GDPR – MPlegal

September 1, 2023September 11, 2023

Ευρωπαϊκοί κανόνες για την Τεχνητή Νοημοσύνη

Δημοσιεύθηκε στην Οικονομική Επιθεώρηση, 23.06.2023

Πριν λίγες μέρες το Ευρωπαϊκό Κοινοβούλιο αποφάσισε για την οριστική του θέση στο Σχέδιο Νόμου για την Τεχνητή Νοημοσύνη. (Θεωρώ ότι η ελληνική μετάφραση του « ως «Πράξη», αντί για «Νόμος», «για την Τεχνητή Νοημοσύνη», είναι αποτυχημένη.) Το Σχέδιο Νόμου είχε συνταχθεί εδώ και λίγα χρόνια από την Ευρωπαϊκή Επιτροπή. Όπως προβλέπει η σχετική διαδικασία, την πρόταση της Επιτροπής επεξεργάζονται, χωριστά, το Κοινοβούλιο και το Συμβούλιο. Το Συμβούλιο έχει ήδη αποφασίσει για τη δική του θέση εδώ και λίγους μήνες, επομένως τώρα αρχίζει ο, λεγόμενος, «τρίλογος» μεταξύ των τριών οργάνων, δηλαδή οι εσωτερικές διαπραγματεύσεις «κεκλεισμένων των θυρών», ώστε να καταλήξουν στο οριστικό κείμενο.

Αυτό που έγινε κάπως διαφορετικά αυτή τη φορά είναι ότι ο τρίλογος άρχισε την ίδια μέρα με την απόφαση του Κοινοβουλίου. Αυτό είναι ενδεικτικό της πίεσης χρόνου, ενόψει των Ευρωεκλογών του 2024: από τις αρχές του νέου έτους οι νομοθετικές εργασίες θα τερματιστούν, και, μετά τις εκλογές, ποιος ξέρει αν το νέο Κοινοβούλιο και η Επιτροπή θα έχουν τις ίδιες προτεραιότητες, και απόψεις, όπως σήμερα. Συνεπώς, υπάρχει ασφυκτική πίεση χρόνου να ολοκληρωθούν όλα σύντομα.

Σε κάθε περίπτωση, μόλις όλα τελειώσουν η Ευρώπη θα είναι η πρώτη στον κόσμο που θα αποκτήσει νόμο για τη ρύθμιση της Τεχνητής Νοημοσύνης. Αυτή η εξέλιξη ούτε βιαστική ούτε απρόσμενη ήταν, παρά τη χρονική πίεση αυτής της περιόδου: Η Ευρωπαϊκή Επιτροπή που διορίστηκε το 2019 έθεσε ως προτεραιότητα τον «ψηφιακό μετασχηματισμό», και νομοθέτησε με συνέπεια και συνέχεια αντίστοιχα. Οι εργασίες πάνω στην Τεχνητή Νοημοσύνη είχαν ξεκινήσει ακόμα νωρίτερα, ήδη από το 2017. Με άλλα λόγια, ο ευρωπαϊκός Νόμος για την Τεχνητή Νοημοσύνη δεν είναι αποτέλεσμα των ημερών, και του ενδιαφέροντος που δημιούργησε, για παράδειγμα, το ChatGPT.

Αυτό που όμως ήταν αποτέλεσμα των ημερών ήταν οι νομοθετικές παρεμβάσεις στο αρχικό κείμενο της Επιτροπής τόσο από το Συμβούλιο όσο και από το Κοινοβούλιο. Στην ουσία, καθένας τους «εμπλούτισε» τις διατάξεις της Επιτροπής από το 2019 με τεχνολογίες των ημερών, δηλαδή του 2023. Έτσι, στις προτάσεις τους αντιμετωπίζονται ειδικά οι τεχνολογίες πίσω από το ChatGPT ή άλλες τεχνολογίες Τεχνητής Νοημοσύνης που έκαναν αισθητή την παρουσία τους πρόσφατα.

Ποιο είναι το πρόβλημα με αυτό; Ότι χάνεται η γενικότητα του νόμου και ο νομοθέτης φαίνεται να τρέχει, ασθμαίνοντας, πίσω από ό,τι νέο βγάζει κάθε φορά η βιομηχανία πληροφορικής Αυτή η στάση, αν και λύνει άμεσα προβλήματα, δεν οδηγεί ούτε σε μακροπρόθεσμες λύσεις (αν σκεφτεί κανείς ότι η προηγούμενη Οδηγία για τα προσωπικά δεδομένα ήταν του 1994 και εκείνη για το ηλεκτρονικό εμπόριο του 2000) ούτε, τελικά, δημιουργεί ασφάλεια δικαίου.

Ανεξαρτήτως των παραπάνω, αφού η Ευρώπη πρώτη νομοθετεί, τις λύσεις της θα είναι εκ των πραγμάτων αναγκασμένη να ακολουθήσουν τόσο οι ΗΠΑ όσο και η Κίνα. Αυτό συνέβη άλλωστε και σε άλλους τομείς ρύθμισης των ψηφιακών τεχνολογιών, όπως για παράδειγμα στις μεγάλες online πλατφόρμες ή, παλαιότερα, στον GDPR. Δημιουργείται έτσι το λεγόμενο «Brussels effect», όπου τους νόμους της Ευρώπης αντιγράφουν, στην ουσία, όλοι οι άλλοι.

Όμως, υπάρχει ένας «ελέφαντας μέσα στο δωμάτιο» όταν η Ευρώπη μιλά για τη ρύθμιση της Τεχνητής Νοημοσύνης. Αυτό το κοινό μυστικό αφορά στο γεγονός ότι οι αντίστοιχες τεχνολογίες δεν παράγονται στην Ευρώπη αλλά στις ΗΠΑ και την Κίνα. Στην ουσία, η Ευρώπη μόνο τις χρησιμοποιεί – και αν κανείς δεν πείθεται αν σκεφτεί ποιας «εθνικότητας» είναι οι εφαρμογές Τεχνητής Νοημοσύνης που γνωρίζει (όπως άλλωστε και οι online πλατφόρμες, όμως αυτό είναι μια άλλη συζήτηση).

Έτσι, επομένως, εξηγείται το κόμμα στον τίτλο αυτού εδώ του κειμένου. Ο πλήρης τίτλος του θα ήταν «Ευρωπαϊκοί κανόνες για την Τεχνητή Νοημοσύνη, που όμως δεν παράγεται στην Ευρώπη». Στην ουσία η Ευρώπη νομοθετεί για τις τεχνολογίες τρίτων, των ΗΠΑ και της Κίνας. Είναι και αυτό ένα ακόμα αποτέλεσμα της παγκοσμιοποίησης. Αν θα αποδειχτεί για το καλύτερο ή το χειρότερο της Ευρώπης, των Ευρωπαίων και της τεχνολογίας μένει να αποδειχτεί στο μέλλον.

March 9, 2023April 21, 2023

Dismissing Data Protection Officers in Germany – a matter of good cause and major difficulties for employers!

Published in eulawlive.com, 9.03.2023

25th May 2023 will mark the 5^th anniversary of the application of the General Data Protection Regulation (GDPR) . During these five years, in daily business as well as judicial practice, several open questions occurred related to it’s application. The requirements for dismissing the corporations’ Data Protection Officers (DPO) was one of these questions as well. Particularly in Germany, the Labour Courts decided numerous cases and several requests have been appealed to the Court of Justice of the European Union (Court of Justice) within the preliminary ruling procedure according to Article 267 of the Treaty on the Functioning of the European Union (TFEU). In this respect, on 9 February 2023, the Court of Justice again issued a decision contouring the protection of DPOs against dismissal (FC v X-FAB Dresden GmbH & Co. KG (C‑453/21)).

Taking this occasion, this Op-Ed briefly summarises the facts of the case and points out the requirements to be met by corporations in case of any dismissal of the internal or external DPO. It will moreover point out that – regardless of the present case – even in case of misconduct, the current level of protection against dismissal causes major difficulties in practice as well.

I. Facts of the case

The employee, FC, is working for X-FAB Dresden GmbH & Co.KG as from 1 November 1993. He is also a member of the works council in that corporation and, on that basis, is released from some of his work obligations. With effect from 1 June 2015, FC was moreover appointed as the DPO within the corporation of X-FAB. In this respect, each subsidiary separately appointed FC as its DPO aiming to ensure a uniform level of data protection throughout the corporation.

In 2017, X-FAB and its subsidiaries dismissed FC with immediate effect from his duties as DPO. FC filed a lawsuit against this dismissal arguing that it was unlawful due to a lack of good cause according to German Labour and Data Protection Laws. He stated that, according to §§ 38 (2) 6 (4) 1 of the German Federal Data Protection Act (Bundesdatenschutzgesetz (BDSG)), dismissing the DPO is only lawful if the requirements of an extraordinary termination according to analogous application of § 626 of the German Civil Law Code (Bürgerliches Gesetzbuch (BGB)) are met.

Based on this case, the German Federal Labour Court (Bundesarbeitsgericht) requested whether Article 38(3) sentence 2 GDPR must be interpreted as enabling national legislation to stipulate a higher level of protection even if dismissal is not related to the performance of the DPO’s tasks. The Court moreover requested whether the membership in the works council and being appointed as a DPO amounts to a conflict of interests within the meaning of the second sentence of Article 38(6) of the GDPR.

Answering these questions, the Court of Justice now decided that the GDPR enables Member State Laws to stipulate a higher level of protection in this respect. It moreover defined that a ‘conflict of interests’ according to Article 38(6) GDPR only exists in case a DPO is entrusted with other tasks or duties causing the DPO to determine objectives and methods of processing personal data. Whether this is the case or not, according to the decision of the Court, depends on the organisational structure of the corporation and the applicable rules, including any policies.

II. Distinction between the DPOs’ dismissing and terminating his employment relationship

Transferring this decision into German legal practice, the applicability of the §§ 38(2), 6(4) 1 BDSG causes confusion particularly for corporations whose holding is located outside Germany. The confusion mainly results out of the fact that the German provisions differentiate between dismissing the DPO and terminating his employment relationship are two separately assessed subjects.

In Germany, especially in smaller corporations, the situation occurs that a DPO performs his or her duties only on a part-time basis. In this respect, the parties mutually reduce the tasks of the employment relationship by 50% and appoint the employee as DPO for the remaining 50%. Alternatively, if the DPO performs 100% of his work as a DPO, it is common practice in Germany to only suspend – and thus not terminate – the duties underlying the employment relationship. The advantage in these cases is that the employee, if not interested in being the DPO anymore, is obliged to work in his former position retaining the employee to the employer. These are nonetheless also the cases in which employees argue that the underlying employment relationship is not terminated with the act of dismissal from his or her duties as DPO.

As the Court of Justice in its Leistritz AG-Decision from 22 June 2022 (C-534/20) already stated, Article 38(3) sentence 2 GDPR covers both a protection against terminating a DPO’s employment contract and dismissing him from the function as DPO the protection according to Article 38(3) GDPR necessarily contains a protection against dismissal.

To this extent, however, German Labour Courts nonetheless differentiate between dismissing the DPO and terminating the employment contract. Hence, misconduct of the DPO solely related to the duties can only be sanctioned under Labour Law if the specific violation of duties correlates with misconduct within the employment relationship as well (ArbG Heilbronn, judgment of 29 September 2022 – 8 Ca 135/22). Employers are thus obliged to analyse both the requirements for dismissal from duty as a DPO as well as for termination of the employment contract.

III. Requirements for dismissing the DPO

Transferring the decision into practice, dismissing the DPO is only possible for good cause. Applying the commonly known case law of the German Federal Labour Court concerning § 626 BGB, employers are hence obliged to:

analyse whether facts occurring may abstractly be considered to justify dismissal for good cause; and
comprehensively consider the circumstances of the individual case as well as the interests of both contracting parties analysing whether the dismissing party cannot be expected to continue the ongoing appointment as DPO.

Grounds for dismissing the DPO are particularly those connected with the function and activity of the DPO making it impossible to continue to perform his activity or at least significantly jeopardise it. As previously stated, the grounds for dismissing the DPO do not necessarily correlate with grounds to terminate the employment contract.

Whether simultaneously being DPO and a Member of the Works Counsel results in a conflict of interest being a good cause for dismissal, is nonetheless questionable relying on this decision. As, in Germany, § 79a sentence 2 of the German Works Constitution Act (BetrVG) stipulates that employers – who are determining the purposes and means of the processing within the means of Art. 4(7) GDPR – remain controllers insofar as the works council processes personal data in order to fulfil the tasks within its competence. From this author’s perspective, due to the specific position and tasks of the works counsel a conflict of interest may arguably occur anyways in these cases.

IV. Conclusion

From a current perspective, both dismissing the DPO from his or her position as well as terminating the employment contract is only lawful if based on good cause. It is moreover indifferent, whether the DPO is an employee or externally appointed and whether the reasons for dismissal are based on a performance in duty or on other reasons is irrelevant as well. In other words, the DPO’s protection against dismissal is applicable regardless of the circumstances in the specific case.

Separating the dismissal of the DPO as well as the termination of the employment contract seems nonetheless contrived. This is particularly so for employers based outside Germany. It is nonetheless consistent if the German BDSG is applied accurately.

Nevertheless, it creates major difficulties for employers to justify both acts simultaneously. This makes it considerably more difficult to terminate the employment relationship in case of misconduct solely related to the duty of the DPO. From the employer’s perspective, this situation is irritating. Nonetheless employers cannot omit to carefully analyse the individual case. Considering the possibility that German Courts will not see a conflict of interest with a member of the works counsel being appointed as DPO, it is highly recommended for employers not to appoint one of these members as DPO. Moreover, it is recommended to agree on a fixed term appointment of the DPO.

The good news, however, if employers are not mandatorily obliged to appoint a DPO under European or German laws, is that an ordinary termination is still lawful. § 38(2) BDSG exclusively refers to § 6(4) sentences 1 and 2 BDSG for bodies obliged to appoint a data protection officer.

December 3, 2020December 14, 2020

Eίναι το δικαίωμα στη λήθη απαραίτητο βοήθημα στην ψηφιακή εποχή;

Δημοσιεύθηκε στο 2045.gr, 3.12.2020

Ή τελικά μία μορφή ψηφιακής λογοκρισίας;

Αυτή τη φορά ας ξεκινήσουμε καλύτερα από το τέλος: Δικαίωμα στη λήθη δεν υπάρχει, ή έστω δεν υπάρχει έτσι όπως κανείς θα το φανταζόταν από την εκφώνησή του και μόνο. Το δικαίωμα στη λήθη πρέπει καλύτερα να γίνει αντιληπτό ως σχήμα λόγου, ως μια λογοτεχνική κατασκευή παρά ως ένα κλασσικό, συνηθισμένο νομικό δικαίωμα.

Αφού ξεκινήσαμε μειώνοντας τις προσδοκίες ας δούμε τώρα το τι και το γιατί σχετικά με ένα δικαίωμα που γοήτευσε όλον τον πλανήτη όσο καμία άλλη νομική διάταξη κατά τη δεκαετία που τώρα σιγά σιγά ολοκληρώνουμε.

Τυπικά το «δικαίωμα στη λήθη» κατοχυρώνεται στο άρθρο 17 του Γενικού Κανονισμού για την Προστασία των Δεδομένων, του γνωστού σε όλους μας GDPR. Τα προβλήματα αρχίζουν αμέσως με την πρώτη ανάγνωση: Άρθρο 17, Δικαίωμα Διαγραφής («Δικαίωμα στη Λήθη»). Σε παρένθεση, επομένως, το δικαίωμα στη λήθη. Ουσιαστικά το άρθρο 17 μιλά για το δικαίωμα στη διαγραφή. Ισοδυναμεί η διαγραφή με τη λήθη; Θα το δούμε σε λίγο, όταν στο προσκήνιο θα μπει, δυναμικά, η Google.

“Το άρθρο 17 του Κανονισμού GDPR μιλά για το δικαίωμα στη διαγραφή. Ισοδυναμεί η διαγραφή με τη λήθη;”

Η πρώτη παράγραφος δίνει το περιεχόμενο του δικαιώματος στη λήθη: «Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν […] εάν ισχύει ένας από τους ακόλουθους λόγους». Παρακάτω δίνονται έξι συνολικά λόγοι, ο πρώτος όμως έχει μεγαλύτερη σημασία επειδή δεν είναι αυτονόητος: «[εάν] τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλον τρόπο σε επεξεργασία». Διαγραφή επομένως μπορούμε να ζητήσουμε και αν η χρησιμότητα της επεξεργασίας των δεδομένων μας έχει πια ολοκληρωθεί.

Για να καταλάβουμε πως περίπου λειτουργεί αυτό το κριτήριο καλό είναι να δούμε πως φτάσαμε ως εκεί. Η Κομισιόν είχε δηλώσει ήδη από το 2010 ότι σκόπευε να εισαγάγει ένα «δικαίωμα στη λήθη (right to be forgotten)» στον GDPR, που όπως είναι γνωστό εκδόθηκε το 2016, όμως το Δικαστήριο την πρόλαβε το 2014: Στην υπόθεση Google Spain ένας Ισπανός διαμαρτυρήθηκε επειδή δεδομένα πλειστηριασμoύ οικίας του για χρέη παρέμεναν δημοσιευμένα για πολλά χρόνια στον ιστότοπο εφημερίδας και εμφανίζονταν στις αναζητήσεις στην Google με το όνομά του. Ζήτησε επομένως τη διαγραφή των στοιχείων. Το Δικαστήριο δικαίωσε την εφημερίδα, όχι όμως και την Google: Θεώρησε ότι η Google καθορίζει τον σκοπό και τα μέσα της επεξεργασίας και ότι ως προς αυτήν, την Google δηλαδή, ο σκοπός της συλλογής και επεξεργασίας για τον συγκεκριμένο Ισπανό είχαν ολοκληρωθεί. Επομένως, η Google διατάχθηκε να διαγράψει.

Οι συνέπειες αυτής της απόφασης του Δικαστηρίου ταρακούνησαν το παγκόσμιο ίντερνετ. Άλλο πράγμα να το συζητάει η Κομισιόν για νόμο που ίσως ισχύσει σε πέντε χρόνια και άλλο το Δικαστήριο να διατάζει διαγραφή εδώ και τώρα. Οι εξελίξεις ήταν καταιγιστικές: Μέσα σε λίγες εβδομάδες η Google έστησε ολόκληρο (ημι-αυτοματοποιημένο) μηχανισμό εξέτασης αιτήσεων για διαγραφή, αφού άλλωστε εντός ολίγων ημερών από την έκδοση της απόφασης είχε προλάβει να λάβει ήδη πάνω από 40.000 τέτοιες αιτήσεις.

***Το σύνολο των αιτήσεων διαγραφής στη Google πλησιάζουν πλέον το 1 εκατομμύριο.***

Επομένως το περιεχόμενο του άρθρου 17 που ήρθε το 2016 ήταν προδικασμένο. Εν μέρει τουλάχιστον, αφού ο Κανονισμός επιβεβαίωσε όσα μάθαμε από το Δικαστήριο και προτίμησε να μην πάει παρακάτω ούτε να κάνει κάτι θεαματικά καινούργιο.

Τα πράγματα βέβαια δεν σταμάτησαν εκεί. Με απανωτές, σχεδόν, αποφάσεις το Δικαστήριο έκρινε, μεταξύ άλλων, ότι οι διαγραφές ισχύουν μόνο για την Ευρώπη (επομένως η Google δεν υποχρεούται να διαγράψει γενικώς) και ότι αιτήματα διαγραφής πχ. «παράνομων» σχέσεων με πολιτικούς ή καταδικαστικές αποφάσεις για σεξουαλικές επιθέσεις δεν πρέπει να δικαιωθούν. Σε όλη την Ευρώπη οι εθνικές Αρχές Προστασίας Δεδομένων εξετάζουν πλέον αιτήσεις διαγραφής που αρνείται η Google (ο γράφων υπηρετεί για την ώρα στην ελληνική Αρχή, όμως οι απόψεις εδώ είναι αυστηρά προσωπικές), με τον αντίστοιχο όγκο εργασίας τους να έχει αυξηθεί σημαντικά.

Όμως η νομική ανάλυση πρέπει να σταματήσει εδώ, για τα υπόλοιπα ας αναζητηθεί βοήθεια από τους ειδικούς. Σκοπός εδώ είναι να δούμε αν το, όποιο, δικαίωμα στη λήθη, αν υποτεθεί ότι λήθη σήμερα αποτελεί η διαγραφή από τον κατάλογο αποτελεσμάτων της Google (delisting), είναι απαραίτητο ψηφιακό βοήθημα για το άτομο ή ψηφιακή λογοκρισία.

Είναι απαραίτητο ψηφιακό βοήθημα για το άτομο, επειδή μια πληροφορία που θα ήταν δύσκολο να εντοπίσει κανείς, κρυμμένη από την κοινή θέα σε δημοσιεύματα εφημερίδων μικρής κυκλοφορίας ή σε βιβλία εκτός κυκλοφορίας ή σε ιστολόγια (blogs) ή σε σχόλια (comments) ο (εξαιρετικός) αλγόριθμος της Google την φέρνει πανεύκολα και εντός δευτερολέπτων μπροστά μας. Τίποτα πια δεν μπορεί να κρυφτεί, να ξεχαστεί μέσω της μη διαρκούς υπενθύμισης. Το χειρότερο μάλιστα είναι ότι το κουτσομπολιό και το «σχολιάκι» εμφανίζονται δίπλα, σαν ίσα, στην έγκυρη ανάλυση ή στην επίσημη διάψευση ή στην απαλλακτική δικαστική απόφαση. Ή, ακόμα χειρότερα, αν το «πικάντικο» έχει προσελκύσει μεγαλύτερο ενδιαφέρον (περισσότερα «κλικ») τότε εμφανίζεται πρώτο στα αποτελέσματα αναζήτησης, ως περισσότερο σχετικό. Η «ρετσινιά» ενός στιγμιαίου λάθους μας ή ένα ψέμα παρότι τελικά φανερώθηκε μπορεί να συνοδεύουν ψηφιακά το όνομά μας για πάντα.

“Που σταματά το δικαίωμα στην ενημέρωση ή και στην ασφάλεια του προσώπου και ξεκινούν τα δικαιώματα στην προσωπικότητα ή στα προσωπικά δεδομένα ή στην προσωπική ζωή;”

Ψηφιακή λογοκρισία είναι επειδή δεν είναι δουλειά της Google (αν με ρωτήσετε, ούτε και των Αρχών Προστασίας Δεδομένων) να κρίνει τι πρέπει και τι δεν πρέπει να μείνει στη λαϊκή μνήμη («λαϊκή» με την έννοια ότι σχεδόν για όλους μας σήμερα η Google είναι η βασική μηχανή αναζήτησης γνώσης). Πρέπει ή δεν πρέπει να μπορούμε εύκολα να μάθουμε ότι ο γείτονάς μας απασχόλησε την αστυνομία κάποτε; Ότι ο γιατρός ή ο δικηγόρος μας κάποτε είχαν προβλήματα με τους συλλόγους τους; Ότι ο δάσκαλος των παιδιών μας όταν ήταν φοιτητής είχε κακοδιαχειριστεί το ταμείο του φοιτητικού συλλόγου του; Ότι ο ιερέας της ενορίας μας είχε τσακωθεί με το ποίμνιό του στο παρελθόν; Ότι ο φούρναρής μας είχε κατηγορηθεί online ως ακροδεξιός ή ακροαριστερός; Ή ότι συμμετείχε σε πορεία; Που σταματά το δικαίωμα στην ενημέρωση ή και στην ασφάλεια του προσώπου και ξεκινούν τα δικαιώματα στην προσωπικότητα ή στα προσωπικά δεδομένα ή στην προσωπική ζωή; Που σταματά η απαραίτητη ή χρήσιμη γνώση και ξεκινά το περιττό κουτσομπολιό;

Δύσκολα θέματα που απάντηση δεν έχουν. Η γνώμη μου, αν με ρωτήσετε, είναι ότι η περίοδος που περνάμε είναι μεταβατική και ότι όλα θα λυθούν από μόνα τους. Σήμερα, ο άνθρωπος χρειάζεται κάθε βοήθεια που μπορεί να του προσφερθεί στο ίντερνετ επειδή όλα κι όλα δεκαπέντε χρόνια έχουν περάσει στη νέα πραγματικότητα που ζούμε, επομένως το, όποιο, δικαίωμα στη λήθη κάνει καλό. Από την άλλη μεριά, η ψηφιακή λογοκρισία από ιδιωτικές εταιρείες ή ακόμα και από κρατικές αρχές πρέπει κάποια στιγμή στο μέλλον να σταματήσει: Η πληροφορία πρέπει να παραμείνει ελεύθερη και προσβάσιμη από όλους με τους ίδιους όρους – αρκεί καθένας μας να έχει μάθει στο μεταξύ να ξεχωρίζει ανάμεσα σε κάτι που διάβασε στο τοονομαμουειναιβαγγελης.com και στον ιστότοπο της Britannica.

November 25, 2019March 24, 2020

Δέκα σκέψεις για τον ν.4624/2019 και τη σχέση του με τον ΓΚΠΔ

Δημοσιεύθηκε από τον Βαγγέλη Παπακωνσταντίνου στο e.themis.gr, 25.11.2019

Δέκα σκέψεις για τον ν.4624/2019, τη σχέση του με τον ΓΚΠΔ, και την προστασία δεδομένων προσωπικού χαρακτήρα στην Ελλάδα εν γένει

Καθώς έχουν ήδη περάσει λίγοι μήνες από την εισαγωγή του ν.4624/2019 και όχι μόνο οι πρώτες κριτικές έχουν ήδη διατυπωθεί (σε αναμονή βέβαια και της σχετικής γνωμοδότησης της Αρχής Προστασίας Δεδομένων), αλλά και η πρώτη λανθασμένη, κατά τη γνώμη μου, ερμηνεία ήδη δημοσιεύθηκε από την επιστημονική υπηρεσία της Βουλής, παρακάτω μερικές σκέψεις μου σχετικά. Αναλυτικά τις παρέθεσα σε ενημερωτική διημερίδα στο Εφετείο Αθηνών κατά τα μέσα Νοεμβρίου, συνοπτικά τις επαναλαμβάνω και εδώ – και αν παραστεί ανάγκη μπορώ να γίνω αναλυτικότερος, διευκρινίζοντας πρώτα ότι όλα όσα ακολουθούν αποτελούν προσωπική μου άποψη και μόνο:

1)Πως προσεγγίζουμε το νέο νομοθετικό πλαίσιο;

Είναι εντελώς λάθος να ξεκινήσει κανείς από τον ν.4624. Ο ελληνικός νόμος λαμβάνει μόνο (κάποια) μέτρα εφαρμογής του Κανονισμού. Παρεμβαίνει μόνο σε όσα θέματα του επιτρέπει ο Κανονισμός, επιλύοντας επιμέρους ζητήματα εθνικής σημασίας (ή ιδιαιτερότητας, αν προτιμάτε). Ο ν.4624 δεν έχει αυτοτέλεια σε σχέση με τον Κανονισμό και έτσι δεν διαθέτει δική του εσωτερική ενότητα, δεν διαβάζεται γραμμικά από την αρχή μέχρι το τέλος, επειδή πολύ απλά δεν βγαίνει νόημα έτσι. Διαβάζεται αποσπασματικά, και μόνο στα ειδικά επιμέρους ζητήματα που ενδιαφέρουν κάθε φορά. Ξεκινώντας κανείς από τον νόμο και πηγαίνοντας μετά στον Κανονισμό είναι σαν να ξεκινά την ανάγνωση ενός βιβλίου από το ευρετήριο.

Επομένως, ο εφαρμοστής του νόμου οφείλει να διαβάσει, να παραμείνει και να επιμείνει, (σ)το κείμενο του Κανονισμού. Αυτό δίνει το βασικό ρυθμιστικό πλαίσιο για τα προσωπικά δεδομένα (και) στην Ελλάδα. Από εκεί ξεκινάμε και εκεί ξαναγυρνάμε, ακόμα κι αν χρειαστεί να κοιτάξουμε δίπλα, στον ν.4624 – ή, και σε άλλους νόμους που ελπίζω ότι σύντομα θα ακολουθήσουν. (Υπό αυτό το πλαίσιο, σημαντική υπηρεσία θα προσέφερε κανείς αν έμπαινε στον κόπο να «κωδικοποιήσει» τον Κανονισμό, εισάγοντας, ως σημειώσεις, τα άρθρα του ν.4624 που επηρεάζουν τις διατάξεις του.)

2)Έχει σημασία η δομή του ν.4624/2019;

Μπορεί ο ν.4624 να μην έχει δική του εσωτερική ενότητα όμως η δομή του έχει σημασία, και πολύ μεγάλη μάλιστα. Συγκεκριμένα, το Κεφάλαιο Α («Γενικές Διατάξεις») ισχύει οριζόντια, για όλες τις επεξεργασίες προσωπικών δεδομένων στην Ελλάδα. Ό,τι ακολουθεί (ακόμα και το Κεφάλαιο Δ που ενσωματώνει την Οδηγία 680) ισχύει ως ειδικές διατάξεις έναντι των γενικών του Κεφαλαίου Α.

3)Γιατί επαναλαμβάνουμε διατάξεις του Κανονισμού στο Κεφάλαιο Α του ελληνικού νόμου;

Εκ πρώτης όψεως φαίνεται πράγματι ότι τα άρθρα 2 και 3 του ελληνικού νόμου δεν είναι τίποτα περισσότερο από μια περιττή άσκηση αντιγραφής-επικόλλησης από το κείμενο του Κανονισμού. Τα φαινόμενα όμως απατούν. Υπάρχει λόγος για την επανάληψη. Για παράδειγμα, ο Κανονισμός εξαιρεί την εθνική ασφάλεια από το πεδίο εφαρμογής του (δεν θα μπορούσε άλλωστε να την ρυθμίζει): Ο εθνικός νόμος, με αυτήν ακριβώς την αντιγραφή-επικόλληση του άρθρου 2, όχι. Έτσι, για τις επεξεργασίες από δημόσιους φορείς που δεν εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού (και της Οδηγίας 680/2016) βρίσκουν ανάλογη εφαρμογή ο Κανονισμός και ο νόμος.

4)Γίνεται διαχωρισμός μεταξύ επεξεργασιών του ιδιωτικού και του δημόσιου τομέα;

Όχι. Όπως ήδη σημείωσα, το βασικό ρυθμιστικό πλαίσιο το δίνει ο Κανονισμός. Εκεί διαχωρισμός δεν γίνεται, δεν γίνεται επομένως ούτε και στην ελληνική έννομη τάξη. Ομολογουμένως ο ελληνικός νόμος, ειδικά το Κεφάλαιο Α, διαβάζεται σαν να ήταν γραμμένο αποκλειστικά για το ελληνικό Δημόσιο, σαν να απευθύνεται μόνο σε αυτό. Τα φαινόμενα όμως και πάλι απατούν (βλ. αμέσως παρακάτω) – όσο για την «επιείκεια» ως προς το ύψος των προστίμων, τα Κράτη-Μέλη έχουν τέτοιο δικαίωμα από τον Κανονισμό και θεωρώ ότι 10εκ.ευρώ είναι αρκετά για να επιτευχθούν οι στόχοι του Κανονισμού.

5)Γιατί επομένως τόση έμφαση στους «δημόσιους φορείς» στο Κεφάλαιο Α του ελληνικού νόμου;

Για πρακτικούς (ρεαλιστικούς, ίσως) λόγους. Το ελληνικό Δημόσιο θεωρήθηκε ότι αξίζει μεγαλύτερης προσοχής, επειδή ο Κανονισμός το έφερε αντιμέτωπο με νέες καταστάσεις. Όπως θα παρατηρήσετε, τρία από τα όλα κι όλα οκτώ άρθρα του Κεφαλαίου Α διευκρινίζουν τα του DPO που πλέον οι οργανισμοί του ελληνικού Δημοσίου οφείλουν να διαθέτουν. Ο ιδιωτικός τομέας θεωρήθηκε ότι είναι πιο εξοικειωμένος με τα θέματα της επεξεργασίας δεδομένων – μια σκέψη που η πράξη μόνο θα επιβεβαιώσει ή θα διαψεύσει.

6)Ποια η σημασία του άρθρου 5;

Το άρθρο 5 ισχύει οριζόντια για κάθε επεξεργασία από δημόσιο φορέα, επειδή βρίσκεται στο Κεφάλαιο Α του ν.4624. Ότι απαιτούνταν ένα τέτοιο άρθρο προκύπτει από απευθείας ανάγνωση του Κανονισμού – αν κανείς διαβάσει το άρθρο 6.1(ε)και μετά το άρθρο 6.3 νομίζω του μένει μικρή αμφιβολία ότι για το δημόσιο νόμιμη βάση αποτελεί είτε ενωσιακό δίκαιο είτε εθνικός νόμος. Από μόνο του το άρθρο 6.1(ε) δεν αρκεί. Ο εθνικός αυτός νόμος για την Ελλάδα είναι το άρθρο 5 του ν.4624 – εκτός αν φυσικά άλλος νεότερος νόμος προβλέψει ειδικότερα. Μέχρι όμως κάτι τέτοιο πράγματι να συμβεί, και να καλύψει ειδικά κάθε μια από τις επεξεργασίες του ελληνικού Δημοσίου, αυτό είναι το άρθρο με το οποίο θα εξακολουθούμε να δουλεύουμε, και το οποίο αναμένεται να καλύψει την συντριπτική πλειοψηφία των επεξεργασιών που το δημόσιο κάνει καθημερινά, ώστε να μπορεί νομίμως να συνεχίσει να τις κάνει.

Το άρθρο 5 του ν.4624 αποτελεί αναμφίβολα εθνική νομική βάση, που καλύπτει τόσο τις επεξεργασίες που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού όσο και του Κεφαλαίου Δ (δηλαδή, της Οδηγίας 680) του νόμου.

7)Έχει σχέση ο ν.4624 και ο Κανονισμός με το 9Α του Συντάγματος;

Όχι. Και σε αυτήν την περίπτωση, όπως στην αμέσως προηγούμενη, αυτό προκύπτει από απλή ανάγνωση των σχετικών διατάξεων. Ο Κανονισμός φέρει τίτλο «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών». Στηρίζεται στο 16 ΣΛΕΕ, στο οποίο επαναλαμβάνονται τα παραπάνω. Ως προς αυτά, ο ν.4624 έχει σκοπό την «λήψη μέτρων εφαρμογής» του Κανονισμού.

Από την άλλη μεριά το 9Α του Συντάγματος λέει ότι «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει».Επομένως, η ελεύθερη κυκλοφορία των δεδομένων λείπει. Ο Κανονισμός δεν έχει σχέση με το 9Α του Συντάγματος.

Τυχόν σύγχυση πηγάζει ενδεχομένως από την μαξιμαλιστική προσέγγιση του Δικαίου Προστασίας Δεδομένων που σημειώθηκε στην Ελλάδα κατά το παρελθόν. Τότε, κατά τη δεκαετία του 1990, υπερτονίστηκε ο προστατευτικός για το άτομο ρόλος του και σχεδόν αγνοήθηκε πλήρως η πράγματι επεξεργασία των δεδομένων και η ελεύθερη κυκλοφορία τους. Η ερμηνεία αυτή ήταν όχι μόνο contralegemαλλά και, ακόμα χειρότερα, δημιούργησε λάθος εντυπώσεις και λάθος προσδοκίες στους απλούς πολίτες στους οποίους άλλωστε τελικά απευθύνεται ο νόμος. Σε μια χώρα μάλιστα που δεν διακρίνεται για τις επιδόσεις της στην ψηφιοποίηση, τουλάχιστον μέχρι σήμερα, αναρωτιέμαι μήπως δεν την έφερε και πίσω στην παγκόσμια τεχνολογική κούρσα.

8)Και η Οδηγία 680/2016;

Η Οδηγία 680 ενσωματώνεται στο Κεφάλαιο Δ. Αν με ρωτούσατε, προσωπικά θα προτιμούσα χωριστό νόμο ώστε να μην δημιουργείται σύγχυση, όμως φαντάζομαι ότι κάτι τέτοιο θα ήταν πρακτικά αδύνατο. Σε κάθε περίπτωση, το Κεφάλαιο Δ του ν.4624 είναι εντελώς ειδικό, νόμος-μέσα-σε-νόμο. Όχι μόνο έχει ειδικούς αποδέκτες (σε αδρές γραμμές, τις αρχές επιβολής του νόμου:Αστυνομικές κλπ. αρχές, εισαγγελικές αρχές, ποινικά δικαστήρια, δικαστικά συμβούλια, ανακριτές και πταισματοδίκες) αλλά αφορά και σε μέρος μόνο των καθημερινών δραστηριοτήτων αυτών των αποδεκτών. Θέλει επομένως προσοχή κατά την ανάγνωσή του από εκείνους στους οποίους απευθύνεται.

Έχοντας πει τα παραπάνω, υπενθυμίζω ότι το Κεφάλαιο Α συνεχίζει να ισχύει και όσον αφορά το Κεφάλαιο Δ. Πρακτικά, το άρθρο 5 συνεχίζει να ισχύει για τις επεξεργασίες των παραπάνω αποδεκτών, εκτός αν το Κεφάλαιο Δ ειδικά ορίζει (που ορίζει ειδικά μόνο όταν δρουν υπό τις ιδιότητες του Κεφαλαίου Δ) ή, φυσικά, εκτός αν νέος ειδικός νόμος ειδικά ορίσει (ο οποίος θα πρέπει βέβαια να είναι συμβατός με το Κεφάλαιο Δ/Οδηγία 680).

9)Και από δω και πέρα τι γίνεται;

Όπως ανέφερα και πριν λίγους μήνες, βρισκόμαστε μόνο στην αρχή. Ο Κανονισμός δεν κάνει τίποτα λιγότερο από το να επηρεάζει κάθε έναν τομέα της καθημερινότητάς μας (αφού πλέον η αυτοματοποίηση πρέπει να θεωρείται δεδομένη στο ψηφιακό περιβάλλον που ζούμε). Οι αλλαγές που επιφέρει αυτή η φιλοδοξία του ενωσιακού νομοθέτη θεωρώ ότι ακόμα δεν έχουν γίνει κατανοητές σε όλη τους την έκταση στην Ελλάδα. Σε μεγάλο βαθμό είναι πρόβλημα συνηθειών (κουλτούρας) και όχι νομοθετικού πλαισίου – θα πάρει καιρό μέχρι να εμπεδώσει ο μέσος Έλληνας ότι οφείλει να σέβεται τα προσωπικά δεδομένα τρίτων. Μέχρι τότε έχουμε δύο λύσεις, νομίζω: Είτε να αφήσουμε την Αρχή και τα δικαστήρια να σηκώσουν το έργο της αλλαγής εθνικής κουλτούρας, μέσω προστίμων, adhocνομολογίας και εκπαίδευσης όπου και όπως είναι εφικτό, είτε να φτιάξουμε νέους, ειδικούς νόμους (τομεακές νομοθετικές ρυθμίσεις) που θα λύνουν ειδικά τα προβλήματα. Αν και νομίζω ότι το προτιμότερο της δεύτερης λύσης είναι εμφανές σε όλους, αν το παρελθόν χρησιμεύει καθόλου ως ένδειξη για το μέλλον προβλέπω ότι η χώρα θα περάσει μια μακρά περίοδο ενδιαφέρουσας νομολογίας και κάθετων παρεμβάσεων από την Αρχή Προστασίας Δεδομένων.