Της Καλυψώς Κουρτίδη,
Όπως είναι γνωστό, από τις 25 Μαΐου 2018 θα έχει άμεση εφαρμογή στα Κράτη Μέλη της ΕΕ ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 (GDPR ή ΓΚΠΔ) του Ευρωπαικού Κοινοβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα αλλά και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Αντικαθίσταται έτσι η ισχύουσα Οδηγία 95/46/ΕΚ και η εθνική νομοθεσία που την ενσωμάτωσε, δηλαδή ο Ν. 2472/1997. Ο νέος Κανονισμός δεν παρουσιάζει ουσιώδεις παρεκκλίσεις από τον ήδη υφιστάμενο, καθορίζει ωστόσο αυστηρότερο θεσμικό πλαίσιο επεξεργασίας των προσωπικών δεδομένων από τις επιχειρήσεις. Απαιτείται έτσι, η ύπαρξη ξεκάθαρης συγκατάθεσης του υποκειμένου επεξεργασίας δεδομένων, εισάγεται η υποχρέωση -για συγκεκριμένες περιπτώσεις επεξεργασίας δεδομένων- ορισμού από τις επιχειρήσεις Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer-DPO), προβλέπονται αυξημένα πρόστιμα σε περίπτωση παραβάσεων των διατάξεων, ενώ ενθαρρύνεται η υποχρέωση των υπεύθυνων επεξεργασίας να τηρούν αρχεία των δραστηριοτήτων τους, με ταυτόχρονη κατάργηση της γενικής υποχρέωσης γνωστοποίησης στην εποπτική αρχή.
Ιδιαίτερο ενδιαφέρον εντοπίζεται στο πεδίο εφαρμογής των περιπτώσεων 7 και 8 του άρθρου 4 του Γενικού Κανονισμού Προστασίας Δεδομένων (στο εξής ΓΚΠΔ) που περιέχει τους ορισμούς των υπεύθυνων και εκτελούντων την επεξεργασία των προσωπικών δεδομένων αντίστοιχα. Ειδικότερα, ως «υπεύθυνος επεξεργασίας» ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Ως «εκτελών την επεξεργασία» ονομάζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας.
Οι δικηγόροι και οι δικηγορικές εταιρίες έρχονται καθημερινά σε επαφή με την επεξεργασία προσωπικών δεδομένων, μπορεί εύλογα συνεπώς να ανακύψει το ζήτημα προσδιορισμού της ιδιότητας των δικηγόρων ως υπεύθυνων την επεξεργασία των δεδομένων ή εκτελούντων, προσδιορισμός ο οποίος δεν είναι άνευ σημασίας, καθώς συνεπάγεται την υπαγωγή τους ή μη στο αυστηρό πλαίσιο συμμόρφωσης του ΓΚΠΔ. Το ζήτημα ανακύπτει, από τη μια μεριά, επειδή ο νέος κανονισμός δεν περιέχει διάταξη ανάλογη με εκείνη του άρθρου 7Α παρ.1 περ.ε του Ν. 2472/1997, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση γνωστοποίησης και λήψης άδειας «όταν πρόκειται για επεξεργασία από δικηγόρους (…) και αφορά την παροχή νομικών υπηρεσιών προς πελάτες τους, εφόσον ο υπεύθυνος επεξεργασίας δεσμεύεται από υποχρέωση απορρήτου που προβλέπει νόμος και τα δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους, εκτός από τις περιπτώσεις που αυτό είναι αναγκαίο και συνδέεται άμεσα με την εκπλήρωση εντολής του πελάτη». Από την άλλη μεριά, επειδή με τον νέο κανονισμό η ευθύνη των υπεύθυνων την επεξεργασία καθίσταται ιδιαίτερα αναβαθμισμένη, οπότε και δημιουργούνται επιφυλάξεις ως προς την υπαγωγή των δικηγόρων στο ως άνω καθεστώς.
Σημαντικό νομικό έρεισμα για τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων από τους δικηγόρους, εισάγει η περίπτωση β του άρθρου 6 ΓΚΠΔ, σύμφωνα με την οποία η επεξεργασία των δεδομένων είναι σύννομη εφόσον καθίσταται απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος. Αντιθέτως, η περίπτωση α του ίδιου άρθρου που επιτρέπει την επεξεργασία εφόσον το υποκείμενο των δεδομένων (εδώ ο εντολέας, δηλαδή ο πελάτης) έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, δεν εξασφαλίζει άνευ ετέρου το σύννομο της επεξεργασίας. Και αυτό διότι, ο εντολέας εν προκειμένω απευθύνεται στον δικηγόρο ως πάροχο υπηρεσιών (service provider), δίνοντάς του εντολή προς νομική εκπροσώπηση και όχι εντολή προς επεξεργασία των προσωπικών του δεδομένων. Η εντολή λοιπόν, δεν κατευθύνεται προς την επεξεργασία δεδομένων καθαυτήν, αλλά προς την εκπροσώπηση στο δικαστήριο. Είναι άλλο το ζήτημα ότι η επεξεργασία των προσωπικών δεδομένων από τον δικηγόρο θα συνιστά σε κάθε περίπτωση αναγκαίο όρο για την εκπλήρωση της παραπάνω εντολής.
Από τα παραπάνω λοιπόν προκύπτει ότι μπορεί να χαρακτηριστεί υπεύθυνος επεξεργασίας δεδομένων ο δικηγόρος που εκπροσωπεί ενώπιον του Δικαστηρίου ή ενώπιον των αρμόδιων αρχών τον πελάτη του και αποκλειστικά για τον σκοπό αυτό συλλέγει τα προσωπικά του δεδομένα για την εκπλήρωση της εντολής. Μόνο στην περίπτωση που ο δικηγόρος προβαίνει και στην παροχή άλλων νομικών υπηρεσιών, όπως για παράδειγμα κατάρτιση συμβολαίων, θα μπορούσε να θεωρηθεί ως εκτελών την επεξεργασία προσωπικών δεδομένων. Πάντως η υπαγωγή στη μία ή στην άλλη κατηγορία κρίνεται κατά περίπτωση. Στην κατεύθυνση αυτή εξάλλου κινείται και το άρθρο 29 της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων στη Γνώμη υπ’ αρ. 1/2010, όπου αναφέρεται ότι σε ορισμένες περιπτώσεις, η επαγγελματική εμπειρογνωμοσύνη του παρόχου της υπηρεσίας διαδραματίζει κυρίαρχο ρόλο για τον χαρακτηρισμό του ως υπευθύνου της επεξεργασίας των δεδομένων. Ειδικά για το επάγγελμα των δικηγόρων, ορίζει ότι «αυτά τα επαγγέλματα πρέπει να θεωρούνται ως ανεξάρτητοι υπεύθυνοι της επεξεργασίας, όταν επεξεργάζονται δεδομένα στο πλαίσιο της νόμιμης εκπροσώπησης των πελατών τους».
Ένα ακόμη ζήτημα άξιο προς διερεύνηση, αφορά τη σχέση των διατάξεων του ΓΚΠΔ με το δικηγορικό απόρρητο. Από το άρθρο 32 του Κανονισμού Προστασίας Προσωπικών Δεδομένων, καθίσταται αντιληπτό ότι οι απορρέουσες από την αρχή της ασφάλειας επιμέρους υποχρεώσεις εμπιστευτικότητας και εχεμύθειας του υπεύθυνου την επεξεργασία, ισχύουν παράλληλα προς το δικηγορικό απόρρητο που πηγάζει από την ιδιαίτερη σχέση εμπιστοσύνης του εντολέα (πελάτη) και του δικηγόρου. Δεν πρέπει φυσικά να ξεχνάμε ότι ο δικηγόρος είναι, εκτός από δημόσιος λειτουργός, και συλλειτουργός της δικαιοσύνης, συνεπώς η θέση του είναι θεμελιώδης, ανεξάρτητη και απολύτως αναγκαία για την απονομή της, όπως άλλωστε προκύπτει και από τον Κώδικα Δικηγόρων (Ν. 4194/2013). Στον δικηγόρο δηλαδή παρέχεται ελευθερία συλλογής, επιλογής και επεξεργασίας των προσωπικών δεδομένων του πελάτη του, προκειμένου να επιτευχθεί η ταχύτερη διεκπεραίωση και υπεράσπιση της υποθέσεως που έχει αναλάβει, εξουσία που αποδίδεται σε αυτόν και από τον Κώδικα Δεοντολογίας του Δικηγορικού Λειτουργήματος, με την προϋπόθεση βέβαια ότι δεν αγγίζει το σημείο υπέρβασης των ορίων της εντολής. Και αυτό το τελευταίο, οπωσδήποτε δεν πρέπει να παραμερίζεται στις περιπτώσεις εφαρμογής των διατάξεων του ΓΚΠΔ.
Καθίσταται λοιπόν φανερό ότι ο νέος Κανονισμός επιφέρει ορισμένες αλλαγές στον τομέα της επεξεργασίας δεδομένων πελατών από δικηγόρους. Παρότι δεν υπογραμμίζονται με σαφήνεια οι διαχωριστικές γραμμές σύννομης επεξεργασίας κατά την άσκηση του επαγγέλματος των δικηγόρων, μένει να φανούν στην πράξη τα όποια προβλήματα ή αδυναμίες του νέου μέτρου.
Βιβλιογραφία
- Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679
- Ν.4194/2013
- Ιnformation Commissioner’s Office (ICO) “Data controller and data processors: what the difference is and what the governance implications are” σε https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf σελ. 9 και 12-13
- Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Η επεξεργασία προσωπικών δεδομένων κατά την άσκηση του δικηγορικού επαγγέλματος (σύμφωνα με τις διατάξεις του ν. 2472/1997), Αρμ 2009
- Κ.Ε. Γώγου και Ι.Μ. Κωνσταντίνου, Ερμηνεία Κώδικα Δικηγόρων, Νομική Βιβλιοθήκη, 2016, σελ. 2 επ.
Γεννήθηκε στη Θεσσαλονίκη στις 3 Μαΐου του 1997. Είναι τεταρτοετής φοιτήτρια στο τμήμα Νομικής του Αριστοτελείου Πανεπιστημίου και παράλληλα ειδικός συνεργάτης Marketing της Ευρωπαϊκής Ένωσης Φοιτητών Νομικής (ELSA Greece). Στο OffLine Post θα ασχοληθεί με τη σύνταξη νομικών άρθρων, διάφορων τομέων του δικαίου.
