To Predator και τα προσωπικά δεδομένα. Οι πολλαπλές παραβιάσεις της εθνικής και ευρωπαϊκής νομοθεσίας και τα πρακτικά και νομικά προβλήματα για την εφαρμογή της

Σπύρος Μακρής, Νομικός σύμβουλος για θέματα δικαίου πληροφορικής, Master 2 Université Paris 1 Pathéon - Sorbonne

Τον Δεκέμβριο του 2021, έρευνα του εργαστηρίου Citizen Lab του Πανεπιστημίου του Τορόντο αποκαλύπτει την πιθανή ύπαρξη πελατών του κατασκοπευτικού λογισμικού Predator στην Ελλάδα[1]. Τον Ιούλιο του 2022, ο πρόεδρος του ΠΑΣΟΚ καταγγέλλει στον Εισαγγελέα του Αρείου Πάγου ότι το κινητό του τηλέφωνο έχει μολυνθεί από το κακόβουλο λογισμικό μετά από ευρήματα της υπηρεσίας πληροφορικής του Ευρωπαϊκού Κοινοβουλίου. Ήδη από τον Απρίλιο, δημοσίευμα του Inside Story είχε αναφέρει την παρακολούθηση του κινητού τηλεφώνου του δημοσιογράφου Θανάση Κουκάκη μέσω του Predator[2]. Τους επόμενους μήνες, η δημοσιογραφική έρευνα αποκαλύπτει παρακολούθηση δεκάδων πολιτών μέσω του λογισμικού[3]. Τα ευρήματα του Citizen Lab επιβεβαιώνονται σε δεύτερο χρόνο και από τεχνικές αναλύσεις της Meta και της Google[4].

Η κυβέρνηση αρνείται οποιαδήποτε ανάμειξη κρατικών αρχών στην αγορά και χρήση του Predator, ωστόσο η Επιτροπή Pega του Ευρωπαϊκού Κοινοβουλίου που ερευνά την υπόθεση[5] θεωρεί δεδομένο ότι χειριστής του Predator είναι η Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ) ή άλλη κρατική ή ιδιωτική οντότητα που δρα υπό της εντολές της.

Τους τελευταίους μήνες έχουν αναλυθεί διεξοδικά οι πολιτικές, πολιτειακές, συνταγματικές και ποινικές πτυχές τόσο των επισυνδέσεων της ΕΥΠ για υποτιθέμενους λόγους εθνικής ασφάλειας όσο και των παρακολουθήσεων μέσω του Predator.

Η παρούσα ανάλυση θα περιορισθεί στα όσα αφορούν τυχόν παραβάσεις της νομοθεσίας ως προς την προστασία δεδομένων προσωπικού χαρακτήρα. Θα εξετάσουμε δηλαδή την εφαρμογή του Κανονισμού 2016/679[6] (του Γενικού Κανονισμού για την Προστασία Δεδομένων, εφεξής του ΓΚΠΔ) και του νόμου 4624/2019[7] στην συλλογή και επεξεργασία δεδομένων μέσω του Predator, είτε αυτή τελείται από κρατική αρχή είτε από ιδιώτη.

Οι παρακολουθήσεις πολιτών μέσω Predator εμπίπτουν στο ουσιαστικό και εδαφικό πεδίο εφαρμογής του ΓΚΠΔ και του νόμου 4624/2019, την εφαρμογή των οποίων ελέγχει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Ωστόσο, η εφαρμογή της νομοθεσίας προσκρούει στα εξής εμπόδια :

  • Πρώτον, δεν έχει εντοπισθεί ο χειριστής του Predator, ο οποίος ως υπεύθυνος επεξεργασίας αποτελεί το υποκείμενο των υποχρεώσεων της νομοθεσίας για την προστασία προσωπικών δεδομένων. Η ΑΠΔΠΧ διεξάγει ήδη έρευνες για την ταυτοποίησή του. Ο πρόσφατος έλεγχος της εταιρείας Intellexa Α.Ε. δεν απέδωσε καρπούς λόγω μη συνεργασίας της εταιρείας.
  • Δεύτερον, αν υπεύθυνος επεξεργασίας είναι η ΕΥΠ, όπως προκύπτει από την δημοσιογραφική έρευνα, η ΑΠΔΠΧ έχει αποκλειστεί από τον έλεγχό της, κι αυτό παρότι η ΕΥΠ είναι υποχρεωμένη από τον νόμο να τηρεί τη νομοθεσία για τα προσωπικά δεδομένα. Τίθεται ζήτημα συμβατότητας αυτού του περιορισμού των αρμοδιοτήτων της ΑΠΔΠΧ όχι μόνον με το άρθρο 57 του ΓΚΠΔ αλλά και με το άρθρο 9Α του Συντάγματος, με το άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Δικαιώματα του Ανθρώπου και με το άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
  • Τρίτον, αν υπεύθυνος επεξεργασίας είναι η ΕΥΠ, ο νομοθέτης έχει περιορίσει σε τέτοιο βαθμό το δικαίωμα ενημέρωσης των υποκειμένων της επεξεργασίας, ώστε να καθίσταται σχεδόν αδύνατη η αποτελεσματική άσκηση του. Παράλληλα, τα υπόλοιπα δικαιώματα που προβλέπονται από τον ΓΚΠΔ, όπως το δικαίωμα διαγραφής και το δικαίωμα περιορισμού της επεξεργασίας, δεν μπορούν να ασκηθούν. Πέρα από ζητήματα συνταγματικότητας και συμβατότητας με τον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ, ο περιορισμός αυτός δεν φαίνεται να είναι συμβατός με το άρθρο 23 του ΓΚΠΔ.

 

  1. I. H παγίδευση κινητών τηλεφώνων μέσω του Predator συνεπάγεται επεξεργασία ευαίσθητων προσωπικών δεδομένων

Το Predator είναι εργαλείο παρακολούθησης που προσφέρει στον χειριστή του πλήρη και συνεχή πρόσβαση στην κινητή συσκευή του στόχου[8]. Επιτρέπει στον χειριστή του να αποσπά κωδικούς πρόσβασης, αρχεία, φωτογραφίες, το ιστορικό περιήγησης στο διαδίκτυο, επαφές και πληροφορίες για την κινητή συσκευή. Δίνει επίσης τη δυνατότητα στον χειριστή του να τραβάει στιγμιότυπα οθόνης, να καταγράφει τις καταχωρήσεις του χρήστη, να ενεργοποιεί το μικρόφωνο και την κάμερα της συσκευής και να καταγράφει τα μηνύματα κειμένου που αποστέλλονται ή λαμβάνονται, καθώς και τις εισερχόμενες και εξερχόμενες κλήσεις[9].

Το κακόβουλο λογισμικό δίνει δηλαδή πρόσβαση στο σύνολο των δεδομένων που αποθηκεύονται ή μεταφέρονται μέσω του κινητού τηλεφώνου του στόχου και συνεπώς σε δεδομένα προσωπικού χαρακτήρα, όπως αυτά ορίζονται από το άρθρο 4, περ. 1 του Γενικού Κανονισμού για την Προστασία Δεδομένων[10].

Η πρόσβαση δε στο σύνολο των δεδομένων της συσκευής του στόχου συνεπάγεται την ενδεχόμενη πρόσβαση σε ευαίσθητα προσωπικά δεδομένα, όπως αυτά ορίζονται από το άρθρο 9 του ΓΚΠΔ[11]. Το Predator μπορεί δηλαδή να δώσει πρόσβαση σε πληροφορίες σχετικά με την υγεία του στόχου, τις πολιτικές του πεποιθήσεις, τις σεξουαλικές του προτιμήσεις ή ακόμα και σε βιομετρικά δεδομένα, όπως τα δαχτυλικά του αποτυπώματα που ξεκλειδώνουν το κινητό.

Κάθε πράξη που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως αυτή ορίζεται από το άρθρο 4, περ. 2 του ΓΚΠΔ και συνεπάγεται την εφαρμογή του ΓΚΠΔ και του νόμου 4624/2019[12], εφόσον η επεξεργασία εμπίπτει στο ουσιαστικό και το εδαφικό πεδίου εφαρμογής τους.

 

ΙΙ. Οι παρακολουθήσεις μέσω του Predator εμπίπτουν στο ουσιαστικό και εδαφικό πεδίο εφαρμογής της νομοθεσίας για την προστασία προσωπικών δεδομένων

Α. Ουσιαστικό πεδίο εφαρμογής

Η παρακολούθηση Ελλήνων πολιτών μέσω του Predator εμπίπτει κατ’ αρχήν στο ουσιαστικό πεδίο εφαρμογής του ΓΚΠΔ και των αντίστοιχων ρυθμίσεων του νόμου 4624/2019, δηλαδή των  Κεφαλαίων Α΄, Β΄ και Γ΄, καθώς πρόκειται για επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία περιλαμβάνονται σε σύστημα αρχειοθέτησης, δηλαδή στα κινητά τηλέφωνα των στόχων (άρθρο 2§1 ΓΚΠΔ).

Η υποκλοπή των τηλεπικοινωνιών, μέσω της χρήσης του κατασκοπευτικού λογισμικού, εμπίπτει επίσης στο πεδίο εφαρμογής της Οδηγίας για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες[13], όπως έχει ενσωματωθεί στην ελληνική έννομη τάξη από τον νόμο 3471/2006[14] (άρθρο 3§1 του νόμου).

Τίθεται ωστόσο ζήτημα εφαρμογής του δικαίου προστασίας προσωπικών δεδομένων, όταν η επεξεργασία αφοράς λόγους εθνικής ασφάλειας. Συγκεκριμένα, ο ΓΚΠΔ δεν εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων που σχετίζεται με δραστηριότητες που δεν υπάγονται στο πεδίο εφαρμογής του ενωσιακού δικαίου (άρθρο 2§2 περ. α), όπως οι δραστηριότητες που αφορούν την εθνική ασφάλεια[15], καθώς το άρθρο 4§2 της Συνθήκης για την Ευρωπαϊκή Ένωση προβλέπει ότι «η εθνική ασφάλεια παραμένει στην ευθύνη κάθε κράτους μέλους»[16].

Η «εθνική ασφάλεια» αποτελεί αόριστη νομική έννοια, η οποία δεν ορίζεται στο πρωτογενές δίκαιο της Ευρωπαϊκής Ένωσης και πρέπει να εξειδικεύεται από τον εθνικό νομοθέτη[17].Το άρθρο 3 του πρόσφατου νόμου 5002/2022[18], που τροποποίησε μεταξύ άλλων και τον νόμο 4624/2019, προβλέπει ότι «λόγοι εθνικής ασφάλειας» είναι οι «λόγοι που συνάπτονται με την προστασία των βασικών λειτουργιών του κράτους και των θεμελιωδών συμφερόντων των Ελλήνων πολιτών, όπως, ιδίως, λόγοι σχετικοί με την εθνική άμυνα, την εξωτερική πολιτική, την ενεργειακή ασφάλεια και την κυβερνοασφάλεια».

Ο ιδιαίτερα ευρύς αυτός ορισμός που φαίνεται να μην συμβαδίζει με την πάγια νομολογία του Ευρωπαϊκού Δικαστηρίου Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ)[19] επικρίθηκε από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στη γνωμοδότησή της για το σχέδιο νόμου[20]. Η Αρχή σημείωσε ότι ο ορισμός αυτός «δεν έχει εφαρμογή στη νομοθεσία για την προστασία των προσωπικών δεδομένων». Η εθνική ασφάλεια θα πρέπει να θεωρηθεί ότι περιλαμβάνει όχι γενικά τη δημόσια ασφάλεια αλλά ό,τι αφορά αποκλειστικά την προάσπιση της χώρας έναντι εξωτερικών κινδύνων[21].

Πάντως, σε υπόθεση που αφορούσε την επεξεργασία δεδομένων από τις υπηρεσίες ασφάλειας του Ηνωμένου Βασιλείου (MI5), το ΔΕΕ έκρινε ότι «μολονότι εναπόκειται στα κράτη μέλη να καθορίζουν τα ουσιώδη συμφέροντα ασφαλείας τους και να θεσπίζουν τα κατάλληλα μέτρα για την προάσπιση της εσωτερικής και εξωτερικής τους ασφάλειας, το γεγονός και μόνον ότι έχει ληφθεί εθνικό μέτρο για τη διαφύλαξη της εθνικής ασφάλειας δεν μπορεί να συνεπάγεται τη μη εφαρμογή του δικαίου της Ένωσης και να απαλλάσσει τα κράτη μέλη από τον αναγκαίο σεβασμό του δικαίου αυτού»[22].

Πάντως, ο έλληνας νομοθέτης δεν έχει αποκλείσει γενικά όλες τις δραστηριότητες επεξεργασίας δεδομένων που τελούνται για λόγους εθνικής ασφάλειας από την εφαρμογή της νομοθεσίας για τα προσωπικά δεδομένα. Ρητά προβλέπεται ότι κατά την άσκηση των αρμοδιοτήτων της, η Εθνική Υπηρεσία Πληροφοριών πρέπει να τηρεί τις διατάξεις του νόμου 4624/2019 και του ΓΚΠΔ[23] (άρθρο 5§1, περ. α΄ του νόμου 3649/2008[24], σε συνδυασμό με το άρθρο 83 του Νόμου 4624/2019).

Το δικαίωμα στην προστασία δεδομένων προσωπικού χαρακτήρα προστατεύεται άλλωστε από το άρθρο 9Α του Συντάγματος[25], ενώ το απόρρητο των επικοινωνιών κατοχυρώνεται στο άρθρο 19. Το δικαίωμα στην ιδιωτικότητα προστατεύεται επίσης από το άρθρο 8 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου[26] (ΕΣΔΑ), ενώ η Ελλάδα έχει κυρώσει και τη Σύμβαση 108+ του Συμβουλίου της Ευρώπης η οποία αφορά την επεξεργασία δεδομένων[27].

Σε κάθε περίπτωση, η επίκληση της έννοιας της εθνικής ασφάλειας πρέπει να αφορά in concreto το σύνολο των σκοπών της επεξεργασίας. Σε πρόσφατη υπόθεση που αφορούσε την εφαρμογή του δικαιώματος πρόσβασης σε δεδομένα ατόμου που είχε περιληφθεί σε λίστα καταζητούμενων στη Γαλλία, το Conseil d’Etat έκρινε ότι οι περιορισμοί στην εφαρμογή του δικαίου προστασίας δεδομένων για λόγους εθνικής ασφάλειας (στην υπόθεση αυτή όχι του ΓΚΠΔ, αλλά της Οδηγίας 2016/680 που αφορά την προστασία δεδομένων κατά την εφαρμογή του ποινικού δικαίου από αρμόδιες αρχές[28]) αφορούν μόνο τα αρχεία ή το μέρος των αρχείων που σχετίζονται με την εθνική ασφάλεια και όχι όσα αφορούν άλλους σκοπούς όπως τη δημόσια ασφάλεια[29].

Τέτοιοι λόγοι δεν φαίνεται να συντρέχουν στις μέχρι τώρα γνωστές υποθέσεις παρακολουθήσεων μέσω του Predator. Είναι τόσο πολλές οι πιθανές χρήσεις των δεδομένων που συλλέγονται μέσω του κατασκοπευτικού λογισμικού, ώστε σε καμία περίπτωση δεν θα μπορούσε να αποκλειστεί η εφαρμογή του ΓΚΠΔ και του νόμου 4624/2019 με την επίκληση του ότι αυτό χρησιμοποιείται με αποκλειστικό σκοπό την προστασίας της εθνικής ασφάλειας. Οι απεριόριστη πρόσβαση στα δεδομένα του στόχου μπορεί κάλλιστα να γίνεται για σκοπούς που δεν έχουν καμία σχέση με την εθνική ασφάλεια, όπως απόκτηση στρατηγικού πλεονεκτήματος έναντι πολιτικού αντιπάλου, η απόκτηση προβαδίσματος στα πλαίσια οικονομικού ανταγωνισμού ή η παρεμπόδιση κάποιας «ενοχλητικής» δημοσιογραφικής έρευνας.

Τα συμπεράσματα αυτά για την εφαρμογή του ΓΚΠΔ και του νόμου 4624/2019 επιβεβαιώθηκαν από τον  έλεγχο της εταιρείας Intellexa Α.Ε., που τέλεσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στις 15 Σεπτεμβρίου του 2022 και το πρόστιμο και την εντολή συμμόρφωσης που τελικά της επιβλήθηκαν[30]. Λαμβάνοντας υπόψη τα δημοσιεύματα στον Τύπο που συνέδεαν την εταιρεία με το κατασκοπευτικό λογισμικό και επικαλούμενη τον ΓΚΠΔ και τον νόμο 4624/2019, η Αρχή ζήτησε (α) πρόσβαση στις εγκαταστάσεις της εταιρείας, (β) πρόσβαση στην τεχνολογική υποδομή η οποία υποστηρίζει την επεξεργασία, ανεξάρτητα αν η υποδομή αυτή βρίσκεται στην εν λόγω εγκατάσταση ή σε άλλον τόπο (π.χ. μέσω υπολογιστικού νέφους), και (γ) παρουσία κατάλληλου προσωπικού ώστε να παρασχεθούν οι αναγκαίες πληροφορίες για τις δραστηριότητες επεξεργασίας της εταιρείας και για την υποστήριξη της πρόσβασης στην τεχνολογική υποδομή και τα τηρούμενα δεδομένα.

Β. Εδαφικό πεδίο εφαρμογής του ΓΚΠΔ και του νόμου 4624/2019

Παρότι ο υπεύθυνος επεξεργασίας δεν έχει ακόμα ταυτοποιηθεί, η επεξεργασία δεδομένων ελλήνων πολιτών εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ, καθώς αυτή τελείται στο πλαίσιο δραστηριοτήτων ενός υπευθύνου επεξεργασίας εντός της ελληνικής επικράτειας (άρθρο 3§2 περ. β’ του ΓΚΠΔ και άρθρο 3 περ. β του ν. 4624/2019).

Ακόμα κι αν θεωρήσουμε όμως ότι η επεξεργασία λαμβάνει χώρα στο πλαίσιο επεξεργασίας εκτός της ελληνικής επικράτειας, το γεγονός ότι μέσω του Predator παρακολουθείται η συμπεριφορά Ελλήνων πολιτών συνεπάγεται την εφαρμογή του ΓΚΠΔ και του νόμου 4624/2019, δυνάμει της περίπτωσης β’ της δεύτερης παραγράφου του άρθρου 3 του ΓΚΠΔ (παρακολούθηση της συμπεριφοράς υποκειμένων της επεξεργασίας εντός της Ένωσης).

Γ. Το Κεφάλαιο Δ του νόμου 4624/2019 που ενσωμάτωσε στην ελληνική έννομη τάξη την Οδηγία 2016/680 δεν εφαρμόζεται

Κατά το άρθρο 2§2 περ. δ’ του ΓΚΠΔ, εξαιρείται από το πεδίο εφαρμογής του Κανονισμού η επεξεργασία δεδομένων που τελείται «από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια». Η διάταξη αυτή εφαρμόζεται κατ’ αρχήν για τις δραστηριότητες των αστυνομικών και δικαστικών αρχών των Κρατών-μελών στον τομέα του ποινικού δικαίου. Αντί για τον ΓΚΠΔ εφαρμόζονται οι διατάξεις της εκάστοτε εθνικής νομοθεσίας που ενσωματώνουν την Οδηγία (EE) 2016/680, στην Ελλάδα το Κεφάλαιο Δ του ν 4624/2019.

Για να εφαρμοσθούν οι ειδικές διατάξεις του Κεφαλαίου Δ, η επεξεργασία πρέπει να τελείται από κάποια «αρμόδια αρχή» και συγκεκριμένα είτε από «δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους» είτε από «δημόσιο ή ιδιωτικό, οργανισμό ή φορέα στον οποίο ανατίθενται ρόλος δημόσιας αρχής και η εκτέλεση δημοσίων εξουσιών για τους σκοπούς της πρόληψης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους».

Όποιος και να είναι ο χειριστής του Predator, oι διατάξεις αυτές δεν μπορούν να εφαρμοσθούν στην περίπτωση των παρακολουθήσεων μέσω του Predator. Η ΕΥΠ δεν θεωρείται τέτοια δημόσια αρχή, ενώ αν η παρακολούθηση τελείται από κάποιο ιδιωτικό φορέα, πρέπει αυτός να είναι επιφορτισμένος με την άσκηση αρμοδιοτήτων τέτοιας δημόσιας αρχής.

Εξάλλου, στον πρόσφατο έλεγχο της εταιρείας Intellexa Α.Ε., η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε πρόστιμο και εντολή συμμόρφωσης με βάση τον ΓΚΠΔ και όχι τις διατάξεις του νόμου 4624/2019, που ενσωμάτωσαν στην ελληνική έννομη τάξη τη Οδηγία 2016/680.

Ωστόσο, ακόμη και αν δεχόμασταν ότι η παρακολούθηση έγινε πράγματι από αρμόδιες αρχές στο πλαίσιο της επιβολής του ποινικού δικαίου για την προστασία και πρόληψη έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια, το Κεφάλαιο Δ του ν. 4624/2019 περιλαμβάνει αυστηρούς κανόνες για την προστασία προσωπικών δεδομένων. Οι κανόνες αυτοί σε ορισμένα σημεία αποκλίνουν μεν από τον ΓΚΠΔ, διατηρούν πάντως αυστηρές προϋποθέσεις σχετικά με τη νομιμότητα της επεξεργασίας και τα δικαιώματα των υποκειμένων της επεξεργασίας. Όπως αναφέρει η Ευρωπαϊκή Επιτροπή στην πρώτη έκθεση της σχετικά με την εφαρμογή της Οδηγίας[31], «o ΓΚΠΔ […] και η [O]δηγία […] βασίζονται σε παρόμοιες έννοιες και αρχές, με αποτέλεσμα τη συνεπή ερμηνεία και εφαρμογή των κανόνων της ΕΕ για την προστασία των δεδομένων. Έχουν κοινούς ορισμούς και περιέχουν παρόμοιες υποχρεώσεις για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία των δεδομένων».

 

ΙΙΙ. Η χρήση του Predator αποτελεί παράνομη επεξεργασία δεδομένων

Η επεξεργασία προσωπικών δεδομένων που έχουν συλλεχθεί μέσω του Predator πρέπει να βασίζεται σε μια από τις νομικές βάσεις που προβλέπει το άρθρο 9 του ΓΚΠΔ και ο νόμος 4624/2019 για την επεξεργασία ευαίσθητων προσωπικών δεδομένων, αλλιώς είναι παράνομη. Ειδικότερα:

 

Α. Αν χειριστής του Predator είναι η ΕΥΠ, η επεξεργασία στερείται νομικής βάσης

Αν δεχτούμε ότι το Predator χρησιμοποιείται για λογαριασμό της ΕΥΠ, αυτή θα μπορούσε να επικαλεσθεί την περίπτωση ζ΄ της παραγράφου 2 του άρθρου 9 του ΓΚΠΔ ως νομική βάση της επεξεργασίας, ότι δηλαδή η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος.

Για να επικαλεσθεί όμως η ΕΥΠ τη συγκεκριμένη νομική βάση, η επεξεργασία πρέπει να τηρεί σωρευτικά δύο προϋποθέσεις:

  • να είναι απαραίτητη για λόγους ουσιαστικού (εδώ εννοείται σημαντικού[32]) δημόσιου συμφέροντος και οι λόγοι δημοσίου συμφέροντος να είναι ανάλογοι προς τον επιδιωκόμενο στόχο, και
  • να έχει βάση στο δίκαιο της Ένωσης ή κράτους μέλους, και ο κανόνας δικαίου να σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και να προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

Στην περίπτωση επεξεργασίας δεδομένων που προϋποθέτει την άρση του συνταγματικά κατοχυρωμένου απορρήτου των επικοινωνιών[33], δεν αρκεί η γενική επίκληση κάποιου σημαντικού δημοσίου συμφέροντος. Το δημόσιο αυτό συμφέρον πρέπει να αφορά λόγους εθνικής ασφάλειας, όπως προβλέπει ο νόμος 5002/2022. Επιπλέον, η ΕΥΠ πρέπει να ακολουθήσει τη διαδικασία που προβλέπει το άρθρο 5 του νόμου 3649/2008 που ρυθμίζει τη λειτουργία της.

Όπως είδαμε, τέτοιοι  λόγοι εθνικής ασφάλειας δεν φαίνεται να συντρέχουν στις περιπτώσεις των μέχρι τώρα γνωστών παρακολουθήσεων που γίνονταν μέσω του Predator.

Για να γίνει δε επίκληση αυτής της νομικής βάσης, πρέπει ο νόμος στον οποίο βασίζεται η επεξεργασία «να θεσπίζει προδιαγραφές για τον καθορισμό του υπευθύνου επεξεργασίας, του είδους των δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία, των εκάστοτε υποκειμένων των δεδομένων, των οντοτήτων στις οποίες μπορούν να κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, των περιορισμών σκοπού, της περιόδου αποθήκευσης και άλλων συγκεκριμένων μέτρων για την εξασφάλιση σύννομης και δίκαιης επεξεργασίας»[34]. Τέτοιες προδιαγραφές δεν υπάρχουν στην νομοθεσία για την άρση του απορρήτου, όπως τροποποιήθηκε με τον νόμο 5002/2022.

Η χρήση δε τόσο παρεμβατικών λογισμικών όπως το Predator δεν έχει ληφθεί υπόψη κατά τη στάθμιση του νομοθέτη, ούτε φαίνεται να έχουν προβλεφθεί κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

Β. Αν χειριστής του Predator είναι ιδιωτική εταιρεία

Καμία από τις νομικές βάσεις  που προβλέπει το άρθρο 9 του ΓΚΠΔ για την επεξεργασία ευαίσθητων προσωπικών δεδομένων δεν φαίνεται να μπορεί να δικαιολογήσει τη συλλογή και επεξεργασία δεδομένων μέσω του Predator από ιδιωτικό φορέα.

Για να γίνει επίκληση της διάταξης, η οποία επιτρέπει την επεξεργασία που είναι απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος, πρέπει όχι μόνο να συντρέχουν όλες οι προϋποθέσεις της περίπτωσης ζ της παραγράφου 2 του άρθρου 9 του ΓΚΠΔ΄, που προαναφέρθηκαν, αλλά και ο ιδιωτικός φορέας που πραγματοποιεί την επεξεργασία να έχει επιφορτισθεί με την άσκηση δημόσιας εξουσίας. Παραχώρηση τέτοιας εξουσίας παρακολούθησης για λόγους εθνικού συμφέροντος σε ιδιωτικό φορέα  δεν προβλέπεται από την ισχύουσα νομοθεσία.

 

  1. IV. Η χρήση του Predator παραβιάζει την αρχή της διαφάνειας και τα δικαιώματα των υποκειμένων

Οι πολίτες που παρακολουθούνταν μέσω του Predator δεν έλαβαν καμία ενημέρωση σχετικά με την επεξεργασία των δεδομένων τους, όπως προβλέπει το άρθρο 14 του ΓΚΠΔ, ενώ δεν μπορούν να ασκήσουν τα δικαιώματα που προβλέπονται σε άλλες διατάξεις ΓΚΠΔ, όπως το δικαίωμα πρόσβασης, το δικαίωμα διαγραφής των δεδομένων και το δικαίωμα περιορισμού της επεξεργασίας, καθώς δεν γνωρίζουν ποιος είναι ο υπεύθυνος επεξεργασίας.

Σε περίπτωση που ο υπεύθυνος επεξεργασίας είναι η ΕΥΠ, ο νομοθέτης έχει καταστήσει σχεδόν αδύνατη την άσκηση του δικαιώματος ενημέρωσης των υποκειμένων, ενώ έχει αποκλείσει την άσκηση των άλλων δικαιωμάτων που προβλέπονται στον ΓΚΠΔ.

Α. Γενικά για τους περιορισμούς στην αρχή της διαφάνειας

Όταν τα προσωπικά δεδομένα έχουν συλλεχθεί έμμεσα, όπως στην περίπτωση του Predator, το άρθρο 14 του ΓΚΠΔ υποχρεώνει τον υπεύθυνο επεξεργασίας να ενημερώνει τα υποκείμενα της επεξεργασίας, παρέχοντας τους συγκεκριμένες πληροφορίες: ποιος τελεί την επεξεργασία, για ποιους σκοπούς, με βάση ποια νομική θεμελίωση, για πόσο διάστημα, κ.α[35].

Το δικαίωμα αυτό μπορεί να περιοριστεί αν η παροχή τέτοιων πληροφοριών «είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας» (άρθρο 14§5 περ. β’ ΓΚΠΔ). Στις περιπτώσεις αυτές, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, μεταξύ άλλων καθιστώντας τις πληροφορίες διαθέσιμες στο κοινό. Περιορισμοί μπορούν να τεθούν και στα υπόλοιπα δικαιώματα που προβλέπει ο ΓΚΠΔ στα άρθρα 15 έως 22.

Ωστόσο, η επιβολή περιορισμών στο δικαίωμα ενημέρωσης και στα άλλα δικαιώματα υπόκειται σε αυστηρές προϋποθέσεις, που προβλέπονται στο άρθρο 23 του ΓΚΠΔ. Συγκεκριμένα, ο περιορισμός πρέπει να σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και να συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση της ασφάλειας του κράτους. Ισχύουν δηλαδή οι «περιορισμοί των περιορισμών» των ατομικών δικαιωμάτων ιδίως o σεβασμός της αρχής της αναλογικότητας και η μη προσβολή του πυρήνα του δικαιώματος, όπως προβλέπονται από το Σύνταγμα[36] και τον Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ[37], αλλά και όπως έχουν εξειδικευτεί από το ΔΕΕ σε ότι αφορά συγκεκριμένα το δικαίωμα στην ιδιωτικότητα[38].

Όπως επισημαίνει το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) στις κατευθυντήριες αρχές του σχετικά με τους περιορισμούς υπό το άρθρο 23 του ΓΚΠΔ, ένας γενικός αποκλεισμός των δικαιωμάτων των υποκειμένων της επεξεργασίας που αφορά όλες ή συγκεκριμένες πράξεις επεξεργασίας δεδομένων ή που αφορά συγκεκριμένους υπευθύνους επεξεργασίας, δεν σέβεται την ουσία του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, όπως κατοχυρώνεται στο Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης[39]. Εάν θίγεται η ουσία του δικαιώματος, ο περιορισμός θεωρείται παράνομος, χωρίς να χρειάζεται να αξιολογηθεί περαιτέρω αν εξυπηρετεί στόχο γενικού συμφέροντος ή αν ικανοποιεί το κριτήρια αναγκαιότητας και αναλογικότητας[40].

Για να είναι δε νόμιμη η επιβολή περιορισμών, πρέπει σύμφωνα με το άρθρο 23§2 του ΓΚΠΔ να προβλέπεται νομοθετικά. Το νομοθετικό μέτρο πρέπει να αναφέρει:

  • α. τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
  • β. τις κατηγορίες δεδομένων προσωπικού χαρακτήρα,
  • γ. το πεδίο εφαρμογής των περιορισμών που επιβλήθηκαν,
  • δ. τις εγγυήσεις για την πρόληψη καταχρήσεων ή παράνομης πρόσβασης ή διαβίβασης,
  • ε. την ειδική περιγραφή του υπευθύνου επεξεργασίας ή των κατηγοριών των υπευθύνων επεξεργασίας,
  • στ. τις περιόδους αποθήκευσης και τις ισχύουσες εγγυήσεις, λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας ή τις κατηγορίες επεξεργασίας,
  • ζ. τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και
  • η. το δικαίωμα των υποκειμένων των δεδομένων να ενημερώνονται σχετικά με τον περιορισμό, εκτός εάν αυτό μπορεί να αποβεί επιζήμιο για τους σκοπούς του περιορισμού.

Τα νομοθετικά μέτρα που επιβάλλουν περιορισμούς στα δικαιώματα των υποκειμένων και τις υποχρεώσεις των υπευθύνων επεξεργασίας πρέπει να περιέχουν, κατά κανόνα, όλες τις προαναφερθείσες πληροφορίες. Όπως επισημαίνει στις ίδιες κατευθυντήριες αρχές το ΕΣΠΔ, αναφερόμενο στη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) και του Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ), οι πληροφορίες αυτές επιτρέπουν στα υποκείμενα της επεξεργασίας να μπορούν να προβλέπουν τους περιορισμούς του πεδίου εφαρμογής των δικαιωμάτων τους[41].

Β. Ο νομοθετικός περιορισμός του δικαιώματος ενημέρωσης για δραστηριότητες της ΕΥΠ

Αν αποδειχτεί ότι χειριστής του Predator και άρα υπεύθυνος επεξεργασίας είναι η ΕΥΠ, τίθενται τέτοιοι περιορισμοί στην άσκηση του δικαιώματος ενημέρωσης αλλά και των άλλων δικαιωμάτων που προβλέπει ο ΓΚΠΔ, ώστε να θίγεται ζήτημα περιορισμού του πυρήνα των δικαιωμάτων.

Στην περίπτωση δραστηριοτήτων επεξεργασίας από την ΕΥΠ που προϋποθέτουν την άρση του συνταγματικά κατοχυρωμένου απορρήτου των επικοινωνιών, το δικαίωμα ενημέρωσης των υποκειμένων της επεξεργασίας ασκείται έμμεσα, μέσω της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (εφεξής ΑΔΑΕ).

Στην μεταπολιτευτική περίοδο οι προϋποθέσεις άσκησης του δικαιώματος ενημέρωσης σχετικά με την άρση του απορρήτου των επικοινωνιών για λόγους εθνικής ασφάλειας και σχετικά με την συνακόλουθη επεξεργασία προσωπικών δεδομένων έχουν υποστεί πολλές νομοθετικές μεταβολές ανά τα χρόνια, μεταξύ άλλων και από τον νόμο  4790/2021[42], που είχε καταργήσει εντελώς το δικαίωμα ενημέρωσης για λόγους εθνικής ασφάλειας[43].

Με τον ισχύοντα νόμο 5002/2022, που ψηφίστηκε υπό το βάρος των αποκαλύψεων για τις παράνομες παρακολουθήσεις της ΕΥΠ, το δικαίωμα ενημέρωση των πολιτών στις περιπτώσεις που οι παρακολουθήσεις πραγματοποιούνται για λόγους εθνικής ασφάλειας, είναι μεν επιτρεπτό, εισάγονται ωστόσο σημαντικοί περιορισμοί.

Σύμφωνα με την παράγραφο 7 του άρθρου 4,  «μετά την πάροδο τριών (3) ετών από την παύση της ισχύος της διάταξης άρσης του απορρήτου για λόγους εθνικής ασφάλειας γνωστοποιείται η επιβολή του περιοριστικού μέτρου στον θιγόμενο, υπό την προϋπόθεση ότι δεν διακυβεύεται ο σκοπός για τον οποίο αυτό διατάχθηκε. Για τη γνωστοποίηση του πρώτου εδαφίου υποβάλλεται σχετικό αίτημα στην [ΑΔΑΕ], το οποίο διαβιβάζεται στην [ΕΥΠ] και τη [Διεύθυνση Αντιμετώπισης Ειδικών Εγκλημάτων Βίας της Ελληνικής Αστυνομίας]. Η άρση γνωστοποιείται μετά από απόφαση τριμελούς οργάνου, το οποίο αποφασίζει εντός προθεσμίας εξήντα (60) ημερών. Στην περίπτωση διενέργειας της άρσης από την [ΕΥΠ], το όργανο αποτελείται από τον εισαγγελικό λειτουργό της παρ. 3 του άρθρου 5 του ν. 3649/2008, τον δεύτερο εισαγγελικό λειτουργό της παρ. 2 του άρθρου 4 του παρόντος και τον Πρόεδρο της [ΑΔΑΕ]. […] Το όργανο αποφασίζει κατά πλειοψηφία, με τήρηση απόρρητων συνοπτικών πρακτικών και καταγραφή της γνώμης της μειοψηφίας, εφόσον υφίσταται. Αν αποφασισθεί η ενημέρωση, ο θιγόμενος ενημερώνεται για την επιβολή του περιοριστικού μέτρου και για τη διάρκειά του. Δεν επιτρέπεται η υποβολή νέου αιτήματος πριν την πάροδο ενός (1) έτους από την υποβολή του προηγούμενου».

Όπως επισημαίνει η ΑΠΔΠΧ στη Γνωμοδότησή της για το σχετικό σχέδιο νόμου[44], το δικαίωμα των υποκειμένων στην ενημέρωση, ναι μεν μπορεί να ασκηθεί μέσω της ΑΔΑΕ, πλην όμως υπόκειται σε τέτοιους χρονικούς και διαδικαστικούς περιορισμούς, ώστε αυτό να ακυρώνεται επί της ουσίας. Η ΑΠΔΠΧ θέτει ζήτημα περιορισμού του πυρήνα του δικαιώματος, ασύμβατου με τη νομολογία του ΕΔΔΑ σχετικά με τον νόμιμο περιορισμό των δικαιωμάτων.

Η Αρχή σημειώνει, επίσης, ότι τα υπόλοιπα δικαιώματα του υποκειμένου που προβλέπονται από τον ΓΚΠΔ, όπως το δικαίωμα πρόσβασης, το δικαίωμα διαγραφής των δεδομένων και το δικαίωμα περιορισμού της επεξεργασίας, δεν προβλέπονται καθόλου από τον νόμο.

Εξάλλου, μπορεί να προστεθεί ότι οι προϋποθέσεις περιορισμού των δικαιωμάτων των υποκειμένων της επεξεργασίας που αφορούν τον ίδιο τον περιοριστικό των δικαιωμάτων νόμο, όπως προβλέπονται από το άρθρο 23§2 του ΓΚΠΔ, δεν έχουν τηρηθεί.

Γ. Σε περίπτωση ασύμβατου με το ενωσιακό δίκαιο νομοθετικού περιορισμού των δικαιωμάτων, τίθεται ζήτημα μη εφαρμογής της εθνικής νομοθεσίας από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με βάση την αρχή της υπεροχής του δικαίου της ΕΕ, οι ελληνικές διοικητικές αρχές συμπεριλαμβανομένων των ανεξάρτητων αρχών, έχουν καθήκον να μην εφαρμόσουν τις περιοριστικές για τα δικαιώματα διατάξεις αν αυτές αντίκεινται στο ενωσιακό δίκαιο. Όπως επανειλημμένως έχει κρίνει το Δικαστήριο της ΕΕ, «το καθήκον να αφήνουν ανεφάρμοστη εθνική νομοθεσία αντίθετη προς το δίκαιο της Ένωσης δεν βαρύνει μόνον τα εθνικά δικαστήρια αλλά και όλα τα κρατικά όργανα, συμπεριλαμβανομένων των διοικητικών αρχών, τα οποία είναι επιφορτισμένα με την εφαρμογή, στο πλαίσιο των αντίστοιχων αρμοδιοτήτων τους, των διατάξεων του δικαίου της Ένωσης»[45].

Στο μέτρο λοιπόν που ο νομοθετικός περιορισμός της άσκησης των δικαιωμάτων των υποκειμένων είναι ασύμβατος με τον ΓΚΠΔ –αλλά και με το άρθρο 9Α και 19 του Συντάγματος, με το άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Δικαιώματα του Ανθρώπου και με το άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης– τίθεται ζήτημα μη εφαρμογής του από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

 

  1. V. Η χρήση του Predator παραβιάζει μια σειρά από αρχές του δικαίου προστασίας προσωπικών δεδομένων

Εκτός απ’ την αρχή της διαφάνειας και τα δικαιώματα των υποκειμένων της επεξεργασίας, από τις μέχρι τώρα έρευνες για το Predator φαίνεται ότι η χρήση του παραβιάζει την αρχή του περιορισμού του σκοπού της επεξεργασίας, την αρχή ελαχιστοποίησης των δεδομένων, την αρχή περιορισμού της περιόδου αποθήκευσης, την αρχή της ακεραιότητας και εμπιστευτικότητας και την αρχή της λογοδοσίας, όπως αυτές προβλέπονται από το άρθρο 5 του ΓΚΠΔ και όπως εξειδικεύονται από τις αποφάσεις της ΑΠΔΠΧ και τις κατευθυντήριες αρχές του ΕΣΠΔ.

 

  1. VI. Η χρήση του Predator συνεπάγεται πιθανή μεταφορά δεδομένων εκτός ΕΕ χωρίς τις κατάλληλες εγγυήσεις που προβλέπει ο ΓΚΠΔ

Από την έρευνα του εργαστηρίου Citizen Lab του Πανεπιστημίου του Τορόντο[46] προκύπτει ότι στην δημιουργία του Predator εμπλέκονται εταιρείες από τη Βόρεια Μακεδονία και το Ισραήλ. Σε περίπτωση που το λογισμικό επιτρέπει σε κρατικούς ή ιδιωτικούς οργανισμούς αυτών των χωρών να αποκτούν πρόσβαση στα δεδομένα που υποκλέπτει το Predator, πέρα από ζητήματα νομιμότητας της επεξεργασίας από τέτοιους οργανισμούς και κατάχρησης των σκοπών της επεξεργασίας, τίθεται και ζήτημα μεταφοράς δεδομένων εκτός ΕΕ χωρίς τις κατάλληλες εγγυήσεις που προβλέπει το κεφάλαιο V του ΓΚΠΔ, που αφορά την μεταφορά δεδομένων προς εκτός του Ευρωπαϊκού Οικονομικού Χώρου.

 

VII. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι αρμόδια για τον έλεγχο της επεξεργασίας που τελείται μέσω του Predator

Η αποτελεσματική εφαρμογή του ΓΚΠΔ προϋποθέτει τον καθορισμό του υπευθύνου επεξεργασίας[47]. Μόνο εφόσον ο υπεύθυνος επεξεργασίας καθορισθεί, τα υποκείμενα της επεξεργασίας μπορούν να ικανοποιηθούν ως προς τα δικαιώματα τους. Εφόσον ο υπεύθυνος επεξεργασίας είναι άγνωστος, η ΑΠΔΠΧ μπορεί αυτεπάγγελτα να διεξάγει έρευνες για την ταυτοποίησή του (58§1του . ΓΚΠΔ και άρθρο 13, παρ. 1 εδ. η του νόμου 4624/2019).

Με βάση αυτές τις διατάξεις η ΑΠΔΠΧ άσκησε έλεγχο στην εταιρεία Intellexa Α.Ε, η οποία όμως, όπως ήταν αναμενόμενο, δε συνεργάστηκε με την Αρχή και δεν παρείχε τις πληροφορίες που της ζητήθηκαν, ακόμα και πληροφορίες που αδιαμφισβήτητα βρίσκονταν στην κατοχή της, χωρίς να απαιτείτο κάποια ιδιαίτερη ενέργειά της για να παρασχεθούν[48]. Χαρακτηριστικό της έλλειψης συνεργασίας είναι ότι «κατά τη διενέργεια του ελέγχου, το τριώροφο κτίριο της εταιρείας στο Ελληνικό βρέθηκε παντελώς άδειο και χωρίς λειτουργική δικτυακή υποδομή ή πληροφοριακό σύστημα»[49].

Η Αρχή οφείλει να συνεχίσει τους ελέγχους για τον εντοπισμό του υπεύθυνου επεξεργασίας κατά την εκπλήρωση του ρόλου της, όπως αυτός προβλέπεται από το Σύνταγμα, τον ΓΚΠΔ, και τον νόμο 4624/2019.

Στο πρόσφατο Σχέδιο Συστάσεων της σχετικά με τη χρήση κατασκοπευτικών λογισμικών στην Ένωση, η Επιτροπή Pega[50] καλεί την Ελλάδα μεταξύ άλλων:

  • να διασφαλίσει ότι οι αρχές μπορούν να διερευνούν ελεύθερα και ανεμπόδιστα όλους τους ισχυρισμούς για τη χρήση κατασκοπευτικού λογισμικού,
  • να αποσύρει επειγόντως την τροποποίηση του νόμου 2472/1997, η οποία κατήργησε τη δυνατότητα της ΑΔΑΕ να ενημερώνει τους πολίτες για την άρση του απορρήτου των επικοινωνιών,
  • να αποκαταστήσει την πλήρη ανεξαρτησία της δικαστικής εξουσίας του Συνηγόρου του Πολίτη και της Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ώστε να διασφαλισθεί ότι θα έχουν πλήρη πρόσβαση σε πληροφορίες σχετικά με την υπόθεση και ότι θα παρέχουν πλήρη ενημέρωση των θυμάτων, και να ξεκινήσει επειγόντως αστυνομική έρευνα σχετικά με την εικαζόμενη χρήση κατασκοπευτικού λογισμικού και να κατασχέσει φυσικά αποδεικτικά στοιχεία από τις εταιρείες που σχετίζονται με το λογισμικό.

 

VIII. Η διάταξη που αποκλείει τον έλεγχο νομιμότητας της επεξεργασίας δεδομένων της ΕΥΠ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι ασύμβατη με τη νομοθεσία για τα προσωπικά δεδομένα

Όπως αναφέρθηκε, κατά την επεξεργασία προσωπικών δεδομένων, η ΕΥΠ υποχρεούται να τηρεί τη νομοθεσία για την προστασία προσωπικών δεδομένων. Αρμόδια για τον έλεγχο τήρησης της νομοθεσίας είναι κατ’ αρχήν η ΑΠΔΠΧ (άρθρα 51 και 55 του ΓΚΠΔ και του άρθρο 9 του ν.4624/2019). Ωστόσο, με το τελευταίο εδάφιο του άρθρου 10 παρ. 5 του νόμου 4624/2019, έχει εξαιρεθεί από την αρμοδιότητα της ΑΠΔΠΧ ο έλεγχος «πράξεων επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα που διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια», συνεπώς και ο έλεγχος των  δραστηριοτήτων της ΕΥΠ.

Στο μέτρο που αυτή η διάταξη αποκλείει την άσκηση των αρμοδιοτήτων της Αρχής σε έναν υπεύθυνο επεξεργασίας, που είναι υποχρεωμένος να τηρεί τη νομοθεσία για τα προσωπικά δεδομένα, τίθεται ζήτημα συμβατότητας του περιορισμού αυτού με το άρθρο 57 του ΓΚΠΔ που προβλέπει τις αρμοδιότητες της ΑΠΔΠΧ σχετικά με την εφαρμογή του Κανονισμού.

Όπως εξάλλου αναφέρει η ΑΠΔΠΧ στη Γνωμοδότησή της για το σχέδιο νόμου που αφορούσε την τροποποίηση διατάξεων του ν. 4624/2019[51] «τίθεται θέμα νομιμότητας – συνταγματικότητας ενόψει της διάταξης του άρθρου 9Α του Συντάγματος και της Σύμβασης 108 καθώς, δεν υφίσταται επί της ουσίας προστασία προσωπικών δεδομένων, όταν τελείται οποιαδήποτε δραστηριότητα – επεξεργασία από την ΕΥΠ».

Στο μέτρο που η διάταξη αυτή είναι ασύμβατη με τα άρθρα 51 και 55 του ΓΚΠΔ, τίθεται ζήτημα μη εφαρμογής της από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

 

ΙΧ. Η υπόθεση του Predator ανοίγει μια ευρύτερη συζήτηση εντός της ΕΕ για τη χρήση λογισμικών παρακολουθήσεων

Όπως δείχνουν τα πορίσματα της επιτροπής Pega, η κατάχρήση λογισμικών παρακολούθησης είναι γενικευμένη στην ΕΕ. Πέρα από την Ελλάδα και το Predator, διαπιστώθηκε χρήση αντίστοιχων λογισμικών στην Πολωνία, την Ουγγαρία, την Ισπανία και την Κύπρο. Στο σχέδιο συστάσεων προς τα παραπάνω Κρατη Μέλη, την Ευρωπαίκή Επιτροπή και στο Συμβούλιο, η Pega ζητά και την μεταβολή του νομικού πλαισίου για τις παρακολουθήσεις στο επίπεδο της Ένωσης.

Οι μεταβολές αυτές θα πρέπει να λάβουν υπόψη (α) τα ζητήματα που προκύπτουν από τον ορισμό του τι συνιστά «εθνική ασφάλεια» όσον αφορά τα προγράμματα παρακολούθησης (β)  τις περιπτώσεις νόμιμης χρήσης αυτών των λογισμικών με την τήρηση των αυστηρών προυποθέσεων της άρσης του απορρήτου και ίσως με συμπληρωματικούς όρους για τη χρήση τους, δεδομένου του εξαιρετικά παρεμβατικού χαρακτήρα τους, (γ) τις αντικειμενικές δυσκολίες εφαρμογής της υπάρχουσας νομοθεσίας που προκύπτουν μεταξύ άλλων από τις   δυσκολίες εντοπισμού του υπέυθυνου επεξεργασίας και συλλογής αποδεικτικών στοιχείων.

[1] Citizen Lab, “Pegasus vs. Predator Dissident’s Doubly-Infected iPhone Reveals Cytrox Mercenary Spyware“ (Pegasus vs. Predator : Το διπλά μολυσμένο iPhone ενός αντιφρονούντα αποκαλύπτει την ύπαρξη μισθοφορικού κατασκοπευτικού λογισμικού της Cytrox), διαθέσιμο εδώ.

[2] Inside Story, Τάσος Τέλλογλου, Ελίζα Τριανταφύλλου, «Ποιος παρακολουθούσε το κινητό του δημοσιογράφου Θανάση Κουκάκη;», 11 Απριλίου 2022, διαθέσιμο εδώ

[3] Reporters United, Νικόλας Λεοντόπουλος, Θοδωρής Χονδρόγιαννος, «Υποκλοπές: Ένας χρόνος έρευνας από το Reporters United», 4 Ιανουαρίου 2022, διαθέσιμο εδώ

[4] Meta, “Threat Report on the Surveillance-for-Hire Industry“ (Έκθεση σχετικά με τις απειλές από τη βιομηχανία επιτήρησης προς μίσθωση) , 16 Δεκεμβρίου 2022 διαθέσιμο εδώ, Google Threat Analysis Group, “Protecting Android users from 0-Day attacks” (Προστασία χρηστών Android από επιθέσεις 0-Day), 19 Μαίου 2022, διαθέσιμο εδώ

[5] Η Επιτροπή Pega, το πλήρες όνομα της οποίας στα αγγλικά είναι Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance, συστάθηκε στις 10 Μαρτίου του 2022 από το Ευρωπαϊκό Κοινοβούλιο  μετά τις αποκαλύψεις του CitizenLab, της Διεθνούς Αμνηστίας, του Forbidden Stories και 17 οργανισμών μέσων ενημέρωσης τον Ιούλιο του 2021, ότι το Pegasus και ισοδύναμα προγράμματα κατασκοπείας χρησιμοποιούνταν σε μεγάλη κλίμακα από κυβερνήσεις (συμπεριλαμβανομένων των ευρωπαϊκών) για να στοχοποιήσουν άτομα όπως ακτιβιστές, αντιπολιτευόμενους, δημοσιογράφους, διπλωμάτες και μέλη του δικαστικού σώματος. Tα προσωρινά πορίσματα της Επιτροπής Pega παρουσιάζονται στο Draft Report of the Investigation of alleged contraventions and maladministration in the application of Union law in relation to the use of Pegasus and equivalent surveillance spyware (Σχέδιο έκθεσης για τη διερεύνηση εικαζόμενων παραβάσεων και κακοδιοίκησης κατά την εφαρμογή του δικαίου της Ένωσης σε σχέση με τη χρήση του Pegasus και ισοδύναμου κατασκοπευτικού λογισμικού παρακολούθησης), διαθέσιμο στα αγγλικά εδώ

[6] Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ, διαθέσιμος εδώ

[7] Νόμος υπ’αριθμ. 4624 Τεύχος A΄ 137/29.08.2019, Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις.

[8] Γενική Διεύθυνση Εσωτερικών Πολιτικών του Ευρωπαϊκού Κοινοβουλίου, Τμήμα Πολιτικών για τα Δικαιώματα του Πολίτη και για Συνταγματικές Υποθέσεις, «Η χρήση του Pegasus και ισοδύναμου κατασκοπευτικού λογισμικού παρακολούθησης – Το υφιστάμενο νομικό πλαίσιο στα κράτη μέλη της ΕΕ για την απόκτηση και τη χρήση του Pegasus και ισοδύναμου κατασκοπευτικού λογισμικού παρακολούθησης», (DirectorateGeneral for Internal Policies – Policy Department for Citizens’ Rights and Constitutional Affairs, The use of Pegasus and equivalent surveillance spywareThe existing legal framework in EU Member States for the acquisition and use of Pegasus and equivalent surveillance spyware), Δεκέμβριος 2022, σελίδα 15, διαθέσιμο εδώ

[9] Η λειτουργία του Predator περιγράφεται στην έρευνα του Citizen Lab, βλ. υποσημείωση 1

[10] Για τον ορισμό και την έννοια των προσωπικών δεδομένων βλ. Λίλιαν Μήτρου, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, 2017, σελ 38επ., Φ. Παναγιωτιόπουλου-Κουτνατζη, Ο Γενικός Κανονισμός για την Προστασία Δεδομένων, 679/2016/ΕΕ, 2017, σελ 26επ.

[11] Για την έννοια των ευαίσθητων προσωπικών δεδομένων βλ. Ε. Αλεξανδροπούλου Αιγυπτιάδου, Προσωπικά Δεδομένα, 2016, σελ 43επ.

[12] Για τον νόμο 4624/2019, βλ. Ι. Ιγγλεζάκης, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων – Κανονισμός 2016/679 και ο Εφαρμοστικός Νόμος (Ν. 4624/2019), 3η έκδοση, 2020, Κ. Χριστοδούλου, Δίκαιο Προσωπικών Δεδομένων, 2η έκδοση, 2020.

[13] Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, διαθέσιμο εδώ. Βλ, Λ. Μήτρου, Η νέα Οδηγία 2002/58/ΕΚ για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ∆iΜΕΕ 3/2004, 371.

[14] Γ. Γεωργιάδη, Ο ν. 3471/2006 για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες, ΧρΙ∆

2007, 22, Γρ. Τσόλιας, Τα τηλεπικοινωνιακά δεδομένα υπό το πρίσμα του απορρήτου: προβληματισμοί εν όψει

της ενσωμάτωσης της Οδηγίας 2002/58/ΕΚ, ∆iΜΕΕ 2004, 360.

[15] Για τους περιορισμούς στο πεδίο εφαρμογής του ΓΚΠΔ για λόγους εθνικής ασφάλειας βλ. Κ. Χριστοδούλου, Δίκαιο Προσωπικών Δεδομένων, ό.π. σελ. 43.

[16] Για τα ζητήματα εφαρμογής της νομοθεσίας για τα προσωπικά δεδομένα όταν η επεξεργασία τελείται για λόγους εθνικής ασφάλειας, βλ. Έγγραφο εργασίας της Ομάδας Εργασίας του Άρθρου 29 για τα Προσωπικά Δεδομένα (προδρόμου του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων) σχετικά με την παρακολούθηση των ηλεκτρονικών επικοινωνιών για σκοπούς συλλογής πληροφοριών και εθνικής ασφάλειας, διαθέσιμο στα γαλλικά εδώ

[17] Βλ. Γνώμη του Γενικού Εισαγγελέα Jacobs που εκδόθηκε στις 6 Απριλίου 1995, §55 (διαθέσιμη στα αγγλικά εδώ) στην Υπόθεση C-120/94 του ΔΕΕ, Διάταξη του Προέδρου του Δικαστηρίου της 19ης Μαρτίου 1996. – Επιτροπή των Ευρωπαϊκών Κοινοτήτων κατά Ελληνικής Δημοκρατίας (διαθέσιμη εδώ) : «Εναπόκειται καταρχάς σε κάθε συμβαλλόμενο κράτος, που είναι υπεύθυνο για «τη ζωή του έθνους (του)», να καθορίσει αν το απειλεί μια «δημόσια κατάσταση έκτακτης ανάγκης» και, αν ναι, πόσο μακριά πρέπει να φτάσει για να προσπαθήσει να την εξαλείψει». Ο Γενικός Εισαγγελέας αναφέρεται στην υπόθεση Ιρλανδία εναντίον Ηνωμένου Βασιλείου της 18ης Ιανουαρίου 1978 του ΕΔΔΑ διαθέσιμη εδώ

[18] Nόμος υπ’ αριθμ. 5002 ΦΕΚ Α 228/9.12.2022, Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών.

[19] Βλ. Ε. Συμεωνίδου – Καστανίδου, Το σχέδιο νόμου σχετικά με την άρση του απορρήτου των επικοινωνιών: κρίσιμες για τις θεμελιώδεις ελευθερίες «αστοχίες», 29 Νοεμβρίου 2022, στο constitutionalism.gr, διαθέσιμο εδώ

[20] Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Γνωμοδότηση 5/2022, §18, διαθέσιμη εδώ

[21] Βλ. Κ. Χρυσόγονος/ Σ. Βλαχόπουλος, Ατομικά και Κοινωνικά Δικαιώματα, 4η έκδ. 2017, σ.301.

[22] ΔΕΕ, Απόφαση της 6ης  Οκτωβρίου 2020, στην υπόθεση C‑623/17, 44, διαθέσιμη εδώ

[23] Νόμος υπ’αριθ. 3649 ΦΕΚ Α 39/3.3.2008, άρθρο 5§1, περ. α’: «Κατά την άσκηση των αρμοδιοτήτων της Ε.Υ.Π., το προσωπικό της υποχρεούται, κατά τη συλλογή και επεξεργασία πληροφοριών προσωπικού χαρακτήρα, να τηρεί τις διατάξεις των ν. 2472/1997 (ΦΕΚ 50 Α), όπως ισχύει, 3471/2006 (ΦΕΚ 133 Α) και 3115/2003 (ΦΕΚ 47 Α) και των εκτελεστικών διατάξεων του τελευταίου», Άρθρο 83 του Νόμου 4624/2019: «Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του παρόντος».

[24] Νόμος υπ’ αριθ. 3649 ΦΕΚ Α 39/3.3.2008, Εθνική Υπηρεσία Πληροφοριών και άλλες διατάξεις

[25] Βλ. Κ. Κ. Χρυσόγονος/ Σ. Βλαχόπουλος, Ατομικά και Κοινωνικά Δικαιώματα, 4η έκδ. 2017 ; σελ  291επ

[26] Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου όπως τροποποιήθηκε από τα Πρωτόκολλα υπ’ αριθ. 11, 14 και 15 συvoδευόμεvη από τα Πρωτόκολλα υπ’ αριθ. 1, 4, 6, 7, 12, 13 και 16, διαθέσιμη εδώ

[27] Σύμβαση για την προστασία των φυσικών προσώπων έναντι της αυτόματης επεξεργασίας των Προσωπικών Δεδομένων, διαθέσιμη εδώ

[28] Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου, διαθέσιμη εδώ

[29] Απόφαση CE, 12 juillet 2021, no 426962, AJDA 2021, 1478, §2, « pour les seules données intéressant la sûreté de l’État », διαθέσιμη εδώ  ; Βλ. Σχολιασμό της απόφασης από την Aude Bouveresse , «Chronique Jurisprudence administrative française intéressant le droit de l’UE – Traitement des données à caractère personnel pour la sûreté de l’État : hors du champ d’application du droit de l’Union ?», RTD Eur. 2022, p.277.

[30] Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Απόφαση 2/2023, σελ. 2 διαθέσιμη εδώ

[31] Ανακοίνωση της Επιτροπής προς το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο, Πρώτη έκθεση σχετικά με την εφαρμογή και τη λειτουργία της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (ΕΕ) 2016/680, COM(2022) 364 final, διαθέσιμη εδώ

[32] Βλέπε στην γαλλική εκδοχή του Κανονισμού: « le traitement est nécessaire pour des motifs d’intérêt public important»

[33] Βλ. Παπαδόπουλος Ν., Προστασία του απορρήτου της επικοινωνίας: Ερμηνευτική προσέγγιση του άρθρου 19 του Συντάγματος της Ελλάδας, Νομική Βιβλιοθήκη: Θεσσαλονίκη 2008.

[34] Βλέπε το σκεπτικό 45 του ΓΚΠΔ

[35] Λ. Μήτρου, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, 2017, σελ 123επ.

[36] Άρθρο 25 του Συντάγματος. Για την αρχή της αναλογικότητας βλ Α. Γέροντας, Η συνταγματική κατοχύρωση της αρχής της αναλογικότητας, ΔτΑ 2007, σ. 419επ., Κ. Χρυσόγονος/ Σ. Βλαχόπουλος, Ατομικά και Κοινωνικά Δικαιώματα, 4η έκδ. 2017, σ. 126επ, Χ. Ανθόπουλος,  ́Άρθρο 25, σε: Φ. Σπυρόπουλος, Ξ. Κοντιάδης, Χ. Ανθόπουλος, Γ. Γεραπετρίτης (Επιμ.), Σύνταγμα. Κατ ́άρθρον Ερμηνεία, 2017, σ. 700επ.

[37] Χάρτης Θελελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, διαθέσιμος εδώ άρθρο 5§1.

[38] Βλ, Απόφαση της 6ης Οκτωβρίου 2015, υπόθεση C-362/14 (η λεγόμενη υπόθεση Schrems) διαθέσιμη εδώ, Απόφαση της 8ης Απριλίου 2014 στις συνεκδικαζόμενες υποθέσεις C‑293/12 και C‑594/12, διαθέσιμη εδώ, και Απόφαση της 6ης Ιουλίου 2020, υπόθεση C‑311/18 (η λεγόμενη υπόθεση Schrems II).

[39] Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Κατευθυντήριες γραμμές σχετικά με τους περιορισμούς υπό το άρθρο 23 του ΓΚΠΔ, §14, διαθέσιμο στα αγγλικά εδώ

[40] Στο ίδιο.

[41] Στο ίδιο, §17.

[42] Nόμος υπ’αριθμ. 4790 ΦΕΚ Α/31.3.2021, Κατεπείγουσες ρυθμίσεις για την προστασία της δημόσιας υγείας από τις συνεχιζόμενες συνέπειες της πανδημίας του κορωνοϊού COVID-19, την ανάπτυξη, την κοινωνική προστασία και την επαναλειτουργία των δικαστηρίων και άλλα ζητήματα.

[43] Η διάταξη αυτή είχε επικριθεί έντονα ως προς τη συμβατότητα της με το Σύνταγμα, με την Ευρωπαϊκή Σύμβαση για τα Δικαιώματα του Ανθρώπου και με τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Βλ. Χ. Ράμμος,, Σ. Γκρίτζαλης,, Αικ. Παπανικολάου,  «Αντίθεση του άρθρου 87 Ν. 4790/2021 προς τις εγγυήσεις της ΕΣΔΑ για διαφύλαξη του απορρήτου των επικοινωνιών», στο constitutionalis.gr, 7 Απριλίου 2021, διαθέσιμο εδώ

[44] Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Γνωμοδότηση 5/2022, §18, διαθέσιμη εδώ

[45] ΔΕΕ, απόφαση της 4ης Δεκεμβρίου 2018 στην υπόθεση C‑378/17, σκέψη 38, διαθέσιμη εδώ, Βλ., υπό την έννοια αυτή, και τις αποφάσεις της 22ας Ιουνίου 1989, υπόθεση 103/88 Costanzo, σκέψη 31, διαθέσιμη εδώ, απόφαση της 9ης Σεπτεμβρίου 2003, υπόθεση C 198/01, CIF, διαθέσιμη εδώ,  σκέψη 49, απόφαση της 12ης Ιανουαρίου 2010, υπόθεση C 341/08, Petersen, διαθέσιμη εδώ, σκέψη 80, και απόφαση της 14ης Σεπτεμβρίου 2017, υπόθεση C 628/15, The Trustees of the BT Pension Scheme, διαθέσιμη εδώ, σκέψη 54

[46] Βλ. υποσημείωση 1.

[47] Β. Σωτηρόπουλος, Υπεύθυνος Προστασίας Δεδομένων, 2η έκδ., 2019, σελ. 69επ

[48] Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Απόφαση 02/2023, σελ.6, διαθέσιμη εδώ

[49] Στην ίδια, σελίδα 4

[50] Σχέδιο Συστάσεων της Επιτροπής Pega (European Parliament Draft Recommendation to the Council and the Commission pursuant to Rule 208(12) of the Rules of Procedure following the investigation of alleged contraventions and maladministration in the application of Union law in relation to the use of Pegasus and equivalent surveillance spyware; Sophie in ‘t Vel on behalf of the Committee of Inquiry to investigate the use of Pegasus andequivalent surveillance spyware), Έγγραφο με αριθμό B9-0000/2023, 4.1.2023, διαθέσιμο εδώ, σύσταση 18

[51] Βλ. υποσημείωση 11.

Leave a Reply

Your email address will not be published. Required fields are marked *

two × four =