Αρχική Εταιρική διακυβέρνηση των Ανωνύμων Εταιρειών του Δημοσίου και των λοιπών θυγατρικών της Ελληνικής Εταιρείας Συμμετοχών και ΠεριουσίαςΜΕΡΟΣ Β΄ Αξιολόγηση της έναντι του Δημοσίου φερεγγυότητας και πιστοληπτικής ικανότητας φυσικών και νομικών προσώπων – Σύσταση Ανεξάρτητης Αρχής Πιστοληπτικής Αξιολόγησης (άρθρα 46-108)Σχόλιο του χρήστη Σπυριδούλα Καρύδα | 10 Αυγούστου 2022, 18:33
- Αρχική
- Πρωθυπουργός της Ελλάδας
- Ανοικτή Διακυβέρνηση
- Δικτυακός Τόπος Υπουργείου
- Διαβουλεύσεις Υπουργείων
Με αφορμή τη θέση σε διαβούλευση του ΣχΝ του Υπουργείου Οικονομικών υπό τον τίτλο «Εταιρική διακυβέρνηση των Ανωνύμων Εταιρειών του Δημοσίου και των λοιπών θυγατρικών της Ελληνικής Εταιρείας Συμμετοχών και Περιουσίας, διαχείριση συμμετοχών του Δημοσίου σε ανώνυμες εταιρείες και ρυθμίσεις για την Ελληνική Εταιρεία Συμμετοχών και Περιουσίας, αξιολόγηση της έναντι του Δημοσίου φερεγγυότητας και πιστοληπτικής ικανότητας φυσικών και νομικών προσώπων και σύσταση Ανεξάρτητης Αρχής Πιστοληπτικής Αξιολόγησης, ίδρυση και λειτουργία Κεντρικού Μητρώου Πιστώσεων» και ειδικότερα όσον αφορά τα προτεινόμενα άρθρα 46-63 «Αξιολόγηση της έναντι του Δημοσίου φερεγγυότητας και πιστοληπτικής ικανότητας φυσικών και νομικών προσώπων» μέσω των οποίων επιχειρείται, το πρώτον, η θέσπιση τομεακού εθνικού νομοθετικού πλαισίου για την αξιολόγηση της πιστοληπτικής ικανότητας φυσικών και νομικών προσώπων (του γνωστού σε όλους μας ‘scoring’), διατυπώνω συνοπτικά τις ακόλουθες παρατηρήσεις: Α. Επί της Αρχής του ΣχΝ Με τα άρθρα 46-63 του ΣχΝ επιχειρείται να θεσπισθεί τομεακή νομική βάση επεξεργασίας, με βάση την αρχή της «επιτρεπτικότητας» που διαπνέει όλο το δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα (Verbotsprinzip mit Erlaubnisvorbehalt),στηριζόμενη, μεταξύ άλλων, όσον αφορά την πιστοληπτική βαθμολόγηση, και στη διατύπωση του άρθρου 22 παρ.2 στοιχ β) του ΓΚΠΔ, η οποία δίδει ρήτρα ανοίγματος στα ΚΜ [ βλ. Buchner:Kühling/Buchner, DS-GVO/BDSG, 3η έκδ. 2020, άρ. 22, αρ. 37-38]. Όπως επεσήμανα και στην παρέμβασή μου για την τεχνητή νοημοσύνη, ακριβώς το ζήτημα αυτό, δηλαδή αν η επιχειρούμενη ρύθμιση, η οποία περιλαμβάνει αυτοματοποιημένη λήψη απόφασης αλλά και profiling, εμπίπτει στο ρυθμιστικό πεδίο του ΓΚΠΔ και ειδικότερα στο άρθρο 22 ΓΚΠΔ (κατ’ εμέ δεν υπάρχει αμφιβολία, αλλά το ΔΕΕ αρμόδιο να αποφανθεί) και ως προς το ζήτημα του εύρους του δικαιώματος ενημέρωσης/ πρόσβασης ή παροχής εξηγήσεων στο υποκείμενο των δεδομένων, προκειμένου για λήψη αυτοματοποιημένης απόφασης/profiling που το αφορά, σύμφωνα με το άρθρο 15 παρ.1 στοιχείο η) του ΓΚΠΔ σε συνδυασμό με το άρθρο 22 του ΓΚΠΔ, εκκρεμούν αυτή τη στιγμή σχετικές υποθέσεις στο ΔΕΕ [ενδεικτικώς: Υποθέσεις C-203/22 Dun & Bradstreet Austria, C-634/21 SCHUFA Holding] και μάλιστα εξ αυτών η C-634/21 αφορά στην ερμηνεία του αντίστοιχου άρθρου 31 του BDSG (γίνεται σχετική μνεία στην έκθεση συνεπειών ρύθμισης του άρθρου αυτού ως πρακτική αλλοδαπής έννομης τάξης).Αντιλαμβάνομαι πλήρως τον δικαιοπολιτικό λόγο πρότασης του ΣχΝ, ωστόσο, και σε αυτό το ΣχΝ, δεν μπορώ να μην παρατηρήσω ότι η αλληλεπίδρασή του με τον ΓΚΠΔ και τον ν.4624/2019 (Α΄137) για την προστασία δεδομένων προσωπικού χαρακτήρα, αλλά και με τον ν. 4961/2022 ( A΄146) για την τεχνητή νοημοσύνη, κατά την άποψη μου, είναι προβληματική και για αυτό, ενόψει των κινδύνων που εγκυμονεί για τα θεμελιώδη δικαιώματα των φυσικών προσώπων, υπό προϋποθέσεις και νομικών προσώπων, ως πρώτη παρατήρηση, θα πρότεινα να ζητηθεί η γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ( ΑΠΔΠΧ). Περαιτέρω, εν συντομία επισημαίνω τα ακόλουθα: 1.Θα πρέπει να γίνει μνεία και να φωτισθεί επαρκώς η αλληλεπίδραση του ΣχΝ με τα άρθρα 3 -8 του ν. 4961/2022 και εξηγούμαι: Η απαλλακτική ρήτρα του άρθρου 3 του ν. 4961/2022 δεν με καλύπτει και είναι ακατανόητη. Εφόσον δημόσιος ή ιδιωτικός φορέας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα (δπχ) με χρήση αλγόριθμου ( βλ. άρθρο 54 παρ.1 ΣχΝ), αυτονοήτως εμπίπτει στο ρυθμιστικό πεδίο του ΓΚΠΔ, του ν. 4624/2019 και του ν. 4961/2022. Και όμως, στο προτεινόμενο ΣχΝ απουσιάζει παραπομπή στα ως άνω άρθρα του ν. 4961/2022. Απουσιάζει πρόβλεψη για αλγοριθμική εκτίμηση αντικτύπου του άρθρου 5 ν.4621/2022 και του άρθρου 35 του ΓΚΠΔ. Σκόπιμο θα ήταν να προστεθεί και να διευκρινισθεί το ζήτημα αυτό. Περαιτέρω, με το άρθρο 6 του ν. 4961/2022 θεσπίζονται ειδικότερες υποχρεώσεις διαφάνειας δημόσιων φορέων όταν χρησιμοποιούν συστήματα τεχνητής νοημοσύνης και μάλιστα με την παρ. 2 δίδεται δικαίωμα ενημέρωσης ως προς τις παραμέτρους για τη λήψη απόφασης. Εκτιμώ ότι θα πρέπει να γίνει σχετική παραπομπή σε αυτήν την διάταξη για λόγους που άπτονται της αποτελεσματικής δικαστικής προστασίας του υποκειμένου των δεδομένων, αλλά και της άσκησης του δικαιώματος της αντίρρησης έναντι της πιστοληπτικής βαθμολόγησης ( άρθρο 57 ΣχΝ). Φυσικά, υπερισχύει ο ΓΚΠΔ, αλλά ενόψει του άρθρου 6 του ν. 4961/2022 σκόπιμο θα ήταν να παρασχεθεί σχετική διευκρίνιση. Επισημαίνονται ως προς αυτό τα άρθρα 13 παρ. 2 στ), 14 παρ. 2 περ. ζ) και άρθρο 15 παρ. 1 η) ΓΚΠΔ και η σχετική προβληματική για το δικαίωμα πρόσβασης στον αλγόριθμο και αν αυτό προσκρούει σε trade secrets. Επίσης, ενώ η εν θέματι επεξεργασία δεν φαίνεται να απαγορεύεται από τον ΓΚΠΔ (πρόβλεψη για την οικονομική κατάσταση Αιτ.Σκ. 71 ΓΚΠΔ), απουσιάζει, ως δικλείδα ασφαλείας, η πρόβλεψη ανθρώπινης παρέμβασης και άλλων μέτρων, όπως αναλυτικά αναφέρονται στην Αιτ.Σκ 71 του ΓΚΠΔ. Δεν φωτίζεται επίσης επαρκώς η αλληλεπίδρασή του με το ν. 4624/2019, ο οποίος περιλαμβάνει εξαιρέσεις ως προς τα δικαιώματα του υποκειμένου των δεδομένων, στηριζόμενα στο άρθρο 23 ΓΚΠΔ, το οποίο επίσης αλληλοεπιδρά με το scoring, καθώς και ρυθμίσεις για την επεξεργασία για άλλους σκοπούς (άρθρο 6 παρ.4 ΓΚΠΔ). 2.Στο άρθρο 50 παρ.2 να διευκρινισθεί εάν η παροχή των πρόσθετων δεδομένων αφορά σε αννωνυμοποιημένα δεδομένα. 3.Στο άρθρο 51 περ.γη περιλαμβάνεται πρόβλεψη για χορήγηση δεδομένων που άπτονται ποινικών διώξεων, καταδικών κλπ από ποινικά δικαστήρια και αρμόδιες αρχές. Κατά την άποψή μου η περίπτωση αυτή κλείνει ρήτρα ανοίγματος του άρθρου 47 ν. 4624/2019 (επεξεργασία για άλλους σκοπούς) και σκόπιμο θα ήταν για λόγους σαφήνειας να επισημανθεί. 4. Με το άρθρο 52 παρ. 1 περ. β δίδεται δικαίωμα πρόσβασης σε δικαστικές και εισαγγελικές αρχές και λοιπές αρμόδιες αρχές στο πλαίσιο της απονομής της δικαιοσύνης και ιδίως της πρόληψης και καταστολής της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες και της χρηματοδότησης της τρομοκρατίας. Στο μέτρο όμως που οι σκοποί επεξεργασίας είναι οι σκοποί του άρθρου 43 ν. 4624/2019 τότε η επεξεργασία αυτή δεν εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ αλλά του Δ΄ Κεφαλαίου του ν. 4624/2019 και αυτό θα πρέπει να διευκρινισθεί. 5. Στο άρθρο 52 παρ. 4 ζητείται τεκμηρίωση από το υποκείμενο των δεδομένων προκειμένου για συμπλήρωση, διόρθωση δεδομένων οικονομικής συμπεριφοράς. Αναδεικνύεται και εδώ το ζήτημα της ενημέρωσης του υποκειμένου των δεδομένων και τίθεται κατά την άποψή μου και ανεπίτρεπτο βάρος απόδειξης σε αυτό. Η ιδρυθείσα Αρχή είναι διοικητική αρχή και υποχρεούται σε αναζήτηση και επικαιροποίηση των σχετικών στοιχείων (βλ. άρθρο 5 ΓΚΠΔ). Ως εκ τούτου, η απαίτηση για «απαραίτητη τεκμηρίωση» από πλευράς υποκειμένου των δεδομένων είναι ασαφής και παραβιάζει και την αρχή της αναλογικότητας. 6. Να διαγραφεί η περ. γ της παρ.1 άρθρου 52. Αυτονοήτως, η ΑΠΔΠΧ κατά την άσκηση των αρμοδιοτήτων της θα μπορεί να έχει πρόσβαση στα δεδομένα αυτά. Η πρόβλεψη ξεχωριστής νομικής βάσης δεν είναι αναγκαία και πρέπει να διαγραφεί. 7. Η πρόβλεψη για διατήρηση κάθε δεδομένου επί 10ετία από την στιγμή της άντλησής του στο σύστημα δεν παρέχει επαρκή προστασία στο υποκείμενο των δεδομένων. Από την άλλη πλευρά, δεν προβλέπεται μεγαλύτερος χρόνος διατήρησης, ενόψει ποινικών ή άλλων εκκρεμών δικών. Η πρόβλεψη είναι ατελής και χρήζει συμπλήρωσης. 8. Στο άρθρο 54 γίνεται ρητή επίκληση χρήσης αλγόριθμου, όποτε η αλληλεπίδραση με τεχνητή νοημοσύνη κλ.π. εκτιμώ δεν αμφισβητείται. 9.Το άρθρο 56 «Χορήγηση ενημέρωσης πιστοληπτικής βαθμολόγησης σε φορείς του ιδιωτικού τομέα» κατά την άποψή μου αφορά σε επεξεργασία για άλλους σκοπούς, σύμφωνα με το άρθρο 6 παρ.4 του ΓΚΠΔ. Η ρύθμιση φαίνεται να έχει ως νομική βάση τη συγκατάθεση του υποκειμένου των δεδομένων, αναρωτιέμαι όμως κατά πόσο η συγκατάθεση αυτή μπορεί να θεωρηθεί ελεύθερη και εν πλήρει επιγνώσει? Περαιτέρω, το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων το οποίο συνδέεται άμεσα και με το νομότυπο της συγκατάθεσής του, όπως το εννοεί ο ΓΚΠΔ (άρθρο 4 στοιχ. 11 ΓΚΠΔ), δεν μπορεί να αφεθεί στις προβλέψεις του άρθρου 56 παρ. 3 του ΣχΝ, οι οποίες κρίνονται ως αόριστες και ανεπαρκείς σε σχέση με τον κίνδυνο του υποκειμένου των δεδομένων ( βλ. Αιτ.Σκ 50 ΓΚΠΔ).Η επεξεργασία για άλλους σκοπούς είναι από τα πιο αμφιλεγόμενα ζητήματα του ΓΚΠΔ και απαιτεί επαρκή θεμελίωση. 10. Για το δικαίωμα αντίρρησης ισχύει η παρατήρηση 5 και επισημαίνεται ο προβληματισμός σχετικά με τα άρθρα 13 παρ. 2 στ), 14 παρ. 2 περ. ζ) και 15 παρ. 1 η) ΓΚΠΔ. 11. Ως προς το άρθρο 58 για την ανταλλαγή πληροφοριών επισημαίνεται η ανάγκη να γίνεται ρητή μνεία αν οι τρίτες χώρες πληρούν τα απαιτούμενα επίπεδα επάρκειας. Επίσης η διατύπωση του άρθρου είναι γενικόλογη και πάλι χρησιμοποιείται ως νομική βάση η συγκατάθεση, με τους ανωτέρω προβληματισμούς. Το κύριο πρόβλημα στις ρυθμίσεις αυτές είναι η τήρηση των αρχών της διαφάνειας (βλ.WP 251/3.10/2017) και η αποφυγή δυσμενών διακρίσεων (bias). Εκτιμώ ότι η ΑΠΔΠΧ θα μπορέσει να σας κατευθύνει σχετικώς! Με τιμή! Σπυριδούλα Καρύδα Πάρεδρος Συμβουλίου της Επικρατείας LL.M. in Space, SatCom and Media Law (University of Luxembourg)