Αρχική Αναδυόμενες τεχνολογίες πληροφορικής και επικοινωνιών, ενίσχυση της ψηφιακής διακυβέρνησης και άλλες διατάξειςΚΕΦΑΛΑΙΟ Β’ ΡΥΘΜΙΣΕΙΣ ΓΙΑ ΤΗΝ ΑΝΑΠΤΥΞΗ ΤΗΣ ΤΕΧΝΗΤΗΣ ΝΟΗΜΟΣΥΝΗΣ Άρθρο 3 ΟρισμοίΣχόλιο του χρήστη Σπυριδούλα Καρύδα | 6 Ιουλίου 2022, 12:24
Κάποιες τελευταίες παρατηρήσεις. Η ρύθμιση κρίνεται ως πρόχειρη και ατεκμηρίωτη και εκφράζω την ανησυχία μου για τα προβλήματα που θα δημιουργήσει στην εφαρμογή του το ΣχΝ και τα όποια ήδη με λύπη μου εντοπίζω. Ρυθμίζονται θεμελιώδη δικαιώματα, θεσπίζεται στη χώρα μας για πρώτη φορά τομεακό δίκαιο προστασίας δεδομένων προσωπικού χαρακτήρα, όσον αφορά τη χρήση αλγόριθμου ακόμη και σε δικαστήρια αλλά και σε εργαζόμενους και αγνοείται ο ΓΚΠΔ και η Αστυνομική Οδηγία ( ν. 4624/2019). Πρέπει όμως να πείτε καθαρά τι θέλετε να ρυθμίσετε! Δεν γίνεται χρήση του όρου «δεδομένα προσωπικού χαρακτήρα» ούτε μία φορά στα 10 αυτά άρθρα! Δεν κάνετε παραπομπή σε εθνικό ή ενωσιακό δίκαιο ( ΓΚΠΔ, ν.4624/2019).Η ορολογία που χρησιμοποιείται σε όλα τα άρθρα είναι εκτός ενωσιακής και εθνικής νομοθεσίας περί δεδομένων προσωπικού χαρακτήρα με αποτέλεσμα από το υποκείμενο των δεδομένων να μην γίνεται αντιληπτό ότι επιχειρείται ρύθμιση που αφορά σε δεδομένα προσωπικού χαρακτήρα και μάλιστα του άρθρου 22 ΓΚΠΔ περί αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένου του profiling. Ας γίνει επιτέλους αντιληπτή η σοβαρότητα του ζητήματος! Εκτιμώ ότι θα ήταν απολύτως εποικοδομητικό πριν από την ψήφισή του, αν δεν το έχετε ήδη πράξει, να ζητήσετε την γνώμη αρμόδιων θεσμικών φορέων, όπως είναι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (θαρρώ θα σας είχε επισημάνει την απόφασή της για εκτίμηση αντικτύπου), η οποία θα σας δώσει τις απαραίτητες κατευθύνσεις, και αν η επιχειρούμενη ρύθμιση καταλαμβάνει και δικαστήρια, και των Ολομελειών των Ανωτάτων Δικαστηρίων της χώρας ( ΣτΕ, ΑΠ και ΕλΣυν), κατά το λόγο αρμοδιότητάς τους. Κάποιες ακόμη τελευταίες παρατηρήσεις: Η υποχρέωση για τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) προβλέπεται στο άρθρο 35 παρ. 1 του ΓΚΠΔ. Η ΕΑΠΔ διενεργείται από τον υπεύθυνο επεξεργασίας όταν οι πράξεις επεξεργασίας ενδέχεται να επιφέρουν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ιδίως με τη χρήση νέων τεχνολογιών και συνεκτιμώντας το φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ενδεικτικά είδη πράξεων επεξεργασίας οι οποίες ενέχουν υψηλό κίνδυνο παρατίθενται στο άρθρο 35 παρ. 3 του ΓΚΠΔ (βλ. αιτ. 91 του ΓΚΠΔ). Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή) έχει καταρτίσει, βάσει του άρθρου 35 παρ. 4 του ΓΚΠΔ, σχέδιο καταλόγου με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια ΕΑΠΔ. Πριν την έκδοση του εν λόγω καταλόγου ΕΑΠΔ, η Αρχή εφάρμοσε, κατά τα προβλεπόμενα στο άρθρο 35 παρ. 6, το μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63 ανακοινώνοντας το σχέδιο καταλόγου στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Η Αρχή, με την με αριθμό 65/2018 (Β΄1622/10.5.2019) Απόφασή της, αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ, την τροποποίηση του καταλόγου ΕΑΠΔ βάσει των συστάσεων της γνώμης 7/2018 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ. Με το άρθρο 5 επιβάλλεται καθολική υποχρέωση σε όλους τους δημόσιους φορείς να διενεργούν αλγοριθμική εκτίμηση αντικτύπου, χωρίς παραπομπή στην 65/2018 απόφαση της Αρχής ή στον ΓΚΠΔ και με απουσία οποιαδήποτε κρίσης περί διαβάθμισης του κινδύνου. Έχει γίνει αντιληπτό από τους συντάκτες του ΣχΝ το δημοσιονομικό κόστος της προτεινόμενης ρύθμισης? Από ποιους φορείς θα διενεργείται η εκτίμηση αντικτύπου? Οι ίδιες οι δημόσιες υπηρεσίες διαθέτουν την τεχνική ικανότητα να εκπονήσουν αυτόνομα και με ίδια μέσα «αλγοριθμική εκτίμηση αντικτύπου» ή θα αναθέτουν την εν λόγω υποχρέωση σε εξωτερικούς συνεργάτες κλ.π.. Πως θα τηρείται η εμπιστευτικότητα προκειμένου για απόρρητες πληροφορίες? Και ποιος ο λόγος για την επιβολή αυτής της καθολικής υποχρέωσης, χωρίς διαβάθμιση κινδύνου? Το ελληνικό δημόσιο λειτουργεί εντός αυστηρού πλαισίου αρμοδιοτήτων και με γνώμονα την αρχή της νομιμότητας. Με την ασάφεια δε των προτεινόμενων ορισμών υπάρχει ο κίνδυνος για οποιαδήποτε επεξεργασία η οποία περιλαμβάνει χρήση λογισμικού οι φορείς του ελληνικού δημοσίου να εκπονούν αλγοριθμική εκτίμηση αντικτύπου. Αυτός είναι εξάλλου ένας φόβος ο οποίος έχει ήδη εκφρασθεί από ΚΜ και για αυτό και οι τόσες συζητήσεις για τον ορισμό! Ως προς τα άρθρα 7, 9 και 10 του ΣχΝ με τα οποία επιβάλλονται υποχρεώσεις σε ιδιωτικούς φορείς έχει προηγηθεί διαβούλευση με αυτούς? Από την έκθεση συνεπειών ρύθμισης είδα πως έχει προηγηθεί διαβούλευση μόνο με συναρμόδια Υπουργεία? Επανέρχομαι και πάλι στα ζητήματα σύγκρουσης του δικαιώματος ενημέρωσης με ζητήματα εμπορικού και βιομηχανικού απορρήτου ( trade secrets). Το άρθρο 7 είναι ασαφές και σε ορισμένα σημεία ακατανόητο! Το Ελληνικό Δημόσιο θα έχει πλήρη πρόσβαση στο λογισμικό? Και αν αυτή είναι η βούληση, ποια εταιρεία θα το αποδεχθεί? Και αν το αποδεχθεί, που θα φτάσει και πάλι το δημοσιονομικό κόστος? Θα το αγοράσουμε το πρόγραμμα? Τεχνικός δεν είμαι…αλλά η ρύθμιση μου φαίνεται εκεί κατατείνει…ας μιλήσουν άλλοι για αυτό… ή έστω ας αφήσουμε τον ενωσιακό νομοθέτη και το ΔΕΕ να μας δώσει κατευθύνσεις. Περαιτέρω, τι σημαίνει «σχετίζεται»? Άστοχη ορολογία για δημόσιες συμβάσεις. Οι όροι που τίθενται με το άρθρο 7 σε αναδόχους συστημάτων τεχνητής νοημοσύνης είναι συμβατοί με την εθνική και ενωσιακή νομοθεσία περί «δημοσίων συμβάσεων»? Και τι τύχη μπορεί να έχουν αυτοί οι όροι μετά την υιοθέτηση του νέου Κανονισμού? Τέλος, να διευκρινισθεί η νομική βάση για το επιτρεπτό του profiling σε εργαζόμενους και τα τεχνικά-οργανωτικά μέτρα. Το δικαίωμα ενημέρωσης με τη χρήση της λέξης «κατ’ελάχιστον» καλύπτει μόνο τις παραμέτρους και όχι και τα υπόλοιπα και συνακόλουθα το δικαίωμα ενημέρωσης κρίνεται συνολικά ανεπαρκές. Η διάταξη είναι προβληματική και χρήζει εξειδίκευσης. Δεν έχω άλλο χρόνο, δυστυχώς. Θερμή παράκληση Ας μην βιαστούμε τόσο! Με τιμή Σπυριδούλα Καρύδα Πάρεδρος ΣτΕ LL.M. in Space, SatCom and Media Law PhD (c) in International Satellite and Data Protection Law