ΓΝΩΜΟΔΟΤΗΣΗ 1/2020
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση με διευρυμένη σύνθεση στην έδρα της την Τρίτη 21.01.2020, σε συνέχεια των από 01.10.2019 και 10.10.2019 συνεδριάσεων, προκειμένου να εξετάσει τις διατάξεις του ν. 4624/2019 (ΦΕΚ Α' 137), με τις οποίες ορίζονται μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 (Γενικού Κανονισμού για την Προστασία Δεδομένων) και ενσωματώνεται στην εθνική νομοθεσία η Οδηγία (ΕΕ) 2016/680. Παρέστησαν ο Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος, ο Αναπληρωτής Πρόεδρος Γεώργιος Μπατζαλέξης, τα τακτικά μέλη Σπυρίδων Βλαχόπουλος, ως εισηγητής, Κωνσταντίνος Λαμπρινουδάκης, ως εισηγητής, και Ελένη Μαρτσούκου, καθώς και τα αναπληρωματικά μέλη Γρηγόριος Τσόλιας, ως εισηγητής, και Εμμανουήλ Δημογεροντάκης. Δεν παρέστησαν, λόγω κωλύματος, αν και είχαν κληθεί, ο Χαραλάμπος Ανθόπουλος, τακτικό μέλος και ο Ευάγγελος Παπακωνσταντίνου, αναπληρωματικό μέλος. Παρούσα ήταν η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή αφού έλαβε υπόψη
Α. ότι:
1. Ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων - εφεξής «ΓΚΠΔ») τέθηκε σε εφαρμογή από τις 25-5-2018, σύμφωνα με το άρθρο 99 παρ. 2 αυτού.
2. Σύμφωνα με το άρθρο 288 ΣΛΕΕ ο ΓΚΠΔ έχει άμεση εφαρμογή σε όλα τα κράτη μέλη, τα οποία υποχρεούνται να λάβουν τα αναγκαία μέτρα για την προσαρμογή της εθνικής νομοθεσίας τους.
3. Στα κράτη μέλη εναπόκειται επίσης η δυνατότητα να λάβουν εθνικά μέτρα για την εξειδίκευση των κανόνων του ΓΚΠΔ και τον προσδιορισμό ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη και υπό την προϋπόθεση ότι το νομοθετικό μέτρο είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό σύμφωνα με τη νομολογία του ΔΕΕ και του ΕΔΔΑ (βλ. αιτ. σκ. 10, 41, 45, 50, 51 και 52 ΓΚΠΔ).
4. Επιτρέπεται η ενσωμάτωση στοιχείων του ΓΚΠΔ στην εθνική νομοθεσία μόνο στην έκταση που απαιτείται για λόγους συνεκτικότητας και για να είναι κατανοητές οι εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρμόζονται (βλ. αιτ. σκ. 8 ΓΚΠΔ).
5. Σύμφωνα με την από 24-01-2018 Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο «Ισχυρότερη προστασία, νέες ευκαιρίες-Κατευθυντήριες Γραμμές της Επιτροπής σχετικά με την άμεση εφαρμογή του γενικού κανονισμού για την προστασία δεδομένωναπό την25η Μαϊου2018» (C0M(2018)043) τόσο τα υποχρεωτικά, όσο και τα δυνητικά μέτρα προσαρμογής της εθνικής νομοθεσίας «[...] πλαισιώνονται από δύο στοιχεία: 1. το άρθρο 8 τουΧάρτη [Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκή Ένωσης - εφεξής «ΧΘΔΕΕ»], υπό την έννοια ότι οι τυχόν εθνικές πιο ειδικές διατάξεις πρέπει να πληρούν τις απαιτήσεις του άρθρου 8 του Χάρτη (και του Κανονισμού, πουβασίζεται στο άρθρο 8 του Χάρτη, και 2. Το άρθρο 16 παρ. 2 της ΣΛΕΕ, δυνάμει του οποίου η εθνική νομοθεσία δεν μπορεί να θίγει την ελεύθερη ροή των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ»
6. Σύμφωνα με την ίδια Ανακοίνωση της Ευρωπαϊκής Επιτροπής:
«Ο Κανονισμός αποτελεί ευκαιρία να απλουστευτεί το νομικό περιβάλλον και, ως εκ τούτου, να υπάρχουν λιγότεροι εθνικοί κανόνες και μεγαλύτερη σαφήνεια για τους επιχειρηματικούς φορείς.
Όταν τα κράτη μέλη προσαρμόζουν την εθνική τους νομοθεσία, πρέπει να λαμβάνουν υπόψη το γεγονός ότι κάθε εθνικό μέτρο το οποίο θα είχε ως αποτέλεσμα τη δημιουργία εμποδίου στην άμεση εφαρμογή του Κανονισμού και την υπονόμευση της ταυτόχρονης και ομοιόμορφης εφαρμογής του στο σύνολο της ΕΕ είναι αντίθετο προς τις συνθήκες (ΔΕΚ υπόθεση 94/77, Fratelli Zerbone Snc κατά Amministrazione delle finanze dello State, ECLI:EU:C:1978:17 και 101).
Απαγορεύεται επίσης η επανάληψη του κειμένου των Κανονισμών στην εθνική νομοθεσία (π.χ. η επανάληψη ορισμών ή των δικαιωμάτων των φυσικών προσώπων), εκτός εάν οι ενλόγω επαναλήψεις είναι απολύτως απαραίτητες για λόγους συνεκτικότητας και για να είναι κατανοητές οι εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρμόζονται.
Η κατά λέξη αναπαραγωγή του κειμένου του Κανονισμού σε εθνικές πιο ειδικές διατάξεις θα πρέπει να γίνεται μόνο σε εξαιρετικές και αιτιολογημένες περιπτώσεις και δεν μπορεί να χρησιμοποιηθεί για να προστεθούν πρόσθετες προϋποθέσεις ή ερμηνείες στο κείμενο του Κανονισμού.
Η ερμηνεία του Κανονισμού επαφίεται στα ευρωπαϊκά δικαστήρια (εθνικά δικαστήρια και, σε τελευταίο βαθμό, το Ευρωπαϊκό Δικαστήριο) και όχι στους νομοθέτες των κρατών μελών. Ο εθνικός νομοθέτης, δεν μπορεί, συνεπώς, να αντιγράψει το κείμενο του Κανονισμού όταν δεν είναι αναγκαίο υπό το φως των κριτηρίων που παρέχει η νομολογία, ούτε να το ερμηνεύσει ή να προσθέσει συμπληρωματικές προϋποθέσεις στους κανόνες που εφαρμόζονται άμεσα δυνάμει του Κανονισμού. Εάν συνέβαινε αυτό, οι επιχειρηματικοί φορείς σε όλη την Ένωση θα αντιμετώπιζαν ξανά κατακερματισμό και δεν θα γνώριζαν ποιους κανόνες πρέπει να τηρούν(...)
Σε περίπτωση που το κράτος-μέλος δεν λάβει τα αναγκαία μέτρα που απαιτούνται βάσει του Κανονισμού, καθυστερήσει να λάβει μέτρα ή χρησιμοποιήσει τις δυνατότητες θέσπισης πιο ειδικών διατάξεων που προβλέπονται στον Κανονισμό κατά τρόπο αντίθετο προς τον Κανονισμό, η Επιτροπή θα χρησιμοποιήσει όλα τα μέσα που έχει στη διάθεσή της, συμπεριλαμβανομένης της κίνησης διαδικασίας επί παραβάσει».
7. Με την από 24-7-2019 Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο «Οι κανόνες προστασίας των δεδομένων ως θεμέλιο εμπιστοσύνης εντός και εκτός ΕΕ-απολογισμός» (COM (2019) 374) και σε συνέχεια της προηγούμενης Ανακοίνωσης της Ευρωπαϊκής Επιτροπής (βλ. ανωτέρω υπό 6) διαπιστώνεται ότι :
«i. τυχόν εθνικές διατάξεις που προσδιορίζουν περαιτέρω την εφαρμογή του Κανονισμού πρέπει να πληρούν τις απαιτήσεις του Χάρτη Θεμελιωδών Δικαιωμάτων (και να μην υπερβαίνουν τα όρια που θέτει ο Κανονισμός, ο οποίος βασίζεται στον Χάρτη), ii. δεν πρέπει να θίγεται η ελεύθερη ροή δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ.
Σε ορισμένες περιπτώσεις, τα κράτη μέλη έχουν θεσπίσει εθνικές απαιτήσεις επιπλέον αυτών του Κανονισμού, ιδίως μέσω πολλών τομεακών νόμων, γεγονός που οδηγεί σε κατακερματισμό και έχει ως αποτέλεσμα τη δημιουργία περιττών βαρών. Ένα παράδειγμα επιπρόσθετης απαίτησης που έχει εισαχθεί από κράτος μέλος επιπλέον των απαιτήσεων του Κανονισμού είναι η υποχρέωση, βάσει της γερμανικής νομοθεσίας, να ορίζεται υπεύθυνος προστασίας δεδομένων στις εταιρίες με 20 ή περισσότερους εργαζόμενους οι οποίες δραστηριοποιούνται σε μόνιμη βάση στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα»
8. Το Ευρωπαϊκό Συμβούλιο με το υπ' αρ. 14994/1/19 REV 1 από 19-12-2019 έγγραφο του (βλ. παρ. 25) επιβεβαίωσε τη θέση της Ευρωπαϊκή Επιτροπής σύμφωνα με την οποία ο ΓΚΠΔ αφήνει περιθώριο στους εθνικούς νομοθέτες να διατηρήσουν ή να εισαγάγουν συγκεκριμένες ρυθμίσεις προκειμένου να εφαρμοσθούν συγκεκριμένες διατάξεις του ΓΚΠΔ. Με τις ρυθμίσεις όμως αυτές δεν πρέπει να εισαχθούν προϋποθέσεις πέραν των προβλέψεων του ΓΚΠΔ όταν δεν υπάρχει περιθώριο εξειδίκευσης τους, όπως στην περίπτωση πρόσθετων προϋποθέσεων επεξεργασίας.
9. Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της διασφάλισης έναντι των απειλών κατά της δημόσιας ασφάλειας και της πρόληψής τους και της ελεύθερης κυκλοφορίας των δεδομένων αυτών, αποτελεί το αντικείμενο της Οδηγίας (ΕΕ) 680/2016 και συνεπώς ο ΓΚΠΔ δεν θα πρέπει να εφαρμόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς αυτούς (αιτ. σκ. 19 ΓΚΠΔ).
10. Με τον ν. 4624/2019 (ΦΕΚ Α'137/29.8.2019) «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της27ηςΑπριλίου2016καιάλλεςδιατάξεις» ελήφθησαν μέτρα εφαρμογής του ΓΚΠΔ και ενσωματώθηκε στην εθνική νομοθεσία η Οδηγία 2016/680
11. Σύμφωνα με τις διατάξεις των άρθρων 57 παρ. 1 εδ. α' ΓΚΠΔ και 13 παρ. 1 εδ. α' ν. 4624/2019 η Αρχή είναι αρμόδια για την παρακολούθηση, την επιβολή της εφαρμογής του ΓΚΠΔ και την εφαρμογή του ν. 4624/2019 καθώς και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, και
Β. τις παρατηρήσεις και προτάσεις, τις οποίες υπέβαλε το προσωπικό της Αρχής
Εκδίδει την ακόλουθη γνωμοδότηση
Αθήνα, 24 Ιανουαρίου 2020
Αριθ. Πρωτ.: Γ/ΕΞ/606/24-01-2020
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Λ. Κηφισίας 1-3, 11523 Αθήνα.
Τηλ: 210 6475600.
Φαξ: 210 6475628,
contact@dpa.gr | www.dpa.gr
ΕΙΣΑΓΩΓΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ
Από μια πρώτη συνολική θεώρηση του ν. 4624/2019 προκύπτει ότι εισάγεται διάκριση μεταξύ «ιδιωτικών» και «δημόσιων» φορέων ως υπευθύνων επεξεργασίας κατά το πρότυπο, το οποίο ακολουθεί ο σχετικός γερμανικός νόμος, διαπιστώνεται δε ότι η πλειονότητα των διατάξεων για τη λήψη μέτρων εφαρμογής του ΓΚΠΔ αφορά τους αναφερόμενους ως «δημόσιους φορείς». Γενικότερα, στηρίζεται σε διαφορετική αντίληψη σε σχέση με εκείνη του επί 20ετία ισχύοντος ν. 2472/1997 (κατ' εφαρμογή της Οδηγίας 95/46/ΕΚ), αλλά και της παράδοσης που δημιουργήθηκε από την ερμηνεία του, τόσο από τα δικαστήρια, όσο και από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ»).
Στο πεδίο ενσωμάτωσης της Οδηγίας 680/2016 παρατηρείται ότι ενώ σύμφωνα με το άρθρο 1 παρ. 1 και 2 εδ. β' αυτής («Αντικείμενο και στόχοι») θεσπίζονται οι κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές (αστυνομικές, δικαστικές, εισαγγελικές κ.λπ.) για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων κ.λπ., κατά την ενσωμάτωση των ρυθμίσεων της Οδηγίας ως προς το σκοπό, το αντικείμενο και τους στόχους παραλείπεται η στόχευση της προστασίας των φυσικών προσώπων «έναντι» της επεξεργασίας των δεδομένων τους από τις αρχές και γίνεται αναφορά μόνο στην πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων.
Και ναι μεν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο και η συναφής επεξεργασία θα πρέπει παράλληλα να προορίζεται να εξυπηρετεί τον άνθρωπο (αιτ. σκ. 4 ΓΚΠΔ), πλην όμως, η υιοθέτηση εθνικών ρυθμίσεων θα πρέπει να λαμβάνει χώρα υπό το πρίσμα των άρθρων 16 παρ. 1 ΣΛΕΕ, 8 ΧΘΔΕΕ, 8 ΕΣΔΑ, 9Α και 19 παρ. 3 Ελληνικού Συντάγματος καθώς αφορά την προστασία κλασσικού θεμελιώδους ατομικού αμυντικού δικαιώματος (βλ. αιτ. σκ. 1, 2, 10-13 ΓΚΠΔ και 1-4 και 7-9 Οδηγίας 680/2016).
Εν όψει των ανωτέρω επισημάνσεων η Αρχή αποφάσισε να εξετάσει αφενός, την εφαρμογή του ΓΚΠΔ δια της λήψης εθνικών νομοθετικών μέτρων περιοριζόμενη επί του παρόντος σε γενικότερες παρατηρήσεις για κάποιες εκ των διατάξεων για τις οποίες δημιουργούνται αμφιβολίες ως προς τη συμβατότητα τους προς τον ΓΚΠΔ ή χρήζουν ερμηνείας, αφετέρου, την ενσωμάτωση της Οδηγίας 680/16 ως προς τις σημαντικότερες διατάξεις της και επιφυλασσόμενη να εξετάσει κάθε ειδικότερο σχετικό θέμα που θα ανακύπτει στο πλαίσιο της άσκησης των κατά το ΓΚΠΔ και το ν. 4624/2019 αρμοδιοτήτων
της.
Οίκοθεν νοείται ότι δεν θα τύχουν εφαρμογής από την Αρχή κατά την άσκηση των αρμοδιοτήτων της διατάξεις του ν. 4624/2019, οι οποίες θα κριθούν ότι έρχονται σε αντίθεση με τον ΓΚΠΔ ή δεν βρίσκουν έρεισμα σε «ρήτρες ανοίγματος - εξειδίκευσης».
ΕΠΙΜΕΡΟΥΣ ΔΙΑΤΑΞΕΙΣ:
ΚΕΦΑΛΑΙΟ Α'
Γενικές παρατηρήσεις
1. Το κεφάλαιο Α' («Γενικές Διατάξεις») του νόμου αφορά τόσο τον ΓΚΠΔ όσο και την Οδηγία, πλην όμως δημιουργείται σύγχυση καθώς κάποιες εκ των διατάξεων δεν είναι δυνατόν να συνιστούν ενσωμάτωση της Οδηγίας, αλλά μέτρα εφαρμογής μόνο του ΓΚΠΔ όπως το άρθρο 2 περ. β' (ουσιαστικό πεδίο εφαρμογής-ιδιωτικοί φορείς), το άρθρο 3 στοίχος β' περ. α', β' και γ' (εδαφικό πεδίο εφαρμογής-ιδιωτικοί φορείς), το άρθρο 4 (ορισμοί) καθώς και το άρθρο 5 (νομική βάση επεξεργασίας δεδομένων από δημόσιους φορείς).
Αντίστοιχα, το ουσιαστικό πεδίο εφαρμογής της Οδηγίας προβλέπεται από το άρθρο 43 επ. του νόμου, ενώ ελλείπει αντίστοιχη πρόβλεψη για το εδαφικό πεδίο εφαρμογής της Οδηγίας, οι ορισμοί για τους σκοπούς εφαρμογής των διατάξεων της Οδηγίας προβλέπονται από το άρθρο 44 του νόμου και η νομική βάση επεξεργασίας των δεδομένων για τους σκοπούς που επιδιώκονται με την Οδηγία ταυτίζεται με τον σκοπό και το πεδίο εφαρμογής όπως προβλέπεται από το άρθρο 43 του νόμου.
2. Ο εθνικός νομοθέτης εισήγαγε τις έννοιες των «ιδιωτικών» και «δημόσιων φορέων» που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα,
Η διάκριση μεταξύ «ιδιωτικού» και «δημόσιου φορέα» δεν απαντάται στις διατάξεις του ΓΚΠΔ και της Οδηγίας, όπου αντιθέτως γίνεται αναφορά στον «υπεύθυνο επεξεργασίας» και τον «εκτελούντα την επεξεργασία» ή σε «αρμόδιες αρχές» (βλ. και Επιστημονική Υπηρεσία της Βουλής των Ελλήνων, Έκθεση επί του νομοσχεδίου, μετέπειτα ν. 4624/2019) με ορατό τον κίνδυνο συγχύσεως μεταξύ των εννοιών «υπευθύνου επεξεργασίας» και «δημόσιου φορέα» (βλ. π.χ. τη διατύπωση του άρθρου 5 ν. 4624/2019).
Η επιλογή αυτή του εθνικού νομοθέτη πάντως, δεν έρχεται σε αντίθεση με τις διατάξεις του ΓΚΠΔ, ενόψει της σχετικής δυνατότητας που παρέχεται στον εθνικό νομοθέτη από το άρθρο 4 περ. 7 ΓΚΠΔ («ρήτρα ανοίγματος-εξειδίκευσης»).
Άρθρο 5
i. Σύμφωνα με το άρθρο 6 παρ. 1 ΓΚΠΔ («Νομιμότητα της επεξεργασίας») «Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: [...] ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας», ο οποίος δεν είναι απαραίτητο να είναι δημόσια αρχή ή άλλο φυσικό ή νομικό πρόσωπο που διέπεται από το δημόσιο δίκαιο (αιτ. σκ. 45 τελ. εδ. ΓΚΠΔ).
Σύμφωνα με την αιτιολογική σκέψη υπ' αρ. 10 ΓΚΠΔ όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται προς συμμόρφωση με νομική υποχρέωση προς εκπλήρωση καθήκοντος, το οποίο εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν ειδικές διατάξεις για τον περαιτέρω προσδιορισμό της εφαρμογής των κανόνων του ΓΚΠΔ.
Σύμφωνα με την αιτιολογική σκέψη υπ' αρ. 45 ΓΚΠΔ όταν η επεξεργασία είναι αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, η επεξεργασία θα πρέπει να έχει βάση στο δίκαιο της Ένωσης ή κράτους μέλους.
ii. Σύμφωνα με το άρθρο 5 ν. 4624/2019 («Νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς») «Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας». Σημειωτέον, ότι η εν λόγω διάταξη, αν και περιλαμβάνεται στο Α' κεφάλαιο του νόμου, αφορά μόνο το πεδίο εφαρμογής του ΓΚΠΔ και όχι της Οδηγίας, όπως θα καταδειχθεί στο οικείο τμήμα της παρούσας γνωμοδότησης.
Σύμφωνα με την αιτιολογική έκθεση του νόμου, το άρθρο 5 περιέχει μια γενική νομική βάση, η θέσπιση της οποίας θεωρήθηκε αναγκαία καθώς το άρθρο 6 παρ. 1 εδ. ε' ΓΚΠΔ δεν θέτει από μόνο του νομική βάση για την επεξεργασία, αλλά την προϋποθέτει σύμφωνα με τα οριζόμενα από το άρθρο 6 παρ. 3 εδ. α' ΓΚΠΔ. Εν συνεχεία, στην ίδια αιτιολογική έκθεση αναφέρεται ότι το άρθρο 5 περιέχει επικουρική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για χαμηλής έντασης επεμβάσεις στα δικαιώματα του υποκειμένου των δεδομένων.
iii. Από τις διατάξεις του άρθρου 6 παρ. 2 και 3 ΓΚΠΔ και τις αιτιολογικές σκέψεις υπ' αρ. 10 και 45 ΓΚΠΔ δεν προκύπτει η παροχή εξουσιοδότησης στα κράτη μέλη για την θέσπιση κανενός είδους «γενικής» ή «επικουρικής νομικής βάσης» στην εθνική νομοθεσία έστω και «για χαμηλής έντασης επεμβάσεις στα δικαιώματα του υποκειμένου των δεδομένων», χωρίς μάλιστα να προσδιορίζεται σε τι συνίσταται αυτή η «χαμηλή ένταση». Επιπλέον δε, ενώ στην αιτιολογική έκθεση γίνεται λόγος για «γενική» ή «επικουρική νομική βάση» δεν προσδιορίζεται αντίστοιχα η «ειδική» ή «κύρια νομική βάση».
Αντιθέτως, από τις ανωτέρω διατάξεις και αιτιολογικές σκέψεις του ΓΚΠΔ προκύπτει ότι παρέχεται η δυνατότητα διατήρησης ή θέσπισης ειδικότερων εθνικών διατάξεων για τον περαιτέρω προσδιορισμό της εφαρμογής των υφιστάμενων κανόνων του ΓΚΠΔ.
Περαιτέρω, στη διάταξη του άρθρου 6 παρ. 3 στοιχ. α' ΓΚΠΔ, προβλέπεται ότι «η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο γ' και ε' ορίζεται σύμφωνα με: α)...β) το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε, είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας...Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό».
Από τα ανωτέρω προκύπτει ότι με το άρθρο 6 παρ. 1 εδ. ε' ΓΚΠΔ αφενός, εισάγεται νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα χωρίς να χρειάζεται η επανάληψη της στο νόμο, αφετέρου, η επεξεργασία, ως περιορίζουσα ατομικό δικαίωμα, θα πρέπει να έχει έρεισμα στο δίκαιο του κράτους μέλους με την έννοια ότι δεν απαιτείται μεν συγκεκριμένη διάταξη νόμου για κάθε μεμονωμένη επεξεργασία (βλ. αιτ. σκ. 45 ΓΚΠΔ), αλλά πρέπει ο νόμος (βλ. αιτ. σκ. 41 ΓΚΠΔ) να αναθέτει ρητά στον υπεύθυνο επεξεργασίας την άσκηση δημόσιας εξουσίας ή το καθήκον που εκτελείται προς το δημόσιο συμφέρον στο πλαίσιο του οποίου διενεργείται η επεξεργασία ως αναγκαία για την εκπλήρωση των σκοπών του άρθρου 6 παρ. 1 εδ. ε' ΓΚΠΔ (πρβλ. ΑΠΔΠΧ Γνωμοδότηση 6/2016). Και μάλιστα η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του ΔΕΕ και του ΕΔΔΑ (αιτ. σκ. 41 ΓΚΠΔ).
Η διάταξη του άρθρου 5 του νόμου ταυτίζεται κατά περιεχόμενο με εκείνη του άρθρου 6 παρ. 1 εδ. ε' ΓΚΠΔ, με μοναδική διαφορά ότι περιορίζεται στους δημόσιους φορείς, σε αντίθεση με τη διάταξη του ΓΚΠΔ που έχει εφαρμογή τόσο στους δημόσιους όσο και στους ιδιωτικούς φορείς. Από την αιτιολογική έκθεση του νόμου, όμως, δεν προκύπτει ότι ο εθνικός νομοθέτης αποσκοπούσε με την εν λόγω διάταξη στον αποκλεισμό των ιδιωτικών φορέων από την επεξεργασία των προσωπικών δεδομένων για τους σκοπούς του άρθρου 6 παρ. 1 εδ. ε' ΓΚΠΔ και ότι για τον λόγο αυτό προέβη στην εξειδίκευση της εν λόγω διάταξης με το άρθρο 5 του νόμου.
Εξάλλου, με την ανωτέρω γενική του άρθρου 5 του ν. 4624/2019, δεν φαίνεται ότι εισάγεται για τους δημόσιους φορείς νέα σε σχέση προς τον ΓΚΠΔ, μοναδική και αυτοτελής νομική βάση, ούτε ότι αποκλείεται η εφαρμογή των διατάξεων του άρθρου 6 παρ. 1 εδ. γ' και ε' ΓΚΠΔ.
Συμπερασματικά, με το άρθρο 5 του νόμου επαναλαμβάνεται η νομική βάση του άρθρου 6 παρ. 1 εδ. ε' ΓΚΠΔ, δεν εισάγεται νέα ή επικουρική νομική βάση στο εθνικό δίκαιο, ούτε αποκλείεται η εφαρμογή των νομικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠΔ. Ερμηνευόμενη με την έννοια αυτή, η διάταξη του άρθρου 5 του ν. 4624/2019 δεν έρχεται σε αντίθεση με τον ΓΚΠΔ, παραβιάζει όμως τον κανόνα του ενωσιακού δικαίου, κατά τον οποίο δεν επιτρέπεται επανάληψη διατάξεων ΓΚΠΔ σε εθνικό νομοθέτημα.
Άρθρα 6-7-8
1. Με τα άρθρα 6, 7 και 8 του νόμου ενσωματώνονται τα άρθρα 32, 33, 34 της Οδηγίας και επιπλέον, επαναλαμβάνονται σε μεγάλο βαθμό οι προβλέψεις των άρθρων 37, 38 και 39 για τους σκοπούς λήψης μέτρων εφαρμογής του ΓΚΠΔ χωρίς να προκύπτει από την αιτιολογική έκθεση ο ειδικός λόγος που κατέστησε αναγκαία την επανάληψη αυτή και μάλιστα μόνο για τους δημόσιους φορείς.
Η επανάληψη με τα άρθρα 6, 7 και 8 του νόμου της πλειονότητας των διατάξεων των άρθρων 37, 38 και 39 ΓΚΠΔ μόνο κατά το μέρος που αφορούν το δημόσιο τομέα και η ένταξη των άρθρων αυτών του νόμου στο Α' Κεφάλαιο και όχι στο Γ' Κεφάλαιο του νόμου («Συμπληρωματικά μέτρα εφαρμογής του ΓΚΠΔ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα») δημιουργεί σύγχυση και θα μπορούσε να οδηγήσει στην εσφαλμένη, εν τέλει, εντύπωση ότι οι ρυθμίσεις των άρθρων 37, 38 και 39 ΓΚΠΔ αφορούν μόνο τους ιδιωτικούς φορείς, ενώ οι δημόσιοι φορείς διέπονται από τις διατάξεις των άρθρων 6, 7 και 8 του νόμου, αποκλειομένης της εφαρμογής των διατάξεων των άρθρων 37, 38 και 39 ΓΚΠΔ από τους δημόσιους φορείς. Η σύγχυση επιτείνεται από το γεγονός ότι με τις ίδιες διατάξεις ενσωματώνονται οι αντίστοιχες της Οδηγίας.
2. Ανεξαρτήτως του ότι, κατά τη σχετική ευχέρεια που παρέχεται με το ΓΚΠΔ, στο νόμο ορίζεται ότι δεν υπόκειται στις αρμοδιότητες της Αρχής ο έλεγχος πράξεων επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα, οι οποίες διενεργούνται για δραστηριότητες που αφορούν την εθνική ασφάλεια, η διάταξη του άρθρου 6 παρ. 5 του νόμου στο μέτρο που αφορά τη λήψη μέτρων εφαρμογής του ΓΚΠΔ και με την οποία εξαιρείται ο δημόσιος φορέας από την κατ' αρ. 37 παρ. 7 ΓΚΠΔ υποχρέωση δημοσιοποίησης και ανακοίνωσης, με οποιοδήποτε τρόπο, των στοιχείων του ΥΠΔ στην Αρχή όταν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα) που προβλέπεται από το νόμο, δεν βρίσκει έρεισμα σε «ρήτρα ανοίγματος ή εξειδίκευσης» του ίδιου άρθρου του ΓΚΠΔ, ούτε όμως από οποιαδήποτε άλλη διάταξη του ΓΚΠΔ παρέχεται οποιουδήποτε είδους σχετική εξουσιοδότηση για περιορισμό της σχετικής υποχρέωσης. Ομοίως, από το άρθρο 32 παρ. 4 της Οδηγίας δεν προβλέπεται δυνατότητα εισαγωγής εξαιρέσεων στην εθνική νομοθεσία για την εν λόγω περίπτωση.
ΚΕΦΑΛΑΙΟ Β'
Άρθρο 10 παρ. 5
1. Επισημαίνεται ότι ναι μεν ο έλεγχος των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων δεν ανήκει στις αρμοδιότητες της Αρχής, και αυτές οι πράξεις όμως υπόκεινται στον ΓΚΠΔ. Ως εκ τούτου επιβάλλεται να εξασφαλιστεί έλεγχος της τήρησης των κανόνων αυτών από δικαστικά όργανα.
2. Λόγω της γενικότητας της διάταξης, κατά την οποία εξαιρούνται του ελέγχου της Αρχής οι πράξεις επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα που διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια, ανακύπτουν δυσχέρειες στον χαρακτηρισμό των πράξεων αυτών. Ενόψει αυτού, είναι σκόπιμο να προστεθεί στην παρ. 5 η εξής διάταξη: «Οι αρχές που επεξεργάζονται διαβαθμισμένα δεδομένα προσωπικού χαρακτήρα στο πλαίσιο δραστηριοτήτων εθνικής ασφάλειας, ενημερώνουν και συνεργάζονται με την Αρχή για την τήρηση της νομοθεσίας περί προστασίας προσωπικών δεδομένων και ιδίως τη λήψη και την τήρηση των αναγκαίων γενικών μέτρων ασφαλείας».
Άρθρο 18
1. Προκειμένου να καθίσταται εφικτή η έγκαιρη κάλυψη των αναγκών της Αρχής σε ανθρώπινο δυναμικό, η οποία αποτελεί επιτακτική ανάγκη ενόψει και των υποχρεώσεών της έναντι του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και των ομόλογων εποπτικών αρχών στο πλαίσιο της επιβαλλόμενης κατά τον ΓΚΠΔ συνεργασίας και συνεκτικότητας, κρίνεται αναγκαίο να θεσπιστούν ρυθμίσεις ώστε να ανατεθεί στην Αρχή η κίνηση των σχετικών διαδικασιών και να ενισχυθεί η συμμετοχή της στις διαδικασίες αυτές, με τήρηση των κριτηρίων επιλογής που ισχύουν γενικώς στο δημόσιο τομέα. Η ρύθμιση αυτή συνιστά συμμόρφωση και προς την υποχρέωση που απορρέει από το άρθρο 52 παρ. 5 του ΓΚΠΔ να διασφαλίζεται ότι η εποπτική αρχή επιλέγει και διαθέτει δικούς της υπαλλήλους που διοικούνται αποκλειστικά από την ίδια.
2. Ενόψει του χαρακτήρα της Αρχής, της φύσης και των δυσχερειών του έργου της καθώς και των διεθνών υποχρεώσεών της, είναι αναγκαία η ενίσχυση των αποδοχών του προσωπικού της, κατ' αντιστοιχία προς σχετικές ρυθμίσεις που έχουν θεσπιστεί για άλλες ανεξάρτητες αρχές και υπηρεσίες του Δημοσίου.
ΚΕΦΑΛΑΙΟ Γ'
Ενώ από την διάταξη του άρθρου 10 ΓΚΠΔ προκύπτει ότι παρέχεται εξουσιοδότηση («ρήτρα ανοίγματος-εξειδίκευσης») στον εθνικό νομοθέτη να λάβει τα αναγκαία μέτρα με την πρόβλεψη επαρκών εγγυήσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα, εν τούτοις, με το νόμο δεν λαμβάνονται σχετικά μέτρα, ούτε από την αιτιολογική έκθεση προκύπτει ο λόγος της παράλειψης αυτής.
Σε κάθε περίπτωση, ακόμη και εάν η πρόθεση του εθνικού νομοθέτη υπήρξε να ληφθούν μέτρα εφαρμογής του άρθρου 10 ΓΚΠΔ σε ειδική τομεακή νομοθεσία, σε αντίθεση με την επιλογή του σε σχέση με το άρθρο 9 ΓΚΠΔ, τέτοια μέτρα δεν έχουν ληφθεί μέχρι σήμερα με αποτέλεσμα να καθίσταται εν πολλοίς αδύνατη η εφαρμογή της διάταξης του άρθρο 10 ΓΚΠΔ.
Άρθρο 22
1. Σύμφωνα με την αιτιολογική έκθεση, με το άρθρο 22 του νόμου «διευκρινίζεται υπό ποιες προϋποθέσεις και για ποιους λόγους είναι δυνατή η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, τα οποία αναφέρονται στα στοιχεία β, ζ η, και θ, της παραγράφου 2 του άρθρου 9 ΓΚΠΔ...παρέχεται η δυνατότητα στα κράτη μέλη να καθορίζουν μέσω εθνικών ρυθμίσεων τις εξαιρέσεις», ενώ από τη διατύπωση των παραγράφων 1 και 2 του άρθρου 22 του νόμου προκύπτει ότι προβλέπεται «παρέκκλιση από το άρθρο9 παρ. 1 ΓΚΠΔ...Με τηνπαράγραφο 1 διευκρινίζονται οι όροι υπό τους οποίους επιτρέπεται κατ' εξαίρεση η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα...Με την παράγραφο 1 προβλέπονται οι όροι επεξεργασίας....Με την παράγραφο 2μεταφέρονται οι όροι επεξεργασίας...».
Από τη διατύπωση των παραγράφων 1 και 2 του άρθρου 22 του νόμου προκύπτει ότι με τις διατάξεις αυτές αποσκοπείται να εισαχθεί «παρέκκλιση από το άρθρο9παρ. 1 ΓΚΠΔ. Σύμφωνα με το άρθρο 9 παρ. 4 ΓΚΠΔ τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία, όχι όλων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, αλλά μόνο των γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία κατ' αρ. 4 παρ. 15 ΓΚΠΔ. Επιπλέον, στην παράγραφο 2 του άρθρου 9 ΓΚΠΔ προβλέπονται περιοριστικά οι περιπτώσεις στις οποίες δεν εφαρμόζεται η απαγόρευση επεξεργασίας της παρ. 1, υπό τους όρους και τις προϋποθέσεις που εκεί προβλέπονται.
Από την αιτιολογική έκθεση του νόμου προκύπτει ότι ο εθνικός νομοθέτης θεώρησε ότι η αναφορά στο «δίκαιο κράτους μέλους» στις περιπτώσεις β', ζ' η' και θ' της παραγράφου 2 του άρθρου 9 ΓΚΠΔ συνιστά εξουσιοδότηση για τη λήψη νομοθετικών μέτρων εφαρμογής του ΓΚΠΔ («ρήτρες ανοίγματος - εξειδίκευσης») στο πλαίσιο του παρόντος γενικού «εκτελεστικού» νόμου και όχι σε επιμέρους τομεακές νομοθεσίες.
Ανεξαρτήτως των αμφισβητήσεων που εγείρονται ως προς την ορθότητα της προσέγγισης αυτής, με δεδομένο ότι κατά το άρθρο 9 παρ. 4 ΓΚΠΔ τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία μόνον γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία, οι διατάξεις της πρώτης παραγράφου του άρθρου 22 του νόμου που αφορούν τόσο τους δημόσιους, όσο και τους ιδιωτικούς φορείς συνιστούν αντιγραφή και επανάληψη των αντίστοιχων προβλέψεων του άρθρου 9 παρ. 2 ΓΚΠΔ, χωρίς να εξειδικεύονται περαιτέρω οι όροι της κατ' εξαίρεση νόμιμης επεξεργασίας των ειδικών κατηγοριών δεδομένων, σύμφωνα και με την αιτιολογική σκέψη 41 ΓΚΠΔ κατά την οποία η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του ΔΕΕ και του ΕΔΔΑ.
Σημειώνεται ότι οι συναφείς εθνικές διατάξεις, ενταγμένες στο κεφάλαιο Γ' του νόμου περί συμπληρωματικών μέτρων εφαρμογής του ΓΚΠΔ θα πρέπει να επιτελούν απλώς συμπληρωματικό ρόλο και να μην συνιστούν επανάληψη των διατάξεων του ΓΚΠΔ.
Επισημαίνεται επίσης ότι στο άρθρο 22 του νόμου γίνεται συνεχώς λόγος για «παρέκκλιση» από το άρθρο 9 παρ. 1 ΓΚΠΔ, ενδεχομένως λόγω της σχετικής αναφοράς στις αιτιολογικές σκέψεις 51 και 52 ΓΚΠΔ, πλην όμως πρόκειται περί εξαίρεσης σύμφωνα με την παράγραφο 2 του άρθρου 9 ΓΚΠΔ.
Εξάλλου, από την αντιπαραβολή μεταξύ των διατάξεων του άρθρου 9 παρ. 2 ΓΚΠΔ και του άρθρου 22 παρ. 1 του νόμου προκύπτει ιδίως ότι:
i. ενώ στη περίπτωση β' του άρθρου 9 παρ. 2 ΓΚΠΔ αίρεται η απαγόρευση επεξεργασίας όταν είναι απαραίτητη για την εκτέλεση υποχρεώσεων και την άσκηση συγκεκριμένων δικαιωμάτων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων στον τομέα του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης (ως προς τον τομέα του εργατικού δικαίου βλ. άρθρο 27 παρ. 3 ν. 4624/19), εν τούτοις ο νόμος δεν αναφέρεται σε «συγκεκριμένα δικαιώματα» ούτε άλλωστε διευκρινίζεται αν πρόκειται για «δικαιώματα του υπευθύνουεπεξεργασίαςή του υποκειμένου των δεδομένων».
ii. το περιεχόμενο των διατάξεων του εδαφίου β' και γ' της παρ. 1 του νόμου συνιστά επανάληψη της περίπτωσης η' και θ' του άρθρου 9 παρ. 2 ΓΚΠΔ, αλλά παραλείπονται κάποιες προβλέψεις του ΓΚΠΔ («επαγγελματικής» ιατρικής) ή μεταβάλλεται η ορολογία («υπηρεσιών υγείας» αντί «παροχής υγειονομικής περίθαλψης» στην πρώτη περίπτωση, «εξασφάλιση υψηλών προδιαγραφών ποιότητας» αντί «διασφάλιση υψηλών προτύπων ποιότητας» στην δεύτερη περίπτωση κ.λπ.), χωρίς να-παρέχεται σχετική εξουσιοδότηση από τον ΓΚΠΔ.
Επιπλέον των ανωτέρω, ως προς τις διατάξεις της παραγράφου 2 του άρθρου 22 του νόμου που αφορούν αποκλειστικά τους δημόσιους φορείς διαπιστώνεται ότι:
i. περιλαμβάνεται περίπτωση α' με την οποία αίρεται η απαγόρευση επεξεργασίας των ειδικών κατηγοριών δεδομένων του άρθρου 9 παρ. 1 ΓΚΠΔ εφόσον η επεξεργασία είναι «απολύτως απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος». Η ανωτέρω εθνική διάταξη επαναλαμβάνει τμήμα της διάταξης του άρθρου 9 παρ. 2 εδ. ζ' ΓΚΠΔ, παραλείποντας την εισαγόμενη με την ίδια διάταξη του ΓΚΠΔ επιταγή να προβλεφθούν μέτρα ώστε το ουσιαστικό δημόσιο συμφέρον να «[...] είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων...», με περαιτέρω συνέπεια το νομοθετικό μέτρο να μην είναι διατυπωμένο με σαφήνεια και ακρίβεια (βλ. αιτ. σκ. 41 ΓΚΠΔ)1. Σημειωτέον δε, ότι σύμφωνα με την αιτιολογική σκέψη 51 ΓΚΠΔ η εν λόγω επεξεργασία υπόκειται σε ειδικές απαιτήσεις που μπορεί να προβλέπονται από το δίκαιο των κρατών μελών σε ειδικές διατάξεις ώστε να αντισταθμίζονται οι κίνδυνοι για τα δικαιώματα και όχι προκειμένου να εισαχθούν περαιτέρω εξαιρέσεις.
ii. περιλαμβάνεται περίπτωση β' με την οποία αίρεται η απαγόρευση επεξεργασίας των ειδικών κατηγοριών δεδομένων του άρθρου 9 παρ. 1 ΓΚΠΔ εφόσον η επεξεργασία είναι «απαραίτητη για την αποτροπή σημαντικής απειλής για την εθνική ασφάλεια ή την δημόσια ασφάλεια», χωρίς όμως να παρέχεται από τις διατάξεις του άρθρου 9 ΓΚΠΔ εξουσιοδότηση για τέτοια παρέκκλιση. Σε κάθε περίπτωση, η προστασία της εθνικής ή δημόσιας ασφάλειας εμπίπτει στην έννοια του δημόσιου συμφέροντος, το οποίο θα δικαιολογούσε καταρχήν την επεξεργασία υπό όρους και εγγυήσεις που δεν προβλέπονται στη διάταξη του νόμου.
iii. περιλαμβάνεται περίπτωση γ' με την οποία αίρεται η απαγόρευση επεξεργασίας των ειδικών κατηγοριών δεδομένων του άρθρου 9 παρ. 1 ΓΚΠΔ εφόσον η επεξεργασία είναι «απαραίτητη για τη λήψη ανθρωπιστικών μέτρων, και στις περιπτώσεις αυτές το συμφέρον για την επεξεργασία είναι υπέρτερο του συμφέροντος του υποκειμένου των δεδομένων» χωρίς όμως να παρέχεται από τις διατάξεις του άρθρου 9 ΓΚΠΔ εξουσιοδότηση για τέτοια εξαίρεση και μάλιστα για όλες τις ειδικές κατηγορίες δεδομένων.
Άρθρο 23
Η απαγόρευση επεξεργασίας γενετικών δεδομένων θα πρέπει να επεκταθεί και στο πλαίσιο των εργασιακών σχέσεων.
Άρθρα 24-25-26
Σύμφωνα με την αιτιολογική έκθεση του νόμου, με τα άρθρα 24, 25 και 26 παρέχεται ή δημιουργείται μια «εθνική νομική βάση» για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπό διαφορετικό από εκείνον για τον οποίο είχαν αρχικά συλλεγεί τα δεδομένα. Προκειμένου να αιτιολογήσει ο εθνικός νομοθέτης την επιλογή αυτή επικαλείται για το άρθρο 24 την διάταξη του άρθρου 6 παρ. 3 ΓΚΠΔ, για το άρθρο 25 την διάταξη του άρθρου 6 παρ. 4 ΓΚΠΔ και για το άρθρο 26 την «ρητή πρόβλεψη νόμου».
Αντικείμενο των διατάξεων των άρθρων 24, 25 και 26 του νόμου συνιστά η περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ήτοι η περίπτωση της επεξεργασίας για σκοπό άλλο από αυτόν για τον οποίο αρχικά συνελλέγησαν, μόνον εφόσον η μεταγενέστερη επεξεργασία είναι συμβατή με τους σκοπούς της αρχικής συλλογής, σύμφωνα με την αρχή του περιορισμού του σκοπού κατ' άρ. 5 παρ. 1 εδ. β' ΓΚΠΔ. Σε αυτήν την περίπτωση δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων (βλ. αρ. 6 παρ. 4 και αιτ. σκ. 50 ΓΚΠΔ).
Επιπλέον, από τις διατάξεις του άρθρου 6 παρ. 2 και 3 ΓΚΠΔ προκύπτει ότι παρέχεται η δυνατότητα στον εθνικό νομοθέτη να διατηρήσει ή να θεσπίσει πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων όσον αφορά την επεξεργασία για τη συμμόρφωση με τις περιπτώσεις γ' (έννομη υποχρέωση του υπευθύνου επεξεργασίας) και ε' (εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) της παρ. 1 του άρθρου 6 ΓΚΠΔ καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας.
Από τα ανωτέρω προκύπτει ότι ο ΓΚΠΔ δεν παρέχει εξουσιοδότηση στον εθνικό νομοθέτη να θεσπίσει νέες «εθνικές νομικές βάσεις», όπως αναφέρεται στην αιτιολογική έκθεση, αλλά μόνον να εξειδικεύσει τις νομικές βάσεις του άρθρου 6 παρ. 1 εδ. γ' και ε' ΓΚΠΔ, υπό τους όρους και τις εγγυήσεις που προβλέπονται από τις διατάξεις των παρ. 2 και 4 του άρθρου 6 ΓΚΠΔ. Επιπλέον δε, από τη διάταξη του άρθρου 6 παρ. 4 ΓΚΠΔ για την περαιτέρω επεξεργασία για άλλους σκοπούς, διαφορετικούς μεν, συμβατούς δε με τους σκοπούς της αρχικής συλλογής, προκύπτει ότι ο εθνικός νομοθέτης δεν υποχρεούται να λάβει μέτρα εφαρμογής για την περαιτέρω επεξεργασία δεδομένου ότι ο ίδιος ο ΓΚΠΔ θεσπίζει τα υπό α) έως ε) της εν λόγω παραγράφου 4 κριτήρια.
Ακόμη όμως και εάν θεωρηθεί ότι ο εθνικός νομοθέτης είχε εξουσιοδότηση από τον ΓΚΠΔ να θεσπίσει «εθνικές νομικές βάσεις» για την περαιτέρω επεξεργασία των δεδομένων κατ' αρ. 6 παρ. 4 ΓΚΠΔ, αυτές θα πρέπει να συνιστούν μόνον εξειδίκευση των νομικών βάσεων του άρθρου 6 παρ. 1 εδ. γ' και ε' ΓΚΠΔ, θα πρέπει να σέβονται τις αρχές νομιμότητας του άρθρου 5 παρ. 1 ΓΚΠΔ και ιδίως την αρχή του περιορισμού του σκοπού κατ' αρ. 5 παρ. 1 εδ. β' ΓΚΠΔ, θα πρέπει να αποτελούν αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 με πρόβλεψη των σχετικών ουσιαστικών και δικονομικών εγγυήσεων, θα πρέπει τα νομοθετικά μέτρα ή νομικές βάσεις να είναι διατυπωμένα με σαφήνεια και ακρίβεια και η εφαρμογή τους να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτά σύμφωνα με τη νομολογία του ΔΕΕ και του ΕΔΔΑ (αιτ. σκ. 41) και τέλος, σύμφωνα με την αιτιολογική σκέψη 50 παρ. β' ΓΚΠΔ, σε περίπτωση επισήμανσης πιθανών εγκληματικών πράξεων ή απειλών κατά της δημόσιας ασφάλειας από τον υπεύθυνο επεξεργασίας και διαβίβασης των σχετικών δεδομένων σε αρμόδια αρχή, η διαβίβαση αυτή ή η περαιτέρω επεξεργασία δεδομένων προσωπικού χαρακτήρα, θα πρέπει να απαγορεύεται, εάν η επεξεργασία δεν είναι συμβατή με νομική, επαγγελματική ή άλλη δεσμευτική υποχρέωση τήρησης απορρήτου.
Οι διατάξεις των άρθρων 24, 25 και 26 του νόμου δεν πληρούν καμία από τις ανωτέρω ουσιαστικές και διαδικαστικές προϋποθέσεις και εγγυήσεις, σύμφωνα και με όσα προεκτέθηκαν σε σχέση με το άρθρο 5 και 22 του νόμου. Επισημαίνεται ότι οι διατάξεις του άρθρου 25, με τις οποίες προβλέπεται η επεξεργασία από ιδιωτικούς φορείς δεδομένων προσωπικού χαρακτήρα εφόσον είναι απαραίτητη, μεταξύ άλλων, για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας (εδ. α') καθώς και για τη δίωξη ποινικών αδικημάτων (εδ. β'), παρά τη διατύπωσή τους, από την οποία καταλείπονται ερμηνευτικές αμφιβολίες, δεν μπορεί να θεωρηθεί ότι αναθέτει σε ιδιωτικούς φορείς αρμοδιότητες σχετιζόμενες με τους παραπάνω σκοπούς, δεδομένου ότι οι αρμοδιότητες αυτές ανήκουν στον πυρήνα της κρατικής εξουσίας και δεν είναι καταρχήν συνταγματικώς επιτρεπτό να ανατεθούν σε ιδιώτες.
Θα πρέπει να επισημανθεί ότι σε παρόμοια συμπεράσματα κατέληξε και η Πορτογαλική ΑΠΔΠΧ με την υπ' αρ. 494/2019 απόφασή της σε σχέση με το αντίστοιχο άρθρο του εθνικού νόμου 58/2019 διαπιστώνοντας παραβίαση του ΓΚΠΔ, ενώ η Ανεξάρτητη Αρχή Δημοσίων Εσόδων (ΑΑΔΕ) με την από 30-9-2019 επιστολή της προς την Αρχή εκφράζει τη γνώμη ότι οι περιορισμοί που τίθενται με τα άρθρα 24 και 26 του νόμου δεν βρίσκουν έρεισμα στον ΓΚΠΔ, ότι με τον τρόπο αυτό αποστερείται της άσκησης αρμοδιοτήτων της και ότι οι εν λόγω διατάξεις θα αποτελέσουν τροχοπέδη και στην υλοποίηση των στόχων του ν. 4623/2019 για την ψηφιακή διακυβέρνηση.
Άρθρο 27
1. Με την πρώτη παράγραφο του άρθρου 27 του νόμου ο εθνικός νομοθέτης επέλεξε να εξειδικεύσει κατ' άρ. 88 παρ. 1 ΓΚΠΔ (« να θεσπίσει ειδικούς κανόνες») τους όρους νομιμότητας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων όταν αυτή έχει ως νομική βάση το άρθρο 6 παρ. 1 εδ. β' ΓΚΠΔ («εκτέλεση σύμβασης»). Η εξειδίκευση στην εθνική νομοθεσία πρέπει να πληροί τους όρους της παρ. 2 του άρθρου 88 ΓΚΠΔ με τη λήψη κατάλληλων και ειδικών μέτρων που εκεί αναφέρονται. Τέτοια μέτρα δεν φαίνεται να έχουν ληφθεί από τον εθνικό νομοθέτη, οι δε διατάξεις του άρθρου 27 παρ. 1 του νόμου ταυτίζονται κατά περιεχόμενο με εκείνες του άρθρου 6 παρ. 1 εδ. β' ΓΚΠΔ και άρα η θεσπισθείσα εθνική διάταξη συνιστά επανάληψη του ΓΚΠΔ.
Σε κάθε περίπτωση, οι νομικές βάσεις που προβλέπονται από το άρθρο 6 παρ. 1 ΓΚΠΔ εξακολουθούν να εφαρμόζονται κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τομέα των εργασιακών σχέσεων, στο μέτρο που κάθε φορά ισχύουν ανά περίπτωση.
1.1. Σύμφωνα με την αιτιολογική έκθεση, με την παράγραφο 1 του άρθρου 27 του νόμου εισάγεται κανονιστική ρύθμιση με την οποία ρυθμίζονται οι σκοποί για τους οποίους επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα τόσο κατά το στάδιο πριν από την κατάρτιση της σύμβασης εργασίας, όσο και κατά τη διάρκειά της, αλλά και μετά τη λήξη της, εάν αυτό είναι απαραίτητο για τους σκοπούς της σύμβασης εργασίας. Ως παραδείγματα επεξεργασίας προσωπικών δεδομένων στην περίπτωση αυτή παρατίθενται στην αιτιολογική έκθεση η επεξεργασία βιομετρικών δεδομένων, η χρήση συστημάτων γεωεντοπισμού, η κατάρτιση ενός κανονισμού χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής παρακολούθησης, ακόμη και τα συστήματα καταγγελίας (whistleblowing). Νομική όμως βάση της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στα προαναφερόμενα παραδείγματα δεν συνιστά η εκτέλεση της σύμβασης, όπως υπονοείται στην αιτιολογική έκθεση, αλλά ιδίως η ικανοποίηση του έννομου συμφέροντος του εργοδότη κατ' αρ. 6 παρ. 1 εδ. στ' ΓΚΠΔ (βλ. για τον γεωεντοπισμό εργαζομένου ΑΠΔΠΧ 37/2019 παρ. 5, για τον έλεγχο ηλεκτρονικού υπολογιστή εργαζομένου ΑΠΔΠΧ 34/2018, για τον έλεγχο διακομιστή με δεδομένα εργαζομένου ΑΠΔΠΧ 43/19 και 44/19, για την επιτήρηση ηλεκτρονικών επικοινωνιών εργαζομένου ΑΠΔΠΧ 26/2019 παρ. 15-16, Ομάδα Εργασίας 29, Γνώμη 2/2017 σελ. 4,7,23 και ΕΔΔΑ Barbulescu κατά Ρουμανίας 05-9-2017 παρ. 127).
Με την εκδοχή, κατά την οποία με την παρ. 1 του άρθρου 27 του νόμου εισάγεται μοναδική νομική βάση επεξεργασίας για κάθε σκοπό επεξεργασίας στο πλαίσιο των εργασιακών σχέσεων, στην οποία κατ' ουσία «συγχωνεύονται» οι νομικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠΔ και άρα αποκλείεται η αυτοτελής εφαρμογή τους (πλην της συγκατάθεσης, που προβλέπεται ρητά στην παράγραφο 2 του άρθρου 27 του νόμου), η ρύθμιση έρχεται σε αντίθεση με τις διατάξεις του άρθρου 88 παρ. 1 ΓΚΠΔ με βάση τις οποίες επιτρέπεται η «θέσπιση ειδικών κανόνων» για την εξειδίκευση κανόνων επεξεργασίας που βασίζονται στις νομικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠΔ και όχι για την δημιουργία νέων νομικών βάσεων ή τον αποκλεισμό εφαρμογής των νομικών βάσεων του ΓΚΠΔ.
Σημειώνεται ότι η παροχή εξουσιοδότησης από το άρθρο 88 παρ. 1 ΓΚΠΔ προς τα κράτη μέλη προκειμένου να θεσπίσουν ειδικούς κανόνες, αποσκοπεί, κατά ρητή πρόβλεψη του ίδιου άρθρου, στην διασφάλιση της προστασίας των δικαιωμάτων και των ελευθεριών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο της απασχόλησης.
Τέτοια προστασία δεν παρέχεται στον εργαζόμενο όταν κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα για διαφορετικούς σκοπούς έχει ως αποκλειστική νομική βάση την εκτέλεση της σύμβασης από την οποία αυτός δεσμεύεται και με τον τρόπο αυτό παρακάμπτεται η τυχόν εφαρμογή άλλων, περισσότερων κατάλληλων, νομικών βάσεων.
Με την αντίθετη ορθή άποψη ότι δεν αποκλείεται η αυτοτελής εφαρμογή των λοιπών νομικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠΔ, παρέχεται στον εργαζόμενο η δυνατότητα ελέγχου της ορθής και νόμιμης εφαρμογής της οικείας νομικής βάσης, η οποία θα μπορούσε να οδηγήσει τελικά σε απαγόρευση της επεξεργασίας π.χ. όταν κριθεί στην περίπτωση του άρθρου 6 παρ. 1 εδ. ε' ΓΚΠΔ ότι η επεξεργασία δεν αφορά εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή στην περίπτωση του άρθρου 6 παρ. 1 εδ. στ' ΓΚΠΔ ότι η εκπλήρωση του έννομου συμφέροντος του εργοδότη δεν υπερισχύει του συμφέροντος ή των θεμελιωδών δικαιωμάτων και ελευθεριών του εργαζομένου (πρβλ. ΑΠΔΠΧ 26/2019 παρ. 16 με παραπομπές στις Γνώμες της Ομάδας Εργασίας του άρθρου 29).
Συμπερασματικά, η παράγραφος 1 του άρθρου 27 του νόμου είτε θεωρηθεί επανάληψη του εδαφίου β' της παρ. 1 του άρθρου 6 ΓΚΠΔ, είτε θεωρηθεί ως μια νέα αποκλειστική νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων με την οποία αποκλείεται η εφαρμογή των νομικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠΔ, έρχεται σε αντίθεση με τον ΓΚΠΔ.
2. Η εφαρμογή της νομικής βάσης της συγκατάθεσης στον τομέα των εργασιακών σχέσεων δεν απαγορεύεται απόλυτα (βλ. αιτ. σκ. 155 ΓΚΠΔ), αλλά αποκλείεται όταν η τελευταία, κατά παράβαση του άρθρου 7 ΓΚΠΔ, δεν παρέχεται ελεύθερα, ρητά, συγκεκριμένα, με πλήρη επίγνωση και πραγματική δυνατότητα ανάκλησης της (βλ. αιτ. σκ. 32 & 42 ΓΚΠΔ). Η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας (βλ. αιτ. σκ. 43 ΓΚΠΔ), όπως στην περίπτωση των εργασιακών σχέσεων.
Με την παράγραφο 2 του ίδιου άρθρου, προβλέπεται κατ' αρ. 88 παρ. 2 ΓΚΠΔ ως κατάλληλο και ειδικό μέτρο, η προϋπόθεση της εξαιρετικής χρήσης της νομικής βάσης της συγκατάθεσης στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων.
Η εξαιρετική χρήση της νομικής βάσης της συγκατάθεσης στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα των εργαζομένων, εν όψει της ανισορροπίας ισχύος των μερών, είναι σύμφωνη με τον ΓΚΠΔ εφόσον αφενός, αποκλεισθεί η εφαρμογή των λοιπών νομικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠΔ, ιδίως εκείνων των άρθρων 6 παρ. 1 εδ. β', γ' και στ'2, αφετέρου, διαπιστωθεί ότι πληρούνται οι όροι της έγκυρης συγκατάθεσης κατ' αρ. 4 περ. 11 και 7 ΓΚΠΔ (βλ. ΑΠΔΠΧ 37/2019 παρ. 5 και ΑΠΔΠΧ 26/2019 παρ. 10-16 και ιδίως 20).
3. Με την παράγραφο 3 του άρθρου 27 του νόμου επαναλαμβάνεται η προβλεπόμενη στο άρθρο 9 παρ. 2 εδ. β' ΓΚΠΔ εξαίρεση από την απαγόρευση που εισάγεται με την παρ. 1 του ίδιου άρθρου, χωρίς εξειδίκευση και χωρίς να προβλεφθούν αφενός, οι απαιτούμενες από το ίδιο άρθρο «κατάλληλες εγγυήσεις για τα θεμελιώδη δικαιώματα και τα συμφέροντα του υποκειμένου των δεδομένων», αφετέρου, τα από το άρθρο 88 παρ. 2 ΓΚΠΔ «κατάλληλα και ειδικά μέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των έννομων συμφερόντων και των θεμελιωδών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, με ιδιαίτερη έμφαση στη διαφάνεια της επεξεργασίας, τη διαβίβασης δεδομένων προσωπικού χαρακτήρα εντός ομίλου επιχειρήσεων, ή ομίλου εταιριών που ασκούν κοινή οικονομική δραστηριότητα». Στα ανωτέρω κριτήρια και μέτρα του άρθρου 88 παρ. 2 ΓΚΠΔ, το οποίο συνιστά «ρήτρα ανοίγματος-εξειδίκευσης» απλώς παραπέμπει ο εθνικός νομοθέτης με το δεύτερο εδάφιο της παραγράφου 4 του άρθρου 27 του νόμου, ενώ θα έπρεπε να έχει προβεί σε εξειδίκευση τους με τις εθνικές διατάξεις είτε του νόμου, είτε ειδικής τομεακής νομοθεσίας.
Άρθρο 28
Με την παράγραφο 1 του άρθρου 28 του νόμου προβλέπονται κατ' εφαρμογή των διατάξεων του άρθρου 85 παρ. 1 ΓΚΠΔ οι προϋποθέσεις επιτρεπτής επεξεργασίας δεδομένων προσωπικού χαρακτήρα προκειμένου να συμβιβασθεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς κ.λπ.
Προκειμένου η διάταξη να ανταποκρίνεται στις απαιτήσεις της αρχής της αναλογικότητας και της αρχής της πρακτικής εναρμόνισης μεταξύ ελευθερίας του τύπου και προστασίας των προσωπικών δεδομένων, θα πρέπει η περίπτωση δ' της πρώτης παραγράφου να ενσωματωθεί με την περίπτωση γ' και η λέξη «όταν» (στην αρχή της περίπτωσης δ' να αντικατασταθεί από την λέξη «εφόσον» ή από την φράση «υπό την προϋπόθεση ότι».
Επίσης, στην περίπτωση επεξεργασίας δεδομένων προσωπικού χαρακτήρα του άρθρου 10 ΓΚΠΔ (ποινικές διώξεις, καταδίκες και μέτρα ασφαλείας) θα πρέπει να λαμβάνεται υπόψη, πέραν του δικαιώματος του υποκειμένου στην ιδιωτική και οικογενειακή του ζωή, και το δικαίωμα στο τεκμήριο αθωότητάς κατ' αρ. 48 ΧΘΔΕΕ και 6 παρ. 2 ΕΣΔΑ.
Τέλος, η ευρύτητα των εξαιρέσεων που περιλαμβάνονται στην παράγραφο 2 του άρθρου θέτει υπό διακινδύνευση τον πυρήνα της προστασίας των δεδομένων προσωπικού χαρακτήρα (βλ. Έκθεση της Επιστημονικής Υπηρεσίας της Βουλής των Ελλήνων επί του νομοσχεδίου σελ. 10), ιδίως η εξαίρεση από ορισμένα δικαιώματα, όπως το δικαίωμα αντίρρησης ή ενημέρωσης. Σημειωτέον ότι η προβλεπόμενη από τον ΓΚΠΔ δυνατότητα θέσπισης των εξαιρέσεων μέσω νομοθετικών μέτρων πρέπει να αιτιολογείται ως αναγκαία (βλ. αρ. 85 παρ. 2 ΓΚΠΔ), τέτοια δε αιτιολογία ελλείπει από την αιτιολογική έκθεση. Επιπλέον, οι εν λόγω εξαιρέσεις πρέπει να αποσκοπούν στην εξισορρόπηση των θεμελιωδών δικαιωμάτων (αιτ.σκ. 153) και όχι στην μονομερή απάλειψη ή αποκλεισμό εφαρμογής των δικαιωμάτων στην προστασία των δεδομένων προσωπικού χαρακτήρα. Η
Αρχή επιφυλάσσεται να κρίνει, κατά την άσκηση των αρμοδιοτήτων της σε συγκεκριμένες υποθέσεις, το επιτρεπτό των περιορισμών σε κάθε περίπτωση.
Άρθρα 31-35
Με τα άρθρα 31 έως 35 του νόμου προβλέπονται εκτεταμένοι περιορισμοί των δικαιωμάτων των υποκειμένων χωρίς να ορίζονται συγκεκριμένες ρυθμίσεις ανάλογα με την περίπτωση για τα θέματα που αναφέρονται στην παράγραφο 2 του άρθρου 23 ΓΚΠΔ. Η Αρχή επιφυλάσσεται να κρίνει, κατά την άσκηση των αρμοδιοτήτων της, αν οι εφαρμοζόμενοι σε κάθε περίπτωση, με βάση τις διατάξεις αυτές του νόμου, περιορισμοί είναι σύμφωνοι με τον ΓΚΠΔ και με τις επιταγές που απορρέουν από τον ΧΘΔΕΕ και την ΕΣΔΑ (βλ. αιτ. σκ. 73 ΓΚΠΔ) και ιδίως από τα άρθρα 7, 8 και 52 ΧΘΔΕΕ και 8 ΕΣΔΑ.
Άρθρο 42
Στο τέλος της παρ. 1 πρέπει να προστεθεί το ακόλουθο εδάφιο: «Η χορήγηση εγγράφων που περιέχουν προσωπικά δεδομένα ειδικών κατηγοριών υπάγεται στις προϋποθέσεις που διέπουν την επεξεργασία των ειδικών αυτών κατηγοριών» (βλ. γνωμοδότηση ΑΠΔΠΧ 6/2013).
Στην παρ. 2 και πριν τις λέξεις «παραμένει ανεπηρέαστη» πρέπει να προστεθούν οι λέξεις «και του άρθρου 147 του Κώδικα Ποινικής Δικονομίας».
ΚΕΦΑΛΑΙΟ Δ'
ΕΙΣΑΓΩΓΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ:
1. Σύμφωνα με την αιτιολογική σκέψη 33 της Οδηγίας «Ωστόσο, η ενλόγω νομοθεσία τωνκρατώνμελών, η νομικήβάσηήτο νομοθετικόμέτρο θαπρέπει ναείναιδιατυπωμένα με σαφήνεια και ακρίβεια και η εφαρμογή τους να είναι προβλέψιμη για όσους υπόκεινται σε αυτά, όπως απαιτείται από τη νομολογία του Δικαστηρίου και του Ευρωπαϊκού ΔικαστηρίουΑνθρωπίνωνΔικαιωμάτων. Η νομοθεσία τωνκρατώνμελώνπουρυθμίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής της παρούσας οδηγίας θα πρέπει να καθορίζει τουλάχιστον τους στόχους, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, τους σκοπούς της επεξεργασίας και τις διαδικασίες για τη διατήρηση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα και τις διαδικασίες για την καταστροφή τους, παρέχοντας ως εκ τούτου επαρκείς εγγυήσεις κατά του κινδύνου κατάχρησηςκαι αυθαιρεσίας».
2. Με τα κεφάλαια Α' και Δ' του νόμου ενσωματώθηκαν διατάξεις της Οδηγίας 680/2016. Σε αρκετές περιπτώσεις δεν έχει ενσωματωθεί καθόλου σειρά διατάξεων της Οδηγίας, σε άλλες περιπτώσεις έχει μεταφερθεί αυτούσιο το κείμενο της Οδηγίας χωρίς προσαρμογή στην εθνική νομοθεσία, ενώ σε κάποιες περιπτώσεις η ενσωμάτωση είναι εσφαλμένη.
Ειδικότερα, πρέπει να περιληφθεί διάταξη για την ενσωμάτωση του άρθρου 8 της Οδηγίας που αφορά τις προϋποθέσεις σύννομης επεξεργασίας των δεδομένων (νομική βάση), ώστε να καθορίζεται με σαφήνεια και ακρίβεια (βλ. αιτ. σκ. 33) η νομική βάση της επεξεργασίας των δεδομένων για τους σκοπούς της Οδηγίας, ήτοι της επεξεργασίας η οποία θα πρέπει να είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται προς το δημόσιο συμφέρον από αρμόδια αρχή για τους σκοπούς που καθορίζονται στο άρθρο 1 παρ. 1 της Οδηγίας (βλ. αιτ. σκ. 35 Οδηγίας). Επισημαίνεται ότι το Τμήμα ΙΙ του Δ' Κεφαλαίου του νόμου τιτλοφορείται «Νομικές βάσεις της επεξεργασίας» ενώ μοναδική νομική βάση επεξεργασίας συνιστά, σύμφωνα με το άρθρο 8 της Οδηγίας, η πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων κ.λπ., δηλαδή ταυτίζεται με το πεδίο εφαρμογής της Οδηγίας και του νόμου (άρθρο 43).
Όσα προαναφέρθηκαν για την πρόβλεψη της απαιτούμενης νομικής βάσης για την επεξεργασία δεδομένων προσωπικού χαρακτήρα απαιτούνται και για την περίπτωση των ειδικών κατηγοριών δεδομένων. Στο άρθρο 46 δεν έχουν ενσωματωθεί οι περιπτώσεις β' και γ' του άρθρου 10 της Οδηγίας, με τις οποίες προϋποθέσεις για το επιτρεπτό της επεξεργασίας των ειδικών κατηγοριών δεδομένων.
3. Στο Τμήμα ΙΙΙ του Κεφαλαίου Δ' του νόμου περί δικαιωμάτων του υποκειμένου των δεδομένων και στο Τμήμα IV για τις υποχρεώσεις υπευθύνου και εκτελούντος την επεξεργασία ουδεμία πρόνοια έχει ληφθεί για τα δικαιώματα των ανηλίκων αλλά και εν γένει οποιουδήποτε είδους κατάλληλων και αποτελεσματικών μέτρων ή κριτηρίων για την συμμόρφωση του υπευθύνου και εκτελούντος την επεξεργασίας προς τις διατάξεις του νόμου, που πρέπει να περιλαμβάνουν ειδικές εγγυήσεις όσον αφορά τη διαχείριση προσωπικών δεδομένων που αφορούν ευάλωτα πρόσωπα, όπως παιδιά (βλ. αιτ. σκ. 50)
ΕΙΔΙΚΟΤΕΡΕΣ ΔΙΑΤΑΞΕΙΣ:
Άρθρο 43
1. Δεν έχει ενσωματωθεί η παρ. 2 εδ. α' του άρθρου 1 της Οδηγίας και εν μέρει η παρ. 1 του άρθρου 1 της Οδηγίας («Αντικείμενο και στόχος»). Από τη διατύπωση των διατάξεων αυτών δεν προκύπτει ότι σαφώς ο στόχος της Οδηγίας που είναι η προστασία των δεδομένων κατά την επεξεργασία τους για λόγους δίωξης του εγκλήματος.
2. Δεν περιλαμβάνεται το εδαφικό πεδίο εφαρμογής. Και ναι μεν το άρθρο 3 του νόμου, που περιέχεται στο κεφάλαιο Α' το οποίο αφορά τόσο στον ΓΚΠΔ, όσο και στην Οδηγία, αναφέρεται και σε «ιδιωτικούς φορείς» ενώ η Οδηγία εφαρμόζεται κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο από δημόσιες αρχές, πρέπει να θεωρηθεί ότι το πεδίο εφαρμογής Κεφαλαίου Δ' του νόμου, που έχει ως περιεχόμενο την ενσωμάτωση της Οδηγίας, ορίζεται από το εν λόγω άρθρο 3 κατά το μέρος που αναφέρεται σε δημόσιες αρχές. Επισημαίνεται ότι στις περιπτώσεις που η επεξεργασία δεδομένων αφορά την δίωξη εγκλήματος, εφαρμογής τυγχάνουν και οι διατάξεις των άρθρων 5 επ. ΠΚ περί τοπικής ισχύος των ποινικών νόμων.
Άρθρο 44
1. Δεν έχει ενσωματωθεί η περ. 7 α' του άρθρου 3 Οδηγίας που αφορά την έννοια (ορισμό) της «αρμόδιας (δημόσιας) αρχής».
2. Οι διατάξεις του άρθρου 44 του νόμου που περιέχουν τους ορισμούς αριθμούνται ως παράγραφος 1, χωρίς να προβλέπεται παράγραφος 2 στο άρθρο αυτό.
3. Στην παρ. 1 περ. ιε' για την «εποπτική αρχή» παρατίθεται ορισμός όπως διατυπώνεται στην Οδηγία, ενώ για την ενσωμάτωση πρέπει να οριστεί η συγκεκριμένη αρχή, στην οποία ανήκει η παρακολούθηση της εφαρμογής της Οδηγίας, δηλαδή η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Άρθρο 47
Το τελευταίο εδάφιο του άρθρου 47 του νόμου σύμφωνα με το οποίο επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλο σκοπό που δεν αναφέρεται στο άρθρο 43, εφόσον προβλέπεται ρητώς στον νόμο (επιπλέον δε, χωρίς να διευκρινίζεται σε ποιόν νόμο), αφενός δεν είναι σύμφωνη με τις διατάξεις του άρθρου 4 παρ. 2 της Οδηγίας, με τις οποίες προβλέπεται η δυνατότητα για σκοπό άλλον από εκείνον για τον οποίο έχουν συλλεγεί εφόσον, όμως, ο άλλος αυτός σκοπός εμπίπτει στο πεδίο εφαρμογής της Οδηγίας αφετέρου, εκφεύγει του νόμιμου σκοπού συλλογής και επεξεργασίας των δεδομένων εντός του πεδίου εφαρμογής της Οδηγίας (βλ. αιτ. σκ. 29).
Άρθρο 51
Στο άρθρο 51 του νόμου προβλέπεται ότι όλα τα πρόσωπα που απασχολούνται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα τα επεξεργάζονται μετά από «άδεια» χωρίς να προκύπτει από την Οδηγία σχετική πρόβλεψη και χωρίς να διευκρινίζεται από τον εθνικό νομοθέτη τι είδους άδεια είναι αυτή, ποιος την παρέχει και υπό ποιες προϋποθέσεις, με βάση ποια κριτήρια και τι αφορά εν τέλει αυτή. Η ρύθμιση δεν συνιστά ενσωμάτωση διάταξης της Οδηγίας και σε κάθε περίπτωση είναι αόριστη.
Άρθρο 52
1. Στο άρθρο 52 παρ. 1 του νόμου για την αυτοματοποιημένη ατομική λήψη αποφάσεων, ενσωματώθηκε πλημμελώς το άρθρο 11 παρ. 1 της Οδηγίας διότι παραλείπεται η αναφορά στις προβλεπόμενες από την Οδηγία «κατάλληλες διασφαλίσεις υπέρ των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων, τουλάχιστον δε το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης εκ μέρους του υπευθύνου επεξεργασίας».
2. Στην παράγραφο 2 του ίδιου άρθρου 52, επαναλαμβάνεται η διατύπωση του άρθρου 11 παρ. 2 της Οδηγίας περί «κατάλληλων μέτρων» χωρίς όμως ο εθνικός νομοθέτης να τα προσδιορίσει ή να ορίσει σχετικά κριτήρια (βλ. αιτ. σκ. 33 Οδηγίας).
Άρθρο 55
Στην παρ. 7 του άρθρου 55 του νόμου (δικαίωμα πρόσβασης-άρθρο 15 και 17 Οδηγίας) η προβλεπόμενη από την Οδηγία δυνατότητα άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων μέσω της Αρχής ενσωματώθηκε εσφαλμένα ως δυνατότητα υποβολής καταγγελίας σύμφωνα με το άρθρο 58 του νόμου, ενώ από τη διάταξη του άρθρου 17 της Οδηγίας προκύπτει ότι τα κράτη μέλη προβλέπουν ότι τα δικαιώματα του υποκειμένου (ενημέρωσης, πρόσβασης κ.λπ) ασκούνται από την Αρχή για λογαριασμό του υποκειμένου.
Άρθρο 67
Η περίπτωση του άρθρου 67 παρ. 6 του νόμου δεν προβλέπεται από τις διατάξεις της Οδηγίας.
Άρθρο 70
Στο άρθρο 70 του νόμου γίνεται διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων με επανάληψη περιπτώσεων, οι οποίες αναφέρονται ενδεικτικώς στην Οδηγία, χωρίς να υπάρχει πρόβλεψη—για ευάλωτες ομάδες, όπως π.χ. παιδιά, και χωρίς να προκύπτουν οι επιπτώσεις στις αρχές επεξεργασίας προσωπικών δεδομένων (π.χ. τήρηση σε διαφορετικά αρχεία, επίδραση στο χρόνο διατήρησης των δεδομένων, καταστροφή με διαφορετικές προϋποθέσεις κ.λπ).
Άρθρο 73
Στο άρθρο 73 παρ. 4 του νόμου γίνεται αναφορά σε προθεσμίες αποθήκευσης ή περιοδική επανεξέταση και εξασφάλιση με διαδικαστικές ρυθμίσεις την τήρηση των προθεσμιών αυτών, χωρίς να προβλέπονται συγκεκριμένα κριτήρια (βλ. αιτ. σκ. 33 Οδηγίας).
Άρθρο 74
Στο άρθρο 74 του νόμου (καταχωρίσεις - logs) περιλαμβάνεται η περίπτωση (παρ. 1 γ' και 2) της «διαβούλευσης», ενώ στην Οδηγία η λέξη αυτή έχει μεταφρασθεί ως «αναζήτηση πληροφοριών».
Στην παρ. 4 του ίδιου άρθρου ορίζεται συγκεκριμένο χρονικό διάστημα διατήρησης και εν συνεχεία διαγραφής των καταχωρίσεων, χωρίς να προβλέπεται όμως περίπτωση διατήρησης τους μέχρι το πέρας των εργασιών που αφορούν τους σκοπούς της παρ. 3. Έτσι, εάν διενεργείται έρευνα από την Αρχή ή στο πλαίσιο ποινικής διαδικασίας, ανεξαρτήτως της ολοκλήρωσης της, εισάγεται υποχρέωση διαγραφής της. Θα πρέπει η διάταξη να ακολουθήσει την αντίστοιχη λογική της Οδηγίας 24/2006/ΕΚ που ενσωματώθηκε με το ν. 3917/2011, στο άρθρο 6: «Τα δεδομένα καταστρέφονται στο τέλος του χρονικού διαστήματος διατήρησης ...εκτός από εκείνα στα οποία έχει αποκτηθεί νομίμως πρόσβαση...καταστρέφονται ...όταν παύσουν οι λόγοι για τους οποίους διατάχθηκε η πρόσβαση στα δεδομένα».Άρθρο 84
Η διατύπωση του άρθρου 84 δημιουργεί σοβαρές αμφιβολίες ως προς τις διατηρούμενες διατάξεις του ν. 2472/1997. Όπως έχει επισημάνει και η Επιστημονική Υπηρεσία της Βουλής, «νομοτεχνικώς προσφορότερο θα ήταν να ενσωματωθούν στο υπό ψήφιση νομοσχέδιο οι μη καταργηθείσες διατάξεις του ν. 2472/1997.».
Ειδικότερα:
α. Διατηρούνται οι ορισμοί του άρθρου 2 του ν. 2472/1997 «όπου γίνεται ρητή παραπομπή σε αυτούς σε σχετική με τα προσωπικά δεδομένα νομοθεσία...». Όμως οι ορισμοί του άρθρου 2 του ν. 2472/1997 έχουν αντικατασταθεί από τους ορισμούς του ΓΚΠΔ και τους ορισμούς του άρθρου 44 του ν. 4624/2019 (άρ. 3 της Οδηγίας). Μάλιστα, στο άρθρο 94 παρ. 2 του ΓΚΠΔ ρητά αναφέρεται ότι «Οι παραπομπέςστηνκαταργούμενη οδηγία θεωρούνταιπαραπομπέςστονπαρόντακανονισμό.» ενώ στο άρθρο 59 παρ. 2 της Οδηγίας ορίζεται ότι «παραπομπές στην καταργούμενη απόφαση που αναφέρεται στην παράγραφο 1 νοούνται ωςπαραπομπέςστηνπαρούσα οδηγία» (σημ. η Ελλάδα δεν είχε ενσωματώσει την απόφαση-πλαίσιο 2008/977/ΔΕΥ).
Ορισμοί σε σχετική με τα προσωπικά δεδομένα νομοθεσία υπάρχουν και σε άλλα νομοθετήματα, όπως ο ν. 3471/2006. Είναι σαφές ότι οι ορισμοί του ν. 2472/1997 στους οποίους παραπέμπει ο ν. 3471/2006 πλέον έχουν αντικατασταθεί από αυτούς του ΓΚΠΔ.
Συνεπώς, ως προς το σημείο αυτό η ρύθμιση του άρθρου 84 έρχεται σε αντίθεση με τον ΓΚΠΔ και την Οδηγία.
β. Η πρόβλεψη για τη διατήρηση «... του εδαφίου β' της παραγράφου 2 του άρθρου 3, μόνο ως προς τα αδικήματα που περιγράφονται σε αυτό...» είναι εξαιρετικά ασαφής. Σε κάθε περίπτωση, ο νομοθέτης δεν έχει τη δυνατότητα να εξαιρέσει από το πεδίο εφαρμογής του ν. 4624/2019 δραστηριότητες από δικαστικές - εισαγγελικές αρχές και υπηρεσίες που ασκούνται υπό την άμεση εποπτεία τους στο πλαίσιο της απονομής της δικαιοσύνης ή για την εξυπηρέτηση των αναγκών της λειτουργίας τους. Τούτο θα βρισκόταν σε ευθεία αντίθεση με τα οριζόμενα στο άρθρο 2 της Οδηγίας, καθώς το πεδίο εφαρμογής αυτής περιλαμβάνει κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς που καθορίζονται στο άρθρο 1 παράγραφος 1 της Οδηγίας, στους οποίους περιλαμβάνονται οι σκοποί βεβαίωσης εγκλημάτων.
γ. Ως προς τη διατήρηση «... του τρίτου έωςκαι του τελευταίου εδαφίου τηςπερίπτωσης β' της παραγράφου 2 του άρθρου 3 του ανωτέρου νόμου για την εγκατάσταση και λειτουργίασυστημάτωνεπιτήρησης...» παρατηρούνται τα εξής:
Στο άρθρο 14 παρ. 6 του ν. 3917/2011 ορίζεται ότι η συγκεκριμένη διάταξη, δηλαδή τα τρία τελευταία εδάφια της περίπτωσης β" της παρ. 2 του άρθρου 3 του ν. 2472/1997, όπως η παράγραφος αυτή αντικαταστάθηκε με το άρθρο όγδοο παρ. 1 του ν. 3625/2007 (ΦΕΚ 290 Α") καταργούνται με την έναρξη ισχύος του προεδρικού διατάγματος που προβλέπεται από την παράγραφο 4 του ιδίου νόμου.
δ. Η Αρχή έχει ήδη επισημάνει τα προβλήματα από τη μη έκδοση του προβλεπόμενου στην παρ. 4 του ν. 3917/2011 (βλ. ετήσιες εκθέσεις 2012-2017). Η διατηρούμενη διάταξη έθετε εκτός πεδίου εφαρμογής του ν. 2472/1997 μια δραστηριότητα των αρχών επιβολής του νόμου. Πλέον, λόγω της Οδηγίας, η εν λόγω δραστηριότητα δεν επιτρέπεται να είναι εκτός πεδίου εφαρμογής του ν. 4624/2019. Περαιτέρω, η διατηρούμενη διάταξη δεν πληροί τα αναγκαία κριτήρια ώστε να παρέχει μια επαρκή νομική βάση για τη λειτουργία συσκευών καταγραφής ήχου ή εικόνας ή άλλων ειδικών τεχνικών μέσων (βλ. και γνωμοδοτήσεις 1/2009 και 2/2010 της Αρχής).
Τέλος, διατηρούνται σε ισχύ οι κυρώσεις του ν. 3471/2006. Αν και η εν λόγω διάταξη δεν έρχεται σε αντίθεση με το ΓΚΠΔ ή την Οδηγία 2002/58/ΕΚ (Οδηγία e-Privacy) όπως έχει τροποποιηθεί με την Οδηγία 2006/136/ΕΚ, είναι απαραίτητο το σύστημα των κυρώσεων του εν λόγω νόμου να εναρμονιστεί με αυτό του ΓΚΠΔ. Ο ν. 3471/2006, ο οποίος ενσωματώνει την οδηγία e-Privacy, αποτελεί συμπλήρωση και εξειδίκευση του θεσμικού πλαισίου της προστασίας των δεδομένων προσωπικού χαρακτήρα στον τομέα των ηλεκτρονικών επικοινωνιών (lex specialis derogat legi generali), ως προς τις επιβαλλόμενες δε κυρώσεις είχε προβλέψει την εφαρμογή των σχετικών διατάξεων του ν. 2472/1997. Ο τομέας αυτός κρίθηκε ιδιαίτερα κρίσιμος ώστε να ρυθμιστεί με εξειδικευμένο θεσμικό πλαίσιο, το οποίο να είναι σε θέση να ανταποκρίνεται στις προκλήσεις που εισάγουν νέες προηγμένες ψηφιακές τεχνολογίες στα δημόσια δίκτυα επικοινωνίας, οι οποίες δημιουργούν ειδικές απαιτήσεις όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής του χρήστη.
Κρίσιμο στοιχείο για την αποτελεσματική επιβολή της νομοθεσίας για τα δεδομένα προσωπικού χαρακτήρα σε κάθε τομέα είναι η ύπαρξη ενός συνεκτικού πλαισίου κυρώσεων. Για το σκοπό αυτό, οι κυρώσεις για παραβάσεις που σχετίζονται με δεδομένα προσωπικού χαρακτήρα και προβλέπονται στο ν. 3471/2006 πρέπει να εναρμονιστούν με τις κυρώσεις του ΓΚΠΔ. Σε διαφορετική περίπτωση διασπάται η εναρμόνιση που είχε εισαχθεί σε σχέση με τον προϊσχύοντα του ΓΚΠΔ ν. 2472/1997 και ενδέχεται ιδιαίτερα σοβαρές παραβάσεις (π.χ. περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα σε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας) να αντιμετωπίζονται με το εξαιρετικά πεπαλαιωμένο σύστημα κυρώσεων του ν. 2472/1997. Είναι άλλωστε παράδοξο το σύστημα κυρώσεων ενός τομέα που κρίθηκε ιδιαίτερα κρίσιμος να είναι τόσο διαφορετικό και αναποτελεσματικό, σε σχέση με το γενικό πλαίσιο του ΓΚΠΔ.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
1Επιφυλάξεις για την σύμφωνη με τον ΓΚΠΔ λήψη εφαρμοστικών μέτρων στην αντίστοιχη διάταξη του Γερμανικού νόμου (βλ. άρθρο 22 BDSG) έχουν εγερθεί από την Γερμανική θεωρία σύμφωνα με την οποία δεν έχει εξειδικευθεί σε τι συνίσταται το δημόσιο συμφέρον και ότι δεν θα έπρεπε να επαναλαμβάνεται η διατύπωση του άρθρου 9 παρ. 2 ζ’ περ. ΓΚΠΔ αλλά θα έπρεπε ο όρος «δημόσιο συμφέρον» να έχει εξειδικευθεί εξαιτίας της απαίτησης για νομική ακρίβεια και σαφήνεια κατά τη λήψη νομοθετικών μέτρων. Σχετικά βλ. “Second Adaptation Act for the implementation of the GDPR”, SKW Schwarz Rechtsanwalte, 02-12-2019, διαθέσιμο σε https://www.lexology.com/library/detail.aspx?g=7da501e7-cbac-4920-acb9-1f100a9c33f2
2Σχετικά βλ. “Contribution from the Multistakeholder Expert Group to the stock-taking exercise of June 2019 on one year of GDPR application – 13/6/2019 Report to the European Commission” σελ. 9, διαθέσιμο σε https://ec.europa.eu/commission/sites/betapolitical/files/report_from_multistakeholder_expert_group_on_gdpr_application.pdf
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου