ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ ΓνωμΑΠΔΠΧ 2/2025 Γνωμοδότηση επί του ΣχΝ σχετικά με τη λήψη μέτρων για την εφαρμογή του Κανονισμού (ΕΕ) 2022/868 (Πράξη για τη διακυβέρνηση δεδομένων)

Αριθμός:
2
Έτος:
2025
Είδος πράξης:
ΓΝΩΜΟΔΟΤΗΣΗ
Εκδ. Αρχή:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ημ. Δημοσίευσης:
20/02/2025
Πηγή:
Ιστότοπος ΑΠΔΠΧ
Μέσο Δημοσίευσης:
ΤΝΠ QUALEX
Αρ. Λέξεων:
3762
Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Το Υπουργείο Ψηφιακής Διακυβέρνησης υπέβαλε προς Γνωμοδότηση στην Αρχή Σχέδιο Νόμου σχετικά με τη λήψη μέτρων για την εφαρμογή του Κανονισμού (ΕΕ) 2022/868 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 30ής Μαΐου 2022 σχετικά με την ευρωπαϊκή διακυβέρνηση δεδομένων και την τροποποίηση του κανονισμού (ΕΕ) 2018/1724 (Πράξη για τη διακυβέρνηση δεδομένων). Η Γνωμοδότηση περιέχει γενικές και ειδικότερες παρατηρήσεις επί των διατάξεων του Σχεδίου Νόμου.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΓΝΩΜΟΔΟΤΗΣΗ 2/2025
Αθήνα, 20-02-2025
Αριθ. Πρωτ.: 640
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση μέσω τηλεδιασκέψεως την Τετάρτη 12.02.2025 και ώρα 15.30 μ.μ. προκειμένου να εκδώσει γνώμη επί σχεδίου νόμου κατόπιν σχετικού αιτήματος του Υπουργείου Ψηφιακής Διακυβέρνησης. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη της Αρχής, Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Χρήστος Καλλονιάτης ως εισηγητής και Αικατερίνη Ηλιάδου, ως εισηγήτρια, καθώς και το αναπληρωματικό μέλος Μαρία Ψάλλα σε αντικατάσταση του τακτικού μέλους Γρηγορίου Τσόλια, ο οποίος, αν και εκλήθηκε νομίμως, δεν παρέστη λόγω κωλύματος. Παρόντες, χωρίς δικαίωμα ψήφου, ήταν η Μαρία Αλικάκου και η Ευφροσύνη Σιουγλέ, ειδικοί επιστήμονες, ως βοηθοί εισηγητών και η Γεωργία Παλαιολόγου, υπάλληλος του Τμήματος Διοικητικών Υποθέσεων και Γραμματείας Υποστήριξης, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Το Υπουργείο Ψηφιακής Διακυβέρνησης (εφεξής ΥΨΗΔ) με το υπ’ αριθμ. πρωτ. ΑΠΔ Γ/ΕΙΣ/592/22-01-2025 αίτημά του, απέστειλε στην Αρχή Σχέδιο Νόμου(εφεξής ΣχΝ) με τίτλο «Λήψη μέτρων για την εφαρμογή του Κανονισμού (ΕΕ) 2022/868 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 30ής Μαΐου 2022 σχετικά με την ευρωπαϊκή διακυβέρνηση δεδομένων και την τροποποίηση του κανονισμού (ΕΕ) 2018/1724 (Πράξη για τη διακυβέρνηση δεδομένων)» και ζήτησε τη γνώμη της Αρχής σύμφωνα με άρθρο 57 παρ. 1 στοιχ. γ’ ΓΚΠΔ και την περ. γ) της παρ. 1 του άρθρου 13 του ν. 4624/2019.
Ο Κανονισμός (ΕΕ) 2018/1724 - Πράξη για τη Διακυβέρνηση των Δεδομένων (εφεξής Πράξη) τέθηκε σε εφαρμογή στις 24.09.2023. Σύμφωνα με το άρθρο 288 ΣΛΕΕ, η Πράξη έχει άμεση εφαρμογή σε όλα τα κράτη μέλη, τα οποία υποχρεούνται να λάβουν τα αναγκαία μέτρα για την προσαρμογή της εθνικής νομοθεσίας τους.
Η Πράξη επιδιώκει την αύξηση της εμπιστοσύνης στην κοινοχρησία δεδομένων, την ενίσχυση των μηχανισμών για την αύξηση της διαθεσιμότητας δεδομένων και την διευκόλυνση της ανταλλαγής δεδομένων σε ασφαλές περιβάλλον μεταξύ τομέων και κρατών μελών της ΕΕ, προκειμένου να αξιοποιηθεί το τεράστιο δυναμικό των δεδομένων προς όφελος των ευρωπαίων πολιτών και της κοινωνίας στο σύνολό της, των επιχειρήσεων και της καινοτομίας με πλήρη σεβασμό στα θεμελιώδη δικαιώματα και στις αξίες και αρχές της ΕΕ. Ο στόχος της Πράξης εντάσσεται στο ευρύτερο πλαίσιο της συνολικής μεταρρύθμισης για την αξιοποίηση των δεδομένων που ξεκίνησε με την Ευρωπαϊκή Στρατηγική για τα δεδομέναμε γνώμονα την ανάπτυξη ανθρωποκεντρικής, αξιόπιστης, διαφανούς και ασφαλούς κοινωνίας και οικονομίας δεδομένων.
Ειδικότερα, η Πράξη θεσπίζει το πλαίσιο, τις απαιτήσεις και τις προϋποθέσεις για τη διευκόλυνση της περαιτέρω χρήσης των δεδομένων που βρίσκονται στην κατοχή φορέων του δημοσίου τομέα (εφεξής ΦΔΤ) και τα οποία προστατεύονται, μεταξύ άλλων, για λόγους προστασίας των προσωπικών δεδομένων, για την ενίσχυση της κοινοχρησίας δεδομένων μέσω αξιόπιστων και ουδέτερων παρόχων υπηρεσιών διαμεσολάβησης δεδομένων και για την ενθάρρυνση της οικειοθελούς και χωρίς ανταμοιβή διάθεσης δεδομένων από τα υποκείμενα των δεδομένων και τους κατόχους δεδομένων για αλτρουιστικούς σκοπούς γενικού συμφέροντος μέσω οργανώσεων αλτρουισμού δεδομένων. Η Πράξη διασφαλίζει την εφαρμογή των κανόνων προστασίας των προσωπικών δεδομένων καθώς προβλέπεται ρητά ότι το ενωσιακό και το εθνικό δίκαιο για την προστασία των προσωπικών δεδομένων εφαρμόζεται σε όλα τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της Πράξης (άρθρο 1.3 της Πράξης), συμπεριλαμβανομένων των περιπτώσεων, στις οποίες τα δεδομένα προσωπικού και μη προσωπικού χαρακτήρα σε ένα σύνολο δεδομένων είναι άρρηκτα συνδεδεμένα (αιτιολογική σκέψη 4 της Πράξης). Ειδικότερα, η Πράξη εφαρμόζεται με την επιφύλαξη των κανονισμών (ΕΕ) 2016/679 και (ΕΕ) 2018/1725 και των οδηγιών 2002/58/ΕΚ και (ΕΕ) 2016/680, μεταξύ άλλων, όσον αφορά τις εξουσίες και τις αρμοδιότητες των εποπτικών αρχών, σε περίπτωση δε σύγκρουσης μεταξύ της Πράξης και του ενωσιακού ή εθνικού δικαίου για την προστασία των προσωπικών δεδομένων υπερισχύει το δεύτερο.
Το υπό εξέταση ΣχΝ έχει ως σκοπό τη δημιουργία ενός αποτελεσματικού πλαισίου διακυβέρνησης των δεδομένων του δημοσίου τομέα με τη λήψη μέτρων εσωτερικού δικαίου για την εφαρμογή στην εθνική έννομη τάξη της Πράξης και για τον λόγο αυτό συμπληρώνει τις απαραίτητες ρυθμίσεις με τη θέσπιση διατάξεων σχετικά με τα εξής:
1. Τη διασφάλιση ότι η χορήγηση ή άρνηση πρόσβασης περαιτέρω χρήσης δεδομένων από τους αρμόδιους εθνικούς φορείς του δημοσίου τομέα πληρούν κατά το περιεχόμενό τους τις απαιτήσεις της Πράξης.
2. Τον ορισμό του αρμόδιου φορέα, κατά το άρθρο 7 παρ. 1 της Πράξης, στον οποίο παρέχεται η εξουσία να υποστηρίζει τους φορείς του δημόσιου τομέα που χορηγούν ή αρνούνται πρόσβαση για περαιτέρω χρήση των κατηγοριών δεδομένων που αναφέρονται στο άρθρο 3 παράγραφος 1 της Πράξης, καθώς και τη ρύθμιση των επιμέρους αρμοδιοτήτων του.
3. Τον ορισμό φορέα ως ενιαίου σημείου πληροφόρησης κατά το άρθρο 8 παρ. 1 της Πράξης, καθώς και τη ρύθμιση των επιμέρους αρμοδιοτήτων του.
4. Τον ορισμό φορέα ως αρμόδιας αρχής για τις υπηρεσίες διαμεσολάβησης δεδομένων, κατά το άρθρο 13 παρ. 1 της Πράξης, καθώς και τη ρύθμιση των επιμέρους αρμοδιοτήτων του.
5. Τον ορισμό φορέα ως αρμόδιας αρχής για την καταχώριση οργανώσεων αλτρουισμού δεδομένων, κατά το άρθρο 23 παρ. 1 της Πράξης, καθώς και τη ρύθμιση των επιμέρους αρμοδιοτήτων του.
6. Τη ρύθμιση ζητημάτων έννομης προστασίας και του δικαιώματος προσφυγής κατά των αποφάσεων που εκδίδονται βάσει της Πράξης και του ΣχΝ.
7. Τη θέσπιση μέτρων εφαρμογής της Πράξης, και ιδίως τον καθορισμό και τη διαδικασία επιβολής αναλογικών και αποτελεσματικών κυρώσεων που δύναται να επιβληθούν από τις αρμόδιες αρχές για τις παραβιάσεις των διατάξεων της Πράξης και του ΣχΝ.
8. Τη βελτίωση του εθνικού πλαισίου και των μηχανισμών διακυβέρνησης των δεδομένων του δημοσίου τομέα, μέσω του ορισμού υπευθύνου για τη χρήση δεδομένων, την κατάρτιση εθνικής στρατηγικής και τη δημιουργία συντονιστικής επιτροπής για τα δεδομένα του δημοσίου τομέα.
Στη συνεδρίαση της Αρχής παρευρέθηκαν κατόπιν προσκλήσεως που εστάλη στο ΥΨΗΔ με το από 10.02.2025 μήνυμα ηλεκτρονικού ταχυδρομείου οι Βασίλειος Καρκατζούνης, Νομικός Σύμβουλος Υπουργού Ψηφιακής Διακυβέρνησης με ΑΜΔΣΑ …, Βασιλική Βλάχου, Μετακλητή Νομικός Σύμβουλος στο γραφείο Υπουργού Ψηφιακής Διακυβέρνησης με ΑΜΔΣΠ … και Α, Προϊσταμένη Γραφείου Νομικών και Κοινοβουλευτικών Θεμάτων, οι οποίοι απάντησαν σε ερωτήσεις, παρείχαν διευκρινίσεις και εξέφρασαν τις θέσεις του ΥΨΗΔ επί διαφόρων διατάξεων του ΣχΝ.
Η Αρχή, μετά από εξέταση των ανωτέρω διατάξεων του υποβληθέντος ΣχΝ σε σχέση με την εφαρμογή της Πράξης, αφού έλαβε υπόψη της τις διευκρινίσεις και εξηγήσεις των εκπροσώπων του ΥΨΗΔ που δόθηκαν κατά τη συνεδρίασή της και αφού άκουσε τους εισηγητές και τις διευκρινίσεις των βοηθών εισηγητών, κατόπιν διεξοδικής συζήτησης,
ΕΚΔΙΔΕΙ ΤΗΝ ΑΚΟΛΟΥΘΗ ΓΝΩΜΟΔΟΤΗΣΗ
Εισαγωγικές παρατηρήσεις
1. Σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (εφεξής, ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α΄ 137), η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2. Σύμφωνα με το άρθρο 57 παρ. 1 στοιχ. γ’ ΓΚΠΔ και το άρθρο 13 παρ. 1 του ν. 4624/2019, η Αρχή παρέχει γνώμη για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή κανονιστική πράξη, η οποία αφορά επεξεργασία δεδομένων προσωπικού χαρακτήρα.
3. Ο σεβασμός στην ιδιωτική ζωή των προσώπων και η προστασία των προσωπικών δεδομένων κατοχυρώνονται τόσο στο άρθρο 8 της Ευρωπαϊκής Σύμβασης των Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), όσο και στην Σύμβαση 108/1981 του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα καθώς και στα άρθρα 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
4. Σύμφωνα με το άρθρο 9Α του Συντάγματος «Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει».
Παρατηρήσεις στα επιμέρους άρθρα του ΣχΝ
Άρθρο 4 του ΣχΝ: Υποχρέωση των χρηστών δεδομένων για παροχή πληροφοριών
Σύμφωνα με τη συγκεκριμένη διάταξη, οι ΦΔΤ που επιτρέπουν την περαιτέρω χρήση δεδομένων δύνανται να ζητούν από τους περαιτέρω χρήστες κάθε πληροφορία που είναι απαραίτητη για τη διασφάλιση της προστασίας των δικαιωμάτων και των συμφερόντων τρίτων μερών.
Σκόπιμο κρίνεται να διευκρινισθεί στο ΣχΝ, εάν «τρίτα μέρη» αποτελούν υποκείμενα των δεδομένων. Σε καταφατική περίπτωση, συστήνεται η αντικατάσταση της εν λόγω φράσης από τη φράση «υποκείμενα των δεδομένων». Σε αποφατική απάντηση, συστήνεται η προσθήκη στο εν λόγω άρθρο αναφοράς στη δυνατότητα να ζητείται κάθε απαραίτητη πληροφορία και για τη διασφάλιση της προστασίας των δικαιωμάτων και συμφερόντων των υποκειμένων των δεδομένων.
Άρθρο 5 του ΣχΝ: Αρμόδιος φορέας για την παροχή συνδρομής σε φορείς του δημοσίου τομέα
Σύμφωνα με τη διάταξη του άρθρου 5 παρ. 1 ΣχΝ, ως αρμόδιος φορέας για παροχή συνδρομής σε ΦΔΤ που χορηγούν ή αρνούνται πρόσβαση για περαιτέρω χρήση δεδομένων ορίζεται το ΥΨΗΔ, το οποίο ασκεί όλες τις εξουσίες και αρμοδιότητες που απονέμονται σε αυτό από το ΣχΝ και την Πράξη. Σύμφωνα με το άρθρο 5 παρ. 2 ΣχΝ, κατόπιν πρότασης του εκάστοτε ΦΔΤ και σύμφωνης γνώμης του ΥΨΗΔ, η εξουσία χορήγησης ή άρνησης πρόσβασης για περαιτέρω χρήση δεδομένων μπορεί να ανατεθεί στο ΥΨΗΔ.
Στο άρθρο 7.1 της Πράξης γεννάται η υποχρέωση για κάθε κράτος μέλος να ορίσει έναν ή περισσότερους αρμόδιους φορείς, ενδεχομένως με αρμοδιότητα για ειδικούς τομείς, οι οποίοι βοηθούν τους ΦΔΤ που χορηγούν ή αρνούνται πρόσβαση για περαιτέρω χρήση των κατηγοριών δεδομένων που αναφέρονται στο άρθρο 3.1 της Πράξης. Σύμφωνα με το άρθρο 7.2 της Πράξης, μπορεί να ανατεθεί στους αρμόδιους φορείς η εξουσία να χορηγούν πρόσβαση για περαιτέρω χρήση των κατηγοριών δεδομένων που αναφέρονται στο άρθρο 3.1, δυνάμει του ενωσιακού ή του εθνικού δικαίου που προβλέπει τη χορήγηση της εν λόγω πρόσβασης. Όταν χορηγούν ή αρνούνται πρόσβαση για περαιτέρω χρήση, εφαρμόζονται τα άρθρα 4 (απαγόρευση αποκλειστικών ρυθμίσεων), 5 (προϋποθέσεις περαιτέρω χρήσης), 6 (τέλη) και 9 (διαδικασία αιτημάτων για περαιτέρω χρήση) της Πράξης στους εν λόγω αρμόδιους φορείς.
Σύμφωνα με την αιτιολογική σκέψη 26 της Πράξης, οι αρμόδιοι φορείς θα στηρίζουν τις δραστηριότητες των ΦΔΤ που επιτρέπουν την περαιτέρω χρήση ορισμένων κατηγοριών προστατευόμενων δεδομένων και θα πρέπει να παρέχουν συνδρομή στους ΦΔΤ με υπερσύγχρονες τεχνικές, μεταξύ άλλων, για τον τρόπο βέλτιστης διάρθρωσης και αποθήκευσης δεδομένων, ούτως ώστε να καθίστανται τα δεδομένα εύκολα προσβάσιμα. Στα καθήκοντά τους μπορεί να περιλαμβάνονται η χορήγηση πρόσβασης σε δεδομένα, στις περιπτώσεις που προβλέπεται από την τομεακή ενωσιακή νομοθεσία ή την εθνική νομοθεσία. Οι αρμόδιοι φορείς θα πρέπει να ενεργούν σύμφωνα με τις οδηγίες που τους παρέχει ο ΦΔΤ. Οι αρμόδιοι φορείς δεν θα πρέπει να έχουν εποπτικά καθήκοντα, τα οποία επιφυλάσσονται για τις εποπτικές αρχές προστασίας δεδομένων δυνάμει του ΓΚΠΔ. Με την επιφύλαξη των εξουσιών των εποπτικών αρχών προστασίας δεδομένων, η επεξεργασία των δεδομένων θα πρέπει να διενεργείται υπό την ευθύνη του ΦΔΤ που είναι υπεύθυνος για το μητρώο που περιέχει τα δεδομένα και ο οποίος εξακολουθεί να είναι ο υπεύθυνος επεξεργασίας των δεδομένων, όπως ορίζεται στον ΓΚΠΔ όσον αφορά τα δεδομένα προσωπικού χαρακτήρα.
Ακόμα, στην ίδια αιτιολογική σκέψη 26 της Πράξης αναγράφεται ότι «(…) Αρμόδιος φορέας θα μπορούσε να είναι φορέας του δημόσιου τομέα που συνδράμει άλλους φορείς του δημόσιου τομέα όταν επιτρέπουν την περαιτέρω χρήση δεδομένων, κατά περίπτωση, ή φορέας του δημόσιου τομέα που επιτρέπει ο ίδιος την περαιτέρω χρήση. Η συνδρομή σε άλλους φορείς του δημόσιου τομέα θα πρέπει να συνεπάγεται την κατόπιν αιτήματος πληροφόρησή τους σχετικά με τις βέλτιστες πρακτικές όσον αφορά τον τρόπο εκπλήρωσης των απαιτήσεων που καθορίζονται με τον παρόντα κανονισμό, όπως τα τεχνικά μέσα για τη διάθεση ασφαλούς περιβάλλοντος επεξεργασίας ή τα τεχνικά μέσα για τη διασφάλιση της ιδιωτικότητας και της εμπιστευτικότητας όταν παρέχεται πρόσβαση στην περαιτέρω χρήση δεδομένων εντός του πεδίου εφαρμογής του παρόντος κανονισμού.».
Επιπλέον, στο έγγραφο με τίτλο «Εφαρμογή της πράξης για τη διακυβέρνηση δεδομένων — έγγραφο καθοδήγησης» (Implementing the Data Governance Act – guidance document) αναγράφεται ότι «(…) Δεδομένου ότι οι αρμόδιοι φορείς δεν θα εποπτεύουν τους φορείς του δημόσιου τομέα και, ως εκ τούτου, δεν θα ασκούν δημόσιες εξουσίες, η DGA δεν θέτει συγκεκριμένες απαιτήσεις όσον αφορά το νομικό καθεστώς ή τη μορφή τους. Για παράδειγμα, ένα τμήμα ενός φορέα του δημόσιου τομέα μπορεί να οριστεί ως αρμόδιος φορέας ή ένα κράτος μέλος μπορεί να αποφασίσει να συστήσει εντελώς νέα οντότητα για τον σκοπό αυτό. Τα κράτη μέλη μπορούν επίσης να αποφασίσουν ότι ο αρμόδιος φορέας έχει την εντολή να επιτρέπει ο ίδιος την περαιτέρω χρήση».
Με βάση τα παραπάνω, ακόμα και στην περίπτωση που το κράτος μέλος αποφασίσει να ανατίθεται, όπως εν προκειμένω, στον αρμόδιο φορέα η εξουσία χορήγησης ή άρνησης πρόσβασης για περαιτέρω χρήση των δεδομένων, υπεύθυνος επεξεργασίας σύμφωνα με τον ΓΚΠΔ για το σύνολο των πράξεων επεξεργασίας, περιλαμβανομένων των πράξεων επεξεργασίας που αφορούν τη διάθεση των δεδομένων προς περαιτέρω χρήση, εξακολουθεί να είναι ο εκάστοτε ΦΔΤ.
Ως εκ τούτου, σκόπιμο κρίνεται να οριστεί στο ΣχΝ ο ρόλος του αρμόδιου φορέασε σχέση με τον ΓΚΠΔ (υπεύθυνος επεξεργασίας, από κοινού υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία) και στην περίπτωση που του ανατίθεται από τον εκάστοτε ΦΔΤ κατ’ αίτημα περαιτέρω χρήσης η εξουσία χορήγησης ή άρνησης πρόσβασης για τον σκοπό της περαιτέρω χρήσης δεδομένων βάσει του εκάστοτε αιτήματος, ώστε να μην υπάρχει αμφιβολία ως προς τις υποχρεώσεις του βάσει του ΓΚΠΔ.
Ακόμα, σκόπιμο κρίνεται να προβλεφθεί στη διάταξη του ΣχΝ η υποχρέωση της προβλεπόμενης στην αιτιολογική σκέψη 26 της Πράξης παροχής πληροφόρησης από τον αρμόδιο φορέα προς τον ΦΔΤ κατόπιν σχετικού αιτήματος του τελευταίου.
Άρθρο 7 του ΣχΝ: Δικαίωμα δικαστικής προσφυγής
Σύμφωνα με το άρθρο 9.1 της Πράξης, «Οποιοδήποτε φυσικό ή νομικό πρόσωπο θίγεται άμεσα από απόφαση όπως αναφέρεται στην παράγραφο 1, έχει δικαίωμα πραγματικής προσφυγής στο κράτος μέλος όπου βρίσκεται ο σχετικός φορέας. Το δικαίωμα προσφυγής θεσπίζεται στο εθνικό δίκαιο και περιλαμβάνει τη δυνατότητα επανεξέτασης από αμερόληπτο φορέα με την κατάλληλη εμπειρογνωμοσύνη, όπως η εθνική αρχή ανταγωνισμού, η αρμόδια αρχή για την πρόσβαση στα έγγραφα, η εποπτική αρχή που έχει συσταθεί σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, ή εθνική δικαστική αρχή, των οποίων οι αποφάσεις είναι δεσμευτικές για τον αντίστοιχο φορέα του δημόσιου τομέα ή για τον αντίστοιχο αρμόδιο φορέα.»
Με το εν λόγω άρθρο 7 παρ. 1 του ΣχΝ προβλέπεται η δυνατότητα άσκησης του δικαιώματος πραγματικής δικαστικής προσφυγής κατά των αποφάσεων των ΦΔΤ επί αιτήματος παροχής πρόσβασης για περαιτέρω χρήση σε δεδομένα με προσφυγή ενώπιον του κατά τόπον αρμόδιου Διοικητικού Εφετείου. Με το άρθρο 7. παρ. 3 ΣχΝ προβλέπεται ότι κατά των Αποφάσεων του Διοικητικού Εφετείου μπορεί να ασκηθεί αίτηση αναίρεσης ενώπιον του Συμβουλίου της Επικρατείας, εξασφαλίζοντας με τον τρόπο αυτό τον έλεγχο της ορθής εφαρμογής του νόμου από το δικαστήριο της ουσίας.
Επιπλέον, το άρθρο 7 παρ. 2 του ΣχΝ ορίζεται ότι η προθεσμία για την άσκηση των προαναφερόμενων ενδίκων βοηθημάτων δεν αναπτύσσει κατ’ αρχήν ανασταλτικό αποτέλεσμα ως προς τις εκάστοτε προσβαλλόμενες διοικητικές πράξεις και προβλέπεται περαιτέρω, αν και εκ περισσού, ότι η εκτέλεση της προσβαλλόμενης πράξης μπορεί να ανασταλεί ολικώς ή μερικώς με απόφαση του οικείου δικαστηρίου εκδιδόμενη ύστερα από άσκηση αίτησης αναστολής κατά τις οικείες δικονομικές διατάξεις.
Σκόπιμο είναι να εξεταστεί αν κατάλληλο ένδικο βοήθημα κατά των σχετικών αποφάσεων των ΦΔΤ θα ήταν η αίτηση ακυρώσεως ενώπιον του κατά τόπο αρμόδιου Διοικητικού Εφετείου και, στην περίπτωση αυτή, να διαγραφεί η παράγραφος 3 και να αναδιατυπωθεί αναλόγως ή και να διαγραφεί ως περιττή η παράγραφος 2.
Κεφάλαιο Γ΄: Απαιτήσεις για τις υπηρεσίες διαμεσολάβησης δεδομένων και του αλτρουισμού δεδομένων
Σύμφωνα με την αιτιολογική σκέψη 35 της Πράξης, η Πράξη δεν θα πρέπει να θίγει την υποχρέωση των παρόχων υπηρεσιών διαμεσολάβησης δεδομένων να συμμορφώνονται με τον ΓΚΠΔ και την ευθύνη των εποπτικών αρχών να διασφαλίζουν τη συμμόρφωση με τον εν λόγω κανονισμό. Στις περιπτώσεις που οι πάροχοι υπηρεσιών διαμεσολάβησης δεδομένων επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, η Πράξη δεν θα πρέπει να θίγει την προστασία των δεδομένων προσωπικού χαρακτήρα. Στις περιπτώσεις που οι πάροχοι υπηρεσιών διαμεσολάβησης δεδομένων είναι υπεύθυνοι επεξεργασίας δεδομένων ή εκτελούντες την επεξεργασία δεδομένων όπως αυτοί ορίζονται ΓΚΠΔ, δεσμεύονται από τους κανόνες του εν λόγω κανονισμού.
Ακόμα, στο έγγραφο «Εφαρμογή της πράξης για τη διακυβέρνηση δεδομένων — έγγραφο καθοδήγησης» αναγράφεται το εξής: (…) Το άρθρο 12 καθορίζει τις προϋποθέσεις για την παροχή υπηρεσιών διαμεσολάβησης δεδομένων, επιτρέποντας στους διαμεσολαβητές δεδομένων να λειτουργούν ως ουδέτερα τρίτα μέρη. Δεν μπορούν να ανταλλάσσουν τα δεδομένα με άλλα μέρη πέραν εκείνων που επιλέγει ο χρήστης και τυχόν δεδομένα και μεταδεδομένα που αποκτώνται μπορούν να χρησιμοποιηθούν μόνο για τη βελτίωση της υπηρεσίας διαμεσολάβησης δεδομένων (κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τον σκοπό αυτό, αυτό θα απαιτούσε νομική βάση βάσει του ΓΚΠΔ).
Επιπλέον, σύμφωνα με την αιτιολογική σκέψη 50 της Πράξης, οι αναγνωρισμένες οργανώσεις αλτρουισμού δεδομένων θα πρέπει να είναι σε θέση να συλλέγουν σχετικά δεδομένα απευθείας από φυσικά και νομικά πρόσωπα ή να επεξεργάζονται δεδομένα που έχουν συλλέξει άλλοι. Η επεξεργασία των συλλεγόμενων δεδομένων θα μπορούσε να πραγματοποιείται από οργανώσεις αλτρουισμού δεδομένων για σκοπούς που ορίζουν οι ίδιες ή, κατά περίπτωση, θα μπορούσαν να επιτρέπουν την επεξεργασία από τρίτους για τους εν λόγω σκοπούς. Στις περιπτώσεις που οι αναγνωρισμένες οργανώσεις αλτρουισμού δεδομένων είναι υπεύθυνοι επεξεργασίας δεδομένων ή εκτελούντες την επεξεργασία δεδομένων όπως ορίζεται στον ΓΚΠΔ, θα πρέπει να συμμορφώνονται προς τους κανόνες του εν λόγω κανονισμού. Κατά κανόνα, ο αλτρουισμός δεδομένων θα βασίζεται στη συγκατάθεση των υποκειμένων των δεδομένων κατά την έννοια του άρθρου 6 παράγραφος 1 στοιχείο α) και του άρθρου 9 παράγραφος 2 στοιχείο α) του ΓΚΠΔ σε συμμόρφωση με τις απαιτήσεις σύννομης συγκατάθεσης σύμφωνα με τα άρθρα 7 και 8 του εν λόγω κανονισμού.
Κρίνεται σκόπιμο να διευκρινιστεί στο ΣχΝ ο ρόλος του παρόχου υπηρεσιών διαμεσολάβησης δεδομένων καθώς και ο ρόλος της οργάνωσης αλτρουισμού δεδομένων σε σχέση με τον ΓΚΠΔ (υπεύθυνος επεξεργασίας, από κοινού υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία), ώστε να μην υπάρχει αμφιβολία ως προς τις υποχρεώσεις τους βάσει του ΓΚΠΔ.
Άρθρο 10: Μητρώο αναγνωρισμένων οργανώσεων αλτρουισμού δεδομένων
Στο άρθρο 10 παρ. 1 του ΣχΝ προβλέπεται η δημιουργία, θέση σε λειτουργία και τήρηση από το ΥΨΗΔ, ως αρμόδιας αρχής για την καταχώριση οργανώσεων αλτρουισμού δεδομένων σύμφωνα με το άρθρο 9 του ΣχΝ, μητρώου αναγνωρισμένων οργανώσεων αλτρουισμού δεδομένων σε ηλεκτρονική μορφή και η δημοσίευση των πληροφοριών που αναφέρονται στην παράγραφο 4 στοιχεία α), β), στ), ζ) και η) του άρθρου 19 της Πράξης. Ωστόσο, δεν προβλέπεται ο τρόπος δημοσίευσης των πληροφοριών που αναφέρονται στην παρ. 4 στοιχείο θ) του άρθρου 19 της Πράξης και αφορούν «τη φύση των δεδομένων που προτίθεται να ελέγχει ή να επεξεργάζεται η οντότητα και, στην περίπτωση δεδομένων προσωπικού χαρακτήρα, ένδειξη των κατηγοριών δεδομένων προσωπικού χαρακτήρα».
Σκόπιμο κρίνεται να προστεθεί στο άρθρο 10 παράγραφο 1 του ΣχΝ και η δημοσίευση των πληροφοριών που αναφέρεται στην παράγραφο 4 στοιχείο θ) του άρθρου 19 της Πράξης, οι οποίες περιλαμβάνουν και δεδομένα προσωπικού χαρακτήρα.
Στο ίδιο άρθρο 10 παράγραφο 2 ΣχΝ, αναφορικά με τις προϋποθέσεις εγγραφής των οργανώσεων αλτρουισμού δεδομένων στο οικείο Μητρώο, συστήνεται η προσθήκη και της μόνης εγκατάστασης στην Ελλάδα σύμφωνα με το άρθρο 19.1 της Πράξης, ήτοι η εξής διατύπωση «Στο Μητρώο εγγράφονται, οι οργανώσεις αλτρουισμού δεδομένων που πληρούν τις προϋποθέσεις κατά το άρθρο 19 της Πράξης και έχουν τη μόνη ή την κύρια εγκατάστασή τους στην Ελλάδα (…)».
Άρθρο 11 του ΣχΝ: Πρόστιμα
Στο άρθρο 11 στοιχ. ιη’ του ΣχΝ προβλέπεται, μεταξύ άλλων, η επιβολή προστίμου από το ΥΨΗΔ σε όποιον, ενεργώντας με πρόθεση ή εξ αμελείας, δεν προβαίνει σε ενημέρωση των υποκειμένων ή των κατόχων δεδομένων κατά παράβαση του άρθρου 12 στοιχ. ιγ’ ή του άρθρου 21.1 της Πράξης.
Σύμφωνα με το άρθρο 12.ιγ’ της Πράξης «ο πάροχος υπηρεσιών διαμεσολάβησης δεδομένων που προσφέρει υπηρεσίες σε υποκείμενα των δεδομένων ενεργεί προς το βέλτιστο συμφέρον των υποκειμένων όταν διευκολύνει την άσκηση των δικαιωμάτων τους, ιδίως παρέχοντας πληροφορίες και, κατά περίπτωση, συμβουλές στα υποκείμενα των δεδομένων σε συνοπτικό, κατανοητό και εύκολα προσβάσιμο τρόπο και με διαφάνεια για τις σκοπούμενες χρήσεις των δεδομένων από τους χρήστες δεδομένων και για τους γενικούς όρους και προϋποθέσεις που συνοδεύουν τις εν λόγω χρήσεις προτού τα υποκείμενα των δεδομένων δώσουν τη συγκατάθεσή τους».
Συνεπώς, σκόπιμο κρίνεται το άρθρο 1 στοιχ. ιη’ ΣχΝ να αναδιατυπωθεί ως εξής: «ιη) δεν διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων και ιδίως δεν προβαίνει σε ενημέρωση των υποκειμένων των δεδομένων κατά παράβαση του άρθρου 12 στοιχ. ιγ’ της Πράξης (…)».
Άρθρο 12 του ΣχΝ: Δικαίωμα δικαστικής προσφυγής
Στο άρθρο 12 παρ. 1 στοιχ. α’ και β’ προβλέπεται δικαστική προσφυγή κατά των αποφάσεων επιβολής προστίμου, ενώ στο στοιχ. γ’ προβλέπεται δικαστική προσφυγή κατά αποφάσεων που δεν αφορούν σε επιβολή προστίμου, αλλά απόρριψη καταγγελίας που έχει υποβληθεί ενώπιον της αρμόδιας αρχής προς εξέταση.
Κατόπιν τούτου, συνιστάται η αναδιατύπωση των στοιχ. α’ και β’ ως εξής: «Κατά των αποφάσεων του Υπουργείου Ψηφιακής Διακυβέρνησης, με τις οποίες επιβάλλονται κυρώσεις α) σε παρόχους υπηρεσιών διαμεσολάβησης δεδομένων σύμφωνα με το άρθρο 14 της Πράξης και τo άρθρο 11 του παρόντος Νόμου, και β) σε οργανώσεις αλτρουισμού δεδομένων σύμφωνα με τα άρθρο 19 και 24 της Πράξης και το άρθρο 11 του παρόντος Νόμου, ασκείται προσφυγή ενώπιον του αρμόδιου Διοικητικού Εφετείου.».
Επισημαίνεται δε ότι για τη ρητή ή σιωπηρή απόρριψη που προβλέπεται στο στοιχ. γ’, το προσήκον ένδικο βοήθημα είναι η αίτηση ακύρωσης ενώπιον του αρμόδιου Διοικητικού Εφετείου και για τον λόγο αυτό, συνιστάται η σχετική διόρθωση και προσθήκη.
Ακολούθως, στην παράγραφο 2 πρέπει να διευκρινισθεί ότι αναίρεση ενώπιον του Συμβουλίου της Επικρατείας μπορεί να ασκηθεί μόνο κατά των αποφάσεων του Διοικητικού Εφετείου που εκδίδονται σύμφωνα με την παρ. 1 στοιχ. α’ και β’. Αντιθέτως, και κατά τα ανωτέρω αναφερόμενα, σκόπιμο είναι να επισημανθεί ότι κατά των αποφάσεων του Διοικητικού Εφετείου που εκδίδονται σύμφωνα με την παράγραφο 1 στοιχ. γ’ μπορεί να ασκηθεί έφεση αντί της αναφερόμενης αναίρεσης.
Άρθρο 15 του ΣχΝ: Συντονιστική Επιτροπή για τα Δεδομένα του Δημοσίου Τομέα
Στο άρθρο 15 παρ. 1 του ΣχΝ προβλέπεται η σύσταση στο ΥΨΗΔ μη αμειβόμενης Συντονιστικής Επιτροπής για τα Δεδομένα του Δημοσίου Τομέα, η οποία αποτελεί το συντονιστικό όργανο για θέματα διαχείρισης των δεδομένων του δημοσίου τομέα.
Επισημαίνεται η ανάγκη προσθήκης της συμμετοχής της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Συντονιστική Επιτροπή της παραγράφου 3 του εν λόγω άρθρου ως παρατηρητή.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Γεωργία Παλαιολόγου
Παράρτημα
anchor link
Εγγραφή
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα
Δημοσιεύστε