Του Δημήτρη Διδασκάλου,
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς δημοσίου συμφέροντος αποτελεί μια από τις πιο κρίσιμες διαστάσεις του δικαίου προστασίας προσωπικών δεδομένων, αφού δημιουργεί σύγκρουση ανάμεσα στο δικαίωμα στην προστασία των προσωπικών δεδομένων αφενός (άρθρο 8 Χάρτης Θεμελιωδών Δικαιωμάτων της ΕΕ, άρθρο 9Α Σύνταγμα), και αφετέρου στην επιταγή της Δημόσιας Διοίκησης να επιτελεί το έργο της προς όφελος του κοινωνικού συνόλου. Η εν λόγω επεξεργασία διέπεται από συγκεκριμένους κανόνες και περιορισμούς, οι οποίοι απορρέουν κυρίως από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ), καθώς και από τον ν. 4624/2019, ο οποίος ενσωματώνει τον εν λόγω Κανονισμό στο εθνικό δίκαιο και προβλέπει ειδικές ρυθμίσεις για τον δημόσιο τομέα.
Κατά το άρθρο 6 παρ. 1 (ε)’ του ΓΚΠΔ, η επεξεργασία προσωπικών δεδομένων είναι νόμιμη εφόσον είναι αναγκαία για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η έννοια του «δημοσίου συμφέροντος» δεν ορίζεται ρητά στον ΓΚΠΔ, γεγονός που αφήνει ένα περιθώριο διακριτικής ευχέρειας στα κράτη μέλη για να προσδιορίσουν τις περιπτώσεις όπου συντρέχει τέτοιος λόγος. Ωστόσο, η διακριτική αυτή ευχέρεια υπόκειται στους περιορισμούς του άρθρου 6 παρ. 3 ΓΚΠΔ, σύμφωνα με το οποίο η νομική βάση για την εν λόγω επεξεργασία πρέπει να προβλέπεται στο ενωσιακό ή εθνικό δίκαιο. Το δίκαιο αυτό οφείλει να καθορίζει το σκοπό της επεξεργασίας, καθώς και να πληροί τις απαιτήσεις του άρθρου 5 ΓΚΠΔ (αρχές επεξεργασίας, όπως η αναγκαιότητα, η ελαχιστοποίηση, η διαφάνεια, η ακρίβεια και ο περιορισμός σκοπού).
Ο Έλληνας νομοθέτης, στο πλαίσιο της εφαρμογής του ΓΚΠΔ, με τον ν. 4624/2019, καθόρισε συγκεκριμένες παραμέτρους για την επεξεργασία δεδομένων από δημόσιους φορείς. Συγκεκριμένα: α) το άρθρο 5 του νόμου ορίζει ότι η επεξεργασία από δημόσιους φορείς είναι επιτρεπτή μόνον εφόσον είναι απολύτως αναγκαία για την άσκηση των αρμοδιοτήτων τους ή για την εκπλήρωση καθηκόντων που εξυπηρετούν σκοπό δημοσίου συμφέροντος, β) η έννοια του «απολύτως αναγκαίου» λειτουργεί ως στενός περιοριστικός όρος, υπερβαίνοντας την απλή «αναγκαιότητα» του άρθρου 6 του ΓΚΠΔ, με στόχο την αυστηρότερη προστασία των υποκειμένων των δεδομένων, γ) ο δημόσιος φορέας φέρει το βάρος απόδειξης ότι η επεξεργασία είναι δικαιολογημένη από σαφώς οριοθετημένο σκοπό δημοσίου συμφέροντος. Επομένως, η απλή επίκληση «γενικού δημοσίου συμφέροντος» ή διοικητικής ευχέρειας δεν επαρκεί· απαιτείται σαφής και εξειδικευμένη νομική πρόβλεψη και αιτιολόγηση.
Τι σημαίνουν όμως όλα αυτά σε πρακτικό επίπεδο; Ενδεικτικά, η επεξεργασία προσωπικών δεδομένων για σκοπούς δημοσίου συμφέροντος γίνεται για φορολογικούς, ασφαλιστικούς ή δημοσιονομικούς σκοπούς (π.χ. υποβολή φορολογικών δηλώσεων μέσω TAXISnet), για σκοπούς δημόσιας υγείας, για σκοπούς στατιστικής ή επιστημονικής έρευνας και για την πρόληψη ή αποκάλυψη αξιόποινων πράξεων ή για την απονομή δικαιοσύνης.
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα, ακόμη και με επίκληση δημοσίου συμφέροντος, δεν είναι απεριόριστη. Πότε όμως η εν λόγω επεξεργασία δεδομένων δεν είναι επιτρεπτή; Όπως φαίνεται και από την σχετική νομοθεσία, απαγορεύεται στις εξής περιπτώσεις: α) εφόσον δεν προβλέπεται ρητώς από νομοθετική διάταξη ή η προβλεπόμενη βάση δεν είναι σαφής, προβλέψιμη και ανάλογη με τον σκοπό δημοσίου συμφέροντος, β) εφόσον η επεξεργασία είναι δυσανάλογη ως προς τον επιδιωκόμενο σκοπό (αρχή της αναλογικότητας – π.χ. καθολική παρακολούθηση πολιτών χωρίς εξατομικευμένη υποψία), γ) όταν πρόκειται για επεξεργασία ευαίσθητων δεδομένων (άρθρο 9 ΓΚΠΔ) χωρίς ειδική πρόβλεψη και επαρκείς εγγυήσεις (π.χ. για λόγους υγείας ή κοινωνικής πρόνοιας) και δ) όταν θίγονται υπέρμετρα τα δικαιώματα ή ελευθερίες του υποκειμένου, χωρίς ουσιαστικό δημόσιο όφελος.
Σχετική είναι η νομολογία του ΔΕΕ στην υπόθεση Schrems II (C-311/18). Αυτό που συνέβη είναι ότι ο Αυστριακός ακτιβιστής Max Schrems πρόσβαλε ενώπιον του ΔΕΕ τη νομιμότητα του Privacy Shield (νομικό πλαίσιο που ρύθμιζε τη διαβίβαση προσωπικών δεδομένων από την Ευρωπαϊκή Ένωση προς τις Ηνωμένες Πολιτείες), υποστηρίζοντας ότι οι νόμοι των ΗΠΑ δεν παρέχουν επαρκές επίπεδο προστασίας για τα δεδομένα των Ευρωπαίων πολιτών. Τον Ιούλιο του 2020 το ΔΕΕ έκρινε τελικά πως το Privacy Shield δεν παρέχει επαρκείς εγγυήσεις, ιδίως λόγω της ευρείας πρόσβασης των αμερικανικών υπηρεσιών πληροφοριών στα προσωπικά δεδομένα, καθώς και ότι δεν υπάρχει αποτελεσματικό ένδικο μέσο για τους Ευρωπαίους πολίτες στις ΗΠΑ, άρα παραβιάζεται το άρθρο 47 του Χάρτη Θεμελιωδών Δικαιωμάτων. Έτσι, τόνισε ότι η μαζική συλλογή δεδομένων χωρίς ουσιαστικές εγγυήσεις παραβιάζει τα άρθρα 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ. Η απόφαση Schrems II έχει τεράστιο αντίκτυπο στις διεθνείς διαβιβάσεις δεδομένων και ενίσχυσε την ανάγκη για ενισχυμένες εγγυήσεις και εποπτεία.
Συμπερασματικά, η επεξεργασία προσωπικών δεδομένων για σκοπούς δημοσίου συμφέροντος αποτελεί επιτρεπτή αλλά νομοθετικά οριοθετημένη παρέκκλιση από την κατ’ αρχήν απαγόρευση. Για να είναι νόμιμη η επεξεργασία, αυτή πρέπει να είναι απολύτως αναγκαία και αναλογική, να προβλέπεται ρητά από διάταξη ενωσιακού ή εθνικού δικαίου, να σέβεται την αρχή της διαφάνειας και να περιλαμβάνει εγγυήσεις και λογοδοσία με δυνατότητα προσφυγής του υποκειμένου στα δικαστήρια, σε περίπτωση που αυτό νιώσει πως αδικείται. Άλλωστε, το δημόσιο συμφέρον δεν μπορεί να λειτουργεί ως γενική ρήτρα νομιμοποίησης· απαιτεί συγκεκριμενοποίηση, περιορισμούς και έλεγχο.
ΕΝΔΕΙΚΤΙΚΕΣ ΠΗΓΕΣ
- Κανονισμός 2016/679, διαθέσιμος εδώ
