«Όταν οι πράξεις επεξεργασίας ενδέχεται να έχουν ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας θα πρέπει να ευθύνεται για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων, ώστε να αξιολογήσει, ιδίως, την προέλευση, τη φύση, την πιθανότητα και τη σοβαρότητα του εν λόγω κινδύνου».

Η εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) είναι μια διαδικασία που περιγράφει την επεξεργασία των δεδομένων, αξιολογεί την αναγκαιότητα και την αναλογικότητά της και συνδράμει στη διαχείριση των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Η εκτίμηση αντικτύπου αποτελεί σημαντικό εργαλείο για την πλήρωση της υποχρέωσης λογοδοσίας, καθώς παρέχει συνδρομή στους υπεύθυνους επεξεργασίας για να αποδεικνύουν ότι έχουν ληφθεί τα ενδεδειγμένα μέτρα. Η εκτίμηση αντικτύπου, δηλαδή, είναι μια διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης.

Βάσει του GDPR, η παράλειψη διενέργειας εκτίμησης αντικτύπου σε επεξεργασία που υπόκειται σε απαίτηση διενέργειας εκτίμηση αντικτύπου ή η διενέργεια εκτίμησης αντικτύπου με εσφαλμένο τρόπο μπορούν να επιφέρουν διοικητικό πρόστιμο ύψους έως 10 εκατ. ευρώ ή, σε περίπτωση επιχείρησης, έως 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο.

Τα ελάχιστα στοιχεία μιας έκθεσης αντικτύπου σύμφωνα με τον GDPR είναι:

• H συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,
• H εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,
• H εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και
• Tα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων·

Εκτίμηση αντικτύπου και συστήματα βιντεοεπιτήρησης σε χώρους εργασίας

Η λειτουργία συστήματος βιντεοεπιτήρησης σε χώρους εργασίας διέπεται από ιδιαίτερα αυστηρές προϋποθέσεις, αφού μπορεί να έχει σημαντικές επιπτώσεις τόσο στα δικαιώματα των εργαζομένων της επιχείρησης όσο και των συναλλασσομένων με την επιχείρηση. Κατά το μέρος, που δεν έρχεται σε αντίθεση με τον GDPR εξακολουθεί να έχει εφαρμογή η υπ’ αρίθμ. 1/2011 Οδηγίας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ).

Σύμφωνα με το άρθρο 7 της εν λόγω Οδηγίας το σύστημα βιντεοεπιτήρησης δεν θα πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας, εκτός από ειδικές εξαιρετικές περιπτώσεις όπου αυτό δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας. Υπενθυμίζεται πως μετά μετά τις 25 Μαΐου 2018 δεν υφίσταται πλέον υποχρέωση γνωστοποίησης βιντεοεπιτήρησης στην Αρχή.

Το μόνο μέσο, λοιπόν, που διαθέτει ο υπεύθυνος επεξεργασίας προκειμένου να αποδείξει την σύννομη δράση του και την συμμόρφωσή του με τις απαιτήσεις του GDPR είναι η εκπόνηση εκτίμησης αντικτύπου. Σημειώνεται, μάλιστα, πως η ΑΠΔΠΧ έχει ήδη επιδείξει μεγάλη αυστηρότητα απέναντι σε συστήματα βιντεοεπιτήρησης, τα οποία λειτουργούν παρανόμως. Με την απόφαση της υπ’ αρίθμ. 41/2018, η οποία εκδόθηκε στις 9-5-2018, ήτοι πριν από την εφαρμογή του GDPR, η Αρχή επέβαλε πρόστιμο 50.000 ευρώ σε δικηγορική εταιρία, για την λειτουργία παρανόμου συστήματος βινετοεπιτήρης.