ΕΕΠΔ-ΕΣΠΔ: Μην πειράξετε τον ορισμό των προσωπικών δεδομένων

Δημοσιεύτηκε χθες η πολυαναμενόμενη Κοινή Γνωμοδότηση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) και του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) επί της πρότασης Κανονισμού Digital Omnibus της ΕΕ.

Η πρόταση της Ευρωπαϊκής Επιτροπής, που κατατέθηκε τον Νοέμβριο του 2025, επιδιώκει την απλούστευση του ψηφιακού νομοθετικού πλαισίου της Ένωσης, τροποποιώντας, μεταξύ άλλων, τον ΓΚΠΔ, τον Κανονισμό 2018/1725 (EUDPR), την Οδηγία ePrivacy και το Data Act . Σύμφωνα με την Επιτροπή, στόχος είναι η μείωση του διοικητικού βάρους, η ενίσχυση της νομικής βεβαιότητας και η διευκόλυνση της άσκησης των δικαιωμάτων των πολιτών, χωρίς υποβάθμιση του επιπέδου προστασίας.

Στην Κοινή Γνωμοδότησή τους, το ΕΣΠΔ και ο ΕΕΠΔ δηλώνουν ότι στηρίζουν τον γενικό σκοπό της απλούστευσης, υπό την προϋπόθεση ότι διατηρείται υψηλό το επίπεδο της προστασίας των θεμελιωδών δικαιωμάτων. Χαιρετίζουν ορισμένες παρεμβάσεις που ενισχύουν την εναρμόνιση και τη σαφήνεια, όπως οι ρυθμίσεις για την επιστημονική έρευνα, η εισαγωγή εξαίρεσης για συγκεκριμένες περιπτώσεις επεξεργασίας βιομετρικών δεδομένων για σκοπούς ταυτοποίησης, καθώς και οι αλλαγές στο καθεστώς γνωστοποίησης παραβιάσεων δεδομένων και τις εκτιμήσεις αντικτύπου.

Ωστόσο, έντονες επιφυλάξεις εκφράζονται για την προτεινόμενη τροποποίηση του ορισμού των «δεδομένων προσωπικού χαρακτήρα». Το ΕΣΠΔ και ο ΕΕΠΔ εκφράζουν τη σαφή αντίθεσή τους στην τροποποίηση του ορισμού, όπως αυτή επιχειρείται, τονίζοντας ότι πρόκειται για παρέμβαση που αγγίζει τον ίδιο τον πυρήνα του ενωσιακού πλαισίου προστασίας δεδομένων. Υπογραμμίζουν ότι ο ορισμός των προσωπικών δεδομένων αποτελεί θεμέλιο του άρθρου 8 ΧΘΔΕΕ και του άρθρου 16 ΣΛΕΕ και ότι οποιαδήποτε μεταβολή του επηρεάζει άμεσα το υλικό πεδίο εφαρμογής του ΓΚΠΔ και του EUDPR. Κατά την εκτίμησή τους, η προτεινόμενη διατύπωση δεν συνιστά απλή τεχνική προσαρμογή, αλλά επιφέρει ουσιώδη μετατόπιση της έννοιας των προσωπικών δεδομένων.

Περαιτέρω, τα δύο ενωσιακά όργανα επισημαίνουν ότι η νέα διατύπωση δεν αποτυπώνει ορθά και πλήρως τη νομολογία του ΔΕΕ και μάλιστα την υπερβαίνει, ιδίως ως προς το ζήτημα του κατά πόσον δεδομένα μπορούν να καταστούν προσωπικά, όταν διατίθενται σε αποδέκτη που διαθέτει μέσα ταυτοποίησης. Κατά την άποψή τους, η προτεινόμενη ρύθμιση θα οδηγούσε σε σημαντικό περιορισμό της έννοιας των προσωπικών δεδομένων, με κίνδυνο να υπονομευθεί το επίπεδο προστασίας των φυσικών προσώπων και να δημιουργηθούν περιθώρια καταστρατήγησης του καθεστώτος του ΓΚΠΔ. Παράλληλα, θεωρούν ότι η υιοθέτηση μιας «αρνητικής» διατύπωσης – που ορίζει τι δεν είναι προσωπικό δεδομένο – ενδέχεται να εντείνει, αντί να μειώσει, τη νομική αβεβαιότητα. Για τους λόγους αυτούς καλούν ρητά τους συννομοθέτες να μην υιοθετήσουν την προτεινόμενη αλλαγή.

Ανάλογες ανησυχίες διατυπώνονται και για την πρόβλεψη έκδοσης εκτελεστικών πράξεων που θα καθορίζουν πότε δεδομένα κατόπιν ψευδωνυμοποίησης παύουν να θεωρούνται προσωπικά, καθώς θεωρείται ότι τέτοιες ρυθμίσεις επηρεάζουν άμεσα το υλικό πεδίο εφαρμογής του ενωσιακού δικαίου προστασίας δεδομένων .

Ως προς τον περιορισμό του δικαιώματος πρόσβασης, το ΕΣΠΔ και ο ΕΕΠΔ συμφωνούν με την ανάγκη παροχής μεγαλύτερης νομικής σαφήνειας σε περιπτώσεις καταχρηστικής άσκησης δικαιωμάτων, εκφράζουν όμως σοβαρές επιφυλάξεις για τη διατύπωση που συνδέει την «κατάχρηση» με τον σκοπό για τον οποίο ασκείται το δικαίωμα πρόσβασης. Υπενθυμίζουν ότι ο ΓΚΠΔ προστατεύει συνολικά τα θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ότι, σύμφωνα με τη νομολογία του ΔΕΕ, το δικαίωμα πρόσβασης μπορεί να ασκείται και για σκοπούς πέραν της απλής επαλήθευσης της νομιμότητας της επεξεργασίας. Κατά την άποψή τους, η έννοια των «καταχρηστικών αιτημάτων» θα πρέπει να συνδέεται με αποδεδειγμένη καταχρηστική πρόθεση, και όχι με τα κίνητρα του υποκειμένου. Παράλληλα, ζητούν να διατηρηθεί υψηλό το όριο απόδειξης για τον χαρακτηρισμό αιτημάτων ως προδήλως αβάσιμων ή υπερβολικών, να τεκμηριώνεται αντικειμενικά η σχετική κρίση και να παρέχεται στο υποκείμενο η δυνατότητα διευκρινίσεων πριν από την απόρριψη.

Σε ό,τι αφορά την αυτοματοποιημένη λήψη αποφάσεων, το ΕΣΠΔ και ο ΕΕΠΔ τονίζουν ότι το άρθρο 22 ΓΚΠΔ, όπως έχει ερμηνευθεί από το ΔΕΕ, καθιερώνει κατ’ αρχήν απαγόρευση, με συγκεκριμένες εξαιρέσεις, και όχι γενική άδεια υπό προϋποθέσεις. Κρίνουν αναγκαίο η νέα διατύπωση να αποτυπώνει ρητά αυτή τη λογική «απαγόρευσης με εξαιρέσεις», ώστε να μην ερμηνευθεί ότι η αυτοματοποιημένη λήψη αποφάσεων επιτρέπεται καταρχήν στο πλαίσιο σύμβασης. Υπογραμμίζουν επίσης ότι η προϋπόθεση της «αναγκαιότητας» πρέπει να παραμείνει ουσιαστική και να συνδέεται με την αρχή της ελαχιστοποίησης των δεδομένων, δηλαδή με την επιλογή της λιγότερο παρεμβατικής, αλλά εξίσου αποτελεσματικής λύσης. Για τον λόγο αυτό προτείνουν τροποποιήσεις που θα αποτρέπουν τη διεύρυνση της εξαίρεσης και θα διασφαλίζουν υψηλό επίπεδο προστασίας έναντι αποφάσεων που παράγουν σοβαρές έννομες συνέπειες για τα υποκείμενα.

Σε ό,τι αφορά την τεχνητή νοημοσύνη, αναγνωρίζεται ότι το έννομο συμφέρον μπορεί, υπό προϋποθέσεις, να αποτελέσει νομική βάση για την ανάπτυξη και λειτουργία συστημάτων ΤΝ, αλλά επισημαίνεται η ανάγκη σαφών εγγυήσεων, ιδίως όταν πρόκειται για ειδικές κατηγορίες δεδομένων .

Τέλος, στο πεδίο της Οδηγίας ePrivacy, το ΕΣΠΔ και ο ΕΕΠΔ στηρίζουν την προσπάθεια αντιμετώπισης της «κόπωσης συγκατάθεσης» και της πληθώρας cookie banners, επισημαίνοντας όμως την ανάγκη νομικής σαφήνειας και αποτελεσματικής εποπτείας .

Συμπερασματικά, η Κοινή Γνωμοδότηση καλεί τους συννομοθέτες να διασφαλίσουν ότι η επιδιωκόμενη απλούστευση δεν θα οδηγήσει σε συρρίκνωση της προστασίας των προσωπικών δεδομένων, ιδίως ως προς τον πυρήνα των εννοιών και των εγγυήσεων του ΓΚΠΔ .

Η Κοινή Γνωμοδότηση 2/2026 ΕΕΠΔ-ΕΣΠΔ είναι διαθέσιμη στα αγγλικά.