ΑΠΟΦΑΣΗ 39/2024
Αθήνα, 31-10-2024
Αριθ. Πρωτ.: 2990
(Ολομέλεια)
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε έκτακτη συνεδρίαση στην έδρα της την 23-07-2024, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν μέσω τηλεδιασκέψεως ο Πρόεδρος της Αρχής Κωνσταντίνος Μενουδάκος, τα τακτικά μέλη Σπυρίδων Βλαχόπουλος, ως εισηγητής, Γρηγόριος Τσόλιας, Κωνσταντίνος Λαμπρινουδάκης, Χρήστος Καλλονιάτης και Αικατερίνη Ηλιάδου. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστησαν, με εντολή του Προέδρου, η Ελένη Καπράλου ειδική επιστήμονας νομικός, ως βοηθός εισηγητή, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Τμήματος Διοικητικών Υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Με την υπ’ αριθ. πρωτ. .../09-07-2022 καταγγελία της στην Αρχή και τα επισυναπτόμενα σε αυτήν έγγραφα, η Α (εφεξής «καταγγέλλουσα»), η οποία υπηρετούσε στην Εθνική Υπηρεσία Πληροφοριών (εφεξής ΕΥΠ ή «καταγγελλόμενη»), καταγγέλλει την τελευταία για την παράνομη διαρροή προσωπικών δεδομένων που την αφορούν, και συγκεκριμένα ότι με το υπ’ αριθμ. πρωτ. … (…) έγγραφο της ΕΥΠ διαβιβάσθηκαν προς τον Υπουργό Προστασίας του Πολίτη, τον Υφυπουργό Προστασίας του Πολίτη και τον αρχηγό ΕΛ.ΑΣ. καταστάσεις με το προσωπικό της υπηρεσίας που υπηρετούσε στην … και στα …, όπου ανήκε και η ίδια, και δη καταστάσεις που περιείχαν το ονοματεπώνυμό της, την πανεπιστημιακή της εκπαίδευση, την κατηγορία/κλάδο που ανήκε (πανεπιστημιακή εκπαίδευση …), καθώς και το γνωστικό της αντικείμενο (πτυχίο …, μεταπτυχιακό …).
Η Αρχή, στο πλαίσιο εξέτασης της ανωτέρω καταγγελίας απέστειλε στην ΕΥΠ το υπ’ αριθ. πρωτ. .../22-03-2024 έγγραφο προς παροχή απόψεων. Ακολούθως, η ΕΥΠ απάντησε στο ανωτέρω έγγραφο, με το υπ’ αρ. πρωτ. .../12-04-2024 έγγραφό της, και συγκεκριμένα ισχυρίσθηκε: 1) Ότι η ΕΥΠ μετά την ψήφιση του Ν. 4873/2021 και την υπογραφή από την Πρόεδρο της Δημοκρατίας της παραγγελίας προς δημοσίευσή του στην Εφημερίδα της Κυβέρνησης την 15-12-2021, διαβίβασε στον Υπουργό Προστασίας του Πολίτη, στον Υφυπουργό Προστασίας του Πολίτη και στον Αρχηγό της ΕΛΑΣ το υπ’ αριθ. πρωτ. … έγγραφο, με συνημμένες καταστάσεις του υπηρετούντος προσωπικού της ΕΥΠ (…). Στις εν λόγω καταστάσεις αναγραφόταν το ονοματεπώνυμο των υπαλλήλων, η κατηγορία, ο κλάδος, ο βαθμός αυτών, καθώς επίσης και οι τίτλοι σπουδών που κατείχαν, στοιχεία απαραίτητα για την έκδοση των αποφάσεων μετάταξης και τοποθέτησής τους σύμφωνα με την πρόβλεψη της διάταξης του άρθρου 74, ΦΕΚ Α΄/248/16-12-2021, 2) Ότι η επίμαχη διαβίβαση έλαβε χώρα από την ΕΥΠ προς το Υπουργείο Προστασίας του Πολίτη, που είναι δημόσιος φορέας, υπό τους όρους του άρθρου 26 του Ν. 4624/2019, ήτοι στο πλαίσιο εκτέλεσης των καθηκόντων της ΕΥΠ, αλλά και των οριζόμενων προϋποθέσεων του άρθρου 24 του ως άνω Νόμου, ενόψει της επικείμενης μετάταξης της καταγγέλλουσας και της ανάγκης ελέγχου των στοιχείων της από την ΕΛΑΣ, προτού ολοκληρωθεί η διοικητική πράξη της μετάταξής της. Τα δε δεδομένα που διαβιβάσθηκαν ήταν ακριβή και διαβιβάσθηκαν με ασφάλεια στα αρμόδια διοικητικά όργανα για την έκδοση των σχετικών με τη μετάταξη διοικητικών πράξεων, 3) Ότι η διαβίβαση έγινε μόλις μια ημέρα μετά την ψήφιση και μια ημέρα πριν την έναρξη ισχύος του Ν. 4873/2021 και θα πρέπει να εξετασθεί στο πλαίσιο της συνεργασίας και προεργασίας των δημοσίων υπηρεσιών, η οποία αποτελεί πάγια πρακτική μεταξύ των υπηρεσιών, όταν πρόκειται να εφαρμοσθούν ανάλογες διατάξεις Νόμου. Άλλωστε η εν λόγω διαβίβαση θα πραγματοποιείτο ούτως ή άλλως την 16-12-2021, ημερομηνία έναρξης ισχύος του ως άνω Νόμου, 4) Τα δεδομένα που διαβιβάσθηκαν κρίθηκε ότι ήταν τα απολύτως απαραίτητα προς τον σκοπό της μεταβίβασής τους, ήταν ακριβή και διαβιβάστηκαν με ασφάλεια στα αρμόδια όργανα, και τέλος, 5) ότι δεν υπήρξε κανενός είδους «διαρροή προσωπικών δεδομένων» και η εν λόγω διαβίβαση ήταν νόμιμη, έγινε με σκοπό την έκδοση των διοικητικών πράξεων της μετάταξης και ήταν ήδη γνωστή στην καταγγέλλουσα από τον χρόνο κατάθεσής της στο Ελληνικό Κοινοβούλιο προς ψήφιση, καθώς μάλιστα είχε λάβει σημαντική δημοσιότητα.
Σε συνέχεια των ανωτέρω, η Αρχή κάλεσε με τις υπ’ αριθμ. πρωτ. .../17-04-2024 και .../17-04-2024 κλήσεις της, την Α και την ΕΥΠ αντίστοιχα σε ακρόαση, μέσω τηλεδιάσκεψης στις 23-04-2024, προκειμένου να εκθέσουν τις απόψεις τους για την υπόθεση. Κατά τη συνεδρίαση της 23-04-2024 της Ολομέλειας της Αρχής παρέστησαν μέσω τηλεδιάσκεψης η καταγγέλλουσα μετά του συνηγόρου της Γεωργίου Σταματιάδη, η μάρτυρας Β, στην οποία όμως, δεν υποβλήθηκαν ερωτήσεις στο πλαίσιο της εν λόγω ακρόασης, και για λογαριασμό της καταγγελλόμενης οι Γ, Νομικός Σύμβουλους της ΕΥΠ, Δ, Προϊσταμένη της Διεύθυνσης Διοικητικής Υποστήριξης και Ανθρωπίνων Πόρων και η Ε, Υπεύθυνη Προστασίας Δεδομένων της ΕΥΠ. Κατά την ακρόαση τα μέρη ανέπτυξαν τις απόψεις τους και στη συνέχεια, έλαβαν προθεσμία και κατέθεσαν εμπρόθεσμα, η μεν καταγγέλλουσα το υπ’ αριθ. πρωτ. .../01-05-2024 υπόμνημα, η δε καταγγελλόμενη το υπ’ αριθ. πρωτ. .../01-05-2024 υπόμνημα.
Ειδικότερα, η καταγγέλλουσα με το υπ’ αριθ. πρωτ. .../01-05-2024 υπόμνημά της ισχυρίζεται: 1) Ότι στις 15-12-2021, ημερομηνία διαβίβασης των προσωπικών της δεδομένων, δεν βρισκόταν σε ισχύ το άρθρο 74 του Ν. 4873/2021 που προέβλεπε την υποχρεωτική μετάταξη του πολιτικού προσωπικού της ΕΥΠ που υπηρετούσε στη … προς τις κεντρικές και περιφερειακές Υπηρεσίες της Ελληνικής Αστυνομίας. Η ημερομηνία έναρξης ισχύος του Ν. 4873/2021 ήταν η 16η Δεκεμβρίου 2021, ως εκ τούτου δεν υπήρχε νόμιμο έρεισμα διαβίβασης των προσωπικών δεδομένων των υπαλλήλων της ΕΥΠ στις 15-12-2021, αντικρούοντας τους σχετικούς ισχυρισμούς της ΕΥΠ ότι η εν λόγω διαβίβαση έλαβε χώρα αφενός μεν σε πλήρη συμμόρφωση της Υπηρεσίας σε διάταξη Νόμου, αφετέρου δε ότι έγινε για τον καθορισμένο, ρητά προβλεπόμενο από διάταξη Νόμου σκοπό, 2) Ότι στην ελληνική έννομη τάξη, ως νόμος νοείται ο τυπικός, δηλαδή πράξη νομοθετικού οργάνου, με την οποία θεσπίζεται κανόνας δικαίου. Τα νομοσχέδια και οι προτάσεις νόμων που έχουν ψηφισθεί καθίστανται νόμοι του κράτους με την έκδοση και τη δημοσίευσή τους από τον πρόεδρο της Δημοκρατίας (άρθρα 42 παρ. 1 και 35 παρ. 1 Σ), δηλαδή απαιτείται η δημοσίευσή τους στην Εφημερίδα της Κυβερνήσεως ως συστατικό στοιχείο του κύρους τους, 3) Ότι σύμφωνα με τις διατάξεις των άρθρων 14 και 17 του Ν. 3649/2008, τα διοικητικά έγγραφα που ανάγονται στην εσωτερική λειτουργία της ΕΥΠ, καθώς και εκείνα που αναφέρονται στην υπηρεσιακή κατάσταση του προσωπικού της, είναι απόρρητα, 4) Ότι οι πληροφορίες που διαβιβάσθηκαν συνιστούν προσωπικά δεδομένα και είναι απόρρητες, επομένως η επεξεργασία τους επιτρέπεται μόνον όταν προβλέπεται ειδικώς από διάταξη Νόμου, περαιτέρω δε μόνο αν το υποκείμενο έχει δώσει τη συγκατάθεσή του, αφού προηγουμένως έχει ενημερωθεί κατά τρόπο πρόσφορο και σαφή, για τα δεδομένα και τον σκοπό της επεξεργασίας, την ταυτότητα του υπεύθυνου επεξεργασίας, τον αποδέκτη των δεδομένων και την ύπαρξη του δικαιώματος πρόσβασης, 5) Ότι κατά παράβαση του άρθρου 36 του Ν. 4624/2019 η συγκεκριμένη επεξεργασία δεδομένων δεν διενεργήθηκε από ειδικά εξουσιοδοτημένους για αυτό υπαλλήλους, για τα ονόματα των οποίων ενημερώθηκε η Ε.Υ.Π., ούτε η περαιτέρω διαβίβαση των ανωτέρω δεδομένων προσωπικού χαρακτήρα διενεργήθηκε μετά από έγκριση της Ε.Υ.Π., 6) Ότι η επεξεργασία δεδομένων που πραγματοποιείται από δημόσια αρχή, πρέπει να πληροί τις προϋποθέσεις νομιμότητας του άρθρου 6 ΓΚΠΔ, 7) Ότι προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, σύμφωνα με τον ΓΚΠΔ, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ, 8) Ότι η ΕΥΠ διαβίβασε μεταξύ άλλων και την πληροφορία «…», χωρίς να είναι αυτό αναγκαίο, δεδομένου ότι η κατάταξη του πολιτικού της προσωπικού σε κατηγορία και κλάδο, γίνεται ανάλογα με το αν διαθέτει πτυχίο πανεπιστημιακής εκπαίδευσης ή όχι και τέλος 9) ότι κατά παράβαση της διάταξης του άρθρου 5 παρ. 1 στοιχ. στ) ΓΚΠΔ περί υποχρεώσεως τηρήσεως της αρχής της ακεραιότητας και εμπιστευτικότητας των δεδομένων, έλαβαν γνώση των δεδομένων της μη εξουσιοδοτημένα πρόσωπα (άρθρο 32 ΓΚΠΔ). Περαιτέρω, αντικρούει ως αόριστο και ανακριβή τον ισχυρισμό της ΕΥΠ ότι η εν λόγω διαβίβαση έγινε σύμφωνα με τα προβλεπόμενα από τη διάταξη του άρθρου 26 παρ. 1 Ν. 4624/2019, ισχυριζόμενη ότι η καταγγελλόμενη δεν αναφέρει ποια ακριβώς από τις προϋποθέσεις που θέτει το άρθρο 24 παρ. 1 του Ν. 4624/2019, στο οποίο παραπέμπει το άρθρο 26 παρ. 1 του Ν. 4624/2019, πληρούται εν προκειμένω. Η δε ΕΥΠ στο υπόμνημά της υποστήριξε: 1) Ότι η καταγγέλλουσα δεν απευθύνθηκε στην ΕΥΠ ως υπεύθυνο επεξεργασίας και για τον λόγο αυτό η Αρχή δύναται να μην εξετάσει την εν λόγω καταγγελία, 2) Ότι η ΕΥΠ ουδέποτε έλαβε αυτοτελές έγγραφο καταγγελίας της Α, παρά μόνο την υπ’ αριθμ. πρωτ. .../9-7-2022 καταγγελία, αντικείμενο της οποίας ήταν «Διαρροή προσωπικών δεδομένων», με συνημμένα το με αριθμ. πρωτ. … έγγραφο της ΕΥΠ και απόσπασμα κατάστασης με το ονοματεπώνυμο της καταγγέλλουσας, την κατηγορία, τον κλάδο, το πτυχίο της και τον μεταπτυχιακό της τίτλο, από τα οποία μόνο συναγωγή υποθετικών συμπερασμάτων μπορούσε να γίνει ως προς τον πραγματικό λόγο της καταγγελίας της και για τον λόγο αυτό η Αρχή δεν πρέπει να εξετάσει την εν λόγω καταγγελία, 3) Ότι για την υλοποίηση της εν λόγω μετάταξης διαβιβάστηκαν με ασφάλεια, ήτοι εντός σφραγισμένου φακέλου, στο Υπουργείο Προστασίας του Πολίτη, τα δεδομένα που ήταν απολύτως απαραίτητα προς το σκοπό της διαβίβασης, ήτοι μόνο το ονοματεπώνυμο, η κατηγορία, ο κλάδος, ο βαθμός και οι τίτλοι σπουδών της καταγγέλλουσας (βλ. και άρθρο 7 Π.Δ 1/2017), 4) Ότι εν προκειμένω έλαβε χώρα μια διαβίβαση δεδομένων προσωπικού χαρακτήρα από ένα δημόσιο φορέα σε έτερο δημόσιο φορέα υπό τους όρους του άρθρου 26 παρ. 1 Ν. 4624/2019, ήτοι στο πλαίσιο της εκτέλεσης καθηκόντων του φορέα που διαβιβάζει, αλλά και της ανάγκης να τεθούν τα στοιχεία της καταγγέλλουσας υπόψη της Ελληνικής Αστυνομίας, προκειμένου να ολοκληρωθεί η διοικητική διαδικασία της μετάταξης της καταγγέλλουσας κατ’ εφαρμογή των διατάξεων του άρθρου 74 του Ν. 4873/2021 (Α΄248). Ήτοι, δεν υπήρξε διαρροή προσωπικών δεδομένων, καθώς δεν παραβιάσθηκε καμία από τις αρχές του άρθρου 5 του ΓΚΠΔ, δεδομένου ότι η διαβίβαση ήταν σύννομη και θεμιτή, τα δε δεδομένα ήταν τα απολύτως απαραίτητα προς το σκοπό της διαβίβασης, 5) Ότι εάν ήθελε υποτεθεί ότι υπήρξε παραβίαση της νομοθεσίας περί προσωπικών δεδομένων, η διάρκεια αυτής ήταν περιορισμένη (μόλις λίγες ώρες), καθώς υπήρξε μια τεχνικής φύσεως αστοχία από πλευράς του Εθνικού Τυπογραφείου, παρότι το τελευταίο διαβεβαίωνε για την δημοσίευση του Νόμου στις 15-12-2021, και δεν οφείλεται σε δόλο της ΕΥΠ, αφού η εν λόγω διαβίβαση έγινε προκειμένου να υπάρξει ταχεία διεκπεραίωση της διοικητικής διαδικασίας της μετάταξης, 6) Ότι η διαβίβαση προσωπικών δεδομένων μεταξύ δημοσίων φορέων στην προκειμένη περίπτωση, αφορά έναν και τον αυτό σκοπό, δηλαδή την υπηρεσιακή κατάσταση της υπαλλήλου, διότι η μετάταξη καίτοι εμπεριέχει ταυτόχρονα απόλυση από τον φορέα προέλευσης και «οιονεί διορισμό» από τον φορέα υποδοχής του υπαλλήλου, αποβλέπει στη συνέχιση της δημοσιοϋπαλληλικής του κατάστασης, όπως αυτή προϋπήρχε στον φορέα προέλευσης, και τέλος, 7) Ότι σε ό,τι αφορά την παραβίαση του άρθρου 36 Ν. 4624/2019, η διάταξη του Νόμου αυτού διέπει και την Ελληνική Αστυνομία, σε γνώση της οποίας περιήλθαν τα προσωπικά δεδομένα της καταγγέλλουσας. Από τη γραμματική ερμηνεία της διάταξης μπορεί να εξαχθεί ότι η ίδια η Ελληνική Αστυνομία είχε την υποχρέωση να ενημερώσει την ΕΥΠ για τους ειδικά εξουσιοδοτημένους υπαλλήλους της που επεξεργάσθηκαν τα εν λόγω προσωπικά δεδομένα. Δεδομένου ότι μέχρι την έκδοση της πράξης της μετάταξής της από το αρμόδιο όργανο, η καταγγέλλουσα νοούνταν ως υπάλληλος της ΕΥΠ, η Ελληνική Αστυνομία ήταν υποχρεωμένη βάσει της διάταξης του άρθρου 36 του Ν. 4624/2019 να ενημερώσει την ΕΥΠ για τα ονόματα των ειδικά εξουσιοδοτημένων υπαλλήλων της που επεξεργάζονταν τα προσωπικά δεδομένα της καταγγέλλουσας.
Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου και των διαμειφθέντων στην από 23-04-2024 συνεδρίαση, αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τη βοηθό εισηγητή, η οποία παρέστη χωρίς δικαίωμα ψήφου μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Επειδή, σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (εφεξής, ΓΚΠΔ) και του άρθρου 9 του Ν. 4624/2019 (ΦΕΚ Α ́137), η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του Νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του Ν. 4624/2019 προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί της εν λόγω καταγγελίας κατά της ΕΥΠ, καθόσον αυτή αφορά σε κοινολόγηση με διαβίβαση δεδομένων τα οποία περιλαμβάνονται σε σύστημα αρχειοθέτησης κατά την έννοια του άρθρου 4 στοιχ. 2 και 6 του ΓΚΠΔ, επομένως για επεξεργασία υπαγόμενη στο ρυθμιστικό πεδίο των άρθρων 2 παρ. 1 του ΓΚΠΔ και 2 του Ν. 4624/2019.
2. Επειδή, ειδικότερα, σύμφωνα με το άρθρο 4 στοιχ. 1 του ΓΚΠΔ «δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».
3. Επειδή, περαιτέρω σύμφωνα με το άρθρο 4 στοιχ. 2 ΓΚΠΔ επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι «κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή».
4. Επειδή, στο άρθρο 4 στοιχ. 7 ΓΚΠΔ ως υπεύθυνος επεξεργασίας ορίζεται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους».
5. Επειδή, στο άρθρο 5 παρ. 1 του ΓΚΠΔ τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία, και ειδικότερα: «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια») (…)».
6. Επειδή, περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που εισάγεται με τη δεύτερη παράγραφο του ίδιου ως άνω άρθρου, ορίζεται ρητώς ότι ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή, η οποία συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση και για τον σκοπό αυτό να ελέγξει και να τεκμηριώσει νομικά μια επεξεργασία που διενεργεί σύμφωνα με τις νομικές βάσεις που του παρέχει ο ΓΚΠΔ και το εθνικό δίκαιο προστασίας δεδομένων.
7. Επειδή, ειδικότερα, προκειμένου μια πράξη επεξεργασίας να θεωρηθεί σύννομη (και σύμφωνη με το άρθρο 5 παρ. 1 ΓΚΠΔ) απαιτείται να συντρέχει ένας από τους νόμιμους λόγους επεξεργασίας που προβλέπονται στο άρθρο 6 παρ. 1 (στοιχ. α-στ) ΓΚΠΔ, ήτοι «1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί. Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους».
8. Επειδή προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, ήτοι επεξεργασίας σύμφωνα προς τις απαιτήσεις του ΓΚΠΔ, θα πρέπει να πληρούνται σωρευτικά οι προϋποθέσεις εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ, όπως προκύπτει και από την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) της 16-01-2019 στην υπόθεση C496/2017 Deutsche Post AG κατά HauptzollamtKoln. Η ύπαρξη ενός νόμιμου θεμελίου (άρθρο 6 ΓΚΠΔ) δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από την υποχρέωση τήρησης των αρχών (άρθρο 5 παρ. 1 ΓΚΠΔ) αναφορικά με τον θεμιτό χαρακτήρα, την αναγκαιότητα και την αναλογικότητα καθώς και την αρχή της ελαχιστοποίησης. Σε περίπτωση κατά την οποία παραβιάζεται κάποια εκ των προβλεπομένων στο άρθρο 5 παρ. 1 ΓΚΠΔ αρχών, η εν λόγω επεξεργασία παρίσταται ως μη νόμιμη (αντικείμενη στις διατάξεις του ΓΚΠΔ) και παρέλκει η εξέταση των προϋποθέσεων εφαρμογής των νομικών βάσεων του άρθρου 6 ΓΚΠΔ. Έτσι, η κατά παράβαση των αρχών του άρθρου 5 ΓΚΠΔ μη νόμιμη συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα δεν θεραπεύεται από την ύπαρξη νόμιμου σκοπού και νομικής βάσης.
Επιπλέον δε, το ΔΕΕ με την από 01-10-2015 απόφασή του στο πλαίσιο της υπόθεσης C-201/14 (Smaranda Bara) έκρινε ως προϋπόθεση της θεμιτής και νόμιμης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα την ενημέρωση του υποκειμένου των δεδομένων προ της επεξεργασίας αυτών.Ειδικότερα, ο υπεύθυνος επεξεργασίας, στο πλαίσιο της από μέρους του τήρησης της αρχής της θεμιτής ή δίκαιης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, οφείλει να ενημερώνει το υποκείμενο των δεδομένων ότι πρόκειται να επεξεργαστεί τα δεδομένα του με νόμιμο και διαφανή τρόποκαι να βρίσκεται σε θέση ανά πάσα στιγμή να αποδείξει τη συμμόρφωσή του με τις αρχές αυτές (αρχή της λογοδοσίας κατ' άρθρο 5 παρ. 2 σε συνδυασμό με τα άρθρα 24 παρ. 1 και 32 ΓΚΠΔ).
9. Επειδή περαιτέρω, η αναγνώριση και επιλογή της κατάλληλης νοµικής βάσης εκ των προβλεποµένων στο άρθρο 6 παρ. 1 ΓΚΠ∆ είναι στενά συνδεδεµένη µε την αρχή της θεµιτής ή δίκαιης επεξεργασίας καθώς και µε την αρχή του περιορισµού του σκοπού, ο δε υπεύθυνος επεξεργασίας οφείλει όχι µόνο να επιλέξει την κατάλληλη νοµική βάση προ της έναρξης της επεξεργασίας, αλλά και να ενηµερώσει κατ’ άρθρο 13 παρ. 1 εδ. γ’ ΓΚΠ∆ για την χρήση της το υποκείµενο των δεδοµένων, καθώς η επιλογή της κάθε νοµικής βάσης ασκεί έννοµη επιρροή στην εφαρµογή των δικαιωµάτων των υποκειµένων.
Ειδικότερα, η επιλογή της νοµικής βάσης επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα πρέπει να λαµβάνει χώρα προ της έναρξης της επεξεργασίας, ο δε υπεύθυνος επεξεργασίας υποχρεούται µε βάση την αρχή της λογοδοσίας (βλ. άρθρο 5 παρ. 2 σε συνδυασμό µε τα άρθρα 24 και 32 ΓΚΠ∆) να επιλέξει την κατάλληλη νοµική βάση εκ των προβλεποµένων από το άρθρο 6 παρ. 1 ΓΚΠ∆, καθώς και να είναι σε θέση να αποδείξει την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠ∆, περιλαµβανοµένης αυτονοήτως και της τεκµηρίωσης επί τη βάσει της οποίας κατέληξε στην οικεία νοµική βάση. Εξάλλου, µε τον ΓΚΠ∆ υιοθετήθηκε ένα νέο µοντέλο συµµόρφωσης, κεντρικό άξονα του οποίου συνιστά η προαναφερόμενη αρχή της λογοδοσίας, στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρµόζει και εν γένει λαµβάνει τα αναγκαία µέτρα και πολιτικές, προκειµένου η επεξεργασία των δεδοµένων να είναι σύµφωνη µε τις σχετικές νοµοθετικές προβλέψεις. Επιπλέον δε, ο υπεύθυνος επεξεργασίας βαρύνεται µε το περαιτέρω καθήκον να αποδεικνύει ο ίδιος και ανά πάσα στιγµή τη συµµόρφωσή του µε τις αρχές του άρθρου 5 παρ. 1 ΓΚΠ∆. ∆εν είναι τυχαίο ότι ο ΓΚΠ∆ εντάσσει τη λογοδοσία (ήδη προαναφερθέν άρθρο 5 παρ. 2 ΓΚΠ∆) στη ρύθµιση των αρχών (άρθρο 5 παρ. 1 ΓΚΠ∆) που διέπουν την επεξεργασία, προσδίδοντας σε αυτήν, τη λειτουργία ενός µηχανισµού τήρησής τους, αντιστρέφοντας κατ’ ουσίαν το «βάρος της απόδειξης» ως προς την νοµιµότητα της επεξεργασίας (και εν γένει την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠ∆), µεταθέτοντάς την στον υπεύθυνο επεξεργασίας, ώστε εκείνος φέρει το βάρος της επίκλησης και απόδειξης της νοµιµότητας της επεξεργασίας.
10. Επειδή οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβάνοντας υπόψη τις ειδικές συνθήκες και το πλαίσιο εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Εάν τα δεδομένα προσωπικού χαρακτήρα επιτρέπεται να κοινολογηθούν σε άλλον αποδέκτη, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται, όταν τα δεδομένα προσωπικού χαρακτήρα κοινολογούνται για πρώτη φορά στον αποδέκτη. Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλον από εκείνον για τον οποίο συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες αναγκαίες πληροφορίες (Αιτ. Σκέψεις 60-61 ΓΚΠΔ). Συγκεκριμένα, σύμφωνα με τις παραγράφους 1 και 2 του άρθρου 13 του ΓΚΠΔ, όταν τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις πληροφορίες που αναφέρονται στις παραγράφους αυτές, στις δε παραγράφους 3 και 4 του ίδιου άρθρου ορίζεται ότι «Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για άλλο σκοπό από εκείνο για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες», όπως αναφέρεται στην παράγραφο 2. 4. Οι παράγραφοι 1, 2 και 3 δεν εφαρμόζονται, όταν και εφόσον το υποκείμενο των δεδομένων έχει ήδη τις πληροφορίες».
Σύμφωνα με τα ανωτέρω, έναντι του υποκειμένου ο υπεύθυνος επεξεργασίας υπέχει υποχρέωση αυτόκλητης ενημέρωσης, με την έννοια ότι η υποχρέωση αυτή δεν εξαρτάται από αίτημα του υποκειμένου των δεδομένων, αλλά αντιθέτως ο υπεύθυνος επεξεργασίας πρέπει να συμμορφώνεται προς αυτήν προδραστικά, ανεξάρτητα από το αν το υποκείμενο των δεδομένων θα εκφράσει ενδιαφέρον για την ενημέρωση.
11. Επειδή σύμφωνα με το άρθρο 1 παρ. 1 του Ν. 3649/2008 «Η Εθνική υπηρεσία Πληροφοριών (Ε.Υ.Π.) αποτελεί αυτοτελή δημόσια πολιτική υπηρεσία και υπάγεται στον Υπουργό Εσωτερικών, ο οποίος είναι αρμόδιος για τον καθορισμό της δράσης της Ε.Υ.Π. στο πλαίσιο των εθνικών προτεραιοτήτων της κυβερνητικής πολιτικής, με την επιφύλαξη του άρθρου 5 παρ. 3 του Ν. 2292/1995». Περαιτέρω, σύμφωνα με το άρθρο 5 παρ. 3 του Προεδρικού Διατάγματος 81/2019 «Η Εθνική Υπηρεσία Πληροφοριών η οποία συστάθηκε με το άρθρο 1 του ν.δ. 2421/1953 και μετονομάστηκε και οργανώθηκε με το Ν. 1645/1986 και το Ν. 3649/2008 (Α 39) μεταφέρεται, ως σύνολο αρμοδιοτήτων, θέσεων, και προσωπικού, στον Πρωθυπουργό».
12. Επειδή περαιτέρω, με το άρθρο 74 του Ν. 4873/2021 (ΦΕΚ Α΄/248/16-12-2021): Ρύθμιση θεμάτων προσωπικού Εθνικής Υπηρεσίας Πληροφοριών (Ε.Υ.Π.) «1. Το προσωπικό που υπηρετεί στην Υποδιεύθυνση Γ` της Διεύθυνσης Β` Συλλογής και Ανάλυσης Πληροφοριών (Δ.ΣΥ.Α.Π-Β) της υποπερ. αγ` της περ. α` της παρ. 1 του άρθρου 1 του π.δ. 1/2017 (Α` 2) και στα γραφεία των Περιφερειακών Μονάδων Υποστήριξης της Υποδιεύθυνσης Γ` της υποπερ. βα` της περ. β` της παρ. 1 του άρθρου 1 του ιδίου ως άνω προεδρικού διατάγματος όπως εξειδικεύεται στον Εσωτερικό Κανονισμό και τον συνημμένο σε αυτόν Πίνακα Σύνθεσης και Κατανομής του Προσωπικού της Ε.Υ.Π., μετατάσσεται σε Κεντρικές ή Περιφερειακές Υπηρεσίες της Ελληνικής Αστυνομίας και ιδίως σε αυτές που ασκούν αρμοδιότητες δημόσιας και κρατικής ασφάλειας, κατά παρέκκλιση κάθε γενικής ή ειδικής διάταξης, με την ίδια σχέση εργασίας, σε συνιστώμενες προσωποπαγείς θέσεις πολιτικού προσωπικού, οι οποίες καταργούνται με την καθ` οιονδήποτε τρόπο αποχώρηση των υπαλλήλων που τις κατέχουν.
2. Το προσωπικό της παρ. 1 μετατάσσεται σε οργανωτικές δομές της Ελληνικής Αστυνομίας που προβλέπονται στον Κανονισμό της, αναλόγως των προσόντων - ειδικοτήτων τους που αντιστοιχούν σε ίδιας κατηγορίας/ εκπαιδευτικής βαθμίδας στην οποία ανήκει, βάσει των τυπικών προσόντων που διαθέτει και σύμφωνα με τις διατάξεις του π.δ. 50/2001 (Α` 39) με τον ίδιο βαθμό και μισθολογικό κλιμάκιο που κατείχε στην Υπηρεσία προέλευσης. Για τη μετάταξη του προσωπικού εκδίδεται απόφαση του Υπουργού Προστασίας του Πολίτη, η οποία δεν δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως σύμφωνα με την παρ. 5 του άρθρου 17 του Ν. 3649/2008 (Α` 39). Για την τοποθέτηση του προσωπικού στις Υπηρεσίες της Ελληνικής Αστυνομίας εκδίδεται απόφαση του Αρχηγού της Ελληνικής Αστυνομίας, λαμβανομένων υπόψη των δηλώσεων προτίμησής του ανά περιφερειακή ενότητα.
3. Το προσωπικό που μετατάσσεται σύμφωνα με τις παρ. 1 και 2 μισθοδοτείται από την Ελληνική Αστυνομία. Στην περίπτωση που για το μετατασσόμενο προσωπικό προκύπτουν χαμηλότερες μηνιαίες αποδοχές σε σχέση με τις μηνιαίες αποδοχές της Υπηρεσίας προέλευσης, η διαφορά διατηρείται ως προσωπική σύμφωνα με την παρ. 4 του άρθρου 27 του Ν. 4354/2015 (Α` 176). Το ως άνω προσωπικό διατηρεί το συνταξιοδοτικό και ασφαλιστικό καθεστώς που είχε μέχρι την ημερομηνία μετάταξης».
4. Οι απαιτούμενες πιστώσεις για τη συνολική μισθοδοσία του μετατασσόμενου προσωπικού για το τρέχον έτος 2021, καθώς και για το έτος 2022 μεταφέρονται από την Ε.Υ.Π. στην Ελληνική Αστυνομία».
13. Επειδή, σύμφωνα με την παράγραφο 1 του άρθρου 24 του Ν. 4624/2019: «1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι: α) απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες· β) αναγκαία για την αποτροπή κινδύνων για την εθνική ασφάλεια, εθνική άμυνα ή δημόσια ασφάλεια ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων· γ) αναγκαία για τη δίωξη ποινικών αδικημάτων· δ) αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου· ε) απαραίτητη για την παραγωγή των επίσημων στατιστικών. (…)».
Περαιτέρω, το άρθρο 26 του ίδιου ως άνω Νόμου προβλέπει τα ακόλουθα: «1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιο φορέα σε δημόσιο φορέα επιτρέπεται, εφόσον είναι απαραίτητο για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει ή του τρίτου στον οποίο διαβιβάζονται τα δεδομένα και εφόσον πληρούνται οι προϋποθέσεις που επιτρέπουν την επεξεργασία σύμφωνα με το άρθρο 24. Ο τρίτος στον οποίο διαβιβάζονται τα δεδομένα επεξεργάζεται αυτά μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται μόνον εφόσον πληρούνται οι προϋποθέσεις του άρθρου 24. 2. Οι δημόσιοι φορείς επιτρέπεται να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα σε ιδιωτικούς φορείς εφόσον: α) η διαβίβαση είναι απαραίτητη για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει και πληρούνται περαιτέρω και οι προϋποθέσεις του άρθρου 24· β) ο τρίτος στον οποίο διαβιβάζονται έχει έννομο συμφέρον να είναι σε γνώση της διαβίβασης και το υποκείμενο των δεδομένων δεν έχει έννομο συμφέρον να μην διαβιβασθούν τα δεδομένα που το αφορούν· ή γ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και ο τρίτος δεσμεύθηκε έναντι του δημόσιου φορέα που του διαβίβασε τα δεδομένα ότι θα τα επεξεργαστεί μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται, εάν επιτρέπεται η διαβίβαση σύμφωνα με την παράγραφο 1 και ο φορέας διαβίβασης έχει παράσχει τη συγκατάθεσή του για τη διαβίβαση. (…) ».
Σε σχέση με τη συμβατότητα των προαναφερόμενων διατάξεων των άρθρων 24 και 26 του Ν. 4624/2019 προς τις διατάξεις του ΓΚΠΔ, τις οποίες επικαλείται η ΕΥΠ, η Αρχή με την υπ’ αρ. 1/2020 Γνωμοδότησή της έκρινε ότι ο ΓΚΠ∆ δεν παρέχει εξουσιοδότηση στον εθνικό νοµοθέτη να θεσπίσει νέες «εθνικές νοµικές βάσεις», αλλά µόνον να εξειδικεύσει τις νοµικές βάσεις του άρθρου 6 παρ. 1 εδ. γ’ και ε’ ΓΚΠ∆, υπό τους όρους και τις εγγυήσεις που προβλέπονται από τις διατάξεις των παρ. 2 και 4 του άρθρου 6 ΓΚΠ∆ και ότι από τη διάταξη του άρθρου 6 παρ. 4 ΓΚΠ∆ για την περαιτέρω επεξεργασία για άλλους σκοπούς, διαφορετικούς µεν, συµβατούς δε µε τους σκοπούς της αρχικής συλλογής, προκύπτει ότι ο εθνικός νοµοθέτης δεν υποχρεούται να λάβει µέτρα εφαρµογής για την περαιτέρω επεξεργασία δεδοµένου ότι ο ίδιος ο ΓΚΠ∆ θεσπίζει τα υπό α) έως ε) της εν λόγω παραγράφου 4 κριτήρια. Με τη γνωμοδότηση αυτή έγινε ειδικότερα δεκτό ότι, ακόμη και εάν θεωρηθεί ότι ο εθνικός νομοθέτης είχε εξουσιοδότηση από τον ΓΚΠ∆ να θεσπίσει «εθνικές νομικές βάσεις» για την περαιτέρω επεξεργασία των δεδομένων κατ’ άρθρο 6 παρ. 4 ΓΚΠ∆, αυτές θα πρέπει να συνιστούν μόνον εξειδίκευση των νομικών βάσεων του άρθρου 6 παρ. 1 εδ. γ’ και ε’ ΓΚΠ∆ και να σέβονται, μεταξύ άλλων, τις αρχές νομιμότητας του άρθρου 5 παρ. 1 ΓΚΠ∆. Με τις σκέψεις αυτές η Αρχή γνωμοδότησε ότι οι διατάξεις των ανωτέρω άρθρων 24 και 26 του Νόμου δεν πληρούν καμία από τις ανωτέρω ουσιαστικές και διαδικαστικές προϋποθέσεις και εγγυήσεις που απορρέουν από τον ΓΚΠΔ. Με την ίδια γνωμοδότηση, η Αρχή επιφυλάσσεται να εξετάσει κάθε ειδικότερο θέμα σχετικό με τη συμβατότητα των διατάξεων του Ν. 4624/2019 με τον ΓΚΠΔ που θα ανακύπτει στο πλαίσιο της άσκησης των αρμοδιοτήτων της και επισημαίνει ότι δεν θα εφαρμόσει διατάξεις του Ν. 4624/2019, οι οποίες θα κριθούν ότι έρχονται σε αντίθεση με τον ΓΚΠ∆ ή δεν βρίσκουν έρεισμα σε «ρήτρες ανοίγματος – εξειδίκευσης».
14. Επειδή, εξάλλου, σύμφωνα με το άρθρο 35 παρ. 1, εδ. α΄ Συντάγματος «Καμία πράξη του Προέδρου της Δημοκρατίας δεν ισχύει ούτε εκτελείται χωρίς την προσυπογραφή του αρμόδιου Υπουργού, ο οποίος με μόνη την υπογραφή του γίνεται υπεύθυνος, και χωρίς τη δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως», ενώ κατά το άρθρο 42 παρ. 1, εδ. α’ Συντάγματος «Ο Πρόεδρος της Δημοκρατίας εκδίδει και δημοσιεύει τους νόμους που έχουν ψηφιστεί από τη Βουλή μέσα σε ένα μήνα από την ψήφισή τους». Από τις διατάξεις αυτές προκύπτει η βασική αρχή, που ερείδεται και σε άλλες συνταγματικές διατάξεις, ότι για την τελείωση των τυπικών νόμων και των προεδρικών διαταγμάτων, αλλά και των λοιπών κανονιστικού χαρακτήρα διοικητικών πράξεων, απαιτείται η δημοσίευσή τους στην Εφημερίδα της Κυβερνήσεως ως συστατικό στοιχείο του κύρους τους.Με την δημοσίευσή της στην Εφημερίδα της Κυβερνήσεως η κανονιστική ρύθμιση αποκτά νομική υπόσταση και μπορεί να τύχει εφαρμογής,καθίσταται δε με τον τρόπο αυτό προσιτή στους πολίτες και δημιουργεί τεκμήριο γνώσεως αυτής.
Προσέτι, «πράξη» του Προέδρου της Δημοκρατίας κατά την έννοια του άρθρου 35 παρ. 1 εδ. α΄ Συντάγματος είναι κάθε γραπτή πράξη που ενεργεί αυτός υπό την ιδιότητά του ως κρατικού οργάνου και αποτελεί άσκηση αρμοδιότητάς του κατά το Σύνταγμα και τους Νόμους. Περαιτέρω προϋπόθεση –πλην της συνυπογραφής του αρμοδίου υπουργού ή συναρμοδίων κατά περίπτωση υπουργών- προκειμένου να είναι ισχυρές οι πράξεις του προέδρου της Δημοκρατίας, συνιστά, σύμφωνα με το άρθρο 35 παρ. 1 εδ. α΄ Συντάγματος, η δημοσίευσή τους στην Εφημερίδα της Κυβερνήσεως. Η δε δημοσίευση αποτελεί εξωτερικό τυπικό στοιχείο, η έλλειψη του οποίου καθιστά την πράξη ανυπόστατη, την δε απαίτηση δημοσίευσης επαναλαμβάνει, σε σχέση ειδικότερα με τους τυπικούς νόμους, το άρθρο 42 παρ. 1 Συντάγματος.
15. Επειδή για την υπό κρίση επεξεργασία, η ΕΥΠ έχει την ιδιότητα του υπευθύνου επεξεργασίας κατ’ άρθρο 4 παρ. 7 ΓΚΠΔ σε σχέση με τα προσωπικά δεδομένα του υπαλληλικού προσωπικού της, στο οποίο ανήκε και η καταγγέλλουσα. Ο δε ισχυρισμός της ΕΥΠ ότι η Αρχή έχει τη δυνατότητα να μην εξετάσει την καταγγελία διότι η καταγγέλλουσα δεν απευθύνθηκε προηγουμένως στην ΕΥΠ ως υπεύθυνο επεξεργασίας είναι απορριπτέος, δεδομένου ότι σύμφωνα με το άρθρο 12 ΓΚΠΔ το σχετικό αίτημα προς τον υπεύθυνο επεξεργασίας αφορά την άσκηση δικαιώματος εκ του ΓΚΠΔ και όχι την υποβολή καταγγελίας που έχει ως αντικείμενο την παραβίαση των διατάξεων αρμοδιότητας της ΑΠΔΠΧ.
Περαιτέρω, ο ισχυρισμός της ΕΥΠ ότι δεν έλαβε ποτέ αυτοτελές έγγραφο με περιεχόμενο καταγγελίας της Α παρά μόνο την υπ’ αριθμ. πρωτ. .../09-07-2022 καταγγελία με θέμα «Διαρροή προσωπικών δεδομένων», με συνημμένα το με αριθμ. πρωτ. … έγγραφο της ΕΥΠ και απόσπασμα κατάστασης με το ονοματεπώνυμο της καταγγέλλουσας, την κατηγορία, τον κλάδο, το πτυχίο της και τον μεταπτυχιακό της τίτλο, από τα οποία μόνο συναγωγή υποθετικών συμπερασμάτων μπορούσε να γίνει ως προς τον πραγματικό λόγο της καταγγελίας της και για τον λόγο αυτό η Αρχή δεν πρέπει να εξετάσει την εν λόγω καταγγελία, είναι ομοίως απορριπτέος διότι από την υπό κρίση καταγγελία και τα επισυναπτόμενα σε αυτήν έγγραφα προκύπτει με σαφήνεια το αντικείμενο της καταγγελίας, όλα δε τα έγγραφα κοινοποιήθηκαν στην καταγγελλόμενη με το υπ’ αριθμ. πρωτ. .../22-03-2024 έγγραφο της Αρχής.
16. Επειδή εν προκειμένω, από τη μελέτη όλων των στοιχείων της υπόθεσης προκύπτει ότι κατά την ημερομηνία της επίμαχης διαβίβασης, ήτοι στις 15-12-2021, η Πρόεδρος της Δημοκρατίας είχε υπογράψει μεν το ψηφισθέν από τη Βουλή νομοσχέδιο, το οποίο περιείχε τη σχετική με τη μετάταξη προσωπικού της ΕΥΠ διάταξη, η δημοσίευση αυτού ωστόσο στην Εφημερίδα της Κυβερνήσεως πραγματοποιήθηκε μία ημέρα αργότερα, και συγκεκριμένα στις 16-12-2021, οπότε, και τότε μόνο ο σχετικός νόμος απέκτησε τυπική ισχύ και νόμιμη υπόσταση, σύμφωνα με τα ανωτέρω. Επομένως, στις 15-12-2021 η ΕΥΠ προέβη σε επεξεργασία των προσωπικών δεδομένων της καταγγέλλουσας, με τη διαβίβαση στον Υπουργό Προστασίας του Πολίτη, στον Υφυπουργό Προστασίας του Πολίτη και στον Αρχηγό της ΕΛΑΣ, του υπ’ αριθ. πρωτ. … εγγράφου, με συνημμένες τις σχετικές καταστάσεις του υπηρετούντος προσωπικού της ΕΥΠ, στις οποίες περιλαμβάνονται προσωπικά δεδομένα της καταγγέλλουσας, και συγκεκριμένα το ονοματεπώνυμό της, ο κλάδος/κατηγορία, ο βαθμός και ο τίτλος σπουδών της, χωρίς να έχει προηγηθεί η δημοσίευση στην Εφημερίδα της Κυβερνήσεως του, σχετικού με την μετάταξη της ΕΥΠ προσωπικού, τυπικού νόμου (ήτοι του Ν. 4873/2021), με αποτέλεσμα κατά την επίμαχη διαβίβαση να ελλείπει το νομοθετικό έρεισμα για την εν λόγω μετάταξη, αλλά και χωρίς να έχει προηγηθεί σχετική ενημέρωση της καταγγέλλουσας, ως υποκειμένου των δεδομένων για τη διαβίβαση αυτή. Κατά τον τρόπο αυτό η επίμαχη επεξεργασία πραγματοποιήθηκε κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας (άρθρο 5 παρ. 1, περ. α΄ ΓΚΠΔ), με αποτέλεσμα τα προσωπικά δεδομένα της καταγγέλλουσας να έχουν υποβληθεί σε μη σύννομη και μη θεμιτή επεξεργασία που έλαβε χώρα με μη διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων.
Εξάλλου, ανεξάρτητα από τις αναφερόμενες στη σκέψη 13 επιφυλάξεις της Αρχής ως προς το κύρος του επικαλούμενου από την ΕΥΠ άρθρου 26 παρ. 1 του Ν. 4624/2019 που αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιο φορέα σε δημόσιο φορέα όταν είναι απαραίτητη για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει ή του τρίτου στον οποίο διαβιβάζονται τα δεδομένα, η εν λόγω διάταξη δεν έχει πάντως εφαρμογή εν προκειμένω, και για τον λόγο ότι η επίμαχη διαβίβαση των προσωπικών δεδομένων της καταγγέλλουσας στην ΕΛΑΣ δεν συνιστούσε εκτέλεση των καθηκόντων της ΕΥΠ, δεδομένου ότι δεν της είχε ανατεθεί από τον νομοθέτη η υποχρέωση αυτή, τουλάχιστον κατά το χρόνο της επίμαχης διαβίβασης, σε σχέση με τη μετάταξη της καταγγέλλουσας. Ως εκ τούτου, παρέλκει η εξέταση της τυχόν συνδρομής των προϋποθέσεων του άρθρου 24 παρ. 1 εδ. β΄ (όπως προβλέπεται στο εδάφιο α’ της παρ. 1 του άρθρου 26 Ν. 4624/2019 σε σχέση με την επεξεργασία που διενεργείται από δημόσιους φορείς), καθώς και η εξέταση του ισχυρισμού της ΕΥΠ που περιλαμβάνεται στο υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/4009/01-05- 2024 υπόμνημά της ότι «έλαβε χώρα μια διαβίβαση δεδομένων προσωπικού χαρακτήρα από ένα δημόσιο φορέα (Εθνική Υπηρεσία Πληροφοριών) σε ένα έτερο δημόσιο φορέα (Ελληνική Αστυνομία) υπό τους όρους του άρθρου 26 του Ν. 4624/2019, ήτοι στο πλαίσιο εκτέλεσης των καθηκόντων του φορέα που διαβιβάζει, αλλά και της ανάγκης να τεθούν τα στοιχεία της καταγγέλλουσας υπόψη της Ελληνικής Αστυνομίας προκειμένου να ολοκληρωθεί η διοικητική διαδικασία της μετάταξής της κατ’ εφαρμογή των διατάξεων του άρθρου 74 του Ν. 4873/2021 (Α΄ 248)».
Περαιτέρω, δεδομένου ότι η κρινόμενη επίμαχη επεξεργασία είναι αντίθετη στο άρθρο 5 παρ. 1 περ. α΄ ΓΚΠΔ, και ότι, σύμφωνα με όσα εκτίθενται στη σκέψη 8, απαιτείται σωρευτικώς η πλήρωση των προϋποθέσεων εφαρμογής και τήρησης των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ, προκειμένου τα δεδομένα προσωπικού χαρακτήρα να τύχουν νόμιμης επεξεργασίας, παρέλκει η εξέταση της πλήρωσης των λοιπών αρχών νόμιμης επεξεργασίας των δεδομένων βάσει του άρθρου 5, καθώς και η εξέταση των προϋποθέσεων εφαρμογής των νομικών βάσεων του άρθρου 6 ΓΚΠΔ, και των σχετικών με αυτές ισχυρισμών που προβάλλουν τα εμπλεκόμενα μέρη, ανεξαρτήτως του γεγονότος ότι η ΕΥΠ, ως υπεύθυνος επεξεργασίας δεν επικαλείται κάποια εκ των περιοριστικά αναφερομένων στον άρθρο 6 ΓΚΠΔ νομικών βάσεων και αδυνατεί να αποδείξει την νομιμότητα της εν λόγω επεξεργασίας.
17. Επειδή, όπως αναφέρεται ανωτέρω, το υποκείμενο των δεδομένων δεν ενημερώθηκε για την διαβίβαση των δεδομένων του, ο δε σχετικός ισχυρισμός της ΕΥΠ ότι «’Αλλωστε η ως άνω επίμαχη διάταξη νόμου που επέτασσε την μετάταξη των υπαλλήλων της ΕΥΠ σε έτερο Δημόσιο Φορέα ήταν ήδη γνωστή από τον χρόνο κατάθεσής της στο Ελληνικό Κοινοβούλιο προς ψήφιση, είχε λάβει σημαντική δημοσιότητα και συζητήθηκε πολύ πριν την ψήφισή της (…)» δεν είναι ουσιώδης, καθώς ενημέρωση δια της επικαλούμενης από την ΕΥΠ δημοσιότητας που είχε λάβει το εν λόγω ζήτημα, δεν πληροί τους όρους του άρθρου 13 ΓΚΠΔ, σύμφωνα με το οποίο για την ενημέρωση απαιτείται ενέργεια του υπευθύνου επεξεργασίας, απευθυνόμενη στο υποκείμενο των δεδομένων, κάτι που δεν συνέτρεξε εν προκειμένω.
18. Επειδή, κατόπιν τούτων διαπιστώνεται ότι η ΕΥΠ ως υπεύθυνος επεξεργασίας προέβη στην επίμαχη επεξεργασία προσωπικών δεδομένων της καταγγέλλουσας κατά παράβαση α) των αρχών της νομιμότητας, αντικειμενικότητας και διαφάνειας του άρθρου 5 παρ. 1 α’ ΓΚΠΔ καθ’ όσον στήριξε τις ενέργειές της σε μη υφιστάμενο νόμο και β) του άρθρου 13 του ΓΚΠΔ διότι δεν ενημέρωσε για τη συγκεκριμένη επεξεργασία την καταγγέλλουσα, ως υποκείμενο των δεδομένων.
19. Επειδή η παραβίαση των βασικών αρχών για την επεξεργασία όπως ανωτέρω αναλυτικώς εκτέθηκε, επισύρει την επιβολή των διοικητικών κυρώσεων του άρθρου 83 παρ. 5 στοιχ. α΄ του ΓΚΠΔ ενώ η παραβίαση του προβλεπόμενου στο άρθρο 13 του ΓΚΠΔ δικαιώματος των υποκειμένων των δεδομένων, επισύρει την επιβολή των σχετικών κυρώσεων κατ’ άρθρο 83 παρ. 5 στοιχ. β΄ του ΓΚΠΔ. Σύμφωνα δε με τον ΓΚΠΔ (Αιτ. Σκ. 148) προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος Κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος Κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα Κανονισμό.
20. Επειδή η Αρχή με βάση τα ανωτέρω, κρίνει ότι η επιβολή διορθωτικού μέτρου δεν αρκεί για την αποκατάσταση της συμμόρφωσης με τις διατάξεις του ΓΚΠΔ που έχουν παραβιαστεί και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ επιπλέον και αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την κύρωση της παράνομης συμπεριφοράς.
21. Επειδή περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, την παράγραφο 5 του ίδιου άρθρου που έχει εφαρμογή στην παρούσα υπόθεση, το άρθρο 39 παρ. 1 και 2 του Ν. 4624/2019 που αφορά την επιβολή διοικητικών κυρώσεων στους φορείς του δημόσιου τομέα, και τις Κατευθυντήριες γραμμές 4/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679, οι οποίες εγκρίθηκαν στις 24/5/2023, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και ιδίως:
i) Το γεγονός ότι η καταγγελλόμενη υπό την ιδιότητά της ως υπευθύνου επεξεργασίας παραβίασε την προβλεπόμενη από το άρθρο 5 παρ. 1 εδ. α’ αρχή της νοµιµότητας, αντικειµενικότητας και διαφάνειας, ήτοι παραβίασε θεµελιώδη αρχή του ΓΚΠ∆ για την προστασία των δεδοµένων προσωπικού χαρακτήρα.
ii) Το γεγονός ότι η τήρηση των αρχών που προβλέπονται από τη διάταξη του άρθρου 5 παρ. 1 εδ. α’ του ΓΚΠ∆ είναι κεφαλαιώδους σηµασίας, πρωτίστως δε, η αρχή της νοµιµότητας, ώστε εάν εκλείπει αυτή να καθίσταται εξ’ αρχής παράνοµη η επεξεργασία, ακόµη και εάν έχουν τηρηθεί οι λοιπές αρχές επεξεργασίας, πολλώ δε μάλλον εν προκειμένω που δεν παρασχέθηκε τεκμηρίωση για το εάν συντρέχει κάποια εκ των οριζόμενων στο άρθρο 6 ΓΚΠΔ νομικές βάσεις. Απεναντίας, η καταγγελλόμενη ΕΥΠ αιτιολόγησε την επίμαχη επεξεργασία επικαλούμενη απλώς επιτάχυνση της διαδικασίας για υπηρεσιακούς λόγους.
iii) Το γεγονός ότι η καταγγελλόμενη ελλείψει νομοθετικού ερείσματος για την επίμαχη επεξεργασία δεν ανταποκρίθηκε στην υποχρέωσή της να αποδείξει τη νομιμότητα της επεξεργασίας αυτής, ενώ ταυτόχρονα δεν κατάφερε να αποδείξει ότι προέβη στην προβλεπόμενη κατ’ άρθρο 13 του ΓΚΠΔ υποχρέωσή της προς ενημέρωση, όπως εξειδικεύτηκε ανωτέρω.
iv) το γεγονός ότι η ως άνω στοιχειοθετούμενη παράβαση δεν αποδεικνύεται ότι αποδίδεται σε δόλο της καταγγελλόμενης υπηρεσίας, αλλά σε αμέλειά της, λόγω της επικαλούμενης αστοχίας του Εθνικού Τυπογραφείου, ενώ η επίσπευση της διαβίβασης από πλευράς της ΕΥΠ έγινε για υπηρεσιακούς λόγους.
v) το γεγονός ότι ο υπεύθυνος επεξεργασίας δεν καθυστέρησε να ανταποκριθεί στα έγγραφα της Αρχής,
vi) το γεγονός ότι από τα στοιχεία που τέθηκαν υπόψη της Αρχής και με βάση τα οποία διαπίστωσε τις ανωτέρω παραβάσεις του ΓΚΠΔ, δεν προκύπτει ότι ο υπεύθυνος επεξεργασίας προκάλεσε με την επίμαχη επεξεργασία υλική ζημία στο θιγόμενο πρόσωπο.
22. Βάσει των ανωτέρω, η Αρχή αποφασίζει ομόφωνα ότι πρέπει να επιβληθεί στην καταγγελλόμενη ως υπεύθυνo επεξεργασίας η αναφερόμενη στο διατακτικό διοικητική κύρωση, η οποία κρίνεται ανάλογη με τη βαρύτητα της παράβασης.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή,
Επιβάλλει στην καταγγελλόμενη Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ) ως υπεύθυνο επεξεργασίας το αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο που αρμόζει στην συγκεκριμένη περίπτωση, σύμφωνα με τις ειδικότερες περιστάσεις αυτής, συνολικού ύψους πέντε χιλιάδων (5.000) ευρώ, και συγκεκριμένα ύψους τεσσάρων χιλιάδων (4.000) ευρώ για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 5 παρ. 1 περ. α’ και ύψους χιλίων (1.000) ευρώ για την ως άνω διαπιστωθείσα παραβίαση του άρθρου 13 ΓΚΠΔ, όπως αυτές ανωτέρω εξειδικεύτηκαν, σύμφωνα με τα άρθρα 58 παρ. 2 στοιχ. θ΄ και 83 παρ. 5 στοιχ. α’ και β΄ ΓΚΠΔ.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου