Δημοσιεύθηκε στο ethemis.gr, 19.3.2021
Καθώς κατά τα μέσα Φεβρουαρίου παραιτήθηκα από τη θέση αναπληρωματικού μέλους της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που κατείχα από τον Σεπτέμβριο του 2016, και επειδή το προηγούμενο διάστημα ήταν κρίσιμο για το Δίκαιο Προστασίας Δεδομένων επειδή συνέπεσε, ήδη από τον Μάιο του 2018, με την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) καθώς και με την εισαγωγή του, εκτελεστικού, ν.4624/2019 ένα περίπου χρόνο μετά, σκέφτηκα να καταθέσω (μέσω του, πάντα φιλόξενου, e-Θέμις) ορισμένες σκέψεις και προτάσεις μου σχετικά (κατά το, αγγλικό, lessons-learned):
Ι. Ο ν.2472/1997 είχε επιλέξει σωστά για τη συγκρότηση της Αρχής Προστασίας Δεδομένων, ιδίως για τις θέσεις Προέδρου και Αναπληρωτή Προέδρου
Η Αρχή Προστασίας Δεδομένων ιδρύθηκε το 1997, όταν η Ελλάδα (επιτέλους) απέκτησε τον πρώτο νόμο της για τα προσωπικά δεδομένα. Στο άρθρο 16 του ν.2472/1997 οριζόταν ότι «Η Αρχή συγκροτείται από έναν δικαστικό λειτουργό βαθμού Συμβούλου της Επικρατείας ή αντίστοιχου και άνω, ως Πρόεδρο, και έξι μέλη ως εξής: (α) Έναν καθηγητή ή αναπληρωτή καθηγητή ΑΕΙ σε γνωστικό αντικείμενο του δικαίου. (β) Έναν καθηγητή ή αναπληρωτή καθηγητή πανεπιστημιακού ή τεχνολογικού τομέα της ανώτατης εκπαίδευσης στο γνωστικό αντικείμενο της πληροφορικής.31 (γ) Έναν καθηγητή ή αναπληρωτή καθηγητή Α.Ε.Ι.».
Κατά τη διάρκεια της θητείας μου, ειδικά κατά τη συμμετοχή μου στο Τμήμα της Αρχής Προστασίας Δεδομένων που εξέταζε καταγγελίες (άρθρο 5Α του Κανονισμού Λειτουργίας της) μου δόθηκε η ευκαιρία επανειλημμένα να διαπιστώσω ότι η προηγούμενη δικαστική εμπειρία ήταν εντελώς απαραίτητη για τον Πρόεδρο ή τον Αναπληρωτή Πρόεδρο που κάθε φορά προέδρευε στη διαδικασία. Η εξέταση μιας καταγγελίας προσομοιάζει με τη διαδικασία σε αίθουσες δικαστηρίων. Η απόφαση της Αρχής έχει αντίστοιχη βαρύτητα για τα μέρη που αντιδικούν. Η παρουσία και η εμπειρία πρώην ανώτατων δικαστικών λειτουργών εξασφαλίζουν το κύρος της διαδικασίας. Συνεπώς ο ν.4624/2019 σφάλλει ως προς την επιλογή του στο άρθρο 11 παρ. 2 να μην επαναλάβει το άρθρο 16 παρ. 1 του ν.2472/1997. Αυτό το δηλώνω με πλήρη επίγνωση της ευθύνης που μου αναλογεί, αφού συμμετείχα στη νομοπαρασκευαστική επιτροπή του νόμου (περισσότερα γι αυτό εδώ, και εδώ). Πιθανότατα «εθιμικό δίκαιο» στη Διάσκεψη των Προέδρων της Βουλής να μπορούσε να βελτιώσει την κατάσταση, επιμένοντας, τουλάχιστον, στην επιλογή πρώην ανώτατων δικαστικών λειτουργών για τις θέσεις του Προέδρου και Αναπληρωτή Προέδρου της Αρχής.
ΙΙ. Το σύστημα επιλογής από τη Διάσκεψη των Προέδρων της Βουλής λειτουργεί καλά
Η Διάσκεψη των Προέδρων της Βουλής επιλέγει τα μέλη της Αρχής (συνεπώς και εμένα, κατά τα μέσα του 2016), σύμφωνα με το άρθρο 14 του Κανονισμού της Βουλής. Επειδή συγκροτείται από πολιτικούς που εκπροσωπούν κόμματα θα μπορούσε να υπάρχει ίσως η υποψία κομματικής επιλογής προσώπων – και ίσως πράγματι να είναι έτσι τα πράγματα, όμως τελικά αυτό δεν έχει σημασία. Το «φίλτρο» της πλειοψηφίας των 4/5 εξασφαλίζει ότι τα κόμματα θα πρέπει τελικά να συναινέσουν σε υπερκομματικές επιλογές. Την αποτελεσματικότητα του συστήματος αυτού τη διαπίστωσα στην πράξη: Καθόλη τη διάρκεια της θητείας μου όλα τα μέλη της Αρχής, τακτικά και αναπληρωματικά, ήταν ειδικοί στο Δίκαιο Προστασίας Δεδομένων πριν ακόμα διοριστούν(-ούμε) σε αυτήν. Γνώριζα ήδη ότι αυτό συνέβαινε διαχρονικά (άλλωστε, η κοινότητα των ασχολούμενων με το Δίκαιο Προστασίας Δεδομένων πριν την έλευση του ΓΚΠΔ δεν ήταν τόσο μεγάλη!), όμως αυτή τη φορά είχα τη δυνατότητα να το διαπιστώσω και στην πράξη.
ΙΙΙ. Ο συνδυασμός νομικών-πληροφορικών είναι σωστός και μας φέρνει στη διεθνή πρωτοπορία
Η Αρχή Προστασίας Δεδομένων ήδη από την ίδρυσή της είχε διφυή χαρακτήρα, νομικο-πληροφορικό. Είδαμε παραπάνω ότι το άρθρο 16 του ν.2472/1997 επέβαλε διορισμό μελών της Αρχής τόσο νομικών όσο και πληροφορικών. Το ίδιο έγινε και με την πρόσληψη ελεγκτών, σε μαθηματική σχέση ένας/μια προς έναν/μια, κάτι που απεικονίζεται και στη σημερινή σύνθεση της Αρχής.
Το σύστημα αυτό αποδείχτηκε σωτήριο για την ελληνική Αρχή Προστασίας Δεδομένων. Τα θέματα που εξετάζει είναι κατά κανόνα τεχνολογικά. Μπορεί το Δίκαιο Προστασίας Δεδομένων να αφορά και τις μη αυτοματοποιημένες επεξεργασίες, όμως η σχέση του με την πληροφορική είναι βαθιά, ήδη από τις απαρχές του το 1970. Άλλες ευρωπαϊκές Αρχές δεν το είδαν έτσι και τώρα εγκαλούνται γι αυτό, για την έλλειψη δηλαδή προσωπικού με τεχνικές γνώσεις. Η Ελλάδα, που παρέμεινε σταθερή στην αρχική επιλογή της, μπορεί να υστερεί σε άλλους δείκτες όμως υπερτερεί σχεδόν έναντι όλων των άλλων Αρχών σε αυτόν.
IV. Η Αρχή Προστασίας Δεδομένων χρειάζεται ενίσχυση – όμως ίσως όχι τόση όση θα φανταζόταν κανείς
Στην Αρχή Προστασίας Δεδομένων βρέθηκα κατά την πρώτη περίοδο εφαρμογής του ΓΚΠΔ. Η περίοδος αυτή ήταν ιδιαίτερα δύσκολη για όλες τις ευρωπαϊκές Αρχές. Στην ουσία κλήθηκαν να αλλάξουν τον τρόπο λειτουργίας τους, να προσαρμοστούν στο νέο πλαίσιο, και ταυτόχρονα να βοηθήσουν στις αντίστοιχες χώρες τους τον ιδιωτικό και τον δημόσιο τομέα να εφαρμόσουν τον ΓΚΠΔ. Για τον λόγο αυτόν όλα τα κράτη αύξησαν τον προϋπολογισμό των Αρχών τους και έδωσαν ιδιαίτερη σημασία στις αυξημένες ανάγκες τους.
Στην Ελλάδα κατά το διάστημα εκείνο βρισκόμασταν σε βαθιά οικονομική κρίση (αν δεν είμαστε ακόμα εκεί). Επιπλέον, η Αρχή είχε την ατυχία να την εγκαταλείψουν εκείνη την περίοδο ορισμένα από τα πιο έμπειρα στελέχη της. Οι συνθήκες επομένως ήταν και ποιοτικά και ποσοτικά δύσκολες. Η Πολιτεία βοήθησε όσο το επέτρεπαν οι δυνατότητές της, τόσο με μικρή αύξηση του προϋπολογισμού όσο και με πρόσληψη νέου προσωπικού, το οποίο όμως εξαιτίας των απαιτούμενων διαδικασιών μόλις πρόσφατα προσήλθε πράγματι στην Αρχή για να βοηθήσει.
Δεδομένων των συνθηκών θεωρώ ότι η Αρχή ανταποκρίθηκε πλήρως στην αποστολή της κατά τα τελευταία τέσσερα κρίσιμα χρόνια. Φυσικά, καθένας θα μπορούσε να διαφωνήσει με αυτή τη διαπίστωση. Όμως με εκείνο που δεν μπορεί κανείς να διαφωνήσει είναι οι αριθμοί: Η Αρχή έχει ετήσιο προϋπολογισμό 3εκ. περίπου και στελεχώνεται από πενήντα περίπου άτομα συνολικά. Σε συγκριτικό πίνακα επομένως δαπανούμε τα λιγότερα στην Ευρώπη για την Αρχή Προστασίας Δεδομένων μας. Δεν τα πάμε όμως και τόσο άσχημα αναλογικά από προσωπικό: Για παράδειγμα, η Garante της Ιταλίας των 60εκ κατοίκων έχει 150 άτομα προσωπικό. H CNIL στη Γαλλία των 67εκ, 225. Στην Αυστριακή Αρχή απασχολούνται 36 άτομα, σε εκείνη της Πορτογαλίας μόλις 27 (όμως, στην Ολλανδία και στην Ιρλανδία περίπου από 150, για ειδικούς φυσικά λόγους η κάθε μια).
Συνεπώς, μετά και τις πρόσφατες προσλήψεις, δεν χρειαζόμαστε τόσα πολλά περισσότερα άτομα όσο περισσότερα χρήματα. Δεδομένου ότι το μισθολογικό δεν μπορεί να αλλάξει, τα επιπλέον χρήματα θα πρέπει να δαπανηθούν σε software, hardware και διεθνή παρουσία. Τα πρώτα δύο θα εξασφαλίσουν ότι η παραγωγικότητα της Αρχής θα αυξηθεί (δεν έχω κάνει μελέτη παραγωγικότητας, όμως επειδή όλοι οι απολογισμοί των ευρωπαϊκών Αρχών είναι online οι συγκρίσεις δεν μπορεί να είναι ιδιαίτερα δύσκολες). Το τρίτο θα ενίσχυε την παρουσία της Ελλάδας σε έναν τομέα στον οποίο η Ευρώπη έτσι ή αλλιώς κατέχει την παγκόσμια πρωτοπορία, για προφανή εθνικά οφέλη.
V. Το προσωπικό της Αρχής
Δεν αποτελεί καμία πρωτότυπη διαπίστωση από τη μεριά μου ότι το προσωπικό της ελληνικής Αρχής Προστασίας Δεδομένων είναι ιδιαίτερα υψηλού επιπέδου. Αντικειμενικές αποδείξεις γι αυτό υπάρχουν εδώ και χρόνια, όχι μόνο όσον αφορά την ποιότητα των αποφάσεων της Αρχής αλλά και όσον αφορά τα βιογραφικά των στελεχών της, τις επιστημονικές τους δημοσιεύσεις και τις ομιλίες τους σε επιστημονικά συνέδρια. Αυτά όλα δεν αμφισβητούνται, επομένως η επιβεβαίωσή τους από εμένα εδώ μόνο το αυτονόητο πετυχαίνει.
Αυτό που ίσως δεν είναι αυτονόητο, και το οποίο μπορώ να εντοπίσω από τη θητεία μου στην αγορά, είναι η μακρόχρονη παραμονή του προσωπικού στην ελληνική Αρχή Προστασίας Δεδομένων. Όσοι προερχόμαστε από την αγορά γνωρίζουμε ότι η συχνή εναλλαγή υπαλλήλων είναι καταστροφική για έναν οργανισμό, επειδή η παραγωγικότητά του μένει αναγκαστικά χαμηλή λόγω αδυναμίας συγκέντρωσης εμπειρίας. Επιπλέον, ακόμα χειρότερα, σε κάθε παρατηρητή υποδεικνύει ένα τοξικό εργασιακό περιβάλλον για το οποίο κατά κανόνα ευθύνεται η διοίκηση.
Στην Αρχή Προστασίας Δεδομένων το προσωπικό είναι εξαιρετικά έμπειρο, έχοντας παραμείνει για πάρα πολλά χρόνια στη θέση του. Αυτή η διαπίστωση προφανώς αφορά και όσους ασκούν διοίκηση σε αυτήν, αφού κανείς δεν θέλει να παραμείνει σε αρνητικά φορτισμένο χώρο εργασίας για καιρό. Το γεγονός αυτό βοηθά ουσιαστικά την καλή λειτουργία της, αφού η εμπειρία και η σε βάθος γνώση όλων των λεπτομερειών επιμέρους θεμάτων είναι απαραίτητες σε ένα τόσο σύνθετο θέμα όσο η προστασία προσωπικών δεδομένων.
VI. Ελλείψεις της Αρχής: Επικοινωνιακή πολιτική και διεθνής παρουσία
Υπάρχουν σημεία που η ελληνική Αρχή θα μπορούσε να τα πάει καλύτερα; Κατά τη γνώμη μου ναι, τα εξής δύο: Στην επικοινωνιακή της πολιτική και στη διεθνή της παρουσία. Όσον αφορά το πρώτο, ο ΓΚΠΔ έκανε πλέον την επεξεργασία προσωπικών δεδομένων σε μεγάλο βαθμό και επικοινωνιακό ζήτημα. Η Αρχή οφείλει όχι μόνο να ελέγχει αλλά και να προωθεί τη συμμόρφωση τόσο του ιδιωτικού όσο και του δημόσιου τομέα. Παρότι η ελληνική Αρχή είχε ευθύς εξαρχής ιδρύσει Τμήμα Επικοινωνίας, το έργο του πλέον δεν είναι απλά υποστηρικτικό αλλά κυρίως. Οι φιλότιμες προσπάθειες των στελεχών του πρέπει να ενισχυθούν – πιθανότατα και με το διορισμό μεταξύ των μελών της Αρχής και ενός επικοινωνιολόγου.
Τέλος, όσον αφορά τη διεθνή της παρουσία, η Αρχή γεγονός είναι ότι κάνει τα απαραίτητα, εκπροσωπούμενη για παράδειγμα σε όλες τις εργασίες του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων ή στα ετήσια διεθνή συνέδρια όλων των Αρχών. Όμως αυτό νομίζω ότι δεν είναι αρκετό. Ο ΓΚΠΔ προσφέρει μια μοναδική ευκαιρία στην Ευρώπη εξαγωγής του ρυθμιστικού της μοντέλου σε τρίτες χώρες. Η ευρύτερη γεωγραφική μας γειτονιά μας ανήκει προνομιακά σε αυτό το θέμα. Η Ελλάδα διαθέτει πλέον ιστορία Δικαίου Προστασίας Δεδομένων 25 ετών. Ανάμεσα στα, άτυπα, καθήκοντά της ελληνικής Αρχής θα έπρεπε να βρίσκεται και η «επιθετική» εξαγωγή του ελληνικού μοντέλου και της ελληνικής εμπειρίας στην ευρύτερη περιοχή μας. Κάτι τέτοιο θα έκανε καλό και στην ίδια αλλά και στη χώρα.
Τα παραπάνω δεν αποτελούν απολογισμό της θητείας μου στην Αρχή Προστασίας Δεδομένων (ο οποίος άλλωστε, τεχνικά, προκύπτει από τις δημοσιευμένες αποφάσεις της Αρχής στις οποίες συμμετείχα) όσο προσωπικές μου διαπιστώσεις και προτάσεις για το μέλλον. Το Δίκαιο Προστασίας Δεδομένων θα συνεχίσω άλλωστε να το υπηρετώ από άλλη θέση, πέρα από τα ακαδημαϊκά μου καθήκοντα, επομένως θα έχω την ευκαιρία να επιβεβαιώσω ή να αλλάξω (και πάλι) τις απόψεις μου. Άλλωστε, σε έναν τόσο γρήγορα εξελισσόμενο τομέα του δικαίου, αυτό είναι το μόνο στο οποίο μπορεί να ελπίζει κανείς: Ότι οι εξελίξεις και τα νέα κάθε φορά δεδομένα δεν θα τον αφήσουν (ανέλπιδα) πίσω.
Η Ελλάδα διαθέτει πλέον ιστορία Δικαίου Προστασίας Δεδομένων 25 ετών. Ανάμεσα στα, άτυπα, καθήκοντά της ελληνικής Αρχής θα έπρεπε να βρίσκεται και η «επιθετική» εξαγωγή του ελληνικού μοντέλου και της ελληνικής εμπειρίας στην ευρύτερη περιοχή μας. Κάτι τέτοιο θα έκανε καλό και στην ίδια αλλά και στη χώρα.