Πρακτική Εφαρμογή του Γεν.Κανονισμού Προστασίας Δεδομένων στο Δικηγορικό Επάγγελμα


Tου Γιώργου Τ. Χριστοφίδη, Δικηγόρου
Εισαγωγή
Άσκηση της Δικηγορίας, σύμφωνα με το Περί Δικηγόρων Νόμο[1] σημαίvει-
«(i) τηv εμφάvιση εvώπιov oπoιoυδήπoτε Δικαστηρίoυ για διεξαγωγή διαδικασίας εκ μέρoυς oπoιoυδήπoτε πρoσώπoυ ή της Δημoκρατίας·
(ii) τηv παρασκευή ή μελέτη oπoιoυδήπoτε δικoγράφoυ εκ μέρoυς πελάτη·
Για τoυς σκoπoύς της παραγράφoυ αυτής "δικόγραφo" περιλαμβάvει κάθε έγγραφo πoυ καταχωρίζεται στo δικαστήριo και απoτελεί μέρoς της δικoγραφίας αλλά δεv περιλαμβάvει έκθεση εμπειρoγvώμovα ή κατάθεση μάρτυρα πoυ περιέχει έκθεση γεγovότωv
(iii) τηv εvέργεια εγγραφής εμπoρικώv σημάτωv ή διπλωμάτωv ευρεσιτεχvίας και τηv εμφάvιση εvώπιov oπoιασδήπoτε διoικητικής αρχής για τoυς πρoαvαφερόμεvoυς σκoπoύς·
(iv) τη σύvταξη, αvαθεώρηση, τρoπoπoίηση oπoιoυδήπoτε ιδρυτικoύ εγγράφoυ ή καταστατικoύ εταιρείας κάθε μoρφής ή oπoιασδήπoτε αίτησης, έκθεσης, δήλωσης, έvoρκης δήλωσης, απόφασης ή άλλoυ εγγράφoυ πoυ σχετίζεται με τη σύσταση, εγγραφή, oργάvωση, αvαδιoργάvωση ή διάλυση oπoιoυδήπoτε voμικoύ πρoσώπoυ·
(v) τη vηoλόγηση πλoίωv και τη σύvταξη κάθε εγγράφoυ πoυ αvαφέρεται στη σύσταση, μεταβίβαση, αλλoίωση ή κατάργηση κάθε δικαιώματoς επί πλoίoυ καθώς και τηv εμφάvιση εvώπιov αρμόδιας αρχής για τo σκoπό αυτό·
(vi) τη γνωμάτευση σε κάθε νομικό θέμα που υποβάλλεται στο δικηγόρο·
(vii) τη σύvταξη ή μελέτη oπoιoυδήπoτε εγγράφoυ πoυ καταχωρίζεται στo Δικαστήριo για σκoπoύς διαχείρισης δυvάμει τoυ περί Διαχείρισης Περιoυσιώv Απoβιωσάvτωv Νόμoυ·»
Περαιτέρω και σύμφωνα με τις ίδιες διατάξεις του Νόμου Εταιρεία Δικηγόρων σημαίνει ομόρρυθμη ή ετερόρρυθμη εταιρεία ή ιδιωτική εταιρεία περιορισμένης ευθύνης της οποίας η εγγραφή ως Εταιρείας Δικηγόρων εγκρίνεται από το Νομικό Συμβούλιο για σκοπούς άσκησης δικηγορίας από ένα ή περισσότερους δικηγόρους σύμφωνα με τις διατάξεις του εδαφίου (1) του άρθρου 6Γ. Το άρθρο 6Γ του Νόμου διαλαμβάνει μεταξύ άλλων πως διορισμός δικηγόρου στο όνομα Εταιρείας Δικηγόρων θα θεωρείται από κάθε άποψη ως διορισμός όλων και καθενός από τους δικηγόρους που αποτελούν ή συμμετέχουν στην Εταιρεία Δικηγόρων ή εργοδοτούνται από αυτή, χωρίς να απαιτείται χωριστός διορισμός καθενός για να δικαιούται να εκπροσωπεί ενώπιον δικαστηρίου το πρόσωπο που προβαίνει στο διορισμό[2].
Οι ως άνω δραστηριότητες  σύμφωνα με την μέχρι τον Ιούλιο του 2018 ισχύουσα εθνική νομοθεσία και συγκεκριμένα με βάση τον Περί Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα Νόμο[3] καθιστούσαν τον Δικηγόρο ως Υπεύθυνο επεξεργασίας, ως διαλάμβανε το άρθρο 3(3) του νόμου, ενώ το άρθρο 6(2) (ε) επέτρεπε την επεξεργασία αποκλειστικά δεδομένων αναγκαία για την αναγνώριση ή άσκηση ή υπεράσπιση δικαιώματος του υποκειμένου ενώπιον δικαστηρίου.
Με τον ίδιο τρόπο και στην Ελλάδα οι διατάξεις του ισχύοντος ακόμη νόμου 2472/1997 προσδίδουν την ιδιότητα στους Δικηγόρους αλλά και των Δικηγορικών Εταιρειών τους την ιδιότητα του Υπεύθυνου Επεξεργασίας[4].   
Οι ως άνω επαγγελματικές δραστηριότητες εμπίπτουν και στο ουσιαστικό πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων. Συγκεκριμένα το άρθρο 3[5] διαλαμβάνει ότι «1.Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Περαιτέρω το Άρθρο 3 προνοεί ότι ο κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης ενός υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία στην Ένωση, ανεξάρτητα από το κατά πόσο η επεξεργασία πραγματοποιείται εντός της Ένωσης.
Περαιτέρω ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με: α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης. Ο Γενικός Κανονισμός, επίσης, εφαρμόζεται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας μη εγκατεστημένο στην Ένωση, αλλά σε τόπο όπου εφαρμόζεται το δίκαιο κράτους μέλους δυνάμει του δημόσιου διεθνούς δικαίου.
Καθίσταται συνεπώς αδιαμφισβήτητο και δεδομένο ότι οι Δικηγόροι και οι Δικηγορικές εταιρείες επεξεργάζονται καθημερινά προσωπικά δεδομένα αλλά και ευαίσθητα δεδομένα προκειμένου να εκπροσωπήσουν ενώπιον των δικαστηρίων και των αρμοδίων αρχών τους εντολείς τους αλλά και για να παράσχουν νομικές υπηρεσίες, να συμμορφωθούν σε υποχρεώσεις που επιβάλλονται από τον νόμο καθώς και στο πλαίσιο λειτουργίας τους ως ελεύθερων επαγγελματικών-επιχειρήσεων.
Αρχές Εφαρμογής του ΓΚΠΔ
Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),  για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών προδιαγραφών και των κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα· τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»), στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»). Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)[6].
Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί. Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους[7].
Περαιτέρω και εφόσον η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα. Εάν η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, το αίτημα για συγκατάθεση υποβάλλεται κατά τρόπο ώστε να είναι σαφώς διακριτό από τα άλλα θέματα, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση. Κάθε τμήμα της δήλωσης αυτής το οποίο συνιστά παράβαση του παρόντος κανονισμού δεν είναι δεσμευτικό. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της. Κατά την εκτίμηση κατά πόσο η συγκατάθεση δίνεται ελεύθερα, λαμβάνεται ιδιαιτέρως υπόψη κατά πόσο, μεταξύ άλλων, για την εκτέλεση σύμβασης, συμπεριλαμβανομένης της παροχής μιας υπηρεσίας, τίθεται ως προϋπόθεση η συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που δεν είναι αναγκαία για την εκτέλεση της εν λόγω σύμβασης[8].
Η Ιδιότητα του Δικηγόρου και των Δικηγορικών Εταιρειών με βάση το ΓΚΠΔ
Ως έχει σημειωθεί ανωτέρω και σύμφωνα με το προηγούμενο νομικό καθεστώς στον τομέα προστασίας των προσωπικών δεδομένων τόσο οι Δικηγόροι αλλά και οι Δικηγορικές τους Εταιρείες διατηρούσαν την ιδιότητα του υπεύθυνου επεξεργασίας στοιχείο που μεταβάλλεται με τον ΓΚΠΔ εφόσον διαλαμβάνονται νέες ιδιότητες στο γενικότερο πλαίσιο. Ιδιότητες οι οποίες έχουν εντάξει τον Δικηγόρο του σε ένα εντελώς διαφορετικό και ιδιαίτερο καθεστώς από εκείνο των υπολοίπων επαγγελματικών τομέων με τρόπο που έχει προκαλέσει πανευρωπαϊκές συζητήσεις αλλά και παρέμβαση Δικηγορικών Σωμάτων στον διάλογο.
Σύμφωνα με τον ΓΚΠΔ και το 4.7 «υπεύθυνος επεξεργασίας»: ερμηνεύεται ως το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, δηλαδή εν ολίγοις είναι το πρόσωπο ή ο φορέας που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων. Παράλληλα με το άρθρο 4.8 του ΓΚΠΔ ως «εκτελών την επεξεργασία» το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας ή συνοπτικά το πρόσωπο ή ο φορέας που εκτελεί επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας.
Οι ως άνω ιδιότητες αποκτούν ιδιαίτερη σημασία στον ρόλο του Δικηγόρου διότι μεταφέρουν αυξημένες υποχρεώσεις στους Δικηγόρους για σκοπούς συμμόρφωσης τους με τον ΓΚΠΔ αλλά και προβληματισμό των Δικηγόρων ή Δικηγορικών Εταιρειών ως προς την συναφή ιδιότητα.  
Τούτο γιατί ο υπεύθυνος επεξεργασίας φέρει πλέον το βάρος της απόδειξης όσον αφορά την παροχή συγκατάθεσης[9], κέκτηται υποχρέωσης να λαμβάνει συγκατάθεσης για ανήλικους κάτω των 16 ετών[10] για προσφορά υπηρεσιών της κοινωνίας των πληροφοριών, υποχρέωση καθορισμού ευθυνών δια συμφωνία όταν υπάρχουν από κοινού υπεύθυνοι επεξεργασίας, τήρηση αρχείων των δραστηριοτήτων επεξεργασίας[11], υποχρέωση τήρησης ασφάλειας της επεξεργασίας[12], υποχρέωση γνωστοποίησης παραβάσεων και ανακοινώσεων παραβιάσεων ασφαλείας[13], τήρηση κώδικα δεοντολογίας[14] και πιστοποίηση[15].  Αντίστοιχα ο Εκτελών την Επεξεργασία υποχρεούται όπως επεξεργάζεται τα δεδομένα μόνο βάσει κατόπιν εντολών του υπεύθυνου επεξεργασίας[16], τηρεί αρχείο καταγραφής δραστηριοτήτων επεξεργασίας[17], λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της επεξεργασίας[18], ενημερώνει τον Υπεύθυνο επεξεργασίας για τυχόν παραβιάσεις[19], διορίζει Υπεύθυνο προστασίας δεδομένων,[20] υπόκειται στον έλεγχο της εποπτικής αρχής[21] και υπόκειται σε κυρώσεις[22].
Εξαιτίας του προβληματισμού αλλά και των συχνών ερωτημάτων που υποβάλλονταν στο Γραφείο της Κυπριακής ΑΠΔΠΧ[23] παραδειγματικά ανέφερε ότι οι Δικηγόροι ή τα Δικηγορικά Γραφεία που εκπροσωπούν τον πελάτη τους ενώπιον Δικαστηρίου και συλλέγουν και επεξεργάζονται δεδομένα αποκλειστικά για το σκοπό αυτό θα πρέπει να θεωρείται υπεύθυνος επεξεργασίας ως επίσης σε περίπτωση που προσφέρονται Διοικητικές Υπηρεσίες σε Εταιρείες που τελούν υπό τον έλεγχο του ΠΔΣ. Αντί τούτων  υπηρεσίες που προσφέρονται, όπως νομικές συμβουλές ή οι υπηρεσίες εξωτερικού συμβούλου οργανισμών συμπεριλαμβανομένων δικαστηριακών ή εξωδικαστηριακών υπηρεσιών θα πρέπει να θεωρείται εκτελών την επεξεργασία.  
Η Αντίστοιχη Αγγλική Αρχή ΠΔΠΧ[24] σε ειδική έκδοση την οποία έχει δημοσιεύσει ειδικά για να διασαφηνίσει τους ρόλους μεταξύ του υπεύθυνου και του εκτελούντα την επεξεργασία[25] αναγνωρίζει ότι οργανισμοί συχνά χρησιμοποιούν τις επαγγελματικές υπηρεσίες ειδικών μεταξύ αυτών και Δικηγόρων για την προσφορά νομικών συμβουλών. Σ’ αυτές τις περιπτώσεις οι πελάτες δεν έχουν την αποκλειστικότητα ευθύνη στην επεξεργασία των δεδομένων παρά το γεγονός ότι αυτοί είναι που έχουν αρχίσει την εργασία δίνοντας εντολή για την συμβουλή ή για την ετοιμασία γνωμάτευσης. Ευθύνη επιβαρύνει και τον επαγγελματία, ήτοι τον Δικηγόρο, επειδή καθορίζει το είδος των πληροφοριών ή των στοιχείων που απαιτούνται για σκοπούς επεξεργασίας και ολοκλήρωσης της απαιτούμενης υπηρεσίας. Ο πελάτης λαμβάνει νομική συμβουλή και ανεξάρτητα αν υιοθετεί ή όχι την γνώμη του ειδικού, δεν δύναται να απαιτήσει από τον Δικηγόρο να τροποποιήσει την συμβουλή του με αποτέλεσμα ο Δικηγόρος να ελέγχει τη διαδικασία επεξεργασίας με τον δικό του τρόπο και σκοπό ως επίσης και του περιεχομένου της συμβουλής του[26]. Με αυτό τον τρόπο η κυριαρχία του ρόλου του Δικηγόρου να καθορίζει και τον χαρακτηρισμό του ως υπεύθυνου επεξεργασίας των δεδομένων(this points towards lawyers and similar professional service providers being data controllers in their own right).[27] Είναι εξίσου σημαντικό να τονιστεί ότι για την συμβουλή αυτή ο Δικηγόρος αναλαμβάνει και μια σειρά από άλλες ευθύνες όπως την τήρηση αρχείου, την εμπιστευτικότητα των επικοινωνιών και ασφαλώς την ευθύνη της επαγγελματικής του γνώμης ή συμβουλής. Είναι ενδεικτικό ακόμα το στοιχείο ότι στην Ελλάδα προσφάτως δημόσιες αρχές όπως το Υπουργείο Διοικητικής Ανασυγκρότησης[28] αλλά και το Υφυπουργείο Εσωτερικών[29] δημοσίευσαν σχετικές εγκυκλίους με τις οποίες τονίζουν ότι Δικηγόροι οι οποίοι εκπροσωπούν τους πελάτες τους, όχι μόνο ενώπιον Δικαστικών Αρχών, αλλά σε Διοικητικές Αρχές δεν θεωρούνται τρίτα πρόσωπα αλλά εντολείς των πελατών τους και δύνανται να συλλέγουν πιστοποιητικά προσωπικής και οικογενειακής κατάστασης που περιλαμβάνουν δεδομένα των πολιτών εμπιστευτικού χαρακτήρα ικανοποιώντας το κριτήριο του εννόμου συμφέροντος χωρίς την παρουσίαση πληρεξουσίου αφού αρκεί η προφορική και ρητή εντολή που του δίδεται σύμφωνα με τις διατάξεις ειδικού νόμου που διέπει τον τρόπο άσκησης του επαγγέλματος.
Κατά συνέπεια καθίσταται πρόδηλο ότι οι αρχές και οι ιδιότητες που επιβάλλει ο Κανονισμός ερμηνεύονται και επεξηγούνται με διαφορετικό τρόπο από τις ίδιες τις αρμόδιες Αρχές,. Το γεγονός αυτό δημιουργεί διχογνωμίες, δυσκολίες στην διασαφήνιση των ρόλων των Δικηγόρων με αποτέλεσμα να καθίσταται αναγκαία η εξέταση της κάθε περίπτωσης ξεχωριστά στη βάση των ίδιων και δικών της ξεχωριστών κριτηρίων. Από την άλλη αυτή η διχογνωμία[30], εγκυμονεί σοβαρούς κινδύνους και συνέπειες και εάν διατηρηθεί θα δημιουργήσει περαιτέρω αβεβαιότητα για τους υπευθύνους και/ή τους εκτελούντες και/ή τους υποκείμενους του Κανονισμού λαμβάνοντας υπόψη δε τις εξουσίες της επικεφαλής εποπτικής Αρχής να προβαίνει σε ελέγχους και να επιβάλλει κυρώσεις. Αξίζει να σημειωθεί επίσης ότι σε περίπτωση σύμφωνα με τον ΓΚΠΔ[31] όταν η επεξεργασία γίνεται από δημόσιες αρχές ή ιδιωτικούς φορείς που ενεργούν βάσει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε), αρμόδια είναι η εποπτική αρχή του οικείου κράτους μέλους η θέση της οποίας υπερισχύει έναντι οποιασδήποτε διαφορετικής ερμηνείας άλλης εποπτικής αρχής.
Είναι επίσης σημαντικό να σημειωθεί ότι ο Δικηγόρος κατά την ενάσκηση των επαγγελματικών δραστηριοτήτων του ή υποχρεώσεων ή του λειτουργήματος του είναι υποχρεωμένος να προβεί σε μια σειρά από υποχρεώσεις. Σε περίπτωση κατά την οποία ο Δικηγόρος επεξεργάζεται προσωπικά δεδομένα προκειμένου να συμμορφωθεί σε υποχρέωση που επιβάλλεται από τον νόμο η νομική βάση εντοπίζεται στο άρθρο 6.1.γ του ΓΚΠΔ : «Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις … (γ)  η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας» ενώ όταν επεξεργάζεται προσωπικά δεδομένα τρίτων προσώπων για την εκτέλεση εντολής ή εκπροσώπησης ή παροχής νομικών υπηρεσιών εν γένει, η νομική βάση εντοπίζεται και στο άρθρο 6.1 (στ)
«η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί».
Στις περιπτώσεις που ο Δικηγόρος επεξεργάζεται δεδομένα που εμπίπτουν στις ειδικές κατηγορίες (πρώην ευαίσθητα) εφόσον τέτοια επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων τότε είναι θεμιτή τέτοια επεξεργασία δυνάμει του άρθρου 9.2.(στ).
Στην περίπτωση που η επεξεργασία αφορά ποινικές διώξεις και καταδίκες εφαρμόζεται αντίστοιχα το άρθρο 10 του ΓΚΠΔ. Περαιτέρω η χρήση προσωπικών δεδομένων ως αποδεικτικών μέσων σε μια δίκη χωρίς τη συγκατάθεση του υποκειμένου είναι επιτρεπτή εφόσον αυτή είναι απολύτως αναγκαία και εφόσον τέτοια αναγκαιότητα δεν είναι δυνατή να επιτευχθεί με άλλο ηπιότερο μέσο[32]. Π.χ. χρήση email που αποδεικνύει αθέμιτη σύμπραξη 2 συναλλασσόμενων ή για παράδειγμα χρήση φωτογραφίας αντιδίκου που τον δείχνει να λαμβάνει δώρο πανάκριβο αυτοκίνητο από συγγενικό του πρόσωπο την ίδια ώρα που επιδιώκει την κατάσχεση ποσού χρεώστη του συγγενικού του προσώπου επειδή το συγγενικό του πρόσωπο δεν είναι σε θέση να του καταβάλει το οφειλόμενο εξ’ αποφάσεως χρέος.
Περαιτέρω είναι σημαντικό να αναφερθεί  «ο παρών κανονισμός δεν αποκλείει το δίκαιο των κρατών μελών να προσδιορίζει τις περιστάσεις ειδικών καταστάσεων επεξεργασίας, μεταξύ άλλων τον ακριβέστερο καθορισμό των προϋποθέσεων υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη». Κατά συνέπεια και δραστηριότητες Δικηγόρων κατά την ενάσκηση των επαγγελματικών τους υποχρεώσεων του για λογαριασμό του εντολέα πελάτη τους που επιτρέπονται εξαιτίας ειδικών καταστάσεων που καθορίζονται από το δίκαιο των κρατών μελών δυνατό να είναι επιτρεπτή. π.χ. χρήση δεδομένων του πελάτη ενόψει συζητήσεων με αντίδικο δικηγόρο εφόσον επιδιώκεται η επίτευξη συμβιβαστικής συμφωνίας για λογαριασμό του πελάτη του Δικηγόρου και αυτή η επιδίωξη τελεί υπό την έγκριση του πελάτη και/ή στο πλαίσιο της εντολής του.
Ευθύνες Υπεύθυνου Επεξεργασίας και Εκτελούντα την Επεξεργασία
Αποτελεί δικαίωμα σε κάθε υποκείμενο των δεδομένων να υποβάλει καταγγελία σε εποπτική αρχή εάν θεωρεί ότι η επεξεργασία των δεδομένων που το αφορά παραβαίνει τον Κανονισμό[33]. Περαιτέρω, κάθε υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος κανονισμού. Η διαδικασία κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία κινείται ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχουν εγκατάσταση. Εναλλακτικά, η εν λόγω διαδικασία μπορεί να κινηθεί ενώπιον των δικαστηρίων του κράτους μέλους στο οποίο το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία είναι δημόσια αρχή κράτους μέλους η οποία ενεργεί κατά την άσκηση των δημόσιων εξουσιών της.[34]
Από τα ως άνω προκύπτει ότι κάθε υποκείμενο επεξεργασίας δεδομένων δύναται να στραφεί μέσω των ίδιων διαδικασία διαζευκτικά είτε εναντίον του υπεύθυνου επεξεργασίας ή του εκτελούντα την επεξεργασία ή αλληλέγγυα εναντίον και των δύο.
Ποια είναι τότε η σημασία της διαφοροποίησης στους ρόλους πέραν από τις υποχρεώσεις και τα λοιπά τυπικά[35] στοιχεία που επιβάλλει ο ΓΚΠΔ λαμβάνοντας ιδιαίτερα υπόψη το γεγονός ότι σύμφωνα με το άρθρο 24 και 28 τόσο ο υπεύθυνος την επεξεργασία αλλά και ο εκτελών έχουν ευθύνες έναντι των υποκείμενων προστασίας σύμφωνα με τον Κανονισμό;
Σύμφωνα με το άρθρο 82 του ΓΚΠΔ το πρόσωπο που έχει υποστεί υλική ή μη ζημία ως αποτέλεσμα της παραβίασης δικαιούται αποζημίωσης από τον υπεύθυνο ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη[36]. Από το εδάφιο (2) του ίδιου άρθρου προκύπτει ότι ο υπεύθυνος επεξεργασίας έχει ευθύνη για ζημία που προκλήθηκε από την εκ μέρους του επεξεργασία που παραβαίνει τον κανονισμό ενώ ο εκτελών την επεξεργασία ευθύνεται μόνο για την ζημία που προκάλεσε η επεξεργασία εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του κανονισμού που τον αφορούν ή ενήργησε αντίθετα από τις νόμιμες εντολές του υπεύθυνου επεξεργασίας. 
Είναι λοιπόν μια θέση ότι ο υπεύθυνος την επεξεργασία υπέχει είτε αποκλειστικής ευθύνης είτε συντρέχουσας ευθύνης μετά του εκτελούντα εφόσον ο κάθε εκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα επενεργεί για λογαριασμό του υπεύθυνου την επεξεργασία. Κατά συνέπεια ενδέχεται η ευθύνη του υπεύθυνου την επεξεργασία να κρίνεται και να αξιολογείται σε κάθε περίπτωση στη νομική σχέση αλλά και στην έκταση της σχέσης που διαμορφώνεται μεταξύ του ιδίου και του εκτελούντα την επεξεργασία ιδιαίτερα εκεί που η επεξεργασία από τον εκτελούντα δεν διέπεται από σύμβαση αλλά από νομική σχέση υπαγόμενη στο δίκαιο του κράτους μέλους[37]. Είναι δυνατό με αυτά τα δεδομένα ο εκτελών την επεξεργασία να υπέχει θέση αντιπροσώπου του υπεύθυνου την επεξεργασία και ο υπεύθυνος του αντιπροσωπευόμενου στην επεξεργασία.
Ενισχυτικό της πιο πάνω άποψης είναι το στοιχείο ότι στο πλαίσιο νομικής πράξης η επεξεργασία από τον εκτελούντα γίνεται στο πλαίσιο εντολών του υπεύθυνου την επεξεργασία παράβαση των εντολών του οποίου ίσως να δημιουργεί την μοναδική περίπτωση αποκλειστικής ευθύνης του εκτελούντα την επεξεργασία ως διαλαμβάνει εξ’ άλλου το άρθρο 82.2 του Κανονισμού που καλύπτει την περίπτωση ο εκτελών να ενεργεί αντίθετα προς τις νόμιμες εντολές του υπεύθυνου επεξεργασίας.
Η διαφοροποίηση αυτή σε επίπεδο ευθύνης είναι που ίσως να προσδίδει και επαυξημένη σημασία στην διαφορά της έννοιας των ρόλων μεταξύ του υπεύθυνου την επεξεργασία και του εκτελούντα την επεξεργασία ιδιαίτερα με δεδομένο ότι τέτοια σύμβαση ή άλλη νομική πράξη υφίσταται γραπτώς , μεταξύ άλλων σε ηλεκτρονική μορφή[38].
Τα Κύρια Βήματα Συμμόρφωσης Δικηγορικού Γραφείου Σύμφωνα με τον ΓΚΠΔ
Τα βήματα, όπως έχει υιοθετηθεί από πολλές εποπτικές αρχές όπως της Ιρλανδίας και του Ηνωμένου Βασιλείου, αποτελούν τα βασικά βήματα που οι Οργανισμοί πρέπει να λάβουν για να προετοιμαστούν για την συμμόρφωση τους με τον ΓΚΠΔ[39].
Ο δικηγόρος, ως υπεύθυνος επεξεργασίας, σύμφωνα με τον Κανονισμό 2016/679, οφείλει να τηρεί τις υποχρεώσεις που επιβάλλει ο Κανονισμός, ήτοι:
1. Να τηρεί αρχείο δραστηριοτήτων επεξεργασίας
2. Να διαθέτει έντυπο ενημέρωσης των πελατών, σύμφωνα με το άρθρο 13 του Κανονισμού. Δεν οφείλει να λαμβάνει συναίνεση από τους πελάτες του, εκτός αν πρόκειται να κάνει χρήση δεδομένων και για άλλους σκοπούς, πέρα από την τήρηση αρχείου με σκοπό την διεκπεραίωση της εντολής.
3. Να σέβεται στην πράξη τα δικαιώματα των πελατών του για τα οποία οφείλει να τον ενημερώνει σύμφωνα με τα πιο κάτω:
Α) δικαίωμα πρόσβασης. Το δικαίωμα να γνωρίζει αν τα προσωπικά του δεδομένα υφίστανται επεξεργασία, πως και για ποιο σκοπό.
Β) Δικαίωμα διόρθωσης. Το δικαίωμα να ζητήσει τη διόρθωση προσωπικών δεδομένων που είναι ανακριβή ή ελλιπή.
Γ) Δικαίωμα διαγραφής. Το δικαίωμα να ζητήσει διαγράφη των προσωπικών του δεδομένων. Ισχύει περιορισμένα και μόνο μετά το πέρας της εντολής, εφόσον δεν είναι πλέον απαραίτητα τα δεδομένα αυτά.
Δ) Δικαίωμα περιορισμού της επεξεργασίας δεδομένων.
Ε) Δικαίωμα στη φορητότητα. Το δικαίωμα να σταλούν τα δεδομένα ηλεκτρονικά (εφόσον τηρούνται ηλεκτρονικά) σε άλλον δικηγόρο
Χρόνο άσκησης των δικαιωμάτων : Να καθοριστεί χρονοδιάγραμμα άσκησης των δικαιωμάτων και σε περίπτωση που αρνείται να ικανοποιήσει αυτά ή καθυστερεί να τα ικανοποιήσει πρέπει να εξηγήσει τους λόγους καθυστέρησης.
Να έχει πρωτόκολλο και να τηρεί μια διαδικασία για τη διαχείριση των περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα και ειδικότερα για την γνωστοποίηση των περιστατικών παραβίασης προσωπικών δεδομένων (πχ παραβίαση ασφαλείας (hacking), μόλυνση με κακόβουλο λογισμικό (όπως ransomware), απώλεια USB, φορητού υπολογιστή κλπ., στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και για την ενημέρωση των φυσικών προσώπων τα οποία αφορά το περιστατικό, όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες τους (σχετικές φόρμες επισυνάπτονται).
Να λαμβάνει τεχνικά και οργανωτικά μέτρα ασφαλείας δεδομένων, όπως για παράδειγμα να εντάξει πολιτική καθαρού γραφείου.
Να καταρτίζει συμφωνίες εμπιστευτικότητας με τους συνεργάτες δικηγόρους και ασκούμενους δικηγόρους.
Να καταρτίζει συμβάσεις με εκτελούντες την επεξεργασία (δικαστικούς επιμελητές, συμβολαιογράφους κλπ.).
Η ιστοσελίδα του δικηγορικού γραφείου να διαθέτει πολιτική προστασίας δεδομένων και ενημέρωση για cookies (cookies policy).
Η αποστολή newsletters του γραφείου πρέπει να διενεργείται με λήψη συγκατάθεσης.

* Γιώργος Τ. Χριστοφίδης- Δικηγόρος – Eιδικό Διδακτικό Προσωπικό Πανεπιστημίου Frederick[40]


[1] Περί Δικηγόρων Νόμος, Κεφάλαιο 2.
[2] Άρθρο 6Γ(11), Περί Δικηγόρων Νόμου, Κεφάλαιο 2.
[3] Ν 138(Ι)/2001 ως έχει τροποποιηθεί.
[4] Γρηγόρης Τσολιάς «Η επεξεργασία προσωπικών Δεδομένων από το Δικηγόρο σύμφωνα με τον ΓΚΠΔ», www.lawspot.gr/nomika-nea/i-epexergasia-prosopikon-dedomenon-apo-dikigoro 21.11.2018
[5] Άρθρο 3 ΓΚΠΔ , ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2016/679 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)
[6] Άρθρο 5 ΓΚΠΔ
[7] Άρθρο 6 ΓΚΠΔ
[8] Άρθρο 7 του ΓΚΠΔ
[9] Άρθρο 7 ΓΚΠΔ
[10] Άρθρο 8 ΓΚΠΔ. Η ΚΔ έχει προβλέψει δια νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς και συγκεκριμένα έχει καθορίσει την ηλικία των 14 ετών για σκοπούς εφαρμογής της νομοθεσίας , οπόταν και απαιτείται συγκατάθεση από πρόσωπο που έχει τη γονική μέριμνα του παιδιού για να είναι σύννομη η επεξεργασία.
[11] Άρθρο 30 ΓΚΠΔ
[12] Άρθρο 32 του ΓΚΠΔ
[13] Άρθρα 33 & 34 του ΓΚΠΔ
[14] Άρθρο 40-41 του ΓΚΠΔ.
[15] Άρθρα 42-43 του ΓΚΠΔ.
[16] Άρθρο 28 του ΓΚΠΔ.
[17] Άρθρο 30 του ΓΚΠΔ.
[18] Άρθρο 32 του ΓΚΠΔ.
[19] Άρθρο 33 του ΓΚΠΔ.
[20] Άρθρο 37 του ΓΚΠΔ.
[21] Άρθρα 57 και 58 του ΓΚΠΔ.
[22] Άρθρα 82-84 του ΓΚΠΔ.
[23] «Ο ρόλος των Λογιστών / Ελεγκτών και Δικηγόρων με βάση το ΓΚΠΔ», Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ημ. 14.9.2018.
[24] Information Commissioner’s Office, United
[25] «Data Controllers and Data processors: what the difference is and what the governance implications are», ICO 2018.
[26] Ανωτέρω σελ.9-10.
[27] Ανωτέρω σελ.10, Παρ. 28.
[28] «Εκπροσώπηση των πολιτών στις Διοικητικές Αρχές από Δικηγόρους», www.lawspot.gr, ημ. 15.11.2018
[29] «Διευκρινήσεις για την εκπροσώπηση πολιτών από δικηγόρους ενώπιον ληξιαρχείων και των δημοτολογίων» www.lawspot.gr, ημ. 28.11.2018
[30] Βασίλης Σωτηρώπουλος «Σύστημα Αρχειοθέτησης» στο Δικηγορικό Γραφείο», 31.5.2018 , www.elawyer.blogspot.com
[31] Άρθρο 55.2 ΓΚΠΔ
[32] Δρ. Ευάγγελος Μαργαρίτης, «Χρήση προσωπικών δεδομένων ως Αποδεικτικών Μέσων», www.lawspot.gr ημ. 17.10.2018
[33] Άρθρο 77 ΓΚΠΔ.
[34] Άρθρα 79 (1) και (2) του ΓΚΠΔ
[35] Άρθρο 28 του ΓΚΠΔ: (3) Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας.
[36] (1) Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.
[37] Άρθρο 28(3) Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.
[38] Άρθρο 28(9) ΓΚΠΔ.
[39] The GDPR and You; Preparing for 2018, Irish Data Protection Commissioner
[40] Εισήγηση στο Σεμινάριο «Ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα», Training for a European Area of Justice (Frederick – ΚΔΕΟΔ), ημ. 5-8 Δεκεμβρίου 2018.

Σχόλια