Σπυριδούλα Καρύδα: Δεδομένα Προσωπικού Χαρακτήρα – Αναγκαία η στροφή προς τον ρεαλισμό

Α.Με αφορμή τη θέση σε διαβούλευση του ΣχΝ του Υπουργείου Οικονομικών[1][βλ.άρθρα 46-63]με το οποίο επιχειρείται, το πρώτον, η θέσπιση τομεακού εθνικού νομοθετικού πλαισίου για την αξιολόγηση της πιστοληπτικής ικανότητας φυσικών και νομικών προσώπων[‘scoring’], διατυπώνω συνοπτικά τις ακόλουθες παρατηρήσεις:

Ι. Νομική Βάση-Άρθρο 22 ΓΚΠΔ

Με τα άρθρα 46-63 του ΣχΝ επιχειρείται να θεσπισθεί τομεακή νομική βάση επεξεργασίας, η οποία υπακούει στην αρχή της «επιτρεπτικότητας» που διαπνέει όλο το δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα (VerbotsprinzipmitErlaubnisvorbehalt). Η νομική βάση της αξιολόγησης της πιστοληπτικής βαθμολόγησης φυσικών προσώπων (scoring)ερειδεται και στη διατύπωση του άρθρου 22 παρ.2 στοιχ β) του Γενικού Κανονισμού για την Προστασία Δεδομένων(ΓΚΠΔ), η οποία δίδει σχετική ρήτρα ανοίγματος στα ΚΜ.[2] Όπως επεσήμανα και στην παρέμβασή μου για την τεχνητή νοημοσύνη,[3] το ζήτημα αυτό, δηλαδή εάν η αυτοματοποιημένη λήψη απόφασης-συμπεριλαμβανομένου τουprofiling- μέσω της χρήσης αλγόριθμου, εμπίπτει στο ρυθμιστικό πεδίο του άρθρου 22ΓΚΠΔ, εκκρεμεί προς επίλυση στο ΔΕΕ (Υπόθεση ΔΕΕ: C-634/21SCHUFAHolding). Το προδικαστικό ερώτημα, αποσταλέν από Δικαστήριο της Γερμανίας,αφορά την ερμηνεία του αντίστοιχου άρθρου 31 του Γερμανικού Ομοσπονδιακού Νόμου για τα Προσωπικά Δεδομένα‘BDSG’.[4]Εκκρεμεί επίσης προς επίλυση και το ζήτημα του εύρους του δικαιώματος ενημέρωσης/ πρόσβασης ή παροχής εξηγήσεων στο υποκείμενο των δεδομένων, προκειμένου για λήψη αυτοματοποιημένης απόφασης/profiling που το αφορά, με χρήση αλγόριθμου, σύμφωνα με το άρθρο 15 παρ.1 στοιχείο η) του ΓΚΠΔ σε συνδυασμό με το άρθρο 22 του ΓΚΠΔ, και την τυχόν αντίθεση της γνωστοποίησης των πληροφοριών αυτών με το εμπορικό απόρρητο(Υπόθεση ΔΕΕ: C-203/22 Dun&BradstreetAustria).

ΙΙ.Αλληλεπίδραση με Προσωπικά Δεδομένα (ΓΚΠΔ και ν. 4624/2019) και Τεχνητή Νοημοσύνη (ν.4961/2022)

Αντιλαμβάνομαι πλήρως τον δικαιοπολιτικό λόγο πρότασης του ΣχΝ, ωστόσο, παρατηρώ ότι ελλείπει η αλληλεπίδραση με τον ΓΚΠΔ και τον ν.4624/2019 (Α΄137),όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα καθώς και με τον ν. 4961/2022 (A΄146) για την χρήση της τεχνολογίας της τεχνητής νοημοσύνης από δημόσιους φορείς, κατηγορία στην οποία εμπίπτει η Αρχή που θα συσταθεί με το προτεινόμενο ΣχΝ. Η έλλειψη δε αυτή εγκυμονεί σοβαρούς κινδύνους για τα θεμελιώδη δικαιώματα των φυσικών προσώπων, υπό προϋποθέσεις και των νομικών προσώπων. Για αυτόν τον λόγο, ως πρώτη παρατήρηση, επιβάλλεται να ζητηθεί η γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ( ΑΠΔΠΧ).

Με βάση τα προαναφερόμενα, θα πρέπει να γίνει μνεία και να φωτισθεί επαρκώς η αλληλεπίδραση τουΣχΝ με τα άρθρα 3-8 του ν. 4961/2022 και εξηγούμαι: Η απαλλακτική ρήτρα του άρθρου 3 του ν. 4961/2022, σύμφωνα με την οποία οι ρυθμίσεις αυτές δεν θίγουν, καθ` οιονδήποτε τρόπο, τα δικαιώματα και τις υποχρεώσεις που απορρέουν από το ενωσιακό και το εθνικό δίκαιο για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα κατά τη χρήση συστημάτων τεχνητής νοημοσύνης, δεν είναι επαρκής. Εφόσον δημόσιος ή ιδιωτικός φορέας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα με χρήση αλγόριθμου (βλ. άρθρο 54 παρ.1 ΣχΝ), αυτονοήτως εμπίπτει στο ρυθμιστικό πεδίο του ΓΚΠΔ, του ν. 4624/2019 και του ν. 4961/2022. Και όμως, στο προτεινόμενο ΣχΝ απουσιάζει παραπομπή στα ως άνω άρθρα του ν. 4961/2022. Εξάλλου, απουσιάζει πρόβλεψη για αλγοριθμική εκτίμηση αντικτύπου του άρθρου 5 ν.4961/2022 και του άρθρου 35 του ΓΚΠΔ. Σκόπιμο θα ήταν να προστεθεί και να διευκρινισθεί το ζήτημα αυτό, αν και δεν μπορώ να μην παρατηρήσω το επαπειλούμενο διοικητικό και οικονομικό άχθος από την σωρευτική εφαρμογή τους.

Περαιτέρω, με το άρθρο 6 του ν. 4961/2022 θεσπίζονται ειδικότερες υποχρεώσεις διαφάνειας δημόσιων φορέων όταν χρησιμοποιούν συστήματα τεχνητής νοημοσύνης και ειδικότερα με την παρ.2 δίδεται δικαίωμα ενημέρωσης στο υποκείμενο των δεδομένων ως προς τις παραμέτρους για τη λήψη απόφασης. Εκτιμώ ότι είναι σκόπιμο να γίνει σχετική παραπομπή για λόγους που άπτονται της αποτελεσματικής δικαστικής προστασίας του υποκειμένου των δεδομένων και της άσκησης του δικαιώματος της αντίρρησης/εναντίωσης έναντι της πιστοληπτικής βαθμολόγησης (άρθρο 57 ΣχΝ).Ο ΓΚΠΔ ως lexspecialisυπερισχύει αλλά ενόψει του άρθρου 6 του ν. 4961/2022 σκόπιμο θα ήταν να παρασχεθεί σχετική διευκρίνιση ενόψει και των άρθρων 13 παρ. 2 στ), 14 παρ. 2 περ. ζ) και άρθρο 15 παρ. 1 η) ΓΚΠΔ και της σχετικής προβληματικής που έχει αναπτυχθεί σχετικώς με το εύρος του δικαιώματος πρόσβασης στον αλγόριθμο και αν αυτό προσκρούει στο εμπορικό απόρρητο. Επίσης, ενώ η εν θέματι επεξεργασία δεν φαίνεται να απαγορεύεται από τον ΓΚΠΔ (βλ.Αιτ.Σκ. 71 ΓΚΠΔ όπου τίθεται πρόβλεψη για την οικονομική κατάσταση του υποκειμένου των δεδομένων), απουσιάζει, ως δικλείδα ασφαλείας, η πρόβλεψη ανθρώπινης παρέμβασης και άλλων μέτρων, όπως αναλυτικά αναφέρονται στην ανωτέρω αιτιολογική σκέψη του ΓΚΠΔ. Δεν φωτίζεται επίσης επαρκώς η αλληλεπίδραση της επιχειρούμενης ρύθμισης με τον ν. 4624/2019, ο οποίος περιλαμβάνει εξαιρέσεις ως προς τα δικαιώματα του υποκειμένου των δεδομένων(βλ. άρθρα 31-35 ν.4624/2019),στηριζόμενες στο άρθρο 23 ΓΚΠΔ,το οποίο, μέσω του άρθρου 6 παρ.4 ΓΚΠΔ, αλληλοεπιδρά με το scoring [βλ. ρυθμίσεις για την επεξεργασία για άλλους σκοπούς και ιδίως άρθρο 6 παρ.4 ΓΚΠΔ και άρθρα 24-26 ν. 4624/2019].

ΙΙΙ Επιμέρους Παρατηρήσεις στο ΣχΝ

1.Στο άρθρο 50 παρ.2 να διευκρινισθεί εάν η παροχή των πρόσθετων δεδομένων αφορά σε ανωνυμοποιημένα δεδομένα.

2.Στο άρθρο 51 περ.γη περιλαμβάνεται πρόβλεψη για χορήγηση δεδομένων που άπτονται ποινικών διώξεων, καταδικών κ.λπ. από ποινικά δικαστήρια και αρμόδιες αρχές. Κατά την άποψή μου η περίπτωση αυτή κλείνει ρήτρα ανοίγματος του άρθρου 47ν. 4624/2019 (επεξεργασία για άλλους σκοπούς) και σκόπιμο θα ήταν για λόγους σαφήνειας να γίνει σχετική επισήμανση.

3. Με το άρθρο 52 παρ. 1 περ. β δίδεται δικαίωμα πρόσβασης σε δικαστικές και εισαγγελικές αρχές και λοιπές αρμόδιες αρχές στο πλαίσιο της απονομής της δικαιοσύνης και ιδίως της πρόληψης και καταστολής της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας. Στο μέτρο όμως που οι σκοποί επεξεργασίας είναι οι σκοποί του άρθρου 43 ν. 4624/2019 τότε η επεξεργασία αυτή εκφεύγει του πεδίου εφαρμογής του ΓΚΠΔ και εμπίπτει στο πεδίο εφαρμογής Αστυνομικής Οδηγίας(Δ΄ Κεφάλαιο του ν. 4624/2019) και αυτό θα πρέπει να διευκρινισθεί. Η αδυναμία κατανόησης του πεδίου εφαρμογής ΓΚΠΔ και Αστυνομικής Οδηγίας είναι υπαρκτό πρόβλημα στην ελληνική νομοθεσία και το έχω εντοπίσει και σε άλλα νομοθετήματα τα οποία έχουν τύχει διαβούλευσης και από την ΑΠΔΠΧ. Προφανώς, ούτε από την ΑΠΔΠΧ έχει γίνει πλήρως κατανοητή η διάκριση αυτή. Εύχομαι στο μέλλον, και μετά από μελέτη και εμβάθυνση στο αντικείμενο, να το κατανοήσουν, καθώς έχει συνέπειες. Τούτο διότι, τα νομοθετήματα αυτά επιφυλάσσουν διαφορετικό επίπεδο προστασίας στο υποκείμενο των δεδομένων,ακριβώς λόγω των διαφορετικών σκοπών τους.
4. Στο άρθρο 52 παρ. 4 ζητείται από το υποκείμενο των δεδομένων «απαραίτητη τεκμηρίωση» προκειμένου για τη συμπλήρωση ή διόρθωση δεδομένων οικονομικής συμπεριφοράς. Αναδεικνύεται και εδώ το ζήτημα της ενημέρωσης του υποκειμένου των δεδομένων και τίθεται κατά την άποψή μου και ανεπίτρεπτο βάρος απόδειξης σε αυτό. Η ιδρυθείσα Αρχή είναι διοικητική αρχή και υποχρεούται σε αναζήτηση και επικαιροποίηση των σχετικών στοιχείων (βλ. άρθρο 5 ΓΚΠΔ). Ως εκ τούτου, η απαίτηση για «απαραίτητη τεκμηρίωση» από πλευράς υποκειμένου των δεδομένων είναι ασαφής και παραβιάζει και την αρχή της αναλογικότητας.
5. Να διαγραφεί η περ. γ της παρ.1 άρθρου 52. Αυτονοήτως, η ΑΠΔΠΧ κατά την άσκηση των αρμοδιοτήτων της θα μπορεί να έχει πρόσβαση στα δεδομένα αυτά. Η πρόβλεψη ειδικής νομικής βάσης δεν είναι αναγκαία και πρέπει να διαγραφεί.
6. Η πρόβλεψη για διατήρηση κάθε δεδομένου επί 10ετία από την στιγμή της άντλησής του στο σύστημα, ως διατυπώνεται, δεν παρέχει επαρκή προστασία στο υποκείμενο των δεδομένων και παραβιάζει την αρχή της αναγκαιότητας και της αναλογικότητας(άρθρο 5 ΓΚΠΔ).Από την άλλη πλευρά, η μη πρόβλεψη μεγαλύτερου χρόνου διατήρησης, ενόψει ποινικών ή άλλων εκκρεμών δικών καθιστά την ρύθμιση προβληματική. Η ρύθμιση είναι ατελής και χρήζει συμπλήρωσης.

7.Στο άρθρο 54 γίνεται ρητή επίκληση χρήσης αλγόριθμου, όποτε η αλληλεπίδραση με τεχνητή νοημοσύνη κλ.π. εκτιμώ δεν αμφισβητείται.

8.Το άρθρο 56 «Χορήγηση ενημέρωσης πιστοληπτικής βαθμολόγησης σε φορείς του ιδιωτικού τομέα» αφορά σε επεξεργασία για άλλους σκοπούς, σύμφωνα με το άρθρο 6 παρ.4 του ΓΚΠΔ.Η ρύθμιση φαίνεται να έχει ως νομική βάση τη συγκατάθεση του υποκειμένου των δεδομένων, τίθεται όμως το ζήτημα σε ποιο βαθμό η συγκατάθεση αυτή μπορεί να θεωρηθεί ελεύθερη και εν πλήρει επιγνώσει? Περαιτέρω, το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων το οποίο συνδέεται άμεσα και με το νομότυπο της συγκατάθεσής του, όπως το εννοεί ο ΓΚΠΔ ( άρθρο 4 στοιχ. 11 ΓΚΠΔ), δεν πρέπει να αφεθεί στις προβλέψεις του άρθρου 56 παρ. 3του ΣχΝ, οι οποίες κρίνονται ως αόριστες και ανεπαρκείς σε σχέση με τον κίνδυνο του υποκειμένου των δεδομένων από την εν λόγω επεξεργασία (βλ.Αιτ.Σκ. 50 ΓΚΠΔ).Η επεξεργασία για άλλους σκοπούς συνιστά ένα από τα πιο αμφιλεγόμενα ζητήματα του ΓΚΠΔ και απαιτεί επαρκή θεμελίωση (βλ. WP 203/2.4.2013).

9. Για το δικαίωμα αντίρρησης ισχύει η παρατήρηση4 και επισημαίνεται ο προβληματισμός σχετικά με τα άρθρα 13 παρ. 2 στ), 14 παρ. 2 περ. ζ) και 15 παρ. 1 η) ΓΚΠΔ.
10. Ως προς το άρθρο 58 για την ανταλλαγή πληροφοριών επισημαίνεται η ανάγκη να γίνεται ρητή μνεία αν οι τρίτες χώρες πληρούν τα απαιτούμενα επίπεδα επάρκειας. Επίσης, η διατύπωση του άρθρου είναι γενικόλογη και χρησιμοποιείται εκ νέου ως νομική βάση η συγκατάθεση, με τους ανωτέρω προβληματισμούς.

ΙΙΙ.Το κύριο πρόβλημα των αλγοριθμικών αποφάσεων είναι η τήρηση των αρχών της διαφάνειας-ενημέρωσης του υποκειμένου των δεδομένων(βλ.WP251/3.10.2017), η αποφυγή δυσμενών διακρίσεων (bias)από την εφαρμογή τους και η δυνατότητα του υποκείμενου των δεδομένων, κατόπιν πλήρους ενημέρωσης, να αντιταχθεί ή να αμφισβητήσει τις αποφάσεις αυτές με αποτελεσματικό για τη διασφάλιση των έννομων συμφερόντων του τρόπο. Εκτιμώ ότι η ΑΠΔΠΧ θα μπορέσει να κατευθύνει σχετικώς. Το σημαντικό είναι να τεθούν οι προβληματισμοί με νομικά επιχειρήματα και τα όποια προβλήματα αναφύονται να αντιμετωπιστούν και να διορθωθούν.

Β. Άρση του απορρήτου των επικοινωνιών -Αναγκαία η στροφή προς τον ρεαλισμό

Μία άλλη όψη του δικαίου της προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής η οποία, πέραν της «μεταφυσικής» επίκλησης του άρθρου 19 του Συντάγματος, απαιτεί ρεαλιστική προσέγγιση είναι η άρση του απορρήτου των επικοινωνιών. Η άρση του απορρήτου των επικοινωνιών, του περιεχομένου της επικοινωνίας και των δεδομένων θέσης και κίνησης, για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαιτέρως σοβαρών εγκλημάτων, στοιχεί σε προβλεπόμενη και αποδεκτή από την ενωσιακή νομοθεσία και νομολογία του ΔΕΕ εξαίρεση [βλ. άρθρο 15 Οδηγίας e-privacy και ενσωμάτωσή του με το άρθρο 4 ν. 3471/2006 (Α΄133)καθώς και πρόσφατες αποφάσεις ΔΕΕ C-511/18, 512/18 και 520/18 LaQuadraturedunetandothers [2020] ECLI:EU:C:2020:791].Επιπρόσθετα, υπάρχουν και εθνικοί νόμοι, οι οποίοι ρυθμίζουν εξαντλητικά το ζήτημα της άρσης του απορρήτου των επικοινωνιών[βλ άρθρα 3, 4 και 5 του ν. 2225/1994 (Α΄121) και π.δ. 47/2005 ((Α΄64)]. Ωστόσο, το ΔΕΕ με τις προαναφερόμενες αποφάσεις επέλεξε τη «στροφή προς τον ρεαλισμό»: αφού αναγνώρισε πρώτα ως δικαιοπολιτικά αναγκαία την πρόβλεψη και διατήρηση των ως άνω εξαιρέσεων, έθεσε στη συνέχεια λεπτομερείς διαδικαστικές εγγυήσεις.[5]

Υπό το φως των ανωτέρω, όσον αφορά τη διαδικασία άρσης του απορρήτου των επικοινωνιών, αναφύονται τα ακόλουθα ζητήματα τα οποία χρήζουν άμεσης επίλυσης:

α) βελτίωση του ελλιπέστατου ή και ανύπαρκτου θεσμικού πλαισίου όσον αφορά το δικαίωμα ενημέρωσης των θιγόμενων προσώπων (υποκειμένων των δεδομένων),και μάλιστα το ταχύτερο δυνατόν, μετά την παρέλευση του κινδύνου, συνοδευόμενο με την απαραίτητη σήμανση των δεδομένων αυτών και

β)έλεγχος με βάση την αρχή της αναλογικότητας της επαρκούς τεκμηρίωσης για την ανάγκη χρήσης και προσφυγής στις μεθόδους αυτές, ως το ύστατο καταφύγιο των αρμόδιων αρχών,[6]σύμφωνα και με επί του θέματος νομολογία του ΕΔΔΑ [βλ. αποφάσεις ΕΔΔΑ, Uzunv.Germany [2010] App. no 35623/05 και Roman Zakharov v. Russia,App. no 47143/06,Αιτ.Σκ. (26)Αστυνομικής Οδηγίας].

Η επανεξέταση των ζητημάτων αυτών κρίνεται ως αναγκαία, ενόψει και της ενσωμάτωσης της Αστυνομικής Οδηγίας στην εθνική έννομη τάξη με τον ν. 4624/2019, ώστε να υπάρξει και στον τομέα της δίωξης του εγκλήματος, η αναγκαία εναρμόνιση των εθνικών διατάξεων με το ενωσιακό κεκτημένο (acquis).Τούτο διότι, οι προβλεπόμενες στον ν. 2225/1994 και στο π.δ. 47/2005 εγγυήσεις ως προς την άρση του απορρήτου των επικοινωνιών δεν πληρούν τις αυξημένες ενωσιακές απαιτήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής. Επισημαίνω δε ότι είχαν γίνει και επιστημονικές συζητήσεις για βελτίωση των εγγυήσεων άρσης του απορρήτου ( βλ. άρθρα 254 -255 ΚΠΔ), στα πρότυπα του άρθρου 101 StPO (γερμΚΠΔ),καθώς και για την ευθυγράμμιση του ΚΠΔ συνολικά με το δίκαιο των δεδομένων προσωπικού χαρακτήρα, κατά τα πρότυπα του όγδοου βιβλίου του γερμΚΠΔ.[7]Οι βέλτιστες πρακτικές αλλοδαπών έννομων τάξεων, αν και στο πρόσφατο παρελθόν ανάλογη επιλογή επικρίθηκε, μπορούν να μας καθοδηγήσουν στο δύσκολο έργο της ευθυγράμμισης της εθνικής νομοθεσίας με το ενωσιακό κεκτημένο.

Το ζήτημα είναι να ανοίξει και πάλι ο επιστημονικός διάλογος!

* Σπυριδούλα Καρύδα, Πάρεδρος Συμβουλίου της Επικρατείας, LL.M. inSpace, SatComandMediaLaw (UniversityofLuxembourg)

*Το άρθρο πρωτοδημοσιευθηκε στο dikastis.blogspot.com

Βιβλιογραφία:

[1]«Εταιρική διακυβέρνηση των Ανωνύμων Εταιρειών του Δημοσίου και των λοιπών θυγατρικών της Ελληνικής Εταιρείας Συμμετοχών και Περιουσίας, διαχείριση συμμετοχών του Δημοσίου σε ανώνυμες εταιρείες και ρυθμίσεις για την Ελληνική Εταιρεία Συμμετοχών και Περιουσίας, αξιολόγηση της έναντι του Δημοσίου φερεγγυότητας και πιστοληπτικής ικανότητας φυσικών και νομικών προσώπων και σύσταση Ανεξάρτητης Αρχής Πιστοληπτικής Αξιολόγησης, ίδρυση και λειτουργία Κεντρικού Μητρώου Πιστώσεων»<http://www.opengov.gr/minfin/?p=11444#respond>.

[2]Buchner:Kühling/Buchner, DS-GVO/BDSG, 3ηέκδ. 2020, άρ. 22, αρ. 37-38.

[3]Σπυριδούλα Καρύδα, «Τεχνητή Νοημοσύνη και η αλληλεπίδρασή της με ΓΚΠΔ και Αστυνομική Οδηγία:Εξόχως προβληματική και πρόχειρη η προτεινόμενη ρύθμιση»<http://dikastis.blogspot.com/2022/07/blog-post_3.html>.

[4]Βλ.σχετική μνεία του άρθρου 31 BDSG στην «έκθεση συνεπειών ρύθμισης» του ΣχΝ ως πρακτική αλλοδαπής έννομης τάξης.

[5]Maria Tzanou and Spyridoula Karyda, ‘Privacy International and Quadrature du Net: One Step Forward Two Steps Back in the Data Retention Saga?’(2022) 28 (1) European Public Law 123-154.

[6]Βλ. Π.Φιλόπουλου, Ποινική Προστασία Απορρήτου. Συστηματική Ερμηνεία Άρθρων 370- 371 ΠΚ, εκδόσεις Σάκκουλα, Αθήνα- Θεσσαλονίκη,2015, σελ. 114-119.

[7] StPO ‘Achtes Buch Schutz und Verwendung von Daten’Art. 474-500.

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr