Ανησυχίες για το Σχέδιο Νόμου περί προστασίας προσωπικών δεδομένων

Θα πρέπει το Υπουργείο να λάβει σοβαρά υπόψη τα δεκάδες σχόλια που έλαβε στην ανοικτή διαβούλευση από έγκριτους νομικούς και φορείς και να επανεξετάσει πολλά ζητήματα του Σχεδίου Νόμου.
mixmagic via Getty Images

Όπως φαίνεται, η πρόσφατη κατάθεση για δημόσια διαβούλευση του Σχεδίου Νόμου του Υπουργείου Δικαιοσύνης για την προσαρμογή στο Γενικό Κανονισμό Προσωπικών Δεδομένων (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και προς ενσωμάτωση της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου στην εθνική νομοθεσία μόνο με την αβίαστη πρωτοβουλία της κυβέρνησης, δεν έγινε. Η Κομισιόν κατέφυγε στο Δικαστήριο της Ε.Ε. ζητώντας την παραπομπή της Ελλάδας και της Ισπανίας καθώς δεν μετέφεραν στο εθνικό τους δίκαιο τους ενωσιακούς κανόνες σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα και έτσι βιαστικά, για άλλη μια φορά, ξεκινούμε να νομοθετούμε χωρίς να είμαστε έτοιμοι.

Υπάρχουν αρκετές ανησυχίες ως προς αυτό το «βιαστικό» νομοθετικό εγχείρημα.

Καταρχάς φαίνεται να υπάρχει μια απόλυτη σύγχυση και νομικά και αξιολογικά ως προς το ζήτημα της «συγκατάθεσης» σε ολόκληρο το Σχέδιο Νόμου. Στα αρχικά άρθρα δίνεται ο ορισμός της, εμφανίζεται σε διάφορα ειδικότερα άρθρα και εν συνεχεία θεσπίζεται αυτοτελής νομική βάση επεξεργασίας που βασίζεται στη συγκατάθεση/συναίνεση του υποκειμένου των δεδομένων. Παρόλα αυτά, έχει ήδη γίνει δεκτό στο πλαίσιο της εφαρμογής των διατάξεων της Οδηγίας 2016/680 πως η συγκατάθεση δεν μπορεί ποτέ από μόνη της να αποτελέσει νόμιμη βάση για την επεξεργασία προσωπικών δεδομένων.

Επιπλέον, γίνεται επίκληση της «συγκατάθεσης» ως έννοιας σποραδικά (άρθρα 21,26,30, 44,49), η οποία προκαλεί σύγχυση σε σχέση με τις νομικές βάσεις επεξεργασίας όπως με σαφήνεια ορίζονται στον ΓΚΠΔ, ιδίως σε ότι αφορά την εννοούμενη διάκριση μεταξύ των δημοσίων φορέων και των ιδιωτών. Με λίγα λόγια δεν μπορούμε να ξεκαθαρίσουμε τις ευθύνες και τις υποχρεώσεις των επιχειρήσεων (μικρών ιδίως) ως προς την διαχείριση των προσωπικών δεδομένων των πελατών. Ειδικά το άρθρο 49, το οποίο όπως φαίνεται αποτελεί και το κύριο θεμέλιο της θέσπισης της συγκατάθεσης ως νομική βάση επεξεργασίας δεδομένων, δημιουργεί σύγχυση. Από τη μια θεσπίζει τη νομική βάση της επεξεργασίας των δεδομένων, ωστόσο εκ της αιτιολογικής έκθεσης του άρθρου αναφέρεται πως σκοπός του αποτελεί η ρύθμιση της σχέσης με τις διωκτικές αρχές, χωρίς από το σώμα του άρθρου (πέρα από την ένταξη του στο οικείο κεφάλαιο) να υπονοείται κάτι τέτοιο.

Το πραγματικό ερωτηματικό είναι ποιά ήταν η κατευθυντήρια επιλογή, τη στιγμή μάλιστα που ο Κανονισμός απευθείας έχει λύσει πολλά από τα παραπάνω προβλήματα τουλάχιστον εξ απόψεως κεφαλαιοποίησης των άρθρων. Το παρόν νομοθετικό εγχείρημα φαίνεται να γίνεται, εν μέρει, για να λύσει τα προβλήματα κυρίως με τις Αρχές και δημιουργεί πλήρη σύγχυση ως προς την αποθήκευση, συλλογή και διαχείριση προσωπικών δεδομένων μεταξύ ιδιωτών.

Ήδη ο Κανονισμός διαχώριζε πως στις περιπτώσεις που υπάρχει ανισότητα ισχύος ανάμεσα στο φυσικό πρόσωπο και το συλλέκτη των δεδομένων, η συλλογή και επεξεργασία δεδομένων δεν μπορεί να θεμελιώνεται στη συγκατάθεση του υποκειμένου των δεδομένων. Αυτό συντρέχει ειδικά στις περιπτώσεις συναλλαγής με κρατικές αρχές αλλά και με τους εργοδότες (ίσως και με τραπεζικούς φορείς ενδεχομένως, ιδίως συστημικούς), καθώς τελικώς δεν νοείται η πραγματική ύπαρξη συναίνεσης και συνεπώς θα πρέπει να συντρέχει άλλος λόγος νομιμότητας, όπως λόγου χάρη η δημόσια τάξη ή η εκτέλεση της σύμβασης ή της εξαρτημένης εργασίας. Ωστόσο, στο Σχέδιο Νόμου παρατηρείται πως θεμελιώνεται η συγκατάθεση προς τις κρατικές αρχές (άρθρο 24 και ίσως τα άρθρα 49 σε συνδυασμό με το άρθρο 43) και προς τους εργοδότες (άρθρο 27) ως μια εκ των νομικών βάσεων επεξεργασίας. Ειδικά η δυνατότητα διενέργειας ανακριτικών – εισαγγελικών πράξεων από τον ιδιώτη επιχειρηματία παρακάμπτοντας την αστυνομία, εμπεριέχει μείζονα νομική αντινομία και αντιβαίνει στην ίδια την Οδηγία.

Πολλά ερωτήματα δημιουργεί η ποινική τιμωρία του Υπεύθυνου Προστασίας Δεδομένων η οποία φαίνεται να αντιβαίνει στον ίδιο τον Κανονισμό. Στο άρθρο 38 παρ. 3 του ΓΚΠΔ προβλέπεται ότι ο Υπεύθυνος: «Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του». Ωστόσο οι βαρύτατες ποινές και κυρώσεις των άρθρων 39,40 επ. του Σχεδίου Νόμου δημιουργούν ένα ακόμα μείζον πρόβλημα που θα λειτουργήσει αποτρεπτικά για την ανάληψη καθηκόντων από τους Υπεύθυνους. Παραμένει αυτή η αντινομία καθώς ήδη προβλέπεται από την Αιτιολογική Σκέψη 149 του Κανονισμού πως τα κράτη μέλη μπορούν να θεσπίζουν κανόνες περί ποινικών κυρώσεων για παραβάσεις. Ωστόσο, η επιβολή ποινικών κυρώσεων για παραβάσεις τέτοιων εθνικών κανόνων και διοικητικών κυρώσεων δε θα πρέπει να οδηγεί σε παραβίαση του διπλά αξιόποινου (δηλαδή της αρχής ne bis in idem, τον κανόνα ότι ουδείς μπορεί να διωχθεί ή να καταδικασθεί ποινικά δύο φορές για την ίδια παράβαση). Η παρούσα θέσπιση ειδικά αυτοτελών ποινικών κυρώσεων για την επεξεργασία δεδομένων φαίνεται να παραβιάζει αυτή ακριβώς την αρχή καθώς ήδη από την ελληνική νομοθεσία προβλέπονται αντίστοιχες νομικές κυρώσεις για την εκμετάλλευση των δεδομένων ή την επεξεργασία χωρίς νομική βάση.

Πρέπει να υποθέσουμε πως πολλά προβλήματα προέκυψαν πιθανότατα από απλή αντιγραφή της αντίστοιχης διάταξης του γερμανικού ομοσπονδιακού νόμου (ειδικά άρθρο 3 παραγράφων 2 και 3, παρ. 2 του άρθρου 27 και άλλα). Θα πρέπει το Υπουργείο να λάβει σοβαρά υπόψη τα δεκάδες σχόλια που έλαβε στην ανοικτή διαβούλευση από έγκριτους νομικούς και φορείς και να επανεξετάσει πολλά ζητήματα του Σχεδίου Νόμου.

Δημοφιλή