Προσωπικά Δεδομένα, Δικαστήρια, και Ανωνυμοποίηση

Επιστρέφοντας στο θέμα της ανωνυμοποίησης των δικαστικών αποφάσεων που προορίζονται για δημοσίευση στο διαδίκτυο ή αλλού, θα πρέπει σήμερα να σημειωθεί ότι υπάρχει, πλέον, ο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμος, Ν. 125(Ι)/2018 («ο Νόμος»), ο οποίος δημοσιεύθηκε και τέθηκε σε ισχύ την 31.07.2018, μετά από τη σχετική Εγκύκλιο / Οδηγίες του Ανωτάτου Δικαστηρίου περί ανωνυμοποίησης, για την οποία έγινε προηγούμενη αναφορά. Ο Νόμος περιέχει πρόνοια σχετική με την επεξεργασία των δικαστικών αποφάσεων για σκοπούς δημοσίευσης· ειδικότερα, μια κάπως παράξενη πρόνοια, η οποία προέκυψε από το πουθενά (δηλαδή, ήταν εκτός του πλαισίου του νομοσχεδίου που τέθηκε σε δημόσια διαβούλευση), και η οποία, πρόσθετα με τα όσα σημειώθηκαν για την Εγκύκλιο, γνωρίζοντας και τις περιστάσεις υπό τις οποίες προστέθηκε στον Νόμο, δημιουργεί κάποιες περαιτέρω ανησυχίες.

Ο Νόμος ψηφίστηκε και τέθηκε σε ισχύ με σκοπό την αποτελεσματική εφαρμογή ορισμένων διατάξεων του Κανονισμού (ΕΕ) 2016/679 και με τον ίδιο καταργείται ο προϋφιστάμενος περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμος. Άρα, ό,τι έχουμε ως βάση αναφοράς είναι πρώτιστα ο Κανονισμός και συμπληρωματικά ή επικουρικά ο εγχώριος Νόμος, ο οποίος αναμένεται ότι δεν θα περιέχει διατάξεις αντίθετες με τις πρόνοιες του Κανονισμού ή καλύτερα ότι δεν θα περιορίζει το πεδίο εφαρμογής του Κανονισμού.

Θα πρέπει, όπως προκύπτει, να τυγχάνει συνεχούς υπόμνησης (ίσως και λόγω της μεγαλύτερης έμφασης που δόθηκε στο κομμάτι της τεχνικής ή οργανωτικής «συμμόρφωσης»), ότι ο Κανονισμός θεσπίζει, μεταξύ άλλων, ή κυρίως, κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων. Προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των προσωπικών δεδομένων. Η όποια «συμμόρφωση» δρομολογείται (και έχουμε δει να φυτρώνουν σωρεία συμβούλων «συμμόρφωσης») σε σχέση με τον Κανονισμό είναι ή θα έπρεπε να είναι με σημείο αναφοράς τούτα τα δικαιώματα και ελευθερίες για την προστασία των οποίων υπάρχει και ισχύει ο Κανονισμός· δεν συνιστά, δηλαδή, η «συμμόρφωση», αυτοσκοπό, αλλά το μέσο για να καταλήξει, κανείς, κατά τεκμήριο, σε ένα κοινό επίπεδο προστασίας. Ούτε θεωρείται ότι υπάρχει «συμμόρφωση», εάν, επί της ουσίας, στο τέλος της ημέρας, με τον ένα ή τον άλλο τρόπο, ούτε το ζητούμενο της προστασίας των προσωπικών δεδομένων επέρχεται, μα ούτε και μπορεί να προσεγγιστεί η ίδια η κουλτούρα του Κανονισμού, ή και όταν ο ίδιος ο Κανονισμός, αφήνεται να νοηθεί πως, προσεγγίζεται σαν να ήταν ένας ανεπιθύμητος μπελάς.

Όπως είναι γνωστό, τα «δεδομένα προσωπικού χαρακτήρα» («προσωπικά δεδομένα», για σκοπούς συντομίας εδώ) συνιστούν κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας (π.χ. όνομα, αριθμό ταυτότητας, δεδομένα θέσης, επιγραμμικό αναγνωριστικό ταυτότητας, παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του, κ.λπ.). Η  «επεξεργασία» συνιστά κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε προσωπικά δεδομένα ή σε σύνολά τους (με ή χωρίς τη χρήση αυτοματοποιημένων μέσων), όπως συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή, μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμός, περιορισμός, διαγραφή, καταστροφή.

Στο πλαίσιο των υπό τη στενή έννοια «δικαστικών διαδικασιών», ήτοι των διαδικασιών που σχετίζονται με την απονομή της δικαιοσύνης, αλλά και των λοιπών δραστηριοτήτων των Δικαστηρίων που δεν συνιστούν τέτοιες δικαστικές διαδικασίες (π.χ. άλλου είδους υπηρεσίες που παρέχει το Δικαστήριο, ως δημόσια αρχή, σε πολίτες, συμβάσεις που συνάπτονται, κόσμος που εργοδοτείται, κ.λπ.) γίνονται διάφορες πράξεις επεξεργασίας προσωπικών δεδομένων. Υπάρχουν, σε κάθε περίπτωση, προσωπικά δεδομένα που έχουν συλλεχθεί από το Δικαστήριο και περιλαμβάνονται σε συστήματα αρχειοθέτησης ή και (εάν ο λόγος γίνεται για δικαστική διαδικασία που έχει ολοκληρωθεί με την έκδοση απόφασης) και σε δικαστικές αποφάσεις (διαδικαστικές ή ουσιαστικές). Όπως λέχθηκε ξανά, η επεξεργασία προσωπικών δεδομένων από τα Δικαστήρια για σκοπούς δικαστικής διαδικασίας, περιλαμβανομένης της λήψης απόφασης (ή και της απαγγελίας της, που συνιστά μέρος της δικαιοδοτικής διαδικασίας, το βασικότερο), είναι ένα θέμα. Η επεξεργασία προσωπικών δεδομένων από τα Δικαστήρια για οποιουσδήποτε άλλους σκοπούς, περιλαμβανομένης της διάθεσης ή κοινολόγησης ή κοινώς δημοσιοποίησης των δικαστικών αποφάσεων σε τρίτα πρόσωπα ή στο διαδίκτυο, έξω από το πλαίσιο της δικαιοδοτικής αρμοδιότητας των Δικαστηρίων, είναι άλλο θέμα.

Ο Κανονισμός εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων (αυτοματοποιημένη ή μη) που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Σύστημα αρχειοθέτησης νοείται κάθε διαρθρωμένο σύνολο προσωπικών δεδομένων που είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια (είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση). Από το ουσιαστικό πεδίο εφαρμογής του Κανονισμού, ως προβλέπεται από το άρθρο 2, δεν εξαιρούνται τα Δικαστήρια ή οι δραστηριότητες των Δικαστηρίων (καταρχάς χωρίς οποιονδήποτε διαχωρισμό των δραστηριοτήτων τους σε δραστηριότητες που εμπίπτουν στη δικαιοδοτική αρμοδιότητα και σε άλλες που δεν εμπίπτουν σε αυτήν). Από το πεδίο εφαρμογής του Κανονισμού εξαιρούνται αυτές οι πράξεις επεξεργασίας που ο ίδιος ο Κανονισμός εξαιρεί:

(α) Η επεξεργασία προσωπικών δεδομένων που γίνεται στο πλαίσιο δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ε.Ε.

(β) Η επεξεργασία προσωπικών δεδομένων από κράτη μέλη κατά την άσκηση των δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του Κεφαλαίου 2 του τίτλου IV της ΣΕΕ.

(γ) Η επεξεργασία προσωπικών δεδομένων από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας.

(δ) Η επεξεργασία προσωπικών δεδομένων από αρμόδιες αρχές για τους σκοπούς πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

(ε) Η επεξεργασία προσωπικών δεδομένων από θεσμικά όργανα και φορείς, υπηρεσίες και οργανισμούς της Ε.Ε., για την οποία ισχύει ο Κανονισμός (ΕΕ) 45/2001 (ο οποίος προσαρμόζονται πάντως στις αρχές που θέτει ο Κανονισμός).

Σε σχέση με την εξαίρεση που αναφέρεται στον ποινικό τομέα, ο σκοπός που εξαιρούνται από το πεδίο εφαρμογής του Κανονισμού αυτές οι πράξεις δεν είναι γιατί δεν υπόκεινται σε ρύθμιση αυτές ή γιατί δεν χρήζουν προστασίας τα υποκείμενα των προσωπικών δεδομένων στα οποία αφορούν οι εν λόγω πράξεις, αλλά γιατί υφίσταται ήδη η Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου («η Οδηγία»), η οποία ρυθμίζει ειδικά την επεξεργασία προσωπικών δεδομένων για τους σκοπούς αυτούς, και η οποία θα έπρεπε να μεταφερθεί στο εγχώριο δίκαιο μέχρι την 06.05.2018 (κάτι που βέβαια δεν έγινε).

Ο Νόμος που ψηφίστηκε αναμένονταν να ενσωματώνει παράλληλα και την Οδηγία. Αλλά και ξεχωριστή νομοθεσία να θεσπιστεί για τον σκοπό αυτό, εκ του αποτελέσματος, δημιουργείται σύγχυση ή έλλειψη συστηματικής προσέγγισης σε σχέση με τα Δικαστήρια και την επεξεργασία των προσωπικών δεδομένων από τα Δικαστήρια, εφόσον για να αντιληφθεί, κανείς, το όλο πλαίσιο, θα πρέπει να ανατρέξει σε διαφορετικά νομικά κείμενα ή πηγές και να προβεί, με κάποιο τρόπο, σε συνδυαστική εργασία. Ό,τι αναμένεται, δηλαδή, να συμβεί, για σκοπούς «συμμόρφωσης» με το ενωσιακό δίκαιο, από μέρους των Δικαστηρίων, είναι η δημιουργία ενός ολόκληρου συστήματος στη βάση των αρχών προστασίας των προσωπικών δεδομένων, στους γενικούς και τους ειδικούς τομείς.

Η Οδηγία, η οποία ανάγει την «αξιόποινη πράξη» σε αυτοτελή έννοια του δικαίου της Ε.Ε., και η οποία, επίσης, δεν εξαιρεί από το πεδίο εφαρμογής της τα Δικαστήρια, διέπει αυτούς τους ειδικούς τομείς, και, βασικά, συμπληρώνει τον Κανονισμό, με την έννοια ότι, όταν ένας φορέας επεξεργάζεται προσωπικά δεδομένα για σκοπούς άλλους από αυτούς της Οδηγίας, εφαρμόζεται ο Κανονισμός. Ο Κανονισμός εφαρμόζεται στις περιπτώσεις όπου φορέας συλλέγει δεδομένα προσωπικού χαρακτήρα για άλλους σκοπούς (γενικούς σκοπούς) και επεξεργάζεται περαιτέρω τα εν λόγω δεδομένα προκειμένου να συμμορφωθεί σε νομική υποχρέωση στην οποία υπόκειται. Για παράδειγμα, για σκοπούς διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων, τα χρηματοπιστωτικά ιδρύματα διατηρούν ορισμένα προσωπικά δεδομένα τα οποία επεξεργάζονται και παρέχουν στις αρμόδιες εθνικές αρχές σε ειδικές περιπτώσεις σύμφωνα με το δίκαιο του κράτους μέλους. Οι φορείς που επεξεργάζονται προσωπικά δεδομένα για λογαριασμό των εν λόγω αρχών εντός του πεδίου εφαρμογής της Οδηγίας πρέπει να δεσμεύονται από σύμβαση ή άλλη νομική πράξη και από τις διατάξεις που ισχύουν για τους εκτελούντες την επεξεργασία σύμφωνα με την Οδηγία, ενώ δεν θίγεται η εφαρμογή του Κανονισμού για την επεξεργασία των προσωπικών δεδομένων από τον εκτελούντα την επεξεργασία εκτός του πεδίου εφαρμογής της Οδηγίας.

Το περιεχόμενο αυτής της Οδηγίας βοηθά να γίνει κάπως καλύτερα αντιληπτή η σκέψη του ενωσιακού νομοθέτη τουλάχιστον σε σχέση με τη θεώρηση των δραστηριοτήτων των Δικαστηρίων έναντι στην ανάγκη διασφάλισης της νομιμότητας της επεξεργασίας προσωπικών δεδομένων, αλλά και όσον αφορά την έκταση της συμμόρφωσης που προδιαγράφεται από το ενωσιακό δίκαιο σε σχέση με τα προσωπικά δεδομένα που τυγχάνουν επεξεργασίας στο πλαίσιο δικαστικών διαδικασιών.

Το άρθρο 5 του Κανονισμού (και ανάλογα το άρθρο 4 της Οδηγίας) προβλέπει τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων. Αρχές που, καταρχάς, εφαρμόζονται και από τα Δικαστήρια, και τις οποίες θα πρέπει να έχει υπόψη του και ο κάθε δικαστικός λειτουργός:

(α) Αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας: Τα προσωπικά δεδομένα υποβάλλονται σε σύννομη, δίκαιη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.

(β) Αρχή του περιορισμού του σκοπού: Τα προσωπικά δεδομένα συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς.

(γ)  Αρχή της ελαχιστοποίησης των προσωπικών δεδομένων («τόσα – όσα»): Τα προσωπικά δεδομένα είναι κατάλληλα, συναφή και  όχι υπερβολικά / περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

(δ) Αρχή της ακρίβειας: Τα προσωπικά δεδομένα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας.

(ε) Την αρχή του περιορισμού της περιόδου αποθήκευσης: Τα προσωπικά δεδομένα διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας τους.

(στ) Αρχή της ακεραιότητας και εμπιστευτικότητας: Τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλειά τους, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων.

(ζ) Αρχή της λογοδοσίας από τον υπεύθυνο επεξεργασίας: Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωση με όλα τα πιο πάνω.

Η περαιτέρω επεξεργασία ή η αποθήκευση για μεγαλύτερα χρονικά διαστήματα για σκοπούς δημοσίου συμφέροντος ή επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τον Κανονισμό ή την Οδηγία.

Ο υπεύθυνος επεξεργασίας είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ε.Ε. ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ε.Ε. ή το δίκαιο κράτους μέλους. Εάν το «γιατί» και το «πώς» ορίστηκαν από κοινού με άλλο πρόσωπο, αυτό θεωρείται από κοινού υπεύθυνος επεξεργασίας. Ο υπεύθυνος επεξεργασίας διακρίνεται από τον εκτελούντα την επεξεργασία, που είναι το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται τα προσωπικά δεδομένα για λογαριασμό του υπευθύνου της επεξεργασίας. Τα καθήκοντα του εκτελούντος την επεξεργασία έναντι στον υπεύθυνο επεξεργασίας, συνηθέστερα όταν είναι διαφορετικό πρόσωπο (που κάποτε μπορεί και να μην είναι), πρέπει να καθορίζονται σε σύμβαση ή άλλη νομική πράξη, που θα αναφέρει, μεταξύ άλλων, τι γίνεται με τα δεδομένα προσωπικού χαρακτήρα μετά τη λήξη της σύμβασης. Ο εκτελών την επεξεργασία των δεδομένων μπορεί να αναθέτει μέρος των εργασιών του σε άλλον εκτελούντα την επεξεργασία υπεργολάβο ή να διορίζει από κοινού εκτελούντα την επεξεργασία μόνον εφόσον έχει λάβει προηγούμενη γραπτή άδεια από τον υπεύθυνο επεξεργασίας των δεδομένων. Στην προκειμένη περίπτωση, εάν το «γιατί» και το «πώς» ορίζονται από το Ανώτατο Δικαστήριο, ως σώμα, θα πρέπει να οριστεί ο εκτελών την επεξεργασία.

Σύμφωνα με την εισαγωγική σκέψη 20 της Οδηγίας:

«Η παρούσα οδηγία δεν εμποδίζει τα κράτη μέλη να προσδιορίζουν με σαφήνεια πράξεις και διαδικασίες επεξεργασίας στους εθνικούς κανόνες περί ποινικών διαδικασιών όσον αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές, ιδίως όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που περιέχονται σε δικαστικές αποφάσεις ή σε αρχεία σχετικά με ποινικές διαδικασίες.»

Υπάρχει, θα μπορούσε να συνάγει, κανείς, περιθώριο εκτίμησης όσον αφορά τον σαφή προσδιορισμό των πράξεων και διαδικασιών επεξεργασίας προσωπικών δεδομένων που περιέχονται σε δικαστικές αποφάσεις (ποινικών διαδικασιών, αλλά σε επίπεδο γενίκευσης δικαστικών διαδικασιών), οι οποίες, καταρχάς, υπόκεινται στις γενικές αρχές και πρόνοιες της Οδηγίας (όπως και του Κανονισμού). Άλλως πώς ή με διαφορετική διατύπωση, η επεξεργασία των προσωπικών δεδομένων που περιέχονται στις δικαστικές αποφάσεις υπόκειται στις αρχές και πρόνοιες της Οδηγίας (ποινικές αποφάσεις) και του Κανονισμού (άλλες αποφάσεις), με δυνατότητα των κρατών μελών να προσδιορίσουν με σαφήνεια τις πράξεις και διαδικασίες επεξεργασίας, όπως, λόγου χάριν, την περαιτέρω διάθεση ή κοινολόγηση ή δημοσιοποίηση στο διαδίκτυο ή αλλού.

Σύμφωνα με την εισαγωγική σκέψη 49 της Οδηγίας:

«Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και ποινικής διαδικασίας ενώπιον δικαστηρίου, τα κράτη μέλη θα πρέπει να μπορούν να προβλέπουν ότι η άσκηση των δικαιωμάτων ενημέρωσης, πρόσβασης και διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα γίνεται σύμφωνα με τους εθνικούς κανόνες περί δικαστικών διαδικασιών.»

Αφήνοντας να νοηθεί ότι χρειάζονται ή μπορούν να υφίστανται εθνικοί κανόνες περί δικαστικών διαδικασιών, που να ρυθμίζουν την άσκηση των δικαιωμάτων των υποκειμένων σε σχέση με την ενημέρωση, πρόσβαση, διόρθωση, διαγραφή, περιορισμό της επεξεργασίας των προσωπικών τους δεδομένων, περιλαμβανομένων αυτών που υποβάλλονται σε επεξεργασία στο πλαίσιο ποινικών (κατ’ επέκταση δικαστικών) διαδικασιών ή με άλλα λόγια, το γεγονός ότι τα προσωπικά δεδομένα υποβάλλονται για επεξεργασία στο πλαίσιο ποινικών (κατ’ επέκταση δικαστικών) διαδικασίων, δεν επηρεάζει το δικαίωμα των υποκειμένων τους να ενημερωθούν, να έχουν πρόσβαση, να αιτηθούν τη διόρθωση, τη διαγραφή ή τον περιορισμό της επεξεργασίας τους (αιτήματα που μπορούν να κριθούν με βάση τις αρχές επεξεργασίας που εκτέθηκαν πιο πάνω). Δηλαδή, η έλλειψη εποπτικού ελέγχου από τρίτο (την αρμόδια εποπτική αρχή), στις περιπτώσεις όπου η επεξεργασία γίνεται στο πλαίσιο δικαιοδοτικής αρμοδιότητας, δεν σημαίνει, μεταξύ άλλων, την παύση της προστασίας των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων.

Σύμφωνα με τη σκέψη 63 της Οδηγίας:

«Ο υπεύθυνος επεξεργασίας θα πρέπει να ορίσει ένα πρόσωπο το οποίο θα του παρέχει συνδρομή κατά την παρακολούθηση της εσωτερικής συμμόρφωσης προς τις διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας, εξαιρουμένης της περίπτωσης κατά την οποία ένα κράτος μέλος αποφασίζει να εξαιρέσει τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές όταν ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.»

Συναφές με τη δυνατότητα εξαίρεσης είναι το άρθρο 32 § 1 της Οδηγίας, που προβλέπει ότι:

«Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος επεξεργασίας διορίζει υπεύθυνο προστασίας δεδομένων. Τα κράτη μέλη μπορούν να εξαιρούν από την υποχρέωση αυτή τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές όταν ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα.»

Σύμφωνα με τη σκέψη 80 της Οδηγίας, που ομοιάζει με τη σκέψη 20 του Κανονισμού, ως προς το λεκτικό, αλλά επεκτείνεται, χρήσιμα, περαιτέρω (η έμφαση δική μου, όσον αφορά την προσθήκη της Οδηγίας):

«Παρότι η παρούσα οδηγία εφαρμόζεται επίσης στις δραστηριότητες των εθνικών δικαστηρίων και άλλων δικαστικών αρχών, η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους αρμοδιότητα, ώστε να διασφαλίζεται η ανεξαρτησία των δικαστών κατά την άσκηση των δικαιοδοτικών καθηκόντων τους. Η εν λόγω εξαίρεση θα πρέπει να περιορίζεται στις δικαιοδοτικές δραστηριότητες σε δικαστικές υποθέσεις και να μην εφαρμόζεται σε άλλες δραστηριότητες στις οποίες ενδέχεται να συμμετέχουν δικαστές σύμφωνα με το δίκαιο του κράτους μέλους. Τα κράτη μέλη θα πρέπει επίσης να μπορούν να προβλέπουν ότι η αρμοδιότητα της εποπτικής αρχής μπορεί να μην καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από άλλες ανεξάρτητες δικαστικές αρχές οι οποίες ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, λόγου χάρη από την εισαγγελική αρχή. Σε κάθε περίπτωση, η τήρηση των κανόνων της παρούσας οδηγίας από τα δικαστήρια και άλλες ανεξάρτητες δικαστικές αρχές υπόκειται πάντα σε ανεξάρτητο έλεγχο, σύμφωνα με το άρθρο 8 παράγραφος 3 του Χάρτη.» 

Συναφές με την εν λόγω σκέψη είναι το άρθρο 45 § 2 της Οδηγίας, που ορίζει ότι:

«Κάθε κράτος μέλος προβλέπει ότι κάθε εποπτική αρχή δεν είναι αρμόδια να εποπτεύει πράξεις επεξεργασίας από δικαστήρια τα οποία ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας. Κάθε κράτος μέλος μπορεί να προβλέπει ότι οι εποπτικές αρχές του δεν είναι αρμόδιες να εποπτεύουν πράξεις επεξεργασίας άλλων ανεξάρτητων δικαστικών αρχών οι οποίες ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.»

Και το άρθρο 55 § 3 του Κανονισμού, αντίστοιχα, ορίζει:

«Οι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας.»

Από τις εν λόγω εισαγωγικές σκέψεις και ρυθμίσεις, που αναφέρονται στον εποπτικό έλεγχο (και όχι στα δικαιώματα των υποκειμένων των προσωπικών δεδομένων, όπως προαναφέρθηκε), προκύπτουν τα εξής:

– Ο Κανονισμός και η Οδηγία εφαρμόζονται στις δραστηριότητες των Δικαστηρίων.

– Το δίκαιο της Ε.Ε. ή των κρατών μελών μπορεί να εξειδικεύσει τις πράξεις και διαδικασίες επεξεργασίας από τα Δικαστήρια.

– Όταν τα Δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, προκειμένου να εξασφαλίζεται η ανεξαρτησία των δικαστικών λειτουργών, η επεξεργασία προσωπικών δεδομένων στην οποία προβαίνουν, περιλαμβανομένης της λήψης των αποφάσεών τους, δεν πρέπει να ελέγχεται από τις αρμόδιες εποπτικές αρχές.

– Η μη υπαγωγή αυτών των πράξεων επεξεργασίας σε έλεγχο τρίτου, ήτοι των αρμόδιων εποπτικών αρχών, με σκοπό τη διασφάλιση της δικαστικής ανεξαρτησίας, δεν σημαίνει ότι οι πράξεις αυτές δεν υπάγονται καθόλου σε έλεγχο. Ο έλεγχος των εν λόγω πράξεων επεξεργασίας θα πρέπει να μπορεί να ανατεθεί σε ειδικούς φορείς στο πλαίσιο του δικαστικού συστήματος του κράτους μέλους, το οποίο θα πρέπει ιδίως να διασφαλίζει τη συμμόρφωση με τους κανόνες του Κανονισμού και της Οδηγίας, να ευαισθητοποιεί μέλη των δικαστικών λειτουργών όσον αφορά τις υποχρεώσεις τους βάσει του ενωσιακού αυτού δικαίου, και να επιλαμβάνεται καταγγελιών σε σχέση με τις εν λόγω διαδικασίες επεξεργασίας δεδομένων.

– Προς συμμόρφωση με τον Κανονισμό και της Οδηγίας, όσον αφορά τις πράξεις επεξεργασίας που γίνονται στο πλαίσιο της δικαιοδοτικής ιδιότητας των Δικαστηρίων, θα πρέπει να οριστούν ειδικοί φορείς μέσα στο πλαίσιο του δικαστικού συστήματος, που θα διασφαλίζουν τη συμμόρφωση και θα ευαισθητοποιούν τους δικαστικούς λειτουργούς όσον αφορά τις υποχρεώσεις τους, βάσει του Κανονισμού και της Οδηγίας, και να επιλαμβάνεται καταγγελιών σε σχέση με τις διαδικασίες επεξεργασίας.

– Οι δικαστικοί λειτουργοί έχουν υποχρεώσεις, βάσει του Κανονισμού και της Οδηγίας.

– Οι πράξεις των Δικαστηρίων που γίνονται έξω από το πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, υπάγονται στον έλεγχο των αρμόδιων εποπτικών αρχών.

Χρήσιμη είναι και η εισαγωγική σκέψη 115 του Κανονισμού, ως προς τη διαβίβαση και κοινολόγηση δικαστικών αποφάσεων και την κατανόησης της σοβαρότητας με την οποία ο ενωσιακός νομοθέτης προσεγγίζει το όλο ζήτημα. Λέει, η σκέψη αυτή, ότι:

«Μερικές τρίτες χώρες θεσπίζουν νόμους, κανονισμούς και άλλες νομικές πράξεις που φιλοδοξούν να ρυθμίσουν άμεσα τις δραστηριότητες επεξεργασίας φυσικών και νομικών προσώπων που υπάγονται στη δικαιοδοσία των κρατών μελών. Αυτό μπορεί να περιλαμβάνει αποφάσεις δικαστηρίων ή αποφάσεις διοικητικών αρχών σε τρίτες χώρες οι οποίες να απαιτούν από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία να μεταβιβάσει ή να κοινολογήσει δεδομένα προσωπικού χαρακτήρα και οι οποίες δεν βασίζονται σε διεθνή συμφωνία, όπως για παράδειγμα σύμβαση αμοιβαίας δικαστικής συνδρομής που ισχύει μεταξύ της αιτούσας τρίτης χώρας και της Ένωσης ή κράτους μέλους. Η εξωεδαφική εφαρμογή των εν λόγω νόμων, κανονισμών και άλλων νομικών πράξεων μπορεί να παραβιάζει το διεθνές δίκαιο και να εμποδίζει την επίτευξη της προστασίας των φυσικών προσώπων που διασφαλίζει στην Ένωση ο παρών κανονισμός. Οι διαβιβάσεις θα πρέπει να επιτρέπονται μόνο εάν πληρούνται οι προϋποθέσεις του παρόντος κανονισμού για διαβίβαση προς τρίτες χώρες. Αυτό μπορεί να συμβαίνει, μεταξύ άλλων, αν η κοινολόγηση είναι απαραίτητη για σημαντικό λόγο δημόσιου συμφέροντος ο οποίος αναγνωρίζεται στο δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας.»

Το άρθρο 6 του Κανονισμού ορίζει πότε η επεξεργασία προσωπικών δεδομένων (με την πιο πάνω έννοια) είναι «σύννομη», δηλαδή πότε κάποιος, επί του οποίου εφαρμόζεται ο Κανονισμός, μπορεί να προβαίνει σε πράξεις σε σχέση με τα προσωπικά δεδομένα, δηλαδή σε σχέση με πληροφορίες που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο.  Μόνον, λέει, εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:

(α) Υπάρχει συναίνεση του υποκειμένου στην επεξεργασία αυτή.

(β) Είναι απαραίτητη η επεξεργασία για την εκτέλεση σύμβασης όπου το υποκείμενο είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου πριν από τη σύναψη σύμβασης.

(γ) Είναι απαραίτητη για τη συμμόρφωση με έννομη επεξεργασία του υπεύθυνου επεξεργασίας (το εγχώριο δίκαιο μπορεί να εξειδικεύσει όσον αφορά αυτή την προϋπόθεση).

(δ) Είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή άλλου φυσικού προσώπου.

(ε) Είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που ανατέθηκε στον υπεύθυνο επεξεργασίας (το εγχώριο δίκαιο μπορεί να εξειδικεύσει όσον αφορά αυτή την προϋπόθεση). Η αναφορά είναι στον υπεύθυνο επεξεργασίας.

(στ) Είναι απαραίτητη για σκοπούς εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι αυτών υπερισχύει το συμφέρον ή τα δικαιώματα του υποκειμένου, ιδίως όταν είναι παιδί. Τούτη η προϋπόθεση δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

Ως προς τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων των ειδικών ποινικών τομέων που ρυθμίζει η Οδηγία, το άρθρο 8 της Οδηγίας ορίζει ότι είναι νόμιμη η επεξεργασία τους εάν και στον βαθμό που είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται από αρχή αρμόδια για τους σκοπούς που προβλέπονται στην Οδηγία και βασίζεται στο δίκαιο της Ε.Ε. ή των κρατών μελών. Το δίκαιο κράτους μέλους που ρυθμίζει την επεξεργασία στο πλαίσιο της Οδηγίας καθορίζει τουλάχιστον τους στόχους της επεξεργασίας, τα προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία και τους σκοπούς της επεξεργασίας. Το δε άρθρο 9 της Οδηγίας θέτει ειδικούς όρους επεξεργασίας.

Το άρθρο 9 § 1 του Κανονισμού και αντίστοιχα το άρθρο 10  της Οδηγίας προβλέπουν σχετικά με την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων. Ο μεν Κανονισμός θέτει (μη απόλυτο) απαγορευτικό κανόνα, σύμφωνα με τον οποίον απαγορεύεται η επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό, εκτός εάν ισχύει κάποια από τις προβλεπόμενες, στην παράγραφο 2, μεταξύ των οποίων η περίπτωση που η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα, όπου επιτρέπεται η επεξεργασία αυτών των ειδικών προσωπικών δεδομένων. Η δε Οδηγία διατυπώνει συναφή κανόνα με βάση τον οποίον επιτρέπει την επεξεργασία των εν λόγω ειδικών κατηγοριών (στους συγκεκριμένους ποινικούς τομείς της Οδηγίας), υπό όρους, να είναι απολύτως αναγκαία, να λαμβάνονται οι κατάλληλες διασφαλίσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, να επιτρέπεται από το δίκαιο της Ε.Ε. ή των κρατών μελών, να επιβάλλεται για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου ή η επεξεργασία αυτή αφορά σε δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων. Άρα, σε σχέση με τα «ευαίσθητα» προσωπικά δεδομένα που υποβάλλονται για επεξεργασία στο πλαίσιο δικαστικών διαδικασιών, εάν υποβάλλονται στο πλαίσιο ποινικής διαδικασίας, για τους σκοπούς της Οδηγίας (πρόληψη, ανίχνευση κ.λπ. ποινικών αδικημάτων), θα μπορούσε να πει, κανείς, ότι η ύπαρξη δικαιοδοτικής αρμοδιότητας των Δικαστηρίων και μόνον δεν νομιμοποιεί την επεξεργασία, εάν δεν συντρέχουν παράλληλα οι πρόσθετες προϋποθέσεις της Οδηγίας (αναγκαιότητα, διασφαλίσεις, κ.λπ.). Φυσικά, μπορούν να δημιουργούνται διάφορα ερωτήματα, σχετικά με το πώς μπορεί να λειτουργήσει στην πράξη αυτός ο συσχετισμός.

Το ότι δεν απαγορεύεται, κατά συνέπεια επιτρέπεται, η επεξεργασία αυτών των «ευαίσθητων» προσωπικών δεδομένων, για σκοπούς άσκησης της δικαιοδοτικής αρμοδιότητας, και πάλι, δεν σημαίνει ότι τα υποκείμενα των δεδομένων αυτών δεν έχουν δικαιώματα ή ότι τέτοια επεξεργασία λαμβάνει χώρα ανεξαρτήτως εφαρμογής των αρχών και προνοιών του Κανονισμού.

Το άρθρο 10 του Κανονισμού προβλέπει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας που βασίζονται στο άρθρο 6 § 1 του Κανονισμού διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ε.Ε. ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πλήρες ποινικό μητρώο τηρείται μόνο υπό τον έλεγχο επίσημης αρχής.

Έχουμε, λοιπόν, τα προσωπικά δεδομένα (γενικά) του Κανονισμού, τα προσωπικά δεδομένα ειδικών κατηγοριών («ευαίσθητα») του Κανονισμού, τα προσωπικά ποινικά δεδομένα του Κανονισμού, τα προσωπικά δεδομένα των ειδικών ποινικών σκοπών της Οδηγίας (γενικά ή «ευαίσθητα»), και (αν και μπορεί να συνεχίσει η κατηγοριοποίηση, με σκοποί την απλούστευση της προσέγγισης), περαιτέρω, το άρθρο 6 της Οδηγίας σε σχέση με τα προσωπικά δεδομένα στους ειδικούς ποινικούς σκοπούς, προβλέπει ότι τα κράτη μέλη, κατά περίπτωση και στον βαθμό του εφικτού, προβλέπουν τη σαφή διάκριση, από τον υπεύθυνο επεξεργασίας, προσωπικών δεδομένων διαφορετικών κατηγοριών υποκειμένων, όπως, λόγου χάριν:

(α) Προσώπων σε σχέση με τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι διέπραξαν ή πρόκειται να διαπράξουν ποινικό αδίκημα,

(β) Προσώπων τα οποία καταδικάστηκαν για ποινικό αδικημα,

(γ) Θυμάτων ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να είναι θύματα ποινικού αδικήματος,

(δ) άλλων μερών ως προς το ποινικό αδίκημα, όπως προσώπων που ενδέχεται να κληθούν να καταθέσουν σε ανακρίσεις σχετικά με ποινικά αδικήματα ή σε επακόλουθη ποινική διαδικασία ή προσώπων που μπορούν να παράσχουν πληροφορίες σχετικά με ποινικά αδικήματα ή προσώπων επικοινωνίας ή συνεργών κ.λπ.

Περαιτέρω, το άρθρο 7 της Οδηγίας έχει μια πολύ σημαντική πρόνοια, που ορίζει σχετικά με τη διάκριση μεταξύ των προσωπικών δεδομένων και την επαλήθευση της ποιότητάς τους, γιατί είναι γνωστό ότι σε μια ποινική διαδικασία (προδικασία ή δικαστική διαδικασία) πολλά από τα προσωπικά δεδομένα που υποβάλλονται για επεξεργασία δεν βασίζονται σε γεγονότα αλλά σε εκτιμήσεις.

Χαρακτηριστικό, για τους σκοπούς αυτής της αναφοράς, είναι το άρθρο 18 της Οδηγίας, που ορίζει ότι (η παρένθεση δική μου):

«Τα κράτη μέλη μπορούν να προβλέπουν ότι η άσκηση των δικαιωμάτων τα οποία αναφέρονται στα άρθρα 13, 14 και 16 (ενημέρωση, πρόσβαση, διόρθωση ή διαγραφή) πραγματοποιείται σύμφωνα με το δίκαιο του κράτους μέλους, εάν τα δεδομένα προσωπικού χαρακτήρα περιέχονται σε δικαστική απόφαση ή αρχείο ή φάκελο υπόθεσης που υποβάλλεται σε επεξεργασία στο πλαίσιο ποινικής έρευνας και διαδικασίας.»

Το Κεφάλαιο ΙΙΙ του Κανονισμού και το Κεφάλαιο ΙΙΙ της Οδηγίας είναι εκείνα τα σημαντικά κεφάλαια που προβλέπουν τα δικαιώματα των υποκειμένων των δεδομένων. Με διαφορετικό τρόπο. Αυτά τα δικαιώματα θα πρέπει να είναι ο βασικότερος οδηγός για διαπίστωση της «συμμόρφωσης» με τούτο το ενωσιακό δίκαιο, ο τρόπος ρυθμιστικής προσέγγισής τους. Δεν θα προβώ στην κατηγοριοποίηση και έκθεση στο πλαίσιο αυτής της αναφοράς, γιατί θα προέκυπτε κάτι αρκετές εκτενές, για τους σκοπούς της αναφοράς. Όσον αφορά τους περιορισμούς που μπορούν να τεθούν σε ορισμένα από τα δικαιώματα και τις αντίστοιχες υποχρεώσεις, με βάση τον Κανονισμό, η διασφάλιση της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών συνιστά ένα δυνατό άξονα. Διαφορετικούς περιορισμούς προβλέπει η Οδηγία.

Χωρίς περαιτέρω ανάλυση επί των κειμένων, ας δούμε, όμως, τι έκαναν τα αγγλικά δικαστήρια για να συμμορφωθούν με τον Κανονισμό, μήπως έτσι τύχει καλύτερης κατανόησης το όλο πλαίσιο. Ο Lord Chief Justice of England and Wales  (επί του παρόντος ο Lord Burnett of Maldon) και ο Senior President of Tribunals αποφάσισαν να συστήσουν ένα σώμα, το «Judicial Data Protection Panel», που θα αποτελείται από δικαστές (Lord ή Lady Justice of Appeal που θα προεδρεύει του σώματος, έναν/μία δικαστή του High Court, έναν/μία δικαστή του Upper Tribunal ή του Employment Appeal Tribunal), με σκοπό την επίβλεψη της επεξεργασίας προσωπικών δεδομένων από τα Δικαστήρια και τις Δικαστικές Αρχές στην Αγγλία, και την ανάληψη της ευθύνης για την αποτελεσματική εφαρμογή των προνοιών του Κανονισμού. Αντίστοιχα, έχουν προβεί σε αυτή την ενημέρωση, ως γενική πολιτική προστασίας προσωπικών δεδομένων της δικαστικής υπηρεσίας, με άξονα ή σημείο αναφοράς πάντα τα δικαιώματα των υποκειμένων (ανεξαρτήτως των τυχόν επιμέρους επιλογών σε σχέση με την περαιτέρω επεξεργασία για σκοπούς δημοσιοποίησης στο διαδίκτυο). Αντίστοιχη ενημέρωση πολιτικής προστασίας προσωπικών δεδομένων αυτή της Judicial Committee του Privacy Council.

Μέχρι στιγμής, δεν είδαμε τέτοια ενέργεια σε σχέση με τη δικαστική εξουσία στην Κύπρο, συμμόρφωσης με τον Κανονισμό. Αυτό είναι το ένα σκέλος του προβλήματος. Το άλλο σκέλος του προβλήματος αφορά στην περαιτέρω επεξεργασία προσωπικών δεδομένων που περιέχονται σε δικαστικές αποφάσεις που προορίζονται για δημοσίευση στο διαδίκτυο. Ενώ η επεξεργασία προσωπικών δεδομένων για σκοπούς δικαστικών διαδικασιών (δικαιοδοτικής αρμοδιότητας) μπορεί να είναι νόμιμη με διάφορους τρόπους (π.χ. να υπάρχει βάση νομιμότητας άλλη από αυτή της συγκατάθεσης), η διαδικασία της ανωνυμοποίησης συνιστά και η ίδια μια πράξη επεξεργασίας, που σκοπό έχει να καταστήσει μη ταυτοποιήσιμο το ταυτοποιημένο (για σκοπούς δικαστικής διαδικασίας) υποκείμενο των προσωπικών δεδομένων, η οποία, και πάλι, πρέπει να γίνεται τηρουμένων των αρχών και προνοιών του Κανονισμού και της Οδηγίας, που ρυθμίζουν την προστασία των δικαιωμάτων και των ελευθεριών των υποκειμένων των προσωπικών δεδομένων, να βρει τη βάση νομιμότητάς της, με πρόσθετο δεδομένο ότι αυτή η πράξη επεξεργασίας γίνεται εκτός του πλαισίου της δικαιοδοτικής αρμοδιότητας των δικαστηρίων. Έρχεται, όμως, ο εγχώριος Νόμος και λέει τι;

Καταρχάς, να σημειωθεί ότι, όπως διαφαίνεται από τη σχετική έκθεσης της Kοινοβουλευτικής Eπιτροπής Nομικών, σε σχέση με το, προ της ψήφισης του Νόμου, νομοσχέδιο, στις συνεδριάσεις καλούνταν και εκπρόσωποι του Ανωτάτου Δικαστηρίου, δικαστές, οι οποίοι υπέβαλαν εισήγηση για την εισαγωγή στο νομοσχέδιο διατάξεων με βάση τις οποίες τα Δικαστήρια θα εξαιρούνται από την απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα, για σκοπούς έκδοσης ή δημοσίευσης των αποφάσεών τους. Συγκεκριμένα, όπως δήλωσαν οι ίδιοι, η επεξεργασία προσωπικών δεδομένων θα πρέπει να επιτρέπεται και να είναι νόμιμη, όταν διενεργείται από τα Δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας για σκοπούς απονομής της δικαιοσύνης και να περιλαμβάνει επεξεργασία προσωπικών δεδομένων η οποία είναι αναγκαία για το σκοπό έκδοσης ή δημοσίευσης απόφασης οποιουδήποτε δικαστηρίου. Περαιτέρω, δήλωσαν την ετοιμότητα του Ανωτάτου Δικαστηρίου να προβεί στην έκδοση διαδικαστικού κανονισμού ή οδηγίας πρακτικής αναφορικά με τη σύνταξη και δημοσίευση των δικαστικών αποφάσεων, ώστε να προστατεύονται στο μεγαλύτερο δυνατό βαθμό τα προσωπικά δεδομένα. Οπότε, έχουμε μια παρεμβολή της δικαστικής εξουσίας στη διαδικασία νομοθέτησης, που τελικά επέφερε τη συγκεκριμένη αλλαγή στο νομοσχέδιο. Το τι διαστάσεις μπορεί να παίρνει τέτοιου είδους παρεμβολή, ας μην σχολιαστεί, προς το παρόν (π.χ. εάν αμφισβητήσει κάποιος τη νομιμότητα αυτής της νομοθετικής επιλογής, ποιος θα αποφασίσει σχετικά). Το ερώτημα είναι, με βάση τα προαναφερόμενα, πόσο συνάδει αυτή η παρέμβαση και προσθήκη με τις πρόνοιες του Κανονισμού και της Οδηγίας.

Το άρθρο 5 του Νόμου, που επιφυλάσσεται υπέρ του άρθρου 6 § 1 (ε) του Κανονισμού (που όμως αναφέρεται στον υπεύθυνο επεξεργασίας), προβλέπει ότι (η υπογράμμιση δική μου):

«Η επεξεργασία προσωπικών δεδομένων επιτρέπεται και είναι νόμιμη όταν διενεργείται:

(α) Από τα δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας για σκοπούς απονομής της δικαιοσύνης, περιλαμβανομένης της επεξεργασίας προσωπικών δεδομένων που είναι αναγκαία για το σκοπό δημοσίευσης ή έκδοσης απόφασης οποιουδήποτε δικαστηρίου,

 

…»

Πιθανόν η σκέψη να ήταν, ακριβώς, ότι η ανωνυμοποίηση (με σκοπό τη δημοσίευση ή έκδοση) συνιστά πράξη επεξεργασίας προσωπικών δεδομένων, και ότι θα πρέπει να έχει βάση νομιμοποίησης, και ήρθε ο Νόμος να επεκτείνει, ουσιαστικά (όπως γίνεται αντιληπτό), τις βάσεις νομιμοποίησης του Κανονισμού του άρθρου 6, με αναφορά στο στοιχείο (ε) που εκείνο επιφυλάσσεται υπέρ του εθνικού νόμου, ανάγοντας, ουσιαστικά, οποιαδήποτε πράξη επεξεργασίας (χωρίς ειδική αναφορά) γίνεται για σκοπούς δημοσίευσης (ή έκδοσης) απόφασης (άρα εμμέσως και την ίδια τη «δημοσίευση» της δικαστικής απόφασης και την «έκδοση», χωρίς οποιαδήποτε περαιτέρω προσδιοριστική αναφορά) οποιουδήποτε δικαστηρίου, αδιάφορα εάν γίνεται έξω από το πλαίσιο της δικαιοδοτικής αρμοδιότητας, σε επεξεργασία που είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας (που είναι ποιος, εάν όχι το Ανώτατο Δικαστήριο; ).

Η επιφύλαξη του στοιχείου (ε) υπέρ του εθνικού δικαίου, προσεγγίζεται περαιτέρω ρυθμιστικά από την παράγραφο 2 του άρθρου 6 του Κανονισμού που ορίζει ότι τα κράτη μέλη μπορούν να διατηρούν ή να θεσπίζουν πιο ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του Κανονισμού όσον αφορά την επεξεργασία, καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα μέτρα, προς εξασφάλιση σύννομης και θεμιτής επεξεργασίας, μεταξύ άλλων για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ.

Με το άρθρο 5 του Νόμου δεν έχουν καθοριστεί ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία κα άλλα μέτρα προς εξασφάλιση της σύννομης και θεμιτής επεξεργασίας, αλλά δημιουργήθηκε, απλά, μια πιο διευρυμένη βάση νομιμότητας οποιασδήποτε επεξεργασίας εκτός δικαιοδοτικού πλαισίου για σκοπούς δημοσίευσης (όποιας δημοσίευσης) και έκδοσης. Αυτό είναι το κάπως ανησυχητικό. Ομοίως πράττει το άρθρο 6 του Νόμου, όσον αφορά τα «ευαίσθητα» (ή ειδικών κατηγοριών) προσωπικά δεδομένα του άρθρου 9 του Κανονισμού, όπου η εξαίρεση στον απαγορευτικό κανόνα αναφέρεται ρητά και μόνον σε άσκηση δικαιοδοτικής αρμοδιότητας, και επεκτείνεται η βάση νομιμοποίησης με τον Νόμο σε οποιαδήποτε πράξη επεξεργασίας αυτών των δεδομένων για σκοπούς δημοσίευσης (αφήνοντας εμμέσως να νοηθεί ότι είναι νόμιμη και αυτή η όποια δημοσίευση, που συνιστά, επίσης, πράξη επεξεργασίας).

Η παράγραφος 3 του άρθρου 6 του Κανονισμού εξειδικεύει ότι η βάση για την επεξεργασία που αναφέρεται στο στοιχείο (ε) ορίζεται σύμφωνα με το δίκαιο της Ε.Ε. ή το δίκαιο του κράτους  μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Πού προβλέπεται, λοιπόν, στο Κυπριακό δίκαιο, που διέπει τον υπό αναφορά υπεύθυνο επεξεργασίας, το καθήκον / δημόσια εξουσία του σε σχέση με οποιαδήποτε πράξη επεξεργασίας για σκοπούς της όποιας δημοσίευσης ή έκδοσης; Η δημοσίευση των αποφάσεων του Ανωτάτου (Συνταγματικού) Δικαστηρίου στην Επίσημη Εφημερίδα της Δημοκρατίας (όχι αλλού), κατά τα άρθρα 137, 138, 139, 142 και 143 του Συντάγματος, προβλέπεται, από το άρθρο 47 του Συντάγματος, ως θέμα εμπίπτον στις εξουσίες της εκτελεστικής εξουσίας που ασκείται από τον Πρόεδρο της Δημοκρατίας (από κοινού με τον Αντιπρόεδρο – δεν εφαρμόζεται). Η δημόσια έκδοση ή απαγγελία των δικαστικών αποφάσεων (μεμονωμένη) που κατοχυρώνει το άρθρο 30 του Συντάγματος, δεν ταυτίζεται με τη δυνατότητα του Ανωτάτου Δικαστηρίου να δημοσιοποιεί στο διαδίκτυο δικαστικές αποφάσεις. Η ισχύς, ως βάσης δικαίου, του κοινού δικαίου (νομολογίας), που βρίσκει πάντως εγχώρια νομική βάση, αφενός δεν βρίσκει τέτοια νομική βάση που ρυθμίζει τις εξουσίες ή καθήκοντα του υπεύθυνου επεξεργασίας, αφετέρου, ακόμα κι αν ερμηνευτικά θεωρηθεί τέτοια, δεν έχει την έννοια του καθήκοντος πληροφόρησης του κοινού, αλλά την άντληση νομιμοποιητικών βάσεων εκ της νομολογίας για σκοπούς άσκησης δικαιοδοτικής λειτουργίας, συνηθέστερα τεκμηρίωσης, επομένως τίθενται ζητήματα όσον αφορά την αναγκαιότητα (βλ. αναφορά σε απαραίτητη επεξεργασία) μα και τις γενικές αρχές της επεξεργασίας.

Ορίζει, η παράγραφος 3 του άρθρου 6 του Κανονισμού, ότι ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στο στοιχείο (ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ε.Ε. ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.

Το Κεφάλαιο ΙΧ του Κανονισμού είναι σημαντικό, στην προκειμένη περίπτωση το άρθρο 85 § 1, που θεσπίζει υποχρέωση των κρατών μελών, διά νόμου, να συμβιβάζουν το δικαίωμα στην προστασία των προσωπικών δεδομένων, μεταξύ άλλων, με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης (βλ. συναφώς το άρθρο 29 § 1 του Νόμου). Τέτοια προσαρμογή θα μπορούσε να νοείται και η πρόσβαση του κοινού στη δικαστική πληροφορία, αλλά η συγκεκριμένη (δια νόμου) ρύθμιση δεν περιέχει όλες τις απαραίτητες εξειδικεύσεις και λεπτομέρειες όσον αφορά τη συγκεκριμένη επεξεργασία (δημοσίευση και ανωνυμοποίηση για σκοπούς δημοσίευσης) από τον υπεύθυνο επεξεργασίας (και όχι μεμονωμένα τον δημοσιογράφο) ώστε να μπορεί να τύχει παραδοχής ότι στάθμισε το δικαίωμα του κοινού να έχει πρόσβαση στη δικαστική πληροφορία ή και στη νομολογιακή έρευνα, αλλά και ότι τούτο συνιστά δημόσιο καθήκον ή δημόσια εξουσία του υπεύθυνου επεξεργασίας με βάση συγκεκριμένο νόμο. Ακόμα κι αν ένας διαδικαστικός κανονισμός (ή άλλη πράξη με ισχύ «νόμου») να εκδίδονταν που να προέβλεπε και το καθήκον ή δημόσια εξουσία του υπεύθυνου επεξεργασίας σχετικά, μα και όλες τις προσδιοριστικές λεπτομέρειες που απαιτεί ο Κανονισμός, ο προβληματισμός θα παρέμενε σε μεγάλο βαθμό ανοιχτός, έναντι στη σκέψη, γιατί δεν αναζητείται άλλη νομιμοποιητική βάση για αυτή τη σειρά πράξεων επεξεργασίας που βαίνουν εκτός πλαισίου δικαιοδοτικής αρμοδιότητας.

Έπειτα, εάν ο σκοπός ήταν η ανωνυμοποίηση (βλ. Εγκύκλιος), είναι κατά νου ότι οι αρχές της προστασίας δεδομένων δεν εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε προσωπικά δεδομένα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο Κανονισμός δεν αφορά επεξεργασία τέτοιων ανώνυμων πληροφοριών (π.χ. περαιτέρω δημοσίευση), ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς. Επομένως, το ερώτημα παραμένει, προς τι η νομοθετική παρέμβαση για τη νομιμοποίηση κάθε πράξης επεξεργασίας με σκοπό τη δημοσίευση ή έκδοση, με αντάλλαγμα, ως αναφέρθηκε στην έκθεση της Κοινοβουλευτικής Επιτροπής την ανωνυμοποίηση και μάλιστα ως μέτρο προστασίας των προσωπικών δεδομένων;

Η ανωνυμοποίηση των δικαστικών αποφάσεων συνιστά μέσο για να καταστούν μη ταυτοποιήσιμοι οι φορείς των προσωπικών δεδομένων που περιέχονται στις δικαστικές αποφάσεις, κι αυτές, με τέτοια επεξεργασία, να μην υπόκεινται στις αρχές προστασίας των (ανύπαρκτων) προσωπικών δεδομένων. Ό,τι χρειάζεται είναι η διενέργεια σύννομων πράξεων επεξεργασίας μέχρι να καταστούν ανώνυμες οι δικαστικές πληροφορίες που περιέχονται στις δικαστικές αποφάσεις. Το επιμέρους πρόβλημα, όμως, είναι ότι, ακόμα κι αν η απανταχού αναφορά, στην έκθεση της Κοινοβουλευτικής Επιτροπής, στην Εγκύκλιο, κ.λπ., είναι σε ανωνυμοποίηση, εκ του περιεχομένου της Εγκυκλίου, όπως σχολιάστηκε ήδη, τέτοια μπορεί να μην επιτυγχάνεται, εάν διατηρείται το επώνυμο των διαδίκων, φυσικών προσώπων, στη μικροκοινωνία της Κύπρου, ή εάν υπάρχει δυνατότητα εύκολης ταυτοποίησης, ούτως ή άλλως, κ.λπ.

Η δουλειά που έπρεπε και πρέπει να γίνει είναι, πραγματικά, πολλή. Για το όλο πρόγραμμα, εξάλλου, με τίτλο «Judiciary and Personal Data» (έργο “Inform”), εργάζεται ομάδα άξιων επιστημόνων. Αυτό δημιουργεί μια αχτίδα αισιοδοξίας, ότι κάποια στιγμή θα διορθωθούν τόσο τα κακώς κείμενα όσο και τα κακά κείμενα.

Advertisements

Υποβολή σχολίου

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.