Τα τελευταία χρόνια, ειδικά από τον Μάη του 2018, όταν ξεκίνησε πανευρωπαϊκά η ισχύς του τότε νέου Ευρωπαϊκού Κανονισμού για την Προστασία Προσωπικών Δεδομένων (GDPR),
πολύς λόγος και ντόρος γίνεται για την προστασία αυτών των δεδομένων. Απλών ή και ειδικών κατηγοριών, ευαίσθητων προσωπικών δεδομένων, όπως είθισται να ονομάζουμε. Οι πολίτες άρχισαν να βάζουν νέες λέξεις στις καθημερινές συνομιλίες τους, πέρα από το “τζιντιπιαρ” που έχει ακουστεί με όλους τους πιθανούς τρόπους (τζιπιαρ, τζιπιντιαρ, τζιαρ) κα. Παντού, πλέον, ακούμε για την λεγόμενη προστασία δεδομένων μας, τη στιγμή που, καλούμαστε από τρίτους ή προβαίνουμε οι ίδιοι, στην παραχώρηση των προσωπικών μας δεδομένων, χωρίς σκέψη.
Γιατί είναι τόσο σημαντική η παραχώρηση ή μη των προσωπικών μας δεδομένων;
Μα, Επειδή δεν μπορεί κανείς από εμάς, αυτή τη στιγμή, να αντιληφθεί την αξία, που έχει το δεδομένο μας, όπως το απλό ονοματεπώνυμο ή στοιχεία που μπορούν να μας ταυτοποιήσουν, σε μια εμπορική επιχείρηση που πολλαπλασιάζει την λίστα πιθανών πελατών της και με αυτό περίπου τον τρόπο και το Τζίρο της. Επειδή κανείς δεν μπορεί να σκεφτεί, ότι η φωτογραφία που θα ανεβάσει ένας ανήλικος στα 17 ή πιο κάτω έτη του, μπορεί να αποβεί μοιραία για την ανεύρεση εργασίας του στο μελλόν, γιατί ακόμη και αν διαγράψει αυτή τη φωτογραφία, πάντα θα μείνει ως αποτύπωμα στο ίντερνετ.
Επειδή κανείς δεν μπορεί να σκεφτεί, στέλνοντας το μήνυμα στο 13033 ή μέσω άλλων τρόπων που επιβάλλονται πλέον για την αποφυγή διάδοσης του επικίνδυνου ιού, ότι όλα όσα γίνονται σε μία περίοδο, όπως αυτή που διανύουμε τον τελευταίο χρόνο, της πανδημίας με τις απόλυτα εξαιρετικές διαδικασίες για την προστασία του “δημοσίου συμφέροντος”, μπορούν να θέσουν στην πλήρη αδράνεια το ιδιωτικό συμφέρον, και μάλιστα όταν η πανδημία θα είναι παρελθόν.
Επειδή κανείς δεν μπορεί να σκεφτεί, ότι με τις έξυπνες συσκευές που έχουμε στο σπίτι, το έξυπνο τηλέφωνο που συνδέεται με το ρολόι μας για την απλή παρακολούθηση της υγείας μας, ή που συνδέεται με το air condition, την τηλεόραση ή άλλες οικιακές συσκευές, θα μπορεί στο άμεσο μέλλον να αναπτύξει τέτοιους αλγόριθμους που θα δίνουν το δικαίωμα σε αυτούς που μας παρακολουθούν, μέσω των συσκευών αυτών, να μας κατατάσσουν σε κατηγορίες, ώστε αυτόματα να βγαίνουν αποφάσεις για εμάς, όχι από εμάς και χωρίς εμείς να μπορούμε να παρέμβουμε, τελικά.
Σενάρια επιστημονικής φαντασίας μπορεί να πει κανείς… Και όμως, είναι η πραγματικότητα, που ζούμε σήμερα και όπως διαγράφεται, αν δε βρεθούν οι Λευκές Βίβλοι για τον ηθικό περιορισμό αυτών των επεξεργασιών, είναι η πραγματικότητα που καθερώνεται χωρίς τη γνώση μας, αλλά με την απόλυτη συγκατάθεσή μας.
Συγκατάθεση
Νομίζουμε, ότι δίνουμε συγκατάθεση για την πλήρη επεξεργασία όλων των προσωπικών μας δεδομένων ή και εν γένει πληροφοριών της ιδιωτικής, οικογενειακής, επαγγελματικής ζωής. Βγάζουμε άπειρες πληροφορίες στα κοινωνικά δίκτυα αλλά το κάνουμε με τρόπο που νομίζουμε ότι δεν κινδυνεύουμε, ιδιωτικοποιώντας τον λογαριασμό μας, κοινοποιώντας μόνο για φίλους κα. Στέλνουμε μηνύματα στο 13033 για να κάνουμε σωματική άσκηση ή να πάμε στη δουλειά /σούπερμαρκετ ή στο γιατρό μας, χωρίς να ξέρουμε καθόλου την τύχη των πληροφοριών που δίνουμε (όνομα επώνυμο διεύθυνση και ακόμη δεδομένα υγείας). Έχουμε άυλη συνταγογράφηση, βάζουμε πολλά στοιχεία στα κινητά μας χωρίς να ξέρουμε που καταλήγουν. Υπογράφουμε έγγραφα που μας δίνουν οι οργανισμοί ή οι εταιρείες, η τράπεζα, το δημόσιο, ο πάροχος τηλεφωνίας ή ηλεκτρικού ρεύματος. Συμπληρώνουμε λίστες, αποδεχόμαστε όρους χωρίς να τους διαβάσουμε, λειτουργούμε χωρίς καμία ενημέρωση για καμία δραστηριότητα. Σκρολάρουμε, όπως είθισται να λέμε, στο διαδίκτυο χωρίς να προσέχουμε που μπαίνουμε και τι αποδεχόμαστε, όπως τα μπισκοτάκια “cookies”, που όλοι ζητούν από μας να αποδεχτούμε, και μετά έκπληκτοι δεχόμαστε βομβαρδισμό διαφημίσεων, για το επόμενο διάστημα, με το προϊόν ή την υπηρεσία που προηγουμένως κοιτούσαμε. Μιλούμε με φίλους/ συγγενείς/ συνεργάτες και ανοίγοντας το διαδίκτυο έρχονται διαφημίσεις με θέματα που μόλις αναλύαμε, και αναρωτιόμαστε αν το κινητό μας ή η έξυπνη συσκευή μας “διαβάζει” το μυαλό μας, αγνοώντας, ότι μπορεί να μη διαβάζει το μυαλό αλλά σίγουρα “ακούει & βλέπει” η συσκευή μας αυτά που λέμε και κάνουμε.
Δίνουμε άραγε τη συγκατάθεσή μας;
Και αν όντως δίνουμε σωστά τη συγκατάθεσή μας, πράγμα εξαιρετικά σπάνιο ακόμη και από ειδικούς, είναι πάντα η συγκατάθεση μας, αυτός ο νόμιμος λόγος που μπορεί κάποιος να πάρει από εμάς για να επεξεργαστεί, όχι παράνομα αλλά νόμιμα, τα στοιχεία μας;
Πρώτα από όλα, όταν μιλούμε με νομικούς όρους για Συγκατάθεση, εννοούμε τη σαφή δήλωση του υποκειμένου (ιδιοκτήτη) των δεδομένων, η οποία συνίσταται στην ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει απόφαση και συναίνεσή του για την επεξεργασία των δεδομένων του. Η κάθε μία από τις λέξεις αυτές (σαφής/ελεύθερη/ρητή/ εν πλήρει επιγνώσει) έχει συγκεκριμένη και πολυσύνθετη έννοια. Για παράδειγμα, ο εργοδότης απαγορεύεται να επεξεργάζεται δεδομένα εργαζομένων με νομική βάση τη συγκατάθεση (μόνο λόγω νόμου, σύμβασης κλπ μπορεί), γιατί η βούληση του εργαζόμενου ΔΕΝ μπορεί ποτέ να είναι ελεύθερη, λόγω του φόβου που μπορεί να έχει κάποιος εργαζόμενος πιθανής απόλυσης.
Η απάντηση, λοιπόν, και στα δύο ερωτήματα είναι μάλλον αρνητική.
Όχι δε δίνουμε σωστά, τη συγκατάθεσή μας σχεδόν σε καμία από τις δραστηριότητες που εκτελούμε. Όχι δεν είναι πάντα η συγκατάθεση, ο νόμιμος λόγος, ή η νόμιμη βάση όπως λέμε οι νομικοί, επεξεργασίας από τρίτους των πληροφοριών μας, ακόμη και όταν αποδεχόμαστε τα “cookies” μιας ιστοσελίδας που θέλουμε να χαζέψουμε.
Υπάρχουν, δύο κυρίως, νομοθετήματα που δεσμεύουν αυτές τις επεξεργασίες, ο GDPR και η οδηγία για την ιδιωτικότητα e-privacy, η οποία τα τελευταία χρόνια γίνεται πολύ έντονη προσπάθεια να αναθεωρηθεί αλλά ανεπιτυχώς μέχρι τώρα, γιατί τα προβλήματα είναι πολλά και σπουδαία και οι πιέσεις από παρόχους είναι έντονες.
Υπάρχουν φυσικά και οι επιταγές και οι οδηγίες, που έχουν εκδοθεί από αρμόδιους φορείς, για επιμέρους επεξεργασίες, όπως είναι τα “μπισκοτάκια”, οδηγίες που σπάνια τηρούνται και τα πρόστιμα από τις αρμόδιες εποπτικές αρχές διαδέχονται το ένα το άλλο για αυτούς που παρανομού. Χωρίς να εισερχόμαστε σε νομικά και τεχνικά κομμάτια μέσω του εν λόγω άρθρου, ακριβώς γιατί δεν μπορούν να γίνουν αντιληπτά από μη εξειδικευμένους επαγγελματίες λόγω της πολυπλοκότητας και των ειδικών γνώσεων που απαιτούνται, θα μείνουμε στο τι πρέπει να ξέρουν οι πολίτες, τι πρέπει να απαιτούν και πώς πρέπει να ενημερώνονται.
Τα πρέπει λοιπόν που ξεκινούν από τη “συγκατάθεση” είναι, ότι πριν δοθεί από τον πολίτη η συγκατάθεση πρέπει ο πολίτης να γνωρίζει βασικές πληροφορίες για το που δίνει τη συγκατάθεση, για ποιον σκοπό, που θα διαβιβαστούν τα δεδομένα του, πως θα φυλλαχθούν ή θα καταστραφούν μετά, πόσο θα φυλλαχθούν κλπ (άρθρο 12-14 GDPR). Αν ο πολίτης δε γνωρίζει, δεν υπάρχει νόμιμη επεξεργασία.
Το δεύτερο, που πρέπει να ξέρει ο πολίτης είναι, ότι ακόμη και αν δώσει τη συγκατάθεσή του, μπορεί να την ανακαλέσει οποτεδήποτε (να την πάρει πίσω και να σταματήσει ο οργανισμός ή η επιχείρηση να επεξεργάζεται δεδομένα). Και η ερώτηση που γεννάται, είναι η εξής: “αν δώσω τη συγκατάθεσή μου σε μια εταιρεία για να επεξεργαστεί πχ το ΑΦΜ μου (να μου κόψει κάποιο τιμολόγιο) και εγώ μετά ανακαλέσω την συγκατάθεσή μου, αυτή η εταιρία τι θα κάνει; πως θα καλυφθεί φορολογικά, εφόσον δε θα έχει τη συγκατάθεσή μου να κόψει τιμολόγιο;”.
Στο ερώτημα αυτό απαντούμε, ότι οι φορείς δεν επεξεργάζονται νόμιμα προσωπικά δεδομένα ΜΟΝΟ λόγω συγκατάθεσης. Μάλιστα, υπάρχουν φορές που δεν επιτρέπεται καθόλου η συγκατάθεση (όπως στο παραπάνω παράδειγμα με τον εργοδότη και εργαζόμενο ή με τις συναλλαγές στο Δημόσιο). Για αυτό το λόγο δε χρειάζεται συγκατάθεση για όλες τις επεξεργασίες και γιαυτό πιο πάνω απαντήσαμε αρνητικά, ότι δηλαδή μπορεί να υπάρχουν επεξεργασίες που προκύπτουν από το νόμο ή από μία σύμβαση, οι οποίες ΔΕΝ απαιτούν τη συγκατάθεση για να συμβούν.
Άρα, στην περίπτωση αυτή, λανθασμένα συλλέγεται η συγκατάθεση από τους τρίτους. Και αυτό το έχουμε δει κατά κόρον να συμβαίνει στο Δημόσιο, το οποίο δεν είναι δυνατό να αποζητά τη συγκατάθεση για την επεξεργασία των δεδομένων μας, γιατί για παράδειγμα επιβάλλεται από τον Νόμο. Είναι, λοιπόν, επιβολή από άλλη αιτία η επεξεργασία δεδομένων. Όπως δηλαδή συμβαίνει με το πανδημικό νούμερο 13033. Δε χρειάζεται συγκατάθεσή μας για την αποστολή μηνύματος.
Τότε όλα γίνονται σωστα;
Η απάντηση και στην προκειμένη ερώτηση είναι αρνητική: όλα δε γίνονται σωστα, γιατί ακόμη και αν δεν υπάρχει υποχρεώση λήψης συγκατάθεσης, επειδή πχ υπάρχει Νόμος που επιβάλλει συγκεκριμένες επεξεργασίες, πάλι ο φορέας, Δημόσιος και μη, που επεξεργάζεται οποιοδήποτε δεδομένο ενός ατόμου, είναι υποχρεωμένος να ενημερώνει τους πολίτες.
Άρα, η ενημέρωση δεν μπορεί να λείπει ποτέ και πρέπει να προηγείται της όποιας επεξεργασίας δεδομένων πολιτών. Στην πραγματικότητα, όμως, η ενημέρωση αυτή λείπει ή είναι ελλιπής ή είναι έτσι δομημένη που είναι δυσνόητη για τους πολίτες ή μακροσκελής και δε μπορεί να διαβαστεί. Αυτές όλες οι παθογένειες είναι παράνομες και εγείρουν απαιτήσεις και πρόστιμα, με καταγγελία πολιτών ή χωρίς αυτή αν η αρμόδια εποπτική Αρχή κρίνει ότι πρέπει να επέμβει αυτεπαγγέλτως.
Στο παράδειγμα με το νούμερο που εισήχθη τον τελετευταίο χρόνο στις ζωές μας και καθορίζει απόλυτα τις ελεύθερες μετακινήσεις μας, το 13033, αξίζει να σημειωθεί το εξής: Επειδή λείπει η ως άνω ενημέρωση, τον Νοέμβριο του 2020, πέντε μέλη μιας ακτιβιστικής και ενεργής ένωσης, με επωνυμία Homo Digitalis, υπέβαλλαν καταγγελίες αρμοδίως κατά της Γενικής Γραμματείας Πολιτικής Προστασίας για παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και του Ν. 4624/2019, όσον αφορά στη χρήση του ειδικού αριθμού 13033. Πρίν την καταγγελία, είχε προηγηθεί, από τα εν λόγω μέλη, η άσκηση του δικαιώματος πρόσβασης προς τη Γενική Γραμματεία Πολιτικής Προστασίας προκειμένου να μάθουν: ποια δεδομένα τους επεξεργάζεται η Γενική Γραμματεία κατά τη χρήση του 13033, για πόσο διάστημα τα διατηρεί, ποιος έχει πρόσβαση σε αυτά και αν έχει οριστεί Υπεύθυνος Προστασίας Δεδομένων από τη Γενική Γραμματεία. Κανείς δεν έχει απαντήσει μέχρι τώρα και αναμένουμε τα ευρήματα και την απόφαση της Εποπτικής Αρχής επί του θέματος.
Οι πολίτες λοιπόν, πρέπει να είναι ενήμεροι για τα δικαιώματα που έχουν και πώς να διεκδικήσουν τα δικαιώματα, αλλά και πως μπορούν να αντιδράσουν αν αυτά τα δικαιώματα δεν καλυφθούν από τους φορείς. Όπως ορίζεται ρητά στον GDPR, ο υπεύθυνος επεξεργασίας (δηλ. το Δημόσιο αλλά και ιδιωτικοί φορείς) οφείλει να ικανοποιήσει χωρίς καθυστέρηση, όποιο από τα δικαίωματα παρέχει ο νόμος στους πολίτες. Η δε ικανοποίηση αυτή πρέπει να πραγματοποιηθεί το αργότερο σε 1 μήνα από την υποβολή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί για 2 επιπλέον μήνες, εάν το αίτημα είναι πολύπλοκο ή ο αριθμός των αντιγράφων που πρέπει να χορηγήσει ο υπεύθυνος επεξεργασίας είναι μεγάλος. Όμως, η παράταση της προθεσμίας πρέπει να γνωστοποιηθεί στον πολίτη εντός του πρώτου μήνα από την άσκηση του δικαιώματός του. Τα δε δικαιώματα των πολιτών είναι η πρόσβαση στα δεδομένα τους, η διόρθωση, η διαγραφή, η φορητότητα σε άλλο φορέα και επίσης ένα πολύ σημαντικό δικαίωμα που θα αναλυθεί παρακάτω:
Δικαίωμα του άρθρου 22 GDPR: αντίρρησης του ατόμου να αποτελεί αντικείμενο αυτοματοποιημένων αποφάσεων συμπεριλαμβανομένης της κατάρτισης προφίλ
Η Τεχνητή Νοημοσύνη (Artificial Intelligence AI) είναι το επόμενο βήμα της επιστήμης που έχει ήδη κάνει την εμφάνισή του. Ήδη μιλούμε στις συσκευές μας και μας απαντούν και όσο μιλούμε τόσο πιο πολύ εξελίσσονται καθώς μέσω από τη διαδικασία της μηχανικής μάθησης, πολλαπλασιάζουν το επίπεδο γνώσης τους. Όσοι ενδιαφέρονται για τεχνολογία και έξυπνες συσκευές, ενθουσιάζονται με τις νέες δυνατότητες αλλά μόνο όσοι έχουν ασχοληθεί επιστημονικά μπορούν να καταλάβουν, τι σημαίνει αυτό στην πραγματικότητα, ειδικά στο μέλλον και μάλιστα πιο άμεσο από αυτό που νομίζουμε, αλλά και πόσο χρήσιμο και ουσιαστικό ενδέχεται να είναι το άρθρο 22 GDPR στην ακραία αυτή εξέλιξη. Ειδικά δε αν τα δεδομένα δεν είναι μόνο τα απλά δεδομένα αλλά αφορούν σε πολύ πιο ευαίσθητα όπως αυτά της υγείας, των πολιτικών και θρησκευτικων αντιλήψεων και πεποιθήσεων ή σεξουαλικών προτιμήσεων.
Η αυτοματοποιημένη λήψη αποφάσεων, είναι η ικανότητα λήψης αποφάσεων με τεχνολογικά μέσα χωρίς ανθρώπινη παρέμβαση, δηλαδή η λήψη αποφάσεων μέσω λογισμικών και αλγορίθμων.
Σύμφωνα με το άρθρο 4 παράγραφος 4, GDPR, η δημιουργία προφίλ σημαίνει οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αποτελείται από τη χρήση προσωπικών δεδομένων για την αξιολόγηση ορισμένων προσωπικών πτυχών που αποδίδονται σε ένα φυσικό πρόσωπο, ιδίως για ανάλυση ή πρόβλεψη πτυχών που αφορούν στην απόδοση φυσικού προσώπου (πολιτών), στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, την τοποθεσία ή τις κινήσεις τους.
Αυτό πρακτικά σημαίνει, ότι για παράδειγμα, μέσω αλγορίθμων μπορεί να καταρτιστεί προφίλ ενός χρήστη διαδικτύου που επισκέπτεται συγκεκριμένες σελίδες, δαπανά συγκεκριμένο χρόνο σε αυτές και κάνει συγκεκριμένες κινήσεις και έτσι μπορούν να εξαχθούν συμπεράσματα για την υγεία του, τις πολιτικές ή θρησκευτικές πεποιθήσεις, τις σεξουαλικές προτιμήσεις κα, και όλα αυτά να καταγραφούν και να ακολουθούν το φυσικό άτομο σε κάθε δραστηριότητά του, εφόσον δε θα είναι σε θέση, το άτομο αυτό, να ξέρει ποιος μπορεί να είναι ο δέκτης όλων αυτών των πληροφοριών.
Η παραπάνω διαδικασία μπορεί να οδηγήσει σε εξαιρετικά ρατσιστικές αντιμετωπίσεις των πολιτών, προβλήματα στην εργασία τους και στην εν γένει ζωή τους. Δεν είναι τυχαίο, ότι στην Ευρώπη έχει δημιουργηθεί μια αυτοτελής Επιτροπή για την Τεχνητή Νοημοσύνη (Committee Ad Hoc Artificial Intelligence CAHAI), που μελετά αυτά τα ιδιαίτερα ζητήματα και εργάζεται για την εκπόνηση Βίβλων και σχετικών εγγράφων, ώστε να διασφαλιστεί και εξασφαλιστεί η Ηθική και το Επιτρεπτό αυτών των νέων επεξεργασιών, που θα οδηγούν σε αποφάσεις που θα καθορίζουν το προφίλ ανθρώπων και θα επηρεάζουν τη ζωή τους σε κάθε επίπεδο.
Ίσως η εποχή που βλέπαμε το GATΤACA στον κινηματογράφο τελικά δεν απέχει από την πραγματικότητάς μας, όσο και αν θεωρούσαμε πριν από 20 χρόνια, στην απαρχή του διαδικτύου και της τεχνητής νοημοσύνης ότι όλα αυτά θα έμεναν στις αίθουσες του σινεμά ή στα βιβλία του Ιουλίου Βέρν. Τελικά Ο Γενναίος Νέος Κόσμος είναι πιο πραγματικότητα από ποτέ.
Όλγα Ν. Τσιπτσέ
LL.M. Δικηγόρος Παρ’ Αρείω Πάγω
Διαπ. Διαμεσολαβήτρια – Διαιτητής ΥΔΔΑΔ
GDPR/DPO exp. – Chair GR EADPP BRANCH
[…] Όλγα Τσιπτσέ | Τζιντιπιάρ, το ακούς, το λες μα δεν το ξέρ… […]