ΓΚΠΔ και ν.
4624/2019.Μία ιστορική μεταρρύθμιση του
εθνικού νομοθετικού πλαισίου για την προστασία του θεμελιώδους
δικαιώματος της προστασίας των δεδομένων προσωπικού χαρακτήρα
του ατόμου. Νέες προκλήσεις στη σύγχρονη ψηφιακή εποχή. Διάλογος μεταξύ
ενωσιακού και εθνικού νομοθέτη.
Σπυριδούλα Καρύδα
Πάρεδρος Συμβουλίου
Επικρατείας
LL.M. inSpace,
SatComandMediaLaw (UniversityofLuxembourg)
Επιμορφωτικό πρόγραμμα της Εθνικής Σχολής Δικαστικών
Λειτουργών με θέμα:
«Προσωπικά Δεδομένα- Δικαιοσύνη, Επικοινωνία,
ΜΜΕ, μέσα κοινωνικής δικτύωσης»
Θεσσαλονίκη,
26-27 Σεπτεμβρίου 2019
Επίμετρο 28.7.2022:Με αφορμή την πρόσφατη ψήφιση, με ευρεία συναίνεση, τόσο του ΣχΝ για
τις αναδυόμενες τεχνολογίες (Τεχνητή Νοημοσύνη, Διαδίκτυο των Πραγμάτων) αλλά
και του ΣχΝ για τη Δικαστική Αστυνομία-Εισαγωγή του Θεσμού του Εκπροσώπου Τύπου
στα Δικαστήρια - όπως με ευρεία συναίνεση είχε ψηφισθεί και ο ν. 4624/2019 και
αφού έγιναν δεκτές παρατηρήσεις φορέων αλλά και κομμάτων στη Βουλή- εκτιμώ ότι
η εισήγηση, η οποία έχει ήδη αναρτηθεί
στην ιστοσελίδα της Εθνικής Σχολής Δικαστικών Λειτουργών, θα φωτίσει την εθνική
και ενωσιακή νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα. Η 4η
βιομηχανική επανάσταση (αναφέρθηκα σε αυτήν στην εισήγησή μου) είτε αφορά δημόσιους φορείς (συμπεριλαμβανομένων των
Δικαστηρίων), είτε ιδιωτικούς φορείς, θα πρέπει να εναρμονίζεται με το δίκαιο
της προστασίας προσωπικών δεδομένων και
να σέβεται το ευρωπαϊκό κεκτημένο. Εκτιμώ ότι αυτό έγινε πια αντιληπτό,
δοθέντος άλλωστε ότι και σύμφωνα με την Αιτ. Σκ.4 του ΓΚΠΔ «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα θα
πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο». Η τεχνολογία αναπτύσσεται
ραγδαία και συχνά είναι δύσκολο για τον νομοθέτη να την ακολουθήσει. Η ρύθμιση
δε της τεχνολογίας (ruleofcode), επιγραμματικά αυτό που επιχειρήθηκε με το ΣχΝ για τις αναδυόμενες
τεχνολογίες, αποτελεί διεθνώς αμφιλεγόμενο ζήτημα. Είναι πολύ νωρίς για
αποτίμηση της ρύθμισης και εκτιμώ ότι μετά την ψήφιση του Κανονισμού για την
Τεχνητή Νοημοσύνη θα υπάρξει ανάγκη για επιμέρους αλλαγές του εθνικού νομικού
πλαισίου. Μέχρι τότε, επιτρέψτε μου να επιβεβαιώσω την συμφωνία μου με τη δήλωση
του LawrenceLessig : “Whengovernmentdisappears, it’snotasifparadisewilltakeitsplace. Whengovernmentsaregone, otherinterestswilltaketheirplace’’καιναυπογραμμίσωότιχαίρομαιπουτοσυμπέρασματηςεισήγησής
μου υλοποιείται εν μέρει, έστω και το 2022.Από την άλλη πλευρά όμως αισθάνομαι
και λύπη διότι δεν έγινε αντιληπτή από θεσμικούς φορείς της χώρας η στοχοθεσία του ν.4624/2019,
ο αφαιρετικός-μινιμαλιστικός χαρακτήρας τουκαθώς και η λογική των «ρητρών
ανοίγματος»,οι οποίες αποτέλεσαν προϊόν διαπραγμάτευσης των Κρατών Μελών κατά
τις νομοπαρασκευαστικές εργασίες του ΓΚΠΔ. Εκτιμώ ότι ο ΓΚΠΔ δεν είχε γίνει
ίσως τότε πλήρως κατανοητός από την επιστημονική κοινότητα και ο
«απογαλακτισμός» από τον ν.2472/1997, ο οποίος είχε απομακρυνθεί από τη λογική
της ενσωμάτωσης της Οδηγίας για τα Προσωπικά Δεδομένα,σίγουρα δεν ήταν εύκολη
υπόθεση. Εύχομαι με τις παρεμβάσεις μου να φώτισα αρκετά σημεία του ΓΚΠΔ και
του ν.4624/2019 καθώς και τον άτυπο αυτό διάλογο μεταξύ ενωσιακού και εθνικού
νομοθέτη.
ΠΙΝΑΚΑΣΠΕΡΙΕΧΟΜΕΝΩΝ
Ι.
1.Εισαγωγή
2.Το
θεμελιώδες δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα στην ΕΕ -Νομικά θεμέλια (Χάρτης, ΕΣΔΑ)
ΙΙ.
1.Ν.4624/2019
- Εθνικό νομοθετικό πλαίσιο προστασίας δεδομένων προσωπικού χαρακτήρα -Πεδίο εφαρμογής
2.Αξιοποίηση
από τον εθνικό νομοθέτη των προβλεπόμενων από τον ΓΚΠΔ ρητρών ανοίγματος (= ρυθμιστικών επιλογών)
ΙΙΙ.
Ενσωμάτωση στην εθνική έννομη τάξη της Οδηγίας για την προστασία δεδομένων προσωπικού
χαρακτήρα από τις αρχές επιβολής του νόμου και κατά τις ποινικές διαδικασίες
ΙV. Συμπέρασμα
I.
1.Εισαγωγή
Το Δίκαιο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δημιουργήθηκε στην Ευρώπη κατά τη δεκαετία του 1970. Πρόκειται
για νέα νομοθετική τάση, η οποία συμβαδίζει με την ανακάλυψη και τεχνολογική
εξέλιξη των Η/Υ και με τις πολυάριθμες εφαρμογέςτου, όπως και με την εξέλιξη της
ψηφιακής τεχνολογίας(χρήση διαδικτύου, socialmedia, χρήση προσωποποιημένων
chips RFID ‘Radio-Frequency-Identification’, Internet of Τhings
(ΙοΤ),bigdata, blockchain,[1]smartcontracts,ArtificialIntelligence, software προγράμματα,εφαρμογές apps, χρήση διαβατήριων
με RFID και βιομετρικά κ.λπ.). Πολλά αντικείμενα γίνονται smart καιείναι εξοπλισμένα για τη συλλογή, την αποθήκευση
και επικοινωνία δεδομένων προσωπικού χαρακτήρα.Τα
δεδομένα προσωπικού χαρακτήρα και η προστασία τους αποτελούν πλέον ανεξάρτητο
τομέα δικαίου, συνεχώς εξελισσόμενο, κυρίως ευρωπαϊκού ενδιαφέροντος, με
σημαντική όμως παρουσία και σε άλλα, μη ευρωπαϊκά κράτη.[2]
Θα πρέπει όμως στο σημείο αυτό να τονισθεί ότι ο τομέας του δικαίου των προσωπικών δεδομένων προήλθε από την ένταση, το μέγεθος και την
ταχύτητα της επαπειλούμενης επεξεργασίας προσωπικών δεδομένων και όχι από την
επεξεργασία αυτή καθαυτή. Στις απαρχές της, η υιοθέτηση σχετικής νομοθεσίας από
κάποιες χώρες, είχε ως στόχο τον έλεγχο της επεξεργασίας προσωπικών πληροφοριών
από δημόσιες αρχές και μεγάλες εταιρείες. Είναι χαρακτηριστικό ότι ο πρώτος
νόμος για την προστασία των δεδομένων
προσωπικού χαρακτήρα θεσμοθετήθηκε από το Γερμανικό Κρατίδιο της ΄Εσσης το 1970
και εφαρμοζόταν μόνο σε αυτό. Η Σουηδία ήταν η πρώτη χώρα σε διεθνές
επίπεδο που εισήγαγε εθνικό νομοθετικό πλαίσιο για την προστασία
των προσωπικών δεδομένων κατά την επεξεργασία τους. Μέχρι τα τέλη της δεκαετίας
του 1980, διάφορες ευρωπαϊκές χώρες(Γαλλία, Γερμανία, Ολλανδία και Ηνωμένο
Βασίλειο) είχαν επίσης εθνική νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ακολούθησε και η
θεσμοθέτηση πλαισίου σε διεθνές και ευρωπαϊκό επίπεδο για την ανωτέρω προστασία
(Σύμβαση 108 του Συμβουλίου της Ευρώπης και
Οδηγία 95/46/ΕΚ) και κατά τη διάρκεια των ετών το δικαίωμα στην προστασία
των δεδομένων προσωπικού χαρακτήρα αναγνωρίσθηκε ως θεμελιώδες δικαίωμα, σαφώς
διακρινόμενο από το θεμελιώδες δικαίωμα
στην ιδιωτική ζωή.[3]
Στη χώρα μας
η ύλη των δεδομένων προσωπικού χαρακτήρα ρυθμίσθηκε επ΄ εφαρμογή της Οδηγίας
95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης
Οκτωβρίου 1995[4]δυνάμει
εθνικής νομοθεσίας το πρώτον με τον ν.2472/1997[5]
«Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα», ο
οποίος αποτελούσε μέχρι και πρόσφατα τον
βασικό νόμο του ελληνικούδικαίου προστασίας δεδομένων προσωπικού χαρακτήρα.[6]Διευκρινίζεται
ότι με το νόμο αυτό δεν ενσωματώθηκε
στην εθνική έννομη τάξη η ως άνω Οδηγία, γεγονός το οποίο ενδεχομένως να επηρέασε τον εθνικό νομοθέτη στις ρυθμιστικές
επιλογές του.
Οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες
προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της
συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά.
Και τούτο οφείλεται στην τεχνολογία, η
οποία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές
να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την
επιδίωξη των δραστηριοτήτων τους. Η τεχνολογία είναι εκείνη που διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία
δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες
χώρες και διεθνείς οργανισμούς, ωστόσο όχι
ανεξέλεγκτα, αλλά με
διασφαλίσεις που εξασφαλίζουν ένα υψηλό
επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Άλλωστε,τα φυσικά
πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις
καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο.
Σύμφωνα με
στοιχεία της Ευρωπαϊκής Επιτροπής[7]
η αξία της ευρωπαϊκής οικονομίας των προσωπικών δεδομένων (EUdataeconomy) αποτιμήθηκε το 2015 σε 285 δισεκατομμύρια
ευρώ, αντιπροσωπεύοντας πάνω από το 1.94% του ευρωπαϊκού ακαθάριστου εγχώριου
προϊόντος (εφεξής: EUGDP). Το 2016 παρατηρήθηκε αύξηση
κατά 5,03%,η αξία αυτών ανήλθε στα 300 δισεκατομμύρια ευρώ, αντιπροσωπεύοντας
το 1.99% του EUGDP
για το έτος 2016.Η Επιτροπή παρατηρεί ότι αν ακολουθηθεί ευνοϊκή πολιτική και
νομοθεσία και ενθαρρυνθούν κατά τον τρόπο αυτό οι επενδύσεις των ICT
εταιρειών, η αξία της ευρωπαϊκής οικονομίας
των προσωπικών δεδομένων θα εκτιναχθεί στο τέλος του 2020 στα 739
δισεκατομμύρια ευρώ, αντιπροσωπεύοντας το 4% του EUGDP.
Είναι
αυτονόητο, λοιπόν, ότι οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο
συνεκτικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση. Το
πλαίσιο αυτό, υποστηριζόμενο από αυστηρή
εφαρμογή της νομοθεσίας, δημιουργεί την αναγκαία εμπιστοσύνη που θα επιτρέψει στην
ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς.Τα φυσικά
πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού
χαρακτήρα. Για το λόγο αυτό θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η
πρακτική (τεχνική και οργανωτική) ασφάλεια για τα φυσικά πρόσωπα, τους
οικονομικούς παράγοντες και τις δημόσιες αρχές.
Υπό τις ανωτέρω
εξελίξεις στις 6 Απριλίου 2016 η ΕΕ πραγματοποίησε μια σημαντική
νομοθετική μεταρρύθμιση του πλαισίου προστασίας των δεδομένων προσωπικού
χαρακτήρα, εγκρίνοντας τη νομοθετική δέσμη μέτρων, που περιλαμβάνει: α) τον
ΓΚΠΔ[8], ο
οποίος αντικατέστησε την από εικοσαετίας εκδοθείσαΟδηγία 95/46/ΕΚ του
Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995, για
την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού
χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L της
23.11.1995, σελ. 31) («Οδηγία για την προστασία των δεδομένων») και β) την
Οδηγία[9]
για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα από τις αρχές επιβολής του νόμου, τα ποινικά δικαστήρια,
τις ανακριτικές και εισαγγελικές αρχές.
Ο ΓΚΠΔ,σύμφωνα και με Ανακοίνωση
της Ευρωπαϊκής Επιτροπής«Ισχυρότερη
προστασία, νέες ευκαιρίες -Κατευθυντήριες γραμμές της Επιτροπής σχετικά με την
άμεση εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων από την 25η
Μαΐου 2018[10]»ενισχύει την προστασία των φυσικών
προσώπων όσον αφορά το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα,
αντικατοπτρίζοντας τη φύση της προστασίας των δεδομένων ως θεμελιώδους
δικαιώματος για την Ευρωπαϊκή Ένωση.
Ο ΓΚΠΔ, λόγω της νομικής φύσης του, δεν απαιτεί
την έκδοση ιδιαίτερης νομικής πράξης εφαρμογής από τα κράτη μέλη, δεσμεύοντας
άμεσα τα κρατικά όργανα, τις δημόσιες αρχές και τα δικαστήρια, καθώς και όλα τα
πρόσωπα, φυσικά και νομικά, που εμπίπτουν στο πεδίο εφαρμογής του.
Εντούτοις, περιέχει αρκετές «ρήτρες ευελιξίας» και «ρήτρες ανοίγματος»(=
«ρήτρες ρυθμιστικών επιλογών»). Έτσι δίδεται η δυνατότητα στα κράτη μέλη με
δική τους νομοθεσία να εξειδικεύσουν, να
συμπληρώσουν ή να τροποποιήσουν το
εσωτερικό τους δίκαιο σύμφωνα με τις ρυθμίσεις του ΓΚΠΔ,, συμπεριλαμβανομένων
και εκείνων που αφορούν την επεξεργασία
ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (ευαίσθητα δεδομένα).Για το λόγο
αυτό και λόγω της υπεροχής του
ΓΚΠΔ ο εθνικός νόμος όσον αφορά τα συμπληρωματικά μέτρα εφαρμογής του ΓΚΠΔ (ΚΕΦΑΛΑΙΟ Γ’ ) πρέπει να ερμηνεύεται συνδυαστικά (σε
αντιστοιχία) με αυτόν (ΓΚΠΔ).
Με την
95634/2018/Φ.296/9.1.2019 απόφαση του Υπουργού Δικαιοσύνης, Διαφάνειας και
Ανθρωπίνων Δικαιωμάτων (Β΄11/2019) ανασυγκροτήθηκε η ειδική νομοπαρασκευαστική
επιτροπή για την ενσωμάτωση στην εθνική έννομη τάξη της
Οδηγίας 2016/680/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης
Απριλίου 2016 και την εξέταση του ενδεχόμενου λήψης νομοθετικών μέτρων για την
εφαρμογή του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του
Συμβουλίου της 27ης Απριλίου 2016 «για την προστασία των φυσικών
προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την
ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ
(Γενικός Κανονισμός για την Προστασία Δεδομένων)».
Η νέα αυτή Επιτροπή, με Πρόεδρο τον Εφέτη Πολιτικών και Ποινικών Δικαστηρίων
Παναγιώτη Φιλόπουλο, (Δ.Ν. του
Πανεπιστημίου Tübingen) ολοκλήρωσε το έργο της εντός της
ορισθείσας ημερομηνίας (28.2.2019), και
το ΣχΝ συνοδευόμενο από αιτιολογική έκθεση επί των άρθρων και πίνακα
αντιστοίχισης ΣχΝ και Οδηγίας, παραδόθηκε στην αρμόδια Διεύθυνση Νομοθετικού
Έργου, Διεθνών Σχέσεων και Δικαστικής Συνεργασίας του Υπουργείου την 12.3.2019
και ακολούθως διαβιβάσθηκε στον Υπουργό
Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων. Ο νόμος αυτός μετά την ψήφισή του στο Ελληνικό Κοινοβούλιο
δημοσιεύθηκε στο Φ.Ε.Κ. στις 29 Αυγούστου 2019.
Ο εθνικός νομοθέτης με τον ν. 4624/2019 ( Α΄ 137)
αξιοποιεί την ευχέρεια που παρέχει ο ΓΚΠΔ να κάνει
χρήση των εξαιρέσεων (άρθρο 23
παράγραφος 1), αλλά και ως προς την
υιοθέτηση ρυθμίσεων για ειδικές
κατηγορίες επεξεργασίας, όπως η
επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης ή για τους σκοπούς
της επιστημονικής έρευνας.
Ως προς την ενσωμάτωση της Οδηγίας λήφθηκαν υπόψη από τον
εθνικό νομοθέτη οι σκοποί και οι στόχοι της για την οικοδόμηση ενός ισχυρού και συνεκτικότερου
πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα, όταν αυτά γίνονται
αντικείμενο επεξεργασίας από τις αρμόδιες αρχές για τους σκοπούς της πρόληψης,
διερεύνησης, διακρίβωσης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της
εκτέλεσης ποινικών κυρώσεων,
περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας
ασφάλειας και της αποτροπής τους (αιτιολογική σκέψη 7 της Οδηγίας). Για το λόγο
αυτό ο εθνικός νομοθέτης τήρησε τα
«κατώτατα κατώφλια» που προβλέπει η οδηγία για την εναρμόνιση των νομοθεσιών
των κρατών μελών.
Καθώς η Οδηγία
δεν εμποδίζει τα κράτη μέλη να θεσπίσουν ισχυρότερες διασφαλίσεις από αυτές που
προβλέπονται στην Οδηγία για την προστασία των δικαιωμάτων και των ελευθεριών
των υποκειμένων των δεδομένων (αιτιολογική σκέψη 15 της Οδηγίας)-εξάλλου η
Οδηγία δεν αποτελεί από την άποψη αυτή
εργαλείο πλήρους εναρμόνισης[11]- η
επεξεργασία των δεδομένων προσωπικού χαρακτήρα ρυθμίζεται με τρόπο ώστε να
προδιαγράφεται ένα υψηλό επίπεδο προστασίας, το οποίο ωστόσο εναρμονίζεται με
τη δυνατότητα επίτευξης των νόμιμων στόχων αναφορικά με την πρόληψη,
διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων και της εκτέλεσης ποινικών
κυρώσεων και την προστασία της δημόσιας
ασφάλειας.
Αξίζει να αναφερθεί ότι ο ΓΚΠΔ
αποτελεί ένα ‘ατυπικό υβρίδιο’ κανονισμού και οδηγίας-αποκαλείται επίσης
και ως ‘limpingregulation’[12]
γεγονός που αποδεικνύεται από την πρόβλεψη σε αυτόν άνω των 70 «ρητρών ανοίγματος»
(=«ρητρών ρυθμιστικών επιλογών»).
Κατ’ επέκταση, και για λόγους ασφάλειας δικαίου,
σαφήνειας και συνεκτικότητας των ρυθμίσεων, ο ν.2472/1997 (Α΄50) για την
προστασία του ατόμου έναντι της επεξεργασίας
δεδομένων προσωπικού χαρακτήρα, ο οποίος ήταν γενικής εφαρμογής, καταργήθηκε
με την επιφύλαξη ωστόσο διατήρησης σε
ισχύ ορισμένων διατάξεών του. Σημειώνεται, ότι η διατήρηση των εν λόγω διατάξεων
σε καμία περίπτωση δεν θίγει την υψηλή προστασία των δεδομένων προσωπικού
χαρακτήρα που εξασφαλίζει στα φυσικά πρόσωπα
ο ενωσιακός νομοθέτης με το ΓΚΠΔ.
2.Το
θεμελιώδες δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα στην ΕΕ – Νομικά θεμέλια ( Χάρτης, ΕΣΔΑ)
Οι βασικοί πυλώνες προστασίας του
θεμελιώδους δικαιώματος της προστασίας των δεδομένων προσωπικού χαρακτήρα σε
διεθνές και ευρωπαϊκό επίπεδο ανευρίσκονται στο Συμβούλιο της Ευρώπης ( ΣτΕ)
και στην Ευρωπαϊκή Ένωση ( ΕΕ).
Ειδικότερα, σε επίπεδο Συμβουλίου της Ευρώπης (ΣτΕ ): Σύμφωνα με το άρθρο 8 της
ΕΣΔΑ το δικαίωμα στην προστασία από τη συλλογή και χρήση δεδομένων προσωπικού
χαρακτήρα αποτελεί μέρος του δικαιώματος σεβασμού της ιδιωτικής και οικογενειακής ζωής , της
κατοικίας και της αλληλογραφίας. Περαιτέρω, η Σύμβαση 108 του ΣτΕ είναι η πρώτη
διεθνής νομικά δεσμευτική πράξη που αφορά ρητώς στην προστασία δεδομένων προσωπικού χαρακτήρα.
Το δικαίωμα στην προστασία της
ιδιωτικής σφαίρας του ατόμου έναντι αυθαιρέτων επεμβάσεων τρίτων, ιδίως του
κράτους, κατοχυρώνεται για πρώτη φορά σε διεθνές νομικό κείμενο του 1948 στο
άρθρο 12 της Οικουμενικής Διακήρυξης των Ηνωμένων Εθνών για τα Ανθρώπινα
Δικαιώματα σχετικά με το σεβασμό της ιδιωτικής και οικογενειακής ζωής. Η
Οικουμενική Διακήρυξη επέδρασε στη θέσπιση πράξεων για τα ανθρώπινα δικαιώματα
στην Ευρώπη.
Βάσει του ενωσιακού δικαίου η προστασία
δεδομένων προσωπικού χαρακτήρα αναγνωρίζεται διαχρονικά ως θεμελιώδες
δικαίωμα: στο άρθρο 16 της ΣΛΕΕ, στο
άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ, στην ήδη καταργηθείσα
Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης
Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας
δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων
αυτών (ΕΕ L της 23.11.1995, σελ. 31) («Οδηγία για την προστασία των
δεδομένων»), στην ήδη καταργηθείσααπόφαση-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου και ήδη
στον ΓΚΠΔ, ο οποίος αντικατέστησε την από εικοσαετίας ισχύουσα Οδηγία
95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης
Οκτωβρίου 1995και την Οδηγία 2016/680 για την προστασία των φυσικών
προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αρχές
επιβολής του νόμου, τα ποινικά δικαστήρια, τις ανακριτικές και εισαγγελικές αρχές.
Σε επίπεδο Ελληνικού Συντάγματος η προστασία των
δεδομένων προσωπικών χαρακτήρα αναγνωρίζεται ρητώς με το άρθρο 9Α του Συντάγματος. Σχετική είναι
και η διάταξη του άρθρου 9 για την προστασία της ιδιωτικής και οικογενειακής
ζωής καθώς και του άρθρου 5Αως προς το δικαίωμα της πληροφόρησης και του δικαιώματος
συμμετοχής στην κοινωνία της πληροφορίας.
3.Διάκριση του δικαιώματος προστασίας της
ιδιωτικής ζωής από το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα
Το δικαίωμα σεβασμού στην ιδιωτική ζωή
και το δικαίωμα προστασίας δεδομένων
προσωπικού χαρακτήρα, αν και στενά συνδεδεμένα, εντούτοις είναι διακριτά και δεν θα πρέπει να συγχέονται μεταξύ τους.
Η Οικουμενική Διακήρυξη των Δικαιωμάτων του Ανθρώπου και η ΕΣΔΑ υιοθετήθηκαν
πριν από την ανάπτυξη των ηλεκτρονικών υπολογιστών και του διαδικτύου καθώς και
την ανάπτυξης της κοινωνίας της
πληροφορίας.Η ανάπτυξη των ανωτέρω επέφερε αξιοσημείωτα πλεονεκτήματα στα άτομα
και στην κοινωνία, βελτιώνοντας την ποιότητα ζωής, την αποτελεσματικότητα και
την παραγωγικότητα. Ταυτοχρόνως, δημιουργούν νέους κινδύνους για το δικαίωμα σεβασμού της ιδιωτικής ζωής. Σε απάντηση της ανάγκης
για τη θέσπιση ειδικών διατάξεων που θα ρυθμίζουν τη συλλογή και χρήση
προσωπικών πληροφοριών, ανέκυψε η ανάγκη για τη δημιουργία ενός νέου πλαισίου
της ιδιωτικότητας,το οποίο αναγνωρίζεται ως το δικαίωμα της πληροφοριακής
αυτοδιάθεσης ή του πληροφοριακού αυτοπροσδιορισμού, σύμφωνα και με νομολογία του Γερμανικού Ομοσπονδιακού
Συνταγματικού Δικαστηρίου στην απόφαση Volkszählungsurteil ήδη από το έτος 1983, το οποίο έχει
ως περιεχόμενο το άτομο να αποφασίζει πρωτίστως πότε και εντός ποιων ορίων
γεγονότα της προσωπικής του ζωής μπορούν να κοινολογηθούν.[13]Χαρακτηρίζεται
δε, ως θεμελιώδες δικαίωμα για την προστασία των δεδομένων, προερχόμενο από το
επίσης παραχθέν νομολογιακά το έτος 1954
από το BGH (Ανώτατο Ακυρωτικό) στην υπόθεση Leser-Brief γενικό δικαίωμα επί της προσωπικότητας. Ωστόσο, το ΔΕΕ στην υπόθεση Promusicae[14]έκρινε
σχετικά με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα ότι πρόκειται για «περαιτέρω θεμελιώδες δικαίωμα», συγκεκριμένα το
δικαίωμα που κατοχυρώνει την προστασία δεδομένων, και επομένως της ιδιωτικής ζωής.
Ειδικότερα, το δικαίωμα στην ιδιωτική ζωή αντικατοπτρίζει ένα ατομιστικό
στοιχείο, το δικαίωμα να εμποδίζει
κανείς τρίτους να εισβάλλουν στην προσωπική του ζωή. Πρόκειται για στατική,
αρνητική προστασία. Από την άλλη πλευρά, το δικαίωμα προστασίας δεδομένων
προσωπικού χαρακτήρα θέτει κανόνες για την επεξεργασία δεδομένων και χορηγεί
επιμέρους δικαιώματα στο άτομο προκειμένου να προστατευθεί/πρόκειται για μια
αναδιανομή κοινωνικής και νομικής εξουσίας.[15]Καθίσταται
λοιπόν φανερό ότι τα δύο δικαιώματα διαφέρουν στην μορφή και στο σκοπό. Το
δικαίωμα σεβασμού στην ιδιωτική ζωή ενσαρκώνει μια γενική απαγόρευση επέμβασης,
εκτός των περιπτώσεων που λόγοι δημόσιου ενδιαφέροντος με σαφώς καθορισμένα
κριτήρια δικαιολογούν την επέμβαση αυτή. Το δικαίωμα στην προστασία των
δεδομένων προσωπικού χαρακτήρα αντιμετωπίζεται ως ένα σύγχρονο και ενεργό
δικαίωμα το οποίο θέτει σε λειτουργία
ένα σύστημα ελέγχου και στάθμισης για να
προστατεύσει τα άτομα όταν γίνεται επεξεργασία των δεδομένων προσωπικού
χαρακτήρα που τοαφορούν.Η επεξεργασία αυτή πρέπει να συμμορφώνεται σε ουσιώδη
στοιχεία της προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως είναι ο έλεγχος από ανεξάρτητη εποπτική αρχή και ο
σεβασμός των δικαιωμάτων του υποκειμένου
των δεδομένων.[16]
Πρέπει, τέλος, να αναφερθεί ότι σύμφωνα με την άνω απόφαση του Γερμανικού Ομοσπονδιακού
Συνταγματικού Δικαστηρίουη προστασία των
δεδομένων προσωπικού χαρακτήρα αποτελεί τη βάση για την ικανότητα επικοινωνίας
και συμμετοχής του ατόμου και κατ’ επέκταση τη δημοκρατική ικανότητα της
κοινωνίας.Γίνεται, λοιπόν, φανερό ότι τα
προσωπικά δεδομένα προστατεύονται στην κοινωνική ζωή του ατόμου, ενώ η
ιδιωτική ζωή προστατεύεται στην απομόνωσή του.
ΙΙ.
1.Ν.4624/2019
-Εθνικό νομοθετικό πλαίσιο προστασίας
δεδομένων προσωπικού χαρακτήρα
-Πεδίο εφαρμογής
Σύμφωνα
με το άρθρο 1 παράγραφος 1 του ΓΚΠΔ ο παρών κανονισμός θεσπίζει κανόνες που
αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα και κανόνες που
αφορούν την ελεύθερη κυκλοφορία των δεδομένων αυτών. Περαιτέρω, με την
παράγραφο 2 το δικαίωμα προστασίας
δεδομένων προσωπικού χαρακτήρα αναγνωρίζεται και ρητώς ως θεμελιώδες
δικαίωμα.
Ακολούθως, με το άρθρο 2 παράγραφος 1 του ΓΚΠΔ
ορίζεται ότι ο ΓΚΠΔ εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία
δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία
τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε
σύστημα αρχειοθέτησης, ενώ με την παράγραφο 2 ορίζεται ότι ο ΓΚΠΔ δεν
εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο
δραστηριότητας, η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης (εθνική ασφάλεια[17]) , δεν
εφαρμόζεται στην κοινή εξωτερική πολιτική και πολιτική ασφαλείας, ή από
αρμόδιες αρχές για τους σκοπούς της πρόληψης,
της διερεύνησης, της ανίχνευσης ή
της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων,
συμπεριλαμβανόμενης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη
δημόσια ασφάλεια, δοθέντος ότι στις περιπτώσεις αυτές εφαρμόζεται η Οδηγία
2016/680 καθώς και όταν η επεξεργασία
πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή
οικιακής δραστηριότητας.
Από τα
προαναφερόμενα καθίσταται σαφές ότι υπάρχουν τομείς δραστηριοτήτων που κείνται
εκτός πεδίου εφαρμογής του ΓΚΠΔ. Εντούτοις, τα κράτη μέλη δεν εμποδίζονται να εντάξουν κάποιους από αυτούς τους τομείς
στο ουσιαστικό πεδίο εφαρμογής του ΓΚΠΔ, παρέχοντας με αυτόν τον τρόπο και σε
αυτούς τους τομείς το υψηλότερο επίπεδο
προστασίας του ΓΚΠΔ.
Με το άρθρο 2
του ν. 4624/2019 καθορίζεται το ουσιαστικό πεδίο εφαρμογής του, το οποίο είναι
ευρύτερο από το ουσιαστικό πεδίο εφαρμογής του ΓΚΠΔ. Στο ρυθμιστικό πεδίο του
νόμου περιλαμβάνονται και δραστηριότητες που δεν εμπίπτουν στο πεδίο
εφαρμογής του δικαίου της Ένωσης (εθνική ασφάλεια). Η παράγραφος
1 περιλαμβάνει, όπως και το προϊσχύον δίκαιο, αδιακρίτως, τόσο για
δημόσιους όσο και για ιδιωτικούς φορείς, κάθε επεξεργασία δεδομένων
προσωπικού χαρακτήρα που διενεργείται εν όλω ή εν μέρει με
αυτοματοποιημένα μέσα ή στηρίζεται στη χειρόγραφη επεξεργασία, στην
τελευταία περίπτωση μόνο αν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή
προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Είναι αυτονόητο ότι
αρχεία ή σύνολα αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι
διαρθρωμένα σύμφωνα με συγκεκριμένα κριτήρια δεν υπάγονται στο πεδίο
εφαρμογής του εθνικού νόμου. Επισημαίνεται περαιτέρω ότι δεν
εμπίπτει στο ουσιαστικό πεδίο εφαρμογής του ΣχΝ, σύμφωνα με
ρητή πρόβλεψη του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα που
γίνεται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής
δραστηριότητας και χωρίς αυτή η επεξεργασία να συνδέεται με κάποια
επαγγελματική ή εμπορική δραστηριότητα. Ως τέτοια δραστηριότητα νοείται εκείνη
που αναφέρεται στο ιδιωτικό πεδίο δράσης ενός προσώπου ή μιας
οικογένειας, δηλαδή εκείνη που δεν εμπίπτει στην επαγγελματική
δραστηριότητα και δεν έχει ως σκοπό ή αποτέλεσμα τη συστηματική διαβίβαση
ή τη διάδοση δεδομένων σε τρίτους, όπως λ.χ. η αλληλογραφία, η τήρηση αρχείου
διευθύνσεων ή κοινωνική δικτύωση ή και η επιγραμμική δραστηριότητα
που ασκείται στο πλαίσιο τέτοιων επεξεργασιών. Στον ΓΚΠΔ
και στον εθνικό νόμο, σε αντίθεση με τον προϊσχύσαντα ν. 2472/1997 (βλ. άρθρο 3 παρ. 2 περ. β΄), εμπίπτουν όλες ανεξαιρέτως οι πράξεις επεξεργασίας
δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές
και εισαγγελικές αρχές, αφού και οι αρχές αυτές υπάγονται στη
δημόσιο τομέα.
Ωστόσο, οι πράξεις
επεξεργασίας, όταν διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της
δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων εκφεύγουν κατά ρητή
πρόβλεψη των άρθρων 55 του ΓΚΠΔ και 45 της Οδηγίας, από την εποπτική αρμοδιότητα της Αρχής. Και τούτο δικαιολογημένα, τόσο για λόγους διασφάλισης της δικαστικής
ανεξαρτησίας όσο και για λόγους διάκρισης των εξουσιών,. Η εξαίρεση αυτή
επαναλήφθηκε και στο άρθρο 10 παράγραφος 5 καθώς και στο δεύτερο εδάφιο
της παραγράφου 1 του άρθρου 58 του ν. 4624/2019,
στην τελευταία περίπτωση για τις ανάγκες ενσωμάτωσης της Οδηγίας στην
εθνική νομοθεσία, και στην πρώτη περίπτωση
για λόγους σαφήνειας και κατανόησης του περιεχομένου της ρύθμισης.
Περαιτέρω, θα πρέπει να επισημανθεί ότι προβλέφθηκε ειδικώς στον εθνικό
νόμο ουσιαστικό και εδαφικό πεδίο εφαρμογής. Πρόκειται για συνειδητή νομοθετική
επιλογή προκειμένου να υπαχθεί στο προστατευτικό πεδίο του νόμου (και για
τις ανάγκες ενσωμάτωσης της Οδηγίας) και
του ΓΚΠΔ ανεξαιρέτως όλο το Δημόσιο,
συμπεριλαμβανομένων των υπηρεσιών προστασίας της εθνικής ασφάλειας.
Είναι αυτονόητο ότι οι διατάξεις του εθνικού νόμου δεν εφαρμόζονται σε περίπτωση άμεσης
εφαρμογής του δικαίου της Ευρωπαϊκής Ένωσης ή του ΓΚΠΔ. Με τη ρύθμιση
αυτή λαμβάνεται υπόψη ότι ο ΓΚΠΔ έχει άμεση ισχύ σύμφωνα με το
άρθρο 288 παράγραφος 2 της ΣΛΕΕ. Θα πρέπει όμως να επισημανθεί ότι
συγκεκριμένες επαναλήψεις και παραπομπές του εθνικού νόμου σε διατάξεις του ΓΚΠΔ γίνονται για
λόγους σαφήνειας και συνεκτικότητας, αφήνοντας ανέπαφη την άμεση ισχύ του
ΓΚΠΔ. Διευκρινίζεται περαιτέρω ότι οι ακριβείς επαναλήψεις και αναφορές
στο ΓΚΠΔ οφείλονται, επίσης, στο πολύπλοκο σύστημα πολλαπλών επιπέδων που
παράγεται από την αλληλεπίδραση μεταξύ του ΓΚΠΔ και της
Οδηγίας με το εθνικό, γενικό και τομεακό
δίκαιο. Πάντως, το ΔΕΚ (ήδη ΔΕΕ) έχει αναθέσει στον εθνικό
νομοθέτη, για λόγους σαφήνειας και κατανόησης για τον αποδέκτη να κάνει
τις απαραίτητες ακριβείς επαναλήψεις (ΔΕΚ, υπόθεση C-272/83, Επιτροπή
κατά Ιταλίας, σκ. 27), ενώ σχετική πρόβλεψη τίθεται και στον
ΓΚΠΔ (αιτιολογική σκέψη 8 του ΓΚΠΔ).
Στο σημείο αυτό, πριν προχωρήσουμε στην εξέταση του
εθνικού εφαρμοστικού νόμου θα πρέπει να τονισθούν τα ακόλουθα δεδομένα:
Ο ν. 2472/1997 (άρθρο 3 παρ. 2 περ.
β΄) εξαιρούσε από το πεδίο εφαρμογής του
τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της απονομής τη δικαιοσύνης ή
για την εξυπηρέτηση των αναγκών της λειτουργίας τους (και τις υπηρεσίες που
ενεργούσαν υπό την άμεση εποπτεία τους) με σκοπό τη βεβαίωση ορισμένων
κατηγοριών εγκλημάτων. Ως προς τα ανωτέρω παρέπεμπε στις ουσιαστικές και δικονομικές ποινικές
διατάξεις, παρά το γεγονός ότι οι τελευταίες δεν περιείχαν ειδικές διατάξεις
για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Πέραν τούτου για την επεξεργασία δεδομένων
προσωπικού χαρακτήρα αναγνώριζε
κατ΄αρχήν τη νομική βάση της συγκατάθεσης, χωρίς να λάβει υπόψη του ότι η
συγκατάθεση του υποκειμένου για την επεξεργασία δεδομένων του από δημόσιους
φορείς δεν μπορεί να είναι αποτέλεσμα ελεύθερης επιλογής.Κατ΄εξαίρεση μόνο αναγνώριζε τις λοιπές νομικές βάσεις. Ο ν.2472/1997
είχε απομακρυνθεί από τη λογική
της ενσωμάτωσης της Οδηγίας 95/46, δεν ακολουθούσε την κοινοτική – ήδη ενωσιακή ορολογία και τους στόχους στους
οποίους απέβλεπε ο ενωσιακός νομοθέτης με αποτέλεσμα να μην έχει επιτευχθεί με
αυτόν το αναγκαίο επίπεδο εναρμόνισης της
Οδηγίας σύμφωνα και με τη
νομολογία του ΔΕΕ (βλ. απόφαση ΔΕΕ C- 468/2010 και
469/2010, ASNEF). Ως αποτέλεσμα ήταν
ιδιαίτερα δυσχερές το έργο της
αναγκαίας προσαρμογής στο ενωσιακό
κεκτημένο, ελλείψει σχετικού εθνικού
νομοθετικού κεκτημένου. Περαιτέρω, η καταργηθείσα με την Οδηγία απόφαση-πλαίσιο
2008/977/ΔΕΥ του Συμβουλίου δεν ενσωματώθηκε ποτέ στην εθνική έννομη τάξη με
αποτέλεσμα ο εθνικός νομοθέτης, χωρίς υπάρχον
εθνικό κεκτημένο, να υποχρεούται να
νομοθετήσει το πρώτον διατάξεις για την προστασία δεδομένων προσωπικού
χαρακτήρα, όταν αυτά τυγχάνουν επεξεργασίας
από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της
διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της
εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανόμενης της προστασίας και πρόληψης
έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.
2. Αξιοποίηση
από τον εθνικό νομοθέτη των προβλεπόμενων από το ΓΚΠΔ ρητρών
ανοίγματος (= ρυθμιστικών επιλογών)
Όπως προαναφέρθηκε, επιδίωξη του ενωσιακού
νομοθέτη με τη νομοθετική αυτή δέσμη μέτρων είναι ενόψει των
ραγδαίων τεχνολογικών εξελίξεων που προαναφέρθηκαν και οι οποίες θα πρέπει να
τονισθεί ότι αφορούν και τη λειτουργία της Δικαιοσύνης, η δημιουργία ενός ισχυρού και πιο συνεκτικού πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα
στην Ένωση.
Ο ΓΚΠΔ, λόγω της νομικής φύσης του, δεν απαιτεί την
έκδοση ιδιαίτερης νομικής πράξης εφαρμογής από τα κράτη μέλη, δεσμεύοντας άμεσα
τα κρατικά όργανα, τις δημόσιες αρχές και τα δικαστήρια, καθώς και όλα τα
πρόσωπα, φυσικά και νομικά, που εμπίπτουν στο πεδίο εφαρμογής του. Ο
συγκεκριμένος όμως Κανονισμός έχει μια ιδιαιτερότητα, άξια προσοχής.Περιέχει, όπως ήδη προαναφέρθηκε, αρκετές «ρήτρες ευελιξίας» και «ρήτρες
ανοίγματος», αναγνωρίζοντας στα κράτη μέλη την ευχέρεια να εξειδικεύσουν μεταξύ άλλων τους κανόνες του.Επιπλέον, το ρυθμιστικό αυτό περιθώριο που προβλέπεται στο ΓΚΠΔ
ανοίγει το δρόμο στον εθνικό νομοθέτη για συγκεκριμένους ρυθμίσεις αναφορικά με
ιδιαίτερα κινδυνώδεις λειτουργίες σε σχέση με τις τρέχουσες και μελλοντικές
εφαρμογές όπως στα bigdata (ογκώδη δεδομένα), τεχνητή νοημοσύνη, Smart Home
(έξυπνο σπίτι).
Επισημαίνεται περαιτέρω ότι δεν ήταν
στη διακριτική ευχέρεια του εθνικού νομοθέτη να κάνει χρήση αυτών των ρητρών
ευελιξίας, αλλά υπήρχε υποχρέωση/δέσμευση των κρατών μελών να προσαρμόσουν την
εθνική τους νομοθεσία για τα δεδομένα προσωπικού χαρακτήρα στο νέο αυτό
πλαίσιο και μάλιστα κατά τρόπο όσο το
δυνατόν ευθυγραμμισμένο με το ενωσιακό κεκτημένο, προκειμένου να ικανοποιηθεί η
ανάγκη για συνεκτική εφαρμογή διατάξεων προστατευτικών για τα δεδομένα
προσωπικού χαρακτήρα για την
επιγραμμική δραστηριότητα αλλά και παράλληλα να διευκολυνθεί η
απρόσκοπτη ροή των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και όχι μόνο. Στο σημείο αυτό πρέπει
να υπογραμμιστεί ότι η συγκεκριμενοποίηση ορισμένων διατάξεων του ΓΚΠΔ στην οποία προέβη ο Έλληνας νομοθέτης ήταν
υποχρεωτικής φύσης. Και τούτο, διότιο ΓΚΠΔ με τις περίπου 50 αφηρημένα διατυπωμένες
ουσιαστικές ρυθμίσεις δεν επεξηγεί την ποικιλομορφία θεμάτων, τα οποία χρήζουν
ειδικής ρύθμισης (ενδεικτικά μόνο: άρθρο 6 παρ.2, άρθρο 6 παρ. 4, άρθρο 8 παρ.
1, άρθρο 9 παρ. 2 στοιχ. β), ζ), η), θ),
άρθρο 10, άρθρο 14 παρ. 5 στοιχ. γ), άρθρο 84, άρθρο 85, άρθρο 88, άρθρο 89 ΓΚΠΔ).
Πρόσθετη προς τούτο απόδειξη αποτελεί το γεγονός ότι όλα σχεδόν τα κράτη μέλη έσπευσαν να προβλέψουν
λίγο ή πολύ εφαρμοστικά μέτρα για το
ΓΚΠΔ, περαιτέρω δε προχώρησαν αυτονοήτως και στην ενσωμάτωση της
Αστυνομικής Οδηγίας. Εξάλλου,και στηνΑνακοίνωση της
Ευρωπαϊκής Επιτροπής για την ισχυρότερη προστασία, νέες ευκαιρίες
-Κατευθυντήριες γραμμές της Επιτροπής σχετικά με την άμεση εφαρμογή του γενικού
κανονισμού για την προστασία δεδομένων από την 25ηΜαΐου 2018[18]
αναφέρεται ρητώς σε ιδιαίτερο κεφάλαιο ότι τα κράτη μέλη πρέπει να οριστικοποιήσουν τη
θέσπιση του νομικού πλαισίου σε εθνικό επίπεδο (βλ. Κεφάλαιο 3) καθώς και ότι «Σε περίπτωση που κράτος μέλος
δεν λάβει τα αναγκαία μέτρα που απαιτούνται βάσει του κανονισμού, καθυστερήσει
να λάβει μέτρα ή χρησιμοποιήσει τις δυνατότητες θέσπισης πιο ειδικών διατάξεων
που προβλέπονται στον κανονισμό κατά τρόπο αντίθετο προς τον κανονισμό, η
Επιτροπή θα χρησιμοποιήσει όλα τα μέσα που έχει στη διάθεσή της,
συμπεριλαμβανομένης της κίνησης διαδικασίας επί παραβάσει».
Ο εθνικός νομοθέτης, σεβόμενος απόλυτα
το δεσμευτικό χαρακτήρα του ΓΚΠΔ, έκανε χρήση των «ρητρών ανοίγματος» και «ρητρών
ευελιξίας» που αυτός προβλέπει, όπως διεξοδικά θα αναπτυχθεί στη συνέχεια.
Περαιτέρω όμως προέκρινε τη θέσπιση ρυθμίσεων που δεν θα αποτελούσαν τροχοπέδη
για την τυχόν περαιτέρω ρύθμιση ειδικότερων θεμάτων με τομεακές ρυθμίσεις από
τα αρμόδια Υπουργεία ή δημόσιες αρχές, τόσο για τις ανάγκες του δημόσιου και του ιδιωτικού τομέα, αλλά θα
λειτουργούσαν ως ένα επαρκές πλαίσιο
προστασίας όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και
ως κατευθυντήριες γραμμές κατά τα λοιπά, τόσο για το δημόσιο όσο και για τον ιδιωτικό
τομέα.
Για λόγους σαφήνειας και ενόψει του ότι ο ΓΚΠΔ διακρίνει συχνά τον ιδιωτικό τομέα από
τις δημόσιες αρχές, για τις οποίες επιφυλάσσει ειδικότερη μεταχείριση, προφανώς
λόγω του ιδιαίτερου ρόλου τους (χαρακτηριστικότερη περίπτωση η πρόβλεψη της
δυνατότητας να μην επιβάλλονται σε αυτές διοικητικά πρόστιμα για παραβάσεις του
ΓΚΠΔ, σύμφωνα με το άρθρο 83 παράγραφο 7 του ΓΚΠΔ, με χρήση της σχετικής ρήτρας
ανοίγματος του ΓΚΠΔ [19])ο
εθνικός νομοθέτης επέλεξε να δώσει ορισμούς προκειμένου για δημόσιους και
ιδιωτικούς φορείς και για τις ανάγκες μόνο του παρόντος νόμου. Ενισχυτικό προς τούτο επιχείρημα αποτελεί :
α) η πρόβλεψη ήδη στο άρθρο 2 παρ. 2 στοιχ. δ) του ΓΚΠΔ σύμφωνα με την οποία «ο
παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού
χαρακτήρα … δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της
διερεύνησης, της ανίχνευσης, ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης
ποινικών κυρώσεων , συμπεριλαμβανόμενης της προστασίας της πρόληψης έναντι κινδύνων που απειλούν τη
δημόσια ασφάλεια» και β) η ευχέρεια που δίδεται στον εθνικό νομοθέτη
σύμφωνα με το άρθρο 23 παρ. 1 στοιχ. α) έως ε)
του ΓΚΠΔ να επιβάλει περιορισμούς
ως προς τα δικαιώματα του υποκειμένου, μεταξύ άλλων για λόγους ασφάλειας του
κράτους, εθνικής άμυνας, δημόσιας ασφάλειας, πρόληψης, ανίχνευσης διερεύνησης ή
της δίωξης ποινικών αδικημάτων, άλλων σημαντικών στόχων δημοσίου συμφέροντος,
συμπεριλαμβανομένων νομισματικών,
δημοσιονομικών, φορολογικών θεμάτων, προστασίας της ανεξαρτησίας της
δικαιοσύνης και των δικαστικών διαδικασιών
κ.λπ.).
Η διάκριση αυτή μεταξύ δημόσιου και ιδιωτικού
τομέα υπακούει αναμφισβήτητα στις διατάξεις του ΓΚΠΔ. Τούτο προκύπτει εναργώς από την
αιτιολογικές σκέψεις 7 και 8 του ΓΚΠΔ στις αναφέρεται ρητώς ότι με τη θέσπιση των
διατάξεων του ΓΚΠΔ ενισχύεται η ασφάλεια
δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς
παράγοντες και τις δημόσιες αρχές. Περαιτέρω δε, αναφέρεται ότι οσάκις ο παρών
κανονισμός προβλέπει προδιαγραφές ή περιορισμούς των κανόνων του από το δίκαιο
των κρατών μελών,τα κράτη μέλη μπορούν να ενσωματώσουν στοιχεία του παρόντος
κανονισμού στο εθνικό τους δίκαιο, στην
έκταση που απαιτείται για λόγους συνεκτικότητας και για να είναι αυτονόητες οι
εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρμόζονται σε συνδυασμό και
με το άρθρο 23 του ΓΚΠΔ. Εξάλλου, με το άρθρο 4 αριθμός 7 του ΓΚΠΔ με το οποίο δίνεται ο ορισμός του υπεύθυνου
επεξεργασίας γίνεται εκ νέου διάκριση μεταξύ φυσικών ή νομικών προσώπων ή
δημόσιας αρχής, ενώ περαιτέρω με το άρθρο 6 παράγραφος 2 και 3 του ΓΚΠΔ προβλέπονται συγκεκριμένες «ρήτρες ευελιξίας»
στο δημόσιο τομέα, προκειμένου να γίνουν οι απαραίτητες εθνικές ρυθμίσεις.[20]Εξάλλου,
η διάκριση αυτή μεταξύ δημόσιου και ιδιωτικού τομέα είναι συμβατή με το
Σύνταγμά μας, αφού ως γνωστόν αποδέκτες των υποχρεώσεων που συνάγονται από τα
προστατευόμενα από αυτό ατομικά δικαιώματα είναι το κράτος, ως προς τους
ιδιώτες δε, τα δικαιώματα αυτά
τριτενεργούν μόνο. Έτσι, γίνεται ορθά δεκτό ότι οι τιθέμενες διαφοροποιήσεις
στην επεξεργασία δεδομένων προσωπικού χαρακτήρα μεταξύ δημόσιου και ιδιωτικού
τομέα δικαιολογούνται εκ του γεγονότος ότι ο νομοθέτης κατά τη θεσμοθέτηση
κανόνων για την προστασία δεδομένων προσωπικού χαρακτήρα δεν λαμβάνει υπόψη του μόνο την θεμελιώδη υποχρέωση για την προστασία των
δεδομένων προσωπικού χαρακτήρα των θιγομένων αλλάκαι τα θεμελιώδη
δικαιώματατων υπεύθυνων επεξεργασίας. Οι
συνέπειες αυτού είναι η πρόβλεψη κατά
κανόνα φιλελεύθερων διατάξεων για την προστασία των δεδομένων στον ιδιωτικό
τομέα. Ωστόσο, η επιλογή αυτή διάκρισης μεταξύ δημόσιου και ιδιωτικού
τομέα ακολουθήθηκε και από τις εθνικές
νομοθεσίες άλλων κρατών μελών όπως λ,χ από τη Γερμανία[21]και
το Βέλγιο.[22]
Ο
εθνικός νόμος διακρίνεται σε πέντε (5)Kεφάλαια.
Το Κεφάλαιο Α΄ τιτλοφορείται ‘ΓΕΝΙΚΕΣ
ΔΙΑΤΑΞΕΙΣ’ και περιέχει το σκοπό του νόμου, το ουσιαστικό και εδαφικό πεδίο
εφαρμογής, τους ορισμούς, για το περιεχόμενο των οποίων έγινε αναφορά
παραπάνω,νομική βάση επεξεργασίας από δημόσιους φορείς και προβλέψεις για τον
ορισμό ΥΠΔ σε δημόσιους φορείς. Με βάση και τον τίτλο καθίσταται σαφές ότι το
Κεφάλαιο αυτό περιέχει κοινές διατάξεις για την ανάγκη λήψης μέτρων εφαρμογής
του ΓΚΠΔ, αλλά και για την ενσωμάτωση της Οδηγίας στην εθνική έννομη τάξη.
Ειδικότερα,με το άρθρο 5 του εθνικού
νόμου κρίθηκε σκόπιμη η θέσπιση μιας εθνικής νομικής βάσης για την επεξεργασία δεδομένων προσωπικού
χαρακτήρα από δημόσιους φορείς. Η πρόβλεψη αυτή είναι αναγκαία προς εκπλήρωση
της σχετικής ρήτρας ανοίγματος με το άρθρο 6 παράγραφος 3 του ΓΚΠΔ, σύμφωνα με την οποία η βάση για την
επεξεργασία που αναφέρεται στην παράγραφο
1 στοιχείο ε) του άρθρου 6 του ΓΚΠΔ προκειμένου για την
εκπλήρωση καθήκοντος που εκτελείται προς
το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον
υπεύθυνο επεξεργασίας θα πρέπει να προβλέπεται ή στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο
υπόκειται ο υπεύθυνος επεξεργασίας.
Περαιτέρω, ήταν αναγκαία και για τις ανάγκες της Οδηγίας. Πρόκειται για κοινή
επικουρική βάση, που καλύπτει όμως ήπιας μορφής επεξεργασίες δεδομένων
προσωπικού χαρακτήρα.
Με τα άρθρα6 έως 8 ρυθμίζεται
ειδικότερα το ζήτημα του ορισμού ΥΠΔ σε δημόσιους φορείς για λόγους συμμόρφωσης
του δημοσίου στην εκπορευόμενη ούτως ή άλλως
από τον ΓΚΠΔ υποχρέωσή του ( άρθρο 37 παρ. 1 στοιχεία α) του ΓΚΠΔ), παράλληλα
όμως ενσωματώνονται και οι σχετικές διατάξεις της Οδηγίας( άρθρα 32 επομ.). Η εξαντλητική περιγραφή των καθηκόντων κ.λπ. του ΥΠΔ υπαγορεύτηκε από την
ανάγκη ενσωμάτωσης της Οδηγίας.
Με το Κεφάλαιο Β΄,το οποίο
τιτλοφορείται «ΕΠΟΠΤΙΚΗ ΑΡΧΗ» και το
οποίο επίσης αφορά και τον ΓΚΠΔ και την ενσωμάτωση της Οδηγίας ρυθμίζεται το
νομοθετικό πλαίσιο της συνταγματικώς κατοχυρωμένης Αρχής Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα, η οποία ορίζεται ως
η κοινή εθνική εποπτική Αρχή για την προστασία των δεδομένων
προσωπικού χαρακτήρα. Προβλέπονται τα της συγκρότησης και λειτουργίας της
Αρχής, οι αρμοδιότητες και οι εξουσίες της, ρυθμίζονται ζητήματα του προσωπικού
της και του προϋπολογισμού της. Περαιτέρω ορίζεται ότι αρμόδιο δικαστήριο για
την εκδίκαση διαφορών κατά της Αρχής είναι το Συμβούλιο της Επικρατείας. Ο
ρόλος της Αρχής είναι καθοριστικός για
τον έλεγχο και την παρακολούθηση της προστασίας των δεδομένων προσωπικού
χαρακτήρα.
Με το Κεφάλαιο Γ΄, το οποίο
τιτλοφορείται «ΣΥΜΠΛΗΡΩΜΑΤΙΚΑ ΜΕΤΡΑ ΕΦΑΡΜΟΓΗΣ ΤΟΥ ΓΚΠΔ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ
ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ» ο εθνικός νομοθέτης κάνει χρήση των «ρητρών ανοίγματος»
και «ευελιξίας», ήτοι των τρόπο τινά εξουσιοδοτήσεων του ΓΚΠΔ προς τον εθνικό νομοθέτη (με την
αναγνώριση νομοθετικών αρμοδιοτήτων), όπου αυτό κρίθηκε απαραίτητο. Πρόκειται
για μια περίπτωση διαλόγου ενωσιακού και εθνικού νομοθέτη, με μεγάλες
προκλήσεις, τολμώ να πω, για τον εθνικό νομοθέτη.
Με το άρθρο 21 το οποίο αναφέρεται στη συγκατάθεση
ανηλίκου κατά την προσφορά υπηρεσιών της κοινωνίας της πληροφορίας, ορίζεται ως
όριο ηλικίας για την παροχή συγκατάθεσης ανηλίκου το 15ο έτος της
ηλικίας. Πρέπει να τονισθεί στο σημείο αυτό ότι επειδή ο όρος «παιδί» δεν
απαντάται σε εθνικό νομικό κείμενο, προκρίθηκε η επιλογή του όρου «ανήλικος»
για λόγους ευχερέστερης εφαρμογής της διάταξης.
Με το άρθρο 22 διευκρινίζεται υπό ποιες προϋποθέσεις
και για ποιους λόγους είναι δυνατή η επεξεργασία ειδικών κατηγοριών
δεδομένων προσωπικού χαρακτήρα. Δεδομένα προσωπικού χαρακτήρα, τα
οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη
δικαιώματα και ατομικές ελευθερίες χρήζουν ειδικής προστασίας, καθότι το
πλαίσιο επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς
κινδύνους για τα θεμελιώδη δικαιώματα και τις ατομικές ελευθερίες.[23] Πρότυπο
του άρθρου 9 του ΓΚΠΔ αποτέλεσε το άρθρο 8 της Οδηγίας 95/46/ΕΚ.
Σύμφωνα με το άρθρο 9 παράγραφος 1 ΓΚΠΔ, απαγορεύεται
καταρχήν η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Εντούτοις,
η παράγραφος 2 του άρθρου 9 του ΓΚΠΔ επιτρέπει κατ΄ εξαίρεση την επεξεργασία
ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, με το άρθρο 22 του ν. 4624/2019 ο εθνικός
νομοθέτης συμπληρώνει τις
εξαιρέσεις που προβλέπονται με το
άρθρο 9 παρ. 2 του ΓΚΠΔ.Διευκρινίζεται
ότι εκτός από τις εν λόγω εξαιρέσεις απαιτείται για την
επεξεργασία κατά τα λοιπά η ύπαρξη μιας
νομικής βάσης, από τις νομικές βάσεις που προβλέπονται στο άρθρο 6
παράγραφος 1 του ΓΚΠΔ.
Στο πνεύμα των ανωτέρω με το άρθρο 22 του ν. 4624/2019
προβλέφθηκαν περιπτώσεις (επιτρεπτικές ειδικές υποστάσεις διατάξεων) σύμφωνα με
τις οποίες είναι επιτρεπτή η επεξεργασία ευαίσθητων δεδομένων (δεδομένων που
αφορούν την υγεία, γενετικά, βιομετρικά κ.λπ.) από δημόσιους και ιδιωτικούς
φορείς με τη λήψη ενδεδειγμένων
εγγυήσεων, όπως η εμπιστευτικότητα, όταν
η επεξεργασία διενεργείται για λόγους προληπτικής ιατρικής, για την αξιολόγηση
της ικανότητας εργασίας του εργαζομένου, για ιατρική διάγνωση, για την παροχή
υγείας ή κοινωνικής περίθαλψης ή για τη διαχείριση των συστημάτων και υπηρεσιών
υγείας ή κοινωνικής περίθαλψης ή δυνάμει σύμβασης με επαγγελματία του τομέα
υγείας ή άλλου προσώπου που δεσμεύεται από το επαγγελματικό απόρρητο ή
είναι υπό την εποπτεία του.
Άλλες περιπτώσεις
είναι η επεξεργασία για την άσκηση
δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής
προστασίας και για την εκπλήρωση των συναφών υποχρεώσεων ή για λόγους
δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως σοβαρών
διασυνοριακών απειλών κατά της υγείας ή για την εξασφάλιση υψηλών προδιαγραφών
ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των
ιατροτεχνολογικών προϊόντων· επιπλέον των προστατευτικών μέτρων που αναφέρονται στην παράγραφο 3,
πρέπει να τηρούνται ιδίως οι διατάξεις που εξασφαλίζουν το επαγγελματικό
απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας. Επισημαίνεται ότι οι
προβλέψεις του εθνικού νόμου αφορούν
μόνο τις περιπτώσεις που παρέχεται η σχετική ευχέρεια από τον ΓΚΠΔ στον
εθνικό νομοθέτη, εκεί δηλαδή που ρητώς προβλέπεται από τον ΓΚΠΔ ότι η
επεξεργασία είναι απαραίτητη για σκοπούς …βάσει του δικαίου κράτους μέλους και
παράλληλα τίθεται και η σχετική πρόβλεψη για τη λήψη μέτρων ή τη θέσπιση
κατάλληλων εγγυήσεων κατά την επεξεργασία αυτή, για τη διασφάλιση των
θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων [στοιχεία β) , η) και θ) της
παρ. 2 του άρθρου 9 τουΓΚΠΔ].
Ενδιαφέρουσα είναι η παράγραφος 2 του άρθρου 22
του ν. 4624/2019 με την οποία γίνεται
χρήση από τον εθνικό νομοθέτη της ρήτρας ανοίγματος του στοιχείου ζ) της
παραγράφου 2 του άρθρου 22 του ν. 4624/2019 και εξειδικεύεται πότε η
επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημοσίου συμφέροντος
σύμφωνα με το δίκαιο του κράτους μέλους, το οποίο είναι ανάλογο προς τον
επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των
δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των
θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.Με
αυτό το πνεύμα με την παράγραφο 2 του άρθρου22 ορίζεται ότι η επεξεργασία ειδικών κατηγοριών δεδομένων
προσωπικού χαρακτήρα με την έννοια του
άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους φορείς επιτρέπεται,
εφόσον είναι απολύτωςαπαραίτητη για λόγους ουσιώδους δημοσίου
συμφέροντος,είναι απαραίτητη για την αποτροπή σημαντικής απειλής
για την εθνική ή δημόσια ασφάλεια· ή
είναι απαραίτητη για την λήψη ανθρωπιστικών μέτρων ·και στις
περιπτώσεις αυτές το συμφέρον του
υπεύθυνου επεξεργασίας είναι υπέρτερο
του συμφέροντος του υποκειμένου των δεδομένων.
Τέλος, με την παράγραφο 3 προβλέπονται όλα εκείνα τα
κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των
δεδομένων προσωπικού χαρακτήρα. Λαμβάνοντας υπόψη την κατάσταση της
τεχνολογίας, το κόστος εφαρμογής και τη φύση, την έκταση, το
πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που
θέτει, ανάλογα με τη σοβαρότητά τους στα δικαιώματα και τις
ελευθερίες των φυσικών προσώπων η επεξεργασία αυτή, στα μέτρα αυτά
μπορούν να περιλαμβάνονται ιδίως: α) τεχνικά και οργανωτικά
μέτρα που διασφαλίζουν ότι η επεξεργασία είναι σύμφωνη με τον ΓΚΠΔ∙β)
μέτρα για να διασφαλιστεί ότι είναι δυνατή η εκ των υστέρων επαλήθευση και ο
προσδιορισμός τού εάν και από ποιον έχουν εισαχθεί, τροποποιηθεί ή
αφαιρεθεί τα προσωπικά δεδομένα∙γ) μέτρα για την ενδυνάμωση της
ευαισθητοποίησης του προσωπικού που ασχολείται με την επεξεργασία· δ) ορισμό ΥΠΔ·ε)
περιορισμοί
πρόσβασης από τους υπεύθυνους
επεξεργασίας και εκτελούντες την επεξεργασία·στ) η χρήση
ψευδωνύμων των δεδομένων προσωπικού χαρακτήρα·ζ) η
κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·η) μέτρα για τη
διασφάλιση της ικανότητας, της εμπιστευτικότητας, της ακεραιότητας, της
διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας
που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα,
συμπεριλαμβανομένης της δυνατότητας ταχείας αποκατάστασης της
διαθεσιμότητας και της πρόσβασης σε περίπτωση φυσικού ή τεχνικού συμβάντος·θ)
διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της
αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων γιατη διασφάλιση της
ασφάλειας της επεξεργασίας·ι) ειδικούς κανόνες
διασφάλισης της συμμόρφωσης με τον παρόντα νόμο και τον ΓΚΠΔ
σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς.
Με το ανωτέρω πλέγμα διατάξεων τίθεται σε εθνικό
επίπεδο ένα ισχυρό πλαίσιο προστασίας
του υποκείμενου των δεδομένων, όταν διενεργείται επεξεργασία
ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που το αφορούν, το οποίο
ευχερώς μπορεί να τύχει ανάλογης
εφαρμογής και σε τυχόν τομεακές ρυθμίσεις.
Η ρύθμιση αυτή καλύπτει ζωτικούς τομείς όπως τον τομέα
της υγείας,(πρωτοβάθμια, δευτεροβάθμια περίθαλψη,νοσοκομεία Ε.Σ.Υ.), της
κοινωνικής ασφάλισης (χαρακτηριστική η περίπτωση της επεξεργασίας ευαίσθητων
δεδομένων από την ΗΔΙΚΑ ΑΕ, κοινωνικής προστασίας και πρόνοιας με χαρακτηριστικό παράδειγμα το κοινωνικό
οικιακό τιμολόγιο, η παροχή του κοινωνικού επιδόματος αλληλεγγύης ή άλλων
επιδομάτων). Όσον αφορά ειδικότερα τη χώρα μας η πρόβλεψη κρίθηκε απαραίτητη
και λόγω της αντιμετώπισης των προσφυγικών – μεταναστευτικών ροών, δοθέντος ότι
κατά την ταυτοποίηση των προσώπων τους
διενεργείται επεξεργασία προεχόντως ευαίσθητων δεδομένων προσωπικού χαρακτήρα (λ.χ.
βιομετρικών).
Εθνική πρόβλεψη
για την επεξεργασία τέτοιων δεδομένων ανευρίσκεται στο άρθρο 22 του γερμανικού [24] και στο
άρθρο 8 του γαλλικού[25]
αντίστοιχου νόμου για την προστασία δεδομένων προσωπικού χαρακτήρα.
Σύμφωνα με το άρθρο 23 του εθνικού νόμου και κατ’ εφαρμογή
της παραγράφου 4 του άρθρου 9 του ΓΚΠΔ
απαγορεύθηκε η επεξεργασία γενετικών
δεδομένων για σκοπούς ασφάλισης υγείας και ζωής. Με το άρθρο 23 σύμφωνα
με τη σχετική ευχέρεια που δίνεται στον εθνικό νομοθέτη να διατηρεί ή να
θεσπίζει περαιτέρω όρους, μεταξύ άλλων και
περιορισμούς, κατ΄ εφαρμογή της παραγράφου 4 («ρήτρα
ανοίγματος») του άρθρου 9 του ΓΚΠΔ προβλέπεται
ρητώς η απαγόρευση της επεξεργασίας γενετικών δεδομένων για σκοπούς
ασφάλισης υγείας και ζωής. Η παράγραφος 4 του άρθρου 9 παραπέμπει
στο άρθρο 6 παράγραφος 3 εδάφιο
β΄ του ΓΚΠΔ σύμφωνα με το οποίο τα κράτη
μέλη μπορούν για την προσαρμογή των κανόνων του ΓΚΠΔ να προβλέψουν
ειδικές διατάξεις. Η απαγόρευση αυτή είναι σύμφωνη με την αρχή, η
οποία διακηρύσσεται στο άρθρο 12 παράγραφος 1 της Σύμβασης του Συμβουλίου της
Ευρώπης για την προστασία των ανθρωπίνων δικαιωμάτων και της αξιοπρέπειας του
ατόμου σε σχέση με τις εφαρμογές της βιολογίας και της ιατρικής - Σύμβαση για
τα Ανθρώπινα Δικαιώματα και τη Βιοϊατρική.
Ενδιαφέρουσες είναι περαιτέρω και οι ρυθμίσεις των
άρθρων 24-26 του εθνικού νόμου με τις
οποίες ρυθμίζεται ειδικότερα η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από
δημόσιους και ιδιωτικούς φορείς .
Με το άρθρο 24 παρέχεται στους δημόσιους
φορείς μια εθνική νομική βάση για την επεξεργασία δεδομένων προσωπικού
χαρακτήρα από τον ίδιο υπεύθυνο επεξεργασίας για σκοπό διαφορετικό από
αυτόν για τον οποίο τα είχε αρχικά συλλέξει (περαιτέρω
επεξεργασία). Πρόκειται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που
διενεργείται από δημόσιους φορείς σύμφωνα με νομική υποχρέωση, την
οποία υπέχει ο υπεύθυνος επεξεργασίας ή όταν η επεξεργασία είναι αναγκαία για
την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την
άσκηση δημόσιας εξουσίας. Ανάλογη διάταξη δεν υπήρχε στην Οδηγία 95/46/ΕΚ και η
πρόβλεψή της δεν ήταν αναγκαία, αφού σύμφωνα με το άρθρο 288 παρ. 3
της ΣΛΕΕ τα κράτη μέλη ενσωματώνουν την Οδηγία και έτσι αυτά θεσπίζουν
από μόνα τους το δίκαιο για την προστασία των δεδομένων προσωπικού
χαρακτήρα. Ο εθνικός νομοθέτης στηρίζεται εδώ στην παράγραφο 3 του
άρθρου 6 του ΓΚΠΔ, κάνοντας χρήση της λεγόμενης «ρήτρας
ανοίγματος», η οποία προβλέπεται ευρύτερη σε σύγκριση με τη «ρήτρα
ανοίγματος» της παραγράφου 2 του ιδίου άρθρου του ΓΚΠΔ. Πιο συγκεκριμένα,
πρόκειται για μία «γνήσια ρήτρα ανοίγματος» σύμφωνα με την οποία
ο ΓΚΠΔ καταδεικνύει ότι στο πεδίο εφαρμογής του πρώτου εδαφίου και
των στοιχείων γ) και ε) της παραγράφου
1 του άρθρου 6 του ΓΚΠΔ δεν περιέχει καμία αποκλειστική ρύθμιση,
αλλά παρέχει στα κράτη μέλη σύμφωνα με την παράγραφο 3 ένα αυτόνομο
ρυθμιστικό περιθώριο. Το πρώτο εδάφιο της παραγράφου 3 του ΓΚΠΔ, όπως
μπορεί να αντιληφθεί κάποιος, έχει πολύ ευρύ περιεχόμενο: καλύπτει
όλες τις νομικές υποχρεώσεις σε όλο το φάσμα των σχέσεων μεταξύ πολίτη και
κράτους, ήτοι καλύπτει το επιτρεπτό της επεξεργασίας δεδομένων προσωπικού
χαρακτήρα από την κρατική αρχειοθέτηση έως τις τελωνειακές υπηρεσίες.
|
|
||||
Σύμφωνα με την παράγραφο 1, η ειδική αυτή εθνική
νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους
δημόσιους φορείς για σκοπό διαφορετικό από εκείνο για τον οποίο αρχικά
συλλέχθησαν προϋποθέτει την πλήρωση μιας από τις ουσιαστικές
προϋποθέσεις της παραγράφου 1. Αυτό ισχύει ανεξάρτητα από το εάν οι σκοποί της
περαιτέρω επεξεργασίας είναι συμβατοί με τους σκοπούς για τους οποίους
συλλέχθηκαν αρχικά τα δεδομένα σύμφωνα με το άρθρο 6 παράγραφος 4 του ΓΚΠΔ.
Με την παράγραφο 2 καθίσταται σαφές, όσον αφορά
την περαιτέρω επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
κατά την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ, ότι, πέραν της
ύπαρξης μίας από τις προϋποθέσεις της παραγράφου 1, πρέπει να υπάρχει και μία εξαίρεση
βάσει του άρθρου 9 παράγραφος 2 του ΓΚΠΔ ή σύμφωνα με το άρθρο 22
του εθνικού νόμου. Η διάταξη κάνει χρήση του ρυθμιστικού εύρους που θεσπίστηκε
με το ΓΚΠΔ, ο οποίος υποχρεώνει τα κράτη μέλη να θεσπίζουν εθνικούς κανόνες σε
περιπτώσεις που ο σκοπός της περαιτέρω επεξεργασίας είναι ασυμβίβαστος με τον
αρχικό σκοπό, εφόσον τούτο παρίσταται ως αναγκαίο και
αναλογικό μέτρο σε μια δημοκρατική κοινωνία για την προστασία
των στόχων που αναφέρονται στο παρόν άρθρο.
Διευκρινίζεται ότι η ρύθμιση αυτή είναι άκρως απαραίτητη για την εύρυθμη λειτουργία των δημόσιων φορέων. Και τούτο διότι με αυτήν δίνεται η δυνατότητα για επεξεργασία
δεδομένων προσωπικού χαρακτήρα για σκοπό διαφορετικό από αυτόν που έχουν
συλλεχθεί, πάντοτε μέσα στο πλαίσιο των
καθηκόντων του δημόσιου φορέα, σε σαφώς όμως καθορισμένες περιπτώσεις και ειδικότερα όταν είναι
απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο
των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές
είναι εσφαλμένες· είναι αναγκαία για την αποτροπή κινδύνων για την εθνική ασφάλεια, εθνική άμυνα ή
δημόσια ασφάλεια, ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων·
είναι αναγκαία για τη δίωξη ποινικών αδικημάτων· είναι αναγκαία για την
αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου· ή είναι
απαραίτητη για την προαγωγή των επίσημων στατιστικών.
Περαιτέρω, στην
παράγραφο 2 προβλέπεται ότι η
επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά
αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό
διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον
πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από
τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις
ή το άρθρο 22 του παρόντος. Πρόκειται για
διάταξη επεξηγηματικού χαρακτήρα, με την επισήμανση ότι το
άρθρο 22 του νόμου εφαρμόζεται σε
αντιστοιχία με το άρθρο 9 παρ. 2 του ΓΚΠΔ.
Με το άρθρο 25 δημιουργείται μια εθνική
νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς
φορείς. Εφόσον πληρούται μία από τις προϋποθέσεις της παραγράφου 1, η
επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς μπορεί να
βασίζεται στη διάταξη αυτή, ανεξάρτητα από το εάν οι σκοποί της περαιτέρω
επεξεργασίας είναι συμβατοί με τους αρχικούς σκοπούς για τους οποίους τα
δεδομένα συλλέχθηκαν, σύμφωνα με το άρθρο 6 παράγραφος 4 του ΓΚΠΔ. Η παράγραφος
2 καθιστά σαφές για την περαιτέρω επεξεργασία ειδικών κατηγοριών δεδομένων
προσωπικού χαρακτήρα ότι, εκτός από την ύπαρξη ενός από τους πραγματικούς όρους
της παραγράφου 1, εφαρμόζεται η εξαίρεση του άρθρου 9 παράγραφος 2 του
ΓΚΠΔ ή το άρθρο 22. Η διάταξη κάνει χρήση του ρυθμιστικού εύρους που
δημιουργείται από το ΓΚΠΔ, ο οποίος απαιτεί από τα κράτη μέλη να μπορούν να
θεσπίσουν εθνικούς κανόνες σε περιπτώσεις κατά τις οποίες ο σκοπός
της περαιτέρω επεξεργασίας δεν είναι συμβατός με τον αρχικό σκοπό, στο μέτρο
που η εθνική νομοθεσία συνιστά «αναλογικό και αναγκαίο μέτρο σε μια δημοκρατική
κοινωνία για την προστασία των προσώπων (…) » που αναφέρεται στο άρθρο 23 παρ.
1 του ΓΚΠΔ.
Η ρύθμιση αυτή
προβλέπει ότι ειδικώς η επεξεργασία για άλλους σκοπούς από ιδιωτικούς φορείς
για την αποτροπή απειλών κατά της
εθνικής ή δημόσιας ασφάλειας γίνεται μόνο κατόπιν αιτήματος δημόσιου
φορέα. Η πρόβλεψη αυτή κρίθηκε απολύτως αναγκαία ιδιαιτέρα για την αντιμετώπιση
πχ κυβερνοεπιθέσεων ή άλλου
είδους δολιοφθορών κατά
κοινωφελών επιχειρήσεων της χώρας
(ΔΕΚΟ), όπως η ΔΕΗ, ΔΕΣΦΑ, ΕΥΔΑΠ κ.λπ., οι οποίες δεν ανήκουν για τις
ανάγκες του παρόντος νόμου στην έννοια του δημόσιου φορέα. Είναι περαιτέρω
απαραίτητη, όσον αφορά τη δίωξη των ποινικών αδικημάτων, λόγω της τιθέμενης με
το άρθρο 10 του ΓΚΠΔ απαγόρευσης της επεξεργασίας δεδομένων προσωπικού
χαρακτήρα όταν αυτά αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφαλείας, και της
διενέργειας της επεξεργασίας τους μόνο
υπό τον έλεγχο επίσημης αρχής ή όταν
προβλέπει σχετικώς το εθνικό δίκαιο, όπως στην συγκεκριμένη περίπτωση.
Χαρακτηριστικό παράδειγμα είναι η δυνατότητα
χρήσης του υλικού από κάμερα
παρακολούθησης, η οποία έχει τεθεί και λειτουργεί για την προστασία προσώπων
και αγαθών, ενώπιον ποινικού δικαστηρίου ή αρχής αρμόδιας για την επιβολή του
νόμου σε περίπτωση συμβάντος, ποινικού ενδιαφέροντος.
Περαιτέρω, στην παράγραφο 2 προβλέπεται ότι η επεξεργασία ειδικών κατηγοριών δεδομένων
προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1
του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί,
επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και
εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του
ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος. Πρόκειται και εδώ για
διάταξη επεξηγηματικού χαρακτήρα, με την επισήμανση ότι το
άρθρο 22 του νόμου εφαρμόζεται σε
αντιστοιχία με το άρθρο 9 παρ. 2 του ΓΚΠΔ
Με το άρθρο 26 εισάγεται ρύθμιση για τη
διαβίβαση δεδομένων από δημόσιους φορείς, λαμβάνοντας υπόψη την ρητή
πρόβλεψη νόμου. Το εν λόγω άρθρο δημιουργεί ουσιαστικά μια εθνική
νομική βάση για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιους
φορείς, όταν πρόκειται για σκοπό διαφορετικό από εκείνο για τον οποίο αρχικά
συλλέχθηκαν τα δεδομένα. Η ρύθμιση εφαρμόζεται, επίσης, στην περίπτωση
που μια δημόσια αρχή υποβάλλει σε επεξεργασία δεδομένα που συλλέχθηκαν αρχικά
για τους σκοπούς του άρθρου 43 (ήδη εντός του πεδίου εφαρμογής της ενσωματωθείσας
Οδηγίας) σε τρίτο μέρος που επιθυμεί να επεξεργαστεί τα δεδομένα για τους
σκοπούς του ΓΚΠΔ. Η παράγραφος 1 ρυθμίζει τις προϋποθέσεις για τη
διαβίβαση δεδομένων προσωπικού χαρακτήρα σε δημόσιους φορείς. Η ρύθμιση
καλύπτει τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, στο μέτρο που αυτές
είναι απαραίτητες για την εκπλήρωση της αποστολής τους. Η διαβίβαση
αυτή επιτρέπεται βάσει της παρούσας διάταξης, εάν πληρούνται οι
προϋποθέσεις για τη επεξεργασία για άλλον σκοπό σύμφωνα με το άρθρο 24 του
παρόντος. Η παράγραφος 2 ρυθμίζει τις προϋποθέσεις για τη διαβίβαση
δεδομένων προσωπικού χαρακτήρα σε ιδιωτικούς φορείς. Η παράγραφος 3
καθιστά σαφές ότι για την υποβολή σε επεξεργασία ειδικών κατηγοριών
δεδομένων προσωπικού χαρακτήρα εκτός από το ότι
απαιτείται η πλήρωση ενός από τους όρους των παραγράφων 1 ή
2, πρέπει επίσης, να προβλέπεται και μία εξαίρεση βάσει του άρθρου 9
παράγραφος 2 του ΓΚΠΔ ή του άρθρου 22 του παρόντος. Πρόκειται επίσης
και εδώ για διάταξη επεξηγηματικού
χαρακτήρα, με την επισήμανση ότι το άρθρο 22 του νόμου εφαρμόζεται σε αντιστοιχία με το άρθρο 9 παρ.
2 του ΓΚΠΔ.
Ακολούθως, με τα άρθρα 27- 30 και 42 του εθνικού νόμου, ρυθμίζονται σε εθνικό επίπεδο,
σύμφωνα και με το κεφάλαιο ΙΧ του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού
χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης, η επεξεργασία και ελευθερία
έκφρασης και πληροφόρησης, η επεξεργασία δεδομένων για σκοπούς αρχειοθέτησης
προς το δημόσιο συμφέρον, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για
σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών
στοιχείων και η πρόσβαση του κοινού σε έγγραφα.
Με το άρθρο 27 προβλέπεται η
επεξεργασία δεδομένων προσωπικού
χαρακτήρα, στο πλαίσιο της σύμβασης
εργασίας σε συμφωνία με τη «ρήτρα ανοίγματος» της παραγράφου 1 του
άρθρου 88 του ΓΚΠΔ. Η εν λόγω ρήτρα επιτρέπει τη θέσπιση εθνικών ρυθμίσεων
επεξεργασίας δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης, εκτός
από τον δημόσιο και στον ιδιωτικό τομέα.Λαμβάνεται ειδικότερη πρόνοια στην περίπτωση που η
επεξεργασία έχει κατ’ εξαίρεση ως νομική βάση τη συγκατάθεση του εργαζόμενου,
για την επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα των εργαζομένων
για συγκεκριμένους λόγους και μόνο με τη λήψη κατάλληλων προστατευτικών μέτρων,
για τα συστήματα οπτικής καταγραφής σε χώρους εργασίας και δίνεται ο ορισμός
του εργαζόμενου για τις ανάγκες του παρόντος νόμου.
Με το άρθρο 28 ρυθμίζεται η επεξεργασία
δεδομένων προσωπικού χαρακτήρα για τους σκοπούς και στο πλαίσιο άσκησης της
ελευθερίας της έκφρασης, συμπεριλαμβανομένης και της ακαδημαϊκής ελευθερίας (βλ
άρθρο 13 του Χάρτη), σύμφωνα με την ευχέρεια που αναγνωρίζει στον εθνικό
νομοθέτη το άρθρο 85 του ΓΚΠΔ και λαμβανόμενης υπόψη της νομολογίας του ΔΕΕ και
του ΕΔΔΑ[26].
Με την παράγραφο 2 του προτεινόμενου άρθρου προβλέπεται σε εκτέλεση
του άρθρου 85 του ΓΚΠΔ η δυνατότητα από τα κράτη μέλη θέσπισης εξαιρέσεων
και παρεκκλίσεων από την εφαρμογή διατάξεων συγκεκριμένων Κεφαλαίων
του τελευταίου, εφόσον είναι αναγκαίο για να συμβιβασθεί το δικαίωμα στην
προστασία δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία έκφρασης
και πληροφόρησης, όπως κατοχυρώνεται στο άρθρο 11 του Χάρτη.
Με το άρθρο 29 ρυθμίζεται η επεξεργασία δεδομένων
προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον και λαμβάνεται πρόνοια η επεξεργασία για τα
ευαίσθητα δεδομένα να γίνεται σύμφωνα με τις αρχές της αναγκαιότητας και αναλογικότητας σε
σχέση με τον επιδιωκόμενο σκοπό και μετά από λήψη
συγκεκριμένων μέτρων για την προστασία των έννομων συμφερόντων του
υποκειμένου των δεδομένων. Στο ίδιο πνεύμα με το άρθρο 30 ρυθμίζεται η
επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής ή
ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων .Όσον αφορά
τα ευαίσθητα δεδομένα λαμβάνεται πρόνοια η επεξεργασία να γίνεται σύμφωνα με τις αρχές της αναγκαιότητας και αναλογικότητας προς τον
επιδιωκόμενο σκοπό και λήψης συγκεκριμένων μέτρων. Στην επεξεργασία
δεδομένων προσωπικού χαρακτήρα για στατιστικούς λόγους λαμβάνεται
ιδιαίτερα υπόψη η αρχή της ελαχιστοποίησης. Τέλος, με το άρθρο 42 λαμβάνεται από τον νομοθέτη
η ειδικότερη πρόνοια ότι έγγραφα που
περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που χορηγούνται από φορείς του
δημόσιου τομέα που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 1 του Κώδικα Διοικητικής Διαδικασίας (ν.
2690/1999, Α΄ 45), όπως ισχύει, χορηγούνται σύμφωνα με τους όρους και τις
προϋποθέσεις που προβλέπονται από το άρθρο
5 του ανωτέρω Κώδικα και σύμφωνα με τις λοιπές διατάξεις που αφορούν στη
χορήγηση εγγράφων από τον εκάστοτε φορέα, αρχή ή υπηρεσία. Με την
παράγραφο 2 ορίζεται ότι η εφαρμογή των
διατάξεων του άρθρου 22 του Κώδικα Οργανισμού Δικαστηρίων και Κατάστασης
Δικαστικών Λειτουργών(ν.1756/1988,Α΄35) παραμένει ανεπηρέαστη.
Ακολούθως, με τα άρθρα 31 – 35 τίθενται σύμφωνα και με το άρθρο 23 παράγραφος 1 του ΓΚΠΔ περιορισμοί ως προς τα δικαιώματα
του υποκειμένου των δεδομένων με διάκριση μεταξύ της άμεσης ή έμμεσης συλλογής
αυτών, με λήψη υπόψη ότι ο τιθέμενος περιορισμός σέβεται την ουσία των
θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο
σε μια δημοκρατική κοινωνία, για τη
διασφάλιση των αναφερόμενων στο άρθρο 23 παρ. 1 του ΓΚΠΔ σκοπών και με σύμφωνα με τους προβλεπόμενους στην παρ.2 του ανωτέρω άρθρου του ΓΚΠΔ περιορισμούς.[27]
Με το άρθρο 37 ρυθμίζονται τα της διαπίστευσης φορέων
πιστοποίησης .
Με το άρθρο 38 προβλέπεται σύστημα ποινικών κυρώσεων
και με το άρθρο 39 σύστημα διοικητικών κυρώσεων για δημόσιους φορείς του στενού
δημόσιου τομέα, σύμφωνα με τη σχετική «ρήτρα ανοίγματος» του άρθρου 83 παρ.7
του ΓΚΠΔ.[28]Επισημαίνεται
ότι τα πρόστιμα στο στενό δημόσιο τομέα, ο οποίος οριοθετείται με παραπομπή σε
συγκεκριμένη διάταξη νόμου, εξαιρούμενων των ΔΕΚΟ, είναι αντιστοίχως υψηλά με
αυτά που επιβάλλονται βάσει του ΓΚΠΔ στους ιδιωτικούς φορείς και μπορούν να
φθάσουν έως και το ύψος των 10.000.000 ευρώ.
Με το άρθρο 40 ρυθμίζονται ζητήματα ειδικής δωσιδικίας
των πολιτικών δικαστηρίων και με το
άρθρο 41 η εκπροσώπηση
υποκειμένου των δεδομένων.
III. Ενσωμάτωση στην εθνική έννομη τάξη της Οδηγίας για την προστασία δεδομένων
προσωπικού χαρακτήρα από τις αρχές
επιβολής του νόμου και κατά τις ποινικές διαδικασίες
Με το Κεφάλαιο Δ΄ ενσωματώνεται στην εθνική έννομη
τάξη η Οδηγία 2016/680, η λεγόμενη και ως «Αστυνομική Οδηγία».
Όπως και ο
ΓΚΠΔ, η Οδηγία 2016/680 εγκρίθηκε τον
Μάιο του 2016, αποτελώντας ένα σημαντικό βήμα προς τα εμπρός για τη θέσπιση
ενός ολοκληρωμένου καθεστώτος προστασίας των δεδομένων της ΕΕ, ως το πρώτο
οριζόντιο και νομικά δεσμευτικό μέσο που καθορίζει τους κανόνες για την εθνική
και διασυνοριακή επεξεργασία των δεδομένων προσωπικού χαρακτήρα στον τομέα της
επιβολής του νόμου. Επιπλέον, η αστυνομική Οδηγία αποτελεί ένα σύγχρονο νομικό εργαλείο, σχεδιασμένο για την
επεξεργασία προσωπικών δεδομένων στην ψηφιακή εποχή. Ως το δεύτερο σκέλος της δέσμης μεταρρυθμίσεων για
την προστασία των δεδομένων που είχε συζητηθεί επί τέσσερα έτη, η οδηγία έλαβε
λιγότερη προσοχή από τον ΓΚΠΔ. Ωστόσο, δύο βασικοί στόχοι της Οδηγίας είναι
πολύ σημαντικοί για να παραμεληθούν: το αυξημένο επίπεδο προστασίας των
θεμελιωδών δικαιωμάτων στον τομέα της αστυνομικής και ποινικής δικαιοσύνης και η βελτιωμένη κοινή χρήση δεδομένων προσωπικού χαρακτήρα μεταξύ των
κρατών μελών, καθώς θα είναι σε θέση να στηρίζονται σε ενιαίους κανόνες
προστασίας των δεδομένων.[29]
Επισημαίνεται ότι οι διατάξεις του Κεφαλαίου Δ΄
εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα από
δημόσιες αρχές που είναι αρμόδιες για την πρόληψη,
διερεύνηση, ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση
ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της
δημόσιας ασφάλειας και της αποτροπής τους. Στις ως άνω περιπτώσεις οι αρμόδιες
αρχές θεωρούνται πάντοτε ως υπεύθυνοι επεξεργασίας.Η οριοθέτηση μεταξύ
πεδίου εφαρμογής του ΓΚΠΔ και της Οδηγίας ( ήδη του Κεφαλαίου Δ΄ του ν.
4624/2019) ανευρίσκεται στο σκοπό της Οδηγίας και ήδη στο άρθρο 43 του ν. 4624/2019 και για την εφαρμογή του Κεφαλαίου Δ΄ θα πρέπει να
εκπληρώνονται δύο κριτήρια: α) η επεξεργασία να διενεργείται από αρμόδια αρχή
και β) για τους σκοπούς του άρθρου 43.[30] Όπου
στο παρόν Κεφάλαιο περιλαμβάνονται διατάξεις για τους εκτελούντες
την επεξεργασία, οι διατάξεις του εφαρμόζονται και σε
αυτούς.Τέτοιες αρχές είναι οι δικαστικές (ποινικά δικαστήρια,
συμπεριλαμβανομένων και των ανακριτών και πταισματοδικών) και
εισαγγελικές αρχές και εν γένει οι αρχές επιβολής του νόμου (αστυνομία,
λιμενικό σώμα, ελληνική ακτοφυλακή, Πυροσβεστικό Σώμα) καθώς και οι
τελωνειακές αρχές και άλλες δημόσιες αρχές, όταν επεξεργάζονται δεδομένα
προσωπικού χαρακτήρα για τους σκοπούς του Κεφαλαίου αυτού.
Με την ενσωμάτωση της Οδηγίας επιδιώκεται η εναρμόνιση
ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της
Οδηγίας και η δημιουργία ενός συνεκτικού πλαισίου για την ευχερή ανταλλαγή
πληροφοριών μεταξύ των κρατών μελών της ΕΕ. Ορίζονται οι Γενικές Αρχές, νομικές
βάσεις της επεξεργασίας, τα δικαιώματα του υποκειμένου των δεδομένων
ενημέρωσης, πρόσβασης, διαγραφής,
διόρθωσης, περιορισμού,αντίταξη κ.λπ., οι υποχρεώσεις του εκτελούντος την
επεξεργασία και υπεύθυνου επεξεργασίας,οι διαβιβάσεις προς τρίτες χώρες ή
διεθνείς οργανισμούς, η συνεργασία μεταξύ εποπτικών χωρών και η ευθύνη και οι
κυρώσεις.
Με το Κεφάλαιο Ε΄ τίθενται οι μεταβατικές και τελικές
διατάξεις. Ιδιαίτερο ενδιαφέρον παρουσιάζει η πρόβλεψη με το άρθρο 83 ότι
όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν.
2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του
παρόντος, καθώς και ότι οι οδηγίες και κανονιστικές πράξεις της Αρχής
διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον ΓΚΠΔ και
στις ρυθμίσεις του παρόντος, δοθέντος ότι με τον τρόπο αυτό επιτυγχάνεται η
ομαλή μετάβαση στο νέο κανονιστικό καθεστώς (opt- in).
IV. Συμπέρασμα
Ο ΓΚΠΔμαζί με την ενσωματωθείσα στο εθνικό μας δίκαιο
αστυνομική οδηγία αποτελούν αναμφισβήτητα τα νομικά κείμενα που ρυθμίζουν
την προστασία του θεμελιώδους δικαιώματος της προστασίας των δεδομένων προσωπικού
χαρακτήρα. Ο εφαρμοστικός εθνικός νόμος ως προς τα συμπληρωματικά μέτρα εφαρμογής
του ΓΚΠΔ λειτουργεί συμπληρωματικά,
τρόπον τινά υποστηρικτικά ως προς τον ΓΚΠΔ, και έτσι οφείλει να αντιμετωπίζεται
από τον ερμηνευτή και εφαρμοστή του δικαίου. Σεβόμενος απόλυτα το διάλογο
μεταξύ ενωσιακού και εθνικού νομοθέτη και προσηλωμένος απόλυτα στην ενωσιακή
ορολογία και το ενωσιακό δίκαιο, θέτει τα νομικά θεμέλια για περαιτέρω τομεακές
ρυθμίσεις.Η μινιμαλιστική -αφαιρετική δομή
του νόμου όσο και η μη εξαντλητική ρύθμιση όλων των τομέων της δημόσιας και
ιδιωτικής δράσης αποτελούν κατά την άποψή μου και τα προτερήματά του.
Είναι αυταπόδεικτο ότιεν τοις πράγμασι δενήταν εφικτό στο πλαίσιο ενός νόμου να ρυθμιστούν εξαντλητικά τομείς του
δικαίου,οι οποίοι λόγω της φύσης τους, της πολυπλοκότητάς τους, της
ιδιαιτερότητάς τους και του εύρους των ρυθμιστικών πεδίων τους απαιτούν
ειδικές τομεακές νομοθετικές ρυθμίσεις.
Οι προκλήσεις της ψηφιακής εποχής,[31] οι
ραγδαίες τεχνολογικές εξελίξεις που αγγίζουν ήδη και το χώρο της Δικαιοσύνης θα
δώσουν σίγουρα το έναυσμα για τομεακές ρυθμίσεις στον χώρο της προστασίας των
δεδομένων προσωπικού χαρακτήρα. Χαρακτηριστικόπαράδειγμααποτελείη εφαρμογή της τεχνολογίας
του blockchain και στο χώρο της δικαιοσύνης, ήτοι η διερεύνηση περιπτώσεων χρήσης της
τεχνολογίας αλυσίδας συστοιχιών στον τομέα της ηλεκτρονικής δικαιοσύνης, η τεχνητή νοημοσύνη, η διαλειτουργικότητα συστημάτων και η διασύνδεση
νομικών δεδομένων (e-justice).Η περαιτέρω οργάνωση μέσω θέσπισης τομεακών
ρυθμίσεων του χώρου του διαδικτύου, αποτελεί επίσης μία αντίστοιχου μεγέθους
πρόκληση για τον εθνικό νομοθέτη.Τέλος,
ο υπό συζήτηση στο Συμβούλιο
Κανονισμός e-privacy για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών
επικοινωνιών, η τεχνολογία blockchain- smartcontracts, το cloudcomputing,το quantumcomputing,είναι μόνο λίγες από τις προκλήσεις που ανοίγονται
μπροστά μας σε επίπεδο νομοθετικού έργου.
ΚαισύμφωναμεδήλωσητουLawrenceLessig,τηνοποίααπολύτωςασπάζομαι: “Whengovernmentdisappears, it’snotasifparadisewilltakeitsplace.
When governmentsare gone, other interests will take their place’’.[32]
[1]‘A blockchain is a distributed digital ledger (DLT)
that allows for the storage and transmission of information over the Internet
in a transparent and secure manner without the need to rely on a trusted third
party.The database contains transactions that are publicly auditable,
validated, executed and saved in a chronological, tamper- resistant manner by a
network of computers’.‘The key properties of DLT technology are
decentralization and immutability’βλ. Daniel Kraus,
Thierry Obrist and Olivier Hari, Blockchains, Smart Contracts, Decentralised
Autonomous Organisations and the Law ((Edward Elgar PUBLISHING 2019)σελ.1 και Chris Berg, Sinclair Davidson and Jason Potts, Understanding the Blockchain Economy An
Introduction to Institutional Cryptoeconomics (Edward Elgar PUBLISHING 2019) σελ. 3-4.
[2]Βλ.Ε.Παπακωνσταντίνου, Το Δίκαιο Προστασίας Δεδομένων Προσωπικού
Χαρακτήρα. Θεμελίωση και πρόσφατες εξελίξεις σε: Δ.Μαρκοπούλου-Β. Τσουκαλά,
Δεδομένα Προσωπικού Χαρακτήρα, σελ. XIIIεπ..
[3]Βλ.Fundamental Rights AgencyHandbookonEUDataProtectionLaw-edition
2018, https://op.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-en>(τελευταίαπρόσβαση 26 Σεπτεμβρίου 2019)σελ.18 επ.
[4]Οδηγία
95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου
1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, ΕΕ L
281 της 23.11.95.
[5] Ν. 2472/1997, «Προστασία του ατόμου από την επεξεργασία δεδομένων
προσωπικού χαρακτήρα», Α΄50.
[6] Βλ. Π.Φιλόπουλου, Ποινική Προστασία Απορρήτου. Συστηματική
Ερμηνεία Άρθρων 370-371 ΠΚ, εκδόσεις Σάκκουλα, Αθήνα- Θεσσαλονίκη, 2015, σελ.
52 επ.
[7] European Commission, Digital Single Market,Building a European data economy<https://ec.europa.eu/digital-single-market/en/policies/building-european-data-economy> (τελευταίαπρόσβαση 26.9.2019).
[8]Κανονισμός
(EΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου
2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων
αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την
Προστασία Δεδομένων), ΕΕ L 119 της 4.5.2016.
[9]Οδηγία (ΕΕ)
2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου
2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης,
διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών
κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση
της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, ΕΕ L 119 της 4.5.2016.
[10]COM(2018) 43 final<https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX%3A52018DC0043&qid=1517578296944&from> (τελευταία πρόσβαση 26.9.2019).
[11]Juraj Sajfert and Teresa Quintel, Data
Protection Directive (EU) 2016/680 for Police and Criminal Justice Authorities
(December 1, 2017). Cole/Boehm GDPR Commentary, Edward Elgar Publishing,2020,
Forthcoming. Διαθέσιμοστο SSRN: <https://ssrn.com/abstract=3285873> (τελευταίαπρόσβαση 26.9.2019).
[12]Lukas Feiler: The EU General Data
Protection Regulation (GDPR) : Α commentary. 5.The
relationship with national data protection laws /Woking: Globe law and
business, 2018.
[13] Βλ. Π.Φιλόπουλου, Ποινική Προστασία Απορρήτου. Συστηματική
Ερμηνεία Άρθρων 370-371 ΠΚ, εκδόσεις Σάκκουλα, Αθήνα- Θεσσαλονίκη,2015, σελ. 30
επ.
[15] Βλ. Π.Φιλόπουλου, Ποινική Προστασία Απορρήτου. Συστηματική Ερμηνεία
Άρθρων 370-371 ΠΚ, εκδόσεις Σάκκουλα, Αθήνα- Θεσσαλονίκη,2015, σελ. 52 επ.
[16]Βλ
Fundamental Rights Agency Handbook on EU Data Protection Law -edition
2018, https://op.europa.eu/en/publication-detail/-/publication/5b0cfa83-63f3-11e8-ab9c-01aa75ed71a1/language-en>(τελευταίαπρόσβαση 26 Σεπτεμβρίου 2019)σελ.18 επ.
[17] Βλ. αιτιολογική σκέψη (16) ΓΚΠΔ.
[18]COM(2018) 43 final<https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX%3A52018DC0043&qid=1517578296944&from> (τελευταία πρόσβαση 26.9.2019).
[19] Lukas Feiler: The EU General Data Protection Regulation (GDPR) : Α commentary. 5.The relationship with national data protection laws
/Woking : Globe law and business, 2018.
[20] Ibid.
[21]Βλ. άρθρο 1 και 2 Βundesdatenschutzgesetz ( BDSG), Vom.30 Juni 2017 .
[22]Βλ. Άρθρα 19 επ.
(30 JUILLET 2018-Loi
relativeàla protectiondes personnes physiquesàl’égard des traitements de
donnéesàcaractère personnel).
[23]Βλ. αιτιολογικήσκέψη 51 ΓΚΠΔ.
[24]Βundesdatenschutzgesetz ( BDSG), Vom.30 Juni 2017 .
[25] Loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés.
[26]Βλ. ενδεικτικά : απόφαση GoogleSpain,
C‑131/12,
ECLI:EU:C:2014:317 και απόφαση ΕΔΔΑ, AxelSpringerAG κατά Γερμανίας, Τμήμα Ευρείας Σύνθεσης, προσφυγή
αριθ. 39954/08,
7 Φεβρουαρίου 2012, σκέψεις 90 και 91
[27] Βλ. αιτιολογική σκέψη (73) του ΓΚΠΔ.
[28] Σύμφωνα με την αιτιολογική σκέψη (150) του ΓΚΠΔ «Θα πρέπει να
εναπόκειται στα κράτη μέλη να αποφασίζουν εάν και σε ποιο βαθμό μπορούν να
επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές».
[29]Juraj Sajfert and Teresa Quintel, Data Protection Directive (EU)
2016/680 for Police and Criminal Justice Authorities (December 1, 2017).
Cole/Boehm GDPR Commentary, Edward Elgar Publishing,2020, Forthcoming. ΔιαθέσιμοστοSSRN: <https://ssrn.com/abstract=3285873> (τελευταίαπρόσβαση 26.9.2019) σελ. 3 επ.
[31]Θα
πρέπει να επισημανθεί ότι ο ΓΚΠΔ είναι τεχνολογικά ουδέτερος βλ. European Commission ‘The GDPR: new opportunities, new obligations.What
every business needs to know about the EU’s General Data Protection Regulation’
https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-sme-obligations_en.pdf (τελευταίαπρόσβαση 26 Σεπτεμβρίου 2019). Βλ. επίσης αιτιολογική σκέψη (15) ΓΚΠΔ σύμφωνα
με την οποία «Προκειμένου να αποτραπεί σοβαρός κίνδυνος καταστρατήγησης, η
προστασία των φυσικών προσώπων θα πρέπει να είναι τεχνολογικά ουδέτερη και να
μην εξαρτάται από τις χρησιμοποιούμενες τεχνικές».
[32]Βλ. Primavera De Filippi
and Aaron Wright, Blockchain and the Law: The Rule of Code, Harvard University
Press, 2018, σελ. 207 .
Σπυριδούλα Καρύδα
Πάρεδρος ΣτΕ
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Θα θέλαμε να σας ενημερώσουμε, αναφορικά με τα σχόλια που δημοσιεύονται ότι:
1) Δε θα δημοσιεύονται δυσφημιστικά και εξυβριστικά σχόλια
2) Δε θα δημοσιεύονται ΑΣΧΕΤΑ σχόλια σε ΑΣΧΕΤΕΣ αναρτήσεις
3) Δε θα δημοσιεύονται επαναλαμβανόμενα σχόλια στην ίδια ανάρτηση
4) Δε θα δημοσιεύονται σχόλια σε Greeklish
5) Σχόλια σε ενυπόγραφα άρθρα θα δημοσιεύονται μόνον εφόσον και αυτά είναι ενυπόγραφα.
6) Σχόλια σε ενυπόγραφο σχόλιο θα δημοσιεύονται μόνον εφόσον και αυτά είναι ενυπόγραφα.
7) ΤΑ ΣΧΟΛΙΑ ΔΗΜΟΣΙΕΥΟΝΤΑΙ ΜΟΝΟ ΣΤΙΣ ΑΝΑΡΤΗΣΕΙΣ ΠΟΥ ΥΠΑΡΧΕΙ ΣΧΕΤΙΚΗ ΕΠΙΣΗΜΑΝΣΗ "ΕΠΙΤΡΕΠΟΝΤΑΙ ΣΧΟΛΙΑ"
Η ΑΝΑΡΤΗΣΗ ΤΩΝ ΣΧΟΛΙΩΝ ΔΕ ΣΗΜΑΙΝΕΙ ΟΤΙ ΥΙΟΘΕΤΟΥΝΤΑΙ ΑΠΌ ΤΗ ΔΙΑΧΕΙΡΙΣΗ