Η νομική βάση του εννόμου συμφέροντος του ΓΚΠΔ

Ένα σημαντικό και ιδιαίτερα χρήσιμο εργαλείο συμμόρφωσης με τον ΓΚΠΔ δημοσίευσε ο Επίτροπος Προστασίας Δεδομένων του Αμβούργου, με αντικείμενο την πρακτική εφαρμογή της νομικής βάσης του εννόμου συμφέροντος κατά το άρθρο 6 παρ. 1στ ́ ΓΚΠΔ. Το έγγραφο φέρει τη μορφή αναλυτικού ερωτηματολογίου και έχει ως σκοπό να υποστηρίξει υπευθύνους επεξεργασίας, υπευθύνους προστασίας δεδομένων και λοιπούς εμπλεκόμενους στην ορθή, τεκμηριωμένη και διαφανή διενέργεια της στάθμισης συμφερόντων που απαιτείται πριν από την έναρξη επεξεργασιών προσωπικών δεδομένων που στηρίζονται στη συγκεκριμένη νομική βάση .

Στην εισαγωγή του εγγράφου υπογραμμίζεται ότι το έννομο συμφέρον αποτελεί μία από τις πλέον κεντρικές αλλά και απαιτητικές νομικές βάσεις του ΓΚΠΔ, καθώς διατυπώνεται σκόπιμα με ανοιχτό και ευέλικτο τρόπο. Επισημαίνεται ότι δεν θα πρέπει να επιλέγεται ούτε αποσπασματικά, ως λύση «έσχατης ανάγκης», ούτε με την εσφαλμένη εντύπωση ότι συνεπάγεται λιγότερους περιορισμούς σε σχέση με άλλες νομικές βάσεις. Αντιθέτως, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη να εξετάζει σε κάθε επιμέρους περίπτωση και να τεκμηριώνει αν συντρέχουν σωρευτικά οι προϋποθέσεις του άρθρου 6 παρ. 1στ ́ ΓΚΠΔ.

Το κείμενο βασίζεται στις Κατευθυντήριες Γραμμές 1/2024 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και ακολουθεί τη δομή της δοκιμασίας τριών σταδίων που αυτές προτείνουν, σύμφωνα με την πάγια κρίση του ΔΕΕ. Στόχος του είναι να μεταφράσει τις κανονιστικές απαιτήσεις και τη σχετική νομολογία σε ένα πρακτικό και λειτουργικό πλαίσιο ελέγχου, το οποίο μπορεί να χρησιμοποιηθεί τόσο εσωτερικά από τους οργανισμούς όσο και ως αποδεικτικό στοιχείο έναντι εποπτικών αρχών.

Στο πρώτο μέρος του ερωτηματολογίου εξετάζεται η ύπαρξη και ο προσδιορισμός του εννόμου συμφέροντος. Ο υπεύθυνος επεξεργασίας καλείται να αποσαφηνίσει ποιο είναι το γενικό όφελος που επιδιώκεται μέσω της επεξεργασίας, ποιος είναι ο συγκεκριμένος σκοπός της, καθώς και ποιος φορέας επιδιώκει το συμφέρον αυτό, είτε πρόκειται για τον ίδιο είτε για τρίτο. Ιδιαίτερη έμφαση δίδεται στο αν το συμφέρον είναι σύμφωνο με το εφαρμοστέο δίκαιο, σαφώς διατυπωμένο και πραγματικό, αποκλείοντας υποθετικά ή μελλοντικά σενάρια που δεν επιδέχονται ουσιαστική στάθμιση.

Το δεύτερο μέρος αφορά την αναγκαιότητα της επεξεργασίας για την επίτευξη του επιδιωκόμενου συμφέροντος. Εδώ το έγγραφο ενσωματώνει άμεσα την αρχή της ελαχιστοποίησης των δεδομένων, ζητώντας να αξιολογηθεί αν ο σκοπός μπορεί να επιτευχθεί με λιγότερα δεδομένα ή με λιγότερο παρεμβατικά μέσα. Τίθενται ερωτήματα σχετικά με την έκταση των δεδομένων, τον αριθμό των υποκειμένων, τη διάρκεια και τη συχνότητα της επεξεργασίας, καθώς και τη δυνατότητα παράλειψης επιμέρους σταδίων. Παράλληλα, προβλέπεται έλεγχος ύπαρξης πολιτικής διαγραφής, καθορισμένων χρόνων τήρησης και χαρτογράφησης των ροών δεδομένων, με στόχο τη διαρκή λογοδοσία.

Το τρίτο και εκτενέστερο μέρος αφιερώνεται στη στάθμιση των συμφερόντων του υπευθύνου επεξεργασίας έναντι των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων. Η ανάλυση καλύπτει τόσο θεμελιώδη δικαιώματα, όπως η ιδιωτική ζωή και η προστασία δεδομένων, όσο και οικονομικά, κοινωνικά και προσωπικά συμφέροντα που ενδέχεται να θιγούν. Εξετάζεται η φύση των δεδομένων, με ειδική αναφορά στις ειδικές κατηγορίες του άρθρου 9 ΓΚΠΔ, τα ποινικά δεδομένα, καθώς και τα δεδομένα παιδιών, για τα οποία επιβάλλεται αυξημένη προστασία. Σημαντική θέση κατέχει η έννοια των εύλογων προσδοκιών των υποκειμένων, σε συνάρτηση με τον χρόνο, τον τρόπο συλλογής και τη διαφάνεια της επεξεργασίας.

Περαιτέρω, το εργαλείο καθοδηγεί τον υπεύθυνο επεξεργασίας στην αξιολόγηση των πιθανών αρνητικών ή θετικών επιπτώσεων για τα υποκείμενα, της απώλειας ελέγχου επί των δεδομένων τους, της ύπαρξης αυτοματοποιημένης λήψης αποφάσεων, καθώς και των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται. Ιδιαίτερη μνεία γίνεται στα δικαιώματα αντίρρησης, διαγραφής και διόρθωσης και στην ανάγκη ύπαρξης εσωτερικών διαδικασιών για την άμεση και αποτελεσματική ικανοποίησή τους.

Το έγγραφο ολοκληρώνεται με ενότητα αφιερωμένη στην τεκμηρίωση και τη συμμόρφωση, υπενθυμίζοντας την υποχρέωση λογοδοσίας του άρθρου 5 παρ. 2 ΓΚΠΔ. Προβλέπεται η καταγραφή του τελικού αποτελέσματος της στάθμισης, ο έλεγχος από υπευθύνους προστασίας δεδομένων ή ανεξάρτητα όργανα και η τακτική επανεξέταση της αξιολόγησης, ώστε να λαμβάνονται υπόψη μεταβολές στις πραγματικές ή νομικές συνθήκες. Το σύνολο του εργαλείου αναδεικνύεται έτσι ως ένα συνεκτικό και πρακτικά προσανατολισμένο πλαίσιο για την τεκμηριωμένη εφαρμογή του εννόμου συμφέροντος στο σύγχρονο περιβάλλον προστασίας δεδομένων.

Το έγγραφο είναι διαθέσιμο στα αγγλικά.