Προσωπικά και μαζί... δημόσια

Ο ελληνικός νόμος για την προστασία των προσωπικών δεδομένων, που περιέχει συγχρόνως μέτρα εφαρμογής του Κανονισμού 2016/679, γνωστού ως GDPR, και ενσωμάτωσης της λεγόμενης «Αστυνομικής Οδηγίας» 2016/680, ψηφίστηκε πολύ πρόσφατα, με μεγάλη καθυστέρηση εκ μέρους της προηγούμενης Βουλής και μεγάλη βιασύνη εκ μέρους της παρούσας.

Η καθυστέρηση, οφειλόμενη στην αδικαιολόγητη μη αποδοχή του έγκαιρου και έγκυρου έργου μιας πρώτης νομοπαρασκευαστικής επιτροπής και, στη συνέχεια, και μιας δεύτερης, στοίχισε στη χώρα την ηθική και οικονομική επιβάρυνση ενός προστίμου από την Ευρωπαϊκή Επιτροπή. Η εξέλιξη αυτή μόνο εν μέρει δικαιολογεί τη βιασύνη της παρούσας Βουλής και καθόλου το τελικό αποτέλεσμα.

Τα περισσότερα από τα προβληματικά στοιχεία του νομοσχεδίου που έγινε πλέον νόμος προβλήθηκαν σε έναν πολύ ζωηρό, παρά το θέρος, δημόσιο διάλογο. Στήριξη στο έργο της δεύτερης επιτροπής και όχι της πρώτης. Υπερβολικά σύντομη διαβούλευση και αγνόηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, παρότι, εκτός από το προφανώς συναφές αντικείμενο, ο νόμος ρυθμίζει και τη λειτουργία της ίδιας της Αρχής. Διάσπαση της ενότητας και έγερση δυνητικών ερμηνευτικών προβλημάτων μέσω της διατήρησης εν ζωή κάποιων άρθρων του παλαιού νομοθετικού πλαισίου (2472/1997). Άκριτη στήριξη της «Αστυνομικής Οδηγίας» στη γερμανική μορφή ενσωμάτωσής της. Όχι αμελητέες αντιθέσεις του νόμου με τον Κανονισμό, που θα δημιουργήσουν με βεβαιότητα πρακτικά προβλήματα και δικαστικές διαμάχες. Ιδιαίτερα επιεικής ποινική αντιμετώπιση και πολύ περιοριστική αναφορά των κριτηρίων επιμέτρησης των διοικητικών ποινών.

Θα συμπύκνωνα, με την ιδιότητα του μελετητή αλλά και του εφαρμοστή του GDPR, όλα αυτά τα προβλήματα λέγοντας ότι ο Έλληνας νομοθέτης διακρίθηκε, τελικά, από μια πολύ τσιγγούνικη αντίληψη των αγαθών που προσπαθεί να προστατεύσει το ευρωπαϊκό νομοθετικό πλαίσιο.

Βασική απόδειξη αυτού, και θεμελιώδες, κατά την άποψή μου, πρόβλημα, αποτελεί η διάκριση, που διατρέχει όλον τον ελληνικό νόμο, ανάμεσα σε προστασία των προσωπικών δεδομένων έναντι αφενός δημόσιων και αφετέρου ιδιωτικών φορέων και η διαφορετική μεταχείριση που επιφυλάσσεται στους φορείς της μίας και της άλλης κατηγορίας.

Η διάκριση αυτή ουδόλως ενυπάρχει, ούτε μπορεί να συναχθεί από τον Κανονισμό, θα έλεγα μάλιστα και ότι δεν δικαιολογείται με βάση αυτόν. Πυρήνας του Κανονισμού, και της παρεχόμενης από αυτόν προστασίας, είναι το (κάθε) φυσικό πρόσωπο (άρθρο 1), ο καθένας από εμάς, όποιας χώρας της Ευρωπαϊκής Ένωσης πολίτες και να είμαστε. Το ποιος απειλεί ή παραβιάζει τα εκ του Κανονισμού απορρέοντα δικαιώματά μας δεν έχει και δεν δημιουργεί έννομες συνέπειες και πάντως δεν δικαιολογεί διαφοροποιήσεις του επιπέδου προστασίας, πέραν των ειδικών εξαιρέσεων που περιλαμβάνονται στον ίδιο τον Κανονισμό. Ασφαλώς και δεν είναι τυχαία η ρητή αναφορά του Κανονισμού σε μια «δημοκρατική κοινωνία» (άρθρο 6 παρ. 4 και 23 παρ. 1): δημοκρατική είναι πρωτίστως η κοινωνία στην οποία το Κράτος (οι, κατά το άρθρο 4 του ελληνικού νόμου, «δημόσιοι φορείς») δεν οφείλει μικρότερο σεβασμό στους πολίτες τους από τους «ιδιωτικούς φορείς» -κανονικά μάλιστα θα έπρεπε να οφείλει, και να κάνει πράξη, μεγαλύτερο σεβασμό. Γι' αυτό, εξάλλου, υπάρχει και η «Αστυνομική Οδηγία», και οι σχετικές διατάξεις του ελληνικού νόμου, ώστε να παράσχουν προνόμια στους κρατικούς φορείς στον τομέα που πραγματικά δικαιολογούνται, δηλαδή για την καταπολέμηση του εγκλήματος και της παρανομίας. 

Υπ’ αυτό το πρίσμα πρέπει να διαβαστούν, και συγχρόνως να επικριθούν, οι υπέρ δημόσιων φορέων μειωμένες υποχρεώσεις προστασίας των προσωπικών δεδομένων που θεσπίζει ο ελληνικός νόμος σε πολλές περιπτώσεις. Και στην πέραν του πεδίου του Κανονισμού επεξεργασία «ευαίσθητων» προσωπικών δεδομένων (άρθρο 22 παρ. 2 του νόμου), υπό το πρόσχημα όχι απλώς του «δημόσιου συμφέροντος», αλλά και «απειλής κατά της εθνικής ή δημόσιας ασφάλειας» (πέραν του δημοσίου συμφέροντος;), ακόμα και «απαραίτητης για τη λήψη ανθρωπιστικών μέτρων» (για τον άνθρωπο με παραβίαση των δικαιωμάτων του;). Και στην αποδεκτή επεξεργασία δεδομένων προσωπικού χαρακτήρα (άρθρο 24 παρ. 1 εδαφ. 1 του νόμου), υπό προϋποθέσεις ακόμα και ευαίσθητων (άρθρο 24 παρ. 2), όταν είναι «προφανές» (στα μάτια του δημόσιου φορέα, όχι του υποκειμένου της επεξεργασίας) ότι η επεξεργασία γίνεται «προς το συμφέρον του υποκειμένου» (ενώ η λεγόμενη «εικαζόμενη συγκατάθεση», περί της οποίας πρόκειται, δεν επιτρέπεται με βάση τον Κανονισμό). Και στην εξαίρεση από το -θεμελιωδέστερο της συγκατάθεσης- δικαίωμα ενημέρωσης του υποκειμένου της επεξεργασίας, σε περίπτωση που κρινόταν (και πάλι από τον δημόσιο φορέα) ότι θα ετίθετο «σε κίνδυνο η ορθή εκτέλεση των καθηκόντων του υπευθύνου επεξεργασίας» (άρθρο 31, 1 στοιχ. β του νόμου). Και την κατάργηση του δικαιώματος εναντίωσης, μόνον έναντι δημόσιων φορέων (άρθρο 35 νόμου).

Η περιοριστική υπέρ του «δημόσιου συμφέροντος» -στενά αντιληπτού ως συμφέροντος των δημόσιων φορέων εξουσίας και όχι ως γενικού συμφέροντος- τάση του Έλληνα νομοθέτη επεκτείνεται μάλιστα και σε άλλους φορείς έμμεσης εξουσίας. Έτσι, ευαίσθητα δεδομένα μπορούν να τυγχάνουν επεξεργασίας χωρίς συγκατάθεση των υποκειμένων τους και από ιδιωτικούς φορείς «για την άσκηση δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής προστασίας» (άρθρο 22 παρ. 1 εδαφ. Α του νόμου), ενώ ο Κανονισμός περιορίζει αυστηρά, στο άρθρο 9 παρ. 4, τους δυνητικούς εθνικούς περιορισμούς σε θέματα γενετικών, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Έτσι, και ιδιωτικοί φορείς (άρθρο 24) μπορούν να επεξεργάζονται δεδομένα για σκοπό άλλον από εκείνον για τον οποίο τα συνέλεξαν, και γνωρίζει το υποκείμενο τους, όταν πρόκειται «για την αποτροπή απειλών εθνικής ασφάλειας» (ξαναλέω: πρόκειται για ιδιωτικούς φορείς), «δίωξη ποινικών αδικημάτων» (από πότε διώκουν μη δημόσιοι φορείς;), «υποστήριξη νομικών αξιώσεων» (σου καταπατώ τα δεδομένα για να σε κερδίσω σε δίκη).

Έτσι, κάμπτεται η με βάση ως τώρα ισχύουσα απόφαση της ελληνικής Αρχής Προστασίας, απαγόρευση τοποθέτησης καμερών από εργοδότες στο χώρο εργασίας (άρθρο 27 παρ. 7). Έτσι, τέλος -αυτή είναι, στα μάτια μου, η πιο εξόφθαλμη και παράλογη σύγκρουση του ελληνικού νόμου με τον Κανονισμό- θεσπίζεται γενική υπέρ «δημοσιογραφικών σκοπών» (ΜΜΕ), αλλά και σκοπών «ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης», εξαίρεση, από όλα τα προβλεπόμενα υπέρ του υποκειμένου επεξεργασίας δικαιώματα (Κεφάλαιο ΙΙΙ του Κανονισμού). Πρόκειται για στέρηση όχι μόνο από το δικαίωμα διαγραφής και λήθης (αλλά έναντι ποίου θα είχε νόημα η λήθη, αν όχι εκείνου που δημοσίευσε κάτι που προσβάλλει;) αλλά και από το δικαίωμα ενημέρωσης, πρόσβασης, διόρθωσης, περιορισμού, εναντίωσης. Ειδικά μέσα στον οχετό του σύγχρονου διαδικτύου, αυτές οι διατάξεις θα φανούν πολύ χρήσιμες.

Αργήσαμε αλλά πάλι, φοβούμαι, μείναμε ουραγοί. Και, ίσως, χωρίς να το καταλαβαίνουμε.

* Ο συνταγματολόγος Κώστας Μποτόπουλος είναι Υπεύθυνος Δεδομένων Προσωπικού Χαρακτήρα (DPO) στην Τράπεζα της Ελλάδος.