Μεταβολή στοιχείων τρανς ατόμων σε υπηρεσίες ιδιωτικού τομέα

Μετά την ληξιαρχική μεταβολή στοιχείων φύλου και ονοματεπωνύμου κατά τον Ν.4491/2017, τα διεφυλικά άτομα αναμένουν την μεταβολή στοιχείων δημοτολογίου και μητρώου αρρένων για να ολοκληρώσουν την αρχική διαδικασία δημοσίων εγγράφων και να λάβουν την νέα αστυνομική ταυτότητα.

Στην συνέχεια όμως, ακολουθεί μια ευρύτερη διαδικασία επικαιροποίησης των στοιχείων τους σε διάφορες υπηρεσίες του ιδιωτικού τομέα, όπως οι τράπεζες, οι εταιρίες κινητής τηλεφωνίας, οι ασφαλιστικές εταιρίες, αλλά και οι ΔΕΚΟ και ο ΟΑΕΔ, τα Πανεπιστήμια και οι συμβολαιογραφικές καταχωρήσεις. Είναι συχνό το φαινόμενο οι υπάλληλοι αυτών των υπηρεσιών να μην αρκούνται στην αστυνομική ταυτότητα και την διορθωμένη ληξιαρχική πράξη γέννησης, αλλά να αναζητούν και την ... δικαστική απόφαση. Όμως, η δικαστική απόφαση είναι απόρρητη και ουδείς χρειάζεται να δει τους λόγους για τους οποίους μεταβλήθηκαν τα στοιχεία στην ληξιαρχική πράξη γέννησης. Η ληξιαρχική πράξη γέννησης είναι δημόσιο έγγραφο και αποτελεί "πλήρη απόδειξη" erga omnes. Εκτός βέβαια αν έχει προσβληθεί για πλαστότητα.

Αυτό σημαίνει ότι η αναζήτηση της δικαστικής απόφασης για την μεταβολή καταχωρίσεων διεμφυλικών ατόμων, πέραν του ληξιαρχείου και του δημοτολογίου - μητρώου αρρένων, είναι συλλογή και επεξεργασια δεδομένων προσωπικού χαρακτήρα που δεν είναι απαραίτητα ενόψει του σκοπού της επικαιροποίησης. Αυτή η επεξεργασία πέραν του σκοπού απαγορευεται από το άρθρο 25 του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που τιτλοφορείται "προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού" (by design and by default). Σε αυτό το άρθρο κατοχυρώνεται η αρχή της ελαχιστοποίησης της επεξεργασίας των δεδομένων και η μνεία ότι επιτρέπεται επεξεργασία μόνο των δεδομένων που είναι αναγκαία για τον σκοπό της επεξεργασίας.

Επομένως, η αναζήτηση της δικαστικής απόφασης νομικής αναγνώρισης ταυτότητας φύλου από τον ιδιωτικό τομέα προσκρούει στο άρθρο 25 GDPR. Το ίδιο ισχύει και για κάθε άλλη υπηρεσία του δημόσιου τομέα, εκτός από τα ληξιαρχεία - δημοτολόγια - μητρώα αρρένων και την Αποκεντρωμένη Διοίκηση που λαμβάνει τις σχετικές αποφάσεις μεταβολής καταχωρίσεων. 

Δημοσιοποίηση ονομάτων νεκρών θυμάτων

Επειδή έχει δημιουργηθεί ένα ερώτημα για το αν είναι νόμιμη η δημοσιοποίηση ονομάτων των θυμάτων των πυρκαγιών, η απάντηση βρίσκεται στον αρ. 27 του Προοιμίου του Γενικού Κανονισμού Προστασίας Δεδομένων (#GDPR), όπου αναφέρεται το εξής:

"Ο παρών κανονισμός δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα θανόντων. Τα κράτη μέλη μπορούν να προβλέπουν κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα θανόντων". 

Οπότε ο #GDPR δεν ισχύει για τους θανόντες, αλλά η εθνική νομοθεσία μπορεί να προβλέψει διατάξεις. Η εθνική νομοθεσία είναι ο Ν.2472/1997, ο οποίος αναφέρει ότι "δεδομένα προσωπικού χαρακτήρα" είναι κάθε πληροφορία που αναφέρεται σε ένα φυσικό πρόσωπο, η ταυτότητα του οποίου είναι γνωστή ή μπορεί να προσδιοριστεί. 

Η έννοια του φυσικού προσώπου προσδιορίζεται από το άρθρο 35 του Αστικού Κώδικα:

"Το πρόσωπο αρχίζει να υπάρχει μόλις γεννηθεί ζωντανό και παύει να υπάρχει μετά το θάνατό του."

Αυτό σημαίνει ότι μετά τον θάνατο δεν υπάρχει (νομικά) πρόσωπο κι επομένως, οι πληροφορίες που αναφέρονται σε αυτό (π.χ. αποβίωσε τότε, υπ' αυτές τις συνθήκες κ.τ.λ.) δεν είναι "πληροφορία που αναφέρεται σε φυσικό πρόσωπο", άρα δεν είναι δεδομένα προσωπικού χαρακτήρα.

Για περισσότερη εμβάθυνση, βλ. Γνώμη 4/2007 της Ομάδας Εργασίας του άρθρου 29 της Οδηγίας 95/46, σελ. 26 επ. http://ec.europa.eu/.../opinion.../files/2007/wp136_el.pdf

Εσφαλμένη εγκύκλιος του ΥΠΕΣ καταργεί την ηλεκτρονική διακυβέρνηση

Με μια εγκύκλιο του υπουργείου Εσωτερικών απαγορεύεται σε δήμο να χορηγεί μέσω ηλεκτρονικού ταχυδρομείου πιστοποιητικά οικογενειακής κατάστασης, ενώ η δυνατότητα αυτή αποτελεί δικαίωμα του πολίτη που έχει κατοχυρωθεί ήδη πριν από 20 χρόνια.

Συγκεκριμένα, αναφέρει η εγκύκλιος, μεταξύ άλλων, απίθανων, όπως το ότι η προφορική εντολή στον δικηγόρο δεν τεκμαίρεται (αντίθετα προς παλαιότερη εγκύκλιο του Προκόπη Παυλόπουλου όταν ηταν ΥΠΕΣ):

  Δεν παρέχεται δυνατότητα χορήγησης των πάσης φύσεως πιστοποιητικών προσωπικής κατάστασης μέσω ηλεκτρονικού ταχυδρομείου (e-mail), επειδή δεν δύναται να διακριβωθεί η ταυτότητα του αιτούντος την έκδοσή τους,

  Ακόμη και αν χορηγούνταν από το Δήμο μέσω ηλεκτρονικού ταχυδρομείου (e- mail), θα καθίστατο ανέφικτη η χρήση τους στην άσκηση του οποιουδήποτε δικαιώματος του Πολίτη, καθώς, ελλείψει ειδικής νομοθετικής ρύθμισης, δεν θα γίνονταν δεκτά από την όποια αρμόδια υπηρεσία στην οποία θα υποβάλλονταν."

Ωστόσο, η εγκύκλιος ειναι αντίθετη στον νόμο. Συγκεκριμένα ο νόμος 2462/1998 αναφέρει στο άρθρο 14: "Επιτρέπεται η διακίνηση εγγράφων μεταξύ των υπηρεσιών του Δημοσίου, των Ν.Π.Δ.Δ. και των οργανισμών τοπικής αυτοδιοίκησης ή μεταξύ αυτών και των ενδιαφερόμενων φυσικών προσώπων, νομικών προσώπων ιδιωτικού δικαίου και ενώσεων προσώπων με τηλεομοιοτυπία και ηλεκτρονικό ταχυδρομείο."

Επίσης ο Ν.3979/2011 για την ηλεκτρονική διακυβέρνηση, ο λ ο κ ά θ α ρ α αναφέρει στο άρθρο 18: 

"Η παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης και η εκπλήρωση αιτημάτων που υποβάλλονται ηλεκτρονικά ή μη, μπορεί να γίνεται με πλήρως αυτοματοποιημένο τρόπο με την υποστήριξη ΤΠΕ, με την προϋπόθεση της ταυτοποίησης και επιβεβαίωσης ταυτότητας (αυθεντικοποίησης) των αιτούντων και των δημοσίων λειτουργών και υπαλλήλων και της τήρησης των όρων ασφαλείας στο επίπεδο που επιβάλλεται από τη φύση των παρεχόμενων υπηρεσιών και των αντίστοιχων δε− δομένων, όπως ορίζεται στην παράγραφο 4 του άρθρου 32 του παρόντος. Οι πράξεις που εκδίδονται συνιστούν διοικητικές πράξεις"

Εξάλλου, το ηλεκτρονικό έγγραφο που η εγκύλιος λέει ότι "καθίσταται ανέφικτη η χρήση του", σύμφωνα με το άρθρο 14 του Ν.3979/2011 έχει ισχύ ακριβούς αντιγράφου! Συγκεκριμένα, ο νόμος ορίζει: 

"Αντίγραφα εγγράφων που παράγονται με ΤΠΕ έχουν ισχύ ακριβούς αντιγράφου, εφόσον: α) το πρωτότυπο ηλεκτρονικό ή έντυπο έγγραφο βρίσκεται στην κατοχή φορέα του δημόσιου τομέα και κατά τη διαδικασία της καταχώρισης, της ψηφιοποίησης, της αναπαραγωγής και της εκτύπωσης καθίσταται δυνατή η ταύτιση πρωτοτύπου και ηλεκτρονικού αντιγράφου ή β) το αντίγραφο φέρει προηγμένη ηλεκτρονική υπογραφή και ασφαλή χρονοσήμανση."

Τα ανώτατα δικαστήρια μπορούν να υποβάλουν πλέον προδικαστικά στο ΕΔΔΑ

Χθες είχαμε μια σημαντική εξέλιξη στο Ευρωπαϊκό δικαστικό σύστημα προστασίας των Δικαιωμάτων του Ανθρώπου. Το 16ο πρωτόκολλο της ΕΣΔΑ που τέθηκε από 1ης Αυγούστου 2018 σε εφαρμογή επιτρέπει στα Ανώτατα Δικαστήρια να απευθύνουν ένα ερώτημα για γνωμοδότηση για την ερμηνεία της ΕΣΔΑ προς το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου. Μα δεν ξέρουν τα ανώτατα δικαστήρια να ερμηνεύσουν την ΕΣΔΑ και χρειάζονται γνωμοδότηση; Θα ρωτούσε κάποιος.

Δεν είναι ότι δεν ξέρουν. Είναι ότι ακόνα και τα ανώτατα δικαστήρια θέλουν κάποιος άλλος να τους πει ποιο είναι το σωστό (και το ποιοτικό). Δείτε για παράδειγμα το Συμβούλιο της Επικρατείας: σάμπως δεν ήξερε κοτζάμ ΣτΕ ότι έπρεπε να δικάσει πέρσι την αίτηση ακύρωσης που υποβάλαμε για το μάθημα των θρησκευτικών; Ήξερε. Σάμπως δεν ήξερε ότι το ομολογιακό μάθημα με το δηλωτικό του θρησκεύματος σύστημα απαλλαγής που επέβαλε ο Ανδρέας Λοβέρδος ως υπουργός Παιδείας παραβιάζει την ΕΣΔΑ; Το ήξερε. Αλλά δεν τόλμησε να δικάσει πέρσι την υπόθεση. Τώρα τελειώνουν οι δικαιολογίες: αν υπάρχει "αμφιβολία" ( = ευθυνοφοβία) θα στέλνει προδικαστικό ερώτημα στο ΕΔΔΑ. Θα στέλνει; Όχι ακόμα! Η Ελλάδα έχει μεν υπογράψει αλλά όχι ακόμη κυρώσει με νόμο το 16ο πρωτόκολλο της ΕΣΔΑ.

Δεν νοείται "συγκατάθεση" πολιτών σε δημόσιες υπηρεσίες

Ορισμένες δημόσιες υπηρεσίες, έχοντας μισοδιαβάσει τον Γενικό Κανονισμό Προστασίας Δεδομένων αποφάσισαν να ζητούν την συγκατάθεση των πολιτών, όποτε πρόκειται να συλλέξουν προσωπικά δεδομένα τους στο πλαίσιο της ενάσκησης των κλασικών αρμοδιοτήτων τους! Αυτό είναι τελείως εσφαλμένο: όταν ο πολίτης δίνει τα προσωπικά δεδομένα του σε μια δημόσια υπηρεσία, συμπληρώνοντας μια αίτηση ή υποβάλλοντας μια αναφορά, μια καταγγελία, μια προσφυγή, η δημόσια υπηρεσία συλλέγει τα δεδομένα του στο πλαίσιο της ενάσκησης των δημοσίων καθηκόντων της και όχι στο πλαίσιο κάποιας "συγκατάθεσης" του πολίτη. Πολύ περισσότερο που ο ίδιος ο Γενικός Κανονισμός Προστασίας Δεδομένων αποκλείει την "συγκατάθεση" ως νόμιμη βάση επεξεργασίας δεδομένων από δημόσιες υπηρεσίες.

Συγκεκριμένα, ο αρ. 42 του Προοιμίου του Γενικού Κανονισμού αναφέρει προς το τελος: "Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί."

Ακόμη πιο καθαρά, ο αρ. 43 του Προοιμίου του Γενικού Κανονισμού αναφέρει: 

"Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. Η συγκατάθεση θεωρείται ότι δεν έχει παρασχεθεί ελεύθερα, εάν δεν επιτρέπεται να δοθεί χωριστή συγκατάθεση σε διαφορετικές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ακόμη και αν ενδείκνυται στη συγκεκριμένη περίπτωση, ή όταν η εκτέλεση μιας σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, προϋποθέτει τη συγκατάθεση, ακόμη και αν η συγκατάθεση αυτή δεν είναι αναγκαία για την εν λόγω εκτέλεση."

Για να μην υπάρχει και καμία αμφιβολία, τα παραπάνω έχουν ερμηνευθεί επίσημα και από την Ομάδα Εργασίας του άρθρου 29 της Οδηγίας 95/46 που υιοθετήθηκε πλέον από το νέο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.  Το έγγραφο "Κατευθυντήριες οδηγίες σχετικά με την συγκατάθεση" είναι αναρτημένο εδώ. Σχετικά με το θέμα αναφέρονται τα εξής:

"Στην αιτιολογική σκέψη 43 επισημαίνεται σαφώς ότι είναι απίθανο να μπορούν δημόσιες αρχές να βασιστούν στη συγκατάθεση για την επεξεργασία δεδομένων, καθώς, όταν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή, διαπιστώνεται συχνά σαφής ανισορροπία ισχύος στη σχέση μεταξύ υπευθύνου επεξεργασίας και υποκειμένου των δεδομένων. Είναι επίσης σαφές ότι στις περισσότερες περιπτώσεις το υποκείμενο των δεδομένων δεν έχει ρεαλιστικές εναλλακτικές δυνατότητες πέραν της αποδοχής (των όρων) της επεξεργασίας του συγκεκριμένου υπευθύνου επεξεργασίας. Η ομάδα εργασίας του άρθρου 29 εκτιμά ότι υπάρχουν άλλες νόμιμες βάσεις οι οποίες είναι, καταρχήν, καταλληλότερες για τη δραστηριότητα των δημόσιων αρχών15. 

Με την επιφύλαξη των γενικών αυτών παρατηρήσεων, η χρήση της συγκατάθεσης ως νόμιμης βάσης για την επεξεργασία δεδομένων από δημόσιες αρχές δεν αποκλείεται ολοσχερώς στο νομικό πλαίσιο του ΓΚΠΔ. Τα ακόλουθα παραδείγματα δείχνουν ότι η χρήση της συγκατάθεσης μπορεί να είναι κατάλληλη σε ορισμένες περιστάσεις. 

[Παράδειγμα 2] Ο δήμος προγραμματίζει έργα συντήρησης του οδικού δικτύου. Καθώς τα οδικά έργα ενδέχεται να δημιουργήσουν προβλήματα στην κυκλοφορία για μεγάλο χρονικό διάστημα, ο δήμος παρέχει στους δημότες τη δυνατότητα να εγγραφούν σε κατάλογο διευθύνσεων ηλεκτρονικού ταχυδρομείου, ώστε να λαμβάνουν ενημερώσεις σχετικά με την πρόοδο των έργων και τις αναμενόμενες καθυστερήσεις. Ο δήμος καθιστά σαφές ότι η συμμετοχή δεν είναι υποχρεωτική και ζητεί συγκατάθεση για τη χρήση των διευθύνσεων ηλεκτρονικού ταχυδρομείου (αποκλειστικά) για τον σκοπό αυτό. Οι δημότες που δεν συγκατατίθενται δεν θα στερηθούν καμία βασική υπηρεσία του δήμου ούτε θα απολέσουν τη δυνατότητα άσκησης οποιουδήποτε δικαιώματος και, επομένως, μπορούν ελεύθερα να παράσχουν ή να αρνηθούν τη συγκατάθεσή τους στη συγκεκριμένη χρήση των δεδομένων. Όλες οι πληροφορίες σχετικά με τα οδικά έργα θα είναι επίσης διαθέσιμες στον δικτυακό τόπο του δήμου. 

[Παράδειγμα 3] Φυσικό πρόσωπο το οποίο έχει στην κυριότητά του έκταση γης χρειάζεται ορισμένες άδειες τόσο από τον τοπικό δήμο όσο και από την περιφερειακή αρχή στην οποία υπάγεται ο δήμος. Και οι δύο δημόσιοι φορείς χρειάζονται τις ίδιες πληροφορίες για την έκδοση της αντίστοιχης άδειας, αλλά δεν έχουν πρόσβαση ο ένας στη βάση δεδομένων του άλλου. Επομένως, και οι δύο ζητούν τις ίδιες πληροφορίες και η ιδιοκτήτρια της έκτασης γης αποστέλλει τα στοιχεία της και στους δύο. Ο δήμος και η περιφερειακή αρχή ζητούν τη συγκατάθεσή της για να συγχωνεύσουν τους φακέλους, ώστε να αποφευχθούν διπλές διαδικασίες και διπλή αλληλογραφία. Και οι δύο δημόσιοι φορείς διαβεβαιώνουν ότι αυτό είναι προαιρετικό και ότι οι αιτήσεις για τις άδειες θα διεκπεραιωθούν χωριστά εάν η ενδιαφερόμενη δεν συγκατατεθεί στη συγχώνευση των δεδομένων που την αφορούν. Η ιδιοκτήτρια της έκτασης γης μπορεί να παράσχει τη συγκατάθεσή της ελεύθερα στις αρχές για τον σκοπό της συγχώνευσης των φακέλων. 

[Παράδειγμα 4] Δημόσιο σχολείο ζητεί τη συγκατάθεση των μαθητών για να χρησιμοποιήσει τις φωτογραφίες τους σε έντυπο μαθητικό περιοδικό. Η συγκατάθεση στην περίπτωση αυτή θα είναι πραγματική επιλογή εφόσον οι μαθητές δεν θα στερηθούν εκπαιδευτικές ή άλλες υπηρεσίες και μπορούν να αρνηθούν να συγκατατεθούν στη χρήση των εν λόγω φωτογραφιών χωρίς να ζημιωθούν16. 

Ανισορροπία ισχύος υπάρχει επίσης στο πλαίσιο της απασχόλησης. Λαμβανομένης υπόψη της εξάρτησης που συνεπάγεται η σχέση εργοδότη/εργαζομένου, είναι απίθανο το υποκείμενο των δεδομένων να είναι σε θέση να αρνηθεί να παράσχει στον εργοδότη του συγκατάθεση για την επεξεργασία των δεδομένων του χωρίς να φοβάται ή χωρίς να διατρέχει πραγματικό κίνδυνο να υποστεί αρνητικές συνέπειες λόγω της άρνησής του. Είναι απίθανο ο εργαζόμενος να είναι σε θέση να ανταποκριθεί ελεύθερα στο αίτημα συγκατάθεσης του εργοδότη του σχετικά, για παράδειγμα, με την ενεργοποίηση συστημάτων παρακολούθησης, όπως παρατήρησης μέσω κάμερας του χώρου εργασίας, ή τη συμπλήρωση εντύπων αξιολόγησης, χωρίς να αισθάνεται πίεση να παράσχει τη συγκατάθεσή του18. Ως εκ τούτου, η ομάδα εργασίας του άρθρου 29 θεωρεί προβληματική την επεξεργασία από τους εργοδότες δεδομένων προσωπικού χαρακτήρα υφιστάμενων ή μελλοντικών εργαζομένων τους βάσει συγκατάθεσης, καθώς δεν είναι πιθανό αυτή να παρέχεται ελεύθερα. Για το μεγαλύτερο μέρος αυτής της επεξεργασίας δεδομένων στην εργασία, η νομική βάση δεν μπορεί και δεν θα πρέπει να είναι η συγκατάθεση των εργαζομένων [άρθρο 6 παράγραφος 1 στοιχείο α)], λόγω της φύσης της σχέσης μεταξύ εργοδότη και εργαζομένου."

Επομένως, οι δημόσιες υπηρεσίες είναι αδιανόητο να θέτουν ως όρο στους πολίτες να δίνουν την προηγούμενη συγκατάθεσή τους για να συλλέξουν τα δεδομένα τους, αναφέροντας μάλιστα και ότι δεν θα παράσχουν τις υπηρεσίες τους αν οι πολίτες αρνηθούν να δώσουν την συγκατάθεση. Τα ίδια και οποιοσδήποτε άλλος που βρίσκεται σε άνιση θέση ισχύος (εργοδότης, σχολείο κτλ).

Υπάρχει όμως και μια εξαίρεση: η παροχή υπηρεσιών πρόσθετης αξίας από μια δημόσια υπηρεσία, όταν δηλαδή ο πολίτης μπορεί να ασκήσει και αλλιώς το δικαίωμά του αλλά υπάρχει και μια εφαρμογή που του επιτρέπει αν την χρησιμοποιήσει, να κερδίσει μια εναλλακτική δυνατότητα. Χαρακτηριστική είναι η περίπτωση της αυτεπάγγελτης αναζήτησης δικαιολογητικών: ο πολίτης μπορεί να συγκεντρώσει μονος του και να φέρει τα δικαιολογητικά στην υπηρεσία για την αίτηση που θέλει να υποβάλει. Εναλλακτικά, υπάρχει η δυνατότητα της υπηρεσίας να αναζητήσει η ίδια τα δικαιολογητικά υπηρεσιακώς από άλλες υπηρεσίες, αλλά τότε χρειάζεται η σχετική εξουσιοδότηση του πολίτη, δηλαδή η συγκατάθεσή του. Αυτή η συγκατάθεση επιτρέπεται γιατί πρόκειται για υπηρεσία πρόσθετης αξίας και όχι για αποκλεισμό αν δεν δώσεις συγκατάθεση. Το ίδιο ισχύει και για την συγκατάθεση για τοποθέτηση cookies από ιστοσελίδες δημόσιων υπηρεσιών: επιτρέπεται.

Πάντως, η νόμιμη βάση για την επεξεργασία δεδομένων πολιτών από δημόσιες υπηρεσίες είναι το άρθρο 6 παρ. 1 στοιχείο (ε) του Γενικού Κανονισμού. Δηλαδή δεν απαιτείται το (α) που είναι η συγκατάθεση, αλλά η επεξεργασία βασίζεται στην αρχή της νομιμότητας. Μάλιστα ο Γενικός Κανονισμός έχει αφαιρέσει και το "υπέρτερο έννομο συμφέρον" ως βάση επεξεργασίας για τις δημόσιες αρχές (στ), που ήταν και η κύρια νομική βάση για την λειτουργία των καμερών σε δημόσιες υπηρεσίες. Δεν νοείται "υπέρτερο έννομο συμφέρον" διαφορετικό από το δημόσιο συμφέρον για τις δημόσιες υπηρεσίες. Δεν είναι ιδιώτες.

Όταν λοιπόν μια δημόσια υπηρεσία σας ζητά και "συγκατάθεση", έχετε το δικαίωμα να καταγγείλετε την εν λόγω δημόσια υπηρεσία υποβάλλοντας προσφυγή στον Υπεύθυνο Προστασίας Δεδομένων που υποχρεωτικά υπηρετεί σε κάθε δημόσια υπηρεσία (άρθρο 37 του Γενικού Κανονισμού Προστασίας Δεδομένων) και να επισημάνετε ότι παρανόμως ζητείται η συγκατάθεση ως προϋπόθεση ενάσκησης αρμοδιοτήτων τους, εφόσον δεν πρόκειται για υπηρεσίες προστιθέμενης αξίας.

"Σύστημα αρχειοθέτησης" στο δικηγορικό γραφείο

Με τον ΓΚΠΔ θα ξεκινήσει μια οριζόντια, υπαρξιακής φύσης νομίζω, συζήτηση σε όλες τις χώρες της Ε.Ε. για τον ρόλο του δικηγόρου στην διαχείριση των προσωπικών δεδομένων. Η σύνδεσή μας με το σύστημα της απονομής δικαιοσύνης (ως συλλειτουργοί), ο ρόλος μας για προστασία των ατομικών δικαιωμάτων των πολιτών που μας εμπιστεύονται (αυξημένες υποχρεώσεις απορρήτου), αλλά και από την άλλη πλευρά ένας κακώς νοούμενος συντεχνιασμός στην ερμηνεία του δικαίου όταν μας αφορά είναι παράγοντες που θα κονταροχτυπηθούν στην εφαρμογή του ΓΚΠΔ στο δικηγορικό γραφείο.

Το γεγονός ότι σε άλλες έννομες τάξεις, όπου ο ρόλος του δικηγόρου είναι πολύ πιο προωθημένος από πολλές απόψεις, όχι μόνο θεσμικά, έχουν επιλυθεί τα ερωτήματα με κυριαρχικό τρόπο, ουδόλως επιβάλλει την οριζόντια πρόσληψη εθνικών ερμηνειών του ΓΚΠΔ. Ακριβώς η ενιαία και πανευρωπαϊκή φύση του Κανονισμού επιβάλλει την ερμηνεία του με λήψη υπόψη όλων των ενιαίων χαρακτηριστικών που υπάρχουν στα κράτη μέλη κι όχι μόνο προκρίνοντας τις παγιωμένες θέσεις συγκεκριμένων κρατών. 

Υπάρχουν ιδιαίτερα προβληματικές διατάξεις στον ΓΚΠΔ. Η διάταξη του άρθρου 30 ξεκινά από την αφετηρία ότι το "αρχείο δραστηριοτήτων επεξεργασίας" (κάκιστη μετάφραση) δεν αποτελεί υποχρέωση για οργανισμούς που αριθμούν λιγότερους από 250 εργαζομένους. Αυτός ο αριθμός δεν είναι αυθαίρετος, αλλά συμβαδίζει με την Σύσταση της Ευρωπαϊκής Επιτροπής του 2003 για την οριοθέτηση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων στην Ε.Ε. Ανάμεσα στα κριτήρια που έθετε τότε η Κομισιόν ειναι και ο αριθμός των εργαζομένων, θεωρώντας ότι μια επιχείρηση κάτω των 250 εργαζομένων εμπίπτει στην έννοια των πολυ μικρών, μικρών και μεσαίων. Αλλά αυτό αφορά τις επιχειρήσεις! Αλοίμονο αν κρίνουμε ένα δικηγορικό γραφείο ως πολύ μικρό αν έχει 200 εργαζόμενους!

Οι εξαιρέσεις των εξαιρέσεων του άρθρου 30, που επαναφέρουν την υποχρέωση τήρησης του αρχείου δραστηριοτήτων επεξεργασίας είναι εξόχως προβληματικές. Ιδίως η εξαίρεση που αναφέρει ότι έχει την υποχρέωση τήρησης ακομη και κάτω των 250 εργαζομένων ένας οργανισμός όταν δεν περιορίζεται σε περιστασιακή επεξεργασία. Είναι ολοκάθαρο ότι οι περισσότεροι "οργανισμοί", δηλαδή φορείς του ιδιωτικού και δημόσιου τομέα θα αριθμούν σίγουρα λιγότερους από 250 εργαζόμενους, αλλά είναι πολύ πιο πιθανό να διενεργούν μη περιστασιακή επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τόσο πολύ που η "εξαίρεση" γίνεται ο κανόνας: καλύτερα να μας έλεγε εξ αρχής ότι εξαιρούνται οι οργανισμοί που δεν διενεργούν περιστασιακή επεξεργασία και να άφηνε ο ευρωπαίος νομοθέτης το αριθμητικό κριτήριο, η αξία του οποίου εκμηδενίζεται τελείως.

Έπειτα έχουμε την εξαίρεση των ειδικών κατηγοριών δεδομένων και την εξαίρεση της τήρησης ποινικών δεδομένων. Αυτή η εξαίρεση προβλέπεται διαζευκτικά προς την προηγούμενη εξαίρεση: δηλαδη και εντελώς περιστασιακά να επεξεργάζεται ένας οργανισμός κάτω των 250 ατόμων ευαίσθητα δεδομένα, οφείλει να τηρεί το αρχείο δραστηριοτήτων επεξεργασίας. Κι εδώ ολοκάθαρα η εξαίρεση γίνεται κανόνας.

Πριν όμως καταληξουμε στο ότι κάθε δικηγορικό γραφείο οφείλει να τηρεί "αρχείο δραστηριοτήτων επεξεργασιών", θεωρώ ότι πρέπει να εξετάσουμε κάτι ακόμη πιο θεμελιώδες. Δηλαδή το ποιες ακριβώς επεξεργασίες δεδομένων προσωπικού χαρακτήρα που διενεργούνται σε ένα δικηγορικό γραφείο εμπίπτουν ή δεν εμπίπτουν στον ΓΚΠΔ. Διότι δεν εμπίπτει κάθε επεξεργασία δεδομένων στον ΓΚΠΔ. Υπάρχει ένα συγκεκριμένο πεδίο εφαρμογής.

Ως προς το πεδίο εφαρμογής λοιπόν, έχω δύο παρατηρήσεις, βάσει του άρθρου 2 ΓΚΠΔ. 

Η πρώτη παρατήρηση αφορά το ουσιαστικό πεδίο εφαρμογής όπως το ξέραμε και από την Οδηγία 95/46, αλλά και από τον Ν.2472/1997. Ο ΓΚΠΔ εφαρμόζεται σε δύο κατηγορίες επεξεργασιών δεδομένων: 

(α) στην εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και 

(β) στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.

 Άρα, ο ΓΚΠΔ δεν εφαρμόζεται στην (ολικά) μη αυτοματοποιημένη επεξεργασία δεδομένων όταν αυτά ΔΕΝ περιλαμβάνονται ή ΔΕΝ ΠΡΟΚΕΙΤΑΙ να περιληφθούν σε σύστημα αρχειοθέτησης. Αν είναι μερικά αυτοματοποιημένη επεξεργασία, εμπίπτει στο (α). Επομένως, όταν έχουμε μια δια χειρός επεξεργασία δεδομένων, όπως για παράδειγμα όταν γράφουμε με το χέρι το όνομα του πελάτη μας σε έναν φάκελο δικογραφίας, αυτή θα εμπίπτει στον ΓΚΠΔ μόνο εάν τα δεδομένα περιλαμβάνονται ή πρόκειται να περιληφθούν σε ένα "σύστημα αρχειοθέτησης". 

Άρα πρέπει να δούμε τι είναι το "σύστημα αρχειοθέτησης" και κυρίως το κατά πόσον το σύνολο των φακέλων δικογραφίας που τηρούνται σε ένα δικηγορικό γραφείο εμπίπτει σε αυτή την έννοια ή όχι. Διοτι εάν το σύνολο των φακέλων δικογραφίας δεν εμπίπτει στην έννοια του "συστήματος αρχειοθέτησης", η διαχείρισή του δεν διέπεται απο τον ΓΚΠΔ.

Ο νομοθετικός ορισμός του όρου "σύστημα αρχειοθέτησης" βρίσκεται στο άρθρο 4 αρ. 6 ΓΚΠΔ:

"κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση"

Επομένως, το σύστημα αρχειοθέτησης δεν είναι κάθε σύνολο δεδομένων, αλλά πρέπει αυτά τα δεδομένα να είναι δεδομένα προσωπικού χαρακτήρα. Εάν πρόκειται για σύνολο άλλων δεδομένων, όπως στοιχεία για νομικά πρόσωπα, έργα πνευματικής και βιομηχανικής ιδιοκτησίας, επιχειρηματικά απόρρητα κ.τλ. τότε δεν θα πρόκεται για "σύνολο δεδομένων προσωπικού χαρακτήρα". Θα πρόκειται για σύνολο άλλων δεδομενων. Έπειτα, ο κανονισμός προϋποθέτει την "διάρθρωση" αυτού του συνόλου με γνώμονα συγκεκριμένα κριτήρια. Εδώ μας βοηθάει το Προοίμιο του ΓΚΠΔ, το οποίο στον αριθμό 15 αναφέρει τα εξής:

"Η προστασία των φυσικών προσώπων θα πρέπει να εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα, όσο κ α ι στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Τα α ρ χ ε ί α ή τα σ ύ ν ο λ α αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με σ υ γ κ ε κ ρ ι μ έ ν α κριτήρια δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού."

Άρα, ο ΓΚΠΔ αναγνωρίζει ότι υπάρχουν και "αρχεία" ή "σύνολα αρχείων" που έχουν μεν εξώφυλλα που όμως δεν είναι διαρθρωμένα με "συγκεκριμένα κριτήρια", οπότε δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. Αποδέχεται δηλαδή ο ΓΚΠΔ ότι σε αυτά τα αρχεία θα υπάρχουν μεν και δεδομένα προσωπικού χαρακτήρα, αλλά λόγω έλλειψης του στοιχείου της διάρθρωσης με γνώμονα συγκεκριμένα κριτήρια, δεν είναι "σύστημα αρχειοθέτησης" κι άρα δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. 

Το σύνολο των φακέλων δικογραφίας σε ένα δικηγορικό γραφείο θα χαρακτηρίζεται από τα εξώφυλλά των φακέλων. Στα εξώφυλλα των φακέλων αναγράφονται τα στοιχεία των διαδίκων. Οι διάδικοι δεν είναι πάντα φυσικά πρόσωπα, μπορεί να είναι και νομικά πρόσωπα. Στο μέτρο λοιπόν που τα εξώφυλλα των φακέλων δικογραφίας περιλαμβάνουν επωνυμίες νομικών προσώπων, δεν υπάρχει το στοιχείο της διάρθρωσης συνόλου δεδομένων προσωπικού χαρακτήρα, διότι τα δεδομένα προσωπικού χαρακτηρα, σύμφωνα με τον σχετικό νομοθετικό ορισμό αφορούν μόνον φυσικά πρόσωπα. Και μάλιστα μόνο άτομα που βρίσκονται εν ζωή (αρ. 27 του Προοιμίου: "Ο παρών κανονισμός δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα θανόντων. "). Άρα οι φάκελοι δικογραφίας που αφορούν διαδίκους που είναι αποκλειστικά νομικά πρόσωπα ή ήδη θανόντες, εκφεύγουν του πεδίου εφαρμογής του ΓΚΠΔ. Οπότε πρέπει να εξετάσουμε αν το υπόλοιπο "σύνολο" των φακέλων δικογραφίας αποτελεί "σύστημα αρχειοθέτησης": αυτό που περιλαμβάνει στα εξώφυλλά του ονοματεπώνυμα φυσικών προσώπων εν ζωή. Επομένως, το στοιχείο της "διάρθρωσης" που καθιστά "προσβάσιμα" τα προσωπικά δεδομένα δεν μπορούμε εξ ορισμού να κρίνουμε ότι υφίσταται στο σύνολο των φακέλων δικογραφίας ενός δικηγορικού γραφείου, χωρίς να υποπέσουμε σε λήψη του ζητούμένου: είναι ζητούμενο εάν το αρχείο είναι διαρθρωμένο έτσι ώστε να καθιστά προσβάσιμα τα προσωπικά δεδομένα. Δεν είναι διόλου αυτονόητο ή εκ των προτέρων γνωστό. 

Άρα η διάρθρωση θα αφορά μόνο το μέρος των φακέλων δικογραφίας που παρουσιάζει τα ανωτέρω χαρακτηριστικά και είναι ερώτημα εάν μπορεί να νοηθεί "σύστημα αρχειοθέτησης", κατά τον νομοθετικό ορισμό, ένα μέρος μόνον του αρχείου των φακέλων δικογραφίας. Βέβαια, ο ορισμός αναφέρει ότι το σύνολο αυτό μπορεί να είναι "συγκεντρωμένο ή αποκεντρωμένο". Μπορεί να είναι "κατανεμημένο σε λειτουργική ή γεωγραφική βάση". Δεν επιβάλλει να είναι όλη η διάρθρωση στον ίδιο φυσικό χώρο, στο ίδιο ντουλάπι. Και πάλι όμως, ακόμη κι αν δεχτούμε ότι ορισμένοι φάκελοι δικογραφίας είναι διαρθρωμένοι, οπότε υπάρχει ένα σύστημα αρχειοθέτησης, αυτό δεν θα καταλαμβάνει το σύνολο του αρχείου των φακέλων δικογραφίας, γιατί κάποιοι φάκελοι απλά θα αφορούν νομικά πρόσωπα ή θανόντες. Άρα δεν θα εμπίπτει το σύνολο του αρχείου στην έννοια του "συστήματος αρχειοθέτησης", γεγονός που από μόνο του σχετικοποιεί έντονα την εφαρμογή του ΓΚΠΔ στο σύνολο του αρχείου του δικηγορικού γραφείου. 

Σημειωτέον ότι και η ΑΠΔΠΧ στην απόφαση 147/2001 έχει κρίνει ότι οι φάκελοι δικογραφίας δεν ήταν "αρχείο" κατά την έννοια του αντίστοιχου όρου του Ν.2472/1997.

Η δεύτερη παρατήρηση αφορά το πεδίο εφαρμογής του ενωσιακού δικαίου. Στο άρθρο 2 παρ. 2 (α) ο ΓΚΠΔ αναφερει ότι δεν εφαρμόζεται: 

"στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης". 

Συμπληρώνει ο αριθμός 16 του Προοιμίου: 

"Ο παρών κανονισμός δεν εφαρμόζεται σε ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του ενωσιακού δικαίου, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια. "

Η προστασία θεμελιωδών δικαιωμάτων και ελευθεριών και η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε δραστηριότητες που "δεν υπάγονται στο πεδίο εφαρμογής του ενωσιακού δικαίου" είναι εκτός του πεδίου εφαρμογής ΓΚΠΔ. Η μνεία των δραστηριοτήτων εθνικής ασφάλειας είναι ενδεικτική ("ιδίως") και σημαίνει ότι ο ΓΚΠΔ δεν εφαρμόζεται στον στρατό! Εκεί εφαρμοζεται η εθνική νομοθεσία για την προστασια δεδομένων δηλ. ο Ν.2472/1997 (που γι' αυτό δεν πρέπει να καταργηθεί ολοσχερώς) και η Σύμβαση 108 που δεν έχει τέτοιες εξαιρέσεις πεδίου εφαρμογής.

Οπότε, αφού η μνεία της εθνικής ασφάλειας είναι ενδεικτική, υπάρχουν κι άλλες σφαίρες δραστηριοτήτων  "προστασίας θεμελιωδών δικαιωμάτων" που δεν εφαρμόζεται το δίκαιο της Ένωσης, άρα ούτε και ο ΓΚΠΔ. Μία από αυτές είναι το εν γένει σύστημα απονομής της Δικαιοσύνης, το οποίο ρυθμίζεται αποκλειστικά με την εθνική νομοθεσία, εκτός βέβαια από τις περιπτώσεις που οι υποθέσεις παρουσιάζουν ενωσιακό ενδιαφέρον, όπως στην περίπτωση που εφαρμόζεται ο Κανονισμός (ΕΚ) αριθ. 1393/2007 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Νοεμβρίου 2007 , περί επιδόσεως και κοινοποιήσεως στα κράτη μέλη δικαστικών και εξωδίκων πράξεων σε αστικές ή εμπορικές υποθέσεις.

Το πώς τηρεί ο δικηγόρος το αρχείο των υποθέσεών του ρυθμίζεται εν μέρει (και σίγουρα ακροθιγώς) από τον Κώδικα περι Δικηγόρων. Δεν έχουμε ευρωπαϊκό Κώδικα περί Δικηγόρων. Έχουμε ενωσιακές ρυθμίσεις για την αναγνώριση των επαγγελμάτων, για τις επιδόσεις, για την προστασία δεδομένων από τις αρχές δίωξης του εγκληματος (Οδηγία 2016/680), όχι όμως ειδικές διατάξεις που ρυθμίζουν τον τρόπο της ενάσκησης του δικηγορικού λειτουργήματος. Ο Κώδικας Δεοντολογίας Δικηγόρων είναι αποκλειστικά ένα κείμενο αυτορρύθμισης του δικηγορικού σώματος. Δεν αποτελεί εναρμόνιση προς κοινοτικές οδηγίες. 

Το μοναδικό σημείο στο οποίο ο ΓΚΠΔ αναφέρεται σε δικηγόρους είναι στον αρ. 91 του Προοιμίου του, για να εξαιρέσει τις επεξεργασίες δεδομένων πελατών δικηγόρου από την έννοια της "μεγάλης κλίμακας" που επιβάλλει την διενέργεια εκτίμησης αντικτύπου κατά το άρθρο 35 του ΓΚΠΔ: 

"Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θεωρείται ότι είναι μεγάλης κλίμακας, εάν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελματία του τομέα της υγείας ή δικηγόρου. Στις περιπτώσεις αυτλές η εκτίμηση αντικτύπου της προστασίας δεδομένων δεν θα πρέπει να είναι υποχρεωτική."

Ωστόσο, η ερμηνευτική αυτή ανάγκη φαίνεται να προέρχεται από την σιωπηρή παραδοχή ότι η επεξεργασία δεδομένων πελάτη δικηγόρου εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ. Ο ΓΚΠΔ ρυθμίζει έστω και αποφατικά, έστω και περιθωριακά στο μη δεσμευτικό Προοίμιό του, την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικηγόρο.

Δεν αρνείται κανείς ότι ο δικηγόρος θα είναι υπεύθυνος επεξεργασίας των δεδομένων που τηρεί για πελάτες, συνεργάτες, εργαζόμενους και προμηθευτές του. Το γεγονός ότι η Αρχή επέβαλε πρόστιμο 50.000 ευρώ σε δικηγορική εταιρία για την λειτουργία του συστήματος καμερών (41/2018) σαφέστατα αφορά αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, χωρίς να τίθενται ερωτηματικά περί υπάρξεως ή μη συστήματος αρχειοθέτησης. Το γεγονός ότι το μέιλ που έστειλε δικηγόρος με οικονομικά δεδομένα του πελάτη του για την ανώμαλη εξέλιξη της σχέσης εντολής είναι εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων (181/2012) χωρίς να σημαίνει ότι είναι παράνομη, είναι επίσης ορθό. Το ίδιο ισχύει και για την ανάρτηση δικαστικής απόφασης σε ιστοσελίδα δικηγόρου (43/2009). Σε όλες αυτές τις περιπτώσεις, ναι ο δικηγόρος είναι υπεύθυνος επεξεργασίας. 

 Είναι άλλο αυτό όμως και είναι άλλο το περιεχόμενο των φακέλων δικογραφίας και τα δεδομένα που χρησιμοποιεί σε μια υπόθεση που χειρίζεται δικηγορικά, είτε δικαστική είτε εξωδικαστική. Στο δεύτερο αυτό σκέλος, ο δικηγόρος ενεργεί ως εντολοδόχος του εντολέα του και όχι με την ατομική του ιδιότητα ως πολίτης. Γι' αυτό θεωρώ τελείως εσφαλμένη την γνώμη 1/2010 της ΟΕ29 όταν αναφέρει ότι ο δικηγόρος είναι υπεύθυνος επεξεργασίας, επειδή η εντολή που του έδωσε ο πελάτης του δεν είναι να επεξεργαστεί προσωπικά δεδομένα, αλλά να τον εκπροσωπήσει! Αυτά τα αναφέρει η ΟΕ29 σε συνδυασμό με το γεγονός ότι το επαγγελμα είναι νομοθετικά ρυθμισμένο, για να αναγνωρίσει ότι ο δικηγόρος δεν είναι υπάλληλος ούτε "εκτελών την επεξεργασία", αλλά ένας λειτουργός με σημαντικό βαθμό αυτονομίας ως προς την διαχείριση των προσωπικών δεδομένων που του διαθέτει ο πελάτης του σε μια υπόθεση. Ωστόσο, αυτός ο πελάτης είναι που έχει καθορίσει τον σκοπό και τον τρόπο χρήσης των δεδομένων δίνοντάς τα σε δικηγόρο για να χρησιμοποιηθούν στην Δικαιοσύνη ή και εξωδικαστικά, άρα ο πελάτης είναι ο υπεύθυνος επεξεργασίας! Ο δικηγόρος συμβουλεύει τον πελάτη, δεν αποφασίζει ο ίδιος για την τύχη των δεδομένων που του παραδίδονται. Εκτός αν υπερβεί τα όρια της εντολής και ενεργήσει αυτόκλητα, οπότε θα καταστεί όντως υπεύθυνος επεξεργασίας καθορίζοντας ατομικά τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων. Νομίζω ότι αυτά είναι σαφή από την φύση του επαγγέλματος, όπως αυτό ρυθμίζεται νομοθετικά μέσα από τον Κώδικα περί δικηγόρων που αποτελεί εθνικό νομοθέτημα κι όχι ενσωμάτωση κάποιας ευρωπαϊκής οδηγίας (άλλο αν - πολιτικά- ήταν μνημονιακό προαπαιτούμενο όπως και ο νέος ΚΠολΔ).

Απαλλαγή από τα θρησκευτικά με γνωστοποίηση δεδομένων θρησκεύματος

Η απόφαση 660/2018 του Συμβουλίου της Επικρατείας για το μάθημα των θρησκευτικών αναφέρει ότι η οικειοθελής γνωστοποίηση προσωπικών δεδομένων από τους ενδιαφερόμενους προς τις αρχές δεν αντιτίθεται στους κανόνες της προστασίας δεδομένων. Δηλαδή κρίθηκε νόμιμο ότι, για να ασκήσει ο μη χριστιανός το συνταγματικό δικαίωμά του να μην εκτεθεί σε ομολογιακό μάθημα θρησκευτικών, οφείλει να γνωστοποιήσει με υπεύθυνη δήλωση ότι δεν είναι χριστιανός και αυτή η υπεύθυνη δήλωση τηρείται στα αρχεία του σχολείου και υπόκειται σε έλεγχο αλήθειας  από τον διευθυντή του σχολείου. Πρόκειται για την εγκύκλιο του Λοβέρδου του 2015, όταν ήταν υπουργός Παιδείας.

Αυτά ωστόσο δεν μπορούν να ισχύουν από τις 25.5.2018 οπότε τίθεται σε εφαρμογή ο Γενικός Κανονισμός Προστασίας Δεδομένων. Σύμφωνα με το άρθρο 4 παρ.  11 του ΓΚΠΔ, η συγκατάθεση που επιτρέπει νόμιμα την επεξεργασία προσωπικών δεδομένων ορίζεται ως εξής:

"«συγκατάθεση» του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ε λ ε ύ θ ε ρ η, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν"

Σύμφωνα με τον αρ. 43 του Προοιμίου του ΓΚΠΔ, 

"Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης."

Αναλύοντας αυτή την νέα ρύθμιση, κατά την οποία η συλλογή δεδομένων με βάση την συγκατάθεση του ατόμου δεν είναι νόμιμη όταν γίνεται από δημόσιες αρχές, η Oμάδα Εργασίας του άρθρου 29 έχει δημοσιεύσει τις "Κατευθυντήριες Γραμμές για την έννοια της συγκατάθεσης κατά τον ΓΚΠΔ". Στο έγγραφο αυτό (βλ. εδώ) αναφέρει ότι όντως οι δημόσιες αρχές δεν νομιμοποιούνται να συλλέγουν προσωπικά δεδομένα στη βάση της συγκατάθεσης, λόγω του ότι δεν θα είναι ελεύθερη επειδή υπάρχει ανισότητα ισχύος ανάμεσα σε πολίτη και σε δημόσια αρχή. Αναγνωρίζει όμως ορισμένες εξαιρέσεις. Στο παράδειγμα αρ. 4 αναφέρεται η περίπτωση των μαθητών που δίνουν συγκατάθεση για τη χρήση των φωτογραφιών τους σε σχολικό περιοδικό. Η ΟΕ29 θεωρεί ότι κατ' εξαίρεση σε μια τέτοια περίπτωση επιτρέπεται η συγκατάθεση ως νομική βάση επεξεργασίας των δεδομένων των μαθητών, εφόσον με την επεξεργασία αυτών των δεδομένων οι μαθητές "δεν στερούνται εκπαίδευση ή υπηρεσίες και μπορούν να αρνηθούν την χρήση των φωτογραφιών αυτών χωρίς κανένα δυσμενές αποτέλεσμα". Είναι σαφές ότι αυτή δεν είναι η περίπτωση της συγκατάθεσης επεξεργασίας του δεδομένου του θρησκεύματος, αφού αν οι ενδιαφερόμενοι με το σύστημα της υπεύθυνης δήλωσης δεν αποκαλύψουν ότι δεν ειναι Χ.Ο. θα υποχρεωθούν στη δυσμενή συνέπεια της παρακολούθησης του ομολογιακού μαθήματος των θρησκευτικών. Συνεπώς με την επεξεργασία των δεδομένων τους θα στερηθούν την πρόσβαση σε ώρες διδασκαλίας και συνεπώς η εξάρτηση της ενάσκησης συνταγματικού δικαιώματος καθιστά την γνωστοποίηση των δεδομένων μη οικειοθελή.

Άρα, με βάση τον ΓΚΠΔ η "οικειοθελής γνωστοποίηση" προσωπικών δεδομένων θρησκεύματος προς δημόσιες αρχές, δηλαδή η τήρηση των υπεύθυνων δηλώσεων ότι οι μαθητές δεν είναι χ.ο.,  με βάση την "συγκατάθεση" του υποκειμένου των δεδομένων δεν νοείται ως νόμιμη βάση τήρησης της υπεύθυνης δήλωσης στο αρχείο δημόσιου σχολείου, λόγω του ότι δεν είναι ελεύθερη, άρα δεν αποτελεί συγκατάθεση κατά τον ΓΚΠΔ.