Το δικαίωμα στη λήθη στον Γενικό Κανονισμό για την Προστασία Δεδομένων

Το δικαίωμα στη λήθη (δικαίωμα διαγραφής) στον GDPR

Επιμέλεια: Ζωή Βελαέτη, Ασκ. Δικηγόρος - Πολυτίμη Ξηνταράκου, Ασκ. Δικηγόρος

Στις 25 Μαΐου 2018 αναμένεται η θέση σε πλήρη εφαρμογή του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (ΓΚΠΔ), δυνάμει του οποίου τίθεται ένα εκσυγχρονισμένο νομοθετικό πλαίσιο προστασίας των προσωπικών δεδομένων με στόχο τη διασφάλιση ενός συνεκτικού μεταξύ των κρατών-μελών επιπέδου προστασίας των φυσικών προσώπων και παράλληλα την ελεύθερη κυκλοφορία των προσωπικών δεδομένων σε ολόκληρη την Ευρώπη προς υλοποίηση της ευρωπαϊκής στρατηγικής για μια ενιαία ψηφιακή εσωτερική αγορά.

Προκειμένου να επιτύχει τους σκοπούς του, ο ΓΚΠΔ ενισχύει, επικαιροποιεί αλλά και εισάγει μια σειρά ψηφιακών δικαιωμάτων, μεταξύ των οποίων είναι και το δικαίωμα στη λήθη (“right to be forgotten”) ή, διαφορετικά, δικαίωμα διαγραφής (“right to erasure”) των προσωπικών δεδομένων, το οποίο συνίσταται στη δυνατότητα του ατόμου να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή προσωπικών δεδομένων που το αφορούν. Το εν λόγω δικαίωμα, απόρροια της ελευθερίας ανάπτυξης της προσωπικότητας του ατόμου καθώς και της προστασίας της ιδιωτικής ζωής, δεν συνιστά επακριβώς καινοτομία του ΓΚΠΔ δεδομένου ότι προβλεπόταν ήδη στο άρθρο 12 στοιχείο β της Οδηγίας 95/46/ΕΚ. Ωστόσο, οι ραγδαίες τεχνολογικές εξελίξεις και η καθιέρωση του διαδικτύου ως αναπόσπαστου μέρους της προσωπικής και επαγγελματικής ζωής των φυσικών προσώπων προκάλεσαν την ανεξέλεγκτη διάδοση και επεξεργασία των δεδομένων προσωπικού χαρακτήρα (πχ με τη δημιουργία προφίλ χρήστη σε πλατφόρμες κοινωνικής δικτύωσης, σε επιγραμμικές-online συναλλαγές κλπ). Η κατάσταση αυτή ανέδειξε την ανεπάρκεια του ισχύσαντος νομοθετικού πλαισίου αναφορικά με την διασφάλιση της κυκλοφορίας των προσωπικών δεδομένων του ατόμου και την ανάγκη θέσπισης ενός πιο ενισχυμένου πλέγματος κανόνων.

Νομολογιακό ερέθισμα

Ήδη από το 2014 και προς υποστήριξη της μεταρρύθμισης του νομοθετικού πλαισίου της Ευρώπης στο πεδίο της προστασίας των προσωπικών δεδομένων, το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) με την απόφαση-σταθμό Google Spain προέβη σε ερμηνεία του άρθρου 12 της Οδηγίας και του προβλεπόμενου σε αυτό δικαιώματος διαγραφής. Μεταξύ των σκέψεων του ΔΕΕ, ήταν και η κρίση του ότι οι δραστηριότητες μιας μηχανής αναζήτησης (εν προκειμένω της Google Search – www.google.es), στις οποίες περιλαμβάνονται ο εντοπισμός πληροφοριών που δημοσιεύουν ή αναρτούν στο διαδίκτυο τρίτοι χρήστες, η αυτόματη ευρετηρίασή τους, η προσωρινή αποθήκευση και τελικώς η διάθεσή τους στους χρήστες του διαδικτύου, συνιστούν επεξεργασία προσωπικών δεδομένων και ο φορέας εκμετάλλευσης της μηχανής αναζήτησης (Google Inc) χαρακτηρίζεται ως υπεύθυνος επεξεργασίας. Επιπροσθέτως, το ΔΕΕ αναγνώρισε στα υποκείμενα των δεδομένων το δικαίωμα να ζητούν από τις μηχανές αναζήτησης την αφαίρεση από τον κατάλογο αποτελεσμάτων συνδέσμων που παραπέμπουν σε ιστοσελίδες στις οποίες περιέχονται δεδομένα και πληροφορίες σχετικές με αυτά.

Μετρώντας λοιπόν λιγότερο από δύο μήνες για την εφαρμογή του ΓΚΠΔ και υπό το πρίσμα της σύγχυσης επί του περιεχομένου και της πρακτικής εφαρμογής του δικαιώματος στη λήθη (διαγραφή), στο παρόν κείμενο αποσαφηνίζονται τα βασικά στοιχεία του άρθρου 17.

Ποια πρόσωπα έχουν το δικαίωμα διαγραφής;

Ο ΓΚΠΔ προβλέπει ότι το υποκείμενο των δεδομένων δικαιούται να ζητήσει τη διαγραφή των δεδομένων που το αφορούν. Ως υποκείμενο των δεδομένων προσδιορίζεται κάθε φυσικό πρόσωπο, αποκλείοντας ρητά την επέκταση του δικαιώματος στα νομικά πρόσωπα.

Ειδικότερα, όλα τα πρόσωπα που βρίσκονται στην ΕΕ, ανεξάρτητα αν είναι πολίτες κράτους μέλους της ΕΕ ή τρίτου κράτους απολαμβάνουν τα δικαιώματα που προβλέπονται από τον ΓΚΠΔ όσο βρίσκονται στην ΕΕ.

Για παράδειγμα, Αμερικανοί, Σύριοι και Έλληνες πολίτες που βρίσκονται σε κράτος μέλος της ΕΕ έχουν δικαίωμα να ζητήσουν από τον υπεύθυνο επεξεργασίας την διαγραφή των δεδομένων τους.

Είναι δυνατή η παροχή του δικαιώματος διαγραφής σε πρόσωπα που έχουν αποβιώσει, τεθεί σε δικαστική συμπαράσταση ή είναι ανήλικοι;

Ο ΓΚΠΔ παρέχει το δικαίωμα διαγραφής στα υποκείμενα των δεδομένων, προσδιορίζοντάς τα σε φυσικά πρόσωπα των οποίων οι πληροφορίες έχουν ταυτοποιηθεί ή μπορούν να ταυτοποιηθούν αποκλείοντας ρητά από το προστατευτικό του πεδίο τους θανόντες.

Ωστόσο, παρέχει στα κράτη μέλη τη διακριτική ευχέρεια να θεσπίσουν εθνικούς κανόνες για την επεξεργασία προσωπικών δεδομένων θανόντων.

Ως προς τα πρόσωπα που έχουν τεθεί σε δικαστική συμπαράσταση επισημαίνεται ότι σκοπός του δικαίου για τη θέση ατόμου σε καθεστώς δικαστικής συμπαράστασης, τόσο σε ουσιαστικό όσο και σε δικονομικό επίπεδο, είναι η προστασία της προσωπικότητας του πάσχοντος (ΕφΑθ 2652/2013, ΤΝΠ ΝΟΜΟΣ).

Το πρόσωπο αυτό, σε αντίθεση με την περίπτωση του αποβιώσαντος, βρίσκεται εν ζωή και ως εκ τούτου, απολαμβάνει όλα τα νόμιμα δικαιώματά του. Επομένως κρίνεται πως ανάλογα με το καθεστώς της δικαστικής συμπαράστασης (επικουρική/στερητική, μερική/ πλήρης) στην οποία έχει τεθεί, ο δικαστικός συμπαραστάτης ή τα πρόσωπα που μπορούν να ζητήσουν τη θέση του ατόμου σε δικαστική συμπαράσταση μπορούν να ασκήσουν τα δικαιώματα του συμπαραστατούμενου, στα οποία ενδεικτικά συμπεριλαμβάνονται όσα αποσκοπούν στην προστασία της προσωπικότητας ή της ιδιωτικής και οικογενειακής ζωής του τελευταίου, αλλά και του δικαιώματος στη διαγραφή.

Ως προς την έκταση εφαρμογής του ΓΚΠΔ στους ανηλίκους, το άρθρο 8 προβλέπει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών, ενώ αν είναι μικρότερης ηλικίας η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού.

Αυτή η ειδική προστασία για τα παιδιά θα πρέπει να ισχύει ιδίως στη χρήση των δεδομένων προσωπικού χαρακτήρα με σκοπό την εμπορία ή τη δημιουργία προφίλ προσωπικότητας ή προφίλ χρήστη (όπως συμβαίνει με τη δημιουργία προφίλ στα μέσα κοινωνικής δικτύωσης) και τη συλλογή δεδομένων προσωπικού χαρακτήρα όσον αφορά παιδιά κατά τη χρήση υπηρεσιών που προσφέρονται άμεσα σε ένα παιδί. Η συγκατάθεση του γονέα ή κηδεμόνα δεν θα πρέπει να είναι απαραίτητη σε συνάρτηση με υπηρεσίες πρόληψης ή παροχής συμβουλών που προσφέρονται άμεσα σε ένα παιδί. Ερμηνευτικά λοιπόν και σε συνδυασμό με τη διάταξη του άρθρ. 1510 ΑΚ συνάγεται ότι οι ασκούντες τη γονική μέριμνα (δηλ. οι γονείς) του τέκνου έχουν –μεταξύ άλλων – δικαίωμα και καθήκον να εκπροσωπούν το τέκνο εξωδίκως και δικαστικώς, ενεργητικώς και παθητικώς, σε κάθε υπόθεση, δικαιοπραξία ή δίκη που αφορούν το πρόσωπο ή την περιουσία του τέκνου. Υπό το πρίσμα αυτό, οι γονείς μπορούν να προβαίνουν σε όλες τις απαραίτητες ενέργειες για την άσκηση του δικαιώματος διαγραφής που απολαμβάνει το ανήλικο τέκνο τους στα πλαίσια άσκησης της γονικής μέριμνας αυτού (με αίτηση αφαίρεσης συνδέσμου που αφορά τον ανήλικο προς τον υπεύθυνο επεξεργασίας ή/και στην ΑΑΠΔΠΧ). Ως προς την πλήρωση των προϋποθέσεων εφαρμογής του δικαιώματος στη διαγραφή επισημαίνεται ότι συντρέχει ισχυρή νομικά θεμελίωση καθώς αφού τα παιδιά αναπτύσσονται, τα δεδομένα σχετικά με αυτά τροποποιούνται και μπορούν γρήγορα να καταστούν παρωχημένα και άσχετα με τον αρχικό σκοπό της συλλογής τους πράγμα που σημαίνει ότι ο ενήλικος μπορεί να ζητήσει τη διαγραφή των δεδομένων που σχετίζονται με αυτόν, τα οποία κατέστησε προς επεξεργασία (πχ με δημοσιοποίηση στα μέσα κοινωνικής δικτύωσης) όντας ανήλικος.

Υπό ποίες προϋποθέσεις ασκείται το δικαίωμα διαγραφής;

Το δικαίωμα στη διαγραφή εφαρμόζεται όταν πληρούται μία από τις ακόλουθες προϋποθέσεις:

α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία,

β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,

γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία,

δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,

ε) τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας,

στ) τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών.

Μπορεί ο υπεύθυνος επεξεργασίας να αρνηθεί το αίτημα περί διαγραφής δεδομένων;

Το δικαίωμα στη λήθη δεν είναι απόλυτο δικαίωμα αλλά υπόκειται σε περιορισμούς. Το άρθρο 17 παρ. 3 προβλέπει ρητά ότι, παρά την ύπαρξη ενός λόγου αξίωσης εκ μέρους του υποκειμένου δεδομένων διαγραφής των προσωπικών του δεδομένων, όπως ορίζεται στην παράγραφο 1 και αναλύθηκε ευθύς παραπάνω, ο υπεύθυνος επεξεργασίας υποχρεούται να απορρίψει το σχετικό αίτημα καθώς η επεξεργασία είναι απαραίτητη για μία από τις ακόλουθες περιπτώσεις:

α) για την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος στην ενημέρωση: Στην κρίσιμη απόφαση Google Spain, το ΔΕΕ έκρινε ότι σε κάθε περίπτωση σύγκρουσης δικαιωμάτων πρέπει να αναζητείται η δίκαιη εξισορρόπηση αφενός των θεμελιωδών δικαιωμάτων του υποκειμένου των δεδομένων, όπως εν προκειμένω του δικαιώματος στη λήθη, και αφετέρου του δικαιώματος του κοινού στην ενημέρωση και την πρόσβαση σε πληροφορίες που έχουν εύλογο δημόσιο συμφέρον λαμβάνοντας υπόψη, μάλιστα, ότι κανένα από τα δύο δικαιώματα δεν είναι απόλυτα και απεριόριστα. Ως εκ τούτου, κάθε αίτηση διαγραφής κρίνεται ad hoc και γίνεται στάθμιση των πραγματικών περιστατικών κατά περίπτωση.

β) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας. Π.χ. για ένα χρηματοπιστωτικό ίδρυμα είναι απαραίτητη η διατήρηση των προσωπικών δεδομένων των πελατών του για φορολογικούς λόγους ή για άλλους σκοπούς, όπως η έρευνα για ξέπλυμα χρήματος, απάτη κλπ.

γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας. Η προστασία της δημόσιας υγείας επιτρέπει παρεκκλίσεις από το δικαίωμα διαγραφής σε περιπτώσεις όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων. Περαιτέρω, η επεξεργασία κρίνεται απαραίτητη και για σκοπούς προληπτικής ιατρικής, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών.

δ) για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς. Η έρευνα βάσει μητρώων δεδομένων δίνει τη δυνατότητα στους ερευνητές να αποκτούν αξιόπιστες και ποιοτικές γνώσεις μεγάλης σημασίας που μπορούν να αφορούν, μεταξύ άλλων, διαδεδομένες παθολογικές καταστάσεις (π.χ. καρδιαγγειακά νοσήματα, καρκίνος), μακροπρόθεσμο συσχετισμό ορισμένων κοινωνικών καταστάσεων (π.χ. ανεργία).. Η διατήρηση και επεξεργασία των δεδομένων για σκοπούς αρχειοθέτησης μπορεί να συνίσταται π.χ. στην παροχή συγκεκριμένων πληροφοριών σχετικών με εγκλήματα κατά της ανθρωπότητας ή εγκλήματα πολέμου.

ε) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, είτε σε δικαστική διαδικασία είτε σε διοικητική ή τυχόν εξωδικαστική διαδικασία. Π.χ. σε περίπτωση λύσης συμβάσεως εργασίας, η εργοδότρια επιχείρηση (υπεύθυνος επεξεργασίας) δύναται να απορρίψει το αίτημα του πρώην εργαζομένου να διαγραφούν τα προσωπικά του δεδομένα από τις βάσεις δεδομένων της στο βαθμό που υπάρχουν βάσιμες πιθανότητες δικαστικής διαμάχης για ικανοποίηση των εκατέρωθεν αξιώσεων.

Επιπλέον, η αιτιολογική σκέψη 73 του ΓΚΠΔ προβλέπει την επιβολή περιορισμών στην άσκηση του δικαιώματος διαγραφής δεδομένων και για περαιτέρω λόγους πλην των προαναφερθέντων, όπως για λόγους δημόσιας ασφάλειας, πρόληψης, διερεύνησης και δίωξης ποινικών αδικημάτων ή εκτέλεσης ποινικών κυρώσεων.

Σημειώνεται ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος να αποδείξει ότι η επεξεργασία προσωπικών δεδομένων είναι απαραίτητη για έναν από τους λόγους που ορίζονται στο άρθρο 17 παρ. 3.

Ποια είναι η εδαφική εφαρμογή του δικαιώματος;

Mία από τις βασικότερες καινοτομίες του ΓΚΠΔ είναι το διευρυμένο εδαφικό πεδίο εφαρμογής καθώς ο κανονισμός εφαρμόζεται και δεσμεύει όλες τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία προσωπικών δεδομένων των υποκειμένων που διαμένουν στην ΕΕ ανεξάρτητα αν η επεξεργασία πραγματοποιείται εντός ή εκτός της ΕΕ. Ωστόσο εγείρονται προβληματισμοί σχετικά με την εδαφική έκταση του δικαιώματος διαγραφής από τις μηχανές αναζήτησης. Ειδικότερα, διερευνάται κατά πόσο η αίτηση διαγραφής συνδέσμου πχ από τη google.gr επεκτείνεται και στην google.com.

Εν προκειμένω, σχετική με το εν λόγω ζήτημα είναι η τριετής πλέον διαφορά της γαλλικής αρχής προστασίας δεδομένων προσωπικού χαρακτήρα (CNIL) με την Google. Έπειτα από σύσταση της γαλλικής αρχής προς την Google.fr με αίτημα την αφαίρεση από τη λίστα μηχανών αναζήτησης συνδέσμων ανεξαρτήτως της γεωγραφικής καταλήξεως του παρόχου (“.fr” ή “.com”), η γαλλική αρχή επέβαλε με την υπ’ αριθ. 54/10.3.2016 απόφαση της πρόστιμο ύψους 100.000 ευρώ στη Google, η οποία αρνήθηκε να ικανοποιήσει σχετική σύσταση της αρχής. Η Google προσέφυγε κατά της πράξεως επιβολής προστίμου ενώπιον του Ανώτατου Ακυρωτικού Δικαστηρίου της Γαλλίας (“Conseil d’ Etat”), το οποίο έχει αποστείλει σχετικά προδικαστικά ερωτήματα στο ΔΕΕ, το οποίο αναμένεται να αποφανθεί σχετικώς εντός του 2018.

Ποιες είναι οι υποχρεώσεις υπευθύνου επεξεργασίας;

Με τον ΓΚΠΔ εισάγεται ένα αυστηρότερο πλαίσιο προστασίας με αυξημένες υποχρεώσεις του υπευθύνου επεξεργασίας από αυτές που ίσχυαν με την Οδηγία 95/46/ΕΚ. Αναλυτικότερα, σε περίπτωση αιτήματος ενός υποκειμένου διαγραφής των προσωπικών του δεδομένων, ο υπεύθυνος υποχρεούται να προβεί στις κάτωθι ενέργειες:

α) να απαντήσει επί του αιτήματος χωρίς αναιτιολόγητη καθυστέρηση, αυστηρά εντός ενός μήνα (η προθεσμία απάντησης αρχίζει από την επόμενη μέρα λήψης του αιτήματος)

β) σε περίπτωση που έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, να λάβει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους τρίτους υπευθύνους επεξεργασίας ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών αυτών.

γ) σε περίπτωση που ισχύει η υποχρεωτική αποθήκευση και επεξεργασία προσωπικών δεδομένων υποχρεούται να λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα (π.χ. ψευδωνυμοποίηση) ούτως ώστε να διασφαλίζεται η σκοπούμενη με τον ΓΚΠΔ προστασία των προσωπικών δεδομένων και να τηρούνται οι αρχές της αναλογικότητας και ελαχιστοποίησης των δεδομένων.

Πώς ασκείται το δικαίωμα διαγραφής;

Κατ’ αρχάς, το υποκείμενο των δεδομένων που επιθυμεί την διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν υποβάλει σχετικό αίτημα στον υπεύθυνο επεξεργασίας (π.χ. αίτημα προς μία μηχανή αναζήτησης, όπως η www.google.gr). Ο υπεύθυνος επεξεργασίας υποχρεούται να απαντήσει στο αίτημα χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός (για προθεσμία και τυχόν παράταση βλ. άρθρο 12 παρ. 3 GDPR). Αν το αίτημα ικανοποιηθεί, η διαδικασία ολοκληρώνεται. Αν ωστόσο ο υπεύθυνος επεξεργασίας αρνηθεί να διαγράψει τα προσωπικά δεδομένα, το υποκείμενο των δεδομένων μπορεί να προσφύγει στην ΑΑΠΔΠΧ, υποβάλλοντας σχετικό αίτημα.

Ωστόσο, σε περίπτωση που το αίτημα δεν ικανοποιηθεί ούτε από την εποπτεύουσα αρχή, τότε το υποκείμενο των δεδομένων μπορεί να κινήσει διαδικασίες ενώπιον των δικαστηρίων.

send