#12 - 06/2018
«Ο στόχος αυτού του νέου κανονισμού είναι να δώσει πίσω στους πολίτες τον έλεγχο επί των προσωπικών τους δεδομένων και να απλοποιήσει το σχετικό ρυθμιστικό πεεριβάλλον για τις επιχειρήσεις. Η μεταρρύθμιση στην προστασία δεδομένων θα παίξει ρόλο – κλειδί στην υλοποίηση της Ψηφιακής Ενιαίας Αγοράς η οποία κατέχει υψηλή προτεραιότητα για την Επιτροπή. Η μεταρρύθμιση θα επιτρέψει στους Ευρωπαίους πολίτες και στις επιχειρήσεις να επωφεληθούν πλήρως από την νέα ψηφιακή οικονομία»...
Θα μπορούσε ένας νόμος να αποκαλύπτει την πραγματική έκταση του καθημερινού φαινομένου το οποίο προσπαθεί να ρυθμίσει, πολύ περισσότερο απ’ όσο το έχει καταλάβει η (μέση) κοινωνική εμπειρία; Συνήθως οι κρατικές νομοθεσίες ακολουθούν την κοινωνική συνειδητοποίηση και τις αντιθέσεις γύρω από το Α ή το Β θέμα. Η περίπτωση του (ευρωπαϊκού) γενικού κανονισμού προστασίας δεδομένων (general data protection regulation, GDPR) ανήκει στις εξαιρέσεις. Ενώ το σύνολο της ζωής (κατ’ αρχήν στις κοινωνίες του αναπτυγμένου καπιταλισμού, σ’ ανατολή και δύση,) “dato-ποιείται”, είναι αυτός ο νόμος που (για να προστατέψει, όσο και όπως το εννοεί, τα ατομικά δικαιώματα και τις ελευθερίες) δείχνει πόσο μακριά έχει πάει ήδη το πράγμα!
Κι έτσι αυτή η προσπάθεια για ένα ψηφιακό habeas corpus, [1Η πρώτη γραπτή κωδικοποίηση του habeas corpus αναφέρεται στην αγγλία, το 1679· περιστατικά καταφυγής σ’ αυτόν, ενώπιον των δικαστηρίων, αναφέρονται όμως αρκετά παλιότερα. Habeas corpus σήμαινε (στα λατινικά του μεσαίωνα) “(κατ)έχεις το σώμα σου. Και σχετιζόταν με τις περιπτώσεις καταχρηστικής σύλληψης υπηκόων και φυλάκισής τους (από άρχοντες ή όργανά τους). Η αναγνώριση της “κυριότητας πάνω στο σώμα σου” έγινε η βάση του περιορισμού των εξουσιών των αρχόντων. Θα μπορούσε να ειπωθεί ότι ο “γενικός κανονισμός προστασίας δεδομένων” είναι ένα είδος “αναγνώρισης της ατομικής κυριότητας πάνω στον ψηφιακό εαυτό”...] σαν “πετριά στη δυναμική ρευστότητα του cyber σύμπαντος”, δημιουργεί γύρω της ομόκεντρους κύκλους αντιδράσεων (και μη αντιδράσεων). Από μόνο του το γεγονός ότι θα όφειλε ο καθένας (ακόμα και από σχολική ηλικία!) να μελετήσει αυτόν τον νόμο των 11 κεφαλαίων και 99 άρθρων, με την βοήθεια διάφορων συνοδευτικών (και ιδιαίτερα κατατοπιστικών) κειμένων (είναι πιο σημαντικός απ’ τον Κ.Ο.Κ.!!!), για να συνειδητοποίησει πόσο καθολική και χωρίς κανέναν δικό του έλεγχο είναι ήδη η “δημιουργία του data - εαυτού” του κι πόσο εύκολη και “αόρατη” είναι η επεξεργασία τους (άρα η ιδιοποίησή τους) από κράτη, παρακράτη, εταιρείες αλλά και οποιονδήποτε “εφευρέτη” μιας εφαρμογής (που θα σπάσει ταμεία), από μόνο του λοιπόν αυτό το γεγονός αναδεικνύει μια τεράστια πολιτική και κοινωνική “μαύρη τρύπα” μέσα στην πρωτοκοσμική πραγματικότητα. Την πραγματικότητα κοινωνιών των οποίων μεγάλο μέρος παραμένει καθηλωμένο σε νηπιακή ή/και άρρωστα καθυστερημένη αντίληψη της (καπιταλιστικής) πραγματικότητας, μια αντίληψη που εξαντλείται στην μυθοποίηση “της απειλής των ξένων” (των μεταναστών / μεταναστριών)· ανίδεη, μοιραία και χαρούμενα παραδομένη στα γρανάζια της ψηφιοποίησης των πάντων.
Κι αν αγνοείς μια πραγματικότητα τέτοιου είδους είναι αδύνατο να καταλάβεις τι σημαίνει digital δουλία! Πως θα καταλάβεις, λοιπόν, το αντίθετο, δηλαδή το τι θα μπορούσαν να σημαίνουν οι λέξεις “ατομικά δικαίωματα” και “ατομικές ελευθερίες” στο νέο καπιταλιστικό Παράδειγμα; Φοβούμαστε πως ο “γενικός κανονισμός προστασίας δεδομένων” δεν θα δράσει σαν μια έσχατη παρακίνηση για την πολιτική αφύπνιση των υπηκόων. Αλλά μόνο σαν μια επιπλέον “νομική ύλη” για τα δικηγορικά γραφεία! (Κακώς!!! Κάκιστα!!!)
Ο “γενικός κανονισμός” υιοθετήθηκε στις 14 Απρίλη του 2016· δεν είναι, δηλαδή, προϊόν των πιο πρόσφατων “αποκαλύψεων” για τις μαζικές υποκλοπές δεδομένων με σκοπό την εκλογική χρειαγώγηση στις ηπα (εκλογή Trump) και στην αγγλία (brexit). Είχε προβλεφτεί μια μεταβατική περίοδος για την εφαρμογή του 2 χρόνων. Και απ’ τις 25 Μάη του 2018 είναι υποχρεωτικά εφαρμόσιμος σ’ όλα τα κράτη μέλη της ε.ε. [2Το γεγονός ότι έγινε κάποιος θόρυβος στα μέρη μας μετά την 25η Μάη, και ότι επί 2 χρόνια αυτός ο νόμος αγνοούνταν (ενώ έπρεπε να εφαρμόζεται ήδη, και να έχουν γίνει όλες οι απαραίτητες τεχνικές προσαρμογές αλλά, κυρίως, η κοινωνική συνειδητοποίηση του θέματος), προοιωνίζει την ουσιαστική αγνόησή του· σίγουρα στα μέρη μας. Οι εταιρείες θα βρουν τρόπους να τον “τρυπάνε”, οι “πελάτες” θα μείνουν ανίδεοι όπως πριν· και μόνο περιστασιακά, σε κάποια “χοντρή περίπτωση”, θα αναλαμβάνουν τα εξειδικευμένα δικηγορικά γραφεία και τα μήντια...] Επειδή πρόκειται για ρύθμιση και όχι για οδηγία (διαφορές ορολογίας της ευρωπαϊκής γραφειοκρατίας) ο “γενικός κανονισμός” δεν απαιτεί νομοθετική έγκριση απ’ τις εθνικές κυβερνήσεις. Είναι δεσμευτικός και υποχρεωτικά εφαρμόσιμος.
Ο “γενικός κανονισμός” είναι βελτίωση και προσαρμογή στις τεχνολογικές, οικονομικές και κοινωνικές εξελίξεις μιας ευρωπαϊκής οδηγίας του 1995, σχετικά με την “προστασία των δεδομένων”. Προβλέπει σημαντική ενίσχυση της ιδιωτικότητας των προσωπικών δεδομένων: η προστασία τους· η συναίνεση των ατόμων στην αποθήκευση, στη χρήση και στην κυκλοφορία πέρα απ’ τις ανάγκες της συγκεκριμένης κάθε φορά χρήσης για την οποία απαιτούνται· η αποθήκευσή τους με ψευδώνυμα ή ανώνυμα όταν πρόκειται για βάσεις δεδομένων επιχείρησεων· και η ενίσχυση της δυνατότητας όσων θίγονται απ’ την κατά-χρηση των προσωπικών δεδομένων τους να ζητούν (υψηλές) αποζημιώσεις, είναι μερικές (αν και όχι οι μοναδικές) σοβαρές βελτιώσεις σε σχέση με αυτά που προέβλεπε η οδηγία του ‘95.
Σαν επιμέρους περιεχόμενο του “γενικού κανονισμού”, πιο προσιτό και, ταυτόχρονα, πιο επείγον να κατανοηθεί, επιλέξαμε το ζήτημα της συγκατάθεσης του προσώπου στη διαχείριση των προσωπικών του δεδομένων σε (επιχειρηματικές, κρατικές, οικονομικές κλπ) “οντότητες” που παρέχουν υπηρεσίες στη βάση τέτοιων δεδομένων.
Στην προηγούμενη οδηγία (του ‘95) το μη ρητό “όχι” σ’ αυτήν την διαχείριση σήμαινε αποδοχή - η πρόβλεψη ήταν υπέρ των “οντοτήτων”. Με τον “γενικό κανονισμό” το πράγμα αλλάζει: πρέπει να υπάρχει ρητή συγκατάθεση του προσώπου· διαφορετικά εννοείται άρνηση. Ή κατάχρηση εκ μέρους του συλλέκτη / επεξεργαστή των δεδομένων.
Το άρθρο 4 (11) του “γενικού κανονισμού” ασχολείται με τον προσδιορισμό του τι είναι ρητή και αξιόπιστη συγκατάθεση. Για να θεωρηθεί τέτοια, θα πρέπει:
- να έχει δοθεί ελεύθερα·
- να είναι συγκεκριμένη·
- να έχει προηγηθεί η αρμόζουσα πληροφόρηση του προσώπου· και
- να υπάρχει υπεράνω αμφιβολιών επιβεβαίωση της επιθυμίας του προσώπου που παρέχει τα προσωπικά του δεδομένα, μέσω μια δήλωσης ή άλλης καθαρής πράξης εξουσιοδότησης, ότι συμφωνεί με την επεξεργασία αυτών των δεδομένων.
Πιο αναλυτικά (μεταφράζουμε αποσπάσματα απ’ την σχετική υποστηρικτική και αρκετά κατατοπιστική έκθεση της “ομάδας εργασίας” WP29 για την συγκατάθεση):
Το στοιχείο της “ελευθερίας” σημαίνει αληθινή επιλογή και έλεγχο απ’ την μεριά των υποκειμένων των δεδομένων. Σαν γενικό κανόνα ο “γενικός κανονισμός” ορίζει ότι αν το υποκείμενο των δεδομένων δεν έχει αληθινή επιλογή, νοιώθει αναγκασμένο να συναινέσει ή θα υποστεί αρνητικές συνέπειες αν δεν συναινέσει, σ’ αυτές τις περιπτώσεις η συγκατάθεση είναι άκυρη. Αν η συναίνεση ζητιέται σαν μη διαπραγματεύσιμο μέρος όρων και συνθηκών, θεωρείται ότι δεν έχει δοθεί ελεύθερα. Κατά συνέπεια, η συναίνεση δεν θεωρείται ελεύθερη αν το υποκείμενο των δεδομένων δεν μπορεί να αρνηθεί ή να αποσύρει την συγκατάθεσή του χωρις συνέπειες. Το ζήτημα των ανισορροπιών εξουσίας ανάμεσα σ’ αυτόν που συγκεντρώνει τα δεδομένα και στο υποκείμενο των δεδομένων λαμβάνεται υπ’΄όψη στον “γενικό κανονισμό”.
[Παράδειγμα 1]
Μια εφαρμογή για κινητά για επεξεργασία εικόνων ζητάει απ’ τους χρήστες της να ενεργοποιήσουν τον προσδιορισμό της θέσης του μέσω gps για να γίνει εφικτή η χρήση της. Η εφαρμογή λέει επίσης στους χρήστες της ότι τα δεδομένα που θα συγκεντρώνει θα χρησιμοποιηθούν για συμπεριφορικούς διαφημιστικούς σκοπούς. Ούτε ο προσδιορισμός θέσης ούτε η online συμπεριφορική διαφήμιση είναι απαραίτητες για την παροχή υπηρεσιών επεξεργασίας εικόνας, και πηγαίνουν πολύ μακρύτερα απ’ τα βασικά χαρακτηριστικά της υπηρεσίας που προσφέρεται. Αν οι χρήστες δεν μπορούν να χρησιμοποιήσουν αυτήν την εφαρμογή χωρίς να συναινέσουν σ’ αυτά που τους ζητιούνται, η συγκατάθεσή τους δεν μπορεί να θεωρηθεί ότι δόθηκε ελεύθερα.
Υπάρχει η άποψη ότι οι δημόσιες αρχές δεν μπορούν να ικανοποιήσουν τις πιο πάνω προϋποθέσεις της συγκατάθεσης του υποκειμένου δεδομένων, όταν αυτές είναι που τα συγκεντρώνουν, δεδομένης της καθαρής ανισορροπίας δυνάμεων ανάμεσα στις δημόσιες αρχές και το υποκείμενο των δεδομένων. Είναι επίσης σαφές στις περισσότερες περιπτώσεις ότι το υποκείμενο δεδομένων δεν έχει πραγματικές εναλλακτικές εκτός απ’ το να δεχτεί τους όρους επεξεργασίας των δεδομένων που του γνωστοποιεί η δημόσια αρχή που τα συγκεντρώνει. Η ομάδα εργασίας για το άρθρο 29 (WP29) θεωρεί ότι υπάρχουν άλλες νομικές βάσεις που στις αρχές τους ταιριάζουν περισσότερο στο θέμα των δραστηριοτήτων των δημόσιων αρχών.3
Ωστόσο, με την παραδοχή αυτών των γενικών παρατηρήσεων, η χρήση της συγκατάθεσης σα νόμιμη βάση για την επεξεργασία δεδομένων από δημόσιες αρχές δεν αποκλείεται εντελώς απ’ το νομικό πλαίσιο του “γενικού κανονισμού”. Τα επόμενα παραδείγμα δείχνουν ότι η χρήση συγκατάθεσης πρέπει να είναι επιζητούμενη σε συγκεκριμένες περιπτώσεις.
[Παράδειγμα 2]
Ένας δήμος σχεδιάζει εργασίες επισκευής ενός δρόμου. Αφού αυτά τα έργα θα επηρεάσουν την κυκλοφορία στην περιοχή για αρκετό καιρό, ο δήμος προσφέρει στους πολίτες την δυνατότητα να εγγραφούν σε mail list για να λαμβάνουν ενημερώσεις για την εξέλιξη των έργων και τις αναμενόμενες καθυστερήσεις. Ο δήμος κάνει ξεκάθαρο ότι η συμμετοχή σ’ αυτή τη λίστα δεν είναι υποχρεωτική, και ζητάει την συγκατάθεση για να χρησιμοποιήσει τις ηλεκτρονικές διευθύνσεις για τον συγκεκριμένο σκοπό. Οι πολίτες που δεν θα συναινέσουν δεν πρέπει να εξαιρεθούν από οποιαδήποτε βασική υπηρεσία που προσφέρει ο δήμος, ή την άσκηση οποιουδήποτε δικαίωματός τους, οπότε μπορούν να δώσουν ελεύθερα ή να μην δώσουν την συγκατάθεσή τους για την συγκεκριμένη χρήση του προσωπικού τους δεδομένου. Όλες οι πληροφορίες για τα έργα στο δρόμο θα πρέπει να είναι, επιπλέον, διαθέσιμες στο site του δήμου.
[Παράδειγμα 3]
Ένας ιδιώτης ιδιοκτήτης γης χρειάζεται συγκεκριμένες άδειες τόσο απ’ τον τοπικό δήμο όσο και απ’ την περιφερειακή διοίκηση στην οποία υπάγεται ο δήμος. Και οι δύο δημόσιες υπηρεσίες χρειάζονται τις ίδιες πληροφορίες για να εκδώσουν τις άδειες, αλλά δεν έχουν πρόσβαση η μία στις βάσεις δεδομένων της άλλης. Συνεπώς, ζητούν και οι δύο τις ίδιες πληροφορίες, και ο ιδιοκτήτης γης στέλνει τα ίδια στοιχεία και στις δύο υπηρεσίες. Ο δήμος και η περιφέρεια ρωτούν τον ιδιώτη ζητώντας του την συναίνεσή του για να συγχωνεύσουν τα αρχεία που τον αφορούν, ώστε να αποφύγουν τις διπλές διαδικασίες. Και οι δύο υπηρεσίες διαβεβαιώνουν ότι αυτή η συγχώνευση είναι κατ’ επιλογήν, και ότι οι αιτήσεις του ιδιώτη θα προχωρήσουν χωριστά αν επιλέξει να μην δώσει την συγκατάθεσή του για την συγχώνευση των δεδομένων. Ο ιδιοκτήτης γης θεωρείται ότι μπορεί να δώσει ελεύθερα την συγκατάθεσή του στις αρχές για τον συγκεκριμένο σκοπό.
[Παράδειγμα 4]
Ένα δημόσιο σχολείο ζητάει την συγκατάθεση των μαθητών του για να χρησιμοποιήσει τις φωτογραφίες τους σε ένα μαθητικό περιοδικό. Η συναίνεση υπ’ αυτές τις συνθήκες θα πρέπει να είναι αυθεντική επιλογή, στο βαθμό που οι μαθητές δεν θα στερηθούν εκπαίδευση ή άλλες σχετικές υπηρεσίες, και θα μπορούν να αρνηθούν την χρήση των φωτογραφιών τους χωρίς οποιαδήπορτε συνέπεια.
Ανισορροπία δύναμης υπάρχει επίσης στις σχέσεις εργασίας. Δεδομένης της εξάρτησης που προκύπτει απ’ την σχέση εργαζόμενου / εργοδότη, είναι απίθανο ότι το υποκείμενο των δεδομένων θα είναι σε θέση να αρνηθεί στον εργοδότη του την συγκατάθεσή του στην επεξεργασία των δεδομένων χωρίς να νοιώσει φόβο ή κινδυνο για τις συνέπειες μιας τέτοιας άρνησης. Είναι απίθανο ότι ο εργαζόμενος θα μπορέσει να απαντήσει ελεύθερα στο αίτημα για συναίνεση του εργοδότη του όπως, για παράδειγμα, για την ενεργοποίηση ενός συστήματος καμερών στο χώρο εργασίας, ή για την συμπλήρωση κάποιων δελτίων, χωρίς να νοιώθει πίεση να συγκατατεθεί. Συνεπώς η WP29 θεωρεί ότι είναι προβληματικό για εργοδότες να επεξεργάζονται προσωπικά δεδομένα των τωρινών ή των μελλοντικών εργαζομένων τους στη βάση μιας συγκατάθεσης που είναι απίθανο να δίνεται ελεύθερα. Για την πλειοψηφία της επεξεργασίας τέτοιων δεδομένων σχετικών με τις δουλειές, η νομική βάση δεν μπορεί και δεν πρέπει να είναι η συναίνεση των εργαζόμενων, εξαιτίας της σχέσης ανάμεσα σε εργαζόμενους και εργοδότες. [3Αυτό που υποδεικνύει η WP29 στο συγκεκριμένο ζήτημα, θέλει προσοχή. Λέει ότι επειδή υπάρχει ανισότητα δυνάμεων (είτε στις σχέσεις με τις δημόσιες υπηρεσίες είτε στις σχέσεις με τους εργοδότες) η όποια “συγκατάθεση” θεωρείται a priori ανελεύθερη. Και δεν μπορεί να χρησιμοποιηθεί είτε απ’ τις δημόσιες υπηρεσίες είτε απ’ τους εργοδότες σαν υπέρ τους επιχείρημα.
Σ’ αυτές τις περιπτώσεις (πλην ελάχιστων εξαιρέσεων) οι ευθύνες εκείνων που συγκεντρώνουν και επεξεργάζονται προσωπικά δεδομένα ρυθμίζονται από άλλα άρθρα του “γενικού κανονισμού”.]
Ωστόσο αυτό δεν σημαίνει ότι οι εργοδότες δεν πρέπει ποτέ να ζητούν συγκατάθεση για νομική βάση για επεξεργασία δεδομένων. Μπορεί να υπάρχουν περιπτώσεις που είναι εφικτό για τον εργαζόμενο να δώσει ή να μην δώσει ελεύθερα την συγκατάθεσή του. Δεδομένης την ανισορροπίας δύναμης ανάμεσα σ’ έναν εργοδότη και τους υπαλλήλους του, οι εργαζόμενοι μπορούν να δώσουν ελεύθερα την συγκατάθεσή τους μόνο σε ειδικές περιπτώσεις, όταν δεν υπάρχουν συνέπειες αν αρνηθούν.
[Παράδειγμα 5]
Μια ομάδα κινηματογράφησης πρόκειται να τραβήξει πλάνα σε ένα συγκεκριμένο τμήμα ενός γραφείου. Ο εργοδότης ρωτάει όλους τους εργαζόμενους που κάθονται στα γραφεία τους σ’ αυτό το τμήμα αν συναινούν να κινηματογραφηθούν, καθώς θα εμφανίζονται σαν φόντο στο video. Αυτοί που δεν συμφωνούν να βιντεοσκοπηθούν δεν τιμωρούνται με κανένα τρόπο, αλλά αντίθετα πρέπει να τους παραχωρηθούν ανάλογα γραφεία σε άλλο σημείο του εργασίας για όλη την διάρκεια της βιντεοσκόπησης.
Η ανισορροπία δύναμης δεν περιορίζεται στις δημόσιες αρχές και τους εργοδότες, μπορεί να συμβαίνει και σε άλλες περιπτώσεις. Όπως υπογραμμίζει η WP29 σε διάφορες γνωματεύσεις, η συγκατάθεση έχει αξία μόνο όταν το υποκείμενο των δεδομένων μπορεί να κάνει μια αληθινή επιλογή, και δεν υπάρχει κίνδυνος εξαπάτησης, εξαναγκασμού, ή σημαντικών αρνητικών επιπτώσεων (όπως, π.χ., επιπλέον κόστη) αν δεν συναινέσει. Η συγκατάθεση δεν θεωρείται ελεύθερη στις περιπτώσεις που υπάρχει οποιοδήποτε στοιχείο εξαναγκασμού, πίεσης ή αδυναμίας άσκησης της ελεύθερης θέλησης.
Προκειμένου να διαπιστωθεί αν η συναίνεση έχει δοθεί ελεύθερα, το Άρθρο 7 (4) του “γενικού κανονισμού” παίζει σημαντικό ρόλο.
Το Άρθρο 7 (4) του “γενικού κανονισμού” ξεκαθαρίζει ότι, μεταξύ άλλων, το “τσουβάλιασμα” της συγκατάθεσης με την αποδοχή των όρων και των συνθηκών ή το “δέσιμο” της παροχής μιας υπηρεσίας ή της αποδοχής ενός συμβολαίου με την συγκατάθεση για την επεξεργασία των προσωπικών δεδομένων που δεν είναι απαραίτητα για την υλοποίηση αυτού του συμβολαίου ή την παροχή της συγκεκριμένης υπηρεσίας, θεωρείται εξαιρετικά ανεπιθύμητο. Αν δοθεί συγκατάθεση υπ’ αυτούς τους όρους, θεωρείται ότι δεν δόθηκε ελεύθερα. Το άρθρο 7 (4) επιδιώκει να εξασφαλίσει ότι ο σκοπός της επεξεργασίας των προσωπικών δεδομένων δεν μεταμφιέζεται ούτε τσουβαλιάζεται με την παροχή ενός συμβολαίου ή μιας υπηρεσίας για τα οποία αυτά τα προσωπικά δεδομένα δεν είναι απαραίτητα. Ο “γενικός κανονισμός” εξασφαλίζει ότι η άρνηση συγκατάθεσης σ’ αυτές τις περιπτώσεις απ’ την μεριά του υποκειμένου των προσωπικών δεδομένων δεν θα οδηγεί σε άρνηση παροχής υπηρεσιών.
Ο εξαναγκασμός σε συμφωνία για την χρήση προσωπικών δεδομένων πέρα από εκείνα που είναι αυστηρά απαραίτητα περιορίζει τις επιλογές του υποκειμένου, και εμποδίζει την δυνατότητά του να δώσει ελεύθερα την συγκατάθεσή του. Εφόσον ο σκοπός του “γενικού κανονισμού” είναι η προστασία των θεμελειωδών δικαιωμάτων, ο έλεγχος του καθενός / της καθεμιάς πάνω στα προσωπικά του δεδομένα είναι κρίσιμος. Και υπάρχει μια ισχυρή παραδοχή ότι η συγκατάθεση για την επεξεργασία προσωπικών δεδομένων που δεν είναι απαραίτητα δεν μπορεί να θεωρηθεί σαν επιτακτική υποχρεώση με αντάλλαγμα την υλοποίηση ενός συμβολαίου ή την λήψη μιας υπηρεσίας.
...
[Παράδειγμα 6]
Μια τράπεζα ζητάει απ’ τους πελάτες της την συγκατάθεσή τους για να χρησιμοποιήσει τις λεπτομέρειες των πληρωμών τους μέσω καρτών για εμπορικούς σκοπούς. Αυτή η επεξεργαστική διαδικασία δεν είναι απαραίτητη για το συμβόλαιο που έχουν με τους πελάτες και για την παροχή των κανονικών τραπεζικών υπηρεσιών. Αν η άρνηση του πελάτη να συναινέσει σ’ αυτόν τον σκοπό της επεξεργασίας των δεδομένων του μπορεί να οδηγήσει στην άρνηση παροχής τραπεζικών υπηρεσιών, κλείσιμο του τραπεζικού λογαριασμού ή αύξηση της χρέωσης, η συγκατάθεση δεν μπορεί να δοθεί ελεύθερα.
....
Μια παρεχόμενη υπηρεσία μπορεί να εμπλέκει πολλαπλές επεξεργαστικές διαδικασίες για την επίτευξη περισσότερων του ενός σκοπών. Σε τέτοιες περιπτώσεις τα υποκείμενα των προσωπικών δεδομένων θα πρέπει να είναι ελεύθερα να διαλέξουν ποιούς σκοπούς αποδέχονται αντί να είναι υποχρεωμένα να δίνουν την συγκατάθεσή τους στο σωρό. Σε μια τέτοια περίπτωση διάφορες και επιμέρους συγκαταθέσεις θα πρέπει να εξασφαλιστούν για να γίνει η παροχή της υπηρεσίας, σύμφωνα με τον “γενικό κανονισμό”.
...
Αν αυτός που επεξεργάζεται τα δεδομένα έχει ομαδοποιήσει διάφορους σκοπούς που θα υπηρετηθούν απ’ την επεξεργασία και δεν έχει φροντίσει να εξασφαλίσει διακριτές συγκαταθέσεις για κάθε σκοπό, υπάρχει έλλειψη ελευθερίας. Αυτός ο επιμερισμός είναι στενά συνυφασμένος με την ανάγκη να είναι η συγκατάθεση συγκεκριμένη. Όταν η επεξεργασία δεδομένων γίνεται για να υπηρετηθούν διάφοροι σκοποί, η λύση που είναι συμβατή με τη νομοθεσία για αξιόπιστη συγκατάθεση βρίσκεται στον επιμερισμό. Δηλαδή στον διαχωρισμό των σκοπών και την επιδίωξη συναίνεσης για τον καθένα χωριστά.
[Παράδειγμα 7]
Μέσω του αιτήματος για συγκατάθεση ένας έμπορος ζητάει απ’ τους πελάτες του να συναινέσουν στη χρήση των προσωπικών δεδομένων τους για να τους αποστέλλονται διαφημίσεις μέσω mail, και επίσης για να μοιραστεί τις λεπτομέρειες αυτών των δεδομένων με άλλες επιχειρήσεις μέσα στον ίδιο όμιλο. Αυτή η συγκατάθεση δεν είναι επιμερισμένη, αφού δεν ζητιούνται διαφορετικές συγκαταθέσεις για αυτούς τους δύο χωριστούς σκοπούς. Κατόπιν αυτού η συγκατάθεση, ακόμα κι αν δοθεί, δεν θεωρείται έγκυρη.
...
Το πιο εντυπωσιακό που πιστοποιεί ο “γενικός κανονισμός” (και τα πιο πάνω λίγα αποσπάσματα για το σκεπτικό του είναι κατατοπιστικά) είναι πως το σύνολο της καθημερινής ζωής μας έχει μετατραπεί (ή κωδικοποιηθεί) σε data. Δεδομένα. Data καθημερινών συνηθειών· data αγορών και πληρωμών· data των μεσολαβημένων κοινωνικών σχέσεων (social media)· data υγείας, σωματικής και “ψυχολογικής”· data εκπαίδευσης· data σχέσεων με τους νόμους· data κίνησης στην πόλη ή/και ταξιδιών· data εργασίας... Data, data, data παντού!!!
Είναι τόσο μαζική, διακρής, δυναμική η γενικευμένη dato-ποίηση που μοιάζει, αν μας επιτρέπεται, με την εκπνοή. Το εύρος, η συνθετότητα, η αξιοποίηση των δεδομένων μέσω της “επεξεργασίας” τους διαφεύγουν απ’ αυτούς που “αναλύονται σε δεδομένα” διαρκώς (και αυτό θα γίνεται ακόμα πιο εντατικό όσο περνάει ο καιρός...)· όχι, όμως, απ’ αυτούς που μπορούν να τα αξιοποιήσουν. Εμπορικά, οικονομικά, πειθαρχικά.
Έτσι, ο ευρωπαϊκός “γενικός κανονισμός” δείχνει να βρίσκεται πολύ πιο μπροστά απ’ την όποια καθημερινή συνειδητοποίηση. Που ως τώρα συμπυκνωνόταν σε μια ανόρεχτη (και γεμάτη άγνοια) “αποδοχή” (αγγλιστί: accept) διάφορων απαιτήσεων (σχετικών με την παροχή και την επεξεργασία προσωπικών δεδομένων). Δεν είναι μπροστά, απλά, από “τεχνική άποψη”. Αλλά επειδή είναι μια νομική μεν χαρτογράφηση δε της γενικευμένης data-ποίησης, με σκοπό να την περιορίσει· να φρενάρει, σα να λέμε, την αδιάκριτη υποκλοπή όλων αυτών των data - ενόσω υπάρχει πλήρης άγνοια για την “αξία” και την όποια χρησιμοποίησή τους.
Από την άγνοια και την αδιαφορία στη γνώση και στην ετοιμότητα να υπερασπιστεί ο καθένας τα ατομικά ψηφιακά ή ψηφιοποιήσιμα δεδομένα του έναντι τόσων που τα ορέγονται; Είναι κάτι τέτοιο εφικτό; Απ’ τα λίγα παραδείγματα της WP29 που αναφέραμε πιο πάνω, μας είναι ξεκάθαρο πως αν θέλει ο καθένας να χρησιμοποιήσει τις πρόνοιες του “γενικού κανονισμού” θα πρέπει να βρίσκεται (σχηματικά!) με το “δάκτυλο στην σκανδάλη” διαρκώς! Απλές καθημερινές κινήσεις: πληρώνεις στο super market ή στο βενζινάδικο με πιστωτική κάρτα (επειδή, βέβαια, το κράτος σαν μπράβος προσπαθεί να το κάνει υποχρεωτικό); Τι κάνει με τα προσωπικά σου δεδομένα η μπακαλο-εταιρεία ή η βενζινο-εταιρεία; Τι κάνει η τράπεζα; Σε ρωτάει και συμφωνείς επειδή βαριέσαι ή δεν καταλαβαίνεις; Δεν σε ρωτάει και σε γράφει κανονικά;
Ακόμα χειρότερα: σε μια κοινωνία (σαν την ελληνική) όπου δεν επιδιώκεται αυστηρά και συστηματικά, από εμάς τους ίδιους / τις ίδιες, η εφαρμογή των λίγων μεν αλλά υπαρκτών εργασιακών δικαιωμάτων, θα δημιουργηθεί άραγε στο εύρος που χρειάζεται αυτή η σκληρή (αλλά απαραίτητη!) υπεράσπιση των ψηφιακών δικαιωμάτων; Μακάρι - αλλά δεν είμαστε αισιόδοξοι...
Γίνεται πάντως ξεκάθαρο τι θα μπορούσε να σημαίνει ατομική (και συλλογική) αυτο-προστασία στον υπό ραγδαία εξέλιξη ψηφιακό καπιταλιστικό κόσμο. Υπάρχει, για παράδειγμα, η ιδέα ότι αν αποφύγει κανείς το gmail (και άρα την google) είναι περίπου “αδέσποτος” ψηφιακά - τουλάχιστον σ’ ότι αφορά την επικοινωνία του με άλλους. Την ίδια στιγμή τα smart phones λειτουργούν, θέλουν δεν θέλουν οι κατοχοί τους, σαν μόνιμοι κατάσκοποι, 24 ώρες το 24ωρο.
Η αυτο-προστασία στον 21ο αιώνα δεν μπορεί να είναι αποτελεσματική μ’ ένα μικρό τρικ εδώ ή εκεί. Το εύρος της χρήσης των ψηφιακών τεχνολογιών και της δικτύωσης είναι πολύ μεγαλύτερο, βαθύτερο και εντατικότερο απ’ αυτό που καταλαβαίνει εμπειρικά ο καθένας. Πρόκειται να ξαναστηθεί κανείς σε γκισέ (για παράδειγμα) για να αγοράσει ένα οποιοδήποτε εισιτήριο; Μάλλον όχι. Πρόκειται να ξαναστείλει συμπληρωμένη χειρόγραφα την φορολογική του / της δήλωση; Όχι. Κλπ κλπ. Θα περάσει, φοβούμαστε, πολύ καιρός μέχρις ότου ξαναγίνει κοινό κτήμα η έννοια (και το εύρος) της ιδιωτικότητας· και, κατά συνέπεια, τα όρια στην παραβίασή της από αφεντικά, κράτη, κλπ. (Εν τω μεταξύ οι επιχειρήσεις στον κυβερνοχώρο δείχνουν έτοιμες να παρακάμψουν το πνεύμα, κι όπου μπορούν ακόμα και το γράμμα του “γενικού κανονισμού”....)
Υπάρχει άλλη μια διάσταση στον ευρωπαϊκό “γενικό κανονισμό”. Αυτή του ενδοκαπιταλιστικού ανταγωνισμού. Είναι γνωστό ότι τα “μονοπώλια” των big data είναι αμερικανικές εταιρείες, του είδους google, facebook, κλπ. Ο GDPR, πέρα απ’ την καθημερινή του χρησιμότητα σε κάθε είδους μικρή, ατομική, προσωπική κλίμακα, μπορεί να αναγνωριστεί σαν κρίκος μέσα σε μια σειρά ενεργειών εκ μέρους της ε.ε. εναντίον εταιρειών αμερικανικών συμφερόντων – και όχι γενικά εναντίον μεγάλων εταιρειών. Ειδικά στον τομέα της πληροφορικής, είναι περίπου κοινός τόπος στους ευρωπαϊκούς κύκλους ότι η ευρώπη έχει μείνει πίσω σε σχέση με τις ηπα και πιθανότατα και σε σχέση με την κίνα. “Περιορισμοί” στις πληροφοριακές ροές προς τις αμερικανικές εταιρείες λοιπόν!
Δεν είναι τυχαίο ότι χώρες όπως η ρωσία, η κίνα και το ιράν θέτουν αυστηρούς περιορισμούς στη χρήση υπηρεσιών cloud και κοινωνικής δικτύωσης. Όχι απαραίτητα γιατί είναι «οπισθοδρομικές» χώρες (λες και η χρήση κοινωνικών δικτύων είναι διαπιστευτήριο προοδευτικότητας!), αλλά γιατί τα δεδομένα που συλλέγουν πολλές από αυτές τις υπηρεσίες βρίσκονται επί της ουσίας υπό αμερικανική δικαιοδοσία – είναι πρόσφατες οι αποκαλύψεις σχετικά με την ευκολία που οι αμερικάνικες μυστικές υπηρεσίες είχαν πρόσβαση στους σέρβερ (και στις συσκευές) μη αμερικανικών εταιρειών και υπηκόων διάφορων κρατών.
Ziggy Stardust
1 - Η πρώτη γραπτή κωδικοποίηση του habeas corpus αναφέρεται στην αγγλία, το 1679· περιστατικά καταφυγής σ’ αυτόν, ενώπιον των δικαστηρίων, αναφέρονται όμως αρκετά παλιότερα. Habeas corpus σήμαινε (στα λατινικά του μεσαίωνα) “(κατ)έχεις το σώμα σου. Και σχετιζόταν με τις περιπτώσεις καταχρηστικής σύλληψης υπηκόων και φυλάκισής τους (από άρχοντες ή όργανά τους). Η αναγνώριση της “κυριότητας πάνω στο σώμα σου” έγινε η βάση του περιορισμού των εξουσιών των αρχόντων. Θα μπορούσε να ειπωθεί ότι ο “γενικός κανονισμός προστασίας δεδομένων” είναι ένα είδος “αναγνώρισης της ατομικής κυριότητας πάνω στον ψηφιακό εαυτό”...
[ επιστροφή ]
2 - Το γεγονός ότι έγινε κάποιος θόρυβος στα μέρη μας μετά την 25η Μάη, και ότι επί 2 χρόνια αυτός ο νόμος αγνοούνταν (ενώ έπρεπε να εφαρμόζεται ήδη, και να έχουν γίνει όλες οι απαραίτητες τεχνικές προσαρμογές αλλά, κυρίως, η κοινωνική συνειδητοποίηση του θέματος), προοιωνίζει την ουσιαστική αγνόησή του· σίγουρα στα μέρη μας. Οι εταιρείες θα βρουν τρόπους να τον “τρυπάνε”, οι “πελάτες” θα μείνουν ανίδεοι όπως πριν· και μόνο περιστασιακά, σε κάποια “χοντρή περίπτωση”, θα αναλαμβάνουν τα εξειδικευμένα δικηγορικά γραφεία και τα μήντια...
[ επιστροφή ]
3 - Αυτό που υποδεικνύει η WP29 στο συγκεκριμένο ζήτημα, θέλει προσοχή. Λέει ότι επειδή υπάρχει ανισότητα δυνάμεων (είτε στις σχέσεις με τις δημόσιες υπηρεσίες είτε στις σχέσεις με τους εργοδότες) η όποια “συγκατάθεση” θεωρείται a priori ανελεύθερη. Και δεν μπορεί να χρησιμοποιηθεί είτε απ’ τις δημόσιες υπηρεσίες είτε απ’ τους εργοδότες σαν υπέρ τους επιχείρημα.
Σ’ αυτές τις περιπτώσεις (πλην ελάχιστων εξαιρέσεων) οι ευθύνες εκείνων που συγκεντρώνουν και επεξεργάζονται προσωπικά δεδομένα ρυθμίζονται από άλλα άρθρα του “γενικού κανονισμού”.
[ επιστροφή ]