2016/680. Στο δεύτερο μέρος του βιβλίου, εξετάζεται η Εκτίμηση Αντικτύπου σε επίπεδο εντοπισμού και διαχείρισης των κινδύνων για τα προσωπικά δεδομένα. Ειδικό- τερα, αναλύονται οι πηγές κινδύνου που προκύπτουν κατά την επεξεργασία δε- δομένων και προτείνονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αντιμετώπισή τους. Τα μέτρα αφορούν αφενός τον έλεγχο της φυσικής και της λογικής πρόσβασης στα δεδομένα που χρήζουν προστασίας και αφετέρου την