Κείμενου διεθνούς διακίου για την προστασία των προσωπικών δεδομένων και ο νόμος 2472/1997

Digesta OnLine 2014

Κείμενα διεθνούς δικαίου για την προστασία των προσωπικών δεδομένων και ο νόμος 2472/1997

Κωνσταντίνος Μαστοροδήμος

Δικηγόρος Θεσσαλονίκης, ΜΔΕ Δημοσίου Δικαίου Νομικής ΔΠΘ

ΔΝ Queen Mary College, Πανεπιστήμιο του Λονδίνου.

Για να ανοίξετε το άρθρο σε μορφή pdf πατήστε εδώ

1. Εισαγωγή

Η ελληνική νομοθεσία για την προστασία των προσωπικών δεδομένων1 διαμορφώθηκε, ως γνωστό, κυρίως λόγω της ανάγκης προσαρμογής στην νομοθεσία της Ευρωπαϊκής Ένωσης2, θεωρούμενη μάλιστα και ένα από τα πιο πιστά κείμενα εφαρμογής της. Έκτοτε η προστασία προσωπικών δεδομένων απέκτησε συνταγματική κάλυψη, με την αναθεώρηση του 2001 και το άρθρο 9Α, και αποτελεί ένα σταθερό σημείο έρευνας και ανάλυσης στην ελληνική βιβλιογραφία. Το παρόν άρθρο αποτελεί μια συμβολή σε αυτήν, προβαίνοντας σε σύγκριση και συσχέτιση των διεθνών τάσεων στην προστασία των προσωπικών δεδομένων, όπως αυτές εμφανίστηκαν στην Σύμβαση 108 του Συμβουλίου της Ευρώπης (εφεξής Σύμβαση)3 και στο (παραγνωρισμένο)4 ψήφισμα 45/95 της Γενικής Συνέλευσης του ΟΗΕ5 (εφεξής Ψήφισμα), και του νόμου 2472/1997 (εφεξής Νόμος). Η Σύμβαση 108 έχει ήδη επικυρωθεί από το 1992 και αποτελεί μέρος της ελληνικής έννομης τάξης, ενώ το Ψήφισμα, αν και καταρχήν μη δεσμευτικό, είναι στοιχείο απόδειξης της συλλογικής βούλησης των κρατών της υφηλίου6. Όπως θα δούμε και στη συνέχεια, οι συγγένειες μεταξύ αυτών των δυο κειμένων και του Νόμου είναι σαφείς και θα μπορούσαν (ή/και θα πρέπει) να (συν)αποτελούν ένα στοιχείο σχετικά με την ερμηνεία του τελευταίου. Η ανάλυση που θα ακολουθήσει θα γίνει στην βάση των αρχών για την προστασία των προσωπικών δεδομένων, όπως αυτές μετουσιώνονται σε συγκεκριμένες διατάξεις στο Ψήφισμα, στη Σύμβαση και στο Νόμο, ιδιαίτερα με βάση το πρώτο κείμενο που αποτελεί και το μόνο με παγκόσμια ακτινοβολία. Ωστόσο πρέπει να ληφθεί υπόψη ότι δεν είναι δυνατή η αυστηρή περιχαράκωση των αρχών που διέπουν τα εν λόγω κείμενα, λόγω του αλληλένδετου χαρακτήρα τους. Στη συνέχεια θα αναφερθούμε σε συντομία στα δυο διεθνή κείμενα προτού προχωρήσουμε στη σύγκρισή τους με το κείμενο του Νόμου.

2. Η Σύμβαση 108 του Συμβουλίου της Ευρώπης

Η συνθήκη αυτή απετέλεσε το πρώτο διεθνές δεσμευτικό κείμενο σχετικά με την προστασία των προσωπικών δεδομένων και ήταν το αποτέλεσμα μιας μακράς διαδικασίας που ξεκίνησε ήδη από το 1968, μέσω της Σύστασης 5097 από την Κοινοβουλευτική Συνέλευση. Μερικοί από τους λόγους που συντέλεσαν στην λύση της διεθνούς συνθήκης ήταν η ανάπτυξη της αυτοματοποιημένης επεξεργασίας δεδομένων, οι διαφορές μεταξύ των διαφόρων σχετικών εθνικών νομοθεσιών οι οποίες εμπόδιζαν την ελεύθερη διασυνοριακή ροή των αντίστοιχων δεδομένων καθώς και το χαρακτηριστικό της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου ως μιας κλειστής συνθήκης στην οποία μη μέλη του Συμβουλίου της Ευρώπης δεν θα μπορούσαν να συμμετάσχουν. Η Σύμβαση αφορά τα αυτοματοποιημένα δεδομένα φυσικών προσώπων (με δυνατότητα επέκτασης και σε μη αυτοματοποιημένα αρχεία ή/και σε δεδομένα νομικών προσώπων, την οποία η Ελλάδα δεν ‘εκμεταλλεύτηκε’), σε αντίθεση με τον Νόμο που περιλαμβάνει και τα μη αυτοματοποιημένα αρχεία, αλλά όχι τα δεδομένα των νομικών προσώπων. Σε κάθε περίπτωση η επίδραση της Σύμβασης στις διατάξεις του Νόμου αναγνωρίζεται ευρέως8.

Η συνθήκη άνοιξε για υπογραφή στις 28/1/1981 στο Στρασβούργο και η διεθνής ισχύς της άρχισε από την 1η/10/1985, μετά από 5 επικυρώσεις. Η Ελλάδα την υπέγραψε στις 17/2/1983, αλλά την επικύρωσε μόλις με τον νόμο 2068/1992, ο οποίος άρχισε να ισχύει από την 1η/12/19959. Ωστόσο παρά την ύπαρξη του 2068/1992, θεωρείται ότι ο Νόμος βρίσκει το δικαιολογητικό του έρεισμα και στη Σύμβαση10. Μέχρι και την 29η/11/2010 η Σύμβαση έχει επικυρωθεί από 43 χώρες του Συμβουλίου της Ευρώπης, αν και είναι ανοιχτή και σε μη μέλη του διεθνούς οργανισμού11. Δυο χώρες, η Τουρκία και η Ρωσία, την έχουν υπογράψει αλλά δεν την έχουν επικυρώσει. Ωστόσο αυτό το γεγονός δεν δίνει στις αντίστοιχες χώρες το πράσινο φως να συμπεριφερθούν ωσάν να μην έχουν καμία υποχρέωση για την προστασία των προσωπικών δεδομένων: σύμφωνα με το άρθρο 18 της Συνθήκης της Βιέννης για το Δίκαιο των Συνθηκών, το κράτος πρέπει, με καλή πίστη, να μην αποστερήσει τη συνθήκη από το αντικείμενο και το σκοπό της, εφόσον τουλάχιστον δεν έχει εκδηλώσει αντίθετη βούληση. Πρακτικά αυτό σημαίνει ότι η παραβίαση βασικών διατάξεών της μπορεί να επιφέρει την διεθνή ευθύνη του κράτους, αν και η δυνατότητα του υποκειμένου των δεδομένων να επικαλεστεί την Σύμβαση στο εσωτερικό δίκαιο είναι τουλάχιστο συζητήσιμη, καθώς θεωρείται ότι περιέχει διατάξεις μη αυτοδύναμης εφαρμογής12. Ο χαρακτήρας της Σύμβασης ως τέτοιας συνεπάγεται ότι τυχόν κατάργηση του εκτελεστικού νόμου θα επέφερε την διεθνή ευθύνη του κράτους, χωρίς ωστόσο να δύναται το υποκείμενο των δεδομένων να ασκήσει τα (όποια) εκ της Σύμβασης δικαιώματά του, παρά μόνο στον βαθμό που αποτελούν διεθνές εθιμικό δίκαιο.

3. Το ψήφισμα 45/95 της Γενικής Συνέλευσης του ΟΗΕ

Το Ψήφισμα μοιράζεται με την Σύμβαση το ίδιο πεδίο εφαρμογής ως προς την δυνατότητα επέκτασης και σε μη αυτοματοποιημένα αρχεία ή/και σε δεδομένα νομικών προσώπων (Αρχή 10). Ωστόσο, σε αντίθεση με την παραπάνω Σύμβαση, δεν αποτελεί νομικά δεσμευτικό κείμενο13. Η αρμοδιότητα της Γενικής Συνέλευσης σύμφωνα με το κεφάλαιο IV του Χάρτη του ΟΗΕ περιορίζεται κυρίως στο να απευθύνει συστάσεις14. Είναι ωστόσο κοινή παραδοχή ότι κατά περίπτωση τα ψηφίσματά της έχουν νομικές συνέπειες. Εκτός από την περίπτωση που περιγράφει το Διεθνές Δικαστήριο της Χάγης στην Γνωμοδότησή του για την Ναμίμπια15- της οποίας παράδειγμα αποτελεί το ψήφισμα 37/253 του 1983 για την Κύπρο- τα ψηφίσματα αποτελούν, όπως αποφάνθηκε μια Επιτροπή της Ένωσης Διεθνούς Δικαίου, είτε ‘απόδειξη για την ύπαρξη εθιμικού διεθνούς δικαίου, [είτε] παράγοντας αποκρυστάλλωσης ανερχόμενου εθιμικού δικαίου, [είτε] συνεισφορά στην δημιουργία νέου κανόνα εθιμικού δικαίου’16. Ανεξάρτητα από το που κατατάσσεται το Ψήφισμα17, η σημασία του έγκειται κυρίως στο γεγονός ότι αποτελεί πράξη του πλέον αντιπροσωπευτικού οργάνου της διεθνούς κοινότητας των κρατών, υιοθετημένο με consensus. Κράτη τα οποία δεν δεσμεύονται από σχετικές διεθνείς συνθήκες και συντάσσουν εσωτερικές νομοθεσίες με βάση το Ψήφισμα ενεργούν σύμφωνα με το διεθνές δίκαιο και δεν μπορεί καταρχήν να θεωρηθεί ότι προβαίνουν σε παρανομία. Δεν αποκλείεται η ανάπτυξη εσωτερικών νόμων για την προστασία των προσωπικών δεδομένων να βρήκε το έναυσμά της στο Ψήφισμα. Σε κάθε περίπτωση μπορεί να συναποτελέσει και στοιχείο ερμηνείας των εθνικών νόμων, όπου αυτοί υπάρχουν. Επιπλέον όταν και όποτε δρομολογηθεί η περίπτωση σύναψης σχετικής παγκόσμιας διεθνούς συνθήκης18, είναι αναμενόμενο ότι το Ψήφισμα θα αποτελέσει το πρώτο σημείο αναφοράς, όπως έχει συμβεί πολλάκις στο παρελθόν

4. Οι αρχές για την προστασία των προσωπικών δεδομένων: κοινά στοιχεία και διαφοροποιήσεις μεταξύ των διεθνών κειμένων και του Νόμου

Α. Η αρχή της μη διάκρισης

Σύμφωνα με το Νόμο (άρθρο 7.1) ‘[α]παγορεύεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων’. Ως ευαίσθητα δεδομένα νοούνται αυτά ‘…που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων’ (άρθρο 2(β))19. Το αντίστοιχο άρθρο 6 της Σύμβασης δεν αναφέρει την εθνική προέλευση και τις ποινικές διώξεις ως ευαίσθητο δεδομένο, ενώ δεν αναφέρεται σε καταρχήν απαγόρευση, αλλά σε δυνατότητα επεξεργασίας υπό τις κατάλληλες εγγυήσεις20. Το Ψήφισμα (Αρχή 5) είναι αρνητικό στην επεξεργασία ευαίσθητων δεδομένων, στα οποία περιλαμβάνει και το χρώμα του υποκειμένου των δεδομένων, αν και ερμηνευτικά θα μπορούσε να συμπεριληφθεί στην φυλετική προέλευση21. Επίσης σημαντικό είναι ότι το Ψήφισμα δεν διαφοροποιεί τη συμμετοχή σε ενώσεις προσώπων σε σχέση με το αντικείμενο τους, όπως άλλωστε ίσχυε και στο παρελθόν, πριν από την τροποποίηση του Νόμου με τον ν. 3471/2006. Ίσως όμως η σπουδή του Ψηφίσματος σχετίζεται με το γεγονός ότι η επεξεργασία των ευαίσθητων προσωπικών δεδομένων θεωρείται δυνάμει λόγος διάκρισης τον οποίο προσπαθεί να προλάβει- στα πλαίσια του Νόμου ο ίδιος στόχος ενυπάρχει μόνο ερμηνευτικά. Πράγματι και η συμμετοχή σε ένα αθλητικό σωματείο θα μπορούσε να αποτελέσει λόγο διάκρισης22, ιδιαίτερα από τη στιγμή που οι διαφοροποιήσεις μεταξύ φιλάθλων είναι κατά περιόδους ιδιαίτερα έντονες, και συνεπώς το σκεπτικό πίσω από το Ψήφισμα είναι σωστό και ίσως θα πρέπει να αποτελέσει στοιχείο για την ερμηνεία του ελληνικού νόμου, έτσι ώστε ο τελευταίος να (επανα)συμπεριλάβει την συμμετοχή σε όλα τα σωματεία ως ευαίσθητο προσωπικό δεδομένο.

Β. Η αρχή της νομιμότητας και της εντιμότητας23

Κοινό στοιχείο και των τριών κειμένων είναι αυτή η αρχή, η οποία συνεπάγεται ότι αφενός υπάρχει νομοθετικό θεμέλιο που επιτρέπει την συλλογή και επεξεργασία προσωπικών δεδομένων (το οποίο προσφέρουν τα υπό εξέταση κείμενα) και αφετέρου ότι η συλλογή και επεξεργασία ακολουθεί τον νόμο και είναι θεμιτή: ακόμα δηλαδή και αν δεν παραβιάζεται συγκεκριμένη διάταξη θετικού δικαίου, αλλά η συλλογή και επεξεργασία ακολουθούν ‘συμπεριφορά που αποδοκιμάζεται από γενικές επιταγές της έννομης τάξεως στις οποίες στηρίζεται η έννοια του δικαίου δηλαδή του κανόνες της καλής πίστεως, των χρηστών και συναλλακτικών ηθών…’24, τότε η διαδικασία παύει να είναι και νόμιμη. Σχετικά προβλέπει το άρθρο 4.1(α) του Νόμου, το άρθρο 5α της Σύμβασης25 και η Αρχή 1 του Ψηφίσματος. Η νομιμότητα αποτελεί από τη μια γενική αρχή που πρέπει να διέπει την όλη διαδικασία αλλά από την άλλη συναποτελείται και αναλύεται στις λοιπές αρχές των κειμένων, ώστε αν παραβιάζεται μια από αυτές, η συλλογή και επεξεργασία, εν τέλει, παύει να είναι και νόμιμη ή, κατ’ ελάχιστο, θεμιτή, με συνέπεια την ύπαρξη σχετικής ευθύνης.

Γ. Η αρχή του σκοπού

Σύμφωνα με την ελληνική νομοθεσία η συλλογή και επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται ‘για καθορισμένους, σαφείς και νόμιμους σκοπούς’ (άρθρο 4.1α). Συνεπώς ο μελλοντικός και αόριστος σκοπός δεν αρκεί καθαυτός για να ικανοποιήσει την πρόβλεψη αυτού του άρθρου26. Ο καθορισμένος σκοπός και η σαφήνεια αυτού είναι προφανώς αλληλένδετες έννοιες27. Ο σχετικός κατάλογος που κατήρτισε η Αρχή Προστασίας Προσωπικών Δεδομένων βοηθάει ιδιαίτερα στην συγκεκριμενοποίησή τους, ενώ και ο υπεύθυνος επεξεργασίας πρέπει να δηλώσει ‘[τ]ην περιγραφή του σκοπού της επεξεργασίας’ (άρθρο 6.2(γ)). Προφανώς η φύση του φορέα που συλλέγει και επεξεργάζεται δεδομένα θα καθορίζει μέχρι ενός σημείου και τον σκοπό για τον οποίο ακολουθείται η όλη διαδικασία, ενώ μπορεί να έχει επίπτωση και στον βαθμό στον οποίο ακολουθούνται γενικότερα οι αρχές28.

Αντίστοιχη είναι και η ρύθμιση της Σύμβασης στο άρθρο 5β, χωρίς τον προσδιορισμό της σαφήνειας, ενώ το Ψήφισμα (Αρχές 1 και 3) προβλέπει επιπλέον ότι οι πληροφορίες δεν μπορούν να χρησιμοποιηθούν για λόγους αντίθετους στους σκοπούς και τις Αρχές των Ηνωμένων Εθνών29. Οι τελευταίοι καταγράφονται στα άρθρα 1 και 2 του Καταστατικού Χάρτη των Ηνωμένων Εθνών, αντίστοιχα, και περιλαμβάνουν την διατήρηση της διεθνούς ειρήνης και ασφάλειας, την ανάπτυξη φιλικών σχέσεων μεταξύ των εθνών και την επίτευξη διεθνούς συνεργασίας και την προαγωγή των δικαιωμάτων του ανθρώπου, ενώ σε επίπεδο αρχών, ως εξειδίκευση των παραπάνω σκοπών, τα κράτη υποχρεούνται, μεταξύ άλλων, να απέχουν από την απειλή ή/και χρήση βίας καθώς και να διακανονίζουν τις διαφορές τους με ειρηνικό τρόπο30. Αν και υπάρχει ένα στοιχείο ασάφειας στα παραπάνω άρθρα, μπορούμε ερμηνευτικά να καταλήξουμε για παράδειγμα ότι η συλλογή και επεξεργασία προσωπικών δεδομένων αλλοδαπών προς το σκοπό της χρήσης βίας εναντίον τους θα αποτελούσε παράνομο και μη επιτρεπτό σκοπό, ακόμα και αν προβλέπονταν από την νομοθεσία κάποιου κράτους, για διάφορους λόγους στους οποίους συμπεριλαμβάνεται και η αντίθεση στις αρχές και τους σκοπούς των Ηνωμένων Εθνών.

Συναφής με τον σκοπό (αλλά και τις παρακάτω αρχές) είναι και η διατήρηση των δεδομένων μόνο για την χρονική περίοδο που απαιτείται για την πραγματοποίηση αυτού (άρθρο 4.1δ του Νόμου)31. Το χρονικό όριο δεν επαφίεται στην απόλυτη διακριτική ευχέρεια του υπεύθυνου επεξεργασίας, καθώς αποτελεί αντικείμενο κρίσης της Αρχής Προστασίας Προσωπικών Δεδομένων32. H ίδια ρύθμιση ενυπάρχει στην οδηγία 3 του Ψηφίσματος και στο άρθρο 5ε της Σύμβασης, χωρίς, βέβαια, να προβλέπεται στην τελευταία κάποιου είδους ελεγκτικός μηχανισμός, τουλάχιστον μέχρι την υιοθέτηση της νέας σύμβασης 18133.

Δ. Η αρχή της συνάφειας34

Σημαντικό στοιχείο στην συλλογή και επεξεργασία των προσωπικών δεδομένων είναι η αρχή της συνάφειας, η οποία συνεπάγεται ότι τα δεδομένα ‘είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας’ (άρθρο 4.1β του νόμου)35. Συνεπώς πρέπει να υπάρχει μια αναλογία μεταξύ των δεδομένων που συλλέγονται και του σκοπού που εξυπηρετεί η τήρηση του αρχείου. Τυχόν μεταβολή του σκοπού (συλλογής ή/και επεξεργασίας των δεδομένων) μπορεί να προσβάλλει, εκτός της αρχής του σκοπού, και την αρχή της συνάφειας, ιδιαίτερα εφόσον δεν είναι συνέχονται λογικά ή τελολογικά προς τον εκ των προτέρων καθορισμένο σκοπό. Είναι δε μάλλον αναμενόμενο ότι όσο πιο κοντά στο σκληρό πυρήνα του κράτους βρίσκονται οι σκοποί (π.χ. εθνική ασφάλεια), τόσο περισσότερα θα είναι τα δεδομένα που συλλέγονται. Σχετικά προβλέπει και το Ψήφισμα στις Αρχές 2 και 3, αποκαλύπτοντας η εν λόγω αρχή αποτελεί κοινό τόπο σε όλες τις ρυθμίσεις για την προστασία των δεδομένων, ανεξαρτήτως του εθνικού ή διεθνούς χαρακτήρα τους.

Ε. Η αρχή της ακρίβειας36

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να ‘είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση’ (άρθρο 4.1γ του νόμου και 5δ της Σύμβασης). Αυτό συνεπάγεται ότι τα δεδομένα είναι αληθή και ότι ο υπεύθυνος επεξεργασίας θα προβαίνει σε τακτικούς ελέγχους προκειμένου να συμμορφώνεται με αυτή την υποχρέωση, έτσι ώστε να αποφεύγονται τα λάθη (Αρχή 2 του Ψηφίσματος), τα οποία, ενίοτε, μπορούν να λειτουργήσουν κατά των δικαιωμάτων και συμφερόντων του υποκειμένου των δεδομένων37. Όπως βέβαια και οι παραπάνω αρχές, η αρχή της ακρίβειας δεν είναι απόλυτη, αν και αυτό συνάγεται ερμηνευτικά και όχι από το υπό εξέταση κείμενα38.

ΣΤ. Η αρχή της διαφάνειας

Αυτή η αρχή συνεπάγεται τα εξής39: αφενός το υποκείμενο της επεξεργασίας έχει λάβει γνώση με τρόπο πρόσφορο και σαφή για το γεγονός ότι συλλέγονται προσωπικά του δεδομένα (άρθρο 11 του Νόμου) και αφετέρου ότι το γεγονός της συλλογής και επεξεργασίας των προσωπικών δεδομένων έχει γνωστοποιηθεί σε διοικητική αρχή (άρθρο 6 του Νόμου)40. Τα αντίστοιχα ισχύουν και στο πλαίσιο της Σύμβασης (άρθρο 8α), χωρίς όμως την αναφορά σε διοικητική αρχή όπου παρέχει γνωστοποίηση ο φορέας που θα προβαίνει σε επεξεργασία των δεδομένων41. Το Ψήφισμα, που είναι πιο πρόσφατο της Σύμβασης, προβλέπει, αντιθέτως, τόσο την εν ευρεία έννοια δημοσιότητα ή την ειδοποίηση του αντικειμένου των δεδομένων (Αρχή 3) καθώς και την ανάγκη ύπαρξης ενός φορέα που θα εποπτεύει την εφαρμογή των παραπάνω αρχών (Αρχή 8).

Η αρχή αυτή υπόκειται σε εξαιρέσεις, όσον αφορά την ενημέρωση του υποκειμένου (άρθρο 11.4 και 5) ή/ και όταν αφορά γνωστοποίηση στην Αρχή (άρθρο 7Α). Συνολικά όμως οι περιπτώσεις στις οποίες δεν θα υπάρχει παρεμβολή είτε του υποκειμένου είτε της Αρχής είναι ευάριθμες, αφορώντας κυρίως τους λόγους εθνικής ασφάλειας ή τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων, και συνεπώς μια μορφή διαφάνειας ενυπάρχει στο κείμενο του Νόμου. Αντίθετα όπως θα δούμε παρακάτω, το Ψήφισμα και η Σύμβαση δεν φαίνεται να κάνουν κάποιο διαχωρισμό στην περίπτωση των εξαιρέσεων.

Ζ. Η αρχή της συγκατάθεσης

Το υποκείμενο των δεδομένων είναι ελεύθερο σε κάθε περίπτωση να επιτρέψει ειδικώς (δηλαδή για την συγκεκριμένη περίπτωση) την συλλογή42 και επεξεργασία των προσωπικών του δεδομένων (άρθρα 5.1 και 7.2 του νόμου)43 και μάλιστα πριν από την επεξεργασία44. Ουσιαστικά πρόκειται για άσκηση του δικαιώματος πληροφορικού αυτοκαθορισμού. Ως συγκατάθεση ορίζεται ‘κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή και εν πλήρη επιγνώσει, και με την οποία, το υποκείμενο των δεδομένων …… δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν’ (άρθρο 2 ια))45. Σιωπηρή ή τεκμαιρόμενη συγκατάθεση δεν νοείται46. Στην περίπτωση των ευαίσθητων δεδομένων χρειάζεται γραπτή συγκατάθεση η οποία δεν έχει αποσπαστεί με δόλια μέσα. Η Σύμβαση 108 δεν αναφέρεται σε (προηγούμενη) συγκατάθεση του υποκειμένου των δεδομένων, καθώς προβλέπει μόνο, με εξαίρεση την αρχή της διαφάνειας (μέσω της ενημέρωσης), σε μέτρα εκ των υστέρων. Στο Ψήφισμα ο ρόλος της συγκατάθεσης περιορίζεται στην χρήση ή αποκάλυψη των δεδομένων για άλλους λόγους από τους αρχικούς (Αρχή 3). Συνεπώς καθίσταται σαφής η ατομοκεντρική προσέγγιση του ελληνικού νόμου σε σχέση, ιδιαίτερα, με την Σύμβαση, ενώ συγχρόνως παρέχεται ένα ακόμα επιπλέον πεδίο προστασίας, με την συγκατάθεση να γίνεται στοιχείο της νομιμότητας της συλλογής και επεξεργασίας των προσωπικών δεδομένων. Ωστόσο η συγκατάθεση δεν μπορεί να λειτουργήσει ως κολυμπήθρα του Σιλωάμ όταν η επεξεργασία των δεδομένων ‘είναι αθέμιτη ή όταν αντίκειται στην αρχή του σκοπού και της αναγκαιότητας’47. Επιπλέον ο Νόμος εμπεριέχει μια ευρεία γκάμα εξαιρέσεων στην συγκατάθεση (άρθρο 5.2)48, με συνέπεια να κάμπτεται σημαντικά αυτή η αρχή.

Η. Η αρχή της πρόσβασης του ενδιαφερόμενου προσώπου

Το δικαίωμα γνώσης του υποκειμένου των δεδομένων σχετικά με το αν επεξεργάστηκαν σχετικά δεδομένα είναι κοινή και στα τρία κείμενα (άρθρο 12 Νόμου, άρθρο 8 Σύμβασης και οδηγία 4 του Ψηφίσματος). Διαφοροποίηση φαίνεται να υπάρχει στο γεγονός ότι ο Νόμος αναφέρεται και σε παρελθούσα επεξεργασία. Εν συνεχεία κοινό είναι και το δικαίωμα διόρθωσης ή διαγραφής (και επιπλέον κλειδώματος σύμφωνα με τον Νόμο), αλλά και μέσου προσφυγής. Σε κάθε περίπτωση οι προβλέψεις του Νόμου είναι σαφώς πιο λεπτομερειακές και ικανοποιούν τις προβλέψεις των διεθνών κειμένων με το παραπάνω.

Θ. Οι εξαιρέσεις στις παραπάνω αρχές

Κοινό στοιχείο των διεθνών κειμένων είναι η υποχώρηση των παραπάνω αρχών σε ορισμένες περιπτώσεις. Η Σύμβαση (άρθρο 9.2)49 αναφέρεται σε λόγους κρατικής50 ή δημόσιας ασφάλειας, νομισματικών συμφερόντων του Κράτους51, καταστολής των ποινικών παραβάσεων και για την προστασία του προσώπου το οποίο αφορούν οι πληροφορίες, όπως και των δικαιωμάτων και ελευθεριών τρίτων, ενώ το Ψήφισμα (Αρχή 6) αναφέρει, εκτός των δικαιωμάτων και ελευθεριών τρίτων, την εθνική ασφάλεια και την δημόσια τάξη, την δημόσια υγεία και ηθική52. Όσον αφορά βέβαια τα ευαίσθητα δεδομένα παραπέμπει και στους σχετικούς περιορισμούς που υπάρχουν στα διεθνή κείμενα ανθρωπίνων δικαιωμάτων που προέρχονται από τον ΟΗΕ. Αντίθετα ο Νόμος προβλέπει τους παραπάνω λόγους ως εξαιρέσεις στην συλλογή και επεξεργασία μόνο των ευαίσθητων προσωπικών δεδομένων (άρθρο 7.2ε)53, προβλέποντας μάλιστα λιγότερους και πιο σαφείς λόγους για την υποχώρηση της προστασίας (εθνική και δημόσια ασφάλεια, προστασία της υγείας, φορολογικούς λόγους)54. Οι λοιποί λόγοι που αναφέρονται στο άρθρο 7.2 συνέχονται κυρίως με δικαιώματα τρίτων ή και του ίδιου του υποκειμένου, καθώς και την ελεύθερη βούλησή του55. Εκτός των λιγότερων συγκριτικά εξαιρέσεων, ο Νόμος είναι ένα σαφώς φιλικότερο νομοθέτημα ως προς τα ανθρώπινα δικαιώματα για δυο λόγους: ο πρώτος είναι ότι η εξαίρεση στην συλλογή και επεξεργασία των ευαίσθητων προσωπικών δεδομένων δεν συνεπάγεται αναίρεση κάποιων εκ των παραπάνω αρχών και ειδικότερα των αρχών της νομιμότητας, συνάφειας και ακρίβειας56 σε αντίθεση με τις αρχές της συγκατάθεσης και διαφάνειας (γνωστοποίησης), τουλάχιστο κατά το σκέλος που ορίζει σχετικά το άρθρο 7Α καθώς και των αρχών της διαφάνειας (ενημέρωσης) και πρόσβασης, παρά μόνο για λόγους που σχετίζονται με εθνική ασφάλεια και διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων57. Η δε Σύμβαση και το Ψήφισμα δεν φαίνεται να προβαίνουν σε αντίστοιχους διαχωρισμούς58. Κατά δεύτερο ο Νόμος προβλέπει την ύπαρξη ενός καταρχήν ελέγχου από την Αρχή Προστασίας Προσωπικών Δεδομένων, αφού είναι απαραίτητη η προηγούμενη λήψη άδειας (άρθρο 7.3), με τις εξαιρέσεις του άρθρου 7Α, κάτι που δεν απαιτείται στην Σύμβαση και ούτε είναι εμφανές στις διατάξεις του Ψηφίσματος59. Συνεπώς ο Νόμος διαφοροποιείται σε αυτό το σημείο από το διεθνή κείμενα, χωρίς ωστόσο να προβλέπεται παρέμβαση δικαστικών αρχών στις περιπτώσεις κάμψης της προστασίας, όπως για παράδειγμα ισχύει με τα συναφή άρθρα 9 και 19 του Συντάγματος60.

Ι. Η αρχή του απορρήτου και της ασφάλειας των δεδομένων

Οι αρχές αυτές είναι αλληλένδετες γιατί η ασφάλεια των δεδομένων δεν είναι αυτοσκοπός αλλά συνέχεται με το απόρρητο αυτών και συνεπώς το συμπληρώνει. Στο Νόμο η αρχή του απορρήτου κατοχυρώνεται στο άρθρο 10.1. Στα διεθνή κείμενα δεν είναι ρητώς εκπεφρασμένη, αν και συνάγεται ερμηνευτικά. Αντιθέτως, η αρχή της ασφάλειας της επεξεργασίας είναι εμφανής στα τρία κείμενα. Σύμφωνα με το άρθρο 10.3 του Νόμου ‘[ο] υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας’. Αντίστοιχα είναι και το άρθρο 7 της Σύμβασης καθώς και η ταυτάριθμη αρχή του Ψηφίσματος. Διαφορά βέβαια υπάρχει στο ότι το απόρρητο λειτουργεί έναντι τρίτων (και όχι του υποκειμένου των δεδομένων ή της Αρχής), ενώ η ασφάλεια των δεδομένων έναντι όλων. Επιπλέον το επίπεδο της ασφάλειας πρέπει να είναι ανάλογο προς το πλήθος και την σημασία των προσωπικών δεδομένων. Έτσι τα ευαίσθητα προσωπικά δεδομένα πρέπει να απολαμβάνουν υψηλότερο επίπεδο ασφάλειας.

5. Συμπέρασμα

Ενόψει των παραπάνω, εμφανίζεται ότι τα διεθνή κείμενα ως έχουν δεν προσφέρουν παρά ελάχιστα στο επίπεδο προστασίας των προσωπικών δεδομένων βάσει του Νόμου. Αντιθέτως φαίνεται ότι ο Νόμος, αν και η προέλευσή του είναι κείμενο που ‘ευνοεί’ την ελεύθερη κυκλοφορία πληροφοριών, παρέχει υπέρτερη προστασία σε σχέση με τα διεθνή κείμενα που (εμφανίζονται να) δίνουν έμφαση στη σκοπιά των ανθρώπινων δικαιωμάτων61. Άλλωστε η ελληνική νομοθεσία θεωρήθηκε ότι επέβαλλε ένα μέτρο προστασίας το οποίο δεν περιλαμβάνονταν τυπικά στην κοινοτική οδηγία62. Συνεπώς είναι μάλλον αναμενόμενο πως όταν θα επανέλθει η συζήτηση για κάποια παγκόσμια συνθήκη για την προστασία των προσωπικών δεδομένων, ο Νόμος θα ικανοποιεί σε γενικές γραμμές τις προβλέψεις του. Ιδιαίτερα θα πρέπει να τονιστούν από το κείμενο του Νόμου οι πιο ‘πλούσιες’ και σαφείς διατάξεις σχετικά με τις αρχές της διαφάνειας, συγκατάθεσης και πρόσβασης, καθώς και οι πιο περιορισμένες εξαιρέσεις. Ωστόσο, περιστασιακά, τα διεθνή κείμενα, και ιδιαίτερα το Ψήφισμα, μπορούν να συνεισφέρουν όσον αφορά την αρχή του σκοπού αλλά και την κατηγορία των ευαίσθητων δεδομένων, ενώ ειδικά το Ψήφισμα μας υπενθυμίζει με τον πλέον σαφή τρόπο ότι ο σκοπός προστασίας των ευαίσθητων δεδομένων είναι η αποφυγή της αδικαιολόγητης διάκρισης.

1 Για προηγούμενες ατελέσφορες απόπειρες της ελληνικής έννομης τάξης βλ. Τάσος Μαρίνος, Οι Ηλεκτρονικοί Υπολογιστές και το Δίκαιο (Αντ. Ν. Σάκκουλας, Αθήνα 1991) 106 κ.ε.

2 Σχετικά με την αναγκαιότητα σχετικής ρύθμισης, ανεξαρτήτως της προσαρμογής στις διεθνείς υποχρεώσεις της χώρας, βλ. Ευάγγελος Βασιλακάκης, ‘Το Πρόβλημα της Προστασίας του Πολίτη απέναντι στην Καταχρηστική Εφαρμογή της Πληροφορικής’ (1984) Αρμενόπουλος 865, 868-9.

3 Ευρωπαϊκή Σύμβαση για την Προστασία του Ατόμου από την Αυτοματοποιημένη Επεξεργασία Πληροφοριών Προσωπικού Χαρακτήρα. Στο προοίμιο της οδηγίας 95/46, που απετέλεσε την μήτρα της ελληνικής νομοθεσίας, αναγνωρίζεται (παρ. 11) ότι η οδηγία αποτελεί διευκρίνιση και επέκταση των αρχών που περιλαμβάνονται στην εν λόγω Σύμβαση. Περίπου την ίδια περίοδο ο ΟΟΣΑ είχε καταλήξει σε Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Η εξέτασή τους παρέλκει για δυο λόγους: αφενός έχουν σχεδόν το ίδιο περιεχόμενο με την Σύμβαση και δεν είναι νομικά δεσμευτικοί- βλ. ωστόσο την αντίθετη άποψη του Jon Bing, ‘The Council of Europe Convention and the OECD Guidelines on Data Protection’ (1984) Michigan Yearbook of International Legal Studies 271, 284. Αφετέρου δεν έχουν την παγκόσμια εμβέλεια της απόφασης της Γενικής Συνέλευσης, αφού η κρατική συμμετοχή στον ΟΟΣΑ είναι σαφώς πιο περιορισμένη.

4 Φαίνεται ότι η ελληνική βιβλιογραφία για την προστασία προσωπικών δεδομένων αγνοεί ή παρέκαμψε το εν λόγω ψήφισμα, με εξαιρέσεις όπως ο Linos-Alexandros Sicilianos, ‘International Protection of Personal Data: Privacy, Freedom of Information or both σε L.A. Sicilianos & M. Gavouneli (eds.) Scientific and Technological Development and Human Rights (Ant. N. Sakkoulas, Athens 2001) 124 και 136-7 και Μιχάλης Αυγουστιανάκης, ‘Προστασία του Aτόμου από την Επεξεργασία Προσωπικών Δεδομένων, Προβλήματα και Αντιμετώπιση από το Δίκαιο’ (2001) Δικαιώματα του Ανθρώπου 673, 682, in passim.

5 Guidelines for the Regulation of Computerized Personnel Data Files, 14 Δεκεμβρίου 1990.

6 Ian Brownlie, Principles of Public International Law, (7th edn. Oxford University Press, Oxford 2008) 15.

7 Recommendation 509 (1968) on human rights and modern scientific and technological developments.

8 Ιωάννης Ιγγλεζάκης, Ευαίσθητα Προσωπικά Δεδομένα: η Επεξεργασία Ειδικών Κατηγοριών Προσωπικών Δεδομένων και οι Συνέπειές της (Σάκκουλας, Αθήνα- Θεσσαλονίκη 2003) 69. Βλ. και Γεώργιος Κυριακόπουλος, ‘Ασφάλεια και Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα: οι Ρυθμίσεις του Συμβουλίου της Ευρώπης’, (2001) Δικαιώματα του Ανθρώπου 763, 764, και το σχόλιό του για τον πρωτοποριακό της χαρακτήρα.

9 Βλ. Ανακοίνωση Υπ. Εξωτερικών Φ.0546/4173 (ΦΕΚ Α’ 207/1995).

10 Βλ. Έκθεση στο Σχέδιο Νόμου ‘Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα’.

11 Βλ. άρθρο 23.

12 Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), παρ. 38. Βλ. ωστόσο και την αντίθετη άποψη του Αλεξάνδρου Καλαντζή, ‘Η Προστασία του Ατόμου από την Αυτοματοποιημένη Επεξεργασία Προσωπικών Δεδομένων’ (1996) Νομικό Βήμα 314, 318, ‘οι βασικές αρχές της Συμβάσεως στο μέτρο που είναι συγκεκριμένες και σαφείς θα πρέπει να θεωρηθούν ότι τυγχάνουν αμέσου εφαρμογής…’. Για την γενική προβληματική περί άμεσης εφαρμογής στον τομέα του διεθνούς δικαίου βλ. Εμμανουήλ Ρούκουνας, Διεθνές Δίκαιο Τεύχος Ά (Β΄ έκδοση, Αντ. Σάκκουλας, Αθήνα-Κομοτηνή 1997) 168-172.

13 Ίσως για αυτό τον λόγο δεν έγινε καμία αναφορά στην εισηγητική έκθεση του Νόμου, αν και υπάρχει αναφορά στο κείμενο που προέρχεται από τον ΟΟΣΑ.

14 Βλ. επίσης Ηersch Lauterpacht, ‘Τhe Universal Declaration of Human Rights’ (1948) British Yearbook of International Law 354, 369 και Judge Rosalyn Higgins, Separate Opinion σε Legal Consequences of the Construction of a Wa1l in the Occupied Palestinian Territory, Αdvisory Opinion, ICJ Reports 2004, 208, ‘Assembly resolutions are in most cases only recommendations’.

15 Legal Consequences for States of the Continued Presence of South Africa in Namibia (South West Africa) notwithstanding Security Council Resolution 276 (1970), Advisory Opinion, ICJ Reports 1971, 50.

16 London Statement of Principles Applicable to the Formation of General Customary International Law, Principle 28.

17 Με βάση την περίοδο που συντάχθηκε, φαντάζει πιο πιθανή η ένταξή του στην τρίτη κατηγορία.

18 Όταν στην δεκαετία του 1980 τέθηκε το ζήτημα διακυβερνητικής διάσκεψης για την υιοθέτηση οικουμενικής συνθήκης (αν και όχι στα πλαίσια του ΟΗΕ), η αρνητική στάση των ΗΠΑ ήταν ένας από τους σημαντικότερους λόγους για την απόρριψή της.

19 Ευαίσθητα είναι και τα δεδομένα σχετικά με τους λήπτες και δωρητές ανθρωπίνων ιστών (άρθρο 9 ν. 2737/1999), ενώ, παλαιότερα, το καταργηθέν π.δ. 61/1999 (άρθρο 2.12), προέβλεπε ότι ‘[ο]ι δηλώσεις του αιτούντος άσυλο και τα λοιπά στοιχεία της αιτήσεώς του αποτελούν ευαίσθητα δεδομένα’. Εκτός των παραπάνω, η διαφοροποίηση με την οδηγία 95/46 (άρθρο 8.1) έγκειται στα στοιχεία της κοινωνικής πρόνοιας, των ποινικών διώξεων ή καταδικών και των συμμετοχών σε ενώσεις.

20 Για τον L.-A. Sicilianos, 133, δεν σημαίνει ότι δεν υπάρχει καταρχήν απαγορευτικός κανόνας. Πάντως σε περίπτωση που εθνικός ή άλλος κανόνας προσφέρει υπέρτερη προστασία, ενεργοποιείται το άρθρο 11 της Σύμβασης, το οποίο λειτουργεί ως αρχή της επικουρικότητας.

21 Έτσι και οι Παναγιώτης Αρμαμέντος - Βασίλης Σωτηρόπουλος, Προσωπικά Δεδομένα: ερμηνεία Ν. 2472/1997 (Σάκκουλας, Αθήνα-Θεσσαλονίκη 2005) 40.

22 Η αντίθετη γνώμη στην αιτιολογική έκθεση του Σχεδίου Νόμου για Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του ν. 2472/1997, σελ. 3 και Ευγενία Αλεξανδροπούλου-Αιγυπτιάδου, Προσωπικά Δεδομένα: η Νομική Ρύθμιση της Ηλεκτρονικής Επεξεργασίας τους (Αντ. Σάκκουλας, Αθήνα- Κομοτηνή 2007) 35. Μόλις 10 χρόνια πριν, οπότε και η δυνατότητα επεξεργασίας προσωπικών δεδομένων ήταν σαφέστατα μικρότερη, σημειώνονταν στην εισηγητική έκθεση του Νόμου ότι ακόμα και το δικαίωμα του συνεταιρίζεσθαι συνέχονταν με το επίπεδο προστασίας των προσωπικών δεδομένων. Βλ. και Απόστολος Γέροντας, Η Προστασία του Πολίτη από την Ηλεκτρονική Επεξεργασία Προσωπικών Δεδομένων: μια Συμβολή στην Ερμηνεία του Ν. 2472/1997 ‘Προστασία του Ατόμου από την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα’ (Αντ. Ν. Σάκκουλας, Αθήνα-Κομοτηνή 2002) 183, για την πιθανότητα προσβολής του απορρήτου της ιδιωτικής ζωής μέσω σχετικών πληροφοριών.

23 Η μετάφραση του αντίστοιχου όρου από τη Σύμβαση στο ελληνικό δίκαιο είναι μάλλον ατυχής.

24 Α. Καλαντζής, 321.

25 Μια απλή ανάγνωση του άρθρου 5 της Σύμβασης αποκαλύπτει την προέλευση του άρθρου 4.1 του Νόμου.

26 Βλ. αντίστοιχα και Explanatory Report, παρ. 41. Σχετικά με το πότε είναι καθορισμένος ο σκοπός βλ. Π. Αρμαμέντος - Β. Σωτηρόπουλος, 118.

27 Όπως σωστά διατείνονται οι Π. Αρμαμέντος - Β. Σωτηρόπουλος, 119, με άλλη διατύπωση, η σαφήνεια συνέχεται και με το περιεχόμενο της αρχής της διαφάνειας.

28 Βλ. και L.-A. Sicilianos, 132.

29 Σημειωτέον ότι μόνο το Ψήφισμα αναφέρεται σε σκοπό (στον ενικό), ενώ τόσο η Σύμβαση όσο και ο Νόμος χρησιμοποιούν τον πληθυντικό αριθμό. Έτσι η καταρχήν απαγόρευση πολυλειτουργικότητας μέσω τελεολογικής ερμηνείας, στην οποία αναφέρονται οι Π. Αρμαμέντος - Β. Σωτηρόπουλος, 120, δεν είναι και τόσο εμφανής μέσω της γραμματικής ερμηνείας.

30 Βλ. επίσης το προοίμιο της Οδηγία 95/46/ΕΚ, παράγραφος 1, όπου μέσα στους στόχους της Κοινότητας είναι και η ‘διατήρηση και [η] εδραίωση της ειρήνης και της ελευθερίας’.

31 Για τους Α. Καλαντζή 322, Μ. Αυγουστιανάκη, 693 και Ε. Αλεξανδροπούλου-Αιγυπτιάδου, 52 κ.ε., πρόκειται για διάφορη αρχή, εξεταζόμενη ανεξαρτήτως της αρχής του σκοπού. Η εισηγητική έκθεση στον Νόμο, σελ. 5, φαίνεται να δικαιολογεί τέτοια προσέγγιση. Για τους Π. Αρμαμέντο - Β. Σωτηρόπουλο, 135 κ.ε. αποτελεί μέρος της αρχής της αναγκαιότητας/συνάφειας.

32 Όταν εκλείψει ο σκοπός της συλλογής ή επεξεργασίας, τότε τα δεδομένα πρέπει είτε να διαγράφονται είτε να γίνονται ανώνυμα, Ι. Ιγγλεζάκης, 69-70.

33 Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding Supervisory Authorities and Transborder Data Flows, Στρασβούργο, 8.6.2001. Το Πρωτόκολλο αυτή ισχύει για τα συμβαλλόμενα κράτη από τις 1/7/2004 και έχει υπογραφεί αλλά δεν έχει επικυρωθεί από την Ελλάδα.

34 Αν και το Ψήφισμα χρησιμοποιεί αυτόν τον τίτλο, η αρχή της αναγκαιότητας κατά Π. Αρμαμέντο - Β. Σωτηρόπουλο, 123 κ.ε., ή αρχή της αναλογικότητας κατά Μ. Αυγουστιανάκη, 693 και Ε. Αλεξανδροπούλου-Αιγυπτιάδου, 47 κ.ε. είναι πιο επιτυχημένοι.

35 Βλ. και το σχεδόν πανομοιότυπο άρθρο 5γ της Σύμβασης.

36 Για τους Π. Αρμαμέντο - Β. Σωτηρόπουλο, 130 κ.ε., αποτελεί μέρος της παραπάνω αρχής.

37 A.C. Evans, ‘European Data Protection Law’ (1981) American Journal of Comparative Law 571.

38 Βλ. Π. Αρμαμέντος - Β. Σωτηρόπουλος, 131-2, για τους λόγους που μπορούν να οδηγήσουν σε απαλλαγή του υπεύθυνου επεξεργασίας. Βλ. και Α. Γέροντας, 196-7.

39 Βάσει αυτής της αρχής, κυρίως, η ‘προστασία του [Ν]όμου προσανατολίζεται στην προληπτική λειτουργία’, Α. Γέροντας, 184. Σχετικά με το προληπτικό σύστημα που γενικότερα υιοθετεί ο Νόμος, βλ. Παναγιώτης Μαντζούφας, ‘Η Διακινδύνευση στην Κοινωνία της Πληροφορίας και η Προστασία των Προσωπικών Δεδομένων’ (2007) Αρμενόπουλος 1088, 1101. Η Σύμβαση αντιθέτως φαίνεται να προκρίνει το κατασταλτικό σύστημα.

40 Για τον Ι. Ιγγλεζάκη, 74, η τήρηση αυτής της υποχρέωσης δεν αποτελεί προϋπόθεση για την έναρξη της επεξεργασίας ή για τη σύσταση του αρχείου, αλλά έχει απλώς δηλωτικό χαρακτήρα.

41 Με την σχετικά πρόσφατη σύμβαση 181, προβλέφθηκε η ύπαρξη σχετικής αρχής, χωρίς όμως να της δίνεται ρητά τέτοια αρμοδιότητα. Αντιθέτως φαίνεται ότι η αρμοδιότητά της είναι γενικώς ελεγκτική και ενεργεί εκ των υστέρων.

42 Αν και το άρθρο 5.1 του Νόμου δεν αναφέρεται σε συλλογή των απλών δεδομένων, είναι αφύσικο να υπάρχει συγκατάθεση στην επεξεργασία χωρίς να καλύπτει και την συλλογή αυτών. Αντίθετος ο Α. Γέροντας, 200.

43 Αντίστροφα επιτρέπεται επίσης και η ελεύθερη ανάκληση της συγκατάθεσης. O Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης προβλέπει δικαίωμα προστασίας των προσωπικών δεδομένων και επιφυλάσσει τον πρωτεύοντα ρόλο στην συγκατάθεση του υποκειμένου (άρθρο 8). Στο κείμενο της οδηγίας (άρθρο 7α), αυτό δεν ήταν τόσο σαφές, αφού η συγκατάθεση αποτελούσε μια από τις προϋποθέσεις για την νόμιμη επεξεργασία των δεδομένων.

44 Π. Αρμαμέντος - Β. Σωτηρόπουλος, 144. Η γνωστοποίηση λειτουργεί πέρα και ανεξάρτητα από την συγκατάθεση.

45 Για μια ανάλυση των χαρακτηριστικών της συγκατάθεσης βλ. Ε. Αλεξανδροπούλου-Αιγυπτιάδου, 58.

46 Ι. Ιγγλεζάκης, 71.

47 Α. Γέροντας, 193.

48 Βλ. ανάλυση αυτών σε Ε. Αλεξανδροπούλου-Αιγυπτιάδου, 63 κ.ε. Για τον Δαμιανό Κατραμάδο, ‘Προστασία του Ατόμου από την Επεξεργασία Προσωπικών Δεδομένων’ (1999) Δικαιώματα του Ανθρώπου 577, 594, το πεδίο εξαιρέσεων ουσιαστικά καταλύει την αρχή.

49 Η αναφορά της Σύμβασης σε παρέκκλιση είναι μάλλον ατυχής καθώς αυτή σύμφωνα με το διεθνές δίκαιο των ανθρωπίνων δικαιωμάτων συνήθως συνδέεται με κάποια δημόσια πράξη που γνωστοποιεί το γεγονός της αναστολής των δικαιωμάτων στα υποκείμενα αυτών.

50 Όπως φαίνεται από την Explanatory Report, παρ. 56, η έκφραση εθνική ασφάλεια είναι μάλλον πιο κοντά στην βούληση των συντακτών της Σύμβασης.

51 Σε αυτά συμπεριλαμβάνονται ζητήματα φορολογίας, τελών και αλλαγών νομίσματος.

52 Όπως αναφέρει ο L.-A. Sicilianos, 136, φαίνεται ότι με βάση το Ψήφισμα μπορούν να προβλεφθούν και επιπλέον λόγοι παρεκκλίσεων.

53 Η ερμηνεία των Π. Αρμαμέντου - Β. Σωτηρόπουλου, 224, ότι οι ίδιοι λόγοι μπορούν να αποτελέσουν εξαιρέσεις από την συγκατάθεση του υποκειμένου για τα απλά δεδομένα, είναι σωστή.

54 Βλ. επίσης το άρθρο 11.4 για την υποχώρηση της αρχής της γνωστοποίησης στο υποκείμενο για λόγους ‘εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων’, μετά όμως από απόφαση της Αρχής.

55 Για μια εκτενή ανάλυση αυτών βλ. Ι. Ιγγλεζάκης, 214 κ.ε.

56 Για τους Π. Αρμαμέντο - Β. Σωτηρόπουλο, 113, αυτές οι αρχές αποτελούν νομοθετικές εξειδικεύσεις της αρχής της αναλογικότητας και του άρθρου 9Α του Συντάγματος και συνεπώς αποτελούν αναγκαστικό δίκαιο. Ο Ιωάννης Ιγγλεζάκης, Εισαγωγή στο Δίκαιο της Πληροφορικής (Σάκκουλας, Αθήνα-Θεσσαλονίκη 2006) 178, φαίνεται να συντείνει στο ίδιο συμπέρασμα.

57 Στην οδηγία προβλέπονται περισσότερες δυνατότητες περιορισμού.

58 Βέβαια θα είναι λάθος να αναφερόμαστε σε συνολική υποχώρηση της αρχής της νομιμότητας για τον απλούστατο λόγο ότι το κράτος δικαίου, μέρος του οποίου είναι η αρχή της νομιμότητας, δεν εξαφανίζεται στις περιπτώσεις που συντρέχουν λόγοι εθνικής ασφάλειας κοκ. Αντίστοιχα και σε σχέση με το Ψήφισμα είναι μάλλον ανακόλουθο να θεωρήσουμε ότι η αρχή του σκοπού κάμπτεται για λόγους που είναι αντίθετοι στις αρχές και τους σκοπούς των Ηνωμένων Εθνών, έστω και αν το κείμενο φαίνεται να δίνει αυτή τη δυνατότητα.

59 Ο ρόλος της επιβλέπουσας αρχής φαίνεται να κατοχυρώνεται για την εφαρμογή των αρχών και όχι για την περίπτωση των εξαιρέσεων, οι οποίες κυρίως συνέχονται με συμφέροντα του κράτους παρά με ιδιωτικά συμφέροντα.

60 Αυτό το σημείο τονίστηκε ιδιαίτερα στη Διαρκή Επιτροπή Δημόσιας Διοίκησης, Δημόσιας Τάξης και Δικαιοσύνης στο σχέδιο νόμου του Υπουργείου Δικαιοσύνης «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» από τον εκπρόσωπο του ΚΚΕ.

61 Βλ. L.-A. Sicilianos, 130 και Μ. Αυγουστιανάκης, 691.

62 Βλ. και Lilian Mitrou, ‘The Greek Law on the Protection of Personal Data, σε L.A. Sicilianos & M. Gavouneli (eds.) Scientific and Technological Development and Human Rights (Ant. N. Sakkoulas, Athens 2001) 145.