Η γνωστοποίηση του εννόμου συμφέροντος ως προϋπόθεση νομιμότητας
Το ΔΕΕ συνδέει την ενημέρωση του υποκειμένου με το κύρος του εννόμου συμφέροντος και τη νομιμότητα της επεξεργασίας
14/01/2025
24/01/2025
Η νομική βάση του εννόμου συμφέροντος του άρθρου 6 παρ.1στ’ ΓΚΠΔ εμφανίζει αρκετές ιδιαιτερότητες σε σχέση με τους υπόλοιπους δικαιολογητικούς λόγους του ιδίου άρθρου. Μια από τις ιδιαιτερότητες αυτές είναι και η υποχρέωση σαφούς καθορισμού των εννόμων συμφερόντων και γνωστοποίησης αυτών προς τα υποκείμενα των δεδομένων.
Η απαίτηση αυτή δεν τίθεται ευθέως από την ίδια τη διάταξη που θεσπίζει τις προϋποθέσεις του εννόμου συμφέροντος, αλλά έμμεσα, μέσω των πληροφοριών που πρέπει να παρέχονται προς τα υποκείμενα των δεδομένων. Όπως προκύπτει από το άρθρο 13 παρ.1δ’ ΓΚΠΔ[1], ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να ενημερώσει το υποκείμενο των δεδομένων σχετικά με «τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο», όταν φυσικά η επεξεργασία βασίζεται στο άρθρο 6 παρ.1στ’ ΓΚΠΔ.
Το ερώτημα που τίθεται είναι τι γίνεται στην περίπτωση όπου η υποχρέωση αυτή δεν έχει εκπληρωθεί. Ποιες είναι οι συνέπειες της συλλογής και επεξεργασίας δεδομένων χωρίς την παραμικρή ενημέρωση του υποκειμένου κατά το άρθρο 13 ΓΚΠΔ ή έστω χωρίς την κατά τα ως άνω αναγκαία εξειδίκευση «των εννόμων συμφερόντων που επιδιώκονται».
Θα μπορούσε κανείς ίσως εύκολα να σκεφθεί πως η απάντηση θα προκύψει από την ένταξη και τη λειτουργία του άρθρου 13 στο εφαρμοστικό περιβάλλον του Γενικού Κανονισμού Προστασίας Δεδομένων. Τα άρθρα 13 και 14 ΓΚΠΔ περιγράφουν τις υποχρεώσεις ενημέρωσης των υποκειμένων των δεδομένων και συνδέονται άμεσα με την αρχή της διαφάνειας του άρθρου 5 παρ.1α’ ΓΚΠΔ. Κατά συνέπεια, μια επεξεργασία δεδομένων, η οποία πραγματοποιείται χωρίς την προβλεπόμενη στις διατάξεις αυτές ενημέρωση, παραβιάζει είτε τη διάταξη αυτή καθεαυτή, είτε και το ίδιο το άρθρο 5 παρ.1α’ ΓΚΠΔ (ως προς την αρχή της διαφάνειας), με τη δεύτερη περίπτωση να θέτει εν αμφιβόλω τη νομιμότητα της επεξεργασίας στο σύνολό της.[2]
Η παράλειψη στην ενημέρωση του υποκειμένου, ωστόσο, όπως τουλάχιστον τη γνωρίζαμε μέχρι σήμερα, δεν συνδέεται άμεσα με την εν στενή εννοία νομιμότητα της επεξεργασίας, ήτοι τη θεμελίωση αυτής σε μια από τις νομικές βάσεις του άρθρου 6. Αυτός άλλωστε είναι και ο λόγος για τον οποίο, για παράδειγμα, ουδείς υποστήριξε με τρόπο πειστικό πως ένα σύστημα βιντεοεπιτήρησης που λειτουργεί χωρίς τις απαιτούμενες σημάνσεις επεξεργάζεται δεδομένα χωρίς νομική βάση και παραβιάζει την αρχή της νομιμότητας.
Μέχρι πρότινος, τουλάχιστον. Διότι, αυτό που επιβεβαιώθηκε πολύ πρόσφατα από το ΔΕΕ είναι πως η παράλειψη παροχής ενημέρωσης σχετικά με τα επιδιωκόμενα έννομα συμφέροντα καθιστά τη συλλογή και επεξεργασία των δεδομένων παράνομη. Όχι μη νόμιμη λόγω παραβίασης της διαφάνειας, αλλά μη νόμιμη (και) λόγω απουσίας νομικής βάσης.
Η αρχική κρίση του ΔΕΕ στην υπόθεση Meta Platforms
H σχέση του άρθρου 13 παρ.1δ’ ΓΚΠΔ με το κύρος του εννόμου συμφέροντος είχε απασχολήσει το Δικαστήριο της Ευρωπαϊκής Ένωσης στην υπόθεση C-252/21 (Meta Platforms),[3] με το ΔΕΕ να εντάσσει τη γνωστοποίηση των επιδιωκόμενων εννόμων συμφερόντων στην πρώτη από τις τρεις προϋποθέσεις της νομικής βάσης: την ίδια την ύπαρξη εννόμου συμφέροντος.[4]
Όπως είχε χαρακτηριστικά κριθεί:
«107. Πρώτον, ως προς την προϋπόθεση της επιδίωξης εννόμου συμφέροντος, διευκρινίζεται ότι, βάσει του άρθρου 13, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ, ο υπεύθυνος εργασίας υποχρεούται, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα όταν αυτά συλλέγονται απευθείας από το υποκείμενο των δεδομένων, να του γνωστοποιήσει ποια είναι τα επιδιωκόμενα έννομα συμφέροντα σε περίπτωση που η επεξεργασία στηρίζεται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο στʹ, του κανονισμού».[5][6]
Με βάση το σκεπτικό αυτό, η απόφαση κατέληγε ότι:
«126. Το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο στʹ, του ΓΚΠΔ έχει την έννοια ότι μια τέτοια επεξεργασία δεν μπορεί να θεωρηθεί αναγκαία για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, κατά την έννοια της διατάξεως αυτής, παρά μόνον υπό την προϋπόθεση ότι η ενδιαφερόμενη επιχείρηση έχει γνωστοποιήσει στους χρήστες από τους οποίους συλλέγονται τα δεδομένα ποιο έννομο συμφέρον επιδιώκεται με την επεξεργασία τους,[7] ότι η επεξεργασία περιορίζεται εντός των ορίων που είναι απολύτως αναγκαία για την εξυπηρέτηση του έννομου αυτού συμφέροντος και ότι από τη στάθμιση των αντιτιθέμενων συμφερόντων, υπό το πρίσμα του συνόλου των κρίσιμων περιστάσεων, προκύπτει ότι τα συμφέροντα ή οι θεμελιώδεις ελευθερίες και τα θεμελιώδη δικαιώματα των χρηστών δεν υπερισχύουν του εν λόγω εννόμου συμφέροντος του υπευθύνου επεξεργασίας ή τρίτου».
Το συμπέρασμα αυτό ήταν μάλλον παράδοξο, ήταν όμως επαρκώς σαφές. Το παράδοξο έγκειται στο ότι το Δικαστήριο εντοπίζει το πρόβλημα νομιμότητας στο επίπεδο της αναγκαιότητας «για τους σκοπούς των εννόμων συμφερόντων» που επιδιώκονται, τη στιγμή ωστόσο που, όπως προαναφέρθηκε, η υποχρέωση του άρθρου 13 παρ.1δ’ ΓΚΠΔ εντασσόταν στην πρώτη προϋπόθεση του εννόμου συμφέροντος, με την αναγκαιότητα να βρίσκεται στο αμέσως επόμενο στάδιο, στο οποίο κανείς προχωρά εφόσον η αρχική προϋπόθεση έχει κριθεί πως πληρούται.
Οι προτάσεις του Γενικού Εισαγγελέα στην υπόθεση Mousse
Η ιδιαίτερα σημαντική αυτή κρίση του ΔΕΕ ως προς τις απαιτήσεις νομιμότητας του εννόμου συμφέροντος επισημάνθηκε από τον Γενικό Εισαγγελέα του ΔΕΕ Szpunar στις προτάσεις του για την υπόθεση με τους τίτλους προσφώνησης των επιβατών των γαλλικών σιδηροδρόμων (C-394/23 – Mousse).
Ο Γενικός Εισαγγελέας εκλήθη να διατυπώσει απόψεις σχετικά με την εφαρμογή της προβληθείσας [8] νομικής βάσης του εννόμου συμφέροντος και όπως ήταν αναμενόμενο, θυμήθηκε την κρίση του ΔΕΕ στη Meta Platforms, την οποία και παρέθεσε αναλυτικά:
«55. Όσον αφορά την πρώτη προϋπόθεση της επιδίωξης έννομου συμφέροντος, το Δικαστήριο επισήμανε, στην απόφαση Meta Platforms κ.λπ. ότι «βάσει του άρθρου 13, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας υποχρεούται, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα όταν αυτά συλλέγονται απευθείας από το υποκείμενο των δεδομένων, να του γνωστοποιήσει ποια είναι τα επιδιωκόμενα έννομα συμφέροντα σε περίπτωση που η επεξεργασία στηρίζεται στο άρθρο 6, παράγραφος 1, […], στοιχείο στʹ, του κανονισμού». Το Δικαστήριο έκρινε, συνεπώς, στην ίδια απόφαση, ότι η τελευταία ως άνω διάταξη έχει την έννοια ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα «δεν μπορεί να θεωρηθεί απαραίτητη για τους σκοπούς των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, κατά την έννοια της διάταξης αυτής, παρά μόνον υπό την προϋπόθεση ότι η ενδιαφερόμενη επιχείρηση έχει γνωστοποιήσει στους χρήστες από τους οποίους συλλέγονται τα δεδομένα ποιο έννομο συμφέρον επιδιώκεται με την επεξεργασία τους».
Ο Γενικός Εισαγγελέας επιχείρησε να καταστήσει απολύτως σαφείς τις συνέπειες της κρίσης αυτής του Δικαστηρίου, αλλά και να διαπλάσει μια ορθότερη και ασφαλέστερη υπαγωγή στον εφαρμοστέο κανόνα.
Όπως παρατήρησε, αυτό που έκρινε το δικαστήριο «με άλλα λόγια» είναι πως «η μη τήρηση της υποχρέωσης ενημέρωσης που προβλέπεται στο άρθρο 13, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ επιφέρει ως κύρωση τον παράνομο χαρακτήρα της επίμαχης επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Παράλληλα, επεσήμανε με έμφαση πως η υποχρέωση ενημέρωσης του άρθρου 13 παρ.1δ’ ΓΚΠΔ δεν εκπληρώνεται ούτε με «απλή αναφορά του έννομου συμφέροντος, χωρίς αυτό να προσδιορίζεται ακριβώς», αλλά ούτε και με τη «γενική αναφορά έννομου συμφέροντος σε πολιτική απορρήτου, η οποία διατίθεται μεν στην ιστοσελίδα του υπεύθυνου επεξεργασίας, πλην όμως ο πελάτης πρέπει να την αναζητήσει αυτοβούλως».
Ως προς την υπαγωγή, ο Γενικός Εισαγγελέας ορθώς εντόπισε το πρόβλημα νομιμότητας στο πρώτο επίπεδο του εννόμου συμφέροντος, αφού αυτό είχε ήδη κριθεί από το ΔΕΕ, διατυπώνοντας την άποψη πως η εξέταση των άλλων δύο προϋποθέσεων της νομικής βάσης (αναγκαιότητα και στάθμιση έναντι δικαιωμάτων των υποκειμένων) παρέλκει, εφόσον η παράλειψη ενημέρωσης πλήττει ευθέως την ίδια την ύπαρξη εννόμου συμφέροντος:
«60. Συνεπώς, δεν πληρούται η πρώτη προϋπόθεση του άρθρου 6, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ σχετικά με την ύπαρξη έννομου συμφέροντος, ερμηνευόμενη υπό το πρίσμα της υποχρέωσης γνωστοποίησης του εν λόγω συμφέροντος που προβλέπεται στο άρθρο 13, παράγραφος 1, στοιχείο δʹ, του κανονισμού αυτού. Επομένως, η επεξεργασία των δεδομένων προσφώνησης σε μια τέτοια περίπτωση δεν μπορεί να θεωρηθεί σύννομη κατά την έννοια της ως άνω διάταξης, χωρίς να απαιτείται να εξεταστεί το αν πληρούνται οι άλλες δύο προϋποθέσεις του άρθρου 6, παράγραφος 1, στοιχείο στʹ, του εν λόγω κανονισμού».
Η απόφαση του ΔΕΕ στην υπόθεση Mousse
To Δικαστήριο συμφώνησε εν πολλοίς με τις παρατηρήσεις του Γενικού Εισαγγελέα και επανέλαβε την κρίση του από την υπόθεση Meta Platforms, χωρίς ωστόσο και πάλι να αποφύγει ερμηνευτικές αστοχίες σε σχέση με τον ρόλο της αναγκαιότητας στο μη νόμιμο της επεξεργασίας.
Σύμφωνα με το κείμενο της απόφασης:
«46. Ως προς την προϋπόθεση, πρώτον, σχετικά με την επιδίωξη έννομου συμφέροντος, διευκρινίζεται ότι, βάσει του άρθρου 13, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας υποχρεούται, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα όταν αυτά συλλέγονται απευθείας από το υποκείμενο των δεδομένων, να του γνωστοποιήσει ποια είναι τα επιδιωκόμενα έννομα συμφέροντα σε περίπτωση που η επεξεργασία στηρίζεται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο στʹ, του κανονισμού. [...]
[...]
52. Όσον αφορά την πρώτη προϋπόθεση, περί της οποίας έγινε λόγος στη σκέψη 46 της παρούσας αποφάσεως, στο αιτούν δικαστήριο εναπόκειται να ελέγξει αν η SNCF Connect γνωστοποίησε κάποιο επιδιωκόμενο έννομο συμφέρον στους πελάτες της, όπως επιτάσσει το άρθρο 13, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ, κατά το στάδιο της συλλογής των επίμαχων στην κύρια δίκη δεδομένων. Όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 58 των προτάσεών του, η εν λόγω διάταξη επιβάλλει να ενημερώνονται άμεσα τα υποκείμενα των δεδομένων για το επιδιωκόμενο έννομο συμφέρον κατά το χρονικό σημείο της συλλογής των δεδομένων, ειδάλλως δεν μπορεί να δικαιολογηθεί η συλλογή τους βάσει του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο στʹ, του κανονισμού. Από τη δικογραφία που έχει στη διάθεσή του το Δικαστήριο δεν καθίσταται δυνατό να κριθεί εάν η ως άνω απαίτηση τηρήθηκε στο πλαίσιο της υπόθεσης της κύριας δίκης».
Με το σκεπτικό αυτό, το Δικαστήριο κατέληξε ότι:
«63. Κατά συνέπεια, το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο στʹ, του ΓΚΠΔ, ερμηνευόμενο σε συνδυασμό με το άρθρο 5, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, έχει την έννοια ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα σχετικών με τον τρόπο προσφώνησης των πελατών επιχείρησης μεταφορών, η οποία έχει ως σκοπό την εξατομίκευση της εμπορικής επικοινωνίας βάσει της ταυτότητας φύλου των πελατών, δεν μπορεί να θεωρηθεί απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος της επεξεργασίας ή τρίτος, όταν:
– το επιδιωκόμενο έννομο συμφέρον δεν έχει γνωστοποιηθεί στους πελάτες κατά τη συλλογή των δεδομένων αυτών· [...]»
Κάπως άστοχη η τελική κρίση του Δικαστηρίου, αλλά εξόχως σημαντική. Το ΔΕΕ, παρά τη σαφή εισήγηση του Γενικού Εισαγγελέα, δεν απέφυγε και πάλι να εμπλέξει την αναγκαιότητα στο πρόβλημα νομιμότητας που διαπίστωσε. Συνέδεσε την ενημέρωση του άρθρου 13 παρ.1δ’ ΓΚΠΔ με την πρώτη προϋπόθεση του εννόμου συμφέροντος και στη συνέχεια ερμήνευσε το άρθρο 6 παρ.1στ’ ΓΚΠΔ σε συνδυασμό με την αρχή της ελαχιστοποίησης, όπως αυτή ενσωματώνεται στα συστατικά στοιχεία του εννόμου συμφέροντος και δη στη δεύτερη προϋπόθεσή του.[9]
Και πάλι όμως, το συμπέρασμα δεν αλλάζει. Το ΔΕΕ επιβεβαιώνει αυτό που κάπως πιο διακριτικά είχε αναγνωρίσει με την απόφασή του στην υπόθεση C-252/21 (Meta Platforms):
Εάν βασίζεις τη συλλογή και επεξεργασία δεδομένων στη νομική βάση του εννόμου συμφέροντος, τα έννομα συμφέροντα που επιδιώκονται (από εσένα ή από τρίτο) πρέπει να προσδιορίζονται και να εξειδικεύονται, προκειμένου να κριθεί κατά πόσον αυτά είναι σύννομα.
Πρωτίστως όμως, τα έννομα συμφέροντα αυτά πρέπει να τίθενται σε γνώση των υποκειμένων των δεδομένων, μέσα από την ενημέρωση του άρθρου 13 ΓΚΠΔ και σύμφωνα με τη ρητή απαίτηση της παραγράφου 1δ’. Εάν αυτό δεν συμβεί, η επεξεργασία που έχεις πραγματοποιήσει δεν πάσχει μόνο ως προς την απαίτηση ενημέρωσης ή την υποχρέωση διαφάνειας, ως εκ τούτου δεν θεραπεύεται με μια απλή τροποποίηση της πολιτικής απορρήτου σου· πάσχει ως προς την ίδια τη νομιμότητά της και παραβιάζει την αρχή της νομιμότητας της επεξεργασίας. Είναι μια επεξεργασία χωρίς νόμιμη βάση, μια επεξεργασία που βασίζεται σε μια συλλογή δεδομένων που "δεν μπορεί να διακαιολογηθεί".
[1] Αντίστοιχη και η πρόβλεψη του άρθρου 14 παρ.2β’ ΓΚΠΔ για την περίπτωση όπου τα δεδομένα δεν συλλέγονται απευθείας από το υποκείμενο.
[2] Βλ. και την πάγια κρίση της Αρχής Προστασίας Δεδομένων (ενδ. ΑΠΔΠΧ 39/2024) πως «σε περίπτωση κατά την οποία παραβιάζεται κάποια εκ των προβλεπομένων στο άρθρο 5 παρ. 1 ΓΚΠΔ αρχών, η εν λόγω επεξεργασία παρίσταται ως μη νόμιμη (αντικείμενη στις διατάξεις του ΓΚΠΔ) και παρέλκει η εξέταση των προϋποθέσεων εφαρμογής των νομικών βάσεων του άρθρου 6 ΓΚΠΔ».
[3] Πρόκειται για την απόφαση που είναι γνωστή και ως Meta κατά Bundeskartellamt.
[4] Κατά πάγια κρίση του ΔΕΕ (αρχικά C-13/16 Rigas satiksme, σκ. 28, ακολούθως C-40/17 Fashion ID, σκ. 95, C-708/18 Asociaţia de Proprietari bloc M5A, σκ. 40, C-597/19 M.I.C.M., σκ. 106, C-252/21 Meta Platforms, σκ. 106, C-64/22 SCHUFA Holding, σκ. 75, C-18/22 HTB Neunte Immobilien Portfolio, σκ. 49 και C-621/22 Koninklijke Nederlandse Lawn Tennisbond, σκ. 37), η νομική βάση του εννόμου συμφέροντος περιλαμβάνει τρεις σωρευτικές προϋποθέσεις για τη σύννομη επεξεργασία δεδομένων: πρώτον, την επιδίωξη εννόμου συμφέροντος εκ μέρους του υπευθύνου της επεξεργασίας ή τρίτου, δεύτερον, την αναγκαιότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για την εξυπηρέτηση του επιδιωκόμενου εννόμου συμφέροντος και, τρίτον, την προϋπόθεση ότι δεν προέχουν τα συμφέροντα ή οι ελευθερίες και τα θεμελιώδη δικαιώματα του προσώπου το οποίο αφορά η προστασία των δεδομένων.
[5] Επίσης, C-621/22 Koninklijke Nederlandse Lawn Tennisbond, σκ. 41
[6] Η σκέψη 107 του ΔΕΕ μνημονεύεται και από το ΕΣΠΔ στο σχέδιο των Κατευθυντηρίων Γραμμών 1/2024 για το έννομο συμφέρον (σκ. 67 και υποσημ. 74), χωρίς ωστόσο να συνάγονται συμπεράσματα σχετικά με τις συνέπειες της μη παροχής της πληροφορίας αυτής.
[7] Στις προτάσεις του προς το Δικαστήριο για την υπόθεση αυτή, ο Γενικός Εισαγγελέας Ράντος είχε επισημάνει ότι «σύμφωνα με το άρθρο 13, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να αναφέρει τα έννομα συμφέροντα που επιδιώκονται στο πλαίσιο του άρθρου 6, παράγραφος 1 στοιχείο στʹ, του ΓΚΠΔ», διευκρινίζοντας πως «Όπερ συνεπάγεται, κατά τη γνώμη μου, ότι πρέπει να διευκρινίζεται ποια πράξη επεξεργασίας στηρίζεται σε ποιο έννομο συμφέρον».
[8] Όλως περιέργως η επίκληση της επικουρικής νομικής βάσης δεν έγινε από τον υπεύθυνο επεξεργασίας, αλλά από την ίδια τη γαλλική αρχή CNIL, η οποία είχε αρχικά κρίνει πως η επεξεργασία βασίζεται στην εκτέλεση σύμβασης.
[9] Ενδ. C-64/22 SCHUFA Holding, σκ. 78: «Στο πλαίσιο αυτό, υπενθυμίζεται επίσης ότι η προϋπόθεση της αναγκαιότητας της επεξεργασίας πρέπει να εξετάζεται από κοινού με τη λεγόμενη αρχή της «ελαχιστοποίησης των δεδομένων», την οποία καθιερώνει το άρθρο 5, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, όπου ορίζεται ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι «κατάλληλα, συναφή και [να] περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία»