GDPR: οι υποχρεώσεις, οι απαγορεύσεις και οι δυσκολίες προσαρμογής

Ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός (σχεδόν) τοις πάσι ως GDPR, αλλά και οι εθνικοί κανόνες που τον συμπληρώνουν, αποτελούν νομοθετήματα ευρύτερης και ιδιαίτερης σημασίας. Η θέσπιση προϋποθέσεων, υποχρεώσεων, απαγορεύσεων ως προς την επεξεργασία προσωπικών δεδομένων αλλά και δικαιωμάτων και εγγυήσεων για την προστασία τους ισοδυναμεί εν τέλει με ρύθμιση σχεδόν κάθε τομέα της ζωής και κάθε αντίστοιχης δραστηριότητας. Σκοπός των νέου πλαισίου ήταν η εξέλιξη και ο εκσυγχρονισμός των κανόνων αλλά και του τρόπου εφαρμογής τους, έτσι ώστε να κατοχυρώσει αλλά και να θωρακίσει τα δικαιώματα των προσώπων σε έναν κόσμο που επικαθορίζεται από τις ραγδαίες τεχνολογικές εξελίξεις και η προσωπική πληροφορία έχει ολοένα και πιο κομβικό ρόλο στον ιδιωτικό τομέα αλλά και στις κρατικές πολιτικές και δράσεις.

Εγχείρημα διόλου εύκολο. Ιδίως αν σκεφτεί κανείς ότι ο νομοθέτης, ενωσιακός και εθνικός, θα πρέπει να εξισορροπήσει καταρχήν αντιτιθέμενα δικαιώματα και συμφέροντα. Να λάβει υπόψη το δημόσιο συμφέρον χωρίς να θυσιάσει σε αυτό ελευθερίες και δικαιώματα, αναιρώντας τον σκοπό και τον ρόλο του δημοκρατικού κράτους δικαίου. Να εναρμονίσει την ελευθερία της πληροφόρησης ή της έρευνας με το δικαίωμα προστασίας των δεδομένων, συνταγματικά κατοχυρωμένο στη χώρα μας ήδη από το 2001. Να προστατεύσει τα δικαιώματα των προσώπων – καταναλωτών χωρίς να δημιουργήσει αχρείαστα προσκόμματα στη σύννομη οικονομική δραστηριότητα. Πολλά θα μπορούσε να απαριθμήσει κανείς, κάθε ρύθμιση ενέχει αναπόφευκτα μια στάθμιση.

Το υπουργείο Δικαιοσύνης, επικαλούμενο την πίεση χρόνου που χωρίς αμφιβολία προκαλεί η παραπομπή της Ελλάδας στο Δικαστήριο της ΕΕ λόγω μη έγκαιρης συμμόρφωσης με τον Κανονισμό αλλά και την Οδηγία 2016/680/ΕΕ («αστυνομική Οδηγία»), έθεσε σε δημόσια διαβούλευση, στην κορύφωση του θέρους και των διακοπών, το προσχέδιο νόμου, που είχε εκπονηθεί από τη δεύτερη νομοπαρασκευαστική επιτροπή που είχε συστήσει ο τελευταίος υπουργός Δικαιοσύνης επί κυβέρνησης ΣΥΡΙΖΑ, Μ. Καλογήρου. Παραλείποντας να ζητήσει τη γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπως επιτάσσει ο ισχύων νόμος και είχε συμβεί με το προσχέδιο της α’ νομοπαρασκευαστικής επιτροπής που είχε κατατεθεί τον Φεβρουάριο του 2018.

Η δημόσια συζήτηση, η αρθρογραφία, τα εκατοντάδες σχόλια της διαβούλευσης που κατέθεσαν πολλά μέλη της επιστημονικής κοινότητας, επαγγελματίες του χώρου αλλά και φορείς, επαγγελματικοί ή της κοινωνίας των πολιτών, χαρακτηρίζονται από σοβαρές επιφυλάξεις και οξεία κριτική ως προς τη λογική και τις επιλογές του εν λόγω σχεδίου.

Απολύτως δικαιολογημένα. Ηδη οι διατάξεις που αναφέρονται στους ορισμούς, το πεδίο εφαρμογής αλλά και τις νομικές βάσεις της επεξεργασίας, χαρακτηρίζονται από λάθη και ασάφειες, όπως επισημάνθηκε και στη διαβούλευση. Υιοθετώντας άκριτα, συχνά αυτολεξεί και μηχανιστικά, πολλές κατηγοριοποιήσεις και διατάξεις του γερμανικού νόμου χωρίς να λαμβάνονται υπόψη η παράδοση, το προϊσχύσαν νομοθετικό καθεστώς, οι ιδιαιτερότητες και το συνολικότερο πλαίσιο κάθε έννομης τάξης, οι προτεινόμενες ρυθμίσεις χαρακτηρίζονται από πολλά προβλήματα στην κατανόηση και την ερμηνεία τους και εν τέλει στη δυνατότητα εφαρμογής τους, οδηγώντας σε ανασφάλεια δικαίου ιδιαίτερα επιβαρυντική ιδίως για τον ιδιωτικό τομέα. Σχεδόν ανεκδοτολογικά θα μπορούσε να αναφέρει κανείς τη αναφορά σε «συμβούλια εργαζομένων» που προφανώς προέκυψε από πιστή μεταφορά διατάξεων της γερμανικής νομοθεσίας και προφανώς θα δημιουργήσει σύγχυση, καθώς τέτοια συμβούλια δεν προβλέπονται στην ελληνική έννομη τάξη.

Το προσχέδιο νόμου σε αρκετά σημεία περιλαμβάνει ρυθμίσεις που είναι αντίθετες στον Κανονισμό και υπερβαίνουν την ευχέρεια του έλληνα νομοθέτη. Είναι δε αξιοσημείωτο ότι οι επιλογές αυτές αποσκοπούν σε αύξηση των εξαιρέσεων από την απαγόρευση επεξεργασίας ευαίσθητων δεδομένων ή σε εκτενείς και ανεπίτρεπτους από τον Κανονισμό περιορισμούς των δικαιωμάτων των προσώπων (ενημέρωση, πρόσβαση, διόρθωση κ.ά.) που κατοχυρώνει ο Κανονισμός αλλά και ο Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ενωσης.

Ιδιαίτερα προβληματικές είναι οι διατάξεις που αφορούν την επεξεργασία δεδομένων των εργαζομένων. Πέραν των προφανώς απορριπτέων ρυθμίσεων που αφορούν την αναγνώριση «ανακριτικών εξουσιών» στον εργοδότη και την εν γένει εισαγωγή της συγκατάθεσης ως βάσης επεξεργασίας των δεδομένων των εργαζομένων, αγνοώντας την εγγενή ανισότητα που χαρακτηρίζει τις εργασιακές σχέσεις αλλά και την πρόσφατη νομολογία και τις αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, το προσχέδιο νόμου παραλείπει να περιλάβει ρυθμίσεις για τις μεθόδους συλλογής και επεξεργασίας δεδομένων των εργαζομένων, την επιτήρηση των χώρων εργασίας και τη χρήση μέσων επικοινωνίας αλλά και εγγυήσεις για τη θεμιτή επεξεργασία, ιδίως των ευαίσθητων δεδομένων.

Το προσχέδιο νόμου φαίνεται τέλος να αγνοεί τις ανάγκες και τις ιδιαιτερότητες επιμέρους πεδίων. Αν στην περίπτωση της επεξεργασίας προσωπικών δεδομένων για δημοσιογραφικούς σκοπούς οι προτεινόμενες ρυθμίσεις εξαιρούν περίπου το σύνολο των ρυθμίσεων από την εφαρμογή, οι προβλέψεις του σχεδίου για τα αρχεία και την επιστημονική και στατιστική έρευνα δεν ανταποκρίνονται ούτε στα οριζόμενα στον Κανονισμό (π.χ. για τη δυνατότητα αλλά και τις προϋποθέσεις της «ευρείας συγκατάθεσης») ούτε πολύ περισσότερο στις απαιτήσεις της έρευνας αλλά και στην υποχρέωση να εισαχθούν διασφαλίσεις για τα πρόσωπα.

Αν και η προσοχή της δημόσιας συζήτησης είναι στραμμένη στις διατάξεις που πλαισιώνουν τον Κανονισμό, αξίζει να επισημανθούν τα σοβαρά προβλήματα και ελλείμματα προστασίας που προκαλούνται από ορισμένες ρυθμίσεις κατά την ενσωμάτωση της Οδηγίας 2016/680/ΕΕ. Ισως το πιο χαρακτηριστικό είναι ότι εισάγεται η συγκατάθεση ως βάση επεξεργασίας προσωπικών δεδομένων από αστυνομικές, διωκτικές, εισαγγελικές Αρχές, και μάλιστα οριζόμενη με τρόπο αντίθετο στις επιταγές της ευρωπαϊκής νομοθεσίας. H συγκατάθεση δεν μπορεί ποτέ από μόνη της να αποτελέσει νόμιμη βάση για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της εφαρμογής των διατάξεων της Οδηγίας 2016/680. Δεν είναι η μόνη ρύθμιση που θέτει ζητήματα ως προς τα δικαιώματα των πολιτών σε ευαίσθητους τομείς της κρατικής δράσης. Το προτεινόμενο σχέδιο νόμου δεν ρυθμίζει την επεξεργασία προσωπικών δεδομένων όταν αυτή πραγματοποιείται για σκοπούς εθνικής ασφάλειας και από τις Αρχές/ υπηρεσίες στις οποίες έχουν ανατεθεί αυτές οι αρμοδιότητες και καθήκοντα. Η εθνική ασφάλεια δεν εμπίπτει βέβαια στο πεδίο του ΓΚΠΔ ή της Οδηγίας 2016/680, αλλά αυτό είναι απόρροια του πεδίου εφαρμογής του ενωσιακού δικαίου. Αυτό δεν σημαίνει ότι επιτρέπεται να είναι αρρύθμιστη η εν λόγω επεξεργασία. Με την κατάργηση του ν. 2472/97, ο οποίος εφαρμοζόταν απρόσκοπτα και στον τομέα της εθνικής ασφάλειας, μένει μία ευαίσθητη περιοχή εκτός ρύθμισης, εγγυήσεων και προστασίας. Αυτό είναι αμφίβολο εάν είναι όχι μόνο δικαιοπολιτικά, αλλά και συνταγματικά αποδεκτό, με δεδομένο ότι το άρθρο 9 Α του Συντάγματος κατοχυρώνει το δικαίωμα προστασίας προσωπικών δεδομένων.

Είναι εξόχως προβληματικό, αν όχι απογοητευτικό, το γεγονός ότι ενώ θα μπορούσαμε να έχουμε εγκαίρως υιοθετήσει τα απαιτούμενα μέτρα που επιβάλλει η ευρωπαϊκή νομοθεσία, όχι μόνο καταλήξαμε ουραγοί ως προς τη συμμόρφωση, αλλά και κινδυνεύουμε να αντιμετωπίσουμε νέα προβλήματα λόγω της ποιότητας και του περιεχομένου των ρυθμίσεων που προτείνονται.

Η Λίλιαν Μήτρου είναι καθηγήτρια Πανεπιστημίου Αιγαίου και πρόεδρος του Ινστιτούτου για το Δίκαιο Προστασίας της Ιδιωτικότητας, των Προσωπικών Δεδομένων και την Τεχνολογία