Του Βασίλη Αποστολόπουλου* (πληροφορίες)
Εν πρώτοις, σε πολλές Δυτικές Ευρωπαϊκές κοινωνίες, η καθιέρωση της μυστικότητας των πληροφοριών και η αναγνώριση του δικαιώματος στην αυτοδιάθεση ως θεμελιώδες ανθρώπινο δικαίωμα οδήγησαν αρκετά κράτη στην υιοθέτηση νόμων που αποσκοπούσαν στην προστασία των φυσικών προσώπων από τη μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα τους από δημόσιους και ιδιωτικούς οργανισμούς.
Δεν είναι λοιπόν έκπληξη το γεγονός πως η ιστορία προστασίας προσωπικών δεδομένων στην Ευρώπη ανατρέχει στους πρώτους εθνικούς νόμους που αναδύθηκαν στις αρχές της δεκαετίας του ’70, στο πλαίσιο του σεβασμού των ανθρωπίνων δικαιωμάτων που συγκαταλέγεται στις βασικές αρχές πάνω στις οποίες οικοδομήθηκε το κοινό ευρωπαϊκό όραμα.
Πιο συγκεκριμένα, το Γερμανικό ομόσπονδο κρατίδιο του Έσσεν ήταν το πρώτο που εισήγαγε σχετική, πρωτοποριακή για την εποχή, νομοθεσία για την προστασία δεδομένων με την υιοθέτηση του σχετικού νόμου το 1970 ( State Data Protection Act in 1970). Μολονότι το συγκεκριμένο θέσπισμα δεν έκανε ακόμη αναφορά σε «προσωπικά δεδομένα», εντούτοις παραχωρούσε συγκεκριμένα δικαιώματα στα φυσικά πρόσωπα, ενώ επέβαλλε την υποχρέωση εμπιστευτικότητας σε όσους υπαλλήλους εμπλέκονταν στην επεξεργασία προσωπικών δεδομένων.
Την καινοτόμο αυτή νομοθετική πρωτοβουλία ακολούθησαν και άλλα κράτη της Ευρώπης, εισάγοντας παρόμοια νομοθεσία στο εθνικό τους δίκαιο, όπως, για παράδειγμα, το πρώτο Γερμανικό Ομοσπονδιακό Θέσπισμα Προστασίας Δεδομένων το 1977 (German Federal Data Protection Act of 1977) και πολλά άλλα.
Παρόλο που η παραπάνω νομοθεσία προστασίας δεδομένων φαινομενικά προέκυψε από την λιμπεραλιστική ιδεολογική δομή του απόρρητου των δεδομένων (ενν. ότι ήταν σχεδιασμένο να προστατεύει την ιδιωτικότητα του ατόμου), εντούτοις δημιούργησε προβλήματα στην αναπτυσσόμενη «οικονομία των πληροφοριών». Τούτο διότι υπήρχε πάντα ο πειρασμός, για πολλούς οργανισμούς, που είχαν την έδρα τους σε χώρες που ασκούν ελέγχους σε τυχόν παραβίαση του δικαιώματος στην ιδιωτικότητα και της προστασίας που παρέχεται στα φυσικά πρόσωπα έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, της μεταφοράς της λειτουργίας τους σε «παραδείσους δεδομένων». Εύλογα, ενδεχόμενη μεταφορά ενός διόλου ευκαταφρόνητου αριθμού εταιρειών σε χώρες που στερούντο επαρκών και αποτελεσματικών εγγυήσεων κατά της κατάχρησης των δεδομένων των φυσικών προσώπων, θα είχε ως αποτέλεσμα τη διατάραξη της νομοθετικής πολιτικής που ακολουθούν τα κράτη που προστατεύουν νομοθετικά τα δικαιώματα της ιδιωτικότητας των πληροφοριών.
Ταυτόχρονα, κυριαρχούσε έντονα η ανησυχία ότι τα κράτη που εφαρμόζουν περιοριστική, προστατευτική πολιτική, ενδεχομένως να αναγκάζονταν να καταφύγουν στη λήψη μέτρων, προκειμένου να μπορούν να ασκήσουν τον παραπάνω περιοριστικό έλεγχο αποτελεσματικά. Ωστόσο, κάτι τέτοιο θα είχε ως αποτέλεσμα τον περιορισμό της διαβίβασης δεδομένων σε τρίτες χώρες, διακόπτοντας την ελεύθερη κυκλοφορία των πληροφοριών, πάνω στην οποία η παγκόσμια οικονομία είχε αρχίσει να στηρίζεται.
Πράγματι, πολλές χώρες δίχως την ύπαρξη νόμων που να εγγυώνται την προστασία των δεδομένων, περιλαμβανομένων και των, κυρίαρχων στον τομέα της τεχνολογίας των πληροφοριών, Ηνωμένων Πολιτειών της Αμερικής, θεώρησαν την ανάπτυξη νόμων που περιορίζουν τη διασυνοριακή διαβίβαση δεδομένων ως υπέρμετρα περιοριστική και προστατευτική. Αυτό οδήγησε σε διάφορες διεθνείς πρωτοβουλίες με την υιοθέτηση τόσο εθελοντικών, όσο και δεσμευτικών διεθνών μηχανισμών/μέσων που σκοπό είχαν, αφενός να συμβάλλουν στην επίτευξη ενός βασικού επιπέδου προστασίας των δικαιωμάτων των φυσικών προσώπων στην ιδιωτικότητα πληροφοριών που τα αφορούσαν, και, αφετέρου να αποτρέψουν την καθιέρωση των παραπάνω «παραδείσων δεδομένων».
Έτσι, το 1980 δημιουργήθηκε ο Οργανισμός για την Οικονομική Συνεργασία και Ανάπτυξη ( Organisation for Economic Co-operation and Development’s Recommendations of the Council- ‘OECD’), με σκοπό να βοηθήσει τις κυβερνήσεις της Ένωσης στο συντονισμό των οικονομικών και κοινωνικών τους δράσεων, ενώ πρωτίστως αφορά την εξάπλωση της οικονομικής ανάπτυξης. Ταυτόχρονα, ο συγκεκριμένος Οργανισμός προτείνει ένα σύνολο επτά αρχών που αφορούν μη δεσμευτικές Κατευθυντήριες Γραμμές σχετικά με την προστασία της ιδιωτικότητας και τη διασυνοριακή κυκλοφορία προσωπικών δεδομένων ( non-binding OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data).
Οι παραπάνω Κατευθυντήριες Γραμμές περιγράφουν τις βασικές έννοιες που οφείλουν να υιοθετούν τα κράτη μέλη, ούτως ώστε να προστατεύονται οι πολίτες αποτελεσματικά έναντι της κατάχρησης των προσωπικών πληροφοριών τους από δημόσιους και ιδιωτικούς οργανισμούς. Παρουσιάζουν δε, ως κεντρική ιδέα, την ανάγκη εγγυήσεων του βασικού δικαιώματος στην ιδιωτικότητα, την ανάγκη διασφάλισης της ελεύθερης κυκλοφορίας των πληροφοριών, την αποφυγή αδικαιολόγητων εθνικών περιορισμών στη διασυνοριακή διαβίβαση δεδομένων, και την ανάγκη εναρμόνισης των σχετικών διατάξεων στο δίκαιο κάθε κράτους μέλους.
Ωστόσο, ανάμεσα στις παραπάνω επτά αρχές τέθηκε, μεταξύ άλλων, η απαραίτητη προϋπόθεση του περιορισμού του σκοπού σύμφωνα με την οποία η χρήση των προσωπικών δεδομένων θα πρέπει να περιορίζεται στους ρητούς σκοπούς (express purposes) για τους οποίους έχουν συλλεχθεί και για κανένα άλλο λόγο.
Οι ανωτέρω Κατευθυντήριες Γραμμές του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη αναθεωρήθηκαν και επικαιροποιήθηκαν το 2013.
Ταυτόχρονα, σε ευρωπαϊκό επίπεδο, το Συμβούλιο της Ευρώπης υιοθέτησε τη Σύμβαση Νο. 108, 28.01.1981 για την Προστασία των Φυσικών Προσώπων σχετικά με την Αυτόματη Επεξεργασία των Προσωπικών Δεδομένων (1981 Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data).
Η εν λόγω Σύμβαση τέθηκε σε ισχύ το Μάρτιο του 1985 όταν η Ομοσπονδιακή Δημοκρατία της Γερμανίας έγινε το πέμπτο κράτος που την επικύρωσε, ενώ ενσωματώνει πολλές από τις βασικές αρχές που εκτίθενται στο δεύτερο μέρος των Κατευθυντήριων Γραμμών του ανωτέρω Οργανισμού.
Ωστόσο, σε αντίθεση με τις Κατευθυντήριες Γραμμές του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη, η παραπάνω Σύμβαση αποτελεί μια Διεθνή Συνθήκη που επιδιώκει να θεμελιώσει ένα δεσμευτικό νομικό πλαίσιο προστασίας των προσωπικών δεδομένων.
Στο άρθρο 5 της Σύμβασης ορίζεται ότι η αυτόματη επεξεργασία στην οποία υποβάλλονται τα δεδομένα θα πρέπει να γίνεται νομίμως, τα δεδομένα αυτά να αποθηκεύονται για καθορισμένους και νόμιμους σκοπούς, και να μην χρησιμοποιούνται κατά τρόπο ασύμβατο με τους σκοπούς αυτούς. Θα πρέπει επίσης να είναι κατάλληλα, συναφή και να μην υπερβαίνουν τους σκοπούς για τους οποίους αποθηκεύτηκαν.
Ωστόσο, αρκετά πριν τη δημιουργία των παραπάνω μηχανισμών, το Ευρωπαϊκό Κοινοβούλιο έχοντας υπόψη τη διαρκώς αυξανόμενη σημασία της τεχνολογίας των πληροφοριών για τις οικονομίες των κρατών μελών, καθώς και τον κίνδυνο ύπαρξης εμποδίων στη διασυνοριακή κυκλοφορία δεδομένων, κάλεσε την Ευρωπαϊκή Επιτροπή, στα μέσα της δεκαετίας το ’70, να προετοιμάσει μια Οδηγία εναρμόνισης των διαδικασιών προστασίας και της διευκόλυνσης της ελεύθερης διασυνοριακής κυκλοφορίας δεδομένων.
Εν τέλει, η υιοθέτηση του Ενιαίου Ευρωπαϊκού Νόμου το 1986 ( Single European Act 1986) που στόχευε σε μια ενιαία Ευρωπαϊκή αγορά, καθώς και η εισαγωγή ενός αριθμού θεσμικών διαδικασιών για την εναρμόνιση τoυ εσωτερικού δικαίου των κρατών μελών, παρείχε τη νομική βάση για τις σχετικές νομοθετικές ρυθμίσεις που οδήγησαν στην υιοθέτηση της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Directive 95/46/EC), που αρχικά τέθηκε σε εφαρμογή στα μέσα της δεκαετίας του ‘90.
Η παραπάνω Οδηγία εισήγαγε ένα αναλυτικό νομοθετικό καθεστώς προστασίας δεδομένων προσωπικού χαρακτήρα επιβάλλοντας ένα ευρύ πλαίσιο υποχρεώσεων για τους υπευθύνους της επεξεργασίας και παρέχοντας ευρέα δικαιώματα στα υποκείμενα των δεδομένων.
Σε ό,τι αφορά δε, τον παραπάνω περιορισμό του σκοπού, η εν λόγω αρχή αφομοιώθηκε στην Οδηγία, στο άρθρο 6 παράγραφος 1 στ.(β), που εκείνη την περίοδο και πριν την κατάργησή της, είχε ενσωματωθεί στο εθνικό δίκαιο όλων των κρατών μελών της Ένωσης. Το συγκεκριμένο άρθρο εισήγαγε τις έννοιες της «παραιτέρω επεξεργασίας» ( ‘further processing’) και της «ασύμβατης» χρήσης (‘incompatible’) ορίζοντας ότι, τα προσωπικά δεδομένα θα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και αν υποβάλλονται σε περαιτέρω επεξεργασία, θα πρέπει η επεξεργασία αυτή να είναι συμβατή με τους αρχικούς σκοπούς.
Η Οδηγία 95/46/ΕΚ αναφερόταν συγκεκριμένα τόσο στη Σύμβαση του Συμβουλίου της Ευρώπης 1981, όσο και στην Ευρωπαϊκή Σύμβαση για την προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών ως το «σημείο αφετηρίας» της (‘point of departure’). Έκανε δε, ιδιαίτερη μνεία στο σεβασμό για τα θεμελιώδη δικαιώματα και τις ελευθερίες κάθε προσώπου και συγκεκριμένα στο δικαίωμα στην ιδιωτικότητα, την ανάγκη για οικονομική και κοινωνική πρόοδο, την εξάπλωση του εμπορίου, καθώς και την ευημερία των πολιτών ως τον σκοπό ύπαρξής της (raison d’etre).
Είναι σαφές ότι, το παραπάνω καταργηθέν νομικό πλαίσιο που παρέχει η Οδηγία υπηρετεί το διπλό σκοπό της εναρμόνισης της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας, και της διασφάλισης της ελεύθερης διαβίβασης δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών.
Ωστόσο, η δομή της συγκεκριμένης Οδηγίας είχε κάποια μειονεκτήματα, τα οποία επέβαλαν την αναμόρφωση του νομικού συστήματος προστασίας των προσωπικών δεδομένων στην Ευρώπη.
Ειδικότερα, η τεχνολογική πρόοδος στην παροχή διαδικτυακών υπηρεσιών, καθώς και η αλόγιστη χρήση των προσωπικών δεδομένων των χρηστών στις συγκεκριμένες υπηρεσίες υποδηλώναν την ανάγκη αναθεώρησης του νομοθετικού καθεστώτος προστασίας δεδομένων της Ευρωπαϊκής Ένωσης.
Βάσει των ανωτέρω, και μετά από τη διενέργεια αναλυτικής διαβούλευσης με τους εμπλεκομένους η Επιτροπή δημοσίευσε πρόταση για ένα νέο Ευρωπαϊκό Κανονισμό σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα τον Ιανουάριο του 2012.
Η ανάγκη αυτή γεννήθηκε από το γεγονός ότι, θεμελιώδεις έννοιες της Οδηγίας 95/46/ΕΚ ερμηνεύονταν και εφαρμόζονταν διαφορετικά από τις κανονιστικές αρχές και τα εθνικά δικαστήρια των κρατών μελών. Ως εκ τούτου, η Οδηγία προστασίας δεδομένων του 1995 έπασχε από έλλειψη ομοιομορφίας στην εφαρμογή και ερμηνεία της από τα κράτη μέλη. Για να αντιμετωπιστεί αυτό το πρόβλημα, αποφασίστηκε ότι ένας νέος Κανονισμός της Ευρωπαϊκής Ένωσης θα έπρεπε να τεθεί σε ισχύ, δυνάμενος να εφαρμοσθεί άμεσα στο εθνικό δίκαιο των κρατών μελών, ούτως ώστε να εξασφαλίζεται η εναρμονισμένη προσέγγιση από το σύνολο των κρατών μελών, σε αντίθεση με την Ευρωπαϊκή Οδηγία που απαιτούσε τη θέσπιση μέτρων ενσωμάτωσης. Οι διατάξεις του νέου Ευρωπαϊκού Κανονισμού θα αντικαθιστούν το προηγούμενο νομοθετικό καθεστώς, εισάγοντας μέτρα εναρμόνισης των διαδικασιών και εφαρμογής τους σε όλη την Ευρώπη.
Παρότι ένα νέο Ευρωπαϊκό νομικό σύστημα αντικαθιστά τους παλαιότερους κανόνες, ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου χτίζει πάνω στις βασικές αρχές της προγενέστερης Οδηγίας 95/46/ΕΚ, ενώ βασίζεται ακόμη στους παλαιούς κοινούς κανόνες του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη, οι οποίοι ισχύουν μέχρι σήμερα.
Το νέο σύγχρονο νομικό πλαίσιο που εισάγει ο Κανονισμός (ΕΕ) 2016/679 της 27ης Απριλίου ( GDPR) σχετικά με το δικαίωμα στην ιδιωτικότητα όλων των πολιτών της Ευρωπαϊκής Ένωσης, το οποίο εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο ύστερα από διαβούλευση διάρκειας τεσσάρων ετών με το Συμβούλιο και την Ευρωπαϊκή Επιτροπή, πριν τελικά τεθεί σε ισχύ την 25η Μαϊου 2018, εξακολουθεί να κάνει ιδιαίτερη μνεία στην προστασία θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων και ειδικότερα στο δικαίωμα τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, στο άρθρο 1(2).
Από τα παραπάνω διαφαίνεται ξεκάθαρα πως το νέο Ευρωπαϊκό νομικό σύστημα έχει ως κύριο στόχο τη διαφύλαξη θεμελιωδών δικαιωμάτων, τα οποία απειλούνται από την παραβίαση των προσωπικών δεδομένων των ανθρώπων της Ευρωπαϊκής Ένωσης . Ο ειδικός αυτός χαρακτήρας της νέας Ευρωπαϊκής νομοθεσίας αντανακλάται και στους τρόπους με τους οποίους σχεδιάζονται και ερμηνεύονται το περιεχόμενό και οι διατάξεις της. Ως εκ τούτου, οι διατάξεις της σχετικής Ευρωπαϊκής νομοθεσίας παραμένουν συνεπείς με τον υποκείμενο σχεδιασμό και τη σύλληψη της ιδιωτικότητας των πληροφοριών ως θεμελιώδες ανθρώπινο δικαίωμα των πολιτών της Ευρωπαϊκής Ένωσης, όπως διαφάνηκε και από τις προγενέστερες δικαστικές αποφάσεις ορόσημο στην προστασία δεδομένων τόσο στην υπόθεση C-131/12 Google Spain v. AEPD and Mario Costeja Gonzalez (2014), όσο και στην υπόθεση Weltimmo v. Hungarian DPA (2015). Στις συγκεκριμένες αποφάσεις, το Δικαστήριο της Ευρωπαϊκής Ένωσης ( The CJEU based in Luxembourg) υπενθύμισε το ευρωπαϊκό πλαίσιο του σεβασμού των θεμελιωδών ανθρωπίνων δικαιωμάτων, μια από τις βασικές αρχές πάνω στις οποίες θεμελιώνεται το κοινό ευρωπαϊκό οικοδόμημα, τονίζοντας μάλιστα την ανάγκη διαφύλαξης των δικαιωμάτων αυτών.
Σε ό,τι αφορά τον περιορισμό σκοπού, ο νέος Κανονισμός προσθέτει στο άρθρο 5 παράγραφος 1 στ. (β) τον όρο «ρητούς» (‘explicit’) – ακριβώς όπως είχε κάνει και η Οδηγία 95/46/ΕΚ – ορίζοντας ότι «τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς, εκτός αν η περαιτέρω επεξεργασία γίνεται για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, οπότε δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός σκοπού»-‘purpose limitation’).
Ο περιορισμός του σκοπού συνιστά μια από τις βασικές αρχές που συγκροτούν τον πυρήνα του νέου Ευρωπαϊκού Κανονισμού, μαζί με την αρχή της «νομιμότητας» και της «νομιμότητας, αντικειμενικότητας και διαφάνειας», αντίστοιχα, βάσει των άρθρων 6 και 5 παράγραφος 1 στ. (α) – ‘lawfulness of processing’- ‘lawfulness. fairness and transparency’ – καθώς επίσης και την αρχή της “ελαχιστοποίησης των δεδομένων”, σύμφωνα με το άρθρο 5 παράγραφος 1 στ. (γ) – (‘data minimization’).
Ωστόσο, ο νέος Ευρωπαϊκός Κανονισμός για την προστασία προσωπικών δεδομένων εισάγει σημαντικές αλλαγές. Σύμφωνα με τους νέους κανόνες οι υπεύθυνοι της επεξεργασίας δεδομένων που είναι εγκατεστημένοι σε χώρες εκτός Ευρωπαϊκής Ένωσης, αλλά παρακολουθούν τη συμπεριφορά καταναλωτών της Ευρωπαϊκής Ένωσης ή προσφέρουν αγαθά και υπηρεσίες στο διαδίκτυο σε καταναλωτές εντός της Ένωσης, εμπίπτουν στο πεδίο εφαρμογής του νέου Ευρωπαϊκού Κανονισμού για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Αναμφίβολα ο νέος Ευρωπαϊκός Κανονισμός θεραπεύει κάποια από τα ελαττώματα του προηγούμενου νομικού συστήματος προστασίας δεδομένων, παρέχοντας στα υποκείμενα των δεδομένων πιο σύγχρονες τεχνικές, αλλά και μηχανισμούς ελέγχου κατά τη συλλογή και διαβίβαση προσωπικών δεδομένων τους.
Απομένει να δούμε πως τα κράτη μέλη και οι δημόσιες αρχές θα διαχειριστούν το νέο σύγχρονο Ευρωπαϊκό Κανονισμό, ούτως ώστε να διασφαλίζεται η προάσπιση των συμφερόντων και η ουσιαστική διαφύλαξη των ελευθεριών και των θεμελιωδών δικαιωμάτων στην προστασία δεδομένων προσωπικού χαρακτήρα των πολιτών της Ευρωπαϊκής Ένωσης, σύμφωνα με το άρθρο 1 παράγραφος 2.