Τρεις πηγές δικαίου για την προστασία των προσωπικών δεδομένων
Το πλαίσιο προστασίας των προσωπικών δεδομένων στην ελληνική έννομη τάξη οριοθετείται από τρεις πηγές δικαίου, που συγκροτούν ένα πυκνό πλέγμα αλληλοσυμπληρούμενων διατάξεων. Το Σύνταγμα, δια του άρθρου 9Α, που προστέθηκε κατά την αναθεώρηση του 2001, θεσπίζει γενικό δικαίωμα «προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών δεδομένων», παραπέμπει για εξειδικεύσεις στον κοινό νομοθέτη και αναθέτει τη διασφάλιση της προστασίας σε ανεξάρτητη Αρχή (πρόκειται για την Αρχή Προστασίας Δεδομένων Προσωπικού χαρακτήρα –ΑΠΔΠΧ-, η οποία, παρότι δεν ονοματίζεται ρητά, «συνταγματοποιείται» δια της ως άνω αναφοράς στο άρθρο 9 Α).
Κεντρικό νομοθέτημα είναι ο Κανονισμός ΕΕ 2016/679 του Ευρωπαϊκού Συμβουλίου και του Κοινοβουλίου «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων», γνωστός ως GDPR από το ακρωνύμιο του τίτλου του στα αγγλικά (ο Κανονισμός τέθηκε σε εφαρμογή και, άρα, πέρασε στην έννομη τάξη των κρατών μελών, στις 25 Μαΐου 2018). Κανονισμοί ή Οδηγίες για ειδικότερα αλλά σχετικά θέματα, όπως η Οδηγία 2002/58 ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ισχύουν συμπληρωματικά του GDPR.
Τέλος, σε επίπεδο εθνικής νομοθεσίας, υπάρχει και εφαρμόζεται ο – πολύ προβληματικός, σύμφωνα με τη Γνωμοδότηση 1/2020 της ΑΠΔΠΧ[1] – νόμος 4624/2019, ο οποίος ρυθμίζει ζητήματα για τα οποία υπήρχε εξουσιοδότηση στον GDPR (που, γι’ αυτόν ακριβώς το λόγο, θα μπορούσε να θεωρηθεί όχι απλός «Κανονισμός», αλλά «Κανονοδηγία»).
Συγκροτημένη, πλήρης, με εξειδίκευση αλλά όχι απόλυτη η προστασία των προσωπικών δεδομένων
Η προστασία που παρέχεται στα προσωπικά δεδομένα μέσω του ως άνω δικαιικού πλέγματος είναι συγκροτημένη στο ανώτερο δυνατό επίπεδο – συνταγματικό και ενωσιακό-, παρουσιάζει πληρότητα και μεγάλη εξειδίκευση, δεν είναι όμως απόλυτη.
Το άρθρο 9 Α του Συντάγματος, δύναται να υπαχθεί, όπως όλες οι διατάξεις περί ατομικών δικαιωμάτων, σε δικαιολογημένους περιορισμούς[2], υπό τις προϋποθέσεις που θέτει το κομβικό για τα δικαιώματα, και για τη διάρθρωση του Κράτους Δικαίου, άρθρο 25 παρ. 1 του Συντάγματος: ύπαρξη νόμιμης βάσης (πρόβλεψη περιορισμών είτε απευθείας στο Σύνταγμα, είτε σε νόμο που να τους οριοθετεί και να τους δικαιολογεί) και σεβασμός της αρχής της αναλογικότητας (περιορισμοί μόνον ενόψει του τιθέμενου σκοπού και εντός του προσήκοντος μέτρου). Επιπλέον, σε σχέση με πιθανούς περιορισμούς, ο πολίτης δεν μπορεί να αποστερηθεί το δικαίωμα έννομης προστασίας (άρθρο 20 παρ. 1 Συντάγματος) μέσω του φυσικού του δικαστή (άρθρο 8 του Συντάγματος).
Από τη πλευρά του, ο GDPR, αφού εξαρχής (αιτιολογική σκέψη 4) ξεκαθαρίσει ότι «το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο΄ πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα», προβλέπει εξαιρέσεις τόσο από το γενικό κανόνα της σύννομης επεξεργασίας κατόπιν συναίνεσης του υποκειμένου των δεδομένων, όσο και από την καταρχήν απαγόρευση επεξεργασίας «ειδικών κατηγοριών», καλούμενων και «ευαίσθητων», στην πρώτη θέση των οποίων βρίσκονται τα δεδομένα υγείας.
Σύμφωνα με το άρθρο 6 παρ. 1 στοιχ. ε), μία από τις εξαιρέσεις για τη λήψη συναίνεσης είναι όταν «η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας». Στο άρθρο 9 παρ. 2, στοιχ. θ), σε συνδυασμό και με την αιτιολογική σκέψη 46, προβλέπεται ότι επεξεργασία «ευαίσθητων» δεδομένων δεν απαγορεύεται εφόσον «η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας». Στο ίδιο άρθρο εξειδικεύεται, αμέσως μετά, ότι κάτι τέτοιο ισχύει για την «προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας», «φωτογραφίζοντας» έτσι τις περιπτώσεις πανδημίας σαν αυτή που υφίσταται σήμερα η ανθρωπότητα.
Περιορισμοί προβλέπονται και στο ν. 4624/2019. Ειδικά για θέματα υγείας, κρίσιμες είναι οι διατάξεις των άρθρων 22 παρ. 1 στοιχ. β) για την επεξεργασία «ευαίσθητων» δεδομένων, 23 για την επεξεργασία γενετικών δεδομένων, και, έμμεσα –εφόσον θεωρηθεί ότι μέτρα σε σχέση με την υγεία βρίσκονται εντός του «δικαίου της κοινωνικής προστασίας»- του άρθρου 27 παρ. σχετικά με τις συμβάσεις εργασίας. Ωστόσο, τόσο με βάση τη σχέση Κανονισμού-εθνικού νόμου, όσο και σύμφωνα με πάγια νομολογία, δεν είναι δυνατή η προσθήκη εξαιρέσεων που δεν προβλέπονται από τον Κανονισμό -κάτι που, σε ορισμένες περιπτώσεις, φαίνεται να κάνει, σύμφωνα με τη Γνωμοδότηση 1/2020 της ΑΠΔΠΧ, ο Έλληνας νομοθέτης.
Η προστασία των προσωπικών δεδομένων και το δίκαιο της ανάγκης
Η προστασία των προσωπικών δεδομένων θα μπορούσε επίσης να καμφθεί όταν τίθεται σε εφαρμογή το «δίκαιο της ανάγκης» (ο Ε. Βενιζέλος, ό.π, κάνει διάκριση μεταξύ «συντεταγμένου», δηλαδή βάσει συνταγματικών κανόνων, και «συντακτικού», που ξεπερνά τις προβλέψεις της έννομης τάξης, δικαίου της ανάγκης). Οι υποδοχές του «δικαίου της ανάγκης» στο ελληνικό Σύνταγμα ανευρίσκονται στην ερμηνευτική δήλωση υπό το άρθρο 5, που επιτρέπει γενικά -όχι ατομικά- μέτρα για την προστασία της υγείας, καθώς και στα άρθρα 44 περί πράξεων νομοθετικού περιεχομένου, 18 παρ. 3 και 22 παρ. 4 που εγκαθιδρύουν και οργανώνουν το θεσμό της επίταξης, με την προστασία της υγείας να αποτελεί λόγο επίταξης που αναφέρεται ρητά στο συνταγματικό κείμενο.
Το άρθρο 48 περί «κατάστασης πολιορκίας» εφαρμόζεται μόνο όταν υπάρχουν «πολεμικού τύπου» απειλές και, άρα, όχι για την προστασία της δημόσιας υγείας.[3] Υπάρχει βέβαια και το πλαίσιο της ΕΣΔΑ για την προστασία της υγείας σε εξαιρετικές περιπτώσεις, το οποίο ο Ε. Βενιζέλος χαρακτηρίζει «αρκετά πιο περίτεχνο» και με περιορισμούς που είναι αρκετά πιο εκτεταμένοι από αυτούς που προβλέπονται στο ελληνικό Σύναγμα.
Σύμφωνα με τα παραπάνω, το πλαίσιο των περιορισμών που μπορούν να επέλθουν στην προστασία προσωπικών δεδομένων σε έκτακτες περιπτώσεις, όπως η παρούσα πανδημία του κορωνοϊού, οριοθετείται, ειδικά για την ελληνική έννομη τάξη, ως ακολούθως:
α) «η εφαρμογή του νομικού πλαισίου για την προστασία των δεδομένων προσωπικού χαρακτήρα δεν συνιστά εμπόδιο στη λήψη των αναγκαίων μέτρων αντιμετώπισης του κορωνοϊού» (κατά τη διατύπωση της ΑΠΔΠΧ στην υπ’ αριθμ. 5/2020 απόφαση της Ολομελείας της),
β) οι επιτρεπόμενοι βάσει των άρθρων 6 παρ. 1 και 9 παρ. 1 του GDPR περιορισμοί θα πρέπει να σέβονται τις βασικές αρχές (“core principles”, κατά την έκφραση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων –EDPB- στην από 19/3/2020 επίσημη δήλωση που εξέδωσε για τον εν λόγω θέμα) επεξεργασίας των δεδομένων που τίθενται στο άρθρο 5 του GDPR: νομιμότητα, περιορισμός ενόψει του σκοπού, ελαχιστοποίηση των δεδομένων (η οποία, κατά τη Λ. Μήτρου, «Τα προσωπικά δεδομένα στην εποχή του κορωνοϊού», στο Syntagma watch, 16/3/2020, «θα πρέπει να επανεξετάζεται διαρκώς» από πλευράς «προϋποθέσεων, συνθηκών, όρων και ορίων») , ακρίβεια, περιορισμός της περιόδου αποθήκευσης (κρισιμότατο είναι τα δεδομένα να διατηρούνται μόνο όσο χρειάζεται για την καταπολέμηση της πανδημίας, να «έχουν εξαρχής ένα τέλος», κατά τη διατύπωση της από 21/3/2020 Γνωμοδότησης 60 Ισπανών ειδικών[4]), τήρηση εμπιστευτικότητας,
γ) όσον αφορά τις σχέσεις εργασίας/απασχόλησης, οι οποίες ρυθμίζονται κατά βάση μέσω του εσωτερικού δικαίου (ν. 3850/2020 και άρθρο 27 ν. 4624/2019):
i) επιτρέπεται καταρχήν η επεξεργασία δεδομένων από τους εργοδότες για την προστασία της υγείας των εργαζομένων (ΑΠΔΠΧ 5/2020, σκέψη 5), αφού στηρίζεται σε ειδική διάταξη του GDPR (άρθρο 9, παρ. 2, στοιχ. η),
ii) υφίσταται δυνατότητα (κατά τη διατύπωση της ΑΠΔΠΧ 5/20120, σκέψη 6: «δεν μπορεί εκ προοιμίου να αποκλειστεί») επεξεργασίας προσωπικών δεδομένων τρίτων, πχ προμηθευτών, επισκεπτών κλπ, για λόγους υγειονομικής προστασίας και με ιδιαίτερη έμφαση στην τήρηση των αρχών του περιορισμού της επεξεργασίας (να συλλέγονται μόνο οι αναγκαίες πληροφορίες που συνδέονται αποκλειστικά με τον επιδιωκόμενο σκοπό) και της εμπιστευτικότητας,
iii) εάν τίθεται υποχρέωση βάσει νόμου, είναι δυνατός ο εξαναγκασμός εργαζομένων για ιατρικό check-up ή άλλη ειδική εξέταση (EDPB, δήλωση 19/3/2020, σκέψη 4),
iv) απαγορεύονται αδικαιολόγητοι και καταχρηστικοί έλεγχοι και έρευνες στους εργαζομένους, όπως συστηματική θερμομέτρηση, ή έλεγχοι για κατάρτιση προφίλ, εκτός εάν τέτοια οδηγία προκύπτει ρητά από τις οδηγίες δημοσίων Αρχών και αφού έχει προηγουμένως αποκλεισθεί κάθε άλλο πρόσφορο μέσο για την απόκτηση αυτής της πληροφορίας,
v) από πλευράς εργαζομένων θα μπορούσε να θεωρηθεί ότι δημιουργείται υποχρέωση άμεσης ενημέρωσης του εργοδότη για ενδεχόμενη εμφάνιση ή υποψία εμφάνισης της νόσου (έτσι ο Γ. Παπαδογιαννάκης, στα ΝΕΑ, 1/4/2020),
δ) εν σχέσει με τη χρήση δεδομένων κινητής τηλεφωνίας και γενικώς «κινητών δεδομένων εντοπισμού» από δημόσιες Αρχές, είτε για ιατρικούς είτε για στατιστικούς λόγους, όπως έγινε στην Αυστρία, την Ιταλία, τη Μεγάλη Βρετανία και όπως ζήτησε η Ευρωπαϊκή Επιτροπή από παρόχους κινητής τηλεφωνίας σε πολλές χώρες, αυτή είναι καταρχήν επιτρεπτή εντός του πλαισίου που προβλέπεται στο άρθρο 15 της Οδηγίας 2002/58 για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, δηλαδή εφόσον υπάρχει ρητή νομοθετική πρόβλεψη, ο δε περιορισμός αποτελεί αναγκαίο, κατάλληλο και αναλογικό μέτρο για την προάσπιση της «εθνικής ασφάλειας». Ειδικώς τα «δεδομένα εντοπισμού», μπορούν να χρησιμοποιηθούν μόνο εφόσον προηγουμένως οι δημόσιες Αρχές έχουν επιχειρήσει να βρουν τις απαραίτητες πληροφορίες με «ανωνυμοποιημένο» τρόπο (EDPB, δήλωση 19/3/2020, σκέψη 3),
ε) σε ενδεχόμενη επεξεργασία για δημοσιογραφικούς σκοπούς (άρθρο 28, ιδιαιτέρως προβληματικό, του ν. 4624), «θα πρέπει πρωταρχικά να αξιολογείται η αναγκαιότητα αποκάλυψης στοιχείων ταυτοποίησης του υποκειμένου» (ΑΠΔΠΧ 5/2020, σκέψη 10), δηλαδή θα πρέπει να αποφεύγεται η «ταυτοτοποίηση», εκτός αν είναι εντελώς απαραίτητη (πχ εάν υπάρχει ιδιαιτέρως προκλητική ή αντικοινωνική συμπεριφορά του υποκειμένου). Από την αντίθετη σκοπιά, σε «προστασία» του Τύπου και διευκόλυνση αποφυγής των “fake news” θα συντελούσε μια δύσκολη αλλά αναγκαία παροχή ορθών και μη «πειραγμένων», είτε για ωραιοποίηση είτε για εκφοβισμό, στοιχείων από πλευράς δημοσίων Αρχών –αίτημα όμως που δεν μπορεί να επιδιωχθεί με έννομα μέσα, παρά μόνο με άσκηση πίεσης και επιρροής,
στ) για τους ήδη νοσούντες, η αποκάλυψη της κατάστασης της υγείας τους χωρεί μόνον οικειοθελώς, ενώ για τους θανόντες, παρότι δεν εμπίπτουν στο προστατευτικό πεδίο της προστασίας δεδομένων προσωπικού χαρακτήρα (ο θανών δεν είναι πλέον «πρόσωπο»), επεξεργασία ή ανακοινώσεις θα πρέπει να αποφεύγονται εάν οδηγούν «σε έμμεση ταυτοποίηση ζώντων φυσικών προσώπων που είχαν έρθει σε επαφή ή υπήρξαν οικείοι των θανόντων» (ΑΠΔΠΧ 5/2020, σκέψεις 8 και 7, αντίστοιχα),
ζ) η γνωστοποίηση δεδομένων υγείας σε τρίτους δεν είναι επιτρεπτή «εάν δημιουργεί κλίμα προκατάληψης και στιγματισμού» (ΑΠΔΠΧ 5/2020, σκέψη 9). Διαβίβαση/κοινοποίηση δεδομένων από μια δημόσια Αρχή σε μια άλλη δεν υπόκεινται σε αυτόν τον περιορισμό.
Οι πράξεις νομοθετικού περιεχομένου για την αντιμετώπιση της ανάγκης περιορισμού της διασποράς του κορωνοϊού
Στην ελληνική έννομη τάξη, τα περισσότερα από τα παραπάνω ζητήματα δοκιμάστηκαν με την πράξη νομοθετικού περιεχομένου 64/14.3.2020 «κατεπείγοντα μέτρα αντιμετώπισης της ανάγκης περιορισμού της διασποράς του κορωνοϊού COVID-19» και ειδικά από το άρθρο 5 παρ. 1, σύμφωνα με το οποίο ο Εθνικός Οργανισμός Δημόσιας υγείας παρέχει προς τη Γενική Γραμματεία Πολιτικής Προστασίας μια σειρά δεδομένων προσωπικού χαρακτήρα «επιδημιολογικού συσχετισμού» (η επακολουθήσασα πράξη νομοθετικού περιεχομένου της 20.3.2020 περιείχε περιορισμούς σε άλλα δικαιώματα, κυρίως στην ελευθερία κίνησης, την οικονομική ελευθερία, την εργασία).[5]
Με κριτήριο το είδος των παρεχόμενων δεδομένων, τις δημόσιες Αρχές που τα επεξεργάζονται, τη σύνδεση με την καταπολέμηση της πανδημίας, μέσω της «ιχνηλάτησης των κρουσμάτων και των επαφών τους», καθώς και τον περιορισμένο χρόνο διατήρησης τους, φαίνεται ότι δεν τίθενται ζητήματα νομιμότητας.[6] Η υποχρεωτική αποστολή τηλεφωνικού μηνύματος σε «δημόσιο» τηλεφωνικό αριθμό για τις μετακινήσεις των πολιτών, θα μπορούσε και αυτή να θεωρηθεί καταρχήν θεμιτή, βάσει του ότι α) προβλέπονται και άλλοι τρόποι, μη ηλεκτρονικής, δήλωσης, όπως η συμπλήρωση σχετικού εντύπου από τον ενδιαφερόμενο και η απλή επίδειξή του στις Αρχές, β) η κυβέρνηση διαβεβαίωσε τους πολίτες ότι τα ως άνω τηλεφωνικά μηνύματα δεν διατηρούνται και δεν συγκροτούν βάσεις δεδομένων.
Η πολύ λεπτή στάθμιση μεταξύ υγειονομικής πρόληψης και εισβολής στην ιδιωτική ζωή
Παρ’ όλες τις παραπάνω θεωρητικές «εγγυήσεις των περιορισμών» είναι βέβαιο, αφού γίνεται ήδη μπροστά στα μάτια μας, ότι ο παγκόσμιος αγώνας καταπολέμησης του κορωνοϊού δίνει, σε ορισμένες περιπτώσεις, «ευκαιρία» για τη χρήση τεχνολογικών εφαρμογών δια των οποίων παρακολουθούνται κινητά τηλέφωνα και συλλέγονται δεδομένα σχετικά ή άσχετα με την πανδημία. Επισήμως τέτοιες εφαρμογές έχουν λειτουργήσει στο Ισραήλ, στη Ρωσία, στη Νέα Κορέα[7] και δικαίως ανησυχούν τις οργανώσεις προστασίας ανθρωπίνων δικαιωμάτων.
Υπάρχει, ωστόσο, και μια άλλη διάσταση: τα λεγόμενα big data, μπορούν, υπό προϋποθέσεις, να συμβάλουν αποφασιστικά στον αγώνα κατά της πανδημίας, είτε μέσω της συλλογής στοιχείων που να δείχνουν στις Αρχές γενικές τάσεις (για παράδειγμα: την επιρροή της «απομόνωσης» των πολιτών στον περιορισμό εξάπλωσης του ιού), είτε μέσω αντιπαραβολής στατιστικών και επιδημιολογικών δεδομένων πολλών χωρών.[8] Η αποφυγή παραβίασης προσωπικών δεδομένων είναι δυνατή μέσω της χρήσης συνολικών και ανωνυμοποιημένων (aggregated) στοιχείων και μέσω της συνεργασίας με τις εθνικές Αρχές, όπως έγινε στην περίπτωση του Βελγίου.
Σε κάθε περίπτωση, ενώ η στάθμιση μεταξύ ζωής και οικονομικής
δραστηριότητας είναι μάλλον προφανής, η στάθμιση μεταξύ υγειονομικής πρόληψης
και εισβολής στην ιδιωτική ζωή είναι πολύ πιο λεπτή. Σε καμία περίπτωση ένας
αγώνας υπέρ της δημόσιας υγείας, και τελικά υπέρ της αλληλεγγύης μεταξύ των
ανθρώπων και των λαών, δεν μπορεί να αφεθεί να αποτελέσει πρόσχημα για την
εγκαθίδρυση ενός εθνικού ή και παγκόσμιου «μεγάλου αδελφού». Εγγυητές ως προς
αυτό δεν μπορεί να είναι άλλοι από τα δικαστήρια, αλλά για να φτάσουμε στα
δικαστήρια θα πρέπει να είμαστε σε εγρήγορση ως πολίτες.
Υποσημειώσεις:
[1] βλ. και Κ. Μποτόπουλου, «Γιατί πρέπει να αλλάξει ο νόμος για τα προσωπικά δεδομένα», στο Euro2day, 3/2/2020.
[2] βλ. αναλυτικά Ευάγγελου Βενιζέλου, «Πανδημία, θεμελιώδη δικαιώματα και Δημοκρατία», 26/3/2020, κείμενο που προέκυψε από απομαγνητοφώνηση μεταπτυχιακού μαθήματος.
[3] βλ. αναλυτικότερα Κ. Μποτόπουλου, «Κορωνοϊός και έκτακτη ανάγκη», στο Syntagma Watch, 17/3/2020. Έτσι και ο Ε. Βενιζέλος, ό.π.
[4] βλ. εφημερίδα El Pais, 21/3/2020
[5] βλ. Κ. Μποτόπουλου, «Νόμιμα και απαραίτητα», στα ΝΕΑ, 17/3/20120 και πολύ πιο αναλυτικά στον Ε. Βενιζέλο, ό.π.
[6] βλ. αναλυτικά Φερενίκη Παναγοπούλου-Κουτνατζή, «Η προστασία των προσωπικών δεδομένων στην εποχή του κορωνοϊού», στο Syntagma watch, 17/3/2020.
[7] βλ. ρεπορτάζ στα ΝΕΑ, 24/3/2020.
[8] βλ. το εξαιρετικά ενδιαφέρον σχετικό πείραμα που διεξάγεται στο Βέλγιο και αποτυπώνεται στο «How can big data tackle COVID?», στο Friends of Europe, 1/4/2020
Κώστας Μποτόπουλος
Δρ. Συνταγματικού Δικαίου, Υπεύθυνος Προστασίας Προσωπικών Δεδομένων στην Τράπεζα της Ελλάδος