Αναζήτηση στοιχείων φορολογούμενης μέσω ΑΑΔΕ: Επίπληξη στο Ελληνικό Κέντρο Κινηματογράφου (ΑΠΔΠΧ 2/2025)
Ο εκτελών την επεξεργασία για λογαριασμό του ΕΚΚ εισήλθε στο σύστημα με τους κωδικούς του ΑΠΕ-ΜΠΕ, με το οποίο επίσης συνεργαζόταν
Μια αρκετά πρωτότυπη υπόθεση εξέτασε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην απόφαση ΑΠΔΠΧ 2/2025, η οποία δημοσιεύτηκε σήμερα.
Η Αρχή έλαβε την καταγγελία υπαλλήλου του Ελληνικού Κέντρου Κινηματογράφου (ΕΚΚ) κατά του Αθηναϊκού - Μακεδονικού Πρακτορείου Ειδήσεων (ΑΠΕ-ΜΠΕ) και του ΕΚΚ για την παράνομη αναζήτηση των στοιχείων της από το πρώτο, μέσω της διαδικτυακής υπηρεσίας ««Αναζήτηση Βασικών Στοιχείων Μητρώου Επιχειρήσεων» της ΑΑΔΕ.
Το ΑΠΕ-ΜΠΕ ρωτήθηκε από την Αρχή ως προς το τι έχει συμβεί και απάντησε το εξής: Από τη διερεύνηση του περιστατικού προέκυψε ότι προστηθείς συνεργάτης του, ο οποίος τυγχάνει συγχρόνως και προστηθείς ως ειδικός συνεργάτης του ΕΚΚ (εφεξής Β), εισήλθε στο περιβάλλον της εφαρμογής της ΑΑΔΕ προκειμένου να ελέγξει τα επαγγελματικά δικαιώματα της καταγγέλλουσας, ως είχε εντολή από τη Διοίκηση του ΕΚΚ. Εκ παραδρομής, ωστόσο, ο συνεργάτης αυτός χρησιμοποίησε τους κωδικούς του ΑΠΕ-ΜΠΕ, αντί των κωδικών του φορέα που του είχε αναθέσει τον έλεγχο.
Η απάντηση αυτή διαβιβάστηκε από την Αρχή στο ΕΚΚ, μαζί με την καταγγελία, και ζητήθηκαν οι απόψεις του ειδικά ως προς τα εξής:
α) ποια εντολή ελέγχου δόθηκε ακριβώς από το ΕΚΚ προς τον Β εν προκειμένω, δεδομένου ότι ο εν λόγω σύμβουλος δεν είχε στην κατοχή του τους κωδικούς TAXISNET του ΕΚΚ.,
β) εάν η χρήση των κωδικών TAXISNET ΤΟΥ ΑΠΕ-ΜΠΕ από τον Β έγινε εν γνώσει ή κατόπιν σχετικής εντολής του ΕΚΚ,
γ) ποιος ήταν ο σκοπός και ποια η νομική βάση επεξεργασίας των δεδομένων των ελεγχόμενων από το ΕΚΚ στο πλαίσιο του ανωτέρω ελέγχου και
δ) εάν και πώς ενημερώθηκαν οι ελεγχόμενοι ως υποκείμενα των δεδομένων για την εν λόγω επεξεργασία, σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ.
Διαβάστε επίσης: Αναζήτηση προσωπικών δεδομένων υποψηφίου από τρίτες πηγές (ΑΠΔΠΧ 49/2023)
Η απάντηση του ΕΚΚ
Το Ελληνικό Κέντρο Κινηματογράφου απάντησε προς την Αρχή ότι στο πλαίσιο σύμβασής του με τον Β, «του ζητήθηκε η συνδρομή του στον έλεγχο της επάρκειας των φακέλων για τις θέσεις των διευθυντών/-τριών του φορέα, οι οποίες αφορούν ενεργές θέσεις εργασίας ορισμένου χρόνου και καταλαμβάνονται με διαγωνιστικές διαδικασίες, σύμφωνα με την κείμενη νομοθεσία και ότι στην περίπτωση της καταγγέλλουσας, η οποία ως Διευθύντρια … ανέφερε στο βιογραφικό της σημείωμα και ότι ήταν κάτοχος επαγγελματικών δικαιωμάτων λογιστή Α’ τάξης, εν προκειμένω ο έλεγχος καταλάμβανε και την επάρκεια των επαγγελματικών δικαιωμάτων της». Παράλληλα, το ΕΚΚ σημείωσε ότι η χρήση των κωδικών του ΑΠΕ-ΜΠΕ από τον ως άνω συνεργάτη δεν έγινε εν γνώσει ή με την εντολή του ενώ ως νομική βάση για την ως άνω επεξεργασία επικαλέστηκε το άρθρο 24 παρ.1α’ του Ν. 4624/2019, καθώς και τις περιπτώσεις β’, γ’ και στ’ της παραγράφου 1 του άρθρου 6 ΓΚΠΔ.
Ως προς την ενημέρωση της καταγγέλλουσας σχετικά με την επεξεργασία αυτή, το ΕΚΚ προέβαλε τον ισχυρισμό πως αυτή δεν ήταν υποχρεωτική, λόγω συνδρομής της περίπτωσης του άρθρου 31 παρ.1δ’ Ν. 4624/2019 περί παρεμπόδισης στη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
Η απόφαση της Αρχής
Η Αρχή εξέτασε δύο διαφορετικά ζητήματα που είχαν προκύψει: αφενός τη νομιμότητα της επεξεργασίας των δεδομένων της καταγγέλλουσας από τον Β για λογαριασμό του ΕΚΚ, αφετέρου την τυχόν ευθύνη του ΑΠΕ-ΜΠΕ για τη χρήση των δικών του κωδικών από τον συνεργάτη του.
● Ως προς το πρώτο ζήτημα, η Αρχή διαπίστωσε την από πλευράς ΕΚΚ μη τεκμηρίωση πολλαπλών απαιτήσεων νομιμότητας, κατά παράβαση της αρχής της λογοδοσίας.
Αυτό που καταρχήν κρίθηκε ήταν ο ρόλος του ΕΚΚ στο πλαίσιο της επεξεργασίας που διενεργήθηκε. Σύμφωνα με την απόφαση, το ΕΚΚ ανέθεσε στον σύμβουλο Β τον έλεγχο της επάρκειας των φακέλων των Διευθυντών του, με τον δεύτερο να ενεργεί ως εκτελών την επεξεργασία. Στο πλαίσιο της σχέσης αυτής, «αφέθηκε στην κρίση του εκτελούντος την επεξεργασία ο τρόπος διενέργειας του ελέγχου και ως εκ τούτου, η χρήση της εφαρμογής της ΑΑΔΕ για τον έλεγχο βασικών στοιχείων μητρώου επιχειρήσεων, έγινε με δική του πρωτοβουλία, ως “μέσο επεξεργασίας επουσιώδους σημασίας”». Κατά συνέπεια, την ευθύνη για την τήρηση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας φέρει το ΕΚΚ, το οποίο αποφάσισε τον σκοπό, καθώς και τα «ουσιώδη μέσα επεξεργασίας».
Υπό το δεδομένο αυτό, το ΕΚΚ δεν τεκμηρίωσε, σύμφωνα με την Αρχή την αναγκαιότητα της επεξεργασίας, τη νομική βάση αυτής (με την Αρχή να επισημαίνει πως το ΕΚΚ «επικαλέστηκε πολλαπλές νομικές βάσεις εκ του άρθρου 6 παρ.1 ΓΚΠΔ») και τη διαφάνεια της επεξεργασίας, αφού η καταγγέλλουσα δεν ενημερώθηκε, χωρίς να συντρέχει περίπτωση εξαίρεσης από την υποχρέωση ενημέρωσής της.
Η Αρχή κατέληξε πως το ΕΚΚ, ως υπεύθυνος επεξεργασίας, «δεν τεκμηρίωσε επαρκώς την νομιμότητα, το θεμιτό και την διαφάνεια της επεξεργασίας, ως όφειλε, με αποτέλεσμα να παραβιαστούν οι προβλεπόμενες από το άρ. 5 παρ. 1 εδ. α’ συνδ. 6 παρ. 1 ΓΚΠΔ διατάξεις», ωστόσο αξιολόγησε την παράβαση ως ελάσσονος σημασίας και έκρινε ότι προσήκει να απευθύνει επίπληξη.
Διαβάστε επίσης: Πρόστιμο σε λογιστή για παράνομη επεξεργασία προσωπικών δεδομένων φορολογούμενου (ΑΠΔΠΧ 48/2023)
● Ως προς το δεύτερο ζήτημα, ήτοι την ευθύνη του ΑΠΕ-ΜΠΕ, η Αρχή έκρινε πως δεν υπήρξε οποιαδήποτε τέτοια ευθύνη για το περιστατικό.
Σύμφωνα με την απόφαση, η εκ παραδρομής χρήση των κωδικών του ΑΠΕ-ΜΠΕ στην πλατφόρμα της ΑΑΔΕ «δεν είχε ως συνέπεια τη διαβίβαση δεδομένων της καταγγέλλουσας στο ΑΠΕ-ΜΠΕ, καθώς δεν έγινε οποιαδήποτε εξαγωγή πληροφοριών που την αφορούν στα συστήματα του ΑΠΕ-ΜΠΕ, ούτε οι πληροφορίες που απέδωσε η αναζήτηση παρέμειναν διαθέσιμες στον λογαριασμό του ΑΠΕ-ΜΠΕ στην πλατφόρμα».
Η Αρχή αναγνώρισε πως η πλημμελής εκτέλεση των εντολών του εκτελούντος την επεξεργασία είχε ως αποτέλεσμα «την πρόκληση αναστάτωσης και ανησυχίας στην καταγγέλλουσα για την πιθανή διαρροή των προσωπικών δεδομένων της σε μη δικαιούμενους τρίτους», έκρινε όμως πως και αυτή η παράβαση είναι ελάσσονος σημασίας, για την οποία προσήκει να απευθύνει στον Β προειδοποίηση.
Περαιτέρω – και έχοντας διαπιστώσει ελλείψεις στο συμφωνητικό συνεργασίας του άρθρου 28 ΓΚΠΔ μεταξύ υπευθύνου επεξεργασίας και εκτελούντος, η Αρχή έδωσε στο ΕΚΚ την εντολή όπως συνάψει κατάλληλη σύμβαση, η οποία θα περιλαμβάνει όλες τις ειδικότερες πληροφορίες του άρθρου 28 παρ.3 ΓΚΠΔ.
Η απόφαση ΑΠΔΠΧ 2/2025 είναι διαθέσιμη στον ιστότοπο της Αρχής.