Είναι η «Δεδομενίαση» η νέα «ασθένεια» στον επιχειρηματικό κόσμο; Πόσο μακριά μπορεί να φτάσει το «Χέρι του Κανονισμού» σε πολλές περιπτώσεις διαχείρισης δεδομένων; Είναι κρίσιμα ερωτήματα που προκύπτουν από την εφαρμογή του GDRP.

 

 

Του Χρήστου Δ. Τζαβάρα*

 Ο Κανονισμός (ΕΕ 2016/679 – General Data Protection Regulation/GDPR) θα αντικαταστήσει από 25.5.2018 το προηγούμενο καθεστώς προστασίας προσωπικών δεδομένων (Οδηγία 95/46) που ίσχυσε για παραπάνω από 20 έτη, με πολλά δυσεπίλυτα θέματα και δυσερμήνευτες καταστάσεις, που επιτάθηκαν πολλές φορές από τις αποφάσεις των Εθνικών Ανεξάρτητων Αρχών. Πολλά από τα θέματα αυτά, αλλά και αρκετά νέα, θα πρέπει και πάλι –υπό το πρίσμα του Κανονισμού- να τύχουν ερμηνείας, ο δε δρόμος αναμένεται μακρύς αλλά και δυνητικά επώδυνος, αφού τα διοικητικά πρόστιμα που επαπειλούνται για παραβάσεις είναι μεγάλα (και ίσως και οι «ορέξεις» των κρατικών αρχών να τα επιβάλλουν και εισπράττουν, να καταστούν ακόμη μεγαλύτερες).

Ξεκινώντας από τους ορισμούς/βασικές έννοιες, ο ορισμός των προσωπικών δεδομένων παραμένει ευρύς, δημιουργώντας νέους «δαίμονες καταδίωξης παραβατών» σε κάθε επιχειρηματική δράση και πεδίο, αφού πλέον μιλάμε για «κάθε πληροφορία που αφορά φυσικό πρόσωπο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, η σε έναν η περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα φυσικού προσώπου».

«Δεδομενίαση» … μια νέα «ασθένεια» ;

Από το 2016 που εκδόθηκε ο Κανονισμός- πολλοί κάνουν λόγο για μια νέα «ασθένεια» που αποκαλείται κωμικά –αλλά πάντως ρεαλιστικά- «Δεδομενίαση». Διάφορες εταιρείες έχουν ήδη σπεύσει να προσθέσουν/προτείνουν μακροσκελή προσαρτήματα σε μεταξύ τους συμβάσεις, όπου περιέχεται πλήθος υποχρεώσεων, ενίοτε όχι ιδιαίτερα σχετικών με την επιχειρηματική τους δράση, ενώ κάποιες εταιρείες εντός Ευρωπαϊκής Ένωσης (ΕΕ) προτείνουν τέτοιες συμβάσεις προς εταιρείες που δεν εδρεύουν ούτε δραστηριοποιούνται στην ΕΕ και δεν υπέχουν (λχ) υποχρέωση να έχουν ορίσει «Υπεύθυνο Επεξεργασίας» (Data Protection Officer – DPO) ή να εκπονούν τακτικώς μελέτες εκτίμησης αντίκτυπου επεξεργασίας δεδομένων κ.λπ. Πρακτικά, το πρόβλημα είναι ήδη μεγάλο, αφού πολλοί αποδέκτες τέτοιων «σχεδίων προσαρτημάτων» θεωρούν πως ούτε εμπίπτουν στην έννοια του επεξεργαστή, ούτε υπέχουν τέτοιες υποχρεώσεις εκ της δικής τους (εκτός ΕΕ) νομοθεσίας.

Τα παραδείγματα είναι πολλά, αλλά από τους δικούς μας χώρους προέρχονται κάποια από τα πιο εύγλωττα : ένα από αυτά είναι εάν συνιστούν προσωπικά δεδομένα τηλεφωνικοί αριθμοί που περιλαμβάνονται σε λίστες δεδομένων τηλεφωνικών κλήσεων (CDR), σε επίπεδο χονδρικής πώλησης μόνον, όπου ο «διακινητής» (wholesaler) δεν έχει, ούτε ξέρει κανέναν συνδρομητή βάσει ατομικής σύμβασης (λιανικής), ούτε βέβαια έχει προβεί σε άλλου είδους επεξεργασία δεδομένων. Απλώς διαβιβάζει και εν προκειμένω «διέρχονται αριθμοί» (traffic) από το δίκτυο χωρητικοτήτων του (capacity-network)  του οποίου το δικαίωμα χρήσης πωλεί  χονδρικώς σε άλλους τηλεπικοινωνιακούς παρόχους επί τη βάσει μεταξύ τους συμβάσεων παροχής τηλεπικοινωνιακών υπηρεσιών χονδρικής. Δυσερμήνευτο, αλλά από την στιγμή που έστω μέσω ενός απλού αριθμού, σε συνδυασμό με στοιχεία του παρόχου λιανικής (παρόλο που αυτά ουδόλως τα γνωρίζει ο πάροχος χονδρικής)  είναι εξακριβώσιμη η ταυτότητα του συνδρομητή (φυσικού αλλά ίσως και νομικού προσώπου) ας δεχθούμε –καταρχήν- ότι αποτελεί «επεξεργαστή» δεδομένων και ο πάροχος δικτύου «χονδρικής» κατά τον Κανονισμό.

Οι τηλεφωνικές κλήσεις όμως (και ειδικά οι διεθνείς) πριν τον τερματισμό τους, συνήθως διέρχονται από πλήθος δικτύων άλλων παρόχων που δεν δύναται να γνωρίζει εκ των προτέρων ούτε ο πάροχος που συμβάλλεται με τον πελάτη (συνδρομητή), ούτε ο αμέσως επόμενος πάροχος χονδρικής – με άλλα λόγια, είναι αδύνατη πρακτικά η εκ των προτέρων γνώση και διασφάλιση επεξεργασίας από κάθε «επεξεργαστή» και «υπεξεργαστή» (processor και subprocessor) κατά την έννοια του Κανονισμού.

Κρίσιμα ερωτήματα!

Πόσο μακριά λοιπόν μπορεί να φτάσει το «Χέρι του Κανονισμού» σε αυτές τις περιπτώσεις, όπως και το δικαίωμα του υποκειμένου επεξεργασίας (εν προκειμένω του συνδρομητή της εταιρείας λιανικής) όταν κάποιες παράμετροι που αφορούν την ζητούμενη από τον ίδιο υπηρεσία (πχ τερματισμός φωνής από την Ελλάδα στην Μπουρκίνα Φάσο) μπορεί να είναι αγνώστου προέλευσης και ταυτότητος…. Κατά ποίου (εάν απαιτηθεί) θα ασκήσει το υποκείμενο επεξεργασίας το «δικαίωμα στην λήθη» που προβλέπει για αυτόν ο Κανονισμός και κατά ποιο δίκαιο θα κριθεί το θέμα του χρόνου παραγραφής νομικών αξιώσεων; Πρέπει ο κάθε ενδιάμεσος πάροχος από την Ελλάδα μέχρι την Αφρικανική Ήπειρο (στο ανωτέρω παράδειγμα) να το διασφαλίζει κατά τον Κανονισμό, ακόμη και όταν ένας ενδιάμεσος πάροχος έχει παρουσία και δραστηριότητα μόνον εκτός ΕΕ ;

Σίγουρα το παραπάνω θέμα είναι ένα μικρό δείγμα «εγγενών παθήσεων» αλλά πιστεύω αναδεικνύει την δυσκολία της διάκρισης μεταξύ αριθμού και «δεδομένου» (κατά τον Κανονισμό πάντα), της απλής διέλευσης/διακίνησης κατ’ αντίθεση προς την ευρύτερη έννοια της «επεξεργασίας» αλλά και της προστασίας του υποκειμένου «κατά πάντων», στην οποία προφανώς αποσκοπεί ο Κανονισμός. Απομένει οι Ανεξάρτητες Αρχές κάθε κράτους, αλλά και οι Ομάδες Εργασίας του Κανονισμού να έχουν καλή αντίληψη και αίσθηση και των συναλλαγών που υφίστανται και οι οποίες βέβαια δεν μπορούν να δυσχερανθούν υπέρμετρα, ούτε να φτάσουν στο σημείο όπου το υποκείμενο θα είναι μεν προστατευμένο, αλλά δεν θα μπορεί να απολαύσει σύγχρονες υπηρεσίες, ως συνέπεια της «Δεδομενίασης» εάν αυτή επικρατήσει χωρίς ορθή κρίση. Είναι αυτή η ορθή κρίση που προσδοκούμε να οδηγήσει στην ίαση της διαφαινόμενης αυτής «ασθένειας».

__________________________________________________________

*Ο Χρήστος Δ. Τζαβάρας είναι Δικηγόρος και Νομικός Σύμβουλος στην εταιρεία «OTEGLOBE AE» και ασχολείται (μεταξύ άλλων) με θέματα προστασίας δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό κλάδο.