ΑΠΔΠΧ: Γνωμοδότηση επί του ΣΧ/Ν για το απόρρητο των επικοινωνιών και τα προσωπικά δεδομένα

November 28, 2022: Δελτία Τύπου - Ανακοινώσεις Νομικών Φορέων

eΘέμις / Ανακοινώσεις – Δελτία Τύπου / ΑΠΔΠΧ: Γνωμοδότηση επί του ΣΧ/Ν για το απόρρητο των επικοινωνιών και τα προσωπικά δεδομένα

ΑΠΔΠΧ: Γνωμοδότηση επί του ΣΧ/Ν για το απόρρητο των επικοινωνιών και τα προσωπικά δεδομένα

November 28, 2022 | 23 minutes to read

Η Αρχή, κατόπιν αιτήματος του Υπουργείου Δικαιοσύνης, εξέτασε το κεφάλαιο ΣΤ’ του Σχεδίου Νόμου «Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών». Παράλληλα, ενεργώντας αυτεπάγγελτα, εξέτασε τις λοιπές προτεινόμενες ρυθμίσεις, στον βαθμό που αυτές επηρεάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα. Η Αρχή προσδιόρισε συγκεκριμένα σημεία του σχεδίου νόμου τα οποία χρήζουν βελτίωσης ή/και αποσαφήνισης στα οποία προβαίνει σε ειδικές παρατηρήσεις.

Παρέστησαν ο Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη της Αρχής Σπυρίδων Βλαχόπουλος ως εισηγητής, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου και το αναπληρωματικό μέλος Μαρία Ψάλλα σε αντικατάσταση του τακτικού μέλους Γρηγόρη Τσόλια, ο οποίος αν και εκλήθη νομίμως εγγράφως δεν παρέστη λόγω κωλύματος. Παρόντες χωρίς δικαίωμα ψήφου ήταν ο Γ. Ρουσόπουλος, ειδικός επιστήμονας, ως βοηθός εισηγητή, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας, ενώ η έτερη βοηθός εισηγητή Ελένη Μαραγκού, ειδικός επιστήμονας, απουσίασε λόγω κωλύματος.

Η Αρχή έλαβε υπόψη τα παρακάτω:

Το Υπουργείο Δικαιοσύνης με το από 14.11.2022 ηλεκτρονικό μήνυμα (αρ. πρωτ. Αρχής 11793/15.11.2022) απέστειλε σχέδιο ρυθμίσεων για την τροποποίηση διατάξεων του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων 2 έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016» (ΦΕΚ Α΄ 137) σε σχέση με την ενσωμάτωση της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης – πλαίσιο 2008/977ΔΕΥ του Συμβουλίου (εφεξής «η Οδηγία») κατόπιν των επισημάνσεων της Ευρωπαϊκής Επιτροπής με την από 6.4.2022 επιστολή της προς την Ελληνική Δημοκρατία [INFR (2022)2021C(2022)1666 final (εφεξής «προειδοποιητική επιστολή»), αιτούμενο την έκδοση γνωμοδότησης.

Ειδικότερα, η Ευρωπαϊκή Επιτροπή με την ανωτέρω προειδοποιητική επιστολή, η οποία εκδόθηκε κατόπιν εξέτασης καταγγελίας για την ύπαρξη πιθανών προβλημάτων όσον αφορά τη συμμόρφωση των διατάξεων του ν. 4624/2019 με την οδηγία, έκρινε ότι η Ελλάδα παρέβη τις υποχρεώσεις που υπέχει δυνάμει του άρθρου 2 παράγραφος 1, των παραγράφων 5, 8 και 11 και του άρθρου 32 παράγραφος 4 της οδηγίας, καθώς και δυνάμει του άρθρου 2 του ΓΚΠΔ. Με την ίδια επιστολή η Ευρωπαϊκή Επιτροπή επιφυλάχθηκε να εκδώσει αιτιολογημένη γνώμη για την παραπομπή στο Δικαστήριο της Ευρωπαϊκής Ένωσης.

Στις 15.11.2022 τέθηκε σε δημόσια διαβούλευση το σχέδιο νόμου «Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών», στο κεφάλαιο ΣΤ’ του οποίου περιλαμβάνονται οι διατάξεις οι οποίες τέθηκαν υπόψη της Αρχής προς έκδοση Γνωμοδότησης. Από την Ανάλυση Συνεπειών Ρύθμισης του κεφαλαίου ΣΤ’ προκύπτει ότι «με τις αξιολογούμενες ρυθμίσεις επιδιώκεται η πλήρης και ορθή ενσωμάτωση στην ελληνική έννομη τάξης της Οδηγίας (ΕΕ) 2016/680…Προς τούτο, καθίσταται αναγκαία μια σειρά τροποποιήσεων στον ν. 4624/2019 (Α’ 137) που ενσωμάτωσε την εν λόγω Οδηγία. Η Ευρωπαϊκή Επιτροπή με την από 6.4.2022 επιστολή της προς την Ελληνική Δημοκρατία […] επεσήμανε κάποιες αναγκαίες τροποποιήσεις που πρέπει να διενεργηθούν στο νόμο που ενσωμάτωσε την Οδηγία 2016/680, προκειμένου να 3 ενσωματωθεί πλήρως το κανονιστικό περιεχόμενο αυτής στην ελληνική έννομη τάξη…».

Στο δημοσιευθέν σχέδιο νόμου περιλαμβάνονται επίσης ρυθμίσεις σε σχέση με την άρση του απορρήτου των επικοινωνιών (Κεφάλαιο Β’), το λογισμικό παρακολούθησης (Κεφάλαιο Γ’), την Εθνική Υπηρεσία Πληροφοριών (Ε.Υ.Π – Κεφάλαιο Δ’) και την κυβερνοασφάλεια (Κεφάλαιο Ε’).

Η Αρχή με την υπ’ αρ. 1/2020 Γνωμοδότησή της επί των διατάξεων του ν. 4624/2019 είχε δεχθεί αναφορικά με την οδηγία ότι σε αρκετές περιπτώσεις δεν είχε ενσωματωθεί καθόλου σειρά διατάξεων της, ότι σε άλλες περιπτώσεις είχε μεταφερθεί αυτούσιο το κείμενο της οδηγίας χωρίς προσαρμογή στην εθνική νομοθεσία καθώς και ότι σε κάποιες περιπτώσεις η ενσωμάτωση υπήρξε εσφαλμένη, επισημαίνοντας επιμέρους συγκεκριμένες ελλείψεις ή πλημμέλειες. Για λόγους οικονομίας η Αρχή παραπέμπει στο αναλυτικό περιεχόμενο της ανωτέρω Γνωμοδότησής της. Η Αρχή, μετά από εξέταση των ρυθμίσεων του Κεφαλαίου Στ’ του υποβληθέντος ΣχΝ σε σχέση με τις διατάξεις της Οδηγίας (ΕΕ) 2016/680, αφού έλαβε υπόψη της την από 25.7.2022 COM(2022) 364 final Πρώτη Έκθεση της Ευρωπαϊκής Επιτροπής για την εφαρμογή και λειτουργία της Οδηγίας (ΕΕ) 2016/6801 και μετά από εξέταση των ρυθμίσεων των λοιπών Κεφαλαίων, στο βαθμό που αυτές επηρεάζουν ζητήματα που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και αφού άκουσε τον εισηγητή, τις διευκρινίσεις του βοηθού εισηγητή συμπεριλαμβανομένων των γραπτών παρατηρήσεων της ειδικής επιστήμονα της Αρχής, Ε. Μαραγκού, κατόπιν διεξοδικής συζήτησης, ΕΚΔΙΔΕΙ ΤΗΝ ΑΚΟΛΟΥΘΗ ΓΝΩΜΟΔΟΤΗΣΗ

Α. Εισαγωγικές παρατηρήσεις.

4 1. Σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (εφεξής, ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α΄ 137), η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.

2. Σύμφωνα με το άρθρο 57 παρ. 1 στοιχ. γ’ ΓΚΠΔ και το άρθρο 13 παρ. 1 του ν. 4624/2019, η Αρχή παρέχει γνώμη για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή κανονιστική πράξη, η οποία αφορά επεξεργασία δεδομένων προσωπικού χαρακτήρα.

3. Σύμφωνα με το άρθρο 67 παρ. 2 του ν. 4624/2019, κατά την εκπόνηση σχεδίων νόμου ή κανονιστικών πράξεων, τα οποία αφορούν επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς του άρθρου 43 ή συνδέονται με αυτή ζητείται εγκαίρως η γνώμη της Αρχής.

4. Ο σεβασμός στην ιδιωτική ζωή των προσώπων και η προστασία των προσωπικών δεδομένων κατοχυρώνονται τόσο στο άρθρο 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), όσο και στην Σύμβαση 108/1981 του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα καθώς και στα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, ενώ με το άρθρο 52 προσδιορίζεται η εμβέλεια και η ερμηνεία των δικαιωμάτων και αρχών του Χάρτη. Περαιτέρω, η Σύσταση αριθ. R (87)15 της 17ης Σεπτεμβρίου 1987 της Επιτροπής των Υπουργών του Συμβουλίου της Ευρώπης προς τα κράτη μέλη για τη ρύθμιση της χρήσης των προσωπικών δεδομένων στον αστυνομικό τομέα, αποτελεί νομικό κείμενο, που εξειδικεύει τις αρχές και κανόνες προστασίας του ατόμου στο πεδίο της επεξεργασίας προσωπικών δεδομένων στον τομέα της αστυνομικής δράσης και ποινικής δικαιοσύνης.

5. Σύμφωνα με το άρθρο 9Α του Συντάγματος «Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και 5 λειτουργεί, όπως νόμος ορίζει»

6. Σύμφωνα με το άρθρο 10 παρ. 5 του ν. 4624/2019, «η Αρχή δεν είναι αρμόδια να ελέγχει (… ) πράξεις επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα που διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια». Ωστόσο, σύμφωνα με την παράγραφο 4 του ίδιου άρθρου 10, «στις περιπτώσεις που σε διεθνείς ή διακρατικές συμβάσεις ή στο δίκαιο της Ευρωπαϊκής Ένωσης ή στην εθνική νομοθεσία προβλέπεται ανεξάρτητος έλεγχος ή εποπτεία, η Αρχή ασκεί τις αντίστοιχες αρμοδιότητες και εξουσίες». Ως τέτοιες αρμοδιότητες νοούνται, βάσει της αιτιολογικής έκθεσης του ν. 4624/2019, μεταξύ άλλων, οι προβλεπόμενες από τις διατάξεις που ρυθμίζουν το Σύστημα Πληροφοριών Σένγκεν, το Σύστημα Πληροφοριών Ευρωπόλ, το Σύστημα Πληροφοριών Eurodac και η Σύμβαση για τη χρήση της πληροφορικής στον τελωνειακό τομέα. Από τη συστηματική ερμηνεία των διατάξεων των παραγράφων 4 και 5 του άρθρου 10 του ν. 4624/2019 προκύπτει ότι ο νομοθέτης δεν θεσπίζει απόλυτο αποκλεισμό από την αρμοδιότητα της Αρχής των ζητημάτων εθνικής ασφαλείας, καθώς η αρμοδιότητα αυτή διατηρείται, εφόσον προβλέπεται ρητά από διεθνείς και διακρατικές συμβάσεις. Β. Παρατηρήσεις στα επιμέρους άρθρα του Κεφαλαίου Στ’ του σχεδίου νόμου

7. Η Αρχή χαιρετίζει την προσπάθεια να αντιμετωπιστούν τα ζητήματα που τέθηκαν με την προειδοποιητική επιστολή και θεωρεί ότι το σύνολο των διατάξεων του Κεφαλαίου ΣΤ’ αντιμετωπίζει σε μεγάλο βαθμό ορθά και αποτελεσματικά τα ζητήματα που τέθηκαν. Προς υποβοήθηση του νομοθέτη, η Αρχή προβαίνει στις ακόλουθες παρατηρήσεις στα επιμέρους άρθρα του σχεδίου νόμου.

8. Με το άρθρο 33 του ΣχΝ ορθά αντικαθίσταται το άρθρο 43 του ν. 4624/2019 προκειμένου να αποσαφηνιστεί το αντικείμενο και το πεδίο εφαρμογής των διατάξεων του κεφαλαίου Δ του νόμου αυτού ώστε να είναι απόλυτα σύμφωνο με την Οδηγία. Στις παρ. 3 και 4 του εν λόγω άρθρου ορίζεται ότι «3. Κατά την εφαρμογή του παρόντος Κεφαλαίου οι αρμόδιες αρχές είναι υπεύθυνοι επεξεργασίας. 4. Όπου στο παρόν Κεφάλαιο περιλαμβάνονται διατάξεις για τους 6 εκτελούντες την επεξεργασία, οι διατάξεις του εφαρμόζονται και σε αυτούς.» Η Αρχή επισημαίνει ότι οι έννοιες του υπεύθυνου της επεξεργασίας και του εκτελούντα την επεξεργασία ήδη ορίζονται στο άρθρο 44 παρ. 1 του ν. 4624/2019, συνεπώς οι προτεινόμενες διατάξεις δεν είναι απαραίτητες και ενδέχεται να προκαλέσουν ερμηνευτικά ζητήματα.

9. Με το άρθρο 34 του σχεδίου νόμου ορθά επέρχονται τροποποιήσεις σε σειρά ορισμών που περιλαμβάνονται στα άρθρα 44, 53, 58 και 71 ν. 4624/2019 προκειμένου να διασαφηνιστεί ότι στην έννοια των αρμόδιων αρχών είναι δυνατόν να υπαχθούν και ιδιωτικοί φορείς καθώς και ότι αρμόδια εποπτική αρχή είναι η «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα». Ωστόσο, θα ήταν ορθότερο νομοτεχνικά παρέχοντας παράλληλα μεγαλύτερη ασφάλεια δικαίου να αποτυπωθεί ρητά στην διάταξη ότι αρμόδιοι φορείς δύνανται να νοούνται και ιδιωτικοί φορείς σύμφωνα με τα οριζόμενα, όπως άλλωστε προκύπτει από την αιτιολογική έκθεση. Επομένως, προκειμένου να καταστεί σαφέστερη η έννοια της διάταξης, σκόπιμο είναι να διατυπωθεί ως εξής: «κάθε άλλος δημόσιος ή ιδιωτικός οργανισμός ή φορέας στον οποίο ανατίθεται ρόλος δημόσιας αρχής και η εκτέλεση δημοσίων εξουσιών … περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους».

10. Με το άρθρο 36 του σχεδίου νόμου ορθά προστίθεται διάταξη με την οποία ενσωματώνεται το άρθρο 8 της οδηγίας, το οποίο παρέχει τη μοναδική νομική βάση επεξεργασίας των προσωπικών δεδομένων από τις αρμόδιες αρχές καθώς και το ελάχιστο περιεχόμενο θεσπισθησομένων ειδικών ρυθμίσεων, όπως είχε επισημάνει η Αρχή με την υπ’ αριθμ. 1/2020 Γνωμοδότησή της και επανέλαβε σχετικά και η Ευρωπαϊκή Επιτροπή. Θα πρέπει επίσης να εξεταστεί αν πρέπει να συμπεριληφθούν και «οι διαδικασίες για τη διατήρηση της ακεραιότητας και εμπιστευτικότητας – μέτρα ασφάλειας», όπως περιγράφεται στην αιτιολογική σκέψη 33 της Οδηγίας και αναφέρεται στην επιστολή της Επιτροπής. Επίσης, νομοτεχνικά, προτείνεται να αναδιατυπωθεί η παρ. 2 ώστε να είναι σαφές ότι αναφέρεται σε ειδικές ρυθμίσεις της παρ. 1. Τέλος, προτείνεται, στο τέλος του τελευταίου εδαφίου, να συνδεθεί η αναφορά στην «αρχή ή τις αρχές που είναι αρμόδιες για την επεξεργασία των δεδομένων» με τα δημόσια καθήκοντα τα 7 οποία επιτελούν και δικαιολογούν αυτή την επεξεργασία.

11. Με το άρθρο 38 του σχεδίου νόμου, ορθά καταργείται το δεύτερο εδάφιο του άρθρου 47 ν. 4624/2019 καθώς αντιβαίνει στις διατάξεις του άρθρου 4 παρ. 2 της οδηγίας, όπως διαπίστωσε η Αρχή με την υπ’ αριθμ. 1/2020 Γνωμοδότησή της. Θα ήταν σκόπιμο να διευκρινισθεί ότι για διαβίβαση δεδομένων για άλλο σκοπό εφαρμόζεται ο ΓΚΠΔ.

12. Με το άρθρο 39 του σχεδίου νόμου, ορθά προσδιορίζονται και εναρμονίζονται σύμφωνα προς τη διατύπωση και τις εγγυήσεις του άρθρου 4 παρ. 11 και του άρθρου 7 ΓΚΠΔ, οι προϋποθέσεις υπό τις οποίες είναι δυνατή η επεξεργασία των προσωπικών δεδομένων μετά από αίτημα που υποβάλλει το ίδιο το υποκείμενο των δεδομένων. Προκειμένου δε, να αποσαφηνιστεί περαιτέρω ότι η εν λόγω ενέργεια (αναφερόμενη ως συγκατάθεση) δεν δύναται να αποτελεί αυτόνομη νομική βάση για την επεξεργασία προσωπικών δεδομένων από τις αρμόδιες αρχές παρά μόνο περαιτέρω διασφάλιση, ιδίως στις περιπτώσεις που ο νόμος προβλέπει επεξεργασία ιδιαιτέρως παρεμβατικού χαρακτήρα για το υποκείμενο των δεδομένων, δέον είναι να τροποποιηθεί η διάταξη ως εξής: «Όταν η επεξεργασία που βασίζεται στο άρθρο 45Α προβλέπει, σύμφωνα με ρητή διάταξη νόμου, τη συγκατάθεση του υποκειμένου των δεδομένων ή όταν η προβλεπόμενη στο άρθρο 45Α επεξεργασία αυτή αφορά μέτρα που έχει ζητήσει το ίδιο το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας..» ….που συνεπάγονται τέτοια επεξεργασία». Επίσης, προτείνεται να τροποποιηθεί κατάλληλα το τελευταίο εδάφιο της αιτιολογικής έκθεσης «….ορίζεται με την προτεινόμενη διάταξη υπό ποιες προϋποθέσεις μπορεί να λάβει χώρα στο πλαίσιο του Κεφαλαίου Δ΄ του ν. 4624/2019 επεξεργασία προσωπικών δεδομένων επί τη βάσει της συγκατάθεσης.»

13. Σύμφωνα με το άρθρο 40 του σχεδίου νόμου, ορθά συμπληρώνονται οι διατάξεις του άρθρου 52 του ν. 4624/2019 για την αυτοματοποιημένη ατομική λήψη αποφάσεων, καθώς, όπως είχε επισημάνει η Αρχή με την υπ’ αριθμ. 1/2020 Γνωμοδότησή της, αλλά επιπλέον έκρινε η Ευρωπαϊκή Επιτροπή, αφενός ενσωματώθηκε πλημμελώς το άρθρο 11 παρ. 1 της οδηγίας, αφετέρου, στην παράγραφο 2 του ίδιου άρθρου 52 επαναλαμβάνεται η διατύπωση του άρθρου 11 παρ. 2 της οδηγίας περί «κατάλληλων μέτρων για την προστασία των 8 δικαιωμάτων, των ελευθεριών και των εννόμων συμφερόντων του υποκειμένου των δεδομένων», χωρίς όμως ο εθνικός νομοθέτης να τα έχει προσδιορίσει ή να ορίσει τουλάχιστον τα σχετικά κριτήρια (βλ. αιτ. σκ. 33 οδηγίας). Επισημαίνεται ότι η διατύπωση «…η οποία ορίζει τις κατάλληλες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, όπως ρυθμίσεις που κατοχυρώνουν…» αφήνει περιθώριο να μην είναι οι εν λόγω ρυθμίσεις υποχρεωτικές και θα πρέπει να τροποποιηθεί ώστε να εξασφαλίζεται τουλάχιστον το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης εκ μέρους του υπευθύνου επεξεργασίας. Περαιτέρω, στην παρ. 2 του εν λόγω άρθρου προτείνεται να προβλεφθεί ως πρόσθετη διασφάλιση στις περιπτώσεις αυτές η υποχρέωση διενέργειας εκτίμησης αντικτύπου (βλ. σχετική γνώμη2 της Ο.Ε. του άρθρου 29 – σελ. 17).

14. Σύμφωνα με το άρθρο 41 του σχεδίου νόμου, ορθά συμπληρώνονται οι διατάξεις του άρθρου 73 του ν. 4624/2019, με το οποίο ενσωματώθηκε πλημμελώς το άρθρο 5 της οδηγίας σχετικά με την λήψη εθνικών νομοθετικών μέτρων πρόβλεψης κατάλληλων προθεσμιών για την διατήρηση, διαγραφή ή την περιοδική επανεξέταση της αναγκαιότητας της αποθήκευσης των προσωπικών δεδομένων, δοθέντος ότι όπως έκρινε και η Ευρωπαϊκή Επιτροπή σύμφωνα προς την υπ’ αριθμ. 1/2020 Γνωμοδότηση της Αρχής, δεν περιλαμβάνονται κριτήρια για την περιοδική επανεξέταση της διατήρησης των δεδομένων, ούτε από τον ν. 4624/2019 απαιτείται η πρόβλεψη τέτοιων κριτηρίων στον εθνικό νόμο. Επισημαίνεται ότι σε δύο σημεία γίνεται αναφορά σε «…νόμος ή οι κατ’ εξουσιοδότηση αυτού εκδιδόμενες κανονιστικές πράξεις…». Προκείμενου να μην τίθεται θέμα κατά πόσο συγκεκριμένες κανονιστικές πράξεις πληρούν τα κριτήρια για να αποτελούν νόμο, λαμβάνοντας υπόψη τη νομολογία του ΕΔΔΑ, προτείνεται να απαλειφθεί ο παραπάνω διαχωρισμός καθώς αρκεί η αναφορά σε «νόμο».

15. Σύμφωνα με το άρθρο 42 του σχεδίου νόμου, ορθά τροποποιείται το άρθρο 84 ν. 4624/2019 αναφορικά με τις διατηρούμενες διατάξεις του ν. 2472/1997, αφενός εξαιτίας της δημιουργίας ερμηνευτικής ασάφειας από την νομοτεχνική 2 https://ec.europa.eu/newsroom/article29/items/610178 - Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) - wp258 9 επιλογή της διατύπωσης της διάταξης, η οποία οδήγησε στην εσφαλμένη θέση της εισαγγελίας του Αρείου Πάγου σύμφωνα με την οποία οι διατάξεις του κεφαλαίου Δ’ του ν. 4624/2019 δεν εφαρμόζονται από τις εισαγγελικές και αστυνομικές αρχές (βλ. Γνωμοδότηση ΕισΑΠ υπ’ αρ. 1/26.01.2021). Αφετέρου διότι η διατήρηση σε ισχύ της διάταξης του τρίτου έως και του τελευταίου εδαφίου της περίπτωσης β’ της παραγράφου 2 του άρθρου 3 ν. 2472/1997 για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης ερχόταν σε πλήρη αντίθεση με την οδηγία καθώς με τον τρόπο αυτό είχε διατηρηθεί η εξαίρεση των εν λόγω επεξεργασιών από το πεδίο εφαρμογής της οδηγίας, απηχώντας καταργημένο δίκαιο.

16. Με το άρθρο 43 του σχεδίου νόμου, προστίθεται άρθρο 84Α στον ν. 4624/2019, όπου προβλέπεται η δυνατότητα δημοσιοποίησης προσωπικών δεδομένων του κατηγορουμένου από την αρμόδια εισαγγελική αρχή, σε συνάρτηση με την κατάργηση από το άρθρο 42 του σχεδίου νόμου της υφιστάμενης σχετικής πρόβλεψης. Η τελευταία, ως διατηρηθείσα διάταξη του ν. 2472/1997 περιλαμβανόταν μεταξύ των ορισμών που αναγράφονται στο άρθρο 2 του νόμου αυτού και απηχούσε παρωχημένο δίκαιο μετά την κατάργηση της οδηγίας 95/46/ΕΚ και την υπαγωγή της πλέον στο πεδίο εφαρμογής της οδηγίας (ΕΕ) 680/16. Η προτεινόμενη διάταξη προβλέπει προσφυγή εντός συγκεκριμένου χρονικού διαστήματος σε Προϊστάμενο Εισαγγελίας Πρωτοδικών ή Εισαγγελίας Εφετών. Δεν είναι όμως σαφές από τη διάταξη αυτή αν η συγκεκριμένη προσφυγή αποτελεί ένδικο βοήθημα στο πλαίσιο ποινικής έρευνας και διαδικασίας ή αν αποτελεί άσκηση δικαιώματος εναντίωσης ή περιορισμού της επεξεργασίας προς υπεύθυνο επεξεργασίας, βάσει της οδηγίας 2016/680. Περαιτέρω, ενώ κατά την παρ. 5 ανωτέρω Εισαγγελικοί λειτουργοί υποδέχονται τα αιτήματα αυτά, στην αιτιολογική έκθεση αναφέρεται ότι ενεργούν ως εποπτική αρχή, «δοθέντος ότι σύμφωνα με το άρθρο 10 παρ. 5 ν. 4624/2019 η Αρχή δεν είναι αρμόδια να ελέγχει πράξεις επεξεργασίας προσωπικών δεδομένων που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων.» Καθώς είναι σαφές ότι η ανωτέρω δραστηριότητα εμπίπτει εντός του πεδίου εφαρμογής της οδηγίας 2016/680, αν η επεξεργασία πραγματοποιείται στο 10 πλαίσιο της δικαστικής λειτουργίας, είναι απαραίτητο να διευκρινισθεί ο χαρακτήρας αυτής, όπως και να προσδιορισθεί ο υπεύθυνος της επεξεργασίας και η εποπτική αρχή, προκειμένου μεταξύ άλλων να καθίσταται σαφές στο υποκείμενο των δεδομένων η διαδικασία άσκησης των δικαιωμάτων, η δυνατότητα και ο τρόπος προσφυγής σε περίπτωση μη ικανοποίησής τους. Γ. Παρατηρήσεις σε άρθρα των λοιπών Κεφαλαίων του σχεδίου νόμου

17. Στο άρθρο 3 παρ. του σχεδίου νόμου, εισάγεται ορισμός των λόγων εθνικής ασφάλειας, ο οποίος είναι ιδιαίτερα ευρύς. Κατά τη γνώμη της Αρχής, ο ορισμός αυτός δεν έχει εφαρμογή στη νομοθεσία για την προστασία των προσωπικών δεδομένων και δεν πρέπει να επηρεάζει την έννοια της «εθνικής ασφάλειας» κατά το άρθρο 10 παρ. 5 του ν. 4624/2019, η οποία πρέπει να θεωρείται αυτάρκης και να εφαρμόζεται αυτοδύναμα. Με την αντίθετη εκδοχή γεννώνται σοβαρές αμφιβολίες αν η ρύθμιση θα ήταν σύμφωνη με τον ΓΚΠΔ και την Οδηγία. Μάλιστα, ήδη η επιβληθείσα με το άρθρο 10 παρ. 5 του ν. 4624/2019 εξαίρεση από την αρμοδιότητα της «πράξ[εων] επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα που διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια» καταλαμβάνει κυρίως τα θέματα της Οδηγίας μέσω της εφαρμογής της ιδίως, στο κεκτημένο Σένγκεν, το οποίο και εξελίσσει μέσω της θέσπισής της (βλ. σχετική αναφορά στη σελ . 7 της Communication from the COM to the European Parliament and the Council - First Report on the application and functioning of the Data Protection Law Enforcement Directive - COM (2022) 364 final) και για το οποίο η Αρχή αποτελεί την εποπτική αρχή της χώρας μας και, όπως αναφέρεται ανωτέρω, ο νομοθέτης δεν θεσπίζει απόλυτο αποκλεισμό των ζητημάτων εθνικής ασφαλείας από την αρμοδιότητα της Αρχής, η οποία διατηρείται, εφόσον προβλέπεται ρητά από το παράγωγο ενωσιακό δίκαιο ή και διεθνείς και διακρατικές συμβάσεις.

18. Οι διατάξεις που ρυθμίζουν τις αρμοδιότητες της Ε.Υ.Π. και τις διαδικασίες άρσης του απορρήτου, αποτελούν διατάξεις με τις οποίες ρυθμίζεται επεξεργασία προσωπικών δεδομένων, όπως αυτών που προκύπτουν ως αποτέλεσμα της παρακολούθησης για διαφόρους σκοπούς. Με δεδομένο ότι μέσω του 11 τελευταίου εδαφίου του άρθρου 10 παρ. 5, εμμέσως πλην σαφώς, έχει περιοριστεί δραστικά, αν δεν έχει εξαιρεθεί κατ’ ουσίαν ο έλεγχος αυτών των δραστηριοτήτων της Ε.Υ.Π. από την Αρχή και λαμβάνοντας υπόψη την ουσιαστική απουσία διατάξεων – αναφορών στην προστασία δεδομένων στις προτεινόμενες διατάξεις, τίθεται θέμα νομιμότητας – συνταγματικότητας ενόψει της διάταξης του άρθρου 9Α του Συντάγματος και της Σύμβασης 108 καθώς, δεν υφίσταται επί της ουσίας προστασία προσωπικών δεδομένων, όταν τελείται οποιαδήποτε δραστηριότητα - επεξεργασία από την Ε.Υ.Π. Τούτο δε καθίσταται ιδιαιτέρως εμφανές ενόψει των προτεινόμενων διατάξεων των άρθρων 4 και 5 με τις οποίες προβλέπεται η διαδικασία και οι προϋποθέσεις γνωστοποίησης του μέτρου της άρσης του απορρήτου και η διαχείριση του υλικού (αρχείο επεξεργασίας). Με τις διατάξεις αυτές περιορίζεται το δικαίωμα των υποκειμένων στην ενημέρωση, το οποίο είναι μεν νομικά επιτρεπτό, εφόσον τηρούνται οι προβλεπόμενες προϋποθέσεις, αλλά παραλείπεται κάθε αναφορά και πρόβλεψη για την άσκηση των υπόλοιπων δικαιωμάτων του υποκειμένου (πρόσβασης, εναντίωσης περιορισμού), τα οποία μάλιστα ακυρώνονται επί της ουσίας στο πλαίσιο των χρονικών προθεσμιών, που τίθενται στην παρ. 7 του άρθρ. 4 συνδυαζόμενη με την παρ. 1 του άρθρ. 5. Το Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του Ανθρώπου (εφεξής ΕΔΔΑ) έχει δεχθεί ως νόμιμους τους περιορισμούς των ατομικών δικαιωμάτων, εφόσον δεν περιορίζουν τον πυρήνα αυτών. Δεδομένου ακόμη, ότι με τις σχετικές διατάξεις του σχεδίου νόμου δεν προβλέπονται ειδικότερες ρυθμίσεις για την άσκηση των δικαιωμάτων, ενώ καθίστανται ανενεργές οι σχετικές ρυθμίσεις των άρθρων 54, 55 και 56 του ν. 4624/2019 για την άσκηση δικαιωμάτων, λαμβάνοντας υπόψη και ότι η Αρχή δεν δύναται σύμφωνα με το άρθρ. 10 παρ. 5 συνδυαζόμενο με το δεύτερο εδάφιο της παρ. 7 του άρθ. 56 του ιδίου νόμου να ασκήσει τα δικαιώματα του υποκειμένου αντ’ αυτού και να επαληθεύσει τη νομιμότητα αλλά και να λειτουργήσει ως μέσο - με εχέγγυα ανεξαρτησίας - άσκησης προσφυγής (ενόψει και της απουσίας στο σχέδιο νόμου ενός μέσου ελέγχου και μέσου προσφυγής αναφορικά με την διενεργούμενη επεξεργασία από τα αρμόδια όργανα – υπεύθυνο επεξεργασίας) για το υποκείμενο των δεδομένων, δημιουργούνται έντονες αμφιβολίες, όπως αναφέρθηκε, για τη νομιμότητα των διατάξεων και 12 τήρηση των απαιτήσεων που τίθενται από την νομολογία του ΕΔΔΑ κατά την αυθεντική ερμηνεία της ΕΣΔΑ για τον νόμιμο περιορισμό των δικαιωμάτων. Ακόμη κι αν συνειδητά προκρίνεται ο αποκλεισμός της Αρχής ως εποπτικού φορέα (σε αντίθεση με το προϊσχύσαν νομικό καθεστώς προστασίας προσωπικών δεδομένων του ν. 2472/1997), η νομοθεσία για την προστασία προσωπικών δεδομένων παραμένει σε ισχύ, όπως άλλωστε αναφέρεται στο άρθρ. 5 του ν. 3649/2008 (νόμος Ε.Υ.Π.). Σε αυτή την περίπτωση όμως θα έπρεπε ρητά να προβλεφθεί και οριστεί εποπτική αρχή για την Ε.Υ.Π.

19. Στην άρθρο 13 του ΣχΝ προβλέπεται η έκδοση Προεδρικού Διατάγματος για τη ρύθμιση των προϋποθέσεων υπό τις οποίες είναι επιτρεπτή η σύναψη συμβάσεων εκ μέρους κρατικών δομών για την προμήθεια λογισμικών ή συσκευών παρακολούθησης. Επισημαίνεται ότι με τη χρήση λογισμικού ή συσκευών παρακολούθησης πραγματοποιείται σε κάθε περίπτωση επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς οι με αυτοματοποιημένα μέσα συλλεγόμενες ή παρατηρούμενες πληροφορίες αναφέρονται ευθέως σε φυσικά πρόσωπα. Εν προκειμένω, πρόκειται για ένα ιδιαίτερο σοβαρό περιορισμό του ατομικού δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα. Η εν λόγω διάταξη δεν παρέχει τις αναγκαίες εγγυήσεις ώστε να θεωρηθεί συμβατή με τις απαιτήσεις της νομολογίας του ΕΔΔΑ και του ΣτΕ καθώς από το νόμο απουσιάζουν τα βασικά κριτήρια με βάση τα οποία θα ήταν ανεκτός ο περιορισμός των δικαιωμάτων των φυσικών προσώπων.