Ποιοι είμαστε

Τετάρτη 9 Μαρτίου 2022

ΣΧΟΛΙΑΣΜΟΣ της Γνωμοδότησης του Υπεύθυνου Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας


Η Γνωμοδότηση αυτή (ΑΠ:12186/25.2.202,) κοινοποιήθηκε ως απάντηση στους πολίτες που ζήτησαν τον περιορισμό της παράνομης επεξεργασίας των προσωπικών δεδομένων τους, τα οποία περιέχονται στη Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης και εισηγείται την απόρριψη του αιτήματος τους (ολόκληρη η γνωμοδότηση εδώ).

-------------------------------------------------------

Κατ' αρχάς δύο γενικές παρατηρήσεις σχετικά με την εν λόγω γνωμοδότηση:

Η πρώτη είναι ότι είναι εμφανής η μεροληψία σε βάρος των πολιτών που άσκησαν το δικαίωμα περιορισμού της επεξεργασίας των προσωπικών δεδομένων τους, αφενός γιατί τους αποδίδει αυθαιρέτως ότι “αυτοπροσδιορίζονται ως υπόχρεα πρόσωπα”, παρότι στη ΔΗΛΩΣΗ άσκησης του δικαιώματός τους δεν αναφέρεται κάτι τέτοιο, αφετέρου γιατί περιέχει κρίσεις και παραινέσεις σε ζητήματα άσχετα ως προς τις αρμοδιότητες του Υπευθύνου Προστασίας Δεδομένων (ΥΠΔ), οι οποίες σαφώς δεν συνάδουν με το θεσμικό ρόλο που κατέχει ο ΥΠΔ στο σύστημα προστασίας δεδομένων του ΓΚΠΔ και δημιουργούν εύλογες υπόνοιες για πλημμελή εκτέλεση των σχετικών καθηκόντων.

Η δεύτερη ότι δυστυχώς συσκοτίζει - αντί να διαφωτίζει - για το ισχύον νομικό πλαίσιο προστασίας των προσωπικών δεδομένων. Το συμπέρασμα δε αυτό προκύπτει από τα παρακάτω αναφερόμενα.

Α. Ο Κανόνας και οι εξαιρέσεις

1.. Κατά λογική σειρά νομικής σκεψης (κι όχι μόνο) πρώτα εξετάζεται ο κανόνας και μετά οι εξαιρέσεις του. Εν προκειμένω ο κανόνας για το θέμα που μας απασχολεί, δηλαδή την επεξεργασία των προσωπικών δεδομένων μας που περιέχονται στη Βάση Δεδομένων Συστήματος Ηλεκτρονικής Συνταγογράφησης για την κατάρτιση της λίστας που προβλέπεται στην ΚΥΑ για την επιβολή του προστίμου, είναι ότι τα προσωπικά δεδομένα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.

2. Πρόκειται για την Αρχή του Περιορισμού του Σκοπού, η οποία είναι θεμελιώδης για το ευρωπαϊκό δίκαιο προστασίας των προσωπικών δεδομένων και καταγράφεται στο άρθρο 5 παρ. 1 στ. β του ΓΚΠΔ. Η έννοια της εν λόγω Αρχής έχει δύο θεμέλια: Το πρώτο, ότι τα προσωπικά δεδομένα πρέπει να συλλέγονται για “συγκεκριμένους, ρητούς και νόμιμους σκοπούς” και το δεύτερο, ότι δεν πρέπει να υποβάλλονται σε περαιτέρω επεξεργασία με ασύμβατο τρόπο ως προς τους σκοπούς αυτούς .

3. Για την αξιολόγηση της συμβατότητας της περαιτέρω επεξεργασίας με τον αρχικό σκοπό προβλέπονται στο άρθρο 6 παρ. 4 του Γ.Κ.Π.Δ τα εξής κριτήρια :

- Η σχέση μεταξύ του σκοπού για τα οποία έχουν συλλεγεί τα προσωπικά δεδομένα και ο σκοπός της περαιτέρω επεξεργασίας.

- Το πλαίσιο εντός του οποίου τα προσωπικά δεδομένα έχουν συλλεγεί και οι εύλογες προσδοκίες των υποκειμένων των δεδομένων για την περαιτέρω χρήσή τους.

- Το είδος των προσωπικών δεδομένων και οι επιπτώσεις από την περαιτέρω επεξεργασία τους για το υποκείμενο των δικαιωμάτων.

-Οι εγγυήσεις που λαμβάνονται από τον υπεύθυνο επεξεργασίας προκειμένου να διασφαλίσει τη δίκαιη επεξεργασία και να εμποδίσει κάθε αδικαιολόγητη επίπτωση στο υποκείμενο των δικαιωμάτων.

4. Εξαίρεση στον παραπάνω κανόνα ως προς την συμβατότητα της περαιτέρω επεξεργασίας με τον αρχικό σκοπό εισάγεται στον Γ.Κ.Π.Δ με το άρθρο 23 και στο εθνικό μας δίκαιο με το άρθρο 24 του ν. 4624/2019 (ΦΕΚ Α 137/29.8.2019). Η ερμηνεία και των δύο αυτών διατάξεων που εισάγουν περιορισμούς στην προστασία των προσωπικών δεδομένων πρέπει να είναι αυστηρή και να εξετάζεται επιμελώς αν πληρούνται οι προϋποθέσεις τους, καθώς σύμφωνα με τις κατευθυντήριες οδηγίες του Ευρωπαϊκου Συμβουλίου Προστασίας Δεδομένων δεν πρέπει να οδηγούν σε κατάργηση του θεμελιώδους δικαιώματος της προστασίας των προσωπικών δεδομένων των πολιτών.

5. Οι προϋποθέσεις που θέτει το άρθρο 23 παράγραφοι 1 και 2 του Γ.Κ.Π.Δ είναι οι εξής:

  • Να προβλέπονται σε συγκεκριμένες διατάξεις νόμου: οι σκοποί της επεξεργασίας, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που αφορούν οι περιοριορισμοί, το πεδιο εφαρμογής των περιορισμών που επιβλήθηκαν, οι εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης, οι περίοδοι αποθήκευσης και οι ισχύουσες εγγυήσεις, οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων, το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό.

  • Να σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών.

  • Να συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία και

  • Να τίθεται προς διασφάλιση:

α)

της ασφάλειας του κράτους,

β)

της εθνικής άμυνας,

γ)

της δημόσιας ασφάλειας,

δ)

της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένης της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της πρόληψης αυτών.

ε)

άλλων σημαντικών στόχων γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος της Ένωσης ή κράτους μέλους, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων, της δημόσιας υγείας και της κοινωνικής ασφάλισης,

στ)

της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών,

ζ)

της πρόληψης, της διερεύνησης, της ανίχνευσης και της δίωξης παραβάσεων δεοντολογίας σε νομοθετικά κατοχυρωμένα επαγγέλματα,

η)

της παρακολούθησης, της επιθεώρησης ή της κανονιστικής λειτουργίας που συνδέεται, έστω περιστασιακά, με την άσκηση δημόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία α) έως ε) και ζ),

θ)

της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,

ι)

της εκτέλεσης αστικών αξιώσεων.

6. Οι προϋποθέσεις που τίθενται από το άρθρο 24 παρ. 1 του ν. 4624/2019 (ΦΕΚ Α' 137) για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, είναι η επεξεργασία αυτή να είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι: (α) απαραίτητος ο έλεγχος των πληροφοριών που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες (β) αναγκαία για την αποτροπή κινδύνων για την εθνική ασφάλεια, την εθνική άμυνα ή τη δημόσια ασφάλεια ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων, (γ) αναγκαία για τη δίωξη ποινικών αδικημάτων (δ) αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου και (δ) απαραίτητη για την παραγωγή των επίσημων στατιστικών. Ειδικά δε για την επεξεργασία των ειδικών (ευαίσθητων) δεδομένων του άρθρου 9 του ΓΚΠΔ η παράγράφος 2 του άρθρου 24 προβλέπει ότι πρέπει να πληρούνται οι προαναφερόμενες προϋποθέσεις της παραγράφου 1 του ίδιου άρθρου και επιπλέον να εφαρμόζεται και μια από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις.

7. Ωστόσο, η σχολιαζόμενη γνωμοδότηση δεν αναφέρει το παραπάνω νομικό πλαίσιο, ώστε να γίνει κατανοητό το πλαίσιο προστασίας των προσωπικών δεδομένων, αλλά επιλέγει να επικαλεσθεί μόνο τη διάταξη του άρθρου 23 παρ. 1 ΓΚΠΔ και μάλιστα με εντελώς αόριστο και ελλιπή τρόπο, όπως φαίνεται από τα παρακάτω.

Β. Αοριστία και ασάφεια: Η τεχνική για την εξαγωγή αυθαίρετων πορισμάτων

Ενώ οι κανόνες της λογικής είναι το εργαλείο για την κατανόηση ενός θέματος και για την εξαγωγή ορθών συμπερασμάτων, η ασάφεια και η αοριστία αποτελούν την καταλληλη τεχνική συσκότισης και εξαγωγής αυθαίρετων πορισμάτων. Και δυστυχώς αυτή την τεχνική φαίνεται ότι ακολουθεί η σχολιαζόμενη γνωμοδότηση, όπως προκύπτει από τα ακόλουθα:

1. Κατ' αρχάς αφιερώνεται ολόκληρη η υπ' αριθ. 3 σκέψη της εν λόγω γνωμοδότησης στην κρίση του ΥΠΔ ότι η υποχρεωτικότητα του εμβολιασμού συνιστά “συνταγματικά ανεκτή προσβολή” των δικαιωμάτων του πολίτη, δηλαδή σε θέμα άσχετο με τις αρμοδιότητές του. Αντιθέτως δεν αναλύεται ούτε ακροθιγώς η θεμελιώδης Αρχή του Περιορισμού του Σκοπού, παρότι ορίζει το πλαίσιο εντός του οποίου πρέπει να εξετασθεί η βασιμότητα του ασκούμενου δικαιώματός για περιορισμό της επεξεργασίας των προσωπικών δεδομένων για σκοπό διαφορετικό από αυτόν που συλλέχθηκαν.

2. Εν συνεχεία, στην υπ' αριθ. 4 σκέψη, διατυπώνεται η κρίση ότι οι διατάξεις του άρθρου 24 ν. 4865/2021 και της ΚΥΑ που εκδοθηκε για τη διαδικασία επιβολής του προστίμου “θεσπίζουν περιορισμούς στο δικαίωμα του ατόμου στην προστασία έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα” σύμφωνα με το άρθρο 23 ΓΚΠΔ. Βεβαίως, για να ισχύει κάτι τέτοιο θα πρέπει να πλήρούνται όλες οι προαναφερόμενες προϋποθέσεις που θέτει το άρθρο αυτό και πρώτα – πρώτα να γίνεται ρητή μνεία σε συγκεκριμένες διατάξεις του άρθρου 24 ν. 4865/2021 και της ΚΥΑ για τους περιορισμούς που επιβάλλονται και την έκταση εφαρμογής τους. Εν προκειμένω όμως δεν αναφέρεται ούτε σε ποιες συγκεκριμένες διατάξεις του νόμου και της ΚΥΑ στηρίζεται η κρίση αυτή, ούτε ποιο είναι το είδος των περιορισμών της προστασίας προσωπικών δεδομένων που υποτίθεται ότι θεσπίζονται . Λόγω δε της αοριστίας αυτής , είναι αδύνατον να κριθεί ότι ισχύουν οι υπόλοιπες προϋποθέσεις που θέτει το άρθρο 23 ΓΚΠΔ, ότι δηλαδή οι (απροσδιόριστοι και μη κατονομαζόμενοι) περιορισμοί “σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών” και αποτελούν το “αναγκαίο και αναλογικό μέσο” , όπως εντελώς αόριστα και αβάσιμα υποστηρίζεται στη σχολιαζόμενη γνωμοδότηση, στην οποία δεν γίνεται κάν μνεία για τη διασφάλιση ποιου έννομου αγαθού, από αυτά που αναφέρονται εξαντλητικά στο άρθρο 23 παράγραφος 1 θεσπίστηκαν οι (υποτιθέμενοι) περιορισμοί.

3. Ακόμη όμως πιο αόριστα, ασαφή και αβάσιμα είναι όσα αναφέρονται στην υπ' αριθ. 6 σκέψη.

Συγκεκριμένα: Στο σημείο (α) επικαλείται τη δυνατότητα να τύχουν περαιτέρω επεξεργασίας τα προσωπικά δεδομένα που συλλέγονται και τηρούνται στο ΣΗΣ και αναφέρεται στο άρθρο 9 παρ. 2 του ΓΚΠΔ, παραλείπει όμως να αναφέρει τη διάταξη του άρθρου 24 του ν. 4624/2019(ΦΕΚ Α' 137), η οποία ειναι η ειδική εθνική διάταξη που έχει εκδοθεί σύμφωνα με την διάταξη της παραγράφου 3 του άρθρου 6 του ΓΚΠΔ και ρυθμίζει το θέμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από εκείνον για τον οποίο αρχικά συλλέχθηκαν. Η παράλειψη δε αυτή προφανώς δεν οφείλεται σε άγνοια, αλλά στο γεγονός ότι δεν πληρούνται οι προϋποθέσεις που θέτει και συνεπώς η επίκλησή της θα οδηγούσε στο βάσιμο συμπέρασμα ότι είναι παράνομη η επεξέργασία των προσωπικών δεδομένων που συλλέγονται και τηρούνται στο ΣΗΣ για το σκοπό της επιβολής προστίμου.

Στο σημείο (β) αναφέρεται ο ισχυρισμός ότι η επεξεργασία των προσωπικών δεδομένων που συλλέγονται και τηρούνται στο ΣΗΣ είναι θεμιτή για τον προσδιορισμό των υπόχρεων προσώπων γίατί “πρόκειται απλά για απάντηση στο ερώτημα (ανά ενδιαφερόμενο) εάν προκύπτει από τα στοιχεία που τηρούνται στο ΣΗΣ, ότι το ενδιαφερόμενο πρόσωπο έχει κάνει χρήση ή όχι συνταγογράφησης εντός τελευταίας πενταετίας...”. Ωστόσο σύμφωνα με το άρθρο 4 περ. 2 “επεξεργασία” είναι κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή. Συνεπώς πρόκειται για “επεξεργασία” προσωπικών δεδομένων και μάλιστα παράνομη γιατί δεν πληρούνται οι προϋποθέσεις που θέτει το άρθρο 24 του ν. 4624/2019.

Τέλος στο σημείο (γ) διατυπώνονται τα εξής αυθαίρετα και αβάσιμα συμπεράσματα:

  • Ότι “η προαναφερόμενη περαιτέρω επεξεργασία είναι θεμιτή, καθόσον ρυθμίζεται ρητά από τις διατάξεις του άρθρου 24 του ν. 4865/2021 και της ΚΥΑ” οι οποίες είναι “ειδικές ως προς τους προαναφερόμενους κανόνες υπέρτερης ισχύος” .

  • Ότι “ο έλεγχος συμβατότητας πληροί τα κριτήρια”

  • Ότι τηρείται η αρχή της ελαχιστοποίησης

Ωστόσο και τα τρία αυτά συμπεράσματα στερούνται σοβαρότητας για τους εξής λόγους:

(α) Διότι σε ένα ιεραρχικό σύστημα κανόνων δικαίου, ένας νόμος που το περιεχόμενο του έρχεται σε αντίθεση με το περιεχόμενο ενός υπέρτερου κανόνα δικαίου, δεν χαρακτηρίζεται “ειδικός”, αλλά ανίσχυρος και εν προκειμένω οι διατάξεις του άρθρου 24 του ν. 4865/2021 και της ΚΥΑ έρχονται σε αντίθεση με τα οριζόμενα στο άρθρο 5 παρ. 1 στ β.

(β) Διότι ουδείς μπορεί να υποστηρίξει σοβαρά ότι υπάρχει σχέση ανάμεσα στη συλλογή προσωπικών δεδομένων για συνταγογράφηση και τη μεταγενέστερη χρήση τους για την επιβολή προστίμου ή ότι συγκαταλέγεται στις “εύλογες προσδοκίες” των υποκειμένων των δεδομένων η μεταγενέστερη επεξεργασία των προσωπικών δεδομένων τους που συλλέχθηκαν για τις ανάγκες συνταγογράφησης για το σκοπό της επιβολής προστίμου, ώστε να θεωρηθεί ότι πληρούνται τα “κριτήρια συμβατότητας” και

(γ) Διότι μόνο ως αστείο μπορεί να εκληφθεί ο ισχυρισμός ότι τα δεδομένα για τη χρήση συνταγογράφησης είναι πρόσφορα, συναφή και αναγκαία για το σκοπό της επιβολής προστίμου , ώστε να εξάγει το συμπέρασμα ότι τηρείται η αρχή της ελαχιστοποίησης.

Εν ολίγοις, όλα τα παραπάνω είναι εξόχως αβάσιμα και στόχο έχουν να καλύψουν την παράνομη επεξεργασία των προσωπικών δεδομένων των πολιτών για το σκοπό της επιβολής προστίμου.

 4. Τέλος, στη σκέψη (7) γίνεται αναφορά σε “ενδεχόμενη απαράδεκτη άσκηση” του σχετικού δικαιώματος “για το λόγο ότι οι πολίτες άσκησαν το εν λόγω δικαίωμα προς τον Υπεύθυνο Προστασίας Δεδομένων (DPO) του Υπουργείου Υγείας και όχι προς τον ίδιο τον Υπουργό Υγείας ως υπεύθυνο επεξεργασίας”. Ωστόσο αποκλείεται να υφίσταται άγνοια ότι υπάρχει σαφής οδηγία από την Αρχή Προστασίας Προσωπικών Δεδομένων, αναρτημένη στην ιστοσελίδα της, ότι στις περιπτώσεις που ο υπεύθυνος επεξεργασίας έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ - DPO) οι πολίτες μπορούν να απευθύνονται σε αυτόν για κάθε ζήτημα σχετικό με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και για την άσκηση των δικαιωμάτων τους.

Εν κατακλείδι: Η γνωμοδότηση αυτή είναι μεροληπτική, αβάσιμη και εξυπηρετεί τον επικοινωνιακό στόχο της δικαιολόγησης της παράνομης επεξεργασίας των προσωπικών δεδομένων πολιτών από δημόσιους φορείς.

                                                     Στέλλα Πατρώνα

                                                       Δικηγόρος

                       Μέλος του Δικτύου Ενεργών Καταναλωτών - Δ.Ε.ΚΑ












 

1 σχόλιο: