ΕΚΤΙΜΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΣΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Πρόλογος IX Πρόλογος Σε ένα διαρκώς μεταβαλλόμενο ψηφιακό περιβάλλον λόγω της χρήσης νέων και αναδυόμενων τεχνολογιών, ο σύγχρονος νομοθέτης κλήθηκε να ανταποκριθεί θε- σμικά στους κινδύνους που απειλούν τα δικαιώματα και τις ελευθερίες των φυσι- κών προσώπων και να καταλήξει σε ρυθμιστική εξισορρόπηση του δικαιώματος στα προσωπικά δεδομένα με άλλα ανθρώπινα δικαιώματα. Η Εκτίμηση Αντικτύ- που που εισήγαγε ο Γενικός Κανονισμός Προστασίας ∆εδομένων 2016/679, επα- ναοριοθέτησε την πρόβλεψη, την ανίχνευση και την αντιμετώπιση των κινδύνων αυτών, με την εφαρμογή της αρχής της αναλογικότητας, τόσο σε τεχνικό όσο και σε νομικό πλαίσιο. Η Εκτίμηση Αντικτύπου, όπως εύστοχα επισημαίνει η Ομάδα Εργασίας του άρθρου 29 (WP 248), αποτελεί «μια διαδικασία εμπέδωσης και από- δειξης της συμμόρφωσης» για τον υπεύθυνο επεξεργασίας καθώς «έχει σχεδι- αστεί για να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και την αναλογικότητά της και να συνδράμει στη διαχείριση των κινδύνων για τα δι- καιώματα και τις ελευθερίες των φυσικών προσώπων που συνεπάγεται η επε- ξεργασία των δεδομένων προσωπικού χαρακτήρα, με την αξιολόγησή τους και τον καθορισμό μέτρων για την αντιμετώπισή τους». Σταθμίζοντας τα είδη των κινδύνων που απειλούν τα δικαιώματα και τις ελευθε- ρίες των φυσικών προσώπων, ο Γενικός Κανονισμός επιχειρεί μια κινδυνοκεντρι- κή (risk based) προσέγγιση για την αναγκαιότητα διενέργειας Εκτίμησης Αντικτύ- που. Η προσέγγιση αυτή καταλαμβάνει τη συστηματική και εκτενή αξιολόγηση προσωπικών πτυχών των φυσικών προσώπων, την αυτοματοποιημένη επεξεργα- σία των δεδομένων που τα αφορούν, περιλαμβανομένης της κατάρτισης προφίλ, τη μεγάλης κλίμακας επεξεργασία των ειδικών κατηγοριών δεδομένων ή δεδο- μένων που αφορούν ποινικές καταδίκες και αδικήματα, καθώς και τη συστηματι- κή παρακολούθηση δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα. ∆εν είναι ωστόσο πάντοτε σαφές κατά πόσον απαιτείται η διενέργεια Εκτίμησης Αντικτύπου, δεδομένου ότι η τεχνολογία αναπτύσσεται στο δικό της «μαύρο κου- τί», με βάση τη δική της ειδική λογική και τους δικούς της κανόνες και ως εκ τού- του η αξιολόγηση του κινδύνου εναπόκειται στην κρίση του εκάστοτε υπευθύνου επεξεργασίας. Πάντως, και στην περίπτωση που δεν είναι σαφές αν επιβάλλεται η διενέργεια εκτίμησης αντικτύπου, η Ομάδα Εργασίας του άρθρου 29 συνιστά αυτή να διενεργείται, καθώς σε κάθε περίπτωση αποτελεί χρήσιμο εργαλείο για τους υπεύθυνους επεξεργασίας προκειμένου να συμμορφώνονται με τη νομοθε- σία για την προστασία των προσωπικών δεδομένων.