Ξηλώνοντας νομοθετικά την ευρωπαϊκή προστασία δεδομένων

του Βασίλη Σωτηρόπουλου*

Ένα λάθος δεν διορθώνεται, αν κάνεις ένα μεγαλύτερο για να το αποφύγεις.

Αυτός ο κίνδυνος είναι ορατός για την Ελλάδα, ύστερα από την προσφυγή της Κομισιόν στο Δικαστήριο της Ε.Ε. με αιτημα να μας επιβληθεί πρόστιμο για την μη ενσωμάτωση της οδηγίας για την προστασία δεδομένων από τις διωκτικές αρχές. Διαβάσαμε ότι μόλις το έμαθε ο πρωθυπουργός, έδωσε αμέσως εντολή να έρθει το νομοσχέδιο. Πράγματι, δόθηκε προς δημόσια διαβούλευση ένα νομοσχέδιο που υπήρχε στα συρτάρια της προηγούμενης κυβέρνησης, αλλά δεν ερχόταν ποτέ στην Βουλή. Και φαίνεται ότι υπήρχε σοβαρός λόγος για τον οποίο δεν ερχόταν: κάποιοι καταλάβαιναν ότι έχει πάρα πολλά λάθη. Η κυβέρνηση τώρα, στην φούρια να αντιμετωπίσει το Δικαστήριο, σπεύδει όπως – όπως να προχωρήσει αυτό που βρήκε έτοιμο. Η δημόσια διαβούλευση θα διαρκέσει έως τις 20 Αυγούστου, περίοδος που θα μπορούσε να θεωρηθεί ουσιαστικά νεκρή για κάθε σοβαρό επιστημονικό διάλογο.

Το νομοσχέδιο αυτό έχει πολλά προβλήματα και παραβιάζει αρκετές αρχές που επικρατούν στο δίκαιο της προστασίας των προσωπικών δεδομένων. Μία από τις αρχές αυτές είναι ότι δεν είναι επιτρέπεται η συλλογή και επεξεργασία προσωπικών δεδομένων όταν βασίζεται στην συγκατάθεση του υποκειμένου των δεδομένων, στις περιπτώσεις που υπάρχει ανισότητα ισχύος ανάμεσα στο άτομο και τον συλλέκτη των δεδομένων. Ο GDPR στον αρ. 43 του προοιμίου του αναφέρει ξεκάθαρα ότι δεν νοείται συγκατάθεση όταν τα δεδομένα συλλέγονται από δημόσια αρχή: για να είναι νόμιμη η συλλογή πρέπει να συντρέχει άλλος λόγος νομιμότητας της (π.χ. δημόσια τάξη), διότι κανένας πολίτης δεν μπορεί να δώσει μια πραγματικά ελεύθερη συγκατάθεση στο κράτος. Είναι εξ ορισμού άνισα μέρη! Το ίδιο ισχύει και για τους εργοδότες, οι οποίοι επιτρέπεται να συλλέγουν μόνο όσα δεδομένα των εργαζομένων είναι αναγκαία για την εργασία τους. Να όμως που δύο άρθρα του νομοσχεδίου δέχονται αφενός την συγκατάθεση προς το κράτος (άρθρο 24) και αφετέρου την συγκατάθεση προς τον εργοδότη (άρθρο 27) ως μια κανονική νομική βάση! Η Αρχή εφαρμόζοντας τον GDPR έβαλε πρόστιμο 150.000 ευρώ σε πολυεθνική, διότι συνέλεγε δεδομένα από τους εργαζόμενους με βάση την συγκατάθεσής τους και τώρα ο νομοθέτης θα έρθει να πει ότι αυτό είναι νόμιμο; Μόνο για τις περιπτώσεις που η συγκατάθεση αφορά υπηρεσίες πρόσθετης αξίας (π.χ. τα cookies που δεχόμαστε σε ιστοσελίδες του Δημοσίου) έχει κριθεί από τις Βρυξέλλες ότι είναι νόμιμο αυτό. Θα γίνουμε ο περίγελως της Ευρώπης. Πάλι!

Μια άλλη παράμετρος, πολύ ενδιαφέρουσα είναι ότι το νομοσχέδιο αφαιρεί πλήρως την αρμοδιότητα της Αρχής Προστασίας Δεδομένων από τις παραβάσεις των μέσων ενημέρωσης (άρθρο 28)! Ενώ, παγκοσμίως, κεντρική αποστολή αυτών των Αρχών είναι να παρεμβαίνουν ως θεματοφύλακες της ιδιωτικής ζωής από την αδηφάγα και σκανδαλοθηρική δημοσιογραφία. Ποιος δεν θυμάται την υπόθεση του γνωστού τραγουδιστή με την προβολή προσωπικού του βίντεο και τις αβάσιμες κατηγορίες για παιδοφιλία, από εκπομπή “αποκαλύψεων” και την παρέμβαση με πρόστιμο της Αρχής, επί Δαφέρμου. Ποιος δεν θυμάται την αυτοκτονία συλληφθέντος ύστερα από “επιχείρηση – Αρετή” της αστυνομίας σε γκέι μπαρ και την μετάδοση του ονόματός του από μεσημεριανή εκπομπή; Ποιος δεν θυμάται τον τηλεοπτικό και διαδικτυακό διασυρμό των οροθετικών γυναικών που συνελήφθησαν το 2012 και στη συνέχεια, όσες επέζησαν, δικαιώθηκαν στα Δικαστήρια; Ή το e-mail ερωτικής συνομιλίας δικαστή που αναπαρήχθη σε πρωτοσέλιδα εφημερίδων; Ή την υπόθεση Ζαχόπουλου; Αλοίμονο, αν η Αρχη Προστασίας Δεδομένων δεν έχει αρμοδιότητα για τις κατ’ εξοχήν φαγάνες των ευαίσθητων δεδομένων, δηλαδή την κακή δημοσιογραφία και τον κίτρινο τύπο!

Είναι βέβαιο το νομοσχέδιο αυτό δεν θα μας απαλλάξει από το επικείμενο πρόστιμο: έχουμε υπερβεί την προθεσμία ενσωμάτωσης κατά 1,5 χρόνο. Έπειτα, τα νομικά λάθη που ενσωματώνει, αν περιεχθούν σε νόμο, θα οδηγήσουν σε πρόσθετες κυρώσεις εναντίον της Ελλάδας για κακή εφαρμογή του ευρωπαϊκού δικαίου. Συνεπώς, η πίεση χρόνου αφενός δεν είναι ένας υπαρκτός κίνδυνος, αφετέρου μπορεί να οδηγήσει σε νέα λάθη. Η λύση που βλέπω θα ήταν να ψηφιστεί μόνο το μέρος του νομοσχεδίου που αφορά την επίμαχη Οδηγία 2016/680 (δηλαδή το κεφάλαιο Δ) και να διαγραφεί όλο το μέρος που αφορά την “υποδοχή” του GDPR, ο οποίος άλλωστε είναι άμεσης εφαρμογής. Και, παράλληλα, να συγκροτηθεί μια νομοπαρασκευαστική επιτροπή με αντικείμενο όχι απλά πλέον την “ενσωμάτωση” και την “πλαισίωση”, αλλά την κατάρτιση ενός Κώδια Προστασίας Δεδομένων και Πρόσβασης στην Πληροφόρηση. Όλα τα άλλα είναι ημίμετρα.

*Ο Βασίλης Σωτηρόπουλος είναι δικηγόρος  Δικηγορικού  Συλλόγου Αθηνών