Της Μαρίας Α. Κωνσταντινίδου/ Κ. Κέντρο Εγκληματολογίας και Δικανικών Επιστημών Κύπρου/ e-mail: info@cycfcs.org.cy

Οτιδήποτε συμβαίνει και νοιώθουμε ότι μας ενοχλεί με οποιονδήποτε τρόπο, αποτελεί παραβίαση των ορίων τα οποία έχουμε θέσει, προκειμένου να προστατεύσουμε την ταυτότητά μας, την ιδιωτική μας ζωή και ό,τι είναι για εμάς προσωπικό.

Μοντέρνες παραβιάσεις, μέσω διαδικτύου και πιο «διαχρονικές».

Σχεδόν καθημερινά λαμβάνουμε, διαφημιστικά ή πολιτικά μηνύματα, από χώρους τους οποίους ούτε καν γνωρίζουμε, ενώ ο αριθμός του κινητού μας τηλεφώνου, έχει καταχωρηθεί ως απόρρητος ή έχουμε αντιληφθεί ότι ένα τρίτο, άσχετο με τους τραπεζικούς λογαριασμούς μας, άτομο, γνωρίζει το υπόλοιπο του λογαριασμού μας, ή και τις συναλλαγές τις οποίες έχουμε κάνει και αυτό όχι απαραίτητα γιατί έχει παραβιάσει τον ηλεκτρονικό μας υπολογιστή, ούτε το σύστημα της Τράπεζας, αλλά γιατί τα στοιχεία δόθηκαν, εν αγνοία μας από τον ίδιο αυτό χώρο με τον οποίο υπήρχε δε και η γραπτή δέσμευση απορρήτου.

Το ίδιο και όταν ένα από τα σημαντικότερα στοιχεία το οποίο αποτελεί προσωπικό μας δεδομένο, το θέμα της υγείας ενός ατόμου, παραβιάζεται, είτε με την κοινοποίηση πληροφοριών σε τρίτα άτομα χωρίς καμία εξουσιοδότηση, είτε ακόμα και με την απώλεια του ιατρικού φακέλλου από τους Ιατρικούς χώρους.

Η Δρ. Χριστιάνα Μάρκου, Δικηγόρος - Νομικός Σύμβουλος και Λέκτορας Νομικής στο «Ευρωπαϊκό» Πανεπιστήμιο Κύπρου, με εξειδικευμένη γνώση σε ότι αφορά και στο θέμα των προσωπικών δεδομένων και έχοντας χειριστεί υποθέσεις αυτού του αντικειμένου, ενημερώνει για το θέμα αυτό.

file-000.jpeg

Τι εννοούμε με τον όρο προσωπικά δεδομένα;

Προσωπικά δεδομένα είναι τα δεδομένα (οι πληροφορίες δηλαδή) τα οποία αποκαλύπτουν τη ταυτότητα ενός φυσικού προσώπου το οποίο βρίσκεται εν ζωή ή από τα οποία είναι δυνατόν, με κατάλληλη επεξεργασία, η ταυτότητα ενός τέτοιου προσώπου να εξαχθεί. Είναι επομένως σημαντικό το γεγονός ότι προσωπικά δεδομένα δεν είναι μόνο το όνομα ή η διεύθυνση κάποιου προσώπου. Η διεύθυνση ηλεκτρονικού ταχυδρομείου είναι στις πλείστες των περιπτώσεων προσωπικό δεδομένο ως επίσης και πληροφορίες αναφορικά με διάφορα χαρακτηριστικά του προσώπου και της ζωής του από τις οποίες κάποιος μπορεί να ‘φτάσει’ στη ταυτότητα του. Στα χέρια της αστυνομίας (ιδίως), και το ΙP address του υπολογιστή ενός χρήστη είναι προσωπικό δεδομένο κάτι το οποίο ισχύει τόσο σε σχέση με τις στατικές όσο και σχετικά με τις δυναμικές ΙP addresses. Θεωρώ την απόφαση του Ανωτάτου Δικαστηρίου Κύπρου η οποία εκφράζει αντίθετη άποψη, εσφαλμένη. 

Τί συνιστά παραβίαση των προσωπικών δεδομένων ενός ατόμου;

H σχετική νομοθεσία, η οποία από το 2018, θα συνίσταται ως επί το πλείστον, στον Ευρωπαϊκό Κανονισμό για τη Γενική Προστασία Προσωπικών Δεδομένων, καθορίζει σαφώς τις συνθήκες στις οποίες ένα πρόσωπο, φυσικό ή νομικό, δύναται να επεξεργαστεί νομίμως προσωπικά δεδομένα που ανήκουν σε άλλο πρόσωπο και προνοεί διοικητικές ποινές μέχρι και 20.000,000 ευρώ σε ορισμένες περιπτώσεις ή ακόμα και να ξεπεράσουν το ποσό αυτό. Κάποιες από αυτές είναι η περίπτωση στην οποία το άτομο έχει συγκατατεθεί στην επεξεργασία και καθώς και η περίπτωση στην οποία η επεξεργασία είναι απολύτως αναγκαία για εκπληρωθεί σύμβαση μεταξύ του υπεύθυνου επεξεργασίας και του ατόμου. Συνάπτοντας για παράδειγμα μια σύμβαση δανείου με μια τράπεζα, η τράπεζα θα δικαιούται να επεξεργαστεί δεδομένα που με αφορούν, όπως έναν αριθμό λογαριασμού που διατηρώ συνοδευόμενο από το όνομά μου, ώστε να δύναται να εκτελέσει τη σύμβαση, δηλαδή να μου καταθέσει το ποσό του δανείου. Επεξεργασία η οποία δεν εμπίπτει σε μια οποιαδήποτε από τις νομοθετικώς καθορισμένες περιπτώσεις νόμιμης επεξεργασίας συνιστά παραβίαση προσωπικών δεδομένων. 
Φυσικά η νομοθεσία για τα προσωπικά δεδομένα δυνατόν να παραβιασθεί με ποικίλους άλλους τρόπους. Επειδή αυτή διατυπώνει δικαιώματα προς όφελος του ατόμου στο οποίο ανήκουν τα προσωπικά δεδομένα, (όπως το δικαίωμα πρόσβασης και διόρθωσης των δεδομένων του) και καθορίζει υποχρεώσεις που βαραίνουν κυρίως τον υπεύθυνο επεξεργασίας προσωπικών δεδομένων, (όπως είναι η υποχρέωση εφαρμογής επαρκών τεχνικών και άλλων μέτρων ασφαλείας σε βάσεις προσωπικών δεδομένων που διατηρούν), η έλλειψη συμμόρφωσης με ένα οποιοδήποτε από αυτά τα δικαιώματα και υποχρεώσεις, συνιστά παραβίαση της σχετικής νομοθεσίας. 

Τί προνοεί η σχετική Νομοθεσία για την προστασία του πολίτη στο θέμα αυτό;

Πρόκειται περί ενός εξαιρετικά λεπτομερή Κανονισμού ο οποίος διαλαμβάνει μεγάλο αριθμό διατάξεων οι οποίες καθορίζουν ποικίλα δικαιώματα και υποχρεώσεις τις περισσότερες φορές χρησιμοποιώντας “τεχνική” γλώσσα. Εξαιρετικής σημασίας είναι το γεγονός ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να τηρούν ορισμένες αρχές όπως είναι η αρχή που επιβάλλει όπως αυτοί συλλέγουν δεδομένα τα οποία είναι απολύτως αναγκαία για το σκοπό της επεξεργασίας και όπως χρησιμοποιούν αυτά αυστηρά και μόνο για τον σκοπό για τον οποίο τα έχουν συλλέξει. Εάν, για παράδειγμα, μια εταιρεία έχει εξασφαλίσει από τον πελάτη της προσωπικά του δεδομένα όπως είναι ένας αριθμός τηλεφώνου ώστε να μπορεί να επικοινωνεί για σκοπούς είσπραξης σχετικών τιμολογίων, η εταιρεία αυτή δεν μπορεί να χρησιμοποιήσει τον εν λόγω αριθμό και για άλλο σκοπό όπως είναι, για παράδειγμα, η αποστολή διαφημιστικών μηνυμάτων, εκτός βεβαίως εάν κατά τη συλλογή του δεδομένου έχει εξασφαλίσει ξεκάθαρη συγκατάθεση από μέρους του υποκειμένου. Θα πρέπει να τονισθεί ότι μια από τις σημαντικότερες διατάξεις του Κανονισμού αναφέρεται στην αρχή της ευθύνης του υπεύθυνου επεξεργασίας (the accountability principle). Σύμφωνα με αυτήν, δεν αρκεί ένας υπεύθυνος επεξεργασίας δεδομένων να τηρεί τις διατάξεις του Κανονισμού αλλά θα πρέπει να λαμβάνει επίσης τέτοια μέτρα και να φροντίζει να έχει στη κατοχή του τέτοια στοιχεία ώστε να δύναται να αποδείξει ότι συμμορφώνεται σε περίπτωση που, για παράδειγμα, αυτό ζητηθεί από τη αρμόδια αρχή. Άλλη σημαντική υποχρέωση η οποία πηγάζει από το Κανονισμό είναι εκείνη που θέλει τον υπεύθυνο επεξεργασίας να έχει εγκαθιδρύσει διαδικασία η οποία να του επιτρέπει να γνωστοποιεί στην αρμόδια αρχή και σε ορισμένες περιπτώσεις και στο άτομο στο οποίο ανήκουν τα προσωπικά δεδομένα, τυχόν διαρροή ή άλλη παραβίαση προσωπικών δεδομένων τα οποία βρίσκονται στη κατοχή του. Είναι σημαντικό να τονισθεί ότι η συγκεκριμένη νομοθεσία αφορά όλους όσους προβαίνουν σε αυτοματοποιημένη (και όχι μόνο) επεξεργασία προσωπικών δεδομένων, ανεξαρτήτως του τομέα στον οποίο δραστηριοποιούνται. 

Ποιες είναι οι συχνότερες μορφές παραβίασης προσωπικών δεδομένων οι οποίες συναντούμε να γίνονται στην Κύπρο, με βάση τις επίσημες καταγγελίες οι οποίες υπάρχουν;

Οι αποφάσεις της αρμόδιας αρχής, η οποία είναι ο Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, βρίσκονται δημοσιευμένες στον ιστότοπο του εν λόγω Γραφείου. Προκύπτει από εκεί ότι τα συχνότερα παράπονα αφορούν στην αποστολή διαφημιστικών μηνυμάτων από εμπόρους. Υπάρχουν όμως και αρκετά παράπονα άλλου είδους που αφορούν, μεταξύ άλλων, στην απώλεια ή αδυναμία εντοπισμού ιατρικών φακέλων από κρατικά νοσοκομεία καθώς και στην εγκατάσταση κλειστού κυκλώματος παρακολούθησης σε χώρους εργασίας. 

Ποια είναι η διαδικασία η οποία μπορεί να ακολουθήσει ένα άτομο για να προβεί σε καταγγελία μόνο του ή μέσω δικηγόρου για την διερεύνηση του παραπόνου του. Σε περίπτωση που για ένα παράπονο αποδειχθεί η παραβίαση των προσωπικών δεδομένων μετά από την διερεύνηση από την αρμόδια για τον σκοπό Αρχή, επιβάλλονται κάποιες κυρώσεις. Το παραπονούμενο άτομο, μπορεί να προχωρήσει και με λήψη δικαστικών μέτρων;

Η διαδικασία υποβολής παραπόνου στον Επίτροπο περιγράφεται στον ιστότοπο του εν λόγω Γραφείου και είναι πολύ απλή. Το παράπονο υποβάλλεται γραπτώς είτε ταχυδρομικώς, είτε μέσω φαξ ή ακόμη μέσω ηλεκτρονικού ταχυδρομείου. Σε περίπτωση που διαπιστωθεί παραβίαση προσωπικών δεδομένων, ο Επίτροπος έχει εξουσία να επιβάλει διοικητικές κυρώσεις υπό μορφή χρηματικού προστίμου στον παραβάτη. Θα πρέπει να τονισθεί ότι η υποβολή παραπόνου στον Επίτροπο δεν απολήγει σε αποζημίωση του ατόμου, σε περίπτωση που αυτός έχει υποστεί ζημία συνεπεία της παραβίασης. Η σχετική νομοθεσία αναγνωρίζει ένα τέτοιο ατομικό δικαίωμα αποζημίωσης, αυτό όμως δύναται να ασκηθεί μέσω πολιτικής αγωγής που θα πρέπει να καταχωρηθεί στο Επαρχιακό Δικαστήριο. Είναι ενδιαφέρον το γεγονός ότι δεν υπάρχει σχετική νομολογία στη Κύπρο γεγονός που σημαίνει ότι δεν έχουν ασκηθεί τέτοιες αγωγές. Γενικότερα, ούτε σε άλλα κράτη μέλη της ΕΕ υπήρξε διαδεδομένη η άσκηση του σχετικού δικαιώματος αποζημίωσης, κάτι το οποίο ίσως διαφοροποιηθεί συνεπεία της ιδιαίτερης δημοσιότητας την οποία φαίνεται να έλαβε ο επερχόμενος Κανονισμός ο οποίος αντικαθιστά την υφιστάμενη νομοθεσία για τα προσωπικά δεδομένα.
 
Πόσο εύκολα προχωρά ο πολίτης σε καταγγελία παραβίασης των προσωπικών του δεδομένων και εάν αυτή αφορά ένα οργανισμό όπως μία Τράπεζα και πως πιστεύετε ότι αντιμετωπίζεται το θέμα από το σύστημα δικαιοσύνης, σε περίπτωση που η υπόθεση αποδειχτεί ως παραβίαση από την αρμόδια Αρχή και προχωρήσει και με λήψη νομικών μέτρων;

Από πρακτικής άποψης, η υποβολή σχετικού παραπόνου από τον πολίτη δεν ενέχει οποιαδήποτε δυσκολία. Είναι όμως αληθές το γεγονός ότι σε σχέσεις εξάρτησης όπως είναι η σχέση εργοδότη και εργοδοτούμενου ή ακόμα και εκείνη μεταξύ τράπεζας και πελάτη, ο πολίτης δυνατόν να αντιμετωπίζει άλλου είδους προσκόμματα στην υποβολή παραπόνου. 

egklimaaa.jpg