Μια απόφαση με μεγάλο θεωρητικό και πρακτικό ενδιαφέρον, στο μεταίχμιο προστασίας προσωπικών δεδομένων και δημόσιας ασφάλειας, εξέδωσε πρόσφατα ο Ευρωπαίος Επόπτης Προστασίας Προσωπικών Δεδομένων (EDPS). Η από 3ης Ιανουαρίου 2022 απόφαση-εντολή[1] απευθύνεται στην Ευρωπαϊκή Αστυνομική Υπηρεσία (Europol) και καθορίζει τα όρια της εκ μέρους της Europol διατήρησης προσωπικών δεδομένων ατόμων χωρίς επιβεβαιωμένο δεσμό με εγκληματική δραστηριότητα.
Από το 2019 ο EDPS ερευνά το κατά πόσον είναι νόμιμη η πρακτική της Europol να επεξεργάζεται και να διατηρεί/αποθηκεύει μεγάλο όγκο προσωπικών δεδομένων, χωρίς να τα έχει προηγουμένως υποβάλει στην καταρχήν απαραίτητη, σύμφωνα με το ισχύον κανονιστικό πλαίσιο και ιδίως τον Κανονισμό της Europol[2], «κατηγοριοποίηση ανά υποκείμενο» (data subject categorisation). Το Σεπτέμβριο του 2020, ο Επόπτης επέπληξε τη Europol, θεωρώντας ότι οι εξηγήσεις που προσέφερε και τα μέτρα που πήρε, ειδικά ως προς το ζήτημα της περιόδου διατήρησης των δεδομένων, δεν ήταν ικανοποιητικά. Η Europol συνέχισε να διατηρεί «μη κατηγοριοποιημένα» δεδομένα για μεγαλύτερο από το απολύτως απαραίτητο χρονικό διάστημα, κατά παράβαση των αρχών της ελαχιστοποίησης των δεδομένων και του περιορισμού της αποθήκευσης –αρχές οι οποίες, κατ’ εξειδίκευση των αντίστοιχων του Κανονισμού για την Προστασία των Προσωπικών Δεδομένων/GDPR[3], περιλαμβάνονται και στον Κανονισμό της Europol. Με τη σχολιαζόμενη απόφαση, ο EDPS, κρίνοντας ότι η Europol, παρότι παρουσίασε ένα ανανεωμένο σχέδιο δράσης (action plan), δεν είχε συμμορφωθεί προς τις υποδείξεις του, της έδωσε εντολή να «φιλτράρει» εντός έξι μηνών όλα τα δεδομένα και να «σβήσει» όλα όσα αφορούσαν άτομα μη συνδεόμενα με εγκληματική δραστηριότητα.
O EDPS αποφάνθηκε βασικώς ότι:
- Έχουν κρίσιμη σημασία ο όγκος και το περιεχόμενο των δεδομένων, σε σχέση με τη (μη αποδεκτή) διακινδύνευση χρήσης τους παρά το σκοπό τους και εις βάρος των δικαιωμάτων του υποκειμένου της επεξεργασίας,
- Η έλλειψη στον Κανονισμό της Europol ειδικής προθεσμίας για τη διατήρηση «μη κατηγοριοποιημένων» δεδομένων, σημαίνει, εν τοις πράγμασι, ότι η περίοδος μέχρι να γίνει η απαραίτητη «κατηγοριοποίηση», καθώς και η αποθήκευση, μπορεί να διαρκέσουν χρόνια, κάτι που δεν συνάδει με το πνεύμα του Κανονισμού της Europol και την εν γένει προστασία των δεδομένων. Για το λόγο αυτό, ο EDPS «δανείζεται», κατ΄ αναλογίαν με την πρόβλεψη για διατήρηση των ήδη «κατηγοριοποιημένων» δεδομένων»[4], το διάστημα του εξαμήνου, και επιβάλλει στη Europol ολοκλήρωση της διαδικασίας εντός αυτού, απορρίπτοντας τους ισχυρισμούς της Europol ότι χρειάζεται μεγαλύτερο χρονικό διάστημα λόγω της ιδιαιτερότητας των υπό επεξεργασία δεδομένων,
- Ο παραπάνω χρονικός περιορισμός δικαιολογείται από το γεγονός ότι ο Κανονισμός της Europol περιέχει ρητές «εγγυήσεις» (safeguards) για την επεξεργασία των προσωπικών δεδομένων των υποκειμένων-δυνάμει υπόπτων, ιδίως στο Παράρτημα ΙΙ Β, που επιβάλλει ως προϋπόθεση κοινοποίησης-μοιράσματος δεδομένων από εθνικές Αρχές προς τη Europol έναν «καθαρά βεβαιωμένο δεσμό με εγκληματική δραστηριότητα». Έτσι ώστε η επεξεργασία δεδομένων για πρόσωπα που δεν έχουν υπαχθεί σε αυτή την κατηγορία οφείλει να «περιορίζεται στον μικρότερο χρόνο που επαρκεί πρακτικά για την διεξαγωγή της κατηγοριοποίησης»,
- Η ανώτατη περίοδος διατήρησης των δεδομένων δεν μπορεί να καταλαμβάνει, αορίστως, όπως ισχυρίστηκε η Europol, όλο το διάστημα που διαρκεί η διερεύνηση πιθανών εγκλημάτων, αλλά πρέπει, αντιθέτως, να είναι προσδιορισμένη και σύντομη,
- Το εξάμηνο για τη διατήρηση των δεδομένων πρέπει να ισχύει για όλα τα δεδομένα υπό επεξεργασία από την Europol, ασχέτως του περιεχομένου τους.
Το κρίσιμο νομικό συμπέρασμα από τις ανωτέρω τεχνικές αποφάνσεις είναι ότι, στην ισορροπία μεταξύ προστασίας προσωπικών δεδομένων και προστασίας του κοινωνικού συνόλου από εγκληματικές πράξεις, το δεύτερο έννομο αγαθό, το οποίο υπερασπίζεται ένας οργανισμός σαν την Europol, δεν επικρατεί εκ των προτέρων και άνευ όρων. Ένας «ακανόνιστος»[5] τρόπος διαχείρισης σημαντικών δεδομένων δεν είναι αποδεκτός, ακόμα και από μια δημόσια Αρχή με τη σημασία της Europol. Ούτε η στο όνομα της πάταξης του εγκλήματος δημιουργία «μαύρων τρυπών», δηλαδή «κιβωτών»[6] δεδομένων που είναι αδύνατο να γνωρίζουμε πώς χρησιμοποιούνται. Κανόνες, διαδικασίες, περιορισμοί και εξισορροπήσεις για την προστασία των προσωπικών δεδομένων, και κατά προέκταση της ιδιωτικής ζωής, ισχύουν και πρέπει να εφαρμόζονται έναντι όλων, ακόμα και έναντι δημόσιων, και μάλιστα υπερεθνικών, Αρχών. Η ανάγκη των εθνικών αστυνομικών Αρχών και της Europol να αντλούν αποδεικτικά και άλλα στοιχεία, σε τεράστιο αριθμό, ιδίως μέσω τεχνολογίας (π.χ. από «έξυπνα» κινητά τηλέφωνα) και να τα ανταλλάσσουν μεταξύ τους, δεν δικαιολογεί πλήρη κάμψη όλων αυτών των κανόνων, διαδικασιών, περιορισμών και εξισορροπήσεων.
Η ενωσιακή έννομη τάξη, θεωρητικά τουλάχιστον, δεν αποδέχεται τη λειτουργία ενός «μεγάλου αδελφού», ακόμα και αν επίσημο σκοπό έχει να μας προστατέψει από το έγκλημα. Όπως είπε σε ακρόασή του ενώπιον του Ευρωπαϊκού Κοινοβουλίου, και όπως έκανε πράξη με τη σχολιασθείσα απόφασή του, ο Ευρωπαίος Επόπτης Wojciech Wiewiorski, «δεν είναι αυτή η ευρωπαϊκή προσέγγιση ως προς την επεξεργασία των προσωπικών δεδομένων».
Κώστας Μποτόπουλος
Συνταγματολόγος, Υπεύθυνος Προστασίας Δεδομένων στην Τράπεζα της Ελλάδος
Υποσημειώσεις:
[1] Προσβάσιμη στην ιστοσελίδα του European Data Protection Supervisor (EDPS)
[2] Κανονισμός 2016/794. Οι αρμοδιότητες του EDPS επί της Europol περιλαμβάνονται στο άρθρο 43, ενώ οι διατάξεις για την επεξεργασία και διατήρηση των δεδομένων βρίσκονται στο άρθρο 18 και στο Παράρτημα ΙΙ Β του εν λόγω Κανονισμού.
[3] Άρθρο 5 γ και ε, αντίστοιχα
[4] Άρθρο 18, 6 Κανονισμού Europol
[5] «Ευρωπαϊκό Data Gate: η Europol κατέχει στοιχεία εκατοντάδων χιλιάδων πολιτών –ποια θα πρέπει να σβηστούν», στο news247, 10 Ιανουαρίου 2022.
[6] Και οι δυο εκφράσεις είναι της ειδικού για θέματα ψηφιακών δικαιωμάτων Chloe Barthelemy και περιέχονται στο ρεπορτάζ του news247, ibid.
