Με τον ΓΚΠΔ θα ξεκινήσει μια οριζόντια, υπαρξιακής φύσης νομίζω, συζήτηση σε όλες τις χώρες της Ε.Ε. για τον ρόλο του δικηγόρου στην διαχείριση των προσωπικών δεδομένων. Η σύνδεσή μας με το σύστημα της απονομής δικαιοσύνης (ως συλλειτουργοί), ο ρόλος μας για προστασία των ατομικών δικαιωμάτων των πολιτών που μας εμπιστεύονται (αυξημένες υποχρεώσεις απορρήτου), αλλά και από την άλλη πλευρά ένας κακώς νοούμενος συντεχνιασμός στην ερμηνεία του δικαίου όταν μας αφορά είναι παράγοντες που θα κονταροχτυπηθούν στην εφαρμογή του ΓΚΠΔ στο δικηγορικό γραφείο.
Ωστόσο, η ερμηνευτική αυτή ανάγκη φαίνεται να προέρχεται από την σιωπηρή παραδοχή ότι η επεξεργασία δεδομένων πελάτη δικηγόρου εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ. Ο ΓΚΠΔ ρυθμίζει έστω και αποφατικά, έστω και περιθωριακά στο μη δεσμευτικό Προοίμιό του, την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικηγόρο.
Το γεγονός ότι σε άλλες έννομες τάξεις, όπου ο ρόλος του δικηγόρου είναι πολύ πιο προωθημένος από πολλές απόψεις, όχι μόνο θεσμικά, έχουν επιλυθεί τα ερωτήματα με κυριαρχικό τρόπο, ουδόλως επιβάλλει την οριζόντια πρόσληψη εθνικών ερμηνειών του ΓΚΠΔ. Ακριβώς η ενιαία και πανευρωπαϊκή φύση του Κανονισμού επιβάλλει την ερμηνεία του με λήψη υπόψη όλων των ενιαίων χαρακτηριστικών που υπάρχουν στα κράτη μέλη κι όχι μόνο προκρίνοντας τις παγιωμένες θέσεις συγκεκριμένων κρατών.
Υπάρχουν ιδιαίτερα προβληματικές διατάξεις στον ΓΚΠΔ. Η διάταξη του άρθρου 30 ξεκινά από την αφετηρία ότι το "αρχείο δραστηριοτήτων επεξεργασίας" (κάκιστη μετάφραση) δεν αποτελεί υποχρέωση για οργανισμούς που αριθμούν λιγότερους από 250 εργαζομένους. Αυτός ο αριθμός δεν είναι αυθαίρετος, αλλά συμβαδίζει με την Σύσταση της Ευρωπαϊκής Επιτροπής του 2003 για την οριοθέτηση των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων στην Ε.Ε. Ανάμεσα στα κριτήρια που έθετε τότε η Κομισιόν ειναι και ο αριθμός των εργαζομένων, θεωρώντας ότι μια επιχείρηση κάτω των 250 εργαζομένων εμπίπτει στην έννοια των πολυ μικρών, μικρών και μεσαίων. Αλλά αυτό αφορά τις επιχειρήσεις! Αλοίμονο αν κρίνουμε ένα δικηγορικό γραφείο ως πολύ μικρό αν έχει 200 εργαζόμενους!
Οι εξαιρέσεις των εξαιρέσεων του άρθρου 30, που επαναφέρουν την υποχρέωση τήρησης του αρχείου δραστηριοτήτων επεξεργασίας είναι εξόχως προβληματικές. Ιδίως η εξαίρεση που αναφέρει ότι έχει την υποχρέωση τήρησης ακομη και κάτω των 250 εργαζομένων ένας οργανισμός όταν δεν περιορίζεται σε περιστασιακή επεξεργασία. Είναι ολοκάθαρο ότι οι περισσότεροι "οργανισμοί", δηλαδή φορείς του ιδιωτικού και δημόσιου τομέα θα αριθμούν σίγουρα λιγότερους από 250 εργαζόμενους, αλλά είναι πολύ πιο πιθανό να διενεργούν μη περιστασιακή επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τόσο πολύ που η "εξαίρεση" γίνεται ο κανόνας: καλύτερα να μας έλεγε εξ αρχής ότι εξαιρούνται οι οργανισμοί που δεν διενεργούν περιστασιακή επεξεργασία και να άφηνε ο ευρωπαίος νομοθέτης το αριθμητικό κριτήριο, η αξία του οποίου εκμηδενίζεται τελείως.
Έπειτα έχουμε την εξαίρεση των ειδικών κατηγοριών δεδομένων και την εξαίρεση της τήρησης ποινικών δεδομένων. Αυτή η εξαίρεση προβλέπεται διαζευκτικά προς την προηγούμενη εξαίρεση: δηλαδη και εντελώς περιστασιακά να επεξεργάζεται ένας οργανισμός κάτω των 250 ατόμων ευαίσθητα δεδομένα, οφείλει να τηρεί το αρχείο δραστηριοτήτων επεξεργασίας. Κι εδώ ολοκάθαρα η εξαίρεση γίνεται κανόνας.
Πριν όμως καταληξουμε στο ότι κάθε δικηγορικό γραφείο οφείλει να τηρεί "αρχείο δραστηριοτήτων επεξεργασιών", θεωρώ ότι πρέπει να εξετάσουμε κάτι ακόμη πιο θεμελιώδες. Δηλαδή το ποιες ακριβώς επεξεργασίες δεδομένων προσωπικού χαρακτήρα που διενεργούνται σε ένα δικηγορικό γραφείο εμπίπτουν ή δεν εμπίπτουν στον ΓΚΠΔ. Διότι δεν εμπίπτει κάθε επεξεργασία δεδομένων στον ΓΚΠΔ. Υπάρχει ένα συγκεκριμένο πεδίο εφαρμογής.
Ως προς το πεδίο εφαρμογής λοιπόν, έχω δύο παρατηρήσεις, βάσει του άρθρου 2 ΓΚΠΔ.
Η πρώτη παρατήρηση αφορά το ουσιαστικό πεδίο εφαρμογής όπως το ξέραμε και από την Οδηγία 95/46, αλλά και από τον Ν.2472/1997. Ο ΓΚΠΔ εφαρμόζεται σε δύο κατηγορίες επεξεργασιών δεδομένων:
(α) στην εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και
(β) στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
Άρα, ο ΓΚΠΔ δεν εφαρμόζεται στην (ολικά) μη αυτοματοποιημένη επεξεργασία δεδομένων όταν αυτά ΔΕΝ περιλαμβάνονται ή ΔΕΝ ΠΡΟΚΕΙΤΑΙ να περιληφθούν σε σύστημα αρχειοθέτησης. Αν είναι μερικά αυτοματοποιημένη επεξεργασία, εμπίπτει στο (α). Επομένως, όταν έχουμε μια δια χειρός επεξεργασία δεδομένων, όπως για παράδειγμα όταν γράφουμε με το χέρι το όνομα του πελάτη μας σε έναν φάκελο δικογραφίας, αυτή θα εμπίπτει στον ΓΚΠΔ μόνο εάν τα δεδομένα περιλαμβάνονται ή πρόκειται να περιληφθούν σε ένα "σύστημα αρχειοθέτησης".
Άρα πρέπει να δούμε τι είναι το "σύστημα αρχειοθέτησης" και κυρίως το κατά πόσον το σύνολο των φακέλων δικογραφίας που τηρούνται σε ένα δικηγορικό γραφείο εμπίπτει σε αυτή την έννοια ή όχι. Διοτι εάν το σύνολο των φακέλων δικογραφίας δεν εμπίπτει στην έννοια του "συστήματος αρχειοθέτησης", η διαχείρισή του δεν διέπεται απο τον ΓΚΠΔ.
Ο νομοθετικός ορισμός του όρου "σύστημα αρχειοθέτησης" βρίσκεται στο άρθρο 4 αρ. 6 ΓΚΠΔ:
"κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση"
Επομένως, το σύστημα αρχειοθέτησης δεν είναι κάθε σύνολο δεδομένων, αλλά πρέπει αυτά τα δεδομένα να είναι δεδομένα προσωπικού χαρακτήρα. Εάν πρόκειται για σύνολο άλλων δεδομένων, όπως στοιχεία για νομικά πρόσωπα, έργα πνευματικής και βιομηχανικής ιδιοκτησίας, επιχειρηματικά απόρρητα κ.τλ. τότε δεν θα πρόκεται για "σύνολο δεδομένων προσωπικού χαρακτήρα". Θα πρόκειται για σύνολο άλλων δεδομενων. Έπειτα, ο κανονισμός προϋποθέτει την "διάρθρωση" αυτού του συνόλου με γνώμονα συγκεκριμένα κριτήρια. Εδώ μας βοηθάει το Προοίμιο του ΓΚΠΔ, το οποίο στον αριθμό 15 αναφέρει τα εξής:
"Η προστασία των φυσικών προσώπων θα πρέπει να εφαρμόζεται τόσο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα, όσο κ α ι στη χειροκίνητη επεξεργασία, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται ή προορίζονται να περιληφθούν σε σύστημα αρχειοθέτησης. Τα α ρ χ ε ί α ή τα σ ύ ν ο λ α αρχείων, καθώς και τα εξώφυλλά τους, τα οποία δεν είναι διαρθρωμένα σύμφωνα με σ υ γ κ ε κ ρ ι μ έ ν α κριτήρια δεν θα πρέπει να υπάγονται στο πεδίο εφαρμογής του παρόντος κανονισμού."
Άρα, ο ΓΚΠΔ αναγνωρίζει ότι υπάρχουν και "αρχεία" ή "σύνολα αρχείων" που έχουν μεν εξώφυλλα που όμως δεν είναι διαρθρωμένα με "συγκεκριμένα κριτήρια", οπότε δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ. Αποδέχεται δηλαδή ο ΓΚΠΔ ότι σε αυτά τα αρχεία θα υπάρχουν μεν και δεδομένα προσωπικού χαρακτήρα, αλλά λόγω έλλειψης του στοιχείου της διάρθρωσης με γνώμονα συγκεκριμένα κριτήρια, δεν είναι "σύστημα αρχειοθέτησης" κι άρα δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ.
Το σύνολο των φακέλων δικογραφίας σε ένα δικηγορικό γραφείο θα χαρακτηρίζεται από τα εξώφυλλά των φακέλων. Στα εξώφυλλα των φακέλων αναγράφονται τα στοιχεία των διαδίκων. Οι διάδικοι δεν είναι πάντα φυσικά πρόσωπα, μπορεί να είναι και νομικά πρόσωπα. Στο μέτρο λοιπόν που τα εξώφυλλα των φακέλων δικογραφίας περιλαμβάνουν επωνυμίες νομικών προσώπων, δεν υπάρχει το στοιχείο της διάρθρωσης συνόλου δεδομένων προσωπικού χαρακτήρα, διότι τα δεδομένα προσωπικού χαρακτηρα, σύμφωνα με τον σχετικό νομοθετικό ορισμό αφορούν μόνον φυσικά πρόσωπα. Και μάλιστα μόνο άτομα που βρίσκονται εν ζωή (αρ. 27 του Προοιμίου: "Ο παρών κανονισμός δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα θανόντων. "). Άρα οι φάκελοι δικογραφίας που αφορούν διαδίκους που είναι αποκλειστικά νομικά πρόσωπα ή ήδη θανόντες, εκφεύγουν του πεδίου εφαρμογής του ΓΚΠΔ. Οπότε πρέπει να εξετάσουμε αν το υπόλοιπο "σύνολο" των φακέλων δικογραφίας αποτελεί "σύστημα αρχειοθέτησης": αυτό που περιλαμβάνει στα εξώφυλλά του ονοματεπώνυμα φυσικών προσώπων εν ζωή. Επομένως, το στοιχείο της "διάρθρωσης" που καθιστά "προσβάσιμα" τα προσωπικά δεδομένα δεν μπορούμε εξ ορισμού να κρίνουμε ότι υφίσταται στο σύνολο των φακέλων δικογραφίας ενός δικηγορικού γραφείου, χωρίς να υποπέσουμε σε λήψη του ζητούμένου: είναι ζητούμενο εάν το αρχείο είναι διαρθρωμένο έτσι ώστε να καθιστά προσβάσιμα τα προσωπικά δεδομένα. Δεν είναι διόλου αυτονόητο ή εκ των προτέρων γνωστό.
Άρα η διάρθρωση θα αφορά μόνο το μέρος των φακέλων δικογραφίας που παρουσιάζει τα ανωτέρω χαρακτηριστικά και είναι ερώτημα εάν μπορεί να νοηθεί "σύστημα αρχειοθέτησης", κατά τον νομοθετικό ορισμό, ένα μέρος μόνον του αρχείου των φακέλων δικογραφίας. Βέβαια, ο ορισμός αναφέρει ότι το σύνολο αυτό μπορεί να είναι "συγκεντρωμένο ή αποκεντρωμένο". Μπορεί να είναι "κατανεμημένο σε λειτουργική ή γεωγραφική βάση". Δεν επιβάλλει να είναι όλη η διάρθρωση στον ίδιο φυσικό χώρο, στο ίδιο ντουλάπι. Και πάλι όμως, ακόμη κι αν δεχτούμε ότι ορισμένοι φάκελοι δικογραφίας είναι διαρθρωμένοι, οπότε υπάρχει ένα σύστημα αρχειοθέτησης, αυτό δεν θα καταλαμβάνει το σύνολο του αρχείου των φακέλων δικογραφίας, γιατί κάποιοι φάκελοι απλά θα αφορούν νομικά πρόσωπα ή θανόντες. Άρα δεν θα εμπίπτει το σύνολο του αρχείου στην έννοια του "συστήματος αρχειοθέτησης", γεγονός που από μόνο του σχετικοποιεί έντονα την εφαρμογή του ΓΚΠΔ στο σύνολο του αρχείου του δικηγορικού γραφείου.
Σημειωτέον ότι και η ΑΠΔΠΧ στην απόφαση 147/2001 έχει κρίνει ότι οι φάκελοι δικογραφίας δεν ήταν "αρχείο" κατά την έννοια του αντίστοιχου όρου του Ν.2472/1997.
Η δεύτερη παρατήρηση αφορά το πεδίο εφαρμογής του ενωσιακού δικαίου. Στο άρθρο 2 παρ. 2 (α) ο ΓΚΠΔ αναφερει ότι δεν εφαρμόζεται:
"στο πλαίσιο δραστηριότητας η οποία δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης".
Συμπληρώνει ο αριθμός 16 του Προοιμίου:
"Ο παρών κανονισμός δεν εφαρμόζεται σε ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών ή την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του ενωσιακού δικαίου, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια. "
Η προστασία θεμελιωδών δικαιωμάτων και ελευθεριών και η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε δραστηριότητες που "δεν υπάγονται στο πεδίο εφαρμογής του ενωσιακού δικαίου" είναι εκτός του πεδίου εφαρμογής ΓΚΠΔ. Η μνεία των δραστηριοτήτων εθνικής ασφάλειας είναι ενδεικτική ("ιδίως") και σημαίνει ότι ο ΓΚΠΔ δεν εφαρμόζεται στον στρατό! Εκεί εφαρμοζεται η εθνική νομοθεσία για την προστασια δεδομένων δηλ. ο Ν.2472/1997 (που γι' αυτό δεν πρέπει να καταργηθεί ολοσχερώς) και η Σύμβαση 108 που δεν έχει τέτοιες εξαιρέσεις πεδίου εφαρμογής.
Οπότε, αφού η μνεία της εθνικής ασφάλειας είναι ενδεικτική, υπάρχουν κι άλλες σφαίρες δραστηριοτήτων "προστασίας θεμελιωδών δικαιωμάτων" που δεν εφαρμόζεται το δίκαιο της Ένωσης, άρα ούτε και ο ΓΚΠΔ. Μία από αυτές είναι το εν γένει σύστημα απονομής της Δικαιοσύνης, το οποίο ρυθμίζεται αποκλειστικά με την εθνική νομοθεσία, εκτός βέβαια από τις περιπτώσεις που οι υποθέσεις παρουσιάζουν ενωσιακό ενδιαφέρον, όπως στην περίπτωση που εφαρμόζεται ο Κανονισμός (ΕΚ) αριθ. 1393/2007 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 13ης Νοεμβρίου 2007 , περί επιδόσεως και κοινοποιήσεως στα κράτη μέλη δικαστικών και εξωδίκων πράξεων σε αστικές ή εμπορικές υποθέσεις.
Το πώς τηρεί ο δικηγόρος το αρχείο των υποθέσεών του ρυθμίζεται εν μέρει (και σίγουρα ακροθιγώς) από τον Κώδικα περι Δικηγόρων. Δεν έχουμε ευρωπαϊκό Κώδικα περί Δικηγόρων. Έχουμε ενωσιακές ρυθμίσεις για την αναγνώριση των επαγγελμάτων, για τις επιδόσεις, για την προστασία δεδομένων από τις αρχές δίωξης του εγκληματος (Οδηγία 2016/680), όχι όμως ειδικές διατάξεις που ρυθμίζουν τον τρόπο της ενάσκησης του δικηγορικού λειτουργήματος. Ο Κώδικας Δεοντολογίας Δικηγόρων είναι αποκλειστικά ένα κείμενο αυτορρύθμισης του δικηγορικού σώματος. Δεν αποτελεί εναρμόνιση προς κοινοτικές οδηγίες.
Το μοναδικό σημείο στο οποίο ο ΓΚΠΔ αναφέρεται σε δικηγόρους είναι στον αρ. 91 του Προοιμίου του, για να εξαιρέσει τις επεξεργασίες δεδομένων πελατών δικηγόρου από την έννοια της "μεγάλης κλίμακας" που επιβάλλει την διενέργεια εκτίμησης αντικτύπου κατά το άρθρο 35 του ΓΚΠΔ:
"Η επεξεργασία δεδομένων προσωπικού χαρακτήρα δεν θα πρέπει να θεωρείται ότι είναι μεγάλης κλίμακας, εάν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα ασθενών ή πελατών ιδιώτη ιατρού, άλλου επαγγελματία του τομέα της υγείας ή δικηγόρου. Στις περιπτώσεις αυτλές η εκτίμηση αντικτύπου της προστασίας δεδομένων δεν θα πρέπει να είναι υποχρεωτική."
Ωστόσο, η ερμηνευτική αυτή ανάγκη φαίνεται να προέρχεται από την σιωπηρή παραδοχή ότι η επεξεργασία δεδομένων πελάτη δικηγόρου εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ. Ο ΓΚΠΔ ρυθμίζει έστω και αποφατικά, έστω και περιθωριακά στο μη δεσμευτικό Προοίμιό του, την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικηγόρο.
Δεν αρνείται κανείς ότι ο δικηγόρος θα είναι υπεύθυνος επεξεργασίας των δεδομένων που τηρεί για πελάτες, συνεργάτες, εργαζόμενους και προμηθευτές του. Το γεγονός ότι η Αρχή επέβαλε πρόστιμο 50.000 ευρώ σε δικηγορική εταιρία για την λειτουργία του συστήματος καμερών (41/2018) σαφέστατα αφορά αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, χωρίς να τίθενται ερωτηματικά περί υπάρξεως ή μη συστήματος αρχειοθέτησης. Το γεγονός ότι το μέιλ που έστειλε δικηγόρος με οικονομικά δεδομένα του πελάτη του για την ανώμαλη εξέλιξη της σχέσης εντολής είναι εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων (181/2012) χωρίς να σημαίνει ότι είναι παράνομη, είναι επίσης ορθό. Το ίδιο ισχύει και για την ανάρτηση δικαστικής απόφασης σε ιστοσελίδα δικηγόρου (43/2009). Σε όλες αυτές τις περιπτώσεις, ναι ο δικηγόρος είναι υπεύθυνος επεξεργασίας.
Είναι άλλο αυτό όμως και είναι άλλο το περιεχόμενο των φακέλων δικογραφίας και τα δεδομένα που χρησιμοποιεί σε μια υπόθεση που χειρίζεται δικηγορικά, είτε δικαστική είτε εξωδικαστική. Στο δεύτερο αυτό σκέλος, ο δικηγόρος ενεργεί ως εντολοδόχος του εντολέα του και όχι με την ατομική του ιδιότητα ως πολίτης. Γι' αυτό θεωρώ τελείως εσφαλμένη την γνώμη 1/2010 της ΟΕ29 όταν αναφέρει ότι ο δικηγόρος είναι υπεύθυνος επεξεργασίας, επειδή η εντολή που του έδωσε ο πελάτης του δεν είναι να επεξεργαστεί προσωπικά δεδομένα, αλλά να τον εκπροσωπήσει! Αυτά τα αναφέρει η ΟΕ29 σε συνδυασμό με το γεγονός ότι το επαγγελμα είναι νομοθετικά ρυθμισμένο, για να αναγνωρίσει ότι ο δικηγόρος δεν είναι υπάλληλος ούτε "εκτελών την επεξεργασία", αλλά ένας λειτουργός με σημαντικό βαθμό αυτονομίας ως προς την διαχείριση των προσωπικών δεδομένων που του διαθέτει ο πελάτης του σε μια υπόθεση. Ωστόσο, αυτός ο πελάτης είναι που έχει καθορίσει τον σκοπό και τον τρόπο χρήσης των δεδομένων δίνοντάς τα σε δικηγόρο για να χρησιμοποιηθούν στην Δικαιοσύνη ή και εξωδικαστικά, άρα ο πελάτης είναι ο υπεύθυνος επεξεργασίας! Ο δικηγόρος συμβουλεύει τον πελάτη, δεν αποφασίζει ο ίδιος για την τύχη των δεδομένων που του παραδίδονται. Εκτός αν υπερβεί τα όρια της εντολής και ενεργήσει αυτόκλητα, οπότε θα καταστεί όντως υπεύθυνος επεξεργασίας καθορίζοντας ατομικά τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων. Νομίζω ότι αυτά είναι σαφή από την φύση του επαγγέλματος, όπως αυτό ρυθμίζεται νομοθετικά μέσα από τον Κώδικα περί δικηγόρων που αποτελεί εθνικό νομοθέτημα κι όχι ενσωμάτωση κάποιας ευρωπαϊκής οδηγίας (άλλο αν - πολιτικά- ήταν μνημονιακό προαπαιτούμενο όπως και ο νέος ΚΠολΔ).
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου