Αρχική Σχέδιο Νόμου για την Προστασία Δεδομένων Προσωπικού ΧαρακτήραΆρθρο 36 Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλΣχόλιο του χρήστη Σπ. Τάσσης, Βασ. Καρκατζούνης | 19 Αυγούστου 2019, 17:27
- Αρχική
- Πρωθυπουργός της Ελλάδας
- Ανοικτή Διακυβέρνηση
- Δικτυακός Τόπος Υπουργείου
- Διαβουλεύσεις Υπουργείων
Όπως αναφέρεται στην αιτιολογική έκθεση, με το άρθρο 36 λαμβάνεται υπόψη η ειδική περίπτωση αυτοματοποιημένης απόφασης στο κλάδο των ασφαλιστικών επιχειρήσεων. Ειδικότερα, επιτρέπεται η αυτοματοποιημένη απόφαση σε μία μεμονωμένη περίπτωση όπως ορίζεται στο άρθρο 22 παράγραφος 2 ΓΚΠΔ, εάν η απόφαση που ελήφθη κατά τη διάρκεια της παροχής υπηρεσιών προέρχεται από ασφαλιστική σύμβαση, υπό συγκεκριμένους όρους. Μάλιστα, με το ίδιο άρθρο, επιτρέπεται στις ασφαλιστικές επιχειρήσεις να επεξεργάζονται δεδομένα για την υγεία κατά την έννοια του άρθρου 4 στοιχείο 15 του ΓΚΠΔ στο πλαίσιο αυτοματοποιημένων αποφάσεων. Σύμφωνα, πάντα, με την αιτιολογική έκθεση, αυτό είναι ιδιαίτερα απαραίτητο για τον αυτοματοποιημένο διακανονισμό των αιτήσεων παροχών από ιδιωτική ασφάλιση υγείας. Η διάταξη αυτή ενδιαφέρει από πολλές απόψεις: Αφενός, η αυτοματοποιημένη λήψη αποφάσεων συνδέεται άρρηκτα με την χρήση συστημάτων Τεχνητής Νοημοσύνης (ΑΙ), τα οποία είναι δημοφιλή στον ασφαλιστικό κλάδο. Συνεπώς είναι από τις πρώτες (αν όχι η πρώτη φορά) που στο ελληνικό νομικό σύστημα εισάγεται μία διάταξη που αφορά άμεσα στη χρήση συστημάτων ΑΙ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία μάλιστα επηρεάζει σημαντικά τα δικαιώματα του υποκειμένου. Αφετέρου, παρατηρώντας ότι μία κατηγορία επιχειρήσεων ενδέχεται να αποκτά διακριτή μεταχείριση από τον Νόμο αναφορικά με την αλγοριθμική επεξεργασία προσωπικών δεδομένων, σε συνάρτηση με το γεγονός ότι οι εν λόγω επεξεργασίες καλύπτουν, αναπόφευκτα, δεδομένα ειδικών κατηγοριών (υγείας) προκαλείται οπωσδήποτε προβληματισμός. Ο ΓΚΠΔ παρέχει πράγματι τη δυνατότητα στον εθνικό νομοθέτη να “εξέρχεται εκτός του άρθρου 22 παράγραφος 2 στοιχεία α) και γ) και να προβλέπει επιτρεπτικές διατάξεις για τη λήψη μιας αυτοματοποιημένης απόφασης σε μεμονωμένες περιπτώσεις” (εν προκειμένω τις ασφαλιστικές συμβάσεις). Ωστόσο, η παρ. 4 του άρθρου 22 του ΓΚΠΔ προβλέπει ρητώς ότι οι αποφάσεις που λαμβάνονται με τέτοια μέσα δεν μπορούν να βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 παράγραφος 1, εκτός αν ισχύει το άρθρο 9 παράγραφος 2 στοιχείο α (ρητή συγκατάθεση) ή ζ (ουσιαστικό δημόσιο συμφέρον) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων. Σύμφωνα με τον GDPR, προκειμένου να μπορούν να συμπεριληφθούν ειδικές κατηγορίες δεδομένων σε συστήματα αυτοματοποιημένης λήψης αποφάσεων, θα πρέπει να υπάρχει είτε ρητή συγκατάθεση του υποκειμένου είτε ουσιαστικό δημόσιο συμφέρον. Όπως φαίνεται από τη σχετική αιτιολογική έκθεση, ο εθνικός νομοθέτης στρέφεται στην επιλογή του ουσιαστικού δημόσιου συμφέροντος. Ειδικότερα, στην αιτιολογική έκθεση υποστηρίζεται ότι “η εξασφάλιση προσιτής και λειτουργικής ασφαλιστικής κάλυψης υγείας στην ιδιωτική ασφάλιση υγείας αναγνωρίζεται ως σημαντικό συμφέρον για το κοινό καλό. Η οικονομική μαζική επεξεργασία απαιτεί τη χρήση αυτοματοποιημένων διαδικασιών, ιδίως όταν πρόκειται για την εφαρμογή νόμιμων και επομένως τυποποιημένων χρεώσεων”. Η συγκεκριμένη διατύπωση αλλά και η διάταξη στο σύνολο της θα τύχει εκτενούς ανάλυσης στο μέλλον, ωστόσο ορισμένες πρώτες σκέψεις που ανακύπτουν είναι οι εξής: 1. Γιατί επέλεξε ο νομοθέτης το ουσιαστικό δημόσιο συμφέρον και όχι τη ρητή συγκατάθεση ως νομική βάση της εν λόγω επεξεργασίας; 2. Μπορεί η επεξεργασία προσωπικών δεδομένων από έναν ιδιωτικό φορέα να βρίσκει νομικό έρεισμα στο “ουσιαστικό δημόσιο συμφέρον”; 3. Αν ναι, γιατί καλύπτει μόνο τις ασφαλιστικές επιχειρήσεις; Γιατί όχι και οι τράπεζες ή οποιαδήποτε άλλη ιδιωτική εταιρεία που εφαρμόζει "νόμιμες και άρα τυποποιημενες" διαδικασίες; 4. Τι ορίζεται τελικώς ως “κοινό καλό”; Από μία σύντομη έρευνα δεν έχει προκύψει ούτε ορισμός ούτε ακόμα και σχετική αναφορά σε ελληνικό νομοθετικό κείμενο. Σε ποιο πλαίσιο και με ποιους όρους μπορεί να γίνει σχετική ερμηνεία; Πόσο ευρέως και με ποιες δικλείδες μπορεί να ερμηνευθεί ένας τέτοιος όρος; Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)