Ειδήσεις

Η προστασία των προσωπικών δεδομένων με βάση τον νέο Κανονισμό, η ουσία απέναντι στην κινδυνολογία

Μιχαήλ Θ. Παπαγεωργίου *
Δικηγόρος,
Υπ. Διδάκτωρ Συνταγματικού /Διοικητικού Δικαίου
(Αθήνα/ Cambridge)

Σε πολλές πτυχές της νομοθετικής πρωτοβουλίας, είτε λίγο πριν την τελική κατάρτιση της (νομοσχέδια), είτε αμέσως μετά την ισχύ της (τυπικός νόμος του κράτους, πριν την πρακτική εφαρμογή του), η κινδυνολογία και ο εκφοβισμός καλλιεργείται μέσα από την ασάφεια των «ειδικών» , την επιπόλαιη και μεμονωμένη ενημέρωση των πολιτών και την εν τέλει την άγνοια τους… Στην χώρα μας , δεν είναι λίγες οι φορές για κάθε τι που ακούγεται βαρύγδουπο ως νομοθετική ρύθμιση (π.χ. «Κανονισμός Προστασίας Προσωπικών Δεδομένων»), μοντέρνο και ξενόφερτο (ορολογίες «GDPR και DPO») να γίνεται της «μόδας», ευκαιρία κερδοσκοπίας και τελικώς μετά από σύντομο χρονικό διάστημα πανικού να ενσωματώνεται στην έννομη τάξη, είτε στο επίπεδο που της αξίζει, είτε ακόμα χειρότερα, να τίθεται στο περιθώριο, χωρίς να υπάρχει η απαιτούμενη συνέπεια σε μία ορθολογική εφαρμογή και τήρηση του κανονιστικού πλαισίου.
Τα προσωπικά δεδομένα υπό τη νομοθετική πρωτοβουλία της Ευρωπαϊκής Ένωσης δεν είναι κάτι καινούριο, απλώς με την ενεργοποίηση της άμεσης ισχύος του νέου Κανονισμού 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών σε κατάργηση της προηγούμενης οδηγίας 95/46/ΕΚ, το θεσμικό πλαίσιο α) αυστηροποιείται, β) συμπυκνώνεται σε ενιαία κανονιστική κωδικοποίηση και γ) υποστηρίζεται από αυστηρά πρόστιμα (που ανάλογα με το είδος και το μέγεθος της επιχείρησης, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του συνολικού ετήσιου κύκλου εργασιών- αρθ. 83 Καν.).
Αξίζει να επισημανθεί πως ο Θεμελιώδης Νόμος της εθνικής μας έννομης τάξης, το Σύνταγμα, ήδη από την αναθεώρηση του 2001 έχει μεριμνήσει εγγυητικά σε επίπεδο προστασίας των συγκεκριμένων δικαιωμάτων στο άρθρο 9Α , συστήνοντας επιπρόσθετα τη λειτουργία αρμόδιας ανεξάρτητης συνταγματικής αρχής και παρέχοντας εξουσιοδότηση στο κοινό νόμο για την περαιτέρω ρυθμιστική προστασία του ζητήματος. Επιπλέον, με τις διατάξεις του άρθρου 25 παρ. 1 του Συντάγματος οι αξιώσεις των δικαιωμάτων προς τον περιορισμό του κράτους «ισχύουν και στις σχέσεις ιδιωτών στις οποίες προσιδιάζουν». Αυτό σημαίνει ότι τα συνταγματικά δικαιώματα μπορούν –και πρέπει- να «τριτενεργούν» και μεταξύ των ιδιωτών, κάτι που ισχύει και εντοπίζεται στην φύση και του συγκεκριμένου δικαιώματος της προστασίας προσωπικών δεδομένων, όταν πλέον στη σύγχρονη εποχή φορείς και κέντρα εξουσίας πέρα των κρατικών μηχανισμών ελέγχουν, καθορίζουν, διαμορφώνουν και παρεμβαίνουν στη ζωή των πολιτών με δυναμικό τρόπο. Ακόμα και αγώγιμες αξιώσεις περί προσβολής της προσωπικότητας και ηθικής βλάβης των άρθρων 57-59 του Αστικού Κώδικα (έμμεση τριτενέργεια) δύναται να έχουν ως νομική τους βάση και την ισχύουσα συνταγματική επιταγή.
Στόχος του νέου πλαισίου είναι η… ενεργητική ευαισθητοποίηση της αγοράς γύρω από τα ζητήματα αυτά, η διαμόρφωση δικαιικής αντίληψης, πληροφόρησης, καλλιέργειας νέας «συμπεριφοριστικής» νοοτροπίας των πολιτών, η τακτοποίηση θεμάτων εξαγωγής προσωπικών δεδομένων εκτός ΕΕ αλλά και η εναρμόνιση όλων των χωρών της ΕΕ υπό αυτό το ενιαίο καθεστώς. Τα στοιχεία των προσωπικών δεδομένων που αποτελούν αντικείμενο της εν λόγω προστασίας είναι κατά κύριο λόγο ονόματα, κωδικοί προσώπων, στοιχεία ταυτοποίησης αξιοποιήσιμα στις συναλλαγές του κάθε ατόμου όπως ΑΔΤ, ΑΦΜ, Αριθμ. Διαβατηρίου, ΑΜΚΑ, κλπ, διευθύνσεις (φυσικές και ηλεκτρονικές), φωτογραφίες και γενικά οτιδήποτε μπορεί να αξιοποιηθεί για την ταυτοποίηση ενός προσώπου.
Δυστυχώς, οι μύθοι που αφορούν το τι είναι, τι δεν είναι, το τι πρέπει να κάνουμε, το πόσο θα κοστίσει, ανάμεσα στο δικηγορικό κόσμο και στις ενδιαφερόμενες πλευρές ποικίλουν και οδηγούν σε υπερβολές . Εσχάτως κυκλοφορεί ο όρος «Data Protection Officer» για να προσδιορίσει τον άνθρωπο εκείνο μέσα σε μια εταιρεία- οργανισμό- επιχείρηση, ο οποίος θα είναι γενικά υπεύθυνος να συμβουλεύει για το πώς το νομικό πρόσωπο θα εφαρμόζει σωστά τον κανονισμό. Στην πραγματικότητα είναι ένας ρόλος και όχι μια νέα θέση.
Πρέπει, συνεπώς, να γίνουν σαφή δύο συγκεκριμένα κρίσιμα ζητήματα. Το ένα αφορά το ζήτημα των πιστοποιήσεων για την κατάρτιση της γνώσης και της πρακτικής εφαρμογής του Κανονισμού και το άλλο, τα χαρακτηριστικά του προσώπου που δύναται να οριστεί Υπεύθυνος Προσωπικών Δεδομένων. Ζητήματα δηλαδή που έχουν μία αλληλένδετη-συγγενική σημασία για την τελική και ορθολογική εφαρμογή του μέτρου.
Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα διατύπωσε με την υπ’ αριθμ. πρωτ. Γ/ΕΞ/6007/9-8-2017 Ανακοίνωση, ενόψει της άμεσης εφαρμογής του Γενικού Κανονισµού Προστασίας ∆εδοµένων (ΓΚΠ∆) τον Μάϊο του 2018 και της προσφοράς αρκετών εκπαιδευτικών προγραμμάτων/ σεµιναρίων για τον ρόλο του Υπευθύνου Προστασίας ∆εδοµένων (Data Protection Officer – DPO), τα εξής:
Στο πλαίσιο της προώθησης των εκπαιδευτικών αυτών προγραµµάτων, υπάρχουν φορείς που υποστηρίζουν ότι η προσφερόµενη εκπαίδευση αποτελεί ένα προπαρασκευαστικό στάδιο που οδηγεί σε κάποιου τύπου πιστοποίηση «DPO» στην ελληνική επικράτεια. Με στόχο την ενημέρωση των ενδιαφερομένων, η Αρχή επισήμανε προς κάθε κατεύθυνση και με σαφήνεια ότι: «Η δραστηριοποίηση αυτή της αγοράς είναι θετική, αφού συμβάλλει στη μεταφορά γνώσης και ενημέρωσης σε θέµατα του ΓΚΠ∆, πρέπει όμως να τεθεί στην ορθή της διάσταση, αποφεύγοντας τη δηµιουργία εσφαλµένων εντυπώσεων ως προς τις σχετικές απαιτήσεις του ΓΚΠ∆ ο οποίος , δεν θέτει κάποια υποχρεωτική απαίτηση για πιστοποίηση του DPO, ούτε καν ενθαρρύνει σχετική πιστοποίηση σε προαιρετική βάση. Μέχρι σήµερα κανένας φορέας στην Ελλάδα δεν έχει διαπιστευθεί για να πιστοποιεί τα επαγγελµατικά προσόντα/δεξιότητες ενός DPO. Συνεπώς, οι προτεινόµενες πιστοποιήσεις DPO δεν εµπίπτουν στην κατηγορία των υφιστάµενων επίσηµων ελληνικών πιστοποιήσεων.»
Η καθ’ ύλην υιοθέτηση του Κανονισμού και επακόλουθα ο ορισμός DPO παρά την μέχρι τώρα αοριστία του και μη περιπτωσιολογική αναφορά του (σε άλλα ζητήματα η Ε.Ε. θέτει διευκρινιστικό εκτενές παράρτημα των υποκειμένων και αντικειμένων της εκάστοτε νομοθετικής ρύθμισης) είναι υποχρεωτικός όταν:
-Η επεξεργασία διενεργείται από δημόσια αρχή ή δημόσιο φορέα (συμπεριλαμβανομένων και φυσικών ή νομικών προσώπων δημοσίου ή ιδιωτικού δικαίου που ασκούν δημόσια εξουσία). Εξαιρουμένων των δικαστηρίων όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.
-Απαιτείται τακτική και συστηματική παρακολούθηση, χρήση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα (π.χ. ασφαλιστικές ή τραπεζικές υπηρεσίες, υπηρεσίες τηλεφωνίας ή διαδικτύου, παροχή υπηρεσιών ασφαλείας, ταχυδρομικές υπηρεσίες και υπηρεσίες μεταφορών όλες οι μορφές παρακολούθησης και διαμόρφωσης «προφίλ» στο διαδίκτυο, όπως για σκοπούς «συμπεριφορικής» διαφήμισης).
-Διενεργείται μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων (π.χ. ευαίσθητα ζητήματα στο πλαίσιο παροχής υπηρεσιών υγείας από νοσοκομεία) ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα.
Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) απλώς διευκολύνει τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τις διατάξεις του ΓΚΠΔ και μεσολαβεί μεταξύ των διαφόρων ενδιαφερομένων (π.χ. εποπτικές αρχές και υποκείμενα των δεδομένων). Ο ρόλος του είναι καθαρά συμβουλευτικός (όχι αποφασιστικός) και δεν φέρει προσωπική ευθύνη για τη μη συμμόρφωση με τον Κανονισμό.
Ταυτόχρονα ο Υπεύθυνος Προσωπικών Δεδομένων δεσμεύεται νομικά με αντίστοιχες ποινικές κυρώσεις, ως προς το επαγγελματικό του απόρρητο, την υποχρέωση εχεμύθιας, μη ανακοινώνοντας ή αποκαλύπτοντας σε άλλον γεγονότα ή πληροφορίες που περιήλθαν σε γνώση του από τη θέση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών, με σκοπό να ωφεληθεί ο ίδιος ή τρίτος, ή για να βλάψει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ή το υποκείμενο των δεδομένων ή οποιονδήποτε τρίτο.
Ενδεικτικά τα καθήκοντα του «DPO» είναι τα εξής:
α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων,
β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων,
γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της,
δ) συνεργάζεται με την εποπτική αρχή,
ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία.
Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
Σύμφωνα με τις διατάξεις του άρθρου 37 του Κανονισμού ρητά αναφέρεται ότι:
Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων. Yπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
Συνεπώς, καθίσταται σαφές πως προσωπικό και εργαζόμενος του οργανισμού- εταιρείας που επιφορτίζεται ήδη από την φύση των εργασιακών

του καθηκόντων να χρησιμοποιεί και να επεξεργάζεται προσωπικά δεδομένα κατά το δέον υπεύθυνα , νομότυπα και συνετά, όχι μόνο δεν απαγορεύεται με οποιασδήποτε μορφή σύγκρουσης συμφερόντων αλλά είναι και θεμιτό-επιδιωκόμενο να αναλάβει και το συντονισμό της εύρυθμης λειτουργίας και της σύγχρονης ορθολογικής διαχείρισης τους. Ενδεχομένως, μία εφάπαξ ειδικευμένη τεχνική υποστήριξη για την δομική εγκατάσταση των υπό επεξεργασία δεδομένων και σε νομικό επίπεδο η συμβουλευτική αποσαφήνιση ορισμένων κανονιστικών ρυθμίσεων να είναι εξίσου θεμιτή, αλλά αυτό δεν μπορεί να υποστηρίξει μία «θεσμική αυτονόμηση» αυτού του ρόλου, δημιουργώντας είτε ένα νέο… επάγγελμα ή μία νέα επιστημονική κατάρτιση.
Η Ανεξαρτητη Αρχή αποσαφήνισε το ζήτημα της σύγκρουσης συμφερόντων εξετάζοντας μία συγκεκριμένη και μόνο περίσταση όπου έκανε δεκτή την ύπαρξη κωλύματος (μελών της ίδιας της ελεγκτικής αρχής), με την υπ’ αριθμ. πρωτοκ. Γ/ΕΞ/7924/03-11-2017 Γνωμοδότηση της (ΑΡ. 7 /2017) στην παρακάτω ξεκάθαρη περίσταση. Συγκεκριµένα, έκρινε πως η παροχή υπηρεσιών συµβουλευτικών, εκπαιδευτικών/επιµορφωτικών ή πιστοποίησης σε θέµατα προστασίας δεδοµένων, όπως είναι εκείνα που ρυθµίζονται µε τον ΓΚΠ∆, προϋποθέτει την ερµηνεία κειµένων διατάξεων αλλά, κυρίως, ενηµέρωση ή καθοδήγηση ως προς τον τρόπο που αυτές οι διατάξεις εφαρµόζονται στην πράξη.
Εποµένως, αν ο πάροχος της εκάστοτε υπηρεσίας είναι µέλος ή υπάλληλος της Ανεξάρτητης Αρχής Προσωπικών Δεδομένων ελλοχεύει ο κίνδυνος να δημιουργηθεί σύγχυση του υπηρεσιακού του ρόλου µε την εξωυπηρεσιακή του δραστηριότητα. Επίσης, εµµέσως επηρεάζεται η πιθανή µελλοντική σχέση «ελεγκτή-ελεγχόµενου» λόγω της ιδιότητας του παρόχου αλλά και της προσδοκίας των ληπτών των υπηρεσιών ότι δεν παρέχεται σ’ αυτούς µόνο η µεγάλη εξειδίκευση του συµβούλου / εκπαιδευτή στο αντικείµενο της προστασίας των δεδοµένων αλλά και η κρίση / γνώµη / σύσταση / αυθεντία της Αρχής επί υποθέσεων για τις οποίες ενδέχεται ο λήπτης των υπηρεσιών, ως επαγγελµατίας, να προσφύγει στην ΑΠ∆ΠΧ για απόφαση / γνωµοδότηση.
Επιπροσθέτως, έκρινε πως δεν πρέπει να παραβλέπεται το γεγονός ότι οποιαδήποτε συνεργασία µέλους/υπαλλήλου της Αρχής µε συγκεκριµένο φορέα παροχής υπηρεσιών συµβουλευτικών, εκπαιδευτικών/επιµορφωτικών ή πιστοποίησης είναι δεδοµένο ότι προσδίδει στο συνεργαζόµενο φορέα ένα συγκριτικό πλεονέκτηµα έναντι των ανταγωνιστών του για τους ίδιους λόγους που αναλύθηκαν παραπάνω, δηλαδή ότι µεταφέρεται στους λήπτες των υπηρεσιών εκτός της γνώσης και η γνώµη / σύσταση της Αρχής. Σ’ ένα άκρως ανταγωνιστικό περιβάλλον παροχής υπηρεσιών στον τοµέα της προστασίας των προσωπικών δεδοµένων, η οποιαδήποτε εµπλοκή της Αρχής µπορεί να θεωρηθεί ότι έχει ως στόχο να προωθήσει ορισµένους φορείς έναντι άλλων. Είναι λοιπόν εµφανής η ανάγκη να προστατευτεί η ΑΠ∆ΠΧ και τα μέλη της ακόµη και από την υπόνοια ότι συµπράττει µε οποιοδήποτε εμπλεκόμενο ιδιωτικό φορέα.
Με βάση όλα τα παραπάνω, συνοπτικά, αυτό που απαιτείται στην ουσία (με την ανάγνωση και κατανόηση απλώς του γράμματος του νόμου) είναι η δυναμική πληροφόρηση, προσαρμογή και κατάρτιση του συνόλου του σχετικού με το ζήτημα προσωπικού/διαχειριστών των αντίστοιχων ενδιαφερομένων «υπηρεσιών» που επεξεργάζονται και κατέχουν μέσω των αρχείων τους, σειρά δεδομένων. Με αυτόν τον τρόπο θα διαμορφωθεί μία νέα παιδεία, νοοτροπία, διαχείριση και αντίληψη στη χρήση, ηλεκτρονική και μη, των προσωπικών δεδομένων, και μάλιστα όπου πραγματικά απαιτείται, από τη λειτουργία και τη φύση της δραστηριότητας, εξυπηρετώντας αφενός την εύρυθμη και ποιοτικότερη λειτουργία του υποκειμένου επεξεργασίας και αφετέρου τα δικαιώματα των ατόμων, σε μία εποχή ραγδαίας τεχνολογικής εξέλιξης, άμεσης πρόσβασης στην οποιαδήποτε πληροφορία, αντίστοιχου κινδύνου διάτρησης – έκθεσης ευαίσθητων απόρρητων στοιχείων και καταγραφής -«φακελοποίησης» δεδομένων που αφορούν σειρά ατομικών δεδομένων. Η ανάγκη ασφάλειας του δικαίου και για την καταγραφή αλλά και για την προστασία είναι επιβεβλημένη να γίνει κτήμα των πολιτών και μέριμνα της Πολιτείας.
Η συμμόρφωση στο ΓΚΠΔ πρέπει να γίνεται χωρίς υπερβολές… αυτοδεσμεύσεων, γραφειοκρατικών εμποδίων και τελικώς δημιουργίας ευθυνών και εκμετάλλευσης της αμάθειας ή καλύτερα της ημιμάθειας για την κερδοσκοπία λίγων. Ο κρίσιμος στόχος της συμμόρφωσης δεν είναι τίποτα άλλο πέρα από τη γνώση και τη συνείδηση της ήδη υφιστάμενης πραγματικότητας και των προκλήσεων για την προστασία του ατόμου σε ένα παγκόσμιο περιβάλλον πολλαπλής πραγματικότητας.

* Μιχαήλ Θ. Παπαγεωργίου,
Δικηγόρος
Υπ. Διδάκτωρ
Συνταγματικού & Διοικητικού Δικαίου Νομικής
Σχολής Αθηνών
Ερευνητής Νομικής Σχολής Πανεπιστημίου Cambridge
Επιστημονικός Συνεργάτης Wolfson College University of Cambigde
Εθνάρχου Μακαρίου 45-
Ρόδος Τ.Κ. 8500,
Τηλ. Επικοινωνίας 22410-29225 7 6945925525
Ηλεκτ. Ταχυδρ.
papagmik@gmail.com, mp836@cam.ac.uk

Σχολιασμός Άρθρου

Τα σχόλια εκφράζουν αποκλειστικά τον εκάστοτε σχολιαστή. Η Δημοκρατική δεν υιοθετεί αυτές τις απόψεις. Διατηρούμε το δικαίωμα να διαγράψουμε όποια σχόλια θεωρούμε προσβλητικά ή περιέχουν ύβρεις, χωρίς καμμία προειδοποίηση. Χρήστες που δεν τηρούν τους όρους χρήσης αποκλείονται.

Σχολιασμός άρθρου