Ο GDPR στα ελληνικά: Χαμένοι στη μετάφραση

Πριν λίγες εβδομάδες παρακολούθησα μία ιδιαιτέρως ενδιαφέρουσα συζήτηση σχετικά με την αρμοδιότητα (ή μη) των εποπτικών αρχών για την προστασία δεδομένων προσωπικού χαρακτήρα σε σχέση με την επεξεργασία δεδομένων που λαμβάνει χώρα από δικαστήρια και άλλες δικαστικές αρχές.

Για το ζήτημα διατυπώθηκαν τεκμηριωμένες απόψεις και από τις δύο πλευρές, ενώ είναι βέβαιο ότι στο μέλλον θα υπάρξουν ενδιαφέρουσες εξελίξεις.

Ωστόσο, μία σημαντική πτυχή του συγκεκριμένου διαλόγου, η οποία μου κίνησε το ενδιαφέρον, αφορούσε σε ένα θέμα το οποίο δεν είναι αμιγώς νομικό, αλλά περισσότερο οργανωτικό με νομικές προεκτάσεις: Την απόδοση του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ ή GDPR) στην ελληνική γλώσσα.

Ας πάρουμε τα πράγματα από την αρχή. Ο Κανονισμός για την Προστασία Δεδομένων είναι ... Κανονισμός. Αυτό σημαίνει αρκετά πράγματα ως προς την εφαρμογή του, αυτό που μας ενδιαφέρει, ωστόσο, στο παρόν άρθρο είναι ότι πρόκειται για νομοθετική πράξη της Ευρωπαϊκής Ένωσης και, ως τέτοια, θα πρέπει να είναι διαθέσιμη στις 24 διαφορετικές επίσημες γλώσσες της ΕΕ (αν προσθέσουμε και τις χώρες του ΕΟΧ με δική τους επίσημη γλώσσα, ήτοι Νορβηγία και Ισλανδία, φτάνουμε στις 26).

Προφανώς - και μάλλον ευτυχώς - ορισμένες χώρες της ΕΕ έχουν κοινή επίσημη γλώσσα, όπως για παράδειγμα η Ελλάδα και η Κύπρος.

Άρα έχουμε να κάνουμε με ένα νομοθετικό κείμενο, το οποίο αποδίδεται σε 26 διαφορετικές γλώσσες, οι οποίες ως επίσημες εκδοχές ισχύουν στον ίδιο βαθμό.

Είναι σαφές ότι κάθε ευρωπαϊκή χώρα έχει ένα πλούσιο ιστορικό και πολιτισμικό υπόβαθρο που επηρεάζει με καταλυτικό τρόπο τη γλώσσα. Ως εκ τούτου είναι απολύτως αναμενόμενο ορισμένοι όροι να αποδίδονται διαφορετικά, με αποτέλεσμα η πρακτική των διαφορετικών εκδοχών να ενέχει προβλήματα και κινδύνους, ακόμα και νομικούς.

Παρά το Brexit και τα όσα ακούστηκαν περί "απόσυρσης" της αγγλικής γλώσσας από τις επίσημες της Ευρωπαϊκής Ένωσης, τα αγγλικά είναι η πιο ευρέως ομιλούμενη (μη μητρική) γλώσσα στην ΕΕ.

Το κείμενο του Κανονισμού στην αγγλική γλώσσα αποτελεί ως εκ τούτου την πιο "ασφαλή" βάση για συνεννόηση μεταξύ των εμπλεκόμενων μερών, ειδικά αν λάβει κανείς υπόψη το διεθνές ενδιαφέρον για τον - ούτως ή άλλως αναφερόμενο με το αγγλικό ακρωνύμιο - GDPR, ιδιαιτέρως από τις Ηνωμένες Πολιτείες.

Συγκρίνοντας, λοιπόν, την αγγλική με την ελληνική έκδοση του Κανονισμού προκύπτουν ορισμένα ενδιαφέροντα στοιχεία, εκ των οποίων διέκρινα τρία που νομίζω ότι χρήζουν αναφοράς:

1. Ρητή συγκατάθεση

Στο άρθρο 4 παρ. 11 του Κανονισμού ορίζεται η έννοια της συγκατάθεσης ως: «κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν».

Αντίστοιχα, στην αγγλική έκδοση του GDPR διαβάζουμε: ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

Συμπεραίνουμε, λοιπόν, ότι ο όρος "unambiguous" αποδόθηκε στην ελληνική γλώσσα ως "ρητή". Προφανώς η μετάφραση βασίστηκε σε κάποιο συγκεκριμένο σκεπτικό, ωστόσο υπάρχει ένα πρόβλημα με την επιλογή αυτή, το οποίο συνδέεται με μία δεύτερη επιλογή στην μετάφραση του κειμένου:

Σύμφωνα με το άρθρο 9 του Κανονισμού, ως πρώτη (κατά σειρά) νομική βάση για την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων (ευρύτερα γνωστά ως "ευαίσθητα δεδομένα"), δηλαδή δεδομένα υγείας, βιομετρικά, θρησκετικές πεποιθήσεις κ.ο.κ., τίθεται η ρητή συγκατάθεση του υποκειμένου των δεδομένων. Ο όρος "ρητή" στην περίπτωση αυτή αποδίδεται ως "explicit" στην αγγλική έκδοση του GDPR.

Καταρχάς, θα πρέπει να σημειωθεί ότι η έννοια της συγκατάθεσης αποτελεί ούτως ή άλλως μία από τις πιο σύνθετες θεματικές στο δίκαιο προστασίας δεδομένων. Η ερμηνεία των προϋποθέσεων που θέτει ο GDPR για τη νόμιμη παροχή συγκατάθεσης, ακόμα και μετά την έκδοση κατευθυντήριων γραμμών από την WP 29, παραμένει δυσχερής.

Οπωσδήποτε οι όροι "unambiguous" και "explicit" βρίκονται κοντά εννοιολογικά, η απόδοσή τους όμως με την ίδια ακριβώς λέξη ("ρητή") είναι μάλλον ατυχής και ενέχει τον κίνδυνο συγχύσεων.

Το εν λόγω θέμα φαίνεται αρκετά ενδιαφέρον (τουλάχιστον στον γράφοντα), δυστυχώς, όμως, η έρευνα αναφορικά με τη λογική πίσω από την επιλογή αυτή δεν ήταν ιδιαίτερα εύκολη.

Ανατρέχοντας σε παλαιότερα νομοθετήματα, όπως η Οδηγία 95/46, η μόνη πληροφορία, η οποία φαίνεται πλήρως σχετική, προέρχεται από έκθεση του τμήματος νομοτεχνικής επεξεργασίας σχεδίων και προτάσεων νόμων της Βουλής των Ελλήνων στο σχέδιο νόμου "Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα" και μετέπειτα βασικό νόμο για την επεξεργασία δεδομένων 2472/1997.

Σύμφωνα με την έκθεση αυτή, η αρχική έκδοση του νομοσχεδίου αναφερόταν στη συγκατάθεση ως "αναμφισβήτητη", όρος πολύ πλησιέστερος στο unambiguous, ο οποίος θα άφηνε περιθώριο για τη χρήση του όρου "ειδικός" προκειμένου να αποδοθεί διακριτά ο αγγλικός όρος "explicit".

Το σχετικό χωρίο αναφέρει:

«Στη διάταξη του εδ. α) της παρ. 1 του άρθρου 5 γίνεται λόγος για την περίπτωση όπου το υποκείμενο των δεδομένων έχει δώσει "αναμφισβήτητα τη συγκατάθεση του". Σχετικά με τη διατύπωση αυτήν θα πρέπει να επισημανθεί ότι δημιουργεί προβληματισμό το ακριβές περιεχόμενο της χρησιμοποιούμενης εν προκειμένω αόριστης αξιολογικής έννοιας "αναμφισβήτητη συγκατάθεση", δεδομένου ότι διαφοροποιείται από τον ορισμό της "συγκατάθεσης" που δίνεται στο εδάφιο ία) του άρθρου 2, όπως και από τη "ρητή συγκατάθεση" του εδ. α) παρ. 2 του άρθρου 7. Αν πρόκειται πάντως για την ίδια έννοια, θα ήταν σκόπιμη η απάλειψη των επιθετικών προσδιορισμών που μπορεί να δημιουργήσουν σύγχυση.».

Εάν υπάρχουν επιπλέον πληροφορίες σχετικά με το ζήτημα, θα ήταν απόλυτα καλοδεχούμενες για μία ενδιαφέρουσα περαιτέρω συζήτηση.

Τέλος, αξίζει να σημειωθεί ότι στο αγγλικό κείμενο ο όρος "consent" εμφανίζεται εβδομήντα δύο (72) φορές, εκ των οποίων, στο ελληνικό κείμενο, στις εξήντα έξι (66) αποδίδεται ως "συγκατάθεση", ενώ σε έξι (6) περιπτώσεις αποδίδεται ως "συναίνεση", με πιο χαρακτηριστική την αναφορά στο άρθρο 6 παρ. 1 α σχετικά με τη νομιμότητα της επεξεργασίας.

2. Ασφάλεια πληροφοριών = Διαθεσιμότητα, Ακεραιότητα και ... Απόρρητο;

Στο άρθρο 32 του ΓΚΠΔ περιλαμβάνεται η υποχρέωση του υπευθύνου και εκτελούντος την επεξεργασία για τη διασφάλιση ενός κατάλληλου επιπέδου ασφάλειας έναντι των κινδύνων. Το άρθρο αυτό, πέραν του εξαιρετικού ενδιαφέροντος που έχει, τόσο για νομικούς όσο και για επαγγελματίες στο χώρο του information security, περιέχει ένα λάθος τόσο μεταφραστικό όσο και λογικό.

Το άρθρο αναφέρει, μεταξύ άλλων ότι [...] ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:

[...] β) της δυνατότητας διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,

Αντίστοιχα, στην αγγλική έκδοση του GDPR διαβάζουμε: [...] the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

[...] (b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

Στην περίπτωση αυτή το λάθος είναι κατ' αρχάς εννοιολογικό: Η ασφάλεια των πληροφοριών ορίζεται με το περίφημο τρίπτυχο CIA, όπου Confidentiality = Εμπιστευτικότητα, Integrity = Ακεραιότητα και Availability = Διαθεσιμότητα.

Ακόμα μεγαλύτερο παράδοξο είναι το γεγονός ότι στις συνολικά δεκατρείς (13) φορές που αναφέρεται ο όρος "confidentiality" στο κείμενο του GDPR, στις δέκα (10) μεταφράζεται ως "εμπιστευτικότητα" και στις τρεις (3) ως απόρρητο. Από τις τρεις, οι δύο αφορούν στο "στατιστικό απόρρητο", έννοια η οποία είναι διαδεδομένη (υπάρχει και αντίστοιχος κανονισμός).

Το λάθος αυτό είναι - αρκετά σίγουρα - εκ παραδρομής, καθώς στο άμεσα σχετικό άρθρο 5 του ΓΔΚΠ, όπου ορίζονται οι βασικές αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, στο σημείο στ' γίνεται ρητή (άραγε unambiguous ή explicit;) αναφορά σε «ακεραιότητα και εμπιστευτικότητα».

Επιπρόσθετα, στο άρθρο 38 αναφορικά με τη θέση του υπευθύνου προστασίας δεδομένων (DPO) αναφέρεται πως «ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας (σ.σ. στα αγγλικά secrecy or confidentiality) σχετικά με την εκτέλεση των καθηκόντων του».

Και πάλι, παρατηρούμε ότι ενώ η Οδηγία 95/46 αναφερόταν σε confidentiality (άρθρο 16) η ελληνική μετάφρασή της, αλλά και ο ελληνικός νόμος, αναφέρονται σε "απόρρητο".

Παρά το γεγονός ότι απόρρητο και εμπιστευτικότητα είναι κοντινές έννοιες, η ασφάλεια δικαίου επιτάσσει συνέπεια ως προς τη χρήση της ορολογίας.

Επιπρόσθετα, δεδομένου ότι η ανάγκη για διεπιστημονική συνεργασία νομικής - πληροφορικής είναι πιο αναγκαία από ποτέ, θα ήταν χρήσιμο ο διάλογος να διεξάγεται σε κοινή βάση, τουλάχιστον ως προς την ορολογία.

3. Οι πράξεις επεξεργασίας που διενεργούνται από δικαστήρια "στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας"

Στο άρθρο 55 παρ. 3 του Γενικού Κανονισμού αναφέρεται ότι «οι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας».

Η διάταξη αυτή είναι ιδιαιτέρως σημαντική, καθώς καθορίζει την έκταση των αρμοδιοτήτων της εποπτικής αρχής (στην Ελλάδα η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) στις περιπτώσεις που οι πράξεις επεξεργασίας διενεργούνται από δικαστήρια, εγείροντας ένα σημαντικό ερώτημα: πώς καθορίζεται η "δικαιοδοτική αρμοδιότητα" των δικαστηρίων;

Το ερώτημα είναι σύνθετο και πολυδιάστατο, ενώ περιπλέκεται ακόμα περισσότερο με την αντιπαραβολή του αγγλικού κειμένου, στο οποίο αναφέρεται ότι «Supervisory authorities shall not be competent to supervise processing operations of courts acting in their judicial capacity».

Είναι άραγε η "δικαιοδοτική αρμοδιότητα" ορθή απόδοση του "judicial capacity"; Παρά το γεγονός ότι αναζητώντας σε λεξικά και σχετικά νομοθετήματα της ΕΕ δυσκολευτήκαμε να βρούμε τον όρο capacity να αποδίδεται ως αρμοδιότητα, ο ίδιος ο Κανονισμός φαίνεται ... διχασμένος.

Κι αυτό γιατί από τις πέντε συνολικά αναφορές στον όρο "judicial capacity", στις δύο (αιτιολογική σκέψη 20, άρθρο 9 παρ. 2στ) αποδίδεται ως "δικαιοδοτική ιδιότητα" και σε τρεις (αιτιολογική σκέψη 97, άρθρο 37 παρ 1α, άρθρο 55 παρ. 3) αποδίδεται ως "δικαιοδοτική αρμοδιότητα".

Το εν λόγω ζήτημα ερμηνείας είναι κάθε άλλο παρά απλό, καθώς έχει πολύ ιδιαίτερες πτυχές αλλά και σημαντικές προεκτάσεις.

Η ερμηνεία του είναι πιθανό να διαδραματίσει σημαντικό ρόλο σε μία σειρά από - διόλου ξένα προς την ελληνική πραγματικότητα - σενάρια. Για παράδειγμα, είναι η ΑΠΔΠΧ αρμόδια να ελέγξει ένα δικαστήριο που δεν τηρεί την αρχή ασφαλείας του άρθρου 5, λόγω μη λήψης μέτρων περιορισμού πρόσβασης σε αρχεία δικογραφιών; Είναι η ΑΠΔΠX αρμόδια να ελέγξει έναν δικαστή που γράφει τις αποφάσεις του σε προσωπικό laptop, το οποίο και ξεχνάει στο πίσω κάθισμα ενός ταξί;

Οι απαντήσεις και οι ερμηνείες αναμένονται με ιδιαίτερο ενδιαφέρον.

Συμπερασματικά...

Όπως είναι λογικό, οι δυσκολίες στην απόδοση όρων εντός μίας ένωσης κρατών, όπως η Ευρωπαϊκή Ένωση, είναι αναμενόμενες, συχνά δικαιολογημένες και σίγουρα όχι πρωτοφανείς.

Ενδεικτικά και μόνο αναφέρουμε τον όρο "unsolicited communications" της Οδηγίας 2002/58 για τις ηλεκτρονικές επικοινωνίες που αποδόθηκε κατ' αρχήν ως "αυτόκλητες επικοινωνίες" στην ελληνική έκδοση της Οδηγίας και ως "μη ζητηθείσες επικοινωνίες" στο κείμενο του νόμου (3471/2006) που ενσωμάτωσε την εν λόγω Οδηγία στην ελληνική έννομη τάξη.

Η απόδοση στην ελληνική γλώσσα όρων που αφορούν σε τεχνολογικά ζητήματα είναι άλλωστε εκ φύσεως σύνθετη και μάλλον "άχαρη". Για παράδειγμα ποιος Έλληνας μπορεί να εξοικειωθεί με τον όρο "επιγραμμικός" όταν αναφέρεται στο αγγλικό "online";

Ευτυχώς, ο νομοθέτης στον GDPR είχε την ευσυνειδησία να αφήσει τον - ούτως ή άλλως - πολύπαθο όρο "cookies" ως έχει (βλέπε αιτιολογική σκέψη 30 ΓΚΠΔ), γλιτώνοντάς μας - αν μη τι άλλο - από τη διαδικασία να συζητήσουμε με ιδιοκτήτες ιστοσελίδων σχετικά με τον τρόπο διαχείρισης των "μπισκότων" τους.

Σε πείσμα δε της παραδοσιακής αντίληψης πως "αυτά συμβαίνουν μόνο στην Ελλάδα", το μόνο βέβαιο είναι πως το ζήτημα των μεταφράσεων δεν αφορά μόνο τη χώρα μας.

Αρκεί να συλλογιστεί κανείς ότι το 1996, στην υπόθεση Lubella, το Δικαστήριο της Ευρωπαϊκής Ένωσης διαπίστωσε, έπειτα από προσεκτική εξέταση διαφορετικών αποδόσεων του κειμένου του ίδιου Κανονισμού για αγροτικά προϊόντα (Κανονισμός 1932/93), ότι η γερμανική έκδοση αναφερόταν εσφαλμένα σε sweet cherries (κεράσια) αντί για sour cherries (βύσσινα).

Είναι σαφές πως τέτοια "λάθη", λιγότερο ή περισσότερο εμφανή και εύκολο να διορθωθούν, αποτελούν αναπόσπαστο κομμάτι της Ένωσης και μάλλον θα πρέπει να ζήσουμε με αυτά. Σκοπός μας άλλωστε δεν είναι να στηλιτεύσουμε την ύπαρξή τους, αλλά να αναδείξουμε την ανάγκη να εξεταστούν πιο προσεκτικά ως προς τα ερμηνευτικά ζητήματα που εγείρουν, καθώς και να τύχουν πιο συνεπούς και συνολικής αντιμετώπισης στο μέλλον.