Πρόταση για Ενοποίηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με την Αρχή Διασφάλισης Απορρήτου των Επικοινωνιών (ΑΔΑΕ)

 

  

Επίκαιροι προβληματισμοί από την αλληλοεπικάλυψη αρμοδιοτήτων τους, υπό το φως του ενωσιακού κεκτημένου (ΓΚΠΔ και e-Privacy)

Σπυριδούλα Καρύδα

Πάρεδρος ΣτΕ

LL.M. in Space, SatCom and Media Law

 

Ι.ΓΚΠΔ και e-Privacy

Στόχος της στρατηγικής για την ψηφιακή ενιαία αγορά ( Digital Single Market Strategy for Europe)[1] είναι η ενίσχυση της εμπιστοσύνης στις ψηφιακές υπηρεσίες και την ασφάλεια των εν λόγω υπηρεσιών. Η μεταρρύθμιση του πλαισίου για την προστασία των δεδομένων, και ιδίως η έκδοση του κανονισμού (ΕΕ) 2016/679, δηλαδή του Γενικού Κανονισμού για την Προστασία των Δεδομένων («ΓΚΠΔ»), υπήρξε θεμελιώδες  βήμα προς αυτήν την κατεύθυνση. Στο πλαίσιο της στρατηγικής αυτής  ανακοινώθηκε επίσης η αναθεώρηση της οδηγίας 2002/58/ΕΚ (οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών»), προκειμένου να παρέχονται υψηλότερο επίπεδο προστασίας της ιδιωτικής ζωής στους χρήστες υπηρεσιών ηλεκτρονικών επικοινωνιών και ισότιμοι όροι ανταγωνισμού για όλους τους παράγοντες της αγοράς.

Στις 6 Απριλίου 2016 η ΕΕ πραγματοποίησε αυτή τη  σημαντική νομοθετική  μεταρρύθμιση του πλαισίου προστασίας των δεδομένων προσωπικού χαρακτήρα, εγκρίνοντας τη νομοθετική δέσμη μέτρων, που περιλαμβάνει: α) τον ΓΚΠΔ, ο οποίος αντικατέστησε την από εικοσαετίας εκδοθείσα  Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου  της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L της 23.11.1995, σελ. 31) («Οδηγία για την προστασία των δεδομένων») και β) την Οδηγία  για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τις αρχές επιβολής του νόμου, τα ποινικά δικαστήρια, τις ανακριτικές και  εισαγγελικές αρχές.  

Τα ανωτέρω δύο νομικά κείμενα ανήκουν στο ‘Data Protection Package’ της Ευρωπαϊκής Ένωσης και  αρχική πρόθεση ήταν να τεθούν σε ισχύ  ταυτόχρονα με το Κανονισμό e- Privacy για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ο οποίος αν και έχει ως στόχο την προστασία δεδομένων προσωπικού χαρακτήρα, εντούτοις εντάσσεται στο ‘Telecommunication Package’ της ΕΕ. Αυτό όμως  δεν κατέστη εφικτό με αποτέλεσμα να εξακολουθεί να είναι σε ισχύ η Οδηγία 2002/58/ΕΚ.[2]  

Ο ΓΚΠΔ έχει ως στόχους την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, και ειδικότερα του δικαιώματός τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, καθώς και την εξασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση. Για την επίτευξη αυτών των στόχων ο ΓΚΠΔ θεσπίζει κοινούς κανόνες για την επεξεργασία των δεδομένων, ώστε να διασφαλίζεται η συνεκτική αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση και να αποτρέπονται οι αποκλίσεις που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά. Οι κανόνες διασφαλίζουν την ισορροπία μεταξύ των (δυνητικών) οφελών της επεξεργασίας δεδομένων και των (δυνητικών) μειονεκτημάτων.

 Από την άλλη πλευρά, η οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών διασφαλίζει την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών, κυρίως δε του σεβασμού της ιδιωτικής ζωής, το απόρρητο των επικοινωνιών και την προστασία των δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών. Διασφαλίζει επίσης την ελεύθερη κυκλοφορία των δεδομένων, του εξοπλισμού και των υπηρεσιών ηλεκτρονικών επικοινωνιών στην Ένωση. Εφαρμόζει στο παράγωγο δίκαιο της Ένωσης το θεμελιώδες δικαίωμα του σεβασμού της ιδιωτικής ζωής, όσον αφορά τον τομέα των επικοινωνιών, το οποίο κατοχυρώνεται στο άρθρο 7 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης («Χάρτης»).  Στο πλαίσιο αυτό, η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες έχει ως στόχο «να εξειδικεύσει και να συμπληρώσει» τις διατάξεις του ΓΚΠΔ όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών. Υπό την παραπάνω έννοια η Οδηγία 2002/58 ΕΚ είναι lex specialis έναντι του ΓΚΠΔ.

Οι σκοποί των δύο αυτών νομικών κειμένων δεν ταυτίζονται, [3] θα πρέπει όμως να επισημανθεί ότι έχουν ένα κοινό σημείο. Αρμόδια αρχή σύμφωνα με την εθνική νομοθεσία για τον έλεγχο τυχόν παραβάσεων όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα και στις δύο περιπτώσεις  καθίσταται η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ((ΑΠΔΠΧ) [βλ. άρθρα 9-20 ν. 4624/2019, Α΄137 για ΓΚΠΔ και Οδηγία και άρθρο 13 ν. 3471/2006  για Οδηγία 2002/58 ( Α΄133)]. Η δυνατότητα ορισμού κοινής εποπτικής αρχής προβλεπόταν στην Οδηγία e- privacy, στην πρόταση δε του νέου Κανονισμού e-privacy καθίσταται για τα κράτη μέλη υποχρεωτική. Ειδικότερα, στο άρθρο 18 της πρότασης  ‘Κανονισμός του  Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου  για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες)[4] αναφορικά με τις ανεξάρτητες εποπτικές αρχές προβλέπεται ρητά ότι η ανεξάρτητη ή οι ανεξάρτητές αρχές  που είναι υπεύθυνη/-ες για την παρακολούθηση της εφαρμογής του κανονισμού (ΕΕ) 2016/679 είναι επίσης αποκλειστικά υπεύθυνη/-ες για την παρακολούθηση της εφαρμογής του κεφαλαίου II [5] του παρόντος κανονισμού, ενώ εφαρμόζονται κατ’ αναλογία τα κεφάλαια VI και VII του κανονισμού (ΕΕ) 2016/679 (περί Ανεξάρτητων Εποπτικών Αρχών και Συνεργασίας και Συνεκτικότητας). Οι εποπτικές αρχές ασκούν τα καθήκοντα και τις εξουσίες τους σε σχέση με τους τελικούς χρήστες.  Περαιτέρω, προβλέπεται ότι η  εποπτική αρχή ή οι εποπτικές αρχές που αναφέρονται στην παράγραφο 1 συνεργάζονται, όποτε το κρίνουν σκόπιμο, με εθνικές ρυθμιστικές αρχές που δημιουργούνται σύμφωνα με την [οδηγία για τη θέσπιση του Ευρωπαϊκού Κώδικα Ηλεκτρονικών Επικοινωνιών, εν προκειμένω για τη χώρα μας η ΕΕΤΤ]. 

Στην ανωτέρω πρόταση επισημαίνεται επίσης ότι η αποτελεσματική προστασία του απορρήτου του τερματικού εξοπλισμού αποκτά ολοένα μεγαλύτερη σημασία καθώς ο εν λόγω εξοπλισμός είναι πλέον απαραίτητος στην προσωπική και την επαγγελματική ζωή για την αποθήκευση ευαίσθητων πληροφοριών. Επιπλέον, τονίζεται ότι  παρότι ο ΓΚΠΔ διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα, η οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών διασφαλίζει το απόρρητο των επικοινωνιών, στις οποίες ενδέχεται επίσης να περιέχονται δεδομένα μη προσωπικού χαρακτήρα και δεδομένα που αφορούν νομικά πρόσωπα. Ως εκ τούτου, θα πρέπει να υπάρχει ένα χωριστό νομικό μέσο που να διασφαλίζει την αποτελεσματική προστασία του άρθρου 7 του Χάρτη. Έχει αποδειχθεί ότι συναφείς παραμένουν επίσης άλλες διατάξεις, όπως οι κανόνες σχετικά με τις μη ζητηθείσες επικοινωνίες εμπορικής προώθησης.

Προς το σκοπό αυτό η Οδηγία 2002/58 στο άρθρο 5 ρυθμίζει το ζήτημα του απορρήτου των επικοινωνιών που διενεργούνται μέσω δημόσιου δικτύου επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών και των συναφών δεδομένων κίνησης.

ΙΙ. Αρχή Διασφάλισης Απορρήτου των Επικοινωνιών (ΑΔΑΕ)

Και ενώ αυτό είναι σε γενικές γραμμές το ισχύον ενωσιακό και εθνικό νομοθετικό πλαίσιο όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες,  στη χώρα μας,  με επίκληση του άρθρου 19 του Συντάγματος για το απόρρητο των επιστολών και της επικοινωνίας έχει ιδρυθεί ως ξεχωριστή ανεξάρτητη διοικητική αρχή με συνταγματική κατοχύρωση η Αρχή Διασφάλισης Απορρήτου των Επικοινωνιών (ΑΔΑΕ).

Η ΑΔΑΕ, σύμφωνα με τον ιδρυτικό της ν. 3115/2003 ( Α΄47), έχει μεταξύ άλλων τις εξής αρμοδιότητες:

•Διενεργεί, αυτεπαγγέλτως ή ύστερα από καταγγελία, τακτικούς και έκτακτους ελέγχους, σε εγκαταστάσεις, τεχνικό εξοπλισμό, αρχεία, τράπεζες δεδομένων και έγγραφα της Εθνικής Υπηρεσίας Πληροφοριών (ΕΥΠ), άλλων δημόσιων υπηρεσιών, οργανισμών, επιχειρήσεων του ευρύτερου δημόσιου τομέα, καθώς και ιδιωτικών επιχειρήσεων που ασχολούνται με ταχυδρομικές, τηλεπικοινωνιακές ή άλλες υπηρεσίες σχετικές με την ανταπόκριση και την επικοινωνία. Τον έλεγχο διενεργεί μέλος (ή μέλη) της ΑΔΑΕ. Για τη γραμματειακή υποστήριξη της διαδικασίας ελέγχου συμμετέχει και υπάλληλος της Αρχής, εντεταλμένος προς τούτο από τον Πρόεδρό της. Κατά τον έλεγχο αρχείων που τηρούνται για λόγους εθνικής ασφάλειας, παρίσταται αυτοπροσώπως ο Πρόεδρος της ΑΔΑΕ.

•Λαμβάνει πληροφορίες σχετικές με την αποστολή της από τις υπηρεσίες που προαναφέρθηκαν, τους οργανισμούς και τις επιχειρήσεις, καθώς και από τους εποπτεύοντες υπουργούς.

• Καλεί σε ακρόαση τις διοικήσεις των εν λόγω υπηρεσιών, οργανισμών, νομικών προσώπων και επιχειρήσεων, τους νόμιμους εκπροσώπους τους, υπαλλήλους και κάθε άλλο πρόσωπο το οποίο κρίνει ότι μπορεί να συμβάλει στην εκπλήρωση της αποστολής της.

• Προχωρεί σε κατάσχεση των μέσων παραβίασης του απορρήτου που υποπίπτουν στην αντίληψή της κατά την άσκηση του έργου της και ορίζεται μεσεγγυούχος τους μέχρι να αποφανθούν τα αρμόδια δικαστήρια. Προβαίνει στην καταστροφή πληροφοριών, στοιχείων ή δεδομένων τα οποία αποκτήθηκαν με παραβίαση του απορρήτου των επικοινωνιών.

• Εξετάζει καταγγελίες σχετικά με την προστασία των δικαιωμάτων τα οποία θίγονται από τη διαδικασία άρσης του απορρήτου.

• Στις περιπτώσεις των άρθρων 3, 4 και 5 του Ν. 2225/1994, η ΑΔΑΕ υπεισέρχεται μόνο στον έλεγχο της τήρησης των όρων και της διαδικασίας άρσης του απορρήτου, χωρίς να εξετάζει την κρίση των αρμόδιων δικαστικών αρχών.

• Τηρεί αρχείο απόρρητης αλληλογραφίας, σύμφωνα με το στοιχείο β΄ της παρ. 2 του άρθρου 12 του Ν. 3115/2003.

• Συνεργάζεται, για θέματα της αρμοδιότητάς της, με άλλες αρχές της χώρας, με αντίστοιχες αρχές άλλων κρατών, με ευρωπαϊκούς και διεθνείς οργανισμούς.

• Συντάσσει κάθε χρόνο την προβλεπόμενη στην παράγραφο 2 του άρθρου 1 του ιδρυτικού της νόμου Έκθεση πεπραγμένων, στην οποία περιγράφει το έργο της, διατυπώνει παρατηρήσεις, επισημαίνει παραλείψεις και προτείνει τις ενδεικνυόμενες νομοθετικές μεταβολές στον τομέα της διασφάλισης του απορρήτου των επικοινωνιών.

• Γνωμοδοτεί και απευθύνει συστάσεις και υποδείξεις για τη λήψη μέτρων διασφάλισης του απορρήτου των επικοινωνιών, καθώς και για τη διαδικασία άρσης του.

• Εκδίδει κανονιστικές πράξεις που δημοσιεύονται στην Εφημερίδα της Κυβερνήσεως, με τις οποίες ρυθμίζεται κάθε διαδικασία και λεπτομέρεια σε σχέση με τις παραπάνω αρμοδιότητές της και την εν γένει διασφάλιση του απορρήτου των επικοινωνιών.

Επίσης η ΑΔΑΕ έχει και τις παρακάτω αρμοδιότητες:

α) Εκδίδει πράξη με την οποία καθορίζονται οι διαδικασίες, ο τρόπος και κάθε άλλη τεχνική λεπτομέρεια για την εφαρμογή της διάταξης του άρθρου 6 παρ. 4 του ν. 3471/2006 για την επεξεργασία των δεδομένων θέσης χρήστη ή συνδρομητή από τους φορείς παροχής δημοσίου δικτύου ή διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών, ώστε σε περίπτωση κλήσεων άμεσης επέμβασης, να παρέχουν στις αρμόδιες για την αντιμετώπιση καταστάσεων έκτακτης ανάγκης αρχές τις απαραίτητες πληροφορίες για τον εντοπισμό του καλούντος. Η επεξεργασία των δεδομένων θέσης στην περίπτωση αυτή γίνεται, κατ’ εξαίρεση, χωρίς προηγούμενη συγκατάθεση του συνδρομητή ή του χρήστη.

β) Εκδίδει πράξη με την οποία καθορίζονται οι ειδικότερες διαδικασίες, ο τρόπος και η διάρκεια εξουδετέρωσης της δυνατότητας μη αναγραφής της καλούσας γραμμής και κάθε άλλη αναγκαία λεπτομέρεια, ώστε να διασφαλίζεται η διαφάνεια της διαδικασίας για την εφαρμογή της διάταξης του άρθρου 8 παρ. 7 του Ν. 3471/2006 για τον εντοπισμό κακόβουλων ή ενοχλητικών κλήσεων για περιορισμένο χρονικό διάστημα, μετά από αίτηση του συνδρομητή.

γ) Εκδίδει κανονισμούς για τη ρύθμιση θεμάτων συμβατότητας της διαδικασίας κρυπτογράφησης φωνητικών μηνυμάτων μεταξύ των παρόχων σύμφωνα με το άρθρο 2 του Ν. 3674/2008. Οι μέθοδοι κρυπτογράφησης γνωστοποιούνται από τον πάροχο στην ΑΔΑΕ. Ο πάροχος συμμορφώνεται προς τις οδηγίες της Αρχής, καθόσον αφορά ιδίως την καταλληλότητα, την αποτελεσματικότητα ή την αντικατάσταση των μεθόδων κρυπτογράφησης που χρησιμοποιεί.

δ) Εκδίδει κανονισμό για τη ρύθμιση θεμάτων τήρησης αρχείων καταγραφής διαχειριστικών λειτουργιών από τους παρόχους οι οποίοι, σύμφωνα με το άρθρο 5 του Ν.3674/2008, υποχρεούνται να καταγράφουν τις διαχειριστικές λειτουργίες που επιχειρούνται στο λογισμικό κάθε ψηφιακού κέντρου μεταγωγής.

ε) Προβαίνει σε τακτικούς και έκτακτους ελέγχους της υποδομής, των συστημάτων υλικού και λογισμικού και γενικώς των μέσων που τελούν υπό την εποπτεία του παρόχου, προκειμένου να διαπιστωθεί η τήρηση των διατάξεων του Ν. 3674/2008 και της κείμενης νομοθεσίας για την προστασία του απορρήτου της επικοινωνίας. Ο έλεγχος της ΑΔΑΕ δύναται να περιλαμβάνει και τεχνικές δοκιμές με χρήση της υποδομής του παρόχου ή της υποδομής των συστημάτων υλικού και λογισμικού που διαθέτει η ΑΔΑΕ ή άλλη δημόσια αρχή.

στ) Εκδίδει κανονισμό για την επεξεργασία και τη διαβίβαση των διατηρούμενων δεδομένων από τους παρόχους, με τον οποίο καθορίζεται κάθε θέμα σχετικό με τις ειδικότερες αρχές ασφάλειας, τη διαδικασία και τον τρόπο εφαρμογής των διατάξεων του άρθρου 8 του Ν. 3917/2011 σχετικά με τις υποχρεώσεις των παρόχων.

ζ) Εκδίδει κοινή πράξη με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με την οποία καθορίζεται κάθε θέμα σχετικό με τη διαδικασία και τον τρόπο εφαρμογής των διατάξεων του άρθρου 7 του Ν. 3917/2011 σχετικά με τις υποχρεώσεις των παρόχων υπηρεσιών ηλεκτρονικών επικοινωνιών διαθέσιμων στο κοινό ή δημόσιου δικτύου επικοινωνιών ως προς την προστασία και την ασφάλεια των διατηρούμενων δεδομένων, όπως ορίζονται στον ίδιο νόμο.

η) Εκδίδει κανονισμό για την ασφάλεια και την ακεραιότητα δικτύων και υπηρεσιών επιχειρήσεων που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσιών που διατίθενται στο κοινό σε εφαρμογή των διατάξεων του άρθρου 37 του Ν. 4070/2012.

θ) Λαμβάνει γνώση για τα περιστατικά παραβίασης της ασφάλειας ή απώλειας της ακεραιότητας που είχαν σημαντικό αντίκτυπο στη λειτουργία δικτύων ή υπηρεσιών τα οποία κοινοποιούνται από τους παρόχους στην ΕΕΤΤ και κατά περίπτωση, ενημερώνει τις αρμόδιες εθνικές αρχές στα άλλα κράτη-μέλη, καθώς και τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), σε εφαρμογή των διατάξεων του άρθρου 37 του Ν. 4070/2012.

ι) Διενεργεί ελέγχους ασφάλειας και ακεραιότητας στις επιχειρήσεις που παρέχουν δημόσια δίκτυα επικοινωνιών ή υπηρεσιών που διατίθενται στο κοινό, το κόστος των οποίων βαρύνει τον ελεγχόμενο πάροχο, σε εφαρμογή των διατάξεων του άρθρου 37 του Ν. 4070/2012.

ια) Εκδίδει κοινή πράξη με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με την οποία δίνονται οδηγίες στους παρόχους σχετικά με τις περιστάσεις κατά τις οποίες απαιτείται από τον φορέα η γνωστοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, το μορφότυπο της εν λόγω γνωστοποίησης, καθώς και τον τρόπο με τον οποίο πρέπει να γίνεται η γνωστοποίηση αυτή, σε εφαρμογή των διατάξεων του άρθρου 12 παρ.8 του Ν. 3471/2006.

Όπως προκύπτει από την Έκθεση Πεπραγμένων της ΑΔΑΕ έτους 2020  στα επίκαιρα ζητήματα που την απασχολούν εντάσσεται και ο προαναφερόμενος  προτεινόμενος Κανονισμός για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, ο οποίος συζητείται επί του παρόντος στο Συμβούλιο της Ευρωπαϊκής Ένωσης. Στο πλαίσιο αυτό, επιδιώκεται να εναρμονιστούν οι κανόνες προστασίας που εφαρμόζουν τα κράτη-μέλη, ενώ ταυτόχρονα εισάγονται διαδικασίες για τη στενότερη συνεργασία μεταξύ των ανεξάρτητων αρχών των κρατών - μελών. Μια σημαντική αλλαγή που προτείνεται με τον Κανονισμό αφορά την προσπάθεια να διασφαλιστεί η προστασία της ιδιωτικής ζωής, ανεξαρτήτως του επιλεγμένου τεχνολογικού μέσου επικοινωνίας. Έτσι, υπό το πρίσμα των τεχνολογικών εξελίξεων, το πεδίο εφαρμογής του Κανονισμού επικαιροποιείται και επεκτείνεται ώστε να καλύπτει όχι μόνο τις διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικών επικοινωνιών, αλλά και τις υπηρεσίες ΟΤΤ. Ως εκ τούτου, υπόχρεοι εφαρμογής του Κανονισμού θα είναι και όλες οι εταιρίες που παρέχουν υπηρεσίες VoIP, υπηρεσίες άμεσων μηνυμάτων, ηλεκτρονικού ταχυδρομείου, καθώς και μηνυμάτων κοινωνικών μέσων (π.χ. WhatsApp, το Facebook Messenger, το Skype, το Gmail, το iMessage, ή το Viber).

Σκέψεις για την ενοποίηση των δύο αυτών Αρχών είχαν εκφρασθεί και στο παρελθόν, συγκεκριμένα από το 2006 με αφορμή την ενσωμάτωση της Οδηγίας e-privacy, όπου και παρατηρήθηκε σοβαρός κίνδυνος αλληλοεπικάλυψης αρμοδιοτήτων τους, ενώ εκφράσθηκαν και επιφυλάξεις και για την σκοπιμότητα  ίδρυσης της ΑΔΑΕ. Ο τότε Πρόεδρος της ΑΠΔΠΧ,Επίτιμος Αντιπρόεδρος ΑΠ Δ.Γουργουράκης, παρέδωσε υπόμνημα στον πρωθυπουργό  με το οποίο πρότεινε τη συγχώνευση της ΑΠΔΠΧ με την ΑΔΑΕ, λόγω της νομοθετικής αλληλοκάλυψης των αρμοδιοτήτων των δύο Αρχών. Στο υπόμνημα αυτό αναφερόταν  ότι η αφαίρεση αρμοδιοτήτων από την ΑΠΔΠΧ και η μεταβίβασή τους στην ΑΔΑΕ, είναι εκτός του συνταγματικού πλαισίου. Αναφορικά με το ΣχΝ που έχει κατατεθεί για ψήφιση στη Βουλή για την προστασία δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών (ν. 3471/2006 που ενσωματώνει  στην ελληνική νομοθεσία την οδηγία 2002/58/ΕΚ και τροποποιεί το ν.2472/1997), στο υπόμνημά τονιζόταν  ότι το ΣχΝ  είναι αντίθετο στην κοινοτική νομοθεσία, καθώς ανέθετε αρμοδιότητες της ΑΠΔΠΧ στην ΑΔΑΕ. Σύμφωνα με το υπόμνημα, στο ΣχΝ διαφαίνεται μια τάση επέκτασης των αρμοδιοτήτων της ΑΔΑΕ σε κάθε είδος ηλεκτρονικού επικοινωνιακού δικτύου. Η επέκταση αυτή των αρμοδιοτήτων της ΑΔΑΕ εκτιμήθηκε  τότε ότι  θα δημιουργήσει σοβαρά προβλήματα και θα προκληθεί σύγχυση στους πολίτες ως προς τις αρμοδιότητες των δυο Αρχών.[6] Παρόμοια άποψη εκφράσθηκε και στην έκθεση πεπραγμένων της ΑΠΔΠΧ έτους 2010 από τον τότε Πρόεδρο της Αρχής, Επίτιμο Πρόεδρο του Συμβουλίου της Επικρατείας Χ.Γεραρή,  δοθέντος ότι  οι δύο αρχές έχουν παρεμφερές αντικείμενο και πολλές φορές οι αποφάσεις της μιας επικαλύπτουν τις αποφάσεις της άλλης. Μάλιστα επικαλέστηκε και ένα παράδειγμα: «Για το ίδιο θέμα μπορεί να επιβληθούν πρόστιμα στον ίδιο παραβάτη και από τις δύο αρχές», είπε και πρόσθεσε πώς μπορεί η Ολομέλεια του ΣτΕ να έχει αποφανθεί ότι αυτό δεν αποτελεί παραβίαση, αλλά εξέφρασε την πεποίθηση ότι δεν θα έχει την ίδια άποψη το Δικαστήριο του Στρασβούργου σε περίπτωση προσφυγής. Περαιτέρω,  σε ερώτηση δημοσιογράφου[7] εξέφρασε την γνώμη ότι «Η προσωπική μου άποψη, την οποία ασπάζονται και άλλοι δημοσιολόγοι είναι ότι το Σύνταγμα κατοχυρώνει την προστασία των δύο αυτών ατομικών δικαιωμάτων από μια ανεξάρτητη Αρχή και δεν απαιτεί οργανωτικά τη λειτουργία δύο ανεξάρτητων αρχών. Συνεπώς δεν υπάρχει συνταγματικό κώλυμα για τον κοινό νομοθέτη να συγκροτήσει μία ενιαία αρχή για τη διασφάλιση της προστασίας των προσωπικών δεδομένων και του απορρήτου των επικοινωνιών». Ο ίδιος σημείωσε ότι η λειτουργία των δύο ανεξάρτητων αρχών καταδεικνύει ότι υπάρχουν επικαλύψεις, αφού η ηλεκτρονική επικοινωνία επηρεάζει τόσο την επεξεργασία προσωπικών δεδομένων όσο και το απόρρητο της επικοινωνίας.Από τα προαναφερόμενα προκύπτει ότι ενόψει των ραγδαίων τεχνολογικών εξελίξεων,  ιδίως στον τομέα των ηλεκτρονικών επικοινωνιών, της πρότασης του Κανονισμού e- Privacy  και της ανάγκης της χώρας να ευθυγραμμισθεί με το ενωσιακό κεκτημένο, η ενοποίηση των δύο αυτών ανεξάρτητων συνταγματικώς κατοχυρωμένων Αρχών καθίσταται πλέον επιβεβλημένη.

Τούτο διότι :

1) Θα ιδρυθεί μία ισχυρή ενιαία ανεξάρτητη συνταγματικώς κατοχυρωμένη «Υπερ-Αρχή»  υπό τον τίτλο «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Ιδιωτικότητας έναντι των νέων τεχνολογιών»(ΑΠΔΠΧΙ) με σκοπό την προστασία δεδομένων προσωπικού χαρακτήρα, δεδομένων ηλεκτρονικής επικοινωνίας και τη διασφάλιση του  απορρήτου επικοινωνιών και ταχυδρομείων, ήτοι  αρμόδια: α) για τον έλεγχο και την προστασία δεδομένων προσωπικού χαρακτήρα β) της ιδιωτικής ζωής  (privacy) στον τομέα των ηλεκτρονικών επικοινωνιών με βάση την Οδηγία 2002/58 ΕΚ  και γ)  για τη διασφάλιση του απορρήτου των επικοινωνιών, στο βαθμό που η διασφάλιση αυτή επιβάλλεται εκτός ενωσιακής Οδηγίας. Τα παραπάνω αποτελούν ειδικότερες εκφάνσεις  της ιδιωτικότητας (privacy), σύμφωνα με τη νομολογία των Ευρωπαϊκών Δικαστηρίων και κατοχυρώνονται   στο άρθρο 7 και 8  του Χάρτη και στο άρθρο 8 της ΕΣΔΑ  (βλ. ενδεικτικά απόφαση ΔΕΕ Tele2 Sverige AB κατά Postoch telestyrelsen,C‑203/15).

  
Σπεύδω να επισημάνω ότι κατά την άποψή μου  δεν υφίσταται σχετικό κώλυμα είτε από πλευράς ενωσιακού, είτε από πλευράς συνταγματικού δικαίου για την προτεινόμενη ενοποίηση. Το συνταγματικώς κατοχυρωμένο δικαίωμα της ιδιωτικής ζωής και των προσωπικών δεδομένων θα προστατεύεται επαρκώς με τη σύσταση της νέας «Αρχής», στην οποία θα ενσωματωθούν όλες οι επιμέρους αρμοδιότητες της ΑΠΔΠΧ και της ΑΔΑΕ. Το Σύνταγμα άλλωστε  και στο άρθρο 9 Α και στο άρθρο 19 αναφέρεται σε αρχή που θα συσταθεί όπως νόμος ορίζει και σε κανένα σημείο του δεν κάνει ρητή αναφορά στην ακριβή μορφή που θα έχει αυτή. Η ελευθερία του εθνικού νομοθέτη ως προς το οργανωτικό σχήμα αυτής έχει αναγνωρισθεί και με απόφαση του ΔΕΕ ( βλ. απόφαση ΔΕΕ C- 288/12).

2) Θα αποφευχθεί ο  κατακερματισμός αρμοδιοτήτων μεταξύ των δύο Αρχών και η σύγχυση που δημιουργείται  και θα ρυθμισθεί εξ υπαρχής ένα ενιαίο συνεκτικό σύγχρονο νομοθετικό  πλαίσιο ρύθμισης στον  τομέα των ηλεκτρονικών επικοινωνιών σε σχέση με τα  θεμελιώδη δικαιώματα  και την προστασία των δεδομένων προσωπικού χαρακτήρα, σύμφωνο  και με το ενωσιακό κεκτημένο. Η συγχώνευση αυτή κατά την άποψή μου θα είναι και πλήρως επιβεβλημένη μετά τη θέση σε ισχύ του νέου Κανονισμού  e-privacy.

3) Η νέα αυτή Αρχή θα λειτουργήσει ως κοινό σημείο αναφοράς για  υποψήφιους  επενδυτές αλλά και για τις  επιχειρήσεις που δραστηριοποιούνται στη χώρας μας, καθώς δεν θα κινδυνεύουν με την επιβολή σε βάρος τους διπλών εξοντωτικών  προστίμων  (παραβίαση της αρχής ne bis in idem) και άρα προς την κατεύθυνση της ενίσχυσης της ασφάλειας και προβλεψιμότητας των  διοικητικών κυρώσεων  σε βάρος τους ( βλ. άρθρο 13 ν. 3471/2006 στο οποίο προβλέπεται αρμοδιότητα για την τήρηση των διατάξεων του νόμου αυτού  τόσο στην  ΑΔΑΕ  όσο και στην  ΑΠΔΠΧ).

4) Η τεχνογνωσία και η εμπειρία  του προσωπικού της ΑΔΑΕ θα εισφέρει στην αποστολή της ΑΠΔΠΧ. Εξάλλου, η ΑΔΑΕ αριθμεί μικρό αριθμό προσωπικού και ο όγκος των καταγγελιών που χειρίζεται δεν δικαιολογεί δημοσιονομικά και ορθολογικά τη διατήρησή της ως ξεχωριστής διοικητικής μονάδας, εφόσον όλες  οι αρμοδιότητές της και το προσωπικό της  μπορούν να μεταφερθούν  στη νέα Αρχή που θα ιδρυθεί.

5) Επιχειρησιακά η ενοποίηση  των δύο Αρχών επίσης θα ωφελήσει εφόσον οι έλεγχοι θα διενεργούνται από μία ενιαία Αρχή και οι καταγγελίες των ενδιαφερομένων πολιτών  θα διεκπεραιώνονται άμεσα χωρίς τον κίνδυνο της αναρμοδιότητας.

6) Ενόψει του νέου Κώδικα Ηλεκτρονικών Επικοινωνιών θα διευκολυνθεί  και η συνεργασία της με την ΕΕΤΤ, όπου αυτό απαιτείται.

ΙΙΙ. Διαφαινόμενα  Ζητήματα Αμεροληψίας και Σύγκρουσης Συμφερόντων  

Κατά  την νομοπαρασκευαστική διαδικασία του ν.4624/2019 (Α΄137) είχα εντοπίσει σοβαρό ζήτημα δομικής  αμεροληψίας που διέπει την οργάνωση των αρχών αυτών ( Γαλλία και Βέλγιο το έχουν ήδη εντοπίσει και διορθώσει).Έχω την άποψη ότι  για λόγους αμεροληψίας το ελεγκτικό τμήμα των Αρχών δεν πρέπει  να στελεχώνεται με τα ίδια μέλη με αυτά  που επιβάλλουν τις κυρώσεις. Προτείνω λοιπόν, ενόψει της προτεινόμενης ενοποίησης, να λειτουργήσει ως πρότυπο η  δομή της Βελγικής Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Σε αυτό το νέο οργανωτικό σχήμα ο Πρόεδρος θα έχει έναν εποπτικό μόνο ρόλο, ενώ οι αποφάσεις θα λαμβάνονται από τα  Τμήματα τα οποία θα έχουν ξεχωριστούς Προέδρους. Αυτά προτείνω να στελεχωθούν με νέους εξειδικευμένους επιστήμονες εξοικειωμένους με τις νέες τεχνολογίες, δοθέντος ότι η ραγδαία ανάπτυξη των νέων τεχνολογιών αυτό πια απαιτεί. Κατά τα λοιπά, η δομή και η οργάνωση της Εθνικής Αρχής Διαφάνειας μπορεί να αποτελέσει ένα χρήσιμο πρότυπο.

Προτείνω ακολούθως επιγραμματικά  την σύσταση των ακόλουθων Τμημάτων:

Α.Τμήμα Ελεγκτικό (Task Force με εξουσίες προανακριτικού υπαλλήλου για διενέργεια ελέγχων για παραβίαση δεδομένων και απορρήτου ηλεκτρονικών επικοινωνιών).

Β.Τμήμα Δικαιοδοτικό (διορθωτικές εξουσίες, συστάσεις, καταγγελίες, επιβολή προστίμων).

 

Γ. Τμήμα Διοικητικής Οργάνωσης-Γραμματεία.

Δ.Τμήμα παραλαβής καταγγελιών και  ηλεκτρονικής εμπορικής και πολιτικής επικοινωνίας[8]  (και για δημόσιο τομέα όπου θα ενταχθούν και τα θέματα ενημέρωσης κοινού για σκοπούς πολιτικής προστασίας ή υγειονομικούς).Το τμήμα αυτό θα επεξεργάζεται τις καταγγελίες και  θα συλλέγει το φάκελο, θα απαντά σε ερωτήματα που αφορούν την ανωτέρω επικοινωνία, θα λειτουργεί συμβουλευτικά και θα παράσχει οδηγίες.

 
Ε.Τμήμα διασφάλισης απορρήτου των επικοινωνιών (για αιτήματα άρσης απορρήτου κλ.π.).

 

Στ. Τμήμα Ταχυδρομείων.

 
Η ολομέλεια θα παραμείνει αρμόδια για διατύπωση  γνωμών, συστάσεων, οδηγιών.

Με βάση τα προαναφερόμενα εκτιμώ ότι αιτιολογείται επαρκώς  η ανάγκη ενοποίησης  των δύο αυτών Αρχών, την οποία ενθέρμως εισηγούμαι!

Κλείνοντας, εντύπωση μου προξένησε η συμμετοχή μελών ανεξάρτητων διοικητικών αρχών σε νομοπαρασκευαστικές επιτροπές ( π.χ. βλ. 37^ο e-newsletter της ΑΠΔΠΧ). Η ΑΠΔΠΧ είναι ανεξάρτητη διοικητική αρχή και κατά την άποψη μου είναι αντισυνταγματικό και αντίθετο στον ΓΚΠΔ να συμμετέχουν μέλη της ως τακτικά και αναπληρωματικά μέλη σε νομοπαρασκευαστικές επιτροπές Υπουργείων. Ο ρόλος της Αρχής είναι εποπτικός, ελεγκτικός και συμβουλευτικός  (βλ. και δηλώσεις του Προέδρου της Αρχής για τα τέσσερα χρόνια εφαρμογής του GDPR σε http://dikastis.blogspot.com/2022/05/4-gdpr.html#more) και εκτιμώ  ότι δεν έχει θέση στο νομοθετικό έργο της Κυβέρνησης, υπό αυτό τον ρόλο. Πολλώ δε μάλλον που με πρόσφατη απόφαση του το Συμβούλιο της Επικρατείας έκρινε ότι επί κανονιστικής διοικητικής πράξης είναι ουσιώδης τύπος η λήψη γνώμης της Αρχής.[9] Ίσως η συμμετοχή μελών ανεξάρτητων διοικητικών αρχών σε νομοπαρασκευαστικές επιτροπές από πλευράς ασυμβιβάστου των μελών αυτών και ιδιαιτέρως της ΑΠΔΠΧ (βλ άρθρο 12 ν. 4624/2019 και αν η συμμετοχή αυτή άπτεται επιστημονικού ή ερευνητικού έργου) αλλά και για λόγους αμεροληψίας θα πρέπει να επανεξετασθεί, όπως και οι διαδοχικές παρατάσεις θητείας των μελών της, πέραν της αρχικώς ορισθείσας εξαετούς θητείας τους, υπό το πρόσχημα ότι αρχικώς είχαν ορισθεί ως αναπληρωματικά μέλη. Δεν θα πρέπει να μας διαφεύγει ότι η σύσταση εποπτικών αρχών στα κράτη μέλη, εξουσιοδοτημένων να εκτελούν τα καθήκοντά τους  και να ασκούν τις εξουσίες τους με πλήρη ανεξαρτησία, είναι ουσιώδης συνιστώσα της προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα ( Αιτ.Σκ 117 ΓΚΠΔ) και οφείλουμε με κάθε τρόπο να την περιφρουρήσουμε.

Σπ. Καρύδα

Πάρεδρος ΣτΕ   

 

 

 

 

 

 

 

 

 

 

---

[1]ΑΝΑΚΟΙΝΩΣΗ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΠΡΟΣ ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ, ΤΟ ΣΥΜΒΟΥΛΙΟ, ΤΗΝ ΕΥΡΩΠΑΪΚΗ ΟΙΚΟΝΟΜΙΚΗ ΚΑΙ ΚΟΙΝΩΝΙΚΗ ΕΠΙΤΡΟΠΗ ΚΑΙ ΤΗΝ ΕΠΙΤΡΟΠΗ ΤΩΝ ΠΕΡΙΦΕΡΕΙΩΝ Στρατηγική για την ψηφιακή ενιαία αγορά της Ευρώπης COM/2015/0192 final .

 

[2]Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (Οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), όπως τροποποιήθηκε με την Οδηγία 2006/24/ΕΚ και την Οδηγία 2009/136/ΕΚ.

[3] Βλ 5/2019 Γνώμη του Συμβουλίου Προστασίας Δεδομένων για την αλληλεπίδραση μεταξύ της Οδηγίας για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και του ΓΚΠΔ, ιδίως όσον αφορά την αρμοδιότητα, τα καθήκοντα και τις εξουσίες των αρχών προστασίας δεδομένων. https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_el.pdf >,

[4] COM(2017)10 final.

[5] Το κεφάλαιο II προτεινόμενου Κανονισμού  περιέχει τις βασικές διατάξεις που διασφαλίζουν το απόρρητο των ηλεκτρονικών επικοινωνιών (άρθρο 5) και τον περιορισμό των σκοπών επεξεργασίας τέτοιων δεδομένων επικοινωνιών και τις προϋποθέσεις για την επεξεργασία τους (άρθρα 6 και 7). Εξετάζει επίσης το θέμα της προστασίας του τερματικού εξοπλισμού i) διασφαλίζοντας την ακεραιότητα των πληροφοριών που είναι αποθηκευμένες σε αυτόν τον εξοπλισμό και ii) προβλέποντας την προστασία των πληροφοριών που μεταδίδονται από τερματικό εξοπλισμό, καθώς οι πληροφορίες αυτές μπορεί να επιτρέπουν την ταυτοποίηση του τελικού χρήστη του εξοπλισμού (άρθρο 8). Τέλος, στο άρθρο 9 γίνεται λεπτομερής αναφορά στη συγκατάθεση των τελικών χρηστών, η οποία αποτελεί την κύρια νομική βάση του παρόντος κανονισμού, κάνοντας ρητή αναφορά στον ορισμό της και στις προϋποθέσεις για τη χορήγησή της, σύμφωνα με τα προβλεπόμενα στον ΓΚΠΔ, ενώ το άρθρο 10 επιβάλει στους παρόχους λογισμικού που επιτρέπει ηλεκτρονικές επικοινωνίες την υποχρέωση να βοηθούν τους τελικούς χρήστες ώστε να πραγματοποιούν αποτελεσματικές επιλογές στις ρυθμίσεις απορρήτου. Στο άρθρο 11 εξετάζονται σε βάθος οι σκοποί και οι προϋποθέσεις για τον περιορισμό των παραπάνω διατάξεων από τα κράτη μέλη.

[6]  In gr 3 Απριλίου 2006 <https://www.in.gr/2006/04/03/greece/ypomnima-gia-tin-prostasia-proswpikwn-dedomenwn-paredwse-o-d-goyrgoyrakis/> τελευταία πρόσβαση 3 Αυγούστου 2022. 

[7] Capital gr  <https://www.capital.gr/epikairotita/1020274/sugxoneuseis-anexartiton-arxon > τελευταία πρόσβαση 3 Αυγούστου 2022. 

 

[8] ΣτΕ 1345/2022.

[9] ΣτΕ 1478/2022 Ολομ.