Ξέπλυμα μαύρου χρήματος και προσωπικά δεδομένα: Η γνώμη της ΑΠΔΠΧ για την ενσωμάτωση της Οδηγίας 2019/1153

17/08/2021

Ελλάδα

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα γνωμοδότησε σε σχέση με Σχέδιο Νόμου του Υπουργείου Οικονομικών για την ενσωμάτωση της Οδηγίας (ΕΕ) 2019/1153 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τη θέσπιση κανόνων με σκοπό τη διευκόλυνση της χρήσης χρηματοοικονομικών και άλλων πληροφοριών για την πρόληψη, την ανίχνευση, τη διερεύνηση ή τη δίωξη ορισμένων ποινικών αδικημάτων και την κατάργηση της απόφασης 2000/642/ΔΕΥ του Συμβουλίου.

Η Αρχή διατύπωσε παρατηρήσεις σε συγκεκριμένες διατάξεις του Σχεδίου Νόμου, οι οποίες χρήζουν βελτίωσης ή/και αποσαφήνισης.

Μεταξύ άλλων, η Αρχή αναφέρει:

Ως υπεύθυνος επεξεργασίας ορίζεται, στο άρθρο 4 παρ. 7 του ΓΚΠΔ, «…το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους».

Περαιτέρω, ως εκτελών την επεξεργασία ορίζεται στην επόμενη παράγραφο «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασία».

Εξάλλου, το υποκειμενικό πεδίο εφαρμογής, σε σχέση με τον δημόσιο τομέα, της έννοιας του υπευθύνου επεξεργασίας, η οποία αποτελεί αυτόνομη έννοια του ενωσιακού δικαίου, και, ειδικότερα, σε σχέση με το περιεχόμενο των όρων δημόσια αρχή και δημόσια υπηρεσία, συναρτάται με τη διοικητική οργάνωση των εθνικών εννόμων τάξεων.

Βασικό για τον προσδιορισμό του υπευθύνου επεξεργασίας είναι το λειτουργικό κριτήριο. Δηλαδή υπεύθυνος επεξεργασίας είναι αυτός που καθορίζει τον σκοπό ή/και τα ουσιώδη, τουλάχιστον, στοιχεία του τρόπου της επεξεργασίας (πρβλ. για την έννοια του υπευθύνου και εκτελούντος την επεξεργασία τη Γνώμη 1/2010 της Ο.Ε. του Άρθρου 29, στην οποία και αναφέρεται μεταξύ άλλων ότι ο καθορισμός των στόχων και του τρόπου ισοδυναμεί με τον καθορισμό, αντίστοιχα, του «γιατί» και του «πώς» ορισμένων δραστηριοτήτων επεξεργασίας, καθώς και τις σκέψεις 22 – 24 των κατευθυντηρίων γραμμών 07/2020 του ΕΣΠΔ για τις έννοιες του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ1).

Συνεπώς, επειδή στο άρθρο 2 του Σχεδίου Νόμου δεν αναφέρεται ο υπεύθυνος επεξεργασίας και ποια αρμοδιότητα ως προς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα έχει επωμιστεί έκαστος φορέας, είναι σκόπιμο να προσδιορίζονται με αντίστοιχες διατάξεις ο υπεύθυνος επεξεργασίας και οι εκτελούντες την επεξεργασία για λογαριασμό του. Ανάλογη σύσταση περιλαμβάνεται και στο εμπιστευτικό πόρισμα, το οποίο έχει διαβιβαστεί στην ΓΓΔΕ (νυν ΑΑΔΕ) μετά την υπ’ αρ. 75/2016 Απόφαση της Αρχής, με το υπ’ αριθμ. πρωτ. Γ/ΕΞ/5137/10-08-2016 έγγραφο της Αρχής.

Σύμφωνα με τις αιτιολογικές σκέψεις 9, 10 και 11 της προς ενσωμάτωση Οδηγίας, οι αρχές ή φορείς που θα ορίζονται να έχουν πρόσβαση στις εν θέματι πληροφορίες θα πρέπει να περιλαμβάνουν στο πλαίσιο των αρμοδιοτήτων τους την πρόληψη, ανίχνευση ή διερεύνηση συγκεκριμένου σοβαρού ποινικού αδικήματος ή την υποστήριξη συγκεκριμένης ποινικής έρευνας.

Αντίθετα, «οι διοικητικές έρευνες, εκτός εκείνων που διεξάγονται από τις ΜΧΠ στο πλαίσιο της πρόληψης, της ανίχνευσης και της αποτελεσματικής καταπολέμησης της νομιμοποίησης εσόδων από παράνομες δραστηριότητες και της χρηματοδότησης της τρομοκρατίας, δεν θα πρέπει να εμπίπτουν στο πεδίο εφαρμογής της παρούσας οδηγίας».

Στο άρθρο 3 παρ. 1 του Σχεδίου Νόμου παρατίθεται ένας μεγάλος αριθμός αρμοδίων αρχών που συνδέονται με την ποινική έρευνα και «δύναται να ζητούν και να λαμβάνουν χρηματοοικονομικές πληροφορίες ή χρηματοοικονομική ανάλυση από την Α΄ Μονάδα της Αρχής».

Εφόσον έχει διερευνηθεί από την εισηγηθείσα του Σχεδίου Νόμου Υπηρεσία ότι οι εν λόγω Αρχές έχουν αρμοδιότητα ποινικής διερεύνησης με βάση τα ανωτέρω αναφερθέντα, κρίνεται σκόπιμο να προσδιοριστούν ειδικότερα και να αναφερθούν οι συγκεκριμένες υπηρεσίες - μονάδες αυτών που θα μπορούν να έχουν πρόσβαση στις πληροφορίες με βάση τις διατάξεις του εν λόγω Σχεδίου Νόμου. Περαιτέρω, η ΑΑΔΕ, εφόσον αποσαφηνισθεί και οριστεί ότι, με βάση όσα αναφέρθηκαν στην παράγραφο 2 του παρόντος, είναι ο υπεύθυνος επεξεργασίας του Συστήματος Μητρώων Τραπεζικών Λογαριασμών και Λογαριασμών Πληρωμών (στο εξής «Σύστημα»), θα πρέπει πριν από την εκχώρηση δικαιωμάτων πρόσβασης στο Σύστημα να εξετάζει αναλυτικά τη συνδρομή των σχετικών προϋποθέσεων ώστε η πρόσβαση να πραγματοποιείται μόνο για τους σκοπούς του Σχεδίου Νόμου και να περιορίζεται μόνο στις ορισθείσες αρμόδιες υπηρεσίες – μονάδες εκάστης Αρχής.

Δείτε αναλυτικά τη γνωμοδότηση 4/2021 της Αρχής.