1. Για τους σκοπούς του παρόντος Κεφαλαίου νοούνται ως:
α) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου∙
β) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή∙
γ) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον∙
δ) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις του εν λόγω φυσικού προσώπου∙
ε) «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο∙
στ) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση∙
ζ) «υπεύθυνος επεξεργασίας»: η δημόσια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα∙
η) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας∙
θ) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το ενωσιακό ή άλλο δίκαιο δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας∙
ι) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία∙
ια) «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν στα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου∙
ιβ) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα∙
ιγ) «δεδομένα που αφορούν στην υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του∙
ιδ) «ειδικές κατηγορίες δεδομένων»: δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα για την αδιαμφισβήτητη ταυτοποίηση ενός φυσικού προσώπου, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό φυσικού προσώπου∙
ιε) «εποπτική αρχή»: Ανεξάρτητη διοικητική αρχή, η οποία έχει συσταθεί από το κράτος μέλος σύμφωνα με το άρθρο 41 της Οδηγίας ( ΕΕ) 2016/680∙
ιστ) «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάσει συμφωνίας μεταξύ δύο ή περισσότερων χωρών∙
ιζ) «Συγκατάθεση»: κάθε οικειοθελής, για τις ανάγκες της συγκεκριμένης περίστασης, αδιαμφισβήτητη και μετά από ενημέρωση του υποκειμένου σαφής ένδειξη της επιθυμίας του με την οποία εκδηλώνει με δήλωση ή σαφή θετική ενέργεια ότι συμφωνεί να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Προς επίρρωση των ορθών παρατηρήσεων που προηγήθηκαν, η επίσημη μετάφραση του αγγλικού κειμένου (wp258, παρ. 4) έχει ως εξής:
Η συγκατάθεση του υποκειμένου των δεδομένων δεν μπορεί σε καμία περίπτωση να συνιστά αφ’ εαυτής νόμιμο λόγο για την επεξεργασία ειδικών κατηγοριών δεδομένων στο πλαίσιο της οδηγίας. Πρόκειται για σημαντική διαφοροποίηση σε σύγκριση με τον ΓΚΠΔ, η οποία μάλιστα αναφέρεται ρητώς στην αιτιολογική σκέψη 35, σύμφωνα με την οποία τα κράτη μέλη μπορούν να προβλέπουν διά νόμου ότι το υποκείμενο των δεδομένων μπορεί να συμφωνήσει με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν για τους σκοπούς της εν λόγω οδηγίας.
Υπό το πρίσμα αυτό, η ομάδα εργασίας του άρθρου 29 καταλήγει στο συμπέρασμα ότι η οικειοθελής συμφωνία θα πρέπει να θεωρείται πρόσθετη διασφάλιση βάσει του δικαίου μόνο σε περιπτώσεις στις οποίες ο νόμος προβλέπει επεξεργασία η οποία είναι ιδιαιτέρως παρεμβατικού χαρακτήρα για το υποκείμενο των δεδομένων. Επομένως, απόκειται στον εθνικό νομοθέτη να αποφασίσει αν και σε ποιον βαθμό θα επιτρέψει την επεξεργασία των δεδομένων υπό την προϋπόθεση της οικειοθελούς συμφωνίας του υποκειμένου των δεδομένων και αν θα περιλαμβάνονται ειδικές κατηγορίες δεδομένων (βλ. σχετικά αιτιολογική σκέψη 37).
Στις περιπτώσεις αυτές, η αρμόδια αρχή θα πρέπει να ενημερώνει το υποκείμενο των δεδομένων με σαφή και μη αμφιλεγόμενο τρόπο για τον οικειοθελή χαρακτήρα της συμφωνίας του, ενώ θα πρέπει επίσης να παρέχεται στο υποκείμενο των δεδομένων η δυνατότητα να ανακαλέσει τη συμφωνία του ανά πάσα στιγμή (για παράδειγμα, στην περίπτωση συλλογής δακτυλικών αποτυπωμάτων ή βιολογικών δειγμάτων).
Aναφορικά με τον ορισμό της συγκατάθεσης που περιλαμβάνεται στο άρθρο 44 πρέπει να σημειώσουμε τα εξής: Η Οδηγία 2016/680 ούτε περιλαμβάνει ορισμό της συγκατάθεσης ούτε προβλέπει τη συγκατάθεση ως νόμιμη βάση για την επεξεργασία των προσωπικών δεδομένων. Αντιθέτως, η αιτιολογική σκέψη 35 αναφέρει ότι «η συγκατάθεση του υποκειμένου των δεδομένων όπως ορίζεται στον κανονισμό (ΕΕ) 2016/679 δεν θα πρέπει να παρέχει νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές», ενώ η αιτιολογική σκέψη 37 συμπληρώνει το εν λόγω σκεπτικό σχετικά με τα ευαίσθητα δεδομένα αναφέροντας ότι «η συγκατάθεση του υποκειμένου των δεδομένων δε θα πρέπει να παρέχει αυτή καθαυτή νομική βάση για την επεξεργασία τέτοιων ευαίσθητων δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές».
Μάλιστα η οµάδα εργασίας του άρθρου 29 για την προστασία των δεδοµένων με την από 29.11.2017 Γνώμη της υπό τον τίτλο «Opinion on some key issues of the Law Enforcement Directive (EU 2016/680) – wp258» προβλέπει ρητά και με σαφήνεια στη σελίδα 9 ότι η συγκατάθεση δεν μπορεί ποτέ από μόνη της να αποτελέσει νόμιμη βάση για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της εφαρμογής των διατάξεων της Οδηγίας 2016/680. Συγκεκριμένα το κείμενο έχει ως εξής «The consent of the data subject can never in itself constitute a legal ground for the processing of special categories of data in the context of the Directive. This is a major difference in comparison to the GDPR and this difference is stressed explicitly in Recital 35 which considers that Member States may provide by law, that the data subject may agree to the processing of his or her personal data for the purposes of this Directive. In the light of this, the WP29 concludes that voluntary agreement should only be considered as an additional safeguard under the law in cases in which processing that is particularly intrusive to him or her are envisaged by law Therefore, it is for the national legislator to decide whether and to what extent to allow for data processing under the precondition of the data subject’s voluntary agreement and whether to include special categories of data (see on this Recital 378). In such cases, the data subject should be informed in a clear and unambiguous manner by the competent authority about the voluntary nature of his/her agreement and should be given the possibility to withdraw it at any time (for example, in the case of collection of fingerprints or biological samples)»
Επομένως, ζητείται η διαγραφή του ορισμού της συγκατάθεσης και η πλήρης εναρμόνιση των διατάξεων του ΣχΝ με τις διατάξεις της Οδηγίας 2016/680.
Έχω τη γνώμη ότι θα πρέπει να αποσαφηνιστούν οι «αρμόδιες αρχές» ή να προσδιοριστούν τα κριτηρία καθορισμού τους, όπως τούτο συνάγεται από το γράμμα της Οδηγίας 2016/680, ούτως ώστε να υπάρχει μια πιο σαφή κατεύθυνση στους εφαρμοστές του δικαίου, ως υπεύθυνοι επεξεργασίας, για το πότε εμπίπτουν στο πεδίο εφαρμογής του εν λόγω κεφαλαίου και εκφεύγουν, επομένως, από την υποχρέωση εφαρμογής του ΓενΚαν.