Η έναρξη εφαρμογής του GDPR στις 25/5/2018, υπό φυσιολογικές συνθήκες, θα έπρεπε να είχε πυροδοτήσει την άμεση αντίδραση των ελληνικών αρχών. Ωστόσο, τα αντανακλαστικά του κρατικού μηχανισμού απεδείχθησαν μάλλον αργά.
Η οδύσσεια του ελληνικού νόμου περί προστασίας των προσωπικών δεδομένων
Η άμεση –λόγω της νομικής του φύσης– εφαρμογή του Κανονισμού, χωρίς να χρειάζεται η περαιτέρω ενσωμάτωσή του στην ελληνική νομοθεσία, ενδεχομένως και να λειτούργησε ως πανάκεια για την ελληνική πλευρά, η οποία καθυστέρησε σημαντικά στην εκπλήρωση των υποχρεώσεών της. Μάλιστα, η βραδεία κινητοποίηση της χώρας μας αποτυπώνεται στο γεγονός ότι παραπέμφθηκε από την Ευρωπαϊκή Επιτροπή στο Δικαστήριο της Ευρωπαϊκής Ένωσης, λόγω μη ενσωμάτωσης στην εθνική νομοθεσία της Οδηγίας 2016/680/ΕΕ σχετικά με την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία τους, προτείνοντας παράλληλα την επιβολή προστίμου με τη μορφή του κατ’ αποκοπήν ποσού για κάθε ημέρα καθυστέρησης, αρχής γενομένης από τη λήξη της προθεσμίας ενσωμάτωσης, που όριζε η Οδηγία, δηλαδή από την 6/5/2018.
Παράλληλα, άκαρπες αναδείχθηκαν οι προσπάθειες για να τεθεί υπό διαβούλευση σχέδιο νόμου κατά της «ανορθογραφίας» της χώρας σε θέματα προστασίας προσωπικών δεδομένων, τον Φεβρουάριο του 2018. Μετά από αυτή την περιπέτεια, μόλις την 26/8/2019 ψηφίστηκε με τη διαδικασία του κατεπείγοντος ο Ν. 4624/2019 περί «Προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Με τον νόμο αυτό, εκτός από τη θέσπιση των μέτρων εφαρμογής του GDPR, παράλληλα, ενσωματώνεται στην ελληνική νομοθεσία η Οδηγία 2016/680/ΕΕ. Φυσική συνέχεια των ανωτέρω είναι η –έστω και καθυστερημένη– έξοδος της Ελλάδας από τη δεινή θέση του να χαρακτηρίζεται ως ένα από τα ελάχιστα κράτη μέλη χωρίς σύγχρονο νόμο σχετικά με την προστασία των προσωπικών δεδομένων.
Τι προβλέπει το νέο νομοθέτημα;
Ο νέος νόμος επιφέρει αλλαγές στο καθεστώς που είχε εγκαθιδρύσει ο GDPR από την ημερομηνία εφαρμογής του, καθώς, αξιοποιώντας την ευχέρεια που παρέχεται από τον Κανονισμό, θεσπίζει τα μέτρα εφαρμογής του. Από τη μια, το περιεχόμενο του εν λόγω νόμου ορίζει ρητά το πλαίσιο επεξεργασίας των προσωπικών δεδομένων, προστατεύοντας τα υποκείμενα, ενώ από την άλλη όμως υπάρχουν σημεία τα οποία κρίνονται ασαφή, καθιστώντας απαραίτητες τις γνωμοδοτήσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα («Αρχή»).
Ξεφυλλίζοντας το νέο νομοθέτημα, ένα από τα πρώτα σημεία που θα παρατηρήσει κανείς είναι το ότι αφιερώνεται εκτενές μέρος του περιεχομένου του στη ρύθμιση της λειτουργίας της Αρχής. Ο νέος νόμος καταργεί την υποχρεωτική προηγούμενη λήψη άδειας από την Αρχή για την επεξεργασία δεδομένων ειδικών κατηγοριών, πρακτική η οποία για αρκετά χρόνια δημιουργούσε προσκόμματα στην ομαλή και εύρυθμη επιτέλεση των υπόλοιπων ελεγκτικών και γνωμοδοτικών αρμοδιοτήτων της Αρχής. Σε συνέχεια των ανωτέρω και με δεδομένη την αυστηρότητα της Αρχής, καθίσταται αναγκαίος ο προσδιορισμός της νομικής φύσης των διαφορών οι οποίες προκύπτουν από τις διοικητικές πράξεις της Αρχής, καθώς και της έννομης προστασίας που παρέχεται στον διοικούμενο για την προσβολή τους.
Επιπλέον, ο νέος νόμος προσδιορίζει τις διαφορές που ενδέχεται να προκύψουν από τις διοικητικές πράξεις της Αρχής ως «ακυρωτικές», δίνοντας το δικαίωμα της υποβολής αίτησης ακύρωσης στο Συμβούλιο της Επικρατείας, σύμφωνα με το Π.Δ. 18/1989 περί «Κωδικοποίησης διατάξεων νόμων για το Συμβούλιο της Επικρατείας». Ρητά όμως προβλέπεται στο νομοθέτημα ότι η προθεσμία άσκησης αίτησης ακυρώσεως δεν επιφέρει ανασταλτικό αποτέλεσμα ως προς την εκτέλεση της προσβαλλόμενης πράξεως.
Συμπληρωματικά προς τα ανωτέρω και λαμβάνοντας υπ’ όψιν τη νομική φύση των πράξεων της Αρχής, κρίνεται σκόπιμο μέρος των μελών της να κατέχει τεκμηριωμένα νομικές γνώσεις, ώστε να αποφεύγονται τυχόν νομικά σφάλματα τα οποία ενδεχομένως πλήττουν το κύρος των πράξεων. Παρότι, λοιπόν, φαίνεται να υπάρχει ευκαιρία για μέλη της νομικής κοινότητας να διεκδικήσουν μια θέση στην Αρχή, αποτρεπτικό παράγοντα προς αυτό αποτελεί το γεγονός ότι, τουλάχιστον για τον πρόεδρο και τον αναπληρωτή, επιτάσσεται η πλήρης αναστολή της επαγγελματικής τους ιδιότητας. Αντίθετα, μόνο θετικά μπορεί να κριθεί το μέτρο της απαλλαγής των μελών της Αρχής από κάθε είδους αστική ευθύνη η οποία προκύπτει από την άσκηση των καθηκόντων τους. Σε γενικές γραμμές, το νέο αυτό πλαίσιο επιχειρεί να προσδώσει τα ισχυρότερα δυνατά εχέγγυα εύρυθμης λειτουργίας και ανεξαρτησίας της Αρχής και δύναται να κριθεί επαρκές.
Στη συνέχεια, σημείο αναφοράς αποτελεί το άρθρο 23 του Ν. 4624/2019, το οποίο προβλέπει ότι στις περιπτώσεις προσφοράς υπηρεσιών της κοινωνίας της πληροφορίας, η συγκατάθεση του ανηλίκου είναι έγκυρη μόνο εφόσον ο τελευταίος έχει συμπληρώσει το 15ο έτος της ηλικίας του. Ο GDPR ως ηλικιακό όριο θέτει τα 16 έτη, αφήνοντας το περιθώριο στα κράτη μέλη να το μειώσουν, με κατώτατο όριο τα 13 έτη. Αποτέλεσμα αυτού είναι ο νόμος να καθιστά άκυρη τη λήψη συγκατάθεσης από ανήλικους κάτω των 15 ετών για τη χρήση υπηρεσιών της κοινωνίας της πληροφορίας, εκτός εάν αυτή δοθεί από νόμιμο αντιπρόσωπό τους. Πρακτικά, όμως, είναι εξαιρετικά δύσκολο να εφαρμοσθεί το παραπάνω άρθρο, καθώς καθίσταται δυσχερής έως αδύνατη η αποτελεσματική ταυτοποίηση του προσώπου που δίνει τη συγκατάθεση ηλεκτρονικά, καθώς και της ηλικίας του, ώστε να κριθεί με ασφάλεια το κύρος αυτής.
Ο νέος νόμος, δρώντας εξαιρετικά προστατευτικά απέναντι στα γενετικά δεδομένα των υποκειμένων, απαγορεύει ρητά την επεξεργασία τους για σκοπούς ασφάλισης, υγείας και ζωής. Ήδη, από το παρελθόν, απαγορευόταν η διενέργεια εξετάσεων για τον έλεγχο της ασφαλιστικής ικανότητας φυσικού προσώπου, ωστόσο πλέον καθίσταται εκ του νόμου παράνομη αυτού του είδους η επεξεργασία.
Αναλύοντας τα κακώς κείμενα του νομοθετήματος
Η –σε ορισμένες περιπτώσεις– προχειρότητα στη σύνταξη του νομοσχεδίου, που εν μέρει οφείλεται και στον χαρακτήρα του «κατεπείγοντος» που του προσδόθηκε, γίνεται έντονα αντιληπτή, καθώς σε ορισμένες περιπτώσεις δρα εξαιρετικά προστατευτικά για τα υποκείμενα των δεδομένων, σε άλλες παραδόξως δεν παρέχει σε αυτά τις απαραίτητες εγγυήσεις για την επεξεργασία των προσωπικών τους δεδομένων, όπως στην περίπτωση επεξεργασίας των δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα, σύμφωνα με το άρθρο 10 του GDPR.
Προς επίρρωση των ανωτέρω, παρατηρείται ότι ο Ν. 4624/2019 αφαιρεί από το πλαίσιο αρμοδιοτήτων της Αρχής τον έλεγχο πράξεων επεξεργασίας οι οποίες διενεργούνται από δικαστικές και εισαγγελικές αρχές ή για σκοπούς εθνικής ασφάλειας. Με αυτόν τον τρόπο διαιωνίζεται το προηγούμενο αμφιλεγόμενο καθεστώς, κατά το οποίο πράξεις επεξεργασίας που διενεργούνται από τις μυστικές υπηρεσίες και υπηρεσίες πληροφοριών της χώρας βρίσκονται εκτός του βεληνεκούς των ελέγχων της Αρχής. Επιπλέον, στην ανωτέρω κατεύθυνση οδηγούν και οι εξαιρέσεις που θεσπίζει ο νέος νόμος για την ικανοποίηση των θεμελιωδών δικαιωμάτων των υποκειμένων (π.χ. δικαίωμα ενημέρωσης, διαγραφής κ.λπ.), δίνοντας στον υπεύθυνο επεξεργασίας τη δυνατότητα να παραλείπει την πραγμάτωσή τους, όταν πληρούνται οι προϋποθέσεις τις οποίες θέτει ο νομοθέτης. Ωστόσο, η διεύρυνση του πεδίου των εξαιρέσεων δέχεται αυστηρή κριτική από κάποιους, οι οποίοι –ίσως εύλογα– θεωρούν ότι ενδεχομένως και να βρίσκεται σε αντίθεση με τον GDPR.
Μεταβαίνοντας πλέον στο κρίσιμο πεδίο των εργασιακών σχέσεων, θα παρατηρήσει κανείς ότι το νομοσχέδιο επεμβαίνει και στην επεξεργασία προσωπικών δεδομένων στο πλαίσιο της απασχόλησης. Σχετικά με τα προσωπικά δεδομένα, διαχρονικά, το πεδίο της απασχόλησης χαρακτηρίζεται από τη σχέση εξάρτησης που υπάρχει a priori μεταξύ του εργοδότη και του εργαζόμενου. Η παραπάνω είναι και μία από τις παραμέτρους που ενδεχομένως θέτουν εν αμφιβόλω το κύρος της ληφθείσας από τον εργοδότη συγκατάθεσης του εργαζομένου για την επεξεργασία των προσωπικών του δεδομένων στο πλαίσιο της εκτέλεσης της σύμβασης εργασίας. Υπενθυμίζεται ότι στο πεδίο της εργασίας, μόνο κατ’ εξαίρεση μπορεί η ληφθείσα από τον εργαζόμενο συγκατάθεση να θεωρηθεί ως έγκυρη νόμιμη βάση της επεξεργασίας. Ο Ν. 4624/2019 εκτιμάται ως ασαφής, εφόσον παραθέτει ως προϋποθέσεις έγκυρης συγκατάθεσης του εργαζομένου μόνο το είδος της σχέσης εξάρτησης με τον εργοδότη και τις συνθήκες υπό τις οποίες ελήφθη αυτή. Με βάση όμως τα όσα ορίζονται, μπορεί κανείς εύλογα να θεωρήσει ότι καταρχήν δεν πλήττεται το κύρος της συγκατάθεσης του εργαζομένου όταν αυτή δίδεται για επεξεργασία των προσωπικών του δεδομένων για σκοπούς οι οποίοι δεν συνδέονται άμεσα με την εκτέλεση της σύμβασης εργασίας (π.χ. ομαδικά ασφαλιστήρια εργαζομένων, συμμετοχή και προβολή δράσεων εταιρικής κοινωνικής ευθύνης κ.λπ.)
Η συγκρουσιακή σχέση μεταξύ της προστασίας των προσωπικών δεδομένων και της ελευθερίας
Εξετάζοντας τα όσα αναφέρονται στο άρθρο 28 του Ν. 4624/2019, θα βρεθούμε αντιμέτωποι με μια άτυπη σύγκρουση δύο θεμελιωδών δικαιωμάτων, αυτού της προστασίας των προσωπικών δεδομένων και αυτού της ελευθερίας του τύπου και της έκφρασης. Με βάση το περιεχόμενο του άρθρου θα παρατηρούσε κανείς ότι ο νόμος δίνει ένα προβάδισμα βραχείας κεφαλής στο δικαίωμα της ελευθερίας της έκφρασης. Αυτό προκύπτει από το γεγονός ότι όταν τίθεται σε εφαρμογή το άρθρο 28, ο νόμος αποκλείει την εφαρμογή ορισμένων εκ των βασικών κεφαλαίων του GDPR, όπως π.χ. αυτό που θεμελιώνει τα δικαιώματα των υποκειμένων. Επιπλέον, υπογραμμίζεται η τήρηση της αρχής της αναλογικότητας κατά την εφαρμογή του εν λόγω άρθρου, έτσι ώστε να αποφεύγεται τυχόν ανεπίτρεπτη διασταλτική ερμηνεία η οποία θα διεύρυνε αθέμιτα και ενάντια στα δικαιώματα των υποκειμένων το πεδίο εφαρμογής της παρ. 2.
Συμπερασματικά, ο Ν. 4624/2019 αφήνει στον μελετητή του ανάμεικτες εντυπώσεις. Παρεμβαίνει αποφασιστικά σε ζητήματα που ταλάνιζαν για χρόνια το πεδίο της προστασίας των προσωπικών δεδομένων, όπως π.χ. η λήψη προηγούμενης άδειας από την Αρχή για την επεξεργασία ειδικών κατηγοριών δεδομένων ή η αμφιβόλου κύρους επεξεργασία γενετικών δεδομένων από ασφαλιστικές εταιρείες. Όμως, κρίνεται ελλιπής και ασαφής όσον αφορά την προστασία των δικαιωμάτων των υποκειμένων, καθώς λ.χ. προβλέπει σημαντικές εξαιρέσεις στο δικαίωμα της ενημέρωσης των υποκειμένων των δεδομένων ή καταργεί εντελώς κάποια από αυτά, όταν συντρέχουν οι περιστάσεις του άρθρου 28.
Είναι σχεδόν βέβαιο ότι η εφαρμογή του νόμου –τουλάχιστον στην αρχή– θα φανερώσει αδύναμα σημεία του και περιπτώσεις που θα γίνουν αντικείμενο συζητήσεων και διαφορετικών ερμηνειών. Ωστόσο, μόνο μέσα από αυτή τη διαδικασία δύναται να αποκρυσταλλωθεί με ασφάλεια τόσο η σκέψη του νομοθέτη όσο και το ακριβές περιεχόμενο του νόμου, έτσι ώστε να προκύψουν τυχόν τροποποιήσεις, οι οποίες θα μπορούσαν να καταστήσουν ευχερέστερη και πληρέστερη την εφαρμογή του.