Εξέταση καταγγελιών και λήψη διορθωτικών μέτρων από τις αρχές προστασίας δεδομένων (Γενικός Εισαγγελέας ΔΕΕ C-768/21)

Επιμέλεια: Δημήτρης Βέρρας

Υποχρεούται μια αρχή προστασίας προσωπικών δεδομένων να παρεμβαίνει σε κάθε περίπτωση, όταν διαπιστώνει επεξεργασία δεδομένων που προσβάλει τα δικαιώματα του υποκειμένου των δεδομένων;

Αυτό το ενδιαφέρον προδικαστικό ερώτημα απηύθυνε το διοικητικό πρωτοδικείο του Βισμπάντεν προς το ΔΕΕ στην υπόθεση C‑768/21 (Land Hessen)[1], επί της οποίας δημοσιεύτηκαν χτες οι προτάσεις του Γενικού Εισαγγελέα Priit Pikamae.

Το ιστορικό:

Στις 15 Νοεμβρίου του 2019 το Ταμιευτήριο, ένα τοπικό ίδρυμα δημοσίου δικαίου που διενεργεί και τραπεζικές - πιστωτικές εργασίες, γνωστοποίησε στην αρχή προστασίας δεδομένων του γερμανικού κρατιδίου της Έσσης HBDI[2] ένα περιστατικό παραβίασης προσωπικών δεδομένων. Σύμφωνα με τη γνωστοποίηση, υπάλληλος του Ταμιευτηρίου «είχε επανειλημμένως πρόσβαση, χωρίς να έχει εξουσιοδοτηθεί προς τούτο, σε δεδομένα προσωπικού χαρακτήρα του TR, ενός εκ των πελατών του». Επί του περιστατικού αυτού, το Ταμιευτήριο ενημέρωσε, σύμφωνα με το άρθρο 33 ΓΚΠΔ, την εποπτική αρχή, αλλά όχι και το υποκείμενο των δεδομένων, όπως προβλέπει το άρθρο 34, καθώς εκτίμησε πως «δεν επρόκειτο για παραβίαση δεδομένων προσωπικού χαρακτήρα δυνάμενη να προκαλέσει υψηλό κίνδυνο για τον TR».

Ο TR, αφού έλαβε γνώση του περιστατικού αυτού, απευθύνθηκε στον HBDI τον Ιούλιο του 2020, καταγγέλλοντας παράβαση του άρθρου 34 ΓΚΠΔ «και επικρίνοντας τη σύντομη περίοδο διατήρησης του μητρώου πρόσβασης του Ταμιευτηρίου, διάρκειας τριών μηνών, καθώς και τα ευρείας έκτασης δικαιώματα πρόσβασης των οποίων απολαύει κάθε μέλος του προσωπικού του τελευταίου».

Ενώπιον της εποπτικής αρχής, το Ταμιευτήριο επισήμανε ότι ο DPO του εκτίμησε πως «δεν υφίστατο κίνδυνος για τον TR, δεδομένου ότι είχαν ληφθεί πειθαρχικά μέτρα κατά της συγκεκριμένης υπαλλήλου και ότι η εν λόγω υπάλληλος είχε επιβεβαιώσει εγγράφως ότι δεν είχε αντιγράψει ούτε είχε αποθηκεύσει τα δεδομένα των οποίων είχε λάβει γνώση, ότι δεν τα είχε διαβιβάσει σε τρίτους ούτε και θα το έπραττε στο μέλλον». Ακολούθως, o HBDI ενημέρωσε τον καταγγέλλοντα TR πως, κατά με την κρίση του, το Ταμιευτήριο δεν είχε παραβιάσει το άρθρο 34. Σύμφωνα με την αρχή, «η απόφαση που έπρεπε να ληφθεί βάσει της διάταξης αυτής είναι απόφαση βάσει πρόβλεψης. Υπό το πρίσμα του καθεστώτος ελέγχου της προστασίας των δεδομένων, έπρεπε να εξεταστεί αν η απόφαση αυτή ήταν προδήλως εσφαλμένη. Το Ταμιευτήριο είχε επισημάνει ότι, μολονότι πραγματοποιήθηκε πρόσβαση, εντούτοις δεν υπήρχε καμία ένδειξη ότι η υπάλληλος που είχε αποκτήσει πρόσβαση διαβίβασε τα δεδομένα σε τρίτους ή ότι τα χρησιμοποίησε σε βάρος του TR. Κατά συνέπεια, πιθανώς δεν συνέτρεχε υψηλός κίνδυνος. Επιπλέον, το Ταμιευτήριο κλήθηκε να διατηρεί στο εξής το μητρώο πρόσβασης για μεγαλύτερο χρονικό διάστημα. Σύμφωνα με τον HBDI, ο επί της αρχής έλεγχος κάθε πρόσβασης δεν ήταν αναγκαίος, δεδομένου ότι μπορούσαν κατ’ αρχήν να χορηγηθούν ευρείας έκτασης δικαιώματα πρόσβασης εάν ήταν βέβαιο ότι κάθε χρήστης ήταν ενήμερος για τους όρους υπό τους οποίους μπορούσε να έχει πρόσβαση στα συγκεκριμένα δεδομένα.»

Ο TR άσκησε προσφυγή κατά της απόφασης ενώπιον του διοικητικού πρωτοδικείου του Βισμπάντεν, ζητώντας να υποχρεωθεί η εποπτική αρχή να παρέμβει κατά του Ταμιευτηρίου.

Οι προβληματισμοί του αιτούντος δικαστηρίου:

Ενώπιον του δικαστηρίου, ο προσφεύγων ισχυρίστηκε πως ο HBDI «όφειλε να ερευνήσει τα πραγματικά περιστατικά στα οποία στηρίζεται η εκτίμηση του κινδύνου εκ μέρους του Ταμιευτηρίου χωρίς να περιοριστεί στα μέτρα που ζητήθηκαν ρητώς και όφειλε να επιβάλει πρόστιμα στο Ταμιευτήριο». Σύμφωνα με τον προσφεύγοντα, όταν διαπιστώνεται παράβαση, η εποπτική αρχή δεν έχει τη δυνατότητα να αποφασίσει αν θα ενεργήσει ή όχι, αλλά, μόνον, να επιλέξει τα μέτρα που πρόκειται να λάβει.

Το αιτούν δικαστήριο του Βισμπάντεν ανέπτυξε την άποψη του προσφεύγοντος, επισημαίνοντας μάλιστα πως αυτή υποστηρίζεται και από μέρος της θεωρίας. Σύμφωνα με την άποψη αυτή, το άρθρο 58 παρ.2 ΓΚΠΔ «πρέπει να νοηθεί ως πηγή υποχρέωσης η οποία θεμελιώνει δικαίωμα του πολίτη να αξιώσει τη λήψη μέτρων εκ μέρους των αρχών όταν μια επιχείρηση ή μια αρχή έχει επεξεργαστεί παρανόμως δεδομένα προσωπικού χαρακτήρα του πολίτη ή έχει προσβάλει κατ’ άλλον τρόπο δικαιώματα. Σε περίπτωση διαπίστωσης παράβασης των κανόνων προστασίας των δεδομένων, η εποπτική αρχή υποχρεούται να λάβει διορθωτικά μέτρα, η μόνη δε διακριτική ευχέρεια που διαθέτει είναι να επιλέξει ποια από τα προβλεπόμενα μέτρα θα λάβει».

Από την άλλη πλευρά, το δικαστήριο δεν έκρυψε τις αμφιβολίες του ως προς την ορθότητα της ερμηνείας αυτής, την οποία θεωρεί υπερβολικά ευρεία. Το δικαστήριο κατέστησε σαφές πως κλίνει υπέρ μιας πιο στενής προσέγγισης, σύμφωνα με την οποία οι εποπτικές αρχές πρέπει να έχουν ένα περιθώριο χειρισμών, το οποίο τους παρέχει και τη δυνατότητα να απέχουν από την επιβολή κυρώσεων σε περίπτωση διαπιστωμένων παραβάσεων. Όπως παρατήρησε: «το άρθρο 57, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ ορίζει απλώς ότι η εποπτική αρχή που επιλαμβάνεται καταγγελιών ερευνά, στο μέτρο που ενδείκνυται, το αντικείμενο της καταγγελίας και ενημερώνει σχετικά τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας εντός εύλογου χρονικού διαστήματος. Επομένως, η εποπτική αρχή έχει, στο πλαίσιο αυτό, την υποχρέωση να προβαίνει σε προσεκτική επί της ουσίας εξέταση και να ερευνά την εκάστοτε συγκεκριμένη περίπτωση, δίχως να συνάγεται εξ αυτού ότι οφείλει πάντοτε και απολύτως να παρεμβαίνει σε περίπτωση διαπίστωσης παράβασης».

Οι προτάσεις του Γενικού Εισαγγελέα:

Ο Γενικός Εισαγγελέας εκτίμησε πως αυτό που ζητείται, κατ’ ουσίαν να διευκρινιστεί είναι «ποιες είναι οι υποχρεώσεις της εποπτικής αρχής όταν έχει διαπιστωθεί παραβίαση δεδομένων προσωπικού χαρακτήρα».(personal data breach).[3]  Η εκτίμηση αυτή, η οποία θα επαναληφθεί σε πολλά επιμέρους σημεία των προτάσεών του, προκαλεί σύγχυση, δεδομένου πως η επίδικη υπόθεση αφορά πράγματι περιστατικό παραβίασης δεδομένων, ωστόσο ο Γενικός Εισαγγελέας μοιάζει να αναφέρεται στη γενικότερη περίπτωση της παραβίασης των κανόνων της νομοθεσίας και των δικαιωμάτων των υποκειμένων, κάτι το οποίο άλλωστε αποτέλεσε και το αντικείμενο του προδικαστικού ερωτήματος.

Περαιτέρω, ο Γενικός Εισαγγελέας παρατήρησε πως οι σημαντικές αρχές που διέπουν τη διαδικασία της καταγγελίας έχουν ήδη διευκρινιστεί από το ΔΕΕ στις υποθέσεις Schufa, που εκδόθηκαν μετά την υποβολή της προδικαστικής αίτησης. Για τον λόγο αυτό θεώρησε σκόπιμο να εκθέσει εξαρχής το νομικό πλαίσιο σχετικά με το καθεστώς εποπτείας του ΓΚΠΔ, χωρίζοντας τις προτάσεις του σε πέντε επιμέρους ενότητες, κατά σειρά ενεργειών των εποπτικών αρχών.

1. Επί των υποχρεώσεων της εποπτικής αρχής κατά την εξέταση καταγγελίας

Σύμφωνα με τον Γενικό Εισαγγελέα, το άρθρο 57 παρ.1στ’ ΓΚΠΔ προβλέπει πως κάθε εποπτική αρχή υποχρεούται αφενός να εξετάζει τις καταγγελίες των υποκειμένων, αφετέρου να ερευνά το αντικείμενό τους στο μέτρο του αναγκαίου. Η εξέταση των καταγγελιών αυτών πρέπει να γίνεται με τη δέουσα επιμέλεια, ενώ άλλωστε το άρθρο 58 παρ.1 ΓΚΠΔ απονέμει στις εποπτικές αρχές σημαντικές εξουσίες έρευνας.

Περαιτέρω, ο Γενικός Εισαγγελέας υπενθύμισε πως, όπως έχει δεχθεί το ΔΕΕ στις αποφάσεις Schufa[4]  συντασσόμενο με τις προτάσεις του, η υποβολή καταγγελίας, η οποία διαφέρει από την υποβολή αναφοράς, δημιουργήθηκε ως μηχανισμός ικανός να προστατεύει με αποτελεσματικό τρόπο τα δικαιώματα και τα συμφέροντα των υποκειμένων των δεδομένων.

Τέλος, παρατήρησε πως, όπως επίσης έχει κρίνει το ΔΕΕ ακολουθώντας την ερμηνεία του ιδίου, οι αποφάσεις των εποπτικών αρχών επί καταγγελίας υπόκεινται σε πλήρη δικαστικό έλεγχο.

2. Επί των υποχρεώσεων της εποπτικής αρχής κατά τη διαπίστωση παραβίασης δεδομένων προσωπικού χαρακτήρα

Το δεύτερο ζήτημα αφορά τον τρόπο με τον οποίο πρέπει μια εποπτική αρχή να ενεργήσει όταν «διαπιστώνει παραβίαση δεδομένων προσωπικού χαρακτήρα κατά την εξέταση καταγγελίας». Και από αυτή τη διατύπωση φαίνεται μια νοηματική ασάφεια ως προς την παραβίαση, στην οποία αναφέρεται ο Γενικός Εισαγγελέας. Τούτο διότι, είναι ασαφές πώς νοείται η διαπίστωση της παραβίασης δεδομένων «κατά την εξέταση καταγγελίας», σε μια υπόθεση στην οποία η καταγγελία αφορά τη μη λήψη μέτρων για παραβίαση δεδομένων που γνωστοποιήθηκε στην εποπτική αρχή.

Σύμφωνα με τον Γενικό Εισαγγελέα, η διαπίστωση της παραβίασης δεδομένων «θεμελιώνει, κατ’ αρχάς, υποχρέωση της εποπτικής αρχής να παρέμβει προς το συμφέρον της αρχής της νομιμότητας», ενώ όπως προσθέτει «πρόκειται για τον προσδιορισμό του πλέον κατάλληλου ή των πλέων κατάλληλων διορθωτικών μέτρων για την αντιμετώπιση της παράβασης».

Η ερμηνεία αυτή κρίνεται εύλογη, καθώς δεν θα ήταν συμβατό με βάση την εντολή του άρθρου 57 παρ.1α ΓΚΠΔ για παρακολούθηση και επιβολή της εφαρμογής του Κανονισμού να δεχθούμε πως μια εποπτική αρχή έχει τη δυνατότητα «να αγνοήσει απλώς τη διαπιστωθείσα παράβαση».

Περαιτέρω, το άρθρο 57 παρ.1στ’ και το άρθρο 77 παρ.2 ΓΚΠΔ επιβάλλουν ορισμένες υποχρεώσεις της εποπτικής αρχής έναντι του καταγγέλλοντος, ήτοι «να τον ενημερώνει για την πρόοδο και για την έκβαση της έρευνας». Στην ενημέρωση αυτή περιλαμβάνονται και τα μέτρα «που ελήφθησαν σε σχέση με την παραβίαση δεδομένων που διαπίστωσε».

Ο Γενικός Εισαγγελέας καταλήγει πως η υποβολή καταγγελίας δεν θα είχε καμία χρησιμότητα, εάν η εποπτική αρχή μπορούσε να παραμείνει αδρανής έναντι μιας νομικής κατάστασης αντίθετης προς το δίκαιο της Ένωσης, ενώ επισημαίνει πως για τον λόγο αυτό το άρθρο 58 παρ.2 ΓΚΠΔ προβλέπει και κατάλογο διορθωτικών μέτρων, ανάλογα με την ένταση της παρέμβασης.

Κατά συνέπεια, η υποχρέωση παρέμβασης της εποπτικής αρχής, σε κάθε περίπτωση και ανεξαρτήτως της σοβαρότητας της παράβασης, σημαίνει πως αυτή «πρέπει να κάνει χρήση του εν λόγω καταλόγου διορθωτικών μέτρων προκειμένου να επαναφέρει μια σύμφωνη προς το δίκαιο της Ένωσης κατάσταση».  

3. Επί της εξουσίας της εποπτικής αρχής να λαμβάνει διορθωτικά μέτρα

Το τρίτο ζήτημα είναι και το πιο ενδιαφέρον, καθώς σε αυτό ο Γενικός Εισαγγελέας προτείνει την ανάθεση καθηκόντων από την εποπτική αρχή προς τον υπεύθυνο επεξεργασίας που έχει κάνει την παράβαση (ή παραβίαση δεδομένων), δια της συμφωνίας μεταξύ τους στη λήψη «αυτοτελών μέτρων», ούτως ώστε η εποπτική αρχή να μη χάνει χρόνο ασχολούμενη με υποθέσεις μικρού ενδιαφέροντος.  

Εισαγωγικώς, ο Γενικός Εισαγγελέας παρατηρεί πως το ζήτημα του κατά πόσον πρέπει η εποπτική αρχή να παρεμβαίνει «σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα» πρέπει να διακρίνεται σαφώς από το ζήτημα του πώς πρέπει συγκεκριμένα να ενεργεί. Η διατύπωση του άρθρου 58 παρ.2 σε εξουσία που «διαθέτει» η εποπτική αρχή να λαμβάνει τα διορθωτικά μέτρα της διάταξης, υποδηλώνει την ύπαρξη δυνατότητας.

Περαιτέρω, η υποχρέωση που δεσμεύει την εποπτική αρχή «σχετίζεται πρωτίστως με το αποτέλεσμα που πρέπει να επιτευχθεί, ήτοι την αποκατάσταση της διαπιστωθείσας παράβασης, με τη λήψη του «κατάλληλου» για τον σκοπό αυτό μέτρου», ενώ η απόφαση σχετικά με την επιλογή του μέτρου εξαρτάται από τις συγκεκριμένες περιστάσεις κάθε μεμονωμένης περίπτωσης. Κατά συνέπεια, «οι αποφάσεις που λαμβάνει η εποπτική αρχή στο πλαίσιο της διοικητικής πρακτικής της ενδέχεται να διαφέρουν σημαντικά κατά περίπτωση, ανάλογα με την κατάσταση».

Κατά τη γνώμη του Γενικού Εισαγγελέα, η αναγνώριση της ευχέρειας της εποπτικής αρχής ως προς την επιλογή του κατάλληλου διορθωτικού μέτρου συνεπάγεται και την ύπαρξη της εξουσίας να μη λαμβάνεται κανένα από τα διορθωτικά μέτρα του άρθρου 58 παρ.2 ΓΚΠΔ, «όταν η προσέγγιση αυτή δικαιολογείται από τις ειδικές περιστάσεις της συγκεκριμένης περίπτωσης». Από τη στιγμή που το μέτρο που λαμβάνεται είναι «αναγκαίο» για τη διασφάλιση της συμμόρφωσης, «δεν μπορεί να αποκλειστεί το ενδεχόμενο να μην πληροί την εν λόγω προϋπόθεση μια συγκεκριμένη παρέμβαση εκ μέρους της εποπτικής αρχής, παραδείγματος χάριν εάν το πρόβλημα έχει εν τω μεταξύ επιλυθεί ή εκλείψει και η παράβαση έχει παύσει να υφίσταται». Όπως επισημαίνεται, στην περίπτωση αυτή, η παρέμβαση της εποπτικής αρχής «θα στερούνταν νοήματος».

Επιπροσθέτως, η χρήση διορθωτικών μέτρων μπορεί και να μη δικαιολογείται πλέον, «αν το επίπεδο του επιλήψιμου χαρακτήρα της συμπεριφοράς του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι προδήλως χαμηλό ή αν οι περιστάσεις της υπόθεσης είναι αφ’ εαυτών ελαφρυντικές, ιδίως επειδή υπάρχει κάποιος επιμερισμός της ευθύνης με τον καταγγέλλοντα». Ο Γενικός Εισαγγελέας επικαλείται την αιτιολογική σκέψη 141, όπου «γίνεται ρητή αναφορά στο ενδεχόμενο η εποπτική αρχή να αποφασίσει να μην ενεργήσει, σε περιπτώσεις στις οποίες θεωρεί ότι η ανάληψη δράσης δεν είναι «αναγκαία» για τη διασφάλιση της προστασίας των δικαιωμάτων του υποκειμένου των δεδομένων», ενώ παράλληλα διευκρινίζεται πως η απόφαση της εποπτικής αρχής υπόκειται σε δικαστικό έλεγχο, στην περίπτωση όπου ο καταγγέλλων δεν συμφωνεί με την εκτίμηση της αρχής.

Ακόμη σημαντικότερη είναι η επόμενη σκέψη του Γενικού Εισαγγελέα, ως αποτέλεσμα της διακριτικής ευχέρειας που έχει ήδη κρίνει πως αποδίδεται στην εποπτική αρχή μέσα από το άρθρο 58 παρ.2 ΓΚΠΔ.

Σύμφωνα με τις προτάσεις του, η διακριτική ευχέρεια αυτή «συνεπάγεται ότι είναι επίσης δυνατή η αντιμετώπιση παραβάσεων ελάσσονος σημασίας με άλλα μέτρα που λαμβάνει ο ίδιος ο υπεύθυνος επεξεργασίας. Όπως προκύπτει από τις περιστάσεις της υπό κρίση υπόθεσης, τα διορθωτικά μέτρα που πρέπει να λάβουν οι «αυτοτελώς» υπεύθυνες επιχειρήσεις μπορεί να συνίστανται στη λήψη πειθαρχικών μέτρων εις βάρος των υπαλλήλων που διέπραξαν παραβάσεις. Σε περιπτώσεις στις οποίες έχει αναγνωριστεί η ευθύνη για την παράβαση και έχει διασφαλιστεί ότι δεν θα υπάρξει περαιτέρω παραβίαση δεδομένων, η επιβολή πρόσθετων διορθωτικών μέτρων από την εποπτική αρχή μπορεί να θεωρηθεί περιττή».

Ο Γενικός Εισαγγελέας προσθέτει ότι «σε ορισμένες περιπτώσεις, μπορεί ακόμη και να αποδειχθεί αντιπαραγωγική η χρήση της εξουσίας λήψης διορθωτικών μέτρων κατά υπευθύνου επεξεργασίας, όταν αυτό δεν είναι ούτε σκόπιμο ούτε αναγκαίο. Εάν η εποπτική αρχή ήταν υποχρεωμένη να κάνει χρήση των εξουσιών λήψης διορθωτικών μέτρων που προβλέπονται στο άρθρο 58, παράγραφος 2, του ΓΚΠΔ σε κάθε περίπτωση παράβασης, θα μειώνονταν οι διαθέσιμοι πόροι για την παρακολούθηση άλλων υποθέσεων και καθηκόντων που χρήζουν μεγαλύτερης προσοχής από την άποψη της προστασίας των δεδομένων. Ως εκ τούτου, φρονώ ότι η χρήση «αυτοτελών» μέτρων που λαμβάνονται από τον ίδιο τον υπεύθυνο επεξεργασίας παρέχει στην εποπτική αρχή τη δυνατότητα να επικεντρωθεί σε σοβαρές περιπτώσεις που χρήζουν προτεραιότητας, διασφαλίζοντας παράλληλα τη συνεχή, αλλά με αποκεντρωμένο τρόπο, καταπολέμηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα, ήτοι μέσω μερικής ανάθεσης των καθηκόντων της».

Ο μηχανισμός αυτός της «ανάθεσης καθηκόντων» και λήψης «αυτοτελών μέτρων» από τον υπεύθυνο επεξεργασίας συνοδεύεται, κατά τον Γενικό Εισαγγελέα από τρεις προϋποθέσεις: «Πρώτον, η εποπτική αρχή θα πρέπει να παράσχει τη ρητή συγκατάθεσή της σε ένα τέτοιο μέτρο προκειμένου να αποφευχθεί τυχόν καταστρατήγηση του καθεστώτος εποπτείας που θεσπίζεται με τον ΓΚΠΔ. Δεύτερον, πριν από την εν λόγω συγκατάθεση, θα πρέπει να προηγηθεί ενδελεχής εξέταση της κατάστασης υπό το πρίσμα των προϋποθέσεων που αναφέρονται στην αιτιολογική σκέψη 129 του ΓΚΠΔ, προκειμένου να μην απαλλάσσεται η εποπτική αρχή από την ευθύνη της να μεριμνά για τη συμμόρφωση με τον εν λόγω κανονισμό. Τρίτον, η συμφωνία με την οντότητα που πρέπει να εκτελέσει το «αυτοτελές» μέτρο θα πρέπει να προβλέπει το δικαίωμα παρέμβασης της εποπτικής αρχής σε περίπτωση μη τήρησης των οδηγιών της».

4. Επί της απουσίας υποχρέωσης της εποπτικής αρχής να επιβάλλει διοικητικά πρόστιμα σε κάθε περίπτωση

Μολονότι ο νομοθέτης της Ένωσης συμπεριέλαβε τα διοικητικά πρόστιμα στα «διορθωτικά μέτρα» του άρθρου 58 παρ.2 ΓΚΠΔ, γεγονός παραμένει ότι τα εν λόγω πρόστιμα παρουσιάζουν ορισμένα ιδιαίτερα χαρακτηριστικά σε σχέση με τα λοιπά μέτρα. Με αυτό το σκεπτικό, ο Γενικός Εισαγγελέας προχωρά στην εξέταση της υποχρέωσης υποβολής διοικητικού προστίμου.

Σύμφωνα με τις προτάσεις του, από την αιτιολογική σκέψη 148 συνάγεται πως «ο νομοθέτης της Ένωσης είχε επίγνωση του γεγονότος ότι ένα διοικητικό πρόστιμο συνιστά ιδιαίτερα αυστηρό διορθωτικό μέτρο το οποίο δεν πρέπει να χρησιμοποιείται σε κάθε περίπτωση, διότι άλλως θα μειωνόταν η αποτελεσματικότητά του, αλλά μόνον όταν το απαιτούν οι περιστάσεις μιας συγκεκριμένης περίπτωσης».

Τα ιδιαίτερα χαρακτηριστικά κάθε περίπτωση, τα οποία διαλαμβάνονται στο άρθρο 83 παρ.2 ΓΚΠΔ, καθορίζουν εν τέλει το αν πρέπει να επιβληθεί πρόστιμο και το ύψος του προστίμου αυτού, ενώ η εν λόγω απόφαση «συνιστά, σε τελική ανάλυση, απόφαση που λαμβάνεται κατά διακριτική ευχέρεια της εποπτικής αρχής.

5. Επί της απουσίας υποχρέωσης της εποπτικής αρχής να επιβάλλει διοικητικά πρόστιμα όταν ο καταγγέλλων το απαιτεί ρητώς

Το τελευταίο ζήτημα που εξετάζεται είναι και αυτό, στο οποίο ο Γενικός Εισαγγελέας είναι περισσότερο κατηγορηματικός: Η άποψη του προσφεύγοντος πως μπορεί να απαιτήσει από την εποπτική αρχή την επιβολή διοικητικού προστίμου «στερείται νομικού ερείσματος».

Κατά πρώτον, και λαμβάνοντας υπόψιν την ήδη αναγνωρισθείσα διακριτική ευχέρεια της εποπτικής αρχής κατά τη λήψη του αναγκαίου μέτρου, η διακριτική ευχέρεια αυτή εκτείνεται και στα διοικητικά πρόστιμα, καθόσον αυτά περιλαμβάνονται στα διορθωτικά μέτρα του άρθρου 58 παρ.2 ΓΚΠΔ. Επομένως, «δεν υφίσταται καμία υποχρέωση της εποπτική αρχής να ενεργεί προς το συμφέρον του καταγγέλλοντος με τη λήψη συγκεκριμένου διορθωτικού μέτρου».

Κατά δεύτερον, ακόμη και αν οι περιστάσεις της υπό κρίση υπόθεσης δικαιολογούν τη λήψη συγκεκριμένου διορθωτικού μέτρου, δεν μπορεί βασίμως να υποστηριχθεί πως η επιβολή διοικητικού προστίμου είναι αναγκαία, καθώς πρέπει να ληφθούν υπόψιν οι σκοποί που επιδιώκονται με τα διάφορα διορθωτικά μέτρα, άρα και με το διοικητικό πρόστιμο.

Ως προς το διοικητικό πρόστιμο, ο Γενικός Εισαγγελέας εκτιμά πως η τιμωρητική λειτουργίας του «τουλάχιστον σε ορισμένες περιπτώσεις», αλλά και ο υψηλός βαθμός αυστηρότητας που αυτό μπορεί να έχει ενδέχεται να του προσδίδουν ποινικό χαρακτήρα.

Συμπερασματικά:

Συνοψίζοντας τα πέντε σημεία που ανέπτυξε αναλυτικά, ο Γενικός Εισαγγελέας του ΔΕΕ καταλήγει ότι «η εποπτική αρχή υποχρεούται να παρεμβαίνει όταν διαπιστώνει παραβίαση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εξέτασης καταγγελίας. Ειδικότερα, η ως άνω αρχή οφείλει να προσδιορίζει το πλέον κατάλληλο ή τα πλέον κατάλληλα διορθωτικά μέτρα για την αντιμετώπιση της παραβίασης και τη διασφάλιση του σεβασμού των δικαιωμάτων του υποκειμένου των δεδομένων. Συναφώς, ο ΓΚΠΔ απαιτεί, καταλείποντας συγχρόνως ορισμένη διακριτική ευχέρεια στην εποπτική αρχή, τα μέτρα αυτά να είναι κατάλληλα, αναγκαία και αναλογικά. Υπό ορισμένες προϋποθέσεις, η εποπτική αρχή μπορεί να παραιτηθεί από τα μέτρα που προβλέπονται στο άρθρο 58, παράγραφος 2, του εν λόγω κανονισμού υπέρ «αυτοτελών» μέτρων που λαμβάνονται από τον ίδιο τον υπεύθυνο επεξεργασίας. Σε κάθε περίπτωση, το υποκείμενο των δεδομένων δεν έχει το δικαίωμα να απαιτήσει τη λήψη συγκεκριμένου μέτρου. Οι αρχές αυτές εφαρμόζονται επίσης στο σύστημα των διοικητικών προστίμων».

Το πλήρες κείμενο των προτάσεων είναι διαθέσιμο εδώ.

 

[1] Τον ίδιο τίτλο φέρει και η προηγηθείσα υπόθεση C-272/19

[2] HBDI: Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Επίτροπος για την προστασία των δεδομένων και την ελευθερία της πληροφορίας)

[3] “violation de données à caractère personnel”, κατά το πρωτότυπο γαλλικό κείμενο

[4] Απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή) (C‑26/22 και C‑64/22).