GDPR και εθνικός νόμος: “Habemus Papam!”

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 2/09/2019

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 29 Αυγούστου δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 4624/2019 με τα εθνικά μέτρα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού και ως GDPR. Πρόκειται για νομοθετικό κείμενο με ευρύτερο περιεχόμενο, καθώς με αυτό ενσωματώνεται επίσης στην ελληνική έννομη τάξη η ενωσιακή Οδηγία 2016/680 για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους από διωκτικές αρχές, ιδίως τις αστυνομικές αρχές, γνωστή και ως LED.

Η πορεία προς την υιοθέτηση του Ν. 4624/2019 θυμίζει, δυστυχώς, σίριαλ τεσσάρων σεζόν. Σημείο εκκίνησης αποτέλεσε η υιοθέτηση του GDPR και της LED από τα ενωσιακά όργανα τον Απρίλιο του 2016. Ως προς τον GDPR, δεδομένου ότι αποτελεί ενωσιακό Κανονισμό, αυτός εξ ορισμού απολαμβάνει άμεσης εφαρμογής από τον Μάιο του 2018, χωρίς να απαιτείται η υιοθέτηση εθνικού νόμου. Κατ’ εξαίρεση πάντως, οι ρυθμίσεις του περιλαμβάνουν τη δυνατότητα του εθνικού νομοθέτη να λάβει και συμπληρωματικά μέτρα εφαρμογής.

Ως προς τη LED, αυτή απαιτεί για την ενσωμάτωσή της εθνικό νόμο, ο οποίος έπρεπε να υιοθετηθεί μέχρι τον Μάιο του 2018. Σε αυτό το πλαίσιο, ακολούθησε η ταχύτατη σύσταση ειδικής νομοπαρασκευαστικής επιτροπής από το Υπουργείο Δικαιοσύνης τον Ιούνιο του 2016 (σεζόν πρώτη). Η εν λόγω επιτροπή προχώρησε στην εκπόνηση σχεδίου νόμου, επιχειρώντας τη ζεύξη εθνικών μέτρων τόσο για τον GDPR όσο και για τη LED στο ίδιο νομοθετικό κείμενο, το οποίο τέθηκε σε δημόσια διαβούλευση τον Φεβρουάριο του 2018 (σεζόν δεύτερη και τρίτη).

Σε αντίθεση με άλλα νομοσχέδια όμως, η ολοκλήρωση της δημόσιας διαβούλευσης τον Μάρτιο του 2018 δεν οδήγησε σε σύντομη κατάθεση του νομοσχεδίου στη Βουλή προς ψήφιση. Αντίθετα, τόσο τον Νοέμβριο του 2018 όσο και τον Ιανουάριο του 2019 (σεζόν τέταρτη) μεταβλήθηκε εκ νέου η σύσταση της ειδικής νομοπαρακευαστικής επιτροπής και τέθηκαν νέες προθεσμίες για την περάτωση των εργασιών της.

Η ως άνω μεταβληθείσα ειδική νομοπαρασκευαστική επιτροπή εκπόνησε νέο νομοσχέδιο τον Φεβρουάριο του 2019, που ποτέ δεν υποβλήθηκε όμως σε δημόσια διαβούλευση. Ακολούθησε η διενέργεια των εθνικών εκλογών, χωρίς ακόμη να έχει υιοθετηθεί εθνικός νόμος, με την Ευρωπαϊκή Επιτροπή να παραπέμπει την Ελλάδα στο Δικαστήριο της Ε.Ε. τον Ιούλιο του 2019, με την απειλή επιβολής υπέρογκου προστίμου για μη έγκαιρη ενσωμάτωση της LED.

Τέλος, προ ολίγων ημερών τέθηκε εκ νέου σε δημόσια διαβούλευση το νομοσχέδιο για τα προσωπικά δεδομένα, το οποίο βασιζόταν στις εργασίες της ειδικής νομοπαρασκευαστικής επιτροπής με την μεταβληθείσα σύνθεση, όπως αυτό είχε εκπονηθεί τον Φεβρουάριο του 2019.

Η δημόσια διαβούλευση είχε μικρή διάρκεια και αμέσως μετά ακολούθησε η κατάθεση του νομοσχεδίου στη Βουλή, το οποίο ψηφίστηκε σε χρόνο ντετέ με τη διαδικασία του κατεπείγοντος. Τελικά, το ψηφισθέν νομοσχέδιο διαφέρει σημαντικά από αυτό που τέθηκε σε δημόσια διαβούλευση, καθώς λήφθηκε υπόψη σειρά ενστάσεων που προβλήθηκαν. Έτσι, μετά την πάροδο περισσότερων των τριών χρόνων από την υιοθέτηση του GDPR και της LED, καθώς και την πάροδο περισσότερου από ένα έτος από την έναρξη της εφαρμογής του πρώτου και τη λήξη της προθεσμίας ενσωμάτωσης της δεύτερης, βγήκε λευκός καπνός και η Ελλάδα απέκτησε επιτέλους εθνικό νόμο!

Η χώρα μας για μια ακόμη φορά βρέθηκε σχεδόν τελευταία και καταϊδρωμένη στο σχετικό στίβο, ως προς τη λήψη εθνικών μέτρων σε σύγκριση με τα άλλα κράτη μέλη, δεδομένου ότι αυτά στη συντριπτική πλειοψηφία τους έπραξαν το ίδιο αρκετά νωρίτερα.

Ως προς τα εθνικά μέτρα εφαρμογής του GDPR, ο Ν. 4624/2019 βασίζεται στον αντίστοιχο γερμανικό νόμο. Οι σχετικές ρυθμίσεις του εντοπίζονται στη συντριπτική πλειοψηφία τους στο Κεφάλαιο Α΄ – Γενικές Διατάξεις (άρθρα 1-8), στο Κεφάλαιο Β΄ – Eποπτική Αρχή (άρθρα 9-20) και στο Κεφάλαιο Γ΄ – Συμπληρωματικά Μέτρα Εφαρμογής του ΓΚΠΔ (άρθρα 21-42), με το Κεφάλαιο Δ΄ να αφορά τη LED (άρθρα 43-82). Ο παλαιότερος Ν. 2472/1997 για την προστασία των προσωπικών δεδομένων καταργείται, πλην ελαχίστων εξαιρέσεων, όπως των ορισμών που περιέχει στο άρθρο 2, ιδίως της προβλεπόμενης ρύθμισης για ανακοίνωση και δημοσιοποίηση προσωπικών δεδομένων σχετικά με ποινικές διώξεις ή καταδίκες.

Εκκινώντας από το Κεφάλαιο Α΄, αυτό, μεταξύ άλλων, επαναλαμβάνει το πεδίο εφαρμογής του GDPR, θέτει τον ορισμό δημόσιου και ιδιωτικού φορέα, σύμφωνα με τη νέα διάκριση που ακολουθείται σε πλήθος ρυθμίσεων του εθνικού νόμου, και αναπτύσσει ευρέως τις ρυθμίσεις του GDPR για τον Υπεύθυνο Προστασίας Δεδομένων.

Το Κεφάλαιο Β΄ ρυθμίζει εξαντλητικά τη σύσταση και λειτουργία της αρμόδιας εποπτικής αρχής για την εφαρμογή του GDPR, ήτοι της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Μεταξύ άλλων, προβλέπονται η αρμοδιότητά της, τα κωλύματα – ασυμβίβαστα των μελών της, τα καθήκοντα και οι εξουσίες της, οι υποχρεώσεις και τα δικαιώματά των μελών της, καθώς και ζητήματα της εν γένει λειτουργίας της.

Το Κεφάλαιο Γ΄ αποτελεί ίσως το ουσιαστικότερο μέρος του Ν. 4624/2019 από άποψη περιεχόμενου ως προς τα ειδικά μέτρα εφαρμογής του GDPR και αντιμετωπίζει σημαντικές μέχρι σήμερα γκρίζες ζώνες. Θέτει όμως συνάμα νέους προβληματισμούς για τη σχέση του Ν. 4624/2019 με τον GDPR, ιδίως το βαθμό που ο πρώτος λειτουργεί συμπληρωματικά ή/και ενδεχομένως τροποποιητικά, καθ’ υπέρβαση των εξουσιών του εθνικού νομοθέτη. Από τις ρυθμίσεις του ξεχωρίζουν κυρίως η πρόβλεψη για το έγκυρο της συγκατάθεσης του ανηλίκου σε συγκεκριμένες περιπτώσεις εφόσον έχει συμπληρώσει το 15ο έτος της ηλικίας του (ο GDPR προέβλεπε το 16ο έτος), η απαγόρευση επεξεργασίας γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής, οι προϋποθέσεις επεξεργασίας προσωπικών δεδομένων για σκοπούς άλλους από αυτούς της συλλογής τους, οι ρυθμίσεις για τα ζητήματα επεξεργασίας προσωπικών δεδομένων εργαζομένων, ιδίως η πρόβλεψη για την εγκυρότητα της κατ’ εξαίρεση συγκατάθεσής τους, οι προβλέψεις για την επεξεργασία προσωπικών δεδομένων από ΜΜΕ, ιδίως η σειρά παρεκκλίσεων από τον GDPR που δημιουργεί ένα προνομιακό καθεστώς γι’ αυτά, η ρύθμιση για τη διαπίστευση φορέων που χορηγούν τις προβλεπόμενες από τον GDPR πιστοποιήσεις, η οποία πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης, καθώς και οι προβλεπόμενες ποινικές κυρώσεις για παράνομη επεξεργασία προσωπικών δεδομένων, με την εν γένει άμβλυνση της οικείας ποινικής μεταχείρισης.

Συνολικά, ο Ν. 4624/2019 είναι ευπρόσδεκτος, δεδομένου ότι η απουσία λήψης των ειδικών μέτρων εφαρμογής του GDPR σε εθνικό επίπεδο ήταν πολύ σημαντική, εξέθετε τη χώρα σε επίπεδο Ευρωπαϊκής Ένωσης, δημιουργούσε ανασφάλεια δικαίου και αποτελούσε αντικίνητρο για την εκούσια συμμόρφωση φυσικών και νομικών προσώπων με τις ρυθμίσεις του GDPR.

Έχει όμως αδύναμα σημεία και έχει ήδη δεχθεί βέλη κριτικής για το κατά πόσο συνιστά από κοινού με τον GDPR ένα αρμονικό σύνολο, το οποίο διακρίνεται από συνοχή και διαύγεια ή όχι.

Σε κάθε περίπτωση, είναι βέβαιο πως η εφαρμογή του νέου νόμου θα οδηγήσει σε περαιτέρω ευαισθητοποίηση των υπεύθυνων και εκτελούντων την επεξεργασία προσωπικών δεδομένων, καθώς τα περιθώρια στενεύουν ως προς αυτούς που επιμένουν να αγνοούν τις οικείες υποχρεώσεις τους.

Ομοίως, η νέα νομοθεσία αναμένεται να περιορίσει έτι περαιτέρω τη διάθεση επιείκειας που διέκρινε την ΑΠΔΠΧ κατά την πρώτη περίοδο εφαρμογής του GDPR, καθώς ολοκληρώνεται πλέον το παζλ του εφαρμοστέου νομοθετικού πλαισίου και λιγοστεύουν δραματικά οι δικαιολογίες μη συμμόρφωσης.