Με αφορμή τη ψήφιση τη Δευτέρα 26 Αυγούστου από τη Βουλή του νομοσχεδίου για τα προσωπικά δεδομένα, μετά την έγκρισή του από την Επιτροπή της Βουλής την Παρασκευή, το NetFAX έκανε μια ενδιαφέρουσα συζήτηση με το Στέφανο Βιτωράτο, συνιδρυτή και αντιπρόεδρο της Homo Digitalis σχετικά με τα κύρια σημεία του νομοσχεδίου και τα σημεία που χρήζουν βελτίωσης.

Τη Δευτέρα ψηφίστηκε στη Βουλή το νομοσχέδιο για τα προσωπικά δεδομένα μετά από μια πολύ σύντομη περίοδο διαβούλευσης, που διήρκεσε μόλις τέσσερις εργάσιμες ημέρες και σε μια «νεκρή» περίοδο. Γιατί υπάρχει τόσο βιασύνη για την ψήφισή του;
Το νομοσχέδιο ψηφίζεται με τη διαδικασία του κατεπείγοντος λόγω του προστίμου που έχει επιβληθεί στο ελληνικό κράτος. Αυτό εξηγεί την πίεση που υπήρχε για να βγει και να ψηφιστεί γρήγορα. Η λογική ωστόσο να ψηφιστεί άμεσα το νομοσχέδιο για να σταματήσει να τρέχει το πρόστιμο – αυτή τη στιγμή πληρώνει το Ελληνικό Δημόσιο 5.500 ευρώ την ημέρα αναδρομικά (από το Μάιο του 2018 όταν εφαρμόστηκε το GDPR) και έχει χρεωθεί, πρακτικά, πάνω από 1,5 εκατ. ευρώ μέχρι στιγμής – είναι λάθος.

Και αυτό διότι πρόκειται για ένα κρίσιμο νομοσχέδιο, το οποίο θα το βρίσκουμε μπροστά μας για πολλά χρόνια, το οποίο βγάζει μια προχειρότητα, όσον αφορά τον τρόπο που έγινε η διαβούλευσή του (μέσα στη «νεκρή» εβδομάδα του Δεκαπενταύγουστου), με αρκετά προβληματικά σημεία.

Βέβαια το ευρωπαϊκό δικαστήριο δεν έχει αποφανθεί ακόμα για το πρόστιμο – η Ευρωπαϊκή Επιτροπή μάς έχει παραπέμψει στο ευρωπαϊκό δικαστήριο με την προαναφερόμενη πρόταση προστίμου – αλλά είναι σχεδόν βέβαιo ότι το πρόστιμο δεν θα το γλυτώσουμε, καθώς δεν υπάρχει κάποιος λόγος που να δικαιολογεί την καθυστέρηση (άλλωστε είχαμε πολύ χρόνο στη διάθεσή σας για να προσαρμόσουμε το GDPR στην ελληνική νομοθεσία).

Άλλωστε, το νομοσχέδιο έχει περάσει από δύο νομοπαρασκευαστικές επιτροπές μέχρι να πάρει τη σημερινή του μορφή. Η πρώτη πρόταση νόμου κατατέθηκε το Φεβρουάριο του 2018 και είχε προγραμματιστεί τότε να μπει σε διαβούλευση το Μάρτιο της ίδιας χρονιάς. Μετά από αρκετές αναβολές και αλλαγή της νομοπαρασκευαστικής επιτροπής φτάσαμε στο 2019, όπου ως Homo Digitalis είχαμε συναντηθεί με τη νέα νομοπαρασκευαστική επιτροπή το Φεβρουάριο του 2019, αλλά και με τον τότε Γενικό Γραμματέα του Υπουργείου Δικαιοσύνης, καταθέτοντας τις προτάσεις μας. Και φτάσαμε σήμερα, όπου αν και η διαβούλευση κράτησε πολύ λίγες ημέρες, έγιναν 247 σχόλια. Τα οποία συνέβαλαν ώστε να διορθωθούν κάποια πράγματα που ήταν πολύ εξόφθαλμα.

Γιατί χρειάζεται ο νέος νόμος για την προστασία των προσωπικών δεδομένων; Δεν αρκεί το GDPR;
Το GDPR είναι ένας γενικός κανονισμός που ισχύει για όλα τα κράτη μέλη από τα Μάιο του 2018, δίνοντάς τους την ελευθερία να προσαρμόσουν κάποια πεδία του στις εθνικές ρυθμίσεις. Ο νέος νόμος αποτελεί στην ουσία την προσαρμογή συγκεκριμένων διατάξεων του GDPR στην ελληνική πραγματικότητα. Εκτός από ζητήματα του GDPR εναρμονίζει, παράλληλα, την οδηγία του 2006/16680 (η οποία έχει να κάνει με την επεξεργασία δεδομένων από τις αστυνομικές αρχές και τις αρχές επιβολής του νόμου).

Ποια είναι τα κυριότερα προβληματικά σημεία του νομοσχεδίου;
Το σχέδιο νόμου που τέθηκε στη διαβούλευση βασίστηκε στο αντίστοιχο γερμανικό και σε πολλά σημεία έγινε μια σχεδόν αυτούσια μετάφραση. Κάτι που νομοτεχνικά είναι λάθος. Και αυτό διότι η Γερμανία έχει μια εντελώς διαφορετική δομή από εμάς, καθώς αποτελεί ένα ομοσπονδιακό κράτος. Όταν λοιπόν επιχειρούμε να μεταφέρουμε ένα ομοσπονδιακό νόμο ως έχει στα δικά μας δεδομένα αποτελεί μια εξαρχής λάθος τακτική. Φυσικά, υπάρχουν πολλά ακόμα προβληματικά σημεία – που σχολιάστηκαν στη διαβούλευση και κάποια εκ των οποίων διορθώθηκαν.

Ένα από βασικά προβλήματα του αρχικού σχεδίου νόμου είχε να κάνει με τη διάταξη που αφορούσε τη συγκατάθεση των ανηλίκων για την επεξεργασία των δεδομένων τους. Το αρχικό νομοσχέδιο προέβλεπε ότι από τα 15 έτη και πάνω οι ανήλικοι μπορούσαν να δίνουν συγκατάθεση για την επεξεργασία των δεδομένων τους, για τους ανήλικους 13-15 ετών χρειάζονταν η γονική συναίνεση, ενώ δεν προβλέπονταν τίποτα για τα παιδιά κάτω των 13 ετών. Η τροποποίηση που έγινε μετά την κατάθεση του νομοσχεδίου στη Βουλή προβλέπει ότι από 15 χρονών και πάνω δεν χρειάζεται συγκατάθεση των γονέων για την επεξεργασία των δεδομένων, ενώ από 15 χρονών και κάτω χρειάζεται.

Μια ακόμα προβληματική διάταξη αφορούσε τα εργασιακά, καθώς παρείχε στους εργοδότες «ανακριτικές» δυνατότητες. Για παράδειγμα, ανέφερε ότι για σκοπούς πρόληψης ποινικών αδικημάτων οι εργοδότες μπορούν να φυλάνε και να επεξεργάζονται τα δεδομένα των εργαζομένων τους – αυτό έως τώρα απαιτούσε δικαστική απόφαση. Τελικά, αυτή η διάταξη απαλείφτηκε.

Ένα άλλο προβληματικό σημείο, που έχει να κάνει με την αντιγραφή του γερμανικού νόμου, αποτελεί η διάκριση που κάνει το νομοσχέδιο ανάμεσα σε δημόσιο και ιδιωτικό τομέα, χωρίς να διευκρινίζει ακριβώς πώς γίνεται αυτή η διάκριση, αλλά και πώς πρέπει να γίνεται η επεξεργασία δεδομένων από αυτούς.

Το νομοσχέδιο δεν λαμβάνει, επίσης, υπόψη την αρχή της ελαχιστοποίησης που χαρακτηρίζει το GDPR, βάσει της οποίας προσπαθούμε με λιγότερα λόγια να συμπεριλάβουμε τις περισσότερες περιπτώσεις. Πρόβλημα αποτελεί, ακόμα, το γεγονός ότι δεν υπάρχει ρύθμιση όσον αφορά το πότε μπορεί να γίνεται επεξεργασία των δεδομένων για λόγους εθνικής ασφάλειας.

Έως τώρα είχαμε το εθνικό νόμο 2472/1997 για την προστασία των προσωπικών δεδομένων, ο οποίος περιλάμβανε την εθνική ασφάλεια στο πεδίο εφαρμογής του, καθορίζοντας πότε μπορούσε κανείς να επεξεργαστεί προσωπικά δεδομένα για λόγους εθνικής ασφάλειας. Θα μπορούσε να πει κανείς ως αντίλογο ότι το GDPR δεν το προβλέπει αυτό.

Ωστόσο, το GDPR είναι ένας ενωσιακός νόμος που προφανώς δεν μπορεί να περιέχει ρυθμίσεις για την εθνική ασφάλεια του κάθε κράτους μέλους. Η απουσία μιας ρύθμισης γι’ αυτό το θέμα δημιουργεί και πολιτικό ζήτημα, καθώς στο άρθρο 9α του Συντάγματος κατοχυρώνεται το δικαίωμα προστασίας προσωπικών δεδομένων, το οποίο δεν υπόκειται σε κανένα περιορισμό.

Με το προηγούμενο νόμο του 1997, η ΑΠΔΠΧ είχε το δικαίωμα να το ελέγξει αυτό. Τώρα, δεν υπάρχει καμία διάταξη που να περιορίσει το κράτος στο πότε πρέπει να κρατά προσωπικά δεδομένα για λόγους εθνικής ασφάλειας, αφαιρώντας από την Αρχή το δικαίωμα του ελέγχου. Επιπλέον, ένα ακόμα hot ζήτημα που προέκυψε αφορά το άρθρο 27 και αφορά τα εργασιακά – με την παράγραφο 2 να αναφέρει ότι η προτεινόμενη ρύθμιση δεν λαμβάνει υπόψη το εξαιρετικό χαρακτήρα που έχει η νομική βάση της συγκατάθεσης.

Σημειώνεται ότι το άρθρο 88 του GDPR και η αιτιολογική σκέψη 155 προβλέπει τη συγκατάθεση των εργαζομένων ως εξαιρετική νομική βάση, λαμβάνοντας υπόψη ότι ο εργαζόμενος αποτελεί το αδύνατο σημείο στη σχέση με τον εργοδότη του. Οι ρυθμίσεις του νέου σχεδίου νόμου περιέχουν μια πολύ γενική διατύπωση για τη συγκατάθεση, αποδυναμώνοντας τη θέση των εργαζομένων. Το νέο νομοσχέδιο στο πλαίσιο αυτό ενδέχεται, για παράδειγμα, να δημιουργήσει μια νομική βάση για την PwC, ώστε να απαλείψει το πρόστιμο που της έχει επιβάλει η ΑΠΔΠΧ γι’ αυτό το σκοπό.

Ακόμα στο άρθρο 28 υπάρχει ένα προβληματικό σημείο που αφορά τα Μέσα Μαζικής Ενημέρωσης (ΜΜΕ), το οποίο ουσιαστικά κάνει μια στάθμιση ανάμεσα στην επεξεργασία των δεδομένων και στην ελευθερία έκφρασης και πληροφόρησης, περιορίζοντας το δικαίωμα των υποκειμένων των δεδομένων στη λήθη. Έτσι τα ΜΜΕ αποκτούν μια μεγαλύτερη ελευθερία στο τι μπορούν να δημοσιεύσουν, όσον αφορά τα προσωπικά δεδομένα ενός ατόμου, περιορίζοντας τη δυνατότητα του άρσης τέτοιας φύσεως δημοσιεύσεων.

Τέλος, μια προβληματική διάταξη που αφαιρέθηκε, αφορούσε τις ποινικές ευθύνες των υπευθύνων επεξεργασίας δεδομένων σχετικά με το έργο τους – αν και συνεχίζουν να υπάρχουν ποινικές ευθύνες σε ειδικές περιπτώσεις, όπως όταν ένας DPO αποκτήσει παράνομη πρόσβαση σε συστήματα αρχειοθέτησης κ.λπ.

Ωστόσο, υπάρχει η δυνατότητα να γίνουν διορθώσεις στο νομοσχέδιο μετά την κατάθεσή του…

Αναμφίβολα. Το σίγουρο είναι ότι το νομοσχέδιο θα διορθωθεί στην πράξη. Αλλά δεν είναι σωστή πρακτική να κατατίθεται κάτι προβληματικό, θέτοντας σε ισχύ μια εθνική ρύθμιση με ατέλειες, η οποία θα ισχύει για αρκετά χρόνια. Διορθώσεις θα γίνουν, ωστόσο ελλοχεύει ο κίνδυνος, λόγω των υφιστάμενων ατελειών του νομοσχεδίου, να συρθεί η Ελλάδα στα ευρωπαϊκά δικαστήρια ένεκα της πλημμελής εφαρμογής συγκεκριμένων διατάξεων του GDPR.

Τα ελληνικά δικαστήρια, επίσης, θα κρίνουν υποθέσεις, όταν προκύψουν, βάσει αυτού του νόμου. Και αν κάποιος Έλληνας πολίτης, όπως και για κάθε άλλο νόμο, κρίνει ότι έχει πλημμελή προστασία μπορεί να προσφύγει στο ευρωπαϊκό δικαστήριο κατά της Ελλάδας. Οπότε θα κληθεί η χώρα να καταβάλει νέα πρόστιμο. Εν κατακλείδι, είναι προβληματικό να φτιάχνεις εξαρχής κάτι πρόχειρο και βιαστικά και να τρέχεις να το ψηφίσεις επειδή τρέχει το πρόστιμο, όταν είχες πάνω από δύο χρόνια μπροστά σου για να το φτιάξεις όπως έπρεπε…