Οι επισημάνσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στην πρόσφατη, από 24/1/2020, Γνωμοδότησή της σχετικά με τον ελληνικό νόμο 4624/2019 για τα προσωπικά δεδομένα, δεν έρχονται ως κεραυνός εν αιθρία.
Από την πρώτη στιγμή της ψήφισης του παραπάνω νόμου, καταμεσής του καλοκαιριού του 2019, είχαν διατυπωθεί ισχυροί προβληματισμοί, για να το πούμε κομψά, από μεγάλο μέρος της επιστημονικής κοινότητας αλλά και των εφαρμοστών του GDPR, τόσο σε σχέση με τη διαδικασία ψήφισης του νόμου όσο και για την ουσία των ρυθμίσεών του (βλ. και δικό μου άρθρο στο Euro2day, στις 28/8/2019).
Οι κυριότερες αιτιάσεις σχετίζονταν με την προχειρότητα λόγω βιασύνης (ο νόμος ψηφίστηκε με τη διαδικασία του κατεπείγοντος, λόγω μη έγκαιρης συμμόρφωσης με τον Κανονισμό 2018/679, γνωστό ως GDPR, και την Οδηγία 2016/680), την έλλειψη διαβούλευσης (ακόμα και με την ίδια την Αρχή), την αγνόηση της σοβαρής δουλειάς που είχε γίνει από την «Επιτροπή Μήτρου», την άκριτη αντιγραφή ξένων προτύπων (ιδίως του γερμανικού νόμου), την ισχνότητα αιτιολόγησης και τα σφάλματα στάθμισης, τη μη εναρμόνιση με τον Κανονισμό, την ύπαρξή ασαφειών, τις πιθανές συγκρούσεις με το Σύνταγμα (με την αναθεώρηση του 2001 η προστασία των προσωπικών δεδομένων κατέστη, με το άρθρο 9 Α, συνταγματικό δικαίωμα), την υπερβολική και εντέλει αδικαιολόγητη χρήση της «δημόσιας εξουσίας» και του «δημοσίου συμφέροντος», ορισμένες μη επαρκώς προστατευτικές για τα δικαιώματα των προσώπων επιλογές και προβλήματα με τις κυρώσεις.
Όλες αυτές οι αιτιάσεις επικυρώνονται, κωδικοποιούνται και προβάλλονται με τον πιο επίσημο και έγκυρο τρόπο με την υπ. αριθμ. 1/2020 Γνωμοδότηση της Αρχής. Το συμπέρασμα από την ενδελεχή εξέταση του ν. 4624 δεν θα μπορούσε να είναι πιο σαφές. Ο νόμος αυτός κρίνεται ότι διαθέτει πολλές διατάξεις που εμπίπτουν και στις τρεις κατηγορίες μη ιάσιμων «παραπτωμάτων»: πρώτον, μη σεβασμό του -υπέρτερης νομικής ισχύος- Κανονισμού, δεύτερον, ασάφειες που δυσχεραίνουν ουσιωδώς και τον εφαρμοστή του νόμου και τον ερμηνευτή/δικαστή και, τρίτον, ρυθμίσεις που πάσχουν από απόψεως περιεχομένου.
Τα προβλήματα αυτά -η Αρχή δεν το λέει τόσο καθαρά, αλλά συνάγεται από το είδος, το πλήθος και τον τόνο των παρατηρήσεών της- δεν μπορούν να λυθούν παρά με ριζική μεταρρύθμιση του νόμου, χωρίς τη δαμόκλειο σπάθη του χρόνου.
Η Γνωμοδότηση ξεκινά από μια επιλογή του νομοθέτη, την οποία δεν θεωρεί μεν ασύμβατη με τον GDPR αλλά αφήνει να εννοηθεί ότι ευθύνεται για τα περισσότερα από τα προβλήματα του νόμου: πρόκειται για την «εμπνευσμένη» από τον γερμανικό νόμο διάκριση ανάμεσα σε «ιδιωτικούς» και «δημόσιους» φορείς και την παροχή διαφοροποιημένου επιπέδου προστασίας των υποκειμένων των προσωπικών δεδομένων ανάλογα με τη διάκριση αυτή.
Η Αρχή θεωρεί ότι η διάκριση είναι θεμιτή με βάση τη λεγόμενη «ρήτρα ανοίγματος εξειδίκευσης» του άρθρου 4 σημείο 7 του GDPR, σύμφωνα με την οποία, «όταν οι σκοποί και ο τρόπος επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή του κράτους-μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους». Ωστόσο δεν παραλείπει να σημειώσει δυο σημαντικούς κινδύνους, τους οποίους και βλέπει, στις παρατηρήσεις της που ακολουθούν, να παίρνουν σάρκα και οστά: σύγχυση μεταξύ των εννοιών «υπεύθυνου επεξεργασίας» και «δημόσιου φορέα» και, ιδίως, διαφοροποιημένο ή μη επαρκές επίπεδο προστασίας, όταν αυτό δεν προβλέπεται από τον GDPR ή δεν δικαιολογείται με βάση αυτόν.
Στις ειδικότερες παρατηρήσεις της Αρχής δεσπόζουν 3+1+1 ζητήματα, που συνιστούν ισάριθμα αξεπέραστα προβλήματα:
Α) Το σύνολο των διατάξεων των άρθρων 24 και 25 (επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς, από δημόσιους και ιδιωτικούς φορείς, αντίστοιχα), καθώς και του άρθρου 26 του νόμου (διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς), «δεν πληρούν καμία από τις ουσιαστικές και διαδικαστικές προϋποθέσεις και εγγυήσεις» που θέτει ο GDPR και το πνεύμα προστασίας που απορρέει από αυτόν. Η επεξεργασία για σκοπό άλλον από αυτόν για τον οποίο αρχικά συνελέγησαν τα δεδομένα δεν είναι συμβατή με σκοπούς εντελώς νέους σε σχέση με αυτούς της αρχικής συλλογής, ούτε μπορεί να γίνεται χωρίς τις απαραίτητες εγγυήσεις. Ο δε εθνικός νομοθέτης δεν μπορεί ούτε να θεσπίζει νέες βάσεις -μπορεί μόνο να εξειδικεύει αυτές που προβλέπει ο GDPR-, ούτε να προβλέπει μη προβλεπόμενες από τον GDPR εξαιρέσεις από το προστατευτικό του πεδίο. Οι διατάξεις που επιτρέπουν «υπέρβαση σκοπού» για λόγους «δημόσιας ασφάλειας κατόπιν αιτήματος δημόσιου φορέα» (άρθρα 24, παρ. 1, στοιχ. β και 25 , παρ. 1, στοιχ. γ), που θεσπίζουν με γενικό τρόπο εξαιρέσεις ακόμα και για ευαίσθητα δεδομένα (24 παρ. 2 και 25 παρ. 2) και που υποβάλλουν τη διάβαση δεδομένων σε τέτοιους όρους (άρθρο 26) συγκρούονται με την απαγόρευση της «εικαζόμενης συναίνεσης», καθώς και με την υπέρτερη κάθε σκοπιμότητας προστασία των υποκειμένων.
Β) Όλο το τιθέμενο πλέγμα των σχέσεων απασχόλησης (άρθρο 27) κρίνεται προβληματικό. Η ύπαρξη συμβατικής σχέσης μεταξύ εργοδότη-εργαζομένου δεν επιτρέπεται να λειτουργεί ως κολυμβήθρα του Σιλωάμ. Η «ικανοποίηση εννόμου συμφέροντος του εργοδότη» δεν μπορεί να αποτελέσει νομική βάση και να δικαιολογήσει περιορισμούς προστασίας. Η συγκατάθεση δεν μπορεί να είναι γενική και ασαφής και δεν επιτρέπεται να μη λαμβάνει στον απαιτούμενη βαθμό υπόψη την εγγενή ανισορροπία ισχύος μεταξύ εργοδοτών και εργαζομένων. Δεν επιτρέπεται, ιδίως χωρίς ειδική αιτιολόγηση, παρέκκλιση από την ειδική προστασία των ευαίσθητων προσωπικών δεδομένων. Το άρθρο 27 δεν είναι, όπως καμιά φορά ειπώθηκε, «αντι-εργατικό» -είναι «αντι-δικαιωματικό» με την ευρύτερη έννοια.
Γ) Η ισορροπία μεταξύ της οφειλόμενης προστασίας προσωπικών δεδομένων και της μη υπερβολικής δυσχέρανσης της ελευθερίας έκφρασης και πληροφόρησης (άρθρο 28) απέχει πολύ από το επιθυμητό. Η ευρύτητα των υπέρ της έκφρασης/πληροφόρησης εξαιρέσεων της παρ. 2 θέτει, κατά τη Γνωμοδότηση, «υπό διακινδύνευση τον πυρήνα της προστασίας των προσωπικών δεδομένων», όπως είχε επισημάνει και η Επιστημονική Υπηρεσία της Βουλής. Η πλήρης αποκοπή από τα εντελώς θεμελιώδη κατά τον GDPR δικαιώματα αντίρρησης και ενημέρωσης (και μάλιστα, θα πρόσθετα, με τον «ύπουλο» τρόπο αναφοράς σε διατάξεις και όχι στα δικαιώματα καθεαυτά), η κάμψη που επέρχεται στο δικαίωμα πρόσβασης με πολύ γενικό και αόριστο τρόπο («εφόσον η άσκησή του είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη του σκοπού προστασίας της έκφρασης»), η πλήρης έλλειψη αιτιολόγησης για τη μείωση του επιπέδου προστασίας -όλες αυτές οι ρυθμίσεις προβαίνουν σε σταθμίσεις που παραβιάζουν τον GDPR- αλλά και το ελληνικό Σύνταγμα.
Δ) Για το σύνολο των άρθρων 31-35 του νόμου (δικαιώματα πληροφόρησης, πρόσβασης, διαγραφής, εναντίωσης), η Αρχή επισημαίνει ότι θεσπίζονται «εκτεταμένοι περιορισμοί των δικαιωμάτων των υποκειμένων» και «επιφυλάσσεται να κρίνει» ανά περίπτωση -έχοντας ωστόσο προετοιμάσει το έδαφος: οι ρυθμίσεις δεν φαίνονται να είναι «συγκεκριμένες» και οι περιορισμοί να είναι «σύμφωνοι με τον GDPR και τη νομολογία των διεθνών δικαστηρίων».
Ε) Σχετικά με την ενσωμάτωση της «Αστυνομικής Οδηγίας» 2016/680, που εφαρμόζεται σε δραστηριότητες επεξεργασίας για σκοπούς πρόληψης, διερεύνησης, ανίχνευσης, δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων (άρθρα 43 - 82 του νόμου), η Αρχή επισημαίνει πολλαπλά προβλήματα: μη ενσωμάτωση, ατελή ή εσφαλμένη ενσωμάτωση και, ιδίως, έλλειψη εναρμόνισης των κυρώσεων που τίθενται με το νέο νόμο σε σχέση με κυρώσεις που διατηρούνται σε ισχύ με βάση άλλους νόμους.
Πέρα από τα πέντε βασικά αυτά πεδία, στη Γνωμοδότηση διατυπώνονται και άλλες, διόλου ασήμαντες αιτιάσεις:
- Ως προς τη θέσπιση επικουρικής βάσης επεξεργασίας των δεδομένων για «χαμηλής έντασης επεμβάσεις» στα δικαιώματα των υποκειμένων εκ μέρους δημοσίων αρχών (άρθρο 5), χωρίς ούτε η επικουρική βάση, ούτε η διάκριση της «χαμηλής έντασης» να προβλέπονται/επιτρέπονται από τον GDPR.
- Για μη επιτρεπόμενη εξαίρεση των δημοσίων φορέων από την υποχρέωση δημοσιοποίησης και ανακοίνωσης (άρθρο 6 παρ. 5)
- Περί αντίφασης μεταξύ νόμου και GDPR σχετικά με την προστασία των γενετικών και βιομετρικών δεδομένων, καθώς και μη αποδεκτή εισαγωγή εξαίρεσης από την πλήρη προστασία των ευαίσθητων δεμένων για λόγους «εθνικής ή δημόσιας ασφάλειας» (άρθρο 22)
- Για την ανάγκη επέκτασης της προστασίας σε περιπτώσεις επεξεργασίας γενετικών δεδομένων (άρθρο 23) και στο πλαίσιο των εργασιακών σχέσεων.
Εν κατακλείδι: Με πολλά προβληματικά στοιχεία, ασύμβατος σε καίρια ζητήματα με το γράμμα και το πνεύμα του GDPR, όχι όσο θα έπρεπε προστατευτικός των δικαιωμάτων των προσώπων, ο νόμος 4624/2019 δεν «περνάει» από την Αρχή, γι’ αυτό θα πρέπει να ξαναπεράσει από τη Βουλή.
* Διδάκτωρ Συνταγματικού Δικαίου, πρ. ευρωβουλευτής και Πρόεδρος της Επιτροπής Κεφαλαιαγοράς, Υπεύθυνος Προστασίας Προσωπικών Δεδομένων (DPO) στην Τράπεζα της Ελλάδος.