Προσωπικά δεδομένα – Ε.Ε: Οι προκλήσεις του νέου νομοθετικού πακέτου

bankwars_eurdatap

Στην εποχή  του Web 2.0 και της ψηφιακής «επιπεδοποίησης» η προστασία των προσωπικών δεδομένων στο αχανές ιντερνετικό σύμπαν  αποτελεί την αιχμή του δόρατος γύρω από  κάθε συζήτηση σχετικά με την προστασία της ιδιωτικής ζωής.

Με αφορμή ένα νέο νομοθετικό πακέτο που πρότεινε η Ευρωπαϊκή Επιτροπή για την προστασία των προσωπικών δεδομένων τον Ιανουάριο του 2012, στις 14 και 15 Μαϊου, το Ευρωπαϊκό Κοινοβούλιο κάλεσε δημοσιογράφους από τα 27 κράτη μέλη της Ευρωπαϊκής Ένωσης  για ένα ειδικό σεμινάριο, επί του συγκεκριμένου «καυτού» θέματος,  παρουσία ευρωβουλευτών και ειδικών.

Το νέο νομοθετικό πακέτο αποτελεί μια συνέχεια και επικαιροποίηση αντίστοιχης νομοθεσίας του 1995 και αποτελείται από έναν γενικό κανονισμό σχετικά με την προστασία των προσωπικών δεδομένων στην Ευρωπαϊκή Ένωση και μια οδηγία που αφορά ειδικά στην επεξεργασία δεδομένων για την αποτροπή, έρευνα και τιμωρία αντίστοιχων ποινικών αδικημάτων αλλά και την ενίσχυση των σχετικών ποινικών κυρώσεων. Ο στόχος είναι να ψηφισθεί η νομοθεσία στις αρχές του 2014 πριν τις κρίσιμες ευρωεκλογές του έτους.

Η συζήτηση μεταξύ των δημοσιογράφων, των ευρωβουλευτών και των ειδικών υπήρξε ζωηρή και τις δύο μέρες του σεμιναρίου σχετικά με τα καυτά σημεία κλειδιά της νέας νομοθεσίας.

Από το δικαίωμα του χρήστη στην λήθη (right to be forgotten) τους περιορισμούς στο λεγόμενο profiling και την μεταφορά των δεδομένων σε διαφορετικό πάροχο (data portability) μέχρι την υποχρέωση των εταιριών να λαμβάνουν την άδεια των χρηστών για άντληση των στοιχείων τους, τα ζητήματα που τίθεται είναι πολλά και κρίσιμα.

Το (αμφιλεγόμενο) δικαίωμα στην λήθη

Το συγκεκριμένο δικαίωμα δίνει την δυνατότητα στον χρήστη να ζητήσει από  κοινωνικά δίκτυα, online shops, διαδικτυακές τραπεζικές υπηρεσίες να διαγραφούν τα δεδομένα του εφόσον δεν συντρέχουν νομικοί λόγοι διατήρήσης τους. Τι γίνεται όμως σχετικά με τα δεδομένα που εκχωρούμε για παράδειγμα στις τράπεζες; Ο κ. Sebastian de Brouwer, διευθύνων σύμβουλος λιανικής, νομικής, οικονομικής και κοινωνικής πολιτικής στην Ευρωπαϊκή Ομοσπονδία Τραπεζών (European Banking Federation) δήλωσε στην ομιλία του ότι:  «Εμείς προτείνουμε την μη πλήρη διαγραφή των δεδομένων του χρήστη, διότι είναι απολύτως αναγκαίο για τις τράπεζες και τους διάφορους οικονομικούς φορείς να συλλέγουν δεδομένα για στατιστικούς λόγους, πρόβλεψη της οικονομικής συμπεριφοράς ενός ατόμου άρα και χορήγησης ή μη ενός δανείου αλλά και για την πρόληψη ενδεχόμενης οικονομικής απάτης». Σχετικά με το θέμα αυτό ο κ. Hielke Hijmans, Επικεφαλής της Μονάδας Πολιτικής και Διαβούλευσης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, δήλωσε ότι επιχειρήθηκε να εξαιρεθεί ο χρηματοπιστωτικός τομέας από την πρόταση της Επιτροπής, το οποίο όμως δεν έγινε τελικά δεκτό, γεγονός το οποίο τον βρίσκει σύμφωνο.

Επιπλέον, μπορείς τελικά να «εξαφανιστείς» από το διαδίκτυο; Ακόμα και αν ένας χρήστης αιτηθεί την διαγραφή των δεδομένων του, τα δεδομένα αυτά μπορεί στο μεσοδιάστημα να έχουν μεταφερθεί και να διατηρούνται σε άλλες ιστοσελίδες. Επίσης το δικαίωμα στην λήθη διέπεται από  την φύση του από μια σειρά περιορισμών, που σχετίζονται με την ελευθερία της έκφρασης, της διατήρησης δεδομένων για ιστορικούς, στατιστικούς, επιστημονικούς, νομικούς λόγους, για την δημόσια υγεία κοκ.

Jérémie  Zimmermann: “Το lobbying των εταιριών αποφασίζει για τους Ευρωπαίους πολίτες” 

«Το ζήτημα προστασίας των προσωπικών δεδομένων είναι αμιγώς πολιτικό. Το νομικό πλαίσιο πρέπει να είναι ξεκάθαρο και σαφές, ώστε ο χρήστης να γνωρίζει πότε πρέπει να δίνει την συναίνεση για την χρήση/ διαγραφή των προσωπικών του δεδομένων. Δυστυχώς όμως, εν πολλοίς το lobbying των εταιριών καθορίζει τις αποφάσεις για τους Ευρωπαίους πολίτες».  Τάδε έφη στην ομιλία του, την πρώτη μέρα του σεμιναρίου, o Jérémie  Zimmermann εκπρόσωπος του La Quadrature du Net, ενός οργανισμού προάσπισης των θεμελιωδών ελευθεριών στο διαδίκτυο  και  ένας από τους συγγραφείς, μαζί με τον Τζούλιαν Ασάνζ του βιβλίου  “Cypherpunks: Freedom and the Future of the Internet”.

Σημειώνεται ότι η συγκατάθεση του χρήστη, δεν απαιτείται μόνο στη περίπτωση που αποφασίζει ο ίδιος να αιτηθεί την διαγραφή των προσωπικών του δεδομένων από μια ιστοσελίδα αλλά και στην περίπτωση του λεγόμενου profiling.

Το νέο νομοθετικό πακέτο προβλέπει μια σειρά περιορισμών στην άσκηση του profiling ήτοι την πρακτική πρόβλεψης της πιθανής συμπεριφοράς ενός ατόμου, μέσω της αυτοματοποιημένης ανάλυσης στοιχείων και προσωπικών δεδομένων που έχει δώσει ο χρήστης σε διάφορες ιστοσελίδες. Σύμφωνα με την νέα ενισχυμένη νομοθεσία, απαιτείται η ρητή συγκατάθεση (explicit consent) του καταναλωτή/χρήστη για την συλλογή δεδομένων που τον αφορούν.

Στην πολιτική διάσταση του θέματος αναφέρθηκε και ο κ. Δημήτριος Δρούτσας, ευρωβουλευτής του ΠΑΣΟΚ και εισηγητής για την πρόταση οδηγίας στο νέο νομοθετικό πακέτο που πρότεινε η Ευρωπαϊκή Επιτροπή (εισηγητής για την πρόταση κανονισμού είναι ο Jan Philipp Albrecht από τους Γερμανούς Πρασίνους)  δηλώνοντας χαρακτηριστικά: “Το ζήτημα της προστασίας των προσωπικών δεδομένων είναι ιδαίτερα ευαίσθητο – βλέπω όμως μια τάση προστασίας των συμφερόντων των εταιριών αντί προστασίας των δικαιωμάτων των πολιτών, η οποία με ανησυχεί. Επιπλέον, εμφανείς είναι οι κόκκινες γραμμές μεταξύ των πολιτικών ομάδων, για ένα τόσο καίριο και καυτό θέμα. Από την άλλη δεν  θα πρέπει να αγνοούμε το σημαντικό έργο της Ευρωπαϊκής Ένωσης στο συγκεκριμένο τομέα, καταλήγει.

Προκλήσεις και ανακύπτοντα ζητήματα για τις επιχειρήσεις

Αυστηρές ποινικές κυρώσεις προβλέπονται για τις εταιρίες που θα παραβιάζουν τη σχετική νομοθεσία (για παράδειγμα εταιρίες που επεξεργάζονται ευαίσθητα προσωπικά δεδομένα χωρίς την συναίνεση του χρήστη ή ελλείψει νομικού ερείσματος) μέχρι και του ποσού του ενός εκατομμυρίου ευρώ ή έως και το 2% των διεθνούς ετήσιου τζίρου της εταιρίας. Για μικρότερες παραβιάσεις, τα πρόστιμα μπορούν να ξεκινούν από το ποσό των 250.000 ευρώ ή σε ποσό που αναλογεί στο 0,5% του τζίρου της εταιρίας. Επίσης, σύμφωνα με την πρόταση της Επιτροπής, εταιρίες οι οποίες απασχολούν προσωπικό τουλάχιστον 250 ατόμων, οφείλουν να προσλάβουν έναν ειδικό υπάλληλο επιφορτισμένο με τέτοιου είδους ζητήματα. Στην ομιλία της η Nuria Rodriguez, νομικός σύμβουλος στον Ευρωπαϊκό Οργανισμό Καταναλωτών (BEUC) ανέφερε χαρακτηριστικά «Είμαστε στο σκοτάδι για το πώς και γιατί συλλέγονται προσωπικά δεδομένα από εταιρίες. Υπάρχουν εταιρίες που εμπορεύονται προσωπικά δεδομένα πολιτών χωρίς την συγκατάθεσή τους. Όσον αφορά στο επιχείρημα ότι η νέα νομοθεσία θα περιορίσει την καινοτομία ή θα αποτελέσει ανάχωμα στην απρόσκοπτη οικονομική δραστηριότητα των επιχειρήσεων, η άποψή μου είναι ότι πρώτα απ’ όλα η έλλειψη εμπιστοσύνης των καταναλωτών στις επιχειρήσεις σχετικά με την χρήση των προσωπικών τους δεδομένων δημιουργεί τα αντίστοιχα προβλήματα» καταλήγει.

Richard Szostak: «Η ουσία της καινούριας νομοθεσίας είναι εξέλιξη και όχι επανάσταση» 

Ο Richard Szostak, μέλος του γραφείου της επιτρόπου και αντιπροέδρου της Ευρωπαϊκής Επιτροπής Viviane Reading που έκανε τις αντίστοιχες προτάσεις για την αναθεώρηση του υπάρχοντος νομοθετικού πλαισίου, τόνισε τον εξελικτικό χαρακτήρα των νέων κανόνων. «Ουσιαστικά με το νέο νομοθετικό πακέτο, βελτιώνονται οι υπάρχοντες κανόνες του 1995 με στόχο την ενίσχυση της ψηφιακής οικονομίας της Ευρώπης, της προστασίας της ιδιωτικής ζωής των Ευρωπαίων πολιτών και την εναρμόνιση των κανόνων περί προστασίας σε ευρωπαϊκό επίπεδο. Δεν προτείνεται κάτι εντελώς καινούριο ή επαναστατικό» προσθέτει.

Παρ’ όλα αυτά, γεγονός παραμένει ότι στον νέο κανονισμό κατατέθηκαν 3.133 τροπολογίες, ο μεγαλύτερος αριθμός τροπολογιών που κατατέθηκε ποτέ σε νομοθετικό κείμενο, ενώ άλλες 673 στο σχέδιο οδηγίας στην Επιτροπή Πολιτικών Ελευθεριών. Το γεγονός αυτό καταδεικνύει την συνθετότητα του θέματος και την δυσκολία εύρεσης ενός κοινού ευρωπαϊκού πλαισίου αναφοράς σ’ έναν τόσο ευαίσθητο θέμα.

Της Ελένης Νάτση