Σάββατο, Φεβρουαρίου 24, 2018

To νομοσχέδιο για τα προσωπικά δεδομένα

Την Τετάρτη ήμουν στην Κύπρο για την παρουσίαση του βιβλίου μου ("Υπεύθυνος Προστασίας Δεδομένων") και προσκεκλημένη ήταν η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και Επίτροπος Πληροφοριών κα Λοϊζίδου. Από το βήμα της εκδήλωσης η Επίτροπος είπε ότι το κυπριακό νομοσχέδιο για την υποδοχή των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων θα είναι έκτασης 29 άρθρων. Δηλαδή η Κύπρος θα προχωρήσει σε ορισμένες τροποποιήσεις στο υφιστάμενο νομικό πλαίσιο για την προστασία προσωπικών δεδομένων.

Σε εντελώς αντίθετη κατεύθυνση, η Ελληνική νομοπαρασκευαστική επιτροπή παρέδωσε σε δημόσια διαβούλευση (που ισχύει μέχρι τις 5.3.2018) ένα νομοσχέδιο 73 άρθρων και 87 σελίδων, το οποίο δεν υποδέχεται απλώς τον Γενικό Κανονισμό αλλά προχωρά και σε συνολική κωδικοποίηση των διατάξεων για τα προσωπικά δεδομένα (έχει π.χ. διάταξη για την λειτουργία κλειστών κυκλωμάτων τηλεόρασης που μέχρι τώρα αποτελούσε θέμα της Οδηγίας της ΑΠΔΠΧ 1/2011) και σε ενσωμάτωση της Οδηγίας 2016/680 για την προστασία δεδομένων από τις διωκτικές και προανακριτικές αρχές και τις εισαγγελίες. Με το νομοσχέδιο αυτό επιχειρείται επίσης η κατάργηση του Ν.2472/1997 που μέχρι σήμερα ήταν το γενικό εθνικό πλαίσιο για την προστασία δεδομένων.

Ας ξεκαθαρίσουμε πρώτα ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων έχει άμεση εφαρμογή για όλα τα κράτη μέλη, πράγμα που σημαίνει ότι δεν χρειάζεται να "ενσωματωθεί" στο εθνικό δίκαιο με ειδικές διατάξεις, όπως θα έπρεπε εάν ήταν Οδηγία κι όχι Κανονισμός. Όμως, ο Γενικός Κανονισμός έρχεται να μεταβάλει πολλά από τα ισχύοντα στην προστασία προσωπικών δεδομένων κι επομένως χρειάζονται τροποποιήσεις στο εθνικό δίκαιο. Για παράδειγμα, ο κατάλογος των "ευαίσθητων δεδομένων" που περιέχει ο Γενικός Κανονισμός έχει διαφοροποιήσεις από τον κατάλογο των "ευαίσθητων δεδομένων" που περιέχει ο Ν.2472/1997. Οπότε η νομοπαρασκευαστική επιτροπή έπρεπε αρχικά να επιλέξει: λεπτομερειακές τροποποιήσεις και διατήρηση του Ν.2472/1997 ωστε να "υποδεχθεί", χωρίς αντινομίες, τον ΓΚΠΔ ή πλήρη κατάργηση του Ν.2472/1997 και εξαρχής σύνταξη ενός συνολικού εθνικού νομοθετήματος για την προστασία προσωπικών δεδομένων; Η νομοπαρασκευαστική επιτροπή επέλεξε την δεύτερη λύση. Αμφιβάλλω, όμως, για το κατά πόσον είχε αυτή την αποστολή, σύμφωνα με την υπουργική απόφαση για την σύσταση και την συγκρότησή της. Διότι εάν θέλαμε ένα συνολικό, γενικό, εθνικό νομοθέτημα για την προστασία προσωπικών δεδομένων, θα έπρεπε να εξεταστούν και πολλά ακόμη ζητήματα, όπως για παράδειγμα το οργανωτικό σκέλος που αφορά την σύσταση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα: εξακολουθούμε να χρειαζόμαστε μια 7μελή Αρχή με τους 7 αναπληρωματικούς της ή μήπως πρέπει να ακολουθήσουμε το μοντέλο της Κύπρου και πολλών άλλων ευρωπαϊκών χωρών με μονοπρόσωπα όργανα (Επιτρόπους) που λειτουργούν με μεγαλύτερη ευελιξία και συγκεντρώνουν επίσης την αρμοδιότητα της πρόσβασης στα ανοιχτά δεδομένα;

Ήδη από το 2ο άρθρο, του πεδίου εφαρμογής, φαίνεται κάτι σαν αδιέξοδο. Ένας εθνικός νόμος για την προστασία προσωπικών δεδομένων είναι γενικής εφαρμογής: περιέχει διατάξεις για το σύνολο του δημόσιου και του ιδιωτικού τομέα. Ο ΓΚΔΠ όμως, ως ενωσιακό δίκαιο, αναγκαστικά ρυθμίζει τις επεξεργασίες που διέπονται μόνο από το ενωσιακό δίκαιο, αφήνοντας έξω τους τομείς της εθνικής δικαιοσύνης, των διωκτικών αρχών, αλλά και των υπηρεσιών εθνικής άμυνας και ασφάλειας. Ενώ αυτές οι εξαιρέσεις είναι αυτονόητες για ένα ενωσιακό νομοθέτημα όπως ο ΓΚΠΔ, δεν είναι καθόλου σαφές για ποιόν λόγο θα πρέπει αυτές οι "ασυνέχειες" να επαναλαμβάνονται στο εθνικό νομοθέτημα για την προστασία δεδομένων, όπως αποτυπώνεται στο άρθρο 2, το οποίο αντιλαμβάνεται ότι ισχύει άλλο καθεστώς προστασίας δεδομένων για τις διωκτικές αρχές, άλλο για την εθνική άμυνα κι άλλο για όλα τα υπόλοιπα. Δεν χρειάζονταν όλα αυτά, κατά την γνώμη μου. Αντιλαμβάνομαι την ανάγκη της κωδικοποίησης, αλλά εκ των πραγμάτων δεν μπορείς να κωδικοποιήσεις δύο νομοθετήματα που έχουν διαφορετική τυπική ισχύ, δηλαδή έναν Ευρωπαϊκό Κανονισμό με έναν εθνικό νόμο. Πάντοτε ο Κανονισμός θα κατισχύει, οπότε η άνιση τυπική ισχύς των διατάξεων εισάγει την ένταση στο ίδιο το πεδίο του εθνικού νόμου. Κι αυτό είναι πιο ορατό από κάθε άλλο σημείο του νομοσχεδίου, στο άρθρο 2, το οποίο από σκοπιάς εθνικού δικαίου φαίνεται ακατανόητο. Το άρθρο 2 είναι το πιο ισχυρό επιχείρημα για το οποίο θα αρκούσαν ορισμένες τροποποιήσεις του Ν.2472/1997 για λόγους ασφάλειας δικαίου,  κι όχι η μαξιμαλιστική λύση. Διότι όσο κι αν κωδικοποιηθεί το εθνικό δίκαιο, ο δυισμός του να έχουμε Γενικό Κανονισμό ΚΑΙ εθνική νομοθεσία, απλά δεν πρόκειται να αποφευχθεί. Θα έπρεπε να επιδιωχθεί η ελαχιστοποίηση των παρεμβολών της υπάρχουσας εθνικής νομοθεσίας κι όχι η εξ αρχής κατάστρωσή της.

Στο άρθρο 3, το νομοσχέδιο επαναλαμβάνει τον κατάλογο ορισμών του ΓΚΠΔ (που δεν χρειάζεται να γίνουν εθνικό δίκαιο, παρεκτός των σημείων που ο Ν.2472/1997 αποκλίνει), μαζί με τους ορισμούς της Οδηγίας 2016/680 που χρειάζεται να γίνει εθνικό δίκαιο, για λόγους εκπλήρωσης της υποχρέωσης ενσωμάτωσης. Ορθά η νομοπαρασκευαστική επιτροπή μεταφράζει το "sexual orientation" ως σεξουαλικό προσανατολισμό κι όχι ως "γενετήσιο προσανατολισμό", όρο στον οποίο επιμένει ο αρτηριοσκληρωτικός ενωσιακός μεταφραστής.

Το άρθρο 5 περιλαμβάνει ρυθμίσεις για τα κλειστά κυκλώματα τηλεόρασης, αναφέροντας εντός παρενθέσεως " άρθρο 6 του ΓΚΠΔ ", το οποίο όμως δεν αφορά ρυθμίσεις για τα κλειστά κυκλώματα τηλεόρασης, αλλά περιλαμβάνει τις νομιμοποιητικές βάσεις της επεξεργασίας (συγκατάθεση, σύμβαση, νομική υποχρέωση, ζωτικό συμφέρον, δημόσιο έργο, έννομο συμφέρον) και στην παρ. 3 αναφέρει ότι το εθνικό δίκαιο μπορεί για το "έννομο συμφέρον" να έχει ειδικές διατάξεις. Αυτές οι "ειδικές διατάξεις", κατά το νομοσχέδιο αφορούν τις κάμερες. Εδώ, όπως και στο άρθρο 28 (στο κεφάλαιο ενσωμάτωσης των διατάξεων για τις διωκτικές αρχές) η νομοπαρασκευαστική επιτροπή αυτοσχεδιάζει, παραθέτοντας διατάξεις για τις κάμερες, η λειτουργία των οποίων δεν αναφέρεται καν στον ΓΚΠΔ, αλλά ούτε και στην εναρμονιζόμενη Οδηγία 2016/680. Το άρθρο 5 δεν κωδικοποιεί ούτε τις προϋφιστάμενες διατάξεις του άρθρου 3 του Ν.2472/1997 για τις κάμερες, απλά θέτει εξ αρχής νέες διατάξεις. Oι χρόνοι διατήρησης του βιντεοληπτικού υλικού π.χ. διαφοροποιούνται από τις λεπτομερειακές ανά περίπτωση ρυθμίσεις της Οδηγίας 1/2011 της ΑΠΔΠΧ, ενώ δεν μνημονεύεται ο ρόλος που θα έχουν οι εισαγγελείς επί του βιντεοληπτικού υλικού, θέμα που ρυθμίζεται με κάποια σαφήνεια στον Ν.2472/1997.

To άρθρο 6 για την συγκατάθεση των παιδιών είναι μια απαραίτητη ρύθμιση, δεδομένου ότι και ο ΓΚΠΔ αναγνωρίζει ένα ηλικιακό όριο, από το οποίο μπορεί να αποκλίνει ο εθνικός νομοθέτης και αν ο εθνικός νομοθέτης δεν το ρυθμίσει θα δημιουργηθεί σημαντική ανασφάλεια δικαίου λόγω της συρροής των διατάξεων του ΑΚ για την ικανότητα προς δικαιοπραξία. Ωστόσο, η συντηρητική επιλογή της νομοπαρασκευαστικής για συγκατάθεση μετά το συμπληρωμένο 15ο έτος θα έρθει σε αντίθεση με την επιλογή του κυπριακού νομοσχεδίου για συγκατάθεση μετά το 13ο έτος. Καλό είναι να μην υπάρχουν τέτοιες αποκλίσεις ανάμεσα σε δύο χώρες που χρησιμοποιούν την ίδια γλώσσα, για ευνόητους λόγους.

Το νομοσχέδιο καταργεί τις άδειες της Αρχής για την επεξεργασία ευαίσθητων δεδομένων, επιβάλλει όμως την "διαβούλευση" με την Αρχή για την έναρξη ορισμένων κατηγοριών επεξεργασιών που συνεπάγονται ιδιαίτερους κινδύνους. Έτσι εγκαταλείπεται ένα τυπικό κριτήριο (άδεια για τα ευαίσθητα) μ' ένα πιο ουσιαστικό κριτήριο (ιδιαίτεροι κίνδυνοι κ.τλ.), το οποίο ομως μπορεί να προκαλέσει πολλά ερωτηματικά και, τελικά, ανασφάλεια δικαίου. Διότι η διαβούλευση με την Αρχή είναι η νέα "άδεια της Αρχής": αν η διαβούλευση δεν έχει θετικό αποτέλεσμα, η επεξεργασία δεν επιτρέπεται.

Για τον Υπεύθυνο Προστασίας Δεδομένων, το νομοσχέδιο περιέχει μια εξουσιοδοτική διάταξη αναγνωρίζοντας στην Αρχή την αρμοδιότητα να συντάξει έναν κατάλογο με κατηγορίες οργανισμών που οφείλουν να ορίσουν ΥΠΔ. Στο άρθρο 14 του νομοσχεδίου αναφέρεται ότι τα δικαστήρια και οι εισαγγελίες δεν οφείλουν να ορίσουν ΥΠΔ. Ωστόσο, ο ΓΚΠΔ αναφέρει ότι τα δικαστήρια δεν οφείλουν, στο πλαίσιο των δικαιοδοτικών τους αρμοδιοτήτων, άρα οφείλουν να ορίσουν οι Γραμματείες των δικαστηρίων και των εισαγγελιών, κάτι το οποίο πρέπει να αναφέρει ο εθνικός νόμος για να είναι σύμφωνος με τον ΓΚΠΔ. Σημαντική προσθήκη του νομοσχεδίου είναι ότι ο ορισμός του ΥΠΔ γίνεται για συγκεκριμένο χρόνο, κάτι το οποίο δεν ορίζεται από τον ΓΚΠΔ, αλλά επιβάλλεται από τις καλές πρακτικές που έχουν επικρατήσει για τους ΥΠΔ.

Το θέμα της πιστοποίησης διευκρινίζεται με το νομοσχέδιο, διαμορφώνοντας μια σαφή εικόνα: η Αρχή θα ορίσει τα κριτήρια της πιστοποίησης και το Εθνικό Σύστημα Διαπίστευσης Α.Ε. θα προχωρήσει στην διαπίστευση των φορέων που πραγματοποιούν την πιστοποίηση, σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012.Το ΕΣΥΔ μπορεί να ανακαλεί διαπιστεύσεις, ύστερα από γνώμη της Αρχής.

Πρωτότυπες διατάξεις περιέχει το νομοσχέδιο ως προς την προστασία προσωπικών δεδομένων των εργαζομένων. Ο ΓΚΠΔ απλώς επιτρέπει στο εθνικό δίκαιο την θέσπιση τέτοιων διατάξεων (κατά το άρθρο 88), ενώ ο Ν.2472/1997 ακροθιγώς μόνο περιείχε κάποιες απαλλακτικές ρήτρες για το θέμα αυτό (στο άρθρο 7Α). Μέχρι τώρα το θέμα ρύθμιζε η Οδηγία 115/2001 της Αρχής, ενώ αξιόλογες κατευθυντήριες οδηγίες έχουν δημοσιοποιηθεί από την Ομάδα Εργασίας του άρθρου 29 της Οδηγίας 95/46. Το άρθρο 17 του νομοσχεδίου περιλαμβάνει 22 παραγράφους που συνοψίζουν και διατυπώνουν ως νομικά δεσμευτικούς όρους της Οδηγίας 115/2001 (π.χ. για την συγκατάθεση).

Όλο το κεφάλαιο Γ του νομοσχεδίου στο οποίο ενσωματώνεται η Οδηγία 2016/680 είναι ουσιαστικά μια αναπαραγωγή των ίδιων των διατάξεων της Οδηγίας. Κατά την γνώμη μου, η πραγματική ενσωμάτωση της Οδηγίας αυτής προϋποθέτει την αναθεώρηση όλων των διατάξεων που διέπουν την επεξεργασία προσωπικών δεδομένων από τις διωκτικές αρχές κι όχι απλά την μεταγραφή των γενικόλογων διατάξεων της Οδηγίας στο εθνικό δίκαιο, γιατί έτσι παραμένουν οι αντινομίες και το έργο του εφαρμοστή των οικείων διατάξεων δεν διευκολύνεται, αλλά τελικά υπάρχει κίνδυνος ανάμεσα στην ασαφή ενωσιακή ρύθμιση και στην σαφέστατη αλλά αντίθετη εθνική ρύθμιση να "προτιμήθεί" η δευτερη. Μια σωστή ενσωμάτωση της Οδηγίας προϋποθέτει πλήρη χαρτογράφιση των διατάξεων που ισχύουν σε αστυνομίες, λιμενικά κτλ, την διάγνωση των νομοθετικών χασμάτων και μετά την άρση των αντινομιών με σαφείς διατάξεις. Μια σωστή διάταξη είναι αυτή στο άρθρο 30 που αναφέρεται στην συγκεκριμένη περίπτωση της δημοσιοποίησης στοιχείων, κατόπιν εισαγγελικής απόφασης, αλλά μετά την οδυνηρή περίπτωση της δημοσιοποίησης των στοιχείων των οροθετικών γυναικών του 2012, θα έπρεπε να υπάρχει και μια σύνδεση με την υποχρέωση διαγραφής καθώς και με το δικαίωμα στην λήθη για τις τρίτες ιστοσελίδες που αναπαράγουν την εισαγγελική δημοσιοποίηση. Για τους Υπεύθυνους Προστασίας Δεδομένων των διωκτικών αρχών, τα άρθρα 48-50 απλώς επαναλαμβάνουν διατάξεις της Οδηγίας 2016/680, ενώ θα έπρεπε να δώσουν σαφέστερες κατευθύνσεις για την διαδικασία διορισμού των ΥΠΔ σε αυτούς τους φορείς του δημόσιου τομέα, στους οποίους η ανάθεση καθηκόντων γίνεται με αυξημένη τυπικότητα κι όχι με την ευελιξία που μπορεί να γίνει στον ιδιωτικό τομέα. Υπάρχουν πολλά κενά σε αυτές τις διατάξεις που κινδυνεύουν να καταστήσουν ανεφάρμοστη την υποχρέωση ορισμού ΥΠΔ.

Δεν υπάρχουν σχόλια:

"Σύστημα αρχειοθέτησης" στο δικηγορικό γραφείο

Με τον ΓΚΠΔ θα ξεκινήσει μια οριζόντια, υπαρξιακής φύσης νομίζω, συζήτηση σε όλες τις χώρες της Ε.Ε. για τον ρόλο του δικηγόρου στην διαχεί...