Αρχείο

    

Έκθεση της Κοινοβουλευτικής Επιτροπής Νομικών για τον αναπεμφθέντα νόμο «Ο περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμος του 2018»

Παρόντες:

Γεώργιος Γεωργίου, πρόεδρος Χριστιάνα Ερωτοκρίτου
Δημήτρης Δημητρίου Πανίκος Λεωνίδου
Ευανθία Σάββα Κωστής Ευσταθίου

Η Κοινοβουλευτική Επιτροπή Νομικών σε συνεδρία της, που πραγματοποιήθηκε στις 27 Ιουλίου 2018, επανεξέτασε τον πιο πάνω νόμο, τον οποίο ψήφισε η Βουλή των Αντιπροσώπων στις 13 Ιουλίου 2018 και ο οποίος αναπέμφθηκε από τον Πρόεδρο της Δημοκρατίας κατ’ επίκληση του άρθρου 51.1 του συντάγματος. Στη συνεδρίαση της επιτροπής κλήθηκαν και παρευρέθηκαν η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και εκπρόσωποι του Υπουργείου Δικαιοσύνης και Δημοσίας Τάξεως και της Νομικής Υπηρεσίας της Δημοκρατίας.

Όπως είναι γνωστό, με τον αναπεμφθέντα νόμο σκοπείται η θέσπιση νομοθεσίας για την αποτελεσματική εφαρμογή ορισμένων διατάξεων του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), καθώς και η κατάργηση του περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (Προστασία του Ατόμου) Νόμου του 2001, όπως αυτός τροποποιήθηκε το 2003 και το 2012.

Οι λόγοι της αναπομπής όπως αυτοί εκτίθενται στην επιστολή του Προέδρου της Δημοκρατίας προς τον Πρόεδρο της Βουλής των Αντιπροσώπων, ημερομηνίας 11 Ιουλίου 2018, παρατίθενται πιο κάτω αυτούσιοι:

«1. Ασυμβατότητα του άρθρου 7 του αναπεμπόμενου Νόμου με το Άρθρο 2(2)(δ) του Κανονισμού (ΕΕ) 2016/679.

1.1. Η εισαγωγή του νέου άρθρου 7 του αναπεμπόμενου Νόμου, στο εξής “ο Νόμος”, που φέρει πλαγιότιτλο “Επεξεργασία για σκοπούς πρόληψης, ανίχνευσης, διερεύνησης ή δίωξης ποινικών αδικημάτων ή απάτης”, αντίκειται στο Άρθρο 2 (Ουσιαστικό πεδίο εφαρμογής) του Κανονισμού (ΕΕ) 2016/679, στο εξής “ο Κανονισμός” και συγκεκριμένα στο Άρθρο 2(2)(δ) αυτού, το οποίο προβλέπει ότι ο Κανονισμός αυτός ΔΕΝ εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.

1.2. Οι σκοποί αυτοί εξαιρούνται από το πεδίο εφαρμογής του Κανονισμού, διότι εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου στο εξής “η Οδηγία”. Βρίσκεται ενώπιον της Βουλής Νομοσχέδιο για την μεταφορά των διατάξεων της Οδηγίας αυτής στην εθνική έννομη τάξη.

1.3. Αντίστοιχη πρόνοια με αυτή του νέου άρθρου 7 του Νόμου περιλήφθηκε στις εθνικές νομοθεσίες άλλων Κρατών Μελών της Ευρωπαϊκής Ένωσης, που επέλεξαν να εφαρμόσουν ορισμένες διατάξεις του Κανονισμού (ΕΕ) 2016/679 και να μεταφέρουν τις διατάξεις της Οδηγίας σε μία ενιαία νομοθεσία.

1.4. Στην Κύπρο επιλέχθηκε η εφαρμογή/μεταφορά των Πράξεων αυτών σε δύο ξεχωριστές νομοθεσίες. Ετοιμάστηκε ξεχωριστό νομοσχέδιο για την εφαρμογή των διατάξεων του Κανονισμού και ξεχωριστό για τη μεταφορά της Οδηγίας αυτής στην εθνική έννομη τάξη. Ως εκ τούτου, η εισαγωγή των διατάξεων του άρθρου 7 στον παρόντα Νόμο που εμπίπτουν στο πεδίο εφαρμογής της Οδηγίας και όχι του Κανονισμού αντίκειται στις διατάξεις του Άρθρου 2(2)(δ) του Κανονισμού, προκαλεί νομική σύγχυση και αβεβαιότητα.

Επιπρόσθετα δεν προσδιορίζει από ποιους μπορεί να επιτρέπεται και να είναι νόμιμη η επεξεργασία.

1.5. Συγκεκριμένα, η τροπολογία του άρθρου 7, ως έχει ψηφιστεί, είναι προβληματική, αφού επιτρέπει την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα από οργανισμούς του δημόσιου ή του ιδιωτικού τομέα που δεν είναι αρχές επιβολής του Νόμου ή ακόμη και από φυσικά πρόσωπα που ουδεμίαν εξουσία έχουν να επεξεργάζονται τέτοια δεδομένα για σκοπούς πρόληψης, ανίχνευσης, διερεύνησης ή δίωξης ποινικών αδικημάτων ή απάτης. Επίσης, ούτε στο Νόμο ούτε στο Νομοσχέδιο για την μεταφορά της Οδηγίας περιλαμβάνεται ορισμός του όρου “απάτη”, γεγονός που θα επέτρεπε αυθαίρετη ερμηνεία.

2. Ασυμβατότητα του Άρθρου 8 του αναπεμπόμενου Νόμου με τα Άρθρα 9(2)(α) και) (β) , 4 (11), και 7(4) του Κανονισμού (ΕΕ) 2016/679, των Άρθρων 15 και 26 του Συντάγματος.

2. Αντινομικότητα των Άρθρων 8 και 11 του αναπεμπόμενου Νόμου.

2.1. Το άρθρο 8 του αναπεμπόμενου Νόμου, που φέρει πλαγιότιτλο “Επεξεργασία για σκοπούς σύναψης ή εκτέλεσης ασφαλιστικών συμβάσεων”, αντίκειται τόσο στο γράμμα όσο και στο πνεύμα του Κανονισμού για τους λόγους που εξηγώ πιο κάτω.

2.2. Το Άρθρο 9(2) του Κανονισμού επιτρέπει την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με τη συγκατάθεση του υποκείμενου των δεδομένων [Άρθρο 9 (2) (α)], αλλά και χωρίς τη συγκατάθεσή του, υπό τις προϋποθέσεις που εκτίθενται στα Άρθρα 9(2)(β) έως (ι). Η εισαγωγή των διατάξεων του άρθρου 8 στον αναπεμπόμενο Νόμο θα επιτρέπει την επεξεργασία τέτοιων δεδομένων για σκοπούς σύναψης ή εκτέλεσης ασφαλιστικών συμβολαίων, χωρίς όμως τη συγκατάθεση του υποκειμένου των δεδομένων.

2.3. Το άρθρο 8 του αναπεμπόμενου Νόμου έχει δύο σκέλη, (α) την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που διενεργείται για σκοπούς σύναψης ασφαλιστικών συμβάσεων και (β) την επεξεργασία τέτοιων δεδομένων που διενεργείται για σκοπούς εκτέλεσης ασφαλιστικών συμβάσεων.

2.4. Όσον αφορά (α) την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που διενεργείται για σκοπούς σύναψης ασφαλιστικών συμβάσεων, η εισαγωγή τέτοιας διάταξης, η οποία θα επιτρέπει σε μια ασφαλιστική εταιρεία να επεξεργάζεται ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα δυνητικών πελατών της, χωρίς τη συγκατάθεσή τους, πριν ακόμη συναφθεί μεταξύ τους συμβόλαιο ασφάλισης, παραβιάζει το δικαίωμα προστασίας της ιδιωτικής και οικογενειακής ζωής των προσώπων αυτών, που κατοχυρώνεται από το Άρθρο 15 του Συντάγματος, το Άρθρο 7 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το Άρθρο 8 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου.

Επιπρόσθετα, η διάταξη αυτή παραβιάζει το Άρθρο 8 του Χάρτη, που κατοχυρώνει την προστασία των δεδομένων προσωπικού χαρακτήρα ως ξεχωριστό θεμελιώδες δικαίωμα.

Επίσης, η εν λόγω διάταξη φαίνεται να παραβιάζει το δικαίωμα του συμβάλλεσθαι ελευθέρως, που κατοχυρώνεται από το Άρθρο 26 του Συντάγματος.

2.5. Όταν ένα πρόσωπο προτίθεται να συνάψει λ.χ. ασφάλεια υγείας με μια ασφαλιστική εταιρεία, θα πρέπει να παράσχει στην εταιρεία αυτή κάποια δεδομένα υγείας του ή ακόμη να υποβληθεί σε κάποιες ιατρικές εξετάσεις, ώστε να καθοριστούν οι όροι της σύμβασης και/ ή το ύψους των ασφάλιστρων. Το πρόσωπο αυτό θα πρέπει να παρέχει τα δεδομένα αυτά στην ασφαλιστική εταιρεία με την οποία προτίθεται να συμβληθεί με την ελεύθερη βούληση και τη συγκατάθεσή του. Συνεπώς, νομική βάση για την επεξεργασία των δεδομένων αυτών, από την εταιρεία, θα πρέπει να αποτελεί το Άρθρο 9(2)(α) του Κανονισμού και όχι το άρθρο 8 του Νόμου.

2.6. Το Άρθρο 4(11) του Κανονισμού ορίζει τον όρο “συγκατάθεση” του υποκειμένου των δεδομένων ως “κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν”. Η εισαγωγή στο Νόμο διατάξεων που θα επιτρέπουν σε μια ασφαλιστική εταιρεία να επεξεργάζεται ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα εν δυνάμει πελατών της, χωρίς τη συγκατάθεσή τους και χωρίς να έχουν πλήρη επίγνωση για την εν λόγω επεξεργασία, πριν ακόμη συναφθεί μεταξύ τους συμβόλαιο ασφάλισης, αντιβαίνει στο Άρθρο 4(11) του Κανονισμού.

2.7. Όσον αφορά το σκέλος (β) του άρθρου 8 του Νόμου, δηλαδή την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που διενεργείται για σκοπούς εκτέλεσης ασφαλιστικών συμβάσεων, η εισαγωγή της διάταξης αυτής παραβαίνει τις διατάξεις του Άρθρου 7(4) του Κανονισμού, που προβλέπει ότι “κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης”.

2.8. Στην ουσία, σκοπός του Άρθρου αυτού είναι να προστατεύσει τα υποκείμενα των δεδομένων από την εισαγωγή καταχρηστικών ρητρών σε συμβόλαια. Με βάση το Άρθρο αυτό, αν μια ασφαλιστική εταιρεία επεξεργάζεται ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα ενός ασφαλισμένου/πελάτη της στη βάση των όρων του μεταξύ τους συμβολαίου ασφάλισης, οι οποίες όμως δεν είναι απολύτως απαραίτητες για την εκτέλεση του εν λόγω συμβολαίου, η επεξεργασία των εν λόγω δεδομένων καθίσταται παράνομη, παρά το ότι ο πελάτης αποδέχθηκε τους όρους του συμβολαίου που επέτρεπαν την επεξεργασία τους.

Συνεπώς, η εισαγωγή στο Νόμο διατάξεων που θα επιτρέπουν σε ασφαλιστικές εταιρείες την οποιαδήποτε επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα για σκοπούς εκτέλεσης ασφαλιστικών συμβάσεων και κατ’ επέκταση εκπλήρωσης των οποιωνδήποτε όρων περιλαμβάνονται σε αυτές παραβαίνει τις διατάξεις του Άρθρου 7(4) του Κανονισμού που καθιστούν παράνομη την επεξεργασία δεδομένων τα οποία δεν είναι απολύτως απαραίτητα για την εκτέλεση της σύμβασης.

2.9. Όταν λ.χ. ένα πρόσωπο υποβάλει στην ασφαλιστική του εταιρεία κάποια δεδομένα υγείας για σκοπούς τεκμηρίωσης αιτήματος αποζημίωσης (claim), αυτό γίνεται στα πλαίσια εκτέλεσης του συμβολαίου ασφάλισης που σύναψε με την εν λόγω εταιρεία και στη βάση των όρων του συμβολαίου τους οποίους το πρόσωπο αυτό αποδέχτηκε. Αν το πρόσωπο υποβάλλει στην εταιρεία λιγότερα δεδομένα από αυτά που προβλέπει το συμβόλαιο, αυτή έχει νόμιμο δικαίωμα να μην αποζημιώσει τον αιτητή. Αν η ασφαλιστική εταιρεία για την ικανοποίηση ενός αιτήματος ζητήσει από τον αιτητή περισσότερα δεδομένα από αυτά που προβλέπει το συμβόλαιό τους, αυτός έχει δικαίωμα να μην τα παράσχει. Αν η ασφαλιστική εταιρεία περιλάβει στο συμβόλαιο όρους που επιβάλλουν στον ασφαλιζόμενο να παρέχει στην εταιρεία δεδομένα τα οποία δεν είναι απολύτως απαραίτητα για την εκτέλεση του συμβολαίου, τότε ισχύουν οι διατάξεις του Άρθρου 7(4) του Κανονισμού.

2.10. Το άρθρο 8 του Νόμου έρχεται σε σύγκρουση και αναιρεί το άρθρο 11 αυτού. Το άρθρο 11 απαγορεύει την επεξεργασία γενετικών και βιομετρικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής. Τα δεδομένα αυτά αποτελούν δύο από τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που προβλέπονται στο Άρθρο 9(1) του Κανονισμού. Ωστόσο, το άρθρο 8 του αναπεμπόμενου Νόμου επιτρέπει την επεξεργασία όλων των προβλεπόμενων στο άρθρο 9 του Κανονισμού ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, που περιλαμβάνουν και τα γενετικά και βιομετρικά δεδομένα.

2.11. Οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα πρέπει να απολαμβάνουν αυξημένης προστασίας. Στην Αναφορά 51 του Προοιμίου του Κανονισμού αναφέρεται σχετικά ότι “δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες”.

2.12. Το Άρθρο 9 (4) του Κανονισμού επιτρέπει στα κράτη μέλη να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. Ωστόσο, τέτοιοι περιορισμοί πρέπει να υπόκεινται σε κατάλληλες εγγυήσεις. Στην αιτιολογική σκέψη 51 του Κανονισμού αναφέρεται ότι “Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων”. Επίσης, στην αιτιολογική σκέψη 52 αναφέρεται, μεταξύ άλλων, ότι “η παρέκκλιση από την απαγόρευση επεξεργασίας ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα θα πρέπει να επιτρέπεται επίσης, όταν προβλέπεται από το δίκαιο της Ένωσης ή κράτους μέλους, και με την επιφύλαξη κατάλληλων εγγυήσεων, ώστε να προστατεύονται τα δεδομένα προσωπικού χαρακτήρα και άλλα θεμελιώδη δικαιώματα”.

2.13. Το άρθρο 8 του αναπεμπόμενου Νόμου επιτρέπει την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα για σκοπούς σύναψης ή εκτέλεσης ασφαλιστικών συμβολαίων, χωρίς όμως την επιφύλαξη κατάλληλων εγγυήσεων που επιβάλλει ο Κανονισμός. Ως εκ τούτου, το άρθρο 8 του αναπεμπόμενου Νόμου ως έχει παραβιάζει το Άρθρο 9(4) του Κανονισμού.

2.14. Οι νέες διατάξεις των Άρθρων 7, 8 και 11 στον αναπεμπόμενο Νόμο, που η Βουλή των Αντιπροσώπων προσέθεσε, αφενός μεν δεν απαιτούνται από το Ενωσιακό Δίκαιο και αφετέρου δεν επιτρέπονται από το Σύνταγμα.

2.15. Συνεπώς, η προσθήκη των Άρθρων 7, 8 και 11 στον αναπεμπόμενο νόμο δεν έχει κανένα νομικό έρεισμα, συγκρούεται τόσο με το Ενωσιακό Δίκαιο όσο και με το Σύνταγμα της Κυπριακής Δημοκρατίας, ως επίσης και μεταξύ των διατάξεων του αναπεμπόμενου Νόμου και θα πρέπει να αφαιρεθούν.».

Υπό το φως των πιο πάνω, η Κοινοβουλευτική Επιτροπή Νομικών επιφυλάχθηκε να τοποθετηθεί επί της αναπομπής κατά τη συζήτηση του αναπεμφθέντος νόμου στην ολομέλεια του σώματος.

 

 

 

27 Ιουλίου 2018

 

     

    

     © Copyright 2000.  Η Βουλή των Αντιπροσώπων