Ένα νέο σχέδιο νόμου έρχεται να ολοκληρώσει σε εθνικό επίπεδο την επιβολή νέων διατάξεων προστασίας του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην Ελλάδα.
Η θέση σε εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων πέρσι τον Μάιο, η υποχρέωση της χώρας να απαλείψει διατάξεις εθνικού δικαίου που προσκρούουν στον ΓΚΠΔ, καθώς και η υποχρέωση ενσωμάτωσης της Οδηγίας για την προστασία δεδομένων στις διωκτικές αρχές επέβαλαν την νομοθέτηση.
Αυτές οι τρεις είναι οι παράμετροι του νέου νομοσχεδίου που μόλις χθες κατατέθηκε στην Βουλή ύστερα από σύντομη αλλά έντονη διαβούλευση στην οποία συμμετείχε αποτελεσματικά η νομική κοινότητα της χώρας.
Το εθνικό θεσμικό πλαίσιο για την προστασία δεδομένων και η απαιτούμενη προσαρμογή
Στην χώρα μας, θεσμικό πλαίσιο για την προστασία δεδομένων συμπυκνώνεται ως σήμερα στον Ν.2472/1997. Είναι ένας εν πολλοίς άρτιος νόμος που επιτέλεσε τον στόχο της ενσωμάτωσης της Οδηγίας 95/46 αλλά και της εφαρμογής των διατάξεων της Σύμβασης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων του 1981 (κυρώθηκε με τον Ν2068/1992).
Όμως ο Γενικός Κανονισμός Προστασίας Δεδομένων κατάργησε την Οδηγία 95/46 και καθώς έχει άμεση εφαρμογή κατισχύει των αντίθετων διατάξεων του Ν.2472/1997, ως προς το μέρος που ρυθμίζει δραστηριότητες που υπάγονται στο ενωσιακό δίκαιο. Για λόγους ενιαίας εφαρμογής των κανόνων λοιπόν, ο εθνικός νομοθέτης είχε την επιλογή είτε της κατάργησης του Ν.2472/1997 είτε της διατήρησης μόνο των διατάξεων του που δεν προσκρούουν στο νέο ευρωπαϊκό δίκαιο. Η επιλογή του νομοσχεδίου κινείται στην δεύτερη κατεύθυνση.
Η Οδηγία 2016/680 επιβάλλει στα κράτη να θεσπίσουν κανόνες προστασίας δεδομένων στις διωκτικές αρχές και στις αρχές εκτέλεσης των ποινών. Η Ελλάδα δεν τήρησε την προθεσμία ενσωμάτωσης της Οδηγίας και η Ευρωπαϊκή Επιτροπή την έχει ήδη παραπέμψει στο Δικαστήριο της Ε.Ε. για την επιβολή προστίμου. Ατυχώς ο Ν.2472/1997 εξαιρεί ένα σοβαρό πεδίο της εφαρμογής του από τις διωκτικές αρχές, σύμφωνα με το άρθρο 3.
Η Ελλάδα ουδέποτε ενσωμάτωσε επίσης την προγενέστερη Απόφαση – Πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου της Ε.Ε. που επέβαλε θέσπιση κανόνων προστασίας δεδομένων για τις αρχές επιβολής του νόμου. Πολύ πριν από αυτά τα νομοθετήματα, η Επιτροπή Υπουργών του Συμβουλίου της Ευρώπης είχε απευθύνει στα κράτη την Σύσταση R 15 του 1987 για την χρήση προσωπικών δεδομένων στον αστυνομικό τομέα.
Οι νέες διατάξεις του νομοσχεδίου
Με την θέσπιση των νέων διατάξεων του νομοσχεδίου θα είναι η πρώτη φορά που οι αστυνομικές αρχές θα κληθούν να εφαρμόσουν ειδικούς κανόνες για την προστασία προσωπικών δεδομένων κατά την ενάσκηση των αρμοδιοτήτων τους.
Το νομοσχέδιο περιλαμβάνει όμως και νέες διατάξεις, πέρα από τις αναγκαίες για την υποδοχή του ΓΚΠΔ και την ενσωμάτωση της Οδηγίας. Συγκεκριμένα, αναγνωρίζει ρητά την παροχή συγκατάθεσης του εργαζομένου ως νόμιμη βάση για την επεξεργασία δεδομένων από τον εργοδότη (άρθρο 27), μια διάταξη που προκάλεσε έντονες αντιδράσεις και, μετά την δημόσια διαβούλευση, αναδιατυπώθηκε ώστε να εναρμονιστεί με τους κανόνες της συγκατάθεσης που διατυπώνονται σε έγγραφο της ομάδας εργασίας του άρθρου 29 της Οδηγίας 95/46.
Μια άκρως προβληματική διάταξη που παραμένει όμως, παρά την μερική αναπροσαρμογή της, είναι αυτή που διέπει την επεξεργασία δεδομένων από τα ΜΜΕ και στην οποία προτείνεται η μη εφαρμογή του δικαιώματος της λήθης στο πλαίσιο των δημοσιογραφικών δραστηριοτήτων (άρθρο 28)! Πρόκειται κατεξοχήν για το πεδίο στο οποίο γνωρίζει εφαρμογή το «διαδικτυακό» αυτό δικαίωμα και η απάλειψη του από τον χώρο των ΜΜΕ θα υπονομεύει τα συνταγματικά του θεμέλια.
Πρόβλημα προκαλείται επίσης και στην διάταξη με τα ποινικά αδικήματα της παραβίασης προσωπικών δεδομένων (άρθρο 38), όπου η μείωση της ποινής οδηγεί στην ένταξη εκκρεμών δικών για παραβίαση (απλών) προσωπικών δεδομένων σε παραγραφή λόγω ενεργοποίησης του Ν. 4411/2016, ο οποίος επιβάλλει παραγραφή για κάθε πράξη που τελέστηκε ως 31/3/2016 και τιμωρείται με φυλάκιση μέχρι 2 ετών ή / και χρηματική ποινή.
Οι νομοθετικές επιλογές για τον εργασιακό τομέα, τα ΜΜΕ και το ποινικό δίκαιο δεν επιβάλλονται από τον ΓΚΠΔ ή την Οδηγία, αλλά αποτελούν αποκλειστική εφαρμογή εσωτερικής πολιτικής για το επίπεδο προστασίας δεδομένων σε αυτούς τους τομείς.
Βασίλης Σωτηρόπουλος
Δικηγόρος
