Γνώμη11/2018

σχετικάμετοσχέδιοκαταλόγουτηςαρμόδιαςεποπτικήςαρχήςτηςΙρλανδίας

για

τιςπράξειςεπεξεργασίαςπουυπόκεινταιστηναπαίτησηγιαδιενέργειαεκτίμησηςαντικτύπουσχετικάμετηνπροστασίατωνδεδομένων(άρθρο35

παράγραφος4τουΓΚΠΔ)

Εκδόθηκεστις25Σεπτεμβρίου2018

2

Περιεχόμενα

1. Συνοπτικήέκθεσητωνπραγματικώνπεριστατικών........................................................5

2. Αξιολόγηση.......................................................................................................................5

2.1 ΓενικήσυλλογιστικήτουΕΣΠΔσχετικάμετονυποβληθέντακατάλογο...................5

2.2 Εφαρμογήτουμηχανισμούσυνεκτικότηταςστοσχέδιοκαταλόγου........................7

2.3 Ανάλυσητουσχεδίουκαταλόγου.............................................................................7

Ενδεικτικόςχαρακτήραςτουκαταλόγου.........................................................................7

Παραπομπήστιςκατευθυντήριεςγραμμές.....................................................................7

Βιομετρικάδεδομένα.......................................................................................................7

Γενετικάδεδομένα...........................................................................................................8

Δεδομέναθέσης...............................................................................................................8

Επεξεργασίαγιαεπιστημονικούςήιστορικούςσκοπούςχωρίςσυναίνεση...................8

Περαιτέρωεπεξεργασία..................................................................................................9

Παρακολούθησηεργαζομένων........................................................................................9

3. Συμπεράσματα/Συστάσεις...............................................................................................9

4. Τελικέςπαρατηρήσεις....................................................................................................11

3

ΤοΕυρωπαϊκόΣυμβούλιοΠροστασίαςΔεδομένων

Έχοντας υπόψη το άρθρο 63, το άρθρο 64 παράγραφος 1 στοιχείο α), το άρθρο 64παράγραφοι3έως8καιτοάρθρο35παράγραφοι1,3,4και6τουΚανονισμού(ΕΕ)2016/679του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για τηνπροστασίατωνφυσικώνπροσώπωνέναντιτηςεπεξεργασίαςτωνδεδομένωνπροσωπικούχαρακτήρακαιγιατηνελεύθερηκυκλοφορίατωνδεδομένωναυτώνκαιτηνκατάργησητηςΟδηγίας95/46/ΕΚ(εφεξής«ΓΚΠΔ»),

ΈχονταςυπόψητησυμφωνίαγιατονΕΟΧ,καιιδίωςτοπαράρτημαXIκαιτοπρωτόκολλο37,όπωςαυτάτροποποιήθηκανμετηναπόφασηαριθ.154/2018τηςΜικτήςΕπιτροπήςτουΕΟΧ,της6ηςΙουλίου2018,

Έχονταςυπόψηταάρθρα10και22τουΕσωτερικούΚανονισμούτου,της25ηςΜαΐου2018,

Εκτιμώνταςταακόλουθα:

(1) Ο κύριος ρόλος του Συμβουλίου Προστασίας Δεδομένων είναι να εξασφαλίζει τησυνεκτική εφαρμογή του Κανονισμού 2016/679 (ΓΚΠΔ) στο σύνολο του ΕυρωπαϊκούΟικονομικού Χώρου. Σύμφωνα με το άρθρο64 παράγραφος 1 του ΓΚΠΔ, το Συμβούλιοεκδίδει γνώμη όποτε μια εποπτική αρχή προτίθεται να θεσπίσει κατάλογο πράξεωνεπεξεργασίαςπουυπόκεινταιστηναπαίτησηγιαδιενέργειαεκτίμησηςαντικτύπουσχετικάμετηνπροστασίατωνδεδομένωνδυνάμειτουάρθρου35παράγραφος4τουΓΚΠΔ.Ωςεκτούτου, στόχος της εν λόγω γνώμης είναι ηανάπτυξημιας εναρμονισμένηςπροσέγγισηςόσοναφοράτιςπράξειςεπεξεργασίαςπουείναιδιασυνοριακούχαρακτήραήπουμπορούνναεπηρεάσουντηνελεύθερηροήδεδομένωνπροσωπικούχαρακτήραήφυσικάπρόσωπασε ολόκληρη την Ευρωπαϊκή Ένωση. Μολονότι ο ΓΚΠΔ δεν επιβάλλει ενιαίο κατάλογο,προωθείτησυνεκτικότητα.ΤοΣυμβούλιοΠροστασίαςΔεδομένωνεπιδιώκειναπροάγειτηνεπίτευξητουστόχουαυτούμετιςγνώμεςτου,πρώτον,ζητώνταςαπότιςεποπτικέςαρχέςνασυμπεριλάβουνστουςκαταλόγουςτουςορισμέναείδηεπεξεργασίας,δεύτερον,ζητώνταςαπό αυτές να αφαιρέσουν ορισμένα κριτήρια τα οποία το Συμβούλιο ΠροστασίαςΔεδομένωνδενθεωρείότιενέχουναπαραιτήτωςυψηλούςκινδύνουςγιαταυποκείμενατωνδεδομένωνκαι,τέλος,ζητώνταςαπότιςενλόγωαρχέςναχρησιμοποιούνορισμένακριτήριαμεεναρμονισμένοτρόπο.

(2) Βάσει τουάρθρου35παράγραφοι4και6 τουΓΚΠΔ,οιαρμόδιεςεποπτικέςαρχέςκαταρτίζουν καταλόγους με τα είδη των πράξεων επεξεργασίας που υπόκεινται στηναπαίτησηγιαδιενέργειαεκτίμησηςαντικτύπουσχετικάμετηνπροστασίατωνδεδομένων(εφεξής «ΕΑΠΔ»). Ωστόσο, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητεςεπεξεργασίαςοιοποίεςσχετίζονταιμετηνπροσφοράαγαθώνήυπηρεσιώνσευποκείμενατωνδεδομένωνήμετηνπαρακολούθησητηςσυμπεριφοράςτουςσεπερισσότερατουενόςκράτημέληήοιοποίεςενδέχεταιναεπηρεάζουνσημαντικάτηνελεύθερηκυκλοφορίατων

4

δεδομένωνπροσωπικούχαρακτήραστηνΈνωση,οιαρμόδιεςεποπτικέςαρχέςεφαρμόζουνσυναφώςτονμηχανισμόσυνεκτικότητας.

(3) Εντούτοις, το γεγονός ότι τα σχέδια καταλόγων των αρμόδιων εποπτικών αρχώνυπόκεινταιστονμηχανισμόσυνεκτικότηταςδενσημαίνειότιοικατάλογοιπρέπειναείναιπανομοιότυποι.Οιαρμόδιεςεποπτικέςαρχέςδιαθέτουνέναπεριθώριοσυνεκτίμησηςτουεθνικού ή του περιφερειακού πλαισίου και θα πρέπει να λαμβάνουν υπόψη την τοπικήνομοθεσίατους.Στόχοςτηςαξιολόγησης/γνώμηςτουΕυρωπαϊκούΣυμβουλίουΠροστασίαςΔεδομένων (ΕΣΠΔ) δεν είναι η κατάρτιση ενός ενιαίου ενωσιακού καταλόγου, αλλά ηαποφυγή σημαντικών ανακολουθιών οι οποίες θα μπορούσαν να οδηγήσουν σε άνισηπροστασίατωνυποκειμένωντωνδεδομένων.

(4) Σύμφωνα με το άρθρο35 παράγραφος1 του ΓΚΠΔ, η διενέργεια ΕΑΠΔ είναιυποχρεωτική για τον υπεύθυνο επεξεργασίας μόνο όταν η επεξεργασία «ενδέχεται ναεπιφέρειυψηλόκίνδυνογιαταδικαιώματακαιτιςελευθερίεςτωνφυσικώνπροσώπων».Τοάρθρο35 παράγραφος3 του ΓΚΠΔ παραθέτει ορισμένα είδη επεξεργασίας τα οποίαενδέχεται να επιφέρουν υψηλό κίνδυνο. Ο κατάλογος αυτός δεν είναι εξαντλητικός. ΗΟμάδα εργασίας τουάρθρου29, στις κατευθυντήριες γραμμές της για την εκτίμηση τουαντικτύπουστηνπροστασίατωνδεδομένων1,όπωςεγκρίθηκαναπότοΕΣΠΔ2,διευκρίνισετακριτήριαβάσει τωνοποίωνμπορούνναπροσδιοριστούνοιπράξειςεπεξεργασίαςπουυπόκεινται στην απαίτηση για τη διενέργεια ΕΑΠΔ. Στις κατευθυντήριες γραμμές αριθ.WP248 της Ομάδας εργασίας του άρθρου 29 αναφέρεται ότι, στις περισσότερεςπεριπτώσεις, ο υπεύθυνος επεξεργασίας μπορεί να θεωρεί ότι σε μια επεξεργασία πουπληροίδύοκριτήριαθααπαιτούντανηδιενέργειαΕΑΠΔ,ωστόσο,σεορισμένεςπεριπτώσεις,ουπεύθυνοςεπεξεργασίαςμπορείναθεωρήσειότισεεπεξεργασίαστηνοποίαπληρούταιμόνοένααπόταενλόγωκριτήριααπαιτείταιηδιενέργειαΕΑΠΔ.

(5) Οι κατάλογοιπουκαταρτίζουνοιαρμόδιες εποπτικέςαρχές εξυπηρετούν τον ίδιοστόχο,δηλαδήτονπροσδιορισμότωνπράξεωνεπεξεργασίαςπουενδέχεταιναεπιφέρουνυψηλόκίνδυνοκαιγιατιςοποίες,επομένως,απαιτείταιηδιενέργειαΕΑΠΔ.Ωςεκτούτου,τα κριτήρια που αναπτύσσονται στις κατευθυντήριες γραμμές της Ομάδας εργασίας τουάρθρου 29 θα πρέπει να εφαρμοστούν κατά την αξιολόγηση του κατά πόσον τα σχέδιακαταλόγωντωναρμόδιωνεποπτικώναρχώνεπηρεάζουντησυνεκτικήεφαρμογήτουΓΚΠΔ.

(6) ΕίκοσιδύοαρμόδιεςεποπτικέςαρχέςυπέβαλαντασχέδιακαταλόγωντουςστοΕΣΠΔ.Ησυνολικήαξιολόγησητωνενλόγωσχεδίωνκαταλόγωνπροάγειτονστόχοτηςσυνεκτικήςεφαρμογής του ΓΚΠΔ, αν και η πολυπλοκότητα του προς αξιολόγηση αντικειμένουαυξάνεται.

1Ομάδαεργασίαςτουάρθρου29,Κατευθυντήριεςγραμμέςγιατηνεκτίμησητουαντικτύπουσχετικάμετηνπροστασίαδεδομένων(ΕΑΠΔ)καικαθορισμόςτουκατάπόσονηεπεξεργασία«ενδέχεταιναεπιφέρειυψηλόκίνδυνο»γιατουςσκοπούςτουΚανονισμού2016/679(WP248αναθ.1).2ΕΣΠΔ,έγκριση1/2018.

5

(7) Σύμφωναμε τοάρθρο64παράγραφος3 τουΓΚΠΔσεσυνδυασμόμε τοάρθρο10παράγραφος2τουεσωτερικούκανονισμούτουΕΣΠΔ,ηγνώμητουΕΣΠΔεκδίδεταιεντόςοκτώ εβδομάδων από την πρώτη εργάσιμη ημέρα αφότου ο πρόεδρος και η αρμόδιαεποπτική αρχή αποφάσισαν ότι οφάκελος είναι πλήρης.Με απόφαση του προέδρου, ηπροθεσμίααυτήμπορείναπαραταθείκατάέξιακόμηεβδομάδες,λαμβανομένηςυπόψητηςπολυπλοκότηταςτουθέματος,

ΕΞΕΔΩΣΕΤΗΝΠΑΡΟΥΣΑΓΝΩΜΗ:

1. Συνοπτική έκθεση των πραγματικών περιστατικών

Η Επιτροπή Προστασίας Δεδομένων (εφεξής Ιρλανδική Εποπτική Αρχή) υπέβαλε σχέδιοκαταλόγουστοΕΣΠΔ.Ηαπόφασησχετικάμετηνπληρότητατουφακέλουλήφθηκεστις11Ιουλίου 2018. Η προθεσμία εντός της οποίας έπρεπε να εκδοθεί η παρούσα γνώμηπαρατάθηκε έως τις 25 Σεπτεμβρίου λόγω της πολυπλοκότητας του αντικειμένου της,λαμβανομένου υπόψη ότι είκοσι δύο αρμόδιες εποπτικές αρχές υπέβαλαν σχέδιακαταλόγωνκατάτοίδιοχρονικόδιάστημα,μεαποτέλεσμαναπροκύψειανάγκησυνολικήςαξιολόγησηςόλωντωνενλόγωσχεδίων.

2. Αξιολόγηση

2.1 Γενική συλλογιστική του ΕΣΠΔ σχετικά με τον υποβληθέντα κατάλογο

ΌλοιοικατάλογοιπουυποβλήθηκανστοΕΣΠΔερμηνεύτηκανωςκανόνεςπουεξειδικεύουνπεραιτέρωτιςδιατάξειςτουάρθρου35παράγραφος1,οιοποίεςθαυπερισχύουνσεκάθεπερίπτωση .Ως εκ τούτου, κανείς κατάλογοςδενμπορεί να είναι εξαντλητικός. ΚαθώςοκατάλογοςπουυπέβαλεηΙρλανδικήΕποπτικήΑρχήδεναναφέρειτογεγονόςαυτόρητά,τοΣυμβούλιοΠροστασίαςΔεδομένωνζητείναπροστεθείηενλόγωεπεξήγησηστοέγγραφοπουπεριέχειτονκατάλογο.

Σύμφωναμετοάρθρο35παράγραφος10τουΓΚΠΔ,τοΣυμβούλιοΠροστασίαςΔεδομένωνείναιτηςγνώμηςότι,ανέχειήδηδιενεργηθείΕΑΠΔωςμέροςγενικήςεκτίμησηςαντικτύπουστοπλαίσιοτηςθέσπισηςτηςνομικήςβάσης,ηυποχρέωσηδιενέργειαςΕΑΠΔσύμφωναμετιςπαραγράφους1έως7τουάρθρου35τουΓΚΠΔδενεφαρμόζεται,εκτόςαντοκράτοςμέλοςκρίνειτηδιενέργειαΕΑΠΔαπαραίτητη.

Περαιτέρω,αντοΣυμβούλιοΠροστασίαςΔεδομένωνζητείτηδιενέργειαΕΑΠΔγιαορισμένηκατηγορίαπράξεωνεπεξεργασίαςκαιτοεθνικόδίκαιοήδηεπιβάλλειτηνυποχρέωσηλήψηςισοδύναμουμέτρου,ηΙρλανδικήΕποπτικήΑρχήθαπρέπειναπροσθέσειπαραπομπήστομέτροαυτό.

6

Η παρούσα γνώμη δεν πραγματεύεται στοιχεία τα οποία υπέβαλε η Ιρλανδική ΕποπτικήΑρχή,αλλάταοποίακρίθηκεότιβρίσκονταιεκτόςτουπεδίουεφαρμογήςτουάρθρου35παράγραφος6τουΓΚΠΔ.Πρόκειταισυναφώςγιαστοιχείαταοποίαδενσχετίζονταιούτεμε«τηνπροσφοράαγαθώνήυπηρεσιώνσευποκείμενατωνδεδομένων»σεπερισσότερατουενός κράτη μέλη ούτε με την παρακολούθηση της συμπεριφοράς υποκειμένων τωνδεδομένων σε περισσότερα του ενός κράτη μέλη. Επιπλέον, τα εν λόγω στοιχεία δενενδέχεται να «επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένωνπροσωπικούχαρακτήραστηνΈνωση».Αυτόισχύειιδίωςγιαταστοιχείαπουσχετίζονταιμετο εθνικό δίκαιο και, κυρίως, τις περιπτώσεις που η υποχρέωση διενέργειας ΕΑΠΔπροβλέπεται από το εθνικό δίκαιο. Ομοίως, εκτός πεδίου εφαρμογής θεωρήθηκαν οιπράξεις επεξεργασίας που σχετίζονται με την επιβολή του νόμου, δεδομένου ότι δενεμπίπτουνστοπεδίοεφαρμογήςτουΓΚΠΔ.

Το Συμβούλιο Προστασίας Δεδομένων παρατήρησε ότι αρκετές εποπτικές αρχέςσυμπεριέλαβαν στον κατάλογό τους ορισμένα είδη επεξεργασίας τα οποία συνιστούνκατ’ανάγκηεπεξεργασίατοπικούεπιπέδου.Δεδομένουότιτοάρθρο35παράγραφος6τουΓΚΠΔαφοράαποκλειστικάτηδιασυνοριακήεπεξεργασίακαιτηνεπεξεργασίαπουμπορείναεπηρεάσειτηνελεύθερηροήδεδομένωνπροσωπικούχαρακτήρακαιταυποκείμενατωνδεδομένων,τοΣυμβούλιοΠροστασίαςΔεδομένωνδενθαδιατυπώσειπαρατηρήσειςσχετικάμετηνενλόγωτοπικούεπιπέδουεπεξεργασία.

Ηγνώμηαποσκοπείστονκαθορισμόενόςενιαίουβασικούσυνόλουπράξεωνεπεξεργασίαςοιοποίεςεπαναλαμβάνονταιστουςκαταλόγουςπουυπέβαλανοιεποπτικέςαρχές.

Αυτό σημαίνει ότι, για περιορισμένο αριθμό ειδών πράξεων επεξεργασίας, που θακαθοριστούνμεεναρμονισμένοτρόπο,όλεςοιεποπτικέςαρχέςθααπαιτούντηδιενέργειαΕΑΠΔ και το Συμβούλιο Προστασίας Δεδομένων θα συστήσει στις εποπτικές αρχές νατροποποιήσουντουςκαταλόγουςτουςαναλόγως,ώστεναεξασφαλιστείσυνεκτικότητα.

ΌσοναφοράτιςεγγραφέςστονκατάλογοΕΑΠΔγιατιςοποίεςηπαρούσαγνώμησιωπά,ηενλόγωσιωπήσημαίνειότιτοΣυμβούλιοΠροστασίαςΔεδομένωνδενζητείαπότηνΙρλανδικήΕποπτικήΑρχήναπροβείσεπεραιτέρωενέργειες.

Τέλος,τοΣυμβούλιοΠροστασίαςΔεδομένωνυπενθυμίζειότιηδιαφάνειααποτελείκαίριαςσημασίας στοιχείο για τους υπεύθυνους επεξεργασίας και τους εκτελούντες τηνεπεξεργασία. Συναφώς, το Συμβούλιο Προστασίας Δεδομένων είναι της άποψης ότι, γιαλόγους σαφήνειας των εγγραφών στον κατάλογο και ενίσχυσης της διαφάνειας, είναισκόπιμο να περιλαμβάνεται στους καταλόγους, για κάθε είδος επεξεργασίας, ρητήπαραπομπήστασχετικάκριτήριαπουκαθορίζονταιστιςανωτέρωκατευθυντήριεςγραμμές.Ωςεκτούτου,τοΣυμβούλιοΠροστασίαςΔεδομένωνθεωρείότιενδείκνυταιενδεχομένωςηπροσθήκηαπότηνΙρλανδικήΕποπτικήΑρχήμιαςεπεξήγησηςσχετικάμετακριτήριαπουλήφθηκανυπόψηγιατηδημιουργίατουκαταλόγουτης.

7

2.2 Εφαρμογή του μηχανισμού συνεκτικότητας στο σχέδιο καταλόγου

ΤοσχέδιοκαταλόγουπουυπέβαλεηΙρλανδικήΕποπτικήΑρχήσχετίζεταιμετηνπροσφοράαγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων, με την παρακολούθηση τηςσυμπεριφοράςτουςσεπερισσότερατουενόςκράτημέληκαι/ήμεδραστηριότητεςοιοποίεςενδέχεταιναεπηρεάζουνουσιωδώςτηνελεύθερηκυκλοφορίατωνδεδομένωνπροσωπικούχαρακτήραστηνΈνωση,κυρίωςεπειδήοιπράξειςεπεξεργασίαςπουπεριλαμβάνονταιστουποβληθέν σχέδιο καταλόγου δεν περιορίζονται σε υποκείμενα των δεδομένων στην ενλόγωχώρα.

2.3 Ανάλυση του σχεδίου καταλόγου

Λαμβάνονταςυπόψη:α. ότι το άρθρο35 παράγραφος1 του ΓΚΠΔ επιβάλλει τη διενέργεια ΕΑΠΔ όταν ηδραστηριότηταεπεξεργασίαςενδέχεταιναεπιφέρειυψηλόκίνδυνογιαταδικαιώματακαιτιςελευθερίεςτωνφυσικώνπροσώπων·καιβ.ότιτοάρθρο35παράγραφος3τουΓΚΠΔπαρέχειένανμηεξαντλητικόκατάλογοτωνειδώνεπεξεργασίαςπουαπαιτούντηδιενέργειαΕΑΠΔ,

τοΣυμβούλιοΠροστασίαςΔεδομένωνείναιτηςεξήςγνώμης:

ΕΝΔΕΙΚΤΙΚΟΣΧΑΡΑΚΤΗΡΑΣΤΟΥΚΑΤΑΛΟΓΟΥΚαθώςοκατάλογοςπουυπέβαλεη ΙρλανδικήΕποπτικήΑρχήδεναναφέρειρητάότιοενλόγω κατάλογος δεν είναι εξαντλητικός, το Συμβούλιο Προστασίας Δεδομένων ζητεί ναπροστεθείηενλόγωεπεξήγησηστοέγγραφοπουπεριέχειτονκατάλογο.

ΠΑΡΑΠΟΜΠΗΣΤΙΣΚΑΤΕΥΘΥΝΤΗΡΙΕΣΓΡΑΜΜΕΣΤοΣυμβούλιοΠροστασίαςΔεδομένωνείναιτηςγνώμηςότιηανάλυσηπουπεριέχεταιστιςκατευθυντήριεςγραμμέςμεαριθμόεγγράφουWP248τηςΟμάδαςεργασίαςτουάρθρου29αποτελείβασικόστοιχείογιατηδιασφάλισητηςσυνεκτικότηταςστοσύνολοτηςΈνωσης.Ωςεκτούτου,ζητείαπότιςεπιμέρουςεποπτικέςαρχέςναπροσθέσουν,έκαστηστοέγγραφοπου περιλαμβάνει τον κατάλογό της, δήλωση η οποία να διευκρινίζει, αφενός, ότι οκατάλογόςτηςβασίζεταιστιςενλόγωκατευθυντήριεςγραμμέςκαι,αφετέρου,ότιοενλόγωκατάλογοςσυμπληρώνεικαιεξειδικεύειπεραιτέρωτιςκατευθυντήριεςγραμμές.

ΔεδομένουότιτοέγγραφοτηςΙρλανδικήςΕποπτικήςΑρχήςδενπεριέχειτέτοιαδήλωση,τοΣυμβούλιοΠροστασίαςΔεδομένωνσυνιστάστηνΙρλανδικήΕποπτικήΑρχήνατροποποιήσειτοέγγραφότηςαναλόγως.

ΒΙΟΜΕΤΡΙΚΑΔΕΔΟΜΕΝΑΟ κατάλογος τον οποίο η Ιρλανδική Εποπτική Αρχή υπέβαλε προς γνωμοδότηση στοΣυμβούλιοΠροστασίαςΔεδομένωνπροβλέπειότιηεπεξεργασίαβιομετρικώνδεδομένωνυπόκειται από μόνη της στην υποχρέωση διενέργειας ΕΑΠΔ. Το Συμβούλιο ΠροστασίαςΔεδομένωνείναιτηςγνώμηςότιηεπεξεργασίαβιομετρικώνδεδομένωναπόμόνητηςδενεπιφέρεικατ’ανάγκηυψηλόκίνδυνο.Ωστόσο,ηεπεξεργασίαβιομετρικώνδεδομένωνμε

8

μοναδικόσκοπότηνταυτοποίησηφυσικούπροσώπου,σεσυνδυασμόμετουλάχιστονέναακόμη κριτήριο, απαιτεί τη διενέργεια ΕΑΠΔ. Ως εκ τούτου, το Συμβούλιο ΠροστασίαςΔεδομένων ζητεί από την Ιρλανδική Εποπτική Αρχή να τροποποιήσει τον κατάλογό τηςαναλόγως,προσθέτονταςότιτοστοιχείοστοοποίοαναφέρεταιηεπεξεργασίαβιομετρικώνδεδομένωνγιατηναποκλειστικήταυτοποίησηφυσικούπροσώπουεπιβάλλειτηδιενέργειαΕΑΠΔμόνοότανηενλόγωεπεξεργασίαπληροίτουλάχιστονέναακόμηκριτήριο,πουπρέπειναεφαρμόζεταιχωρίςναθίγεταιτοάρθρο35παράγραφος3τουΓΚΠΔ.

ΓΕΝΕΤΙΚΑΔΕΔΟΜΕΝΑΟ κατάλογος τον οποίο η Ιρλανδική Εποπτική Αρχή υπέβαλε προς γνωμοδότηση στοΣυμβούλιο Προστασίας Δεδομένων προβλέπει ότι η επεξεργασία γενετικών δεδομένωνυπόκειται από μόνη της στην υποχρέωση διενέργειας ΕΑΠΔ. Το Συμβούλιο ΠροστασίαςΔεδομένων είναι της γνώμης ότι η επεξεργασία γενετικών δεδομένων από μόνη της δενεπιφέρει κατ’ανάγκη υψηλό κίνδυνο. Ωστόσο, η επεξεργασία γενετικών δεδομένων σεσυνδυασμόμετουλάχιστονέναακόμηκριτήριοαπαιτείτηδιενέργειαΕΑΠΔ.Ωςεκτούτου,το Συμβούλιο Προστασίας Δεδομένων ζητεί από την Ιρλανδική Εποπτική Αρχή νατροποποιήσει τον κατάλογό της αναλόγως, προσθέτοντας ότι το στοιχείο στο οποίοαναφέρεταιηεπεξεργασίαγενετικώνδεδομένωνεπιβάλλειτηδιενέργειαΕΑΠΔμόνοότανηενλόγωεπεξεργασίαπληροίτουλάχιστονέναακόμηκριτήριο,πουπρέπειναεφαρμόζεταιχωρίςναθίγεταιτοάρθρο35παράγραφος3τουΓΚΠΔ.

ΔΕΔΟΜΕΝΑΘΕΣΗΣΤοΣυμβούλιοΠροστασίαςΔεδομένωνείναιτηςγνώμηςότιηεπεξεργασίαδεδομένωνθέσηςαπόμόνητηςδενεπιφέρεικατ’ανάγκηυψηλόκίνδυνο.Ωστόσο,ηεπεξεργασίαδεδομένωνθέσηςσεσυνδυασμόμε τουλάχιστονέναακόμηκριτήριοαπαιτεί τηδιενέργειαΕΑΠΔ.ΟκατάλογοςτονοποίοηΙρλανδικήΕποπτικήΑρχήυπέβαλεπροςγνωμοδότησηστοΣυμβούλιοΠροστασίαςΔεδομένωνεπιβάλλει επί τουπαρόντος τηδιενέργειαΕΑΠΔκάθεφοράπουυφίσταται επεξεργασία δεδομένων θέσης από μόνη της. Το Συμβούλιο ΠροστασίαςΔεδομένων ζητεί από την Ιρλανδική Εποπτική Αρχή να τροποποιήσει τον κατάλογό τηςαναλόγως,προσθέτονταςότιτοστοιχείοστοοποίοαναφέρεταιηεπεξεργασίαδεδομένωνθέσηςεπιβάλλειτηδιενέργειαΕΑΠΔμόνοότανηενλόγωεπεξεργασίαπληροίτουλάχιστονέναακόμηκριτήριο.

ΕΠΕΞΕΡΓΑΣΙΑΓΙΑΕΠΙΣΤΗΜΟΝΙΚΟΥΣΉΙΣΤΟΡΙΚΟΥΣΣΚΟΠΟΥΣΧΩΡΙΣΣΥΝΑΙΝΕΣΗΤο Συμβούλιο Προστασίας Δεδομένων είναι της γνώμης ότι η επεξεργασία δεδομένωνπροσωπικού χαρακτήρα για επιστημονικούς ή ιστορικούς σκοπούς, από μόνη της, δενεπιφέρει κατ’ανάγκη υψηλό κίνδυνο. Ωστόσο, η επεξεργασία δεδομένων προσωπικούχαρακτήρα για επιστημονικούςή ιστορικούςσκοπούςσεσυνδυασμόμε τουλάχιστον έναακόμηκριτήριοαπαιτείτηδιενέργειαΕΑΠΔ.ΟκατάλογοςτονοποίοηΙρλανδικήΕποπτικήΑρχήυπέβαλεπροςγνωμοδότησηστοΣυμβούλιοΠροστασίαςΔεδομένωνπροβλέπειότιτοενλόγωείδοςεπεξεργασίαςσεσυνδυασμόμετουλάχιστονέναακόμηκριτήριουπόκειταιστην υποχρέωση διενέργειας ΕΑΠΔ. Το Συμβούλιο Προστασίας Δεδομένων σημειώνει τησυμπερίληψητουενλόγωκριτηρίουστονκατάλογο.

9

ΠΕΡΑΙΤΕΡΩΕΠΕΞΕΡΓΑΣΙΑΤο Συμβούλιο Προστασίας Δεδομένων είναι της γνώμης ότι η περαιτέρω επεξεργασίαδεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να αποτελεί κριτήριο που γεννάυποχρέωσηδιενέργειαςΕΑΠΔ,είτεαπόμόνοτουείτεσυνδυαζόμενομεάλλοκριτήριο.ΟκατάλογοςτονοποίοηΙρλανδικήΕποπτικήΑρχήυπέβαλεπροςγνωμοδότησηστοΣυμβούλιοΠροστασίαςΔεδομένωνεπιβάλλει επί τουπαρόντος τηδιενέργειαΕΑΠΔκάθεφοράπουυφίσταται περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το ΣυμβούλιοΠροστασίας Δεδομένων ζητεί από την Ιρλανδική Εποπτική Αρχή να τροποποιήσει τονκατάλογότηςαναλόγως,αφαιρώνταςτοκριτήριοαυτό.

ΠΑΡΑΚΟΛΟΥΘΗΣΗΕΡΓΑΖΟΜΕΝΩΝΤο Συμβούλιο Προστασίας Δεδομένων είναι της γνώμης ότι η συστηματική επεξεργασίαευάλωτωνυποκειμένωνδεδομένων,συμπεριλαμβανομένωντωνεργαζομένων,πληροίδύοκριτήριααπόαυτάπουκαθορίζονταιστιςκατευθυντήριεςγραμμέςκαι,κατάσυνέπεια,αυτόθαμπορούσενααπαιτείτηδιενέργειαΕΑΠΔ.ΔεδομένουότιοκατάλογοςπουυπέβαλεηΙρλανδική Εποπτική Αρχή για γνωμοδότηση στο Συμβούλιο Προστασίας Δεδομένων ήδηπροβλέπει ότι αυτό το είδος επεξεργασίας απαιτεί τη διενέργεια εκτίμησης αντικτύπουσχετικάμετηνπροστασίατωνδεδομένων,τοΣυμβούλιοΠροστασίαςΔεδομένωνσυνιστάνα γίνει μόνο ρητή αναφορά στα δύο κριτήρια στις κατευθυντήριες γραμμές με αριθμόεγγράφουWP248τηςΟμάδαςεργασίαςτουάρθρου29.Επιπλέον,τοΣυμβούλιοΠροστασίαςΔεδομένωνείναιτηςγνώμηςότιτοέγγραφοWP249τηςΟμάδαςεργασίαςτουάρθρου29εξακολουθείναισχύεικατάτονκαθορισμότηςέννοιαςτηςσυστηματικήςεπεξεργασίαςτωνδεδομένωντωνεργαζομένων.

3. Σ υ μ πε ρ ά σ μ α τ α /Σ υ σ τ ά σ ε ι ς ΤοσχέδιοκαταλόγουτηςΙρλανδικήςΕποπτικήςΑρχήςμπορείναοδηγήσεισεμησυνεκτικήεφαρμογήτηςαπαίτησηςγιατηδιενέργειαΕΑΠΔκαιχρειάζεταιναπραγματοποιηθούνοιακόλουθεςαλλαγές:

• Όσοναφοράτονενδεικτικόχαρακτήρατουκαταλόγου: τοΣυμβούλιοΠροστασίαςΔεδομένωνζητείναπροστεθείστοέγγραφοπουπεριέχειτονκατάλογοεπεξήγησηηοποίαναδιευκρινίζειτονμηεξαντλητικόχαρακτήρατουκαταλόγου.

• Όσον αφορά την παραπομπή στις κατευθυντήριες γραμμές: Το ΣυμβούλιοΠροστασίαςΔεδομένωνζητείαπότηνΙρλανδικήΕποπτικήΑρχήνατροποποιήσειτονκατάλογότηςαναλόγως.

• Όσοναφοράταβιομετρικάδεδομένα:τοΣυμβούλιοΠροστασίαςΔεδομένωνζητείαπότηνΙρλανδικήΕποπτικήΑρχήνατροποποιήσειτονκατάλογότης,προσθέτονταςότιτοστοιχείοστοοποίοαναφέρεταιηεπεξεργασίαβιομετρικώνδεδομένωνγιατηναποκλειστικήταυτοποίησηφυσικούπροσώπουεπιβάλλειτηδιενέργειαΕΑΠΔμόνοότανηενλόγωεπεξεργασίαπληροίτουλάχιστονέναακόμηκριτήριο.

• Όσοναφοράταγενετικάδεδομένα:ΤοΣυμβούλιοΠροστασίαςΔεδομένωνζητείαπότην Ιρλανδική Εποπτική Αρχή να τροποποιήσει τον κατάλογό της αναλόγως,

10

προσθέτοντας ότι το στοιχείο στο οποίο αναφέρεται η επεξεργασία γενετικώνδεδομένωνεπιβάλλειτηδιενέργειαΕΑΠΔμόνοότανηενλόγωεπεξεργασίαπληροίτουλάχιστονέναακόμηκριτήριο.

• Όσοναφοράταδεδομέναθέσης:ΤοΣυμβούλιοΠροστασίαςΔεδομένωνζητείαπότην Ιρλανδική Εποπτική Αρχή να τροποποιήσει τον κατάλογό της αναλόγως,προσθέτονταςότιτοστοιχείοστοοποίοαναφέρεταιηεπεξεργασίαδεδομένωνθέσηςεπιβάλλειτηδιενέργειαΕΑΠΔμόνοότανηενλόγωεπεξεργασίαπληροίτουλάχιστονέναακόμηκριτήριο.

• Όσοναφοράπεραιτέρωεπεξεργασία:ΤοΣυμβούλιοΠροστασίαςΔεδομένων ζητείαπό την Ιρλανδική Εποπτική Αρχή να τροποποιήσει τον κατάλογό της αναλόγως,αφαιρώνταςτοκριτήριοαυτό.

• Όσον αφορά την παρακολούθηση εργαζομένων: το Συμβούλιο ΠροστασίαςΔεδομένων συνιστά να γίνει μόνο ρητή αναφορά στα δύο κριτήρια στιςκατευθυντήριες γραμμές με αριθμό εγγράφουWP248 της Ομάδας εργασίας τουάρθρου29.

11

4. Τ ε λ ι κ έ ς πα ρ α τ η ρ ή σ ε ι ς ΗπαρούσαγνώμηαπευθύνεταιστηνΕπιτροπήΠροστασίαςΔεδομένων(ΙρλανδικήΕποπτικήΑρχή)καιθαδημοσιοποιηθείσύμφωναμετοάρθρο64παράγραφος5στοιχείοβ)τουΓΚΠΔ.

Σύμφωνα με το άρθρο64 παράγραφοι 7 και 8 του ΓΚΠΔ, η εποπτική αρχή, εντός δύοεβδομάδων από την παραλαβή της γνώμης, ανακοινώνει στον πρόεδρο του ΣυμβουλίουΠροστασίαςΔεδομένωνμεηλεκτρονικάμέσακατάπόσονθατροποποιήσειήθαδιατηρήσειτοσχέδιοκαταλόγουτης.Εντόςτηςίδιαςπροθεσμίας,υποβάλλειτοτροποποιημένοσχέδιοκαταλόγου ή, αν δεν προτίθεται να ακολουθήσει τη γνώμη του ΣυμβουλίουΠροστασίαςΔεδομένων,παρέχειτησχετικήαιτιολογίατηςάρνησήςτηςναακολουθήσειτηγνώμηαυτή,στοσύνολότηςήενμέρει.

ΓιατοΕυρωπαϊκόΣυμβούλιοΠροστασίαςΔεδομένων

ΗΠρόεδρος

(AndreaJelinek)