Κατά την άσκηση των αρμοδιοτήτων τους, πολλοί είναι οι διοικητικοί φορείς που προβαίνουν σε εκτεταμένη συλλογή, αρχειοθέτηση, επεξεργασία και εν γένει διαχείριση δεδομένων προσωπικού χαρακτήρα. Από φορολογικές και τελωνειακές αρχές μέχρι δημόσια νοσοκομεία και οργανισμούς κοινωνικής ασφάλισης, προσωπικά δεδομένα πολιτών καταγράφονται σε οργανωμένες βάσεις δεδομένων, για νόμιμη αιτία και προς εξυπηρέτηση σκοπών δημοσίου συμφέροντος. Παράλληλα, η ιλιγγιώδης ανάπτυξη των τεχνολογικών μέσων, προσφέρει μία ευρύτατη γκάμα λύσεων ως προς τη μορφή που θα λάβει η διαχείριση των προσωπικών αυτών δεδομένων, με ολοένα και περισσότερο αυτοματοποιημένους μηχανισμούς να αναδύονται στην καθημερινή πρακτική. Είναι γεγονός πως τα δεδομένα που συλλέγει μία δημόσια υπηρεσία ή ένας κρατικός φορέας φαίνονται πρόσφορα να διευκολύνουν σε μεγάλο βαθμό τη λήψη μελλοντικών αποφάσεων, τη χάραξη διοικητικών πολιτικών και εν γένει την βελτίωση των παρεχόμενων υπηρεσιών, αφού τα διοικητικά όργανα μπορούν να αντιπαραβάλλουν, να συγκρίνουν, να αξιολογήσουν και να συνδυάσουν πληροφορίες πολλών υποκειμένων. Ταυτόχρονα όμως, η συλλογή δεδομένων για διοικητικούς σκοπούς μπορεί να προσφέρει σπουδαία πλεονεκτήματα και στο πεδίο της επιστημονικής έρευνας, υπό την έννοια της υποβοήθησής της, εφόσον λαμβάνονται όλες οι απαραίτητες δικλείδες ασφαλείας για την προστασία των προσωπικών δεδομένων.

Ας υποθέσουμε πως ένας επιστήμονας επιθυμεί να διεξάγει μία έρευνα για τη βιωσιμότητα των ασφαλιστικών ταμείων με απώτερο στόχο τη διατύπωση βελτιωτικών προτάσεων και ως εκ τούτου έχει ανάγκη πρόσβασης σε εκτενή αρχεία – βάσεις ασφαλισμένων. Τα δεδομένα αυτά αποτελούν κλασικό παράδειγμα των λεγόμενων «διοικητικών δεδομένων» (administrative data), στοιχείων δηλαδή που παρέχουν οι πολίτες στη Διοίκηση και που διατηρούν οι υπηρεσίες προς διευκόλυνση της άσκησης των αρμοδιοτήτων τους. Τι συμβαίνει όμως με τη διάθεση αυτών των δεδομένων σε ένα τρίτο πρόσωπο; Με άλλα λόγια, μπορεί ο συγκεκριμένος ερευνητής και αν ναι πώς, να αποκτήσει πρόσβαση σε κοινωνικοασφαλιστικά δεδομένα για τους σκοπούς της διατριβής του; Και αν τελικά μπορεί να αποκτήσει πρόσβαση, υπάρχει κάποιος εποπτικός μηχανισμός που θα διασφαλίσει την ομαλή διαβίβαση τέτοιων αρχείων, χωρίς να δημιουργείται κίνδυνος για τα δικαιώματα των ασφαλισμένων;

Στον Ευρωπαϊκό Γενικό Κανονισμό Προσωπικών Δεδομένων 2016/679, συναντάμε ειδική ρύθμιση όσων αφορά στην επεξεργασία προσωπικών δεδομένων για ερευνητικούς ή στατιστικούς σκοπούς. Έτσι σύμφωνα με το άρθρο 89 του Κανονισμού, απαιτείται να έχουν ληφθεί τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ιδίως την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Μάλιστα, ο Κανονισμός προτείνει την ψευδωνυμοποίηση, εφόσον αυτό είναι εφικτό. Συνακόλουθα, ο ερευνητής που επιθυμεί να έχει πρόσβαση, για παράδειγμα, σε ένα σύνολο προσωπικών δεδομένων ασφαλισμένων πολιτών (υπό τη μορφή καταχωρίσεων στα οικεία ηλεκτρονικά συστήματα), οφείλει να διασφαλίσει αφενός ότι οι πληροφορίες που θα λάβει δεν θα μπορούν να «φωτογραφίσουν» συγκεκριμένα φυσικά πρόσωπα και αφετέρου ότι θα χρησιμοποιήσει μόνο εκείνες από τις εγγραφές που πράγματι εξυπηρετούν τους σκοπούς της έρευνας του, δηλαδή εκείνες που είναι αναγκαίες, κατάλληλες και συναφείς με το ερευνητικό του έργο. Και αυτό προφανώς επειδή η άδεια πρόσβασης σε ένα τόσο αχανές αρχείο προσωπικών δεδομένων αναπόδραστα σημαίνει ότι ο επιστήμονας θα έρθει αντιμέτωπος με πλήθος στοιχείων, αρκετά εκ των οποίων όμως δεν αφορούν την επιστημονική έρευνα, και επομένως δεν θα πρέπει να γίνουν αντικείμενο επεξεργασίας.

Σημειώνεται εδώ πως έως σήμερα ο ενδιαφερόμενος ερευνητής θα πρέπει να υποβάλει εγγράφως την αίτησή του στον υπεύθυνο επεξεργασίας του αρχείου, από το οποίο ενδιαφέρεται να αντλήσει τις σχετικές πληροφορίες, αναφέροντας με σαφήνεια το αντικείμενο της επιστημονικής έρευνάς του και για ποιο λόγο επιθυμεί να έχει πρόσβαση στο συγκεκριμένο αρχείο. Στη συνέχεια, ο υπεύθυνος επεξεργασίας, σε περίπτωση που στα αιτούμενα στοιχεία περιλαμβάνονται και ευαίσθητα προσωπικά δεδομένα, θα πρέπει να απευθυνθεί στην Αρχή και να ζητήσει τη χορήγηση άδειας, ώστε να επιτραπεί η πρόσβαση του ερευνητή στο συγκεκριμένο αρχείο. Η Αρχή χορηγεί δύο άδειες, μία στον ερευνητή και μία στον υπεύθυνο επεξεργασίας. Στην αίτηση του ερευνητή θα πρέπει να επισυναφθούν τα δικαιολογητικά εκείνα από τα οποία να προκύπτει με σαφήνεια ο σκοπός της έρευνας (επιστημονικής - ιστορικής), το αντικείμενο της έρευνας (για παράδειγμα μέσω της βεβαίωσης του ιδρύματος ή του φορέα στον οποίο ο επιστήμονας εκπονεί τη διδακτορική του διατριβή ή τη μεταπτυχιακή του εργασία), καθώς και για ποιο λόγο ζητά την πρόσβαση στο συγκεκριμένο αρχείο (συνάφεια με το αντικείμενο της έρευνας)[1].

Σύμφωνα με την υπ’ αρ. 31/2013 απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, εφόσον ο ερευνητής χρειάζεται να έχει συνεχή πρόσβαση στα ονομαστικά στοιχεία του αρχείου του υπευθύνου επικοινωνίας ώστε να επαληθεύει τα επιμέρους συμπεράσματα και το τελικό συμπέρασμα πριν από την ανωνυμοποίηση και τελική παρουσίαση της έρευνάς του, καθίσταται ο ίδιος υπεύθυνος επεξεργασίας και πρέπει να λάβει ειδική άδεια για την πρόσβαση σε και χρήση προσωπικών δεδομένων. Η άδεια αυτή δίδεται υπό τους εξής όρους: α) ότι η πρόσβαση στα σχετικά αρχεία θα γίνεται στο χώρο τήρησής τους, ώστε να μην εκφεύγουν από τη σφαίρα επιρροής του υπεύθυνου κατόχου του αρχείου, β) ο ερευνητής θα θέτει υπό επεξεργασία από το αρχείο μόνον όσα στοιχεία είναι κατά την επιστημονική κρίση του απαραίτητα για την ολοκλήρωση του ερευνητικού του έργου, και γ) κατά την ολοκλήρωση της έρευνας και πριν από τη δημοσίευση ή καθ’ οιονδήποτε άλλον τρόπο χρήση των αποτελεσμάτων της, ο ερευνητής θα προβεί στην ανωνυμοποίηση των προσωπικών δεδομένων που έχει συλλέξει και θα καταστρέψει το τυχόν υπάρχον ονομαστικό αρχείο που έχει δημιουργηθεί[2].

Διαπιστώνουμε, επομένως, πως ο ενδιαφερόμενος ερευνητής δύναται ακόμη και χωρίς προηγούμενη διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να αποκτά (υπό όρους) πρόσβαση σε βάσεις δεδομένων με ονομαστικά στοιχεία. Η πιθανότητα αυτή γεννά φυσικά προβληματισμούς αναφορικά με την ασφάλεια τέτοιων εγχειρημάτων για τα συμφέροντα και δικαιώματα τρίτων, δηλαδή των προσώπων στα οποία αφορούν τα δεδομένα. Είναι γεγονός πως στη χώρα μας δεν εφαρμόζεται η «μέση» λύση της συγκέντρωσης δεδομένων μεγάλης κλίμακας (big data), από κάποιον ειδικό φορέα – οργανισμό, ο οποίος και θα επωμίζεται -τηρουμένων φυσικά των νομικών εγγυήσεων- την εν γένει διαχείριση, ανωνυμοποίηση και στοχευμένη διάθεση των απαραίτητων αρχείων σε ερευνητές. Και αυτό, διότι υπό το υπάρχον καθεστώς, αναφύονται λογικώς ζητήματα εμπιστοσύνης για τα πρόσωπα που επιθυμούν να διαχειριστούν προσωπικά δεδομένα πλήθους πολιτών για ερευνητικούς σκοπούς. Δε χρειάζεται συνεπώς ένας σύγχρονος μηχανισμός που θα θέτει το πλαίσιο δράσης των επιστημόνων και ταυτόχρονα θα προστατεύει τα υποκείμενα των δεδομένων;

Χρήσιμα εδώ μπορούν να φανούν δύο παραδείγματα από το Ηνωμένο Βασίλειο. Το Care.data υπήρξε πρωτοβουλία του αγγλικού Εθνικού Συστήματος Υγείας (NHS) με σκοπό τη συλλογή δεδομένων από τα ιατρικά αρχεία πρωτοβάθμιας φροντίδας και την εν συνεχεία αξιοποίησή τους για τη βελτίωση των παρεχόμενων υπηρεσιών και την εξυπηρέτηση της έρευνας. Επρόκειτο για μία πλατφόρμα καθ’ όλα νόμιμη και άρτια τεχνικά, που όμως δεν κέρδισε την υποστήριξη των βρετανών ασθενών και ιατρών, καθώς δεν διασφάλιζε επαρκώς το πως θα προστατεύονταν τα προσωπικά δεδομένα των ασθενών. Η λειτουργία του ανεστάλη επ’ αόριστον. Από την άλλη, το Administrative Data Research Network (ADRN), αποσκοπώντας στο να διευκολύνει την πρόσβαση σε αρχεία δεδομένων τηρούμενων από διοικητικούς φορείς για ερευνητικούς σκοπούς, με κύριο μέλημα μάλιστα τη μέσω της έρευνας διατύπωση προτάσεων για τη χάραξη βελτιωμένων διοικητικών πολιτικών, ήρθε αντιμέτωπο τελικά με σημαντικά προβλήματα ως προς τη διακίνηση αυτών των στοιχείων. Έτσι, ο βασικός στόχος για τον οποίο δημιουργήθηκε, κατέστη στην πράξη ανέφικτος[3].

Με βάση και τα δύο προαναφερθέντα ενδεικτικά παραδείγματα, αντιλαμβανόμαστε επομένως τη σπουδαιότητα που έχει η εκ των προτέρων θέσπιση αποτελεσματικών εγγυήσεων για τη διασφάλιση των δικαιωμάτων των υποκειμένων των δεδομένων, ενώ η έλλειψή τους μπορεί ασφαλώς να οδηγήσει στη μη ομαλή εφαρμογή ακόμη και των πιο άρτια εκπονημένων εγχειρημάτων.

Μετά από την ανάλυση των δύο παραδειγμάτων του Ηνωμένου Βασιλείου, είναι σίγουρα συζητήσιμο το κατά πόσο μπορεί να διαμορφωθεί και να λειτουργήσει στην Ελλάδα ένα τέτοιο σύστημα ασφαλούς συγκέντρωσης και διάθεσης προσωπικών δεδομένων μεγάλης κλίμακας για ερευνητικούς σκοπούς. Η χωρίς προηγούμενη προσαρμογή στα ελληνικά δεδομένα επισφαλών αλλοδαπών προτύπων αυξάνει τον κίνδυνο ναυαγίου τέτοιων πρωτοβουλιών. Σε κάθε περίπτωση προκύπτει πως η διασφάλιση κοινωνικής συναίνεσης είναι κλειδί για την εν τοις πράγμασι συμμετοχή των πολιτών και τη διεξαγωγή της έρευνας προς όφελος των πολιτών από τις παρεχόμενες κρατικές υπηρεσίες. Μόνο τότε καθίσταται εφικτή η θέσπιση νομικών επιταγών – πλαισίων που θα επιβάλλουν στους ασκούντες την επεξεργασία δεδομένων να δρουν σε προδιαγεγραμμένα πλαίσια και να λαμβάνουν προληπτικά μέτρα προς αποφυγή προσβολής των δικαιωμάτων των υποκειμένων των δεδομένων. Προς την κατεύθυνση αυτή, οι διοικητικοί φορείς μπορούν οι ίδιοι να διευκολύνουν το έργο των επιστημόνων και ταυτόχρονα να διαγράψουν ένα ασφαλές πλέγμα δράσης, προβαίνοντας οι ίδιοι σε ανωνυμοποίηση των βάσεων δεδομένων τους και διαρκή έλεγχο των πληροφοριών που διαθέτουν. Μπορεί ενδεικτικά να προβλεφθεί ως δυνατότητα στα ήδη υπάρχοντα συστήματα η διαβαθμισμένη πρόσβαση σε δεδομένα. Ο ερευνητής ή ακόμη και ένας υπάλληλος μίας διοικητικής υπηρεσίας θα έχει πρόσβαση μόνο στις σχετικές με τους σκοπούς του έργου ή των αρμοδιοτήτων του πληροφορίες, με άλλα λόγια θα αποφευχθεί το φαινόμενο πρόσωπα στα οποία χορηγείται μεν άδεια αναζήτησης σε εκτενή αρχεία δεδομένων, να έχουν δε δικαίωμα πρόσβασης και σε πληροφορίες που δεν τους είναι απαραίτητες. Έτσι, τηρούνται οι επιταγές της αρχής ελαχιστοποίησης των πληροφοριών και χορήγησης εκείνων μόνων των στοιχείων που είναι κατάλληλα, αναγκαία και συναφή για τους σκοπούς της εκάστοτε έρευνας. Τα πλεονεκτήματα που προσφέρει η έρευνα μέσω της απευθείας πρόσβασης σε εκτενή αρχεία διοικητικών φορέων είναι σε κάθε περίπτωση άξια προσοχής και αξίζει να εναρμονιστούν κατά την αντιπαράθεσή τους με εξίσου ουσιώδη συνταγματικά δικαιώματα των διοικουμένων.

[1] «Συχνές Ερωτήσεις», Ιστότοπος Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα [http://www.dpa.gr/portal/page?_pageid=33,131914&_dad=portal&_schema=PORTAL], τελευταία πρόσβαση: 07-01-2019

[2] «Πληροφορίες για υπεύθυνους επεξεργασίας», Ιστότοπος Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα [http://www.dpa.gr/portal/page?_pageid=33,131872&_dad=portal&_schema=PORTAL], τελευταία πρόσβαση: 07-01-2019

[3] Stergios Aidinlis, “Meta-Regulation in Administrative Data Sharing for Research in the UK”, published on zenodo.org [https://zenodo.org/record/2256717?fbclid=IwAR2GN7_oDtdZ57DawdHAq4fazUPeoVXE2fMt6vNmaO5n4nNCWCQobJLP3h0#.XDM5T1wzaM8], last accessed on 07-01-2019