Αποτελέσματα live αναζήτησης

GDPR: Βαθιά προβληματικός ο εθνικός εφαρμοστικός νόμος

Ποικίλες οι αντιδράσεις ως προς το περιεχόμενο του ν. 4624/2019, κυρίως στη συμβατότητά του με τον GDPR

GDPR: Βαθιά προβληματικός ο εθνικός εφαρμοστικός νόμος

24 Φεβρουάριος 2020
GDPR: Βαθιά προβληματικός ο εθνικός εφαρμοστικός νόμος
© Taxheaven - H εικόνα προστατεύεται από τον νόμο περι πνευματικής ιδιοκτησίας - Δείτε περισσότερα στους όρους χρήσης
  • Ποικίλες οι αντιδράσεις ως προς το περιεχόμενο του ν. 4624/2019, κυρίως στη συμβατότητά του με τον GDPR


Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), MΔΕ (Αθήνα)


«Το βασικό νομοθέτημα είναι ο Κανονισμός που έχει υπέρτερη νομική ισχύ.
Ο νόμος 4624/2019 είναι συμπληρωματικός και εφαρμόζεται στο μέτρο
που δεν έρχεται σε αντίθεση με τον Κανονισμό».

Επιστημονική ημερίδα της 28ης Ιανουαρίου 2020
Πρόεδρος ΑΠΔΠΧ

Με την πρόσφατη Γνωμοδότηση υπ’ αριθμ. 1/2020 (Γνωμοδότηση) η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εκφράζει επιτέλους τη γνώμη της επί των ρυθμίσεων του εθνικού εφαρμοστικού του GDPR Ν. 4624/2019. Υπενθυμίζεται ότι ο τελευταίος δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως στις 29 Αυγούστου 2019, δίχως η ΑΠΔΠΧ να έχει προηγουμένως εκφραστεί επί του περιεχομένου του. Οι αντιδράσεις ως προς το περιεχόμενο του ήταν ποικίλες, εστιάζοντας κυρίως στη συμβατότητά του με τον GDPR.

Όπως ήταν αναμενόμενο, η Γνωμοδότηση εντοπίζει κατά τη γνώμη μας ουκ ολίγα προβλήματα τόσο ως προς τη συμβατότητα μεταξύ GDPR και Ν. 4624/2019 όσο και ευρύτερα. Η ΑΠΔΠΧ μάλιστα υπογραμμίζει ότι  «…δεν θα τύχουν εφαρμογής από την Αρχή κατά την άσκηση των αρμοδιοτήτων της διατάξεις του ν. 4624/2019, οι οποίες θα κριθούν ότι έρχονται σε αντίθεση µε τον ΓΚΠΔ ή δεν βρίσκουν έρεισμα σε “ρήτρες ανοίγματος – εξειδίκευσης”. Εκ των σημαντικότερων ζητημάτων που τίθενται είναι τα ακόλουθα:

1. Η διάκριση μεταξύ δημόσιων και ιδιωτικών φορέων που επεξεργάζονται προσωπικά δεδομένα, όπως προβλέπεται στο άρθρο 4 του Ν. 4624/2019, είναι γερμανικής προέλευσης, δεν περιλαμβάνεται στον GDPR και «στηρίζεται σε διαφορετική αντίληψη σε σχέση µε εκείνη του επί 20ετία ισχύοντος ν. 2472/1997 (κατ’ εφαρμογή της Οδηγίας 95/46/ΕΚ), αλλά και της παράδοσης που δηµιουργήθηκε από την ερμηνεία του, τόσο από τα δικαστήρια, όσο και από την ΑΠΔΠΧ». Η διάκριση δημιουργεί τον κίνδυνο σύγχυσης μεταξύ των εννοιών «υπεύθυνος επεξεργασίας» και «δημόσιος φορέας», χωρίς πάντως να είναι αντίθετη με τις προβλέψεις του GDPR.

2. Το άρθρο 5 του Ν. 4624/2019 κατά το οποίο «Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας» δεν εισάγει νέα ή επικουρική νομική βάση επεξεργασίας προσωπικών δεδομένων, ούτε αποκλείει την εφαρμογή των νομικών βάσεων του άρθρου 6 παρ. 1 του GDPR. Αντίθετα, με αυτό επαναλαμβάνεται η νομική βάση του άρθρου 6 παρ. 1 περ. ε΄ του GDPR, κατά παράβαση του ενωσιακού κανόνα περί μη επανάληψης ρυθμίσεων του GDPR σε εθνικό νόμο.

3. Η εφαρμογή του άρθρου 10 του GDPR για την επεξεργασία προσωπικών δεδομένων που αφορά ποινικές καταδίκες και αδικήματα παραμένει εν πολλοίς αδύνατη, καθώς ο Ν. 4624/2019 δεν συμπεριλαμβάνει ουδεμία σχετική ρύθμιση, μη συμμορφούμενος με τη σχετική επιταγή του GDPR.

4. Για το πολύ κρίσιμο άρθρο 22 του Ν. 4624/2019 αναφορικά με την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων, όπως δεδομένων υγείας, κρίνεται ότι η μεν πρώτη παράγραφός του αποτελεί απλώς μη επιτρεπτή επανάληψη των αντίστοιχων ρυθμίσεων του άρθρου 9 παρ. 2 του GDPR, χωρίς να διακρίνεται μάλιστα από την αναγκαία εξειδίκευση. Εντοπίζονται επίσης μεταβολές/παραλείψεις από το κείμενο του GDPR, χωρίς αυτός να προβλέπει σχετική ευχέρεια του εθνικού νομοθέτη. Προβλήματα εντοπίζονται και στη δεύτερη παράγραφο του άρθρου 22 του Ν. 4624/2019, όπου διαπιστώνονται τα ήδη λεχθέντα προβλήματα για την παράγραφο 1. Επιπρόσθετα, σε αυτή περιλαμβάνονται παρεκκλίσεις υπό τις οποίες είναι επιτρεπτή η επεξεργασία των εν λόγω προσωπικών δεδομένων, χωρίς όμως ο GDPR να περιλαμβάνει σχετική εξουσιοδότηση προς τον εθνικό νομοθέτη.

5. Όλως προβληματικές είναι οι ρυθμίσεις των άρθρων 24, 25 και 26 του Ν. 4624/2019 για την επεξεργασία προσωπικών δεδομένων για σκοπούς άλλους από αυτούς για τους οποίους συνελέγησαν. Και αυτό πρωτίστως γιατί ο GDPR δεν παρέχει εξουσιοδότηση στον εθνικό νομοθέτη να προβλέψει νέες νομικές βάσεις επεξεργασίας, όπως η αιτιολογική έκθεση του Ν. 4624/2019 διατείνεται ότι συμβαίνει με τις επίμαχες εθνικές ρυθμίσεις. Επιπρόσθετα, η οικεία ρύθμιση του άρθρου 6 παρ. 4 του GDPR για την περαιτέρω επεξεργασία προσωπικών δεδομένων θεσπίζει ήδη τα σχετικά κριτήρια, δίχως να απαιτείται παρέμβαση εθνικού νομοθέτη.

6. Το πολύ συχνά εφαρμοζόμενο άρθρο 27 του Ν. 4624/2019 για την επεξεργασία προσωπικών δεδομένων στις εργασιακές σχέσεις πάσχει επίσης. Η πρώτη παράγραφός του αποτελεί μη επιτρεπτή επανάληψη του άρθρου 6 παρ. 1 εδ. β΄ του GDPR. Ουδόλως δε η εν λόγω παράγραφος θίγει την εν γένει εφαρμογή του άρθρου 6 παρ. 1 του GDPR και τις εκεί προβλεπόμενες νομικές βάσεις επεξεργασίας. Η εκδοχή ότι με το άρθρο 27 παρ. 1 του Ν. 4624/2019 εισάγεται μοναδική νομική βάση επεξεργασίας στις εργασιακές σχέσεις, με αποτέλεσμα να αποκλείεται η εφαρμογή των λοιπών νομικών βάσεων του άρθρου 6 παρ. 1 του GDPR, δεν μπορεί να γίνει επ’ ουδενί δεκτή. Ανεπάρκειες εντοπίζονται και στις παρ. 3 και 4 του άρθρου 27 του Ν. 4624/2019.

7. Για την πολυσυζητημένη παρέκκλιση του άρθρου 28 παρ. 2 του Ν. 4624/2019, με την οποία αποκλείεται η εφαρμογή ούτε λίγο ούτε πολύ πλέον των 50 άρθρων του GDPR στο πλαίσιο επεξεργασίας προσωπικών δεδομένων για σκοπούς ιδίως δημοσιογραφικούς, καθώς και ακαδημαϊκής, καλλιτεχνικής και λογοτεχνικής έκφρασης, σημειώνεται χαρακτηριστικά ότι «η ευρύτητα των εξαιρέσεων… θέτει υπό διακινδύνευση τον πυρήνα της προστασίας των δεδοµένων προσωπικού χαρακτήρα… ιδίως η εξαίρεση από ορισμένα δικαιώματα, όπως το δικαίωμα αντίρρησης ή ενημέρωσης». Υπογραμμίζεται επίσης ότι οι εξαιρέσεις είναι αναιτιολόγητες, κατ’ αντίθεση με τα επιβαλλόμενα από τον GDPR.

8. Τα άρθρα 31 έως 35 του Ν. 4624/2019, στα οποία προβλέπονται περιορισμοί στα δικαιώματα των υποκειμένων των προσωπικών δεδομένων, έχουν υιοθετηθεί χωρίς να τηρούνται οι προϋποθέσεις που τίθενται στην εξουσιοδοτική ρύθμιση του άρθρου 23 του GDPR. Έτσι, σημειώνεται ότι «Η Αρχή επιφυλάσσεται να κρίνει, κατά την άσκηση των αρμοδιοτήτων της, αν οι εφαρμοζόµενοι σε κάθε περίπτωση, µε βάση τις διατάξεις αυτές του νόμου, περιορισμοί είναι σύμφωνοι µε τον ΓΚΠΔ…».

9. Η διατήρηση σε ισχύ ορισμένων ρυθμίσεων του προηγούμενου νομοθετικού πλαισίου του Ν. 2472/1997 με το άρθρο 84 του Ν. 4624/2019 κρίνεται ανεπιτυχής, ενώ επαναλαμβάνεται η παρατήρηση της Επιστημονικής Υπηρεσίας της Βουλής «νομοτεχνικώς προσφορότερο θα ήταν να ενσωματωθούν στο υπό ψήφιση νομοσχέδιο οι µη καταργηθείσες διατάξεις του ν. 2472/1997».

Συμπερασματικά σημειώνουμε τα εξής:

Α. Η Γνωμοδότηση προσεγγίζει συνολικά τον Ν. 4624/2019 ο οποίος αφενός περιέχει εφαρμοστικά εθνικά μέτρα του GDPR, αφετέρου ενσωματώνει την Οδηγία (ΕΕ) 2016/680, την καλούμενη και Αστυνομική Οδηγία. Οι παρατηρήσεις της ΑΠΔΠΧ ως προς την Αστυνομική Οδηγία παραλείπονται στο παρόν άρθρο, το οποίο εστιάζει στον GDPR. Υπογραμμίζεται πάντως ότι και στην ενσωμάτωση αυτής εντοπίζονται από τη Γνωμοδότηση σημαντικά προβλήματα.

Β. Η εφαρμογή της νομοθεσίας προστασίας προσωπικών δεδομένων στη χώρα μας καθίσταται πλέον ακόμη περισσότερο δαιδαλώδης. Πέραν των όποιων ρυθμίσεων του Ν. 2472/1997 έχουν παραμείνει σε ισχύ, των διατάξεων του GDPR και των προβλέψεων του εθνικού εφαρμοστικού Ν. 4624/2019, εφεξής πρέπει να λαμβάνεται οπωσδήποτε υπόψη και η Γνωμοδότηση, δεδομένου ότι ενώπιον της ΑΠΔΠΧ συγκεκριμένες εθνικές ρυθμίσεις ενδέχεται να κριθούν ανεφάρμοστες. Κατ’ αυτόν τον τρόπο όμως η ανασφάλεια δικαίου «χτυπάει κόκκινο».

Γ. Αποτελεί άμεση αναγκαιότητα η νομοθετική παρέμβαση με πρωτοβουλία του Υπουργείου Δικαιοσύνης, ώστε να αντιμετωπισθεί η ως άνω κατάσταση, χέρι-χέρι με την ΑΠΔΠΧ. Σε αυτή την κατεύθυνση κινήθηκε πολύ πρόσφατα και ο Πρόεδρος της ΑΠΔΠΧ στην πρόσφατη επιστημονική ημερίδα της 28ης Ιανουαρίου 2020 με ομιλητές τα μέλη της ΑΠΔΠΧ και με θέμα «Το δικαίωμα στην προστασία των προσωπικών δεδομένων μετά την εφαρμογή του Κανονισμού (ΕΕ) 2016/679 και την ενσωμάτωση της Οδηγίας (ΕΕ) 2016/680». Όπως τόνισε ο κ. Πρόεδρος «…με βάση τις μέχρι σήμερα διαπιστώσεις της Αρχής και με βάση τα ζητήματα που ανακύπτουν στην πράξη στο πλαίσιο της εφαρμογής του ν. 4624/2019, η Αρχή θα υποβάλει συγκεκριμένες προτάσεις στο Υπουργείο Δικαιοσύνης για τυχόν αναγκαίες τροποποιήσεις του νόμου».

Want to see comments? Unfortunately this feature requires cookies currently not allowed by your settings. You may click here to change them if you wish to use this feature.

Δημιουργία νέας κατηγορίας

Κατηγορίες προσωπικής βιβλίοθήκης