Προστασία δεδομένων: Από τους πρώτους νόμους του ’70 στον GDPR
Μια ιστορική αναδρομή στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ευρώπη.
Του Βασίλη Αποστολόπουλου, Δικηγόρου, LL.M.
Εν πρώτοις, σε πολλές Δυτικές Ευρωπαϊκές κοινωνίες, η καθιέρωση της μυστικότητας των πληροφοριών και η αναγνώριση του δικαιώματος κάθε προσώπου στην αυτοδιάθεση των δεδομένων που το αφορούν οδήγησαν αρκετά κράτη στην υιοθέτηση νόμων που αποσκοπούσαν στην προστασία των φυσικών προσώπων από τη μη εξουσιοδοτημένη πρόσβαση στα προσωπικά δεδομένα τους από τα δημόσιους και ιδιωτικούς οργανισμούς.
Ούτως ειπείν, η ιστορία του δικαίου προστασίας δεδομένων στην Ευρώπη ανατρέχει στους πρώτους εθνικούς νόμους που αναδύθηκαν στις αρχές της δεκαετίας του ’70.
Πιο συγκεκριμένα, το Γερμανικό ομόσπονδο κρατίδιο του Έσσεν ήταν το πρώτο που εισήγαγε σχετική, πρωτοποριακή για την εποχή, νομοθεσία για την προστασία δεδομένων με την υιοθέτηση του σχετικού θεσπίσματος το 1970 ( State Data Protection Act in 1970). Μολονότι το συγκεκριμένο θέσπισμα δεν έκανε ακόμη αναφορά σε «προσωπικά δεδομένα», εντούτοις παραχωρούσε συγκεκριμένα δικαιώματα στα φυσικά πρόσωπα, ενώ επέβαλλε και την υποχρέωση εμπιστευτικότητας σε όσους υπαλλήλους εμπλέκονταν στην επεξεργασία των δεδομένων.
Την καινοτόμο αυτή νομοθετική πρωτοβουλία ακολούθησαν και άλλα κράτη της Ευρώπης, εισάγοντας παρόμοια νομοθεσία στο εθνικό τους δίκαιο, όπως, για παράδειγμα, το πρώτο Γερμανικό Ομοσπονδιακό Θέσπισμα Προστασίας Δεδομένων το 1977 (German Federal Data Protection Act of 1977) και πολλά άλλα.
Παρόλο που η παραπάνω νομοθεσία προστασίας δεδομένων φαινομενικά προέκυψε από την λιμπεραλιστική ιδεολογική δομή του απόρρητου των δεδομένων (ενν. ότι ήταν σχεδιασμένο να προστατεύει την ιδιωτικότητα του ατόμου), εντούτοις δημιούργησε προβλήματα για την αναπτυσσόμενη «οικονομία των πληροφοριών». Τούτο διότι υπήρχε πάντα ο πειρασμός, για πολλούς οργανισμούς, που είχαν την έδρα τους σε χώρες που ασκούσαν ελέγχους στην παραβίαση του δικαιώματος στην ιδιωτικότητα και την προστασία των δεδομένων των φυσικών προσώπων, της μεταφοράς της λειτουργίας τους σε «παραδείσους δεδομένων». Εύλογα, ενδεχόμενη μεταφορά από ένα επαρκή αριθμό οργανισμών σε χώρες που στερούντο επαρκών και αποτελεσματικών εγγυήσεων κατά της κατάχρησης των δεδομένων των φυσικών προσώπων, θα είχε ως αποτέλεσμα τη διατάραξη της νομοθετικής πολιτικής που ακολουθούσαν τα κράτη που παρείχαν αποτελεσματικά την παραπάνω νομοθετική προστασία στα δικαιώματα της ιδιωτικότητας των πληροφοριών.
Ταυτόχρονα, κυριαρχούσε έντονα η ανησυχία ότι τα κράτη που εφάρμοζαν περιοριστική, προστατευτική νομοθεσία, ενδεχομένως να οδηγούνταν στη λήψη μέτρων, προκειμένου να μπορούν να ασκήσουν τον παραπάνω περιοριστικό έλεγχο. Με αυτόν τον τρόπο, όμως, θα περιόριζαν τη μεταφορά δεδομένων σε τρίτες χώρες, διακόπτοντας την ελεύθερη κυκλοφορία των πληροφοριών, πάνω στην οποία η παγκόσμια οικονομία είχε σταδιακά αρχίσει να στηρίζεται.
Πράγματι, πολλές χώρες δίχως την ύπαρξη νόμων που να εγγυώνται την προστασία των δεδομένων, περιλαμβανομένων και των, κυρίαρχων στον τομέα της τεχνολογίας των πληροφοριών, Ηνωμένων Πολιτειών της Αμερικής, θεώρησαν την ανάπτυξη νόμων που περιόριζαν τη διασυνοριακή μεταφορά δεδομένων ως υπέρμετρα περιοριστική και προστατευτική. Αυτό οδήγησε σε διάφορες διεθνείς πρωτοβουλίες με την υιοθέτηση τόσο εθελοντικών, όσο και δεσμευτικών διεθνών μηχανισμών/μέσων που σκοπό είχαν αφενός να συμβάλλουν στην επίτευξη ενός βασικού επιπέδου προστασίας των δικαιωμάτων των φυσικών προσώπων στην ιδιωτικότητα των πληροφοριών που τους αφορούσαν, αφετέρου να αποτρέψουν την καθιέρωση των παραπάνω «παραδείσων δεδομένων».
Έτσι, το 1980 δημιουργήθηκε ο Οργανισμός για την Οικονομική Συνεργασία και Ανάπτυξη ( Organisation for Economic Co-operation and Development’s Recommendations of the Council- ‘OECD’), με σκοπό να βοηθήσει τις κυβερνήσεις της Ένωσης στο συντονισμό των οικονομικών και κοινωνικών τους δράσεων, ενώ πρωτίστως αφορούσε την εξάπλωση της οικονομικής ανάπτυξης. Ταυτόχρονα, όμως, ο εν λόγω Οργανισμός πρότεινε και ένα σύνολο επτά αρχών που αφορούσαν μη δεσμευτικές Κατευθυντήριες Γραμμές σχετικά με την προστασία της ιδιωτικότητας και τη διασυνοριακή μεταφορά προσωπικών δεδομένων ( non-binding OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data).
Σύμφωνα με τις ως άνω επτά αρχές οι παραπάνω Κατευθυντήριες Γραμμές περιέγραφαν μια σειρά από βασικές έννοιες που θα έπρεπε να υιοθετήσουν τα κράτη μέλη έτσι ώστε, οι πολίτες, να προστατεύονται αποτελεσματικά έναντι της καταχρήσεως των προσωπικών πληροφοριών τους από δημόσιους και ιδιωτικούς οργανισμούς. Παρουσίαζαν, δε, ως κεντρική ιδέα, την ανάγκη εγγυήσεων του βασικού δικαιώματος στην ιδιωτικότητα, την ανάγκη διασφάλισης της ελεύθερης κυκλοφορίας των πληροφοριών, την αποφυγή αδικαιολόγητων εθνικών περιορισμών στη διασυνοριακή μεταφορά των δεδομένων, και την ανάγκη εναρμόνισης των σχετικών διατάξεων στο δίκαιο κάθε κράτους μέλους.
Ωστόσο, ανάμεσα στις παραπάνω επτά αρχές τέθηκε, μεταξύ άλλων, η απαραίτητη προϋπόθεση του περιορισμού του σκοπού σύμφωνα με την οποία η χρήση των προσωπικών δεδομένων θα πρέπει να περιορίζεται στους ρητούς σκοπούς (express purposes) για τους οποίους αρχικά συλλέχθηκαν τα δεδομένα αυτά και για κανένα άλλο λόγο.
Οι ανωτέρω Κατευθυντήριες Γραμμές του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη αναθεωρήθηκαν και επικαιροποιήθηκαν το 2013.
Ταυτόχρονα, σε ευρωπαϊκό επίπεδο, το Συμβούλιο της Ευρώπης υιοθέτησε τη Σύμβαση Νο. 108, 28.01.1981 για την Προστασία των Φυσικών Προσώπων σχετικά με την Αυτόματη Επεξεργασία των Προσωπικών Δεδομένων (1981 Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data).
Η εν λόγω Σύμβαση τέθηκε σε ισχύ το Μάρτιο του 1985 όταν η Ομοσπονδιακή Δημοκρατία της Γερμανίας έγινε το πέμπτο κράτος που την επικύρωσε, ενώ ενσωματώνει πολλές από τις βασικές αρχές που εκτίθενται στο δεύτερο μέρος των Κατευθυντήριων Γραμμών του ανωτέρω Οργανισμού.
Ωστόσο, σε αντίθεση με τις Κατευθυντήριες Γραμμές του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη, η παραπάνω Σύμβαση αποτελούσε μια Διεθνή Συνθήκη που επιδίωκε να θεμελιώσει ένα δεσμευτικό νομικό πλαίσιο προστασίας των προσωπικών δεδομένων.
Στο άρθρο 5 της Σύμβασης ορίζεται ότι η αυτόματη επεξεργασία στην οποία υποβάλλονται τα δεδομένα θα πρέπει να είναι θεμιτή, τα δεδομένα αυτά να αποθηκεύονται για καθορισμένους και νόμιμους σκοπούς, και να μην χρησιμοποιούνται κατά τρόπο ασύμβατο με τους σκοπούς αυτούς. Θα πρέπει επίσης να είναι κατάλληλα, συναφή και να μην υπερβαίνουν τους σκοπούς για τους οποίους αποθηκεύτηκαν.
Ως αντάλλαγμα για τη συμμόρφωση με τις παραπάνω αρχές, η Σύμβαση ορίζει ότι κανένα συμβαλλόμενο κράτος δεν θα πρέπει να απαγορεύει ή να εμποδίζει την ελεύθερη κυκλοφορία των δεδομένων προς άλλα συμβαλλόμενα κράτη. Παρά το γεγονός ότι η Σύμβαση δεν περιέχει διάταξη που να απαγορεύει ρητά τη μεταφορά δεδομένων προς μη συμβαλλόμενα κράτη, υπήρχε η προσδοκία ότι χώρες που παρείχαν προστασία έναντι της επεξεργασίας δεδομένων θα ενσωμάτωναν μια τέτοια διάταξη στη σχετική εσωτερική νομοθεσία τους.
Ωστόσο, αρκετά πριν τη δημιουργία των παραπάνω μηχανισμών, το Ευρωπαϊκό Κοινοβούλιο έχοντας υπόψη τη διαρκώς αυξανόμενη σημασία της τεχνολογίας των πληροφοριών για τις οικονομίες των κρατών μελών, καθώς και τον κίνδυνο ύπαρξης εμποδίων στη διασυνοριακή κυκλοφορία δεδομένων, κάλεσε την Ευρωπαϊκή Επιτροπή, στα μέσα της δεκαετίας το ’70, να προετοιμάσει μια Οδηγία εναρμόνισης των διαδικασιών προστασίας και της διευκόλυνσης της ελεύθερης διασυνοριακής κυκλοφορίας δεδομένων.
Εν τέλει, η υιοθέτηση του Ενιαίου Ευρωπαϊκού θεσπίσματος το 1986 ( Single European Act 1986) που στόχευε σε μια ενιαία Ευρωπαϊκή αγορά, καθώς και η εισαγωγή ενός αριθμού θεσμικών διαδικασιών για την εναρμόνιση τoυ εσωτερικού δικαίου των κρατών μελών, παρείχε τη νομική βάση για τις σχετικές νομοθετικές ρυθμίσεις που οδήγησαν στην υιοθέτηση της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Directive 95/46/EC), που αρχικά τέθηκε σε εφαρμογή στα μέσα της δεκαετίας του ‘90.
Η παραπάνω Οδηγία εισήγαγε ένα αναλυτικό νομοθετικό καθεστώς προστασίας δεδομένων προσωπικού χαρακτήρα επιβάλλοντας ένα ευρύ πλαίσιο υποχρεώσεων για τους υπευθύνους της επεξεργασίας και παρέχοντας ευρέα δικαιώματα στα υποκείμενα των δεδομένων.
Όσον αφορά, δε, τον παραπάνω περιορισμό του σκοπού, η εν λόγω αρχή αφομοιώθηκε στην Οδηγία, στο άρθρο 6 παράγραφο 1 εδ.β, που εκείνη την περίοδο και πριν την κατάργησή της, είχε ενσωματωθεί στο εθνικό δίκαιο όλων των κρατών μελών της Ένωσης. Το παραπάνω άρθρο εισήγαγε τις έννοιες της «παραιτέρω επεξεργασίας» ( ‘further processing’) και της «ασύμβατης» χρήσης (‘incompatible’) ορίζοντας ότι, τα προσωπικά δεδομένα θα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και αν υποβάλλονται σε περαιτέρω επεξεργασία θα πρέπει αυτή να είναι συμβατή με τους αρχικούς σκοπούς.
Η Οδηγία 95/46/ΕΚ αναφερόταν συγκεκριμένα τόσο στη Σύμβαση του Συμβουλίου της Ευρώπης 1981, όσο και στην Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου ως το «σημείο αφετηρίας» της. Έκανε, δε, ιδιαίτερη μνεία στο σεβασμό για τα θεμελιώδη δικαιώματα και τις ελευθερίες κάθε προσώπου, ενώ αναφερόταν στο δικαίωμα στην ιδιωτικότητα, την ανάγκη για οικονομική και κοινωνική πρόοδο, καθώς και την ευημερία των πολιτών ως τον σκοπό ύπαρξής της.
Είναι σαφές λοιπόν, ότι το παραπάνω νομικό πλαίσιο που παρείχε η Οδηγία εξυπηρετούσε το διπλό σκοπό της εναρμόνισης της προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας, αλλά και τη διασφάλιση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών.
Ωστόσο, η συγκεκριμένη Οδηγία φανέρωνε κάποια μειονεκτήματα στη δομή της που επέβαλλαν την ανάγκη αναμόρφωσης του συστήματος προστασίας των προσωπικών δεδομένων.
Ειδικότερα, η τεχνολογική πρόοδος στην παροχή online υπηρεσιών, καθώς και η αλόγιστη χρήση από αυτές τις υπηρεσίες των προσωπικών δεδομένων των χρηστών τους υποδήλωνε την ανάγκη αναθεώρησης του υφιστάμενου νομοθετικού καθεστώτος προστασίας δεδομένων της Ευρωπαϊκής Ένωσης.
Βάσει των ανωτέρω, και μετά από τη διενέργεια αναλυτικών διαβουλεύσεων με τους εμπλεκόμενους η Επιτροπή δημοσίευσε πρόταση για νέο Κανονισμό σχετικά με την προστασία δεδομένων προσωπικού χαρακτήρα τον Ιανουάριο του 2012.
Αυτή η ανάγκη προέκυψε από το γεγονός, ότι θεμελιώδεις έννοιες της Οδηγίας 95/46/ΕΚ ερμηνεύονταν και εφαρμόζονταν διαφορετικά από τις κανονιστικές αρχές και τα εθνικά δικαστήρια των κρατών μελών. Ως εκ τούτου, η Οδηγία προστασίας δεδομένων του 1995 έπασχε από έλλειψη συνοχής στην εφαρμογή και ερμηνεία της από τα κράτη μέλη. Για να αντιμετωπιστεί αυτό το πρόβλημα, αποφασίστηκε ότι ένας νέος Κανονισμός της Ευρωπαϊκής Ένωσης θα έπρεπε να τεθεί σε ισχύ, δυνάμενος να εφαρμοσθεί άμεσα στο εθνικό δίκαιο των κρατών μελών, ούτως ώστε να εξασφαλίζεται η εναρμονισμένη προσέγγιση από όλα τα κράτη μέλη, σε αντίθεση με την Ευρωπαϊκή Οδηγία που απαιτούσε τη θέσπιση μέτρων ενσωμάτωσης. Ο εν λόγω Κανονισμός θα αντικαθιστούσε το προηγούμενο νομοθετικό καθεστώς, ενώ θα περιλάμβανε μέτρα εναρμόνισης των διαδικασιών και εφαρμογής των διατάξεων προστασίας δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ευρωπαϊκή Ένωση.
Ύστερα από τέσσερα χρόνια διαβουλεύσεων ανάμεσα στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο, και την Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο ενέκρινε το πολύ πιο σύγχρονο νέο νομικό πλαίσιο του Κανονισμού (ΕΕ) 2016/679) της 27ης Απριλίου (GDPR) σχετικά με το δικαίωμα στην ιδιωτικότητα όλων των πολιτών της Ευρωπαϊκής Ένωσης, πριν τεθεί σε εφαρμογή στις 25 Μαϊου, 2018.
Παρά το γεγονός ότι το νέο νομοθετικό καθεστώς αντικαθιστά τους παλαιότερους κανόνες, ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου χτίζει πάνω στις βασικές αρχές της προγενέστερης Οδηγίας 95/46/ΕΚ, ενώ βασίζεται ακόμη στους παλαιούς κοινούς κανόνες του Οργανισμού για την Οικονομική Συνεργασία και Ανάπτυξη, που ισχύουν μέχρι σήμερα.
Όσον αφορά τον περιορισμό σκοπού, ο νέος Κανονισμός προσθέτει στο άρθρο 5 πσαράγραφο 1 εδ. (β) τον όρο «ρητούς» (‘explicit’) – ακριβώς όπως είχε κάνει και η Οδηγία 95/46/ΕΚ – ορίζοντας ότι «τα δεδομένα προσωπικού χαρακτήρα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς, εκτός αν η περαιτέρω επεξεργασία γίνεται για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, οπότε και δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφο 1 («περιορισμός σκοπού»-‘purpose limitation’).
Ο περιορισμός του σκοπού συνιστά μια από τις τρεις βασικές αρχές που συγκροτούν τον πυρήνα του νέου Κανονισμού, μαζί με τις αρχές της «νομιμότητας, αντικειμενικότητας και διαφάνειας» στα άρθρο 5 παράγραφο 1 εδ. (α) – ‘lawfulness. fairness and transparency’ – και της “ελαχιστοποίησης των δεδομένων”, αντίστοιχα, στην παράγραφο 1 εδ. (γ) – ‘data minimization’ – του ιδίου ως άνω άρθρου.
Ωστόσο, ο νέος Κανονισμός εισάγει σημαντικές αλλαγές. Σύμφωνα με τους νέους κανόνες οι υπεύθυνοι της επεξεργασίας δεδομένων που είναι εγκατεστημένοι σε χώρες εκτός Ευρωπαϊκής Ένωσης, αλλά παρακολουθούν τη συμπεριφορά καταναλωτών της Ένωσης ή τους προσφέρουν αγαθά ή υπηρεσίες online, εμπίπτουν στο πεδίο εφαρμογής του νέου Ευρωπαϊκού Κανονισμού για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Ένα είναι βέβαιο, ότι ο νέος Κανονισμός θα θεραπεύσει κάποια από τα προηγούμενα ελαττώματα, παρέχοντας στα υποκείμενα των δεδομένων πιο σύγχρονες τεχνικές και μηχανισμούς ελέγχου κατά τη συλλογή και μεταφορά των προσωπικών δεδομένων τους.
Απομένει να δούμε πως οι δημόσιες αρχές και τα κράτη μέλη θα διαχειριστούν το νέο Κανονισμό, ούτως ώστε να διασφαλίζεται η απρόσκοπτη άσκηση και η πλήρης και αποτελεσματική προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων σύμφωνα με την παράγραφο 2 του άρθρου 2 του Κανονισμού.