Διαύγεια και προσωπικά δεδομένα: Πρόστιμο 10.000 ευρώ σε ΝΠΔΔ από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Το ιστορικό της υπόθεσης

Η Αρχή  Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δέχθηκε προσφυγή εργαζομένου κατά Νομικού Προσώπου Δημοσίου Δικαίου (ΝΠΔΔ) Οργανισμού Τοπικής Αυτοδιοίκησης για παράνομη επεξεργασία των προσωπικών δεδομένων του μέσω ανάρτησης στη Διαύγεια.

Σύμφωνα με την προσφυγή, το ΝΠΔΔ ανάρτησε στη Διαύγεια απόσπασμα πρακτικού συνεδρίασης του Διοικητικού Συμβουλίου του, στο οποίο συζητήθηκαν ζητήματα σχετικά με την εργασία του προσφεύγοντος. Ο προσφεύγων ανέφερε ότι «η επίμαχη απόφαση πέραν του ότι παρανόμως αναρτήθηκε στο «Πρόγραμμα Διαύγεια», τον θίγει σοβαρά καθώς περιέχει δικά του προσωπικά δεδομένα, τα οποία αναφέρονται στη συμπεριφορά του ως εργαζόμενου και τα οποία θεωρεί εντελώς συκοφαντικά». Ειδικότερα, οι πληροφορίες αυτές συνίσταντο στα αρχικά του ονόματός του, το επάγγελμα και τη θέση εργασίας, την ημερομηνία πρόσληψης, τη σχέση εργασίας με τον φορέα, καθώς και την τοποθεσία εργασίας.

Περαιτέρω, σύμφωνα με την προσφυγή, ο εργαζόμενος ζήτησε από τον φορέα την ανάκληση της ανάρτησης, αίτημα το οποίο δεν απαντήθηκε ποτέ, με αποτέλεσμα την υποβολή καταγγελίας στην Αρχή.

Το καταγγελλόμενο ΝΠΔΔ, τόσο με τις αρχικές έγγραφες απόψεις του, όσο και ακολούθως παριστάμενο στη συνεδρίαση της Αρχής, αμφισβήτησε τη βασιμότητα των καταγγελλομένων. Σύμφωνα με τον φορέα, η ανάρτηση στη Διαύγεια είναι νόμιμη καθώς:

α) δεν περιέχει προσωπικά δεδομένα του προσφεύγοντος, καθώς το επίμαχο έγγραφο έχει ανωνυμοποιηθεί, δια της χρήσης μόνο των αρχικών του ονόματος του προσφεύγοντος, ενώ από τις λοιπές πληροφορίες που περιέχονται σε αυτό δεν είναι εφικτή η ταυτοποίηση του προσφεύγοντος ούτε με έμμεσο τρόπο,

β) προβλέπεται στο αρ. 2 παρ. 4 περ. 22΄ του Ν. 3861/2010, σύμφωνα με το οποίο είναι υποχρεωτική η ανάρτηση ατομικών διοικητικών πράξεων, η δημοσίευση των οποίων προβλέπεται από ειδική διάταξη νόμου και κατά την έννοια αυτή αποτελούσε νομική υποχρέωση του σύμφωνα με το άρθρο 6 παρ. 1 γ΄ και, τέλος, επικουρικά

γ) βασίζεται στο αρ. 6 παρ. 1 στ΄ ΓΚΠΔ, για το λόγο ότι, σύμφωνα με τους ισχυρισμούς του, η επίμαχη ανάρτηση σκοπό είχε την προστασία έννομου συμφέροντός του, το οποίο συνίστατο «στη διαφύλαξη της εύρυθμης λειτουργίας και του κύρους του, ώστε να μπορεί να ανταποκρίνεται με επάρκεια στα καθήκοντά του.»

Η απόφαση της Αρχής

1) Επί της νομικής βάσης για την επεξεργασία προσωπικών δεδομένων από δημόσιους φορείς:

Από τον συνδυασμό των διατάξεων των άρθρων 6 ΓΚΠΔ και 5 Ν.4624/2019 «προκύπτει ότι, ειδικότερα για την επεξεργασία προσωπικών δεδομένων από δημόσιους φορείς, προβλέπεται μοναδική νομική βάση για την νομιμότητα της επεξεργασίας αυτή που συνίσταται στην υποχρέωση για εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Ωστόσο, η Αρχή με τη Γνωμοδότησή της 1/2020 παρατήρησε σχετικά με την εν λόγω διάταξη, μεταξύ άλλων, ότι : […] με το άρθρο 5 του νόμου επαναλαμβάνεται η νομική βάση του άρθρου 6 παρ. 1 εδ. ε’ ΓΚΠΔ, δεν εισάγεται νέα ή επικουρική νομική βάση στο εθνικό δίκαιο, ούτε αποκλείεται η εφαρμογή των νομικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠΔ. Ερμηνευόμενη με την έννοια αυτή, η διάταξη του άρθρου 5 του ν. 4624/2019 δεν έρχεται σε αντίθεση με τον ΓΚΠΔ, παραβιάζει όμως τον κανόνα του ενωσιακού δικαίου, κατά τον οποίο δεν επιτρέπεται επανάληψη διατάξεων ΓΚΠΔ σε εθνικό νομοθέτημα. Συνεπώς, η επεξεργασία, όταν αυτή διενεργείται από δημόσιους φορείς είναι σύννομη κι όταν αυτή είναι απαραίτητη για την εκπλήρωση νόμιμης υποχρέωσης, σύμφωνα με το ως άνω αναφερόμενο άρθρο 6 περ. γ΄ ΓΚΠΔ.».

2) Επί της ανάρτησης της απόφασης στη Διαύγεια:

«6. […] Η ανάρτηση στο εν λόγω Πρόγραμμα εξυπηρετεί τη διαφάνεια στο δημόσιο και ευρύτερο δημόσιο τομέα (βλ. σχετικά και την με αρ. 1/2010 Γνωμοδότηση της Αρχής) και δεν απαγορεύεται, καταρχήν, από τη νομοθεσία περί προσωπικών δεδομένων, εφόσον οι εν λόγω πράξεις δεν περιλαμβάνουν ειδικές κατηγορίες δεδομένων («ευαίσθητα δεδομένα»). Ειδικότερα, σύμφωνα με το άρθρο 5 του Ν. 3861/2010, η ανάρτηση των πράξεων που αναφέρονται στο άρθρο 2 του αυτού νόμου στο Διαδίκτυο και δη στην πλατφόρμα «Προγράμματος Διαύγεια», καθώς και η οργάνωση της αναζήτησης πληροφοριών πραγματοποιείται με την επιφύλαξη των κανόνων για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Περαιτέρω, σύμφωνα με το άρθρο 2 παρ. 4 περ. 22 του ίδιου νόμου «4. Στο διαδίκτυο αναρτώνται: 1) […] 22) ατομικές διοικητικές πράξεις, η δημοσίευση των οποίων προβλέπεται από ειδική διάταξη νόμου.». Ειδικότερα, αναφορικά με την ανάρτηση των εν λόγω πράξεων στο «Πρόγραμμα Διαύγεια» επισημαίνεται ότι «οι ατομικές διοικητικές πράξεις αναρτώνται στο Πρόγραμμα Διαύγεια μόνον στις περιπτώσεις που δημοσιεύονται σύμφωνα με ειδική διάταξη νόμου είτε στην Εφημερίδα της Κυβέρνησης είτε στον ημερήσιο τύπο, είτε στην ιστοσελίδα ή στο κατάστημα του φορέα. Ειδικότερα: Σύμφωνα με την παρ. 4 άρθρου 6 της Υπουργικής Απόφασης υπ' αριθ. ΕΞ 604/2012 (Γ.Υφ.) ΔΙΣΚΠΟ/Φ.1/οικ. 10885/2012 (ΦΕΚ Β΄ 1476), "στην κατηγορία «λοιπές ατομικές διοικητικές πράξεις» εντάσσονται μόνον οι ατομικές διοικητικές πράξεις, οι οποίες δημοσιεύονται σύμφωνα με ειδική διάταξη νόμου είτε στην Εφημερίδα της Κυβέρνησης είτε στον ημερήσιο τύπο, είτε στην ιστοσελίδα ή στο κατάστημα του φορέα." Εάν οι ατομικές διοικητικές πράξεις δημοσιεύονται υποχρεωτικά είτε αυτούσιες είτε σε περίληψη με κάποιον από τους προαναφερθέντες τρόπους, τότε υφίσταται υποχρέωση του φορέα να τις αναρτήσει στο πρόγραμμα διαύγεια. Σε κάθε άλλη περίπτωση δεν υφίσταται υποχρέωση ανάρτησης των ατομικών διοικητικών πράξεων περίπτωσης 22 παρ. 4 άρθρου 2 Ν. 3861/2010.»

3) Επί της ανωνυμοποίησης και της δυνατότητας ταυτοποίησης του υποκειμένου:

7. Επειδή, από τα στοιχεία του φακέλου προκύπτει ότι, στην υπό κρίση υπόθεση, η επίμαχη πράξη περιέχει προσωπικά δεδομένα του καταγγέλλοντος κατά τα ανωτέρω αναφερόμενα. Ειδικότερα, παρόλο που δεν αναφέρεται ρητώς το όνομά του στην επίμαχη πράξη, η αναφορά στα αρχικά του ονόματός του σε συνδυασμό με τις υπόλοιπες ειδικές συμπληρωματικές πληροφορίες συντελεί στον προσδιορισμό της ταυτότητας του καταγγέλλοντος καθιστώντας τον με τον τρόπο αυτό ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»), κατά την ως άνω έννοια του άρθρου 4 στοιχ. 1) ΓΚΠΔ. Αυτό έχει ως άμεσο επακόλουθο, όπως έχει αναλυθεί ανωτέρω, την υποχρεωτική εφαρμογή κατά την επίμαχη ανάρτηση των αρχών προστασίας του άρθρου 5 ΓΚΠΔ.

Όπως αναφέρει και η Ομάδα Εργασίας του Άρθρου 29 (εφεξής ΟΕ Α29), το φυσικό πρόσωπο είναι άτομο «του οποίου η ταυτότητα μπορεί να εξακριβωθεί», ακόμα κι αν η ταυτότητά του δεν είναι ακόμη γνωστή, βάσει αναγνωριστικών στοιχείων. Ειδικότερα η αναγνώριση της ταυτότητας ενός προσώπου «επιτυγχάνεται κανονικά με βάση συγκεκριμένες πληροφορίες που καλούνται «στοιχεία αναγνώρισης» και που είναι σε μια ιδιαιτέρως προνομιακή και στενή σχέση με το συγκεκριμένο άτομο. Παραδείγματα τέτοιων πληροφοριών είναι διάφορα εξωτερικά γνωρίσματα της εμφάνισης του εν λόγω προσώπου, όπως το ύψος, το χρώμα των μαλλιών, η ένδυση, κλπ ή κάποια ιδιότητα του προσώπου που δεν μπορεί να γίνει αμέσως αντιληπτή, όπως επάγγελμα, αξίωμα, όνομα κλπ». Η ΟΕ Α29 συνεχίζει αναφέροντας ότι ο προσδιορισμός της ταυτότητας ενός προσώπου είναι δυνατόν να γίνει «άμεσα από το όνομα ή έμμεσα από έναν αριθμό τηλεφώνου, αριθμό κυκλοφορίας αυτοκινήτου, αριθμό κοινωνικής ασφάλισης, αριθμό διαβατηρίου ή από ένα συνδυασμό σημαντικών κριτηρίων που επιτρέπουν την αναγνώρισή του περιορίζοντας το εύρος της ομάδας στην οποία ανήκει (ηλικία, επάγγελμα, τόπος διαμονής, κλπ.)", ενώ «η ”εξακρίβωση ταυτότητας” δεν σημαίνει μόνο την πιθανότητα ανάκτησης του ονόματος ή/και της διεύθυνσης ενός προσώπου, αλλά περιλαμβάνει, επίσης, τη δυνητική ταυτοποίηση μέσω του εντοπισμού, της συνδετικότητας και της εξαγωγής συμπερασμάτων».

Η αναφορά, συνεπώς, των αρχικών του ονόματος του καταγγέλλοντος σε συνδυασμό με τις υπόλοιπες πληροφορίες που αναγράφονται στην επίμαχη αναρτηθείσα πράξη και αναφέρονται στην επαγγελματική του ιδιότητα, αποτελούν αναγνωριστικά χαρακτηριστικά κατά τα προδιαλαμβανόμενα που συντελούν στον άμεσο προσδιορισμό της ταυτότητάς του, με αποτέλεσμα ο καταγγέλλων να καθίσταται γνωστός σε τρίτους, προερχόμενους τόσο από το επαγγελματικό του περιβάλλον (στενό και ευρύτερο), ήτοι συναδέλφους […], όσο και από το κοινωνικό του περιβάλλον, ήτοι συγγενείς, φίλους και γνωστούς. Λόγω δε της ελεύθερης προσβασιμότητας στο εν λόγω Πρόγραμμα, απεριόριστος επιπλέον αριθμός ατόμων – χρηστών δύναται να ταυτοποιήσει το πρόσωπο του καταγγέλλοντος μέσα από την επίμαχη ανάρτηση.

Αναφορικά, εξάλλου, με τον ισχυρισμό, του [ΝΠΔΔ] ότι η επίμαχη πράξη έχει υποστεί ανωνυμοποίηση, με αποτέλεσμα να μην μπορεί να προσδιορισθεί ούτε έμμεσα η ταυτότητα του καταγγέλλοντος για το λόγο ότι δεν αναφέρεται ρητώς το όνομά του, είναι αβάσιμος, διότι κατ’ αρχάς, πέραν των ανωτέρω, για την ταυτοποίηση ενός προσώπου δεν απαιτείται η ύπαρξη του ονόματός του. Αντιθέτως, και μόνη η δημοσιοποίηση λοιπών ειδικών πληροφοριών, εκτός του ονόματος, αρκεί για να προσδιορισθεί η ταυτότητα του προσώπου, σύμφωνα με την ανωτέρω αναφερόμενη Γνώμη 4/2007 της ΟΑ 29. Περαιτέρω, ο εν λόγω ισχυρισμός είναι αβάσιμος και για τον επιπρόσθετο λόγο ότι η ανωνυμοποίηση αποτελεί τεχνική, με την οποία καθίσταται ανέφικτη η εξακρίβωση πλέον της ταυτότητας του προσώπου, στο οποίο αναφέρονται οι πληροφορίες. Τα δεδομένα, συνεπώς, πρέπει να είναι τέτοιας μορφής, ώστε να μην είναι δυνατή η εξακρίβωση της ταυτότητας του προσώπου, στο οποίο αναφέρονται με «όλα» τα «πιθανά» και «εύλογα» μέσα, κάτι που, όπως διαπιστώνεται, δεν ισχύει στην υπό κρίση υπόθεση. Σημαντικό παράγοντα αποτελεί ο μη αντιστρέψιμος χαρακτήρας της επεξεργασίας. Συνεπώς, η τεχνική της ανωνυμοποίησης θα πρέπει να συνεπάγεται την πλήρη απομάκρυνση από τη δυνατότητα ταυτοποίησης του υποκειμένου.

Εξάλλου, σύμφωνα και με την ανωτέρω αναφερόμενη αιτιολογική σκέψη 26 του προοιμίου του ΓΚΠΔ ανώνυμα, ουσιαστικά, θεωρούνται «τα δεδομένα που έχουν καταστεί ανώνυμα, κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί.».

Επιπροσθέτως, ο ισχυρισμός του [ΝΠΔΔ] ότι η επίμαχη ανάρτηση δεν περιέχει προσωπικά δεδομένα του καταγγέλλοντος έρχεται και σε αντίθεση με τον επικουρικά επικαλούμενο ισχυρισμό του ότι προέβη στην επίμαχη ανάρτηση για την υποστήριξη των εννόμων συμφερόντων του, σύμφωνα με το άρθρο 6 παρ. 1 στ΄ ΓΚΠΔ, τα οποία συνίστανται στην εύρυθμη και ομαλή λειτουργία της υπηρεσίας που θα συνεπαγόταν η ονομαστική δημοσίευση στο «Πρόγραμμα Διαύγεια» πληροφοριών που αφορούσαν στην εργασιακή συμπεριφορά του καταγγέλλοντος (αναφορικά με την επίκληση ως νομιμοποιητικού λόγου την υποστήριξη εννόμων συμφερόντων βλ. αναλυτικά κατωτέρω).

Κατά συνέπεια, ο ισχυρισμός του [ΝΠΔΔ] ότι η προσφυγή είναι αβάσιμη, για το λόγο ότι δεν περιέχονται προσωπικά δεδομένα του προσφεύγοντος στην αναρτημένη πράξη κρίνεται απορριπτέος για τους ανωτέρω εκτεθειμένους λόγους.

4) Επί της νομιμότητας της επεξεργασίας:

Επειδή, περαιτέρω αναφορικά με την νομιμότητα της επίμαχης ανάρτησης [το ΝΠΔΔ] υποστηρίζει ότι αυτή βασίστηκε, κατά κύριο λόγο, στο αρ. 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ και επικουρικά στο άρθρο 6 παρ. 1 στοιχ. στ΄ του ίδιου κανονισμού. Ειδικότερα, [το ΝΠΔΔ] υποστηρίζει ότι η επίμαχη ανάρτηση είναι νόμιμη και τούτο διότι είχε υποχρέωση να προβεί σε αυτή βάσει νομοθετικής πρόβλεψης και ειδικότερα, βάσει της διάταξης του αρ. 2 παρ. 4 περ. 22) του Ν. 3861/2010. Συνεπώς, κατά τους ισχυρισμούς του [ΝΠΔΔ] η εν λόγω ανάρτηση ήταν σύμφωνη με τον ΓΚΠΔ και, ειδικότερα, με την ως άνω αναφερόμενη διάταξη του άρ. 6 παρ. 1 περ. γ΄, σύμφωνα με την οποία η επεξεργασία είναι νόμιμη, όταν είναι απαραίτητη για την εκπλήρωση νομικής υποχρέωσης, η οποία εν προκειμένω συνίστατο στην ως άνω εκ του άρθρου 2 παρ.4 περ. 22) Ν. 3681/2010 υποχρέωση. Ωστόσο, η εν λόγω διάταξη ορίζει ότι η ανάρτηση ατομικής διοικητικής πράξης είναι υποχρεωτική, εφόσον η δημοσίευση αυτής προβλέπεται σε ειδικότερη διάταξη νόμου. [Το ΝΠΔΔ], ως υπεύθυνος επεξεργασίας, δεν επικαλέστηκε τέτοια ειδικότερη διάταξη νόμου, με αποτέλεσμα να μην τεκμηριώνει εντέλει την νομιμότητα της υπό κρίση ανάρτησης, στο πλαίσιο, ιδίως, της αρχής λογοδοσίας, σύμφωνα με την οποία, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης για την νομιμότητα της επεξεργασίας που διενεργεί ή έχει διενεργήσει. Κατόπιν τούτου, η επίμαχη ανάρτηση αντιβαίνει στις αρχές προστασίας δεδομένων με αποτέλεσμα [το ΝΠΔΔ] να παραβιάζει τα άρθρα 5 και 6 παρ. 1 γ) ΓΚΠΔ.

5) Επί της επίκλησης του εννόμου συμφέροντος ως νομικής βάσης για την επεξεργασία δεδομένων από δημόσια αρχή:

Επειδή, περαιτέρω, [το ΝΠΔΔ] προβάλλει ως επικουρικό λόγο νομιμοποίησης της επίμαχης ανάρτησης την υποστήριξη των εννόμων συμφερόντων του, όπως αυτά αναλυτικά προσδιορίζονται ανωτέρω. Ωστόσο, η εν λόγω νομιμοποιητική βάση δεν δύναται να γίνει δεκτή και τούτο διότι οι όροι και οι προϋποθέσεις για την ανάρτηση πράξεων στο «Πρόγραμμα Διαύγεια» προβλέπονται ρητώς και αποκλειστικώς στην οικεία νομοθεσία, όπως αναφέρεται ανωτέρω, στην οποία δεν περιλαμβάνεται η δυνατότητα ανάρτησης πράξεων στο εν λόγω Πρόγραμμα για την ικανοποίηση ιδίων εννόμων συμφερόντων. Κάτι τέτοιο, εξάλλου, θα καταστρατηγούσε τον σκοπό του εν λόγω Προγράμματος και θα καθιστούσε ανεξέλεγκτη την επεξεργασία προσωπικών δεδομένων, μιας και αυτή θα βασιζόταν στην εκάστοτε κρίση των φορέων κατά την αξιολόγηση των ιδίων εννόμων συμφερόντων τους. Πέραν τούτων, ο ως άνω ισχυρισμός τυγχάνει απορριπτέος και για τον επιπρόσθετο λόγο που αναφέρεται ρητώς στο άρθρο 6 παρ. 1 εδ. 2 ΓΚΠΔ, σύμφωνα με το οποίο η επεξεργασία από δημόσιες αρχές κατά την άσκηση των δημόσιων καθηκόντων τους δεν μπορεί να γίνεται με σκοπό την εξυπηρέτηση δικών τους εννόμων συμφερόντων. Στο ίδιο μήκος κύματος κυμαίνονται και οι Κατευθυντήριες Γραμμές της ΟΕ Α29 αναφορικά με το έννομο συμφέρον του υπευθύνου επεξεργασίας, στις οποίες διευκρινίζεται ότι το «συμφέρον» καταρχάς πρέπει να είναι νόμιμο, δηλαδή αποδεκτό, από το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους. Ως γενικός κανόνας το «συμφέρον» που ερείδεται στο δίκαιο, είτε είναι νομοθετικό μέτρο, είτε κανόνας ή νομική αρχή, μπορεί να θεωρηθεί «έννομο» συμφέρον. Συνεπώς, ακόμη κι αν δεν προβλέπεται ρητώς στον νόμο, το συμφέρον μπορεί να θεωρηθεί «έννομο», αν αναγνωρίζεται ως τέτοιο από το νομικό σύστημα, συμπεριλαμβανομένων των νομικών αρχών. Περαιτέρω, ενώ για μια επεξεργασία δεν απαιτείται να υπάρχει νομική υποχρέωση, το επιδιωκόμενο συμφέρον δεν μπορεί να έρχεται σε αντίθεση με τον νόμο. Σύμφωνα και με την αιτιολογική σκέψη 47 του ΓΚΠΔ αναφορικά με τη δυνατότητα των δημοσίων αρχών να επικαλεστούν ως νομιμοποιητική βάση για την επεξεργασία που διενεργούν την εξυπηρέτηση εννόμων συμφερόντων τους, διευκρινίζεται ότι: «δεδομένου ότι εναπόκειται στον νομοθέτη να παρέχει διά νόμου τη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δημόσιες αρχές, ο συγκεκριμένος νομικός λόγος δεν θα πρέπει να εφαρμόζεται στην επεξεργασία από τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους.». Συνεπώς, ο ΓΚΠΔ εξαιρεί την πιθανότητα χρήσης από τις δημόσιες αρχές της εν λόγω νομικής βάσης για την διενέργεια επεξεργασίας κατά την άσκηση των καθηκόντων τους, ενώ τονίζει τη σημασία της γενικής αρχής ότι οι δημόσιες αρχές, κατά κύριο λόγο, θα πρέπει να διενεργούν την επεξεργασία δεδομένων κατά την άσκηση των καθηκόντων τους, μόνο εφόσον έχουν την απαραίτητη εξουσιοδότηση από τον νόμο.

6) Επί της ικανοποίησης του αιτήματος του υποκειμένου:

Επειδή, τέλος, [το ΝΠΔΔ] δεν προέβη στην ικανοποίηση του αιτήματος διαγραφής, το οποίο υπέβαλε ο καταγγέλλων με την με αριθμ. πρωτ. … αίτησή του. Συγκεκριμένα, [το ΝΠΔΔ] δεν απάντησε στο σχετικό αίτημα του προσφεύγοντος, ως όφειλε βάσει του άρθρου 12 παρ. 3 και 4 ΓΚΠΔ, αλλά ούτε προχώρησε στην ικανοποίηση αυτού μέσω της ανάκλησης της ως άνω αναφερόμενης πράξης από το «Πρόγραμμα Διαύγεια», σύμφωνα με το άρθρο 17 παρ. 1 στοιχ. γ΄ ΓΚΠΔ, αλλά αντιθέτως διατήρησε την εν λόγω ανάρτηση χωρίς να προβάλει νόμιμο λόγο για τη διατήρηση αυτής στο εν λόγω Πρόγραμμα. Ειδικότερα, κατά τα ανωτέρω αναφερόμενα, [το ΝΠΔΔ] όφειλε άμεσα να ικανοποιήσει το αίτημα του καταγγέλλοντος για ανάκληση της επίμαχης πράξης από το «Πρόγραμμα Διαύγεια», για το λόγο ότι αυτή δεν ήταν σύμφωνη με τις ως άνω αναφερόμενες διατάξεις του ΓΚΠΔ.

7) Ως προς το διατακτικό.

Κατ’ ακολουθία των ανωτέρω, η Αρχή κρίνει ότι [το ΝΠΔΔ] διενεργώντας την κατά τα ανωτέρω παράνομη ανάρτηση στο «Πρόγραμμα Διαύγεια» προσωπικών δεδομένων του καταγγέλλοντος, και μη ικανοποιώντας το δικαίωμα του τελευταίου για διαγραφή των εν λόγω δεδομένων, προέβη σε παραβίαση των ως άνω αναφερόμενων διατάξεων και δη, σε παράνομη επεξεργασία, σύμφωνα με τα άρθρα 5 και 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ και μη ικανοποίηση δικαιώματος διαγραφής, σύμφωνα με το άρθρο 17 παρ. 1 στοιχ. δ΄ του ιδίου Κανονισμού.

Για τους λόγους αυτούς

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:

Α) επιβάλλει τα κατωτέρω αποτελεσματικά, αναλογικά και αποτρεπτικά διοικητικά χρηματικά πρόστιμα που αρμόζουν στις συγκεκριμένες περιπτώσεις, σύμφωνα με τις ειδικότερες περιστάσεις αυτών, τα οποία έχουν ως εξής:

1. Για την παραβίαση του άρθρου 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ, το διοικητικό χρηματικό πρόστιμο ύψους επτά χιλιάδων (7.000,00) ευρώ

2. Για την παραβίαση των άρθρων 12 παρ. 3 και 4 και 17 παρ.1 στοιχ. δ΄ ΓΚΠΔ, το διοικητικό χρηματικό πρόστιμο ύψους τριών χιλιάδων (3.000,00) ευρώ, και

Β) δίνει εντολή [στο ΝΠΔΔ] να προχωρήσει στη διαγραφή (ανάκληση) από το «Πρόγραμμα Διαύγεια» της επίμαχης πράξης που αναφέρεται στο ιστορικό της παρούσας.

Η απόφαση δημοσιεύθηκε στις 25/5 και στην ιστοσελίδα της Αρχής.