Αρχική Σχέδιο Νόμου για την Προστασία Δεδομένων Προσωπικού ΧαρακτήραΆρθρο 24 Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από δημόσιους φορείς

Άρθρο 24 Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από δημόσιους φορείς

1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον:
α) είναι προφανές ότι η επεξεργασία αυτή είναι προς το συμφέρον του υποκειμένου των δεδομένων και δεν υπάρχει λόγος να υποτεθεί ότι το υποκείμενο των δεδομένων θα αρνιόταν να παράσχει τη συγκατάθεσή του εάν γνώριζε τον άλλο σκοπό•
β) είναι απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες•
γ) είναι αναγκαία για την αποτροπή σημαντικής βλάβης του κοινού καλού, ή ενός κινδύνου για την εθνική ασφάλεια, εθνική άμυνα ή δημόσια ασφάλεια, προκειμένου να διαφυλαχθούν σημαντικά συμφέροντα του κοινού καλού ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων•
δ) είναι αναγκαία για τη δίωξη ποινικών αδικημάτων•
ε) είναι αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου• ή
στ) είναι αναγκαία για την άσκηση εξουσιών εποπτείας και παρακολούθησης, για τη διεξαγωγή εσωτερικών ελέγχων του υπεύθυνου επεξεργασίας• αυτό ισχύει επίσης για την επεξεργασία για σκοπούς εκπαίδευσης και εξέτασης από τον υπεύθυνο επεξεργασίας, εφόσον δεν αντιτίθεται στα έννομα συμφέροντα του υποκειμένου των δεδομένων.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.

Σχόλια
  • 21 Αυγούστου 2019, 07:24 | Σοφια Τσιπτσε ΙΝΕΠΙΔ Β.ε.

    γίνεται λόγος για το σε ποιες περιπτώσεις κατ’ εξαίρεση θα επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από δημόσιους φορείς. Οι Εξαιρέσεις είναι αρκετές , αόριστα διατυπωμένες, ικανά μάλιστα να δημιουργήσουν πρόβλημα στην πρακτική εφαρμογή, όπως σημειώθηκε και ανωτέρω. Μάλιστα άξιο σχολιασμού είναι η περίπτωση α) όπου αναφέρεται για τη συγκατάθεση , η οποία όπως χαρακτηριστικά αναφέρεται «μπορεί να υποτεθεί». Η συγκατάθεση σύμφωνα με τη βασική αρχή του ΓΚΠΔ είναι ρητή σαφής, αβίαστη και δεν επιδέχεται ερμηνειών, ούτε υποθέσεων.

  • 20 Αυγούστου 2019, 17:43 | ΕΛΕΝΑ ΣΠΥΡΟΠΟΥΛΟΥ

    Μολονότι η επιπλέον αυτή νομική βάση θεμελιώνεται (αν και μάλλον αμφιλεγόμενα) στην θεωρία του «ανοίγματος» σύμφωνα με την αιτιολογική έκθεση, πάσχει και σε άλλα σημεία:
    1. Η τεκμαιρόμενη συγκατάθεση της παραγράφου 1 όπως σωστά παρατηρήθηκε είναι άστοχη και πρέπει να παραλειφθεί γιατί παραβιάζει ευθέως τον Κανονισμό (η συγκτάθεση είναι πάντοτε ρητή).
    2. Εάν πρέπει να ελεγχθούν οι πληροφορίες (παρ.2) θα πρέπει αυτό να γίνεται με την συνδρομή, ή έστω
    ενημέρωση ή συναίνεση του υποκειμένου. Αλλιώς αποτελεί ανεπίτρεπτη διεύρυνση των δικαιωμάτων του υπεύθυνου επεξεργασίας-δημόσιου φορέα.
    3. Η παράγραφος δ αν και αναγκαία δεν είναι ορθή, δεν περιλαμβάνει την έρευνα, ανάκριση κτλ των αδικημάτων και γενικότερα η κατάργηση του α.2 παρ.2δ του Κανονισμού που ρητώς εξαιρούσε κάποιες επεξεργασίες για τους σοκπούς αυτούς δημιουργεί ακριβώς αυτό το πρόβλημα, ότι δηλαδή πρέπει μετά να εισάγουμε άστοχες εξαιρέσεις σε άλλα σημεία του νόμου.

  • 20 Αυγούστου 2019, 11:39 | Σηφάκης Αντώνιος

    Η έννοια της ‘τεκμαιρόμενης συγκατάθεσης’ του άρθρου 24 παρ. 1 α είναι αντίθετη με τον πυρήνα της έννοιας της συγκατάθεσης στον ΓΚΠΔ που σε κάθε περίπτωση πρέπει να είναι ρητή και να εκδηλώνεται με θετική ενέργεια (αλλιώς δεν νοείται ως συγκατάθεση) (βλ. άρθρο 4 παρ.11 ΓΚΠΔ)

  • 19 Αυγούστου 2019, 18:31 | Homo Digitalis

    Σημαντικά ζητήματα θέτει και το άρθρο 24. (Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από δημόσιους φορείς). Η ρύθμιση αυτή συνιστά σημαντική απόκλιση από την αρχή του περιορισμού του σκοπού (μη επεξεργασία προσωπικών δεδομένων για ασύμβατους προς τον αρχικό σκοπούς).
    Το προσχέδιο νόμου της Α’ Νομοπαρασκευαστικής Επιτροπής είχε προτείνει ανάλογη ρύθμιση, καθώς στο πλαίσιο της Ομάδας Εμπειρογνωμόνων της ΕΕ των κρατών μελών που λειτουργούσε και μετά την υιοθέτηση του Κανονισμού είχαν εγερθεί ερμηνευτικά ζητήματα αναφορικά με την ερμηνεία της αιτιολογικής σκέψης 50 του Κανονισμού. Ωστόσο, η προτεινόμενη ρύθμιση του ΣχΝ παρουσιάζει τα ακόλουθα προβλήματα:
    – Ως προς την παρ. 1 α) οι συντάκτες του σχεδίου έχουν παραβλέψει ότι η συγκατάθεση απαγορεύεται ως βάση επεξεργασίας για την επεξεργασία προσωπικών δεδομένων από δημόσιες αρχές. Επίσης, πρέπει να είναι ρητή και όχι εικαζόμενη από τον υπεύθυνο επεξεργασίας που κρίνει επίσης αν η επεξεργασία είναι προς το συμφέρον του υποκειμένου, όπως φαίνεται επίσης να αποδέχεται το ΣχΝ («η επεξεργασία αυτή είναι προς το συμφέρον του υποκειμένου των δεδομένων και δεν υπάρχει λόγος να υποτεθεί ότι το υποκείμενο των δεδομένων θα αρνιόταν να παράσχει τη συγκατάθεσή του»).
    – Ως προς την παρ. 1β) δεν είναι κατανοητή η εισαγωγή αυτής της ευρείας βάσης νομιμοποίησης της επεξεργασίας για άλλους σκοπούς. Εάν υπάρχει νομική βάση/ απαίτηση για τον έλεγχο της ορθότητας δεδομένων μπορεί ο δημόσιος φορέας να χρησιμοποιήσει αυτή τη νομική βάση και όχι τη ρύθμιση που προτείνεται. Εξάλλου, εάν ελέγχεται η ορθότητα δεδομένων, υποχρέωση που απορρέει επίσης από τον ΓΚΠΔ, δεν πρόκειται για άλλο, ασύμβατο σκοπό.
    – Η εξαίρεση της παρ 1γ) είναι εξαιρετικά ευρεία, ιδίως με την αναφορά στο «κοινό καλό», «σημαντικά συμφέροντα του κοινού καλού».
    – Εξίσου ευρεία είναι η εξαίρεση που εισάγεται με την παράγραφο 1ε) όπου γίνεται εν γένει αναφορά στην «αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου».
    – Τέλος, προβληματική είναι και η περίπτωση της παρ. 1στ), καθώς εάν ο έλεγχος στον οποίο αναφέρεται προβλέπεται εκ του νόμου, δεν τίθεται ζήτημα, γιατί θα υπάρχει αυτοτελής νομική βάση.

    Η Α’ Νομοπαρασκευαστική Επιτροπή είχε προτείνει σχετικές ρυθμίσεις στο πλαίσιο του άρθρου 4. (Βλ. άρθρο 4 παρ. 2 επ.).

  • 19 Αυγούστου 2019, 16:54 | Σπ. Τάσσης, Βασ. Καρκατζούνης, Δημ. Τζέλλης

    Αμφίβολης νομιμότητας και συμμόρφωσης με τον ΓΚΠΔ οι προτεινόμενες διατάξεις του άρθρου 24 και ιδίως η προτεινόμενη διάταξη της περ. α παρ. 1 του άρ. 24 περί τεκμαρτής, κατ’ ουσίαν, συγκατάθεσης για επεξεργασία δεδομένων από το δημόσιο!

    Κατά τον ΓΚΠΔ, ο δημόσιος φορέας δεν έχει δικαίωμα να χρησιμοποιήσει τη συγκατάθεση των υποκειμένων των δεδομένων για την επεξεργασία δεδομένων τους, παρά μόνο υπό εξαιρετικές συνθήκες. Και είναι λογικό αυτό, καθώς η συγκατάθεση πρέπει να δίδεται ελεύθερα, και κάτι τέτοιο είναι απίθανο με δεδομένη την ανισότητα μεταξύ ιδιώτη και δημοσίου φορέα.

    Το σκεπτικό αυτό υιοθετείται και από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων [βλ. Κατευθυντήριες γραμμές (WP259 αναθ.01, παράγραφος 3.1.1.) σχετικά με τη συγκατάθεση βάσει του κανονισμού 2016/679 της Ομάδας Εργασίας του άρθρου 29, και αιτιολογική σκέψη 43 του ΓΚΠΔ].

    Αντίθετα με τη λογική του ενωσιακού δικαίου, η προτεινόμενη ρύθμιση δεν κάνει απλά χρήση της συγκατάθεσης του υποκειμένου ως νόμιμη βάση επεξεργασίας από το δημόσιο, αλλά και θεωρεί αυτή χορηγηθείσα κατά τεκμήριο.

    Αντί της αδιαφανούς αυτής πρακτικής, οι δημόσιοι φορείς μπορούν να κάνουν χρήση ήδη προβλεπόμενων από τον ΓΚΠΔ νόμιμων βάσεων επεξεργασίας που είναι πιο κατάλληλες, όπως της συμμόρφωσης με έννομη υποχρέωση ή της εκπλήρωσης καθήκοντος προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας (στοιχεία γ΄ και ε΄ παρ. 1 άρ. 6 ΓΚΠΔ), βάσεις επεξεργασίας που ήδη χρησιμοποιούνται από τους δημόσιους φορείς των υπόλοιπων ευρωπαϊκών κρατών.

    Η προτεινόμενη επεξεργασία δεδομένων με κατά τεκμήριο συγκατάθεση, με την επίφαση ότι γίνεται «για το καλό μας», παραπέμπει σε βαριάς μορφής πατερναλισμό, αντίστοιχο του «1984».

    Παράλληλα, κατά τον ΓΚΠΔ, η συλλογή των δεδομένων προσωπικού χαρακτήρα πρέπει να γίνεται για συγκεκριμένο σκοπό και η περαιτέρω επεξεργασία για συμβατούς σκοπούς [στοιχ. β΄ παρ. 1 άρ. 5 («περιορισμός του σκοπού»)].

    Σε αντίθεση με τη γενική αυτή αρχή, η αιτιολογική έκθεση (άρθρο 24) αποδέχεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνει και για σκοπούς ασύμβατους με τον αρχικό σκοπό.

    Το κείμενο του νόμου πρέπει να αποτυπώνει ξεκάθαρα την γενική αρχή του ΓΚΠΔ ότι τα δεδομένα μπορούν να τύχουν περαιτέρω επεξεργασίας μόνο για σκοπούς συμβατούς με τον σκοπό για τον οποίο συλλέχθηκαν.

    Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)

  • 19 Αυγούστου 2019, 16:55 | Ανδρέας Στεργιαδης

    Τι σημαίνει τεκμαίρεται; Το υποκείμενο δηλ θα πρέπει να αποδείξει τη μη παροχή συγκατάθεσης; Πού είναι η ρητή σαφής και συγκεκριμένη συγκατάθεση που απαιτεί ο ΓΚΠΔ. Το 1α κείται εκτος του πνεύματος και του γράμματος του ΓΚΠΔ

  • 16 Αυγούστου 2019, 21:17 | ΒΑΡΒΑΡΑ ΠΕΤΡΟΥ

    Στο στοιχ. α της παρ. 1 συναντάμε το στοιχειο της τεκμαιρόμενης συναίνεσης του υποκειμένου που έρχεται σε αντίθεση με το πνεύμα του Κανονισμού, οπου η συγκατάθεση του υποκειμένου είναι πάντοτε ρητή!!! Περαιτέρω, η αποτροπή κινδύνου για τη δημόσια ασφάλεια δε συνιστά περαιτέρω επεξεργασία καθώς αυτή διεξάγεται από άλλους φορείς με βάση ειδικότερες διατάξεις.Δεν διεξάγεται δηλαδή από τον εκάστοτε φορέα που αρχικά συνέλεξε τα δεδομενα.

  • 16 Αυγούστου 2019, 20:23 | Γιώργος Ρουσόπουλος

    Δεν υπάρχει εξουσιοδότηση από το ΓΚΠΔ για τέτοια παρέκκλιση. Το «λάθος» μοιάζει με αυτό του αρ. 5 του ΣχΝ.

Σχόλια