Διαβάστε περισσότερα για τις λύσεις που μπορεί να σας προσφέρει η Grant Thornton εδώ.
Αναλύοντας τα κακώς κείμενα του νομοθετήματος
Η - σε ορισμένες περιπτώσεις - προχειρότητα στη σύνταξη του νομοσχεδίου, που εν μέρει οφείλεται και στο χαρακτήρα του «κατεπείγοντος» που του προσδόθηκε, γίνεται έντονα αντιληπτή καθώς σε ορισμένες περιπτώσεις δρα εξαιρετικά προστατευτικά για τα υποκείμενα των δεδομένων, σε άλλες παραδόξως δεν παρέχει σε αυτά τις απαραίτητες εγγυήσεις για την επεξεργασία των προσωπικών τους δεδομένων, όπως στην περίπτωση επεξεργασίας των δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα, σύμφωνα με το Άρθρο 10 του GDPR.
Προς επίρρωση των ανωτέρω, παρατηρείται ότι ο Ν. 4624/2019 αφαιρεί από το πλαίσιο αρμοδιοτήτων της Αρχής τον έλεγχο πράξεων επεξεργασίας, οι οποίες διενεργούνται από δικαστικές και εισαγγελικές αρχές ή για σκοπούς εθνικής ασφάλειας. Με αυτόν τον τρόπο διαιωνίζεται το προηγούμενο αμφιλεγόμενο καθεστώς κατά το οποίο πράξεις επεξεργασίας, που διενεργούνται από τις μυστικές υπηρεσίες και υπηρεσίες πληροφοριών της χώρας, βρίσκονται εκτός του βεληνεκούς των ελέγχων της Αρχής. Επιπλέον, στην ανωτέρω κατεύθυνση οδηγούν και οι εξαιρέσεις που θεσπίζει ο νέος Νόμος για την ικανοποίηση των θεμελιωδών δικαιωμάτων των υποκειμένων (π.χ. δικαίωμα ενημέρωσης, διαγραφής κ.λπ.), δίνοντας στον υπεύθυνο επεξεργασίας τη δυνατότητα να παραλείπει την πραγμάτωσή τους, όταν πληρούνται οι προϋποθέσεις τις οποίες θέτει ο νομοθέτης. Ωστόσο, η διεύρυνση του πεδίου των εξαιρέσεων δέχεται αυστηρή κριτική από κάποιους, οι οποίοι – ίσως εύλογα - θεωρούν ότι ενδεχομένως και να βρίσκεται σε αντίθεση με τον GDPR.
Μεταβαίνοντας πλέον στο κρίσιμο πεδίο των εργασιακών σχέσεων, θα παρατηρήσει κανείς ότι το Νομοσχέδιο επεμβαίνει και στην επεξεργασία προσωπικών δεδομένων στο πλαίσιο της απασχόλησης. Σχετικά με τα προσωπικά δεδομένα, διαχρονικά, το πεδίο της απασχόλησης χαρακτηρίζεται από τη σχέση εξάρτησης που υπάρχει a priori μεταξύ του εργοδότη και του εργαζόμενου. Η παραπάνω είναι και μία από τις παραμέτρους που ενδεχομένως θέτουν εν αμφιβόλω το κύρος της ληφθείσας από τον εργοδότη συγκατάθεσης του εργαζομένου για την επεξεργασία των προσωπικών του δεδομένων στο πλαίσιο της εκτέλεσης της σύμβασης εργασίας. Υπενθυμίζεται ότι στο πεδίο της εργασίας, μόνο κατ΄ εξαίρεση μπορεί η ληφθείσα από τον εργαζόμενο συγκατάθεση να θεωρηθεί ως έγκυρη νόμιμη βάση της επεξεργασίας. Ο Ν. 4624/2019 εκτιμάται ως ασαφής εφόσον παραθέτει ως προϋποθέσεις έγκυρης συγκατάθεσης του εργαζομένου μόνο το είδος της σχέσης εξάρτησης με τον εργοδότη και τις συνθήκες υπό τις οποίες ελήφθη αυτή. Με βάση όμως τα όσα ορίζονται, μπορεί κανείς εύλογα να θεωρήσει ότι κατ΄ αρχήν δεν πλήττεται το κύρος της συγκατάθεσης του εργαζομένου όταν αυτή δίδεται για επεξεργασία των προσωπικών του δεδομένων για σκοπούς, οι οποίοι δεν συνδέονται άμεσα με την εκτέλεση της σύμβασης εργασίας (π.χ. ομαδικά ασφαλιστήρια εργαζομένων, συμμετοχή και προβολή δράσεων εταιρικής κοινωνικής ευθύνης κ.λπ.).
Η συγκρουσιακή σχέση μεταξύ της προστασία των προσωπικών δεδομένων και της ελευθερίας
Εξετάζοντας τα όσα αναφέρονται στο Άρθρο 28 του Ν. 4624/2019 θα βρεθούμε αντιμέτωποι με μία άτυπη σύγκρουση δύο θεμελιωδών δικαιωμάτων, αυτού της προστασίας των προσωπικών δεδομένων και αυτού της ελευθερίας του τύπου και της έκφρασης. Με βάση το περιεχόμενο του άρθρου θα παρατηρούσε κανείς ότι ο Νόμος δίνει ένα προβάδισμα βραχείας κεφαλής στο δικαίωμα της ελευθερίας της έκφρασης. Αυτό προκύπτει από το γεγονός ότι όταν τίθεται σε εφαρμογή το Άρθρο 28, ο Νόμος αποκλείει την εφαρμογή ορισμένων εκ των βασικών κεφαλαίων του GDPR, όπως π.χ. αυτό που θεμελιώνει τα δικαιώματα των υποκειμένων. Επιπλέον, υπογραμμίζεται η τήρηση της αρχής της αναλογικότητας κατά την εφαρμογή του εν λόγω άρθρου, έτσι ώστε να αποφεύγεται τυχόν ανεπίτρεπτη διασταλτική ερμηνεία η οποία θα διεύρυνε αθέμιτα και ενάντια στα δικαιώματα των υποκειμένων, το πεδίο εφαρμογής της παρ. 2.
Συμπερασματικά, ο Ν. 4624/2019 αφήνει στον μελετητή του ανάμεικτες εντυπώσεις. Παρεμβαίνει αποφασιστικά σε ζητήματα που ταλάνιζαν για χρόνια το πεδίο της προστασίας των προσωπικών δεδομένων, όπως π.χ. η λήψη προηγούμενης άδειας από την Αρχή για την επεξεργασία ειδικών κατηγοριών δεδομένων ή η αμφιβόλου κύρους επεξεργασία γενετικών δεδομένων από ασφαλιστικές εταιρείες. Όμως, κρίνεται ελλιπής και ασαφής όσον αφορά στην προστασία των δικαιωμάτων των υποκειμένων, καθώς λ.χ. προβλέπει σημαντικές εξαιρέσεις στο δικαίωμα της ενημέρωσης των υποκειμένων των δεδομένων ή καταργεί εντελώς κάποια από αυτά, όταν συντρέχουν οι περιστάσεις του Άρθρου 28.
Είναι σχεδόν βέβαιο ότι η εφαρμογή του Νόμου – τουλάχιστον στην αρχή - θα φανερώσει αδύναμα σημεία του και περιπτώσεις που θα γίνουν αντικείμενο συζητήσεων και διαφορετικών ερμηνειών. Ωστόσο, μόνο μέσα από αυτή τη διαδικασία δύναται να αποκρυσταλλωθεί με ασφάλεια τόσο η σκέψη του Νομοθέτη, όσο και το ακριβές περιεχόμενο του Νόμου έτσι ώστε να προκύψουν τυχόν τροποποιήσεις, οι οποίες θα μπορούσαν να καταστήσουν ευχερέστερη και πληρέστερη την εφαρμογή του.