Οι νέες προβλέψεις για τη διαβίβαση προσωπικών δεδομένων
Τα προσωπικά δεδομένα μέσα από τα ζητήματα της διαβίβασής τους με βάση τη νέα οδηγία (2016/680)
Θεωρητική ανάλυση και παραδείγματα
Εισήγηση στη επιστημονική εκδήλωση της ΕΣΔΙ στις 27-9-2019
Επιμέλεια: ΛΑΜΠΡΟΣ Σ.ΤΣΟΓΚΑΣ
ΑΝΤΕΙΣΑΓΓΕΛΕΑΣ ΕΦΕΤΩΝ ΘΡΑΚΗΣ
=== Η πρώτη επισήμανση που πρέπει να γίνει μετά το νέο νομοθετικό τοπίο για τα προσωπικά δεδομένα είναι ότι ο Γενικός Κανονισµός δεν εφαρµόζεται για επεξεργασία δεδοµένων από αρµόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικηµάτων ή της εκτέλεσης ποινικών κυρώσεων και της προστασίας της δηµόσιας ασφάλειας. Εφαρµογή στις περιπτώσεις αυτές έχει η Οδηγία 2016/680. Η επεξεργασία των «ευαίσθητων» δεδοµένων προσωπικού χαρακτήρα στην Οδηγία υπόκειται σε αυστηρότερους περιορισµούς καθώς επιτρέπεται µόνο όταν είναι το απολύτως αναγκαίο μέσο µε την επιφύλαξη των σχετικών εγγυήσεων του υποκειµένου των δεδοµένων εφόσον βέβαια επιτρέπεται από το δίκαιο της Ένωσης ή των κρατών µελών, ή τούτο επιβάλλεται για την προστασία σοβαρών συµφερόντων του υποκειµένου των δεδοµένων , ή η επεξεργασία αυτή αφορά πληροφορίες ήδη δηµοσιοευθείσες από το υποκείµενο των δεδοµένων.
===Η εν λόγω οδηγία δεν επιδρά στο πλαίσιο της πρόσβασης του κοινού στα έγγραφα. Σύμφωνα με το κανονισμό ΕΕ 2016/679 τα δεδομένα προσωπικού χαρακτήρα που είναι ενσωματωμένα σε επίσημα έγγραφα που βρίσκονται σε αρχεία δημόσιας υπηρεσίας ή κάποιου ιδιωτικού φορέα και συνδέονται με την εκτέλεση δημοσίου συμφέροντος μπορούν να διαβιβάζονται με βάση το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκεινται η δημόσια αρχή και ο ιδιωτικός φορέας, ώστε να διασφαλίζεται η ισορροπία της πρόσβασης του κοινού στα έγγραφα με το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα.
===Ειδική μνεία όμως πρέπει να γίνει για τη χρήση των «cookies» από ιστοσελίδες στο μέτρο που οι δημόσιες αρχές επεξεργάζονται τις πληροφορίες αυτές πρέπει να αναφερθεί ότι η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνο αν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του μετά από σαφή και εκτενή ενημέρωση. Η συγκατάθεση του συνδρομητή ή χρήστη μπορεί να δίδεται μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής. Τα παραπάνω δεν εμποδίζουν την οποιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή η οποία είναι αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής». Ως εκ τούτου, καθίσταται σαφές ότι εφόσον η εγκατάσταση «cookie» στο τερματικό ενός χρήστη δεν είναι απολύτως απαραίτητη για την παροχή της υπηρεσίας την οποία ο ίδιος αιτείται, τότε επιτρέπεται η εγκατάσταση και χρήση του «cookie» μόνο υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας ενημερώνει τον χρήστη για την επεξεργασία που θα λάβει χώρα και εφόσον ο χρήστης δηλώσει σαφώς, ρητώς και ειδικώς ότι συγκατατίθεται στην εν λόγω επεξεργασία. Κατά συνέπεια οι δημόσιες αρχές που επεξεργάζονται τέτοιες πληροφορίες πρέπει να μεριμνούν ώστε η αξιοποίησή τους να μη συνδέεται με αθέμιτη αποθήκευση από τον υπεύθυνο επεξεργασίας τους, αφού κατά τα άρθρα 1,2 της οδηγίας (άρθρο. 43 του Ν.4624/2019) στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, οι δημόσιες αρχές θεωρούνται πάντοτε ως υπεύθυνοι επεξεργασίας
=== Η οδηγία δεν εμποδίζει τα κράτη μέλη να προσδιορίζουν με σαφήνεια πράξεις και διαδικασίες επεξεργασίας στους εθνικούς κανόνες περί ποινικών διαδικασιών όσον αφορά στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές, ιδίως όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που περιέχονται σε δικαστικές αποφάσεις ή σε αρχεία σχετικά με ποινικές διαδικασίες. Όλα τα κράτη μέλη συνδέονται με τον Διεθνή Οργανισμό Εγκληματολογικής Αστυνομίας (Interpol). Για την εκπλήρωση της αποστολής της, η Interpol λαμβάνει, αποθηκεύει και κυκλοφορεί δεδομένα προσωπικού χαρακτήρα, με σκοπό να παρέχει στις αρμόδιες αρχές συνδρομή κατά την πρόληψη και την καταπολέμηση της διεθνούς εγκληματικότητας. Ενδείκνυται, ως εκ τούτου, να ενισχυθεί η συνεργασία μεταξύ της Ένωσης και της Interpol μέσω της προαγωγής της αποτελεσματικής ανταλλαγής δεδομένων προσωπικού χαρακτήρα, με παράλληλη εξασφάλιση του σεβασμού των θεμελιωδών δικαιωμάτων και ελευθεριών που αφορούν την αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Όποτε διαβιβάζονται δεδομένα προσωπικού χαρακτήρα από την Ένωση προς την Ιντερπόλ, και προς χώρες που έχουν εντεταλμένα μέλη στην Interpol, θα πρέπει να εφαρμόζεται η παρούσα οδηγία, ιδίως οι διατάξεις σχετικά με τις διεθνείς διαβιβάσεις.
===Η οδηγία θα πρέπει να ισχύει με την επιφύλαξη των ειδικών κανόνων που καθορίζονται στην κοινή θέση 2005/69/ΔΕΥ του Συμβουλίου και στην απόφαση 2007/533/ΔΕΥ του Συμβουλίου. Στην τελευταία απόφαση προβλέπεται ότι οι καταχωρίσεις δεν μπορούν να διατηρηθούν στο SIS II για διάστημα μεγαλύτερο από το χρονικό διάστημα που απαιτείται για την επίτευξη του σκοπού για τον οποίο εισήχθησαν. Κατά κανόνα, οι καταχωρίσεις προσώπων πρέπει να απαλείφονται από το SIS II εντός τριετίας. Οι καταχωρίσεις για αντικείμενα οι οποίες έχουν εισαχθεί με σκοπό το διακριτικό έλεγχο ή τον ειδικό έλεγχο θα πρέπει να διαγράφονται αυτομάτως από το SIS II μετά την πάροδο πενταετίας. Οι καταχωρίσεις για αντικείμενα που έχουν εισαχθεί με σκοπό να κατασχεθούν ή να χρησιμοποιηθούν ως αποδεικτικό μέσο σε ποινική διαδικασία θα πρέπει να διαγράφονται αυτομάτως από το SIS II μετά την πάροδο δεκαετίας. Κάθε απόφαση για τη διατήρηση καταχωρίσεων προσώπων πρέπει να βασίζεται σε συνολική και κατ’ ιδίαν αξιολόγηση. Τα κράτη μέλη θα πρέπει να επανεξετάζουν τις καταχωρίσεις προσώπων εντός του καθορισμένου διαστήματος και να διατηρούν στατιστικά στοιχεία σχετικά με τον αριθμό των καταχωρίσεων προσώπων για τις οποίες έχει παραταθεί το διάστημα διατήρησης. Η παρούσα απόφαση σέβεται τα θεμελιώδη δικαιώματα και συνάδει με τις αρχές που αναγνωρίζονται ιδίως στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
===Ειδικά με την INTERPOL αναφέρεται ότι στην υπόθεση C 509/2019 Γερμανικού Δικαστηρίου με ερωτήματα προς το ΔΕΕ τονίζεται ότι το άρθρο 36 της οδηγίας (ΕΕ) 2016/680 και το άρθρο 37 της οδηγίας (ΕΕ) 2016/680 ρυθμίζουν μόνο την περίπτωση διαβίβασης δεδομένων στην Interpol. Η αντίστροφη περίπτωση διαβίβασης δεδομένων από την Interpol στα κράτη μέλη δεν ρυθμίζεται από την οδηγία (ΕΕ) 2016/680. Επομένως, η οδηγία (ΕΕ) 2016/680 περιέχει ένα κενό που πρέπει να αντιμετωπιστεί. Αν η Interpol, παρά την απαγόρευση διπλού κινδύνου, δεν απέχει από τη διαβίβαση των στοιχείων της κόκκινης ειδοποίησης σε όλα τα κράτη μέλη και δεν διασφαλίζει ότι τα δεδομένα διαγράφονται χωρίς καθυστέρηση, το αιτούν δικαστήριο έχει σοβαρές αμφιβολίες ως προς την αξιοπιστία βάσει της προστασίας δεδομένων της διεθνούς οργάνωσης «Interpol».
===Στο χώρο της ΕΕ λειτουργούν συστήματα πληροφοριών όπως:
το Σύστημα Πληροφοριών Σένγκεν (SIS) με ευρύ φάσμα καταχωρίσεων σχετικά με πρόσωπα (απαγόρευση εισόδου ή παραμονής, ευρωπαϊκό ένταλμα σύλληψης, αγνοούμενοι, αρωγή σε δικαστική διαδικασία, διακριτικοί και ειδικοί έλεγχοι) και αντικείμενα (συμπεριλαμβανομένων των απολεσθέντων, των κλεμμένων και των ακυρωθέντων εγγράφων ταυτότητας ή ταξιδιωτικών εγγράφων) , το σύστημα Eurodac με τα δακτυλοσκοπικά δεδομένα αιτούντων άσυλο και υπηκόων τρίτων χωρών που έχουν διέλθει παράτυπα τα εξωτερικά σύνορα ή διαμένουν παράνομα σε κράτος μέλος και το Σύστημα Πληροφοριών για τις Θεωρήσεις (VIS) με δεδομένα για τις θεωρήσεις βραχείας διαμονής.
===Σύμφωνα με τις κατευθυντήριες γραμμές στο προϊμιο της οδηγίας (σημ.26) κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη, θεμιτή και διαφανής σε σχέση με τα φυσικά πρόσωπα τα οποία αφορά και να πραγματοποιείται μόνο για συγκεκριμένους σκοπούς που προβλέπονται από το νόμο. Η αρχή για την Προστασία των Δεδομένων καθεαυτή δεν εμποδίζει τις αρχές επιβολής του νόμου να ασκούν δραστηριότητες όπως οι μυστικές έρευνες ή η βιντεοεπιτήρηση. Τέτοιες δραστηριότητες μπορούν να ασκούνται για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, εφόσον ορίζονται από τον νόμο και συνιστούν απαραίτητο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, με δέουσα συνεκτίμηση των έννομων συμφερόντων του ενδιαφερομένου.
===Η αρχή όμως της θεμιτής επεξεργασίας για την προστασία των δεδομένων είναι ξεχωριστή έννοια που απορρέει από το δικαίωμα σε δίκαιη δίκη όπως ορίζεται στο άρθρο 47 του Χάρτη και στο άρθρο 6 της Ευρωπαϊκής σύμβασης για την προστασία των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών (ΕΣΔΑ). Θα πρέπει να γνωστοποιούνται στα πρόσωπα οι κίνδυνοι, οι κανόνες, οι εγγυήσεις και τα δικαιώματα σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, καθώς και ο τρόπος άσκησης των δικαιωμάτων τους σε σχέση με την επεξεργασία αυτή. Για το θέμα όμως της προβλεψιμότητας της επεξεργασίας προσωπικών πληροφοριών όπως οι παρακολουθήσεις των τηλεφωνικών συνομιλιών των υπόπτων στην περίπτωση αστυνομικής έρευνας το ΕΔΔΑ στην υπόθεση Zakharov v. Russia Application No. 47143/06 έκρινε ότι οι αρχές του κράτους μέλους δεν έχουν υποχρέωση ενημέρωσης του υπόπτου, αφού έτσι τούτος θα προσάρμοζε τη συμπεριφορά του ανάλογα. Όταν όμως γίνεται επεξεργασία σε βάρος του προσωπικών δεδομένων και διαβίβασής τους για να του αποδοθεί κατηγορία πρέπει να τηρηθεί η αρχή της θεμιτής επεξεργασίας με τα προαναφερθέντα χαρακτηριστικά της.
===Στο άρθρο 32 Ν.4624/2019 αναφέρεται ότι:
- Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 14 του ΓΚΠΔ δεν υφίσταται, όταν η παροχή των πληροφοριών:
α) στην περίπτωση δημόσιων φορέων:
αα) θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας, με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, ή
ββ) θα έθετε σε κίνδυνο την εθνική ασφάλεια ή τη δημόσια ασφάλεια·
και συνεπώς, το συμφέρον του υποκειμένου των δεδομένων για τη χορήγηση των πληροφοριών υποχωρεί,
β) στην περίπτωση ιδιωτικών φορέων:
αα) θα έβλαπτε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή η επεξεργασία περιλαμβάνει δεδομένα Προσωπικού Χαρακτήρα από συμβάσεις που έχουν καταρτιστεί κατά το ιδιωτικό δίκαιο και αποσκοπεί στην πρόληψη ζημιών από την τέλεση ποινικών αδικημάτων, εκτός εάν το υποκείμενο των δεδομένων έχει υπέρτερο έννομο συμφέρον για την παροχή πληροφοριών· ή
ββ) ο αρμόδιος δημόσιος φορέας έχει προσδιορίσει στον υπεύθυνο επεξεργασίας, ότι η δημοσιοποίηση των δεδομένων θα έθετε σε κίνδυνο την εθνική άμυνα, την εθνική ασφάλεια και τη δημόσια ασφάλεια, στην περίπτωση της επεξεργασίας δεδομένων για σκοπούς επιβολής του νόμου, δεν απαιτείται προσδιορισμός σύμφωνα με το πρώτο εδάφιο. Το δε άρθρο 14 ΓΚΠΔ ορίζει ότι: - Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες: α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας, β) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, δ) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως, στ) κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής.
- Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων: α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα, β) εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο, γ) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, δ) όταν η επεξεργασία βασίζεται στην ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, ε) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή, στ) την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό, ζ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ.
===Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς εντός του πεδίου εφαρμογής της παρούσας οδηγίας και δεν θα πρέπει να υποβάλλονται σε επεξεργασία για σκοπούς μη συμβατούς με τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Εάν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία από τον ίδιο ή άλλον υπεύθυνο επεξεργασίας εντός του πεδίου εφαρμογής της παρούσας οδηγίας, εκτός από αυτόν για τον οποίο έχουν συλλεγεί, η εν λόγω επεξεργασία θα πρέπει να είναι δυνατή υπό την προϋπόθεση ότι η εν λόγω επεξεργασία επιτρέπεται και είναι αναγκαία και ανάλογη προς τον σκοπό αυτόν (σχετ.η σημείωση 29 στο προϊμιο της οδηγίας).
=== Σε περίπτωση διαβίβασης δεδομένων προσωπικού χαρακτήρα από κράτος μέλος σε τρίτες χώρες ή διεθνείς οργανισμούς, η εν λόγω διαβίβαση θα πρέπει να γίνεται, καταρχήν, μόνον έπειτα από προηγούμενη έγκριση του κράτους μέλους από το οποίο παρελήφθησαν τα δεδομένα. Προς το συμφέρον της συνεργασίας για την αποτελεσματική επιβολή του νόμου, όταν η φύση της απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας ή για τα ουσιώδη συμφέροντα κράτους μέλους είναι τόσο άμεση ώστε να είναι αδύνατο να ληφθεί η προηγούμενη έγκρισηεγκαίρως, η αρμόδια αρχή θα πρέπει να έχει τη δυνατότητα να διαβιβάσει τα σχετικά δεδομένα προσωπικού χαρακτήρα στη σχετική τρίτη χώρα ή διεθνή οργανισμό χωρίς την εν λόγω προηγούμενη έγκριση. Τα κράτη μέλη θα πρέπει να προβλέπουν ότι οι τυχόν ειδικοί όροι που αφορούν στη διαβίβαση θα πρέπει να γνωστοποιούνται στις τρίτες χώρες ή τους διεθνείς οργανισμούς. Οι περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα θα πρέπει να υπόκεινται στην εκ των προτέρων έγκριση από την αρμόδια αρχή που πραγματοποίησε την αρχική διαβίβαση. Κατά τη λήψη απόφασης σχετικά με αίτημα έγκρισης περαιτέρω διαβίβασης, η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση θα πρέπει να λάβει δεόντως υπόψη όλους τους σχετικούς παράγοντες, μεταξύ άλλων τη σοβαρότητα του ποινικού αδικήματος, τους ειδικούς όρους που αφορούν τη διαβίβαση και τον σκοπό για τον οποίο διαβιβάστηκαν αρχικά τα δεδομένα, τη φύση και τους όρους εκτέλεσης της ποινικής κύρωσης και το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα ή τον διεθνή οργανισμό στους οποίους διαβιβάζονται περαιτέρω δεδομένα προσωπικού χαρακτήρα. Η αρμόδια αρχή που διενήργησε την αρχική διαβίβαση θα πρέπει επίσης να μπορεί να εξαρτήσει την περαιτέρω διαβίβαση από ειδικούς όρους. Οι εν λόγω ειδικοί όροι μπορούν να περιγράφονται, π.χ. στους κωδικούς διαχείρισης. Σχετικές είναι οι επισημάνσεις στη σημείωση 65 του προϊμίου της οδηγίας.
===Επειδή στην επεξεργασία των προσωπικών πρέπει να εφαρμόζεται η αρχή της ακρίβειας, στις δικαστικές διαδικασίες πρέπει να λαμβάνεται υπόψη ότι συχνά γίνονται δηλώσεις, οι οποίες περιέχουν δεδομένα προσωπικού χαρακτήρα βασίζονται στην υποκειμενική αντίληψη φυσικών προσώπων και δεν είναι πάντα επαληθεύσιμες. Ως εκ τούτου, η απαίτηση της ακρίβειας δε θα πρέπει να αφορά στην ορθότητα της δήλωσης, αλλά απλώς στο γεγονός ότι πραγματοποιήθηκε μια συγκεκριμένη δήλωση για ένα προσωπικό δεδομένο.
===Σε διεθνές επίπεδο αξίζει να αναφερθεί ότι Η Ευρωπαϊκή Ένωση και ο Καναδάς διαπραγματεύθηκαν συμφωνία σχετικά με τη διαβίβαση και την επεξεργασία των δεδομένων που προέρχονται από τις καταστάσεις με τα ονόματα των επιβατών (συμφωνία PNR), η οποία υπεγράφη το 2014. Δεδομένου ότι το Συμβούλιο της Ευρωπαϊκής Ένωσης είχε ζητήσει από το Ευρωπαϊκό Κοινοβούλιο να την εγκρίνει, το δεύτερο αυτό θεσμικό όργανο αποφάσισε να υποβάλει στο Δικαστήριο της ΕΕ αίτηση γνωμοδότηση όσον αφορά το αν η σχεδιαζόμενη συμφωνία ήταν σύμφωνη με το δίκαιο της Ένωσης, ειδικότερα δε με τις διατάξεις περί σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα. Επισημαίνεται ότι για πρώτη φορά το Δικαστήριο έπρεπε να αποφανθεί αν σχέδιο διεθνούς συμφωνίας είναι συμβατό με τον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ.
Το Δικαστήριο στην υπόθεση C-1/2015 γνωμοδότησε ότι η συμφωνία, μεταξύ της Ευρωπαϊκής Ένωσης καιτου Καναδά, σχετικά με τη διαβίβαση δεδομένων που προέρχονται από τις καταστάσεις με τα ονόματα των επιβατών, δεν μπορεί να συναφθεί υπό την παρούσα μορφή της.
Το Δικαστήριο τόνισε επίσης ότι και άλλες διατάξεις της σχεδιαζομένης συμφωνίας δεν είναι συμβατές με τα θεμελιώδη δικαιώματα, εκτός και αν η συμφωνία τροποποιηθεί προκειμένου να καθορίζει με πληρέστερο και ακριβέστερο τρόπο τις επεμβάσεις στα δικαιώματα. Κατά συνέπεια, το Δικαστήριο εκτιμά ότι η συμφωνία θα πρέπει:
– να καθορίζει με πιο σαφή και ακριβή τρόπο ορισμένα από τα δεδομένα PNR που πρόκειται να διαβιβάζονται
– να προβλέπει ότι τα πρότυπα και κριτήρια που θα χρησιμοποιούνται στο πλαίσιο της αυτοματοποιημένης επεξεργασίας των δεδομένων PNR θα είναι ειδικά και αξιόπιστα και ότι δεν θα ενέχουν διακρίσεις
– να προβλέπει ότι οι χρησιμοποιούμενες βάσεις δεδομένων θα περιορίζονται σε εκείνες των οποίων κάνει χρήση ο Καναδάς σχετικά με την καταπολέμηση της τρομοκρατίας και των σοβαρών μορφών διεθνικού εγκλήματος·
– να προβλέπει ότι η κοινοποίηση των δεδομένων PNR από τις καναδικές αρχές στις δημόσιες αρχές χώρας εκτός ΕΕ επιτρέπεται μόνον εφόσον υφίσταται συμφωνία μεταξύ της Ένωσης και της χώρας αυτής ισοδύναμη της σχεδιαζομένης συμφωνίας ή σχετική απόφαση της Ευρωπαϊκής Επιτροπής·
– να προβλέπει δικαίωμα ατομικής ενημερώσεως των επιβατών πτήσεων σε περίπτωση χρήσεως των δεδομένων PNR τα οποία τους αφορούν κατά τη διάρκεια της παραμονής τους στον Καναδά και κατόπιν της αναχωρήσεώς τους από τη χώρα αυτή, καθώς και σε περίπτωση δημοσιοποιήσεως των δεδομένων αυτών σε άλλες αρχές ή σε ιδιώτες·
– να διασφαλίζει ότι η εποπτεία των κανόνων σχετικά με την προστασία των επιβατών πτήσεων έναντι της επεξεργασίας των δεδομένων τους PNR θα ασκείται από ανεξάρτητη ελεγκτική αρχή.
Δεδομένου ότι οι επεμβάσεις στα δικαιώματα τις οποίες συνεπάγεται η σχεδιαζόμενη συμφωνία δεν περιορίζονται όλες στο απολύτως αναγκαίο και δεν δικαιολογούνται πλήρως, το Δικαστήριο αποφαίνεται ότι η σχεδιαζόμενη συμφωνία δεν μπορεί να συναφθεί υπό την παρούσα μορφή της. Τέλος, επισημαίνεται ότι το Κοινοβούλιο υπέβαλε επίσης το ερώτημα αν η σχεδιαζόμενη συμφωνία πρέπει να έχει ως νομική βάση τα άρθρα 82 και 87 ΣΛΕΕ (δικαστική συνεργασία επί ποινικών υποθέσεων και αστυνομική συνεργασία) ή το άρθρο 16 ΣΛΕΕ (προστασία των δεδομένων προσωπικού χαρακτήρα). Το Δικαστήριο έδωσε την απάντηση ότι η συμφωνία πρέπει να συναφθεί με νομική βάση τόσο το άρθρο 16 όσο και το άρθρο 87 ΣΛΕΕ. Η σχεδιαζόμενη συμφωνία επιδιώκει την επίτευξη δύο σκοπών άρρηκτα συνδεδεμένων μεταξύ τους και ίσης σπουδαιότητας, δηλαδή, αφενός, της καταπολεμήσεως της τρομοκρατίας και του σοβαρού διεθνικού εγκλήματος – σκοπός που προκύπτει από το άρθρο 87 ΣΛΕΕ – και, αφετέρου, της προστασίας των δεδομένων προσωπικού χαρακτήρα – σκοπός που προκύπτει από το άρθρο 16 ΣΛΕ.
===Σχετικά με την επεξεργασία προσωπικών δεδομένων, την αποθήκευσή τους, τη διαβίβασή τους και τελικά αξιοποίησή τους από τις δημόσιες αρχές είναι αξιοσημείωτο το συμβάν που απασχόλησε το ΔΕΕ στην υποθ. C-484/2014. Στα πλαίσια της σχετικής διαφοράς το Δικαστήριο έκρινε ότι ο επιτηδευματίας που προσφέρει στο κοινό δωρεάν πρόσβαση σε δίκτυο Wi-Fi δεν υπέχει ευθύνη για προσβολή δικαιώματος του δημιουργού στην οποία προέβησαν οι χρήστες του δικτύου. Επισήμανε ωστόσο ότι ο επιτηδευματίας μπορεί να υποχρεωθεί από τα εθνικά δικαστήρια (και κατ’ επέκταση από τους δικαιούχους των δικαιωμάτων πνευματικής ιδιοκτησίας) να προστατεύσει το δίκτυό του με χρήση κωδικού ώστε να θέσει τέρμα στην προσβολή ή προς πρόληψή της.
===Σε ό,τι αφορά τους δημόσιους φορείς πρέπει να γίνει σαφές ότι στο άρθρο 24παρ.1 Ν.4624/2019 προβλέπεται ότι 1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι:
α) απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες·
β) αναγκαία για την αποτροπή κινδύνων για την εθνική ασφάλεια, εθνική άμυνα ή δημόσια ασφάλεια ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων·
γ) αναγκαία για τη δίωξη ποινικών αδικημάτων·
δ) αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου·
ε) απαραίτητη για την παραγωγή των επίσημων στατιστικών.
===Κατά την παράγραφο 2 άρθρου 26 Ν. 4624/2019 οι δημόσιοι φορείς επιτρέπεται να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα σε ιδιωτικούς φορείς εφόσον:
α) η διαβίβαση είναι απαραίτητη για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει και πληρούνται περαιτέρω και οι προϋποθέσεις του άρθρου 24·
β) ο τρίτος στον οποίο διαβιβάζονται έχει έννομο συμφέρον να είναι σε γνώση της διαβίβασης και το υποκείμενο των δεδομένων δεν έχει έννομο συμφέρον να μην διαβιβασθούν τα δεδομένα που το αφορούν· ή
γ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και ο τρίτος δεσμεύθηκε έναντι του δημόσιου φορέα που του διαβίβασε τα δεδομένα ότι θα τα επεξεργαστεί μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται, εάν επιτρέπεται η διαβίβαση σύμφωνα με την παράγραφο 1 και ο φορέας διαβίβασης έχει παράσχει τη συγκατάθεσή του για τη διαβίβαση.
Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το ενωσιακό ή άλλο δίκαιο δεν θεωρούνται ως αποδέκτες η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας. (Παράδειγμα: ΦΕΚ B 2243 – 10.06.2019 περί καθορισμού των στοιχείων που διαβιβάζονται στις αρμόδιες Ελεγκτικές Υπηρεσίες Τελωνείων (ΕΛ.Υ.Τ.), καθώς και η συχνότητα και ο τρόπος διαβίβασής τους, στο πλαίσιο επιβολής Ειδικού Φόρου Κατανάλωσης (Ε.Φ.Κ.) στο φυσικό αέριο.
===Έννοιες: «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες.
– «Τρίτος»: οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα>>.