Ενόψει της εφαρμογής του νέου Ευρωπαϊκού Κανονισμού για την Προστασία Προσωπικών Δεδομένων, 2016/679 (GDPR) και των αυστηρών πλαισίων, που θέτει αυτός, πλέον, στην επεξεργασία προσωπικών δεδομένων, με την ενίσχυση των δικαιωμάτων των υποκειμένων, την αύξηση των υποχρεώσεων των υπευθύνων, τα υψηλά διοικητικά πρόστιμα και τον ιδιαίτερα περιορισμένο χρόνο για τη συμμόρφωση, την ανησυχία και συγχρόνως το ενδιαφέρον των φορέων του δημοσίου και δη των οργανισμών τοπικής αυτοδιοίκησης, έχει προκαλέσει η ανάρτηση πράξεων στο σύστημα ΔΙΑΥΓΕΙΑ.
Η ανομοιόμορφη εφαρμογή, στην πράξη, των σχετικών διατάξεων, έχει προκαλέσει σύγχυση στους φορείς και γεννά ερωτήματα, τα οποία χρήζουν απάντησης, τόσο για το συμφέρον των πολιτών, όσο όμως και για την προστασία του ίδιου του φορέα.
Αρχικά, θα πρέπει να διευκρινιστεί, ότι υπάρχει ήδη νομικό πλαίσιο, το οποίο σε συνδυασμό, με την υπάρχουσα νομοθεσία για την προστασία των προσωπικών δεδομένων, δηλαδή το νόμο 2472/1997, ρυθμίζει αναλυτικά τα επιμέρους ζητήματα, που αφορούν την ανάρτηση πράξεων, που περιλαμβάνουν και προσωπικά δεδομένα στη ΔΙΑΥΓΕΙΑ.
Με τις διατάξεις του ν. 2472/1997, θεσπίστηκαν οι προϋποθέσεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
Σύμφωνα με το άρθρο 4 παρ. 1 του ν. 2472/1997, τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει:
- Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο, για καθορισμένους,
σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη
επεξεργασία εν όψει των σκοπών αυτών.
- Να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά
Απαιτείται, εν όψει των σκοπών της επεξεργασίας.
- Να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε
ενημέρωση.
- Να διατηρούνται σε μορφή, που να επιτρέπει τον προσδιορισμό της
ταυτότητας των υποκειμένων τους, μόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής, η Αρχή μπορεί, με αιτιολογημένη απόφασή της, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς, επιστημονικούς ή στατιστικούς σκοπούς, εφόσον κρίνει ότι δεν θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων,τους ή και τρίτων.
Καθιερώνονται δηλαδή, οι αρχές του σκοπού της επεξεργασίας και της αναλογικότητας των δεδομένων, σε σχέση πάντα με το σκοπό της επεξεργασίας, αλλά και η αρχή του περιορισμού του χρόνου τήρησης.
Στο άρθρο 2β το ν. 2472/1997, ορίζονται ως «Ευαίσθητα δεδομένα», τα δεδομένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήματα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συμμετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά με ποινικές διώξεις ή καταδίκες, καθώς και στη συμμετοχή, σε συναφείς με τα ανωτέρω ενώσεις προσώπων. Ευαίσθητα δεδομένα, σημειωτέον, ότι προβλέπονται με το υπάρχον νομικό πλαίσιο και με το νόμο 2737/1999 (μεταμοσχεύσεις ανθρωπίνων ιστών και οργάνων και άλλες διατάξεις), το νόμο 3305/2005 (εφαρμογή της ιατρικώς υποβοηθούμενης αναπαραγωγής) και το ΠΔ 86/2009 (οργάνωση και λειτουργία του θεσμού της αναδοχής ανηλίκων).
Με το ν. 3861/2010, εισήχθη η υποχρέωση ανάρτησης των αναφερόμενων στο άρθ. 2 παρ. 4, πράξεων των κυβερνητικών και διοικητικών οργάνων στο διαδίκτυο, με σκοπό, κατά την αιτιολογική έκθεση αυτού, την επίτευξη της μέγιστης δημοσιότητας της κυβερνητικής πολιτικής και της διοικητικής δράσης, προς διασφάλιση της διαφάνειας της κρατικής δράσης και κατ’ αποτέλεσμα της υπευθυνότητας, της ευθύνης και της λογοδοσίας εκ μέρους των φορέων άσκησης της δημόσιας εξουσίας. Παράλληλα με το θεσμό αυτό ενισχύεται η δυνατότητα των πολιτών να απολαύσουν και να ασκήσουν το συνταγματικά κατοχυρωμένο δικαίωμα της πληροφόρησης.
Η κατά τις διατάξεις του ν. 3861/2010 ανάρτηση στο διαδίκτυο των αναφερόμενων στο αρθ. 2 διοικητικών πράξεων, όταν σε αυτές περιέχονται δεδομένα προσωπικού χαρακτήρα, συνιστά, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία, κατά την έννοια τόσο του ισχύοντος νομικού πλαισίου όσο και κατά το νέο Ευρωπαϊκό Κανονισμό.
Από τη διατύπωση του ν. 3861/2010 στο άρθρο 5, προκύπτει, ότι σε ότι αφορά τα απλά προσωπικά δεδομένα, η επεξεργασία πραγματοποιείται νόμιμα, για καθορισμένο, εκ των προτέρων, σαφή και νόμιμο σκοπό και είναι επιτρεπτή, χωρίς τη συγκατάθεση των υποκειμένων, δηλαδή των φυσικών προσώπων, των οποίων τα προσωπικά δεδομένα γίνονται αντικείμενο επεξεργασίας, εφόσον αυτή είναι αναγκαία για την εκπλήρωση υποχρέωσης του υπεύθυνου επεξεργασίας που επιβάλλεται από νόμο.
Δηλαδή, εν προκειμένω, σε ότι αφορά την ανάρτηση απλών προσωπικών δεδομένων η νομιμοποιητική βάση του φορέα είναι διάταξη νόμου!
Σε ότι αφορά από την άλλη τα ευαίσθητα προσωπικά δεδομένα, όπως αυτά αναλύθηκαν παραπάνω, ο ν. 3861/2010 στο άρθρο 5 αυτού, απαγορεύει, ρητά, την ανάρτηση στο διαδίκτυο πράξεων, που περιέχουν αυτά. Επομένως, το ισχύον νομικό πλαίσιο, είναι ήδη σαφές σε σχέση με την ανάρτηση ευαίσθητων προσωπικών δεδομένων στη ΔΙΑΥΓΕΙΑ και απαγορεύει αυτή, ρητά.
Συμπερασματικά, αυτό που προκύπτει από μια απλή ερμηνεία του ισχύοντος νομικού πλαισίου είναι το εξής:
Σε ότι αφορά τα ευαίσθητα προσωπικά δεδομένα, η ανάρτησή τους στο σύστημα ΔΙΑΥΓΕΙΑ απαγορεύεται ρητά. Αυτό πρακτικά σημαίνει, ότι όποια πράξη της Διοίκησης, χρήζει ανάρτησης στο σύστημα ΔΙΑΥΓΕΙΑ, σύμφωνα με το αρθ. 2 του ν. 3861/2010 και περιλαμβάνει ευαίσθητα προσωπικά δεδομένα, ο φορέας οφείλει να απαλείψει αυτά και να μην τα αναρτήσει. Αν παρά το σαφές νομοθετικό πλαίσιο προκύψει οποιαδήποτε σύγχυση, ιδίως συνδυαστικά με άλλες νομοθετικές διατάξεις, το ορθό θα ήταν να απευθυνθεί ερώτημα στην Αρχή Προστασίας Προσωπικών Δεδομένων και μόνο εφόσον δοθεί θετική απάντηση, να προχωρήσει ο φορέας σε σχετικές αναρτήσεις. Άλλως πρέπει να τηρήσει την απαγόρευση.
Ωστόσο, περιορισμοί τίθενται και σε σχέση με τα απλά προσωπικά δεδομένα, αφού και αυτά σύμφωνα με το ν. 3861/2010, πρέπει να αναρτώνται με την επιφύλαξη των επιταγών του ν. 2472/1997. Αυτό σημαίνει, ότι τα απλά δεδομένα, που αναρτώνται, πρέπει να είναι συναφή με την υποχρέωση, που εχει ο φορέας, βάσει νόμου, και να τηρούν τις αρχές της ελαχιστοποίησης και της αναλογικότητας, ή όπως λέμε στην καθομιλουμένη να είναι «τόσα όσα» χρειάζονται. Επιπλέον δεδομένα πρέπει να παραλείπονται.
Η Διοίκηση οφείλει να σταθμίσει αν τα προσωπικά δεδομένα, που περιέχονται στην αναρτητέα πράξη, είναι από τη φύση τους συναφή, πρόσφορα και αναγκαία για την επίτευξη του σκοπού της διαφάνειας της κρατικής δράσης. Εν αμφιβολία, καλό θα ήταν να γίνει αντιληπτό και να υιοθετηθεί, ως αρχή, ότι η Διοίκηση, θα πρέπει να λειτουργεί υπέρ των υποκειμένων ή σε κάθε περίπτωση να απευθύνεται στην Αρχή Προστασίας Προσωπικών Δεδομένων και μέχρι να λάβει την έγκρισή της να παραλείπει την ανάρτηση τέτοιων δεδομένων.
Καταληκτικά λοιπόν, το ισχύον νομικό πλαίσιο είναι ήδη σαφές και δεν αφήνει περιθώρια ευέλικτης εφαρμογής ή ανομοιομορφίας στην τήρησή του, παρότι αυτό παρατηρείται συχνά στην πράξη.
Σημειωτέον, ότι το Νομικό Συμβούλιο του Κράτους, ήδη, έχει γνωμοδοτήσει σχετικά, με την 198/2011 Γνωμοδότηση και κατά την κρίση μας, βασίζεται σε ορθό σκεπτικό.
Το νέο νομοθετικό καθεστώς και ειδικότερα ο Ευρωπαϊκός Κανονισμός 679/2016, δεν έρχεται να αφαιρέσει τίποτα από τα παραπάνω, παρά μόνο να προσθέσει. Πέρα από την διεύρυνση της κατηγορίας των ευαίσθητων προσωπικών δεδομένων, που θα πρέπει να λάβουν υπόψη οι φορείς, η Διοίκηση θα πρέπει να λάβει κάποια μέτρα. Ενδεικτικά, θα πρέπει να γίνεται, για κάθε πράξη επεξεργασίας, ρητή αναφορά και γνωστοποίηση στο κοινό, των νομοθετικών διατάξεων, βάσει των οποίων γίνεται η επεξεργασία προσωπικών δεδομένων, με την ανάρτηση στη ΔΙΑΥΓΕΙΑ. Όπου προβλέπεται συναίνεση των υποκειμένων, αυτή θα πρέπει να είναι ρητή, σαφής και ξεκάθαρη και να αφορά συγκεκριμένο σκοπό. Θα πρέπει να διευκρινίζεται ο χρόνος τήρησης των δεδομένων και να αιτιολογείται αυτός σαφώς. Σε περίπτωση παράτασης αυτού θα πρέπει να δίνεται η άδεια της Αρχής. Θα πρέπει να υπάρχουν διαδικασίες ενημέρωσης των υποκειμένων για τα στοιχεία, που γίνονται αντικείμενο επεξεργασίας, ανά πάσα στιγμή και εντός των προβλεπόμενων χρονοδιαγραμμάτων.
Η προστασία των προσωπικών δεδομένων είναι γεγονός και αυτή θα πρέπει πλέον να ενσωματωθεί σε κάθε επεξεργασία που γίνεται από τους φορείς ήδη από τον σχεδιασμό, αλλά και να αποκτηθεί η σχετική κουλτούρα στο ανθρώπινο δυναμικό.