Στις 24 Οκτωβρίου 1995 το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο θέσπισαν την Οδηγία 95/46 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.
http://www.dpa.gr/Documents/Gre/Nomoi/95-46.rtf
Πρόκειται για ένα από τα πληρέστερα παγκοσμίως κείμενα για την προστασία προσωπικών δεδομένων, το οποίο δεσμεύει τα κράτη μέλη της Ε.Ε. να εισαγάγουν και να εφαρμόσουν ένα συγκεκριμένο νομικό σύστημα. Επίσης, σύμφωνα με το άρθρο 286 της Συνθήκης για την ΕΚ, η Κοινότητα αυτό-δεσμεύεται να τηρεί και η ίδια την Οδηγία.
http://www.dpa.gr/Documents/Gre/Nomoi/95-46.rtf
Πρόκειται για ένα από τα πληρέστερα παγκοσμίως κείμενα για την προστασία προσωπικών δεδομένων, το οποίο δεσμεύει τα κράτη μέλη της Ε.Ε. να εισαγάγουν και να εφαρμόσουν ένα συγκεκριμένο νομικό σύστημα. Επίσης, σύμφωνα με το άρθρο 286 της Συνθήκης για την ΕΚ, η Κοινότητα αυτό-δεσμεύεται να τηρεί και η ίδια την Οδηγία.
Σύμφωνα με την Οδηγία αυτή, «προσωπικά δεδομένα» είναι κάθε πληροφορία που αναφέρεται σε έναν άνθρωπο, η ταυτότητα του οποίου μπορεί να προσδιοριστεί. Καμία χρήση («επεξεργασία») αυτών των δεδομένων δεν επιτρέπεται, αν ο σκοπός της δεν είναι νόμιμος, θεμιτός και καθορισμένος. Για να είναι νόμιμη η χρήση πρέπει τα δεδομένα να είναι κατάλληλα, ακριβή, συναφή προς τον σκοπό συλλογής και χρήσης και όχι περισσότερα από όσα χρειάζονται ενόψει αυτού του σκοπού. Η χρήση των δεδομένων για άλλο σκοπό από αυτόν που αρχικά συλλέχθησαν, απαγορεύεται! Επίσης δεν πρέπει να διατηρούνται για χρονική διάρκεια πέραν από την αναγκαία για την εξυπηρέτηση του σκοπού για τον οποίο έγινε η συλλογή (άρθρο 5).
Περαιτέρω, σύμφωνα με την Οδηγία, νόμιμη είναι η επεξεργασία προσωπικών δεδομένων, όταν:
α) το πρόσωπο το οποίο αφορούν τα δεδομένα έχει δώσει την αδιαμφισβήτητη και ρητή συγκατάθεσή του, ύστερα από επαρκή ενημέρωση για τη χρήση, ή όταν
β) ένας νόμος επιτάσσει τη συλλογή και επεξεργασία, ή όταν
γ) η συλλογή και επεξεργασία είναι απαραίτητες για τη εκτέλεση μια σύμβασης, ή όταν
δ) η συλλογή και επεξεργασία είναι απαραίτητες για την διαφύλαξη ενός ζωτικού συμφέροντος του προσώπου που αφορούν τα δεδομένα, όταν δεν είναι σε θέση να δώσει συγκατάθεση, ή όταν
ε) η συλλογή και η επεξεργασία είναι απαραίτητες για την ικανοποίηση ενός υπέρτερου έννομου συμφέροντος που επιδιώκει κάποιος άλλος και δεν προσβάλλει τα συνταγματικά δικαιώματα του προσώπου που αφορούν τα δεδομένα.
Αυτά ισχύουν γενικά για τα προσωπικά δεδομένα. Η Οδηγία εισάγει όμως και μερικές ειδικές κατηγορίες δεδομένων («ευαίσθητα δεδομένα»), τα οποία λόγω της σοβαρότητάς τους υπάγονται σε ακόμα πιο αυστηρές νομικές προϋποθέσεις επεξεργασίας. Πρόκειται για τα δεδομένα που αποκαλύπτουν την εθνική/φυλετική καταγωγή, τις θρησκευτικές, πολιτικές, φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις, την υγεία και την σεξουαλική ζωή. (άρθρο 8).
Η Οδηγία εισάγει τα 4 βασικά δικαιώματα του ατόμου στα προσωπικά του δεδομένα:
Α) προηγούμενη ενημέρωση σχετικά με το ποιος πρόκειται να τα επεξεργαστεί και για ποιο σκοπό
Β) πρόσβαση στα προσωπικά του δεδομένα, ανεξάρτητα από το ποιος και γιατί τα κατέχει,
Γ) αντίρρηση στην επεξεργασία των δεδομένων, που μπορεί να φτάνει ως την αξίωση διόρθωσης ή και διαγραφής,
Δ) μη συμμόρφωση σε δυσμενείς αποφάσεις που εκδίδονται με πλήρως αυτοματοποιημένη επεξεργασία δεδομένων.
Β) πρόσβαση στα προσωπικά του δεδομένα, ανεξάρτητα από το ποιος και γιατί τα κατέχει,
Γ) αντίρρηση στην επεξεργασία των δεδομένων, που μπορεί να φτάνει ως την αξίωση διόρθωσης ή και διαγραφής,
Δ) μη συμμόρφωση σε δυσμενείς αποφάσεις που εκδίδονται με πλήρως αυτοματοποιημένη επεξεργασία δεδομένων.
Η Οδηγία ρητά αναφέρει ότι η τήρηση των κανόνων προστασίας δεδομένων πρέπει να ανατίθεται από κάθε κράτος σε μια ανεξάρτητη αρχή και ότι εφόσον τα προσωπικά δεδομένα διαβιβάζονται σε χώρες εκτός ΕΕ, υπάρχουν αυστηρές προϋποθέσεις για το επιτρεπτό αυτής της διαδικασίας, με αποφασιστικό όργανο την Κομισιόν, η οποία διαπιστώνει κατά πόσον το επίπεδο προστασίας μιας τρίτης χώρας είναι ικανοποιητικό.
Αυτές οι γενικές αρχές συνοψίζουν το ευρωπαϊκό κεκτημένο της προστασίας προσωπικών δεδομένων. Το οποίο συνοδεύεται από πολλές εξαιρέσεις, γεγονός που θεμελιώνει και την κριτική κατά της Οδηγίας, η οποία έχει χαρακτηρισθεί «διάτρητη» σε μερικά σημεία. Πράγματι, η Οδηγία επιτρέπει αποκλίσεις από τις διατάξεις της για σκοπούς όπως η δημόσια και η εθνική ασφάλεια και άμυνα , η νομισματική και οικονομική πολιτική και η διερεύνηση και η δίωξη ποινικών αδικημάτων. Και αυτό είναι εύλογο, έως έναν βαθμό, ώστε να μην αποτελέσει η προστασία προσωπικών δεδομένων την ασπίδα των εγκληματιών και γενικά των παραβατών του νόμου, αλλά ούτε και να αφαιρέσει από τα κράτη μέλη την διακριτική ευχέρεια σε ουσιώδεις τομείς που ανάγονται στην κρατική εξουσία (π.χ. άμυνα).
Όλα τα κράτη της ΕΕ έχουν ενσωματώσει τις διατάξεις της Οδηγίας με εσωτερικούς νόμους και έχουν ιδρύσει αρχές προστασίας δεδομένων. Στην Ελλάδα ο νόμος αυτός είναι ο υπ’ αρ. 2472/1997. Ήμασταν το τελευταίο (από τα τότε μέλη) κράτος που εισήγαγε τότε νόμο προστασίας δεδομένων, αλλά ο Ν.2472/1997 χαιρετίστηκε ως η πιο πιστή μεταφορά της Οδηγίας στο εσωτερικό δίκαιο. Επίσης ήμασταν από τις πρώτες χώρες που εισήγαγε την προστασία δεδομένων στο Σύνταγμα και κατοχύρωσε με τον ίδιο τρόπο και την αντίστοιχη ανεξάρτητη αρχή (άρθρο 9Α).
Η δεκαετία της Οδηγίας έρχεται σε μια περίοδο έντονων διεργασιών και ρευστότητας στο χώρο της προστασίας δεδομένων, όχι όμως τόσο στον Πρώτο πυλώνα (στην εσωτερική αγορά της ΕΕ) στην οποία απευθύνεται η Οδηγία, αλλά στον Δεύτερο (εξωτερικές σχέσεις) και κυρίως στον Τρίτο πυλώνα (δικαστική συνεργασία σε αστικές και ποινικές υποθέσεις, ελευθερία, δικαιοσύνη και ασφάλεια) της ΕΕ.
Όσοι ασχολούνται με την προστασία προσωπικών δεδομένων, εργάζονται προς την κατεύθυνση της επέκτασης του κεκτημένου της Οδηγίας και προς τους άλλους δύο Πυλώνες της Ένωσης. Σε κάθε περίπτωση, η Ευρώπη βρίσκεται στην πρωτοπορία της προστασίας των ατομικών δικαιωμάτων, νομοθετικά. Αντίστοιχα, π.χ. στις Η.Π.Α. δεν υπάρχει ομοσπονδιακός νόμος για την προστασία δεδομένων, παρά μόνο ο Privacy Act, που επιτρέπει όμως στις αμερικάνικες αρχές άλλα δεδομένα να τα εντάσσει στην έννοια της privacy κι άλλα όχι και να τα αφήνει απροστάτευτα (βλ. υπόθεση PNR που είχα δημοσιεύσει πριν λίγες μέρες).
Την έμπρακτη εφαρμογή των κανόνων προστασίας προσωπικών δεδομένων εγγυώνται, εκτός από την ανεξάρτητη αρχή (που μπορεί να επιβάλλει διοικητικές κυρώσεις στους παραβάτες) και ο εισαγγελέας, λόγω της ποινικοποίησης της παράνομης επεξεργασίας, αλλά και η δυνατότητα των προσώπων να διεκδικούν αποζημιώσεις ενώπιον των δικαστηρίων. Σύμφωνα μάλιστα με τον ελληνικό νόμο, οι αποζημιώσεις αυτές, για κάθε περίπτωση παράνομης επεξεργασίας, δεν μπορούν να είναι κατώτερες από 5.869 ευρώ, εκτός αν ο ενάγων ζητήσει λιγότερα ή αν ο εναγόμενος αποδείξει αμέλεια.