ΑΠΟΦΑΣΗ 13/2025
Αθήνα, 17-03-2025
Αριθ. Πρωτ.: 939
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση την Τρίτη 10-12-2024 και ώρα 10:00 π.μ., προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, τα τακτικά μέλη Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Αικατερίνη Ηλιάδου ως εισηγήτρια και Γρηγόριος Τσόλιας, και το αναπληρωματικό μέλος Γεώργιος Κόντης σε αντικατάσταση του τακτικού μέλους Χρήστου Καλλονιάτη, ο οποίος, αν και εκλήθη νομίμως, δεν παρέστη λόγω κωλύματος. Παρούσες χωρίς δικαίωμα ψήφου ήταν η Στεφανία Πλώτα, ειδική επιστήμονας - δικηγόρος, ως βοηθός εισηγητή και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κατωτέρω:
Με την υπ’ αριθ. πρωτ. .../04-01-2021 καταγγελία του στην Αρχή, ο Α, δικαστικός υπάλληλος του Διοικητικού Εφετείου Αθηνών (εφεξής «καταγγέλλων»), καταγγέλλει το Διοικητικό Εφετείο Αθηνών (εφεξής «Διοικητικό Εφετείο» ή «Δικαστήριο») για προσβολή του δικαιώματος πρόσβασης αφενός στον υπηρεσιακό του φάκελο, η ικανοποίηση του οποίου ζητήθηκε α) με αίτημά του προς τον αρμόδιο υπάλληλο Β την …, ο οποίος του απάντησε ότι ο φάκελος δεν βρίσκεται στο αρχείο της Υπηρεσίας, καθώς και β) με την υπ’ αριθ. πρωτ. του Διοικητικού Εφετείου … αίτησή του για ενημέρωση σχετικά με το πού βρίσκεται ο φάκελός του και για ποιον λόγο δεν βρίσκεται στο αρχείο της υπηρεσίας, και αφετέρου σε έγγραφα που περιέχουν προσωπικά δεδομένα του και έχουν αποθηκευτεί στον υπηρεσιακό ηλεκτρονικό υπολογιστή του που είχε αφαιρεθεί διαδοχικά στις … και … από τη θέση εργασίας του καταγγέλλοντος, ο οποίος επισημαίνει σχετικά ότι η αφαίρεση του υπολογιστή ισοδυναμεί με αποστέρηση πρόσβασης του υπαλλήλου στην πλατφόρμα ΟΣΔΔΥ–ΔΔ. Ο καταγγέλλων, αναφορικά με την αφαίρεση του ηλεκτρονικού υπολογιστή από το γραφείο του, είχε υποβάλει στο Διοικητικό Εφετείο Αθηνών την υπ’ αρ. πρωτ. … αναφορά και την υπ’ αρ. πρωτ. … αίτηση, με τις οποίες αιτούνταν να ενημερωθεί δυνάμει ποιας απόφασης αφαιρέθηκε ο υπολογιστής, καθώς και να επιστραφεί σε αυτόν «ο πύργος του η/υ» στην προτεραία κατάσταση.
Η Αρχή, στο πλαίσιο εξέτασης της ανωτέρω καταγγελίας, με τα υπ’ αριθ. πρωτ. .../03-06-2021 και .../2-7-2021 έγγραφα κάλεσε το Διοικητικό Εφετείο να εκθέσει τις απόψεις του και ζήτησε να ενημερωθεί σχετικά με το i. εάν και τι απάντησε στα αιτήματα του καταγγέλλοντος, ii. πού τηρείται ο υπηρεσιακός φάκελος του καταγγέλλοντος,
iii. για ποιον λόγο αφαιρέθηκε την … και την … ο υπηρεσιακός ηλεκτρονικός υπολογιστής του καταγγέλλοντος, iv. εάν μέχρι την αποστολή της πρώτης επιστολής της Αρχής είχε ικανοποιηθεί το δικαίωμα πρόσβασης του καταγγέλλοντος. Το Διοικητικό Εφετείο με το υπ’ αριθ. εμπ. πρωτ. … έγγραφο του Γραφείου Προέδρου του Τριμελούς Συμβουλίου Διεύθυνσης του Διοικητικού Εφετείου Αθηνών απάντησε ότι: «α) Ο δικαστικός υπάλληλος Α υπηρετεί στο Τμήμα Χ του Δικαστηρίου μας. Έχουν ασκηθεί εναντίον του πειθαρχικές διώξεις, δεν έχουν εκδοθεί όμως ακόμη σχετικές αποφάσεις. Για το λόγο αυτό ο υπηρεσιακός του φάκελος βρισκόταν στα χέρια του εκάστοτε εισηγητή, ακόμη δε και σήμερα βρίσκεται στα χέρια του εισηγητή για το πειθαρχικό που επρόκειτο να δικαστεί στις … . β) Δεν απαιτείται για την άσκηση των καθηκόντων του στο Τμήμα Χ του Διοικητικού Εφετείου υπηρεσιακός ηλεκτρονικός υπολογιστής. γ) Τον … του … αφαιρέθηκε ο υπολογιστής του, γιατί πλημμύρισαν δύο όροφοι (…) του Δικαστηρίου από βλάβη στα υδραυλικά και έμειναν Τμήματα έδρας χωρίς υπολογιστή. Ενόψει του ότι δεν υπάρχει πλεόνασμα υπολογιστών, τα Τμήματα έδρας για να λειτουργήσουν πρέπει να έχουν οπωσδήποτε υπολογιστή. Έκρινε, λοιπόν, η διεύθυνση ότι είναι αναγκαίο να αφαιρεθούν υπολογιστές από Τμήματα που μπορούν να λειτουργήσουν και χωρίς υπολογιστή. δ) Όσον αφορά τα αρχεία που είχε στον προσωπικό του φάκελο του υπολογιστή του, ρωτήθηκε αν το χρειάζεται και απάντησε όχι, παρόλα αυτά υπάρχουν σε backup. Τα δε αρχεία, που δημιούργησε στον Ο.Σ.Δ.Δ.Υ. Δ.Δ., μπορούν να ανακτηθούν με αναζήτηση».
H Αρχή διαβίβασε τις ανωτέρω απόψεις του Διοικητικού Εφετείου στις 06-07-2021 στον καταγγέλλοντα, ο οποίος στη συνέχεια υπέβαλε στην Αρχή το από 31-08-2021 υπόμνημα, με το οποίο απορρίπτει συνολικά τις απαντήσεις του Διοικητικού Εφετείου ως ανακριβείς, νομικά και ουσιαστικά αβάσιμες και ισχυρίζεται ότι: «Το αληθές είναι ότι έχει ασκηθεί εναντίον μου μία (1) μόνον πειθαρχική δίωξη […] Μία (1) είναι η απόφαση που αναμένεται επί της πειθαρχικής δίωξης που μου έχει ασκηθεί. Το γεγονός επίσης ότι μου έχει ασκηθεί μία πειθαρχική δίωξη είναι λόγος για τον οποίο έπρεπε να είχε αμέσως ικανοποιηθεί το γραπτό αίτημά μου για πρόσβαση στον φάκελό μου, αίτημα που μέχρι σήμερα δεν έχει ικανοποιηθεί. Περαιτέρω, ο υπηρεσιακός φάκελος του εργαζομένου πρέπει να είναι πάντοτε στη διάθεσή του, ως υποκειμένου των δεδομένων[…] δεν υπάρχει κανένας απολύτως λόγος να είναι “στα χέρια του εκάστοτε εισηγητή”[…], δεν υπήρχε “εκάστοτε εισηγητής”, αλλά ένας και μόνο εισηγητής[…], ο οποίος ως δικαστικός λειτουργός δεν είναι πάντοτε προσβάσιμος σε ένα συγκεκριμένο γραφείο, το οποίο επισκέπτεται μόνον όταν έχει υπηρεσία ενάσκησης των δικαιοδοτικών καθηκόντων του[…] Επομένως, αφενός ο υπηρεσιακός φάκελός μου πρέπει να επιστρέψει στο αρχείο του προσωπικού από το οποίο προέρχεται και θα πρέπει να μου χορηγηθεί πρόσβαση σε αυτόν, με γραπτή απάντηση στα αιτήματά μου για ενάσκηση του εν λόγω δικαιώματός μου, το οποίο εκκρεμεί για σημαντικό αριθμό μηνών. Ο ισχυρισμός […] κατά τον οποίο “δεν απαιτείται για την άσκηση των καθηκόντων του στο Τμήμα Χ του Διοικητικού Εφετείου υπηρεσιακός ηλεκτρονικός υπολογιστής” είναι αβάσιμος και ανακριβής […]. Ο ηλεκτρονικός υπολογιστής αποτελεί τον αναγκαίο και απαραίτητο εξοπλισμό μέσω του οποίου κάθε υπάλληλος του Διοικητικού Εφετείου έχει την δυνατότητα πρόσβασης στο περιεχόμενο του υπηρεσιακού ηλεκτρονικού ταχυδρομείου του, καθώς και του ΟΣΔΔΥ-ΔΔ. Μέσω αυτού του υπηρεσιακού ηλεκτρονικού ταχυδρομείου, η διοίκηση του Δικαστηρίου και η διοίκηση της γραμματείας αποστέλλει εντολές, οδηγίες, εγκυκλίους και ενημερωτικά μηνύματα για την υπηρεσιακή καθημερινότητα που αφορούν τους δικαστικούς υπαλλήλους. Με την αφαίρεση του ηλεκτρονικού υπολογιστή μου αφαιρέθηκε η δυνατότητα έγκαιρης πρόσβασης στο υπηρεσιακό ηλεκτρονικό ταχυδρομείο μου, πρόσβαση που ειδικά για τον ΟΣΔΥΥ-ΔΔ επιτυγχάνεται συγχρονισμένα εν ώρα υπηρεσίας μόνο μέσω του ηλεκτρονικού υπολογιστή μου[…] Ο υπεύθυνος επεξεργασίας[…] αναφέρει ότι τον … του … αφαιρέθηκε ο υπολογιστής μου, γιατί πλημμύρισαν δύο όροφοι (…)[…] Αυτό σημαίνει, όμως, ότι από τυχαίο περιστατικό (πλημμύρα) αποστερήθηκα την πρόσβαση στα δεδομένα που με αφορούν, στοιχείο για το οποίο έπρεπε ο υπεύθυνος επεξεργασίας να έχει ενημερώσει την Αρχή σας εντός 72 ωρών, σύμφωνα με το άρθρο 33 του Γενικού Κανονισμού Προστασίας Δεδομένων ως περιστατικό παραβίασης δεδομένων προσωπικού χαρακτήρα[…] Το γεγονός λοιπόν ότι πλημμύρισαν δύο (2) όροφοι του Διοικητικού Εφετείου Αθηνών με αποτέλεσμα να έχουν αχρηστευθεί ηλεκτρονικοί υπολογιστές από την εν λόγω πλημμύρα, γεγονός που οδήγησε στην αφαίρεση του ηλεκτρονικού υπολογιστή εμού του προσφεύγοντος, αποτελεί ένα τέτοιο περιστατικό που θα έπρεπε να είχε γνωστοποιηθεί στην Αρχή εντός 72 ωρών από την στιγμή που ο υπεύθυνος επεξεργασίας το έμαθε. Σε κάθε περίπτωση, μετά την αποκατάσταση του προβλήματος αυτού, αφού το υδραυλικό πρόβλημα κάποια στιγμή εξέλιπε και επανήλθε η λειτουργία του Διοικητικού Εφετείου σε κανονικότητα, θα έπρεπε να μου είχε επιστραφεί ο ηλεκτρονικός υπολογιστής. Τίποτε από όλα τα ανωτέρω δεν φαίνεται να έλαβε χώρα και κυρίως ουδέποτε ενημερώθηκα εγγράφως για τους λόγους αυτούς για τους οποίους αποστερήθηκα του δικαιώματος πρόσβασης στα δεδομένα που με αφορούν[…]. Επίσης ο καταγγέλλων ισχυρίζεται ότι αορίστως προβάλλεται ο αναπόδεικτος ισχυρισμός ότι απάντησε αρνητικώς στην ερώτηση εάν χρειάζεται τα αρχεία που είχε στον προσωπικό του φάκελο του υπολογιστή του και ότι μόνο με τη διάθεση ηλεκτρονικού υπολογιστή σε αυτόν θα αποκατασταθεί το δικαίωμα πρόσβασης και ανέφερε ότι «η αποστέρηση πρόσβασης σε υπηρεσιακό ηλεκτρονικό υπολογιστή, πέρα από την αδυναμία πρόσβασης στο υπηρεσιακό ηλεκτρονικό ταχυδρομείο κατά την διάρκεια του ωραρίου εργασίας, ισοδυναμεί[…] με αποστέρηση πρόσβασης του υπαλλήλου στην πλατφόρμα ΟΣΔΔΥ-ΔΔ […], μέσω της οποίας πλατφόρμας ο υπάλληλος μπορεί, θέτοντας το ονοματεπώνυμό του στο κατάλληλο πεδίο της πλατφόρμας, να αναζητήσει και να εντοπίσει έγγραφα με κριτήριο τον αριθμό πρωτοκόλλου τους που ο ίδιος έχει καταθέσει στο όνομά του στην υπηρεσία και δεν διαθέτει άλλο τρόπο ηλεκτρονικού εντοπισμού τους[…] Επιπλέον, […] το Διοικητικό Εφετείο Αθηνών δεν έχει απαντήσει για το κατά πόσον έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων και ποια είναι τα στοιχεία επικοινωνίας με αυτόν, όπως έχει υποχρέωση να ανακοινώσει κατά το άρθρο 39 ΓΚΠΔ».
Κατόπιν της εξέτασης των στοιχείων του φακέλου, η Αρχή με τα υπ’ αριθμ. πρωτ. .../10-04-2024 και .../10-04-2024 έγραφα κάλεσε τον καταγγέλλοντα Α και το καταγγελλόμενο Διοικητικό Εφετείο Αθηνών, όπως νομίμως εκπροσωπείται, να παραστούν μέσω τηλεδιάσκεψης στη συνεδρίαση της Ολομέλειας της Αρχής στις 16-04-2024, προκειμένου να συζητηθεί η εν θέματι καταγγελία. Στη συνεδρίαση αυτή παρέστησαν και ανέπτυξαν τις απόψεις τους ο καταγγέλλων Α μετά του πληρεξουσίου δικηγόρου του Βασιλείου Σωτηρόπουλου (ΑΜΔΣΑ …) και εκ μέρους του Διοικητικού Εφετείου Αθηνών, η Γ, Αναπληρώτρια Προϊσταμένη Διεύθυνσης της Γραμματείας. Κατά τη συνεδρίαση αυτή, οι παριστάμενοι ανέπτυξαν τις απόψεις τους και έλαβαν προθεσμία να υποβάλουν υπομνήματα, τα οποία εν συνεχεία υπέβαλαν ο καταγγέλλων και το Διοικητικό Εφετείο με τα υπ’ αρ. .../25-04-2024 και .../26-04-2024 έγγραφα αντίστοιχα.
Ο καταγγέλλων στο μετά την ακρόαση υπόμνημα ανέφερε, μεταξύ άλλων, ότι «το Διοικητικό Εφετείο Αθηνών εκπροσωπείται από τον Πρόεδρο του Τριμελούς Συμβουλίου Διεύθυνσής του ενώπιον της Αρχής, όπως εξάλλου προκύπτει και από το υπ’ αρ. … έγγραφο της Αναπληρώτριας Προέδρου του Τριμελούς Συμβουλίου Διεύθυνσης του Διοικητικού Εφετείου Αθηνών Δ, Προέδρου Εφετών Δ.Δ., προς την Αρχή», με το οποίο απάντησε για την υπό κρίση καταγγελία και από το οποίο «προκύπτει ότι όταν για οποιονδήποτε λόγο κωλύεται ή εκλείπει ο Πρόεδρος του Τριμελούς Συμβουλίου, αναπληρώνεται από Δικαστικό Λειτουργό (κι όχι από υπάλληλο), όπως έγινε στην περίπτωση αυτή και όχι βέβαια από την Προϊσταμένη της Γραμματείας του Δικαστηρίου και επομένως, στην υπό κρίση περίπτωση η Προϊσταμένη της Γραμματείας δεν εκπροσωπεί νομίμως το καθ’ ου και γι’ αυτό κάθε ισχυρισμός της πρέπει να απορριφθεί ως απαράδεκτος για λόγους έλλειψης παθητικής νομιμοποίησης». Ως προς την ουσία της καταγγελίας, ο καταγγέλλων επικαλείται τις εξής παραβάσεις του Διοικητικού Εφετείου: i. άρνηση πρόσβασης σε δεδομένα που τον αφορούν, και ii. μη ορισμός Υπευθύνου Προστασίας Δεδομένων (εφεξής ΥΠΔ). Ο καταγγέλλων αναφέρει επίσης ότι μολονότι «πλέον διαθέτει από τον μήνα Μάιο του έτους 2023 υπηρεσιακό ηλεκτρονικό υπολογιστή, δεν έχει αποκατασταθεί η πρόσβαση στα δεδομένα που είχε αποθηκεύσει στον η/υ που χειριζόταν έως το έτος …, καθόσον τα εν λόγω δεδομένα περιλαμβάνονταν στον σκληρό δίσκο του εν λόγω υπηρεσιακού υπολογιστή που πήγε στην συνέχεια σε “Τμήμα έδρας” και ουδέποτε του επεστράφη. Στον εν λόγω σκληρό δίσκο ο καταγγέλλων είχε αποθηκεύσει τις εκθέσεις αξιολόγησής του και επομένως η σχετική πρόσβαση δεν έχει αποκατασταθεί. Επιπλέον, στον ίδιο σκληρό δίσκο έχει αποθηκευθεί και το “ιστορικό περιήγησης” του καταγγέλλοντος στο Διαδίκτυο, δηλαδή πληροφορία που επίσης αποτελεί δεδομένα προσωπικού χαρακτήρα και η οποία είναι απολύτως χρήσιμη για τον καταγγέλλοντα προκειμένου να αντικρούσει ψευδείς κατηγορίες που έχει αντιμετωπίσει για δήθεν αδικαιολόγητη απουσία του από την υπηρεσία, η οποία αντικρούεται από το ιστορικό περιήγησης του στο Διαδίκτυο κατά την διάρκεια της ώρας υπηρεσίας του, ενώ δηλαδή αυτός βρισκόταν στην οθόνη του υπολογιστή του. Ο καταγγέλλων έχει προσκομίσει αιτήσεις πρόσβασης στον υπηρεσιακό φάκελό του που εξακολουθούν να παραμένουν σε εκκρεμότητα, καθόσον ακόμη και σήμερα δεν έχει αποκατασταθεί η πρόσβασή του στον υπηρεσιακό του φάκελο. Η εκκρεμής εξέταση για την τυχόν τέλεση πειθαρχικού παραπτώματος ουδόλως αποτελεί νόμιμο λόγο αποκλεισμού του υποκειμένου των δεδομένων από την πρόσβαση στον φάκελο του. Αντίθετα, μάλιστα, όταν ένας υπάλληλος κατηγορείται για τέλεση πειθαρχικού παραπτώματος συντρέχει ένας ακόμη λόγος για τον οποίον επιβάλλεται η διευκόλυνση της πρόσβασης αυτής: η υπεράσπιση των δικαιωμάτων του και η ευχερής αντιμετώπιση των κατηγοριών του. Δεν πρόκειται για διεξαγωγή κάποιας απόρρητης έρευνας που η πρόσβαση θα μπορούσε να δυσχεράνει την εξέλιξή της κατά τα οριζόμενα στο άρθρο 5 παρ. 4 του Ν.2690/1999, ούτε βέβαια και το καθ’ ου επικαλείται συνδρομή τέτοιας περίστασης». Κατόπιν των ανωτέρω, ο καταγγέλλων καταλήγει ότι έχει προκύψει παραβίαση του δικαιώματος πρόσβασής του τόσο ως προς την εκκρεμότητα αιτημάτων του για πρόσβαση στον υπηρεσιακό του φάκελο όσο και ως προς την πρόσβαση σε δεδομένα που τον αφορούν στον αρχικό ηλεκτρονικό υπολογιστή που του είχε διαθέσει η υπηρεσία, ήτοι σε εκθέσεις αξιολόγησης και στο ιστορικό περιήγησής του στο Διαδίκτυο και αιτείται να επιβάλει η Αρχή στο καθ’ ου να χορηγήσει πρόσβαση στον υπηρεσιακό φάκελο του καταγγέλλοντος, καθώς επίσης και να αποκατασταθεί η πρόσβασή του σε ηλεκτρονικά δεδομένα προσωπικού χαρακτήρα που περιέχονται στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή που του αφαιρέθηκε το έτος … .
Η εκπρόσωπος του καταγγελλόμενου Διοικητικού Εφετείου Αθηνών με το μετά την ακρόαση υπόμνημα που υπέβαλε στην Αρχή, αναφέρει ότι κατά το χρονικό διάστημα που υπεβλήθη η καταγγελία, τα φυσικά πρόσωπα που υπηρετούσαν στη θέση του Προέδρου του Τριμελούς Συμβουλίου Δ/νσης του Διοικητικού Εφετείου Αθηνών, καθώς και στη θέση του Προϊσταμένου Δ/νσης Γραμματείας του, έχουν ήδη αφυπηρετήσει, και κατά συνέπεια δεν μπορεί να γνωρίζει τα πραγματικά γεγονότα, για το λόγο δε αυτόν αναφέρεται στο υπ’ αρ. εμπ. πρωτ. … έγγραφο απόψεων της τότε Αναπληρώτριας Προέδρου του Τριμελούς Συμβουλίου Δ/νσης του Δικαστηρίου και διευκρινίζει τα ακόλουθα: «1. Οι υπηρεσιακοί φυσικοί φάκελοι όλων των δικαστικών υπαλλήλων που υπηρετούν στο Δικαστήριο αυτό τηρούνται και ενσωματώνονται σε ασφαλή χώρο στο Τμήμα Προσωπικού. Κάθε επιμέρους έγγραφο που ενσωματώνεται στο φυσικό φάκελο κοινοποιείται και στη Γενική Επιτροπεία των Τακτικών Διοικητικών Δικαστηρίων προκειμένου να ενσωματωθεί στον αντίστοιχο φυσικό φάκελο. Όταν απαιτείται οι υπηρεσιακοί φάκελοι προωθούνται στο Πενταμελές Υπηρεσιακό/Δικαστικό/Πειθαρχικό Συμβούλιο του Διοικητικού Εφετείου Αθηνών, το καθένα από τα οποία συγκροτούνται από έναν (1) Πρόεδρο Εφετών Δ.Δ., δύο (2) Εφέτες Δ.Δ. και δύο (2) δικαστικούς υπαλλήλους ως αιρετά μέλη. Στη συγκεκριμένη περίπτωση από τις αρχές του έτους 2019 μέχρι και το τέλος 2023 ο Α είχε πλήθος υποθέσεων μερικές εκ των οποίων εκκρεμούν μέχρι και σήμερα. Κατά συνέπεια, ο υπηρεσιακός φάκελός του, όταν απαιτείτο διαβιβαζόταν στο αρμόδιο συμβούλιο – Εισηγητή. Ο δε πειθαρχικός του φάκελος ενόψει συνεχόμενων αναβολών βρίσκεται στο 5/λες Πειθαρχικό Συμβούλιο διότι είναι σε εκκρεμότητα λόγω αναμονής έκδοσης απόφασης από το Συμβούλιο της Επικρατείας. Το Τμήμα Προσωπικού, βάσει των έγγραφων στοιχείων που καταθέτει ο υπάλληλος ενημερώνει την ψηφιακή εφαρμογή «Μητρώο Ανθρώπινου Δυναμικού Ελληνικού Δημοσίου» (apografi.gov.gr). Ο υπάλληλος έχει πρόσβαση μέσω internet σε αυτήν την εφαρμογή, από οπουδήποτε, χρησιμοποιώντας προσωπικούς κωδικούς δημόσιας διοίκησης που ο ίδιος ορίζει. Μέσω αυτής της υπηρεσίας ελέγχει τα στοιχεία του και ενημερώνει το Τμήμα Προσωπικού για οποιαδήποτε αλλαγή. Συνεπώς, δεν σχετίζεται με τη χρήση προσωπικού υπολογιστή στον χώρο εργασίας του. Η χρήση υπολογιστή στο Διοικητικό Εφετείο Αθηνών γίνεται αποκλειστικά για υπηρεσιακούς λόγους. Η επεξεργασία και αποθήκευση προσωπικών εγγράφων και δεδομένων μέσω αυτών των υπολογιστών δεν προβλέπεται, συνεπώς το Δικαστήριο δεν φέρει ευθύνη για τυχόν απώλεια προσωπικών εγγράφων που αποθηκεύονται σε υπηρεσιακούς υπολογιστές. 2. Σχετικά με τον ισχυρισμό του καταγγέλλοντα ότι με την αφαίρεση του υπηρεσιακού υπολογιστή δεν είχε δυνατότητα πρόσβασης στον ΟΣΔΔΥ-ΔΔ και κατά συνέπεια δεν μπορούσε να δουλέψει, αναφέρεται ότι όταν διορίζεται νέος δικαστικός υπάλληλος εντάσσεται στους χρήστες της εφαρμογής ΟΣΔΔΥ-ΔΔ και του email και του χορηγείται κωδικός χρήστη, με τον οποίο, αφού καταχωρηθεί στα μητρώα υπαλλήλων του Δικαστηρίου, μπορεί να εισέρχεται στο ΟΣΔΔΥ-ΔΔ και στο υπηρεσιακό του email από οποιονδήποτε υπολογιστή του Δικαστηρίου που είναι συνδεδεμένος καλωδιακά στο Ίντερνετ. Επίσης αναφέρει ότι «οι Η/Υ δεν χρεώνονται προσωπικά σε κάθε υπάλληλο, ούτε η διάθεση αυτών στους υπαλλήλους είναι υποχρεωτική αλλά ανήκει στην ευχέρεια της υπηρεσίας με βάση τις υπηρεσιακές ανάγκες και τις εργασίες που τους έχουν ανατεθεί.[…]». 3. Η λειτουργία των Διοικητικών Δικαστηρίων όλων των βαθμίδων υποστηρίζεται από το Ολοκληρωμένο Σύστημα Διαχείρισης Δικαστικών Υποθέσεων Διοικητικής Δικαιοσύνης (ΟΣΔΔΥ-ΔΔ). Πρόκειται για Κεντρική Βάση Δεδομένων, στην οποία συνδέονται όλα τα Διοικητικά Δικαστήρια μέσω των εφαρμογών, η οποία δίνει τη δυνατότητα της κεντρικής αποθήκευσης και διασφάλισης του συνόλου των στοιχείων που αφορούν στη Διοικητική Δικαιοσύνη. Συνεπώς, κάθε έγγραφο που αφορά τη Δικαστική Διαδικασία αποθηκεύεται με ασφάλεια στο σύστημα και η οποιαδήποτε βλάβη παρουσιαστεί σε επιμέρους τερματικά δεν επηρεάζει την ασφάλεια του συστήματος και την πληρότητα των στοιχείων».
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και όσων προέκυψαν από την ενώπιόν της ακροαματική διαδικασία, τα υπομνήματα και τις δηλώσεις των μερών, αφού άκουσε την εισηγήτρια και τις διευκρινίσεις από τη βοηθό εισηγήτριας, η οποία παρέστη χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2. Επειδή το άρθρο 55 παρ. 3 ΓΚΠΔ ορίζει ότι «[ο]ι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της δικαστικής τους ιδιότητας». Περαιτέρω, στην αιτ. σκέψη 20 του ΓΚΠΔ αναφέρεται ότι «Ενώ ο παρών κανονισμός εφαρμόζεται, μεταξύ άλλων, στις δραστηριότητες των δικαστηρίων και άλλων δικαστικών αρχών, το δίκαιο της Ένωσης ή των κρατών μελών θα μπορούσε να εξειδικεύει τις πράξεις και διαδικασίες επεξεργασίας σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικαστήρια και άλλες δικαστικές αρχές. Η αρμοδιότητα των εποπτικών αρχών δεν θα πρέπει να καλύπτει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όταν τα δικαστήρια ενεργούν υπό τη δικαστική τους ιδιότητα, προκειμένου να διασφαλίζεται η ανεξαρτησία των δικαστικών λειτουργών κατά την άσκηση των δικαιοδοτικών τους καθηκόντων, περιλαμβανομένης της λήψης αποφάσεων. Η εποπτεία των εν λόγω πράξεων επεξεργασίας δεδομένων θα πρέπει να μπορεί να ανατεθεί σε ειδικούς φορείς στο πλαίσιο του δικαστικού συστήματος του κράτους μέλους, το οποίο θα πρέπει ιδίως να διασφαλίζει τη συμμόρφωση με τους κανόνες του παρόντος κανονισμού, να ευαισθητοποιεί μέλη των δικαστικών λειτουργών όσον αφορά τις υποχρεώσεις τους βάσει του παρόντος κανονισμού και να επιλαμβάνεται καταγγελιών σε σχέση με τις εν λόγω διαδικασίες επεξεργασίας δεδομένων.». Επίσης, στο άρθρο 10 παρ. 5 του νόμου 4624/2019 προβλέπεται ότι «Η Αρχή δεν είναι αρμόδια να ελέγχει πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων […]».
3. Επειδή η Αρχή, λαμβάνοντας υπόψη ότι:
i. το Δικαστήριο της Ευρωπαϊκής Ένωσηςερμήνευσε τη διάταξη του άρθρου 55 παρ. 3 και την αιτιολογική σκέψη 20 ΓΚΠΔ, και δέχθηκε, μεταξύ άλλων, ότι: «(…) 34. Ως εκ τούτου, η αναφορά του άρθρου 55, παράγραφος 3, του κανονισμού 2016/679 στις πράξεις επεξεργασίας τις οποίες διενεργούν τα δικαστήρια “στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας” έχει, στο πλαίσιο του κανονισμού αυτού, την έννοια ότι δεν περιορίζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα την οποία εκτελούν τα δικαστήρια στο πλαίσιο συγκεκριμένων υποθέσεων, αλλά ότι αφορά, γενικότερα, το σύνολο των πράξεων επεξεργασίας τις οποίες διενεργούν τα δικαστήρια στο πλαίσιο της δικαιοδοτικής τους δραστηριότητας, με αποτέλεσμα να αποκλείονται από την αρμοδιότητα της εποπτικής αρχής οι πράξεις επεξεργασίας των οποίων ο έλεγχος από την αρχή αυτή θα μπορούσε, άμεσα ή έμμεσα, να επηρεάσει την ανεξαρτησία των δικαστικών λειτουργών και να βαρύνει στις αποφάσεις τους. 35. Συναφώς, η φύση και ο σκοπός της επεξεργασίας την οποία εκτελεί ένα δικαστήριο, μολονότι συνδέονται κυρίως με την εξέταση της νομιμότητας της επεξεργασίας, μπορούν εντούτοις να αποτελέσουν ενδείξεις από τις οποίες μπορεί να συναχθεί ότι η επεξεργασία εμπίπτει στην άσκηση, από το εν λόγω δικαστήριο, της “δικαιοδοτικής αρμοδιότητάς” του.».
ii. στις προτάσεις του ο Εισαγγελέας στην ίδια υπόθεσηαναφέρει ότι “Συνοψίζοντας, προτείνω ο όρος «ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας», που περιλαμβάνεται στο άρθρο 55, παράγραφος 3, του ΓΚΠΔ, να προσεγγιστεί από μια θεσμική σκοπιά («είναι δικαστήριο;»), η οποία στη συνέχεια θα διορθωθεί, ενδεχομένως, από μια λειτουργικού χαρακτήρα εκτίμηση του είδους της επίμαχης δραστηριότητας («ποιο συγκεκριμένο είδος δραστηριότητας ασκεί το δικαστήριο;»). Υπό το πρίσμα του σκοπού που προβλέπεται στην αιτιολογική σκέψη 20 του ΓΚΠΔ, κατά την τελευταία ως άνω εκτίμηση δραστηριοτήτων θα πρέπει να εφαρμοστεί ευρεία ερμηνεία της έννοιας της «δικαιοδοτικής αρμοδιότητας», η οποία θα εκτείνεται πέραν της απλής λήψης απόφασης από δικαστήριο σε μια συγκεκριμένη υπόθεση. Θα πρέπει επίσης να καλύπτει όλες τις δραστηριότητες που ενδέχεται να επηρεάσουν έμμεσα την ανεξαρτησία των δικαστικών λειτουργών. Ως εκ τούτου, θα πρέπει, κατά κανόνα, να θεωρείται ότι τα δικαστήρια ενεργούν στο πλαίσιο της «δικαιοδοτικής αρμοδιότητάς» τους, εκτός εάν διαπιστώνεται, όσον αφορά ένα συγκεκριμένο είδος δραστηριότητας, ότι αυτή έχει διοικητικό μόνο χαρακτήρα”.
κρίνει ότι θεμελιώνεται αρμοδιότητά της να εξετάσει την εν θέματι καταγγελία, καθώς τα δεδομένα προσωπικού χαρακτήρα, των οποίων η επεξεργασία διερευνάται, αφορούν σε δικαστικό υπάλληλο και εμπίπτουν στο πλαίσιο των διοικητικών αρμοδιοτήτων του Διοικητικού Εφετείου Αθηνών, δεν γεννάται δε εν προκειμένω κίνδυνος επιπτώσεων σε βάρος του δικαιοδοτικού έργου του Δικαστηρίου, επειδή η δραστηριότητα στην οποία αφορά η καταγγελία δεν προκύπτει ότι σχετίζεται κατά κανένα τρόπο με την άσκηση του δικαιοδοτικού έργου τυχόν δε λήψη απόφασης της Αρχής επί της καταγγελίας δεν αφορά σε πράξεις ή παραλείψεις δικαστικών λειτουργών κατά την έννοια των άρθρων 87 επ. του Συντάγματος, αλλά σε ζητήματα διοικητικής οργάνωσης και λειτουργίας της Υπηρεσίας που επικουρεί το Δικαστήριο.
4. Επειδή, σύμφωνα με το άρθρο 12 ΓΚΠΔ, «3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματός του δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος […] Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους καθυστέρησης[…] 4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης προσφυγής».
5. Επειδή, σύμφωνα με το άρθρο 15 ΓΚΠΔ, «1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες[…] 3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. [...] 4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην παράγραφο 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων».
6. Επειδή, σύμφωνα με τα οριζόμενα στην διάταξη του άρθρου 4 στοιχ. 12 ΓΚΠΔ νοείται ως παραβίαση δεδομένων προσωπικού χαρακτήρα «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία». Επεξηγείται δε ο ορισμός αυτός ως προς τις έννοιες «καταστροφή- φθορά - απώλεια» στις Κατευθυντήριες γραμμές του άρθρου 29 σχετικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει του κανονισμού 2016/679 ως εξής:« (…) Θα πρέπει να είναι απόλυτα σαφές τι σημαίνει «καταστροφή» δεδομένων προσωπικού χαρακτήρα: πρόκειται για την περίπτωση όπου τα δεδομένα παύουν πλέον να υπάρχουν ή παύουν πλέον να υπάρχουν σε μορφή την οποία μπορεί να χρησιμοποιήσει ο υπεύθυνος επεξεργασίας. Ο όρος «φθορά» θα πρέπει επίσης να είναι σχετικά σαφής: πρόκειται για την περίπτωση όπου τα δεδομένα προσωπικού χαρακτήρα έχουν μεταβληθεί, αλλοιωθεί ή δεν είναι πλέον πλήρη. Όσον αφορά την «απώλεια» δεδομένων προσωπικού χαρακτήρα, ο όρος θα πρέπει να ερμηνεύεται ως μια περίπτωση όπου τα δεδομένα μπορεί να εξακολουθούν να υπάρχουν, αλλά ο υπεύθυνος επεξεργασίας έχει χάσει τον έλεγχό τους ή την πρόσβαση σʼ αυτά ή δεν τα έχει πλέον στην κατοχή του (…) » . Επίσης, σύμφωνα με το άρθρο 33 παρ. 1 ΓΚΠΔ «Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων […]».
7. Επειδή, σύμφωνα με το άρθρο 37 ΓΚΠΔ «1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία: α. η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας […] 7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή». Επίσης, ο νόμος 4624/2019 στο άρθρο 6 προβλέπει ότι «1. Οι δημόσιοι φορείς ορίζουν υπεύθυνο προστασίας δεδομένων. […] 5. Ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή […]» και στο άρθρο 8 παρ. 2 ότι «Τα καθήκοντα του ΥΠΔ ο οποίος τυχόν ορίζεται από δικαστικές και εισαγγελικές αρχές δεν αφορούν τις πράξεις επεξεργασίας που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων».
8. Επειδή, στην υπό εξέταση υπόθεση, από τα στοιχεία του φακέλου, την ακρόαση των εμπλεκομένων μερών, καθώς και τα υποβληθέντα υπομνήματα, προκύπτει ότι:
i. ο καταγγέλλων είναι υπάλληλος του Διοικητικού Εφετείου Αθηνών, τα δεδομένα προσωπικού χαρακτήρα του οποίου τυγχάνουν επεξεργασίας από το Δικαστήριο βάσει της υπηρεσιακής αυτής σχέσης του και επομένως, το Διοικητικό Εφετείο καθίσταται υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος.
ii. αναφορικά με τον ισχυρισμό του καταγγέλλοντος ότι το Διοικητικό Εφετείο δεν εκπροσωπήθηκε νομίμως ενώπιον της Αρχής και «γι’ αυτό κάθε ισχυρισμός πρέπει να απορριφθεί ως απαράδεκτος για λόγους έλλειψης παθητικής νομιμοποίησης», σημειώνεται ότι η Αρχή απέστειλε την υπ’ αριθ. πρωτ. .../10-04-2024 κλήση ενώπιον της Ολομέλειας της Αρχής προς τον Πρόεδρο του Τριμελούς Συμβουλίου Διεύθυνσης Διοικητικού Εφετείου Αθηνών με συνημμένο το από 31-08-2021 υπόμνημα του καταγγέλλοντος και το σύνολο των σχετικών εγγράφων της καταγγελίας, ώστε να λάβει πλήρη γνώση του φακέλου της καταγγελίας και να ορίσει νόμιμο εκπρόσωπο για να παρασταθεί ενώπιον της Αρχής, αποκλείοντας την περίπτωση το έγγραφο να διαφύγει της προσοχής της αρμόδιας Υπηρεσίας, και να διασφαλιστεί πλήρως το δικαίωμα της προηγούμενης ακρόασης του καταγγελλόμενου μέρους. Το έγγραφο της κλήσης της Αρχής πληροί τις τυπικές προϋποθέσεις, καθώς περιέχει όλα τα εκ του νόμου προβλεπόμενα τυπικά στοιχεία και απεστάλη προς τον Πρόεδρο του Τριμελούς Συμβούλιο που εκπροσωπεί το Δικαστήριο, ο οποίος φέρει και την ευθύνη για την εκπροσώπηση του Δικαστηρίου και την υποβολή των απόψεών του επί της υπό εξέταση καταγγελίας. Ειδικότερα, η «παθητική νομιμοποίηση», έλλειψη της οποίας επικαλείται ο καταγγέλλων ως λόγο μη νόμιμης εκπροσώπησης του Διοικητικού Εφετείου Αθηνών ενώπιον της Αρχής, αφορά στην ικανότητα παράστασης του διαδίκου στο πλαίσιο δικαστικών διαφορών, η οποία δεν ταυτίζεται με την ικανότητα παράστασης ενώπιον της Αρχής, ήτοι την εκπροσώπηση του υπευθύνου επεξεργασίας και τη διενέργεια διαδικαστικών πράξεων ενώπιον αυτής. Επομένως, ο ανωτέρω ισχυρισμός του καταγγέλλοντος είναι απορριπτέος.
iii. με το από υπ’ αρ. πρωτ. … έγγραφο που ο καταγγέλλων κατέθεσε στο Διοικητικό Εφετείο Αθηνών αιτήθηκε την πρόσβαση στον υπηρεσιακό του φάκελο, ο οποίος δεν υπήρχε στο Αρχείο της Υπηρεσίας, θέτοντας τα ερωτήματα α. που βρίσκεται ο φάκελος, β. από πότε, γ. για ποιόν λόγο, στα οποία δεν έλαβε απάντηση από τον υπεύθυνο επεξεργασίας. Από τις απαντήσεις που έχει λάβει η Αρχή από το Διοικητικό Εφετείο προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν έχει ικανοποιήσει το δικαίωμα πρόσβασης του καταγγέλλοντος στον υπηρεσιακό του φάκελο, στον οποίο περιέχεται το σύνολο των εγγράφων και στοιχείων που προσδιορίζουν την ατομική, οικογενειακή, περιουσιακή και υπηρεσιακή κατάσταση του υπαλλήλου, χωρίς ωστόσο να προβάλλει βάσιμους λόγους για τη μη ικανοποίηση αυτού, όπως τυχόν παρεμπόδιση κάποιας εσωτερικής διαδικασίας του Δικαστηρίου. Επίσης, το γεγονός ότι υπάρχει η δυνατότητα μέσω της ψηφιακής εφαρμογής «Μητρώο Ανθρωπίνου Δυναμικού Ελληνικού Δημοσίου» να αναζητήσει το ίδιο το υποκείμενο τα στοιχεία του φακέλου του, δεν αναιρεί την υποχρέωση του υπευθύνου επεξεργασίας να απαντήσει, έστω και αρνητικά στο αίτημα του υποκειμένου, ενώ η μη απάντηση του υπευθύνου επεξεργασίας αποτελεί αυτοτελή παραβίαση των άρθρων 12 παρ. 3 και του αντίστοιχου δικαιώματος του ΓΚΠΔ. Αναφορικά δε, με την αφαίρεση κατά το έτος … του ηλεκτρονικού υπολογιστή που χρησιμοποιούσε ο καταγγέλλων στο γραφείο του, γεγονός που του αποστερούσε την πρόσβαση αφενός σε αρχεία περιέχοντα δεδομένα προσωπικού χαρακτήρα που τον αφορούν και είχε αποθηκεύσει σε αυτόν, και αφετέρου στην πλατφόρμα ΟΣΔΔΥ-ΔΔ, στην οποία υπάρχουν έγγραφα περιέχοντα δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντος, το Διοικητικό Εφετείο με το υπ’ αρ. … έγγραφο του προς την Αρχή, απάντησε ότι τα αρχεία που ο καταγγέλλων είχε στον προσωπικό του φάκελο στον υπολογιστή του υπάρχουν σε “backup” και ότι στην ερώτηση προς τον καταγγέλλοντα αν τα χρειάζεται ο τελευταίος απάντησε αρνητικά. Ωστόσο, όπως προκύπτει από τα στοιχεία του φακέλου, ο καταγγέλλων από την αφαίρεση του ηλεκτρονικού υπολογιστή το … δεν είχε εφεξής τη δυνατότητα να έχει πρόσβαση σε έγγραφα περιέχοντα δεδομένα προσωπικού χαρακτήρα που τον αφορούν, στις εκθέσεις αξιολόγησής του, καθώς και στο «ιστορικό περιήγησής» του στο Διαδίκτυο που είχε αποθηκευτεί στον σκληρό δίσκο του εν λόγω ηλεκτρονικού υπολογιστή. Σημειώνεται ότι στις Κατευθυντήριες Γραμμές 1/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων αναφορικά με τα δικαιώματα των υποκειμένων των δεδομένων – δικαίωμα πρόσβασης επεξηγείται ότι το δικαίωμα πρόσβασης αποτελείται από τρία συστατικά στοιχεία: α) την επιβεβαίωση για το κατά πόσον δεδομένα προσωπικού χαρακτήρα υφίστανται επεξεργασία, β) την πρόσβαση σε αυτά και γ) την παροχή πληροφοριών σχετικά με την επεξεργασία. Διευκρινίζεται, περαιτέρω, ότι κρίσιμος χρόνος για την αξιολόγηση της συνδρομής του πρώτου προαναφερόμενου στοιχείου (δηλ. της επεξεργασίας προσωπικών δεδομένων) από τον υπεύθυνο επεξεργασίας είναι ο χρόνος άσκησης του δικαιώματος και η ικανοποίησή του προϋποθέτει την ύπαρξη των προσωπικών δεδομένων (διαθεσιμότητα) κατά τον χρόνο αυτό . Κατόπιν των ανωτέρω, η Αρχή κρίνει ότι το Διοικητικό Εφετείο Αθηνών, ως δημόσιος φορέας υπεύθυνος επεξεργασίας, δεν έχει ικανοποιήσει το δικαίωμα πρόσβασης του καταγγέλλοντος και έχει παραβιάσει τα άρθρα 15 παρ. 1 και 3 σε συνδυασμό με το άρθρο 12 παρ. 3 του ΓΚΠΔ και προσήκει η άσκηση της διορθωτικής εξουσίας της Αρχής κατά το άρθρο 58 παρ. 2 στοιχ. β’ ΓΚΠΔ απευθύνοντας σε αυτό επίπληξη, καθώς και κατά το άρθρο 58 παρ. 2 στοιχ. γ’ ΓΚΠΔ με την επιβολή σε αυτό, ως πρόσφορου διορθωτικού μέτρου, της υποχρέωσης να ικανοποιήσει το δικαίωμα πρόσβασης του καταγγέλλοντος αφενός στον υπηρεσιακό του φάκελο, παρέχοντας αντίγραφα του συνόλου των εγγράφων περιεχόντων δεδομένων προσωπικού χαρακτήρα που τον αφορούν, και αφετέρου στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή που χρησιμοποιούσε μέχρι και το έτος …, παρέχοντας αντίγραφα των εγγράφων με αναφορά στο όνομά του, των εκθέσεων αξιολόγησής του και του ιστορικού περιήγησης του καταγγέλλοντος στο Διαδίκτυο, λαμβάνοντας υπόψη ότι ο καταγγέλλων από τον Μάιο του 2023 διαθέτει ηλεκτρονικό υπολογιστή και έχει αποκατασταθεί η πρόσβαση στο ΟΣΔΔΥ-ΔΔ.
14. Επειδή, το Διοικητικό Εφετείο Αθηνών κατά το μέρος που ενεργεί στο πλαίσιο της διοικητικής του αρμοδιότητας, υποχρεούται να ορίσει ΥΠΔ για τα ζητήματα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα των υπαλλήλων του, τα στοιχεία του οποίου οφείλει να δημοσιοποιήσει και να τα ανακοινώσει στην Αρχή. Ωστόσο, από τον φάκελο της υπόθεσης δεν προκύπτει ότι το Διοικητικό Εφετείο έχει ορίσει ΥΠΔ, δεδομένου ότι στο υπόμνημα που κατέθεσε μετά την ακρόαση δεν γίνεται αναφορά στο ζήτημα αυτό αν και κατά την ακροαματική διαδικασία ερωτήθηκε σχετικά η εκπρόσωπός του, η οποία επιφυλάχθηκε να απαντήσει με το υπόμνημα. Επιπροσθέτως, κατόπιν αναζήτησης στις 09-12-2024 στο ηλεκτρονικό σύστημα της Αρχής, όπου καταχωρούνται οι δηλώσεις γνωστοποίησης των ΥΠΔ των νομικών προσώπων/φορέων, δεν προέκυψε ως αποτέλεσμα σχετική δήλωση του Διοικητικού Εφετείου προς την Αρχή. Επομένως, η Αρχή κρίνει ότι το Διοικητικό Εφετείο Αθηνών, ως δημόσιος φορέας υπεύθυνος επεξεργασίας, έχει παραβιάσει το άρθρο 37 παρ. 1 στοιχ. α’ και 7 ΓΚΠΔ και το αρ. 6 παρ. 1 και 5 του ν. 4624/2019 και προσήκει η άσκηση της διορθωτικής εξουσίας κατά το άρθρο 58 παρ. 2 στοιχ. δ’ ΓΚΠΔ με την επιβολή σε αυτό, ως πρόσφορου διορθωτικού μέτρου, της υποχρέωσης ορισμού Υπευθύνου Προστασίας Δεδομένων.
15. Επειδή, αναφορικά με τον ισχυρισμό του καταγγέλλοντος ότι λόγω της πλημμύρας σε χώρο του Διοικητικού Εφετείου επλήγησαν ηλεκτρονικοί υπολογιστές του Δικαστηρίου και για τον λόγο αυτό θα όφειλε ο υπεύθυνος επεξεργασίας να προβεί σε γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή, από τον φάκελο της υπόθεσης δεν προκύπτει ότι, επειδή αφαιρέθηκε με συγκεκριμένες ενέργειες του Δικαστηρίου ο ηλεκτρονικός υπολογιστής από το γραφείο του καταγγέλλοντος, και ο ίδιος δεν είχε πρόσβαση σε έγγραφα περιέχοντα δεδομένα προσωπικού χαρακτήρα, επήλθε παραβίαση των δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται το Διοικητικό Εφετείο Αθηνών. Εξάλλου, δεν τεκμηριώνεται και δεν προκύπτει ότι επήλθε παραβίαση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας δεδομένων προσωπικού χαρακτήρα που οφειλόταν στο γεγονός της πλημμύρας και, συνεπώς, δεν ανέκυπτε υποχρέωση του Διοικητικού Εφετείου Αθηνών για τη γνωστοποίηση περιστατικού παραβίασης δεδομένων προσωπικού χαρακτήρα και δεν στοιχειοθετείται αντίστοιχη παραβίαση του άρθρου 33 του ΓΚΠΔ.
Βάσει των ανωτέρω, η Αρχή αποφασίζει ομόφωνα ότι πρέπει να επιβληθούν στο Διοικητικό Εφετείο Αθηνών, ως υπεύθυνο επεξεργασίας, τα αναφερόμενα στο διατακτικό διορθωτικά μέτρα, τα οποία κρίνονται ανάλογα με τη βαρύτητα των παραβάσεων.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
Α. Απευθύνει στο Διοικητικό Εφετείο Αθηνών, ως υπεύθυνο επεξεργασίας, με βάση το άρθρο 58 παρ. 2 εδαφ. β’ του ΓΚΠΔ, επίπληξη για την παραβίαση του δικαιώματος πρόσβασης (άρθρα 15 παρ. 1 και 3 ΓΚΠΔ και 12 παρ. 3) και με βάση το άρθρο 58 παρ. 2 εδ. γ’ του ΓΚΠΔ δίνει εντολή στο Διοικητικό Εφετείο Αθηνών να ικανοποιήσει άμεσα το δικαίωμα πρόσβασης του καταγγέλλοντος, αφενός στον υπηρεσιακό του φάκελο, παρέχοντας αντίγραφα του συνόλου των εγγράφων περιεχόντων δεδομένων προσωπικού χαρακτήρα που τον αφορούν, και αφετέρου στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή που χρησιμοποιούσε μέχρι και το έτος …, παρέχοντας αντίγραφα των εγγράφων με αναφορά στο όνομά του, των εκθέσεων αξιολόγησής του και του ιστορικού περιήγησης του καταγγέλλοντος στο Διαδίκτυο.
Β. Καλεί, δυνάμει του άρθρου 58 παρ. 2 στοιχ. δ’ ΓΚΠΔ, το Διοικητικό Εφετείο Αθηνών, ως υπεύθυνο επεξεργασίας, να μεριμνήσει για τον ορισμό Υπευθύνου Προστασίας Δεδομένων σύμφωνα με τις απαιτήσεις του ΓΚΠΔ, εντός δύο μηνών από την κοινοποίηση της παρούσας.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου