Η διάκριση Δημόσιου και Ιδιωτικού Τομέα υπό το φως του ΓΚΠΔ

Μελέτη

Η διάκριση Δημόσιου και Ιδιωτικού Τομέα  υπό το φως του ΓΚΠΔ

 Σκέψεις με αφορμή την απόφαση ΔΕΕ της  20.10.2022  C-306/21 Komisia za zashtita na lichnite danni, Tsentralna izbiratelna komisia

Σπυριδούλα Καρύδα

Πάρεδρος ΣτΕ

LL.M. University of Luxembourg

Με την παρούσα σύντομη μελέτη επιχειρείται μία πρώτη εκτίμηση εφαρμογής του ν. 4624/2019 ( A΄137) και ειδικότερα των μέτρων πού λήφθηκαν για την εξειδίκευση των ρητρών ανοίγματος (opening clauses = ÖffnungsKlauseln)[1] και την ευελιξία που παρέχουν στον υπεύθυνο επεξεργασίας  δεδομένων προσωπικού χαρακτήρα τόσο στον  ιδιωτικό  όσο και στον δημόσιο τομέα. Με τις ρήτρες ανοίγματος ο ενωσιακός νομοθέτης εξουσιοδοτεί τον εκάστοτε εθνικό νομοθέτη να προσδιορίσει, συγκεκριμενοποιήσει ή  να εξειδικεύσει τις προϋποθέσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (εδπχ) στην εθνική έννομη τάξη.[2]

Με το ν. 4624/2019 ο Έλληνας νομοθέτης: α) εκσυγχρόνισε το νομοθετικό πλαίσιο που ρυθμίζει τη συγκρότηση και  λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), η οποία είχε συσταθεί με το ν. 2472/1997 (Α΄50), β) έλαβε μέτρα εφαρμογής του ΓΚΠΔ, εξειδικεύοντας μεταξύ άλλων τις ρήτρες ανοίγματος (opening clauses), οι οποίες είναι εγκατασπαρμένες σε πολλές διατάξεις του ΓΚΠΔ (υπολογίζονται πάνω από πενήντα ρήτρες ανοίγματος), και γ) ενσωμάτωσε στην εθνική έννομη τάξη την Οδηγία (ΕΕ) 2016/680 που προβλέπει την εδπχ  από τις αρχές επιβολής του νόμου  (Ελληνική Αστυνομία, Εισαγγελικές αρχές κ.λπ.) καθώς και από τα ποινικά δικαστήρια. [3]

Ο ν. 4624/2019 ακολούθησε το δυαδικό σύστημα νομοθέτησης και διέκρινε τόσο από ουσιαστικής όσο και από νομοτεχνικής άποψης  μεταξύ δημόσιου και ιδιωτικού τομέα.[4] Αυτή η διάκριση λαμβάνει υπόψη της δικαιοπολιτικά και δογματικά τις διαφορετικές αρχές που επικρατούν κατά τη λειτουργία του δημόσιου και του ιδιωτικού τομέα. Ως εκ τούτου, η διάκριση μεταξύ δημόσιου και ιδιωτικού τομέα βασίζεται στην ακόλουθη δογματική εξήγηση: ο νόμος για την προστασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει, αφενός, να προστατεύει τον πολίτη από την εδπχ  από δημόσιους φορείς και, ως εκ τούτου, να τον εξοπλίζει με ‘αμυντικό δικαίωμα’ και, αφετέρου, να παρέχει προστασία και  έναντι της εδπχ  από ιδιωτικούς φορείς.[5] Η ανάγκη διαφοροποίησης εξηγείται περαιτέρω και από τις διαφορετικές νομικές βάσεις  που προβλέπει ο ΓΚΠΔ στο άρθρο 6 για την εδπχ  από τον  δημόσιο (άρθρο 6 παρ. 1 περ. ε΄)  και ιδιωτικό τομέα (άρθρο 6 παρ. 1 περ. στ΄), ενισχύεται  από το άρθρο 6 παρ. 2 και παρ. 3 περ. β΄ του ΓΚΠΔ  και δικαιολογείται από το γεγονός ότι η συγκατάθεση σύμφωνα με το άρθρο 6 παρ. 1  περ. α΄ δεν μπορεί να θεωρηθεί επαρκής αυτοτελή νομική βάση για τον υπερέχοντα έναντι του διοικούμενου πολίτη δημόσιο τομέα ( βλ.  Αιτ.Σκ. 43 ΓΚΠΔ). Αντιθέτως, η συγκατάθεση αποτελεί για τον ιδιωτικό τομέα την πιο διαδομένη νομική βάση εδπχ. Ωστόσο, η διαφορετική αντιμετώπιση του δημόσιου από τον ιδιωτικό τομέα εξηγείται και μέσω της ρήτρας ανοίγματος του άρθρου 6 παρ. 2 και 3 εδ. γ΄ του ΓΚΠΔ, αφού ως γνωστόν ο δημόσιος τομέας σε σύγκριση με τον ιδιωτικό διαθέτει στο εθνικό δίκαιο διακριτική ευχέρεια κατά την εδπχ  που  γίνεται  για το δημόσιο συμφέρον.

Η διάκριση αυτή επέτρεψε  στον Έλληνα νομοθέτη  να προβλέψει  στο άρθρο 39  του ν. 4624/2019 ειδικές  διοικητικές κυρώσεις για παραβάσεις του ΓΚΠΔ  από δημόσιους φορείς, όπως οριοθετούνται στην περ. α΄ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α΄143) όχι μόνο για λόγους νομοθετικής  συνέπειας αλλά και για λόγους δικαιοπολιτικούς σε ένα σύστημα απρόσκοπτης λειτουργίας της οικονομίας. Κρίθηκε, λοιπόν, αναγκαίο να μην απειληθούν εναντίον  του δημοσίου οι εξοντωτικές ποινές του άρθρου 83 του ΓΚΠΔ. Και  τούτο διότι το δημόσιο κατά κανόνα δεν λειτουργεί με τους κανόνες της ελεύθερης αγοράς  που εφαρμόζουν οι επιχειρήσεις στον ιδιωτικό τομέα και σε κάθε περίπτωση η επιβολή υψηλών προστίμων σε βάρος  του δημοσίου αντανακλά στα συμφέροντα των πολιτών ως φορολογούμενων, ενώ παράλληλα περιορίζει την οικονομική δυνατότητα του κράτους για κοινωνική πολιτική  και χορήγηση π.χ.  επιδομάτων και παροχών προς τους αναξιοπαθούντες συμπολίτες μας. Επισημαίνεται επίσης ότι για ευνόητους λόγους ρητώς εξαιρέθηκαν της εφαρμογής των επιεικέστερων αυτών προστίμων οι ΔΕΚΟ κ.λπ., όπως αυτές περιγράφονται στο Κεφάλαιο Α΄ του ν. 3429/2005 (Α΄314). [6]

Ωστόσο, ήταν ακριβώς η ρήτρα ανοίγματος της παρ. 3 εδ. α΄του άρθρου 6 του ΓΚΠΔ για την  εδπχ  από το δημόσιο τομέα η οποία  επέβαλε στον Έλληνα νομοθέτη μεταξύ άλλου την πρόβλεψη του άρθρου 5 του ν. 4624/2019. Με το  άρθρο αυτό, το οποίο σκόπιμα εντάχθηκε στο ΚΕΦΑΛΑΙΟ Α΄ του ν. 4624/2019 υπό τον τίτλο ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ, προβλέφθηκε μία γενική νομική βάση εδπχ για το δημόσιο τομέα. Η στόχευση του Έλληνα νομοθέτη ήταν διττή: αφενός α) η ρητή πρόβλεψη  εθνικής νομικής   βάσης για την εδπχ, όταν διενεργείται από τις αρχές επιβολής του νόμου (Ελληνική Αστυνομία κ.λπ. και Εισαγγελικές Αρχές) και τα ποινικά δικαστήρια στο πεδίο εφαρμογής της Οδηγίας (ΕΕ) 2016/680, με το οποίο συγκεκριμενοποιείται το άρθρο 8 παρ. 1 της οδηγίας (βλ. Κεφάλαιο Δ΄ του ν.  4624/2019, όπου και η ενσωμάτωση της Οδηγίας στο εσωτερικό εθνικό δίκαιο), και β) η πρόβλεψη κανονιστικής εξουσιοδότησης, αφού το άρθρο 6 παρ.1 περ. ε΄ του  ΓΚΠΔ δεν αποτελεί αυτοτελή  επιτρεπτικό κανόνα  εδπχ, όπως συνάγεται από το άρθρο 6 παρ.3  του ΓΚΠΔ σε συνδυασμό με την Αιτ.Σκ.  45 του ΓΚΠΔ (Lang σε: Taeger/Gaber, Kommentar, DSGVO-BDSG, 3η έκδ., 2019, ά. 3 BDSG, αρ. 1.επ., Pabst/Schwartmann/Mühlenbeck σε: Schwartmann DS-GVO/BDSG Datenschutz-Grundverordnung Bundesdatenschutzgesetz , 2^η έκδ.,  2020,  ά. 6 παρ. 1 περ. ε΄ DS-GVO, §3 BDSG, αρ. 108-111). Η συνδυαστική αυτή ερμηνεία του άρθρου 6 παρ.1 περ. ε΄του ΓΚΠΔ με το άρθρο 6 παρ. 3 του ΓΚΠΔ, η οποία είχε ήδη προταθεί στην αιτιολογική έκθεση του ν. 4624/2019,[7] έγινε πρόσφατα αποδεκτή και από νομολογία του ΔΕΕ,[8] όπου ρητώς επισημαίνεται  ότι: «Το στοιχείο εʹ της παραγράφου 1 του άρθρου 6 του ΓΚΠΔ πρέπει να ερμηνευθεί σε συνδυασμό με το άρθρο 6, παράγραφος 3, του ίδιου κανονισμού, το οποίο διευκρινίζει ότι η βάση για την επεξεργασία που αναφέρεται στο στοιχείο εʹ ορίζεται από το δίκαιο της Ένωσης ή από το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Οι συνδυασμένες διατάξεις του άρθρου 6 παράγραφος 1 στοιχείο εʹ του ΓΚΠΔ και του άρθρου 6 παρ. 3 του ΓΚΠΔ παρέχουν, επομένως, στα κράτη μέλη τη δυνατότητα να θεσπίζουν κανόνες βάσει των οποίων οι υπεύθυνοι επεξεργασίας μπορούν να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας».

Ωστόσο, η πρόβλεψη αυτή του εθνικού νομοθέτη  αγνοήθηκε, και αντιθέτως με το άρθρο 38 του ν. 5002/2022 (Α΄228), με το οποίο προστέθηκε το άρθρο 45Α στον ν. 4624/2019, επιχειρήθηκε πλημμελώς, κατά την άποψή μου, η εκ νέου ενσωμάτωση του άρθρου 8 της οδηγίας στην εθνική έννομη τάξη. Τούτο διότι, σε συμμόρφωση της σχετικής υποχρέωσής του ο Έλληνας νομοθέτης είχε ήδη  ενσωματώσει τα στοιχεία της παρ. 1 του άρθρου 8 της  οδηγίας  με το άρθρο 5 (Νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς), το οποίο εντάσσεται στο ΚΕΦΑΛΑΙΟ Α΄ (ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ) του νόμου 4624/2019 και ορίζει ότι: «Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.». Περαιτέρω, από τη γλωσσική διατύπωση της παρ. 2 του άρθρου 8 της οδηγίας  συνάγεται ότι ο  εθνικός νομοθέτης, εν προκειμένω ο Έλληνας νομοθέτης, δεν υποχρεούτο να λάβει κανένα εφαρμοστικό μέτρο, δεδομένου ότι η παράγραφος αυτή δεν αναφέρεται στα κράτη μέλη, όπως προβλέπεται στην παρ. 1 του αυτού άρθρου [βλ. την διατύπωση στην παρ. 1: «(…) Τα κράτη μέλη (…)»]. Εξάλλου, από τη διατύπωση της αιτιολογικής σκέψης με αριθμ. 33 της οδηγίας  και ειδικότερα από τη φράση «Όπου η παρούσα οδηγία παραπέμπει στη νομοθεσία των κρατών μελών, σε νομική βάση ή νομοθετικό μέτρο (…)  η εν λόγω νομοθεσία των κρατών μελών, η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένα με σαφήνεια και ακρίβεια και η εφαρμογή τους να είναι προβλέψιμη για όσους  (…). Η νομοθεσία των κρατών μελών που ρυθμίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της παρούσας οδηγίας θα πρέπει να καθορίζει τουλάχιστον τους στόχους, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, τους σκοπούς της επεξεργασίας και τις διαδικασίες για τη διατήρηση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα και τις διαδικασίες για την καταστροφή τους (…)»  προκύπτει η υποχρέωση του εκάστοτε εθνικού νομοθέτη  να νομοθετεί με σαφήνεια και ακρίβεια, στις περιπτώσεις που η οδηγία παραπέμπει σε εθνική νομοθεσία. Πρόκειται δηλαδή για περιπτώσεις παραπομπής της οδηγίας σε ειδική εθνική  τομεακή νομοθεσία, όπως είναι  λ.χ. είναι οι ρυθμίσεις του Κώδικα Ποινικής Δικονομίας ή της αστυνομικής νομοθεσίας. Συνεπώς, η παρ. 2 του άρθρου 8 της εν θέματι οδηγίας δεν δημιουργεί, όπως προαναφέρθηκε, καμία υποχρέωση στον εθνικό νομοθέτη για τη μεταφορά των στοιχείων της παραγράφου αυτής στο εθνικό δίκαιο. Απεναντίας, ο ενωσιακός νομοθέτης διαλαμβάνει εν προκειμένω ως προαπαιτούμενο το τομεακό (ειδικό) δίκαιο του κράτους μέλους που ρυθμίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παρούσας οδηγίας και το οποίο (τομεακό δίκαιο) πρέπει να καθορίζει τουλάχιστον τους στόχους της επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τους σκοπούς της επεξεργασίας.

Συμπερασματικώς, το άρθρο 38 του ν. 5002/2022  (ήδη άρθρο 45 Α του ν. 4624/2019) είναι μία κενού περιεχομένου ρύθμιση, η οποία δεν ενσωματώνει, αλλά αντιθέτως αναιρεί την ενσωμάτωση της οδηγίας (άστοχη και η  διαζευκτική πρόβλεψη για το εάν η επεξεργασία βασίζεται στο νόμο ή στο δίκαιο της Ένωσης, διατύπωση η οποία δεν αντιστοιχεί σε ενσωμάτωση  οδηγίας). Προβληματική από απόψεως διοικητικού δικαίου είναι και η χρήση του όρου «νομιμότητα» της επεξεργασίας διότι σύμφωνα με γενική αρχή του διοικητικού δικαίου (βλ. τεκμήριο νομιμότητας) η διατύπωση έρχεται σε αντίθεση με την αρχή αυτή  καθώς υπονοείται ότι οι διοικητικές πράξεις που εκδίδονται από τις αρχές επιβολής του νόμου και  αφορούν σε επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν είναι πλέον εξοπλισμένες με το τεκμήριο νομιμότητας.

Πρέπει, ακόμη, να αναφερθεί  ότι η διατύπωση του  άρθρου 5 του ν. 4624/2019 είναι πανομοιότυπη με τη διατύπωση του άρθρου 3 του Ομοσπονδιακού Νόμου για την Προστασία των Δεδομένων (BDSG),  με το οποίο ενσωματώθηκε στη γερμανική έννομη τάξη η παρ. 1 του άρθρου  8 της οδηγίας [βλ.Wolff/Brink/BeckOK Datenschutzrecht, 39^η έκδ. (κατάσταση 1.11.2021), άρθρο 3 BDSG,  ά. 32, 32.1 και 32.2].

Σπυριδούλα Καρύδα

Πάρεδρος ΣτΕ

LL.M. University of Luxembourg

 

 

 

 

 

 

---

[1]Jürgen Kühling et al, Die Datenschutz-Grundverordnung und das nationale Recht – Erste Überlegungen zuminnerstaatlichen Regelungsbedarf (Monsenstein und Vannerdat, Münster, 2016) 9-10.

 

[2] Βλ. Αιτ.Σκ. 10 ΓΚΠΔ  και  C‑319/20 απόφαση ΔΕΕ  της 28ης Απριλίου 2022, Meta Platforms Ireland, EU:C:2022:322, σκέψη 57 σύμφωνα με την οποία: «οι διατάξεις του εν λόγω κανονισμού [ΓΚΠΔ] παρέχουν στα κράτη μέλη τη δυνατότητα να θεσπίζουν πρόσθετους εθνικούς κανόνες, αυστηρότερους ή εισάγοντες παρεκκλίσεις, οι οποίοι καταλείπουν σε αυτά περιθώριο εκτιμήσεως ως προς τον τρόπο με τον οποίο οι εν λόγω διατάξεις μπορούν να τίθενται σε εφαρμογή (“ρήτρες ανοίγματος”)».

 

[3] Spyridoula Karyda, «Law No. 4624/2019: Shedding Light on the Greek Adaptation of the GDPR» (March 11, 2022) σε SSRN: <https://ssrn.com/abstract=4055464> για μία εμπεριστατωμένη ανάλυση των ρητρών ανοίγματος του ΓΚΠΔ και του ν. 4624/2019.

 

 

 

[4] Βλ. άρθρο 4 ν.4624/2019 όπου και οι ορισμοί  δημόσιου και ιδιωτικού φορέα αντίστοιχα.

[5]Marie-Theres Tinnefeld et al, Einführung in das Datenschutzrecht:Datenschutz und Informationsfreiheit in europäischer Sicht  (7th edn)) 220.  

[6] Για τον ιδιωτικό τομέα ισχύει το άρθρο 83 του ΓΚΠΔ και μόνη αρμόδια να επιβάλλει τις κυρώσεις αυτές είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (βλ. ΔΕΕ C‑252/21 Meta Platforms Προτάσεις Γενικού Εισαγγελέα παρ.22).

[7] Βλ: 1. Άρθρο  5 Αιτ.Εκθ. ν. 4624/2019. 2.Spyridoula Karyda, Law No. 4624/2019: Shedding Light on the Greek Adaptation of the GDPR (March 11, 2022) σε  SSRN: <https://ssrn.com/abstract=4055464>.

 

 

[8] Βλ. απόφαση ΔΕΕ της  20.10.2022  C-306/21 Komisia za zashtita na lichnite danni, Tsentralna izbiratelna komisia ECLI:EU:C:2022:813 σκ. 49-50.