ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 2/2025 Επίπληξη και εντολή συμμόρφωσης στο ΕΚΚ για την επεξεργασία δεδομένων μέσω εκτελούντος την επεξεργασία λογιστή

Αριθμός:
2
Έτος:
2025
Είδος πράξης:
ΑΠΟΦΑΣΗ
Εκδ. Αρχή:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ημ. Δημοσίευσης:
08/01/2025
Πηγή:
Ιστότοπος ΑΠΔΠΧ
Μέσο Δημοσίευσης:
ΤΝΠ QUALEX
Αρ. Λέξεων:
8030
Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Η Αρχή εξέτασε καταγγελία κατά του Αθηναϊκού - Μακεδονικού Πρακτορείου Ειδήσεων και του Ελληνικού Κέντρου Κινηματογράφου για παράνομη επεξεργασία προσωπικών δεδομένων. Η καταγγέλλουσα, που κατείχε θέση διευθύντριας του ΕΚΚ, διαπίστωσε ότι είχε πραγματοποιηθεί αναζήτηση του ΑΦΜ της στη διαδικτυακή υπηρεσία της ΑΑΔΕ «Αναζήτηση Βασικών Στοιχείων Μητρώου Επιχειρήσεων» από το ΑΠΕ-ΜΠΕ, με το οποίο δεν την συνέδεε οποιαδήποτε επαγγελματική ή οικονομική σχέση. Από την εξέταση της υπόθεσης προέκυψε ότι το ΕΚΚ είχε αναθέσει σε εξωτερικό συνεργάτη τον έλεγχο της επάρκειας των φακέλων των Διευθυντών του, αφήνοντας στην κρίση του τον τρόπο διεξαγωγής του ελέγχου. Στο πλαίσιο του ελέγχου, ο εκτελών την επεξεργασία έκανε εκ παραδρομής χρήση των κωδικών του ΑΠΕ-ΜΠΕ, με το οποίο επίσης συνεργαζόταν, χωρίς όμως να προκύψει διαρροή των δεδομένων της καταγγέλλουσας στο ΑΠΕ-ΜΠΕ. Δεδομένου ότι το ΕΚΚ, ως υπεύθυνος επεξεργασίας, δεν τεκμηρίωσε επαρκώς τη νομιμότητα, αναγκαιότητα και διαφάνεια της επεξεργασίας, η Αρχή του απηύθυνε επίπληξη, καθώς και εντολή σύναψης κατάλληλης σύμβασης, σύμφωνα με το άρθρο 28 παρ. 3 ΓΚΠΔ, με τον εκτελούντα την επεξεργασία, στον οποίο και απηύθυνε προειδοποίηση, λόγω της πλημμελούς εκτέλεσης της επεξεργασίας. PDF απόφασης

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 2/2025
Αθήνα, 08-01-2025
Αριθ. Πρωτ.: 80
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε συνεδρίαση μέσω τηλεδιάσκεψης στις 30-04-2024, κατόπιν αναβολής στις 26-04-2024, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Στη συνεδρίαση παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, τα τακτικά μέλη Χαράλαμπος Ανθόπουλος, Σπυρίδων Βλαχόπουλος, Αικατερίνη Ηλιάδου, Χρήστος Καλλονιάτης, Κωνσταντίνος Λαμπρινουδάκης και Γρηγόριος Τσόλιας, ως εισηγητής. Παρούσες, χωρίς δικαίωμα ψήφου, ήταν η Χάρις Συμεωνίδου, ειδική επιστήμονας – ελέγκτρια, ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
Με τη με αριθ. πρωτ. Γ/ΕΙΣ/9855/03-09-2022 καταγγελία της κατά του Αθηναϊκού - Μακεδονικού Πρακτορείου Ειδήσεων (ΑΠΕ – ΜΠΕ Α.Ε., στο εξής αναφερόμενο ως «ΑΠΕ-ΜΠΕ») και του Ελληνικού Κέντρου Κινηματογράφου («ΕΚΚ») η Α καταγγέλλει παράνομη επεξεργασία των προσωπικών της δεδομένων. Ειδικότερα, σύμφωνα με την καταγγελία, στις … η καταγγέλλουσα πληροφορήθηκε μέσω ηλεκτρονικού μηνύματος από την ΑΑΔΕ ότι την … έγινε αναζήτηση των στοιχείων της (του ΑΦΜ της) μέσω της διαδικτυακής υπηρεσίας της ΑΑΔΕ «Αναζήτηση Βασικών Στοιχείων Μητρώου Επιχειρήσεων», από το ΑΠΕ-ΜΠΕ, με το οποίο, όπως αναφέρει, δεν την συνδέει ουδεμία επαγγελματική και οικονομική
σχέση. Κατόπιν αυτού, η καταγγέλλουσα αναφέρει ότι απευθύνθηκε προς το ΑΠΕ- ΜΠΕ ζητώντας πληροφορίες σχετικά με την ανωτέρω επεξεργασία των δεδομένων της, από την οποία φαίνεται ότι ο εν λόγω φορέας έγινε αποδέκτης βασικών στοιχείων του Φορολογικού Μητρώου της, χωρίς, όπως υποστηρίζει, να της δοθούν επαρκείς εξηγήσεις. Ειδικότερα, όπως αναλυτικά εκτίθεται στην εν λόγω καταγγελία, η Νομική Υπηρεσία του ΑΠΕ-ΜΠΕ τής ανέφερε ότι η αναζήτηση των στοιχείων της έγινε «εκ παραδρομής», πράγμα όμως που κατά την καταγγέλλουσα δεν είναι δυνατόν να έχει συμβεί, αφού η διαδικασία αναζήτησης περιλαμβάνει ως δικλείδα ασφαλείας ένα επιπλέον στάδιο μετά την πληκτρολόγηση του ΑΦΜ, κατά το οποίο εμφανίζεται το ονοματεπώνυμο και το πατρώνυμο που αντιστοιχούν σε αυτόν και ο χρήστης καλείται να επιβεβαιώσει την αναζήτηση, ώστε να προχωρήσει στη λήψη των πληροφοριών φορολογικού μητρώου. Επιπλέον, η καταγγέλλουσα ανέφερε ότι μετά από σχετική διαμαρτυρία της πληροφορήθηκε ότι υπεύθυνος για την αναζήτηση ήταν ο … του ΑΠΕ-ΜΠΕ, Β, στα καθήκοντα του οποίου εντάσσεται η είσοδος στο taxisnet και ο έλεγχος των ΑΦΜ που σχετίζονται με συμβάσεις του ΑΠΕ- ΜΠΕ. Το ίδιο φυσικό πρόσωπο απασχολείται παράλληλα στο Ελληνικό Κέντρο Κινηματογράφου (ΕΚΚ) και, σύμφωνα με την απάντηση του ΑΠΕ-ΜΠΕ, έχει σχετικές ευθύνες διερεύνησης ΑΦΜ και στο ΕΚΚ. Ωστόσο, η καταγγέλλουσα υποστηρίζει ότι κατά το χρόνο της αναζήτησης μόνο η ίδια κατείχε τους κωδικούς taxisnet του ΕΚΚ, ως Διευθύντρια …, ενώ δεν είχε γνωστοποιήσει σε κανένα εργαζόμενο του ΕΚΚ τον ΑΦΜ της.
Στο πλαίσιο διερεύνησης της ως άνω καταγγελίας, η Αρχή με το Γ/ΕΞΕ/2900/16-11-2022 έγγραφο κοινοποίησε τα σχετικά έγγραφα στην καταγγελλόμενη εταιρεία ΑΠΕ-ΜΠΕ Α.Ε. και την κάλεσε να εκθέσει τις απόψεις της επί των καταγγελλομένων, διευκρινίζοντας ιδίως α) εάν η καταγγελλόμενη πράξη επεξεργασίας των δεδομένων της καταγγέλλουσας έγινε από το ΑΠΕ-ΜΠΕ, ως υπεύθυνο επεξεργασίας (δηλαδή από πρόσωπα που ενεργούν υπό την εποπτεία του) ή όχι (δηλαδή εάν έγινε από τρίτο πρόσωπο με τη χρήση των κωδικών taxisnet του φορέα, και εάν αυτό το πρόσωπο ενήργησε αντίθετα στις οδηγίες που του είχαν δοθεί), β) σε περίπτωση καταφατικής απάντησης στο υπό α) ερώτημα, ποιος ήταν ο σκοπός και η νομική βάση της επεξεργασίας και για ποιο λόγο δεν ενημερώθηκε σχετικά η καταγγέλλουσα, γ) σε περίπτωση αρνητικής απάντησης στο υπό α) ερώτημα, ή εάν η αναζήτηση πραγματοποιήθηκε εκ παραδρομής, να εξηγηθεί εάν το ΑΠΕ-ΜΠΕ χειρίστηκε το συμβάν ως περιστατικό παραβίασης προσωπικών δεδομένων σύμφωνα με τον ΓΚΠΔ, και σε ποιες ενέργειες προέβη αφότου έλαβε γνώση του περιστατικού.
Με την υπ’ αρ. πρωτ. Γ/ΕΙΣ/12165/29-11-2022 απάντησή της, η καταγγελλόμενη ΑΠΕ-ΜΠΕ Α.Ε. ανέφερε ότι αποτελεί Ανώνυμη Εταιρεία του ευρύτερου δημοσίου τομέα, κατά την έννοια των διατάξεων του Ν. 3429/2005, ότι καθήκοντα Υπεύθυνου … ασκεί ο προστηθείς συνεργάτης Β, ο οποίος τυγχάνει συγχρόνως προστηθείς ως ειδικός συνεργάτης … του ΝΠΙΔ με την επωνυμία «Ελληνικό Κέντρο Κινηματογράφου» (ΕΚΚ) και ότι όπως προέκυψε από τη διερεύνηση του περιστατικού, κατόπιν της διαμαρτυρίας της καταγγέλλουσας, λόγω της σύμπτωσης των δύο ιδιοτήτων του Β, ο τελευταίος εισήλθε στο περιβάλλον της εφαρμογής της ΑΑΔΕ για την αναζήτηση στοιχείων επιχειρήσεων, κάνοντας χρήση των κωδικών της ΑΠΕ-ΜΠΕ Α.Ε. εκ παραδρομής και πάντως χωρίς την άδεια της Διοίκησης, προκειμένου να ελέγξει τα επαγγελματικά δικαιώματα της καταγγέλλουσας ως είχε εντολή από τη Διοίκηση του ΕΚΚ. Με την ίδια απάντηση η ΑΠΕ-ΜΠΕ Α.Ε. ανέφερε ότι δεν έχει την ιδιότητα του υπεύθυνου επεξεργασίας αναφορικά με την αναζήτηση των στοιχείων της καταγγέλλουσας, καθώς η εν λόγω επεξεργασία δεν έγινε εν γνώσει της, αλλά αυτοβούλως από τον εν λόγω συνεργάτη, ενώ τα δεδομένα της καταγγέλλουσας παρέμειναν στην πλατφόρμα της ΑΑΔΕ και δεν καταχωρήθηκαν από πλευράς της ΑΠΕ-ΜΠΕ Α.Ε. ούτε γνωστοποιήθηκαν ή κατέστησαν προσβάσιμα από άλλο υπάλληλό της, πέραν του Β που ενήργησε εν προκειμένω ως υπάλληλος του ΕΚΚ και για το λόγο αυτό δεν αξιολόγησε το περιστατικό ως περιστατικό παραβίασης δεδομένων σύμφωνα με τον ΓΚΠΔ ούτε ως παραβίαση των μέτρων ασφαλείας της σύμφωνα με το άρθρο 32 ΓΚΠΔ. Με το ίδιο έγγραφο η καταγγελλόμενη προσκομίζει και επικαλείται το από … ηλεκτρονικό μήνυμα προς την ΑΠΕ-ΜΠΕ Α.Ε., της Γ, Γενικής Διευθύντριας του ΕΚΚ με την οποία η τελευταία βεβαιώνει τα εξής: «…στο πλαίσιο σύμβασης που έχει ο οργανισμός με τον Β, ειδικό … σύμβουλο της Διοίκησης του ΕΚΚ, του ζητήθηκε η συνδρομή στον έλεγχο των φακέλων για τις θέσεις των διευθυντών / διευθυντριών του οργανισμού, οι οποίοι/ες αφορούν ενεργές θέσεις εξαρτημένης εργασίας ορισμένου χρόνου και καταλαμβάνονται με διαγωνιστικές διαδικασίες. Ο έλεγχος αφορούσε την επάρκεια των φακέλων σε σχέση με τα ζητούμενα στοιχεία του διαγωνισμού, τη διαγωνιστική διαδικασία που ακολουθήθηκε σύμφωνα με την κείμενη νομοθεσία των προσλήψεων σε φορείς του Δημοσίου καθώς και την επάρκεια των επαγγελματικών δικαιωμάτων, εφόσον αυτά προέκυπταν από τον εξεταζόμενο φάκελο».
Λαμβάνοντας υπόψη τα ανωτέρω, την από … απάντηση του ΕΚΚ προς την καταγγέλλουσα (βλ. Σχετικό 15 της καταγγελίας), σύμφωνα με την οποία «στο πλαίσιο του διενεργηθέντος από την Γενική Διευθύντρια του Ε.Κ.Κ. ελέγχου φακέλων όλων των Διευθυντών ως προς την ακρίβεια και την πληρότητά τους […] ζητήθηκε από τον ειδικό σύμβουλο Β η συνδρομή του στον ανωτέρω έλεγχο. Στο πλαίσιο αυτό έγινε από τον Β νόμιμη κατ’ άρθρο 6 παρ. 1 περ. β’, γ’, δ’, ε’ και στ’ ΓΚΠΔ χρήση της εφαρμογής της ΑΑΔΕ «Βασικά Στοιχεία Μητρώου Επιχειρήσεων», η οποία αποτελεί δημοσίως προσβάσιμη και διαθέσιμη στο συναλλακτικό κοινό εφαρμογή της ΑΑΔΕ, η οποία παρέχει πληροφόρηση σχετικά με δημοσίως διαθέσιμα δεδομένα […]» καθώς και το γεγονός ότι η χρήση της εν λόγω εφαρμογής της ΑΑΔΕ προϋποθέτει τη σύνδεση του χρήστη μέσω κωδικών TAXISNET, (https://www.aade.gr/epiheiriseis/forologikes- ypiresies/mitroo/anazitisi-basikon-stoiheion-mitrooy-epiheiriseon), η Αρχή, με το Γ/ΕΞΕ/3230/12-12-2022 έγγραφό της προς το Ελληνικό Κέντρο Κινηματογράφου, διαβίβασε σε αυτό αντίγραφο της καταγγελίας και των κατά τα ανωτέρω απόψεων του ΑΠΕ-ΜΠΕ και του ζήτησε να εκθέσει τις απόψεις του για τα καταγγελλόμενα, διευκρινίζοντας ιδίως α) ποια εντολή ελέγχου δόθηκε ακριβώς από το ΕΚΚ προς τον Β εν προκειμένω, δεδομένου ότι ο εν λόγω σύμβουλος δεν είχε στην κατοχή του τους κωδικούς TAXISNET του ΕΚΚ., β) εάν η χρήση των κωδικών TAXISNET της ΑΠΕ-ΜΠΕ Α.Ε. εκ μέρους του Β έγινε εν γνώσει ή κατόπιν σχετικής εντολής του ΕΚΚ, γ) ποιος ήταν ο σκοπός και ποια η νομική βάση επεξεργασίας των δεδομένων των ελεγχόμενων από το ΕΚΚ στο πλαίσιο του ανωτέρω ελέγχου και δ) εάν και πώς ενημερώθηκαν οι ελεγχόμενοι ως υποκείμενα των δεδομένων για την εν λόγω επεξεργασία, σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ.
Με το Γ/ΕΙΣ/12849/27-12-2022 απαντητικό του έγγραφο, το ΕΚΚ απάντησε κατ’ αρχάς ότι πράγματι στο πλαίσιο σύμβασής του με τον Β, ειδικό … σύμβουλο της διοίκησης του ΕΚΚ, του ζητήθηκε η συνδρομή του στον έλεγχο της επάρκειας των φακέλων για τις θέσεις των διευθυντών/-τριών του φορέα, οι οποίες αφορούν ενεργές θέσεις εργασίας ορισμένου χρόνου και καταλαμβάνονται με διαγωνιστικές διαδικασίες, σύμφωνα με την κείμενη νομοθεσία και ότι στην περίπτωση της καταγγέλλουσας, η οποία ως Διευθύντρια … ανέφερε στο βιογραφικό της σημείωμα και ότι ήταν κάτοχος επαγγελματικών δικαιωμάτων λογιστή Α’ τάξης, εν προκειμένω ο έλεγχος καταλάμβανε και την επάρκεια των επαγγελματικών δικαιωμάτων της. Το ΕΚΚ σημείωσε ότι η χρήση των κωδικών του ΑΠΕ-ΜΠΕ από τον ως άνω συνεργάτη δεν έγινε εν γνώσει ή με την εντολή του ΕΚΚ ενώ ως νομική βάση για την ως άνω επεξεργασία επικαλέστηκε:
• το άρθρο 24 παρ. 1 περ. α’ Ν. 4624/2019 («Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι: α) απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες·),
• Το άρθρο 6 παρ. 1 περ. β’ ΓΚΠΔ (επεξεργασία απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο είναι συμβαλλόμενο μέρος),
• Το άρθρο 6 παρ. 1 περ. γ’ ΓΚΠΔ (συμμόρφωση του ΕΚΚ με έννομη υποχρέωση και ειδικότερα με την υποχρέωση ελέγχου νομιμότητας πτυχίων, πιστοποιητικών και λοιπών στοιχείων των υπαλλήλων του ΕΚΚ), και
• Το άρθρο 6 παρ. 1 περ. στ’ ΓΚΠΔ (επεξεργασία απαραίτητη για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει το ΕΚΚ. ως υπεύθυνος επεξεργασίας και δη για τη διασφάλιση του ότι οι απασχολούμενοι σε αυτό Διευθυντές έχουν τα προσόντα και την επαγγελματική υπόσταση που απαιτείται εκ του νόμου για τη θέση τους).
Σύμφωνα με την ίδια απάντηση, το ΕΚΚ ενημέρωσε τον Οκτώβριο του … για τον ανωτέρω έλεγχο την καταγγέλλουσα και της ζήτησε προφορικά και κατ’ ιδίαν να προσκομίσει τα ελλείποντα στοιχεία, ωστόσο η ελεγχόμενη δεν ανταποκρίθηκε πλήρως, καθώς δεν προσκόμισε κανένα αποδεικτικό προϋπηρεσίας, δημιουργώντας υπόνοια σχετικά με την ορθότητα και πληρότητα των αναφερομένων στο βιογραφικό της σημείωμα. Εξαιτίας αυτού, ζητήθηκε από τον συνεργάτη Β ο έλεγχος των επαγγελματικών πληροφοριών της καταγγέλλουσας μέσω της εφαρμογής αναζήτησης ΑΦΜ της ΑΑΔΕ. Επιπλέον δε, το ΕΚΚ σημειώνει ότι δεν υπήρχε υποχρέωση ενημέρωσης του υποκειμένου, λόγω συνδρομής της περίπτωσης του άρθρου 31 παρ. 1 περ. δ Ν. 4624/2019, σύμφωνα με την οποία «Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ δεν υφίσταται εκτός από την αναφερόμενη στο άρθρο 13 παράγραφος 4 του ΓΚΠΔ εξαίρεση, όταν η παροχή των πληροφοριών σχετικά με την περαιτέρω επεξεργασία: δ) θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων».
Ακολούθως, κατόπιν του Γ/ΕΙΣ/12857/28-12-2022 σχετικού αιτήματος της καταγγέλλουσας για λήψη αντιγράφου της ως άνω απάντησης, η Αρχή με το Γ/ΕΞΕ/3428/29-12-2022 διαβιβαστικό, κοινοποίησε στην καταγγέλλουσα το ανωτέρω απαντητικό έγγραφο του ΕΚΚ και η καταγγέλλουσα επανήλθε με τα Γ/ΕΙΣ/425 και 426/20-1-2023 συμπληρωματικά της έγγραφα με τα οποίο υποστηρίζει ότι οι ισχυρισμοί του ΕΚΚ είναι αντιφατικοί και παραπλανητικοί, ενώ καταδεικνύουν ότι εν προκειμένω έχει γίνει παράνομη επεξεργασία των δεδομένων της από το ΕΚΚ ως υπεύθυνο επεξεργασίας, μέσω του Β, ως εκτελούντος την επεξεργασία. Ειδικότερα, η καταγγέλλουσα αναφέρει ότι ο μόνος θεμιτός σκοπός χρήσης της πλατφόρμας της ΑΑΔΕ για την αναζήτηση ΑΦΜ είναι, σύμφωνα με τους όρους χρήσης της, η επαλήθευση των στοιχείων μητρώου και ο περιορισμός των συναλλαγών με πλαστά στοιχεία και παραστατικά, και όχι ο σκοπός που προβάλλει το ΕΚΚ (έλεγχος επαγγελματικών δικαιωμάτων), αφού η πλατφόρμα δεν παρέχει τέτοιες πληροφορίες. Η καταγγέλλουσα αναφέρει ότι ουδέποτε της ζητήθηκε να προσκομίσει αποδεικτικά προϋπηρεσίας στο ΕΚΚ, ενώ προσκομίζει και επικαλείται α) το από … ηλεκτρονικό της μήνυμα προς τη διεύθυνση info@gfc.gr, με το οποίο εκδήλωσε ενδιαφέρον για τη θέση του Διευθυντή … του Ε.Κ.Κ., στο οποίο επισυνάπτεται η υπ’ αρ. … άδεια ασκήσεως επαγγέλματος Λογιστή Φοροτεχνικού Α’ Τάξης την οποία έχει εκδώσει το Οικονομικό Επιμελητήριο της Ελλάδας, τονίζοντας ότι η εν λόγω άδεια αποτελούσε μέρος του υπηρεσιακού της φακέλου που βρισκόταν στη διάθεση της Διοίκησης και β) την από … βεβαίωση του ΕΦΚΑ για την προϋπηρεσία της, την οποία όπως αναφέρει είχε κοινοποιήσει στο Ε.Κ.Κ. από τον Ιούλιο του 2021 με δική της πρωτοβουλία. Αναφέρει επίσης ότι εάν το Ε.Κ.Κ. ήθελε πράγματι να διαπιστώσει αν η ίδια διατηρούσε τα σχετικά επαγγελματικά δικαιώματα, όφειλε και μπορούσε να απευθυνθεί στο οικονομικό επιμελητήριο. Σύμφωνα με την καταγγέλλουσα επομένως, ελλείψει αναγκαιότητας και προσφορότητας της σχετικής αναζήτησης στην πλατφόρμα της ΑΑΔΕ, δεν υπήρχε νόμιμος σκοπός επεξεργασίας των δεδομένων της εκ μέρους του Ε.Κ.Κ. και στην πραγματικότητα η αναζήτηση αυτή αποσκοπούσε στην εύρεση σπουδαίου λόγου καταγγελίας της σύμβασης εργασίας της, γεγονός που συνέβη μετά την κοινοποίηση εξωδίκου εκ μέρους της, με το οποίο ζητούσε ενημέρωση σχετικά με την επεξεργασία των δεδομένων της. Περαιτέρω, η καταγγέλλουσα τονίζει ότι παρανόμως δεν ενημερώθηκε για την εν λόγω αναζήτηση, με αποτέλεσμα να υποχρεωθεί να αιτηθεί σχετική εισαγγελική παραγγελία, η δε επίκληση τόσο του άρθρου 24 όσο και του άρθρου 31 του Ν. 4624/2019 εκ μέρους του Ε.Κ.Κ. γίνεται αβάσιμα, χωρίς να προσδιορίζεται ούτε για ποιες πληροφορίες είχε το ΕΚΚ «βάσιμες ενδείξεις» ότι ήταν εσφαλμένες, ούτε ποιες ήταν οι αξιώσεις και τα συμφέροντά του, τα οποία ήθελε να διαφυλάξει. Τέλος, η καταγγέλλουσα υποστηρίζει ότι, πέρα από την αρχή της διαφάνειας, από την εν λόγω παράνομη επεξεργασία παραβιάστηκε η ασφάλεια και η εμπιστευτικότητα των δεδομένων της, καθώς η αναζήτηση έγινε με χρήση των κωδικών ενός τρίτου φορέα (του ΑΠΕ-ΜΠΕ) και ότι η ίδια υπέστη ηθική βλάβη, αφού υποχρεώθηκε να αναζητά πληροφορίες για την επεξεργασία από δύο εμπλεκόμενους φορείς, ο ένας εκ των οποίων μάλιστα κατήγγειλε τη σύμβαση εργασίας της λίγες ημέρες μετά την αίτησή της προς αυτό.
Στη συνέχεια, η Αρχή με το Γ/ΕΞΕ/243/30-01-2023 έγγραφό της κοινοποίησε στο ΕΚΚ το ως άνω συμπληρωματικό έγγραφο της καταγγέλλουσας και του ζήτησε να διευκρινίσει α) ποιες είναι οι ακριβείς οδηγίες και εντολές που έχουν δοθεί από το ΕΚΚ ως υπεύθυνο επεξεργασίας προς τον εκτελούντα την επεξεργασία Β, αναφορικά με τον έλεγχο των στοιχείων των διευθυντών/διευθυντριών του, καθώς και να προσκομίσει τη μεταξύ τους σύμβαση ή άλλη νομική πράξη που προβλέπεται από το άρθρο 28 παρ. 3 ΓΚΠΔ, β) δεδομένου ότι με την απάντησή του επικαλείται περισσότερες της μίας νομικές βάσεις επεξεργασίας, ενέργεια μη επιτρεπτή βάσει του ΓΚΠΔ, το ΕΚΚ κλήθηκε εκ νέου να διευκρινίσει, σύμφωνα με την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ) σε ποια συγκεκριμένα νομική βάση στηρίχθηκε η αναζήτηση δεδομένων της καταγγέλλουσας εν προκειμένω, τεκμηριώνοντας κατάλληλα την απάντησή του και γ) τέλος, το ΕΚΚ κλήθηκε να διευκρινίσει με ποιο τρόπο η ενημέρωση του υποκειμένου εν προκειμένω κατά το άρθρο 13 ΓΚΠΔ θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη των νομικών αξιώσεων του ΕΚΚ ως υπεύθυνου επεξεργασίας, τεκμηριώνοντας τον ισχυρισμό ότι το έννομο συμφέρον του ΕΚΚ να μην παράσχει πληροφορίες για την εν λόγω επεξεργασία υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων να ενημερωθεί, παρουσιάζοντας τη σχετική στάθμιση βάσει της οποίας κατέληξε στο ως άνω συμπέρασμα.
Με το Γ/ΕΙΣ/1275/20-02-2023 απαντητικό του έγγραφο, το ΕΚΚ απάντησε ότι ο εν λόγω συνεργάτης, μέσω της εταιρείας της οποίας είναι νόμιμος εκπρόσωπος, είχε αναλάβει να συνδράμει στο έργο της οικονομικής διαχείρισης του ΕΚΚ, μεταξύ άλλων δε και στην τακτική ενημέρωση, συμπλήρωση και επικαιροποίηση των φακέλων των Διευθυντών του, και στο πλαίσιο αυτό ζητήθηκε η συνδρομή του στην εξέταση των εν λόγω φακέλων όσον αφορά τα ασυμβίβαστα της θέσης τους. Προς απόδειξη προσκομίζει την υπ’ αρ. πρωτ. … σχετική απόφαση του ΔΣ του ΕΚΚ, με την οποία αποφασίστηκε να ζητηθούν περαιτέρω πληροφορίες σχετικά με την απόδειξη της προϋπηρεσίας της καταγγέλλουσας, καθώς και την από … (υπ’ αρ. πρωτ. 10763/10- 12-2021) σύμβαση του ΕΚΚ με τον Β, με την οποία ο τελευταίος ανέλαβε την παροχή συμβουλών διαχείρισης. Η εν λόγω σύμβαση περιλαμβάνει τα άρθρα 10 και 11, σύμφωνα με τα οποία τα μέρη αναλαμβάνουν να τηρούν τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ και το Ν. 4624/2019, καθώς και την εμπιστευτικότητα όλων των στοιχείων, εγγράφων και πληροφοριών των οποίων λαμβάνουν γνώση στο πλαίσιο της σύμβασης. Επιπλέον προσκομίζεται η από … εκχώρηση της σύμβασης στην εταιρεία «Β Ε.Ε.» και η έγγραφη συναίνεση του ΕΚΚ, ως αναθέτουσας αρχής, στην εκχώρηση. Αναφορικά με το δεύτερο ερώτημα, το ΕΚΚ απάντησε ότι νομική βάση της επεξεργασίας προσωπικών δεδομένων όλων των διευθυντών του ΕΚΚ ήταν «αυτή της εργασιακής σχέσης των Διευθυντών του ΕΚΚ, και αφορούσε στον αναγκαίο τακτικό έλεγχο του φακέλου τους σε σχέση με τα ασυμβίβαστα και την επικαιροποίηση αυτών (ποινικά μητρώα κ.λπ.) σύμφωνα με το Ν. 3905/2010, σχετικά με τις ιδιότητες και τα ασυμβίβαστα των Διευθυντών του ΕΚΚ». Τέλος, αναφορικά με το τρίτο ερώτημα, σχετικά με την παρεχόμενη κατά το άρθρο 13 ΓΚΠΔ ενημέρωση, το ΕΚΚ απάντησε ότι οι Διευθυντές του γνωρίζουν ότι η επικαιροποίηση των φακέλων τους και ο έλεγχος των ασυμβιβάστων καθ’ όλη τη θητεία τους είναι υποχρεωτική για το ΕΚΚ, ότι εν προκειμένω ενημερώθηκαν όλοι οι Διευθυντές, μεταξύ των οποίων και η καταγγέλλουσα, για τη σχετική απόφαση του ΔΣ, ότι όλοι επικαιροποίησαν τα πιστοποιητικά που απαιτούντο, εκτός από την καταγγέλλουσα, η οποία προσκόμισε το ποινικό της μητρώο και αρνήθηκε να απαντήσει στις διευκρινίσεις που ζητήθηκαν για την παράλληλη απασχόληση, αρνούμενη να προσκομίσει το σχετικό πιστοποιητικό ΕΦΚΑ, και έτσι το ΕΚΚ ανέθεσε τη διαδικασία έρευνας ως όφειλε, στον Β. Σύμφωνα με την ίδια απάντηση «η καταγγέλλουσα ήταν ενήμερη, όπως προκύπτει από το από … υπηρεσιακό της σημείωμα προς τη Γενική Διευθύντρια του ΕΚΚ και την από … ηλεκτρονική αλληλογραφία της Γενικής Διευθύντριας του ΕΚΚ με την καταγγέλλουσα», προσκομίζονται δε το από … e-mail της Γενικής Διευθύντριας του ΕΚΚ, Γ, μέσω της οποίας ζητήθηκε να διευκρινίσει από πού προκύπτει η ασφάλιση της καταγγέλλουσας στον κωδικό 3129 του ΕΦΚΑ, που υποδηλώνει ασφάλιση σε άλλο εργοδότη από το ΕΚΚ, προκειμένου να διευκρινιστεί εάν από την … που ανέλαβε τα καθήκοντά της έχει απασχοληθεί σε άλλον εργοδότη πλην του ΕΚΚ, καθώς και η από … βεβαίωση (η οποία φέρεται να δόθηκε από την καταγγέλλουσα ως «υπηρεσιακό σημείωμα» προς το ΕΚΚ) της επιχείρησης οικονομικών συμβούλων «.... ΚΑΙ ΣΙΑ Ε.Ε.», που αφορά την απασχόληση της καταγγέλλουσας ως λογίστριας με σχέση εργασίας ορισμένου χρόνου τα διαστήματα από … έως … και από … έως … .
Σε συνέχεια των ανωτέρω, η Αρχή με τις Γ/ΕΞΕ/210/12-01-2024, Γ/ΕΞΕ/209/12- 01-2024, Γ/ΕΞΕ/211-12-01-2024 και Γ/ΕΞΕ/211-12-01-2024 κλήσεις αντίστοιχα κάλεσε την καταγγέλλουσα και το καταγγελλόμενο ΑΠΕ-ΜΠΕ, καθώς επίσης και τους ελεγχόμενους Ε.Κ.Κ., Β και την εταιρεία «Β Ε.Ε.» σε ακρόαση ενώπιον της Ολομέλειας της Αρχής στις 6/2/2024, προκειμένου να εκθέσουν τις απόψεις τους για την υπόθεση. Κατά τη συνεδρίαση παρέστησαν η καταγγέλλουσα με τον πληρεξούσιο δικηγόρο της, Γεώργιο Μπίκο (ΑΜ ΔΣΑ: …), εκ μέρους του Ελληνικού Κέντρου Κινηματογράφου ο Δ, Πρόεδρος του ΕΚΚ, η Γ, Γενική Διευθύντρια του ΕΚΚ και η Αλεξάνδρα Αργυροπούλου, δικηγόρος (ΑΜ ΔΣΑ: …), εκ μέρους της εταιρείας «Β Ε.Ε.» ο Β και ο δικηγόρος του Δημήτριος Αναστασόπουλος (ΑΜ ΔΣΑ: …), ο Β με τον πληρεξούσιο δικηγόρο του Δημήτριο Αναστασόπουλο (ΑΜ ΔΣΑ: …) και εκ μέρους του ΑΠΕ-ΜΠΕ ο Ιωάννης Γιαννακάκης, Δικηγόρος (Α.Μ. ΔΣΑ …), ενώ παρέστη και ο ΥΠΔ του ΑΠΕ-ΜΠΕ Ε. Κατά τη συνεδρίαση τα μέρη ανέπτυξαν τους ισχυρισμούς τους και στη συνέχεια έλαβαν προθεσμία και υπέβαλαν εμπρόθεσμα, η μεν καταγγέλλουσα το υπ’ αρ. πρωτ. Γ/ΕΙΣ/1341/20-02-2024 υπόμνημα με τα Γ/ΕΙΣ/1380/21-02-2024 και Γ/ΕΙΣ/1382/21-02-2024 συμπληρωματικά έγγραφα, ο δε Β το υπ’ αρ. πρωτ. Γ/ΕΙΣ/1348/20-02-2024 υπόμνημα, ενώ το ΑΠΕ-ΜΠΕ και το ΕΚΚ δεν υπέβαλαν υπόμνημα.
Η καταγγέλλουσα, τόσο κατά τη συνεδρίαση όσο και με το υπόμνημά της, τόνισε ότι ο σκοπός της επεξεργασίας δεν ήταν νόμιμος, ότι η επεξεργασία δεν ήταν αναγκαία διότι η άδεια ασκήσεως επαγγέλματός της υπήρχε στον υπηρεσιακό της φάκελο, ενώ τα έγγραφα σχετικά με την παράλληλη απασχόληση της ζητήθηκαν τον …, ήτοι μετά την επεξεργασία, ότι τα μέσα επεξεργασίας (αναζήτηση του ΑΦΜ της μέσω της πλατφόρμας της ΑΑΔΕ) ήταν απρόσφορα για τον σκοπό που επικαλέστηκε το ΕΚΚ, ότι δεν ενημερώθηκε ότι επρόκειτο να γίνει αυτή η επεξεργασία και ότι μέχρι σήμερα δεν έχει διευκρινιστεί τι ακριβώς αναζητούσε το ΕΚΚ μέσω του Β, ο οποίος έκανε χρήση των κωδικών του ΑΠΕ-ΜΠΕ, εκ προθέσεως και όχι εκ παραδρομής, όπως υποστηρίζει. Επεσήμανε και πάλι ότι η πλατφόρμα της ΑΑΔΕ δεν παρέχει πληροφορίες σχετικά με τα επαγγελματικά δικαιώματα και υποστήριξε ότι ο Β δεν είχε τους κωδικούς του ΕΚΚ. Σύμφωνα με την καταγγέλλουσα, η ενημέρωση που έλαβε από το ΕΚΚ μετά την άσκηση δικαιώματος πρόσβασης ήταν αντιφατική και δεν της δόθηκαν εξ αρχής σαφείς και διαφανείς απαντήσεις, παρά μόνο μετά την αίτηση και έκδοση εισαγγελικής παραγγελίας. Όσον αφορά τους ισχυρισμούς που επικαλέστηκε το ΕΚΚ προς την Αρχή, η καταγγέλλουσα ανέφερε ότι δεν τεκμηρίωσε τη στάθμιση μεταξύ των αντικρουόμενων συμφερόντων εν προκειμένω και υποστήριξε ότι παρανόμως ο Β επεξεργάστηκε τα προσωπικά της δεδομένα ως εργαζόμενης στο ΕΚΚ, διότι μεταξύ του ΕΚΚ και του ιδίου δεν υφίσταται κατάλληλη σύμβαση εκτελούντος την επεξεργασία, παρά μόνο μια γενική σύμβαση έργου.
Το ΑΠΕ-ΜΠΕ διά του εκπροσώπου του στη συνεδρίαση υποστήριξε ότι δεν έχει συμβεί κανένα περιστατικό παραβίασης εν προκειμένω, καθώς δεν έχει διαρρεύσει οποιαδήποτε πληροφορία που αφορά την καταγγέλλουσα στο ΑΠΕ-ΜΠΕ, ότι έχει λάβει όλα τα αναγκαία τεχνικά και οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων που επεξεργάζεται και ότι δεν φέρει οποιαδήποτε ευθύνη για την εκ παραδρομής χρήση των κωδικών του από τον Β που τυγχάνει εκτελών την επεξεργασία και για τους δύο φορείς.
Το ΕΚΚ ανέφερε ότι διατηρεί από το … συνεργασία με τον Β ως εξωτερικό σύμβουλο, ότι φέρει εκ του νόμου (Ν. 3905/2010) την υποχρέωση να ελέγχει τους φακέλους όλων των διευθυντών του προκειμένου να βεβαιώνεται ότι πληρούνται οι προϋποθέσεις διορισμού τους και ότι, αφού ζητήθηκαν στοιχεία από την καταγγέλλουσα και δημιουργήθηκαν αμφιβολίες ως προς την τυχόν παράλληλη απασχόλησή της σε άλλους φορείς που συνιστά ασυμβίβαστο, γεγονός που η ίδια γνώριζε από τον …, ανατέθηκε ο σχετικός έλεγχος στον Β, ο οποίος από λάθος χρησιμοποίησε τους κωδικούς του ΑΠΕ-ΜΠΕ τους οποίους κατείχε λόγω της συνεργασίας του και με τον εν λόγω φορέα. Επεσήμανε δε ότι εν τέλει διεγνώσθη ότι η καταγγέλλουσα δεν πληρούσε τις προϋποθέσεις διορισμού της και έτσι το ΕΚΚ προχώρησε στη λύση της σύμβασής της.
Ο Β, κατά την ακρόαση και με το υπόμνημά του υποστήριξε τα εξής:
- Ότι τυγχάνει εκτελών την επεξεργασία και για τους δύο ανωτέρω φορείς όσον αφορά την οικονομική τους διαχείριση, η οποία περιλαμβάνει μεταξύ άλλων τη μισθοδοσία, την υλοποίηση συμβάσεων κλπ. Στο πλαίσιο αυτό λαμβάνει γνώση των ΑΦΜ των υπαλλήλων των φορέων, όπως ήταν η καταγγέλλουσα.
- Ότι εν προκειμένω πραγματικά εκ παραδρομής, χωρίς σχετική πρόθεση και για μία και μοναδική φορά έκανε χρήση των κωδικών του ΑΠΕ-ΜΠΕ προκειμένου να χρησιμοποιήσει την πλατφόρμα της ΑΑΔΕ για την αναζήτηση βασικών στοιχείων μητρώου της καταγγέλλουσας, στο πλαίσιο εντολής που του είχε δοθεί για τον έλεγχο της επάρκειας των φακέλων. Συγκεκριμένα, ο Β υποστηρίζει ότι του ανατέθηκε να ελέγξει την επάρκεια των επαγγελματικών στοιχείων και της επαγγελματικής υπόστασης της καταγγέλλουσας για την εύρεση ενδεχόμενης ύπαρξης παράλληλης απασχόλησης σύμφωνα με το Ν. 3905/2010 σχετικά με τις ιδιότητες και τα ασυμβίβαστα της εργασιακής σχέσης των Διευθυντών του Ε.Κ.Κ., κατόπιν και της από 17-5-2022 σχετικής απόφασης του Διοικητικού Συμβουλίου του ΕΚΚ.
Ο ανωτέρω εκτελών την επεξεργασία συμπερασματικά τονίζει ότι διέθετε σχετική σύμβαση με τον υπεύθυνο επεξεργασίας (ΕΚΚ), ότι είχε νόμιμο σκοπό και νόμιμη βάση επεξεργασίας των δεδομένων της καταγγέλλουσας, ότι δεν αποκόμισε καμία πληροφορία που δεν υπήρχε ήδη στον υπηρεσιακό φάκελο της καταγγέλλουσας, συνεπώς η καταγγέλλουσα δεν υπέστη καμία ζημία, ότι δεν άντλησε οποιοδήποτε στοιχείο από την πλατφόρμα της ΑΑΔΕ και κανείς άλλος δεν είχε πρόσβαση στα δεδομένα της καταγγέλλουσας, ότι η εν λόγω επεξεργασία συνεπώς δεν συνεπάγεται κανένα κίνδυνο για το υποκείμενο και ζητά να μην επιβληθούν κυρώσεις σε βάρος του, δεδομένου ότι ουδεμία παράβαση της σχετικής νομοθεσίας έχει τελέσει.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τη βοηθό εισηγητή, μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Aπό τις διατάξεις των άρθρων 51 και 55 και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Σύμφωνα με τις ανωτέρω διαπιστώσεις και από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. στ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ του νόμου 4624/2019, προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί της καταγγελίας της Α για παράνομη επεξεργασία των προσωπικών της δεδομένων και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Με το άρθρο 5 παρ. 1 του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ) τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Σύμφωνα με το άρθρο 5 παρ. 1 α) και στ) ΓΚΠΔ «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), […] στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)», ενώ όπως επισημαίνεται στο Προοίμιο του Κανονισμού, «Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα και στον εξοπλισμό που χρησιμοποιείται για την επεξεργασία τους ή η χρήση αυτών των δεδομένων προσωπικού χαρακτήρα και του εν λόγω εξοπλισμού» (Αιτ. Σκ. 39 in fine). Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που ορίζεται ρητώς στην δεύτερη παράγραφο του ιδίου άρθρου και συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθ. 5 παρ. 1.
3. Σύμφωνα με το άρθρο 6 παρ. 1 του ΓΚΠΔ «1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ' αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης, γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί».
4. Όσον αφορά την τήρηση της αρχής της διαφάνειας, τα άρθρα 13 και 14 ΓΚΠΔ ορίζουν συγκεκριμένα τις πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων από τον υπεύθυνο επεξεργασίας, τόσο στην περίπτωση που τα δεδομένα συλλέγονται από το υποκείμενο (άρθρο 13) όσο και στην περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο (άρθρο 14). Σύμφωνα με το άρθρο 14 παρ. 1 και 2 ΓΚΠΔ, «1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες: α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας, β) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, δ) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως, στ) κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και την ύπαρξη ή την απουσία απόφασης επάρκειας της Επιτροπής ή, όταν πρόκειται για τις διαβιβάσεις που αναφέρονται στο άρθρο 46 ή 47 ή στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, αναφορά στις ενδεδειγμένες ή κατάλληλες εγγυήσεις και τα μέσα για να αποκτηθεί αντίγραφό τους ή στο πού διατέθηκαν. 2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων: α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα, β) εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο, γ) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, δ) όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της, ε) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή, στ) την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό, ζ) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων». Σύμφωνα με την παρ. 3 του ιδίου άρθρου «Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2: α) εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, […]», ενώ κατά την παρ. 4 του άρθρου αυτού «Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2». Τέλος, στην παράγραφο 5 του άρθρου 14 ΓΚΠΔ προβλέπονται εξαιρέσεις από την υποχρέωση ενημέρωσης του υποκειμένου, μεταξύ των οποίων και στις περιπτώσεις κατά τις οποίες «…β) η παροχή τέτοιων πληροφοριών αποδεικνύεται αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια […] ή εφόσον η υποχρέωση που αναφέρεται στην παράγραφο 1 του παρόντος άρθρου είναι πιθανόν να καταστήσει αδύνατη ή να βλάψει σε μεγάλο βαθμό την επίτευξη των σκοπών της εν λόγω επεξεργασίας. Στις περιπτώσεις αυτές, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων […]».
5. Προς διασφάλιση της αρχής της διαφάνειας της επεξεργασίας, το άρθρο 12 παρ. 1 ΓΚΠΔ ορίζει ότι: «Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα». Περαιτέρω, σύμφωνα με τις Κατευθυντήριες Γραμμές για τη διαφάνεια (WP260 rev.01), κατά την ενημέρωση των υποκειμένων σύμφωνα με τα άρθρα 13-14 ΓΚΠΔ, οι παρεχόμενες πληροφορίες θα πρέπει να είναι συγκεκριμένες και οριστικές. Όπως επισημαίνεται στην §56 των εν λόγω Κατευθυντηρίων Γραμμών: «Σύμφωνα με την αρχή της λογοδοσίας, οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να αποδεικνύουν (και να καταγράφουν) τις πληροφορίες που έχει ήδη το υποκείμενο των δεδομένων, πώς και πότε τις έλαβε, καθώς και ότι δεν έχουν προκύψει αλλαγές έκτοτε σε αυτές τις πληροφορίες, οι οποίες θα τις καθιστούσαν παρωχημένες».
6. Περαιτέρω, σύμφωνα με το άρθρο 24 παρ. 1 του Ν. 4624/2019 «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι: α) απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες· […]». Επιπλέον, το άρθρο 31 του Ν. 4624/2019 ορίζει τα εξής: «1. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ δεν υφίσταται εκτός από την αναφερόμενη στο άρθρο 13 παράγραφος 4 του ΓΚΠΔ εξαίρεση, όταν η παροχή των πληροφοριών σχετικά με την περαιτέρω επεξεργασία: α) αφορά μια περαιτέρω επεξεργασία αποθηκευμένων σε γραπτή μορφή δεδομένων, στην οποία ο υπεύθυνος επεξεργασίας απευθύνεται άμεσα στο υποκείμενο των δεδομένων, ο σκοπός είναι συμβατός με τον αρχικό σκοπό συλλογής σύμφωνα με το ΓΚΠΔ, η επικοινωνία με το υποκείμενο των δεδομένων δεν γίνεται σε ψηφιακή μορφή και το ενδιαφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών κατά τις περιστάσεις της συγκεκριμένης περίπτωσης, ιδίως όσον αφορά το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα θεωρείται ότι δεν είναι υψηλό· β) στην περίπτωση του δημόσιου φορέα, θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες, υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων· γ) θα έθετε σε κίνδυνο την εθνική ή τη δημόσια ασφάλεια και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων· δ) θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων· ε) θα έθετε σε κίνδυνο την εμπιστευτική διαβίβαση δεδομένων σε δημόσιους φορείς. 2. Εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής στο κοινό των πληροφοριών που αναφέρονται στο άρθρο 13 παράγραφοι 1 και 2 του ΓΚΠΔ σε ακριβή, διαφανή, κατανοητή και ευχερώς προσβάσιμη μορφή, σε σαφή και απλή γλώσσα. Ο υπεύθυνος επεξεργασίας δηλώνει γραπτώς τους λόγους για τους οποίους απέφυγε να παράσχει πληροφορίες. Τα ανωτέρω εδάφια δεν εφαρμόζονται στις περιπτώσεις δ΄ και ε΄ της προηγούμενης παραγράφου. 3. Εφόσον δεν παρέχεται γνωστοποίηση στις περιπτώσεις της παραγράφου 1 λόγω ύπαρξης προσωρινού εμποδίου, ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών της επεξεργασίας, πρέπει να συμμορφώνεται στην υποχρέωση πληροφόρησης εντός εύλογης προθεσμίας μετά την απομάκρυνση του εμποδίου, αλλά όχι αργότερα από το χρονικό διάστημα των δύο (2) εβδομάδων. 4. …»
7. Στη Γνωμοδότηση 1/2020 της Αρχής αναφορικά με τις διατάξεις του Ν. 4624/2019, επισημαίνονται τα εξής:
«Άρθρα 24-25-26 Σύµφωνα µε την αιτιολογική έκθεση του νόµου, µε τα άρθρα 24, 25 και 26 παρέχεται ή δηµιουργείται µια «εθνική νοµική βάση» για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα για σκοπό διαφορετικό από εκείνον για τον οποίο είχαν αρχικά συλλεγεί τα δεδοµένα. Προκειµένου να αιτιολογήσει ο εθνικός νοµοθέτης την επιλογή αυτή επικαλείται για το άρθρο 24 την διάταξη του άρθρου 6 παρ. 3 ΓΚΠ∆, για το άρθρο 25 την διάταξη του άρθρου 6 παρ. 4 ΓΚΠ∆ και για το άρθρο 26 την «ρητή πρόβλεψη νόµου». Αντικείµενο των διατάξεων των άρθρων 24, 25 και 26 του νόµου συνιστά η περαιτέρω επεξεργασία των δεδοµένων προσωπικού χαρακτήρα, ήτοι η περίπτωση της επεξεργασίας για σκοπό άλλο από αυτόν για τον οποίο αρχικά συνελλέγησαν, µόνον εφόσον η µεταγενέστερη επεξεργασία είναι συµβατή µε τους σκοπούς της αρχικής συλλογής, σύµφωνα µε την αρχή του περιορισµού του σκοπού κατ’ άρ. 5 παρ. 1 εδ. β’ ΓΚΠ∆. Σε αυτήν την περίπτωση δεν απαιτείται νοµική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδοµένων (βλ. αρ. 6 παρ. 4 και αιτ. σκ. 50 ΓΚΠ∆). Επιπλέον, από τις διατάξεις του άρθρου 6 παρ. 2 και 3 ΓΚΠ∆ προκύπτει ότι παρέχεται η δυνατότητα στον εθνικό νοµοθέτη να διατηρήσει ή να θεσπίσει πιο ειδικές διατάξεις για την προσαρµογή της εφαρµογής των κανόνων όσον αφορά την επεξεργασία για τη συµµόρφωση µε τις περιπτώσεις γ’ (έννοµη υποχρέωση του υπευθύνου επεξεργασίας) και ε’ (εκπλήρωση καθήκοντος προς το δηµόσιο συµφέρον ή κατά την άσκηση δηµόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας) της παρ. 1 του άρθρου 6 ΓΚΠ∆ καθορίζοντας ακριβέστερα ειδικές απαιτήσεις για την επεξεργασία και άλλα µέτρα προς εξασφάλιση σύννοµης και θεµιτής επεξεργασίας. Από τα ανωτέρω προκύπτει ότι ο ΓΚΠ∆ δεν παρέχει εξουσιοδότηση στον εθνικό νοµοθέτη να θεσπίσει νέες «εθνικές νοµικές βάσεις», όπως αναφέρεται στην αιτιολογική έκθεση, αλλά µόνον να εξειδικεύσει τις νοµικές βάσεις του άρθρου 6 παρ. 1 εδ. γ’ και ε’ ΓΚΠ∆, υπό τους όρους και τις εγγυήσεις που προβλέπονται από τις διατάξεις των παρ. 2 και 4 του άρθρου 6 ΓΚΠ∆. Επιπλέον δε, από τη διάταξη του άρθρου 6 παρ. 4 ΓΚΠ∆ για την περαιτέρω επεξεργασία για άλλους σκοπούς, διαφορετικούς µεν, συµβατούς δε µε τους σκοπούς της αρχικής συλλογής, προκύπτει ότι ο εθνικός νοµοθέτης δεν υποχρεούται να λάβει µέτρα εφαρµογής για την περαιτέρω επεξεργασία δεδοµένου ότι ο ίδιος ο ΓΚΠ∆ θεσπίζει τα υπό α) έως ε) της εν λόγω παραγράφου 4 κριτήρια. Ακόµη όµως και εάν θεωρηθεί ότι ο εθνικός νοµοθέτης είχε εξουσιοδότηση από τον ΓΚΠ∆ να θεσπίσει «εθνικές νοµικές βάσεις» για την περαιτέρω επεξεργασία των δεδοµένων κατ’ αρ. 6 παρ. 4 ΓΚΠ∆, αυτές θα πρέπει να συνιστούν µόνον εξειδίκευση των νοµικών βάσεων του άρθρου 6 παρ. 1 εδ. γ’ και ε’ ΓΚΠ∆, θα πρέπει να σέβονται τις αρχές νοµιµότητας του άρθρου 5 παρ. 1 ΓΚΠ∆ και ιδίως την αρχή του περιορισµού του σκοπού κατ’ αρ. 5 παρ. 1 εδ. β’ ΓΚΠ∆, θα πρέπει να αποτελούν αναγκαίο και αναλογικό µέτρο σε µια δηµοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 µε πρόβλεψη των σχετικών ουσιαστικών και δικονοµικών εγγυήσεων, θα πρέπει τα νοµοθετικά µέτρα ή νοµικές βάσεις να είναι διατυπωµένα µε σαφήνεια και ακρίβεια και η εφαρµογή τους να είναι προβλέψιµη για πρόσωπα που υπόκεινται σε αυτά σύµφωνα µε τη νοµολογία του ∆ΕΕ και του Ε∆∆Α (αιτ. σκ. 41) και τέλος, σύµφωνα µε την αιτιολογική σκέψη 50 παρ. β’ ΓΚΠ∆, σε περίπτωση επισήµανσης πιθανών εγκληµατικών πράξεων ή απειλών κατά της δηµόσιας ασφάλειας από τον υπεύθυνο επεξεργασίας και διαβίβασης των σχετικών δεδοµένων σε αρµόδια αρχή, η διαβίβαση αυτή ή η περαιτέρω επεξεργασία δεδοµένων προσωπικού χαρακτήρα, θα πρέπει να απαγορεύεται, εάν η επεξεργασία δεν είναι συµβατή µε νοµική, επαγγελµατική ή άλλη δεσµευτική υποχρέωση τήρησης απορρήτου. Οι διατάξεις των άρθρων 24, 25 και 26 του νόµου δεν πληρούν καµία από τις ανωτέρω ουσιαστικές και διαδικαστικές προϋποθέσεις και εγγυήσεις, σύµφωνα και µε όσα προεκτέθηκαν σε σχέση µε το άρθρο 5 και 22 του νόµου. Επισηµαίνεται ότι οι διατάξεις του άρθρου 25, µε τις οποίες προβλέπεται η επεξεργασία από ιδιωτικούς φορείς δεδοµένων προσωπικού χαρακτήρα εφόσον είναι απαραίτητη, µεταξύ άλλων, για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δηµόσιας ασφάλειας (εδ. α’) καθώς και για τη δίωξη ποινικών αδικηµάτων (εδ. β’), παρά τη διατύπωσή τους, από την οποία καταλείπονται ερµηνευτικές αµφιβολίες, δεν µπορεί να θεωρηθεί ότι αναθέτει σε ιδιωτικούς φορείς αρµοδιότητες σχετιζόµενες µε τους παραπάνω σκοπούς, δεδοµένου ότι οι αρµοδιότητες αυτές ανήκουν στον πυρήνα της κρατικής εξουσίας και δεν είναι καταρχήν συνταγµατικώς επιτρεπτό να ανατεθούν σε ιδιώτες. Θα πρέπει να επισηµανθεί ότι σε παρόµοια συµπεράσµατα κατέληξε και η Πορτογαλική ΑΠ∆ΠΧ µε την υπ’ αρ. 494/2019 απόφασή της σε σχέση µε το αντίστοιχο άρθρο του εθνικού νόµου 58/2019 διαπιστώνοντας παραβίαση του ΓΚΠ∆, ενώ η Ανεξάρτητη Αρχή ∆ηµοσίων Εσόδων (ΑΑ∆Ε) µε την από 30-9-2019 επιστολή της προς την Αρχή εκφράζει τη γνώµη ότι οι περιορισµοί που τίθενται µε τα άρθρα 24 και 26 του νόµου δεν βρίσκουν έρεισµα στον ΓΚΠ∆, ότι µε τον τρόπο αυτό αποστερείται της άσκησης αρµοδιοτήτων της και ότι οι εν λόγω διατάξεις θα αποτελέσουν τροχοπέδη και στην υλοποίηση των στόχων του ν. 4623/2019 για την ψηφιακή διακυβέρνηση.
Άρθρα 31-35
Με τα άρθρα 31 έως 35 του νόμου προβλέπονται εκτεταμένοι περιορισμοί των δικαιωμάτων των υποκειμένων χωρίς να ορίζονται συγκεκριμένες ρυθμίσεις ανάλογα με την περίπτωση για τα θέματα που αναφέρονται στην παράγραφο 2 του άρθρου 23 ΓΚΠΔ. Η Αρχή επιφυλάσσεται να κρίνει, κατά την άσκηση των αρμοδιοτήτων της, αν οι εφαρμοζόμενοι σε κάθε περίπτωση, με βάση τις διατάξεις αυτές του νόμου, περιορισμοί είναι σύμφωνοι με τον ΓΚΠΔ και με τις επιταγές που απορρέουν από τον ΧΘΔΕΕ και την ΕΣΔΑ (βλ. αιτ. σκ. 73 ΓΚΠΔ) και ιδίως από τα άρθρα 7, 8 και 52 ΧΘΔΕΕ και 8 ΕΣΔΑ.»
8. Στην περίπτωση που ο υπεύθυνος επεξεργασίας χρησιμοποιεί εκτελούντα την επεξεργασία, εφαρμόζονται οι διατάξεις του άρθρου 28 ΓΚΠΔ, σύμφωνα με το οποίο: «1.
Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. […] 3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας.» Η εν λόγω σύμβαση ή άλλη νομική πράξη θα πρέπει να περιέχει τουλάχιστον τις ειδικές προβλέψεις που περιλαμβάνονται στην παρ. 3 του άρθρου 28 ΓΚΠΔ. Τέλος, σύμφωνα με το άρθρο 29 ΓΚΠΔ «Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους». Όπως επισημαίνεται στις Κατευθυντήριες γραμμές 07/2020 του ΕΣΠΔ σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ - Έκδοση 2.0 (7 Ιουλίου 2021), «Ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει τις αποφάσεις που αφορούν τόσο τους σκοπούς όσο και τα μέσα. Ωστόσο, οι αποφάσεις που αφορούν ορισμένες πιο πρακτικές πτυχές της εφαρμογής («μέσα επουσιώδους σημασίας») είναι δυνατόν να λαμβάνονται από τον εκτελούντα την επεξεργασία.» 9. Στην προκειμένη περίπτωση, από την εξέταση των στοιχείων του φακέλου και μετά την ακροαματική διαδικασία, διαπιστώθηκαν τα εξής:
Το ΕΚΚ ανέθεσε στον σύμβουλο, Β, ως εκτελούντα την επεξεργασία, τον έλεγχο της επάρκειας των φακέλων των Διευθυντών του ΕΚΚ. Στο πλαίσιο αυτό, αφέθηκε στην κρίση του εκτελούντος την επεξεργασία ο τρόπος διενέργειας του ελέγχου και ως εκ τούτου, η χρήση της εφαρμογής της ΑΑΔΕ για τον έλεγχο βασικών στοιχείων μητρώου επιχειρήσεων, έγινε με δική του πρωτοβουλία, ως «μέσο επεξεργασίας επουσιώδους σημασίας» σύμφωνα με τις ανωτέρω Κατευθυντήριες γραμμές. Το ΕΚΚ, ως υπεύθυνος επεξεργασίας, αποφάσισε τον σκοπό (έλεγχος επάρκειας φακέλων των Διευθυντών) καθώς και τα ουσιώδη μέσα επεξεργασίας, συνεπώς φέρει την ευθύνη για την τήρηση της θεμελιώδους αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, αναφορικά με την εν λόγω επεξεργασία. Ωστόσο, κατά παράβαση της αρχής της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ) από το ΕΚΚ δεν τεκμηριώθηκαν επαρκώς: α) η αναγκαιότητα της επεξεργασίας, αφού δεν προέκυψε ότι ζητήθηκαν από την καταγγέλλουσα στοιχεία τα οποία αρνήθηκε να προσκομίσει, ενώ η απόφαση ΔΣ την οποία επικαλείται το ΕΚΚ ελήφθη στις …, δηλαδή σε χρόνο μεταγενέστερο της αναζήτησης των στοιχείων της καταγγέλλουσας μέσω της Πλατφόρμας της ΑΑΔΕ (…), β) η νομική βάση της επεξεργασίας, δεδομένου ότι, απαντώντας σε σχετική ερώτηση της Αρχής, το ΕΚΚ επικαλέστηκε πολλαπλές νομικές βάσεις εκ του άρθρου 6 παρ. 1 ΓΚΠΔ, ενώ ακολούθως, παρότι του ζητήθηκε σχετική διευκρίνιση, δεν προσδιόρισε τη νομική βάση επεξεργασίας, και γ) η διαφάνεια της επεξεργασίας, καθώς δεν προέκυψε ότι η καταγγέλλουσα ενημερώθηκε με όλες τις απαιτούμενες από το άρθρο 13 ΓΚΠΔ πληροφορίες, ούτε διαπιστώθηκε ότι συνέτρεχε οποιαδήποτε περίπτωση εφαρμογής εξαίρεσης από την ενημέρωση βάσει των επικαλούμενων από το ΕΚΚ διατάξεων του ν. 4624/2019. Ειδικότερα, το ΕΚΚ δεν τεκμηρίωσε τον ισχυρισμό ότι η ενημέρωση της καταγγέλλουσας θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη των αξιώσεών του ή θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του. Με βάση τα ανωτέρω ο υπεύθυνος επεξεργασίας δεν τεκμηρίωσε επαρκώς την νομιμότητα, το θεμιτό και την διαφάνεια της επεξεργασίας, ως όφειλε, με αποτέλεσμα να παραβιαστούν οι προβλεπόμενες από το άρ. 5 παρ. 1 εδ. α’ συνδ. 6 παρ. 1 ΓΚΠΔ διατάξεις. Λαμβάνοντας υπόψη ότι η παράβαση αφορά ένα (1) υποκείμενο και απλά προσωπικά δεδομένα, στα οποία ο υπεύθυνος επεξεργασίας είχε δικαίωμα πρόσβασης ως εργοδότης του υποκειμένου, η Αρχή αξιολογεί την παράβαση ως ελάσσονος σημασίας (βλ. σχετικά αιτ. σκ. 148 ΓΚΠΔ). Για την παράβαση αυτή η Αρχή κρίνει ότι προσήκει να απευθύνει, σύμφωνα με το άρθρο 58 παρ. 2 β) ΓΚΠΔ, επίπληξη στο ΕΚΚ, ως υπεύθυνο επεξεργασίας.
Περαιτέρω, από την εξέταση της υπόθεσης προέκυψε ότι στο πλαίσιο διενέργειας του ελέγχου της πληρότητας των φακέλων κατόπιν σχετικής εντολής από το ΕΚΚ ως υπεύθυνο επεξεργασίας, ο εκτελών την επεξεργασία, Β, έκανε εκ παραδρομής χρήση των κωδικών τρίτου φορέα στην πλατφόρμα της ΑΑΔΕ και συγκεκριμένα του ΑΠΕ- ΜΠΕ με το οποίο επίσης συνεργαζόταν. Το γεγονός αυτό δεν είχε ως συνέπεια τη διαβίβαση δεδομένων της καταγγέλλουσας στο ΑΠΕ-ΜΠΕ, καθώς δεν έγινε οποιαδήποτε εξαγωγή πληροφοριών που την αφορούν στα συστήματα του ΑΠΕ- ΜΠΕ, ούτε οι πληροφορίες που απέδωσε η αναζήτηση παρέμειναν διαθέσιμες στον λογαριασμό του ΑΠΕ-ΜΠΕ στην πλατφόρμα. Διαπιστώνεται, επομένως, ότι ο εκτελών την επεξεργασία την εκτέλεσε πλημμελώς, κάνοντας χρήση κωδικών τρίτου νομικού προσώπου με το οποίο το υποκείμενο δεν συνδέεται, με αποτέλεσμα την πρόκληση αναστάτωσης και ανησυχίας στην καταγγέλλουσα για την πιθανή διαρροή των προσωπικών δεδομένων της σε μη δικαιούμενους τρίτους. Λαμβάνοντας υπόψη τις περιστάσεις, η παράβαση κρίνεται ομοίως ελάσσονος σημασίας (βλ. Αιτ. Σκ. 148 ΓΚΠΔ) και η Αρχή κρίνει ότι προσήκει να απευθύνει στον εκτελούντα την επεξεργασία (πλέον στην εταιρεία «Β Ε.Ε») προειδοποίηση, κατά το άρθρο 58 παρ. 2 α) ΓΚΠΔ.
Εξάλλου, βάσει των ανωτέρω, δεν προέκυψε ευθύνη του ΑΠΕ-ΜΠΕ για το περιστατικό.
Τέλος, στο πλαίσιο εξέτασης της καταγγελίας και στο πλαίσιο αυτεπάγγελτης εξέτασης της συμμόρφωσης του ΕΚΚ ως υπευθύνου επεξεργασίας με τις διατάξεις του ΓΚΠΔ, διαπιστώθηκε ότι η σύμβαση του ΕΚΚ με τον Β (και ήδη με την εταιρεία «Β Ε.Ε») ως εκτελούντα την επεξεργασία, την οποία το ΕΚΚ προσκόμισε στην Αρχή, περιλαμβάνει τα άρθρα 10 και 11, σύμφωνα με τα οποία τα μέρη αναλαμβάνουν κατά γενικό τρόπο να τηρούν τις «υποχρεώσεις που απορρέουν από τον ΓΚΠΔ και τον Ν. 4624/2019», καθώς και την εμπιστευτικότητα όλων των στοιχείων, εγγράφων και πληροφοριών των οποίων λαμβάνουν γνώση στο πλαίσιο της σύμβασης. Ως εκ τούτου, η σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία δεν περιλαμβάνει όλες τις απαιτούμενες από το άρθρο 28 παρ. 3 ΓΚΠΔ ειδικότερες προβλέψεις. Για την παράλειψη αυτή, η Αρχή θεωρεί ότι προσήκει να δοθεί στο ΕΚΚ, ως υπεύθυνο επεξεργασίας, σύμφωνα με το άρθρο 58 παρ. 2 δ) ΓΚΠΔ, εντολή συμμόρφωσης, κατά τα ειδικότερα οριζόμενα στο διατακτικό της παρούσας απόφασης.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Α. Απευθύνει στο ΕΚΚ, ως υπεύθυνο επεξεργασίας, α) επίπληξη, με βάση το άρθρο 58 παρ. 2 εδ. β’ του ΓΚΠΔ, για την παράβαση της αρχής της νομιμότητας και της διαφάνειας της επεξεργασίας των δεδομένων της καταγγέλλουσας και β) εντολή, με βάση το άρθρο 58 παρ. 2 εδ. δ’ ΓΚΠΔ, να προβεί με την εταιρεία «Β Ε.Ε» ως εκτελούσα την επεξεργασία, στη σύναψη κατάλληλης σύμβασης, σύμφωνα με τα προβλεπόμενα στο άρθρο 28 παρ. 3 ΓΚΠΔ.
Β. Απευθύνει στην εταιρεία «Β Ε.Ε», ως εκτελούσα την επεξεργασία, προειδοποίηση, με βάση το άρθρο 58 παρ. 2 εδ. α’ του ΓΚΠΔ, στο μέλλον να επιδεικνύει την απαιτούμενη επιμέλεια κατά την επεξεργασία προσωπικών δεδομένων, ώστε να αποφευχθεί τυχόν παράνομη κοινολόγηση δεδομένων σε τρίτα φυσικά ή νομικά πρόσωπα.
Γ. Απορρίπτει την καταγγελία ως προς το ΑΠΕ-ΜΠΕ, ως αβάσιμη.
Ο Πρόεδρος
Η Γραμματέας
Κωνσταντίνος Μενουδάκος Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφή
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα
Δημοσιεύστε