Ο τρόπος λειτουργίας της ΔΙΑΥΓΕΙΑΣ υποβαθμίζει την προστασία των προσωπικών δεδομένων

Γενικός Κανονισμός Προστασίας Δεδομένων [pixabay]

Ο νόμος 3861/2010 για την ενίσχυση της διαφάνειας με την υποχρεωτική ανάρτηση νόμων και πράξεων των κυβερνητικών, διοικητικών και αυτοδιοικητικών οργάνων στο Διαδίκτυο «Πρόγραμμα Διαύγεια» κα. εφαρμόζεται από την 01-10-2010.

Ο Δημήτρης Ζωγραφόπουλος είναι δικηγόρος – ειδικός επιστήμονας στην Αρχή Προστασίας
Δεδομένων Προσωπικού Χαρακτήρα και υπεύθυνος προστασίας δεδομένων (DPO) του υπουργείου Υγείας. Απάντησε στη EURACTIV σχετικα με τη συμβατότητα της ΔΙΑΥΓΕΙΑΣ με το νέο Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR). Οι απόψεις που δημοσιεύονται είναι προσωπικές και όχι του φορέα. 

Είχα την τύχη να συμμετέχω ως εισηγητής στα βραχυχρόνια προγράμματα εκπαίδευσης του ΕΚΔΔΑ για τις Ομάδες έργου του Προγράμματος Δι@γεια, οπότε γνωρίζω τα προβλήματα από πρώτο χέρι. Κυρίως, τα σχετικά προγράμματα διήρκησαν μικρό χρονικό διάστημα, ενώ πολλαπλασιάστηκαν έκτοτε οι χρήστες του Προγράμματος.

Εκατομμύρια εγγράφων έχουν ήδη αναρτηθεί στο διαδίκτυο κατ’ εφαρμογή των διατάξεων του εν λόγω νόμου, δημιουργώντας μεγάλο όγκο «μαζικών δεδομένων» (big data), προς τέρψη όλων όσων μπορούν να εκμεταλλευτούν – με διάφορες τεχνικές και για περισσότερους σκοπούς – τα δεδομένα – προσωπικά και μη – που τα έγγραφα αυτά περιέχουν.

Σύμφωνα με την αιτιολογική έκθεση του νόμου, σκοπός του είναι: «η επίτευξη της μέγιστης δημοσιότητας της κυβερνητικής πολιτικής και της διοικητικής δράσης. Η ευρεία δημοσιότητα και η πρόσβαση στην πληροφορία που εξασφαλίζουν τα νέα μέσα διαδικτυακής επικοινωνίας διασφαλίζουν τη διαφάνεια της κρατικής δράσης και κατ’ αποτέλεσμα την υπευθυνότητα, την ευθύνη και τη λογοδοσία από την πλευρά των φορέων άσκησης της δημόσιας εξουσίας».

Είναι εξαιρετικά αμφίβολο ότι το Πρόγραμμα Δι@γεια έχει πραγματικά συμβάλει στη διασφάλιση των σκοπών αυτών. Η μηχανιστική και μαζική ανάρτηση διοικητικών πράξεων στο διαδίκτυο δεν συμβάλλει ουσιαστικά στη διασφάλιση της υπευθυνότητας, της ευθύνης και της λογοδοσίας από την πλευρά των φορέων άσκησης της δημόσιας εξουσίας.

Αντίθετα, έχει δυστυχώς και πέραν πάσης αμφιβολίας συμβάλει στην υποβάθμιση της προστασίας των δεδομένων προσωπικού χαρακτήρα από την πλευρά των φορέων της δημόσιας διοίκησης, καθώς έχει καταλήξει σε συστηματικές παραβιάσεις των διατάξεων της Οδηγίας 95/46/ΕΚ και του νόμου 2472/1997, που τις ενσωμάτωσαν στην ελληνική έννομη τάξη, και, πλέον, από τις 25-05-2018, εκείνων του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ – GDPR).

Πράγματι, όλο αυτό το χρονικό διάστημα ισχύος και εφαρμογής του Προγράμματος Δι@γεια έχει δυστυχώς διαπιστωθεί – ιδίως, στη βάση ελέγχου πλήθους καταγγελιών ερωτημάτων, έχουν υποβληθεί στην ΑΠΔΠΧ και των αποφάσεων που αυτή έχει εκδώσει σχετικά – καταρχάς ότι το σχετικό νομοθετικό πλαίσιο χρήζει οπωσδήποτε και επιτακτικά τροποποίησης, προκειμένου να είναι σύμφωνο με διατάξεις υπέρτερης τυπικής ισχύος που κατοχυρώνουν το δικαίωμα του ατόμου στην προστασία έναντι της επεξεργασίας δεδομένων του προσωπικού χαρακτήρα (Βλ. ιδίως τα άρθρα 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, 8 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), 9Α του Συν/τος και, από τις 25-05-2018, τις διατάξεις του ΓΚΠΔ).

Επίσης, ότι συγκεκριμένες πρακτικές της Διοίκησης προδήλως αντίκεινται στις διατάξεις για την προστασία του ατόμου από την επεξεργασία προσωπικών του δεδομένων (αρχικά εκείνες της Οδηγίας 95/46/ΕΚ και του νόμου 2472/1997, που τις ενσωμάτωσαν στην ελληνική έννομη τάξη, και, πλέον, εκείνες του ΓΚΠΔ).

Πρέπει να υπογραμμιστεί, καταρχάς, ότι στις περιπτώσεις, στις οποίες οι διατάξεις του άρθρου 2 του νόμου 3861/2010 προβλέπουν την ανάρτηση διοικητικών πράξεων στο Πρόγραμμα Δι@γεια που περιέχουν δεδομένα προσωπικού χαρακτήρα, η επεξεργασία αυτή (ανάρτηση) προβλέπεται από διατάξεις νόμου και δεν εξαρτάται από τη συγκατάθεση του υποκειμένου των δεδομένων.

Συνεπώς, η ανάρτηση επιτρέπεται να διενεργηθεί και χωρίς τη συγκατάθεσή ή παρά την άρνηση του υποκειμένου των δεδομένων (με εξαίρεση τις περιπτώσεις που ενδεχομένως γίνουν δεκτές αντιρρήσεις του υποκειμένου στη βάση ιδίως των διατάξεων του άρθρου 21 του ΓΚΠΔ).

Ακολούθως, οι συνήθεις και συστηματικές παραβιάσεις των διατάξεων για την προστασία του ατόμου από την επεξεργασία προσωπικών του δεδομένων από αναρτήσεις διοικητικών εγγράφων στο Πρόγραμμα Δι@γεια είναι ιδίως οι εξής:

1) Καταρχάς, οι πράξεις, που αναρτώνται, πρέπει να είναι πράγματι αναρτητέες στο διαδίκτυο, σύμφωνα με τα οριζόμενα στο άρθρο 2 του νόμου 3861/2010. Δυστυχώς, συστηματικά αναρτώνται πράξεις, οι οποίες δεν είναι αναρτητέες κατά το άρθρο 2 του νόμου 3861/2010 (για παράδειγμα, έχουν αναρτηθεί μέχρι πρακτικά πειθαρχικών συμβουλίων!!). Η ανάρτηση τέτοιων πράξεων, κατά παράβαση του άρθρου 2 του νόμου 3861/2010, συνιστά αυτόματα παραβίαση και των διατάξεων για την προστασία του ατόμου από την επεξεργασία προσωπικών του δεδομένων.

2) Στη συνέχεια, αναρτώνται συστηματικά πράξεις που περιέχουν ευαίσθητα προσωπικά δεδομένα – πλέον, όπως αυτά ορίζονται στα άρθρα 9 παρ. 1 και 10 του ΓΚΠΔ – κατά παράβαση της ρητής απαγόρευσης του άρθρου 5 παρ. 1 του νόμου 3861/2010.

3) Περαιτέρω, αναρτώνται συστηματικά πράξεις, που περιέχουν μεν απλά και όχι ευαίσθητα δεδομένα προσωπικού χαρακτήρα, αλλά κατά παράβαση των θεμελιωδών αρχών, που πρέπει να διέπουν κάθε επεξεργασία δεδομένων, όπως αυτές ορίζονται πλέον στο άρθρο 5 του ΓΚΠΔ.

Οι θεμελιώδεις αρχές, που παραβιάζονται περισσότερο, είναι η αρχή της ελαχιστοποίησης των δεδομένων και του περιορισμού της περιόδου αποθήκευσης, καθόσον δεν προβλέπεται σαφής χρονική διάρκεια της ανάρτησης, με αποτέλεσμα διοικητικές πράξεις, που περιέχουν προσωπικά δεδομένα, να παραμένουν αναρτημένες στο διαδίκτυο για αόριστο χρονικό διάστημα, γεγονός καταφανώς παράνομο και απαράδεκτο.

Η ΑΠΔΠΧ έχει, κατ’ επανάληψη, υπογραμμίσει ότι η ανάρτηση δεδομένων προσωπικού χαρακτήρα, όπως ο αριθμός φορολογικού μητρώου, ο αριθμός του δελτίου αστυνομικής ταυτότητας, αλλά και ο IBAN τραπεζικού λογαριασμού, που περιέχονται στα χρηματικά εντάλματα πληρωμής ή σε άλλες διοικητικές πράξεις που αναρτώνται στο διαδίκτυο, παραβιάζει προδήλως την αρχή της αναλογικότητας (πλέον, αρχή της ελαχιστοποίησης των δεδομένων) και, για το λόγο αυτό, απαγορεύεται.

Προκειμένου να αποφεύγονται καταστρατηγήσεις και κατάφωρες παραβιάσεις των διατάξεων του ΓΚΠΔ θα ήταν καταρχήν σκόπιμο να προβλεφθεί η ανάρτηση περίληψης ή αποσπάσματος του περιεχομένου διοικητικών πράξεων και όχι το συνολικό τους περιεχόμενο.

Κάτι τέτοιο δεν θα έπληττε την αρχή της διαφάνειας της δημόσιας διοίκησης, πόσω μάλλον που προβλέπεται πάντοτε η δυνατότητα χορήγησης διοικητικών εγγράφων σε φυσικά ή νομικά πρόσωπα, που επικαλούνται και αποδεικνύουν την ύπαρξη ειδικού εννόμους συμφέροντος.

Μία τέτοια λύση επιβάλλεται ουσιαστικά και από τη νομολογία του Δικαστηρίου της ΕΕ (Βλ. ιδίως: ΔΕΕ, απόφαση της 16ης Δεκεμβρίου 2008, στην υπόθεση C-73/07, Satakunnan Markkinapörssi Oy, Satamedia Oy, ΔΕΕ, απόφαση της 29ης Ιουνίου 2010, στην υπόθεση C 28/08 P, The Bavarian Lager Co. Ltd, ΔΕΕ, απόφαση της 9ης Νοεμβρίου 2010 στις συνεκδικαζόμενες υποθέσεις C-92/09 και C-93/09, Volker und Markus Schecke GbR, Hartmut Eifert κατά Land Hessen).

X