Σκέψεις και παρατηρήσεις σε σχέση με το Κοινό Αίτημα Γνωμοδότησης στην ΑΠΔΠΧ για την προμήθεια από το Λιμενικό Σώμα λογισμικού συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης

Ο Γρηγόρης Λαζαράκος αναλύει τη σημασία του Κοινού Αιτήματος που κατέθεσαν τέσσερις ΜΚΟ και ένας ερευνητής στον Πρόεδρο της ΑΠΔΠΧ σχετικά με την προμήθεια από το Λιμενικό Σώμα λογισμικού συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης.

Μία εξαιρετικά ενδιαφέρουσα υπόθεση πρόκειται να απασχολήσει το επόμενο διάστημα την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) μετά το Κοινό Αίτημα που συνυπέβαλαν στον Πρόεδρό της τέσσερις ελληνικές και ξένες μη κερδοσκοπικές οργανώσεις (Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου, HIAS Ελλάδος, Homo Digitalis και Privacy International) και ένας ερευνητής (Φοίβος Συμεωνίδης). Αντικείμενο του Κοινού Αιτήματος είναι η έρευνα και, ακολούθως, η έκδοση Γνωμοδότησης της ΑΠΔΠΧ σχετικά με την προμήθεια από το Λιμενικό Σώμα λογισμικού συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης και συγκεκριμένα από τα κοινωνικά δίκτυα Facebook, Twitter, VK, Xing, Instagram, και Telegram. Το λογισμικό θα πρέπει, σύμφωνα με τη Διακήρυξη, να έχει τη δυνατότητα, μεταξύ άλλων, δημιουργίας διαγράμματος (visualization) πολλαπλών συσχετίσεων (φίλοι, σχόλια, αναρτήσεις, likes και followers), προσδιορισμού των αναγνωριστικών στοιχείων των χρηστών συμπεριλαμβανομένων και των αναζητήσεών τους και προσομοίωσης της ανθρώπινης δραστηριότητας για αποφυγή αποκλεισμού του λογαριασμού.

Σημειώνεται εκ προοιμίου ότι η συγκεκριμένη πρωτοβουλία προστίθεται στο πλούσιο βιογραφικό των συγκεκριμένων μη κερδοσκοπικών οργανώσεων, που με τη δράση και το έργο τους έχουν αναδείξει – τόσο στη χώρα μας όσο και διεθνώς – σημαντικά ζητήματα στον τομέα της προστασίας των προσωπικών δεδομένων και έχουν προκαλέσει την έκδοση σημαντικών διοικητικών και δικαστικών αποφάσεων. Ενδεικτικά αναφέρονται δύο περιπτώσεις με διεθνείς προεκτάσεις και συγκεκριμένα α) η υπ’ αριθμόν C-623/17 απόφαση της 6ης Οκτωβρίου 2020 του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), η οποία εκδόθηκε κατόπιν αίτησης προδικαστικής απόφασης που υπέβαλε το Investigatory Powers Tribunal (ειδικό δικαιοδοτικό όργανο προστασίας των δεδομένων και της ιδιωτικής ζωής στο Ηνωμένο Βασίλειο) στο πλαίσιο ένδικης διαφοράς, που προέκυψε μετά από προσφυγή της Privacy International σχετικά με τη νομιμότητα κανονιστικής ρύθμισης που επιτρέπει την απόκτηση και χρήση μαζικών δεδομένων επικοινωνίας (bulk communications data) από τις υπηρεσίες ασφαλείας και πληροφοριών και β) την απόφαση του Ευρωπαίου Διαμεσολαβητή να διεξάγει έρευνα – μετά από καταγγελία της Privacy International, της Ηοmo Digitalis και τριών ακόμη οργανώσεων – σε σχέση με προγράμματα που σχετίζονται με την παροχή εξοπλισμού παρακολούθησης και σχετικής τεχνογνωσίας από την Ευρωπαϊκή Ένωση σε τρίτα κράτη.

Εν προκειμένω, σημειώνεται ότι στην ανωτέρω Διακήρυξη εξειδικεύονται οι τεχνικές δυνατότητες που θα πρέπει να διαθέτει το λογισμικό για τη συλλογή και ανάλυση δεδομένων σε σχέση με κάθε επιμέρους κοινωνικό δίκτυο. Επί παραδείγματι, καθόσον αφορά στο Facebook, το λογισμικό θα πρέπει να επιτρέπει, μεταξύ άλλων λειτουργιών, την αποθήκευση της δημόσιας λίστας επαφών ενός προφίλ, την αποθήκευση όλων των δημόσιων επαφών 2ου βαθμού, την αποθήκευση των δημόσιων αναρτήσεων του χρονολογίου (συμπεριλαμβανομένων εικόνων, βίντεο, συνδεδεμένων βίντεο Youtube, σχολίων και αντιδράσεων), την αποθήκευση των γκαλερί εικόνων, την αποθήκευση δημοσιοποιημένων πληροφοριών λογαριασμού (εργοδότης, κατοικίες, εκπαίδευση), την αναζήτηση λογαριασμών για συγκεκριμένα προσωπικά χαρακτηριστικά, και την αποθήκευση των χρηστών που αποτελούν μέλη σε ομάδες του Facebook. Αντίστοιχες τεχνικές προδιαγραφές αναφέρονται στη Διακήρυξη και ως προς τα υπόλοιπα μέσα κοινωνικής δικτύωσης.   

Όπως αναφέρεται στο Κοινό Αίτημα, αντίστοιχο ζήτημα έχει ήδη απασχολήσει τον Ευρωπαίο Επόπτη για την Προστασία Δεδομένων (EDPS) σε υπόθεση προμήθειας παρόμοιου λογισμικού από την Ευρωπαϊκή Υπηρεσία Υποστήριξης για το Άσυλο (EASO). Ο Ευρωπαίος Επόπτης, αφού εξέτασε μια σειρά από ζητήματα, έκρινε ότι δεν διασφαλίζονται συνθήκες νόμιμης επεξεργασίας δεδομένων και, ακολούθως, επέβαλε την κύρωση του προσωρινού περιορισμού της επεξεργασίας απευθύνοντας παράλληλα σχετικές συστάσεις στην EASO. Παρόμοιο λογισμικό συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης προτίθετο να προμηθευτεί το 2019 και ο Ευρωπαϊκός Οργανισμός Συνοριοφυλακής και Ακτοφυλακής (FRONTEX), ο οποίος τελικά απέσυρε τη σχετική προκήρυξη, ύστερα και από τα εύστοχα ερωτήματα που του έθεσε η Privacy International.

Υπό τα δεδομένα αυτά, το πρώτο ζήτημα, το οποίο αναμένεται να απασχολήσει την Αρχή κατά την εξέταση του κοινού Αιτήματος (όπως ακριβώς συνέβη και στην περίπτωση του EDPS), είναι το κατά πόσον το Λιμενικό Σώμα έχει ήδη εκπονήσει Μελέτη Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων (ΕΑΠΔ) κατ’ άρθρο 35 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ). Σημειωτέον ότι η ύπαρξη σχετικής Μελέτης από το Λιμενικό Σώμα θα πρέπει να θεωρηθεί απολύτως απαραίτητη, σύμφωνα με την ισχύουσα ενωσιακή νομοθεσία – όπως αυτή έχει ερμηνευθεί κατά περιεχόμενο από τις Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του άρθρου 29 (WP 248), όπως συμπληρώθηκαν/εξειδικεύτηκαν με την υπ’ αριθμ. 65/2018 απόφαση της ΑΠΔΠΧ («Κατάλογος με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων σύμφωνα με το άρθρο 35 παρ. 4 του ΓΚΠΔ») – δεδομένου ότι η Επεξεργασία ενδέχεται κατ’ αρχήν να επιφέρει υψηλό κίνδυνο για τις ελευθερίες των εμπλεκόμενων Υποκειμένων Δεδομένων, αφού 1) αφορά σε μετανάστες και αιτούντες άσυλο, συμπεριλαμβανομένου δε και σημαντικού αριθμού ανήλικων, που είναι ευάλωτα πρόσωπα, 2) είναι εν δυνάμει μεγάλης κλίμακας ενόψει (α) του υψηλού συνολικού αριθμού των προσώπων που επιδιώκουν την είσοδό τους στην ελληνική επικράτεια και (β) του μεγάλου γεωγραφικού εύρους της, δεδομένου ότι τα ανωτέρω φυσικά πρόσωπα επιχειρούν να εισέλθουν εν δυνάμει από κάθε σημείο των θαλάσσιων και χερσαίων συνόρων της ελληνικής επικράτειας, 3) πραγματοποιείται με τη χρήση σύγχρονης τεχνολογίας με άκρως παρεμβατικά χαρακτηριστικά στην προσωπική και κοινωνική ζωή των υποκειμένων των δεδομένων, αφού επιτρέπει την παρακολούθηση των χρηστών των συγκεκριμένων κοινωνικών δικτύων μέσω ευρείας συλλογής, εκτεταμένης επεξεργασίας και σε βάθος ανάλυσης των πληροφοριών τους.

Στο πλαίσιο της Μελέτης – αλλά και ανεξαρτήτως αυτής – το Λιμενικό Σώμα, ως υπεύθυνος επεξεργασίας κατ’ άρθρο 4 περ. 7 ΓΚΠΔ, θα πρέπει, να προσδιορίσει τους σκοπούς της επεξεργασίας των δεδομένων των χρηστών των μέσων κοινωνικής δικτύωσης, τόσο συνολικά όσο και για τις επιμέρους πράξεις επεξεργασίας (π.χ. για τη δημιουργία διαγράμματος (visualization) πολλαπλών συσχετίσεων, τον προσδιορισμό των αναγνωριστικών στοιχείων των χρηστών, συμπεριλαμβανομένων και των αναζητήσεων τους). Ο προσδιορισμός του επιδιωκόμενου σκοπού θα επιτρέψει στην Αρχή την εξέταση – επί τη βάσει της περιγραφής της επεξεργασίας αλλά και των στοιχείων που θα προσκομιστούν από το Λιμενικό Σώμα – της νόμιμης βάσης της επεξεργασίας και, ακολούθως, την αξιολόγηση της αναγκαιότητας και αναλογικότητας των πράξεων επεξεργασίας, καθώς και της συμμόρφωσης του Λιμενικού Σώματος με τις θεμελιώδεις αρχές επεξεργασίας που κατοχυρώνονται στο άρθρο 5 του ΓΚΠΔ και, ειδικότερα, τις αρχές της νομιμότητας και διαφάνειας (άρθρο 5 παρ. 1 στοιχ. α΄ ΓΚΠΔ), του περιορισμού του σκοπού (άρθρο 5 παρ. 1 στοιχ. β΄ ΓΚΠΔ), της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ. 1 στοιχ. γ΄ ΓΚΠΔ), καθώς και των μέτρων που συμβάλλουν στη διαφύλαξη των δικαιωμάτων των υποκειμένων των δεδομένων.

Λαμβάνοντας δε υπόψη τα χαρακτηριστικά της επεξεργασίας και ιδίως το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς επίσης τη φύση των δεδομένων (αφού σε αυτά περιλαμβάνονται αναπόφευκτα και ειδικές κατηγορίες προσωπικών δεδομένων, όπως λ.χ. αυτά που αφορούν σε θρησκευτικές ή φιλοσοφικές πεποιθήσεις) και το γεγονός ότι τα δεδομένα αυτά αφορούν σε ευάλωτα υποκείμενα (λ.χ. πρόσφυγες και/ή ανηλίκους), η Αρχή θα πρέπει να αξιολογήσει με προσοχή τους κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων (απειλές, πηγές, σοβαρότητα και πιθανότητα επέλευσης των κινδύνων, επιπτώσεις στα δικαιώματα και τις ελευθερίες των υποκειμένων), καθώς και το κατά πόσο ο υπεύθυνος (και οι τυχόν εκτελούντες) την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα που συμβάλλουν στην αντιμετώπιση των κινδύνων αυτών.

Η Αρχή, στο πλαίσιο της αυτεπάγγελτης δράσης της, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 58 παρ. 1 στοιχ. β’ του ΓΚΠΔ και του άρθρου 15 παρ. 1 του ν. 4624/2019, έχει τη δυνατότητα να ζητήσει από το Λιμενικό Σώμα την παροχή κάθε αναγκαίας πληροφορίας και, συνακόλουθα, την προσκομιδή κάθε αναγκαίου στοιχείου. Ανεξαρτήτως δε τούτου, το Λιμενικό Σώμα οφείλει, στο πλαίσιο της αρχής της λογοδοσίας (άρθρο 5 παρ. 2 του ΓΚΠΔ), σύμφωνα με την οποία κάθε υπεύθυνος επεξεργασίας φέρει την ευθύνη και οφείλει να αποδείξει τη συμμόρφωσή του με τον ΓΚΠΔ, να παράσχει κάθε αναγκαία πληροφορία και να εξηγήσει τους λόγους που καθιστούν αναγκαία την προμήθεια του επίμαχου λογισμικού.

Επισημαίνεται ότι ενδεχόμενος ισχυρισμός του Λιμενικού Σώματος περί εφαρμογής του άρθρου 2 παρ. 2 στοιχ. α΄ του ΓΚΠΔ (και, ακολούθως, του άρθρου 10 παρ. 5 του ν. 4624/2019), που ορίζει ότι ο Κανονισμός δεν εφαρμόζεται σε ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών που σχετίζονται με δραστηριότητες μη υπαγόμενες στο πεδίο εφαρμογής του ενωσιακού δικαίου, όπως δραστηριότητες που αφορούν την εθνική ασφάλεια, θα πρέπει να αξιολογηθεί υπό το πρίσμα της νομολογίας του ΔΕΕ και των σχετικών αποφάσεων της ΑΠΔΠΧ. Σημειωτέον ότι το ΔΕΕ, στην υπ’ αριθμόν C-511/18 της 6ης Οκτωβρίου 2020 απόφασή του, ερμηνεύοντας τη διάταξη του άρθρου 4 παρ. 2 της ΣΛΕΕ που ορίζει ότι «[…] η εθνική ασφάλεια παραμένει στην ευθύνη κάθε κράτους μέλους», έκρινε ότι «η ευθύνη αυτή ανταποκρίνεται στο πρωταρχικό συμφέρον της προστασίας των βασικών λειτουργιών του κράτους και των θεμελιωδών συμφερόντων της κοινωνίας και περιλαμβάνει την πρόληψη και την καταστολή δραστηριοτήτων ικανών να αποσταθεροποιήσουν σοβαρά τις θεμελιώδεις συνταγματικές, πολιτικές, οικονομικές ή κοινωνικές δομές μιας χώρας και, ειδικότερα, να απειλήσουν άμεσα την κοινωνία, τον πληθυσμό ή το ίδιο το κράτος, όπως είναι, μεταξύ άλλων, οι τρομοκρατικές δραστηριότητες» (σκέψη 135). Δεδομένου δε ότι η «εθνική ασφάλεια» συνιστά αόριστη νομική έννοια, θα πρέπει, σύμφωνα με την 5/2020 απόφαση της ΑΠΔΠΧ, να ερμηνεύεται, προσδιορίζεται και τεκμηριώνεται ad hoc από τον υπεύθυνο επεξεργασίας με βάση τα δεδομένα που συντρέχουν σε κάθε περίπτωση. Κατά τούτο, όπως έχει κρίνει η ΑΠΔΠΧ με την απόφαση 20/2020, δεν αρκεί η αόριστη και γενική επίκληση της συνδρομής της εθνικής ασφάλειας για τον αποκλεισμό της Αρχής από την άσκηση των αρμοδιοτήτων της, αλλά, εφόσον προβληθεί από το Λιμενικό Σώμα ο σχετικός ισχυρισμός, θα απαιτηθεί από την Αρχή τεκμηρίωση ότι η επεξεργασία διενεργείται για δραστηριότητα που αφορά την εθνική ασφάλεια της Ελλάδας.

Υπό το πρίσμα των παραπάνω σκέψεων και διαπιστώσεων, δεν καταλείπεται αμφιβολία για το γεγονός ότι με την επίμαχη επεξεργασία προσωπικών δεδομένων θα δοκιμασθεί η αντοχή, η αξιοπιστία αλλά και η ουσία των εθνικών και ενωσιακών διατάξεων για την προστασία των δεδομένων. Στη δοκιμασία αυτή καθοριστικής σημασίας θα είναι η συμβολή της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Και είναι σίγουρο ότι η εμπειρία της πρόσφατης «νομολογίας» της μόνον αισιοδοξία μπορεί να προκαλεί.

Γρηγόρης Λαζαράκος
Διδάκτωρ Νομικής Πανεπιστημίου Humboldt Βερολίνου, δικηγόρος και διαχειριστής εταίρος της δικηγορικής εταιρείας L&L Law Firm, Υπεύθυνος Προστασίας Δεδομένων (DPO) στη Βουλή των Ελλήνων.

Share on facebook
Share on twitter
Share on email
Share on print
Share on facebook
Share on twitter
Share on email
Share on print

Σου άρεσε το άρθρο, αλλά σου δημιούργησε νέες απορίες;

Έχεις και άλλα ερωτήματα που σε απασχολούν σε σχέση με το Σύνταγμα, τους Θεσμούς, τα δικαιώματα και τη λειτουργία της Δημοκρατίας;

Σχετικά Άρθρα

Διαδικτυακή εκδήλωση: Η Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου στη νέα εποχή

Απόψε, Μεγάλη Δευτέρα 26.04.2021 (18:30-20:00), το Ίδρυμα Θεμιστοκλή και Δημήτρη Τσάτσου – Κέντρο Ευρωπαϊκού Συνταγματικού Δικαίου, το Syntagma Watch και οι Εκδόσεις Σάκκουλα διοργανώνουν διαδικτυακή εκδήλωση με θέμα: Η Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου στη νέα εποχή.

Περισσότερα

Η προστασία της υγείας ενόψει της τυπικής ισοδυναμίας των συνταγματικών διατάξεων

Ο Δημήτριος- Γεώργιος Πατσίκας εξετάζει την αντιπαράθεση ανάμεσα σε αλληλοσυγκρουόμενα συνταγματικά δικαιώματα, που έχει επανέλθει επιτακτικά στο προσκήνιο λόγω των έκτακτων συνθηκών της πανδημίας.

Περισσότερα

Θέλεις να μαθαίνεις

πρώτος τα νέα μας;

Αν σε ενδιαφέρει να ενημερώνεσαι άμεσα για τις νέες δημοσιεύσεις και τις δράσεις του Syntagma Watch, τότε εγγράψου στο newsletter μας!

Αυτός ο ιστότοπος για τη διευκόλυνση της λειτουργίας του και προκειμένου να σας παρέχει μια προσωποποιημένη εμπειρία χρησιμοποιεί cookies. Για να ενημερωθείτε για τη χρήση των cookies και τις σχετικές ρυθμίσεις μπορείτε να επιλέξετε εδώ

JOIN THE CLUB!

It’s easy: all we need is your email & your eternal love. But we’ll settle for your email.

Subscribe

* indicates required
Email Format

Please select all the ways you would like to hear from Syntagma Watch:

You can unsubscribe at any time by clicking the link in the footer of our emails. For information about our privacy practices, please visit our website.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp's privacy practices here.