Τελικά τι γίνεται με τα προσωπικά δεδομένα εν καιρώ πανδημίας; Η Κομισιόν απαντά
Πώς λειτούργησε στην πράξη η νομοθεσία γύρω από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) στην Ευρώπη στη διάρκεια της πανδημίας; Ανέδειξε η Covid-19 κενά και αδυναμίες ως προς την προστασία των προσωπικών δεδομένων των πολιτών στην Ευρωπαϊκή Ένωση; Πόσο εναρμονισμένες με τις κοινοτικές επιταγές είναι οι αρμόδιες εθνικές αρχές και τι ισχύει για τα προσωπικά δεδομένα σε περίπτωση σοβαρών διασυνοριακών απειλών για την υγεία; Μήπως χρειάζεται να φορολογηθεί η χρήση προσωπικών δεδομένων από τις πλατφόρμες κοινωνικής δικτύωσης; Ποια προσωπικά δεδομένα θεωρούνται ευαίσθητα; Στις ερωτήσεις του ΑΠΕ-ΜΠΕ απάντησε ο Christian Wigand (Κρίστιαν Γουίγκαντ), εκπρόσωπος της Ευρωπαϊκής Επιτροπής για θέματα Δικαιοσύνης.
Mιλώντας στο ΑΠΕ-ΜΠΕ, ο κ.Wigand επισημαίνει πως το νομικό πλαίσιο για τους κανόνες προστασίας δεδομένων και απορρήτου, το οποίο προσφέρουν οι οδηγίες για το GDPR και το e-privacy (Προστασία Ιδιωτικής Ζωής), είναι κατάλληλο και για περιόδους επιδημιών και χαρακτηρίζεται από ευελιξία.
«(Ο GDPR) δεν αποτελεί εμπόδιο στην επεξεργασία προσωπικών δεδομένων αναγκαίων για την αντιμετώπιση της πανδημίας του κορονοϊού, προσφέρει αρκετή ευελιξία, αρκεί να υπάρχουν οι προϋποθέσεις και οι κατάλληλες διασφαλίσεις, ώστε να υπάρχει επαρκής προστασία των προσωπικών δεδομένων και σε καταστάσεις έκτακτης ανάγκης, συμπεριλαμβανομένης της προστασίας της δημόσιας υγείας», σημειώνει, ενώ ως προς τον τρόπο εφαρμογής του GDPR σε μια κατάσταση δημόσιας υγείας διευκρινίζει: «Τα δεδομένα για την υγεία θεωρούνται ευαίσθητα βάσει του GDPR (άρθρο 9) και επομένως η επεξεργασία τους μπορεί να πραγματοποιηθεί μόνο υπό αυστηρές απαιτήσεις. O GDPR προβλέπει ωστόσο ότι μια από τις νομικές βάσεις για την επεξεργασία προσωπικών δεδομένων είναι το δημόσιο συμφέρον στον τομέα της δημόσιας υγείας. Προβλέπει ότι η επεξεργασία δεδομένων υγείας μπορεί να είναι απαραίτητη για ανθρωπιστικούς σκοπούς, συμπεριλαμβανομένης της παρακολούθησης επιδημιών και της εξάπλωσής τους σε καταστάσεις έκτακτης ανάγκης».
Κατά τον κ.Wigand, οι λόγοι δημοσίου ενδιαφέροντος στον τομέα της δημόσιας υγείας μπορεί επίσης να περιλαμβάνουν προστασία από σοβαρές διασυνοριακές απειλές για την υγεία. «Εάν είναι απαραίτητο για το σκοπό αυτό, τα προσωπικά δεδομένα μπορούν να ανταλλάσσονται μεταξύ των αρμόδιων αρχών των κρατών-μελών, οι οποίες είναι επιφορτισμένες με τέτοια καθήκοντα προστασίας, βάσει της νομοθεσίας της Ένωσης ή των κρατών- μελών», υπογραμμίζει.
Ως προς το αν η προστασία προσωπικών δεδομένων στην ΕΕ ενδέχεται να επηρεάστηκε στη διάρκεια της πανδημίας, λόγω των πρακτικών digital surveillance (ψηφιακής επιτήρησης), contact tracing (ιχνηλάτησης επαφών) και διαχείρισης αρχείων υγείας, ο κ.Wigand αναφέρει: «Παρακολουθούμε τις εξελίξεις σε όλα τα κράτη- μέλη και τα υποστηρίζουμε στις προσπάθειές τους να καταπολεμήσουν την εξάπλωση του κορονοϊού. Αυτό είναι ιδιαίτερα σημαντικό, στο πλαίσιο των συζητήσεων σχετικά με τη σταδιακή άρση των μέτρων περιορισμού. Η Ευρωπαϊκή Ένωση διαθέτει ισχυρούς κανόνες προστασίας δεδομένων. Αυτοί οι κανόνες, ταυτόχρονα, παρέχουν επίσης την απαραίτητη ευελιξία σε περιόδους κρίσης. Τόσο ο GDPR, όσο και η οδηγία για την προστασία της ιδιωτικής ζωής, περιέχουν διατάξεις που επιτρέπουν να λαμβάνεται υπόψη το δημόσιο συμφέρον σε καταστάσεις έκτακτης ανάγκης, ιδίως σε θέματα δημόσιας υγείας».
Μετά τη σύσταση που εξέδωσε η Κομισιόν την 8η Απριλίου, προσθέτει, τα κράτη- μέλη ανέπτυξαν με την υποστήριξη της Επιτροπής μια εργαλειοθήκη της ΕΕ και η Επιτροπή εξέδωσε συγκεκριμένες οδηγίες για να διασφαλίσει ότι οι εφαρμογές παρακολούθησης συμμορφώνονται πλήρως με τους κανόνες προστασίας της ΕΕ και της ιδιωτικής ζωής και ότι είναι ασφαλείς, αποτελεσματικές και διαλειτουργικές. «Η χρήση εφαρμογών ιχνηλάτησης (tracing apps) πρέπει πάντα να είναι εθελοντική, πρέπει να είναι χρονικά περιορισμένη και να αποφεύγει τη χρήση δεδομένων τοποθεσίας», σημειώνει και προσθέτει πως το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε επίσης συγκεκριμένες κατευθυντήριες γραμμές, σχετικά με την εφαρμογή των κανόνων προστασίας δεδομένων, στο πλαίσιο της πανδημίας του κορονοϊού. H παρακολούθηση και επιβολή των κανόνων προστασίας δεδομένων είναι ευθύνη των αρχών προστασίας δεδομένων.
Υπάρχουν κενά στην κοινοτική νομοθεσία γύρω από τα προσωπικά δεδομένα και την ιδιωτικότητα, που ενδεχομένως ανέδειξε η πανδημία; είναι το επόμενο ερώτημα προς τον εκπρόσωπο της Κομισιόν.
«Η Επιτροπή παρακολουθεί τον τρόπο με τον οποίο εφαρμόζονται στην πράξη τα έκτακτα μέτρα των κρατών- μελών και ποιος είναι ο αντίκτυπός τους, ιδίως στο κράτος δικαίου, στα θεμελιώδη δικαιώματα και στο δίκαιο της ΕΕ. Οποιαδήποτε μέτρα λαμβάνονται για την αντιμετώπιση της κρίσης στην υγεία πρέπει να περιορίζονται στο αναγκαίο και αυστηρά αναλογικό. Η Επιτροπή βρίσκεται σε τακτική επαφή με το EDPB, καθώς παρακολουθούμε επίσης τις συνεδριάσεις τους. Το EDPB υιοθέτησε πρόσφατα μια δήλωση σχετικά με τα δικαιώματα των υποκειμένων των δεδομένων σε σχέση με την κατάσταση έκτακτης ανάγκης στα κράτη- μέλη. Το EDPB υπενθυμίζει ότι, ακόμα και σε αυτούς τους ιδιαίτερους καιρούς, η προστασία των προσωπικών δεδομένων πρέπει να υποστηρίζεται σε όλα τα επείγοντα μέτρα. Το EDPB επαναλαμβάνει επίσης ότι ο GDPR παραμένει εφαρμόσιμος και επιτρέπει την αποτελεσματική αντιμετώπιση της πανδημίας, ενώ ταυτόχρονα προστατεύει τα θεμελιώδη δικαιώματα και ελευθερίες. Γνωρίζουμε επίσης ότι το EDPB ανακοίνωσε ότι θα εκδώσει κατευθυντήριες γραμμές για την εφαρμογή του άρθρου 23 του GDPR τους επόμενους μήνες», εξηγεί ο κ. Wigand.
Ερωτηθείς αν θεωρεί ότι υπάρχει επαρκής συνοχή και εναρμόνιση των εθνικών ρυθμιστών ως προς την εφαρμογή του GDPR, εκφράζει την πεποίθηση ότι ο GDPR ενίσχυσε και εναρμόνισε τις εξουσίες των εθνικών αρχών προστασίας δεδομένων (DPA), οι οποίες έχουν καθοριστικό ρόλο στο να κάνουν το GDPR αποτελεσματικό.
«Ο GDPR αποσαφηνίζει τις αρμοδιότητες μεταξύ των Αρχών σε διασυνοριακές υποθέσεις και εναρμόνισε τις εξουσίες επιβολής, συμπεριλαμβανομένης της εξουσίας επιβολής διοικητικών προστίμων. Οι αρχές προστασίας δεδομένων έχουν ήδη λάβει σειρά αποφάσεων επιβολής. Συνεχίζονται σημαντικές έρευνες με διασυνοριακή διάσταση, που επηρεάζουν άτομα σε πολλά κράτη- μέλη. Ο GDPR εισήγαγε το "one-stop shop", το οποίο επιτρέπει στις εταιρείες να συνεργάζονται με μία μόνο εποπτική αρχή, στην περίπτωση των διασυνοριακών διεργασιών , καθιστώντας το θέμα της επιβολής πιο αποτελεσματικό για τις επιχειρήσεις και τις αρχές προστασίας δεδομένων. Ταυτόχρονα, αυτός ο μηχανισμός διασφαλίζει τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων. Θα εκδώσουμε μια έκθεση αξιολόγησης του GDPR τον Ιούνιο. Αυτό θα δώσει την ευκαιρία αξιολόγησης της εφαρμογής του», συμπληρώνει.
Κατά τον κ. Wigand, o GDPR έδωσε ξανά στους Ευρωπαίους τον έλεγχο των δεδομένων τους. Ορίζει υψηλά πρότυπα προστασίας δεδομένων, κατάλληλα για την ψηφιακή οικονομία. Έχει επίσης αρχίσει να θέτει παγκόσμια πρότυπα. Αποτελεί τον ακρογωνιαίο λίθο της ευρωπαϊκής προσέγγισης στην ψηφιακή εποχή, στηρίζοντας πολλές πολιτικές προτεραιότητες της νέας Επιτροπής. «Για να διασφαλιστεί ότι ο GDPR αξιοποιεί πλήρως τις δυνατότητές του, όλοι οι φορείς πρέπει να συνεργαστούν για να διασφαλίσουν τόσο μια εναρμονισμένη ερμηνεία, όσο και μια εναρμονισμένη εφαρμογή και επιβολή των κανόνων προστασίας δεδομένων σε ολόκληρη την ΕΕ» λέει.
Τι θα απαντούσε η ΕΕ σε όσους (όπως για παράδειγμα η "Επιτροπή για την Προστασία των Δημοσιογράφων-"Committee to Protect Journalists", με έδρα τη Νέα Υόρκη) υποστηρίζουν ότι η κοινοτική νομοθεσία (γύρω από τα προσωπικά δεδομένα) χρησιμοποιείται για τη λογοκρισία δημοσιογράφων, αναφέροντας μάλιστα συγκεκριμένα παραδείγματα από την Ουγγαρία, τη Ρουμανία και την Τσεχία;
«Οι κανόνες προστασίας δεδομένων δεν μπορούν ποτέ να χρησιμοποιηθούν για να υπονομεύσουν την ελευθερία του Tύπου. Τα ελεύθερα μέσα είναι ένα θεμέλιο της ελεύθερης και δημοκρατικής κοινωνίας μας. Η ανεξάρτητη δημοσιογραφία είναι ζωτικής σημασίας για να λογοδοτούν οι κυβερνήσεις και να παρακολουθούνται οι δημοκρατικές διαδικασίες (...) Τα κράτη- μέλη υποχρεούνται από τον GDPR να προσφέρουν τη νομοθεσία εκείνη, που θα συνδυάζει το δικαίωμα στην προστασία των προσωπικών δεδομένων με το δικαίωμα στην ελευθερία έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς» ξεκαθαρίζει.
Οι σημερινοί διεθνείς κανόνες για την εταιρική φορολογία δεν είναι -κατά τον κ.Wigand- κατάλληλοι για την πραγματικότητα της σύγχρονης παγκόσμιας οικονομίας και δεν καλύπτουν επιχειρηματικά μοντέλα, τα οποία μπορούν να αποκομίσουν κέρδη από ψηφιακές υπηρεσίες σε μια χώρα, χωρίς να έχουν φυσική παρουσία σε αυτή. Οι τρέχοντες φορολογικοί κανόνες, προσθέτει, δεν αναγνωρίζουν επίσης τους νέους τρόπους με τους οποίους δημιουργούνται κέρδη στον ψηφιακό κόσμο, ιδίως τον ρόλο που παίζουν οι χρήστες στη δημιουργία αξίας για τις ψηφιακές εταιρείες. Ως αποτέλεσμα, υπάρχει αποσύνδεση - ή «αναντιστοιχία» ανάμεσα στο πού δημιουργείται η αξία και πού καταβάλλονται οι φόροι. «Αυτός είναι ο λόγος για τον οποίο, τον Μάρτιο του 2018, η Επιτροπή υπέβαλε προτάσεις για μια κοινή μεταρρύθμιση των κανόνων της ΕΕ για τους φόρους εταιρειών για ψηφιακές δραστηριότητες ("Significant Digital Presence") και έναν ενδιάμεσο φόρο για ορισμένα έσοδα από ψηφιακές δραστηριότητες ("Digital Services Tax")» σημειώνει.
Σε συνέχεια των προτάσεων της ΕΕ τον Μάρτιο του 2018, οι συζητήσεις για τη μεταρρύθμιση του διεθνούς πλαισίου εταιρικής φορολογίας, με στόχο την αντιμετώπιση των φορολογικών προκλήσεων που προκύπτουν από την ψηφιοποίηση της οικονομίας, έχουν επιταχυνθεί εντός του Οργανισμού Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ), με εντολή της G20. «Η Κομισιόν πιστεύει ακράδαντα ότι η καταλληλότερη λύση σε αυτές τις προκλήσεις είναι παγκόσμια και υποστηρίζει ενεργά τη διεθνή διαδικασία. Οι συζητήσεις για τις προτάσεις της Επιτροπής τελούν σήμερα σε αναμονή, καθώς εκκρεμεί το αποτέλεσμα των συζητήσεων υπό τον ΟΟΣΑ. Ωστόσο, η Επιτροπή κατέστησε επίσης σαφές ότι εάν δεν επιτευχθεί συμφωνία σε παγκόσμιο επίπεδο, η ΕΕ πρέπει να αναλάβει δράση. Οι λεπτομέρειες κάθε τέτοιας δράσης θα πρέπει να λαμβάνουν υπόψη το σημείο εκκίνησης των παγκόσμιων συζητήσεων» καταλήγει ο κ.Wigand.
Αν το κυρίαρχο χαρακτηριστικό της πανδημίας ήταν ότι πυροδότησε μια πρωτόγνωρη υγειονομική, κοινωνική και οικονομική κρίση, που εκτιμάται ότι θα αφήσει βαθύ αποτύπωμα σε όλον τον πλανήτη για αρκετά χρόνια, η Covid-19 άνοιξε ταυτόχρονα ανά την υφήλιο μια μεγάλη συζήτηση γύρω από το θέμα της διαχείρισης των προσωπικών δεδομένων των πολιτών σε περιόδους έκτακτης ανάγκης.
Κι αυτό διότι την προσπάθειά τους να περιορίσουν την εξάπλωση της πανδημίας, κυβερνήσεις και δημόσιοι και ιδιωτικοί οργανισμοί, και στην Ευρώπη, χρησιμοποίησαν την επεξεργασία προσωπικών δεδομένων διάφορων τύπων (όχι αναγκαστικά παραβιάζοντας τα δικαιώματα των πολιτών). Σύμφωνα με το BIRN (Balkan Investigative Reporting Network), σε χώρες όμως όπως η Μολδαβία, αλλά και το Μαυροβούνιο των μόλις 630.000 κατοίκων, δημοσιοποιήθηκαν προσωπικά δεδομένα υγείας νοσούντων από τον νέο κορονοϊό. Η Σλοβακία εξέτασε την άρση δικαιωμάτων, που προστατεύονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της ΕΕ, ενώ η Σερβία χρησιμοποίησε εργαλεία ψηφιακής επιτήρησης και εντοπισμού τηλεφωνικών συσκευών, για να περιορίσει την ελευθερία κίνησης, ώστε να μην εξαπλωθεί περαιτέρω ο ιός.
Σε πρόσφατη συνέντευξή του στο ΑΠΕ-ΜΠΕ για το συγκεκριμένο θέμα και ερωτηθείς αν πιστεύει πως οι υποδομές (π.χ., ψηφιακής παρακολούθησης), που χρησιμοποιήθηκαν στη διάρκεια της πανδημίας σε διάφορες χώρες (εφαρμογές σε κινητά, κάμερες, δεδομένα από συναλλαγές), ήρθαν για να μείνουν, ο διευθυντής πληροφορικής του MIT Media Lab, Μιχάλης Μπλέτσας, απάντησε: «Πιστεύω πως θα συνεχίσουν να υπάρχουν. Διότι όταν δίνεις στις κυβερνήσεις τέτοιου είδους δυνατότητες, πάντα κάποιος θα βρεθεί που θα τις κρατήσει. Γι' αυτό η χρήση και η συλλογή προσωπικών δεδομένων θα πρέπει να είναι κάθε φορά απόλυτα τεκμηριωμένη, για να καλύψει μια πραγματική ανάγκη, στη διάρκεια μιας κρίσης για παράδειγμα». Ως προς το πώς διασφαλίζεται αυτό, ο διεθνούς φήμης ερευνητής επισήμανε ότι το διασφαλίζουν οι νόμοι, οι θεσμοί, οι ανεξάρτητες ελεγκτικές αρχές και, κυρίως, η διάκριση των εξουσιών στις δυτικές κοινωνίες...