Η οριοθέτηση του πεδίου εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ)με βάση την νομολογία του Δικαστηρίου της Ε.Ε.

15/02/2024

18/04/2024

Διεθνή

του Γρηγόρη Τσόλια, Δ.Ν., Δικηγόρου, Τακτικού Μέλους της ΑΠΔΠΧ*

Ι. Εισαγωγικά

Με τον υπ’ αρ. 2016/679 Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ – GDPR) ο ενωσιακός νομοθέτης επεδίωξε την διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, μέσω της συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση.

Σύμφωνα με την αιτ. σκ. 4 του ΓΚΠΔ «Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον Χάρτη όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία».

Στην περίπτωση του ενωσιακού δικαίου και ιδίως εκ του πρωτογενούς δικαίου (άρ. 4 παρ. 3, 6, 19 παρ. 3 ΣΕΕ, 267 περ. α’, 288 ΣΛΕΕ) προκύπτει με βάση την «αρχή της υπεροχής» η αποκλειστική αρμοδιότητα του Δ.Ε.Ε. να προβαίνει σε ερμηνεία του δικαίου της Ένωσης, προκειμένου να υπάρξει ομοιόμορφη ερμηνεία και εφαρμογή του1, η οποία διαφωτίζει και διευκρινίζει την έννοια και το περιεχόμενο των κανόνων, όπως πρέπει ή θα έπρεπε να νοείται και να εφαρμόζεται από της θέσεώς του σε ισχύ2.

Το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ), ερμηνεύοντας τις διατάξεις του ΓΚΠΔ, έκρινε ότι: «τα θεμελιώδη δικαιώματα στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, δεν αποτελούν απόλυτα προνόμια, αλλά πρέπει να λαμβάνονται υπόψη σε σχέση με τη λειτουργία την οποία επιτελούν στο κοινωνικό σύνολο και να σταθμίζονται με άλλα θεμελιώδη δικαιώματα»3.

ΙΙ. Η ευρεία εφαρμογή του ΓΚΠΔ υπό αμφισβήτηση

Η ευρύτητα της ερμηνείας των εννοιών, επί τη βάσει των οποίων προσδιορίζεται το πεδίο εφαρμογής του ΓΚΠΔ, έχει προκαλέσει αντιδράσεις από την κοινωνία, την αγορά αλλά και από το ίδιο το Δικαστήριο. Ήδη, ο Γενικός Εισαγγελέας του ΔΕΕ, M. Bobek, σε πρότασή4 του προς το Δικαστήριο υποστήριξε ότι:

«1. Ο κανονισμός (ΕΕ) 2016/679 (στο εξής: ΓΚΠΔ) δεν ακολουθεί μια στενή προσέγγιση. Το ευρέως καθορισμένο πεδίο εφαρμογής του, η αποτελεσματική δικαστική εξουδετέρωση τυχόν εξαιρέσεων, καθώς και η βασισμένη σε ορισμούς, αφηρημένη και, ως εκ τούτου, μάλλον ολιστική προσέγγιση κατά την ερμηνεία του, συνέβαλαν στην ουσιαστικά απεριόριστη εμβέλεια του ΓΚΠΔ. Πράγματι, βάσει αυτής της προσέγγισης, είναι μάλλον δύσκολο σήμερα να διαπιστωθεί η ύπαρξη περίπτωσης κατά την οποία να μην υποβάλλονται σε επεξεργασία κάποια δεδομένα προσωπικού χαρακτήρα σε κάποιο στάδιο. 2. Εντούτοις, η προσέγγιση αυτή, που αποτυπώνει την αναβάθμιση της προστασίας των δεδομένων προσωπικού χαρακτήρα σε καθολικό θεμελιώδες (υπερ)δικαίωμα βάσει του άρθρου 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης), οδηγεί σε διακριτές κεντρομόλες επιδράσεις τις οποίες η προστασία των δεδομένων προσωπικού χαρακτήρα έχει αρχίσει να ασκεί σε άλλους τομείς του δικαίου και στις διαφορές που ανακύπτουν σε αυτούς. Ορισμένες διαφορές έχουν αρχίσει ξαφνικά να παρουσιάζονται ως ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα και να υποβάλλονται στο Δικαστήριο (και όχι μόνο) για να εξεταστούν ως ζήτημα ερμηνείας του ΓΚΠΔ. Ωστόσο, τα συγκεκριμένα ζητήματα που εγείρονται σε αυτές τις διαφορές δεν είναι, ενίοτε, εκείνα που αναμένεται να διέπονται από ένα νομοθέτημα όπως ο ΓΚΠΔ, παρά το αρκούντως ευρύ πεδίο εφαρμογής του. 3. Πράγματι, λίγοι θα μπορούσαν να θεωρήσουν άνευ ετέρου ότι ο ΓΚΠΔ ή η πρόδρομός του οδηγία 95/46/ΕΚ θα μπορούσαν να διέπουν την πρόσβαση των μαθητευόμενων λογιστών στα γραπτά των εξετάσεών τους, ενδεχομένως σε συνδυασμό με το δικαίωμα διόρθωσης των εν λόγω δεδομένων προσωπικού χαρακτήρα μετά τη διεξαγωγή της εξέτασης ή να εμποδίσουν την ταυτοποίηση από την αστυνομία προσώπου εμπλεκόμενου σε τροχαίο ατύχημα, με αποτέλεσμα ο παθών να μην μπορεί να ασκήσει αγωγή αποζημίωσης ενώπιον των πολιτικών δικαστηρίων για τη ζημία που προκλήθηκε στο όχημά του, ή ακόμη να περιορίσουν την κοινολόγηση φορολογικών πληροφοριών στον σύνδικο πτώχευσης σχετικά με τα ποσά φόρων που είχε καταβάλει η πτωχεύσασα εταιρία, προκειμένου να αποκατασταθεί η ισότητα μεταξύ πιστωτών ιδιωτικού και δημοσίου δικαίου στο πλαίσιο αξιώσεων πτωχευτικής ανάκλησης· και αυτά είναι μόνο μερικά από τα πιο ενδιαφέροντα παραδείγματα».

ΙΙΙ. Η νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης

Α. Ευρεία ερμηνεία του περιεχομένου της έννοιας του υπευθύνου επεξεργασίας ως προσώπου που αρκεί να επηρεάζει τους σκοπούς επεξεργασίας που το ίδιο έχει θέσει

Το Δικαστήριο είχε την ευκαιρία5 να ερμηνεύσει με ευρύτητα την έννοια του υπευθύνου επεξεργασίας με βάση τον σκοπό του ΓΚΠΔ:

«39. Το άρθρο 4, σημείο 7, του ΓΚΠΔ ορίζει κατά τρόπο ευρύ τον «υπεύθυνο επεξεργασίας» ως το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή άλλον φορέα που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

40. Ο σκοπός του ευρέος αυτού ορισμού του άρθρου 4, σημείο 7, του ΓΚΠΔ –ο οποίος περιλαμβάνει ρητώς τα νομικά πρόσωπα– συνίσταται, σε συμφωνία με τον σκοπό του ΓΚΠΔ, στη διασφάλιση αποτελεσματικής προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, καθώς και, μεταξύ άλλων, στη διασφάλιση υψηλού επιπέδου προστασίας του δικαιώματος κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν (πρβλ. αποφάσεις της 29ης Ιουλίου 2019, Fashion ID, C‑40/17, EU:C:2019:629, σκέψη 66, και της 28ης Απριλίου 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, σκέψη 73 και εκεί μνημονευόμενη νομολογία).

41. Εξάλλου, το Δικαστήριο έχει κρίνει ότι κάθε φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει για τους δικούς του σκοπούς την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των στόχων και του τρόπου της επεξεργασίας μπορεί να θεωρηθεί ως υπεύθυνος επεξεργασίας (πρβλ. απόφαση της 10ης Ιουλίου 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, σκέψη 68)».

Με την ερμηνεία αυτή και σε αντίθεση προς μια «υλιστική» προσέγγιση που είχε υιοθετηθεί από την Ευρωπαϊκή Σύμβαση για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα («Σύμβαση 108»)6, το Δικαστήριο δέχεται στη νομολογία του ότι τα υπό επεξεργασία προσωπικά δεδομένα δεν χρειάζεται να βρίσκονται στην κατοχή ή στην φυσική σφαίρα εξουσίασης του υπευθύνου επεξεργασίας. Αντιθέτως, για τον χαρακτηρισμό ενός προσώπου ως υπευθύνου επεξεργασίας αρκεί ότι ο τελευταίος αποσκοπεί στην επεξεργασία συγκεκριμένων προσωπικών δεδομένων, ανεξαρτήτως του εάν δεν συμμετέχει ο ίδιος άλλα έτερο πρόσωπο στην υλική πράξη της επεξεργασίας, υπό την προϋπόθεση ότι έχει καθορίσει τους στόχους και τους τρόπους επεξεργασίας εντός του πλαισίου του επιδιωκόμενου σκοπού.

Αντίθετα, δεν αποκτά την ιδιότητα του υπευθύνου επεξεργασίας πρόσωπο το οποίο δεν αποσκοπεί στην επεξεργασία των προσωπικών δεδομένων και για τον λόγο αυτό δεν προβαίνει σε τέτοιες ενέργειες, ούτε καθορίζει τους στόχους και τους τρόπους επεξεργασίας εντός του πλαισίου του επιδιωκόμενου σκοπού. Έτσι, ακόμη και υπάλληλοι ενός νομικού προσώπου, οι οποίοι ενήργησαν εκτός των δραστηριοτήτων και των επιδιωκόμενων σκοπών της εταιρείας, για δικούς τους σκοπούς και δραστηριότητες, καθίστανται οι ίδιοι ατομικά υπεύθυνοι επεξεργασίας7.

Β. Οριοθέτηση της έννοιας και της ευθύνης του υπευθύνου επεξεργασίας για ενέργειες του εκτελούντος την επεξεργασία

Το Δικαστήριο είχε την ευκαιρία να επαναλάβει8 την θέση που είχε διατυπώσει σχετικά με τον προσδιορισμό της έννοιας του υπευθύνου επεξεργασίας και να προχωρήσει ένα βήμα περαιτέρω, προκειμένου να οριοθετήσει την σχέση και την τυχόν ευθύνη του υπευθύνου επεξεργασίας από ενέργειες του εκτελούντος την επεξεργασία:

«84. Δεδομένου ότι, όπως επισημάνθηκε στη σκέψη 36 της παρούσας απόφασης, ο υπεύθυνος επεξεργασίας ευθύνεται όχι μόνο για κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον ίδιο, αλλά επίσης και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται για λογαριασμό του, είναι δυνατή η επιβολή διοικητικού προστίμου, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, στον υπεύθυνο επεξεργασίας στην περίπτωση παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα η οποία γίνεται όχι από τον υπεύθυνο επεξεργασίας, αλλά από εκτελούντα την επεξεργασία στον οποίο ο υπεύθυνος επεξεργασίας ανέθεσε την πραγματοποίηση της επεξεργασίας για λογαριασμό του.

85. Εντούτοις, η ευθύνη του υπευθύνου της επεξεργασίας για τη συμπεριφορά του εκτελούντος την επεξεργασία δεν μπορεί να καλύπτει περιπτώσεις στις οποίες ο εκτελών την επεξεργασία πραγματοποίησε την επεξεργασία των δεδομένων προσωπικού χαρακτήρα για τους δικούς του σκοπούς ή στις οποίες πραγματοποίησε την επεξεργασία είτε κατά τρόπο μη συμβατό προς το πλαίσιο ή τις λεπτομέρειες της επεξεργασίας που είχε καθορίσει ο υπεύθυνος της επεξεργασίας είτε κατά τρόπο ως προς τον οποίο δεν θα μπορούσε εύλογα να θεωρηθεί ότι θα είχε συγκατατεθεί ο υπεύθυνος της επεξεργασίας. Πράγματι, κατά το άρθρο 28, παράγραφος 10, του ΓΚΠΔ, ο εκτελών την επεξεργασία θεωρείται, σε μια τέτοια περίπτωση, ως υπεύθυνος για τη συγκεκριμένη επεξεργασία».

Στην ίδια υπόθεση, ο Γενικός Εισαγγελέας ΔΕΕ, N. Αιμιλίου, με την πρότασή του9, η οποία έγινε δεκτή από το Δικαστήριο, επεσήμανε:

«95. Τούτο ισχύει εφόσον ο εκτελών την επεξεργασία ενεργεί στο πλαίσιο της εντολής που του έχει ανατεθεί από τον υπεύθυνο επεξεργασίας και επεξεργάζεται τα δεδομένα σύμφωνα με τις νόμιμες εντολές που λαμβάνει από τον τελευταίο10. Ωστόσο, αν ο εκτελών την επεξεργασία υπερβεί το πλαίσιο της εντολής και χρησιμοποιήσει τα δεδομένα που έλαβε ως εκτελών την επεξεργασία για δικούς του σκοπούς και είναι σαφές ότι τα μέρη δεν είναι «από κοινού υπεύθυνοι επεξεργασίας» κατά την έννοια του άρθρου 4, παράγραφος 7, και του άρθρου 26, παράγραφος 1, του ΓΚΠΔ, τότε δεν μπορεί, κατά τη γνώμη μου, να επιβληθεί στον υπεύθυνο επεξεργασίας πρόστιμο, κατ’ εφαρμογήν του άρθρου 83 του εν λόγω κανονισμού, για την πραγματοποιηθείσα παράνομη επεξεργασία».

Γ. Η απόδοση ευθύνης σε νομικό πρόσωπο το οποίο ενεργεί ως υπεύθυνος επεξεργασίας δεν προϋποθέτει την ταυτοποίηση φυσικού προσώπου – υπαλλήλου

Η ευρύτητα με την οποία το Δικαστήριο προσδιορίζει την έννοια του υπευθύνου επεξεργασίας, προκειμένου να διαπιστώσει τυχόν παραβίαση του ΓΚΠΔ, διαπιστώνεται σε μια ακόμη περίπτωση11, στην οποία τέθηκε προδικαστικό ερώτημα σχετικά με το εάν σε περίπτωση νομικών προσώπων προϋποτίθεται ο εντοπισμός και η ταυτοποίηση του φυσικού προσώπου – υπαλλήλου που τυχόν ευθύνεται για την παραβίαση.

Στην πρόταση12 του Γενικού Εισαγγελέα του ΔΕΕ, Bordona, επί της ίδιας υπόθεσης επισημάνθηκε ότι οι εργαζόμενοι σε ένα νομικό πρόσωπο καθορίζουν τη βούλησή του με βάση τις οδηγίες που λαμβάνουν, ενώ, σε αντίθετη περίπτωση, η παράβαση καταλογίζεται στο νομικό πρόσωπο ως ανεπάρκεια του συστήματος ελέγχου και εποπτείας του τελευταίου.

Το Δικαστήριο δέχθηκε ότι:

«44. Όσον αφορά τα νομικά πρόσωπα, τούτο συνεπάγεται, αφενός, όπως επισήμανε κατ’ ουσίαν ο γενικός εισαγγελέας στα σημεία 57 έως 59 των προτάσεών του, ότι αυτά ευθύνονται όχι μόνον για παραβάσεις που διαπράττονται από τους εκπροσώπους τους, τους διευθυντές ή τους διαχειριστές τους, αλλά και για όσες διαπράττονται από οποιοδήποτε άλλο πρόσωπο ενεργεί στο πλαίσιο της επιχειρηματικής δραστηριότητας των εν λόγω νομικών προσώπων και για λογαριασμό τους. Αφετέρου, τα διοικητικά πρόστιμα που προβλέπονται στο άρθρο 83 του ΓΚΠΔ σε περίπτωση τέτοιων παραβάσεων πρέπει να μπορούν να επιβάλλονται απευθείας σε νομικά πρόσωπα όταν αυτά μπορούν να χαρακτηριστούν ως υπεύθυνοι της επίμαχης επεξεργασίας».

46. […] Αντιθέτως, από καμία διάταξη του ΓΚΠΔ δεν μπορεί να συναχθεί ότι η επιβολή διοικητικού προστίμου σε νομικό πρόσωπο ως υπεύθυνο επεξεργασίας εξαρτάται από την προηγούμενη διαπίστωση ότι η παράβαση διαπράχθηκε από ταυτοποιημένο φυσικό πρόσωπο».

51. Αν επιτρεπόταν στα κράτη μέλη να απαιτούν μονομερώς και ως αναγκαία προϋπόθεση για την επιβολή διοικητικού προστίμου, κατ’ εφαρμογήν του άρθρου 83 του ΓΚΠΔ, σε υπεύθυνο επεξεργασίας ο οποίος είναι νομικό πρόσωπο, να έχει καταλογιστεί ή να μπορεί να καταλογιστεί προηγουμένως η επίμαχη παράβαση σε ταυτοποιημένο φυσικό πρόσωπο, τούτο θα αντέβαινε στον εν λόγω σκοπό του ΓΚΠΔ. Επιπλέον, μια τέτοια πρόσθετη απαίτηση θα ενείχε εν τέλει κίνδυνο αποδυνάμωσης της αποτελεσματικότητας και του αποτρεπτικού αποτελέσματος των διοικητικών προστίμων που επιβάλλονται σε νομικά πρόσωπα ως υπευθύνους επεξεργασίας, και τούτο θα συνιστούσε παράβαση του άρθρου 83 παράγραφος 1, του ΓΚΠΔ».

Από την ανωτέρω θέση του Δικαστηρίου προκύπτει και πάλι, ως καίρια προϋπόθεση για την εφαρμογή του ΓΚΠΔ και την διαπίστωση τυχόν παραβίασής του από νομικό πρόσωπο, η ύπαρξη επεξεργασίας στο πλαίσιο ενός συγκεκριμένου σκοπού, με τον οποίο υλοποιείται η επιχειρηματική δραστηριότητα του νομικού προσώπου. Ως εκ τούτου, ουδεμία επιρροή ασκεί η ταυτοποίηση ή μη του φυσικού προσώπου, υπαλλήλου ή και τρίτου προσώπου εντός του νομικού προσώπου – υπευθύνου επεξεργασίας, για την διαπίστωση της παραβίασης και την επιβολή διοικητικής κύρωσης, αλλά αρκεί η επεξεργασία να έλαβε χώρα στο πλαίσιο υλοποίησης του επιδιωκόμενου σκοπού του νομικού προσώπου.

Δ. Η διευρυμένη έννοια της «επεξεργασίας» των προσωπικών δεδομένων

Σύμφωνα με το Δικαστήριο13 από το γράμμα της διατάξεως του αρ. 4 παρ. 2 ΓΚΠΔ και ιδίως από την έκφραση «κάθε πράξη», προκύπτει ότι ο νομοθέτης της Ένωσης θέλησε να προσδώσει ευρύ περιεχόμενο στην έννοια της «επεξεργασίας» [πρβλ. απόφαση της 24ης Φεβρουαρίου 2022, Valsts ieņēmumu dienests (Επεξεργασία των δεδομένων προσωπικού χαρακτήρα για φορολογικούς σκοπούς), C‑175/20, EU:C:2022:124, σκέψη 35] και ότι οι λόγοι για τους οποίους διενεργείται η πράξη ή η σειρά πράξεων δεν μπορούν να λαμβάνονται υπόψη για να διαπιστωθεί αν η συγκεκριμένη πράξη ή σειρά πράξεων αποτελεί «επεξεργασία».

Ε. Η διευρυμένη έννοια των «δεδομένων προσωπικού χαρακτήρα»

Σύμφωνα με το Δικαστήριο14, από το γράμμα της διατάξεως του άρ. 4 παρ. 1 ΓΚΠΔ και ιδίως από την χρήση της φράσης «κάθε πληροφορία» αντικατοπτρίζεται ο σκοπός του νομοθέτη της Ένωσης να ορίσει ευρέως την έννοια αυτή, η οποία δυνητικά καλύπτει κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, με τη μορφή γνώμης ή εκτιμήσεως, υπό την προϋπόθεση ότι οι πληροφορίες αυτές «αφορούν» το συγκεκριμένο φυσικό πρόσωπο. Έτσι, η ευρεία ερμηνεία του όρου δεν καλύπτει μόνον τα δεδομένα που συλλέγονται και διατηρούνται από τον υπεύθυνο επεξεργασίας, αλλά περιλαμβάνει επίσης όλες τις πληροφορίες που προκύπτουν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο, όπως η εκτίμηση της φερεγγυότητάς του ή της προθυμίας του να πληρώσει15. Στην τελευταία περίπτωση, το Δικαστήριο ερμήνευσε την έννοια των προσωπικών δεδομένων με τέτοια ευρύτητα, ώστε κατ’ ουσία να υπάγονται δυνητικά σε εκείνη ακόμη και αξιολογικές κρίσεις ή μελλοντικές συμπεριφορές, αρκεί να συνδέονται με υπαρκτά υπό επεξεργασία προσωπικά δεδομένα.

Πάντως, το Δικαστήριο στο πλαίσιο της ευρείας διερμήνευσης του ίδιου όρου δημιούργησε σύγχυση σχετικά με τις προϋποθέσεις υπαγωγής πληροφοριών, όπως π.χ. ο αριθμός πλαισίου ενός οχήματος, στην έννοια των δεδομένων προσωπικού χαρακτήρα. Στην ευρέως γνωστή υπόθεση ως “VIN”16 το Δικαστήριο, εξετάζοντας το κατά πόσον ο αριθμός πλαισίου ενός οχήματος είναι δυνατόν να υπαχθεί στην έννοια των δεδομένων προσωπικού χαρακτήρα, έκρινε ότι «για να διαπιστωθεί αν η ταυτότητα ενός φυσικού προσώπου μπορεί να εξακριβωθεί, πρέπει να ληφθεί υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ, είτε από τρίτο για να εξακριβωθεί η ταυτότητα του εν λόγω προσώπου, χωρίς ωστόσο να απαιτείται όλες οι πληροφορίες που καθιστούν δυνατή την εξακρίβωση του εν λόγω προσώπου να βρίσκονται στη διάθεση μίας μόνο οντότητας17» (παρ. 45) και εν συνεχεία ότι «Υπό τις συνθήκες αυτές, ο VIN συνιστά δεδομένο προσωπικού χαρακτήρα, κατά το άρθρο 4, σημείο 1, του ΓΚΠΔ, του φυσικού προσώπου που μνημονεύεται στην άδεια κυκλοφορίας οχήματος, στο μέτρο που όποιος έχει πρόσβαση σε αυτόν θα μπορούσε να έχει στη διάθεσή του μέσα που επιτρέπουν να τον χρησιμοποιήσει για να εξακριβώσει την ταυτότητα του κυρίου του οχήματος το οποίο αφορά η άδεια ή του προσώπου που μπορεί να χρησιμοποιεί το όχημα αυτό με βάση νόμιμο δικαίωμα άλλο από εκείνο του κυρίου» (παρ. 48)18.

ΙV. Επίλογος

Από την σύντομη παράθεση της πρόσφατης νομολογίας του ΔΕΕ προκύπτει η πρόσδοση ευρέος περιεχομένου των εννοιών του ΓΚΠΔ κατά τρόπο ώστε να μην περιορίζεται το πεδίο εφαρμογής του. Παράλληλα, η υποχρέωση στενής ερμηνείας των διατάξεων με τις οποίες περιορίζονται ατομικά δικαιώματα συνιστούν ερμηνευτικά εργαλεία που συμβαδίζουν με την αρχή “in dubio pro libertate” και λειτουργούν ως πολλαπλασιαστής ισχύος της προστασίας των προσωπικών δεδομένων, τα οποία όμως δεν τυγχάνουν απόλυτης προστασίας σε σχέση με άλλα θεμελιώδη δικαιώματα και θα πρέπει να σταθμίζονται με βάση την αρχή της αναλογικότητας και την λειτουργία τους στην κοινωνία.

* Τμήμα της εισήγησης με τίτλο: «5 χρόνια GDPR: ανάγκη ερμηνευτικού περιορισμού του πεδίου εφαρμογής της νομοθεσίας για τα προσωπικά δεδομένα ή προς ένα «δίκαιο των πάντων;» που αναπτύχθηκε στην ημερίδα της ΑΠΔΠΧ (30.01.2024) για τον εορτασμό της 18ης Ευρωπαϊκής Ημέρας Προστασίας Προσωπικών Δεδομένων.

1. Σχετικά βλ. ΔΕΕ C-314/08, Simmenthal, Factortame, Filipiak, απόφαση της 19.11.2009, παρ. 85 και ΔΕΕ C-188/10, Melki & C-189/10 Abdeli, απόφαση της 22.10.2010, παρ. 45.
2. Σχετικά βλ. ΔΕΕ C-140/20, G.D. v. Commissioner of An Garda Síochána, Minister for Communications, Energy and Natural Resources, Attorney General, απόφαση της 05.4.2022, παρ. 125.
3. Σχετικά βλ. ΔΕΕ C-118/22, NG κατά Direktor na Glavna direktsia «Natsionalna politsia» pri Ministerstvo na vatreshnite raboti – Sofia, παρισταμένης της Varhovna administrativna prokuratura, απόφαση της 30.01.2024, παρ. 39, καθώς και ΔΕΕ C-667/21, ZQ κατά Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts, απόφαση της 21.12.2023, παρ. 54.
4. C‑175/20, SIA «SS» κατά Valsts ieņēmumu dienests, πρόταση της 02.9.2021.
5. Σχετικά βλ. C-807/21, Deutsche Wohnen SE κατά Staatsanwaltschaft Berlin, Απόφαση της 05.12.2023 (Τμήμα Μείζονος Συνθέσεως), παρ. 39-41.
6. Βλ. άρ. 2 περ. δ’ ν. 2068/1992 (ΦΕΚ Α’ 118/09.6.1992), με τον οποίο κυρώθηκε η Σύμβαση, όπου αναφέρεται σε αντιστοιχία προς τον υπεύθυνο επεξεργασίας ο «κύριος του αρχείου», ως «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισμός, ο οποίος είναι αρμόδιος, σύμφωνα με τον εθνικό νόμο, να αποφασίζει ποιος θα είναι ο σκοπός του αυτοματοποιημένου αρχείου, ποιες κατηγορίες πληροφοριών προσωπικού χαρακτήρα πρέπει να καταχωρίζονται και ποιες διαδικασίες θα έχουν εφαρμογή σε αυτές».
7. Σχετικά βλ. ανάλυση του ζητήματος στην υπ’ αρ. ΑΠΔΠΧ 54/2021, σελ 11-12, με παραπομπές στην Γνώμη υπ’ αρ. 1/2010 της Ομάδας Εργασίας του άρ. 29.
8. C-683/21, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, απόφαση της 05.12.2023, παρ. 35-36.
9. Πρόταση της 04.5.2023.
10. Άρθρο 29 ΓΚΠΔ.
11. C-807/21, ό.π.
12. Πρόταση της 27.4.2023, παρ. 57-59.
13. ΔΕΕ C-487/21, F.F. κατά Österreichische Datenschutzbehörde, απόφαση της 04.5.2023, παρ. 27, 36, 40. Ομοίως ΔΕΕ C-683/21, ό.π., 50, 51.
14. ΔΕΕ C-487/21, ό.π., παρ. 23.
15. ΔΕΕ C-487/21, ό.π., παρ. 24.
16. C-319/22, Gesamtverband Autoteile-Handel eV κατά Scania CV AB, απόφαση της 09.11.2023. Το ακρωνύμιο “VIN” προέρχεται από τον όρο “Vehicle Identification Number”.
17. Εκεί το Δικαστήριο παρέπεμψε στην υπόθεση C-582/14, Breyer, απόφαση της 19.10.2016, παρ. 42 και 43, η οποία αφορούσε την δυνατότητα ταυτοποίησης φυσικών προσώπων μέσω της διεύθυνσης IP.
18. Ομοίως, βλ. υπόθεση Τ-557/20, απόφαση Γενικού Δικαστηρίου ΕΕ της 26.4.2023, παρ. 73, 74.