Ο νόμος περιλαμβάνει μέτρα εφαρμογής του πακέτου ευρωπαϊκής νομοθεσίας για τα προσωπικά δεδομένα που έχει τεθεί σε υποχρεωτική ισχύ σε όλες τις χώρες της Ευρωπαϊκής Ένωσης από τις 25 Μαΐου 2018. Δεδομένης της αναγκαστικής ισχύος και της φύσης των ευρωπαϊκών νόμων καθίσταται αντιληπτό ότι η Ελλάδα όφειλε να συμμορφωθεί νομοθετικά προς τις καινούριες επιταγές από τις 25 Μαΐου 2018. Δυστυχώς, όχι μόνο δεν το έπραξε αλλά εξαιτίας της καθυστέρησης ενσωμάτωσης στην εσωτερική εθνική νομοθεσία τμήματος του ευρωπαϊκού νομοθετικού πακέτου (ειδικότερα της Οδηγίας 2016/680 που αφορά στην επεξεργασία προσωπικών δεδομένων στο ποινικό επίπεδο) κινδυνεύει με πρόστιμο εκατομμυρίων ευρώ, καθώς έχει παραπεμφθεί στο Δικαστήριο της Ευρωπαϊκής Ένωσης. Θα πρέπει να τονιστεί πως παρά την ψήφιση του νέου νόμου, δεν υποκαθίσταται η πλημμελής εφαρμογή της ευρωπαϊκής νομοθεσίας, συνεπώς οι διατάξεις της ισχύουν από τον Μάιο του 2018. Ήδη μάλιστα, επιβλήθηκε στην Ελλάδα το πρώτο πρόστιμο ύψους 150.000 ευρώ σε μεγάλη εταιρεία για παράνομη επεξεργασία προσωπικών δεδομένων των εργαζομένων της ενώ και σε άλλα κράτη της ΕΕ, όπως στην Κύπρο, τη Γαλλία και τη Γερμανία έχουν επιβληθεί υψηλές κυρώσεις για προσβολές προσωπικών δεδομένων, σύμφωνα με τον νέο ευρωπαϊκό νόμο.
Η ψηφισθείσα εθνική νομοθεσία κρίνεται επομένως επιτακτικής ανάγκης τόσο για την ευρωπαϊκή παρουσία της χώρας μας όσο και για την ασφάλεια όλων μας. Η προστασία των προσωπικών δεδομένων αποτελεί ένα διεθνώς και ευρωπαϊκώς κατοχυρωμένο δικαίωμα. Στο ελληνικό Σύνταγμα θεμελιώνεται στο άρθρο 9Α. Τι είναι όμως προσωπικά δεδομένα και γιατί είναι τόσο σημαντικός ο εν λόγω ψηφισθείς νόμος; Πριν να δοθεί μια ολοκληρωμένη απάντηση, αξίζει να παρατεθούν ορισμένες χρήσιμες παρατηρήσεις.
Αρχικά, θα πρέπει να σημειωθεί ότι στην Ελλάδα ίσχυε για περισσότερο από 20 χρόνια, ο ν. 2472/1997 περί προστασίας προσωπικών δεδομένων, ο οποίος όμως έπρεπε να αντικατασταθεί λόγω των σύγχρονων νομοθετικών και τεχνολογικών εξελίξεων. Συνεπώς, ο νόμος που ψηφίσθηκε δεν αφορά κάτι τελείως καινούριο. Προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία, οποιοδήποτε στοιχείο που μπορεί να οδηγήσει στην ταυτοποίηση ενός φυσικού προσώπου (όχι επομένως εταιρείες ή οργανισμούς) εν ζωή. Ένα αεροπορικό εισιτήριο, ο αριθμός του τηλεφώνου μας, μια αγορά που κάνουμε στο διαδίκτυο, η ηλεκτρονική μας αλληλογραφία, το όνομά μας, είναι μερικά απλά παραδείγματα.
Eπίσης, αποτελεί σύνηθες φαινόμενο η αποστολή διαφημιστικών μηνυμάτων είτε στο κινητό μας είτε στην ηλεκτρονική μας αλληλογραφία και αλλού από εταιρείες, καταστήματα και οργανισμούς σχετικά με προσφερόμενα προϊόντα και παρεχόμενες υπηρεσίες τους. Παρομοίως, συχνά δεχόμαστε επανειλημμένες τηλεφωνικές κλήσεις (μέχρι και ενοχλήσεις!) από εταιρείες στο κινητό ή σταθερό μας τηλέφωνο.
Ακόμη, όταν πραγματοποιούμε μια αγορά στο διαδίκτυο και γενικότερα στις ηλεκτρονικές μας συναλλαγές καλούμαστε να δώσουμε ορισμένα προσωπικά μας στοιχεία, όπως ονοματεπώνυμο, διεύθυνση μέχρι και αριθμό τραπεζικού λογαριασμού. Ειδικά, στο ίντερνετ η κατάσταση προσλαμβάνει εξαιρετικό ενδιαφέρον καθώς συμμετέχουμε σε συζητήσεις, ιδιωτικές ή δημόσιες, έχουμε λογαριασμούς, αποκτούμε πρόσβαση σε διάφορες ιστοσελίδες ενώ η πλειονότητα των ανήλικων παιδιών απολαμβάνει υπηρεσίες διαδικτύου, με σχετική άγνοια κινδύνου.
Ασφαλώς, προσωπικά δεδομένα μας διαμοιράζουμε και στις συναλλαγές μας με το Δημόσιο, όπως στις τράπεζες, σε δήμους, εφορίες και άλλους οργανισμούς.
Στις παραπάνω παρατηρήσεις μπορούν να προστεθούν πολλές ακόμη σκέψεις. Έχουμε άραγε αναρωτηθεί πού καταλήγουν όλα τα προσωπικά δεδομένα που διαμοιράζουμε; Πώς προστατεύονται, από ποιον, για πόση χρονική διάρκεια και για ποιον σκοπό; Είναι μερικά από τα πιο κρίσιμα και εύλογα ερωτήματα που προκύπτουν.
Η νέα εθνική νομοθεσία έρχεται να συμπληρώσει αρκετά κενά που είχαν δημιουργηθεί και να προσαρμοστεί στις τρέχουσες τεχνολογικές εξελίξεις. Ενδεικτικά, και χωρίς να γίνει μια λεπτομερής ανάλυση των διατάξεών της, μπορούμε να αναφέρουμε τα ακόλουθα: εφαρμόζεται σε οποιαδήποτε περίπτωση συντελείται επεξεργασία προσωπικών δεδομένων από φορέα που είτε βρίσκεται εντός ελληνικής επικράτειας είτε όχι, αρκεί αυτός να επεξεργάζεται πληροφορίες του. Επίσης, όλοι οι δημόσιοι φορείς υποχρεούνται να ορίσουν εξειδικευμένο άτομο, που ονομάζεται Υπεύθυνος Προστασίας Δεδομένων, το οποίο θα παρακολουθεί και θα ελέγχει τη συμμόρφωσή τους προς τις νομοθετικές επιταγές. Σημειώνεται ότι βάσει της ευρωπαϊκής νομοθεσίας και οι ιδιωτικοί φορείς που επεξεργάζονται δεδομένα σε μεγάλη κλίμακα (όπως γυμναστήρια, φροντιστήρια, ιδιωτικά σχολεία, ξενοδοχεία, τράπεζες, κλινικές) οφείλουν να ορίσουν υπεύθυνο προστασίας δεδομένων. Στη συνέχεια, προβλέπονται διατάξεις που επαυξάνουν την ευθύνη όλων των προσώπων που επεξεργάζονται προσωπικά δεδομένα ατόμων και που εφεξής θα πρέπει να αποδεικνύουν τη λήψη όλων των κατάλληλων μέτρων. Ασφαλώς, περιλαμβάνονται πρόνοιες για δικαιώματα που έχουν τα υποκείμενα των δεδομένων προκειμένου να προστατέψουν την ιδιωτική τους ζωή. Ως προς τους ανηλίκους, πλέον για την απόλαυση υπηρεσιών διαδικτύου απαιτείται η συμπλήρωση του 15ου έτους της ηλικίας τους και η λήψη της συγκατάθεσής τους, ενώ κάτω του 15ου έτους χρειάζεται του γονέα ή νομίμου αντιπροσώπου του. Η παροχή συγκατάθεσης αναδεικνύεται εξόχως σημαντική στο νομοθέτημα, κατ’ εφαρμογή της ευρωπαϊκής νομοθεσίας, καθώς πλην ειδικών εξαιρέσεων που αναφέρονται στη νομοθεσία, η αυθαίρετη επεξεργασία προσωπικών δεδομένων απαγορεύεται.
Γίνεται συνεπώς αντιληπτό ότι ο νόμος για τα προσωπικά δεδομένα επηρεάζει και αφορά όλους. Οι κυρώσεις που προβλέπονται για παραβίαση των διατάξεων είναι πολύ αυστηρές και ψηλές και ήδη, όπως τονίστηκε, έχουν ξεκινήσει έλεγχοι και επιβολή ποινών από την Ελληνική Αρχή Προστασίας Δεδομένων. Από τα επίσημα στοιχεία φαίνεται ότι έχουν υποβληθεί, μετά τη θέσπιση της ευρωπαϊκής νομοθεσίας τον Μάιο του 2018, αρκετά παράπονα και καταγγελίες για παραβίαση προσωπικών δεδομένων τους. Σε γενικές γραμμές, θα πρέπει να παρέχεται σαφής πολιτική προστασία προσωπικών δεδομένων και ευθυγραμμισμένη με την εθνική και ευρωπαϊκή νομοθεσία από οποιονδήποτε που επεξεργάζεται προσωπικές πληροφορίες. Ωστόσο, τα αυστηρά πρόστιμα που ορίζονται δεν θα πρέπει να προκαλούν τον τρόμο στις επιχειρήσεις και στους φορείς, δημόσιους και ιδιωτικούς, που διαχειρίζονται προσωπικά δεδομένα. Αντίθετα, εκείνο που χρειάζεται είναι η κατάλληλη εκπαίδευση, πρόληψη και συμμόρφωση από πρόσωπα που διαθέτουν ξεχωριστή εμπειρογνωσία στον τομέα των προσωπικών δεδομένων. Σίγουρα, ο νέος νόμος που θα τεθεί σε ισχύ θα χρειαστεί περαιτέρω ανάλυση και πρακτική εξειδίκευσή του. Ενδεχομένως να υποστεί και μελλοντικές τροποποιήσεις. Άλλωστε και η ευρωπαϊκή νομοθεσία τυγχάνει συνεχούς ερμηνείας και επεξήγησης. Σε κάθε περίπτωση όμως η θέσπισή του συνιστά απαίτηση κάθε ευνομούμενης και δημοκρατικής κοινωνίας που, αφενός, σέβεται και περιφρουρεί τα δικαιώματα των πολιτών της και, αφετέρου, προσδιορίζει με γνώμονα την αρχή δικαίου στις υποχρεώσεις τους.
Από τον Κωνσταντίνο Κουρούπη
* Ο Κωνσταντίνος Κουρούπης είναι επίκουρος καθηγητής Ευρωπαϊκού Δικαίου και Δικαίου Προσωπικών Δεδομένων του Τμήματος Νομικής Πανεπιστημίου Frederick στην Κύπρο