data protection – MPlegal

May 18, 2021May 26, 2021

Εθνική κυριαρχία στην ψηφιακή εποχή

Δημοσιεύθηκε στο 2045.gr, 18.05.2021

Που (πρέπει να) βρίσκονται τα δεδομένα μας;

Πριν λίγες μέρες για τις ανάγκες μιας ακαδημαϊκής παρουσίασης σχετικά με «παραβιάσεις προσωπικών δεδομένων» (personal data breaches) θυμήθηκα εκείνη τη διαρροή δεδομένων των αεροπορικών εταιρειών που «άγγιξε» και την Ελλάδα, αφού σχετικές ενημερώσεις πήραμε και όσοι χρησιμοποιούμε συχνά την Aegean. Ψάχνοντας λίγο περισσότερο είδα ότι την παραβίαση στην ουσία την υπέστη η εταιρεία Sita, η οποία από ό,τι φαίνεται επεξεργάζεται όλα τα δεδομένα των ευρωπαίων που ταξιδεύουμε με αεροπλάνο, αφού εξυπηρετεί εκατοντάδες αεροπορικές εταιρείες μεταξύ των οποίων και όσες ανήκουν στη Star (Lufthansa group) αλλά και στην One World (British Airways group) alliance.

Τι εθνικότητας είναι η Sita; Κανείς δεν μπορεί να ξέρει, επειδή το κρύβει επιμελώς (έβαλε άλλωστε και τον Guardian να κάνει διόρθωση σχετικά). Τυπικά έχει έδρα στην Ελβετία (Γενεύη), ουσιαστικά ίσως στην Αμερική (Ατλάντα), όμως κανείς δεν μπορεί να είναι σίγουρος. Σε κάθε περίπτωση πάντως, αν κάτι γι αυτήν είναι σίγουρο είναι ότι δεν πρόκειται για ευρωπαϊκή εταιρεία.

Όλα τα δεδομένα, επομένως, από οποιαδήποτε πτήση κάθε Έλληνα πολίτη τηρούνται, άμεσα ή έμμεσα, στην Αμερική (ή, τέλοσπάντων, η αμερικανική κυβέρνηση μπορεί με τον έναν ή τον άλλον τρόπο να αποκτήσει πρόσβαση σε αυτά).

Το ίδιο ακριβώς ισχύει και για όλα τα οικονομικά δεδομένα κάθε Έλληνα πολίτη: Η Visa και η Mastercard είναι αμερικανικές εταιρείες.

Τι άλλο κάνει ένας άνθρωπος μέσα στην ημέρα του εκτός από το να καταναλώνει και ίσως να ταξιδεύει; Εργάζεται. Η Microsoft, η Google και η Apple είναι αμερικανικές εταιρείες. Θυμίζω επίσης ότι ενώ στο παρελθόν τα εργαλεία software τα αγόραζε κανείς «από το ράφι», τα εγκαθιστούσε στο εσωτερικό του δίκτυο και τα δεδομένα του τηρούνταν τοπικά, σήμερα όλα τα παραπάνω προϊόντα λειτουργούν στο cloud.

Φυσικά, δεν υπάρχει κανένας νομίζω λόγος να θυμίσω ότι και η διασκέδαση του μέσου Έλληνα παρέχεται απευθείας από αμερικανικές εταιρείες, από τα social media μέχρι το Netflix και τα ηλεκτρονικά παιχνίδια-πλατφόρμες.

Σταματώ εδώ, όχι τόσο για λόγους οικονομίας κειμένου όσο γιατί εδώ σταματούν οι γνώσεις μου. Δεν γνωρίζω τι συμβαίνει με τα δεδομένα των οπλικών συστημάτων, ούτε με τις τεχνολογικές υποδομές πίσω από τα κρατικά δεδομένα ασφαλείας, ούτε καν τις τεχνολογικές υποδομές πίσω από τα απλά δεδομένα των Ελλήνων πολιτών που τηρεί η ελληνική κυβέρνηση. Φαντάζομαι ότι μέτρα ασφαλείας τήρησης των δεδομένων θα έχουν ληφθεί τόσο σε ελληνικό όσο και σε ευρωπαϊκό επίπεδο, αν και μάλλον θα έπρεπε κανείς να είναι αφελής για να πιστέψει ότι οι, Αμερικανοί κατασκευαστές τους δεν έχουν λάβει και εκείνοι τα δικά τους μέτρα πρόσβασης και σε αυτά τα δεδομένα αν χρειαστεί. Άλλωστε, αυτή ακριβώς η υποψία δεν βρίσκεται πίσω από την αμερικανική εναντίωση να χρησιμοποιούμε κινεζικά προϊόντα για τις αντίστοιχες χρήσεις;

Συνεπώς σήμερα όλα τα δεδομένα μας ή και του ελληνικού κράτους οποιαδήποτε ώρα και στιγμή μιας οποιασδήποτε ημέρας τα επεξεργάζονται αμερικανικές εταιρείες, οι οποίες μάλιστα πιθανότατα, πολύ βολικά, παρέχουν και υπηρεσίες αποθήκευσης και τήρησής τους. Αντίστοιχα, ό,τι ισχύει για την Ελλάδα υποθέτω ότι ισχύει λιγότερο ή περισσότερο και για τα υπόλοιπα ευρωπαϊκά κράτη.

Πως φτάσαμε ως εδώ;

Πριν 20-30 χρόνια αυτή δεν ήταν καθόλου αυτονόητη κατάσταση ούτε για τα κράτη ούτε για τους πολίτες. Το λογισμικό βέβαια ήταν σημαντικό στην Ευρώπη και ήδη χρησιμοποιούνταν από τη δεκαετία του 1970 από τη δημόσια διοίκηση και του 1980 από τον ιδιωτικό τομέα. Όμως, αφενός μέχρι και τα μέσα της δεκαετίας του 1990 τα αρχεία ήταν ακόμα κυρίως σε χαρτί και αφετέρου το λογισμικό ήταν προορισμένο να εγκατασταθεί και να λειτουργήσει τοπικά. Αυτό το δεύτερο έχει, κυρίως, σημασία: Μέχρι και τις αρχές του 2000 κάθε κράτος, κάθε επιχείρηση και κάθε πολίτης αγόραζε πακέτα λογισμικού «από το ράφι», τα εγκαθιστούσε τοπικά μόνος του σε υπολογιστές που ελάχιστα συνδεδεμένοι ήταν μεταξύ τους, και τηρούσε τα δεδομένα του «δίπλα του». Οι ενημερώσεις λογισμικού γίνονταν «με το χέρι». Η τεχνική υποστήριξη παρεχόταν τοπικά, αναγκαστικά με «δια ζώσης» παρουσία τεχνικού.

Το internet, το cloud αλλά και οι επιθετικές συνδρομητικές πολιτικές των (αμερικανικών) εταιρειών ανέτρεψαν για πάντα αυτό το μοντέλο. Οι υπολογιστές, τα smartphones ή τα tablets συνδέονται πλέον ήδη από το άνοιγμα του κουτιού τους με τον κατασκευαστή τους για διαρκή παροχή ενημερώσεων λογισμικού. Οι εφαρμογές μας εγκαθίστανται με download και όχι μέσω cd ή άλλων drives (που πια έχουν εξαφανιστεί). Η τεχνική υποστήριξη παρέχεται αποκλειστικά online, μέσω απομακρυσμένης πρόσβασης.

Έτσι, κατά τα τελευταία είκοσι περίπου χρόνια μπορεί οι τεχνολογικές λύσεις να έγιναν φθηνότερες, ταχύτερες και αποτελεσματικότερες όμως αυτό το πέτυχαν μέσω της αναγκαστικής διαρκούς μετάδοσης των δεδομένων στον (Αμερικανό) κατασκευαστή τους.

“Στην Ελλάδα και στην υπόλοιπη Ευρώπη ανταλλάξαμε, δηλαδή, εθνική κυριαρχία με οικονομικά οφέλη. Δώσαμε έλεγχο, και πήραμε παραγωγικότητα.”

Αυτό περίπου είναι, όπως το βλέπω εγώ, το κοινωνικό, ιστορικό και τεχνολογικό πλαίσιο πάνω στο οποίο διεξάγεται σήμερα ο νομικός διάλογος για data sovereignty, data residency και data localisation. (Τους όρους τους αφήνω επίτηδες αμετάφραστους, όχι μόνο επειδή δεν υπάρχει γενικά αποδεκτή ελληνική απόδοση αλλά και προκειμένου να δώσω τη δυνατότητα σε όποιον ενδιαφέρεται να το ψάξει περισσότερο.) Όμως, όπως είπα, αυτή είναι η δική μου θεώρηση των πραγμάτων (για την οποία έχω ήδη γράψει στο 2045.gr και εδώ). Μια διαφορετική προσέγγιση των ίδιων ακριβώς γεγονότων και της ίδιας πραγματικότητας θα υποστήριζε ίσως ότι η ψηφιακή τεχνολογία έδωσε στην ανθρωπότητα πρωτοφανείς δυνατότητες να επεξεργαστεί δεδομένα φθηνά και γρήγορα και προς όφελος όλων μας. Και ότι δεν πειράζει που στη διαδικασία αυτή τα δεδομένα όλων μας τα τηρεί ένα και μόνο κράτος, επειδή το σύστημα των data centers είναι τόσο διάσπαρτο που κανείς στην ουσία δεν ξέρει που ακριβώς βρίσκεται τι.

Αυτές οι δύο διαμετρικά αντίθετες απόψεις (η σημερινή κατάσταση είναι ή δεν είναι πρόβλημα για τα κράτη και τους πολίτες τους) συγκρούονται σε παγκόσμιο ρυθμιστικό επίπεδο, σε έναν παγκόσμιο νομικό πόλεμο. Η Αμερική, εύλογα, επιθυμεί τη διατήρηση της παρούσας κατάστασης, ιδεολογικά μέσω της ελευθερίας των αγορών και του «ανοίγματος» της ψηφιακής οικονομίας και, πρακτικά, μέσω της συνεχιζόμενης ανοχής στον γιγαντισμό των ψηφιακών εταιρειών της, παρότι δημιουργούν πλέον και στο εσωτερικό της οικονομικά και κοινωνικά προβλήματα. Η Ευρώπη θέλει να διατηρήσει κάπως τον έλεγχο, όμως γνωρίζει ότι για να το πετύχει αυτό διαθέτει μόνο νομικά εργαλεία: Ο GDPR, η νομοθεσία για την κυβερνοασφάλεια και τώρα ίσως και η νομοθεσία για την Τεχνητή Νοημοσύνη βάζουν έμμεσα κανόνες στο που και πως τηρούνται τα δεδομένα. Δεν διαθέτει όμως ακόμα τις τεχνολογικές λύσεις για να υποστηρίξει τα θέλω της. Η Κίνα λειτουργεί το εντελώς δικό της σύστημα, μακριά από την Αμερικανική παντοδυναμία: Δικές της τεχνολογίες, δικές της πιστωτικές κάρτες, δικά της data centers, δικά της social media. H Ρωσία λιγότερο ή περισσότερο ακολουθεί το παράδειγμά της.

Στον παραπάνω νομικό και τεχνολογικό πόλεμο κερδίζονται και χάνονται πολλές μάχες. Για παράδειγμα, ο GDPR ήταν μια κερδισμένη, παγκόσμια μάχη για την Ευρώπη. Η Αυστραλία έχασε από το Facebook. Η Microsoft και η Apple προσπάθησαν, καθεμία με διαφορετικό βαθμό επιτυχίας, να αντισταθούν σε αιτήματα πρόσβασης από τις αμερικανικές αρχές. Η, κινεζική, Huawei «ταλαιπωρήθηκε» από τις αμερικανικές αρχές. Το TikTok το ίδιο.

Και για το μέλλον; Αν με ρωτάτε, είμαι εντελώς πεπεισμένος ότι τα δεδομένα των Ελλήνων πολιτών και του ελληνικού κράτους πρέπει να παραμένουν στην Ελλάδα, προστατευμένα κατά το δυνατό από οποιαδήποτε πρόσβαση τρίτου. Αντιλαμβάνομαι όμως ότι κάτι τέτοιο είναι εντελώς ανέφικτο, αφού οι τεχνολογικές ανάγκες για να συμβεί κάτι τέτοιο μας ξεπερνούν κατά πολύ.

Η Ευρώπη, επομένως, είναι η μόνη λύση. Η αναγκαστική επεξεργασία και τήρηση των δεδομένων σε ευρωπαϊκό έδαφος από ευρωπαϊκές εταιρείες είναι για εμένα μονόδρομος. Localisation, συνεπώς – το sovereignty ή το residency δεν αρκούν. Όπως θα σας πει οποιοσδήποτε νομικός, είναι πρακτικά αδύνατο να επιβάλεις δικό σου νόμο στο εσωτερικό τρίτου κράτους όταν στο κράτος αυτό δεν αρέσει ο νόμος σου. Αυτή όμως είναι η ουσία της εθνικής κυριαρχίας ακόμα και στην ψηφιακή εποχή, ο βασικός ρόλος του κράτους: Η προστασία των πολιτών του σύμφωνα με τους νόμους που οι ίδιοι ψήφισαν. Παλιά αυτό γινόταν εύκολα, με φυσικό τρόπο, εντός εθνικών συνόρων. Αν ψηφιακά σύνορα ίσως σήμερα δεν υπάρχουν (αν και οι Κινέζοι και οι Ρώσοι θα διαφωνούσαν με αυτό), είναι νομίζω καιρός σήμερα να τα δημιουργήσουμε.

February 12, 2020March 24, 2020

New Article: Big data analytics in electronic communications: A reality in need of granular regulation (even if this includes an interim period of no regulation at all)

Vagelis Papakonstantinou and Paul de Hert have just published their latest article, «Big data analytics in electronic communications: A reality in need of granular regulation (even if this includes an interim period of no regulation at all)» in the Computer Law & Security Review, Volume 36 .

Abstract

In this article, we provide an overview of the literature on chilling effects and corporate profiling, while also connecting the two topics. We start by explaining how profiling, in an increasingly data-rich environment, creates substantial power asymmetries between users and platforms (and corporations more broadly). Inferences and the increasingly automated nature of decision-making, both based on user data, are essential aspects of profiling. We then connect chilling effects theory and the relevant empirical findings to corporate profiling. In this article, we first stress the relationship and similarities between profiling and surveillance. Second, we describe chilling effects as a result of state and peer surveillance, specifically. We then show the interrelatedness of corporate and state profiling, and finally spotlight the customization of behaviour and behavioural manipulation as particularly significant issues in this discourse. This is complemented with an exploration of the legal foundations of profiling through an analysis of European and US data protection law. We find that while Europe has a clear regulatory framework in place for profiling, the US primarily relies on a patchwork of sector-specific or state laws. Further, there is an attempt to regulate differential impacts of profiling via anti-discrimination statutes, yet few policies focus on combating generalized harms of profiling, such as chilling effects. Finally, we devise four concise propositions to guide future research on the connection between corporate profiling and chilling effects.

January 30, 2020March 24, 2020

The Proposed ePrivacy Regulation: The Commission’s and the Parliament’s Draft s at a Crossroads?

Vaggelis’ Papakonstinou new chapter, together with Elena Gil Gonzalez and Paul de Hert in Data Protection and Privacy on the (still) draft ePrivacy Regulation (The Proposed ePrivacy Regulation: The Commission’s and the Parliament’s Draft s at a Crossroads?) in the CPDP 2019 book has just been published by Hart Publishing.

November 25, 2019March 24, 2020

Δέκα σκέψεις για τον ν.4624/2019 και τη σχέση του με τον ΓΚΠΔ

Δημοσιεύθηκε από τον Βαγγέλη Παπακωνσταντίνου στο e.themis.gr, 25.11.2019

Δέκα σκέψεις για τον ν.4624/2019, τη σχέση του με τον ΓΚΠΔ, και την προστασία δεδομένων προσωπικού χαρακτήρα στην Ελλάδα εν γένει

Καθώς έχουν ήδη περάσει λίγοι μήνες από την εισαγωγή του ν.4624/2019 και όχι μόνο οι πρώτες κριτικές έχουν ήδη διατυπωθεί (σε αναμονή βέβαια και της σχετικής γνωμοδότησης της Αρχής Προστασίας Δεδομένων), αλλά και η πρώτη λανθασμένη, κατά τη γνώμη μου, ερμηνεία ήδη δημοσιεύθηκε από την επιστημονική υπηρεσία της Βουλής, παρακάτω μερικές σκέψεις μου σχετικά. Αναλυτικά τις παρέθεσα σε ενημερωτική διημερίδα στο Εφετείο Αθηνών κατά τα μέσα Νοεμβρίου, συνοπτικά τις επαναλαμβάνω και εδώ – και αν παραστεί ανάγκη μπορώ να γίνω αναλυτικότερος, διευκρινίζοντας πρώτα ότι όλα όσα ακολουθούν αποτελούν προσωπική μου άποψη και μόνο:

1)Πως προσεγγίζουμε το νέο νομοθετικό πλαίσιο;

Είναι εντελώς λάθος να ξεκινήσει κανείς από τον ν.4624. Ο ελληνικός νόμος λαμβάνει μόνο (κάποια) μέτρα εφαρμογής του Κανονισμού. Παρεμβαίνει μόνο σε όσα θέματα του επιτρέπει ο Κανονισμός, επιλύοντας επιμέρους ζητήματα εθνικής σημασίας (ή ιδιαιτερότητας, αν προτιμάτε). Ο ν.4624 δεν έχει αυτοτέλεια σε σχέση με τον Κανονισμό και έτσι δεν διαθέτει δική του εσωτερική ενότητα, δεν διαβάζεται γραμμικά από την αρχή μέχρι το τέλος, επειδή πολύ απλά δεν βγαίνει νόημα έτσι. Διαβάζεται αποσπασματικά, και μόνο στα ειδικά επιμέρους ζητήματα που ενδιαφέρουν κάθε φορά. Ξεκινώντας κανείς από τον νόμο και πηγαίνοντας μετά στον Κανονισμό είναι σαν να ξεκινά την ανάγνωση ενός βιβλίου από το ευρετήριο.

Επομένως, ο εφαρμοστής του νόμου οφείλει να διαβάσει, να παραμείνει και να επιμείνει, (σ)το κείμενο του Κανονισμού. Αυτό δίνει το βασικό ρυθμιστικό πλαίσιο για τα προσωπικά δεδομένα (και) στην Ελλάδα. Από εκεί ξεκινάμε και εκεί ξαναγυρνάμε, ακόμα κι αν χρειαστεί να κοιτάξουμε δίπλα, στον ν.4624 – ή, και σε άλλους νόμους που ελπίζω ότι σύντομα θα ακολουθήσουν. (Υπό αυτό το πλαίσιο, σημαντική υπηρεσία θα προσέφερε κανείς αν έμπαινε στον κόπο να «κωδικοποιήσει» τον Κανονισμό, εισάγοντας, ως σημειώσεις, τα άρθρα του ν.4624 που επηρεάζουν τις διατάξεις του.)

2)Έχει σημασία η δομή του ν.4624/2019;

Μπορεί ο ν.4624 να μην έχει δική του εσωτερική ενότητα όμως η δομή του έχει σημασία, και πολύ μεγάλη μάλιστα. Συγκεκριμένα, το Κεφάλαιο Α («Γενικές Διατάξεις») ισχύει οριζόντια, για όλες τις επεξεργασίες προσωπικών δεδομένων στην Ελλάδα. Ό,τι ακολουθεί (ακόμα και το Κεφάλαιο Δ που ενσωματώνει την Οδηγία 680) ισχύει ως ειδικές διατάξεις έναντι των γενικών του Κεφαλαίου Α.

3)Γιατί επαναλαμβάνουμε διατάξεις του Κανονισμού στο Κεφάλαιο Α του ελληνικού νόμου;

Εκ πρώτης όψεως φαίνεται πράγματι ότι τα άρθρα 2 και 3 του ελληνικού νόμου δεν είναι τίποτα περισσότερο από μια περιττή άσκηση αντιγραφής-επικόλλησης από το κείμενο του Κανονισμού. Τα φαινόμενα όμως απατούν. Υπάρχει λόγος για την επανάληψη. Για παράδειγμα, ο Κανονισμός εξαιρεί την εθνική ασφάλεια από το πεδίο εφαρμογής του (δεν θα μπορούσε άλλωστε να την ρυθμίζει): Ο εθνικός νόμος, με αυτήν ακριβώς την αντιγραφή-επικόλληση του άρθρου 2, όχι. Έτσι, για τις επεξεργασίες από δημόσιους φορείς που δεν εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού (και της Οδηγίας 680/2016) βρίσκουν ανάλογη εφαρμογή ο Κανονισμός και ο νόμος.

4)Γίνεται διαχωρισμός μεταξύ επεξεργασιών του ιδιωτικού και του δημόσιου τομέα;

Όχι. Όπως ήδη σημείωσα, το βασικό ρυθμιστικό πλαίσιο το δίνει ο Κανονισμός. Εκεί διαχωρισμός δεν γίνεται, δεν γίνεται επομένως ούτε και στην ελληνική έννομη τάξη. Ομολογουμένως ο ελληνικός νόμος, ειδικά το Κεφάλαιο Α, διαβάζεται σαν να ήταν γραμμένο αποκλειστικά για το ελληνικό Δημόσιο, σαν να απευθύνεται μόνο σε αυτό. Τα φαινόμενα όμως και πάλι απατούν (βλ. αμέσως παρακάτω) – όσο για την «επιείκεια» ως προς το ύψος των προστίμων, τα Κράτη-Μέλη έχουν τέτοιο δικαίωμα από τον Κανονισμό και θεωρώ ότι 10εκ.ευρώ είναι αρκετά για να επιτευχθούν οι στόχοι του Κανονισμού.

5)Γιατί επομένως τόση έμφαση στους «δημόσιους φορείς» στο Κεφάλαιο Α του ελληνικού νόμου;

Για πρακτικούς (ρεαλιστικούς, ίσως) λόγους. Το ελληνικό Δημόσιο θεωρήθηκε ότι αξίζει μεγαλύτερης προσοχής, επειδή ο Κανονισμός το έφερε αντιμέτωπο με νέες καταστάσεις. Όπως θα παρατηρήσετε, τρία από τα όλα κι όλα οκτώ άρθρα του Κεφαλαίου Α διευκρινίζουν τα του DPO που πλέον οι οργανισμοί του ελληνικού Δημοσίου οφείλουν να διαθέτουν. Ο ιδιωτικός τομέας θεωρήθηκε ότι είναι πιο εξοικειωμένος με τα θέματα της επεξεργασίας δεδομένων – μια σκέψη που η πράξη μόνο θα επιβεβαιώσει ή θα διαψεύσει.

6)Ποια η σημασία του άρθρου 5;

Το άρθρο 5 ισχύει οριζόντια για κάθε επεξεργασία από δημόσιο φορέα, επειδή βρίσκεται στο Κεφάλαιο Α του ν.4624. Ότι απαιτούνταν ένα τέτοιο άρθρο προκύπτει από απευθείας ανάγνωση του Κανονισμού – αν κανείς διαβάσει το άρθρο 6.1(ε)και μετά το άρθρο 6.3 νομίζω του μένει μικρή αμφιβολία ότι για το δημόσιο νόμιμη βάση αποτελεί είτε ενωσιακό δίκαιο είτε εθνικός νόμος. Από μόνο του το άρθρο 6.1(ε) δεν αρκεί. Ο εθνικός αυτός νόμος για την Ελλάδα είναι το άρθρο 5 του ν.4624 – εκτός αν φυσικά άλλος νεότερος νόμος προβλέψει ειδικότερα. Μέχρι όμως κάτι τέτοιο πράγματι να συμβεί, και να καλύψει ειδικά κάθε μια από τις επεξεργασίες του ελληνικού Δημοσίου, αυτό είναι το άρθρο με το οποίο θα εξακολουθούμε να δουλεύουμε, και το οποίο αναμένεται να καλύψει την συντριπτική πλειοψηφία των επεξεργασιών που το δημόσιο κάνει καθημερινά, ώστε να μπορεί νομίμως να συνεχίσει να τις κάνει.

Το άρθρο 5 του ν.4624 αποτελεί αναμφίβολα εθνική νομική βάση, που καλύπτει τόσο τις επεξεργασίες που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού όσο και του Κεφαλαίου Δ (δηλαδή, της Οδηγίας 680) του νόμου.

7)Έχει σχέση ο ν.4624 και ο Κανονισμός με το 9Α του Συντάγματος;

Όχι. Και σε αυτήν την περίπτωση, όπως στην αμέσως προηγούμενη, αυτό προκύπτει από απλή ανάγνωση των σχετικών διατάξεων. Ο Κανονισμός φέρει τίτλο «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών». Στηρίζεται στο 16 ΣΛΕΕ, στο οποίο επαναλαμβάνονται τα παραπάνω. Ως προς αυτά, ο ν.4624 έχει σκοπό την «λήψη μέτρων εφαρμογής» του Κανονισμού.

Από την άλλη μεριά το 9Α του Συντάγματος λέει ότι «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει».Επομένως, η ελεύθερη κυκλοφορία των δεδομένων λείπει. Ο Κανονισμός δεν έχει σχέση με το 9Α του Συντάγματος.

Τυχόν σύγχυση πηγάζει ενδεχομένως από την μαξιμαλιστική προσέγγιση του Δικαίου Προστασίας Δεδομένων που σημειώθηκε στην Ελλάδα κατά το παρελθόν. Τότε, κατά τη δεκαετία του 1990, υπερτονίστηκε ο προστατευτικός για το άτομο ρόλος του και σχεδόν αγνοήθηκε πλήρως η πράγματι επεξεργασία των δεδομένων και η ελεύθερη κυκλοφορία τους. Η ερμηνεία αυτή ήταν όχι μόνο contralegemαλλά και, ακόμα χειρότερα, δημιούργησε λάθος εντυπώσεις και λάθος προσδοκίες στους απλούς πολίτες στους οποίους άλλωστε τελικά απευθύνεται ο νόμος. Σε μια χώρα μάλιστα που δεν διακρίνεται για τις επιδόσεις της στην ψηφιοποίηση, τουλάχιστον μέχρι σήμερα, αναρωτιέμαι μήπως δεν την έφερε και πίσω στην παγκόσμια τεχνολογική κούρσα.

8)Και η Οδηγία 680/2016;

Η Οδηγία 680 ενσωματώνεται στο Κεφάλαιο Δ. Αν με ρωτούσατε, προσωπικά θα προτιμούσα χωριστό νόμο ώστε να μην δημιουργείται σύγχυση, όμως φαντάζομαι ότι κάτι τέτοιο θα ήταν πρακτικά αδύνατο. Σε κάθε περίπτωση, το Κεφάλαιο Δ του ν.4624 είναι εντελώς ειδικό, νόμος-μέσα-σε-νόμο. Όχι μόνο έχει ειδικούς αποδέκτες (σε αδρές γραμμές, τις αρχές επιβολής του νόμου:Αστυνομικές κλπ. αρχές, εισαγγελικές αρχές, ποινικά δικαστήρια, δικαστικά συμβούλια, ανακριτές και πταισματοδίκες) αλλά αφορά και σε μέρος μόνο των καθημερινών δραστηριοτήτων αυτών των αποδεκτών. Θέλει επομένως προσοχή κατά την ανάγνωσή του από εκείνους στους οποίους απευθύνεται.

Έχοντας πει τα παραπάνω, υπενθυμίζω ότι το Κεφάλαιο Α συνεχίζει να ισχύει και όσον αφορά το Κεφάλαιο Δ. Πρακτικά, το άρθρο 5 συνεχίζει να ισχύει για τις επεξεργασίες των παραπάνω αποδεκτών, εκτός αν το Κεφάλαιο Δ ειδικά ορίζει (που ορίζει ειδικά μόνο όταν δρουν υπό τις ιδιότητες του Κεφαλαίου Δ) ή, φυσικά, εκτός αν νέος ειδικός νόμος ειδικά ορίσει (ο οποίος θα πρέπει βέβαια να είναι συμβατός με το Κεφάλαιο Δ/Οδηγία 680).

9)Και από δω και πέρα τι γίνεται;

Όπως ανέφερα και πριν λίγους μήνες, βρισκόμαστε μόνο στην αρχή. Ο Κανονισμός δεν κάνει τίποτα λιγότερο από το να επηρεάζει κάθε έναν τομέα της καθημερινότητάς μας (αφού πλέον η αυτοματοποίηση πρέπει να θεωρείται δεδομένη στο ψηφιακό περιβάλλον που ζούμε). Οι αλλαγές που επιφέρει αυτή η φιλοδοξία του ενωσιακού νομοθέτη θεωρώ ότι ακόμα δεν έχουν γίνει κατανοητές σε όλη τους την έκταση στην Ελλάδα. Σε μεγάλο βαθμό είναι πρόβλημα συνηθειών (κουλτούρας) και όχι νομοθετικού πλαισίου – θα πάρει καιρό μέχρι να εμπεδώσει ο μέσος Έλληνας ότι οφείλει να σέβεται τα προσωπικά δεδομένα τρίτων. Μέχρι τότε έχουμε δύο λύσεις, νομίζω: Είτε να αφήσουμε την Αρχή και τα δικαστήρια να σηκώσουν το έργο της αλλαγής εθνικής κουλτούρας, μέσω προστίμων, adhocνομολογίας και εκπαίδευσης όπου και όπως είναι εφικτό, είτε να φτιάξουμε νέους, ειδικούς νόμους (τομεακές νομοθετικές ρυθμίσεις) που θα λύνουν ειδικά τα προβλήματα. Αν και νομίζω ότι το προτιμότερο της δεύτερης λύσης είναι εμφανές σε όλους, αν το παρελθόν χρησιμεύει καθόλου ως ένδειξη για το μέλλον προβλέπω ότι η χώρα θα περάσει μια μακρά περίοδο ενδιαφέρουσας νομολογίας και κάθετων παρεμβάσεων από την Αρχή Προστασίας Δεδομένων.