Δημοσιεύθηκε η πολυαναμενόμενη γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επί των διατάξεων του Νόμου 4624/2019.
Όπως επισημαίνει η Αρχή, από µια πρώτη συνολική θεώρηση του ν. 4624/19 προκύπτει ότι εισάγεται διάκριση µεταξύ «ιδιωτικών» και «δηµόσιων» φορέων ως υπευθύνων επεξεργασίας κατά το πρότυπο, το οποίο ακολουθεί ο σχετικός γερµανικός νόµος, διαπιστώνεται δε ότι η πλειονότητα των διατάξεων για τη λήψη µέτρων εφαρµογής του ΓΚΠ∆ αφορά τους αναφερόµενους ως «δηµόσιους φορείς».
Γενικότερα, στηρίζεται σε διαφορετική αντίληψη σε σχέση µε εκείνη του επί 20ετία ισχύοντος ν. 2472/1997 (κατ’ εφαρµογή της Οδηγίας 95/46/ΕΚ), αλλά και της παράδοσης που δηµιουργήθηκε από την ερµηνεία του, τόσο από τα δικαστήρια, όσο και από την Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠ∆ΠΧ»).
Στο πεδίο ενσωµάτωσης της Οδηγίας 680/2016 παρατηρείται ότι ενώ σύµφωνα µε το άρθρο 1 παρ. 1 και 2 εδ. β’ αυτής («Αντικείµενο και στόχοι») θεσπίζονται οι κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα από αρµόδιες αρχές (αστυνοµικές, δικαστικές, εισαγγελικές κ.λπ.) για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικηµάτων κ.λπ., κατά την ενσωµάτωση των ρυθµίσεων της Οδηγίας ως προς το σκοπό, το αντικείµενο και τους στόχους παραλείπεται η στόχευση της προστασίας των φυσικών προσώπων «έναντι» της επεξεργασίας των δεδοµένων τους από τις αρχές και γίνεται αναφορά µόνο στην πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικηµάτων.
Και ναι µεν το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα δεν είναι απόλυτο και η συναφής επεξεργασία θα πρέπει παράλληλα να προορίζεται να εξυπηρετεί τον άνθρωπο (αιτ. σκ. 4 ΓΚΠ∆), πλην όµως, η υιοθέτηση εθνικών ρυθµίσεων θα πρέπει να λαµβάνει χώρα υπό το πρίσµα των άρθρων 16 παρ. 1 ΣΛΕΕ, 8 ΧΘ∆ΕΕ, 8 ΕΣ∆Α, 9Α και 19 παρ. 3 Ελληνικού Συντάγµατος καθώς αφορά την προστασία κλασσικού θεµελιώδους ατοµικού αµυντικού δικαιώµατος (βλ. αιτ. σκ. 1, 2, 10-13 ΓΚΠ∆ και 1-4 και 7-9 Οδηγίας 680/2016).
Εν όψει των ανωτέρω επισηµάνσεων η Αρχή αποφάσισε να εξετάσει αφενός, την εφαρµογή του ΓΚΠ∆ δια της λήψης εθνικών νοµοθετικών µέτρων περιοριζόµενη επί του παρόντος σε γενικότερες παρατηρήσεις για κάποιες εκ των διατάξεων για τις οποίες δηµιουργούνται αµφιβολίες ως προς τη συµβατότητα τους προς τον ΓΚΠ∆ ή χρήζουν ερµηνείας, αφετέρου, την ενσωµάτωση της Οδηγίας 680/16 ως προς τις σηµαντικότερες διατάξεις της και επιφυλασσόµενη να εξετάσει κάθε ειδικότερο σχετικό θέµα που θα 6 ανακύπτει στο πλαίσιο της άσκησης των κατά το ΓΚΠ∆ και το ν. 4624/2019 αρµοδιοτήτων της.
Οίκοθεν νοείται ότι δεν θα τύχουν εφαρµογής από την Αρχή κατά την άσκηση των αρµοδιοτήτων της διατάξεις του ν. 4624/2019, οι οποίες θα κριθούν ότι έρχονται σε αντίθεση µε τον ΓΚΠ∆ ή δεν βρίσκουν έρεισµα σε «ρήτρες ανοίγµατος – εξειδίκευσης».
Τι αναφέρει η Αρχή για το άρθρο 27 για τα δεδομένα εργαζομένων
Όπως αναφέρεται στη γνωμοδότηση της Αρχής, με την εκδοχή, κατά την οποία µε την παρ. 1 του άρθρου 27 του νόµου εισάγεται µοναδική νοµική βάση επεξεργασίας για κάθε σκοπό επεξεργασίας στο πλαίσιο των εργασιακών σχέσεων, στην οποία κατ’ ουσία «συγχωνεύονται» οι νοµικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠ∆ και άρα αποκλείεται η αυτοτελής εφαρµογή τους (πλην της συγκατάθεσης, που προβλέπεται ρητά στην παράγραφο 2 του άρθρου 27 του νόµου), η ρύθµιση έρχεται σε αντίθεση µε τις διατάξεις του άρθρου 88 παρ. 1 ΓΚΠ∆ µε βάση τις οποίες επιτρέπεται η «θέσπιση ειδικών κανόνων» για την εξειδίκευση κανόνων επεξεργασίας που βασίζονται στις νοµικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠ∆ και όχι για την δηµιουργία νέων νοµικών βάσεων ή τον αποκλεισµό εφαρµογής των νοµικών βάσεων του ΓΚΠ∆.
Σηµειώνεται ότι η παροχή εξουσιοδότησης από το άρθρο 88 παρ. 1 ΓΚΠ∆ προς τα κράτη µέλη προκειµένου να θεσπίσουν ειδικούς κανόνες, αποσκοπεί, κατά ρητή πρόβλεψη του ίδιου άρθρου, στην διασφάλιση της προστασίας των δικαιωµάτων και των ελευθεριών έναντι της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων στο πλαίσιο της απασχόλησης.
Τέτοια προστασία δεν παρέχεται στον εργαζόµενο όταν κάθε επεξεργασία δεδοµένων προσωπικού χαρακτήρα για διαφορετικούς σκοπούς έχει ως αποκλειστική νοµική βάση την εκτέλεση της σύµβασης από την οποία αυτός δεσµεύεται και µε τον τρόπο αυτό παρακάµπτεται η τυχόν εφαρµογή άλλων, περισσότερων κατάλληλων, νοµικών βάσεων.
Με την αντίθετη ορθή άποψη ότι δεν αποκλείεται η αυτοτελής εφαρµογή των λοιπών νοµικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠ∆, παρέχεται στον εργαζόµενο η δυνατότητα ελέγχου της ορθής και νόµιµης εφαρµογής της οικείας νοµικής βάσης, η οποία θα µπορούσε να οδηγήσει τελικά σε απαγόρευση της επεξεργασίας π.χ. όταν κριθεί στην περίπτωση του άρθρου 6 παρ. 1 εδ. ε’ ΓΚΠ∆ ότι η επεξεργασία δεν αφορά εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή στην περίπτωση του άρθρου 6 παρ. 1 εδ. στ’ ΓΚΠ∆ ότι η εκπλήρωση του έννοµου συµφέροντος του εργοδότη δεν υπερισχύει του συµφέροντος ή των θεµελιωδών δικαιωµάτων και ελευθεριών του εργαζοµένου (πρβλ. ΑΠ∆ΠΧ 26/2019 παρ. 16 µε παραποµπές στις Γνώµες της Οµάδας Εργασίας του άρθρου 29).
Συµπερασµατικά, η παράγραφος 1 του άρθρου 27 του νόµου είτε θεωρηθεί επανάληψη του εδαφίου β’ της παρ. 1 του άρθρου 6 ΓΚΠ∆, είτε θεωρηθεί ως µια νέα αποκλειστική νοµική βάση για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων µε την οποία αποκλείεται η εφαρµογή των νοµικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠ∆, έρχεται σε αντίθεση µε τον ΓΚΠ∆. 2. Η εφαρµογή της νοµικής βάσης της συγκατάθεσης στον τοµέα των εργασιακών σχέσεων δεν απαγορεύεται απόλυτα (βλ. αιτ. σκ. 155 ΓΚΠ∆), αλλά αποκλείεται όταν η τελευταία, κατά παράβαση του άρθρου 7 ΓΚΠ∆, δεν παρέχεται ελεύθερα, ρητά, συγκεκριµένα, µε πλήρη επίγνωση και πραγµατική δυνατότητα ανάκλησης της (βλ. αιτ. σκ. 32 & 42 ΓΚΠ∆).
Η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νοµική βάση για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα σε µια συγκεκριµένη περίπτωση, όταν υπάρχει σαφής ανισότητα µεταξύ του υποκειµένου των δεδοµένων και του υπευθύνου επεξεργασίας (βλ. αιτ. σκ. 43 ΓΚΠ∆), όπως στην περίπτωση των εργασιακών σχέσεων.
Με την παράγραφο 2 του ίδιου άρθρου, προβλέπεται κατ’ αρ. 88 παρ. 2 ΓΚΠ∆ ως κατάλληλο και ειδικό µέτρο, η προϋπόθεση της εξαιρετικής χρήσης της νοµικής βάσης της συγκατάθεσης στην επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων.
Η εξαιρετική χρήση της νοµικής βάσης της συγκατάθεσης στην επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων, εν όψει της ανισορροπίας ισχύος των µερών, είναι σύµφωνη µε τον ΓΚΠ∆ εφόσον αφενός, αποκλεισθεί η εφαρµογή των λοιπών νοµικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠ∆, ιδίως εκείνων των άρθρων 6 παρ. 1 εδ. β’, γ’ και στ’2 , αφετέρου, διαπιστωθεί ότι πληρούνται οι όροι της έγκυρης συγκατάθεσης κατ’ αρ. 4 περ. 11 και 7 ΓΚΠ∆ (βλ. ΑΠ∆ΠΧ 37/2019 παρ. 5 και ΑΠ∆ΠΧ 26/2019 παρ. 10-16 και ιδίως 20).
Τι αναφέρει η Αρχή για την εφαρμογή του Ν. 3471/2006 (ηλεκτρονικές επικοινωνίες)
Όπως αναφέρεται στη γνωμοδότηση της Αρχής, με το νέο νόμο διατηρούνται σε ισχύ οι κυρώσεις του ν. 3471/06.
Αν και η εν λόγω διάταξη δεν έρχεται σε αντίθεση µε το ΓΚΠ∆ ή την Οδηγία 2002/58/ΕΚ (Οδηγία e-Privacy) όπως έχει τροποποιηθεί µε την Οδηγία 2006/136/ΕΚ, είναι απαραίτητο το σύστηµα των κυρώσεων του εν λόγω νόµου να εναρµονιστεί µε αυτό του ΓΚΠ∆. Ο ν. 3471/2006, ο οποίος ενσωµατώνει την οδηγία e-Privacy, αποτελεί συµπλήρωση και εξειδίκευση του θεσµικού πλαισίου της προστασίας των δεδοµένων προσωπικού χαρακτήρα στον τοµέα των ηλεκτρονικών επικοινωνιών (lex specialis derogat legi generali), ως προς τις επιβαλλόµενες δε κυρώσεις είχε προβλέψει την εφαρµογή των σχετικών διατάξεων του ν. 2472/1997.
Ο τοµέας αυτός κρίθηκε ιδιαίτερα κρίσιµος ώστε να ρυθµιστεί µε εξειδικευµένο θεσµικό πλαίσιο, το οποίο να είναι σε θέση να ανταποκρίνεται στις προκλήσεις που εισάγουν νέες προηγµένες ψηφιακές τεχνολογίες στα δηµόσια δίκτυα επικοινωνίας, οι οποίες δηµιουργούν ειδικές απαιτήσεις όσον αφορά την προστασία των δεδοµένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής του χρήστη. Κρίσιµο στοιχείο για την αποτελεσµατική επιβολή της νοµοθεσίας για τα δεδοµένα προσωπικού χαρακτήρα σε κάθε τοµέα είναι η ύπαρξη ενός συνεκτικού πλαισίου κυρώσεων. Για το σκοπό αυτό, οι κυρώσεις για παραβάσεις που σχετίζονται µε δεδοµένα προσωπικού χαρακτήρα και προβλέπονται στο ν. 3471/2006 πρέπει να εναρµονιστούν µε τις κυρώσεις του ΓΚΠ∆.
Σε διαφορετική περίπτωση διασπάται η εναρµόνιση που είχε εισαχθεί σε σχέση µε τον προϊσχύοντα του ΓΚΠ∆ ν. 2472/1997 και ενδέχεται ιδιαίτερα σοβαρές παραβάσεις (π.χ. περιστατικό παραβίασης δεδοµένων προσωπικού χαρακτήρα σε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας) να αντιµετωπίζονται µε το εξαιρετικά πεπαλαιωµένο σύστηµα κυρώσεων του ν. 2472/1997.
Είναι άλλωστε παράδοξο το σύστηµα κυρώσεων ενός τοµέα που κρίθηκε ιδιαίτερα κρίσιµος να είναι τόσο διαφορετικό και αναποτελεσµατικό, σε σχέση µε το γενικό πλαίσιο του ΓΚΠ∆.
Δείτε αναλυτικά τη γνωμοδότηση της ΑΠΔΠΧ