Το σχέδιο νόμου «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού ΕΕ 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας ΕΕ 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016» αποτελεί, στον πυρήνα του, ενσωμάτωση αντίστοιχων ευρωπαϊκών οδηγιών και κανονισμών (GDPR/ΓΚΠΔ) στο ελληνικό δίκαιο, μαζί με άλλες προβλέψεις, στοιχεία, και γαλάζιες προσθήκες. Σημειώνουμε πως θίγει θέματα που κρίνεται πως θα έπρεπε να συμμετέχουν στο ν/σ ως συνυπογράφοντες και το Υπουργείο Ψηφιακής Διακυβέρνησης, καθώς υπάρχουν ζητήματα ψηφιακής ασφάλειας και ελέγχου από το δημόσιο της συμμόρφωσης και εφαρμογής, αλλά και του Υπουργείου Εργασίας, καθώς υπάρχουν καίρια ζητήματα που σχετίζονται με τα εργασιακά δικαιώματα, τα οποία διασαλεύει το ν/σ στο άρθρο 27.

Εισαγωγή

Ήδη αποτελεί ιδιαίτερη ειρωνεία ότι ένα από τα πρώτα νομοσχέδια της κυβέρνησης της Νέας Δημοκρατίας είναι η ενσωμάτωση στο ελληνικό δίκαιο μιας ήδη ισχύουσας στην Ελλάδα οδηγίας, του λεγόμενου GDPR/ΓΚΠΔ, την οποία η ίδια η Νέα Δημοκρατία συστηματικά, συνειδητά και κατ’ εξακολούθηση παραβίαζε κατά τον προεκλογικό της αγώνα για τις εκλογές της 7 Ιουλίου. Έτσι, δεκάδες χιλιάδες πολίτες βρέθηκαν με SMS στα κινητά τους τηλέφωνα από μια εντυπωσιακή πληθώρα υποψηφίων βουλευτών της Νέας Δημοκρατίας — με άδηλους τους τρόπους με τους οποίους οι τηλεφωνικοί αυτοί αριθμοί έχουν περιέλθει στο κόμμα της Νέας Δημοκρατίας και παρανόμως, κατά παράβαση του GDPR/ΓΚΠΔ, διατηρούνται εκεί για προεκλογική χρήση. Η εικόνα ενός κυβερνητικού κόμματος που προσέρχεται να νομοθετήσει την προστασία των πολιτών από αυτό που το ίδιο έπραττε λίγες εβδομάδες πριν δηλώνει πολλά — αλλά ας είναι.

Αφετηριακά, έχει νόημα να σημειωθούν τα εξής. Εξυπακούεται πως κάθε οδηγία και νομοθεσία προς την κατεύθυνση της προστασίας των δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη και καλοδεχούμενη.

Για αρχή οφείλει να σημειωθεί πως η αντίστοιχη ευρωπαϊκή οδηγία είναι κωμικά ανεπαρκής στην μετά-Σνόουντεν εποχή, κατά την οποία γνωρίζουμε την έκταση και το εύρος της παρείσφρησης στις ιδιωτικές μας ζωές και στα ιδιωτικά μας δεδομένα, πρωτίστως από το ίδιο το κράτος αλλά και από μεγάλες εταιρείες. Η κυβέρνηση θα μπορούσε να προβλέψει πρόσθετες πρόνοιες προς τούτο, ανεξάρτητα από την «ευρωπαϊκή υποχρέωση». Δεν το πράττει.

Δεύτερον, πολλά θα μπορούσαν να λεχθούν για το γενικότερο πλαίσιο της «ανεύθυνης υπακοής» που συνιστά η ενσωμάτωση δια της αντιγραφής στο ελληνικό δίκαιο κάθε ευρωπαϊκής οδηγίας και κανονισμού, όποια κι αν είναι αυτή, no questions asked — χωρίς έγνοια για τις ιδιαίτερες ανάγκες κάθε χώρας, για τους τρόπους διασφάλισης της εφαρμοσιμότητας, κλπ.

Τρίτον, εντυπωσιάζει η έλλειψη πρόνοιας για τα μικρότερα μεγέθη, επί παραδείγματι τοπικούς συλλόγους με μερικές εκατοντάδες μέλη στα αρχεία τους, όπου η έλλειψη επαγγελματικού προσωπικού και η εργασία σε εθελοντική βάση κατά πάσα πιθανότητα προοικονομούν μια μη-τήρηση του νέου νομοθετικού πλαισίου, με αποτέλεσμα τον κίνδυνο των ιδιαίτερα τσουχτερών προστίμων που προβλέπονται. Όμως, αυτή η σκέψη έχει νόημα μόνο εάν οι νόμοι υπερψηφίζονται ώστε να τηρηθούν. Εάν υποπτευθούμε αυτό που πολλές φορές διαπιστώνουμε, ότι δηλαδή αρκετές ευρωπαϊκές οδηγίες (αλλά και ανεξάρτητα ελληνικά νομοσχέδια) ενσωματώνονται στο ελληνικό δίκαιο για να «ξεμπερδεύουμε με την υποχρέωση» χωρίς απολύτως καμία πρόθεση εφαρμογή τους – ή, ακόμα χειρότερα, με πρόθεση εφαρμογής τους μόνο στους αδυνάμους, αλλά όχι στους ισχυρούς (όπως επί παραδείγματι το κόμμα της Νέας Δημοκρατίας προεκλογικά) – τότε η κατάσταση καθίσταται πραγματικά ιλαροτραγική. Μια ευρωπαϊκή οδηγία που σχεδιάστηκε με σκοπό την προστασία του πολίτη από την αυθαιρεσία των μεγάλων εταιρειών δεν αποκλείεται να καταλήξει, ως ελληνικός νόμος, άχθος για τα «μικρά ψάρια», με πλημμελή εφαρμογή του εκεί όπου πραγματικά χρειάζεται.

Επίμαχα άρθρα

Άρθρο 22

Στο άρθρο 22 εισάγεται μια σειρά εξαιρέσεων στους κανονισμούς του GDPR/ΓΚΠΔ αναφορικά με ειδικές κατηγορίες προσωπικών δεδομένων [όπως αυτές περιγράφονται στο Άρθρο 9, παρ. 1 του ΓΚΠΔ: δεδομένα που αφορούν φυλετική καταγωγή και εθνότητα, πολιτικά φρονήματα, θρησκευτικές και φιλοσοφικές πεποιθήσεις, συνδικαλιστική δράση, γενετικά δεδομένα, βιομετρικά στοιχεία, δεδομένα που αφορούν την υγεία και τον σεξουαλικό προσανατολισμό], «εφόσον [η επεξεργασία των δεδομένων] είναι απαραίτητη», ό,τι κι αν σημαίνει αυτό: στις αρκετές προβλέψεις του άρθρου δεν βλέπουμε μόνο ένα παραθυράκι στο νομοσχέδιο, αλλά μια ορθάνοιχτη μπαλκονόπορτα για ουσιαστική ακύρωση των προβλέψεων του GDPR/ΓΚΠΔ ακριβώς στις περιπτώσεις που αυτός χρειάζεται περισσότερο. Το ότι η επεξεργασία ευαίσθητων δεδομένων προβλέπεται «εφόσον είναι απολύτως απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος» δε σημαίνει τίποτε συγκεκριμένο, το οποίο συνεπάγεται πως δύναται να σημαίνει τα πάντα. Αν επιτρέπεται επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί εφόσον είναι απαραίτητη για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας ή για τη δίωξη ποινικών αδικημάτων όπως και εάν όλα αυτά ερμηνεύονται σε κάθε περίπτωση (επί παραδείγματι, σε συνάρτηση με τις ελληνικές πρωτοτυπίες στους «αντιτρομοκρατικούς» νόμους;), τότε τα σχεδιαζόμενα μπορούν εύκολα να διολισθήσουν στη δυστοπία με τη σφραγίδα του νομοθέτη. Η τρίτη παράγραφος του νομοσχεδίου δεν επιλύει το πρόβλημα.

Άρθρο 27

Στο άρθρο 27 ρυθμίζεται η χρήση των προσωπικών δεδομένων στο πλαίσιο των σχέσεων απασχόλησης. Καταρχάς παρατηρούμε πως συγκριτικά με το κείμενο της διαβούλευσης, το ν/σ που έχουμε στα χέρια μας έχει βελτιώσεις. Ξεκινούμε τονίζοντας πως παρά τις βελτιώσεις και την λεπτομερέστερη περιγραφή του πώς και υπο ποιες συνθήκες δίνεται η συγκατάθεση των εργαζομένων προς την εργοδοσία για την επεξεργασία των δεδομένων τους, ακόμα και ειδικών προσωπικών δεδομένων όπως ορίζονται στο άρθρο 9, παρ 1 του ΓΚΠΔ, σημειώνουμε πως εργοδότης και εργαζόμενος δεν έχουν επ ουδενί ισότιμη και ισοδύναμη διαπραγματευτική ισχύ, ουσιαστικά είναι take it or live it για τον εργαζόμενο. Το μεγάλο πρόβλημα βέβαια στο εν λόγω άρθρο εντοπίζεται στην παρ 7. Εκεί, το σχέδιο νόμου αναφέρει πως η ύπαρξη κλειστού κυκλώματος οπτικής καταγραφής επιτρέπεται μόνο για την προστασία προσώπων και αγαθών. Στην αμέσως επόμενη πρόταση, αναφέρεται ρητά πως τα δεδομένα που συλλέγονται μέσω του κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως ΑΠΟΚΛΕΙΣΤΙΚΑ ΚΡΙΤΗΡΙΑ ΓΙΑ ΤΗΝ ΑΞΙΟΛΟΓΗΣΗ ΤΗΣ ΣΥΜΠΕΡΙΦΟΡΑΣ ΚΑΙ ΤΗΣ ΑΠΟΔΟΤΙΚΟΤΗΤΑΣ ΤΩΝ ΕΡΓΑΖΟΜΕΝΩΝ! Εδώ ουσιαστικά έχουν απόπειρα θεσμοθέτησης της παρακολούθησης των εργαζομένων από τους εργοδότες για την αξιολόγησή τους, αλλά όχι ως αποκλειστικό κριτήριο… Ενώ δηλαδή η παρ 7 ουσιαστικά αναφέρεται σε θέματα ασφαλείας ως λόγο εγκατάστασης βιντεοσκοπικού κυκλώματος, καταλήγει να ορίζει το πώς τα δεδομένα αυτά θα χρησιμοποιούνται για να αξιολογούνται οι εργαζόμενοι. Θεωρούμε επιβεβλημένη την αφαίρεση από την παρ 7, άρθρου 1, της αναφοράς χρήσης των δεδομένων για σκοπούς αξιολόγησης της συμπεριφοράς και αποδοτικότητας των εργαζομένων.

Στα άρθρα 24 και 25 προβλέπεται η επεξεργασία δεδομένων από δημόσιους και ιδιωτικούς φορείς για διαφορετικό σκοπό από τον οποίο συλλέχθηκαν. Πλην του αόριστου περιεχομένου των προβλέψεων, που τις αφήνει ανοιχτές σε ερμηνείες, το καθεστώς συγκατάθεσης είναι διατυπωμένο εξόχως προβληματικάα, καθώς να υπάρχει μέχρι και αναφορά για υπόθεση συγκατάθεσης από το υποκείμενο των δεδομένων στο άρθρο 24, ενώ ο Ευρωπαϊκός Κανονισμός αναφέρει αποκλειστικά για ρητή συγκατάθεση του υποκειμένου των δεδομένων!

ΕΝΗΜΕΡΩΣΗ
Μετά την κατακραυγή και την ανάδειξη του θέματος από το ΜέΡΑ25, αφαιρέθηκε το κομμάτι της παρ 7, άρθρου 1, σχετικά με την χρήση των δεδομένων για σκοπούς αξιολόγησης της συμπεριφοράς και αποδοτικότητας των εργαζομένων.

Θέλεις να μαθαίνεις για τις δράσεις του ΜεΡΑ25; Γράψου εδώ.