ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ ΙΗ ΕΚΠΑΙΔΕΥΤΙΚΗ ΣΕΙΡΑ ΤΜΗΜΑ ΚΟΙΝΩΝΙΚΗΣ ΔΙΟΙΚΗΣΗΣ ΔΙΟΙΚΗΣΗ ΥΠΗΡΕΣΙΩΝ ΥΓΕΙΑΣ ΤΕΛΙΚΗ ΕΡΓΑΣΙΑ. Θέμα:

Transcript

1 ΕΘΝΙΚΗ ΣΧΟΛΗ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗΣ ΙΗ ΕΚΠΑΙΔΕΥΤΙΚΗ ΣΕΙΡΑ ΤΜΗΜΑ ΚΟΙΝΩΝΙΚΗΣ ΔΙΟΙΚΗΣΗΣ ΔΙΟΙΚΗΣΗ ΥΠΗΡΕΣΙΩΝ ΥΓΕΙΑΣ ΤΕΛΙΚΗ ΕΡΓΑΣΙΑ Θέμα: Η ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΥΓΕΙΑΣ & ΤΑ ΓΕΝΕΤΙΚΑ ΔΕΔΟΜΕΝΑ Επιβλέπων : ΓΕΩΡΓΙΟΣ ΤΡΑΝΤΑΣ Σπουδάστρια: ΕΛΕΝΗ ΒΟΖΩΡΗ ΑΘΗΝΑ

2 ΠΕΡΙΛΗΨΗ Είναι γενικά παραδεκτό, ότι τα πληροφοριακά συστήματα συνιστούν ένα απαραίτητο εργαλείο για τη διαχείριση πληροφοριών τόσο στον ιδιωτικό όσο και στο δημόσιο τομέα, λόγω της δυνατότητας τους να συγκεντρώνουν πληροφορίες σχεδόν απεριόριστα, να τις επεξεργάζονται λογικά και να τις αναμεταδίδουν. Η επεξεργασία δεδομένων αποτελεί μέσο εκσυγχρονισμού του δημόσιου τομέα, ενώ στον ιδιωτικό τομέα συμβάλλει στην ορθολογικότερη οργάνωση της παραγωγής και της προώθησης προϊόντων και υπηρεσιών. Στην εποχή μας η αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων αποτελεί καθημερινό φαινόμενο, τόσο σε ευρωπαϊκό όσο και σε παγκόσμιο επίπεδο. Στα πλαίσια της Ευρωπαϊκής Ένωσης η οικονομική και κοινωνική ενοποίηση που πηγάζει από την ίδρυση και λειτουργία της ενιαίας αγοράς, συνεπάγεται αύξηση της διασυνοριακής ροής πληροφοριών μεταξύ των κρατών μελών. Αναμφίβολα, και η ανταλλαγή προσωπικών δεδομένων μεταξύ των επιχειρήσεων στα ευρωπαϊκά κράτη αυξάνεται σταθερά. Περαιτέρω οι διοικητικές αρχές των κρατών μελών υποχρεούνται από το εφαρμοστέο κοινοτικό δίκαιο να συνεργαστούν για την ανταλλαγή προσωπικών πληροφοριών, κατά την άσκηση των αρμοδιοτήτων τους. Παρόλα αυτά, η συλλογή και χρήση προσωπικών πληροφοριών εγκυμονεί κινδύνους για τις ατομικές ελευθερίες, ιδιαίτερα αν ληφθεί υπόψη ότι η εξέλιξη στη διαδικασία επεξεργασίας, επιτρέπει την αποθήκευση μεγάλου αριθμού πληροφοριών σε ηλεκτρονικά αρχεία, την επιλεκτική επεξεργασία και την ταχύτατη διάδοσή τους. Επιπλέον, η πρόοδος στην ιατρική και βιολογία εξαρτάται σε μεγάλο βαθμό από τη διαθεσιμότητα ιατρικών και γενετικών πληροφοριών, τα οποία δεν χρησιμοποιούνται μόνο για ιατρική φροντίδα και έρευνα, αλλά δυστυχώς τυγχάνουν αντικείμενο εκμετάλλευσης και σε άλλους τομείς εκτός αυτού της υγείας. Οι πιθανοί αυτοί κίνδυνοι γίνονται ολοένα και πιο άμεσοι στη σύγχρονη ζωή, αν λάβει κανείς υπόψη την συνεχώς αυξανόμενη διασυνοριακή ροή των προσωπικών δεδομένων που υπόκεινται σε ηλεκτρονική επεξεργασία. Τέτοιοι κίνδυνοι παρουσιάζονται κυρίως σε κατηγορίες όπως τα ιατρικά και γενετικά δεδομένα, παρά τους αυστηρότερους όρους συλλογής και επεξεργασίας τους, σε σχέση με αυτούς που ισχύουν για τα απλά/κοινά προσωπικά δεδομένα. Το 2

3 δίκαιο καλείται να δώσει λύσεις για να προστατεύσει την ιδιωτική ζωή, την ελευθερία και την αξιοπρέπεια, αναγνωρίζοντας ότι είναι απαραίτητο να συμφιλιώσει τις θεμελιώδεις αρχές με την ελεύθερη ροή δεδομένων. Ο σκοπός αυτής της μελέτης είναι η παρουσίαση του νομικού ρυθμιστικού πλαισίου των προσωπικών δεδομένων από εθνικής και διεθνούς σκοπιάς, δεδομένου και του ότι υπάρχει βούληση να επεκταθούν οι εγγυήσεις διαφύλαξης των ατομικών δικαιωμάτων και των θεμελιωδών ελευθεριών, ιδιαιτέρως δε, ο σεβασμός της ιδιωτικής ζωής. Αυτή η εργασία αφορά κυρίως τις προστατευτικές κατευθυντήριες γραμμές και τις γενικές αρχές που αφορούν την πολιτική και τη ρύθμιση ειδικών κατηγοριών δεδομένων όπως τα ιατρικά και τα γενετικά, εναντίον της μη νόμιμης αποκάλυψης και κακοδιαχείρισης. Το θεωρητικό υπόβαθρο του συγκεκριμένου θέματος αναπτύχθηκε μέσω της μελέτης της βιβλιογραφίας και αφορά την ερμηνεία όχι μόνο των ειδικών εκφάνσεων του ζητήματος αλλά και γενικότερες αρχές καθώς επίσης και θεωρητικές έννοιες. Η έρευνα δε από την άποψη του θετού δικαίου (de lege lata) βασίστηκε στην ελληνική και ευρωπαϊκή νομοθεσία. Θεώρησα επίσης επιβεβλημένο να επικεντρωθώ σε πηγές, όπως πράξεις των διεθνών οργανισμών και των ευρωπαϊκών οργάνων (ανακοινώσεις, οδηγίες, αναφορές κλπ) καθώς επίσης και σε αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων και της Επιτροπής Βιοηθικής. Τελευταίο άλλα όχι έσχατο, εξαιτίας της δυναμικής του θέματος αλλά και της εξελικτικής του φύσης, η ανάλυση βελτιστοποιείται και εκσυγχρονίζεται με βάση επιστημονικά άρθρα. ΛΕΞΕΙΣ ΚΛΕΙΔΙΑ Ανθρώπινα Δικαιώματα, Προστασία Προσωπικών Δεδομένων, Ευαίσθητα Δεδομένα, Ιατρικά Δεδομένα, Δικαίωμα Ιδιωτικού Βίου, Τράπεζες Προσωπικών Δεδομένων, Εμπιστευτικότητα και Ασφάλεια της Αυτοματοποιημένης Επεξεργασίας, Ποιότητα των Δεδομένων, Συναίνεση ύστερα από πληροφόρηση, Βιοηθική, Γενετικά Δεδομένα, Ανθρώπινο Γονιδίωμα, Βιοτράπεζες, Κώδικας Ιατρικής Δεοντολογίας. 3

4 ABSTRACT It is widely acknowledged that information systems constitute a necessary tool for the handling of information, regarding not only the private but also the public sector, because of their capacity to accumulate information almost limitlessly and to logically process and transmit them. Data processing is a means of modernisation of the public sector whereas, as far as the private sector is concerned, it contributes to the logical organisation of the production and promotion of products and services. Nowadays the automatic processing of personal data is a daily phenomenon, both at a european and a global level. In the framework of the European Union, the economic and social unification resulting from the establishment and the functioning of the common market, entails an increase of the transborder flow of personal data between member states. Undoubtedly the exchange of personal data between companies in the member states is growing steadily. Futhermore, the authorities of the member states are required by the applicable community law to cooperate when exchanging data of a personal nature while excercizing their duties. However, the collection and use of personal information may jeopardise personal rights, especially if one takes into consideration that the evolution of data processing allows the storage of a great number of information in automated files, their selective processing, correlation and faster dissemination. Moreover, the progress in medicine and biology depends greatly on the availability of medical and genetic data, which are not used just for medical care and research but are sadly exploited in fields other than the health sector. These potential risks are becoming ever more imminent in contemporary life, taking into account the increasing flow of personal data across frontiers undergoing automatic processing. Such risks present themselves especially in categories such as medical and genetic data, despite the stricter terms of their collection and processing than those in force for personal data in general. Law is called upon finding ways to protect private life, personal freedom and human dignity, recognizing that it is necessary to reconcile the fundamental values and the free flow of information. 4

5 The objective of the study is the presentation of the legal regulatory framework of the personal data, from a national and international point of view, considering that it is desirable to extend the safeguards for everyone's rights and fundamental freedoms, and in particular the respect for privacy. This paper is mainly about the protective guidelines and principals relevant to policy and regulation of special categories of data, such as medical and genetic, against unauthorised disclosure or misuse. The theoretic background of this issue was expounded through the perusal of bibliography, concerning not only the interpretation of various specialized ramifications of the matter, but also more general principles and theoretic notions. Research from a more de lege lata point of view, was based on Greek legislation and the legislation of others European countries as well. In addition, it was considered indispensable to focus on sources such as the acts of international organizations and European institutions (reports, directives, announcements etc) as well as decisions of the Hellenic Data Protection Authority and the National Commission of Bioethics. Last but not least, the analysis was enhanced and updated by relevant scientific articles because of the dynamic and the ever evolving nature of the subject in question. KEYS WORDS Human Rights, Protection of Personal Data, Sensitive Information, Medical Data, Right to Privacy, Data Banks, Confidentiality and Security of Automatic Processing, Data Quality, Informed Consent, Bioethics, Genetic Data, Human Genom, Biobanks, Code of Medical Ethics. 5

6 ΠΕΡΙΕΧΟΜΕΝΑ ΕΙΣΑΓΩΓΗ Οι σύγχρονοι κίνδυνοι από τη χρήση προσωπικών δεδομένων και οι διεθνείς εξελίξεις.10 ΚΕΦΑΛΑΙΟ ΠΡΩΤΟ ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ 1.1 Η προστασία των προσωπικών δεδομένων ως θεσμική αντίδραση στους τεχνολογικούς κινδύνους Η προστασία των προσωπικών δεδομένων στο ελληνικό δίκαιο Το συνταγματικό πλαίσιο προστασίας - το άρθρο 9Α Σ Ο ν. 2472/1997 «Προστασία του ατόμου από επεξεργασία δεδομένων προσωπικού χαρακτήρα» α. Γενικές παρατηρήσεις β. Ποιοτικά χαρακτηριστικά των δεδομένων γ. Επεξεργασία δεδομένων προσωπικού χαρακτήρα γ.i. Οι προϋποθέσεις για τη νομιμότητα της επεξεργασίας γ.ii. Η συγκατάθεση στο δίκαιο των προσωπικών δεδομένων γ.iii. Η γνωστοποίηση της επεξεργασίας στην Αρχή δ. Τα δικαιώματα του υποκειμένου...29 ΚΕΦΑΛΑΙΟ ΔΕΥΤΕΡΟ ΕΙΔΙΚΕΣ ΚΑΤΗΓΟΡΙΕΣ ΔΕΔΟΜΕΝΩΝ: ΤΑ ΕΥΑΙΣΘΗΤΑ ΔΕΔΟΜΕΝΑ 2.1. Η θέσπιση νομικών κανόνων για την προστασία των ευαίσθητων προσωπικών δεδομένων σε εθνικό και διεθνές επίπεδο Τα γενικά χαρακτηριστικά των ρυθμίσεων των ευαίσθητων προσωπικών δεδομένων Σκιαγράφηση της ρύθμισης του Ν. 2472/97 για τα ευαίσθητα δεδομένα

7 Οι επιλογές του Έλληνα νομοθέτη Η απαγόρευση της συλλογής και επεξεργασίας ευαίσθητων δεδομένων και οι εξαιρέσεις από την απαγόρευση...39 ΚΕΦΑΛΑΙΟ ΤΡΙΤΟ ΤΑ ΔΕΔΟΜΕΝΑ ΠΟΥ ΑΦΟΡΟΥΝ ΤΗΝ ΥΓΕΙΑ 3.1. Δεδομένα υγείας Η επεξεργασία στον τομέα της υγείας Η νομιμότητα επεξεργασίας δεδομένων υγείας Ανακοίνωση ιατρικών δεδομένων σε τρίτους Το Ιατρικό απόρρητο και η ασφάλεια της επεξεργασίας δεδομένων υγείας Ιατρικό αρχείο και δεδομένα υγείας ΚΕΦΑΛΑΙΟ ΤΕΤΑΡΤΟ ΤΑ ΓΕΝΕΤΙΚΑ ΔΕΔΟΜΕΝΑ 4.1. Η σημασία της γενετικής πληροφορίας Έννοια και χαρακτηριστικά των γενετικών δεδομένων Γενετικές πληροφορίες και το δικαίωμα του πληροφοριακού αυτοκαθορισμού Το δικαίωμα προστασίας της γενετικής ταυτότητας Η αρχή της απαγόρευσης της επεξεργασίας γενετικών δεδομένων και οι εξαιρέσεις της..60 ΚΕΦΑΛΑΙΟ ΠΕΜΠΤΟ Η ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΥΓΕΙΑΣ ΚΑΙ ΤΩΝ ΓΕΝΕΤΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΑ ΠΛΑΙΣΙΑ ΤΗΣ ΔΙΕΘΝΟΥΣ ΚΟΙΝΟΤΗΤΑΣ 5.1. Η Σύμβαση για την Προστασία των Ανθρωπίνων Δικαιωμάτων & της Αξιοπρέπειας του Ατόμου σε σχέση με τις Εφαρμογές της Βιολογίας και της Ιατρικής Η Σύσταση No R (97) 5 της Επιτροπής των Υπουργών στα Κράτη Μέλη για την Προστασία των Ιατρικών Δεδομένων Η Διακήρυξη της Γενικής Συνελεύσεως της UNESCO της 11/11/1977 περί του Ανθρωπίνου Γονιδιώματος & των 7

8 Ατομικών Δικαιωμάτων ΚΕΦΑΛΑΙΟ ΕΚΤΟ ΕΙΔΙΚΑ ΘΕΜΑΤΑ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΓΕΝΕΤΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 6.1. Αρχεία γενετικών δεδομένων και βιοτράπεζες Η ανάλυση DNA στο πλαίσιο αστικής και ποινικής δίκης H επεξεργασία γενετικών δεδομένων για την υπεράσπιση έννομου συμφέροντος Ανάλυση γενετικού υλικού για σκοπούς εξιχνίασης εγκλημάτων και ποινικής δίωξης Καθορισμός πατρότητας Οι ιδιωτικές σχέσεις Οι συμβάσεις εργασίας και ασφάλισης Γενετικές εξετάσεις στα πλαίσια, εργασιακών σχέσεων Γενετικές εξετάσεις & ασφάλιση...90 ΤΕΛΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ...95 ΑΝΑΦΟΡΕΣ

9 ΕΙΣΑΓΩΓΗ 9

10 ΕΙΣΑΓΩΓΗ Οι σύγχρονοι κίνδυνοι από τη χρήση προσωπικών δεδομένων και οι διεθνείς εξελίξεις Τα χαρακτηριστικά της εποχής που διανύουμε είναι η διασύνδεση των συστημάτων πληροφορικής στο πλαίσιο παγκοσμίων δικτύων, η αποκέντρωση της επεξεργασίας, η διεθνοποίηση των πληροφοριών μέσω της διασυνοριακής ροής δεδομένων και η ανάπτυξη σύγχρονων συστημάτων και μεθόδων επεξεργασίας δεδομένων που επεκτείνονται πέρα από την πληροφορική, στο χώρο των τηλεπικοινωνιών 1 και των ΜΜΕ. Η τεχνολογική δυνατότητα διείσδυσης στην ιδιωτική ζωή και στην προσωπικότητα των ατόμων, αναδεικνύει τους πιθανούς κινδύνους που συνδέονται με την Κοινωνία της Πληροφορίας. Ζητήματα προστασίας προσωπικών δεδομένων 2 ανέκυψαν ήδη από τη δεκαετία του '60, με την εμφάνιση των πρώτων εφαρμογών της πληροφορικής και την χρήση τραπεζών πληροφοριών. Οι δυνατότητες επεξεργασίας πληροφοριών που προσέφεραν τα συστήματα αυτά στα πρώτα χρόνια εξέλιξης της πληροφορικής τεχνολογίας, κατέστησαν τις τράπεζες πληροφοριών αφενός μεν, θεμελιώδη έννοια της ηλεκτρονικής επεξεργασίας δεδομένων, αφετέρου δε, 1 Η έκρηξη των τηλεπικοινωνιακών μέσων, η ανάπτυξη των πολυμέσων, του διαδικτύου και γενικά οι νέες προηγμένες ψηφιακές τεχνολογίες δημιουργούν ειδικές απαιτήσεις όσον αφορά την προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής του χρήστη. Για το λόγο αυτό κρίθηκε αναγκαία, η θέσπιση ειδικών νομοθετικών, κανονιστικών και τεχνικών διατάξεων όπως η οδηγία 97/66/ΕΚ περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στο τηλεπικοινωνιακό τομέα. Η οδηγία αυτή συμπληρώνει την οδηγία 95/46/ΕΚ και εφαρμόζεται και στο διαδίκτυο στο βαθμό που η παροχή πρόσβασης συνιστά τηλεπικοινωνιακή υπηρεσία. Για την προσαρμογή του ελληνικού δικαίου στην οδηγία αυτή ψηφίσθηκε ο νόμος 2774/1999 για την προστασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα. Η οδηγία 97/66/ΕΚ έχει ήδη αντικατασταθεί από την οδηγία 2002/58/ΕΚ που ρυθμίζει τα ζητήματα επεξεργασίας προσωπικών δεδομένων και προστασίας της ιδιωτικότητας στον τομέα των ηλεκτρονικών επικοινωνιών. 2 Η πρώτη εθνική νομοθεσία που αντιμετώπισε το θέμα της προστασίας του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών ήταν του γερμανικού κρατιδίου της Έσσης το έτος Ακολούθησε η Σουηδία με τον νόμο του έτους 1973, η Ομοσπονδιακή Γερμανία το 1977, η Αυστρία, η Γαλλία, η Δανία και η Νορβηγία το 1978, το Λουξεμβούργο το 1979 και συνεχίσθηκε την δεκαετία του 1980 με σειρά άλλων κρατών (Ισλανδία, Ισραήλ, Φινλανδία, Βρετανία, Ολλανδία), ενώ ήδη πολλά από τα κράτη αυτά υπό το φως της εμπειρίας τους έχουν προχωρήσει σε αναθεώρηση της αρχικής νομοθεσίας τους και σε θέσπιση νομοθετημάτων δεύτερης γενεάς με επέκταση της παρεχόμενης προστασίας. Αξίζει επίσης να σημειωθεί ότι το Πορτογαλικό Σύνταγμα του 1976 περιέχει ειδική διάταξη, στο άρθρο 35, για την προστασία της ιδιωτικής ζωής από την χρήση της τεχνολογίας της πληροφορικής και το ίδιο συμβαίνει με το Ισπανικό Σύνταγμα του 1978 και με το Σύνταγμα της Ολλανδίας, που περιέλαβε σχετική διάταξη στο άρθρο 10 κατά την αναθεώρηση του το

11 ΕΙΣΑΓΩΓΗ βασική έννοια και αντικείμενο ρυθμίσεως του δικαίου προστασίας προσωπικών δεδομένων. Το 1980 ο Οργανισμός για Οικονομική Συνεργασία και Ανάπτυξη (ΟΟΣΑ), υιοθέτησε ένα κείμενο με τίτλο «Αρχές διέπουσες την προστασία της προσωπικής σφαίρας του ανθρώπου και τις διασυνοριακές ροές προσωπικών στοιχείων 3». Τις αρχές αυτές αποτελούν: (i) η αρχή της περιορισμένης συγκέντρωσης και συλλογής των δεδομένων, με την έννοια της θέσπισης ορίων στη συγκέντρωση προσωπικών στοιχείων 4, (ii) η αρχή της ποιότητας των στοιχείων, τα οποία θα πρέπει να είναι ακριβή, πλήρη και σε σχέση με τους σκοπούς για τους οποίους πρόκειται να χρησιμοποιηθούν, (iii) η αρχή του προσδιορισμένου σκοπού 5, (iv) η αρχή της περιορισμένης χρήσης των προσωπικών στοιχείων 6, (v) η αρχή μέτρων ασφαλείας των προσωπικών δεδομένων όσον αφορά την προστασία έναντι κινδύνων, (vi) η αρχή της διαφάνειας, (vii) η αρχή συμμετοχής, που εκφράζεται με το δικαίωμα του ιδιώτη να λαμβάνει γνώση των προσωπικών στοιχείων από τον υπεύθυνο της επεξεργασίας και τέλος (viii) η αρχή της υπευθυνότητας, κατά την οποία ο υπεύθυνος επεξεργασίας υποχρεούται να συμμορφώνεται με τις διατάξεις που εξειδικεύουν τις παραπάνω αρχές. Οι κατευθύνσεις του ΟΟΣΑ, αν και δεν συνιστούν νομικά δεσμευτικές αρχές, θεμελιώνουν ένα minimum συναίνεσης των δυτικών χωρών, ως προς τον τρόπο αντιμετώπισης των προβλημάτων που ανακύπτουν από τη χρήση της πληροφορικής, την άσκηση των ελευθεριών και τη διεθνή ανταλλαγή ονομαστικών δεδομένων, καθιερώνοντας με τον τρόπο αυτό ένα είδος διεθνούς εθίμου (soft law). Πρώτη η Ευρωπαϊκή Σύμβαση του Συμβουλίου της Ευρώπης, «για την προστασία των ατόμων από την αυτοματοποιημένη επεξεργασία των προσωπικών πληροφοριών», θέτει τις γενικές κατευθύνσεις για την προστασία 3 Organization for Economic Co-operation and Development, Recommendation of the Council concerning guidelines governing the protection of privacy and transborder flows of personal data. 4 Η συλλογή θα πρέπει να γίνεται με νόμιμα και έντιμα μέσα και εφόσον καθίσταται αναγκαία η συναίνεση του υποκειμένου των στοιχείων. 5 Οι σκοποί για τους οποίους συλλέγονται τα συγκεκριμένα στοιχεία θα πρέπει να είναι εκ των προτέρων προσδιορισμένοι και η χρήση τους να προσανατολίζεται αποκλειστικά στην εκπλήρωση αυτών των σκοπών. 6 Τα στοιχεία αυτά δεν επιτρέπεται να χρησιμοποιούνται για σκοπούς διαφορετικούς από αυτούς για τους οποίους έχουν συλλέγει, εκτός αν συναινεί ο ενδιαφερόμενος ή επιτρέπεται από σχετική διάταξη. 7 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Council of Europe, Strasbourg, 28.I

12 ΕΙΣΑΓΩΓΗ των προσωπικών στοιχείων από την αυθαίρετη επεξεργασία, που λαμβάνει χώρα με τη βοήθεια αυτοματοποιημένων (μηχανικών και κυρίως ηλεκτρονικών) μέσων. Περιείχε δε μια σειρά εγγυήσεων και δικαιωμάτων υπέρ των προσώπων στα οποία αναφέρονται τα δεδομένα και προέβλεπε την ίδρυση εθνικών αρχών, οι οποίες επιφορτίζονται με τον έλεγχο της εφαρμογής των διατάξεων της Σύμβασης. Τα κράτη μέλη επιδιώκουν μέσω της Σύμβασης, την προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών του ατόμου ενόψει της εντατικοποίησης της κυκλοφορίας δια μέσου των συνόρων, των πληροφοριών προσωπικού χαρακτήρα, οι οποίες καθίστανται αντικείμενο αυτοματοποιημένης επεξεργασίας. Επίσης επιχειρούν να συμφιλιώσουν την ανάγκη σεβασμού της ιδιωτικής ζωής αφενός και την ελεύθερη κυκλοφορία των πληροφοριών αφετέρου. Μέσα στα πλαίσια αυτά, το άρθρο 1 της Σύμβασης ορίζει ως σκοπό την εξασφάλιση της προστασίας των ανθρωπίνων δικαιωμάτων και των θεμελιωδών ελευθεριών του ατόμου και ειδικά το δικαίωμα στην ιδιωτική ζωή, έναντι της αυτοματοποιημένης επεξεργασίας των πληροφοριών προσωπικού χαρακτήρα που το αφορούν. Εξάλλου η εφαρμογή της Συνθήκη Σένγκεν το 1990, προϋποθέτει τη συλλογή στοιχείων των ατόμων που διακινούνται προς την Ευρώπη εκ μέρους των κρατικών αρχών, ώστε να διασφαλιστεί ο ενιαίος ευρωπαϊκός ασφαλής χώρος. Παράλληλα διάφοροι φορείς ιδιωτικοί π.χ. εταιρίες αερομεταφορών, τράπεζες, αλλά και δημόσιοι π.χ. εκπαιδευτικοί οργανισμοί, υπηρεσίες πρόνοιας κλπ, συνέλλεγαν συστηματικά προσωπικά στοιχεία. Η συλλογή πληροφοριών δεν μπορούσε να απαγορευτεί ούτε και να σταματήσει εφόσον μέρος των πληροφοριών ήταν αναγκαίες για την πρόοδο της οικονομικής ζωής, την οργάνωση της διοίκησης και την επιστημονική έρευνα κλπ. Ενόψει της συνύπαρξης κινδύνων και ωφελειών από την επεξεργασία προσωπικών δεδομένων, η Ευρώπη οδηγήθηκε στη σκέψη να δημιουργηθεί ένα αυστηρό νομοθετικό πλαίσιο για την συγκέντρωση και επεξεργασία των προσωπικών δεδομένων. Ειδικά δε, σε ότι αφορά τον κρίσιμο χώρο της υγείας, στα πλαίσια του γνωστού σχεδίου δράσης eeurope2005 8, εντάσσεται και η πολιτική για την 8 Αποτελεί βασικό στοιχείο της στρατηγικής στης Λισαβόνας και διαδέχεται το σχέδιο δράσης eeurope Ορίζει το γενικό πλαίσιο για μια συντονισμένη ευρωπαϊκή πολιτική μεθοδολογία σε θέματα της 12

13 ΕΙΣΑΓΩΓΗ «ηλεκτρονική υγεία». Με τον όρο αυτό περιγράφεται η εφαρμογή τεχνολογιών στο χώρο των πληροφοριών και επικοινωνιών, σε όλο το φάσμα των λειτουργιών που επηρεάζουν τον τομέα της υγείας. Στην ηλεκτρονική υγεία περιλαμβάνονται υπηρεσίες, προϊόντα και συστήματα, τα οποία ξεπερνούν τις απλές εφαρμογές που βασίζονται στο Ίντερνετ και αφορούν τις υγειονομικές αρχές, το ιατρονοσηλευτικό προσωπικό καθώς και τους ασθενείς. Επίσης τον Απρίλιο του 2004 η Επιτροπή, με ανακοίνωση της ενέκρινε σχέδιο δράσης 9, στο οποίο παρουσιάζονται οι τρόποι χρησιμοποίησης των τεχνολογιών της πληροφορίας και των επικοινωνιών για την παροχή υψηλότερου επιπέδου υπηρεσιών υγειονομικής περίθαλψης σε επίπεδο ΕΕ. Το σχέδιο δράσης για την ηλεκτρονική υγεία καλύπτει διάφορα θέματα, μεταξύ των οποίων, οι ηλεκτρονικές ιατρικές συνταγές, τα ηλεκτρονικά μητρώα υγείας καθώς και η χρήση νέων υπηρεσιών και συστημάτων για τον περιορισμό του χρόνου αναμονής και τη μείωση της πιθανότητας ιατρικών λαθών. Στόχος του εν λόγω σχεδίου δράσης είναι η δημιουργία ενός «Ευρωπαϊκού Χώρου Ηλεκτρονικής Υγείας 10». Από τα παραπάνω καθίσταται προφανές, ότι η ηλεκτρονική υγεία αποτελεί ένα σύγχρονο εργαλείο για την επίτευξη σημαντικής αύξησης στην παραγωγικότητα και το μελλοντικό μέσο για την αναδιάρθρωση των συστημάτων υγείας. Συνδυαζόμενη µε οργανωτικές αλλαγές και µε την ανάπτυξη νέων δεξιοτήτων, μπορεί να συμβάλει στην εξασφάλιση βελτιωμένης περίθαλψης µε μικρότερη δαπάνη, δίνοντας ώθηση στην ποιότητα και την αποτελεσματικότητα των προσφεροµένων υπηρεσιών. Όλες αυτές οι εξελίξεις σηματοδοτούν μια νέα εποχή για τις ιατρικές πληροφορίες και τα προσωπικά στοιχεία των ασθενών στην Ευρώπη, αφού ο κοινωνίας της πληροφορίας. Ο συνολικός συντονισμός των υφισταμένων πολιτικών θα έχει ως αποτέλεσμα τη δημιουργία συνέργειας μεταξύ των προτεινόμενων δράσεων. Στόχοι: η τόνωση της προσφοράς ασφαλών υπηρεσιών, εφαρμογών και περιεχομένου βάσει ευρύτερα διαθέσιμης ευρυζωνικής υποδομής και η μετάβαση στην πανευρωπαϊκή ηλεκτρονική διακυβέρνηση. Τρόποι υλοποίησης: επίσπευση του κατάλληλου νομικού περιβάλλοντος, υποστήριξη των νέων υποδομών σε Ευρωπαϊκό επίπεδο, ανοιχτή μέθοδος συντονισμού και συγκριτική αξιολόγηση(benchmarking) της πορείας για την επίτευξη των στόχων και πολιτικών, υιοθέτηση και συντήρηση κοινών προτύπων διαλειτουργικότητας, ανάδειξη, εκμετάλλευση βέλτιστων πρακτικών αλλά και προσαρμογή τους στις εξελίξεις της ευρωπαϊκής κοινωνίας, COM(2002) 263 τελικό. 9 «ehealth» (ηλεκτρονική υγεία) βελτίωση των υπηρεσιών ιατροφαρμακευτικής περίθαλψης για τους πολίτες της Ευρώπης: Σχέδιο δράσης για έναν Ευρωπαϊκό Χώρο ηλ-υγείας», COM(2005) 356 τελικό. 10 Ευρωπαϊκός χώρος ηλεκτρονικής υγείας: αναδυόμενο πλαίσιο, συντονισμένων δράσεων και συνεργίας στην ηλεκτρονική υγεία, βασισμένο σε ευρύ φάσμα ευρωπαϊκών πολιτικών και πρωτοβουλιών, που θα δημιουργήσει ευνοϊκό περιβάλλον για την ολοκλήρωση συναφών πολιτικών σε κοινοτικό επίπεδο. 13

14 ΕΙΣΑΓΩΓΗ ολοένα αυξανόμενος αριθμός τους και η δικτύωση στο σύνολο σχεδόν της ανθρώπινης δραστηριότητας ιατρών, νοσηλευτών και ασθενών, αλλάζει το περιβάλλον χρήσης τους και συνεπώς δημιουργείται αναπόφευκτα η ανάγκη επιπρόσθετων μέτρων προστασίας των ιατρικών δεδομένων. Η δημιουργία εμπιστοσύνης των πολιτών μέσω της πεποίθησης ότι οι προσωπικές τους πληροφορίες θα παραμείνουν ιδιωτικές, αποτελεί προαπαιτούμενο για την ανάπτυξη της ηλεκτρονικής υγείας, αφού οι πολίτες επιθυμούν οι ιατρικές πληροφορίες που αντλούν και οι υπηρεσίες που τους προσφέρονται να είναι προσαρμοσμένες στις ανάγκες τους, γνωρίζοντας όμως παράλληλα ότι προστατεύονται και τα θεμελιώδη δικαιώματα τους. 14

15 ΚΕΦΑΛΑΙΟ Ο ΠΡΩΤΟ ΤΑ Α ΠΡΟΣΩΠΙΚΑ Α ΔΕΔΟΜΕΝΑ 15

16 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ 1.1 Η προστασία των προσωπικών δεδομένων ως θεσμική αντίδραση στους τεχνολογικούς κινδύνους Η απελευθέρωση της διακίνησης των πληροφοριών από ποσοτικούς, τοπικούς και χρονικούς περιορισμούς τροποποίησε το ρυθμιστικό πλαίσιο προστασίας ανάλογα, για να προσαρμοσθεί στις νέες συνθήκες της τεχνολογικής εξέλιξης και οδήγησε σε εξειδικευμένους κανόνες προστασίας κατά τομείς και ανά τεχνολογική εφαρμογή. Oι ρυθμίσεις περί προστασίας προσωπικών δεδομένων αποτέλεσαν τη θεσμική αντίδραση στους κινδύνους που προκαλεί η αυτοματοποιημένη κυρίως επεξεργασία πληροφοριών στα θεμελιώδη δικαιώματα και είναι προσαρμοσμένες στις φάσεις της αυτοματοποιημένης επεξεργασίας (στη συλλογή, καταχώρηση, διαβίβαση κλπ). Το νομοθετικό πλαίσιο προστασίας προσωπικών δεδομένων αποτελεί μία κωδικοποίηση των εξαιρέσεων, βάσει των οποίων νομιμοποιείται η επεξεργασία, και επομένως οι προστατευτικές διατάξεις αποτελούν προληπτικές ρυθμίσεις που καθορίζουν τη νομιμότητα κάθε επεξεργασίας προσωπικών δεδομένων. Ο λόγος ύπαρξης ανεξαρτήτων ελεγκτικών αρχών είναι η τήρηση αυτών των κανόνων νομιμότητας και έτσι έμμεσα επιτυγχάνεται επίσης ο έλεγχος νομιμότητας των τεχνολογικών εφαρμογών. Κάθε τεχνολογία επεξεργασίας προσωπικών δεδομένων θα πρέπει να ανταποκρίνεται στις κανονιστικές ρυθμίσεις, καθιστώντας δυνατή τη νόμιμη επεξεργασία πληροφοριών ή τουλάχιστον να ελαχιστοποιεί τους κινδύνους παραβίασης της ιδιωτικότητας, ενσωματώνοντας μέτρα ασφαλείας. Ακολούθως η νομοθεσία επιτάσσει τη διαφάνεια των τεχνολογικών εφαρμογών, η οποία ελέγχεται και από το εξειδικευμένο προσωπικό των Αρχών Προστασίας. Παράλληλα οι σχεδιαστές και κατασκευαστές συστημάτων που υποβάλλουν σε επεξεργασία προσωπικά δεδομένα, υποχρεούνται να συμπεριλαμβάνουν στις απαιτήσεις των συστημάτων που θέτουν σε λειτουργία και τη θεμελιώδη απαίτηση της ασφάλειας και προστασίας της ιδιωτικότητας. Κατ' αυτόν τον τρόπο, η νομοθεσία κατευθύνει και την εξέλιξη της τεχνολογίας προς ένα «φιλικό» προς την ιδιωτικότητα προσανατολισμό Παρουσιάζεται ιδιαίτερη ανάπτυξη τεχνολογικών εφαρμογών που αποσκοπούν στην καλύτερη προστασία της ιδιωτικότητας κατά την αυτοματοποιημένη επεξεργασία. Οι φιλικές αυτές προς την ιδιωτικότητα εφαρμογές ονομάζονται ΡΕΤ5 (Privacy Enhancing Technologies), και είτε 16

17 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Η προληπτική στην ουσία ρύθμιση της νομιμότητας της επεξεργασίας και ο έλεγχος των τεχνολογικών εφαρμογών δεν αρκούν στο να προσδώσουν στην προστασία των προσωπικών δεδομένων τον χαρακτήρα διαδικασιών δημοκρατικής νομιμοποίησης. Βασικό στοιχείο είναι και η νομιμοποίηση της επεξεργασίας των προσωπικών του δεδομένων από το ίδιο το υποκείμενο. Αυτό επιτυγχάνεται με δύο τρόπους: (i) με τα δικαιώματα που το ρυθμιστικό πλαίσιο παρέχει στο υποκείμενο και (ii) με τη λήψη συγκατάθεσης η οποία αποτελεί και τη βασική προϋπόθεση νομιμότητας της επεξεργασίας 12. Συνεπώς, οι κανόνες περί προστασίας προσωπικών δεδομένων, αποτελούν αντίδραση της έννομης τάξης στους κινδύνους αυτούς κατευθύνοντας την εξέλιξη των τεχνολογικών εφαρμογών, ελέγχοντας τις συνέπειές τους και κυρίως θεσπίζοντας διαδικασίες νομιμοποίησης της επεξεργασίας προσωπικών πληροφοριών. Ως εκ τούτου το δίκαιο προστασίας προσωπικών δεδομένων μπορεί να αποτελέσει, λόγω και της σχετικά μακρόχρονης θέσπισης του, πρότυπο ρυθμιστικών κανόνων για μία κοινωνικά πρόσφορη και αποδεκτή στην εφαρμογή νέων τεχνολογιών, δικαιοκρατούμενη κοινωνία. 1.2 Η προστασία των προσωπικών δεδομένων στο ελληνικό δίκαιο Το συνταγματικό πλαίσιο προστασίας - το άρθρο 9Α Σ Το ελληνικό Σύνταγμα του 1975/1986/2001 περιλαμβάνει στις αναθεωρημένες διατάξεις του το άρθρο 9Α, το οποίο ορίζει ότι «κκααθθέέννααςς έέχχεει ιι δδι ιικκααί ίίωμμαα πρροοστταασί ίίααςς ααπόό ττηη συυλλλλοογγήή,, εεπεεξξεερργγαασί ίίαα κκααι ιι χχρρήήσηη,, ιιδδί ι ίίωςς μμεε ηηλλεεκκττρροοννι ιικκάά μμέέσαα,, ττωνν πρροοσωπι ιικκώνν ττοουυ δδεεδδοομμέέννωνν,, όόπωςς ννόόμμοοςς οορρί ίίζζεει ιι.. Η πρροοστταασί ίίαα ττωνν πρροοσωπι ιικκώνν δδεεδδοομμέέννωνν δδι ιιαασφααλλί ίίζζεεττααι ιι ααπόό ααννεεξξάάρρττηηττηη ααρρχχήή,, ποουυ συυγγκκρροοττεεί ίίττααι ιι κκααι ιι λλεει ιιττοουυρργγεεί ίί,, όόπωςς ννόόμμοοςς οορρί ίίζζεει ιι». Το συγκεκριμένο άρθρο 13 εξοπλίζει την ελληνική έννομη τάξη με ένα μακροπρόθεσμο και πλήρες ενσωματώνονται σε ήδη υπάρχουσες εφαρμογές (π.χ. συστήματα αποφυγής των cookies στο διαδίκτυο) είτε αποτελούν συστήματα επεξεργασίας που έχουν ήδη λάβει υπόψη κατά τον σχεδιασμό τους την προστασία της privacy. 12 Βλ. Π. Δόνου, Τεχνολογική Διακινδύνευση και Προστασία Προσωπικών Δεδομένων, Νέες Τεχνολογίες και Συνταγματικά Δικαιώματα, Βλ. Ε. Βενιζέλου, Αναθεωρητικό Κεκτημένο, 2002, σελ

18 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ προστατευτικό κέλυφος. Εντάσσεται δε στα νέα δικαιώματα 14, κοινό χαρακτηριστικό των οποίων είναι η μέριμνα για τη διαφύλαξη της προσωπικής αυτονομίας και αυτοκαθορισμού σε συνθήκες οικονομικής ανάπτυξης και αξιοποίησης της τεχνολογίας 15. Η συνταγματική κατοχύρωση ενός αυτοτελούς δικαιώματος προστασίας των προσωπικών δεδομένων δηλώνει την προσαρμογή της έννομης τάξης στις σύγχρονες τεχνολογίες, θεσπίζοντας την υποχρέωση του νομοθέτη να παρακολουθεί τις εξελίξεις, ώστε να είναι εφικτή η λήψη πρόσθετων θετικών μέτρων όσον αφορά το επίπεδο προστασίας, το οποίο δεν μπορεί παρά να είναι υψηλό. Με το άρθρο 9Α δεν εισάγεται ένα «νέο δικαίωμα», διότι η διάταξη αυτή ουσιαστικά τυποποιεί σε συνταγματικό επίπεδο προγενέστερες ρυθμίσεις διεθνών νομικών κειμένων, όπως είναι η Σύμβαση 108/1981 και η Οδηγία 95/46/ΕΚ, αλλά και της κοινής νομοθεσίας 16. Η προστασία των προσωπικών δεδομένων κατά το άρθρο 9Α Σ, δεν σημαίνει ότι απαγορεύεται γενικά η συλλογή, επεξεργασία και χρήση τους, ούτε δίνει τη δυνατότητα στον κοινό νομοθέτη να καθιερώσει τέτοια απόλυτη απαγόρευση. Αντιθέτως δε, η έννοια της εν λόγω διάταξης είναι το ότι υποχρεώνει τον νομοθέτη να διαμορφώσει ένα περιοριστικό θεσμικό πλαίσιο μέσα στο οποίο καθίσταται θεμιτή η επεξεργασία προσωπικών δεδομένων. Η διάταξη του άρθρου 9Α Σ, έχει ειδικό χαρακτήρα σε σχέση με τις άλλες διατάξεις που κατοχυρώνουν ατομικά δικαιώματα και επικρατεί απέναντι τους, ιδίως 14 Βλ. κυρίως το νέο άρθρο 5Α Σ. 15 Η γειτνίαση της διάταξης του άρθρου 9Α με τη διάταξη του άρθρου 9 Σ. υποδηλώνει ότι το άρθρο 9Α καθιερώνει ένα αμυντικό δικαίωμα κατά των επεμβάσεων στις θεμελιώδεις ελευθερίες και ιδίως στο δικαίωμα της ιδιωτικής ζωής. 16 Επισφραγίζεται έτσι η θεσμική πορεία της ελληνικής έννομης τάξης που ακολουθήθηκε με την υπογραφή της Σύμβασης 108, η οποία κυρώθηκε με το ν. 2068/92, όπως και με την εναρμόνιση προς την Οδηγία 95/46/ΕΚ με τη ψήφιση του ν. 2472/97, αλλά και με τη ψήφιση του ν. 2774/99 (προστασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα).. Παρομοίως και η Ευρωπαϊκή Σύμβαση Ανθρωπίνων Δικαιωμάτων (ΕΣΔΑ) κατοχυρώνει το δικαίωμα της ιδιωτικής ζωής υπέρ όλων των ατόμων, στο άρθρο 8 1, το οποίο ορίζει ότι: «Παν πρόσωπον δικαιούται εις τον σεβασμό της ιδιωτικής και οικογενειακής ζωής του...», όπως και ο Χάρτης θεμελιωδών Δικαιωμάτων της ΕΕ (άρθρο 8). Η διατύπωση του συνταγματικού κειμένου δεν είναι λεπτομερής, όπως είναι αντιστοίχως, η διάταξη του άρθρου 8 του Χάρτη θεμελιωδών Δικαιωμάτων της ΕΕ, το οποίο περιέχει εξειδικευμένη αναφορά στο δικαίωμα της προστασίας προσωπικών δεδομένων και ορίζει ότι: «1. Κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. 2. Η επεξεργασία αυτών των δεδομένων πρέπει να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο. Κάθε πρόσωπο έχει δικαίωμα να έχει πρόσβαση στα συλλεχθέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωση τους. 3. Ο σεβασμός των κανόνων αυτών υπόκειται στον έλεγχο ανεξάρτητης αρχής.». Η προστασία προσωπικών δεδομένων συμπεριλήφθηκε και στο σχέδιο της Ευρωπαϊκής Συνταγματικής Συνθήκης (Ι-51 και ΙΙ-68). 18

19 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ έναντι των διατάξεων των άρθρων 9 1 εδαφ. β και 5 1 Σ. Το άρθρο 9Α χρησιμοποιεί την έννοια των προσωπικών δεδομένων με τον ευρύτερο δυνατό τρόπο, εντάσσοντας στο πεδίο της προστασίας του κάθε ενέργεια συλλογής, επεξεργασίας και χρήσης καταλαμβάνοντας κάθε είδους επεξεργασία με ηλεκτρονικά ή συμβατικά μέσα 17. Όσον αφορά το ζήτημα αν το δικαίωμα αναπτύσσει τριτενέργεια, αυτό επιλύεται καταφατικά 18, καθ' όσον ορίζεται στη διάταξη του άρθρου 25 1 εδαφ. γ Σ, ότι «τα δικαιώματα του ανθρώπου ως ατόμου και ως μέλους του κοινωνικού συνόλου ισχύουν και στις σχέσεις μεταξύ ιδιωτών, στις οποίες προσιδιάζουν». Η κατοχύρωση όμως σε «συνταγματικό» επίπεδο φαίνεται να μη συνοδεύεται από μία γενικότερη κανονιστική ενίσχυση του δικαιώματος: Κατά την τελευταία πενταετία και ως απότοκο της 11 ης Σεπτεμβρίου 2001 και των λοιπών τρομοκρατικών χτυπημάτων, παρατηρείται η βαθμιαία συρρίκνωση της προστασίας των προσωπικών δεδομένων. Η αύξηση των περιορισμών του δικαιώματος επιβάλλεται κυρίως μέσω διακρατικών συμφωνιών ή εργαλείων του υπερεθνικού δικαίου. Αυτό αποτυπώνεται σε δύο πρόσφατα γεγονότα: α) την υιοθέτηση της αρχής της διαθεσιμότητας των προσωπικών δεδομένων στις αρμόδιες αρχές, στο πλαίσιο της αστυνομικής και ποινικής συνεργασίας στις ποινικές υποθέσεις 19, β) την υιοθέτηση της Οδηγίας για τη διατήρηση των δεδομένων που συνδέονται με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών για σκοπούς καταπολέμησης του εγκλήματος. Η ισχύς του δικαιώματος προστασίας των προσωπικών δεδομένων υποσκάπτεται επιπλέον από την παγκοσμιοποίηση των πληροφοριακών ροών, αποτελώντας έτσι μείζον ζήτημα λόγω και των σημαντικών αποκλίσεων ως προς το επίπεδο προστασίας που προσφέρεται στις διάφορες έννομες τάξεις. Η 17 Έτσι καθίσταται πληρέστερη η προστασία του ατόμου ενόψει των κινδύνων που συνεπάγεται η αυτοματοποιημένη, αλλά και η δια χειρός επεξεργασία προσωπικών δεδομένων που αφορούν το πρόσωπο. 18 Από το συνδυασμό των άρθρων 9Α και 25 1 εδαφ. γ' Σ συνάγεται ότι ο συνταγματικός νομοθέτης δεν απευθύνει απλώς επιταγή προς τον κοινό νομοθέτη να θεσπίσει τα κατάλληλα νομοθετικά μέτρα για την αποτροπή των παραβιάσεων του δικαιώματος προστασίας του ατόμου απέναντι στη συλλογή, αποθήκευση και επεξεργασία των προσωπικών δεδομένων, αλλά καθορίζει ρητά ότι η διάταξη αυτή αναπτύσσει ισχύ και στις σχέσεις μεταξύ ιδιωτών. 19 Βλ. Πρόταση της Επιτροπής για Απόφαση/Πλαίσιο του Συμβουλίου «σχετικά µε την προστασία των δεδομένων προσωπικού χαρακτήρα που εξετάζονται στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις», COM (2005) 475 τελικό. 19

20 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Διεθνής Συνδιάσκεψη των Επιτρόπων Προστασίας Δεδομένων και Ιδιωτικότητας 20, δεσμεύτηκε να εκπονήσει μιας παγκόσμια σύμβαση για την ενίσχυση της διεθνούς αναγνώρισης του οικουμενικού χαρακτήρα του δικαιώματος, παροτρύνοντας τα Ηνωμένα Έθνη να προετοιμάσουν ένα δεσμευτικό νομικό κείμενο, το οποίο θα πρέπει να διατυπώνει λεπτομερώς τα δικαιώματα προστασίας των προσωπικών δεδομένων ως ανθρώπινα δικαιώματα, ενθαρρύνοντας όσα κράτη δεν έχουν ήδη, να θεσπίσουν νομοθεσίες σύμφωνες με τις διεθνώς αναγνωρισμένες αρχές προστασίας των δεδομένων Ο ν. 2472/1997 «Προστασία του ατόμου από επεξεργασία δεδομένων προσωπικού χαρακτήρα» α. Γενικές παρατηρήσεις Η ικανότητα των ηλεκτρονικών υπολογιστών να συλλέγουν, να αποθηκεύουν, να επεξεργάζονται και να μεταδίδουν προσωπικές πληροφορίες είναι δυνατόν να προσβάλει την ιδιωτικότητα, την προσωπικότητα, την ανεξαρτησία και γενικότερα την ελευθερία του ανθρώπου, όπως ήδη αναλύθηκε 21. Στην περίπτωση που δεν είναι δυνατή η εξασφάλιση σφαίρας απρόσιτης σε τρίτους, δεν μπορεί να υπάρξει ούτε πραγματικά προσωπική απόφαση, ούτε και ανεξάρτητη αντίδραση στην κρατική αλλά και ιδιωτική 20 27th International Conference of Data Protection and Privacy Commissioners, Montreux (14-16 September 2005) Towards the recognition of a universal right to data protection and privacy. Για περισσότερες πληροφορίες: 21 Κατά το Σταθόπουλο, η ραγδαίως εξελισσόμενη ηλεκτρονική τεχνολογία επιτρέπει την σε ελάχιστο χρόνο και με ελάχιστο κόστος επεξεργασία των προσωπικών δεδομένων. Οι πολλαπλασιασμένοι κίνδυνοι για το υποκείμενο των δεδομένων, το άτομο δηλαδή στο οποίο αναφέρονται οι πληροφορίες, μπορούν να διακριθούν σε τρεις κυρίως κατηγορίες: α) Ο ηπιότερος κίνδυνος είναι να θιγεί από τη χρήση, τη δημοσιοποίηση, τη διάδοση κλπ η ησυχία του ατόμου, το δικαίωμα του στη μόνωση, την ψυχική ηρεμία, στη μη παρενόχληση, τη μη αποκάλυψη των στοιχείων της προσωπικής του σφαίρας, που μόνο αυτό μπορεί να τα διαχειρίζεται, να τα δημοσιοποιεί ή όχι. β) Όταν υπάρχουν και αρνητικά δεδομένα ο κίνδυνος είναι μεγαλύτερος: κίνδυνος εκμετάλλευσης σε βάρος του ατόμου των εν λόγω δεδομένων, ακόμη και αν αυτά αφορούν το μακρινό παρελθόν, δεδομένων που κάποτε δικαιούται το άτομο να αξιώσει να «ξεχαστούν» ή να μη μεγαλοποιηθούν. γ) Ακόμη μεγαλύτερος είναι ο κίνδυνος κατηγοριοποίησης των ατόμων μέσω σχηματικής ταξινόμησης και κατάταξης των δεδομένων που τα αφορούν, με συνέπεια να ελέγχονται ευκολότερα, να γίνονται διακρίσεις μεταξύ τους και να χειραγωγείται η δράση ή ακόμη και η σκέψη τους. Μ. Σταθόπουλου, Η Χρήση των Προσωπικών Δεδομένων και η Διαπάλη μεταξύ Ελευθεριών των Κατόχων τους και Ελευθεριών των Υποκειμένων τους, ΝοΒ 2000, σελ. 2 επ. 20

21 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ δραστηριότητα. Οι αυξημένες χάρη στη σύγχρονη τεχνολογία δυνατότητες συλλογής και ποικίλης χρήσης πληροφοριών, συνεπάγονται κινδύνους για επεμβάσεις, ήπιες ή έντονες, στην προσωπικότητα του ατόμου, μετατρέποντας την ιδιωτική του ζωή σε οικονομικό μέγεθος και απαλλοτριωτό αγαθό 22 και γι αυτό δημιουργούν την ανάγκη ειδικής προστασίας. Εκτός από την Ελλάδα και σε πολλά άλλα κράτη 23 συναντάται ειδική νομοθεσία για την προστασία των προσωπικών δεδομένων. Σε ορισμένα δε από αυτά, όπως είναι η Σουηδία, η Ισπανία, η Πορτογαλία, η Αυστρία κλπ, η προστασία από την επεξεργασία προσωπικών δεδομένων ανάγεται σε ιδιαίτερο συνταγματικό δικαίωμα. Η προστασία του ιδιωτικού βίου ως έκφανσης της προσωπικότητας, είχε αφενός συνταγματική κατοχύρωση (άρθρο 9 1 εδαφ. 2, 2 1 & 5 1 & 19 Σ) και αφετέρου στηριζόταν στην πρωτοποριακή διάταξη του άρθρου 57 ΑΚ 24, όπου αναγνωρίζεται το δικαίωμα στην προσωπικότητα, το οποίο καλύπτει όλα τα αγαθά που απορρέουν από την προσωπικότητα και επομένως και αυτά στα οποία αναφέρεται ο ν.2472/ Όπως αναφέρεται στην εισηγητική έκθεση του νόμου, η θέσπιση της ειδικής ρύθμισης, δικαιολογείται από τη διαπίστωση ότι για την προστασία του ατόμου από την πληροφορική δεν αρκούν οι γενικές διατάξεις προστασίας της προσωπικότητας, αλλά επιβάλλονται ειδικές ρυθμίσεις, επειδή οι κίνδυνοι από την απεριόριστη συλλογή και επεξεργασία πληροφοριών είναι ασυγκρίτως πιο άμεσοι για το άτομο και την ιδιωτική ζωή από τις συνήθεις προσβολές της προσωπικότητας. 22 Κ. Ανθίμου, Το Δικαίωμα Πληροφοριακού Αυτοκαθορισμού του Ατόμου ως Έκφανση του Δικαιώματος επί της Προσωπικότητας, ΚριτΕ 1/1998, σελ Ανάμεσα στα κράτη που έχουν προβεί στη θέσπιση σχετικών νομοθετημάτων, συμπεριλαμβάνεται η πλειοψηφία των ευρωπαϊκών κρατών. Νομοθεσία για την προστασία των προσωπικών δεδομένων έχουν επίσης εισαγάγει ορισμένα ασιατικά κράτη, π.χ. Ταϊβάν, Ιαπωνία, Μαλαισία, αλλά και προηγμένες βιομηχανικά χώρες, όπως είναι ο Καναδάς ή η Αυστραλία, ενώ σχετικά νομοσχέδια έχουν κατατεθεί και σε κράτη της Νοτίου Αμερικής, όπως είναι η Αργεντινή, η Βραζιλία και η Χιλή. 24 Η διάταξη του άρθρου 57 σε συνδυασμό με τη διάταξη του άρθρου 59 προβλέπει τέσσερις αξιώσεις σε περίπτωση παράνομης προσβολής της προσωπικότητας (αξίωση άρσης της προσβολής, παράλειψης της στο μέλλον, χρηματική ικανοποίηση της ηθικής βλάβης και αξίωση αποζημίωσης για περιουσιακή ζημία κατά τις διατάξεις για την αδικοπρακτική ευθύνη). Με τη διάταξη αυτή, μπορούσε μεν να αντιμετωπισθεί η προσβολή του ατόμου από την αθέμιτη επεξεργασία των δεδομένων, όχι όμως στην έκταση που καλύπτουν οι διατάξεις του ν.2472/1997, η προστασία του οποίου αποτελεί ειδική εκδήλωση, συγκεκριμενοποίηση του ευρύτερου κανόνα της προστασίας της προσωπικότητας. 25 Αυτό όμως δεν σημαίνει ότι η νέα ρύθμιση του νόμου 2472 δεν υπήρξε αναγκαία, ειδικότερα αν ληφθεί υπόψη ότι η προστασία του άρθρου 57 ΑΚ είναι γενική και δεν καλύπτει τις νέες προσβολές της προσωπικότητας από τη δυναμική εισβολή της ηλεκτρονικής τεχνολογίας, ενώ η προστασία αυτή παρέχεται με την εκ των υστέρων προσφυγή στη δικαστική εξουσία. 21

22 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Με τον ν. 2472/1997, αφενός καθορίσθηκε τι αποτελεί προσωπικό δεδομένο και πώς επιτρέπεται η συλλογή και επεξεργασία του καθώς και τα δικαιώματα του υποκειμένου των πληροφοριών απέναντι στον κάτοχο των πληροφοριών και αφετέρου καθιερώθηκε δημόσιος έλεγχος της τήρησης των προσωπικών δεδομένων (αδειοδότηση, ίδρυση ανεξάρτητης Αρχής). Το άρθρο 1 του ν. 2472/1997 προσδιορίζει το αντικείμενο του νόμου, το οποίο συνίσταται στη θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με στόχο την προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων. Δεεδδοομμέένναα πρροοσωπιιικκοούύ χχααρραακκττήήρραα ααποοττεελλοούύνν οοι ιι πλληηρροοφοορρί ίίεεςς ποουυ ααννααφέέρροοννττααι ιι σττοο υυποοκκεεί ίίμμεεννοο ττωνν δδεεδδοομμέέννωνν,, εεννώ υυποοκκεεί ίίμμεεννοο ττωνν δδεεδδοομμέέννωνν εεί ίίννααι ιι ττοο φυυσι ιικκόό πρρόόσωποο σττοο οοποοί ίίοο ααννααφέέρροοννττααι ιι τταα δδεεδδοομμέένναα κκααι ιι ττοουυ οοποοί ίίοουυ ηη ττααυυττόόττηητταα εεί ίίννααι ιι γγννωσττήή ήή μμποορρεεί ίί νναα εεξξαακκρρι ιιββωθθεεί ίί,, δδηηλλααδδήή νναα πρροοσδδι ιιοορρι ιισθθεεί ίί ααμμέέσωςς ηη εεμμμμέέσωςς.. Βασική είναι η διάκριση των πληροφοριών σε ααπλλάά κκααι ιι εευυααί ίίσθθηητταα 26. Απλά, είναι οι πάσης φύσεως πληροφορίες που αναφέρονται στο υποκείμενο των δεδομένων ενώ ευαίσθητα, τα δεδομένα που αφορούν την φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε ένωση, σωματείο, συνδικαλιστική οργάνωση, την υγεία, την κοινωνική πρόνοια και την ερωτική ζωή, τις ποινικές διώξεις ή καταδίκες. Όσον αφορά τα απλά δεδομένα η συγκέντρωση και επεξεργασία είναι δυνατή μόνο με τη συγκατάθεση του υποκειμένου, αφού γνωστοποιηθεί στην Αρχή η τήρηση αρχείου (άρθρο 6) ενώ όσον αφορά τα ευαίσθητα 27, η συλλογή και επεξεργασία είναι απαγορευμένη και κατ' εξαίρεση επιτρεπτή μετά από προηγούμενη άδεια της Αρχής (άρθρο 7) β. Ποιοτικά χαρακτηριστικά των δεδομένων Το προστατευτικό πλαίσιο κανόνων που εισάγεται με το νόμο περιλαμβάνει ένα σύστημα ουσιαστικών ρυθμίσεων που θέτει τις προϋποθέσεις νομιμότητας της επεξεργασίας και προσδιορίζει δεσμευτικά το σημείο 26 Επισημαίνεται πάντως η σχετικότητα της διάκρισης αφού κάθε πληροφορία αποκτά την ποιότητα και την αξία της μέσα από τη διαδικασία της επικοινωνίας και σε αναφορά με τον ειδικό σκοπό συλλογής και επεξεργασίας της. Βλ. Λ. Μήτρου, Προσωπικά Δεδομένα, Ιδιωτικότητα και Απόρρητο, σελ.20 επ. στο Ιατρικό Απόρρητο, Η υγεία κατά τον ν. 2472/1997 αποτελεί ευαίσθητο προσωπικό δεδομένο και απολαμβάνει αυξημένης προστασίας, όπως θα αναλυθεί σε επόμενο κεφάλαιο. 22

23 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ισορροπίας μεταξύ των ανταγωνιστικών δικαιωμάτων και συμφερόντων. Το σύστημα ουσιαστικών ρυθμίσεων περιλαμβάνεται στα άρθρα 4-10 στο κεφάλαιο υπό τον τίτλο «Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα» και αποτελεί εξειδίκευση γενικών αρχών του συνταγματικού και κοινοτικού δικαίου στα ειδικά θέματα της προστασίας προσωπικών δεδομένων και στο επίπεδο της κοινής νομοθεσίας. Στο άρθρο 4 περιέχονται οι αρχές 28 που πρέπει να διέπουν την «ποοι ιιόόττηητταα ττωνν δδεεδδοομμέέννωνν» (data quality). Από το σύνολο των προσωπικών δεδομένων η νομικά ανεκτή επεξεργασία εφαρμόζεται μόνο σε εκείνες τις κατηγορίες δεδομένων που πληρούν τις αρχές, οι οποίες προσδιορίζουν συγκεκριμένα ποιοτικά χαρακτηριστικά. Τα χαρακτηριστικά αυτά αναφέρονται: α) στον τρόπο και σκοπό συλλογής των δεδομένων, β) στον τρόπο και σκοπό της επεξεργασίας, γ) στο περιεχόμενο τους και τη σχέση συνάφειας που αυτό πρέπει να έχει ενόψει των σκοπών της επεξεργασίας, αλλά και ενόψει της ακρίβειας και της επικαιρότητας της πληροφορίας, δ) στον τρόπο, σκοπό, χρόνο της διατήρησης τους. Οι αρχές 29 αυτές αποτελούν νομοθετικές εξειδικεύσεις της συνταγματικά κατοχυρωμένης (άρθρο 25 1 Σ) αρχής της αναλογικότητας, σε συνδυασμό με το συνταγματικό δικαίωμα του άρθρου 9Α. Έννομη συνέπεια της επεξεργασίας κατά παράβαση των αρχών αυτών είναι το παράνομο της επεξεργασίας 30 αυτής, η οποία δεν θεραπεύεται μέσω της συγκατάθεσης ή της τήρησης των νόμιμων εξαιρέσεων από τη συγκατάθεση. Οι εν λόγω αρχές 31 διέπουν την νομιμότητα της επεξεργασίας των προσωπικών δεδομένων και συνεπώς, μπορεί μεν να αναφέρονται στις προδιαγραφές που πρέπει να παρουσιάζουν τα 28 Η τήρηση όλων των αρχών του άρθρου 4 1 εναπόκειται, κατά την περ. δ' εδαφ. γ', και 4 2 στον υπεύθυνο επεξεργασίας και ως εκ τούτου εξαρτώνται αιτιωδώς από την κρίση του. Η Αρχή διατηρεί την γενική αποφασιστική αρμοδιότητα της, κατά το άρθρο 19, ώστε να είναι σε θέση να κρίνει την τήρηση ή μη όλων των αρχών του άρθρου Δεν πρόκειται απλώς για κατευθυντήριες ή ερμηνευτικές αρχές, αλλά η δεσμευτικότητά τους είναι απόλυτη. Αποτελούν αναγκαστικό δίκαιο και η ιδιωτική βούληση δεν δύναται να παρεκκλίνει από την εφαρμογή τους (άρθρο 3 ΑΚ). Περιορισμός τους μπορεί να επέλθει μόνο από το Σύνταγμα ή από σύμφωνο με αυτό νόμο (άρθρο 25 1 εδαφ. δ'). 30 Ο κανόνας αυτός εξάγεται από την σχέση γενικού προς ειδικό που έχουν οι διατάξεις του άρθρου 4 σε σχέση με τις διατάξεις των άρθρων 5 και 7, αλλά και τη συνταγματική θεμελίωση που αυτές γνωρίζουν ως εξειδικεύσεις της αρχής της αναλογικότητας. 31 Οι κανόνες αυτοί, αφενός, μειώνουν τους κίνδυνους προσβολής της προσωπικότητας του υποκειμένου και αφετέρου, διασφαλίζουν το διαρκή έλεγχο της επεξεργασίας τόσο από την πλευρά των υποκειμένων τα οποία μόνο υπό αυτές τις προϋποθέσεις μπορούν να ασκήσουν τα δικαιώματα που προβλέπονται στο νόμο (άρθρα 11-14), όσο και από το κράτος, δηλαδή την Αρχή. 23

24 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ δεδομένα, αλλά στην ουσία συνθέτουν τους γγεεννι ιικκοούύςς κκααννόόννεεςς ττηηςς ννοομμι ιιμμόόττηηττααςς κκααι ιι ττηηςς συυννττααγγμμααττι ιικκάά ααποοδδεεκκττήήςς εεπεεξξεερργγαασί ίίααςς των προσωπικών δεδομένων. Πιο συγκεκριμένα: Σύμφωνα με το στοιχείο α της 1, τα προσωπικά δεδομένα για να τύχουν νόμιμης επεξεργασίας, πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο. Η συλλογή αποτελεί ειδική εργασία εντασσόμενη στη γενικότερη έννοια της επεξεργασίας, η οποία εν μέρει αυτονομείται από το νόμο και ως αρχική φάση επεξεργασίας, διέπεται από ειδικούς και γενικούς κανόνες (ααρρχχήή ττοουυ ννόόμμι ιιμμοουυ ττρρόόποουυ συυλλλλοογγήήςς). Σύμφωνα με το στοιχείο α της 1, τα δεδομένα πρέπει να συλλέγονται για σκοπούς καθορισμένους, σαφείς και νόμιμους και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών (ααρρχχήή ττοουυ σκκοοποούύ). Η αρχή του σκοπού 32 διέπει συνεπώς τόσο τη συλλογή, όσο και την εν γένει επεξεργασία των προσωπικών δεδομένων. Ο νόμος, διακρίνει τρεις επί μέρους αρχές: την αρχή του εκ των προτέρων καθορισμένου σκοπού, την αρχή της συνάφειας του σκοπού προς την συλλογή και επεξεργασία και την αρχή της νομιμότητας του σκοπού. Κατά την 1 στοιχείο β, τα προσωπικά δεδομένα, για να τύχουν νόμιμης επεξεργασίας πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. Απαγορεύεται επομένως η σώρευση πληροφοριών για μελλοντικές ανάγκες (ααρρχχήή ααννααλλοογγι ιικκόόττηηττααςς). Σύμφωνα με το άρθρο 4 1 στοιχείο γ, τα προσωπικά δεδομένα, για να τύχουν νόμιμης επεξεργασίας, πρέπει να είναι ακριβή και, εφόσον χρειάζεται να υποβάλλονται σε ενημέρωση. Η αρχή της ακρίβειας των δεδομένων αναλύεται στις υποχρεώσεις του υπεύθυνου επεξεργασίας ως προς το να: α) ανταποκρίνονται στην πραγματικότητα, δηλαδή να είναι αληθή και β) εφόσον 32 Ο σκοπός για τον οποίο συλλέγονται και υφίστανται επεξεργασία τα προσωπικά δεδομένα, πρέπει να είναι καθορισμένος ήδη κατά τη συλλογή των προσωπικών δεδομένων, προκειμένου να παρασχεθεί στη συνέχεια η δυνατότητα στον ενδιαφερόμενο να παρέχει τη συγκατάθεση του. Η αρχή του καθορισμένου και νόμιμου σκοπού της επεξεργασίας δεδομένων συναρτάται άμεσα προς την αρχή της σαφήνειας. Για να θεωρείται ο σκοπός καθορισμένος και νόμιμος, πρέπει να είναι σαφώς διατυπωμένος ώστε να ικανοποιείται πλήρως το δικαίωμα ενημέρωσης του υποκειμένου και η υποχρέωση γνωστοποίησης της επεξεργασίας στην Αρχή, αλλά και για να μπορεί να ελεγχθεί η πραγματική συμμόρφωση του υπεύθυνου επεξεργασίας προς τις επιταγές του νόμου και την άδεια της Αρχής, όταν αυτές απαιτούνται για τη νομιμότητα της επεξεργασίας. Εκτός από καθορισμένος και σαφής ο σκοπός της επεξεργασίας κατά την 1 στοιχ. α', απαιτείται να είναι και νόμιμος, ώστε η συλλογή και η επεξεργασία να είναι συμβατές με την αρχή του σκοπού. 24

25 ΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ αποτελούν στοιχεία που μεταβάλλονται να υπόκεινται σε επικαιροποίηση, έτσι ώστε να εξακολουθούν να ανταποκρίνονται στην τρέχουσα πραγματικότητα (ααρρχχήή ττηηςς αακκρρί ίίββεει ιιααςς ττωνν δδεεδδοομμέέννωνν). Εφόσον στα προσωπικά δεδομένα εφαρμόζεται από τον υπεύθυνο η ειδική μορφή επεξεργασίας που συνιστά διατήρηση τους, έχει εφαρμογή η διάταξη του άρθρου 4 1 στοιχείο δ. Σύμφωνα με αυτήν, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διατηρεί τα προσωπικά δεδομένα με μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων μόνο κατά μία συγκεκριμένη χρονική διάρκεια 33 που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής καν επεξεργασίας τους (περ. δ). Όταν εκλείψει ο σκοπός της συλλογής ή επεξεργασίας, τότε τα δεδομένα πρέπει είτε να διαγράφονται είτε να γίνονται ανώνυμα (ααρρχχήή ττηηςς χχρροοννι ιικκάά πεεπεερραασμμέέννηηςς δδι ιιααττήήρρηησηηςς) γ. Επεξεργασία δεδομένων προσωπικού χαρακτήρα Κεντρικό ρόλο στη διάρθρωση της προστασίας των προσωπικών δεδομένων διαδραματίζει η έννοια της επεξεργασίας. Ο νόμος θεσπίζει την προστασία από την επεξεργασία των προσωπικών δεδομένων, θέτοντας εξ αρχής ότι προϋπόθεση εφαρμογής του είναι η ύπαρξη και εφαρμογή επεξεργασίας επί των προστατευόμενων δεδομένων. Ως επεξεργασία δεδομένων προσωπικού χαρακτήρα ορίζεται από το νόμο ηη πρρααγγμμααττοοποοί ίίηησηη κκάάθθεε εερργγαασί ίίααςς ήή σεει ιιρράάςς εερργγαασι ιιώνν μμεε ήή χχωρρί ίίςς ττηη ββοοήήθθεει ιιαα ααυυττοομμααττοοποοι ιιηημμέέννωνν μμεεθθόόδδωνν κκααι ιι ηη εεφααρρμμοογγήή ττοουυςς σεε δδεεδδοομμέένναα πρροοσωπι ιικκοούύ χχααρραακκττήήρραα. Υιοθετώντας ο νόμος έναν ευρύ και εν μέρει αόριστο, ορισμό προσδιορίζει τα εννοιολογικά στοιχεία της, περιλαμβάνοντας έναν κατάλογο εργασιών 34 οι οποίες, εφαρμοζόμενες σε προσωπικά δεδομένα, 33 Η χρονική διάρκεια κατά την οποία ο υπεύθυνος επεξεργασίας δικαιούται να διατηρεί τα προσωπικά δεδομένα είναι συνάρτηση: α) της διάρκειας που απαιτείται για την πραγματοποίηση των σκοπών της συλλογής και της επεξεργασίας τους και β) της κυριαρχικής κρίσης της Αρχής για το επιτρεπτό μήκος της διάρκειας διατήρησης. Βλ. και την 1/05 οδηγία της Αρχής για την ασφαλή καταστροφή δεδομένων μετά το πέρας της περιόδου που απαιτείται καθώς και τις υπ.αρ. 15/06 & 20/07 αποφάσεις. 34 Ο κατάλογος αυτός είναι ενδεικτικός, γεγονός στο οποίο συντείνει η χρήση του «όπως» στη διατύπωση του άρθρου, αλλά και το ότι ο νόμος ως προστατευτικό νομοθέτημα, επιθυμεί να εντάξει στο πεδίο εφαρμογής του τυχόν μελλοντικές, νέες μορφές επεξεργασίας προσωπικών δεδομένων. Ωστόσο, παρά την ενδεικτικότητά του, ο κατάλογος των εργασιών είναι σχεδόν εξαντλητικός, παρουσιάζοντας τις δυνατές εργασίες που μπορούν να εφαρμοστούν πάνω σε προσωπικά δεδομένα. 25