Ενισχυμένα δικαιώματα των ιδιωτών έναντι των εταιρειών

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Οι κανόνες των δημοκρατικών κοινωνιών υποτίθεται ότι εγγυώνται μια ισορροπία μεταξύ συμφερόντων που μπορεί να είναι αντιφατικά. Τα περισσότερα σημαντικά κείμενα, ωστόσο, περιέχουν έναν προσανατολισμό -μίλησα παραπάνω για τη φιλοσοφία- που ευνοεί το ένα μέρος εις βάρος του άλλου, είτε επειδή η αρχή που επιβάλλει αυτά τα κείμενα επιθυμεί να δώσει μια νέα κατεύθυνση, είτε επειδή η ανάγκη για μια επανεξισορρόπηση έχει γίνει αισθητή μετά από κάποιες αποκλίσεις προς τη μία κατεύθυνση, οι οποίες έχουν οδηγήσει σε μια ασύμμετρη σχέση μεταξύ των μερών. Ο ΓΚΠΔ είναι αναμφίβολα ένα εργαλείο για την αποκατάσταση των δικαιωμάτων των ατόμων απέναντι σε παντοδύναμες εταιρείες που δεν ασχολήθηκαν πλέον ιδιαίτερα με τον σεβασμό της ιδιωτικής ζωής.  

Το Κεφάλαιο III του κανονισμού είναι αφιερωμένο εξ ολοκλήρου στα «Δικαιώματα του υποκειμένου των δεδομένων». Ο «υπεύθυνος επεξεργασίας δεδομένων» είναι υπεύθυνος για τη διευκόλυνση της άσκησης αυτών των δικαιωμάτων. Πρέπει να απαντήσει «το συντομότερο δυνατό και σε κάθε περίπτωση εντός ενός μηνός από την παραλαβή του αιτήματος. Εάν είναι απαραίτητο, η προθεσμία αυτή μπορεί να παραταθεί κατά δύο μήνες, λαμβάνοντας υπόψη την πολυπλοκότητα και τον αριθμό των αιτημάτων» (άρθρο 12-3). Θα μπορούσε επομένως να συναχθεί ότι κάποιος έχει τρεις μήνες για να απαντήσει σε ένα αίτημα και ότι αυτή η προθεσμία από μόνη της μπορεί να αποτρέψει πολλούς αιτούντες. Στην πραγματικότητα, όχι· αφενός, επειδή αυτή η παράταση πρέπει να δικαιολογείται από «ανάγκη» ή «πολυπλοκότητα», αφετέρου, επειδή το άτομο που υποβάλλει το αίτημα πρέπει να ενημερωθεί, εντός ενός μηνός, για τους λόγους αυτής της παράτασης (και πάλι άρθρο 12-3). Και εάν ο υπεύθυνος επεξεργασίας δεδομένων κρίνει ότι το αίτημα είναι αβάσιμο, εναπόκειται σε αυτόν να αποδείξει αυτόν τον αβάσιμο χαρακτήρα (άρθρο 12-5).

Το Άρθρο 13 απαριθμεί όλες τις πληροφορίες που πρέπει να παρέχονται κατά τη συλλογή δεδομένων σχετικά με ένα άτομο. Πρόκειται για μια επαναστατική εξέλιξη: δεν μπορούμε να δεχτούμε χωρίς πρώτα να παρέχουμε διαβεβαιώσεις ακεραιότητας σχετικά με τις διατάξεις του κανονισμού. Κανείς δεν θα μπορεί να βασίζεται στο μέγεθος, τη φήμη ή την αρχαιότητά του για να πείσει τους χρήστες του Διαδικτύου να αποκαλύψουν την ταυτότητά τους.

Συνεπώς, τα ακόλουθα πρέπει να παρέχονται εκ των προτέρων από την εταιρεία:

– την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας δεδομένων·

– τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (σε δομές όπου είναι υποχρεωτικό, θα αναφερθούμε σε αυτό)·

– τους σκοπούς της επεξεργασίας για την οποία προορίζονται τα δεδομένα, καθώς και τη νομική βάση για την εν λόγω επεξεργασία·

– τους αποδέκτες των δεδομένων, συμπεριλαμβανομένης της περίπτωσης που σχεδιάζεται διαβίβαση σε τρίτη χώρα.

Μετά την παραλαβή των δεδομένων (το κείμενο υποδεικνύει «κατά τη στιγμή της…»), πρέπει να κοινοποιηθούν τα ακόλουθα:

– η διάρκεια ζωής·

– το δικαίωμα διόρθωσης, διαγραφής, περιορισμού της επεξεργασίας, εναντίωσης στην επεξεργασία, φορητότητας δεδομένων (θα επανέλθουμε σε καθένα από αυτά τα δικαιώματα)·

– το δικαίωμα υποβολής καταγγελίας στις εποπτικές αρχές·

– τις συνέπειες της μη παροχής δεδομένων·

– τις συνέπειες της παροχής δεδομένων, ιδίως όσον αφορά την αυτοματοποιημένη λήψη αποφάσεων ή την κατάρτιση προφίλ.

Όταν τα δεδομένα δεν έχουν συλλεχθεί από το υποκείμενο των δεδομένων, οι υποχρεώσεις είναι οι ίδιες, στις οποίες προστίθεται η φράση «η πηγή από την οποία προέρχονται τα προσωπικά δεδομένα». Αυτές οι πληροφορίες δεν απαιτούνται όταν τα δεδομένα υποβάλλονται σε επεξεργασία για σκοπούς αρχειοθέτησης, έρευνας ή στατιστικούς σκοπούς δημόσιου συμφέροντος.  

Μόλις τα δεδομένα διαβιβαστούν από το υποκείμενο των δεδομένων, δεν τους διαφεύγουν (τι αλλαγή από τις τρέχουσες πρακτικές, πάλι). Πράγματι, ο ΓΚΠΔ (ανα)δημιουργεί πρώτα ένα δικαίωμα πρόσβασης (άρθρο 15). Αυτό το δικαίωμα πρόσβασης υπάρχει ήδη στη Γαλλία, αλλά είναι ελάχιστα γνωστό και περίπλοκο στην εφαρμογή του. Εδώ, καλύπτει όλες τις πληροφορίες που αναφέρονται στο άρθρο 13. Η πρόσβαση υλοποιείται με διαβίβαση κατόπιν απλού αιτήματος: «Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία» (άρθρο 15-3). Αυτό το αντίγραφο είναι δωρεάν (ενδέχεται να χρεωθούν εύλογα τέλη για ένα επιπλέον αντίγραφο). Όταν το αίτημα υποβάλλεται ηλεκτρονικά, η απάντηση παρέχεται στην ίδια μορφή, εκτός εάν το αίτημα είναι διαφορετικό.

Δεύτερο δικαίωμα που κατοχυρώνεται ρητά: το δικαίωμα διόρθωσης (άρθρο 16). Το δικαίωμα αυτό αφορά δεδομένα που είναι ανακριβή και ελλιπή σε σχέση με τον σκοπό της επεξεργασίας.

Η σημασία του τρίτου δικαιώματος έχει σταδιακά γίνει εμφανής τα τελευταία δέκα χρόνια, από την εμφάνιση του Web 2.0 και των κοινωνικών δικτύων. Πράγματι, από τότε έχουμε συνειδητοποιήσει τη σημασία των δεδομένων και οι συλλογές έχουν οργανωθεί και πολλαπλασιαστεί. Δεδομένου ότι οι πληροφορίες που μας αφορούν βρίσκονται στην κατοχή αγνώστων χεριών, η απαίτηση για δικαίωμα διαγραφής (ή δικαίωμα στη λήθη) έχει επισημοποιηθεί. Η Γαλλία έκανε μια προσπάθεια το 2010 με την υιοθέτηση Χάρτων για το Δικαίωμα στη Λήθη, αλλά το Facebook και η Google αρνήθηκαν να τους υπογράψουν. Ήταν το Δικαστήριο της Ευρωπαϊκής Ένωσης που έδωσε ώθηση σε αυτό το δικαίωμα στη λήθη τον Ιούνιο του 2014, μετά το οποίο οι κύριοι ψηφιακοί παράγοντες, συμπεριλαμβανομένης της Google, έπρεπε να θεσπίσουν διαδικασίες, συμπεριλαμβανομένης της δημοσίευσης μιας «φόρμας» στο διαδίκτυο, επιτρέποντας σε έναν χρήστη του Διαδικτύου να διεκδικήσει αυτό το δικαίωμα. Χάρη στη φόρμα, εκατοντάδες χιλιάδες άνθρωποι μπόρεσαν να αφαιρέσουν τα αποτελέσματά τους από τη βάση δεδομένων τους.

Ο ΓΚΠΔ κατοχυρώνει αυτό το δικαίωμα σε ευρωπαϊκό επίπεδο και το ορίζει με απλό τρόπο (Άρθρο 17). Κατόπιν αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει, «το συντομότερο δυνατό», τα προσωπικά δεδομένα:

– εάν τα δεδομένα δεν είναι πλέον απαραίτητα για τους σκοπούς για τους οποίους συλλέχθηκαν·

– εάν η συγκατάθεση ανακληθεί·

– εάν υπάρχει αντίρρηση στην επεξεργασία.

Το υποκείμενο των δεδομένων δεν υποχρεούται να δικαιολογήσει το αίτημά του. Οι μόνοι περιορισμοί σε αυτό το δικαίωμα διαγραφής είναι:

– συμμόρφωση με νομική υποχρέωση που απορρέει από το δίκαιο της Ένωσης ή από το δίκαιο κράτους μέλους·

– την άσκηση νόμιμων δικαιωμάτων·

– λόγοι δημόσιας αρχειοθέτησης, επιστημονικής έρευνας ή στατιστικής, καθώς και δημόσιας υγείας·

– τέλος, «η άσκηση του δικαιώματος στην ελευθερία της έκφρασης και της πληροφόρησης» (άρθρο 17-3α). Αναρωτιέται κανείς τι σχέση έχει η ελευθερία της έκφρασης και της πληροφόρησης με αυτό. Είχαν κάποια επιρροή τα λόμπι που αναμεταδίδουν τα συμφέροντα των μέσων ενημέρωσης; Ή μήπως απλώς η παντοδυναμία των μέσων ενημέρωσης – τόσο ισχυρή όσο και αυτή των δεδομένων – επιβλήθηκε στους συντάκτες του κειμένου;

Προβλέπεται επίσης «δικαίωμα περιορισμού της επεξεργασίας», ιδίως κατά την επαλήθευση της ακρίβειας των δεδομένων ή όταν η επεξεργασία είναι παράνομη αλλά το υποκείμενο των δεδομένων αντιτίθεται στη διαγραφή (άρθρο 18). Ο περιορισμός, όπως και η επεξεργασία, πρέπει να κοινοποιείται στο υποκείμενο των δεδομένων (άρθρο 19).        

Με το «δικαίωμα στη φορητότητα», ο ΓΚΠΔ επιτρέπει σε ένα άτομο να ανακτήσει τα δεδομένα που έχει παράσχει σε έναν οργανισμό, «σε δομημένη, κοινώς χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή» (άρθρο 20-1). Μπορεί να το κάνει αυτό είτε για προσωπική του χρήση είτε για να τα μεταφέρει σε άλλον οργανισμό. Μπορεί ακόμη και να ζητήσει τη μεταφορά των δεδομένων του απευθείας από έναν υπεύθυνο επεξεργασίας σε άλλον. Ο CNIL ορίζει ότι τα δεδομένα που «προέρχονται, υπολογίζονται ή συνάγονται», δηλαδή δημιουργούνται από τον οργανισμό, δεν μπορούν να απαιτηθούν (αυτό διαφέρει από το δικαίωμα πρόσβασης). Ωστόσο, τα δεδομένα που ανακτώνται ενδέχεται να περιέχουν, «δευτερευόντως», πληροφορίες που αφορούν τρίτους.

Η Ομάδα Εργασίας του 29, μια ευρωπαϊκή ομάδα εργασίας που συστάθηκε βάσει του άρθρου 29 της ευρωπαϊκής οδηγίας του 1995, η οποία εργάζεται για την αποσαφήνιση του ΓΚΠΔ πριν από τη μετατροπή της σε Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, συνιστά τον μηχανισμό μεταφόρτωσης για τη διαβίβαση δεδομένων στο πλαίσιο του δικαιώματος φορητότητας. Σε κάθε περίπτωση, η διάταξη πρέπει να είναι εύκολα προσβάσιμη και ασφαλής. Προς το παρόν δεν αναφέρεται συγκεκριμένη μορφή, αλλά «η Ομάδα Εργασίας του 29 ενθαρρύνει τους παράγοντες του κλάδου και τις επαγγελματικές ενώσεις να εργαστούν σε ένα σύνολο διαλειτουργικών προτύπων και μορφών για να τηρούνται αυτές οι προϋποθέσεις του δικαιώματος φορητότητας».

Ο υπεύθυνος επεξεργασίας δεδομένων ενθαρρύνεται να επικοινωνεί με σαφήνεια σχετικά με το δικαίωμα φορητότητας, να εφαρμόζει διαδικασία επαλήθευσης ταυτότητας πριν από τη μεταφορά των ζητούμενων δεδομένων και να παρέχει αυτήν την υπηρεσία δωρεάν, εκτός εάν το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό, «ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα του». Πρέπει να σημειωθεί ότι τα δεδομένα που διαβιβάζονται βάσει του δικαιώματος φορητότητας δεν χρειάζεται να διαγράφονται από το αρχικό αρχείο.

Κάθε άτομο έχει το δικαίωμα να αντιταχθεί ανά πάσα στιγμή (άρθρο 21). Η αντίρρηση αυτή μπορεί να αφορά οποιαδήποτε επεξεργασία, ή πιο συγκεκριμένα την αναζήτηση (άρθρο 21-2) και ακόμη και την επιστημονική ή ιστορική έρευνα, «εκτός εάν η επεξεργασία είναι απαραίτητη για την εκτέλεση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον» (άρθρο 21-6). Είναι πιθανό το δικαίωμα αυτό να χρησιμοποιηθεί κυρίως για την εναντίωση σε εμπορικούς σκοπούς.

Τέλος, ο ΓΚΠΔ ρυθμίζει την κατάρτιση προφίλ. «Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο» (Άρθρο 22). Επιτρέπεται στο πλαίσιο σύμβασης ή εάν βασίζεται σε ρητή συμφωνία. Σε αυτές τις περιπτώσεις, ο υπεύθυνος επεξεργασίας διασφαλίζει «την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων».