Της Ευρυδίκης Φατώλια,
Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, γενικά, απαγορεύει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εκτός αν συντρέχει μια από τις περιοριστικά απαριθμούμενες στον νόμο δικαιολογητικές βάσεις. Πιο συγκεκριμένα, απαιτείται να υπάρχει συναίνεση του υποκειμένου, εκπλήρωση υποχρέωσης από σύμβαση, εξαιρετικά επείγουσα συνθήκη (αφορά, κυρίως, ζητήματα ζωής ή θανάτου, συνδεόμενα με την επεξεργασία δεδομένων που αφορούν την υγεία), υποχρέωση συμμόρφωσης με κανόνες δημόσιας αρχής, δημόσιο συμφέρον ή άλλο έννομο συμφέρον.
Αρχικά, ως προς τη συναίνεση ή συγκατάθεση του υποκείμενου επεξεργασίας, ο κανονισμός θέτει κάποιες προϋποθέσεις, προκείμενου να θεωρηθεί έγκυρη. Ιδιαίτερα, πρέπει το υποκείμενο να την παρέχει ελεύθερα, να είναι ειδική και ξεκάθαρη, αλλά και ενημερωμένη. Τι σημαίνει, όμως, αυτή η ελευθερία;
Έχει απασχολήσει, κατά καιρούς, τόσο τη θεωρία όσο και τη νομολογία, ο όρος “freely given”, όπως τίθεται στο κείμενο του κανονισμού. Γενικά, συναίνεση στο πλαίσιο της προστασίας προσωπικών δεδομένων συνιστά η πραγματική δήλωση βουλήσεως του υποκειμένου, η οποία εξωτερικεύεται ρητά. Με άλλα λόγια, κρίνεται αναγκαίο να υπάρχει, πράγματι, η δυνατότητα επιλογής και να μην επηρεάζεται αυτή από εξωτερικές δυνάμεις ή από τον φόβο πιθανών δυσμενών επιπτώσεων, που μπορεί να έχει η άρνηση χορήγησης συναίνεσης. Είναι σκόπιμο, σε αυτό το σημείο, να τονιστεί η επίδραση που μπορεί να έχει στην ελεύθερη λήψη της απόφασης η ανισορροπία των δυνάμεων των μερών και η θέση ισχύος του ενός.
Πόσο ελεύθερη είναι η απόφαση ενός πολίτη να χορηγήσει άδεια σε μια δημόσια αρχή, για παράδειγμα, όταν αυτή χρησιμοποιεί ως νόμιμη βάση για τη συλλογή, αποθήκευση και επεξεργασία δεδομένων προσωπικού χαρακτήρα τη συναίνεση του υποκειμένου; Ή κατά πόσο δίνεται ελεύθερα η συγκατάθεση στον εργοδότη, να επεξεργαστεί τα δεδομένα του υπαλλήλου; Καθίσταται σαφές πως, αρχικά, οι δημόσιες αρχές θα ήταν πιο συμβατό να χρησιμοποιούν διαφορετική νόμιμη βάση, καθώς διαθέτουν τη δύναμη του εξαναγκασμού, ακόμη και αν δεν τη χρησιμοποιούν, ενώ είναι ξεκάθαρο ότι, και στις υπόλοιπες εξουσιαστικές σχέσεις, ο υπεύθυνος της επεξεργασίας προσωπικών δεδομένων θα πρέπει να είναι σε θέση να εγγυηθεί την απουσία οποιασδήποτε δυσμενούς συνέπειας, ανεξάρτητα με την απόφαση του υποκειμένου.
Χαρακτηριστικά νομολογιακά παραδείγματα, που έχουν απασχολήσει το WP29, είναι η περίπτωση ευαίσθητων προσωπικών δεδομένων, που αφορούν το ιατρικό ιστορικό του υποκειμένου. Όπως έχει τονιστεί, η συναίνεση δεν θα πρέπει, σε καμία περίπτωση, να εξαρτάται από την αίρεση της παροχής ιατροφαρμακευτικής περίθαλψης ή από την ποιότητα της παρεχόμενης υπηρεσίας. Στο παράδειγμα των Ευρωπαίων επιβατών αεροπορικής εταιρείας, που τους ζητήθηκε η συναίνεσή τους για τη μεταφορά αρχείων που αφορούσαν στοιχεία του ονόματός τους σε εταιρεία επεξεργασίας στις Η.Π.Α. λίγο πριν απογειωθούν, δεν μπορεί, σε καμία περίπτωση, να θεωρηθεί ότι υπάρχει ελεύθερη επιλογή.
Ταυτόχρονα, είναι σημαντικό ο υπεύθυνος επεξεργασίας να εγγυάται στον χρήστη πως, με τον ίδιο τρόπο με τον οποίο παρέχεται η συναίνεση, έτσι θα πρέπει να μπορεί και να αποσυρθεί, χωρίς, δηλαδή, επιπλέον επιβάρυνση ή, πολύ περισσότερο, χωρίς την απειλή δυσμενών συνεπειών. Είναι από τα θεμελιώδη δικαιώματα που προσθέτει ο Ευρωπαίος νομοθέτης, προκειμένου να εξασφαλίσει τη χορήγηση έγκυρης συναίνεσης.
Η αναγκαιότητα διαφύλαξης του δικαιώματος αυτού και, ιδιαίτερα, της δυνατότητας άρνησης παροχής συναίνεσης με εξίσου εύκολο τρόπο γίνεται σαφής στο πλαίσιο της περιήγησης στο διαδίκτυο, στην περίπτωση αποδοχής ρυθμίσεων cookies με ένα μόνο κλικ. Ταυτόχρονα, όμως, παρέχεται πρόσβαση σε πολλές κατηγορίες δεδομένων προσωπικού χαρακτήρα, τις περισσότερες φορές, για την επίτευξη διαφημιστικών σκοπών της εκάστοτε εταιρείας ή, γενικά, για λόγους marketing. Συνήθως, όμως, λόγω της χορήγησης συναίνεσης σε αυτό το περιβάλλον σε καθημερινή βάση, ο χρήστης δεν αντιλαμβάνεται τη σοβαρότητα αυτού του κλικ και, συχνά, δεν μπαίνει στον κόπο να διαβάσει τους όρους χρήσης. Όταν, λοιπόν, δε δίνεται η δυνατότητα απόρριψης των cookies με τον ίδιο τρόπο που γίνεται η αποδοχή ή η συναίνεση, βασίζεται σε προεπιλεγμένη ή αυτοματοποιημένη επιλογή (pre-ticked boxes) και δεν μπορεί να γίνεται λόγος για διαδικασία ελεύθερης επιλογής.
Συνεκδοχικά, καθίσταται σαφές πως η συναίνεση ως νόμιμη βάση επεξεργασίας προσωπικών πληροφοριών και, ιδιαίτερα, η προϋπόθεση της ελευθερίας βουλήσεως απαιτεί ιδιαίτερη μεταχείριση, τόσο από τον υπεύθυνο επεξεργασίας όσο και από το υποκείμενο επεξεργασίας, ιδιαιτέρα στο διαδίκτυο.
ΕΝΔΕΙΚΤΙΚΕΣ ΠΗΓΕΣ
- Hert, Paul, “Balancing security and liberty within the European human rights framework. A critical reading of the Court’s case law in the light of surveillance and criminal law enforcement strategies after 9/11” (2005) 1 Utrecht Law Review, p. 68
- Kosta, Eleni. Consent in European Data Protection Law, BRILL, 2013
- Article 29 Data Protection Working Party, ‘Opinion 8/2001 on the processing of personal data in the employment context, WP 48’ (2001), p.3
- Dammann, Ulrich and Simitis, Spiros, EG-Datenschutzrichtlinie (Nomos Verlagsgesellschaft, Baden-Baden 1997), p.116
- Beyleveld, Deryck and Brownsword, Roger, Consent in the law (Hart Publishing, Oxford and Portland, Oregon 2007), p.141
