Του Βασίλη Σωτηρόπουλου
Ψηφίστηκε με τη διαδικασία του κατεπείγοντος το νομοσχέδιο για την προστασία προσωπικών δεδομένων, όπως διαμορφώθηκε ύστερα από διορθώσεις που έγιναν στο στάδιο της διαβούλευσης.
Ωστόσο, η αποκατάσταση μερικών διατάξεων δεν ικανοποιεί πλήρως τα ευρωπαϊκά και συνταγματικά πρότυπα.
Η μερική κατάργηση του «ιδρυτικού» Ν. 2472/1997
Ψηφισμένος κατά την πρώτη τετραετία της κυβέρνησης Σημίτη, ο Ν. 2472 ήταν μέχρι σήμερα το κεντρικό νομοθέτημα για την προστασία δεδομένων στη χώρα μας. Οι διατάξεις του Ν. 2472 που θα παραμένουν σε ισχύ είναι οι διατάξεις της ορολογίας των προσωπικών δεδομένων (άρθρο 2), η εξουσία του εισαγγελέα να δημοσιοποιεί προσωπικά δεδομένα υπόπτων και κατηγορούμενων για σοβαρά αδικήματα, οι διατάξεις για τις κάμερες του Δημοσίου για σκοπούς ασφάλειας (άρθρο 3), οι διατάξεις για το Μητρώο Προσώπων που δεν επιθυμούν τα δεδομένα τους να υποβάλλονται σε επεξεργασία για σκοπούς άμεσης προώθησης αγαθών και υπηρεσιών (άρθρο 13 παρ. 3), για την αντιμισθία και την πειθαρχική ευθύνη των μελών της Αρχής Προστασίας Δεδομένων και για τις διοικητικές κυρώσεις που αφορούν παραβίαση του νόμου στις ηλεκτρονικές επικοινωνίες (Ν. 3471/2006).
Νέοι κανόνες για την Ελληνική Αστυνομία και τις διωκτικές Αρχές
Το πιο σημαντικό μέρος του νομοσχεδίου επιβάλλει νέους κανόνες προστασίας προσωπικών δεδομένων στις Αρχές «για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων». Ο βασικός νέος κανόνας ορίζει ότι οι διωκτικές Αρχές οφείλουν να διαχειρίζονται τα προσωπικά δεδομένα των πολιτών διακρίνοντάς τους ανάλογα με το αν είναι ύποπτοι, καταδικασθέντες, θύματα, μάρτυρες κ.τ.λ.
Οι Αρχές οφείλουν να διαχωρίζουν, με σχετική σήμανση, τις δικές τους εκτιμήσεις για τα πρόσωπα (π.χ. είναι ύποπτος) από τις πραγματικές καταστάσεις (π.χ. συνελήφθη για αυτή την πράξη). Οι πολίτες θα έχουν νέα δικαιώματα ενημέρωσης για τα δεδομένα τους, ενώ θα έχουν και τα δικαιώματα διόρθωσης, διαγραφής και αντίταξης σε λήψη αυτοματοποιημένων αποφάσεων (π.χ. βάσει λογισμικού) που είναι δυσμενείς για τα συμφέροντά τους.
Στην τελευταία περίπτωση, δεν επιτρέπεται να κατηγοριοποιούνται οι πολίτες με βάση τα ευαίσθητα δεδομένα τους. Οι διωκτικές Αρχές θα είναι υποχρεωμένες να ενημερώνουν σε περίπτωση που διαπιστώσουν σοβαρή παραβίαση προσωπικών δεδομένων στα πληροφοριακά τους συστήματα, ενώ όταν ξεκινούν επεξεργασίες προσωπικών δεδομένων με χρήση νέων τεχνολογιών (π.χ. κάμερες) θα πρέπει να εκπονήσουν μελέτη εκτίμησης αντικτύπου. Και, φυσικά, θα πρέπει, όπως σε όλες τις δημόσιες υπηρεσίες, να οριστεί ένας Υπεύθυνος Προστασίας Δεδομένων που θα συμβουλεύει σχετικά με την τήρηση όλων των παραπάνω.
Τα δεδομένα των εργαζομένων και η αμφιλεγόμενη συγκατάθεση
Η συγκατάθεση δεν θεωρείται επαρκής νομική βάση επεξεργασίας δεδομένων, ειδικά στις σχέσεις άνισης ισχύος. Η αρχική διάταξη του νομοσχεδίου που επέτρεπε τη συγκατάθεση θεωρήθηκε λανθασμένη από τους νομικούς που πήραν μέρος στη διαβούλευση. Ετσι, το υπουργείο επανήλθε χθες με αναδιατυπωμένη τη διάταξη του προτεινόμενου άρθρου 27, ώστε η συγκατάθεση να αφορά μόνο ορισμένες περιστασιακές περιπτώσεις επεξεργασιών δεδομένων. Ομως, το άρθρο αυτό επιτρέπει και τη χρήση καμερών στον χώρο της εργασίας ως (μη αποκλειστικό πάντως) μέσο άντλησης υλικού για την αξιολόγηση των εργαζομένων. Πρόκειται για σαφή οπισθοδρόμηση σε σχέση με το επίπεδο προστασίας των προσωπικών δεδομένων όπως αυτό είχε κατοχυρωθεί με την Οδηγία 115/2001 της Αρχής Προστασίας Δεδομένων που απαγόρευε τέτοιες επεξεργασίες δεδομένων.
Καταργείται «το δικαίωμα στη λήθη» έναντι των ΜΜΕ
Μια από τις μεγάλες καινοτομίες του GDPR είναι το δικαίωμα στη λήθη, δηλαδή το δικαίωμα καθενός να ζητάει τη διαγραφή των προσωπικών του δεδομένων από ιστοτόπους στο Διαδίκτυο, οι οποίοι έχουν την υποχρέωση να ενημερώσουν και όλους τους άλλους ιστοτόπους που έχουν αντιγράψει τα προσωπικά δεδομένα ότι το πρόσωπο ζήτησε τη διαγραφή! Με το προτεινόμενο άρθρο 28, αρχικά το νομοσχέδιο εξαιρούσε τα ΜΜΕ από την αρμοδιότητα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Το άρθρο αναδιατυπώθηκε έτσι ώστε η ΑΠΔΠΧ να παραμένει αρμόδια να ελέγχει τα ΜΜΕ για τυχόν παραβιάσεις. Ομως, με το άρθρο αυτό παραμένουν σοβαρές εξαιρέσεις για τα ΜΜΕ ανάμεσα στις οποίες περιλαμβάνεται και το σύνολο των δικαιωμάτων των υποκειμένων των δεδομένων. Η διάταξη είναι αντίθετη στο άρθρο 8 του Χάρτη Θεμελιωδών Ελευθεριών της ΕΕ που ορίζει ότι το άτομο έχει δικαίωμα πρόσβασης και δικαίωμα διόρθωσης των δεδομένων του, διάταξη που η εθνική νομοθεσία δεν δύναται να καταργήσει. Εν τούτοις, το άρθρο 85 του GDPR που επιτρέπει περιορισμούς του δικαιώματος στην λήθη για τα ΜΜΕ.
Παραγράφονται «παλιές» παραβιάσεις προσωπικών δεδομένων
Το μεγαλύτερο λάθος σε αυτό το νομοσχέδιο είναι η χαλάρωση των ποινών για τις παραβιάσεις των προσωπικών δεδομένων. Στο προτεινόμενο άρθρο 38 προβλέπεται μια σοβαρή συρρίκνωση του πλαισίου ποινής για όσους έχουν παραβιάσει «απλά» δεδομένα προσωπικού χαρακτήρα: θα τιμωρούνται με ποινή φυλάκισης έως ενός έτους. Αυτό όμως έχει μια σοβαρή συνέπεια, διότι οι εκκρεμείς δίκες που αφορούν αυτές τις παραβιάσεις προσωπικών δεδομένων, εφόσον οι πράξεις έχουν τελεστεί έως την 31.3.2016 ενεργοποιούν τον Ν. 4411/2016, ο οποίος, για να αποφορτίσει την Δικαιοσύνη από υποθέσεις χαμηλής παραβατικότητας, οδηγεί σε παραγραφή τα εγκλήματα που τιμωρούνται με φυλάκιση μέχρι δύο ετών ή/και χρηματική ποινή.
Ετσι, όλες οι υποθέσεις τέτοιων παραβάσεων που αφορούν πράξεις που τελέστηκαν ως τότε, οδηγούνται στο αρχείο της εισαγγελίας, λόγω παραγραφής. Από την αιτιολογική έκθεση δεν προκύπτει ότι αυτή είναι μια συνειδητή επιλογή του υπουργείου Δικαιοσύνης. Σίγουρα πάντως η αμνήστευση τέτοιων εγκλημάτων δεν ήταν μια προτεραιότητα της αναβάθμισης του ευρωπαϊκού θεσμικού πλαισίου για την προστασία δεδομένων. Θα ανέμενε κανείς ακριβώς το αντίθετο: την αυστηροποίηση των ποινών, φυσικά για το μέλλον.
*Ο Βασίλης Σωτηρόπουλος είναι δικηγόρος παρ’ Αρείω Πάγω