Γνωμοδότηση 1/2020

Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνήλθε, µετά από
πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση µε διευρυµένη σύνθεση στην έδρα
της την Τρίτη 21.01.2020, σε συνέχεια των από 01.10.2019 και 10.10.2019
συνεδριάσεων, προκειµένου να εξετάσει τις διατάξεις του ν. 4624/2019 (ΦΕΚ Α΄137), µε
τις οποίες ορίζονται µέτρα εφαρµογής του Κανονισµού (ΕΕ) 2016/679 (Γενικού
Κανονισµού για την Προστασία ∆εδοµένων) και ενσωµατώνεται στην εθνική νοµοθεσία η
Οδηγία (ΕΕ) 2016/680. Παρέστησαν ο Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος,
ο Αναπληρωτής Πρόεδρος Γεώργιος Μπατζαλέξης, τα τακτικά µέλη Σπυρίδων
Βλαχόπουλος, ως εισηγητής, Κωνσταντίνος Λαµπρινουδάκης, ως εισηγητής, και Ελένη
Μαρτσούκου, καθώς και τα αναπληρωµατικά µέλη Γρηγόριος Τσόλιας, ως εισηγητής, και
Εµµανουήλ ∆ηµογεροντάκης. ∆εν παρέστησαν, λόγω κωλύµατος, αν και είχαν κληθεί, ο
Χαραλάµπος Ανθόπουλος, τακτικό µέλος και ο Ευάγγελος Παπακωνσταντίνου,
αναπληρωµατικό µέλος. Παρούσα ήταν η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του
τµήµατος διοικητικών υποθέσεων, ως γραµµατέας.
Η Αρχή αφού έλαβε υπόψη
Α. ότι:

  1. Ο Κανονισµός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου
    της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της
    επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα για την ελεύθερη κυκλοφορία των
    δεδοµένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισµός για την
    Προστασία ∆εδοµένων – εφεξής «ΓΚΠ∆») τέθηκε σε εφαρµογή από τις 25-5-2018,
    σύµφωνα µε το άρθρο 99 παρ. 2 αυτού.
    2
  2. Σύµφωνα µε το άρθρο 288 ΣΛΕΕ ο ΓΚΠ∆ έχει άµεση εφαρµογή σε όλα τα κράτη
    µέλη, τα οποία υποχρεούνται να λάβουν τα αναγκαία µέτρα για την προσαρµογή της
    εθνικής νοµοθεσίας τους.
  3. Στα κράτη µέλη εναπόκειται επίσης η δυνατότητα να λάβουν εθνικά µέτρα για την
    εξειδίκευση των κανόνων του ΓΚΠ∆ και τον προσδιορισµό ειδικών καταστάσεων
    επεξεργασίας, µεταξύ άλλων τον ακριβέστερο καθορισµό των προϋποθέσεων υπό τις
    οποίες η επεξεργασία δεδοµένων προσωπικού χαρακτήρα είναι σύννοµη και υπό την
    προϋπόθεση ότι το νοµοθετικό µέτρο είναι διατυπωµένο µε σαφήνεια και ακρίβεια και η
    εφαρµογή του είναι προβλέψιµη για πρόσωπα που υπόκεινται σε αυτό σύµφωνα µε τη
    νοµολογία του ∆ΕΕ και του Ε∆∆Α (βλ. αιτ. σκ. 10, 41, 45, 50, 51 και 52 ΓΚΠ∆).
  4. Επιτρέπεται η ενσωµάτωση στοιχείων του ΓΚΠ∆ στην εθνική νοµοθεσία µόνο στην
    έκταση που απαιτείται για λόγους συνεκτικότητας και για να είναι κατανοητές οι εθνικές
    διατάξεις στα πρόσωπα για τα οποία αυτές εφαρµόζονται (βλ. αιτ. σκ. 8 ΓΚΠ∆).
  5. Σύµφωνα µε την από 24-01-2018 Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό
    Κοινοβούλιο και το Συµβούλιο «Ισχυρότερη προστασία, νέες ευκαιρίες-Κατευθυντήριες
    Γραµµές της Επιτροπής σχετικά µε την άµεση εφαρµογή του γενικού κανονισµού για την
    προστασία δεδοµένων από την 25η Μαϊου 2018» (COM(2018)043) τόσο τα υποχρεωτικά,
    όσο και τα δυνητικά µέτρα προσαρµογής της εθνικής νοµοθεσίας «[…] πλαισιώνονται από
    δύο στοιχεία: 1. το άρθρο 8 του Χάρτη [Θεµελιωδών ∆ικαιωµάτων της Ευρωπαϊκή Ένωσης
    – εφεξής «ΧΘ∆ΕΕ»], υπό την έννοια ότι οι τυχόν εθνικές πιο ειδικές διατάξεις πρέπει να
    πληρούν τις απαιτήσεις του άρθρου 8 του Χάρτη (και του Κανονισµού, που βασίζεται στο
    άρθρο 8 του Χάρτη, και 2. Το άρθρο 16 παρ. 2 της ΣΛΕΕ, δυνάµει του οποίου η εθνική
    νοµοθεσία δεν µπορεί να θίγει την ελεύθερη ροή των δεδοµένων προσωπικού χαρακτήρα
    εντός της ΕΕ»
  6. Σύµφωνα µε την ίδια Ανακοίνωση της Ευρωπαϊκής Επιτροπής:
    «Ο Κανονισµός αποτελεί ευκαιρία να απλουστευτεί το νοµικό περιβάλλον και, ως εκ
    τούτου, να υπάρχουν λιγότεροι εθνικοί κανόνες και µεγαλύτερη σαφήνεια για τους
    επιχειρηµατικούς φορείς.
    Όταν τα κράτη µέλη προσαρµόζουν την εθνική τους νοµοθεσία, πρέπει να λαµβάνουν
    υπόψη το γεγονός ότι κάθε εθνικό µέτρο το οποίο θα είχε ως αποτέλεσµα τη δηµιουργία
    εµποδίου στην άµεση εφαρµογή του Κανονισµού και την υπονόµευση της ταυτόχρονης
    και οµοιόµορφης εφαρµογής του στο σύνολο της ΕΕ είναι αντίθετο προς τις συνθήκες
    (∆ΕΚ υπόθεση 94/77, Fratelli Zerbone Snc κατά Amministrazione delle finanze dello State,
    ECLI:EU:C:1978:17 και 101).
    3
    Απαγορεύεται επίσης η επανάληψη του κειµένου των Κανονισµών στην εθνική νοµοθεσία
    (π.χ. η επανάληψη ορισµών ή των δικαιωµάτων των φυσικών προσώπων), εκτός εάν οι
    εν λόγω επαναλήψεις είναι απολύτως απαραίτητες για λόγους συνεκτικότητας και για να
    είναι κατανοητές οι εθνικές διατάξεις στα πρόσωπα για τα οποία αυτές εφαρµόζονται.
    Η κατά λέξη αναπαραγωγή του κειµένου του Κανονισµού σε εθνικές πιο ειδικές διατάξεις
    θα πρέπει να γίνεται µόνο σε εξαιρετικές και αιτιολογηµένες περιπτώσεις και δεν µπορεί
    να χρησιµοποιηθεί για να προστεθούν πρόσθετες προϋποθέσεις ή ερµηνείες στο κείµενο
    του Κανονισµού.
    Η ερµηνεία του Κανονισµού επαφίεται στα ευρωπαϊκά δικαστήρια (εθνικά δικαστήρια και,
    σε τελευταίο βαθµό, το Ευρωπαϊκό ∆ικαστήριο) και όχι στους νοµοθέτες των κρατών
    µελών. Ο εθνικός νοµοθέτης, δεν µπορεί, συνεπώς, να αντιγράψει το κείµενο του
    Κανονισµού όταν δεν είναι αναγκαίο υπό το φως των κριτηρίων που παρέχει η νοµολογία,
    ούτε να το ερµηνεύσει ή να προσθέσει συµπληρωµατικές προϋποθέσεις στους κανόνες
    που εφαρµόζονται άµεσα δυνάµει του Κανονισµού. Εάν συνέβαινε αυτό, οι
    επιχειρηµατικοί φορείς σε όλη την Ένωση θα αντιµετώπιζαν ξανά κατακερµατισµό και δεν
    θα γνώριζαν ποιους κανόνες πρέπει να τηρούν (…)
    Σε περίπτωση που το κράτος µέλος δεν λάβει τα αναγκαία µέτρα που απαιτούνται βάσει
    του Κανονισµού, καθυστερήσει να λάβει µέτρα ή χρησιµοποιήσει τις δυνατότητες
    θέσπισης πιο ειδικών διατάξεων που προβλέπονται στον Κανονισµό κατά τρόπο αντίθετο
    προς τον Κανονισµό, η Επιτροπή θα χρησιµοποιήσει όλα τα µέσα που έχει στη διάθεσή
    της, συµπεριλαµβανοµένης της κίνησης διαδικασίας επί παραβάσει».
  7. Με την από 24-7-2019 Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και
    το Συµβούλιο «Οι κανόνες προστασίας των δεδοµένων ως θεµέλιο εµπιστοσύνης εντός
    και εκτός ΕΕ-απολογισµός» (COM (2019) 374) και σε συνέχεια της προηγούµενης
    Ανακοίνωσης της Ευρωπαϊκής Επιτροπής (βλ. ανωτέρω υπό 6) διαπιστώνεται ότι :
    «i. τυχόν εθνικές διατάξεις που προσδιορίζουν περαιτέρω την εφαρµογή του Κανονισµού
    πρέπει να πληρούν τις απαιτήσεις του Χάρτη Θεµελιωδών ∆ικαιωµάτων (και να µην
    υπερβαίνουν τα όρια που θέτει ο Κανονισµός, ο οποίος βασίζεται στον Χάρτη), ii. δεν
    πρέπει να θίγεται η ελεύθερη ροή δεδοµένων προσωπικού χαρακτήρα εντός της ΕΕ.
    Σε ορισµένες περιπτώσεις, τα κράτη µέλη έχουν θεσπίσει εθνικές απαιτήσεις επιπλέον
    αυτών του Κανονισµού, ιδίως µέσω πολλών τοµεακών νόµων, γεγονός που οδηγεί σε
    κατακερµατισµό και έχει ως αποτέλεσµα τη δηµιουργία περιττών βαρών. Ένα παράδειγµα
    επιπρόσθετης απαίτησης που έχει εισαχθεί από κράτος µέλος επιπλέον των απαιτήσεων
    του Κανονισµού είναι η υποχρέωση, βάσει της γερµανικής νοµοθεσίας, να ορίζεται
    υπεύθυνος προστασίας δεδοµένων στις εταιρίες µε 20 ή περισσότερους εργαζόµενους οι
    4
    οποίες δραστηριοποιούνται σε µόνιµη βάση στην αυτοµατοποιηµένη επεξεργασία
    δεδοµένων προσωπικού χαρακτήρα»
  8. Το Ευρωπαϊκό Συµβούλιο µε το υπ’ αρ. 14994/1/19 REV 1 από 19-12-2019 έγγραφο
    του (βλ. παρ. 25) επιβεβαίωσε τη θέση της Ευρωπαϊκή Επιτροπής σύµφωνα µε την οποία
    ο ΓΚΠ∆ αφήνει περιθώριο στους εθνικούς νοµοθέτες να διατηρήσουν ή να εισαγάγουν
    συγκεκριµένες ρυθµίσεις προκειµένου να εφαρµοσθούν συγκεκριµένες διατάξεις του
    ΓΚΠ∆. Με τις ρυθµίσεις όµως αυτές δεν πρέπει να εισαχθούν προϋποθέσεις πέραν των
    προβλέψεων του ΓΚΠ∆ όταν δεν υπάρχει περιθώριο εξειδίκευσης τους, όπως στην
    περίπτωση πρόσθετων προϋποθέσεων επεξεργασίας.
  9. Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων
    προσωπικού χαρακτήρα από αρµόδιες αρχές για τους σκοπούς της πρόληψης, της
    διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικηµάτων ή της εκτέλεσης ποινικών
    κυρώσεων, συµπεριλαµβανοµένης της διασφάλισης έναντι των απειλών κατά της
    δηµόσιας ασφάλειας και της πρόληψής τους και της ελεύθερης κυκλοφορίας των
    δεδοµένων αυτών, αποτελεί το αντικείµενο της Οδηγίας (ΕΕ) 680/2016 και συνεπώς ο
    ΓΚΠ∆ δεν θα πρέπει να εφαρµόζεται σε δραστηριότητες επεξεργασίας για τους σκοπούς
    αυτούς (αιτ. σκ. 19 ΓΚΠ∆).
  10. Με τον ν. 4624/2019 (ΦΕΚ Α’137/29.8.2019) «Αρχή Προστασίας ∆εδοµένων
    Προσωπικού Χαρακτήρα, µέτρα εφαρµογής του Κανονισµού (ΕΕ) 2016/679 του
    Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 27ης Απριλίου 2016 για την προστασία
    των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα και
    ενσωµάτωση στην εθνική νοµοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού
    Κοινοβουλίου και του Συµβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις» ελήφθησαν
    µέτρα εφαρµογής του ΓΚΠ∆ και ενσωµατώθηκε στην εθνική νοµοθεσία η Οδηγία
    2016/680
  11. Σύµφωνα µε τις διατάξεις των άρθρων 57 παρ. 1 εδ. α’ ΓΚΠ∆ και 13 παρ. 1 εδ. α’
    ν. 4624/2019 η Αρχή είναι αρµόδια για την παρακολούθηση, την επιβολή της εφαρµογής
    του ΓΚΠ∆ και την εφαρµογή του ν. 4624/2019 καθώς και άλλων ρυθµίσεων που αφορούν
    την προστασία του ατόµου έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα,
    και
    Β. τις παρατηρήσεις και προτάσεις, τις οποίες υπέβαλε το προσωπικό της Αρχής
    5
    Εκδίδει την ακόλουθη γνωµοδότηση
    ΕΙΣΑΓΩΓΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ
    Από µια πρώτη συνολική θεώρηση του ν. 4624/19 προκύπτει ότι εισάγεται διάκριση
    µεταξύ «ιδιωτικών» και «δηµόσιων» φορέων ως υπευθύνων επεξεργασίας κατά το
    πρότυπο, το οποίο ακολουθεί ο σχετικός γερµανικός νόµος, διαπιστώνεται δε ότι η
    πλειονότητα των διατάξεων για τη λήψη µέτρων εφαρµογής του ΓΚΠ∆ αφορά τους
    αναφερόµενους ως «δηµόσιους φορείς». Γενικότερα, στηρίζεται σε διαφορετική αντίληψη
    σε σχέση µε εκείνη του επί 20ετία ισχύοντος ν. 2472/1997 (κατ’ εφαρµογή της Οδηγίας
    95/46/ΕΚ), αλλά και της παράδοσης που δηµιουργήθηκε από την ερµηνεία του, τόσο από
    τα δικαστήρια, όσο και από την Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα
    (εφεξής «ΑΠ∆ΠΧ»).
    Στο πεδίο ενσωµάτωσης της Οδηγίας 680/2016 παρατηρείται ότι ενώ σύµφωνα µε
    το άρθρο 1 παρ. 1 και 2 εδ. β’ αυτής («Αντικείµενο και στόχοι») θεσπίζονται οι κανόνες
    που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας
    δεδοµένων προσωπικού χαρακτήρα από αρµόδιες αρχές (αστυνοµικές, δικαστικές,
    εισαγγελικές κ.λπ.) για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή
    της δίωξης ποινικών αδικηµάτων κ.λπ., κατά την ενσωµάτωση των ρυθµίσεων της
    Οδηγίας ως προς το σκοπό, το αντικείµενο και τους στόχους παραλείπεται η στόχευση
    της προστασίας των φυσικών προσώπων «έναντι» της επεξεργασίας των δεδοµένων τους
    από τις αρχές και γίνεται αναφορά µόνο στην πρόληψη, διερεύνηση, ανίχνευση ή δίωξη
    ποινικών αδικηµάτων.
    Και ναι µεν το δικαίωµα στην προστασία των δεδοµένων προσωπικού χαρακτήρα
    δεν είναι απόλυτο και η συναφής επεξεργασία θα πρέπει παράλληλα να προορίζεται να
    εξυπηρετεί τον άνθρωπο (αιτ. σκ. 4 ΓΚΠ∆), πλην όµως, η υιοθέτηση εθνικών ρυθµίσεων
    θα πρέπει να λαµβάνει χώρα υπό το πρίσµα των άρθρων 16 παρ. 1 ΣΛΕΕ, 8 ΧΘ∆ΕΕ, 8
    ΕΣ∆Α, 9Α και 19 παρ. 3 Ελληνικού Συντάγµατος καθώς αφορά την προστασία κλασσικού
    θεµελιώδους ατοµικού αµυντικού δικαιώµατος (βλ. αιτ. σκ. 1, 2, 10-13 ΓΚΠ∆ και 1-4 και
    7-9 Οδηγίας 680/2016).
    Εν όψει των ανωτέρω επισηµάνσεων η Αρχή αποφάσισε να εξετάσει αφενός, την
    εφαρµογή του ΓΚΠ∆ δια της λήψης εθνικών νοµοθετικών µέτρων περιοριζόµενη επί του
    παρόντος σε γενικότερες παρατηρήσεις για κάποιες εκ των διατάξεων για τις οποίες
    δηµιουργούνται αµφιβολίες ως προς τη συµβατότητα τους προς τον ΓΚΠ∆ ή χρήζουν
    ερµηνείας, αφετέρου, την ενσωµάτωση της Οδηγίας 680/16 ως προς τις σηµαντικότερες
    διατάξεις της και επιφυλασσόµενη να εξετάσει κάθε ειδικότερο σχετικό θέµα που θα
    6
    ανακύπτει στο πλαίσιο της άσκησης των κατά το ΓΚΠ∆ και το ν. 4624/2019 αρµοδιοτήτων
    της.
    Οίκοθεν νοείται ότι δεν θα τύχουν εφαρµογής από την Αρχή κατά την άσκηση των
    αρµοδιοτήτων της διατάξεις του ν. 4624/2019, οι οποίες θα κριθούν ότι έρχονται σε
    αντίθεση µε τον ΓΚΠ∆ ή δεν βρίσκουν έρεισµα σε «ρήτρες ανοίγµατος – εξειδίκευσης».
    ΕΠΙΜΕΡΟΥΣ ∆ΙΑΤΑΞΕΙΣ:
    ΚΕΦΑΛΑΙΟ Α’
    Γενικές παρατηρήσεις
  12. Το κεφάλαιο Α’ («Γενικές ∆ιατάξεις») του νόµου αφορά τόσο τον ΓΚΠ∆ όσο και την
    Οδηγία, πλην όµως δηµιουργείται σύγχυση καθώς κάποιες εκ των διατάξεων δεν είναι
    δυνατόν να συνιστούν ενσωµάτωση της Οδηγίας, αλλά µέτρα εφαρµογής µόνο του ΓΚΠ∆
    όπως το άρθρο 2 περ. β’ (ουσιαστικό πεδίο εφαρµογής-ιδιωτικοί φορείς), το άρθρο 3
    στοίχος β’ περ. α’, β’ και γ’ (εδαφικό πεδίο εφαρµογής-ιδιωτικοί φορείς), το άρθρο 4
    (ορισµοί) καθώς και το άρθρο 5 (νοµική βάση επεξεργασίας δεδοµένων από δηµόσιους
    φορείς).
    Αντίστοιχα, το ουσιαστικό πεδίο εφαρµογής της Οδηγίας προβλέπεται από το
    άρθρο 43 επ. του νόµου, ενώ ελλείπει αντίστοιχη πρόβλεψη για το εδαφικό πεδίο
    εφαρµογής της Οδηγίας, οι ορισµοί για τους σκοπούς εφαρµογής των διατάξεων της
    Οδηγίας προβλέπονται από το άρθρο 44 του νόµου και η νοµική βάση επεξεργασίας των
    δεδοµένων για τους σκοπούς που επιδιώκονται µε την Οδηγία ταυτίζεται µε τον σκοπό
    και το πεδίο εφαρµογής όπως προβλέπεται από το άρθρο 43 του νόµου.
  13. Ο εθνικός νοµοθέτης εισήγαγε τις έννοιες των «ιδιωτικών» και «δηµόσιων φορέων»
    που επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα,
    Η διάκριση µεταξύ «ιδιωτικού» και «δηµόσιου φορέα» δεν απαντάται στις διατάξεις
    του ΓΚΠ∆ και της Οδηγίας, όπου αντιθέτως γίνεται αναφορά στον «υπεύθυνο
    επεξεργασίας» και τον «εκτελούντα την επεξεργασία» ή σε «αρµόδιες αρχές» (βλ. και
    Επιστηµονική Υπηρεσία της Βουλής των Ελλήνων, Έκθεση επί του νοµοσχεδίου, µετέπειτα
    ν. 4624/19) µε ορατό τον κίνδυνο συγχύσεως µεταξύ των εννοιών «υπευθύνου
    επεξεργασίας» και «δηµόσιου φορέα» (βλ. π.χ. τη διατύπωση του άρθρου 5 ν. 4624/19).
    Η επιλογή αυτή του εθνικού νοµοθέτη πάντως, δεν έρχεται σε αντίθεση µε τις
    διατάξεις του ΓΚΠ∆, ενόψει της σχετικής δυνατότητας που παρέχεται στον εθνικό
    νοµοθέτη από το άρθρο 4 περ. 7 ΓΚΠ∆ («ρήτρα ανοίγµατος-εξειδίκευσης»).
    Άρθρο 5
    7
    i. Σύµφωνα µε το άρθρο 6 παρ. 1 ΓΚΠ∆ («Νοµιµότητα της επεξεργασίας») «Η
    επεξεργασία είναι σύννοµη µόνο εάν και εφόσον ισχύει τουλάχιστον µία από τις ακόλουθες
    προϋποθέσεις: […] ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος
    που εκτελείται προς το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που
    έχει ανατεθεί στον υπεύθυνο επεξεργασίας», ο οποίος δεν είναι απαραίτητο να είναι
    δηµόσια αρχή ή άλλο φυσικό ή νοµικό πρόσωπο που διέπεται από το δηµόσιο δίκαιο (αιτ.
    σκ. 45 τελ. εδ. ΓΚΠ∆).
    Σύµφωνα µε την αιτιολογική σκέψη υπ’ αρ. 10 ΓΚΠ∆ όσον αφορά την επεξεργασία
    δεδοµένων προσωπικού χαρακτήρα που γίνεται προς συµµόρφωση µε νοµική υποχρέωση
    προς εκπλήρωση καθήκοντος, το οποίο εκτελείται προς το δηµόσιο συµφέρον ή κατά την
    άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, τα κράτη µέλη
    θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να θεσπίζουν ειδικές διατάξεις για τον
    περαιτέρω προσδιορισµό της εφαρµογής των κανόνων του ΓΚΠ∆.
    Σύµφωνα µε την αιτιολογική σκέψη υπ’ αρ. 45 ΓΚΠ∆ όταν η επεξεργασία είναι
    αναγκαία για την εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή
    κατά την άσκηση δηµόσιας εξουσίας, η επεξεργασία θα πρέπει να έχει βάση στο δίκαιο
    της Ένωσης ή κράτους µέλους.
    ii. Σύµφωνα µε το άρθρο 5 ν. 4624/2019 («Νοµική βάση επεξεργασίας δεδοµένων
    προσωπικού χαρακτήρα από δηµόσιους φορείς») «Οι δηµόσιοι φορείς επιτρέπεται να
    επεξεργάζονται δεδοµένα προσωπικού χαρακτήρα όταν η επεξεργασία είναι απαραίτητη
    για την εκπλήρωση καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή κατά την
    άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας». Σηµειωτέον,
    ότι η εν λόγω διάταξη, αν και περιλαµβάνεται στο Α’ κεφάλαιο του νόµου, αφορά µόνο
    το πεδίο εφαρµογής του ΓΚΠ∆ και όχι της Οδηγίας, όπως θα καταδειχθεί στο οικείο τµήµα
    της παρούσας γνωµοδότησης.
    Σύµφωνα µε την αιτιολογική έκθεση του νόµου, το άρθρο 5 περιέχει µια γενική
    νοµική βάση, η θέσπιση της οποίας θεωρήθηκε αναγκαία καθώς το άρθρο 6 παρ. 1 εδ. ε’
    ΓΚΠ∆ δεν θέτει από µόνο του νοµική βάση για την επεξεργασία, αλλά την προϋποθέτει
    σύµφωνα µε τα οριζόµενα από το άρθρο 6 παρ. 3 εδ. α’ ΓΚΠ∆. Εν συνεχεία, στην ίδια
    αιτιολογική έκθεση αναφέρεται ότι το άρθρο 5 περιέχει επικουρική βάση επεξεργασίας
    δεδοµένων προσωπικού χαρακτήρα από δηµόσιους φορείς για χαµηλής έντασης
    επεµβάσεις στα δικαιώµατα του υποκειµένου των δεδοµένων.
    iii. Από τις διατάξεις του άρθρου 6 παρ. 2 και 3 ΓΚΠ∆ και τις αιτιολογικές σκέψεις υπ’
    αρ. 10 και 45 ΓΚΠ∆ δεν προκύπτει η παροχή εξουσιοδότησης στα κράτη µέλη για την
    θέσπιση κανενός είδους «γενικής» ή «επικουρικής νοµικής βάσης» στην εθνική νοµοθεσία
    έστω και «για χαµηλής έντασης επεµβάσεις στα δικαιώµατα του υποκειµένου των
    8
    δεδοµένων», χωρίς µάλιστα να προσδιορίζεται σε τι συνίσταται αυτή η «χαµηλή ένταση».
    Επιπλέον δε, ενώ στην αιτιολογική έκθεση γίνεται λόγος για «γενική» ή «επικουρική
    νοµική βάση» δεν προσδιορίζεται αντίστοιχα η «ειδική» ή «κύρια νοµική βάση».
    Αντιθέτως, από τις ανωτέρω διατάξεις και αιτιολογικές σκέψεις του ΓΚΠ∆ προκύπτει
    ότι παρέχεται η δυνατότητα διατήρησης ή θέσπισης ειδικότερων εθνικών διατάξεων για
    τον περαιτέρω προσδιορισµό της εφαρµογής των υφιστάµενων κανόνων του ΓΚΠ∆.
    Περαιτέρω, στη διάταξη του άρθρου 6 παρ. 3 στοιχ. α’ ΓΚΠ∆, προβλέπεται ότι «η
    βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο γ’ και ε’ ορίζεται
    σύµφωνα µε: α)…β) το δίκαιο του κράτους µέλους στο οποίο υπόκειται ο υπεύθυνος
    επεξεργασίας. Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νοµική βάση ή όσον
    αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε’, είναι η
    αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το
    δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον
    υπεύθυνο επεξεργασίας…Το δίκαιο της Ένωσης ή το δίκαιο του κράτους µέλους
    ανταποκρίνεται σε σκοπό δηµόσιου συµφέροντος και είναι ανάλογο προς τον
    επιδιωκόµενο νόµιµο σκοπό».
    Από τα ανωτέρω προκύπτει ότι µε το άρθρο 6 παρ. 1 εδ. ε’ ΓΚΠ∆ αφενός, εισάγεται
    νοµική βάση επεξεργασίας δεδοµένων προσωπικού χαρακτήρα χωρίς να χρειάζεται η
    επανάληψη της στο νόµο, αφετέρου, η επεξεργασία, ως περιορίζουσα ατοµικό δικαίωµα,
    θα πρέπει να έχει έρεισµα στο δίκαιο του κράτους µέλους µε την έννοια ότι δεν απαιτείται
    µεν συγκεκριµένη διάταξη νόµου για κάθε µεµονωµένη επεξεργασία (βλ. αιτ. σκ. 45
    ΓΚΠ∆), αλλά πρέπει ο νόµος (βλ. αιτ. σκ. 41 ΓΚΠ∆) να αναθέτει ρητά στον υπεύθυνο
    επεξεργασίας την άσκηση δηµόσιας εξουσίας ή το καθήκον που εκτελείται προς το
    δηµόσιο συµφέρον στο πλαίσιο του οποίου διενεργείται η επεξεργασία ως αναγκαία για
    την εκπλήρωση των σκοπών του άρθρου 6 παρ. 1 εδ. ε’ ΓΚΠ∆ (πρβλ. ΑΠ∆ΠΧ
    Γνωµοδότηση 6/2016). Και µάλιστα η νοµική βάση ή το νοµοθετικό µέτρο θα πρέπει να
    είναι διατυπωµένο µε σαφήνεια και ακρίβεια και η εφαρµογή του να είναι προβλέψιµη για
    πρόσωπα που υπόκεινται σε αυτό, σύµφωνα µε τη νοµολογία του ∆ΕΕ και του Ε∆∆Α (αιτ.
    σκ. 41 ΓΚΠ∆).
    Η διάταξη του άρθρου 5 του νόµου ταυτίζεται κατά περιεχόµενο µε εκείνη του
    άρθρου 6 παρ. 1 εδ. ε’ ΓΚΠ∆, µε µοναδική διαφορά ότι περιορίζεται στους δηµόσιους
    φορείς, σε αντίθεση µε τη διάταξη του ΓΚΠ∆ που έχει εφαρµογή τόσο στους δηµόσιους
    όσο και στους ιδιωτικούς φορείς. Από την αιτιολογική έκθεση του νόµου, όµως, δεν
    προκύπτει ότι ο εθνικός νοµοθέτης αποσκοπούσε µε την εν λόγω διάταξη στον
    αποκλεισµό των ιδιωτικών φορέων από την επεξεργασία των προσωπικών δεδοµένων για
    9
    τους σκοπούς του άρθρου 6 παρ. 1 εδ. ε’ ΓΚΠ∆ και ότι για τον λόγο αυτό προέβη στην
    εξειδίκευση της εν λόγω διάταξης µε το άρθρο 5 του νόµου.
    Εξάλλου, µε την ανωτέρω γενική του άρθρου 5 του ν. 4624/2019, δεν φαίνεται
    ότι εισάγεται για τους δηµόσιους φορείς νέα σε σχέση προς τον ΓΚΠ∆, µοναδική και
    αυτοτελής νοµική βάση, ούτε ότι αποκλείεται η εφαρµογή των διατάξεων του άρθρου 6
    παρ. 1 εδ. γ’ και ε’ ΓΚΠ∆.
    Συµπερασµατικά, µε το άρθρο 5 του νόµου επαναλαµβάνεται η νοµική βάση του
    άρθρου 6 παρ. 1 εδ. ε’ ΓΚΠ∆, δεν εισάγεται νέα ή επικουρική νοµική βάση στο εθνικό
    δίκαιο, ούτε αποκλείεται η εφαρµογή των νοµικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠ∆.
    Ερµηνευόµενη µε την έννοια αυτή, η διάταξη του άρθρου 5 του ν. 4624/2019 δεν έρχεται
    σε αντίθεση µε τον ΓΚΠ∆, παραβιάζει όµως τον κανόνα του ενωσιακού δικαίου, κατά τον
    οποίο δεν επιτρέπεται επανάληψη διατάξεων ΓΚΠ∆ σε εθνικό νοµοθέτηµα.
    Άρθρα 6-7-8
  14. Με τα άρθρα 6, 7 και 8 του νόµου ενσωµατώνονται τα άρθρα 32, 33, 34 της
    Οδηγίας και επιπλέον, επαναλαµβάνονται σε µεγάλο βαθµό οι προβλέψεις των άρθρων
    37, 38 και 39 για τους σκοπούς λήψης µέτρων εφαρµογής του ΓΚΠ∆ χωρίς να προκύπτει
    από την αιτιολογική έκθεση ο ειδικός λόγος που κατέστησε αναγκαία την επανάληψη αυτή
    και µάλιστα µόνο για τους δηµόσιους φορείς.
    Η επανάληψη µε τα άρθρα 6, 7 και 8 του νόµου της πλειονότητας των διατάξεων
    των άρθρων 37, 38 και 39 ΓΚΠ∆ µόνο κατά το µέρος που αφορούν το δηµόσιο τοµέα και
    η ένταξη των άρθρων αυτών του νόµου στο Α’ Κεφάλαιο και όχι στο Γ’ Κεφάλαιο του
    νόµου («Συµπληρωµατικά µέτρα εφαρµογής του ΓΚΠ∆ για την επεξεργασία δεδοµένων
    προσωπικού χαρακτήρα») δηµιουργεί σύγχυση και θα µπορούσε να οδηγήσει στην
    εσφαλµένη, εν τέλει, εντύπωση ότι οι ρυθµίσεις των άρθρων 37, 38 και 39 ΓΚΠ∆ αφορούν
    µόνο τους ιδιωτικούς φορείς, ενώ οι δηµόσιοι φορείς διέπονται από τις διατάξεις των
    άρθρων 6, 7 και 8 του νόµου, αποκλειοµένης της εφαρµογής των διατάξεων των άρθρων
    37, 38 και 39 ΓΚΠ∆ από τους δηµόσιους φορείς. Η σύγχυση επιτείνεται από το γεγονός
    ότι µε τις ίδιες διατάξεις ενσωµατώνονται οι αντίστοιχες της Οδηγίας.
  15. Ανεξαρτήτως του ότι, κατά τη σχετική ευχέρεια που παρέχεται µε το ΓΚΠ∆, στο
    νόµο ορίζεται ότι δεν υπόκειται στις αρµοδιότητες της Αρχής ο έλεγχος πράξεων
    επεξεργασίας διαβαθµισµένων δεδοµένων προσωπικού χαρακτήρα, οι οποίες
    διενεργούνται για δραστηριότητες που αφορούν την εθνική ασφάλεια, η διάταξη του
    άρθρου 6 παρ. 5 του νόµου στο µέτρο που αφορά τη λήψη µέτρων εφαρµογής του ΓΚΠ∆
    και µε την οποία εξαιρείται ο δηµόσιος φορέας από την κατ’ αρ. 37 παρ. 7 ΓΚΠ∆
    υποχρέωση δηµοσιοποίησης και ανακοίνωσης, µε οποιοδήποτε τρόπο, των στοιχείων του
    10
    ΥΠ∆ στην Αρχή όταν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης
    του καθήκοντος εχεµύθειας (εµπιστευτικότητα) που προβλέπεται από το νόµο, δεν
    βρίσκει έρεισµα σε «ρήτρα ανοίγµατος ή εξειδίκευσης» του ίδιου άρθρου του ΓΚΠ∆, ούτε
    όµως από οποιαδήποτε άλλη διάταξη του ΓΚΠ∆ παρέχεται οποιουδήποτε είδους σχετική
    εξουσιοδότηση για περιορισµό της σχετικής υποχρέωσης. Οµοίως, από το άρθρο 32 παρ.
    4 της Οδηγίας δεν προβλέπεται δυνατότητα εισαγωγής εξαιρέσεων στην εθνική νοµοθεσία
    για την εν λόγω περίπτωση.
    ΚΕΦΑΛΑΙΟ Β’
    Άρθρο 10 παρ. 5
  16. Επισηµαίνεται ότι ναι µεν ο έλεγχος των πράξεων επεξεργασίας δεδοµένων προσωπικού
    χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της
    δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων δεν ανήκει στις
    αρµοδιότητες της Αρχής, και αυτές οι πράξεις όµως υπόκεινται στον ΓΚΠ∆. Ως εκ τούτου
    επιβάλλεται να εξασφαλιστεί έλεγχος της τήρησης των κανόνων αυτών από δικαστικά
    όργανα.
  17. Λόγω της γενικότητας της διάταξης, κατά την οποία εξαιρούνται του ελέγχου της Αρχής
    οι πράξεις επεξεργασίας διαβαθµισµένων δεδοµένων προσωπικού χαρακτήρα που
    διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια, ανακύπτουν
    δυσχέρειες στον χαρακτηρισµό των πράξεων αυτών. Ενόψει αυτού, είναι σκόπιµο να
    προστεθεί στην παρ. 5 η εξής διάταξη: «Οι αρχές που επεξεργάζονται διαβαθµισµένα
    δεδοµένα προσωπικού χαρακτήρα στο πλαίσιο δραστηριοτήτων εθνικής ασφάλειας,
    ενηµερώνουν και συνεργάζονται µε την Αρχή για την τήρηση της νοµοθεσίας περί
    προστασίας προσωπικών δεδοµένων και ιδίως τη λήψη και την τήρηση των αναγκαίων
    γενικών µέτρων ασφαλείας».
    Άρθρο 18
  18. Προκειµένου να καθίσταται εφικτή η έγκαιρη κάλυψη των αναγκών της Αρχής σε
    ανθρώπινο δυναµικό, η οποία αποτελεί επιτακτική ανάγκη ενόψει και των υποχρεώσεών
    της έναντι του Ευρωπαϊκού Συµβουλίου Προστασίας ∆εδοµένων και των οµόλογων
    εποπτικών αρχών στο πλαίσιο της επιβαλλόµενης κατά τον ΓΚΠ∆ συνεργασίας και
    συνεκτικότητας, κρίνεται αναγκαίο να θεσπιστούν ρυθµίσεις ώστε να ανατεθεί στην Αρχή
    η κίνηση των σχετικών διαδικασιών και να ενισχυθεί η συµµετοχή της στις διαδικασίες
    αυτές, µε τήρηση των κριτηρίων επιλογής που ισχύουν γενικώς στο δηµόσιο τοµέα. Η
    ρύθµιση αυτή συνιστά συµµόρφωση και προς την υποχρέωση που απορρέει από το άρθρο
    52 παρ. 5 του ΓΚΠ∆ να διασφαλίζεται ότι η εποπτική αρχή επιλέγει και διαθέτει δικούς της
    υπαλλήλους που διοικούνται αποκλειστικά από την ίδια.
    11
  19. Ενόψει του χαρακτήρα της Αρχής, της φύσης και των δυσχερειών του έργου της καθώς
    και των διεθνών υποχρεώσεών της, είναι αναγκαία η ενίσχυση των αποδοχών του
    προσωπικού της, κατ’ αντιστοιχία προς σχετικές ρυθµίσεις που έχουν θεσπιστεί για άλλες
    ανεξάρτητες αρχές και υπηρεσίες του ∆ηµοσίου.
    ΚΕΦΑΛΑΙΟ Γ’
    Ενώ από την διάταξη του άρθρου 10 ΓΚΠ∆ προκύπτει ότι παρέχεται εξουσιοδότηση
    («ρήτρα ανοίγµατος-εξειδίκευσης») στον εθνικό νοµοθέτη να λάβει τα αναγκαία µέτρα µε
    την πρόβλεψη επαρκών εγγυήσεων για την επεξεργασία δεδοµένων προσωπικού
    χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήµατα, εν τούτοις, µε το νόµο δεν
    λαµβάνονται σχετικά µέτρα, ούτε από την αιτιολογική έκθεση προκύπτει ο λόγος της
    παράλειψης αυτής.
    Σε κάθε περίπτωση, ακόµη και εάν η πρόθεση του εθνικού νοµοθέτη υπήρξε να
    ληφθούν µέτρα εφαρµογής του άρθρου 10 ΓΚΠ∆ σε ειδική τοµεακή νοµοθεσία, σε
    αντίθεση µε την επιλογή του σε σχέση µε το άρθρο 9 ΓΚΠ∆, τέτοια µέτρα δεν έχουν
    ληφθεί µέχρι σήµερα µε αποτέλεσµα να καθίσταται εν πολλοίς αδύνατη η εφαρµογή της
    διάταξης του άρθρο 10 ΓΚΠ∆.
    Άρθρο 22
  20. Σύµφωνα µε την αιτιολογική έκθεση, µε το άρθρο 22 του νόµου «διευκρινίζεται
    υπό ποιες προϋποθέσεις και για ποιους λόγους είναι δυνατή η επεξεργασία ειδικών
    κατηγοριών δεδοµένων προσωπικού χαρακτήρα, τα οποία αναφέρονται στα στοιχεία β, ζ,
    η, και θ, της παραγράφου 2 του άρθρου 9 ΓΚΠ∆…παρέχεται η δυνατότητα στα κράτη
    µέλη να καθορίζουν µέσω εθνικών ρυθµίσεων τις εξαιρέσεις», ενώ από τη διατύπωση των
    παραγράφων 1 και 2 του άρθρου 22 του νόµου προκύπτει ότι προβλέπεται «παρέκκλιση
    από το άρθρο 9 παρ. 1 ΓΚΠ∆…Με την παράγραφο 1 διευκρινίζονται οι όροι υπό τους
    οποίους επιτρέπεται κατ’ εξαίρεση η επεξεργασία ειδικών κατηγοριών δεδοµένων
    προσωπικού χαρακτήρα…Με την παράγραφο 1 προβλέπονται οι όροι
    επεξεργασίας….Με την παράγραφο 2 µεταφέρονται οι όροι επεξεργασίας…».
    Από τη διατύπωση των παραγράφων 1 και 2 του άρθρου 22 του νόµου προκύπτει
    ότι µε τις διατάξεις αυτές αποσκοπείται να εισαχθεί «παρέκκλιση από το άρθρο 9 παρ. 1
    ΓΚΠ∆. Σύµφωνα µε το άρθρο 9 παρ. 4 ΓΚΠ∆ τα κράτη µέλη µπορούν να διατηρούν ή να
    θεσπίζουν περαιτέρω όρους, µεταξύ άλλων και περιορισµούς, όσον αφορά την
    επεξεργασία, όχι όλων των ειδικών κατηγοριών δεδοµένων προσωπικού χαρακτήρα, αλλά
    µόνο των γενετικών δεδοµένων, βιοµετρικών δεδοµένων ή δεδοµένων που αφορούν την
    υγεία κατ’ αρ. 4 παρ. 15 ΓΚΠ∆. Επιπλέον, στην παράγραφο 2 του άρθρου 9 ΓΚΠ∆
    12
    προβλέπονται περιοριστικά οι περιπτώσεις στις οποίες δεν εφαρµόζεται η απαγόρευση
    επεξεργασίας της παρ. 1, υπό τους όρους και τις προϋποθέσεις που εκεί προβλέπονται.
    Από την αιτιολογική έκθεση του νόµου προκύπτει ότι ο εθνικός νοµοθέτης θεώρησε
    ότι η αναφορά στο «δίκαιο κράτους µέλους» στις περιπτώσεις β’, ζ’ η’ και θ’ της
    παραγράφου 2 του άρθρου 9 ΓΚΠ∆ συνιστά εξουσιοδότηση για τη λήψη νοµοθετικών
    µέτρων εφαρµογής του ΓΚΠ∆ («ρήτρες ανοίγµατος – εξειδίκευσης») στο πλαίσιο του
    παρόντος γενικού «εκτελεστικού» νόµου και όχι σε επιµέρους τοµεακές νοµοθεσίες.
    Ανεξαρτήτως των αµφισβητήσεων που εγείρονται ως προς την ορθότητα της
    προσέγγισης αυτής, µε δεδοµένο ότι κατά το άρθρο 9 παρ. 4 ΓΚΠ∆ τα κράτη µέλη
    µπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, µεταξύ άλλων και περιορισµούς,
    όσον αφορά την επεξεργασία µόνον γενετικών δεδοµένων, βιοµετρικών δεδοµένων ή
    δεδοµένων που αφορούν την υγεία, οι διατάξεις της πρώτης παραγράφου του άρθρου 22
    του νόµου που αφορούν τόσο τους δηµόσιους, όσο και τους ιδιωτικούς φορείς συνιστούν
    αντιγραφή και επανάληψη των αντίστοιχων προβλέψεων του άρθρου 9 παρ. 2 ΓΚΠ∆,
    χωρίς να εξειδικεύονται περαιτέρω οι όροι της κατ’ εξαίρεση νόµιµης επεξεργασίας των
    ειδικών κατηγοριών δεδοµένων, σύµφωνα και µε την αιτιολογική σκέψη 41 ΓΚΠ∆ κατά
    την οποία η νοµική βάση ή το νοµοθετικό µέτρο θα πρέπει να είναι διατυπωµένο µε
    σαφήνεια και ακρίβεια και η εφαρµογή του να είναι προβλέψιµη για πρόσωπα που
    υπόκεινται σε αυτό, σύµφωνα µε τη νοµολογία του ∆ΕΕ και του Ε∆∆Α.
    Σηµειώνεται ότι οι συναφείς εθνικές διατάξεις, ενταγµένες στο κεφάλαιο Γ’ του
    νόµου περί συµπληρωµατικών µέτρων εφαρµογής του ΓΚΠ∆ θα πρέπει να επιτελούν
    απλώς συµπληρωµατικό ρόλο και να µην συνιστούν επανάληψη των διατάξεων του ΓΚΠ∆.
    Επισηµαίνεται επίσης ότι στο άρθρο 22 του νόµου γίνεται συνεχώς λόγος για
    «παρέκκλιση» από το άρθρο 9 παρ. 1 ΓΚΠ∆, ενδεχοµένως λόγω της σχετικής αναφοράς
    στις αιτιολογικές σκέψεις 51 και 52 ΓΚΠ∆, πλην όµως πρόκειται περί εξαίρεσης σύµφωνα
    µε την παράγραφο 2 του άρθρου 9 ΓΚΠ∆.
    Εξάλλου, από την αντιπαραβολή µεταξύ των διατάξεων του άρθρου 9 παρ. 2 ΓΚΠ∆
    και του άρθρου 22 παρ. 1 του νόµου προκύπτει ιδίως ότι:
    i. ενώ στη περίπτωση β’ του άρθρου 9 παρ. 2 ΓΚΠ∆ αίρεται η απαγόρευση επεξεργασίας
    όταν είναι απαραίτητη για την εκτέλεση υποχρεώσεων και την άσκηση συγκεκριµένων
    δικαιωµάτων του υπευθύνου επεξεργασίας ή του υποκειµένου των δεδοµένων στον τοµέα
    του εργατικού δικαίου και του δικαίου κοινωνικής ασφάλισης (ως προς τον τοµέα του
    εργατικού δικαίου βλ. άρθρο 27 παρ. 3 ν. 4624/19), εν τούτοις ο νόµος δεν αναφέρεται
    σε «συγκεκριµένα δικαιώµατα» ούτε άλλωστε διευκρινίζεται αν πρόκειται για «δικαιώµατα
    του υπευθύνου επεξεργασίας ή του υποκειµένου των δεδοµένων».
    13
    ii. το περιεχόµενο των διατάξεων του εδαφίου β’ και γ’ της παρ. 1 του νόµου συνιστά
    επανάληψη της περίπτωσης η’ και θ’ του άρθρου 9 παρ. 2 ΓΚΠ∆, αλλά παραλείπονται
    κάποιες προβλέψεις του ΓΚΠ∆ («επαγγελµατικής» ιατρικής) ή µεταβάλλεται η ορολογία
    («υπηρεσιών υγείας» αντί «παροχής υγειονοµικής περίθαλψης» στην πρώτη περίπτωση,
    «εξασφάλιση υψηλών προδιαγραφών ποιότητας» αντί «διασφάλιση υψηλών προτύπων
    ποιότητας» στην δεύτερη περίπτωση κ.λπ.), χωρίς να παρέχεται σχετική εξουσιοδότηση
    από τον ΓΚΠ∆.
    Επιπλέον των ανωτέρω, ως προς τις διατάξεις της παραγράφου 2 του άρθρου 22
    του νόµου που αφορούν αποκλειστικά τους δηµόσιους φορείς διαπιστώνεται ότι:
    i. περιλαµβάνεται περίπτωση α’ µε την οποία αίρεται η απαγόρευση επεξεργασίας
    των ειδικών κατηγοριών δεδοµένων του άρθρου 9 παρ. 1 ΓΚΠ∆ εφόσον η επεξεργασία
    είναι «απολύτως απαραίτητη για λόγους ουσιώδους δηµοσίου συµφέροντος». Η ανωτέρω
    εθνική διάταξη επαναλαµβάνει τµήµα της διάταξης του άρθρου 9 παρ. 2 εδ. ζ’ ΓΚΠ∆,
    παραλείποντας την εισαγόµενη µε την ίδια διάταξη του ΓΚΠ∆ επιταγή να προβλεφθούν
    µέτρα ώστε το ουσιαστικό δηµόσιο συµφέρον να «[…] είναι ανάλογο προς τον
    επιδιωκόµενο στόχο, σέβεται την ουσία του δικαιώµατος στην προστασία των
    δεδοµένων…», µε περαιτέρω συνέπεια το νοµοθετικό µέτρο να µην είναι διατυπωµένο µε
    σαφήνεια και ακρίβεια (βλ. αιτ. σκ. 41 ΓΚΠ∆)1. Σηµειωτέον δε, ότι σύµφωνα µε την
    αιτιολογική σκέψη 51 ΓΚΠ∆ η εν λόγω επεξεργασία υπόκειται σε ειδικές απαιτήσεις που
    µπορεί να προβλέπονται από το δίκαιο των κρατών µελών σε ειδικές διατάξεις ώστε να
    αντισταθµίζονται οι κίνδυνοι για τα δικαιώµατα και όχι προκειµένου να εισαχθούν
    περαιτέρω εξαιρέσεις.
    ii. περιλαµβάνεται περίπτωση β’ µε την οποία αίρεται η απαγόρευση επεξεργασίας
    των ειδικών κατηγοριών δεδοµένων του άρθρου 9 παρ. 1 ΓΚΠ∆ εφόσον η επεξεργασία
    είναι «απαραίτητη για την αποτροπή σηµαντικής απειλής για την εθνική ασφάλεια ή την
    δηµόσια ασφάλεια», χωρίς όµως να παρέχεται από τις διατάξεις του άρθρου 9 ΓΚΠ∆
    εξουσιοδότηση για τέτοια παρέκκλιση. Σε κάθε περίπτωση, η προστασία της εθνικής ή
    δηµόσιας ασφάλειας εµπίπτει στην έννοια του δηµόσιου συµφέροντος, το οποίο θα
    1 Επιφυλάξεις για την σύμφωνη με τον ΓΚΠΔ λήψη εφαρμοστικών μέτρων στην αντίστοιχη διάταξη του Γερμανικού
    νόμου (βλ. άρθρο 22 BDSG) έχουν εγερθεί από την Γερμανική θεωρία σύμφωνα με την οποία δεν έχει εξειδικευθεί
    σε τι συνίσταται το δημόσιο συμφέρον και ότι δεν θα έπρεπε να επαναλαμβάνεται η διατύπωση του άρθρου 9 παρ.
    2 ζ’ περ. ΓΚΠΔ αλλά θα έπρεπε ο όρος «δημόσιο συμφέρον» να έχει εξειδικευθεί εξαιτίας της απαίτησης για νομική
    ακρίβεια και σαφήνεια κατά τη λήψη νομοθετικών μέτρων. Σχετικά βλ. “Second Adaptation Act for the
    implementation of the GDPR”, SKW Schwarz Rechtsanwalte, 02-12-2019, διαθέσιμο σε
    https://www.lexology.com/library/detail.aspx?g=7da501e7-cbac-4920-acb9-1f100a9c33f2
    14
    δικαιολογούσε καταρχήν την επεξεργασία υπό όρους και εγγυήσεις που δεν προβλέπονται
    στη διάταξη του νόµου.
    iii. περιλαµβάνεται περίπτωση γ’ µε την οποία αίρεται η απαγόρευση επεξεργασίας των
    ειδικών κατηγοριών δεδοµένων του άρθρου 9 παρ. 1 ΓΚΠ∆ εφόσον η επεξεργασία είναι
    «απαραίτητη για τη λήψη ανθρωπιστικών µέτρων, και στις περιπτώσεις αυτές το
    συµφέρον για την επεξεργασία είναι υπέρτερο του συµφέροντος του υποκειµένου των
    δεδοµένων» χωρίς όµως να παρέχεται από τις διατάξεις του άρθρου 9 ΓΚΠ∆
    εξουσιοδότηση για τέτοια εξαίρεση και µάλιστα για όλες τις ειδικές κατηγορίες δεδοµένων.
    Άρθρο 23
    Η απαγόρευση επεξεργασίας γενετικών δεδοµένων θα πρέπει να επεκταθεί και στο πλαίσιο
    των εργασιακών σχέσεων.
    Άρθρα 24-25-26
    Σύµφωνα µε την αιτιολογική έκθεση του νόµου, µε τα άρθρα 24, 25 και 26
    παρέχεται ή δηµιουργείται µια «εθνική νοµική βάση» για την επεξεργασία δεδοµένων
    προσωπικού χαρακτήρα για σκοπό διαφορετικό από εκείνον για τον οποίο είχαν αρχικά
    συλλεγεί τα δεδοµένα. Προκειµένου να αιτιολογήσει ο εθνικός νοµοθέτης την επιλογή
    αυτή επικαλείται για το άρθρο 24 την διάταξη του άρθρου 6 παρ. 3 ΓΚΠ∆, για το άρθρο
    25 την διάταξη του άρθρου 6 παρ. 4 ΓΚΠ∆ και για το άρθρο 26 την «ρητή πρόβλεψη
    νόµου».
    Αντικείµενο των διατάξεων των άρθρων 24, 25 και 26 του νόµου συνιστά η
    περαιτέρω επεξεργασία των δεδοµένων προσωπικού χαρακτήρα, ήτοι η περίπτωση της
    επεξεργασίας για σκοπό άλλο από αυτόν για τον οποίο αρχικά συνελλέγησαν, µόνον
    εφόσον η µεταγενέστερη επεξεργασία είναι συµβατή µε τους σκοπούς της αρχικής
    συλλογής, σύµφωνα µε την αρχή του περιορισµού του σκοπού κατ’ άρ. 5 παρ. 1 εδ. β’
    ΓΚΠ∆. Σε αυτήν την περίπτωση δεν απαιτείται νοµική βάση χωριστή από εκείνη που
    επέτρεψε τη συλλογή των δεδοµένων (βλ. αρ. 6 παρ. 4 και αιτ. σκ. 50 ΓΚΠ∆).
    Επιπλέον, από τις διατάξεις του άρθρου 6 παρ. 2 και 3 ΓΚΠ∆ προκύπτει ότι
    παρέχεται η δυνατότητα στον εθνικό νοµοθέτη να διατηρήσει ή να θεσπίσει πιο ειδικές
    διατάξεις για την προσαρµογή της εφαρµογής των κανόνων όσον αφορά την επεξεργασία
    για τη συµµόρφωση µε τις περιπτώσεις γ’ (έννοµη υποχρέωση του υπευθύνου
    επεξεργασίας) και ε’ (εκπλήρωση καθήκοντος προς το δηµόσιο συµφέρον ή κατά την
    άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) της παρ. 1
    του άρθρου 6 ΓΚΠ∆ καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και
    άλλα µέτρα προς εξασφάλιση σύννοµης και θεµιτής επεξεργασίας.
    15
    Από τα ανωτέρω προκύπτει ότι ο ΓΚΠ∆ δεν παρέχει εξουσιοδότηση στον εθνικό
    νοµοθέτη να θεσπίσει νέες «εθνικές νοµικές βάσεις», όπως αναφέρεται στην αιτιολογική
    έκθεση, αλλά µόνον να εξειδικεύσει τις νοµικές βάσεις του άρθρου 6 παρ. 1 εδ. γ’ και ε’
    ΓΚΠ∆, υπό τους όρους και τις εγγυήσεις που προβλέπονται από τις διατάξεις των παρ. 2
    και 4 του άρθρου 6 ΓΚΠ∆. Επιπλέον δε, από τη διάταξη του άρθρου 6 παρ. 4 ΓΚΠ∆ για
    την περαιτέρω επεξεργασία για άλλους σκοπούς, διαφορετικούς µεν, συµβατούς δε µε
    τους σκοπούς της αρχικής συλλογής, προκύπτει ότι ο εθνικός νοµοθέτης δεν υποχρεούται
    να λάβει µέτρα εφαρµογής για την περαιτέρω επεξεργασία δεδοµένου ότι ο ίδιος ο ΓΚΠ∆
    θεσπίζει τα υπό α) έως ε) της εν λόγω παραγράφου 4 κριτήρια.
    Ακόµη όµως και εάν θεωρηθεί ότι ο εθνικός νοµοθέτης είχε εξουσιοδότηση από
    τον ΓΚΠ∆ να θεσπίσει «εθνικές νοµικές βάσεις» για την περαιτέρω επεξεργασία των
    δεδοµένων κατ’ αρ. 6 παρ. 4 ΓΚΠ∆, αυτές θα πρέπει να συνιστούν µόνον εξειδίκευση των
    νοµικών βάσεων του άρθρου 6 παρ. 1 εδ. γ’ και ε’ ΓΚΠ∆, θα πρέπει να σέβονται τις αρχές
    νοµιµότητας του άρθρου 5 παρ. 1 ΓΚΠ∆ και ιδίως την αρχή του περιορισµού του σκοπού
    κατ’ αρ. 5 παρ. 1 εδ. β’ ΓΚΠ∆, θα πρέπει να αποτελούν αναγκαίο και αναλογικό µέτρο σε
    µια δηµοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο
    23 µε πρόβλεψη των σχετικών ουσιαστικών και δικονοµικών εγγυήσεων, θα πρέπει τα
    νοµοθετικά µέτρα ή νοµικές βάσεις να είναι διατυπωµένα µε σαφήνεια και ακρίβεια και η
    εφαρµογή τους να είναι προβλέψιµη για πρόσωπα που υπόκεινται σε αυτά σύµφωνα µε
    τη νοµολογία του ∆ΕΕ και του Ε∆∆Α (αιτ. σκ. 41) και τέλος, σύµφωνα µε την αιτιολογική
    σκέψη 50 παρ. β’ ΓΚΠ∆, σε περίπτωση επισήµανσης πιθανών εγκληµατικών πράξεων ή
    απειλών κατά της δηµόσιας ασφάλειας από τον υπεύθυνο επεξεργασίας και διαβίβασης
    των σχετικών δεδοµένων σε αρµόδια αρχή, η διαβίβαση αυτή ή η περαιτέρω επεξεργασία
    δεδοµένων προσωπικού χαρακτήρα, θα πρέπει να απαγορεύεται, εάν η επεξεργασία δεν
    είναι συµβατή µε νοµική, επαγγελµατική ή άλλη δεσµευτική υποχρέωση τήρησης
    απορρήτου.
    Οι διατάξεις των άρθρων 24, 25 και 26 του νόµου δεν πληρούν καµία από τις
    ανωτέρω ουσιαστικές και διαδικαστικές προϋποθέσεις και εγγυήσεις, σύµφωνα και µε όσα
    προεκτέθηκαν σε σχέση µε το άρθρο 5 και 22 του νόµου. Επισηµαίνεται ότι οι διατάξεις
    του άρθρου 25, µε τις οποίες προβλέπεται η επεξεργασία από ιδιωτικούς φορείς
    δεδοµένων προσωπικού χαρακτήρα εφόσον είναι απαραίτητη, µεταξύ άλλων, για την
    αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δηµόσιας ασφάλειας (εδ. α’) καθώς
    και για τη δίωξη ποινικών αδικηµάτων (εδ. β’), παρά τη διατύπωσή τους, από την οποία
    καταλείπονται ερµηνευτικές αµφιβολίες, δεν µπορεί να θεωρηθεί ότι αναθέτει σε
    ιδιωτικούς φορείς αρµοδιότητες σχετιζόµενες µε τους παραπάνω σκοπούς, δεδοµένου ότι
    οι αρµοδιότητες αυτές ανήκουν στον πυρήνα της κρατικής εξουσίας και δεν είναι καταρχήν
    συνταγµατικώς επιτρεπτό να ανατεθούν σε ιδιώτες.
    16
    Θα πρέπει να επισηµανθεί ότι σε παρόµοια συµπεράσµατα κατέληξε και η
    Πορτογαλική ΑΠ∆ΠΧ µε την υπ’ αρ. 494/2019 απόφασή της σε σχέση µε το αντίστοιχο
    άρθρο του εθνικού νόµου 58/2019 διαπιστώνοντας παραβίαση του ΓΚΠ∆, ενώ η
    Ανεξάρτητη Αρχή ∆ηµοσίων Εσόδων (ΑΑ∆Ε) µε την από 30-9-2019 επιστολή της προς
    την Αρχή εκφράζει τη γνώµη ότι οι περιορισµοί που τίθενται µε τα άρθρα 24 και 26 του
    νόµου δεν βρίσκουν έρεισµα στον ΓΚΠ∆, ότι µε τον τρόπο αυτό αποστερείται της άσκησης
    αρµοδιοτήτων της και ότι οι εν λόγω διατάξεις θα αποτελέσουν τροχοπέδη και στην
    υλοποίηση των στόχων του ν. 4623/2019 για την ψηφιακή διακυβέρνηση.
    Άρθρο 27
  21. Με την πρώτη παράγραφο του άρθρου 27 του νόµου ο εθνικός νοµοθέτης επέλεξε
    να εξειδικεύσει κατ’ άρ. 88 παρ. 1 ΓΚΠ∆ («να θεσπίσει ειδικούς κανόνες») τους όρους
    νοµιµότητας της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων
    όταν αυτή έχει ως νοµική βάση το άρθρο 6 παρ. 1 εδ. β’ ΓΚΠ∆ («εκτέλεση σύµβασης»).
    Η εξειδίκευση στην εθνική νοµοθεσία πρέπει να πληροί τους όρους της παρ. 2 του άρθρου
    88 ΓΚΠ∆ µε τη λήψη κατάλληλων και ειδικών µέτρων που εκεί αναφέρονται. Τέτοια µέτρα
    δεν φαίνεται να έχουν ληφθεί από τον εθνικό νοµοθέτη, οι δε διατάξεις του άρθρου 27
    παρ. 1 του νόµου ταυτίζονται κατά περιεχόµενο µε εκείνες του άρθρου 6 παρ. 1 εδ. β’
    ΓΚΠ∆ και άρα η θεσπισθείσα εθνική διάταξη συνιστά επανάληψη του ΓΚΠ∆.
    Σε κάθε περίπτωση, οι νοµικές βάσεις που προβλέπονται από το άρθρο 6 παρ. 1
    ΓΚΠ∆ εξακολουθούν να εφαρµόζονται κατά την επεξεργασία δεδοµένων προσωπικού
    χαρακτήρα στον τοµέα των εργασιακών σχέσεων, στο µέτρο που κάθε φορά ισχύουν ανά
    περίπτωση.
    1.1. Σύµφωνα µε την αιτιολογική έκθεση, µε την παράγραφο 1 του άρθρου 27 του
    νόµου εισάγεται κανονιστική ρύθµιση µε την οποία ρυθµίζονται οι σκοποί για τους οποίους
    επιτρέπεται η επεξεργασία δεδοµένων προσωπικού χαρακτήρα τόσο κατά το στάδιο πριν
    από την κατάρτιση της σύµβασης εργασίας, όσο και κατά τη διάρκειά της, αλλά και µετά
    τη λήξη της, εάν αυτό είναι απαραίτητο για τους σκοπούς της σύµβασης εργασίας. Ως
    παραδείγµατα επεξεργασίας προσωπικών δεδοµένων στην περίπτωση αυτή παρατίθενται
    στην αιτιολογική έκθεση η επεξεργασία βιοµετρικών δεδοµένων, η χρήση συστηµάτων
    γεωεντοπισµού, η κατάρτιση ενός κανονισµού χρήσης επικοινωνιακών µέσων και µέσων
    ηλεκτρονικής παρακολούθησης, ακόµη και τα συστήµατα καταγγελίας (whistleblowing).
    Νοµική όµως βάση της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των
    εργαζοµένων στα προαναφερόµενα παραδείγµατα δεν συνιστά η εκτέλεση της σύµβασης,
    όπως υπονοείται στην αιτιολογική έκθεση, αλλά ιδίως η ικανοποίηση του έννοµου
    συµφέροντος του εργοδότη κατ’ αρ. 6 παρ. 1 εδ. στ’ ΓΚΠ∆ (βλ. για τον γεωεντοπισµό
    εργαζοµένου ΑΠ∆ΠΧ 37/2019 παρ. 5, για τον έλεγχο ηλεκτρονικού υπολογιστή
    17
    εργαζοµένου ΑΠ∆ΠΧ 34/2018, για τον έλεγχο διακοµιστή µε δεδοµένα εργαζοµένου
    ΑΠ∆ΠΧ 43/19 και 44/19, για την επιτήρηση ηλεκτρονικών επικοινωνιών εργαζοµένου
    ΑΠ∆ΠΧ 26/2019 παρ. 15-16, Οµάδα Εργασίας 29, Γνώµη 2/2017 σελ. 4,7,23 και Ε∆∆Α
    Barbulescu κατά Ρουµανίας 05-9-2017 παρ. 127).
    Με την εκδοχή, κατά την οποία µε την παρ. 1 του άρθρου 27 του νόµου εισάγεται
    µοναδική νοµική βάση επεξεργασίας για κάθε σκοπό επεξεργασίας στο πλαίσιο των
    εργασιακών σχέσεων, στην οποία κατ’ ουσία «συγχωνεύονται» οι νοµικές βάσεις του
    άρθρου 6 παρ. 1 ΓΚΠ∆ και άρα αποκλείεται η αυτοτελής εφαρµογή τους (πλην της
    συγκατάθεσης, που προβλέπεται ρητά στην παράγραφο 2 του άρθρου 27 του νόµου), η
    ρύθµιση έρχεται σε αντίθεση µε τις διατάξεις του άρθρου 88 παρ. 1 ΓΚΠ∆ µε βάση τις
    οποίες επιτρέπεται η «θέσπιση ειδικών κανόνων» για την εξειδίκευση κανόνων
    επεξεργασίας που βασίζονται στις νοµικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠ∆ και όχι για
    την δηµιουργία νέων νοµικών βάσεων ή τον αποκλεισµό εφαρµογής των νοµικών βάσεων
    του ΓΚΠ∆.
    Σηµειώνεται ότι η παροχή εξουσιοδότησης από το άρθρο 88 παρ. 1 ΓΚΠ∆ προς τα
    κράτη µέλη προκειµένου να θεσπίσουν ειδικούς κανόνες, αποσκοπεί, κατά ρητή πρόβλεψη
    του ίδιου άρθρου, στην διασφάλιση της προστασίας των δικαιωµάτων και των ελευθεριών
    έναντι της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων στο
    πλαίσιο της απασχόλησης.
    Τέτοια προστασία δεν παρέχεται στον εργαζόµενο όταν κάθε επεξεργασία
    δεδοµένων προσωπικού χαρακτήρα για διαφορετικούς σκοπούς έχει ως αποκλειστική
    νοµική βάση την εκτέλεση της σύµβασης από την οποία αυτός δεσµεύεται και µε τον
    τρόπο αυτό παρακάµπτεται η τυχόν εφαρµογή άλλων, περισσότερων κατάλληλων,
    νοµικών βάσεων.
    Με την αντίθετη ορθή άποψη ότι δεν αποκλείεται η αυτοτελής εφαρµογή των
    λοιπών νοµικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠ∆, παρέχεται στον εργαζόµενο η
    δυνατότητα ελέγχου της ορθής και νόµιµης εφαρµογής της οικείας νοµικής βάσης, η οποία
    θα µπορούσε να οδηγήσει τελικά σε απαγόρευση της επεξεργασίας π.χ. όταν κριθεί στην
    περίπτωση του άρθρου 6 παρ. 1 εδ. ε’ ΓΚΠ∆ ότι η επεξεργασία δεν αφορά εκπλήρωση
    καθήκοντος που εκτελείται προς το δηµόσιο συµφέρον ή στην περίπτωση του άρθρου 6
    παρ. 1 εδ. στ’ ΓΚΠ∆ ότι η εκπλήρωση του έννοµου συµφέροντος του εργοδότη δεν
    υπερισχύει του συµφέροντος ή των θεµελιωδών δικαιωµάτων και ελευθεριών του
    εργαζοµένου (πρβλ. ΑΠ∆ΠΧ 26/2019 παρ. 16 µε παραποµπές στις Γνώµες της Οµάδας
    Εργασίας του άρθρου 29).
    Συµπερασµατικά, η παράγραφος 1 του άρθρου 27 του νόµου είτε θεωρηθεί
    επανάληψη του εδαφίου β’ της παρ. 1 του άρθρου 6 ΓΚΠ∆, είτε θεωρηθεί ως µια νέα
    18
    αποκλειστική νοµική βάση για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα των
    εργαζοµένων µε την οποία αποκλείεται η εφαρµογή των νοµικών βάσεων του άρθρου 6
    παρ. 1 ΓΚΠ∆, έρχεται σε αντίθεση µε τον ΓΚΠ∆.
  22. Η εφαρµογή της νοµικής βάσης της συγκατάθεσης στον τοµέα των εργασιακών
    σχέσεων δεν απαγορεύεται απόλυτα (βλ. αιτ. σκ. 155 ΓΚΠ∆), αλλά αποκλείεται όταν η
    τελευταία, κατά παράβαση του άρθρου 7 ΓΚΠ∆, δεν παρέχεται ελεύθερα, ρητά,
    συγκεκριµένα, µε πλήρη επίγνωση και πραγµατική δυνατότητα ανάκλησης της (βλ. αιτ.
    σκ. 32 & 42 ΓΚΠ∆). Η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νοµική βάση για
    την επεξεργασία δεδοµένων προσωπικού χαρακτήρα σε µια συγκεκριµένη περίπτωση,
    όταν υπάρχει σαφής ανισότητα µεταξύ του υποκειµένου των δεδοµένων και του
    υπευθύνου επεξεργασίας (βλ. αιτ. σκ. 43 ΓΚΠ∆), όπως στην περίπτωση των εργασιακών
    σχέσεων.
    Με την παράγραφο 2 του ίδιου άρθρου, προβλέπεται κατ’ αρ. 88 παρ. 2 ΓΚΠ∆ ως
    κατάλληλο και ειδικό µέτρο, η προϋπόθεση της εξαιρετικής χρήσης της νοµικής βάσης της
    συγκατάθεσης στην επεξεργασία των δεδοµένων προσωπικού χαρακτήρα των
    εργαζοµένων.
    Η εξαιρετική χρήση της νοµικής βάσης της συγκατάθεσης στην επεξεργασία των
    δεδοµένων προσωπικού χαρακτήρα των εργαζοµένων, εν όψει της ανισορροπίας ισχύος
    των µερών, είναι σύµφωνη µε τον ΓΚΠ∆ εφόσον αφενός, αποκλεισθεί η εφαρµογή των
    λοιπών νοµικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠ∆, ιδίως εκείνων των άρθρων 6 παρ. 1
    εδ. β’, γ’ και στ’2, αφετέρου, διαπιστωθεί ότι πληρούνται οι όροι της έγκυρης
    συγκατάθεσης κατ’ αρ. 4 περ. 11 και 7 ΓΚΠ∆ (βλ. ΑΠ∆ΠΧ 37/2019 παρ. 5 και ΑΠ∆ΠΧ
    26/2019 παρ. 10-16 και ιδίως 20).
  23. Με την παράγραφο 3 του άρθρου 27 του νόµου επαναλαµβάνεται η προβλεπόµενη
    στο άρθρο 9 παρ. 2 εδ. β’ ΓΚΠ∆ εξαίρεση από την απαγόρευση που εισάγεται µε την παρ.
    1 του ίδιου άρθρου, χωρίς εξειδίκευση και χωρίς να προβλεφθούν αφενός, οι απαιτούµενες
    από το ίδιο άρθρο «κατάλληλες εγγυήσεις για τα θεµελιώδη δικαιώµατα και τα
    συµφέροντα του υποκειµένου των δεδοµένων», αφετέρου, τα από το άρθρο 88 παρ. 2
    ΓΚΠ∆ «κατάλληλα και ειδικά µέτρα για τη διαφύλαξη της ανθρώπινης αξιοπρέπειας, των
    έννοµων συµφερόντων και των θεµελιωδών δικαιωµάτων του προσώπου στο οποίο
    2 Σχετικά βλ. “Contribution from the Multistakeholder Expert Group to the stock-taking exercise of June 2019 on one
    year of GDPR application – 13/6/2019 Report to the European Commission” σελ. 9, διαθέσιμο σε
    https://ec.europa.eu/commission/sites/betapolitical/files/report_from_multistakeholder_expert_group_on_gdpr_application.pdf
    19
    αναφέρονται τα δεδοµένα, µε ιδιαίτερη έµφαση στη διαφάνεια της επεξεργασίας, τη
    διαβίβασης δεδοµένων προσωπικού χαρακτήρα εντός οµίλου επιχειρήσεων, ή οµίλου
    εταιριών που ασκούν κοινή οικονοµική δραστηριότητα». Στα ανωτέρω κριτήρια και µέτρα
    του άρθρου 88 παρ. 2 ΓΚΠ∆, το οποίο συνιστά «ρήτρα ανοίγµατος-εξειδίκευσης» απλώς
    παραπέµπει ο εθνικός νοµοθέτης µε το δεύτερο εδάφιο της παραγράφου 4 του άρθρου
    27 του νόµου, ενώ θα έπρεπε να έχει προβεί σε εξειδίκευση τους µε τις εθνικές διατάξεις
    είτε του νόµου, είτε ειδικής τοµεακής νοµοθεσίας.
    Άρθρο 28
    Με την παράγραφο 1 του άρθρου 28 του νόµου προβλέπονται κατ’ εφαρµογή των
    διατάξεων του άρθρου 85 παρ. 1 ΓΚΠ∆ οι προϋποθέσεις επιτρεπτής επεξεργασίας
    δεδοµένων προσωπικού χαρακτήρα προκειµένου να συµβιβασθεί το δικαίωµα στην
    προστασία των δεδοµένων προσωπικού χαρακτήρα µε το δικαίωµα στην ελευθερία της
    έκφρασης και πληροφόρησης, συµπεριλαµβανοµένης της επεξεργασίας για
    δηµοσιογραφικούς σκοπούς κ.λπ.
    Προκειµένου η διάταξη να ανταποκρίνεται στις απαιτήσεις της αρχής της
    αναλογικότητας και της αρχής της πρακτικής εναρµόνισης µεταξύ ελευθερίας του τύπου
    και προστασίας των προσωπικών δεδοµένων, θα πρέπει η περίπτωση δ’ της πρώτης
    παραγράφου να ενσωµατωθεί µε την περίπτωση γ’ και η λέξη «όταν» (στην αρχή της
    περίπτωσης δ’) να αντικατασταθεί από την λέξη «εφόσον» ή από την φράση «υπό την
    προϋπόθεση ότι».
    Επίσης, στην περίπτωση επεξεργασίας δεδοµένων προσωπικού χαρακτήρα του
    άρθρου 10 ΓΚΠ∆ (ποινικές διώξεις, καταδίκες και µέτρα ασφαλείας) θα πρέπει να
    λαµβάνεται υπόψη, πέραν του δικαιώµατος του υποκειµένου στην ιδιωτική και
    οικογενειακή του ζωή, και το δικαίωµα στο τεκµήριο αθωότητάς κατ’ αρ. 48 ΧΘ∆ΕΕ και 6
    παρ. 2 ΕΣ∆Α.
    Τέλος, η ευρύτητα των εξαιρέσεων που περιλαµβάνονται στην παράγραφο 2 του
    άρθρου θέτει υπό διακινδύνευση τον πυρήνα της προστασίας των δεδοµένων προσωπικού
    χαρακτήρα (βλ. Έκθεση της Επιστηµονικής Υπηρεσίας της Βουλής των Ελλήνων επί του
    νοµοσχεδίου σελ. 10), ιδίως η εξαίρεση από ορισµένα δικαιώµατα, όπως το δικαίωµα
    αντίρρησης ή ενηµέρωσης. Σηµειωτέον ότι η προβλεπόµενη από τον ΓΚΠ∆ δυνατότητα
    θέσπισης των εξαιρέσεων µέσω νοµοθετικών µέτρων πρέπει να αιτιολογείται ως αναγκαία
    (βλ. αρ. 85 παρ. 2 ΓΚΠ∆), τέτοια δε αιτιολογία ελλείπει από την αιτιολογική έκθεση.
    Επιπλέον, οι εν λόγω εξαιρέσεις πρέπει να αποσκοπούν στην εξισορρόπηση των
    θεµελιωδών δικαιωµάτων (αιτ.σκ. 153) και όχι στην µονοµερή απάλειψη ή αποκλεισµό
    εφαρµογής των δικαιωµάτων στην προστασία των δεδοµένων προσωπικού χαρακτήρα. Η
    20
    Αρχή επιφυλάσσεται να κρίνει, κατά την άσκηση των αρµοδιοτήτων της σε συγκεκριµένες
    υποθέσεις, το επιτρεπτό των περιορισµών σε κάθε περίπτωση.
    Άρθρα 31-35
    Με τα άρθρα 31 έως 35 του νόµου προβλέπονται εκτεταµένοι περιορισµοί των
    δικαιωµάτων των υποκειµένων χωρίς να ορίζονται συγκεκριµένες ρυθµίσεις ανάλογα µε
    την περίπτωση για τα θέµατα που αναφέρονται στην παράγραφο 2 του άρθρου 23 ΓΚΠ∆.
    Η Αρχή επιφυλάσσεται να κρίνει, κατά την άσκηση των αρµοδιοτήτων της, αν οι
    εφαρµοζόµενοι σε κάθε περίπτωση, µε βάση τις διατάξεις αυτές του νόµου, περιορισµοί
    είναι σύµφωνοι µε τον ΓΚΠ∆ και µε τις επιταγές που απορρέουν από τον ΧΘ∆ΕΕ και την
    ΕΣ∆Α (βλ. αιτ. σκ. 73 ΓΚΠ∆) και ιδίως από τα άρθρα 7, 8 και 52 ΧΘ∆ΕΕ και 8 ΕΣ∆Α.
    Άρθρο 42
    Στο τέλος της παρ. 1 πρέπει να προστεθεί το ακόλουθο εδάφιο: «Η χορήγηση
    εγγράφων που περιέχουν προσωπικά δεδοµένα ειδικών κατηγοριών υπάγεται στις
    προϋποθέσεις που διέπουν την επεξεργασία των ειδικών αυτών κατηγοριών» (βλ.
    γνωµοδότηση ΑΠ∆ΠΧ 6/2013).
    Στην παρ. 2 και πριν τις λέξεις «παραµένει ανεπηρέαστη» πρέπει να προστεθούν
    οι λέξεις «και του άρθρου 147 του Κώδικα Ποινικής ∆ικονοµίας».
    ΚΕΦΑΛΑΙΟ ∆’
    ΕΙΣΑΓΩΓΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ:
  24. Σύµφωνα µε την αιτιολογική σκέψη 33 της Οδηγίας «Ωστόσο, η εν λόγω νοµοθεσία
    των κρατών µελών, η νοµική βάση ή το νοµοθετικό µέτρο θα πρέπει να είναι διατυπωµένα
    µε σαφήνεια και ακρίβεια και η εφαρµογή τους να είναι προβλέψιµη για όσους υπόκεινται
    σε αυτά, όπως απαιτείται από τη νοµολογία του ∆ικαστηρίου και του Ευρωπαϊκού
    ∆ικαστηρίου Ανθρωπίνων ∆ικαιωµάτων. Η νοµοθεσία των κρατών µελών που ρυθµίζει την
    επεξεργασία των δεδοµένων προσωπικού χαρακτήρα εντός του πεδίου εφαρµογής της
    παρούσας οδηγίας θα πρέπει να καθορίζει τουλάχιστον τους στόχους, τα δεδοµένα
    προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, τους σκοπούς της
    επεξεργασίας και τις διαδικασίες για τη διατήρηση της ακεραιότητας και της
    εµπιστευτικότητας των δεδοµένων προσωπικού χαρακτήρα και τις διαδικασίες για την
    καταστροφή τους, παρέχοντας ως εκ τούτου επαρκείς εγγυήσεις κατά του κινδύνου
    κατάχρησης και αυθαιρεσίας».
    21
  25. Με τα κεφάλαια Α’ και ∆’ του νόµου ενσωµατώθηκαν διατάξεις της Οδηγίας
    680/2016. Σε αρκετές περιπτώσεις δεν έχει ενσωµατωθεί καθόλου σειρά διατάξεων της
    Οδηγίας, σε άλλες περιπτώσεις έχει µεταφερθεί αυτούσιο το κείµενο της Οδηγίας χωρίς
    προσαρµογή στην εθνική νοµοθεσία, ενώ σε κάποιες περιπτώσεις η ενσωµάτωση είναι
    εσφαλµένη.
    Ειδικότερα, πρέπει να περιληφθεί διάταξη για την ενσωµάτωση του άρθρου 8 της
    Οδηγίας που αφορά τις προϋποθέσεις σύννοµης επεξεργασίας των δεδοµένων (νοµική
    βάση), ώστε να καθορίζεται µε σαφήνεια και ακρίβεια (βλ. αιτ. σκ. 33) η νοµική βάση της
    επεξεργασίας των δεδοµένων για τους σκοπούς της Οδηγίας, ήτοι της επεξεργασίας η
    οποία θα πρέπει να είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται προς το
    δηµόσιο συµφέρον από αρµόδια αρχή για τους σκοπούς που καθορίζονται στο άρθρο 1
    παρ. 1 της Οδηγίας (βλ. αιτ. σκ. 35 Οδηγίας). Επισηµαίνεται ότι το Τµήµα ΙΙ του ∆’
    Κεφαλαίου του νόµου τιτλοφορείται «Νοµικές βάσεις της επεξεργασίας» ενώ µοναδική
    νοµική βάση επεξεργασίας συνιστά, σύµφωνα µε το άρθρο 8 της Οδηγίας, η πρόληψη,
    διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικηµάτων κ.λπ., δηλαδή ταυτίζεται µε το πεδίο
    εφαρµογής της Οδηγίας και του νόµου (άρθρο 43).
    Όσα προαναφέρθηκαν για την πρόβλεψη της απαιτούµενης νοµικής βάσης για την
    επεξεργασία δεδοµένων προσωπικού χαρακτήρα απαιτούνται και για την περίπτωση των
    ειδικών κατηγοριών δεδοµένων. Στο άρθρο 46 δεν έχουν ενσωµατωθεί οι περιπτώσεις β’
    και γ’ του άρθρου 10 της Οδηγίας, µε τις οποίες προϋποθέσεις για το επιτρεπτό της
    επεξεργασίας των ειδικών κατηγοριών δεδοµένων.
  26. Στο Τµήµα ΙΙΙ του Κεφαλαίου ∆΄ του νόµου περί δικαιωµάτων του υποκειµένου
    των δεδοµένων και στο Τµήµα ΙV για τις υποχρεώσεις υπευθύνου και εκτελούντος την
    επεξεργασία ουδεµία πρόνοια έχει ληφθεί για τα δικαιώµατα των ανηλίκων αλλά και εν
    γένει οποιουδήποτε είδους κατάλληλων και αποτελεσµατικών µέτρων ή κριτηρίων για την
    συµµόρφωση του υπευθύνου και εκτελούντος την επεξεργασίας προς τις διατάξεις του
    νόµου, που πρέπει να περιλαµβάνουν ειδικές εγγυήσεις όσον αφορά τη διαχείριση
    προσωπικών δεδοµένων που αφορούν ευάλωτα πρόσωπα, όπως παιδιά (βλ. αιτ. σκ. 50)
    ΕΙ∆ΙΚΟΤΕΡΕΣ ∆ΙΑΤΑΞΕΙΣ:
    Άρθρο 43
  27. ∆εν έχει ενσωµατωθεί η παρ. 2 εδ. α’ του άρθρου 1 της Οδηγίας και εν µέρει η
    παρ. 1 του άρθρου 1 της Οδηγίας(«Αντικείµενο και στόχος»). Από τη διατύπωση των
    22
    διατάξεων αυτών δεν προκύπτει ότι σαφώς ο στόχος της Οδηγίας που είναι η προστασία
    των δεδοµένων κατά την επεξεργασία τους για λόγους δίωξης του εγκλήµατος.
  28. ∆εν περιλαµβάνεται το εδαφικό πεδίο εφαρµογής. Και ναι µεν το άρθρο 3 του
    νόµου, που περιέχεται στο κεφάλαιο Α’ το οποίο αφορά τόσο στον ΓΚΠ∆, όσο και στην
    Οδηγία, αναφέρεται και σε «ιδιωτικούς φορείς» ενώ η Οδηγία εφαρµόζεται κατά την
    επεξεργασία δεδοµένων προσωπικού χαρακτήρα µόνο από δηµόσιες αρχές, πρέπει να
    θεωρηθεί ότι το πεδίο εφαρµογής Κεφαλαίου ∆΄ του νόµου, που έχει ως περιεχόµενο την
    ενσωµάτωση της Οδηγίας, ορίζεται από το εν λόγω άρθρο 3 κατά το µέρος που
    αναφέρεται σε δηµόσιες αρχές. Επισηµαίνεται ότι στις περιπτώσεις που η επεξεργασία
    δεδοµένων αφορά την δίωξη εγκλήµατος, εφαρµογής τυγχάνουν και οι διατάξεις των
    άρθρων 5 επ. ΠΚ περί τοπικής ισχύος των ποινικών νόµων.
    Άρθρο 44
  29. ∆εν έχει ενσωµατωθεί η περ. 7 α’ του άρθρου 3 Οδηγίας που αφορά την έννοια
    (ορισµό) της «αρµόδιας (δηµόσιας) αρχής».
  30. Οι διατάξεις του άρθρου 44 του νόµου που περιέχουν τους ορισµούς αριθµούνται
    ως παράγραφος 1, χωρίς να προβλέπεται παράγραφος 2 στο άρθρο αυτό.
  31. Στην παρ. 1 περ. ιε’ για την «εποπτική αρχή» παρατίθεται ορισµός όπως
    διατυπώνεται στην Οδηγία, ενώ για την ενσωµάτωση πρέπει να οριστεί η συγκεκριµένη
    αρχή, στην οποία ανήκει η παρακολούθηση της εφαρµογής της Οδηγίας, δηλαδή η Αρχή
    Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα.
    Άρθρο 47
    Το τελευταίο εδάφιο του άρθρου 47 του νόµου σύµφωνα µε το οποίο επιτρέπεται
    η επεξεργασία δεδοµένων προσωπικού χαρακτήρα για άλλο σκοπό που δεν αναφέρεται
    στο άρθρο 43, εφόσον προβλέπεται ρητώς στον νόµο (επιπλέον δε, χωρίς να
    διευκρινίζεται σε ποιόν νόµο), αφενός δεν είναι σύµφωνη µε τις διατάξεις του άρθρου 4
    παρ. 2 της Οδηγίας, µε τις οποίες προβλέπεται η δυνατότητα για σκοπό άλλον από εκείνον
    για τον οποίο έχουν συλλεγεί εφόσον, όµως, ο άλλος αυτός σκοπός εµπίπτει στο πεδίο
    εφαρµογής της Οδηγίας αφετέρου, εκφεύγει του νόµιµου σκοπού συλλογής και
    επεξεργασίας των δεδοµένων εντός του πεδίου εφαρµογής της Οδηγίας (βλ. αιτ. σκ. 29).
    Άρθρο 51
    Στο άρθρο 51 του νόµου προβλέπεται ότι όλα τα πρόσωπα που απασχολούνται
    στην επεξεργασία δεδοµένων προσωπικού χαρακτήρα τα επεξεργάζονται µετά από
    «άδεια» χωρίς να προκύπτει από την Οδηγία σχετική πρόβλεψη και χωρίς να διευκρινίζεται
    23
    από τον εθνικό νοµοθέτη τι είδους άδεια είναι αυτή, ποιος την παρέχει και υπό ποιες
    προϋποθέσεις, µε βάση ποια κριτήρια και τι αφορά εν τέλει αυτή. Η ρύθµιση δεν συνιστά
    ενσωµάτωση διάταξης της Οδηγίας και σε κάθε περίπτωση είναι αόριστη.
    Άρθρο 52
  32. Στο άρθρο 52 παρ. 1 του νόµου για την αυτοµατοποιηµένη ατοµική λήψη
    αποφάσεων, ενσωµατώθηκε πληµµελώς το άρθρο 11 παρ. 1 της Οδηγίας διότι
    παραλείπεται η αναφορά στις προβλεπόµενες από την Οδηγία «κατάλληλες διασφαλίσεις
    υπέρ των δικαιωµάτων και των ελευθεριών του υποκειµένου των δεδοµένων, τουλάχιστον
    δε το δικαίωµα εξασφάλισης ανθρώπινης παρέµβασης εκ µέρους του υπευθύνου
    επεξεργασίας».
  33. Στην παράγραφο 2 του ίδιου άρθρου 52, επαναλαµβάνεται η διατύπωση του
    άρθρου 11 παρ. 2 της Οδηγίας περί «κατάλληλων µέτρων» χωρίς όµως ο εθνικός
    νοµοθέτης να τα προσδιορίσει ή να ορίσει σχετικά κριτήρια (βλ. αιτ. σκ. 33 Οδηγίας).
    Άρθρο 55
    Στην παρ. 7 του άρθρου 55 του νόµου (δικαίωµα πρόσβασης-άρθρο 15 και 17
    Οδηγίας) η προβλεπόµενη από την Οδηγία δυνατότητα άσκησης των δικαιωµάτων του
    υποκειµένου των δεδοµένων µέσω της Αρχής ενσωµατώθηκε εσφαλµένα ως δυνατότητα
    υποβολής καταγγελίας σύµφωνα µε το άρθρο 58 του νόµου, ενώ από τη διάταξη του
    άρθρου 17 της Οδηγίας προκύπτει ότι τα κράτη µέλη προβλέπουν ότι τα δικαιώµατα του
    υποκειµένου (ενηµέρωσης, πρόσβασης κ.λπ) ασκούνται από την Αρχή για λογαριασµό του
    υποκειµένου.
    Άρθρο 67
    Η περίπτωση του άρθρου 67 παρ. 6 του νόµου δεν προβλέπεται από τις διατάξεις
    της Οδηγίας.
    Άρθρο 70
    Στο άρθρο 70 του νόµου γίνεται διάκριση µεταξύ διαφορετικών κατηγοριών
    υποκειµένων των δεδοµένων µε επανάληψη περιπτώσεων, οι οποίες αναφέρονται
    ενδεικτικώς στην Οδηγία, χωρίς να υπάρχει πρόβλεψη, για ευάλωτες οµάδες, όπως π.χ.
    παιδιά, και χωρίς να προκύπτουν οι επιπτώσεις στις αρχές επεξεργασίας προσωπικών
    δεδοµένων (π.χ. τήρηση σε διαφορετικά αρχεία, επίδραση στο χρόνο διατήρησης των
    δεδοµένων, καταστροφή µε διαφορετικές προϋποθέσεις κ.λπ).
    24
    Άρθρο 73
    Στο άρθρο 73 παρ. 4 του νόµου γίνεται αναφορά σε προθεσµίες αποθήκευσης ή
    περιοδική επανεξέταση και εξασφάλιση µε διαδικαστικές ρυθµίσεις την τήρηση των
    προθεσµιών αυτών, χωρίς να προβλέπονται συγκεκριµένα κριτήρια (βλ. αιτ. σκ. 33
    Οδηγίας).
    Άρθρο 74
    Στο άρθρο 74 του νόµου (καταχωρίσεις – logs) περιλαµβάνεται η περίπτωση (παρ.
    1 γ’ και 2) της «διαβούλευσης», ενώ στην Οδηγία η λέξη αυτή έχει µεταφρασθεί ως
    «αναζήτηση πληροφοριών».
    Στην παρ. 4 του ίδιου άρθρου ορίζεται συγκεκριµένο χρονικό διάστηµα διατήρησης
    και εν συνεχεία διαγραφής των καταχωρίσεων, χωρίς να προβλέπεται όµως περίπτωση
    διατήρησης τους µέχρι το πέρας των εργασιών που αφορούν τους σκοπούς της παρ. 3.
    Έτσι, εάν διενεργείται έρευνα από την Αρχή ή στο πλαίσιο ποινικής διαδικασίας,
    ανεξαρτήτως της ολοκλήρωσης της, εισάγεται υποχρέωση διαγραφής της. Θα πρέπει η
    διάταξη να ακολουθήσει την αντίστοιχη λογική της Οδηγίας 24/2006/ΕΚ που
    ενσωµατώθηκε µε το ν. 3917/2011, στο άρθρο 6: «Τα δεδοµένα καταστρέφονται στο
    τέλος του χρονικού διαστήµατος διατήρησης …εκτός από εκείνα στα οποία έχει αποκτηθεί
    νοµίµως πρόσβαση…καταστρέφονται …όταν παύσουν οι λόγοι για τους οποίους
    διατάχθηκε η πρόσβαση στα δεδοµένα».
    Άρθρο 84
    Η διατύπωση του άρθρου 84 δηµιουργεί σοβαρές αµφιβολίες ως προς τις
    διατηρούµενες διατάξεις του ν. 2472/1997. Όπως έχει επισηµάνει και η Επιστηµονική
    Υπηρεσία της Βουλής, «νοµοτεχνικώς προσφορότερο θα ήταν να ενσωµατωθούν στο υπό
    ψήφιση νοµοσχέδιο οι µη καταργηθείσες διατάξεις του ν. 2472/1997.».
    Ειδικότερα:
    α. ∆ιατηρούνται οι ορισµοί του άρθρου 2 του ν. 2472/1997 «όπου γίνεται ρητή
    παραποµπή σε αυτούς σε σχετική µε τα προσωπικά δεδοµένα νοµοθεσία…». Όµως οι
    ορισµοί του άρθρου 2 του ν. 2472/1997 έχουν αντικατασταθεί από τους ορισµούς του
    ΓΚΠ∆ και τους ορισµούς του άρθρου 44 του ν. 4624/2019 (άρ. 3 της Οδηγίας). Μάλιστα,
    στο άρθρο 94 παρ. 2 του ΓΚΠ∆ ρητά αναφέρεται ότι «Οι παραποµπές στην καταργούµενη
    οδηγία θεωρούνται παραποµπές στον παρόντα κανονισµό.» ενώ στο άρθρο 59 παρ. 2 της
    Οδηγίας ορίζεται ότι «παραποµπές στην καταργούµενη απόφαση που αναφέρεται στην
    παράγραφο 1 νοούνται ως παραποµπές στην παρούσα οδηγία» (σηµ. η Ελλάδα δεν είχε
    ενσωµατώσει την απόφαση-πλαίσιο 2008/977/∆ΕΥ).
    25
    Ορισµοί σε σχετική µε τα προσωπικά δεδοµένα νοµοθεσία υπάρχουν και σε άλλα
    νοµοθετήµατα, όπως ο ν. 3471/2006. Είναι σαφές ότι οι ορισµοί του ν. 2472/1997 στους
    οποίους παραπέµπει ο ν. 3471/2006 πλέον έχουν αντικατασταθεί από αυτούς του ΓΚΠ∆.
    Συνεπώς, ως προς το σηµείο αυτό η ρύθµιση του άρθρου 84 έρχεται σε αντίθεση µε τον
    ΓΚΠ∆ και την Οδηγία.
    β. Η πρόβλεψη για τη διατήρηση «…του εδαφίου β΄ της παραγράφου 2 του άρθρου 3,
    µόνο ως προς τα αδικήµατα που περιγράφονται σε αυτό…» είναι εξαιρετικά ασαφής. Σε
    κάθε περίπτωση, ο νοµοθέτης δεν έχει τη δυνατότητα να εξαιρέσει από το πεδίο
    εφαρµογής του ν. 4624/2019 δραστηριότητες από δικαστικές – εισαγγελικές αρχές και
    υπηρεσίες που ασκούνται υπό την άµεση εποπτεία τους στο πλαίσιο της απονοµής της
    δικαιοσύνης ή για την εξυπηρέτηση των αναγκών της λειτουργίας τους. Τούτο θα
    βρισκόταν σε ευθεία αντίθεση µε τα οριζόµενα στο άρθρο 2 της Οδηγίας, καθώς το πεδίο
    εφαρµογής αυτής περιλαµβάνει κάθε επεξεργασία δεδοµένων προσωπικού χαρακτήρα
    από αρµόδιες αρχές για τους σκοπούς που καθορίζονται στο άρθρο 1 παράγραφος 1
    της Οδηγίας, στους οποίους περιλαµβάνονται οι σκοποί βεβαίωσης εγκληµάτων.
    γ. Ως προς τη διατήρηση «…του τρίτου έως και του τελευταίου εδαφίου της περίπτωσης
    β΄ της παραγράφου 2 του άρθρου 3 του ανωτέρου νόµου για την εγκατάσταση και
    λειτουργία συστηµάτων επιτήρησης…» παρατηρούνται τα εξής:
    Στο άρθρο 14 παρ. 6 του ν. 3917/2011 ορίζεται ότι η συγκεκριµένη διάταξη, δηλαδή τα
    τρία τελευταία εδάφια της περίπτωσης βτης παρ. 2 του άρθρου 3 του ν. 2472/1997, όπως η παράγραφος αυτή αντικαταστάθηκε µε το άρθρο όγδοο παρ. 1 του ν. 3625/2007 (ΦΕΚ 290 Α) καταργούνται µε την έναρξη ισχύος του προεδρικού διατάγµατος που
    προβλέπεται από την παράγραφο 4 του ιδίου νόµου.
    δ. Η Αρχή έχει ήδη επισηµάνει τα προβλήµατα από τη µη έκδοση του προβλεπόµενου
    στην παρ. 4 του ν. 3917/2011 (βλ. ετήσιες εκθέσεις 2012-2017). Η διατηρούµενη διάταξη
    έθετε εκτός πεδίου εφαρµογής του ν. 2472/1997 µια δραστηριότητα των αρχών επιβολής
    του νόµου. Πλέον, λόγω της Οδηγίας, η εν λόγω δραστηριότητα δεν επιτρέπεται να είναι
    εκτός πεδίου εφαρµογής του ν. 4624/2019. Περαιτέρω, η διατηρούµενη διάταξη δεν
    πληροί τα αναγκαία κριτήρια ώστε να παρέχει µια επαρκή νοµική βάση για τη λειτουργία
    συσκευών καταγραφής ήχου ή εικόνας ή άλλων ειδικών τεχνικών µέσων (βλ. και
    γνωµοδοτήσεις 1/2009 και 2/2010 της Αρχής).
    Τέλος, διατηρούνται σε ισχύ οι κυρώσεις του ν. 3471/06. Αν και η εν λόγω διάταξη δεν
    έρχεται σε αντίθεση µε το ΓΚΠ∆ ή την Οδηγία 2002/58/ΕΚ (Οδηγία e-Privacy) όπως έχει
    τροποποιηθεί µε την Οδηγία 2006/136/ΕΚ, είναι απαραίτητο το σύστηµα των κυρώσεων
    του εν λόγω νόµου να εναρµονιστεί µε αυτό του ΓΚΠ∆. Ο ν. 3471/2006, ο οποίος
    26
    ενσωµατώνει την οδηγία e-Privacy, αποτελεί συµπλήρωση και εξειδίκευση του θεσµικού
    πλαισίου της προστασίας των δεδοµένων προσωπικού χαρακτήρα στον τοµέα των
    ηλεκτρονικών επικοινωνιών (lex specialis derogat legi generali), ως προς τις
    επιβαλλόµενες δε κυρώσεις είχε προβλέψει την εφαρµογή των σχετικών διατάξεων του ν.
    2472/1997. Ο τοµέας αυτός κρίθηκε ιδιαίτερα κρίσιµος ώστε να ρυθµιστεί µε
    εξειδικευµένο θεσµικό πλαίσιο, το οποίο να είναι σε θέση να ανταποκρίνεται στις
    προκλήσεις που εισάγουν νέες προηγµένες ψηφιακές τεχνολογίες στα δηµόσια δίκτυα
    επικοινωνίας, οι οποίες δηµιουργούν ειδικές απαιτήσεις όσον αφορά την προστασία των
    δεδοµένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής του χρήστη.
    Κρίσιµο στοιχείο για την αποτελεσµατική επιβολή της νοµοθεσίας για τα δεδοµένα
    προσωπικού χαρακτήρα σε κάθε τοµέα είναι η ύπαρξη ενός συνεκτικού πλαισίου
    κυρώσεων. Για το σκοπό αυτό, οι κυρώσεις για παραβάσεις που σχετίζονται µε δεδοµένα
    προσωπικού χαρακτήρα και προβλέπονται στο ν. 3471/2006 πρέπει να εναρµονιστούν µε
    τις κυρώσεις του ΓΚΠ∆. Σε διαφορετική περίπτωση διασπάται η εναρµόνιση που είχε
    εισαχθεί σε σχέση µε τον προϊσχύοντα του ΓΚΠ∆ ν. 2472/1997 και ενδέχεται ιδιαίτερα
    σοβαρές παραβάσεις (π.χ. περιστατικό παραβίασης δεδοµένων προσωπικού χαρακτήρα
    σε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας) να αντιµετωπίζονται µε το εξαιρετικά
    πεπαλαιωµένο σύστηµα κυρώσεων του ν. 2472/1997. Είναι άλλωστε παράδοξο το
    σύστηµα κυρώσεων ενός τοµέα που κρίθηκε ιδιαίτερα κρίσιµος να είναι τόσο διαφορετικό
    και αναποτελεσµατικό, σε σχέση µε το γενικό πλαίσιο του ΓΚΠ∆
Comments are closed.