Στη Βουλή κατατέθηκε χθες το νομοσχέδιο του Υπουργείου Δικαιοσύνης με το οποίο επαναπροσδιορίζεται το θεσμικό πλαίσιο σχετικά με τη συγκρότηση και τη λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, θεσπίζονται μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωματώνεται στην εθνική νομοθεσία η Οδηγία (ΕΕ) 2016/680 για την προστασία φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης των ποινικών κυρώσεων.
Το εν λόγω νομοσχέδιο συζητείται από σήμερα στη Βουλή με τη διαδικασία του κατεπείγοντος έτσι ώστε να τεθεί προς ψήφιση στην Ολομέλεια την ερχόμενη Δευτέρα. Αξιοσημείωτο είναι ότι η Ελλάδα διατρέχει τον κίνδυνο προστίμου άνω των 5.000 ευρώ για κάθε ημέρα που δεν συμμορφώνεται με το Κοινοτικό Δίκαιο.
Ο Δικηγορικός Σύλλογος Αθηνών – μέσα από την πένα του μέλους του Διοικητικού Συμβουλίου και Συμβούλου Παναγιώτη Περάκη – συμμετέχει ενεργά στη δημόσια διαβούλευση, κάνοντας τη δική του επιστημονική παρέμβαση πάνω στο καίριο αυτό ζήτημα μέσα από τη διατύπωση μιας σειράς ενστάσεων και προτάσεων.
Η παρέμβαση του Δικηγορικού Συλλόγου Αθηνών
1. Στο άρθρο 19 του νομοσχεδίου (“Προϋπολογισμός και Οικονομική Διαχείριση”), στην παρ. 6 αυτού, ορίζεται ότι “Για τις πιστοποιήσεις που χορηγεί με βάση τα άρθρα 42 και 43 του ΓΚΠΔ, η Αρχή με απόφασή της μπορεί να προβλέπει την καταβολή τελών και να καθορίζει το ύψος τους, τους σχετικούς όρους και τη διαδικασία. Οι πόροι από τα τέλη αυτά κατατίθενται στον ειδικό λογαριασμό που προβλέπεται στην προηγούμενη παράγραφο.”
Πλην όμως, η Αρχή δεν χορηγεί πιστοποιήσεις, παρά μόνο συμμετέχει στη διαπίστευση των φορέων πιστοποίησης, θέτοντας συμπληρωματικές προϋποθέσεις προς το ΕΣΥΔ, ενώ, επιπλέον, τέλη μπορεί να εισπράττει και το ΕΣΥΔ, που χορηγεί τη διαπίστευση, τα οποία δεν είναι βεβαίως δυνατόν να κατατίθενται στον ειδικό λογαριασμό που προβλέπει η διάταξη.
Συνεπώς, προτείνουμε η ανωτέρω διάταξη να τροποποιηθεί ως εξής: “6. Για τις διαπιστεύσεις και πιστοποιήσεις που χορηγούνται με βάση τα άρθρα 42 και 43 του ΓΚΠΔ, η Αρχή με απόφασή της μπορεί να προβλέπει την καταβολή τελών υπέρ αυτής και να καθορίζει το ύψος τους, τους σχετικούς όρους και τη διαδικασία. Οι πόροι από τα τέλη αυτά κατατίθενται στον ειδικό λογαριασμό που προβλέπεται στην προηγούμενη παράγραφο.”
2. Στο άρθρο 21 (“Συγκατάθεση ανηλίκου”), στην παρ. 2 αυτού, προβλέπεται ότι εάν ο ανήλικος είναι κάτω των 15 ετών και μέχρι 13 ετών, η επεξεργασία της παραγράφου 1 είναι σύννομη μόνο μετά την παροχή συγκατάθεσης του νομίμου αντιπροσώπου του ανηλίκου. Με τον τρόπο αυτόν όμως δεν υπάρχει καμιά δυνατότητα παροχής συγκατάθεσης από τους νομίμους αντιπροσώπους των για επεξεργασίες κατά την παροχή υπηρεσιών της κοινωνίας της πληροφορίας σε μικρότερους των 13 ετών ανηλίκους, ακόμη και αν πρόκειται για υπηρεσίες αναμφισβήτητα ωφέλιμες, όπως μπορεί π.χ. να συμβαίνει στο πλαίσιο εκπαιδευτικής δραστηριότητας. Τέτοιος δε αποκλεισμός δεν τίθεται από τον ΓΚΠΔ, ο οποίος επιτρέπει την παροχή συγκατάθεσης και για λογαριασμό ανηλίκων μικρότερων των 13 ετών, απαγορεύοντας μόνο την παροχή της από τους ίδιους. Συνεπώς, προτείνουμε η φράση “και μέχρι 13 ετών” να διαγραφεί.
3. Στο άρθρο 25 (“Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από ιδιωτικούς φορείς”), στην παρ. 1 αυτού, προβλέπεται η δυνατότητα επεξεργασίας δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, “εφόσον είναι απαραίτητη:
α) για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας ή για τη δίωξη ποινικών αδικημάτων ή
β) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά”.
Πλην όμως, η αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας, όπως και η δίωξη ποινικών αδικημάτων, ανάγονται στην αποκλειστική αρμοδιότητα των επιφορτισμένων με τα έργα αυτά δημόσιων φορέων και σε καμιά περίπτωση σε ιδιωτικούς. Προτείνουμε, λοιπόν, την απάλειψη της ανωτέρω περ. α΄.
4. Στο άρθρο 27 (“Επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης”), στην παρ. 1 αυτού, τελ. εδάφιο, ορίζεται ότι “Τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβληθούν σε επεξεργασία για την αποκάλυψη ποινικών αδικημάτων μόνο εάν υπάρχουν τεκμηριωμένα αποδεικτικά στοιχεία, τα οποία δικαιολογούν την υποψία ότι το υποκείμενο των δεδομένων έχει διαπράξει ποινικό αδίκημα ενώ απασχολείται, η επεξεργασία είναι απαραίτητη για τη αποκάλυψη του ποινικού αδικήματος, και το προστατευόμενο συμφέρον του εργαζομένου σε σχέση με την επεξεργασία δεν υπερτερεί, ιδίως δε, όταν ο τρόπος και η έκταση της επεξεργασίας κατά την περίσταση δεν είναι δυσανάλογα.”
Η διάταξη αυτή γεννά μεγάλα ερωτηματικά και ενστάσεις, όχι μόνο διότι η αποκάλυψη τέλεσης ποινικών αδικημάτων ανήκει σε ειδικά επιφορτισμένους με το καθήκον αυτό και διαθέτοντες τις αναγκαίες εγγυήσεις δημόσιους φορείς, αλλά και γιατί ουδείς σχετικός περιορισμός στις ενέργειες του εργοδότη προβλέπεται, κινδυνεύοντας συνεπώς η διάταξη αυτή να οδηγήσει σε καταστάσεις εντελώς ασύμβατες προς την ελληνική έννομη τάξη.
Προτείνεται λοιπόν η απάλειψη της συγκεκριμένης πρόβλεψης, σε κάθε περίπτωση δε, εφόσον διατηρηθεί με τους κατάλληλους οπωσδήποτε περιορισμούς και συμπληρώσεις, να διευκρινίζεται στο περιεχόμενό της ρητά ότι αφορά μόνο σε ποινικά αδικήματα που στρέφονται κατά της επιχείρησης ή του εργοδότη και όχι σε αξιόποινες πράξεις που μπορεί να τελούνται απλά επ΄ ευκαιρία της παροχής εργασίας ή κατά τη διάρκειά της.
Να διαμορφωθεί δηλαδή ως εξής: ¨…. για την αποκάλυψη ποινικών αδικημάτων που στρέφονται κατά του εργοδότη ή της επιχείρησης στην οποία παρέχεται η εργασία μόνο εάν υπάρχουν…”.
5. Στην παρ. 2 του ίδιου παραπάνω άρθρου 27, προβλέπεται η συγκατάθεση του εργαζομένου για ορισμένες επεξεργασίες, υπό τις αναφερόμενες στη διάταξη αυτή προϋποθέσεις. Πλην όμως, όπως γίνεται γενικά αποδεκτό, ακόμη και στο πεδίο ειδικώς της προστασίας των προσωπικών δεδομένων (βλ. σχετικώς και σχετικές θέσεις της Ομάδας Εργασίας του άρθρου 29), οι εργαζόμενοι τελούν σε σχέση εξάρτησης προς τον εργοδότη τους και για αυτό είναι πάντοτε τουλάχιστον αμφίβολη η ελευθερία παροχής της συγκατάθεσής τους, στοιχείο απαραίτητο για την εγκυρότητά της, σύμφωνα με τον ΓΚΠΔ.
Συνεπώς, φρονούμε ότι δεν πρέπει να προβλέπεται καμία περίπτωση κατά την οποία να θεωρείται ως νόμιμη και έγκυρη βάση οποιασδήποτε επεξεργασίας δεδομένων των εργαζομένων η συγκατάθεσή τους.
6. Στο άρθρο 38 (“Διαπίστευση φορέων πιστοποίησης και πιστοποίηση”), στην παρ. 2 αυτού, προβλέπεται ότι “Το Ε.ΣΥ.Δ. ανακαλεί διαπίστευση αν ενημερωθεί από την Αρχή ότι δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον ΓΚΠΔ και τις διατάξεις του παρόντος.” Πλην όμως, δεν φαίνεται καθόλου δικαιολογημένο ανάκληση διαπίστευσης να γίνεται μόνον μετά από ενέργεια και πρωτοβουλία της Αρχής, η οποία άλλωστε δεν έχει καμία αρμοδιότητα εποπτείας και γνώση των απαιτήσεων του προτύπου EN-ISO/IEC 17065/2012, με βάση τις οποίες κυρίως χορηγείται η διαπίστευση και πρέπει να τηρεί ο διαπιστευόμενος, τις οποίες ελέγχει το ίδιο το ΕΣΥΔ (αυτεπαγγέλτως ή και κατόπιν καταγγελίας οιουδήποτε), το οποίο είναι ο φορέας που χορηγεί τη διαπίστευση.
Προτείνουμε λοιπόν η διάταξη να διαμορφωθεί ως εξής: “Το Ε.ΣΥ.Δ. ανακαλεί διαπίστευση αν διαπιστώσει ότι δεν πληρούνται οι απαιτήσεις υπό τις οποίες χορηγήθηκε, ιδίως οι προβλεπόμενες από το πρότυπο EN-ISO/IEC 17065/2012, ή αν ενημερωθεί σχετικώς από την Αρχή, ιδίως σε σχέση με την τήρηση των συμπληρωματικών απαιτήσεων που εκείνη έχει θέσει, καθώς και σε κάθε περίπτωση που ο φορέας πιστοποίησης παραβαίνει τον ΓΚΠΔ και τις διατάξεις του παρόντος.”
7. Στο άρθρο 39 (“Ποινικές κυρώσεις”), στην παρ. 1 αυτού, ορίζεται ότι “1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.”
Η φράση σύστημα αρχειοθέτησης δεδομένων είναι ανεπιτυχής και ανακριβής. Αντ΄ αυτής προτείνουμε να τεθεί η λέξη “επεξεργασία”, η οποία αποδίδει ακριβώς την σχετική έννοια σύμφωνα με τους ορισμούς του ΓΚΠΔ και του νομοσχεδίου, ή, έστω, ¨αρχείο δεδομένων”.
8. Στην παρ. 2 του ίδιου άρθρου 39 ορίζεται ότι “2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α ́ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.”
Η χρησιμοποίηση της φράσης “τα οποία απέκτησε” είναι τεχνικώς ανεπιτυχής, ενδέχεται δε, εάν παραμείνει, να προκαλέσει κατά την εφαρμογή της σοβαρά ερμηνευτικά και αποδεικτικά προβλήματα, καθιστώντας την διάταξη πρακτικώς ανεφάρμοστη. Για αυτό προτείνουμε να αντικατασταθεί από την φράση “έλαβε γνώση¨, ήτοι, να γίνει “2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, των οποίων έλαβε γνώση σύμφωνα με την περίπτωση…”
9. Τέλος, θεωρούμε αδικαιολόγητη και μη συμβατή με το κράτος δικαίου οποιαδήποτε διαφοροποίηση ως προς το ύψος των επιβαλλομένων προστίμων μεταξύ ιδιωτικών και δημοσίων φορέων (βλ. άρθρο 40) όταν πρόκειται για τις αυτές παραβάσεις.
Παναγιώτης Περάκης
Σύμβουλος Δικηγορικού Συλλόγου Αθηνών