Πληροφοριακός αυτοκαθορισμός και προστασία προσωπικών δεδομένων

«Με βάση τις σύγχρονες συνθήκες της επεξεργασίας δεδομένων, η ελεύθερη ανάπτυξη της προσωπικότητας προϋποθέτει την προστασία του προσώπου από την απεριόριστη συλλογή, αποθήκευση, χρήση και κοινολόγηση των προσωπικών δεδομένων του. Στο πλαίσιο αυτό, το θεμελιώδες δικαίωμα εγγυάται τη δυνατότητα του ατόμου να αποφασίσει καταρχήν μόνο του για την κοινολόγηση και χρήση των προσωπικών δεδομένων του.»

Στις 15 Δεκεμβρίου 2023 συμπληρώνονται σαράντα χρόνια από τη δημοσίευση της απόφασης του Ομοσπονδιακού Συνταγματικού Δικαστηρίου της (Δυτικής τότε) Γερμανίας στην υπόθεση της απογραφής του πληθυσμού.[1] Πρόκειται πιθανότατα για την εμβληματικότερη απόφαση εθνικού δικαστηρίου επί του ζητήματος της προστασίας του ατόμου από την επεξεργασία προσωπικών δεδομένων, καθώς αυτή όχι μόνο επηρέασε καθοριστικά την έννοια της προστασίας δεδομένων σε μεγάλο μέρος της ευρωπαϊκής ηπείρου, αλλά και διέπλασε ένα νέο αυτοτελές δικαίωμα που έμελλε να αγκαλιαστεί από τη νομική κοινότητα: το δικαίωμα του πληροφοριακού αυτοκαθορισμού, αλλιώς της πληροφοριακής αυτοδιάθεσης.

Το δικαίωμα του πληροφοριακού αυτοκαθορισμού, όπως αυτό περιγράφηκε, διαπλάστηκε και διακηρύχθηκε από το Δικαστήριο συνίσταται σε κάτι σχετικά απλό στη σύλληψή του και συνάμα ριζοσπαστικό: πρόκειται για το θεμελιώδες δικαίωμα του ατόμου να αποφασίζει για την παροχή και τη διάθεση των προσωπικών του στοιχείων,[2] να αποφασίζει πότε και κάτω από ποιες προϋποθέσεις είναι δυνατή η δημοσιοποίηση των προσωπικών του σχέσεων και στοιχείων,[3] να συμπροσδιορίζει και εν πάση περιπτώσει να γνωρίζει τον «πληροφοριακό ορίζοντα» των άλλων, με απλά λόγια τι (θα) γνωρίζουν οι άλλοι για αυτόν.[4]

Το δικαίωμα στον πληροφοριακό αυτοκαθορισμό γρήγορα επεκτάθηκε και υιοθετήθηκε σε έννομες τάξεις εκτός Γερμανίας, ως μια νέα έκφανση του δικαιώματος στην ανάπτυξη της προσωπικότητας (ή της ιδιωτικότητας ή ακόμη και ως ένα νέο αυτοτελές δικαίωμα), που θα μπορούσε να προσδώσει τη συνταγματική θεμελίωση και εγγύηση σε ένα δικαίωμα (της προστασίας δεδομένων), που αναζητούσε ακόμη τις δογματικές καταβολές και την ταυτότητά του. Ένα δικαίωμα που θα μπορούσε να αποδώσει στο πρόσωπο την αναγκαία προστασία έναντι των κινδύνων που συνόδευαν την αλματώδη εξέλιξη των νέων τεχνολογιών και την δυνατότητα ανεξέλεγκτης συλλογής – αποθήκευσης – διαβίβασης προσωπικών πληροφοριών με ηλεκτρονικά συστήματα καταγραφής και αρχειοθέτησης.

Μια από τις χώρες που αγκάλιασαν πολύ γρήγορα το νέο δικαίωμα, αλλά και την ευρύτερη σκέψη του γερμανικού Δικαστηρίου υπήρξε και η Ελλάδα, η θεωρητική σκέψη της οποίας υπήρξε διαχρονικά στραμμένη προς το γερμανικό δίκαιο. Η ιδέα της αναγνώρισης ενός δικαιώματος, που θα συμπλήρωνε και θα εξειδίκευε την προστασία της ελεύθερης ανάπτυξης της προσωπικότητας και θα προστάτευε το άτομο από τους κινδύνους της νέας τεχνολογικής εποχής, φάνηκε να συναρπάζει την ελληνική θεωρία, η οποία έσπευσε να το μεταφέρει, ερμηνεύσει και εντάξει στους εθνικούς κανόνες για την προστασία των θεμελιωδών δικαιωμάτων του ανθρώπου.

Σημαντικό ρόλο στην προσέγγιση αυτή επιτέλεσε, άλλωστε, η χρονική συγκυρία της δημοσίευσης της γερμανικής απόφασης: το 1983 η Ελλάδα δεν είχε ακόμη νομοθεσία για την προστασία δεδομένων, ενώ δεν είχε καν προσδιορίσει με ακρίβεια την έννοια των προσωπικών δεδομένων και της επεξεργασίας αυτών. To 1983 υπήρχε η Σύμβαση 108 του Συμβουλίου της Ευρώπης (1981) «περί προστασίας του ατόμου έναντι της αυτοματοποιημένης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα»,[5] ωστόσο δεν είχε εκδοθεί η Οδηγία 95/46/ΕΚ για τα προσωπικά δεδομένα, ούτε βέβαια είχε γίνει η αναθεώρηση του 2001 και η προσθήκη του δικαιώματος του άρθρου 9Α ή η έκδοση του Χάρτη Θεμελιωδών Δικαιωμάτων της ΕΕ.

Ήταν μια χρονική συγκυρία στην οποία η απόφαση της απογραφής φάνηκε να δίνει τις αναγκαίες απαντήσεις.

1. Η απόφαση της απογραφής και η δημιουργία του πληροφοριακού αυτοκαθορισμού.[6]

Στις 25 Μαρτίου 1982 δημοσιεύτηκε ο ομοσπονδιακός νόμος περί απογραφής του πληθυσμού (Volkszählungsgesetz 1983) με τις διατάξεις του οποίου ρυθμίζονταν ζητήματα για την απογραφή που προγραμματιζόταν να διενεργηθεί τον Απρίλιο του 1983. Η νομοθεσία αυτή προκάλεσε σφοδρές αντιδράσεις από πολίτες, μέσα ενημέρωσης, σωματεία και πολιτικές οργανώσεις, που διαμαρτυρήθηκαν για το ευρύτατο πλαίσιο συλλογής προσωπικών δεδομένων των Γερμανών πολιτών από το κράτος, ειδικά εν όψει των δυνατοτήτων που παρείχαν πλέον οι αναδυόμενες τεχνολογίες των πληροφοριών. Στο κλίμα αυτό, ασκήθηκαν ενώπιον του γερμανικού Συνταγματικού Δικαστηρίου πολλαπλές συνταγματικές προσφυγές με αίτημα την ακύρωση του νόμου. Σύμφωνα με τους προσφεύγοντες, ο νόμος για την απογραφή παραβίαζε το δικαίωμα της προσωπικής ελευθερίας, σε συνδυασμό με την εγγύηση της αξίας και της αξιοπρέπειας του ανθρώπου των άρθρων 2 και 1 του γερμανικού Συντάγματος (Θεμελιώδης νόμος της Βόννης), αλλά και τα δικαιώματά τους στη θρησκευτική ελευθερία (άρθρο 4), την ελεύθερη έκφραση των στοχασμών (άρθρο 5) και το άσυλο της κατοικίας (άρθρο 13).

Το Συνταγματικό Δικαστήριο δεν  έκρινε ως αντισυνταγματικό τον νόμο στο σύνολό του, ούτε και τον ακύρωσε, καθώς έκρινε πως το περιεχόμενο και ο αριθμός των ζητούμενων στοιχείων, όπως και οι μέθοδοι συγκέντρωσης αυτών δεν παραβίαζαν συνταγματικά δικαιώματα. Αυτό που ακυρώθηκε ήταν το άρθρο 9 του νόμου, που προέβλεπε τη δυνατότητα ανταλλαγής των συλλεγέντων στοιχείων μεταξύ των κρατικών αρχών, όχι για λόγους στατιστικούς, αλλά για την εξυπηρέτηση των διοικητικών αναγκών τους.

Ο λόγος για τον οποίο η απόφαση αυτή προκάλεσε αίσθηση όταν δημοσιεύτηκε και συζητείται εκτενώς στη βιβλιογραφία μέχρι και σήμερα είναι για το δικαίωμα που το δικαστήριο διέπλασε: το δικαίωμα στην πληροφοριακή αυτοδιάθεση ή τον πληροφοριακό αυτοκαθορισμό.

Το Συνταγματικό Δικαστήριο διέγνωσε την ανησυχία των προσφευγόντων, αλλά και των πολιτών εν γένει, ως προς τους κινδύνους από την ανεξέλεγκτη συλλογή, τήρηση και διαβίβαση των προσωπικών δεδομένων τους από τις κρατικές αρχές, κίνδυνοι οι οποίοι αποκτούσαν μεγαλύτερες διαστάσεις λόγω της εξέλιξης των τεχνολογιών της πληροφορίας. Όπως χαρακτηριστικά παρατήρησε εισαγωγικώς, «η προβλεπόμενη συλλογή δεδομένων στην προσβαλλόμενη πράξη προκάλεσαν ανησυχία στην κοινή γνώμη, ακόμη και στους νομοταγείς πολίτες, που αναγνωρίζουν την εξουσία και την υποχρέωση του κράτους να συλλέγει τις πληροφορίες που είναι αναγκαίες για την ορθολογική και συντονισμένη κρατική δράση. […] Τη σημερινή εποχή, μόνο οι ειδικοί μπορούν να αντιληφθούν πλήρως τις δυνατότητες της σύγχρονης επεξεργασίας δεδομένων, οι οποίες μπορούν να προκαλέσουν στους πολίτες τον φόβο πως πτυχές της προσωπικότητάς τους συγκεντρώνονται έξω από τον έλεγχό τους […]»

Το Δικαστήριο υπενθύμισε πως κατά πάγια νομολογία του, η ιδέα της αυτοδιάθεσης του ατόμου και το γενικό δικαίωμα στην προσωπικότητα αναγνωρίζουν στο άτομο την εξουσία να αποφασίζει, καταρχήν, μόνο του για το ποιες πτυχές της προσωπικής του ζωής θα αποκαλύπτονται και θα εξωτερικεύονται.

Η εξουσία αυτή κρίθηκε πως χρήζει ειδικής και επικαιροποιημένης προστασίας εν όψει των νέων (αλλά και μελλοντικών) δυνατοτήτων της αυτοματοποιημένης επεξεργασίας δεδομένων. Όπως παρατήρησε το Δικαστήριο, οι πράξεις επεξεργασίας για τη λήψη αποφάσεων, οι οποίες μέχρι τώρα απαιτούσαν την τήρηση φυσικών φακέλων και αρχείων, μπορούν πλέον να στηριχθούν στην αυτοματοποιημένη επεξεργασία, εγείροντας έτσι νέους κινδύνους. Οι πληροφορίες που αναφέρονται σε ένα πρόσωπο μπορούν να αποθηκευτούν επ’ αόριστον και να ανακτηθούν ανά πάσα στιγμή εντός δευτερολέπτων, ενώ ταυτόχρονα υπάρχει η δυνατότητα σύγκρισής τους με πληροφορίες που έχουν συλλεγεί από άλλες πηγές, δια της δημιουργίας ενοποιημένων πληροφοριακών συστημάτων. Αυτό έχει ως αποτέλεσμα, το άτομο να αποστερείται τον επαρκή έλεγχο ως προς την ακρίβεια ή τη χρήση των δεδομένων που τηρούνται για αυτό, ενώ παράλληλα η ψυχολογική πίεση που δημιουργείται λόγω της αντίληψης αυτής ενδέχεται να επηρεάσει τη συμπεριφορά του.

Με βάση τις διαπιστώσεις αυτές, το Συνταγματικό Δικαστήριο ανέπτυξε την ιδέα του πληροφοριακού αυτοκαθορισμού:

Προαπαιτούμενο για την αυτοδιάθεση του ατόμου, ειδικά εν όψει των νέων τεχνολογιών της πληροφορίας, είναι να διαθέτει την ελευθερία να αποφασίζει ως προς το αν επιθυμεί να προβεί σε συγκεκριμένες πράξεις ή να απόσχει από αυτές. Εάν οι πολίτες δεν μπορούν, με επαρκή βεβαιότητα, να καθορίσουν ποιες κατηγορίες προσωπικών πληροφοριών καθίστανται γνωστές σε τμήματα του κοινωνικού τους περιβάλλοντος και αν δυσκολεύονται να εξακριβώσουν ποιες πληροφορίες έχουν καταστεί γνωστές στον επικοινωνιακό κύκλο τους, τότε θα δυσκολεύονται να ασκήσουν την ελευθερία τους στη λήψη αποφάσεων. Η κοινωνική και η νομική τάξη δεν θα ήταν συμβατές με το δικαίωμα στον πληροφοριακό αυτοκαθορισμό, εάν οι πολίτες δεν ήταν σε θέση να γνωρίζουν το ποιος γνωρίζει ποια πληροφορία για αυτούς, σε ποιο χρόνο και υπό ποιες συνθήκες. «Όποιος δεν είναι σε θέση να γνωρίζει εάν αποκλίνουσες συμπεριφορές καταγράφονται και καταχωρούνται μόνιμα ως πληροφορίες, οι οποίες είναι δυνατόν να καταστούν πολλαπλά χρήσιμες, θα επιδιώξει να αποφύγει κάθε δραστηριότητα, η οποία μπορεί να θεωρηθεί ως αποκλίνουσα συμπεριφορά. Συνεπώς, αν κάποιος πιθανολογεί ότι η συμμετοχή του σε μια απεργία, συνάθροιση, διαδήλωση διαμαρτυρίας ή μια ομάδα πρωτοβουλίας πολιτών καταγράφεται από κάποια διοικητική αρχή και ανησυχεί για ενδεχόμενες συνέπειες στην επαγγελματική του δραστηριότητα ή την προσωπική ζωή, είναι πιθανό να παραιτηθεί από την άσκηση των θεμελιωδών δικαιωμάτων που προστατεύουν τις ελευθερίες αυτές».[7]

Με τις σκέψεις αυτές, το Δικαστήριο προχώρησε στη «διακήρυξη»[8] του δικαιώματος στον πληροφοριακό αυτοκαθορισμό: «Στο πλαίσιο της σύγχρονης επεξεργασίας δεδομένων, η ελεύθερη ανάπτυξη της προσωπικότητας απαιτεί την προστασία του ατόμου έναντι της απεριόριστης συλλογής, αποθήκευσης, χρήσης και διαβίβασης των προσωπικών δεδομένων του. Συνεπώς, το θεμελιώδες δικαίωμα του άρθρου 2 παρ.1 σε συνδυασμό με το άρθρο 1 παρ.1 του Θεμελιώδους Νόμου περιλαμβάνει την προστασία αυτή. Στο πλαίσιο αυτό, το θεμελιώδες δικαίωμα αναγνωρίζει στο άτομο την εξουσία να αποφασίζει μόνο του ως προς την αποκάλυψη και τη χρήση των προσωπικών δεδομένων του».

2. Ο πληροφοριακός αυτοκαθορισμός στην ελληνική θεωρία.

Η έννοια του πληροφοριακού αυτοκαθορισμού αγκαλιάστηκε ένθερμα από την ελληνική θεωρία, αρχικά ως μια νέα και επίκαιρη έκφανση του γενικότερου δικαιώματος στην ανάπτυξη της προσωπικότητας απέναντι στους κινδύνους από την τεχνολογική εξέλιξη, ακολούθως δε και μετά την αναθεώρηση του Συντάγματος, ως το δικαίωμα που αναγνωρίστηκε με το άρθρο 9Α Σ. και είχε ήδη ρυθμιστεί με τον εκτελεστικό αυτού νόμο 2472/1997. Στην πραγματικότητα, το δικαίωμα στον πληροφοριακό αυτοκαθορισμό προηγήθηκε, ως προς την ανάλυσή του από τη θεωρία, του δικαιώματος στην προστασία των προσωπικών δεδομένων, και εν τέλει, για μεγάλο μέρος της θεωρίας, το ενσωμάτωσε.

Η αναφορά σε «δικαίωμα πληροφοριακού αυτοκαθορισμού» εμφανίστηκε ήδη από τα πρώτα χρόνια μετά τη δημοσίευση της γερμανικής απόφασης, για να προσδιορίσει την έκφανση εκείνη της προσωπικότητας (ή της ιδιωτικότητας) που καταλάμβανε την προστασία του ατόμου από την αυτοματοποιημένη χρήση των προσωπικών του πληροφοριών. Η δογματική υπαγωγή του δικαιώματος και η σχέση του με την προστασία των προσωπικών δεδομένων έγινε πιο περίπλοκη μετά τη δημοσίευση του Ν.2472/1997, ο οποίος αναφερόταν σε προστασία από την επεξεργασία προσωπικών δεδομένων, και την αναθεώρηση του 2001, που αναγνώρισε ένα νέο δικαίωμα, διακριτό από την ιδιωτική ζωή, και πάλι για την προστασία των προσωπικών δεδομένων.

Ήταν το δικαίωμα του ατόμου στην πληροφοριακή αυτοδιάθεση μια έκφανση του ευρύτερου δικαιώματός του στην προστασία της ιδιωτικής ζωής, αναγόταν απευθείας στην ελεύθερη ανάπτυξη της προσωπικότητας και την αναγνώριση της αξίας του ανθρώπου ή ρύθμιζε κάτι ειδικότερο και αυτοτελές; Ταυτιζόταν το δικαίωμα του 1983 με το «νέο» (για την εθνική έννομη τάξη) δικαίωμα στην προστασία των προσωπικών δεδομένων ή διατηρούσε τη δογματική και εφαρμοστική του αυτοτέλεια έναντι αυτού;

Εν τέλει, ποιο ήταν το δικαίωμα που κατοχύρωσε το άρθρο 9Α του Συντάγματος και ρύθμισε ο εθνικός νομοθέτης, ενσωματώνοντας την κοινοτική Οδηγία, που ποτέ δεν αναφέρθηκε στον πληροφοριακό αυτοκαθορισμό; Η θεωρία κατακερματίστηκε μπροστά στην τριμερή σχέση ιδιωτικότητας, προσωπικών δεδομένων και πληροφοριακού αυτοκαθορισμού: εν τέλει κυριάρχησε η άποψη πως ο πληροφοριακός αυτοκαθορισμός είναι η συνταγματική προμετωπίδα της προστασίας δεδομένων.

Τα πρώτα χρόνια μετά την έκδοση της απόφασης της απογραφής και πριν την εισαγωγή του άρθρου 9Α Σ., η θεωρία θα αναλύσει το δικαίωμα στον πληροφοριακό αυτοκαθορισμό, προκειμένου να εξειδικεύσει τα ειδικά χαρακτηριστικά του, πρωτίστως όμως να το εντάξει δογματικά στα δικαιώματα που προστατεύονται από το Σύνταγμα, δεδομένης και της διαφοροποίησης του ελληνικού Συντάγματος από τον Νόμο της Βόννης. Κρίσιμο στοιχείο στη διαφοροποίηση αυτή, αλλά και σημείο διχογνωμίας, θα αποτελέσει ο ρόλος του δικαιώματος στην ιδιωτική ζωή του άρθρου 9 Σ.

Το 1990 ο Α. Γέροντας[9] θα αναφερθεί στην ικανότητα των ηλεκτρονικών υπολογιστών να συγκεντρώνουν, αποθηκεύουν, επεξεργάζονται και μεταδίδουν προσωπικές πληροφορίες και τον κίνδυνο προσβολής της προσωπικότητας, της ανεξαρτησίας και γενικότερα της ελευθερίας του ανθρώπου. Κατά τον συγγραφέα, η απόφαση του 1983 δεν «ανακάλυψε» ένα νέο θεμελιώδες δικαίωμα, αλλά – ενόψει των μεταβαλλόμενων συνθηκών και ειδικότερα της σύγχρονης πληροφοριακής τεχνολογίας – συγκεκριμενοποίησε το γενικότερο δικαίωμα της ελεύθερης ανάπτυξης της προσωπικότητας. Στην εθνική έννομη τάξη, το συνταγματικό έρεισμα για την προστασία από την ηλεκτρονική επεξεργασία προσωπικών πληροφοριών θα αναζητηθεί στο άρθρο 9 παρ.1 Σ. περί ιδιωτικής και οικογενειακής ζωής, σε συνδυασμό με τα άρθρα 2 παρ.1 και 5 παρ.1 Σ. Λίγα χρόνια αργότερα, το 1997, ο Α. Γέροντας[10] θα θέσει επικαιροποιημένους προβληματισμούς για τη λειτουργία του δικαιώματος της αυτοδιάθεσης των πληροφοριών, κάνοντας λόγο αυτή τη φορά και για το δίκαιο της προστασίας προσωπικών δεδομένων.

Το 1996 η Λ. Μήτρου[11] θα αναλύσει πως το δικαίωμα του πληροφοριακού αυτοκαθορισμού είναι «το δικαίωμα του [πολίτη] να αποφασίζει και να συμπροσδιορίζει ποιες πληροφορίες που τον αφορούν θα αποκαλύπτει στους άλλους και να έχει εποπτεία του πληροφοριακού και αξιολογικού ορίζοντα των επικοινωνιακών εταίρων του», ενώ το 1998 η Κ. Ανθίμου[12] θα παρατηρήσει πως πυρήνας του δικαιώματος του πληροφοριακού αυτοκαθορισμού, αλλά και της προσωπικότητας, είναι η αξία του ανθρώπου. Υπόστρωμα του δικαιώματος αποτελούν η ιδιωτική του άρθρου 9 Σ., το απόρρητο των ανταποκρίσεων και της επικοινωνίας του άρθρου 19 Σ., αλλά και μια σειρά άλλων θεμελιωδών αρχών και δικαιωμάτων: «η ελευθερία της γνώμης και των πεποιθήσεων και η θρησκευτική ελευθερία, η ελευθερία της συναθροίσεως και της ενώσεως, η συνδικαλιστική ελευθερία, η γενική οικονομική ελευθερία και η ελευθερία των συμβάσεων και τέλος η αρχή της ισότητας συναπαρτίζουν το γενικό πλέγμα των συνταγματικών κανόνων, όπου εδράζεται η προστασία των δικαιωμάτων» του πληροφοριακού αυτοκαθορισμού και της προσωπικότητας. Στο πλαίσιο αυτό, η επεξεργασία των προσωπικών δεδομένων δεν θίγει μόνο το δικαίωμα του ιδιωτικού βίου, αλλά και άλλα ατομικά δικαιώματα, ενώ σε κάθε περίπτωση το δικαίωμα του πληροφοριακού αυτοκαθορισμού «μπορεί να αποδειχθεί θεμελιώδες ιστορικά, δεν είναι όμως τίποτε άλλο από μια νέα ακτίνα στο δικαίωμα της προσωπικότητας, μια περαιτέρω εξειδίκευσή του υπό την πίεση των εξελίξεων».

Το 2000 ο Μ. Σταθόπουλος,[13] αναλύοντας τα χαρακτηριστικά του ν.2472/1997 και την προστασία της προσωπικότητας από τη χρήση προσωπικών δεδομένων, θα κάνει μια λεπτή διάκριση: οι κίνδυνοι για το υποκείμενο των δεδομένων από τη ραγδαίως εξελισσόμενη τεχνολογία μπορούν να διακριθούν σε τρεις κατηγορίες, στην πρώτη εκ των οποίων εντάσσεται το δικαίωμα στον πληροφοριακό αυτοκαθορισμό. Είναι ο (ηπιότερος των τριών) κίνδυνος για το υποκείμενο να θιγεί «το δικαίωμά του στη μόνωση, την ψυχική ηρεμία, στη μη παρενόχληση, τη μη αποκάλυψη των στοιχείων της προσωπικής του σφαίρας, στοιχείων που είναι δικά του, που μόνο αυτό μπορεί να τα διαχειρίζεται, να τα δημοσιοποιεί ή όχι (‘’δικαίωμα πληροφοριακού αυτοκαθορισμού’’). Πρόκειται για την ιδιωτικότητα στην πιο λεπτή, την πιο εσωτερική μορφή της». Υπό τη θεώρηση αυτή, ο πληροφοριακός αυτοκαθορισμός είναι ένα κομμάτι της ιδιωτικότητας και δη στη στενότερη σφαίρα αυτής, για τον λόγο αυτό καλύπτει συγκεκριμένες προσωπικές πληροφορίες που το άτομο δικαιούται να ελέγχει.

Δύο χρόνια νωρίτερα, ο Α. Τσεβάς[14] παρατηρεί πως το δικαίωμα πληροφοριακής αυτοδιάθεσης αναφέρεται στην επεξεργασία προσωπικών δεδομένων και ανήκει στο γενικό δικαίωμα - πλαίσιο της προσωπικότητας, είναι όμως αυτοτελές. Συμβαδίζει πολλές φορές με την προστασία του ιδιωτικού βίου ή άλλων αγαθών της προσωπικότητας, ωστόσο κατοχυρώνει μια αυτοτελή ζώνη προστασίας, η οποία εκτείνεται πέραν των αμυντικών ασπίδων των λοιπών δικαιωμάτων. Εν τέλει, το δικαίωμα πληροφοριακής αυτοδιάθεσης κατοχυρώνεται με το άρθρο 5 παρ.1 συνδ. 2 παρ.1 του Συντάγματος και όχι με το άρθρο 9 Σ. 

Η επιστημονική συζήτηση θα αποκτήσει μια νέα διάσταση, αλλά και ένταση, μετά την αναθεώρηση του 2001 και την προσθήκη ενός νέου δικαιώματος στην «προστασία προσωπικών δεδομένων». Ο προβληματισμός δεν θα περιοριστεί πια στη σχέση του πληροφοριακού αυτοκαθορισμού με την ιδιωτική ζωή, την ιδιωτικότητα ή και την πληροφοριακή ιδιωτικότητα, που εύστοχα θα αναδειχθεί,[15] αλλά θα επεκταθεί και σε ένα νέο επίδικο: Είναι το δικαίωμα που κατοχύρωσε ο συντακτικός νομοθέτης ο γερμανικής εμπνεύσεως πληροφοριακός αυτοκαθορισμός, που όλα τα προηγούμενα χρόνια αναζητούσε μια συνταγματική αναγνώριση ή πρόκειται για ένα διακριτό δικαίωμα που ρυθμίζεται ήδη με κοινοτικές διατάξεις;[16]

Με την εξαίρεση συγγραφέων, που θα επιχειρηματολογήσουν υπέρ της σαφούς διάκρισης των δύο δικαιωμάτων,[17] το μεγαλύτερο μέρος της θεωρίας θα συνδέσει το γερμανικό παρελθόν με το κοινοτικό παρόν και θα προσδέσει τον πληροφοριακό αυτοκαθορισμό στους συνταγματικούς και νομοθετικούς κανόνες της προστασίας δεδομένων. Η πρόσδεση αυτή θα λάβει τις εξής εναλλακτικές αποχρώσεις:

α. Ο πληροφοριακός αυτοκαθορισμός συναντάται με την προστασία δεδομένων και μοιράζεται περιεχόμενο και στόχους με αυτή, χωρίς όμως τα δύο δικαιώματα να ταυτίζονται απόλυτα,[18]

β. Ο πληροφοριακός αυτοκαθορισμός δεν είναι παρά μια εναλλακτική ονομασία του δικαιώματος που το Σύνταγμα, ο ΧΘΔΕΕ και ο εθνικός και ενωσιακός νομοθέτης αναγνωρίζουν ως δικαίωμα στην προστασία των προσωπικών δεδομένων,[19]

γ. Ο πληροφοριακός αυτοκαθορισμός είναι το δικαίωμα πίσω από το οποίο βρίσκεται και μέσω του οποίου ασκείται η προστασία των δεδομένων. Σύμφωνα με την άποψη αυτή, το άρθρο 9Α του Συντάγματος προστατεύει τον πληροφοριακό αυτοκαθορισμό.[20]

Η θέση αυτή θα παραμείνει ισχυρή μέχρι και σήμερα. Παρά το γεγονός πως ένα άρθρο της ΣΛΕΕ, ένα δικαίωμα του ΧΘΔΕΕ και πολλαπλά κανονιστικά κείμενα της Ένωσης θα κάνουν λόγο αποκλειστικά για δικαίωμα στην προστασία δεδομένων, μολονότι το Δικαστήριο της Ευρωπαϊκής Ένωσης θα ερμηνεύσει σε δεκάδες αποφάσεις το δικαίωμα αυτό, χωρίς έστω και μια φορά να το προσδιορίσει ή αποδώσει ως πληροφοριακό αυτοκαθορισμό, η κρατούσα γνώμη της θεωρίας εξακολουθεί να επικαλείται το δικαίωμα που διαπλάστηκε στο γερμανικό δικαστήριο του 1983.

Ευλόγως, αντίστοιχη θα είναι και η θέση των εθνικών δικαστηρίων.

3. Ο πληροφοριακός αυτοκαθορισμός στην εθνική νομολογία και τις αποφάσεις της Αρχής Προστασίας Δεδομένων.

α. Η νομολογία των εθνικών δικαστηρίων

Τα εθνικά δικαστήρια εξετάζουν τις παραβάσεις της νομοθεσίας για την προστασία των προσωπικών δεδομένων στο ευρύτερο πλαίσιο του δικαιώματος στην προστασία της προσωπικότητας. Στο πλαίσιο αυτό, κάθε προσβολή του δικαιώματος στην προστασία των προσωπικών δεδομένων αντιμετωπίζεται ως ειδικότερη έκφανση της προσωπικότητας, η οποία συνήθως πλήττεται από κοινού με άλλες εκφάνσεις αυτής.

Η υπαγωγή αυτή διευκολύνει τα δικαστήρια στο να αποφεύγουν τις λεπτές εννοιολογικές και δογματικές οριοθετήσεις και διακρίσεις μεταξύ προστασίας προσωπικών δεδομένων και πληροφοριακής αυτοδιάθεσης (όπως προτιμούν τα δικαστήρια να αποκαλούν τον πληροφοριακό αυτοκαθορισμό). Πράγματι, εφόσον μια συμπεριφορά κατατείνει στη διάγνωση προσβολής του δικαιώματος στην προσωπικότητα και δη σε πολλαπλές εκφάνσεις αυτής, μικρή σημασία φαίνεται να έχει αν η έκφανση αυτή αφορά τον πληροφοριακό αυτοκαθορισμό, την προστασία προσωπικών δεδομένων ή ακόμη και την ιδιωτική ζωή, η οποία άλλες φορές αποτελεί έκφανση παραλλήλως προσβαλλόμενη και άλλοτε την έκφανση που ενσωματώνει την προστασία των προσωπικών δεδομένων.[21]

Σημαντική υπήρξε η κρίση της Ολ.ΑΠ 1/2017, η οποία απέδωσε το άρθρο 9Α Σ. στον πληροφοριακό αυτοκαθορισμό, ως δικαίωμα που τυποποιεί την προστασία των προσωπικών δεδομένων, και ανέλυσε τα συστατικά στοιχεία του δικαιώματος αυτού: «Το άτομο δικαιούται πλέον να ελέγχει και να καθορίζει τον τρόπο συλλογής και επεξεργασίας των πληροφοριών που το αφορούν, και τούτο, με την εγγύηση και συνδρομή μιας ανεξάρτητης αρχής επιφορτισμένης με αυτήν ακριβώς την αρμοδιότητα, της Αρχής Προστασίας Δεδομένων Προσωπικού χαρακτήρα, η οποία περιλαμβάνεται στις πέντε ανεξάρτητες αρχές που κατοχυρώνει ρητά το Σύνταγμα».[22]

Στο ίδιο πνεύμα, αλλά με μια πιο τεχνολογική κατεύθυνση η ΑΠ 954/2020 (Ποιν.): «Περαιτέρω, το άρθρο 9Α Σ κατοχυρώνει το δικαίωμα πληροφορικής αυτοδιάθεσης. Με την θέσπιση απαγόρευσης αξιοποίησης αποδεικτικού υλικού που αποκτήθηκε κατά παράβαση του άρθρου αυτού, ο νομοθέτης θέλησε κυρίως να διασφαλίσει την πληροφοριακή αυτοδιάθεση του ατόμου, ιδίως ενόψει των σημερινών τεχνολογικών μέσων, που επιτρέπουν την καταχώρηση, διάδοση αλλά και επεξεργασία προσωπικών δεδομένων και πληροφοριακών στοιχείων σε σύντομο χρόνο, κατά τρόπο που το άτομο δεν μπορεί να ελέγξει».

Το υποκείμενο των δεδομένων, σύμφωνα με τις ως άνω πανηγυρικού χαρακτήρα διαπιστώσεις, δικαιούται να «ελέγχει και να καθορίζει» τη συλλογή και επεξεργασία των πληροφοριών του, ωστόσο ο εκτελεστικός του άρθρου 9Α Σ. νόμος φαίνεται πως έχει μια πιο σύνθετη αποστολή: την «οριοθέτηση» της προστασίας των αγαθών της προσωπικότητας που βρίσκονται σε αντίθεση.

Σύμφωνα με έναν μείζονα συλλογισμό που έχει πλέον παγιωθεί,[23] η πληροφοριακή αυτοδιάθεση (από κοινού με την ιδιωτικότητα) αποτελεί τη μια πλευρά της αποστολής του Ν.2472/1997, απέναντι στην οποία βρίσκεται η πληροφοριακή ελευθερία: «Με το Ν 2472/1997 (όπως και με την Οδηγία 95/46/ΕΚ) οριοθετείται η έκταση προστασίας των αντιτιθέμενων αγαθών της προσωπικότητας (ως προς την έκφανση της πληροφοριακής αυτοδιάθεσης και ιδιωτικότητας του ατόμου) και της πληροφοριακής ελευθερίας (του δικαιώματος του προσώπου να πληροφορεί και να πληροφορείται), θέτοντας στην άσκηση της τελευταίας συγκεκριμένους περιορισμούς, ώστε να διασφαλίζεται τόσο η προστασία της πληροφοριακής αυτοδιάθεσης και ιδιωτικότητας του φυσικού προσώπου, όσο και η ελεύθερη κυκλοφορία (συλλογή - μετάδοση - χρήση) των προσωπικών πληροφοριών, που αφορούν στο φυσικό πρόσωπο για την ασφάλεια των συναλλαγών και για την εγκαθίδρυση και λειτουργία της εσωτερικής αγοράς».

Την έννοια του ελέγχου των προσωπικών δεδομένων, ως συστατικό στοιχείο της πληροφοριακής αυτοδιάθεσης, τα δικαστήρια θα την εντοπίσουν σε δύο κύριες ρυθμίσεις του Ν.2472/1997, τη συγκατάθεση και την ενημέρωση. Η συγκατάθεση αποτελεί «κύρια έκφραση της αυτοδιάθεσης, του πληροφοριακού αυτοκαθορισμού του προσώπου» (Μον.Πρ.Χαν. 6/2020) και «εκδήλωση της εξουσίας αυτοδιαθέσεως του ατόμου, του δικαιώματός του να αποφασίζει το ίδιο σχετικά με τη διάθεση και τη χρήση των πληροφοριών που το αφορούν, ήτοι συνιστά εκδήλωση της προσωπικότητάς του ως δικαίωμα πληροφοριακού αυτοκαθορισμού (ή πληροφοριακής αυτοδιαθέσεως)». (Εφ.Αθ. 1293/2005).

Αντίστοιχη σύνδεση θα γίνει και με την ενημέρωση του υποκειμένου για την επεξεργασία των προσωπικών δεδομένων του: «Βασικό δικαίωμα (ή μέσο προστασίας) είναι το δικαίωμα ενημερώσεως του προσώπου για τα στοιχεία της επεξεργασίας (στα οποία περιλαμβάνεται η ταυτότητα του υπεύθυνου της επεξεργασίας και ο σκοπός της), δικαίωμα που απορρέει από την αρχή της πληροφοριακής αυτοδιαθέσεως του υποκειμένου και το οποίο προστατεύεται αυτοτελώς, αλλά αποτελεί και την προϋπόθεση για την αποτελεσματική άσκηση των λοιπών μέσων άμυνας, όπως το δικαίωμα προσβάσεως σε αρχεία, αντιρρήσεως και προσωρινής δικαστικής προστασίας». (Εφ.Αθ. 1293/2005). Με παρόμοιο σκεπτικό, ο ΑΠ θα κρίνει πως «η ενημέρωση του υποκειμένου για την επεξεργασία των προσωπικών του δεδομένων αποτελεί υποχρέωση του υπευθύνου επεξεργασίας και του τυχόν αποδέκτη τους, αλλά και ταυτοχρόνως δικαίωμα του υποκειμένου, που συνιστά ειδικότερη έκφραση του ευρύτερου δικαιώματός του για πληροφοριακό αυτοκαθορισμό. Παραλλήλως, αποτελεί και την απαιτούμενη λογική προϋπόθεση για την άσκηση των δικαιωμάτων της προσβάσεως και της αντιρρήσεως (άρθρα 12 και 13 ν. 2472/1997)». (ΑΠ 171/2019)[24]

β. Οι αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων

Διαφορετική η προσέγγιση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία προτιμά κατά κύριο λόγο να αναφέρεται στο δικαίωμα στην προστασία των προσωπικών δεδομένων. Στις λίγες, σχετικά, αναφορές της (σε μείζονα σκέψη) στην πληροφοριακή αυτοδιάθεση, μπορεί κανείς να διακρίνει τη Γνωμοδότηση 1/2009, όπου η Αρχή συνδέει την πληροφοριακή αυτοδιάθεση με το άρθρο 9Α Σ.[25]: «Το δικαίωμα της πληροφοριακής αυτοδιάθεσης κατοχυρώθηκε για πρώτη φορά ρητά στο Σύνταγμα με την αναθεώρηση του 2001. […] Η διάταξη του άρθρου 9Α Σ. δεν δημιούργησε αλλά τυποποίησε ένα δικαίωμα, το οποίο και πριν από την αναθεώρηση του 2001 έβρισκε τη θεμελίωσή του σε συνταγματικούς κανόνες (άρθρο 2 παρ.1, 5 παρ.1, 9 παρ.1 εδ. β’ του Συντάγματος). […] Εξάλλου, η ερμηνεία ειδικά του άρθρου 9Α πρέπει να λαμβάνει υπόψη το διαμορφωμένο, κατά το χρόνο ψήφισης της νέας συνταγματικής διάταξης, ευρωπαϊκό νομικό πλαίσιο προστασίας των προσωπικών δεδομένων από κείμενα δεσμευτικά και μη. Η Σύμβαση 108 του Συμβουλίου της Ευρώπης, η κοινοτική οδηγία 95/46/ΕΚ και ο Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, που αναμένεται να αποκτήσει και δεσμευτική ισχύ με την ολοκλήρωση της κύρωσης της Συνθήκης της Λισαβώνας, παρέχουν κρίσιμα ερμηνευτικά στοιχεία για τον προσδιορισμό του κανονιστικού περιεχομένου (πυρήνας και θεμιτοί περιορισμοί) του νέου συνταγματικού δικαιώματος της πληροφοριακής αυτοδιάθεσης. […] Έτσι, ο εποπτικός έλεγχος της ανεξάρτητης αρχής, που αφορά στην επεξεργασία προσωπικών δεδομένων τόσο στο δημόσιο όσο και στον ιδιωτικό τομέα, ανήκει στο σκληρό πυρήνα του ατομικού δικαιώματος στην πληροφοριακή αυτοδιάθεση. Το δικαίωμα αυτό αναδείχθηκε ως αυτοτελές, κατά την τελευταία συνταγματική αναθεώρηση, προκειμένου να εξασφαλισθεί πληρέστερη προστασία της ιδιωτικής ζωής».

Η Αρχή θα υιοθετήσει αρχικά με ορμή τον πληροφοριακό αυτοκαθορισμό κρίνοντας ότι πρόκειται για το δικαίωμα που «απαγορεύει τη χρήση προσωπικών δεδομένων από οποιοδήποτε, χωρίς τη συγκατάθεση του προσώπου (υποκειμένου), στο οποίο τα δεδομένα αυτά αναφέρονται».[26] Τα επόμενα χρόνια – και μετά την προσθήκη του άρθρου 9Α Σ. – η Αρχή θα επικαλεστεί την πληροφοριακή αυτοδιάθεση σε σειρά υποθέσεων που σχετίζονται κυρίως με τη δημοσιοποίηση προσωπικών δεδομένων στο διαδίκτυο,[27] την αποκάλυψή τους στον τύπο και τους τηλεοπτικούς σταθμούς[28], τη λειτουργία συστημάτων βιντεοεπιτήρησης[29] ή την αναγραφή δεδομένων σε έγγραφα.[30]

Η επίκληση αυτή όμως δεν θα αποτελέσει τον κανόνα. Η Αρχή ολοένα και περισσότερο στη διάρκεια των ετών θα παραμείνει προσηλωμένη στην προστασία των προσωπικών δεδομένων, διακρίνοντας αυτή από την πληροφοριακή αυτοδιάθεση ή την ιδιωτικότητα.

4. Ο πληροφοριακός αυτοκαθορισμός στο εφαρμοστικό περιβάλλον του ΓΚΠΔ.

Η αντιπαραβολή των ερμηνευτικών αναζητήσεων είναι οπωσδήποτε συναρπαστική, ενώ η μελέτη της ερμηνείας και εφαρμογής του δικαιώματος μέσα από τη νομολογία των εθνικών δικαστηρίων και τις αποφάσεις της Αρχής παρέχει χρήσιμα συμπεράσματα.

Και πάλι όμως, το μείζον ερώτημα είναι το εξής: ποιο είναι το δικαίωμα που προστατεύει ο Γενικός Κανονισμός Προστασίας Δεδομένων;

Υφίσταται στο υφιστάμενο κανονιστικό περιβάλλον της προστασίας προσωπικών δεδομένων δικαίωμα στον πληροφοριακό αυτοκαθορισμό, όπως αυτό αναλύθηκε από το γερμανικό Συνταγματικό Δικαστήριο το 1983; Μπορεί ο πολίτης – υποκείμενο των δεδομένων «να αποφασίζει μόνος του ως προς την αποκάλυψη και τη χρήση των προσωπικών δεδομένων του»;

Κατά τη γνώμη μας, η απάντηση είναι μάλλον αρνητική.

Το δικαίωμα στην προστασία των προσωπικών δεδομένων, όπως αυτό έχει κατοχυρωθεί στο πρωτογενές δίκαιο της Ένωσης και εξειδικευτεί μέσω του Γενικού Κανονισμού, δεν είναι ένα δικαίωμα «αυτοδιάθεσης των προσωπικών πληροφοριών», ούτε ένα δικαίωμα «ελέγχου», υπό την έννοια της εξουσίασης και διάθεσης των προσωπικών δεδομένων. Είναι ένα δικαίωμα «ελέγχου», υπό την έννοια της εποπτείας. Της επιτήρησης και παρέμβασης.

Αφήνοντας πίσω τις μονοδιάστατες σταθμίσεις του εθνικού δικαίου που προηγήθηκε, ο ΓΚΠΔ διακηρύττει, ήδη από τον τίτλο του, τους σκοπούς του: «[η] προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και [η] ελεύθερη κυκλοφορία των δεδομένων αυτών».

Οι πρώτες αιτιολογικές σκέψεις του κειμένου εξειδικεύουν τη στόχευση αυτή: Ο Γενικός Κανονισμός «σκοπεύει να συμβάλλει στην επίτευξη ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης και μιας οικονομικής ένωσης, στην οικονομική και κοινωνική πρόοδο, στην ενίσχυση και σύγκλιση των οικονομιών εντός της εσωτερικής αγοράς και στην ευημερία των φυσικών προσώπων» (αιτ.σκ.2), να εναρμονίσει την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων όσον αφορά τις δραστηριότητες επεξεργασίας και να διασφαλίσει την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα μεταξύ κρατών μελών. (αιτ.σκ.3).

Ο ΓΚΠΔ αναγνωρίζει πως η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο και «σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη όπως κατοχυρώνονται στις Συνθήκες», υπενθυμίζοντας παράλληλα πως το «δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα». (αιτ.σκ.4)

Εξ αυτού ορμώμενος, ο ενωσιακός νομοθέτης εξειδικεύει πως «οι ραγδαίες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση δημιούργησαν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Η κλίμακα της συλλογής και της ανταλλαγής δεδομένων προσωπικού χαρακτήρα αυξήθηκε σημαντικά. Η τεχνολογία επιτρέπει τόσο σε ιδιωτικές επιχειρήσεις όσο και σε δημόσιες αρχές να κάνουν χρήση δεδομένων προσωπικού χαρακτήρα σε πρωτοφανή κλίμακα για την επιδίωξη των δραστηριοτήτων τους. Τα φυσικά πρόσωπα ολοένα και περισσότερο δημοσιοποιούν προσωπικές πληροφορίες και τις καθιστούν διαθέσιμες σε παγκόσμιο επίπεδο. Η τεχνολογία έχει αλλάξει τόσο την οικονομία όσο και την κοινωνική ζωή και θα πρέπει να διευκολύνει περαιτέρω την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης και τη διαβίβαση σε τρίτες χώρες και διεθνείς οργανισμούς, διασφαλίζοντας παράλληλα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα.». (αιτ.σκ.6).

Ήδη από το σημείο αυτό, ο Γενικός Κανονισμός εκθέτει με σαφήνεια το πνεύμα του: Η προστασία των προσωπικών δεδομένων μοιάζει να είναι το αναγκαίο μέτρο για τη διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων. Και αμέσως μετά περιγράφει το δικαίωμα που αναγνωρίζει στο άτομο: «Οι εξελίξεις αυτές απαιτούν ένα ισχυρό και πιο συνεκτικό πλαίσιο προστασίας των δεδομένων στην Ένωση, υποστηριζόμενο από αυστηρή εφαρμογή της νομοθεσίας, δεδομένου ότι είναι σημαντικό να δημιουργηθεί η αναγκαία εμπιστοσύνη που θα επιτρέψει στην ψηφιακή οικονομία να αναπτυχθεί στο σύνολο της εσωτερικής αγοράς. Τα φυσικά πρόσωπα θα πρέπει να έχουν τον έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα. Θα πρέπει να ενισχυθούν η ασφάλεια δικαίου και η πρακτική ασφάλεια για τα φυσικά πρόσωπα, τους οικονομικούς παράγοντες και τις δημόσιες αρχές».

Το κρίσιμο στοιχείο είναι ο «έλεγχος» των προσωπικών δεδομένων, όμως σε τι συνίσταται ο έλεγχος αυτός; Πρόκειται για τον έλεγχο υπό την έννοια της εξουσίασης και διάθεσης ή της επίβλεψης;

Το ερώτημα αυτό εξετάστηκε από τον Γενικό Εισαγγελέα του ΔΕΕ στην υπόθεση Österreichische Post:[31] «Αποτελεί σκοπό του ΓΚΠΔ ο έλεγχος των δεδομένων από το υποκείμενο των δεδομένων;». Ο Γενικός Εισαγγελέας κατέληξε χωρίς αμφιβολία πως ο έλεγχος αυτός δεν είναι παρά η «επιτήρηση και παρέμβαση» σε πράξεις επεξεργασίας των δεδομένων του, που ήδη διενεργούνται.

Όπως ειδικότερα παρατηρήθηκε:

70. Είναι αυτονόητο ότι απαιτείται προσοχή κατά την ερμηνεία της έννοιας αυτής, πέραν των θεωρητικών συζητήσεων που έχει εγείρει. Δεν υφίσταται στον ΓΚΠΔ (ούτε έχω εντοπίσει σε κάποιο άλλο κείμενο) ακριβής ορισμός του «ελέγχου» . Ο όρος επιδέχεται δύο τουλάχιστον ερμηνείες, οι οποίες δεν είναι αλληλοαποκλειόμενες: ως «εξουσία» ή «κυριότητα» και ως «εποπτεία».

71. Η διατύπωση της αιτιολογικής σκέψης 7 του ΓΚΠΔ δημιουργεί ορισμένη αβεβαιότητα, καθόσον διαφέρει αναλόγως της γλωσσικής απόδοσης.[32] Με βάση το περιεχόμενό του, φρονώ ότι ο ΓΚΠΔ παρέχει στο υποκείμενο των δεδομένων εξουσίες επιτήρησης και παρέμβασης σε πράξεις άλλων επί των δεδομένων του, ως μέσο (από κοινού με άλλα) στην υπηρεσία της προστασίας των δεδομένων αυτών.

72. Το ίδιο το υποκείμενο των δεδομένων συμβάλλει στην προστασία των πληροφοριών που αντιπροσωπεύουν τα δεδομένα και φέρει τη σχετική ευθύνη, στον βαθμό –έκταση και τρόπο– που προβλέπει ο ΓΚΠΔ. Η περίμετρος της ατομικής δράσης είναι περιορισμένη: όσον αφορά τα δικαιώματα που απαριθμούνται στον ΓΚΠΔ, περιορίζεται στην άσκησή τους υπό συγκεκριμένες προϋποθέσεις.

73. Η συγκατάθεση του υποκειμένου των δεδομένων, ως ύψιστη έκφραση ελέγχου, αποτελεί μία μόνον από τις νομικές βάσεις για τη νόμιμη επεξεργασία, αλλά δεν είναι ικανή να επικυρώσει τη μη τήρηση των λοιπών υποχρεώσεων και προϋποθέσεων που βαρύνουν τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία.

74. Δεν είναι, κατά γνώμη μου, ευχερές να συναχθεί από τον ΓΚΠΔ ότι σκοπός του τελευταίου είναι να παράσχει στο υποκείμενο των δεδομένων τον έλεγχο επί των δεδομένων προσωπικού χαρακτήρα ως αυτοτελή αξία. Ούτε ότι το υποκείμενο των δεδομένων θα πρέπει να έχει τον μεγαλύτερο δυνατό έλεγχο επί των δεδομένων αυτών.

75. Η διαπίστωση αυτή δεν προκαλεί έκπληξη. Αφενός, δεν είναι προφανές εάν ο έλεγχος, υπό την έννοια της κυριότητας των δεδομένων, αποτελεί μέρος του ουσιαστικού περιεχομένου του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα. Αφετέρου, η αναγνώριση του δικαιώματος αυτού ως δικαιώματος πληροφοριακής αυτοδιάθεσης κάθε άλλο παρά ομόφωνη είναι: το άρθρο 8 του Χάρτη δεν χρησιμοποιεί τους όρους αυτούς .

[…]

78. Τέλος, κρίνω σκόπιμο να υπενθυμίσω ότι η προστασία των δεδομένων προσωπικού χαρακτήρα εξαγγέλλεται ως σκοπός του ΓΚΠΔ από κοινού με αυτόν της διασφάλισης της ελεύθερης κυκλοφορίας των δεδομένων .

79. Η ενίσχυση του ελέγχου από πλευράς πολιτών επί των προσωπικών πληροφοριών τους εντός του ψηφιακού περιβάλλοντος είναι ένας από τους αναγνωρισμένους σκοπούς του εκσυγχρονισμού του καθεστώτος προστασίας δεδομένων προσωπικού χαρακτήρα, αλλά δεν αποτελεί ανεξάρτητο ή μεμονωμένο σκοπό.

80. Η Επιτροπή, στην ανακοίνωση που συνοδεύει την πρότασή της για τον ΓΚΠΔ, συνέδεε το υψηλό επίπεδο προστασίας των δεδομένων με την εμπιστοσύνη στις επιγραμμικές υπηρεσίες, η οποία επιτρέπει την αξιοποίηση του δυναμικού της ψηφιακής οικονομίας και ενθαρρύνει «την οικονομική ανάπτυξη και την ανταγωνιστικότητα των οικονομικών κλάδων της ΕΕ». Η ανανέωση (και η αυξημένη εναρμόνιση) των κανόνων της Ένωσης «ενισχύ[ει] τα δικαιώματα των φυσικών προσώπων […] που αφορ[ούν] την ενιαία αγορά» .

81. Λαμβανομένης υπόψη της αποδεδειγμένης αξίας των δεδομένων (προσωπικού και μη χαρακτήρα) για την οικονομική και κοινωνική πρόοδο στην Ευρώπη, ο ΓΚΠΔ δεν επιδιώκει να αυξήσει τον έλεγχο των ατόμων επί των πληροφοριών που τα αφορούν, υποκύπτοντας το δίχως άλλο στις προτιμήσεις τους, αλλά να συμβιβάσει το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με τα συμφέροντα τρίτων και της κοινωνίας .

82. Ο ΓΚΠΔ, επιμένω, δεν έχει ως σκοπό τον συστηματικό περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αλλά τη νομιμοποίησή της υπό αυστηρές προϋποθέσεις. Τον σκοπό αυτό εξυπηρετεί κυρίως η ενίσχυση της εμπιστοσύνης του υποκειμένου των δεδομένων ότι η επεξεργασία θα πραγματοποιηθεί σε ασφαλές πλαίσιο, στο οποίο το ίδιο συμβάλλει.

Οι σκέψεις του Γενικού Εισαγγελέα μοιάζουν εύλογες.

Πράγματι, ο ΓΚΠΔ δεν αποσκοπεί στο να καταστήσει την επεξεργασία δεδομένων τόσο δύσκολη, ώστε να αποφεύγεται· αυτό που επιδιώκει είναι να της βάλει όλους εκείνους τους κανόνες που είναι αναγκαίοι, προκειμένου να βεβαιώνεται η νομιμότητά της. Οι παραδοχές αυτές δύσκολα συμβιβάζονται με τα χαρακτηριστικά της πληροφοριακής αυτοδιάθεσης, στην αυθεντική τουλάχιστον μορφή της.

Το συμπέρασμα αυτό ενισχύεται και από σειρά διατάξεων που ρυθμίζουν, κατά τρόπο σαφώς οριοθετημένο, το δικαίωμα του υποκειμένου να έχει λόγο επί της επεξεργασίας των δεδομένων του:

α. Η πρόδηλη δημοσιοποίηση των δεδομένων από το υποκείμενο

Η περίπτωση όπου το υποκείμενο αποκαλύπτει από μόνο του και με τρόπο πρόδηλο τα προσωπικά δεδομένα του αποτελεί μια από τις δέκα εξαιρέσεις του άρθρου 9 ΓΚΠΔ από την απαγόρευση επεξεργασίας ευαίσθητων δεδομένων. Πρόκειται χωρίς αμφιβολία για τον πληροφοριακό αυτοκαθορισμό στην πιο γνήσια μορφή του, για ένα χωρίς προϋποθέσεις δικαίωμα του υποκειμένου να επιλέξει τι θα αποκαλύψει και σε ποιους.

Περιορίζεται όμως μόνο στα ευαίσθητα δεδομένα. Ο ευρωπαίος νομοθέτης είχε προβλέψει την περίπτωση αυτή ήδη από την έκδοση της Οδηγίας 95/46, χωρίς όμως ποτέ να την επεκτείνει και στα «απλά» προσωπικά δεδομένα. Ακόμη και στην εθνική έννομη τάξη, όπου κατ’ επανάληψιν χρησιμοποιήθηκε το τεκμήριο της κατά μείζονα λόγο εφαρμογής,[33] προκειμένου να επιτραπεί η χρήση απλών προσωπικών δεδομένων ενώπιον δικαστηρίου, ουδέποτε κάποιος ισχυρίστηκε πως η πρόδηλη και αυτόβουλη δημοσιοποίηση νομιμοποιεί την επεξεργασία πάσης φύσεως προσωπικών δεδομένων. Ήταν, και παραμένει, ένα δικαίωμα που αναγνωρίζεται μόνο για τα δεδομένα εκείνα που δεν πρέπει χωρίς ειδικές προϋποθέσεις να χρησιμοποιούνται, ενώ ακόμη και το επιτρεπτό της επεξεργασίας αυτής δεν ολοκληρώνεται χωρίς τη θεμελίωση σε μια από τις νομικές βάσεις. Με άλλα λόγια, ο νόμος ποτέ δεν αναγνώρισε το δικαίωμα στην επεξεργασία πληροφοριών απλώς και μόνο επειδή το υποκείμενο αποφάσισε να τις δημοσιοποιήσει.

β. Η συγκατάθεση

Η συγκατάθεση, κατά πάγια άποψη της θεωρίας και της νομολογίας, αποτελεί ό,τι πιο κοντινό διαθέτει η νομοθεσία για την προστασία δεδομένων στο δικαίωμα στην πληροφοριακή αυτοδιάθεση. Πρόκειται για τη δυνατότητα του υποκειμένου να συναινεί και άρα να επιτρέπει τη χρήση των προσωπικών του πληροφοριών.[34]

Η συγκατάθεση δεν είναι ισχυρότερη από τις υπόλοιπες νομικές βάσεις του άρθρου 6 ΓΚΠΔ, όπως δεν ήταν ισχυρότερη και υπό το εφαρμοστικό περιβάλλον της Οδηγίας 95/46. Κατέστη ισχυρότερη από τον εθνικό νομοθέτη, ο οποίος έκρινε πως η εξισορρόπηση του άρθρου 7 της Οδηγίας δεν ήταν αρκετή για να προστατεύσει το δικαίωμα με τρόπο αποτελεσματικό.[35]

Με την έναρξη εφαρμογής του Γενικού Κανονισμού, η πρωτοκαθεδρία της συγκατάθεσης και η επίφαση ελέγχου από το υποκείμενο, που αυτή έδινε, κατέστη παρελθόν. Ο Γενικός Κανονισμός έφερε τη συγκατάθεση εκεί που την είχε τοποθετήσει εξαρχής ο κοινοτικός νομοθέτης και μάλιστα την έκανε ακόμη πιο απαιτητική.[36]

Στο κανονιστικό περιβάλλον του ΓΚΠΔ, ο φορέας που διενεργεί την επεξεργασία δεν είναι υποχρεωμένος να ζητεί την άδεια του πολίτη, προκειμένου να επεξεργαστεί τα δεδομένα του. Η συγκατάθεση όχι μόνο δεν αποτελεί πλέον την ισχυρότερη νομική βάση, τη δικλείδα προστασίας του δικαιώματος στον πληροφοριακό αυτοκαθορισμό ή την προστασία δεδομένων, αλλά είναι στην πραγματικότητα η πιο αδύναμη και επισφαλής νομική βάση, η θεμελίωση που χρησιμοποιείται μόνον εφόσον δεν υπάρχει η δυνατότητα αξιοποίησης μιας εκ των υπολοίπων πέντε.[37]

Η λέξη κλειδί για τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων είναι η αναγκαιότητα, όπως αυτή επαναλαμβάνεται («η επεξεργασία είναι απαραίτητη») και στις πέντε νομικές βάσεις, πλην συγκατάθεσης.[38] Εφόσον υφίσταται αναγκαιότητα (εν ονόματι ρητού, καθορισμένου και νόμιμου σκοπού), ο δημόσιος φορέας δεν θα ρωτήσει το υποκείμενο ως προς το αν δύναται να συλλέξει τα προσωπικά δεδομένα του για να εκπληρώσει καθήκον που εκτελείται προς το δημόσιο συμφέρον, ενώ η ιδιωτική εταιρεία δεν θα ζητήσει την άδειά του προκειμένου να επεξεργαστεί τα δεδομένα του για τους σκοπούς των εννόμων συμφερόντων της ή για να συμμορφωθεί με τον νόμο. Κατ’ αντίστοιχο τρόπο, ο αντισυμβαλλόμενος δεν θα παραπλανήσει το υποκείμενο πως δήθεν χρειάζεται τη συναίνεσή του για να συνάψει σύμβαση ή ακόμη και να εξετάσει το ενδεχόμενο της σύναψης αυτής.[39] Οι εξαιρέσεις από τη συγκατάθεση είναι ευρύτατες και καλύπτουν κάθε δυνητικό σκοπό επεξεργασίας και κάθε κατηγορία φορέα.

Ακόμη και στην έσχατη περίπτωση της συγκατάθεσης όμως, η πρόταση που θα γίνει προς το υποκείμενο των δεδομένων δεν θα είναι διαπραγματεύσιμη. Το υποκείμενο δεν θα μπορεί να επιλέξει ποια προσωπικά δεδομένα του θα παραχωρήσει και ποια όχι, ούτε να καθορίσει τα ειδικότερα χαρακτηριστικά της επεξεργασίας (περίοδο διατήρησης, αποδέκτες κοκ), αφού οι μόνες επιλογές που θα του παρασχεθούν, θα είναι η αποδοχή και η απόρριψη.

Κατά τούτο, παρατηρείται μια αντιστροφή στη στάθμιση των δικαιωμάτων που συγκρούονται. Ενώ στον πληροφοριακό αυτοκαθορισμό το δικαστήριο δέχθηκε πως η χωρίς τη συμφωνία του πολίτη χρήση των δεδομένων του αποτελεί την εξαίρεση του επιτρεπτού της προσβολής, στην επεξεργασία δεδομένων η εξαίρεση μοιάζει πρακτικά να είναι η συμφωνία αυτή.

γ. Η εναντίωση

Ως εκδήλωση του πληροφοριακού αυτοκαθορισμού θα μπορούσε να θεωρηθεί και η εναντίωση του άρθρου 21 ΓΚΠΔ.[40] Με βάση τη διάταξη αυτή, το υποκείμενο δικαιούται, ενεργώντας κατασταλτικά για μια επεξεργασία που έχει ήδη ξεκινήσει, να αντιταχθεί σε αυτή και να ζητήσει τη διακοπή της.

Το δικαίωμα δεν παρέχεται όμως χωρίς προϋποθέσεις: το υποκείμενο οφείλει να επικαλεστεί τους λόγους για τους οποίους ενοχλείται από τη χρήση των πληροφοριών του και δη επικαλούμενο την όλως αόριστη έννοια της «ιδιαίτερης κατάστασής του». Παράλληλα, το δικαίωμα αυτό του αναγνωρίζεται μόνο σε δύο από τις πέντε νομικές βάσεις του άρθρου 6, την εκπλήρωση καθήκοντος προς το δημόσιο συμφέρον και την επιδίωξη εννόμων συμφερόντων του. Σαν να μην ήταν αρκετός ο κατά τα ως άνω περιορισμός του δικαιώματος, ο Κανονισμός αφήνει την τελευταία λέξη στον φορέα που πραγματοποιεί την επεξεργασία παρά την αντίρρηση του υποκειμένου. Εάν ο υπεύθυνος επεξεργασίας «καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων», τότε μπορεί ελεύθερα να αγνοήσει το υποκείμενο, τη βούλησή του και την όποια ιδέα του περί αυτοδιάθεσης.

Σημειωτέον πως, όπως και στο έννομο συμφέρον, η στάθμιση συμφερόντων του υπευθύνου επεξεργασίας έναντι δικαιωμάτων του υποκειμένου προβλέπεται να γίνεται από τον ίδιο, με ό,τι αυτό συνεπάγεται για το αποτέλεσμα αυτής.

δ. Η διαγραφή

Παράλληλα ή και εκτός της εναντίωσης, το υποκείμενο των δεδομένων έχει και το δικαίωμα να ζητήσει και να πετύχει τη διαγραφή των δεδομένων του. Παρά τις όποιες διαφορές τους, το δικαίωμα διαγραφής έχει το ίδιο υπόβαθρο με την εναντίωση· πρόκειται ουσιαστικά για την αντίδραση του υποκειμένου στην επεξεργασία των δεδομένων του. Και όπως η εναντίωση, έτσι και η διαγραφή δεν αναγνωρίζεται χωρίς σοβαρούς περιορισμούς. Ο λόγος του αιτήματος πρέπει να είναι ένας εκ των έξι που προβλέπονται στην παράγραφο 1 του άρθρου 17, ακόμη χειρότερα όμως, το δικαίωμα δεν ικανοποιείται όταν πληρούται μια εκ των πέντε ευρύτατων σε περιεχόμενο εξαιρέσεων της παραγράφου 3.

ε. Η ανακοίνωση της παραβίασης

Όταν συμβεί ένα περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα, τα δικαιώματα και οι ελευθερίες του υποκειμένου ενδέχεται να βρεθούν σε κίνδυνο. Η απώλεια της διαθεσιμότητας μπορεί να συνεπάγεται την αδυναμία του να έχει πρόσβαση στα δεδομένα του, ενώ η παραβίαση της εμπιστευτικότητας μπορεί να οδηγήσει σε ζημιά πολύ μεγαλύτερη, ηθική, επαγγελματική, οικονομική.

Αν η παραβίαση ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες αυτές, κάτι που θα κριθεί και πάλι από αυτόν που κάνει την επεξεργασία, τότε το συμβάν θα πρέπει να γνωστοποιηθεί στην αρμόδια εποπτική αρχή. Ο Κανονισμός προβλέπει την ενημέρωση και του θύματος της παραβίασης, στην περίπτωση αυτή όμως με μια πρόσθετη προϋπόθεση: ο ενδεχόμενος κίνδυνος να είναι υψηλός.

Το δικαίωμα ελέγχου του πολίτη επί των προσωπικών πληροφοριών του αποδυναμώνεται, αφού ο νόμος δεν του αναγνωρίζει ούτε καν το δικαίωμα να μάθει τι έχει συμβεί. Η έννοια του υψηλού κινδύνου είναι ανοικτή σε ερμηνείες, η δε πρόβλεψη της δυνατότητας αυτής συνεπάγεται πως στη συντριπτική πλειοψηφία των περιπτώσεων τα θύματα της παραβίασης δεν ενημερώνονται ποτέ.

στ. Η ενημέρωση

Το δικαίωμα που ενισχύθηκε περισσότερο από κάθε άλλο, χωρίς μάλιστα η ενίσχυση αυτή να συνοδεύεται από σημαντικές επιφυλάξεις είναι το δικαίωμα στην ενημέρωση. Η ενημέρωση του υποκειμένου ως προς την επεξεργασία των προσωπικών δεδομένων του είναι το εργαλείο και η αναγκαία προϋπόθεση για την άσκηση του δικαιώματος στον έλεγχο της χρήσης των δεδομένων αυτών. Μέσω της ενημέρωσης εκπληρώνεται η απαίτηση διαφάνειας της επεξεργασίας του άρθρου 5 παρ.1α’ ΓΚΠΔ,[41] ενώ μέσω της πρόσβασης το υποκείμενο μπορεί «να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας» (αιτ.σκ. 63). Για το λόγο αυτό, η ενημέρωση διαμορφώνεται κατά τρόπο πολυδιάστατο και ιδιαίτερα απαιτητικό.

Η ενημέρωση αυτή προβλέπεται σε διαφορετικά στάδια της επεξεργασίας και με διαφορετικούς τρόπους. Σύμφωνα με το άρθρο 13 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας υποχρεούται να παρέχει στο υποκείμενο ρητώς προβλεπόμενες πληροφορίες,[42] ήδη κατά τη στιγμή που συλλέγει τα δεδομένα, ενώ το άρθρο 14 προβλέπει πως η υποχρέωση αυτή υφίσταται, σε χρόνους που προκύπτουν κατά περίπτωση, ακόμη και όταν η συλλογή των δεδομένων γίνεται από τρίτες πηγές. Περαιτέρω, σύμφωνα με το άρθρο 15 ΓΚΠΔ, το υποκείμενο έχει και δικαίωμα πρόσβασης στα δεδομένα του. Ανεξάρτητα από το αν έχει ενημερωθεί αρχικώς κατά τα ανωτέρω, το υποκείμενο δικαιούται «να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία», εφόσον δε η απάντηση αυτή είναι θετική δικαιούται και να λαμβάνει ενημέρωση (πρόσβαση) επί συγκεκριμένων πληροφοριών.

Επιπροσθέτως και προς τον σκοπό της ακόμη μεγαλύτερης ενίσχυσης των δικαιωμάτων του, ο ΓΚΠΔ προβλέπει και τη δυνατότητα λήψης αντιγράφου των δεδομένων αυτών. Πρόκειται για τη σημαντικότερη εκδήλωση του δικαιώματος πρόσβασης, καθώς από το αντίγραφο αυτό το υποκείμενο δύναται να σχηματίσει πλήρη εικόνα ως προς την τήρηση των προσωπικών δεδομένων του.

Το δικαίωμα πρόσβασης είναι σαφώς ενισχυμένο σε σχέση με τη ρύθμισή του στην Οδηγία 95/46, αλλά και τον προϊσχύσαντα εθνικό νόμο. Προστατεύεται, ως προς την ικανοποίησή του, από συγκεκριμένες προθεσμίες που το άρθρο 12 προβλέπει, ενώ ασκείται χωρίς την καταβολή δαπάνης και χωρίς περιορισμό ως προς τη συχνότητα άσκησής του.[43] Καλύπτει πάσης φύσεως προσωποποιημένη πληροφορία, ακόμη και αυτές που δεν συλλέχθηκαν αρχικώς, αλλά προέκυψαν μέσω της επεξεργασίας των συλλεγέντων δεδομένων.[44] Περαιτέρω και σύμφωνα με την πάγια ερμηνεία του δικαιώματος, για την άσκησή του δεν είναι αναγκαία η επίκληση λόγων ή εννόμου δικαιώματος από πλευράς υποκειμένου, ενώ όπως πρόσφατα έκρινε το ΔΕΕ, η άσκησή του αυτή δεν είναι καν αναγκαίο να συνδέεται προς τους σκοπούς που θέτει το δίκαιο της προστασίας δεδομένων.[45]

Το δικαίωμα στην ενημέρωση και την πρόσβαση αποτελεί ίσως και την ουσία του δικαιώματος στην προστασία των προσωπικών δεδομένων. Πρόκειται για την πιο χαρακτηριστική έκφραση του ελέγχου, στον οποίο αναφέρεται η αιτιολογική σκέψη 7, που ασκεί το υποκείμενο επί των δεδομένων του. Μέσω του δικαιώματος αυτού, το υποκείμενο μπορεί να ελέγξει κατά πόσον η επεξεργασία των δεδομένων του θα γίνει ή γίνεται ήδη με νόμιμο τρόπο, ενώ μέσω της πρόσβασης μπορεί να επιβεβαιώσει και την ακρίβεια και πληρότητα των δεδομένων του.

Από την ερμηνεία αυτή οριοθετείται και η εξουσία που αναγνωρίζει ο Γενικός Κανονισμός στο υποκείμενο. Η ενημέρωση δεν συνιστά προϋπόθεση για τη χορήγηση άδειας από το υποκείμενο,[46] αλλά ενάσκηση του δικαιώματος στην προστασία των προσωπικών δεδομένων.

στ. Το δικαίωμα στη λήθη – Η άλλη πλευρά της πληροφοριακής αυτοδιάθεσης

Όπως έχει ήδη αναφερθεί, έχει υποστηριχθεί πως το δικαίωμα αντίρρησης αποτελεί την εκδήλωση του δικαιώματος στον πληροφοριακό αυτοκαθορισμό στο αρνητικό περιεχόμενό του. Θα μπορούσαμε να παρατηρήσουμε πως, μετά τη δημοσίευση της απόφασης Google Spain του ΔΕΕ, η αρνητική αυτή έκφραση του δικαιώματος αποτυπώνεται πρωτίστως και κατ’ εξοχήν μέσα από το δικαίωμα στη λήθη.[47]

Έχει μια ιδιαιτερότητα το δικαίωμα στη λήθη. Το δικαίωμα αυτό αναγνωρίστηκε από το Δικαστήριο της Ευρωπαϊκής Ένωσης κατά τον χρόνο ισχύος της Οδηγίας 95/46 και προκάλεσε πρωτοφανή αίσθηση,[48] αλλά και αντιδράσεις ως προς τη σκοπιμότητα της αναγνώρισης ενός ειδικού δικαιώματος για ένα ζήτημα που θα μπορούσε να έχει διευθετηθεί από τους υπάρχοντες κανόνες προστασίας δεδομένων.[49] Υπό μια έννοια, η ελαφρώς ακτιβιστική πρωτοβουλία του ΔΕΕ θύμισε την περίπτωση του γερμανικού Συνταγματικού Δικαστηρίου για την απογραφή, υπό την έννοια πως αναγνώρισε την ύπαρξη ενός δικαιώματος αναγκαίου υπό την απειλή της τεχνολογικής εξέλιξης. Στην πρώτη περίπτωση ο κίνδυνος ερχόταν από τους υπολογιστές, στη δεύτερη από το διαδίκτυο.[50]

Το δικαίωμα στη λήθη δεν ταυτίζεται απόλυτα με το δικαίωμα στη διαγραφή των δεδομένων, κατά τον ίδιο τρόπο με τον οποίο ο πληροφοριακός αυτοκαθορισμός δεν εφάπτεται απόλυτα με την προστασία δεδομένων. Ο ενωσιακός νομοθέτης, είτε από υπερβάλλοντα ζήλο ή και επειδή θέλησε με σαφήνεια να εντάξει το δικαίωμα αυτό στο ρυθμιστικό πεδίο της προστασίας δεδομένων, μερίμνησε ώστε αυτό να αναφερθεί ρητώς στο τίτλο του άρθρου 17 ΓΚΠΔ,[51] δίπλα στη διαγραφή των δεδομένων.[52]

Στην πραγματικότητα όμως, το δικαίωμα στη λήθη είναι κάτι ευρύτερο του δικαιώματος στη διαγραφή ή του δικαιώματος στην εναντίωση που προηγείται της διαγραφής αυτής.[53] Εξέρχεται της προστασίας δεδομένων, όπως αυτή οριοθετείται από τον ΓΚΠΔ και καταλαμβάνει ευρύτερες πτυχές της ανθρώπινης αξίας που πρέπει να προστατευτούν. Το αίτημα που υποβάλλεται δεν απευθύνεται προς τον φορέα που έχει προβεί στη δημοσιοποίηση των δεδομένων, αλλά προς τη μηχανή αναζήτησης που τα εμφανίζει. Πρόκειται για ένα αίτημα διαγραφής συνδέσμων και όχι δεδομένων, υπό την έννοια της πρωτογενώς επεξεργασθείσας πληροφορίας.

Το ίδιο αυτό αίτημα δεν επικαλείται το δικαίωμα στην οριστική διαγραφή των δεδομένων, αλλά ζητά την «εξαφάνισή τους» από τα αποτελέσματα της αναζήτησης. Οι πληροφορίες θα εξακολουθούν να υφίστανται, χωρίς όμως να είναι ευχερώς προσβάσιμες. Το αίτημα του υποκειμένου θεμελιώνεται μόνο τυπικά στον όχι πλέον απαραίτητο χαρακτήρα της επεξεργασίας· ουσιαστικά βασίζεται στο δικαίωμα του ατόμου να «ξεχαστούν» - στην πραγματικότητα να «κρυφτούν» - πληροφορίες που αναφέρονται σε αυτό. Πρόκειται για την ανάκτηση του ελέγχου των προσωπικών πληροφοριών που καθίστανται γνωστές στον κύκλο επικοινωνίας του ατόμου, στη γνήσια μορφή του ελέγχου αυτού, όπως περιγράφηκε στην απόφαση της απογραφής.

Υπό την έννοια αυτή, το δικαίωμα στη λήθη είναι ίσως ό,τι πιο κοντινό περιλαμβάνει η νομοθεσία για την προστασία δεδομένων στον πληροφοριακό αυτοκαθορισμό. Είναι η πραγμάτωση της, έστω και κατασταλτικώς ασκούμενης, προστασίας της αυτοδιάθεσης του ατόμου ως προς τη δημοσιοποίηση των πληροφοριών του.

5. Συμπεράσματα: Η λειτουργία του πληροφοριακού αυτοκαθορισμού στο κανονιστικό περιβάλλον της προστασίας δεδομένων.

 Η σύλληψη του δικαιώματος του πληροφοριακού αυτοκαθορισμού βασίστηκε στην ευγενή πεποίθηση πως το άτομο δικαιούται, ως εκ τούτου πρέπει και να δύναται, να ελέγχει – υπό την έννοια της εξουσίασης και διάθεσης - τη χρήση των προσωπικών πληροφοριών του.

Θεμελιώθηκε στην παραδοχή πως οι προσωπικές αυτές πληροφορίες είναι τα πρωτογενή προσωπικά δεδομένα που δύνανται να ταυτοποιήσουν ένα πρόσωπο και πως ο κίνδυνος για το άτομο θα προέλθει από το κράτος. Ο κίνδυνος αυτός εντοπιζόταν στην τεχνολογική καινοτομία της εποχής, η οποία συνίστατο στην απομάκρυνση από τα έγχαρτα αρχεία και τους ογκώδεις φακέλους και την εισαγωγή ηλεκτρονικών συστημάτων αρχειοθέτησης και διαβίβασης πληροφοριών μέσω υπολογιστή.

Ήταν μια σύλληψη τολμηρή, η οποία αποπειράθηκε να συνδέσει τους τεχνολογικούς κινδύνους με τα πιο θεμελιώδη ανθρώπινα δικαιώματα, την αξία του ανθρώπου και την ανάπτυξη της προσωπικότητάς του, και να διαμορφώσει μια νέα σύγχρονη έκφανση της αυτοδιάθεσης του ανθρώπου, υπό την έννοια του πληροφοριακού αυτοκαθορισμού, του δικαιώματός του να ελέγχει το πού βρίσκονται οι πληροφορίες του.

Παρ’ όλα αυτά, ο πληροφοριακός αυτοκαθορισμός δεν ήταν παρά μια αφηρημένη σύλληψη, ένα δικαίωμα χωρίς σαφή όρια, έννοια, περιεχόμενο και κανόνες,[54] ενώ παράλληλα πολύ σύντομα ξεπεράστηκε από την τεχνολογική εξέλιξη, αλλά και από τη νομοθετική και νομολογιακή διάπλαση του δικαιώματος στην προστασία των προσωπικών δεδομένων, το οποίο χωρίς αμφιβολία εμφάνιζε σημαντικές ομοιότητες με αυτό.

Το δικαίωμα στα προσωπικά δεδομένα, παρά την ασαφή δογματική του τοποθέτηση και την ανασφαλή εφαρμοστική του εκκίνηση, κατάφερε να βρει τον βηματισμό και τη ρυθμιστική στόχευσή του. Κατάφερε να συγκροτήσει ολοένα και πιο λεπτομερείς κανόνες, να θέσει εφαρμοστικά όρια και εν τέλει να αποσχισθεί από τα προϋπάρχοντα αυτού δικαιώματα, στο πλευρό των οποίων αναπτύχθηκε. Αυτό ήταν μοιραίο, δεδομένου πως επρόκειτο για ένα δικαίωμα άμεσα συνδεδεμένο με την τεχνολογική εξέλιξη.

Η τεχνολογική εξέλιξη υπήρξε καταιγιστική, σε επίπεδο υλισμικού και λογισμικού. Η ψηφιοποίηση των αρχείων και η δυνατότητα διασύνδεσης αυτών, οι συσκευές που μπορούσαν να συλλέξουν προσωπικά δεδομένα, πολύ συχνά εν αγνοία του πολίτη, οι μέθοδοι επιτήρησης και καταγραφής, οι τεχνολογίες ψηφιακής παρακολούθησης μέσω διαδικτύου δεν αποτελούν παρά δείγμα των τεχνολογικών δυνατοτήτων και κινδύνων που εμφανίστηκαν τις τελευταίες δεκαετίες. Ακόμη και αυτές, φαντάζουν σχετικά ελεγχόμενες σε σχέση με τα ζητήματα που θέτει πια η τεχνητή νοημοσύνη.

Απέναντι στους κινδύνους αυτούς, η νομοθεσία για την προστασία των προσωπικών δεδομένων προσδιόρισε με ακρίβεια το πεδίο εφαρμογής της,[55] έδωσε σημασία στην ακριβή ορολογία, αναγνωρίζοντας από νωρίς την ανάγκη υιοθέτησης και προσαρμογής εννοιών που προέρχονταν από την πληροφορική,[56] την τεχνική λεπτομέρεια, την κανονιστική ακρίβεια. Προσδιόρισε την έννοια του υπευθύνου επεξεργασίας, καθόρισε τα χαρακτηριστικά της επεξεργασίας, εξειδίκευσε τις προϋποθέσεις νόμιμης διενέργειας αυτής και ανήγαγε σε μείζονα έννοια του δικαίου τα δεδομένα προσωπικού χαρακτήρα, τα οποία διέκρινε σε δύο βασικές κατηγορίες, με τη δεύτερη εξ αυτών (τα ευαίσθητα δεδομένα) να οριοθετείται με απόλυτη ακρίβεια.

Βασιζόμενη στους κανόνες αυτούς, η νομολογία του δικαίου προστασίας προσωπικών δεδομένων, καθοδηγούμενη πρωτίστως από το Δικαστήριο της Ευρωπαϊκής Ένωσης, ερμήνευσε, αλλά και διέπλασε περαιτέρω,[57] ένα δικαίωμα που απείχε από την αόριστη σύλληψη του πληροφοριακού αυτοκαθορισμού.[58] Διέκρινε εξαρχής τη στόχευση της νομοθεσίας,[59] αναγνώρισε πράξεις επεξεργασίας, δίνοντας ιδιαίτερη σημασία στις διαβιβάσεις, εξειδίκευσε την έννοια των προσωπικών δεδομένων, ερμηνεύοντας αυτή με ευρύτητα και εντάσσοντας σε αυτά πάσης φύσεως πληροφορίες που συλλέγονται από το υποκείμενο ή αναφέρονται σε αυτό και ανέλυσε την αναγκαιότητα στην επεξεργασία. Αναγνώρισε τους σκοπούς και τα όρια των δικαιωμάτων των υποκειμένων και προσδιόρισε τα χαρακτηριστικά της συγκατάθεσης, αφήνοντας τον αναγκαίο χώρο για την επεξεργασία δεδομένων χωρίς αυτή.

Ακολούθως και με βάση τους ερμηνευτικούς κανόνες που η νομολογία του ΔΕΕ είχε διαπλάσει, ο ενωσιακός νομοθέτης επανήλθε για να ρυθμίσει εκ νέου το κανονιστικό περιβάλλον της προστασίας δεδομένων[60] μέσω ενός Κανονισμού που ρύθμισε τις προϋποθέσεις επεξεργασίας με τρόπο σχεδόν εξαντλητικό. Ο ΓΚΠΔ προσέθεσε νέες υποχρεώσεις στους υπευθύνους επεξεργασίας και θέσπισε νέα δικαιώματα για τα υποκείμενα των δεδομένων, χωρίς όμως ποτέ να μπει στον πειρασμό (ή να κάνει το λάθος) να επεκταθεί σε ανέξοδες αναφορές περί αυτοδιάθεσης ή αυτοπροσδιορισμού.

Το ενωσιακό κανονιστικό περιβάλλον της προστασίας δεδομένων, όπως αυτό εξειδικεύεται πρωτίστως από τον Γενικό Κανονισμό, είναι ένα περιβάλλον εξισορρόπησης της ανάγκης για κυκλοφορία των δεδομένων και δη για πολλαπλούς σκοπούς (ενδ. πληροφόρηση, οικονομική δραστηριότητα, δημόσιος σκοπός, έρευνα) με την προστασία των δικαιωμάτων του ατόμου.

Στο περιβάλλον αυτό, ο Κανονισμός δεν καλλιεργεί την εντύπωση πως ο πολίτης έχει κάποια ιδιαίτερη σχέση εξουσιάσεως με τα δεδομένα του, τα οποία δύναται να δεσμεύει και να αποδεσμεύει κατά το δοκούν. Η επεξεργασία δεδομένων συντελείται όταν υπάρχει νόμιμος σκοπός και αναγκαιότητα, ενώ το μοναδικό δικαίωμα που σχεδόν χωρίς όρους αναγνωρίζεται στο υποκείμενο είναι το δικαίωμα να γνωρίζει και να ελέγχει.

Κατά τούτο, η πρώτη βάση του πληροφοριακού αυτοκαθορισμού, αυτή της εξουσίασης των δεδομένων και της άδειας για την επεξεργασία τους, δεν υφίσταται στην προστασία των προσωπικών δεδομένων, παρά μόνο κατ’ εξαίρεση. Αυτό που απομένει είναι ο έλεγχος.

Ο πολίτης – υποκείμενο των δεδομένων έχει το δικαίωμα να ελέγχει την επεξεργασία των δεδομένων του, όπου ως έλεγχος όμως νοείται η γνώση της επεξεργασίας, η επιβεβαίωση της νομιμότητάς της και εν τέλει η αμφισβήτηση της νομιμότητας αυτής.

Οι νομοθετικές αυτές εξελίξεις, αλλά και η τεχνολογική εξέλιξη καθιστούν τη θέση του πληροφοριακού αυτοκαθορισμού στο σύγχρονο περιβάλλον ένα αίνιγμα.

Την εποχή που οι ιστότοποι και τα μέσα κοινωνικής δικτύωσης συλλέγουν δεδομένα χρηστών για σκοπούς συμπεριφορικής διαφήμισης, τα σύγχρονα συστήματα βιντεοεπιτήρησης (κρατικά και ιδιωτικά) πολλαπλασιάζονται και συνδέονται με λογισμικά τεχνητής νοημοσύνης, ενώ πάσης φύσεως εταιρείες «σκουπίζουν» το διαδίκτυο πουλώντας βιομετρικά δεδομένα των πολιτών, με αγωνία αναρωτιέται κανείς ποιο είναι το σύγχρονο νόημα του πληροφοριακού αυτοκαθορισμού.

Πώς μπορεί το δικαίωμα που αναγνωρίστηκε πριν από 40 χρόνια από το γερμανικό Δικαστήριο να προστατεύσει τον πολίτη από την με εκθετικό ρυθμό αυξανόμενη διακινδύνευση των δικαιωμάτων και των ελευθεριών του.

[1] BVerfGE 65, 1 – 71, διαθέσιμη σε https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/1983/12/rs19831215_1bvr020983.html;jsessionid=2EC204F65D2925EC739FBCF56A13E71A.internet952 και σε αγγλική μετάφραση σε https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/1983/12/rs19831215_1bvr020983en.html

[2] Β. Σκουρής, Ατομικά δικαιώματα και απογραφή του πληθυσμού, [Αρμ. 9/1984: 689-694]

[3] Α. Γέροντας, Το Δικαίωμα της αυτοδιάθεσης των πληροφοριών: Υπερβολή ή Αναγκαιότητα;,  [ΤοΣ 4/1997: 849-867]

[4] Λ. Μήτρου, Προσωπικά δεδομένα, ιδιωτικότητα και απόρρητο, [Συνήγορος του Πολίτη, Ιατρικό απόρρητο, 2006, σελ. 20-41]

[5] Την οποία η Ελλάδα είχε υπογράψει την 17-2-1983 για να επικυρώσει πολλά χρόνια αργότερα με τον Ν.2068/1992.

[6] Πολλές από τις πληροφορίες της ενότητας έχουν αντληθεί από την παρουσίαση και ανάλυση της απόφασης από τον Β. Σκουρή (Ατομικά δικαιώματα και απογραφή του πληθυσμού, Αρμ. 9/1984: 689-694), όπου μπορεί κανείς να πληροφορηθεί και το πλήρες ιστορικό της υπόθεσης. Για την απόφαση βλ. επίσης Α. Γέροντας, Το δικαίωμα της αυτοδιάθεσης των πληροφοριών: Υπερβολή ή αναγκαιότητα; (ΤοΣ 4/1997:849-867)

[7] Α. Γέροντας, Το δικαίωμα της αυτοδιάθεσης των πληροφοριών: Υπερβολή ή αναγκαιότητα; ΤοΣ 4/1997: 850

[8] Μολονότι γίνεται δεκτό πως το δικαίωμα στον πληροφοριακό αυτοκαθορισμό αναγνωρίστηκε για πρώτη φορά στην απόφαση της απογραφής, αρκετοί επισημαίνουν πως αυτό στηρίχθηκε σε προηγούμενες αποφάσεις του δικαστηρίου, με σημαντικότερη την απόφαση Mikrozensus. Η Β. Χρήστου επισημαίνει σχετικά πως «Το έδαφος για την απόφαση αυτήν είχε προετοιμάσει η λεγόμενη Mikrozensus Entsheidung (BVerfGE 27, 1 (6)), σύμφωνα με την οποία το Σύνταγμα απαγορεύει την καταχώριση όλων των πτυχών της ανθρώπινης προσωπικότητας σε ένα αρχείο (BVerfGE 27, 1 (6)), αλλά και οι αποφάσεις BVerfGE 27, 344, BVerfGE 44, 353, BVerfGE 32, 373, οι οποίες έθεσαν αυστηρές προϋποθέσεις για τη διαβίβαση πληροφοριών που μετέπειτα θα κατηγοριοποιηθούν ως ευαίσθητες, δηλαδή πληροφορίες για το διαζύγιο, για εξάρτηση από ναρκωτικά και ιατρικού περιεχομένου πληροφορίες». (Το δικαίωμα στην προστασία από την επεξεργασία δεδομένων, 2017, σελ. 25-32, υποσ. 60). Βλ. επίσης, Ι. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, 2004, σελ. 51.

[9] Α. Γέροντας, Το δικαίωμα της αυτοδιάθεσης των πληροφοριών (Μία νέα πρόσκληση), [ΔιΔικ 2/1990: 22-38]

[10] Α. Γέροντας, Το Δικαίωμα της αυτοδιάθεσης των πληροφοριών: Υπερβολή ή Αναγκαιότητα;,  [ΤοΣ 4/1997: 849-867]

[11] Λ. Μήτρου, Προστασία του περιβάλλοντος εναντίον της προστασίας πληροφοριών;, [Νόμος και Φύση 3/1996: 9-31]

[12] Κ. Ανθίμου, Το δικαίωμα πληροφοριακού αυτοκαθορισμού του ατόμου ως έκφανση του δικαιώματος επί της προσωπικότητας, [ΚριτΕ 1998, 155-179]

[13] Μ. Σταθόπουλος, Η χρήση προσωπικών δεδομένων και η διαπάλη μεταξύ ελευθεριών των κατόχων τους και ελευθεριών των υποκειμένων τους, [ΝοΒ 48-1/2000: 1-19]

[14] Α. Τσεβάς, Η εφαρμογή του νόμου για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα στον τύπο και την ραδιοτηλεόραση, [ΚριτΕ 1998: 181-246]

[15] ενδ. Λ. Μήτρου, Η δημοσιότητα της κύρωσης ή η κύρωση της δημοσιότητας, 2012, σελ. 39επ., Χ. Ακριβοπούλου, Το δικαίωμα στην ιδιωτική ζωή, 2012, σελ. 212επ., Β. Χρήστου, Το δικαίωμα στην προστασία από την επεξεργασία δεδομένων, 2017, σελ. 25

[16] Χωρίς βέβαια να παραβλέπεται η γερμανική παρακαταθήκη στη δημιουργία του δικαιώματος.

[17] Ο Ι. Ιγγλεζάκης θα διακρίνει τον πληροφοριακό αυτοκαθορισμό από την προστασία προσωπικών δεδομένων, παρατηρώντας πως το δικαίωμα του 1983 δεν αναγνωρίζεται ως ανεξάρτητο δικαίωμα κατά το ελληνικό δίκαιο, αλλά ουσιαστικά συνιστά μια πτυχή του δικαιώματος της ιδιωτικής ζωής (right of privacy), η προστασία του οποίου περιλαμβάνει και το δικαίωμα του ατόμου να γνωρίζει, να παρακολουθεί και να ελέγχει ποιος και γιατί συλλέγει πληροφορίες που το αφορούν. Το δικαίωμα στην προστασία των προσωπικών δεδομένων είναι ένα αμυντικό δικαίωμα που διαφοροποιείται από τον πληροφοριακό αυτοκαθορισμό, καθώς μάλιστα το άρθρο 9Α Σ. έχει ευρύτερη ρυθμιστική εμβέλεια από το άρθρο 9 Σ. και δεν δεσμεύεται από την αναζήτηση του περιεχομένου του ιδιωτικού βίου και τη συζήτηση σχετικά με την οριοθέτηση του απόρρητου της ιδιωτικής σφαίρας. (Ευαίσθητα προσωπικά δεδομένα, 2003, σελ. 55-56). Την ίδια αυτή άποψη περί σαφούς διάκρισης των δύο δικαιωμάτων θα διατυπώσει και ο Ε. Παπακωνσταντίνου, ο οποίος θα παρατηρήσει πως η προστασία δεδομένων διαφοροποιείται τόσο από την προστασία της ιδιωτικής ζωής, όσο και από τον πληροφοριακό αυτοκαθορισμό (Δίκαιο πληροφορικής, 2010, σελ. 33-36), ενώ η Δ. Πηλαβάκη,  ακόμη πιο πρόσφατα, θα επισημάνει τη σύγχυση που χαρακτηρίζει τη σχέση των δύο δικαιωμάτων: «Αξίζει να σημειωθεί ότι, το δικαίωμα πληροφοριακού αυτοκαθορισμού ενός ατόμου διαφοροποιείται από το δικαίωμα προστασίας των προσωπικών δεδομένων του, παρόλο που θεωρητικά αλλά και νομολογιακά  συγχέεται, καθώς το δεύτερο είναι κατά βάση ένα ατομικό αμυντικό δικαίωμα κατά των επεμβάσεων στις θεμελιώδεις ελευθερίες και ιδίως στο δικαίωμα της ιδιωτικής ζωής αλλά και στην συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων.» (Η εφαρμογή του δικαιώματος της προσωπικότητας στην προστασία των προσωπικών δεδομένων, ΝοΒ 70-7/2022: 1682-1686)

[18] Ενδ. Β. Χρήστου, Το δικαίωμα στην προστασία από την επεξεργασία δεδομένων, 2017, σελ. 25, Κ. Χριστοδούλου, Δίκαιο Προσωπικών Δεδομένων, 2η εκδ., σελ. 3, Μ. Σκόνδρα, Αποδεικτικά μέσα από αναρτήσεις μέσου κοινωνικής δικτύωσης (Facebook), ΔΙΤΕ 3/2022: 387-392, Λ. Μήτρου, Προστασία προσωπικών δεδομένων: ένα νέο δικαίωμα;, σε Το Νέο Σύνταγμα (επιμ. Δ. Θ. Τσάτσος/Ε. Β.Βενιζέλος/ Ξ.Ι.Κοντιάδης), 2001, σελ. 83-104.

[19] Ενδ. Φ. Παναγοπούλου – Κουτνατζή, Άρθρο 9Α, σε (επιμ. Σ. Βλαχόπουλος, Ξ. Κοντιάδης, Γ. Τασόπουλος) Σύνταγμα: Ερμηνεία κατ’ άρθρο

[20] Ενδ. Χ. Ανθόπουλος, Το δικαίωμα στη δημόσια ανωνυμία: Προστασία προσωπικών δεδομένων, ελευθερία του συνέρχεσθαι και ηλεκτρονικός έλεγχος των δημόσιων υπαίθριων συναθροίσεων, [ΕφημΔΔ 6/2007: 719-728], Κ. Χρυσόγονος, Ατομικά και Κοινωνικά Δικαιώματα, 2η εκδ., 2002, σελ. 198-199, Π. Δαγτόγλου, Συνταγματικό Δίκαιο - Ατομικά Δικαιώματα, 4η έκδ., 2012, σελ. 332, Σ. Γεωργίου, Tα συνταγματικά θεμέλια του δημόσιου χώρου, 2017, σ. 177, Γ. Τσόλιας, Τα τηλεπικοινωνιακά δεδομένα υπό το πρίσμα του απορρήτου: προβληματισμοί εν όψει της ενσωμάτωσης της Οδηγίας 2002/58/ΕΚ, [ΔιΜΕΕ 3/2004: 357-370]

[21] Ενδ. ΑΠ 604/2023 Ποιν.: «Το προστατευόμενο από την διάταξη του άρθρου 22 του προϊσχύσαντος ν. 2472/1997 (αλλά και του ήδη ισχύοντος άρθρου 38 του ν. 4624/2019) έννομο αγαθό είναι το δικαίωμα στην πληροφοριακή αυτοδιάθεση (ή αυτοκαθορισμό) ως ειδικότερη εκδήλωση του δικαιώματος στην ιδιωτική ζωή (ιδιωτική σφαίρα)»

[22] Επίσης ΑΠ 954/2020 Ποιν., ΑΠ 714/2022, Μον.Πρ.Χαν. 6/2020, Μον.Πρ.Πατρ. 211/2020, Πολ.Πρ.Θεσ. 3425/2021, Μον.Πρ.Πατρ. 64/2021, Εφ.Πατρ. 149/2022

[23] Ενδ. Εφ.Αθ. 3833/2003, Εφ.Αθ. 5717/2008, Εφ.Θεσ. 733/2009, Πολ.Πρ.Αθ. 1151/2010, Πολ.Πρ.Αθ. 1271/2010, Πολ.Πρ.Αθ. 4403/2011, Πολ.Πρ.Αθ. 5406/2011, Εφ.Πατρ. 14/2011, Εφ.Θεσ. 87/2013, Εφ.Δωδ. 14/2017, Εφ.Αθ. 584/2018, Μον.Πρ.Πατρ. 211/2020, ΑΠ 645/2021, Εφ.Πειρ. 12/2021, Εφ.Αθ. 6170/2022

[24] Η «ιερή» αυτή σύνδεση της ενημέρωσης προς τον πληροφοριακό αυτοκαθορισμό και το δικαίωμα ελέγχου της διάθεσης και χρήσης των δεδομένων του υποκειμένου θα καμφθεί ωστόσο κατ’ επανάληψη σε περιπτώσεις διαβίβασης πιστωτικών και οικονομικών δεδομένων. Στην περίπτωση αυτή, το υποκείμενο φαίνεται πως όχι μόνο δεν έχει το δικαίωμα να αποφασίζει σχετικά με τη διάθεση των δεδομένων του, αλλά ούτε καν να ενημερώνεται ατομικά για τη διάθεση αυτή: «Θα ήταν δε αντίθετη προς τον σκοπό του νόμου (παράλληλη προστασία της πληροφοριακής αυτοδιάθεσης και της πληροφοριακής ελευθερίας για τη διασφάλιση τόσο του φυσικού προσώπου και όσο και της ασφάλειας των συναλλαγών και της λειτουργίας της εσωτερικής αγοράς) ερμηνεία της παρ. 3 του άρθρου 11 (του ν. 2472/97) για υποχρέωση in concreto ενημέρωσης του υποκειμένου σε κάθε συγκεκριμένη μετάδοση ή άντληση πληροφοριών που το αφορούν προς ή από τρίτους, η οποία μπορεί να είναι μαζική ή να γίνεται άμεσα και αυτόματα (ηλεκτρονική on διαδικασία κλπ.) με πρωτοβουλία των τελευταίων, οπότε είναι ανέφικτη για τον υπεύθυνο επεξεργασίας η προηγούμενη γνώση της συγκεκριμένης άντλησης πληροφοριών και η σχετική ενημέρωση του υποκειμένου, το οποίο πρέπει και αρκεί να έχει ήδη ενημερωθεί για τον σχετικό τρόπο μετάδοσης των δεδομένων του προς τους τρίτους – αποδέκτες». (ενδ. Εφ.Αθ. 3833/2003, Πολ.Πρ.Αθ. 3944/2009)

[25] Επίσης, ΑΠΔΠΧ 25-26/2005, 43/2007, Γνμδ. 6/2013, Γνμδ. 8/2016. Βλ. όμως και ΑΠΔΠΧ 128/2012: «Το κατοχυρωμένο στο άρθρο 9Α του Συντάγµατος δικαίωµα στην προστασία των προσωπικών δεδοµένων», ΑΠΔΠΧ Γνμδ. 2/2011 «των επιταγών της ουσιαστικής κατοχύρωσης του θεμελιώδους δικαιώματος του ατόμου στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν, σύμφωνα με τα οριζόμενα στις διατάξεις υπέρτερης τυπικής ισχύος των άρθρων 9Α του Συν/τος»

[26] ΑΠΔΠΧ 100/2000: «Από τα άρθρα 5 παρ. 1, 9 παρ. 1 σε συνδυασμό με το άρθρο 2 παρ. 1 του Συντάγματος που ανάγει σε πρωταρχική υποχρέωση της Πολιτείας το σεβασμό και την προστασία της αξίας του ανθρώπου, απορρέει, ως ιδιαίτερη εκδήλωση του δικαιώματος της προσωπικότητας το δικαίωμα πληροφορικής αυτοδιάθεσης που απαγορεύει τη χρήση προσωπικών δεδομένων από οποιοδήποτε, χωρίς τη συγκατάθεση του προσώπου (υποκειμένου), στο οποίο τα δεδομένα αυτά αναφέρονται».

[27] ΑΠΔΠΧ 62/2001: «Η δημοσιοποίηση οφειλών θίγει το δικαίωμα αυτοδιάθεσης των προσωπικών στοιχείων του κάθε οφειλέτη καθώς αυτά ανακοινώνονται σε τρίτους οι οποίοι δεν είναι απαραίτητο να γνωρίζουν τις οφειλές τους», ΑΠΔΠΧ Γνμδ. 8/2016: «Η επεξεργασία όμως αυτή αντίκειται στο άρθρο 9Α του Συντάγματος που προστατεύει τα προσωπικά δεδομένα κατοχυρώνοντας ρητώς το δικαίωμα στην πληροφοριακή αυτοδιάθεση, στην υπερνομοθετικής ισχύος Οδηγία 96/57/ΕΚ (άρθρα 6 και 8) και στο ν. 2472/1997 (αντίστοιχα άρθρα 4 και 7) ο οποίος ενσωμάτωσε στην ελληνική έννομη τάξη την προαναφερόμενη Οδηγία. Ειδικότερα, η επίμαχη επεξεργασία της δημοσιοποίησης στο Διαδίκτυο έρχεται σε αντίθεση με την απαγόρευση επεξεργασίας ευαίσθητων προσωπικών δεδομένων που θεσπίζει η παράγραφος 1 του άρθρου 7 του ν. 2472/1997 δεδομένου ότι δεν συντρέχει καμία από τις εξαιρέσεις της παραγράφου 2 του ίδιου άρθρου».

[28] ΑΠΔΠΧ 53/2004: «Η ενημέρωση του κοινού για ένα προσωπικό θέμα της καταγγέλλουσας, η οποία δεν είναι “δημόσιο πρόσωπο”, δεν υπερέχει της πληροφορικής της αυτοδιάθεσης, δεδομένου μάλιστα ότι τα αναφερθέντα προσωπικά δεδομένα, ακόμη και εκείνα που δεν έχουν ευαίσθητο χαρακτήρα, θίγουν καίρια την ιδιωτική της ζωή»., ΑΠΔΠΧ 63/2010: «Οι πληροφορίες που περιέχονται στο επίμαχο δημοσίευμα αφορούν αποκλειστικά την ιδιωτική και επαγγελματική ζωή της προσφεύγουσας, δεν συνεισφέρουν σε κάποιον διάλογο (εύλογου) δημοσίου ενδιαφέροντος και εν προκειμένω η ενημέρωση του κοινού για τις επαγγελματικές της επιδιώξεις, εκ μόνου του λόγου ότι αυτή είναι κόρη δημόσιου προσώπου, δεν υπερέχει της πληροφοριακής της αυτοδιάθεσης», ΑΠΔΠΧ 140/2012, 25/2021

[29] ΑΠΔΠΧ 182/2014: «Στη βαρύτητα της εν προσβολής της προσωπικότητας των επιτόκων θα πρέπει να συνυπολογιστεί το γεγονός ότι οι επίτοκοι βιώνουν μία εξαιρετικά προσωπική στιγμή και βρίσκονται σε μία ιδιαίτερη σωματική αλλά και ψυχολογική κατάσταση κατά τη διάρκεια προετοιμασίας του τοκετού, για το λόγο αυτό η λήψη εικόνας κατά τον κρίσιμο χρόνο χωρίς την πρότερη ενημέρωση επιτόκων, συνοδών και μαιών προσβάλλει το δικαίωμά τους στην πληροφοριακή αυτοδιάθεση ενώ παραβιάζει και τον πυρήνα της ανθρώπινης αξίας των επιτόκων και το δικαίωμα ελεύθερης ανάπτυξης της προσωπικότητάς τους», ΑΠΔΠΧ 76/2015

[30] ΑΠΔΠΧ 25/2008: «Επιπλέον, η δυνατότητα του ατόμου να επιλέξει τον τρόπο με τον οποίο θα γράφει το όνομά του, αποτελεί εκδήλωση του δικαιώματος αυτοπροσδιορισμού και αυτοδιάθεσης, το οποίο κατοχυρώνεται συνταγματικά (άρ. 5 παρ. 1 Σ σε συνδυασμό με το άρ. 2 παρ. 1 Σ) και το οποίο, βέβαια δεν είναι ανεπίδεκτο περιορισμών.  Περαιτέρω, η επιλογή του τρόπου γραφής του ονόματος αποτελεί επιπλέον έκφανση του δικαιώματος πληροφοριακής αυτοδιάθεσης, το οποίο κατοχυρώνεται στη διάταξη του άρ. 9Α Σ.», ΑΠΔΠΧ 66/2011: «Περαιτέρω, η επιλογή του τρόπου γραφής του, που αποτελεί και εκδήλωση του δικαιώματος πληροφοριακής αυτοδιάθεσης (άρθρο 9Α Σ), υπόκειται στους περιορισμούς και τους κανόνες του Ν. 2472/1997, εφόσον περιλαμβάνεται σε διαρθρωμένο μητρώο.»,

[31] ΔΕΕ C-300/21 - Österreichische Post

[32] Εύστοχα ο Γ.Ε. παρατηρεί πως το αγγλικό κείμενο του ΓΚΠΔ αναφέρει ότι «natural persons should have control of their own personal data» (και όχι the control).». Κατά συνέπεια, θα μπορούσαμε να παρατηρήσουμε πως η ακριβής μετάφραση του επίμαχου εδαφίου είναι «Τα φυσικά πρόσωπα θα πρέπει να έχουν έλεγχο των δικών τους δεδομένων προσωπικού χαρακτήρα».

[33] Σύμφωνα με το τεκμήριο αυτό, εφόσον ο νόμος επιτρέπει την επεξεργασία ευαίσθητων δεδομένων για δικαστική χρήση, δεν υπάρχει λόγος να μη δεχθεί κανείς πως το επιτρεπτό αυτό επεκτείνεται και στα απλά προσωπικά δεδομένα.

[34] Η συγκατάθεση έχει χαρακτηριστεί ως ο κεντρικός άξονας (Λ. Μήτρου, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, 2017, σελ. 71), εκδήλωση (Ι. Ιγγλεζάκης, Δίκαιο της πληροφορικής, 2η έκδ., 2008, σελ. 235) έκφανση (Ε. Πούλου, Η συγκατάθεση στην επεξεργασία προσωπικών δεδομένων, 2023, σελ. 1) και οριοθέτηση (Ο. Τζωρτζάτου, Η προστασία των ευαίσθητων προσωπικών δεδομένων της υγείας στη βιοϊατρική έρευνα, 2015, σελ. 83) του πληροφοριακού αυτοκαθορισμού. Κατά τους Π. Αρμαμέντο/Β. Σωτηρόπουλο, η συγκατάθεση συνιστά άσκηση του θετικού περιεχομένου του πληροφοριακού αυτοκαθορισμού. (Προσωπικά δεδομένα - Ερμηνεία Ν. 2472/1997, 2005, σελ. 142-143)

[35] Θα μπορούσε να υποθέσει κανείς πως η αποθέωση της συγκατάθεσης από τον Ν.2472/1997 υπήρξε αποτέλεσμα της πολυετούς προσήλωσης στην ιδέα του πληροφοριακού αυτοκαθορισμού. Σε κάθε περίπτωση, η Λ. Μήτρου ορθώς παρατηρεί πως «στην αναγωγή της συγκατάθεσης σε πρωταρχική πηγή νομιμοποίησης της επεξεργασίας έχει συμβάλει και η ρητή, διακριτή αναφορά της στον Χάρτη, καθώς το άρθρο 8 επιτάσσει να γίνεται η επεξεργασία προσωπικών «νομίμως, … και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από το νόμο». (Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, 2017, σελ. 71)

[36] Έχει υποστηριχθεί ευρέως η άποψη πως η θέσπιση αυστηρών προϋποθέσεων για τη λήψη νόμιμης συγκατάθεσης ενίσχυσε τη θέση της και ενδυνάμωσε την προστασία των δικαιωμάτων του υποκειμένου. Έχουμε τη γνώμη πως η θέσπιση αυτή λειτούργησε αντίστροφα. Η νόμιμη συγκατάθεση έχει καταστεί τόσο δύσκολη, ώστε να είναι πλέον ανεπιθύμητη από τους υπευθύνους επεξεργασίας, όπως άλλωστε μπορεί να βεβαιώσει οποιοσδήποτε έχει συμμετάσχει σε διαδικασίες συμμόρφωσης με τον ΓΚΠΔ. Στην πραγματικότητα, η δυσκολία της συγκατάθεσης έχει στρέψει τους υπευθύνους επεξεργασίας στη νομική βάση του εννόμου συμφέροντος. Την παρατηρούμενη τάση απομάκρυνσης από τη συγκατάθεση επισημαίνει και η Ε. Πούλου, ό.π., σελ. 3.

[37] βλ. και ΑΠΔΠΧ 26/2019, σκ. 14: «Ειδικότερα, οι αρχές της σύννομης, θεμιτής (ή δίκαιης) και με διαφανή τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα επιτάσσουν την επιλογή της συγκατάθεσης ως νομικής βάσης κατ’ αρ. 6 παρ. 1 ΓΚΠΔ, μόνον εφόσον οι υπόλοιπες νομικές βάσεις δεν εφαρμόζονται, ώστε κατά τη διάρκεια της επεξεργασίας να καθίσταται μεταγενέστερα αδύνατη η αλλαγή και μετάβαση σε άλλη νομική βάση».

[38] ΔΕΕ C-60/22 Bundesrepublik Deutschland: «72. Συναφώς, διαπιστώνεται ότι από αυτό καθεαυτό το γράμμα του πρώτου εδαφίου της παραγράφου 1 του άρθρου 6 του κανονισμού προκύπτει σαφώς ότι η συγκατάθεση του υποκειμένου των δεδομένων, η οποία προβλέπεται στο στοιχείο αʹ του ως άνω εδαφίου, αποτελεί απλώς και μόνον έναν από τους λόγους νομιμότητας της επεξεργασίας, ενώ αντιθέτως η συγκατάθεση αυτή δεν απαιτείται για τους άλλους λόγους νομιμότητας που προβλέπονται στα στοιχεία βʹ έως στʹ του εν λόγω εδαφίου και οι οποίοι αντλούνται, κατ’ ουσίαν, από την αναγκαιότητα της επεξεργασίας για την επίτευξη συγκεκριμένων σκοπών».

[39] Μια από τις συνέπειες της αναγωγής της συγκατάθεσης σε κανόνα για το επιτρεπτό της επεξεργασίας, υπό το προϊσχύσαν καθεστώς, υπήρξε και η καταχρηστική και όλως ακατάλληλη επίκλησή της για πάσης φύσεως πράξεις επεξεργασίας, ακόμη και από δημόσιους φορείς. Η πρακτική αυτή δημιουργούσε μια επίφαση «ελέγχου» των προσωπικών δεδομένων από το υποκείμενο, μια πλασματική πραγμάτωση του δικαιώματος στον πληροφοριακό αυτοκαθορισμό.

[40] Οι Π. Αρμαμέντος/Β. Σωτηρόπουλος χαρακτηρίζουν την αντίρρηση ως την άσκηση του αρνητικού περιεχομένου του πληροφοριακού αυτοκαθορισμού (ό.π., σελ. 143)

[41] ΔΕΕ C-579/21 - Pankki S, σκ. 52

[42] Στις πληροφορίες αυτές, το άρθρο 13 παρ.1γ’ ΓΚΠΔ εντάσσει ρητώς και τη νομική βάση της επεξεργασίας. Μολονότι δεν πρόκειται για μια πληροφορία την οποία δύναται ευχερώς να αξιολογήσει το υποκείμενο, ο ενωσιακός νομοθέτης κρίνει επιβεβλημένη την ανακοίνωση αυτή, προκειμένου να μη δίδεται στο υποκείμενο η εσφαλμένη εντύπωση πως η ενημέρωσή του συνιστά κάποιας μορφής συγκατάθεση. Όχι τυχαία, η νομική βάση αποτελεί την πληροφορία που απουσιάζει συχνότερα από τα κείμενα ενημέρωσης που παρουσιάζονται στα υποκείμενα.

[43] Πλην περιπτώσεων όπου το δικαίωμα ασκείται κατά τρόπο καταχρηστικό.

[44] ΔΕΕ C-579/21 - Pankki S, σκ. 45

[45] ΔΕΕ C-307/22 - FT: «43. Δεδομένου ότι, όπως προκύπτει από τη σκέψη 38 της παρούσας απόφασης, το υποκείμενο των δεδομένων δεν υποχρεούται να αιτιολογήσει το αίτημα πρόσβασης στα δεδομένα, η πρώτη περίοδος της αιτιολογικής σκέψης 63 δεν μπορεί να ερμηνευθεί υπό την έννοια ότι το αίτημα αυτό πρέπει να απορρίπτεται αν ο σκοπός του είναι διαφορετικός από εκείνον της γνώσης της επεξεργασίας των δεδομένων και της επαλήθευσης της νομιμότητάς της».

[46] Με την εξαίρεση της ενημέρωσης που συνοδεύει τη συγκατάθεση, η οποία πρέπει να δίδεται «εν πλήρει επιγνώσει».

[47] Ο Ι. Ιγγλεζάκης παρατηρεί πως το δικαίωμα στην ψηφιακή λήθη ενισχύει την πληροφοριακή αυτοδιάθεση και συνιστά πτυχή του συνταγματικού δικαιώματος προστασίας των προσωπικών δεδομένων. (Το δικαίωμα στην ψηφιακή λήθη και οι περιορισμοί του, 2014, σελ. 38).

[48] Ο Ν. Φραγκάκης επισημαίνει πως το ΔΕΕ επιβεβαίωσε την ύπαρξη στην ενωσιακή έννομη τάξη, ενός αυτόνομου δικαιώματος του χρήστη υπηρεσιών του διαδικτύου να απαιτήσει την διαγραφή των δεδομένων του προσωπικού χαρακτήρα από τα αποτελέσματα των μηχανών αναζήτησης. Το δικαίωμα στη λήθη, ωστόσο, δεν υπήρξε καινοφανής αστέρας. (Το δικαίωμα στη λήθη και ο Ψηφιακός Πανόπτης σε Τιμητικός Τόμος Χριστόφορου Δ. Αργυρόπουλου, 2016, σελ. 103-125)

[49] Ξ. Παπαρρηγόπουλος, Ένα νέο δικαίωμα στην ψηφιακή λήθη; Με αφορμή την απόφαση του ΔΕΕ Google V. Agencia Espanola & Gonzalez, σε (Σπυριδάκης/Κουτσούκου/Μαρινοπούλου (επιμ.), Κοινωνία του Κυβερνοχώρου, 2018, σελ. 581

[50] Η ομοιότητα των δύο αποφάσεων φαίνεται και από τη σκέψη του ΔΕΕ ως προς τους κινδύνους από την κατάρτιση προφίλ μέσω του συνδυασμού πληροφοριών: «Επιπλέον, η οργάνωση και η συγκέντρωση των δημοσιευόμενων στο διαδίκτυο πληροφοριών που πραγματοποιούν οι μηχανές αναζήτησης με σκοπό τη διευκόλυνση της πρόσβασης των χρηστών σε αυτές μπορεί, όταν η αναζήτηση πραγματοποιείται με βάση το ονοματεπώνυμο φυσικού προσώπου, να έχει ως αποτέλεσμα να μπορούν οι χρήστες να αποκτήσουν, μέσω του καταλόγου αποτελεσμάτων, μια συστηματική επισκόπηση των διαθέσιμων στο διαδίκτυο πληροφοριών που αφορούν το εν λόγω πρόσωπο και που παρέχουν στους χρήστες τη δυνατότητα να σχηματίσουν ένα, κατά το μάλλον ή ήττον, λεπτομερές προφίλ του υποκειμένου των δεδομένων». (ΔΕΕ C-131/12, σκ. 37)

[51] Ειδική αναφορά στο «δικαίωμα στη λήθη» κάνει και η αιτιολογική σκέψη 65, αναδεικνύοντας μάλιστα την ιδιαίτερη σημασία της στην περίπτωση του παιδιού που πλέον έχει ενηλικιωθεί: «65. Ένα υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να ζητεί τη διόρθωση των δεδομένων προσωπικού χαρακτήρα που το αφορούν, καθώς και το «δικαίωμα στη λήθη», εάν η διατήρηση των εν λόγω δεδομένων παραβιάζει τον παρόντα κανονισμό ή το δίκαιο της Ένωσης ή κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. […] Το δικαίωμα αυτό έχει ιδίως σημασία όταν το υποκείμενο των δεδομένων παρέσχε τη συγκατάθεσή του ως παιδί, όταν δεν είχε πλήρη επίγνωση των κινδύνων που ενέχει η επεξεργασία, και θέλει αργότερα να αφαιρέσει τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα, κυρίως από το Διαδίκτυο».

[52] Κατά τη Φ. Παναγοπούλου – Κουτνατζή, ο ΓΚΠΔ αναγνώρισε, υπό τη μορφή της θετικοποιήσεως, ένα δικαίωμα που προϋπήρχε και αποτελούσε απόρροια της γενικότερης ελευθερίας ανάπτυξης της προσωπικότητας του ατόμου. (Το δικαίωμα στη λήθη στην εποχή της αβάσταχτης μνήμης: Σκέψεις αναφορικά με την Πρόταση Κανονισμού Προστασία Δεδομένων, ΕφημΔΔ 2/2012: 264-278)

[53] Στη νομολογιακή προσέγγισή του, το δικαίωμα στη λήθη έχει πλέον επεκταθεί και στην εξαφάνιση πληροφοριών που είναι ανακριβείς. (ΔΕΕ C-460/20 Google LLC). Η διαδικασία που θεσπίστηκε από το Δικαστήριο, που καθιστά τις μηχανές αναζήτησης υπεύθυνες για τον έλεγχο της ακρίβειας των αποτελεσμάτων που εμφανίζουν, ουδεμία σχέση βέβαια έχει με το άρθρο 17 ΓΚΠΔ ή ακόμη και την αρχή της ακρίβειας και το δικαίωμα διόρθωσης των άρθρων 5 παρ.1δ’ και 16 ΓΚΠΔ.

[54] Η Κ. Φουντεδάκη ορθώς επισημαίνει ότι το πρώτο πρόβλημα της ιδέας της πληροφοριακής αυτοδιάθεσης είναι η ασάφεια του νομικού περιεχομένου της σχετικής έννοιας:  «Η γενικότητα με την οποία περιγράφεται η πληροφοριακή αυτοδιάθεση είτε την καθιστά εντελώς ανεδαφική, είτε οδηγεί στην αποδοχή τέτοιας έκτασης περιορισμών, που τελικά η πληροφοριακή αυτοδιάθεση χάνει το ειδικό-αυτοτελές της περιεχόμενο και επιμερίζεται σε (ή απορροφάται από) άλλες όψεις της προσωπικότητας. Γιατί πραγματικά είναι ανεδαφική η ιδέα ότι σε συνθήκες κοινωνικής ζωής, επομένως και αλληλεπίδρασης με άλλους ανθρώπους ή ομάδες, το πρόσωπο μπορεί να έχει, και μάλιστα με την εξουσία απόλυτου δικαιώματος, τον πλήρη έλεγχο του συνόλου των πληροφοριών που το αφορούν και της κυκλοφορίας ή διαχείρισής τους από τρίτους.» (Φυσικό πρόσωπο και προσωπικότητα στον Αστικό Κώδικα, 2012, σελ. 218

[55] Όχι μη αυτοματοποιημένη επεξεργασία χωρίς αρχείο, όχι δραστηριότητες που δεν εμπίπτουν στο πεδίο εφαρμογής του κοινοτικού δικαίου και δραστηριότητες που αφορούν τη δημόσια ασφάλεια, την εθνική άμυνα, την ασφάλεια του κράτους, όχι οικιακές-προσωπικές δραστηριότητες φυσικών προσώπων.

[56] Χαρακτηριστική υπήρξε η παρατήρηση του Μ. Σταθόπουλου πως η ορολογία αυτή υπήρξε «ατυχής στη λογιστική ψυχρότητά της» (Η χρήση προσωπικών δεδομένων και η διαπάλη μεταξύ ελευθεριών των κατόχων τους και ελευθεριών των υποκειμένων τους, ΝοΒ 48-1/2000: 1-19)

[57] Το 2001 η Λ. Μήτρου εύστοχα παρατηρούσε πως το δικαίωμα στην προστασία προσωπικών δεδομένων «αποτελεί ένα νέο δικαίωμα με πολλαπλές ‘’καταγωγές’’, που δεν έχει υποστεί ακόμη σε ικανό βαθμό την ερμηνευτική προσέγγιση από την πλευρά της νομολογίας». (Προστασία προσωπικών δεδομένων: ένα νέο δικαίωμα;, σε Το Νέο Σύνταγμα (επιμ. Δ. Θ. Τσάτσος/Ε. Β.Βενιζέλος/ Ξ.Ι.Κοντιάδης), 2001, σελ. 84). Έκτοτε μεσολάβησαν σχεδόν 150 αποφάσεις του Δικαστηρίου της Ευρωπαϊκής Ένωσης για το δικαίωμα αυτό.

[58] Αξίζει να παρατηρήσει κανείς τη διαμόρφωση του προστατευόμενου δικαιώματος στη νομολογία του ΔΕΕ: από την ιδιωτική ζωή της C-183/01, το ιδιωτικό απόρρητο της C-73/07 και τον σεβασμό του δικαιώματος στην ιδιωτική ζωή ενόψει της επεξεργασίας δεδομένων προσωπικού χαρακτήρα της C-92/09, στην «προσβολή των δικαιωμάτων σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα» (C-291/12) και εν τέλει αποκλειστικά στην προστασία των προσωπικών δεδομένων.

[59] ΔΕΕ C-465/00 C-138/01 Osterreichischer Rundfunk: «Η ίδια η οδηγία 95/46 έχει μεν ως κύριο σκοπό την εξασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα, προβλέπει όμως παράλληλα, στο άρθρο 1, παράγραφος 1, ότι «τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».

[60] Ενδεικτική της επίδρασης της νομολογίας του ΔΕΕ ως προς τη διαμόρφωση του δικαιώματος είναι και η αποσύνδεση της προστασίας δεδομένων από την ιδιωτική ζωή: από τις 16 αναφορές της Οδηγίας στο κυρίαρχο δικαίωμα της ιδιωτικής ζωής, με σημαντικότερη εξ αυτών την ένταξή της στους στόχους (αρ.1 παρ.1: «Τα κράτη μέλη εξασφαλίζουν, σύμφωνα με τις διατάξεις της παρούσας οδηγίας, την προστασία των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, και ιδίως της ιδιωτικής ζωής, έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».), ο ΓΚΠΔ δεν περιλαμβάνει παρά μόνο μια αναφορά (αιτ.σκ.4). Στόχος του Κανονισμού είναι πλέον «[η] προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».