Η εκτίμηση αντικτύπου στο πλαίσιο της προστασίας δεδομένων προσωπικού χαρακτήρα

Abstract

Ραγδαία βήματα προόδου έχουν σημειωθεί έως σήμερα στην επιστήμη των πληροφοριών και της τεχνολογίας. Οι δυνατότητες του ατόμου μέσα από την ψηφιακή τεχνολογία είναι σχεδόν απεριόριστες. Οι σύγχρονες αυτές συνθήκες ωστόσο καθιστούν ανεξέλεγκτη τη ροή μεγάλου όγκου προσωπικών πληροφοριών και στοιχείων από και προς ιδιωτικές επιχειρήσεις και δημόσιους οργανισμούς και επιτακτική την ανάγκη για προστασία των φυσικών προσώπων από την παράνομη και σε βάρος των ατομικών τους δικαιωμάτων επεξεργασιών των δεδομένων προσωπικού τους χαρακτήρα. Στο πλαίσιο αυτό πολύτιμο εργαλείο προστασίας της ιδιωτικότητας αποτελεί η μελέτη εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων (DPIA) που στόχο έχει μέσα από την σε βάθος επισκόπηση των περιστάσεων που συντρέχουν σε μία συγκεκριμένη επιχείρηση, ιδιωτική ή δημόσια, να εκτιμήσει και προβλέψει, χρησιμοποιώντας αναλυτικές και ενδελεχείς διαδικασίες, τους πιθανούς κινδύνους και τη σοβαρότητα των επιπτώσεών τους, με πρωταρχικό στόχο την πρόβλεψη και τελικά εφαρμογή ειδικών για τις συγκεκριμένες περιστάσεις μέτρων-αντίμετρων. Στην εργασία που ακολουθεί προσεγγίζονται τα καίρια στάδια εκπόνησης ανάλυσης αντικτύπου για την ιδιωτικότητα με στόχο να μελετηθεί ο κίνδυνος και τα μέτρα προστασίας ως παράμετροι της συμμόρφωσης. Η μεθοδολογία που χρησιμοποιήθηκε είναι η εκτενής βιβλιογραφική επισκόπηση πάνω σε αυτό το νομικό πεδίο, καθώς και η κριτική προσέγγιση των τεχνολογιών και εργαλείων που προτείνονται. Αρχικά, αναλύονται οι διατάξεις του ΓΚΠΔ σχετικά με την εκτίμηση αντικτύπου, αναπτύσσονται οι ισχύουσες κατευθυντήριες οδηγίες και τα μεθοδολογικά κριτήρια, καθώς και το απαιτούμενο περιεχόμενο και μεθοδολογία για την προσήκουσα εκπόνησή της. Στη συνέχεια, παρουσιάζεται αναλυτικά κάθε βήμα εκπόνησής της κατά το πρότυπο της Γαλλικής Αρχής CNIL και το λογισμικό ανοιχτού κώδικα που παρέχεται ως βοήθημα, ακολουθώντας τα στάδια ένα προς ένα. Στο πλαίσιο της ακολουθούμενης μεθοδολογικής προσέγγισης η συμμόρφωση στηρίζεται σε δύο βασικές συνιστώσες, τα θεμελιώδη δικαιώματα και αρχές κατά τον ΓΚΠΔ και τη διαχείριση των κινδύνων ιδιωτικής ζωής των υποκειμένων των δεδομένων. Τα μεν δικαιώματα των υποκειμένων των δεδομένων και οι αρχές που διέπουν την επεξεργασία αποτελούν τον σκληρό πυρήνα της προστασίας των προσωπικών δεδομένων, η δε διαχείριση των κινδύνων ασφάλειας των δεδομένων καθορίζεται από την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία τους. Στο καταληκτικό τμήμα, γίνεται εκτενής ανάπτυξη των μέτρων ασφάλειας και προστασίας που καλείται να λάβει ένας οργανισμός ή επιχείρηση για να είναι σύννομος. Η παρούσα μελέτη εμπλουτίζεται με πλήθος παραδειγματικών αναφορών, καθώς και ενδεικτική παρουσίαση νομολογίας προς ενίσχυσή της και μπορεί να αποτελέσει βάση αναφοράς για έναν οργανισμό που προτίθεται να εκτελέσει αντίστοιχη μελέτη.