Author: admin

Posted on

Δέκα σκέψεις για τον ν.4624/2019 και τη σχέση του με τον ΓΚΠΔ

Δημοσιεύθηκε από τον Βαγγέλη Παπακωνσταντίνου στο e.themis.gr, 25.11.2019

Δέκα σκέψεις για τον ν.4624/2019, τη σχέση του με τον ΓΚΠΔ, και την προστασία δεδομένων προσωπικού χαρακτήρα στην Ελλάδα εν γένει

Καθώς έχουν ήδη περάσει λίγοι μήνες από την εισαγωγή του ν.4624/2019 και όχι μόνο οι πρώτες κριτικές έχουν ήδη διατυπωθεί (σε αναμονή βέβαια και της σχετικής γνωμοδότησης της Αρχής Προστασίας Δεδομένων), αλλά και η πρώτη λανθασμένη, κατά τη γνώμη μου, ερμηνεία ήδη δημοσιεύθηκε από την επιστημονική υπηρεσία της Βουλής, παρακάτω μερικές σκέψεις μου σχετικά. Αναλυτικά τις παρέθεσα σε ενημερωτική διημερίδα στο Εφετείο Αθηνών κατά τα μέσα Νοεμβρίου, συνοπτικά τις επαναλαμβάνω και εδώ – και αν παραστεί ανάγκη μπορώ να γίνω αναλυτικότερος, διευκρινίζοντας πρώτα ότι όλα όσα ακολουθούν αποτελούν προσωπική μου άποψη και μόνο:

1)Πως προσεγγίζουμε το νέο νομοθετικό πλαίσιο;

Είναι εντελώς λάθος να ξεκινήσει κανείς από τον ν.4624. Ο ελληνικός νόμος λαμβάνει μόνο (κάποια) μέτρα εφαρμογής του Κανονισμού. Παρεμβαίνει μόνο σε όσα θέματα του επιτρέπει ο Κανονισμός, επιλύοντας επιμέρους ζητήματα εθνικής σημασίας (ή ιδιαιτερότητας, αν προτιμάτε). Ο ν.4624 δεν έχει αυτοτέλεια σε σχέση με τον Κανονισμό και έτσι δεν διαθέτει δική του εσωτερική ενότητα, δεν διαβάζεται γραμμικά από την αρχή μέχρι το τέλος, επειδή πολύ απλά δεν βγαίνει νόημα έτσι. Διαβάζεται αποσπασματικά, και μόνο στα ειδικά επιμέρους ζητήματα που ενδιαφέρουν κάθε φορά. Ξεκινώντας κανείς από τον νόμο και πηγαίνοντας μετά στον Κανονισμό είναι σαν να ξεκινά την ανάγνωση ενός βιβλίου από το ευρετήριο.

Επομένως, ο εφαρμοστής του νόμου οφείλει να διαβάσει, να παραμείνει και να επιμείνει, (σ)το κείμενο του Κανονισμού. Αυτό δίνει το βασικό ρυθμιστικό πλαίσιο για τα προσωπικά δεδομένα (και) στην Ελλάδα. Από εκεί ξεκινάμε και εκεί ξαναγυρνάμε, ακόμα κι αν χρειαστεί να κοιτάξουμε δίπλα, στον ν.4624 – ή, και σε άλλους νόμους που ελπίζω ότι σύντομα θα ακολουθήσουν. (Υπό αυτό το πλαίσιο, σημαντική υπηρεσία θα προσέφερε κανείς αν έμπαινε στον κόπο να «κωδικοποιήσει» τον Κανονισμό, εισάγοντας, ως σημειώσεις, τα άρθρα του ν.4624 που επηρεάζουν τις διατάξεις του.)

2)Έχει σημασία η δομή του ν.4624/2019;

Μπορεί ο ν.4624 να μην έχει δική του εσωτερική ενότητα όμως η δομή του έχει σημασία, και πολύ μεγάλη μάλιστα. Συγκεκριμένα, το Κεφάλαιο Α («Γενικές Διατάξεις») ισχύει οριζόντια, για όλες τις επεξεργασίες προσωπικών δεδομένων στην Ελλάδα. Ό,τι ακολουθεί (ακόμα και το Κεφάλαιο Δ που ενσωματώνει την Οδηγία 680) ισχύει ως ειδικές διατάξεις έναντι των γενικών του Κεφαλαίου Α.

3)Γιατί επαναλαμβάνουμε διατάξεις του Κανονισμού στο Κεφάλαιο Α του ελληνικού νόμου;

Εκ πρώτης όψεως φαίνεται πράγματι ότι τα άρθρα 2 και 3 του ελληνικού νόμου δεν είναι τίποτα περισσότερο από μια περιττή άσκηση αντιγραφής-επικόλλησης από το κείμενο του Κανονισμού. Τα φαινόμενα όμως απατούν. Υπάρχει λόγος για την επανάληψη. Για παράδειγμα, ο Κανονισμός εξαιρεί την εθνική ασφάλεια από το πεδίο εφαρμογής του (δεν θα μπορούσε άλλωστε να την ρυθμίζει): Ο εθνικός νόμος, με αυτήν ακριβώς την αντιγραφή-επικόλληση του άρθρου 2, όχι. Έτσι, για τις  επεξεργασίες από  δημόσιους φορείς που δεν εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού (και της Οδηγίας 680/2016) βρίσκουν ανάλογη εφαρμογή ο Κανονισμός και ο νόμος.

4)Γίνεται διαχωρισμός μεταξύ επεξεργασιών του ιδιωτικού και του δημόσιου τομέα;

Όχι. Όπως ήδη σημείωσα, το βασικό ρυθμιστικό πλαίσιο το δίνει ο Κανονισμός. Εκεί διαχωρισμός δεν γίνεται, δεν γίνεται επομένως ούτε και στην ελληνική έννομη τάξη. Ομολογουμένως ο ελληνικός νόμος, ειδικά το Κεφάλαιο Α, διαβάζεται σαν να ήταν γραμμένο αποκλειστικά για το ελληνικό Δημόσιο, σαν να απευθύνεται μόνο σε αυτό. Τα φαινόμενα όμως και πάλι απατούν (βλ. αμέσως παρακάτω) – όσο για την «επιείκεια» ως προς το ύψος των προστίμων, τα Κράτη-Μέλη έχουν τέτοιο δικαίωμα από τον Κανονισμό και θεωρώ ότι 10εκ.ευρώ είναι αρκετά για να επιτευχθούν οι στόχοι του Κανονισμού.

5)Γιατί επομένως τόση έμφαση στους «δημόσιους φορείς» στο Κεφάλαιο Α του ελληνικού νόμου;

Για πρακτικούς (ρεαλιστικούς, ίσως) λόγους. Το ελληνικό Δημόσιο θεωρήθηκε ότι αξίζει μεγαλύτερης προσοχής, επειδή ο Κανονισμός το έφερε αντιμέτωπο με νέες καταστάσεις. Όπως θα παρατηρήσετε, τρία από τα όλα κι όλα οκτώ άρθρα του Κεφαλαίου Α διευκρινίζουν τα του DPO που πλέον οι οργανισμοί του ελληνικού Δημοσίου οφείλουν να διαθέτουν. Ο ιδιωτικός τομέας θεωρήθηκε ότι είναι πιο εξοικειωμένος με τα θέματα της επεξεργασίας δεδομένων – μια σκέψη που η πράξη μόνο θα επιβεβαιώσει ή θα διαψεύσει.

6)Ποια η σημασία του άρθρου 5;

Το άρθρο 5 ισχύει οριζόντια για κάθε επεξεργασία από δημόσιο φορέα, επειδή βρίσκεται στο Κεφάλαιο Α του ν.4624. Ότι απαιτούνταν ένα τέτοιο άρθρο προκύπτει από απευθείας ανάγνωση του Κανονισμού – αν κανείς διαβάσει το άρθρο 6.1(ε)και μετά το άρθρο 6.3 νομίζω του μένει μικρή αμφιβολία ότι για το δημόσιο νόμιμη βάση αποτελεί είτε ενωσιακό δίκαιο είτε εθνικός νόμος. Από μόνο του το άρθρο 6.1(ε) δεν αρκεί. Ο εθνικός αυτός νόμος για την Ελλάδα είναι το άρθρο 5 του ν.4624 – εκτός αν φυσικά άλλος νεότερος νόμος προβλέψει ειδικότερα. Μέχρι όμως κάτι τέτοιο πράγματι να συμβεί, και να καλύψει ειδικά κάθε μια από τις επεξεργασίες του ελληνικού Δημοσίου, αυτό είναι το άρθρο με το οποίο θα εξακολουθούμε να δουλεύουμε, και το οποίο αναμένεται να καλύψει την συντριπτική πλειοψηφία των επεξεργασιών που το δημόσιο κάνει καθημερινά, ώστε να μπορεί νομίμως να συνεχίσει να τις κάνει.

Το άρθρο 5 του ν.4624 αποτελεί αναμφίβολα εθνική νομική βάση, που καλύπτει τόσο τις επεξεργασίες που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού όσο και του Κεφαλαίου Δ (δηλαδή, της Οδηγίας 680) του νόμου.

7)Έχει σχέση ο ν.4624 και ο Κανονισμός με το 9Α του Συντάγματος;

Όχι. Και σε αυτήν την περίπτωση, όπως στην αμέσως προηγούμενη, αυτό προκύπτει από απλή ανάγνωση των σχετικών διατάξεων. Ο Κανονισμός φέρει τίτλο «για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών». Στηρίζεται στο 16 ΣΛΕΕ, στο οποίο επαναλαμβάνονται τα παραπάνω. Ως προς αυτά, ο ν.4624 έχει σκοπό την «λήψη μέτρων εφαρμογής» του Κανονισμού.

Από την άλλη μεριά το 9Α του Συντάγματος λέει ότι «καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει».Επομένως, η ελεύθερη κυκλοφορία των δεδομένων λείπει. Ο Κανονισμός δεν έχει σχέση με το 9Α του Συντάγματος.

Τυχόν σύγχυση πηγάζει ενδεχομένως από την μαξιμαλιστική προσέγγιση του Δικαίου Προστασίας Δεδομένων που σημειώθηκε στην Ελλάδα κατά το παρελθόν. Τότε, κατά τη δεκαετία του 1990, υπερτονίστηκε ο προστατευτικός για το άτομο ρόλος του και σχεδόν αγνοήθηκε πλήρως η πράγματι επεξεργασία των δεδομένων και η ελεύθερη κυκλοφορία τους. Η ερμηνεία αυτή ήταν όχι μόνο contralegemαλλά και, ακόμα χειρότερα, δημιούργησε λάθος εντυπώσεις και λάθος προσδοκίες στους απλούς πολίτες στους οποίους άλλωστε τελικά απευθύνεται ο νόμος. Σε μια χώρα μάλιστα που δεν διακρίνεται για τις επιδόσεις της στην ψηφιοποίηση, τουλάχιστον μέχρι σήμερα, αναρωτιέμαι μήπως δεν την έφερε και πίσω στην παγκόσμια τεχνολογική κούρσα.

8)Και η Οδηγία 680/2016;

Η Οδηγία 680 ενσωματώνεται στο Κεφάλαιο Δ. Αν με ρωτούσατε, προσωπικά θα προτιμούσα χωριστό νόμο ώστε να μην δημιουργείται σύγχυση, όμως φαντάζομαι ότι κάτι τέτοιο θα ήταν πρακτικά αδύνατο. Σε κάθε περίπτωση, το Κεφάλαιο Δ του ν.4624 είναι εντελώς ειδικό, νόμος-μέσα-σε-νόμο. Όχι μόνο έχει ειδικούς αποδέκτες (σε αδρές γραμμές, τις αρχές επιβολής του νόμου:Αστυνομικές κλπ. αρχές, εισαγγελικές αρχές, ποινικά δικαστήρια, δικαστικά συμβούλια, ανακριτές και πταισματοδίκες) αλλά αφορά και σε μέρος μόνο των καθημερινών δραστηριοτήτων αυτών των αποδεκτών. Θέλει επομένως προσοχή κατά την ανάγνωσή του από εκείνους στους οποίους απευθύνεται.

Έχοντας πει τα παραπάνω, υπενθυμίζω ότι το Κεφάλαιο Α συνεχίζει να ισχύει και όσον αφορά το Κεφάλαιο Δ. Πρακτικά, το άρθρο 5 συνεχίζει να ισχύει για τις επεξεργασίες των παραπάνω αποδεκτών, εκτός αν το Κεφάλαιο Δ ειδικά ορίζει (που ορίζει ειδικά μόνο όταν δρουν υπό τις ιδιότητες του Κεφαλαίου Δ) ή, φυσικά, εκτός αν νέος ειδικός νόμος ειδικά ορίσει (ο οποίος θα πρέπει βέβαια να είναι συμβατός με το Κεφάλαιο Δ/Οδηγία 680).

9)Και από δω και πέρα τι γίνεται;

Όπως ανέφερα και πριν λίγους μήνες, βρισκόμαστε μόνο στην αρχή. Ο Κανονισμός δεν κάνει τίποτα λιγότερο από το να επηρεάζει κάθε έναν τομέα της καθημερινότητάς μας (αφού πλέον η αυτοματοποίηση πρέπει να θεωρείται δεδομένη στο ψηφιακό περιβάλλον που ζούμε). Οι αλλαγές που επιφέρει αυτή η φιλοδοξία του ενωσιακού νομοθέτη θεωρώ ότι ακόμα δεν έχουν γίνει κατανοητές σε όλη τους την έκταση στην Ελλάδα. Σε μεγάλο βαθμό είναι πρόβλημα συνηθειών (κουλτούρας) και όχι νομοθετικού πλαισίου – θα πάρει καιρό μέχρι να εμπεδώσει ο μέσος Έλληνας ότι οφείλει να σέβεται τα προσωπικά δεδομένα τρίτων. Μέχρι τότε έχουμε δύο λύσεις, νομίζω: Είτε να αφήσουμε την Αρχή και τα δικαστήρια να σηκώσουν το έργο της αλλαγής εθνικής κουλτούρας, μέσω προστίμων, adhocνομολογίας και εκπαίδευσης όπου και όπως είναι εφικτό, είτε να φτιάξουμε νέους, ειδικούς νόμους (τομεακές νομοθετικές ρυθμίσεις) που θα λύνουν ειδικά τα προβλήματα. Αν και νομίζω ότι το προτιμότερο της δεύτερης λύσης είναι εμφανές σε όλους, αν το παρελθόν χρησιμεύει καθόλου ως ένδειξη για το μέλλον προβλέπω ότι η χώρα θα περάσει μια μακρά περίοδο ενδιαφέρουσας νομολογίας και κάθετων παρεμβάσεων από την Αρχή Προστασίας Δεδομένων.

Posted on

Μόχλευση ή στόχευση; Περιοδικό Startupper MAG

Δημοσιεύθηκε από τον Βαγγέλη Παπακωνσταντίνου στο STARTUPPER MAG, Το Βήμα της Κυριακής, 27.10.2019

Ένα από τα θετικά των χρηματοδοτικών εργαλείων που είναι διαθέσιμα στα ελληνικά startups σήμερα (αναφέρομαι κυρίως στα Equifund funds, αλλά και στα υπόλοιπα VCs που δραστηριοποιούνται στην Ελλάδα σήμερα) είναι ότι δεν προσπαθούν να κατευθύνουν τους startuppers προς την μια ή την άλλη κατεύθυνση. Δηλαδή, δεν ξεκινούν έχοντας στο μυαλό τους συγκεκριμένους τομείς που επιθυμούν να επενδύσουν, αποκλείοντας έτσι όλους τους άλλους, αλλά διατηρούν ανοιχτό τον ορίζοντά τους σε κάθε πρόταση που θα έρθει στο γραφείο τους. Μόχλευση, επομένως, της αγοράς μέσω των χρηματοδοτικών εργαλείων και όχι στόχευση προς ένα μόνο είδος καινοτομίας ή επενδύσεων.

Δύο εντελώς διαφορετικοί τρόποι σκέψης κρύβονται πίσω από κάθε μέθοδο επένδυσης. Στην περίπτωση της στόχευσης κάποιοι θεωρούν πως γνωρίζουν το καλό και σωστό για μια κοινωνία και επιδιώκουν να την κατευθύνουν προς τα κει. Δεν έχει σημασία ποιοι είναι αυτοί οι κάποιοι (αν δηλαδή είναι οι καλύτεροι ειδικοί της υφηλίου ή όχι) ή πως έφτασαν στην απόφασή τους (κλεισμένοι στο γραφείο τους ή μετά από ευρύτατη διαβούλευση). Το γεγονός παραμένει ότι με τον έναν ή τον άλλον τρόπο μια άνωθεν δύναμη θεωρεί ότι γνωρίζει ή έστω ότι εντόπισε τι είναι καλό για μια οικονομία και διαθέτει δημόσια χρήματα για να το επιτύχει. Πατερναλισμός, με άλλα λόγια. Στην ίδια λογική εντάσσονται, αργότερα, οι «εθνικοί πρωταθλητές», οι «κλειστές αγορές» και όλα τα αντίστοιχα προστατευτικά μέτρα – η σκέψη είναι ότι, αφού εντοπίστηκε το καλό, πρέπει εκτός από την προώθησή του να προστατεύονται κάθε φορά και τα κεκτημένα.

Στον αντίποδα βρίσκεται η μόχλευση. Σε αυτή την περίπτωση κανείς δεν θεωρεί ότι κατέχει την αλήθεια. Τα χρηματοδοτικά εργαλεία είναι ανοιχτά σε οποιονδήποτε μπορεί να πείσει, ανεξαρτήτως σε ποιον τομέα δραστηριοποιείται. Σε όλους δίνεται η ίδια ακριβώς ευκαιρία να τα καταφέρουν, χωρίς δεύτερες σκέψεις αν το αποτέλεσμα της προσπάθειάς τους «αξίζει τον κόπο» ή εντάσσεται καλύτερα ή χειρότερα σε εθνικές πολιτικές.

Προφανώς και οι δύο απόψεις έχουν μειονεκτήματα. Για την στόχευση αναφέρονται παραπάνω, η μόχλευση διακινδυνεύει την κατασπατάληση εθνικών πόρων, που δεν περισσεύουν, κυνηγώντας χίμαιρες. ‘Η, πιο πρακτικά, τη δημιουργία μιας «φούσκας» εντός της ελληνικής κοινωνίας και οικονομίας, μέσα στην οποία εργοδότες και εργαζόμενοι παραμένουν αποκομμένοι από τις πραγματικές συνθήκες γύρω τους.

Αν όμως έπρεπε να διαλέξει κανείς, όπως για παράδειγμα οφείλει να κάνει όποτε νέα χρηματοδοτικά εργαλεία δημιουργούνται, τότε για μένα η μόχλευση έχει το αναμφισβήτητο προβάδισμα. Όχι μόνο για τον λόγο ότι η τεχνολογία εξελίσσεται με τρόπους που ακόμα και ειδικοί αδυνατούν να προβλέψουν. Ούτε επειδή η προσπάθεια για «εθνικούς πρωταθλητές» ακόμα και σε μεγάλες χώρες (Γαλλία, Γερμανία, Αγγλία) απέτυχε. Κυρίως, για τον τρόπο σκέψης πίσω της: Κανείς, ούτε άτομο ούτε ομάδα, δεν κατέχει την μόνη αλήθεια, κατ’ αποκλεισμό όλων των άλλων. Κάθε φορά που καλούμαστε να επιλέξουμε, η ελευθερία οφείλει να υπερτερεί του προστατευτισμού και της καθοδήγησης.

Posted on

New publication on cybersecurity: The new EU cybersecurity framework: The NIS Directive, ENISA’s role and the General Data Protection Regulation

Dimitra Markopoulou, Vagelis Papakonstantinou and Paul de Hert published their latest article on “The new EU cybersecurity framework: The NIS Directive, ENISA’s role and the General Data Protection Regulation” in the Computer Law and Security Review (Elsevier).

The article is open access, and therefore available to download.

Abstract: The NIS Directive is the first horizontal legislation undertaken at EU level for the protection of network and information systems across the Union. During the last decades e-services, new technologies, information systems and networks have become embedded in our daily lives. It is by now common knowledge that deliberate incidents causing disruption of IT services and critical infrastructures constitute a serious threat to their operation and consequently to the functioning of the Internal Market and the Union. This paper first discusses the Directive’s addressees particularly with regard to their compliance obligations as well as Member States’ obligations as regards their respective national strategies and cooperation at EU level. Subsequently, the critical role of ENISA in implementing the Directive, as reinforced by the proposal for a new Regulation on ENISA (the EU Cybersecurity Act), is brought forward, before elaborating upon the, inevitable, relationship of the NIS Directive with EU’s General Data Protection Regulation.

Posted on

EGG – enter•grow•go, 7ος κύκλος, Business Bootcamp Training

H MPlegal θα υποστηρίξει, για 7η συνεχόμενη χρονιά, την πρωτοβουλία της Eurobank και του Corallia EGG – enter-grow-go παρέχοντας στις ομάδες του 7ου κύκλου υπηρεσίες Intellectual Property Rights (IPR) Helpdesk.

Στο πλαίσιο αυτό έγινε παρουσίαση στο εντατικό εκπαιδευτικό πρόγραμμα Business Bootcamp Training σε θέματα Intellectual Property Rights (IPR Management) στις (26!) νέες ομάδες του 7ου κύκλου του EGG – enter•grow•go!

Posted on

Vagelis Papakonstantinou member of the Greek GDPR implementation law-making committee

Vagelis Papakonstantinou has been appointed a member of the law-making committee drafting the GDPR (and the Police and Criminal Justice Data Protection Directive) implementation law in Greece. The law-making committee, established under the Greek Ministry of Justice, has been in session since 2016 but has not been able to produce a final legislative act yet, although public consultation has already taken place on a previous draft. Under its current mandate the committee needs to conclude all relevant works until end of February 2019.