Δικαίωμα πρόσβασης στα δεδομένα του δράστη κλοπής ταυτότητας
Η βαυαρική αρχή προστασίας δεδομένων ζητά από τους υπευθύνους επεξεργασίας να μη σπεύδουν να απορρίπτουν αιτήματα που υποβάλλονται από τα θύματα
Όταν πραγματοποιείται μια online παραγγελία με την παράνομη χρήση των προσωπικών δεδομένων κάποιου, το πρόσωπο αυτό έχει το δικαίωμα να αποκτήσει πρόσβαση σε κάθε πληροφορία που σχετίζεται με την παραγγελία αυτή, σύμφωνα με το άρθρο 15 ΓΚΠΔ, υπό την προϋπόθεση πως η πληροφορία αυτή είναι διαθέσιμη στον υπεύθυνο επεξεργασίας.
Δεχθήκαμε αρκετές καταγγελίες, στις οποίες οι καταγγέλλοντες δήλωναν πως έχουν υπάρξει θύματα κλοπής ταυτότητας (identity theft) και άσκησαν αιτήματα πρόσβασης προς τους υπευθύνους επεξεργασίας, οι οποίοι όμως αρνήθηκαν να τους παράσχουν πληροφορίες σχετικά με τον δράστη.
Στις περισσότερες από τις υποθέσεις αυτές, κάποιος άγνωστος προέβη παράνομα σε παραγγελία online, χρησιμοποιώντας τα προσωπικά δεδομένα του θύματος και στη συνέχεια, είτε παρενεβλήθη πριν τα προϊόντα παραδοθούν στο θύμα, είτε τα απέστειλε σε άλλη ταχυδρομική διεύθυνση. Σε άλλες περιπτώσεις, οι δράστες ήταν αυτοί που πωλούσαν δήθεν τα προϊόντα και αφού λάμβαναν την πληρωμή από τα θύματα, προχωρούσαν σε παραγγελία των προϊόντων από άλλον προμηθευτή, χρησιμοποιώντας τα στοιχεία τους. Τα θύματα λάμβαναν τελικά τα προϊόντα που είχαν παραγγείλει, καλούνταν όμως να πληρώσουν εκ νέου, αυτή τη φορά τον πραγματικό πωλητή.
Τα θύματα των περιπτώσεων αυτών έχουν το δικαίωμα να απευθυνθούν στην αστυνομία, ενίοτε όμως ζητούν και να μάθουν πληροφορίες σχετικά με τον δράστη, πολύ συχνά επικαλούμενα το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ. Στις περιπτώσεις που καταγγέλθηκαν, ωστόσο, οι υπεύθυνοι επεξεργασίας αρνήθηκαν να παράσχουν την πληροφόρηση αυτή, αιτιολογώντας την άρνησή τους είτε στο ότι οι πληροφορίες αυτές δεν αποτελούν προσωπικά δεδομένα του θύματος, ή επειδή η παράγραφος 4 του άρθρου 15 απαγορεύει μια τέτοια πληροφόρηση.
Σύμφωνα με το άρθρο 15 παρ.1 ΓΚΠΔ, το υποκείμενο των δεδομένων δικαιούται να ζητήσει ενημέρωση από τον υπεύθυνο επεξεργασίας σχετικά με τα προσωπικά δεδομένα που το αφορούν. Μια πληροφορία που σχετίζεται ή συνδέεται με συγκεκριμένο πρόσωπο, για παράδειγμα όταν αυτή τηρείται στον λογαριασμό χρήστη/πελάτη του θύματος, αποτελεί προσωπικό δεδομένο του προσώπου αυτού, σύμφωνα με το άρθρο 4 στοιχ. 1 ΓΚΠΔ.
Ως εκ τούτου, ακόμη και αν ο υπεύθυνος επεξεργασίας είναι ενήμερος πως έχει διαπραχθεί identity theft, οφείλει σύμφωνα με το άρθρο 15 ΓΚΠΔ να παράσχει ενημέρωση σχετικά με την παράνομη αυτή πράξη. Αυτό περιγράφεται ρητώς και στις Κατευθυντήριες Γραμμές 1/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για το δικαίωμα πρόσβασης, στην παράγραφο 107 του οποίου αναφέρεται ότι:
«Από την άλλη πλευρά, υπάρχουν καταστάσεις στις οποίες η σύνδεση μεταξύ των δεδομένων και αρκετών προσώπων μπορεί να φαίνεται ασαφής στον υπεύθυνο επεξεργασίας, όπως στην περίπτωση κλοπής ταυτότητας. Σε περίπτωση κλοπής ταυτότητας, ένα άτομο ενεργεί με δόλο στο όνομα ενός άλλου ατόμου. Στο πλαίσιο αυτό είναι σημαντικό να υπενθυμίσουμε ότι το θύμα θα πρέπει να ενημερώνεται για όλα τα δεδομένα προσωπικού χαρακτήρα που ο υπεύθυνος επεξεργασίας αποθηκεύει σε σχέση με την ταυτότητά του, συμπεριλαμβανομένων εκείνων που έχουν συλλεχθεί βάσει των ενεργειών του δράστη. Με άλλα λόγια, ακόμη και αφού ο υπεύθυνος επεξεργασίας έμαθε για την κλοπή ταυτότητας, τα δεδομένα προσωπικού χαρακτήρα που συνδέονται ή σχετίζονται με την ταυτότητα του θύματος αποτελούν δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων».
Συναφώς, ο υπεύθυνος επεξεργασίας μπορεί να παρέχει ενημέρωση μόνο για πληροφορίες που έχει στη διάθεσή του. Σε μια από τις καταγγελίες, ο δράστης είχε παραγγείλει προϊόντα από online έμπορο χρησιμοποιώντας τα στοιχεία της πιστωτικής κάρτας του θύματος, την οποία αυτός είχε ήδη στη διάθεσή του από προηγούμενη ενέργειά του. Εκτός από τα στοιχεία της κάρτας, ο δράστης χρησιμοποίησε και τα στοιχεία του θύματος για να κάνει την παραγγελία, όταν όμως το θύμα άσκησε αίτημα πρόσβασης δεν έλαβε πληροφόρηση σχετικά με την κάρτα που είχε χρησιμοποιηθεί και θεώρησε πως η πληροφόρηση ήταν ανεπαρκής. Ωστόσο, τα στοιχεία της κάρτας είχαν καταχωρηθεί μόνο στο πάροχο που διεκπεραίωσε την τραπεζική συναλλαγή και δεν τηρούνταν από τον υπεύθυνο επεξεργασίας – πωλητή. Συνεπώς, το γεγονός πως το θύμα δεν ενημερώθηκε σχετικά με τα στοιχεία αυτά δεν αποτέλεσε παραβίαση της υποχρέωσης του άρθρου 15 ΓΚΠΔ.
Η εξαίρεση του άρθρου 15 παρ.4 ΓΚΠΔ, σύμφωνα με την οποία το δικαίωμα λήψης αντιγράφου «δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων», μπορεί να τύχει εφαρμογής εφόσον ως «άλλος» θεωρηθεί και ο δράστης του identity theft. Ωστόσο, το γεγονός ότι οι ίδιες πληροφορίες μπορούν να αποτελούν ταυτόχρονα και προσωπικά δεδομένα ενός άλλου ατόμου δεν σημαίνει υποχρεωτικά πως η πληροφόρηση δεν πρέπει να δίνεται, αφού πρέπει να πραγματοποιείται στάθμιση μεταξύ των δικαιωμάτων των εμπλεκομένων προσώπων. Στην προκείμενη περίπτωση, η στάθμιση αυτή θα αποβαίνει συνήθως υπέρ του θύματος.
Από την ετήσια έκθεση 2023 της βαυαρικής αρχής προστασίας δεδομένων.
