Τρίτη 20 Οκτωβρίου 2020

Βασίλης Αποστολόπουλος : Θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων

NEWSROOM icon
NEWSROOM
Βασίλης Αποστολόπουλος : Θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων

Η σημαντικότητα της διαφύλαξης των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων κατά τη διάρκεια διαβίβασης δεδομένων προσωπικού χαρακτήρα σε ευρωπαϊκό επίπεδο, σύμφωνα με το Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, τη σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, και το νέο σύγχρονο Γενικό Κανονισμό (GDPR).

Εν πρώτοις, όπως η Ευρωπαϊκή Σύμβαση για την προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών, στο άρθρο 8, έτσι και ο Χάρτης Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, στο άρθρο 7, προστατεύει το δικαίωμα στο σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών κάθε προσώπου. Ο «Χάρτης», ωστόσο, εισάγει ένα νέο δικαίωμα κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που τον αφορούν, στο άρθρο 8(1). Η δε παράγραφος 2 του ιδίου άρθρου θέτει ως απαραίτητη προϋπόθεση, η επεξεργασία των δεδομένων να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο.

Το άρθρο 8(2), επιπρόσθετα, παρέχει στα υποκείμενα των δεδομένων το δικαίωμα πρόσβασης στα συλλεγέντα δεδομένα που τα αφορούν, και το δικαίωμα να επιτυγχάνουν τη διόρθωσή τους. Τέλος, σύμφωνα με την παράγραφο 3 του άρθρου 8, καθίσταται υποχρεωτική η σύσταση ανεξάρτητων αρχών προστασίας δεδομένων με σκοπό τη διασφάλιση του σεβασμού των κανόνων αυτών.

Αναμφίβολα λοιπόν, σε ευρωπαϊκό επίπεδο, η προστασία δεδομένων προσωπικού χαρακτήρα, τα οποία, στην ψηφιακή εποχή, δεν παύουν ούτε λεπτό να συλλέγονται, να αποθηκεύονται και να υποβάλλονται σε περαιτέρω επεξεργασία, συνιστά θεμελιώδες δικαίωμα κατοχυρωμένο στις διατάξεις του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, στο πλαίσιο προσαρμογής στη σύγχρονη ψηφιακή πραγματικότητα.

Πράγματι, στην υπόθεση Maximillian Schrems v. Data Protection Commissioner (CJEU – “Safe Harbor”) C-362/14, το Δικαστήριο της Ευρωπαϊκής Ένωσης τόνισε τους σκοπούς της προγενέστερης Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Directive 95/46/EC) περί τη διασφάλιση ενός υψηλού επιπέδου διαφύλαξης των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων, πέραν μιας και μόνο απλής αναφοράς στην πλήρη και αποτελεσματική προστασία των παραπάνω δικαιωμάτων και ελευθεριών.

Ειδικότερα, το δικαστήριο του Λουξεμβούργου διερεύνησε τους τρόπους με τους οποίους το τότε ισχύον ειδικό νομοθετικό καθεστώς διαβίβασης δεδομένων της Ευρωπαϊκής Ένωσης θα μπορούσε να είναι συμβατό και σύμφωνο με τη διασφάλιση ενός υψηλού επιπέδου προστασίας των δικαιωμάτων που απορρέουν από τα άρθρα 7 και 8 αντίστοιχα στον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, όπως επίσης και του δικαιώματος πραγματικής προσφυγής και αμερόληπτου δικαστηρίου που κατοχυρώνεται στο άρθρο 47. Υπογραμμίζεται εν παρόδω ότι, το άρθρο 47 του «Χάρτη» αναφέρεται στο δικαίωμα κάθε προσώπου, του οποίου παραβιάστηκαν τα δικαιώματα και οι ελευθερίες που διασφαλίζονται από το δίκαιο της Ένωσης, σε πραγματική προσφυγή ενώπιον δικαστηρίου, και το δικαίωμα κάθε προσώπου σε δίκαιη δίκη.

Στη συγκεκριμένη υπόθεση, το Δικαστήριο της Ευρωπαϊκής Ένωσης δεν υπεισήλθε στην έρευνα που αφορούσε τους ακριβείς λόγους διαβίβασης δεδομένων για την οποία καθιερώθηκε το προγενέστερο ειδικό νομικό σύστημα (Οδηγία 95/46/ΕΚ) εναρμόνισης της προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων σε ό,τι αφορά τις δραστηριότητες επεξεργασίας, και της διασφάλισης της ελεύθερης διασυνοριακής κυκλοφορίας δεδομένων προσωπικού χαρακτήρα. Το δικαστήριο, ωστόσο, κατέστησε σαφές ότι, σκοπός του προηγούμενου ειδικού νομοθετικού πλαισίου, σε καμία περίπτωση δεν ήταν η διευκόλυνση της παραβίασης της υποχρέωσης συμμόρφωσης των κρατών μελών με τα θεμελιώδη δικαιώματα και τις ελευθερίες αυτές.

Εξετάζοντας λεπτομερώς την ανάγκη εκπλήρωσης της προϋπόθεσης συμμόρφωσης με τα παραπάνω θεμελιώδη δικαιώματα, το δικαστήριο του Λουξεμβούργου υπογραμμίζει ότι, τα υποκείμενα των δεδομένων δεν στερούνται των δικαιωμάτων που τους παρέχονται από το Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης εξαιτίας και μόνο της δυνατότητας διαβίβασης δεδομένων προσωπικού χαρακτήρα σε χώρες εκτός Ευρωπαϊκής Ένωσης.

Από αυτή την άποψη, σταθμίζοντας το επίπεδο προστασίας των προσωπικών δεδομένων λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση, το Δικαστήριο της Ευρωπαϊκής Ένωσης υπογραμμίζει ότι, η δυνατότητα διενέργειας διαβίβασης δεδομένων σε χώρες εκτός Ευρωπαϊκής Ένωσης που, αναγνωρισμένα, παρέχουν «επαρκή προστασία» στα υποκείμενα των δεδομένων, προορίζεται για τη διασφάλιση συνέχισης παροχής του ιδίου υψηλού επιπέδου προστασίας δεδομένων, ακόμη και αν αυτή αφορά στη διαδικασία διαβίβασης σε τρίτες χώρες. Υπό αυτή την έννοια, ο όρος «επαρκής» που χρησιμοποιείται για να περιγράψει το επίπεδο προστασίας που οφείλει να παρέχει η τρίτη χώρα, θα πρέπει να γίνεται αντιληπτός ως «ουσιαστικά ισοδύναμος».

Άρα λοιπόν, διαπιστώνεται πως όχι αδίκως το νομικό σύστημα προστασίας δεδομένων της Ευρωπαϊκής Ένωσης έχει ως κύρια κατεύθυνση τη διαφύλαξη θεμελιωδών δικαιωμάτων. Ο ειδικός αυτός χαρακτήρας του νομοθετικού πλαισίου της Ευρωπαϊκής Ένωσης αντανακλάται και στους τρόπους με τους οποίους τόσο το περιεχόμενό, όσο και οι διατάξεις του σχεδιάζονται και ερμηνεύονται. Ως εκ τούτου, οι διατάξεις του σχετικού ευρωπαϊκού ειδικού νομοθετικού πλαισίου παραμένουν σε αρμονία με το σχεδιασμό και τη βαθύτερη σύλληψη της ιδιωτικότητας των πληροφοριών ως θεμελιώδες δικαίωμα κάθε προσώπου κατά τη διάρκεια διαβίβασης δεδομένων προσωπικού χαρακτήρα.

Άλλωστε, στις δικαστικές αποφάσεις ορόσημο προστασίας δεδομένων, τόσο στην υπόθεση C-131/12 Google Spain v. AEPD and Mario Costeja Gonzalez (2014), όσο και στην υπόθεση Weltimmo v. Hungarian DPA (2015), το Δικαστήριο της Ευρωπαϊκής Ένωσης υπενθυμίζει το ευρωπαϊκό πλαίσιο σεβασμού των ανθρωπίνων  δικαιωμάτων, ως μια από τις θεμελιώδεις αρχές πάνω στις οποίες οικοδομήθηκε το κοινό ευρωπαϊκό όραμα, τονίζοντας την ανάγκη διαφύλαξης των δικαιωμάτων με θεμελιώδη χαρακτήρα.

Στο ίδιο πνεύμα, το νέο σύγχρονο νομοθετικό πλαίσιο του Γενικού Κανονισμού (ΕΕ) 2016/679 της 27ης Απριλίου (GDPR) σχετικά με το δικαίωμα στην ιδιωτικότητα όλων των πολιτών της Ευρωπαϊκής Ένωσης, το οποίο εγκρίθηκε από το Ευρωπαϊκό Κοινοβούλιο κατόπιν διαβούλευσης διάρκειας τεσσάρων ετών με το Συμβούλιο και την Ευρωπαϊκή Επιτροπή, κάνει ιδιαίτερη μνεία στην προστασία θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων και ειδικότερα στο δικαίωμα τους στην προστασία των δεδομένων προσωπικού χαρακτήρα, στο άρθρο 1(2).

Σε ό,τι αφορά δε, τις εξαιρέσεις που αφορούν στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα για συγκεκριμένους σκοπούς, ο νέος Κανονισμός αναφέρεται ξανά στην αναγκαιότητα της διαφύλαξης των δικαιωμάτων και της προάσπισης των συμφερόντων των υποκειμένων των δεδομένων με θεμελιώδη χαρακτήρα.

Ειδικότερα, το άρθρο 9(2) στοιχείο (ζ) ρητά ορίζει ότι, επιτρέπεται η επεξεργασία δεδομένων που είναι απαραίτητη για λόγους ουσιαστικού δημοσίου συμφέροντος, βάσει του ευρωπαϊκού δικαίου ή του δικαίου κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο σκοπό, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

Περαιτέρω, το άρθρο 9(2) στοιχείο (θ) προβλέπει ότι, δεν απαγορεύεται η επεξεργασία η οποία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του ευρωπαϊκού δικαίου ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου.

Τέλος, το στοιχείο (ι) της παραγράφου (2) του ιδίου ως άνω άρθρου ρητά αναφέρει ότι, επιτρέπεται η επεξεργασία δεδομένων που είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του ευρωπαϊκού δικαίου ή του δικαίου κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο σκοπό, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

Υπογραμμίζεται εν παρόδω ότι, στο πλαίσιο των διασφαλίσεων και παρεκκλίσεων σχετικά με την επεξεργασία δεδομένων, σύμφωνα με το νομοθέτη, στο άρθρο 89(1) του νέου Κανονισμού, η επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς υπόκειται σε κατάλληλες εγγυήσεις ως προς τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων. Οι εν λόγω εγγυήσεις διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως για να διασφαλίζουν την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων ( ‘data minimization’). Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων (pseudonymization), εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν κατ΄αυτόν τον τρόπο.

Εφόσον οι εν λόγω σκοποί μπορούν να εκπληρωθούν από περαιτέρω επεξεργασία η οποία δεν επιτρέπει ή δεν επιτρέπει πλέον την ταυτοποίηση των υποκειμένων των δεδομένων, οι εν λόγω σκοποί εκπληρώνονται κατ΄αυτόν τον τρόπο.

Μένει να δούμε αν τα κράτη μέλη και οι δημόσιες αρχές θα διαχειριστούν το νέο σύγχρονο Κανονισμό κατά τρόπο ώστε να διασφαλίζεται η προάσπιση των συμφερόντων και η ουσιαστική διαφύλαξη του θεμελιώδους δικαιώματος στην  προστασία δεδομένων προσωπικού χαρακτήρα των ανθρώπων της Ευρωπαϊκής Ένωσης.

Δικηγόρος ( LL.M.)

 

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

ΤΕΛΕΥΤΑΙΑ ΝΕΑ