Αυτεπάγγελτη παρέμβαση για τον ορισμό εκπροσώπου της DeepSeek στην Ευρωπαϊκή Ένωση (ΑΠΔΠΧ 18/2025)

Μια ασυνήθιστη και αξιοσημείωτη παρέμβασή της δημοσιοποίησε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με δελτίο τύπου και τη δημοσίευση της απόφασης ΑΠΔΠΧ 18/2025.

Η παρέμβαση της Αρχής αφορά τη νομιμότητα της λειτουργίας της πλατφόρμας DeepSeek, το άνοιγμα της οποίας στους ευρωπαίους χρήστες βρέθηκε στη δημοσιότητα το προηγούμενο χρονικό διάστημα. Η ελληνική εποπτική αρχή διαπίστωσε την ανάγκη διευκρίνισης σημαντικών ζητημάτων νομιμότητας της παρεχόμενης υπηρεσίας και αποφάσισε να κινήσει διαδικασία αυτεπάγγελτου ελέγχου προς τις εταιρείες Hangzhou DeepSeek Artificial Intelligence Co., Ltd. και Beijing DeepSeek Artificial Intelligence Co., Ltd. σχετικά με τις υπηρεσίες Τεχνητής Νοημοσύνης του DeepSeek που εταιρείες αυτές παρέχουν τόσο στο διαδίκτυο όσο και μέσω σχετικής εφαρμογής (web- και app-based) σε υποκείμενα προσωπικών δεδομένων ευρισκόμενα στην Ευρώπη και ειδικότερα στην Ελλάδα.

Η Αρχή απέστειλε έγγραφο προς τις δύο εταιρείες, με το οποίο τους υπενθύμισε πως εμπίπτουν στο πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων και τους έθεσε σειρά ερωτημάτων ως προς τη συμμόρφωσή τους με τις απαιτήσεις νομιμότητας της ενωσιακής νομοθεσίας για την προστασία των προσωπικών δεδομένων.

Ως προς την ένταξή τους στο πεδίο εφαρμογής του ΓΚΠΔ, η ΑΠΔΠΧ επεσήμανε πως αυτή συνεπάγεται καταρχήν μια βασική υποχρέωση βάσει άρθρου 27 ΓΚΠΔ: τον ορισμό εκπροσώπου στην ΕΕ. Όπως παρατηρήθηκε, οι δύο εταιρείες είναι μεν εγκατεστημένες στην Κίνα, ωστόσο οι δραστηριότητες επεξεργασίας, τις οποίες πραγματοποιούν, σχετίζονται με την προσφορά υπηρεσιών σε υποκείμενα δεδομένων ευρισκόμενα σε χώρες της ΕΕ, μεταξύ των οποίων και η Ελλάδα, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα. Κατά συνέπεια, οι ελεγχόμενες εταιρείες υποχρεούνται να ορίσουν γραπτώς εκπρόσωπο στην ΕΕ, ο οποίος πρέπει να είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία σε σχέση με την προσφορά υπηρεσιών προς αυτά, εκτός αν συντρέχει κάποια από τις εξαιρέσεις που προβλέπονται στην παράγραφο 2 του εν λόγω άρθρου 27.

Περαιτέρω – και με βάση την ως άνω διαπίστωση – η Αρχή έθεσε στις δύο εταιρείες τα εξής ζητήματα – ερωτήματα: α) πώς εξασφαλίζουν τη συμμόρφωση με τις βασικές αρχές νομιμότητας της επεξεργασίας των προσωπικών δεδομένων υποκειμένων ευρισκομένων στην Ελλάδα, σύμφωνα με το άρθρο 5 παρ. 1 ΓΚΠΔ, β) σε ποιες δραστηριότητες επεξεργασίας εμπλέκονται αναφορικά με προσωπικά δεδομένα υποκειμένων ευρισκομένων στην Ελλάδα, γ) ποια είναι, σύμφωνα με το άρθρο 6 παρ. 1 ΓΚΠΔ, η εκάστοτε εφαρμοζόμενη νομική βάση κάθε δραστηριότητας επεξεργασίας προσωπικών δεδομένων (και σε περίπτωση επεξεργασίας ειδικών κατηγοριών δεδομένων η εφαρμοζόμενη εξαίρεση κατ’ άρθρο 9 ΓΚΠΔ) υποκειμένων ευρισκομένων στην Ελλάδα, στο πλαίσιο των υποδομών λογισμικού DeepSeek, δ) πώς παρέχεται η επιτασσόμενη από τα άρθρα 13 και 14 ΓΚΠΔ ενημέρωση στα υποκείμενα, ε) πώς εξασφαλίζεται η ικανοποίηση των δικαιωμάτων υποκειμένων των δεδομένων, κατ’ άρθρα 15-22 ΓΚΠΔ, στ) πού βρίσκονται τα κέντρα δεδομένων που χρησιμοποιούν για τη φιλοξενία και παροχή των υποδομών λογισμικού DeepSeek.

Στο έγγραφο της Αρχής απάντησε η εταιρεία Hangzhou DeepSeek Artificial Intelligence Co., Ltd, η οποία διευκρίνισε πως οι υπηρεσίες ΤΝ του DeepSeek παρέχονται μόνο από την ίδια, γεγονός που επιβεβαιώθηκε και από την ισχύουσα πολιτική απορρήτου της πλατφόρμας.

Ως προς τα ζητήματα που είχε θέσει η Αρχή, η εταιρεία απάντησε ότι:

α) Οι υπηρεσίες που παρέχει μέσω του DeepSeek βασίζονται σε λογισμικό ανοιχτού κώδικα, με πρόθεση να επιτρέπεται στους προγραμματιστές και τους λάτρεις της ΤΝ σε όλο τον κόσμο να επωφεληθούν από την προηγμένη τεχνολογία ΤΝ, αντί να προσφέρουν προϊόντα και υπηρεσίες σε χρήστες σε οποιαδήποτε συγκεκριμένη χώρα. Η εταιρεία θεώρησε ότι δεν εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ και γι’ αυτό το λόγο δεν έχει ορίσει εκπρόσωπο εντός της ΕΕ, ωστόσο δήλωσε ότι είναι πρόθυμη να δεχθεί τις συμβουλές και την καθοδήγησή της Αρχής, σχετικά με τυχόν υποχρέωση ορισμού εκπροσώπου στην ΕΕ καθώς και συγκεκριμένων συστάσεων για έναν τέτοιο ορισμό.

β) Ως νεοσύστατη κινεζική εταιρεία ΤΝ, η DeepSeek δεν έχει καμία εγκατάσταση στον ΕΟΧ προς το παρόν.

γ) H DeepSeek δίνει μεγάλη έμφαση στην προστασία δεδομένων σε όλες τις επιχειρηματικές της διαδικασίες και διασφαλίζει την αποτελεσματική τήρηση των αρχών επεξεργασίας προσωπικών δεδομένων εφαρμόζοντας μια σειρά από μέτρα συμμόρφωσης, εσωτερικές πολιτικές και τεχνικές διασφαλίσεις.

δ) Ανέφερε τις αρχές του ΓΚΠΔ, αλλά χωρίς να χρησιμοποιεί τους ορισμούς και τα συγκεκριμένα άρθρα του ΓΚΠΔ, όπως φάνηκε χαρακτηριστικά από τη χρήση του όρου Personal Information Protection Impact Assessment (PIPIA), ο οποίος προέρχεται από τον Κινέζικο Νόμο για την Προστασία Προσωπικών Δεδομένων.

ε) Απάντησε σχετικά με τις εφαρμοζόμενες νομικές βάσεις της επεξεργασίας χωρίς όμως να αναφερθεί σε συγκεκριμένα άρθρα του ΓΚΠΔ.

στ) Όσον αφορά στα δικαιώματα των υποκειμένων των δεδομένων ανέφερε τις διατάξεις του ΓΚΠΔ,

ζ) Ανέφερε μέτρα ασφάλειας, χωρίς όμως να συνδέει αυτά με τον ΓΚΠΔ, π.χ. δεν ανέφερε την υποχρέωση γνωστοποίησης περιστατικών ασφαλείας,

η) Η DeepSeek ιδρύει επί του παρόντος τα δικά της κέντρα δεδομένων στην Κίνα για να φιλοξενήσει και να παρέχει την υποδομή λογισμικού DeepSeek.

Η απόφαση της Αρχής

Η Αρχή εξέτασε τους ισχυρισμούς της εταιρείας, μελετώντας παράλληλα την αναρτημένη πολιτική απορρήτου του DeepSeek και επιβεβαίωσε την αρχική της διαπίστωση πως υπάρχει υποχρέωση ορισμού εκπροσώπου στην ΕΕ.

Σύμφωνα με την απόφασή της:

«5. Στην υπό κρίση περίπτωση, όσον αφορά τη συσχέτιση των δραστηριοτήτων επεξεργασίας της DeepSeek με την προσφορά υπηρεσιών σε υποκείμενα δεδομένων ευρισκόμενα στην ΕΕ κρίσιμο ζήτημα είναι αν όντως οι δραστηριότητες επεξεργασίας αφορούν σε υπηρεσίες οι οποίες προσφέρονται εκ προθέσεως και όχι ακούσια και συμπτωματικά σε υποκείμενα που ευρίσκονται στην ΕΕ και, εν προκειμένω, στην Ελλάδα.

Οι υπηρεσίες που προσφέρει η DeepSeek αναμφίβολα απευθύνονται και στοχεύουν σε υποκείμενα ευρισκόμενα στην ΕΕ, δεδομένου ότι η συμπεριφορά εκ μέρους της DeepSeek, ως υπευθύνου επεξεργασίας που καθορίζει τα μέσα και τους σκοπούς της επεξεργασίας, καθιστά πρόδηλη την πρόθεσή της να προσφέρει υπηρεσίες σε υποκείμενα ευρισκόμενα στην ΕΕ και ειδικότερα στην Ελλάδα, καθώς είναι προσβάσιμη και μέσω διαδικτύου αλλά και μέσω των εφαρμογών για κινητές συσκευές σε υποκείμενα ευρισκόμενα στην Ελλάδα. Επίσης οι εφαρμογές είναι διαθέσιμες στην ελληνική γλώσσα.

6. Η εταιρεία Hangzhou DeepSeek Artificial Intelligence Co., Ltd. η οποία παρέχει υπηρεσίες ΤΝ μέσω της πλατφόρμας DeepSeek, εδρεύει στην Κίνα, ενώ δεν διαθέτει καμία εγκατάσταση στην Ε.Ε.

Συνεπώς, στην περίπτωση της ως άνω εταιρείας, η οποία δεν έχει εγκατάσταση στην Ε.Ε., αλλά εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ βάσει του κριτηρίου στόχευσης που τίθεται με τη διάταξη του άρθρου 3 παρ. 2 ΓΚΠΔ, κάθε εθνική εποπτική αρχή είναι αρμόδια να ελέγξει την τήρηση του ΓΚΠΔ από αυτήν στο έδαφος του κράτους μέλους της, όπως προεξετέθη στη σκέψη 3.

7. Κατόπιν των ανωτέρω, από τα στοιχεία του φακέλου, η Αρχή διαπιστώνει εκ μέρους της εταιρείας Hangzhou DeepSeek Artificial Intelligence Co., Ltd. παράβαση της υποχρέωσης ορισμού εκπροσώπου στην ΕΕ. (άρθρο 27 ΓΚΠΔ), διότι, παρόλο που αυτή, αν και δεν έχει εγκατάσταση στην ΕΕ, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, βάσει του άρθρου 3 παρ. 2 στοιχ. β’ και, συνεπώς, υποχρεούται να ορίσει εκπρόσωπο στην ΕΕ σύμφωνα με το άρθρο 27 ΓΚΠΔ, εντούτοις, δεν έχει εκπληρώσει την υποχρέωσή της αυτή».

Με βάση το σκεπτικό αυτό, η εποπτική αρχή έδωσε εντολή στην εταιρεία Hangzhou DeepSeek Artificial Intelligence Co. να ορίσει γραπτώς εκπρόσωπό της στην Ευρωπαϊκή Ένωση και ακολούθως να την ενημερώσει σχετικά. Όπως και έγινε.

Σύμφωνα με το δελτίο τύπου που δημοσιεύτηκε την ίδια ημέρα κατά την οποία αναρτήθηκε η απόφαση ΑΠΔΠΧ 18/2025, «σε συνέχεια της ως άνω εντολής, η εταιρεία ενημέρωσε στις 28.05.2025 την Αρχή ότι προέβη στον ορισμό της εταιρείας Prighter EU Rep GmbH που εδρεύει στη Βιέννη, ως εκπροσώπου της στην ΕΕ».

Η απόφαση ΑΠΔΠΧ 18/2025 είναι διαθέσιμη στον ιστότοπο της αρχής.