Κενά σε θέματα προστασίας προσωπικών δεδομένων εντοπίζει η Κομισιόν στο προτεινόμενο σχέδιο νόμου του Υπ. Οικονομικών για την ηλεκτρονική υποβολή αποδείξεων μέσω γραμμωτού κωδικού (barcode)

Το προτεινόμενο από την κυβέρνηση νομοσχέδιο για την ηλεκτρονική υποβολή αποδείξεων μέσω bar code ενέχει κινδύνους για τα ατομικά δικαιώματα και το προσωπικό απόρρητο του καταναλωτή. Όπως επισημαίνει σε σχετική ερώτηση του ευρωβουλευτή Κώστα Πουπάκη ο αρμόδιος Επίτροπος Φορολογίας και Τελωνειακής Ένωσης, Ελέγχου και Καταπολέμησης της απάτης κ. Algirdas Šemeta: «Μολονότι ο στόχος της επιβολής φορολογικής νομοθεσίας είναι θεμιτός, προκύπτει το ερώτημα, εάν το προτεινόμενο σύστημα συμμορφώνεται προς τις αρχές της ανάγκης και της αναλογικότητας όσον αφορά στον επιδιωκόμενο στόχο, ιδίως εφόσον το προτεινόμενο σύστημα συνεπάγεται τη λήψη αυτοματοποιημένων αποφάσεων σχετικά με πρόσωπα στα οποία αναφέρονται τα δεδομένα, όπως τεχνικές διαμόρφωσης χαρακτηριστικών, οι οποίες μπορεί να επιτρέπουν στις φορολογικές αρχές να αποκτούν πρόσβαση σε προσωπικά δεδομένα τα οποία υπερβαίνουν τον αρχικό, νόμιμο σκοπό και να τα επεξεργάζονται».

Σύμφωνα με την Κομισιόν, η χρήση ατομικών καρτών με γραμμωτό κωδικό συνεπάγεται την επεξεργασία των προσωπικών δεδομένων των καταναλωτών, κάτι που υπόκειται στις εθνικές διατάξεις εφαρμογής της Οδηγίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων αυτών. Επίσης, οι διατάξεις της εν λόγω Οδηγίας ορίζουν ότι η επεξεργασία πρέπει να γίνεται για συγκεκριμένους και νόμιμους σκοπούς, να είναι συναφής και όχι δυσανάλογη σε σχέση με τον σκοπό για τον οποίο χρησιμοποιείται.

Επιπλέον, στην απάντησή της η Επιτροπή δηλώνει ξεκάθαρα τον προβληματισμό της για το σύννομο του νομοσχεδίου υπογραμμίζοντας ότι δεν γνωρίζει εάν έχει διενεργηθεί τέτοιου είδους αξιολόγηση, ούτε εάν έχει ζητηθεί η γνώμη της εθνικής αρχής προστασίας των δεδομένων κατά τη διάρκεια της προετοιμασίας του σχετικού νομικού μέτρου. Και τα δύο είναι απαραίτητα ώστε να εξασφαλιστεί ο σεβασμός των αρχών της προστασίας των δεδομένων.

Επισημαίνει παράλληλα ότι δεν γνωρίζει την ύπαρξη παρόμοιων συστημάτων σε κράτη μέλη βάσει των οποίων συγκεντρώνονται δεδομένα, γενικά, κατά την αγορά προϊόντων ή υπηρεσιών μέσω ατομικής ηλεκτρονικής κάρτας.

Σχολιάζοντας την απάντηση ο Έλληνας ευρωβουλευτής δήλωσε: «Όλα δείχνουν ότι η κυβέρνηση επιδιώκει να εφαρμόσει απερίσκεπτα και βιαστικά ένα εισπρακτικό μέτρο χωρίς να υπολογίζει βασικά θέματα προστασίας του καταναλωτή, όπως το θεμελιώδες δικαίωμα της προστασίας των προσωπικών δεδομένων του. Κάνει πειραματόζωο τον Έλληνα φορολογούμενο χωρίς να έχει το παραμικρό δεδομένο από την ευρωπαϊκή εμπειρία σχετικά με την αποτελεσματικότητα ενός τέτοιου μέτρου».

Κείμενο της ερώτησης του Έλληνα ευρωβουλευτή
Το ελληνικό Υπουργείο Οικονομικών προωθεί αυτή την περίοδο νομοσχέδιο που αφορά στην υποχρεωτική ηλεκτρονική υποβολή των στοιχείων των αποδείξεων λιανικής πώλησης ή παροχής υπηρεσιών από επιχειρήσεις και φορολογούμενους. Βασικός στόχος είναι οι διασταυρώσεις με τις αντιστοιχίες που έχουν κάνει οι επαγγελματίες / επιχειρηματίες με τα δηλωθέντα εκ μέρους των φορολογουμένων. 

Σε αυτό το πλαίσιο προβλέπονται δράσεις όπως η έκδοση ατομικής ηλεκτρονικής κάρτας με γραμμωτό κωδικό (barcode) την οποία ο φορολογούμενος καταναλωτής καλείται να επιδεικνύει σε κάθε συναλλαγή με επιχειρηματία ή ελεύθερο επαγγελματία για την αγορά προϊόντος ή υπηρεσίας ώστε επι τόπου να πραγματοποιείται και η ηλεκτρονική υποβολή των δεδομένων της απόδειξης.  Με αυτό τον τρόπο το αρμόδιο υπουργείο θα αντλεί όλες τις αποδείξεις του φορολογούμενου σε ετήσια βάση.

Ωστόσο, παρά τις καλές προθέσεις του συγκεκριμένου σχεδίου νόμου, υπάρχουν αρκετά γκρίζα σημεία που σχετίζονται κυρίως με θέματα προστασία του απόρρητού των προσωπικών δεδομένων και του καταναλωτικού προφίλ κάθε φορολογούμενου.  
Ειδικότερα ερωτάται η Επιτροπή:

• Γνωρίζει η Επιτροπή εάν εφαρμόζονται παρόμοιες πρακτικές σε κράτη μέλη; Εφόσον ναι, υπάρχουν διαθέσιμα στοιχεία σε επίπεδο ασφάλειας, λειτουργικότητας και αποτελεσματικότητας;
• Στην περίπτωση της έκδοσης ατομικού barcode για αγορές προϊόντων και υπηρεσιών, με ποιο τρόπο διασφαλίζονται βασικές αρχές όπως η ιδιωτικότητα των στοιχείων των συναλλαγών και η προστασία των προσωπικών δεδομένων όσο και του καταναλωτικού προφίλ κάθε πολίτη από κακόβουλη χρήση;
• Ποιες είναι οι προϋποθέσεις για την εύρυθμη λειτουργία ενός τέτοιου μέτρου σε αγορά κράτους μέλους χωρίς να παραβιάζεται το κοινοτικό δίκαιο;

Η σχετική απάντηση του Επιτρόπου

• Η Επιτροπή δεν γνωρίζει την ύπαρξη παρόμοιων συστημάτων σε κράτη μέλη βάσει των οποίων συγκεντρώνονται δεδομένα, γενικά, κατά την αγορά προϊόντων ή υπηρεσιών μέσω ατομικής ηλεκτρονικής κάρτας.
• Η χρήση ατομικών καρτών με γραμμωτό κωδικό συνεπάγεται την επεξεργασία των προσωπικών δεδομένων των πελατών. Συνεπώς, αυτή η επεξεργασία υπόκειται στις εθνικές διατάξεις εφαρμογής της οδηγίας 95/46/EΚ  της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (“οδηγία για την προστασία των δεδομένων”). Η οδηγία ορίζει τις αρχές που πρέπει να τηρούνται με στόχο τον σεβασμό του θεμελιώδους δικαιώματος της προστασίας των προσωπικών δεδομένων. Η οδηγία επιβάλλει ορισμένες υποχρεώσεις στους υπεύθυνους επεξεργασίας των δεδομένων και ορίζει δικαιώματα για τα πρόσωπα τα οποία αφορούν τα εν λόγω δεδομένα. Σύμφωνα με την εν λόγω οδηγία, η επεξεργασία των προσωπικών δεδομένων πρέπει να γίνεται για συγκεκριμένους και νόμιμους σκοπούς και πρέπει να είναι κατάλληλη, συναφής και όχι δυσανάλογη σε σχέση με τον σκοπό για τον οποίο χρησιμοποιείται.

Φαίνεται πως στο προτεινόμενο από τις ελληνικές αρχές νομοσχέδιο, τα δεδομένα τα οποία αφορούν αγορές που πραγματοποιούνται από αυτοαπασχολούμενους και από επιχειρηματίες θα συγκεντρώνονται με στόχο να διευκολύνεται ο έλεγχος της φορολογικής δήλωσης των αυτοαπασχολούμενων και των επιχειρηματιών. Αυτό μπορεί να σημαίνει, ενδεχομένως, την πλήρη παροχή πληροφοριών όσον αφορά αγορές που έχουν πραγματοποιηθεί από πρόσωπα κατά τη διάρκεια μεγάλης χρονικής περιόδου και συνεπώς μπορεί να επιτρέψει τη συλλογή λεπτομερών πληροφοριών όσον αφορά τις συνήθειες των προσώπων τις οποίες αφορούν αυτές οι αγορές, με στόχο τον καθορισμό των χαρακτηριστικών τους. Μολονότι ο στόχος της επιβολής φορολογικής νομοθεσίας είναι θεμιτός, προκύπτει το ερώτημα εάν το προτεινόμενο σύστημα συμμορφώνεται προς τις αρχές της ανάγκης και της αναλογικότητας όσον αφορά τον επιδιωκόμενο στόχο, ιδίως εφόσον το προτεινόμενο σύστημα συνεπάγεται τη λήψη αυτοματοποιημένων αποφάσεων σχετικά με πρόσωπα στα οποία αναφέροντα τα δεδομένα, όπως τεχνικές διαμόρφωσης χαρακτηριστικών οι οποίες μπορεί να επιτρέπουν στις φορολογικές αρχές να αποκτούν πρόσβαση σε προσωπικά δεδομένα προσώπων τα οποία υπερβαίνουν τον αρχικό, νόμιμο σκοπό, και να τα επεξεργάζονται. Ως προς το σημείο αυτό, η οδηγία για την προστασία των δεδομένων προβλέπει ειδικές διατάξεις όσον αφορά την ατομική, αυτοματοποιημένη επεξεργασία δεδομένων, με στόχο την αξιολόγηση συγκεκριμένων προσωπικών χαρακτηριστικών ενός ατόμου, όπως είναι η φερεγγυότητα, η αξιοπιστία, η κοινωνική ή αγοραστική συμπεριφορά. Αυτού του είδους η επεξεργασία είναι δυνατόν να πραγματοποιείται μόνον εφόσον το επιτρέπει ένα κράτος μέλος, και υπό ειδικές συνθήκες οι οποίες πρέπει να προβλέπουν κατάλληλα μέτρα για τη διαφύλαξη των εννόμων συμφερόντων του προσώπου το οποίο αφορούν τα δεδομένα. Αυτό ισχύει επίσης όσον αφορά τις δημόσιες αρχές οι οποίες επεξεργάζονται προσωπικά δεδομένα ατόμων στο πλαίσιο των αρμοδιοτήτων τους.

Η οδηγία 95/46/EΚ απαιτεί επίσης από τα κράτη μέλη να καθορίζουν τις διαδικασίες επεξεργασίας οι οποίες είναι πιθανόν να ενέχουν συγκεκριμένους κινδύνους όσον αφορά τα δικαιώματα και τις ελευθερίες των προσώπων στα οποία αναφέρονται τα δεδομένα, ώστε οι εν λόγω διαδικασίες να εξετάζονται πριν από την έναρξή τους. Αυτός ο προηγούμενος έλεγχος μπορεί να διενεργείται στο πλαίσιο της προετοιμασίας είτε ενός μέτρου του εθνικού κοινοβουλίου είτε ενός μέτρου που βασίζεται σε τέτοιου τύπου νομοθετικό μέτρο, και ορίζει τη φύση της επεξεργασίας και προβλέπει τις κατάλληλες εγγυήσεις. Η Επιτροπή δεν γνωρίζει εάν έχει διενεργηθεί αυτού του είδους η προηγούμενη αξιολόγηση, ούτε εάν έχει ζητηθεί η γνώμη της εθνικής αρχής προστασίας των δεδομένων κατά τη διάρκεια της προετοιμασίας του νομικού μέτρου. Και τα δύο είναι απαραίτητα ώστε να εξασφαλιστεί ο σεβασμός των αρχών της προστασίας των δεδομένων.

Οι εθνικές αρχές προστασίας των προσωπικών δεδομένων είναι αρμόδιες για τη διασφάλιση της συμμόρφωσης προς τις αρχές της οδηγίας και, εφόσον αυτό είναι απαραίτητο, λαμβάνουν τα ενδεδειγμένα μέτρα για να την επιβάλλουν. Τα πρόσωπα στα οποία αναφέρονται τα δεδομένα δύνανται να υποβάλουν καταγγελίες στις εθνικές αρχές προστασίας των δεδομένων εάν θεωρούν ότι έχει καταπατηθεί το δικαίωμά τους στην προστασία των προσωπικών δεδομένων.

• Τα εν λόγω μέτρα δεν πρέπει να εμποδίζουν τη λειτουργία της εσωτερικής αγοράς και πρέπει να σέβονται τις θεμελιώδεις ελευθερίες (ήτοι, τα μέτρα δεν μπορούν να εισάγουν διακρίσεις για φορολογουμένους/πελάτες που δεν κατοικούν/είναι εγκατεστημένοι στην Ελλάδα και πρέπει να είναι αιτιολογημένα και αναλογικά) και τις λοιπές γενικές αρχές του ενωσιακού δικαίου, όπως είναι η ασφάλεια δικαίου.