logo-print

Η πληροφόρηση για τα στοιχεία των αποδεκτών στο πλαίσιο του δικαιώματος πρόσβασης: Εν αναμονή της απόφασης του ΔΕΕ

08/01/2023

08/01/2023

Η πληροφόρηση για τα στοιχεία των αποδεκτών στο πλαίσιο του δικαιώματος πρόσβασης: Εν αναμονή της απόφασης του ΔΕΕ

Σύμφωνα με την περ. γ’ της παραγράφου 1 του άρθρου 15 ΓΚΠΔ,

Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες:

[…]

γ) τους αποδέκτες1 ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς.

Η χωρίς κριτήρια παράθεση δυο δυνητικών επιλογών έχει προκαλέσει διχογνωμία σχετικά με τα ακριβή όρια της υποχρέωσης που η διάταξη θέτει στους υπευθύνους επεξεργασίας και, αντίστροφα, του δικαιώματος που αναγνωρίζει στα υποκείμενα των δεδομένων. Ποια από τις δύο περιπτώσεις προηγείται και ποιος το αποφασίζει αυτό; Είναι υποχρεωμένος ο υπεύθυνος επεξεργασίας να ονοματίζει τους συγκεκριμένους αποδέκτες, στους οποίους κοινολογεί τα προσωπικά δεδομένα του ασκούντος το δικαίωμα πρόσβασης ή μπορεί να εκπληρώνει σύννομα την υποχρέωσή του αυτή με μια απλή πληροφόρηση ως προς τις κατηγορίες των αποδεκτών; Είναι κρίσιμο το εάν τα στοιχεία των αποδεκτών είναι σε γνώση του και πόσο επηρεάζει την υποχρέωσή του η περίπτωση κατά την οποία τα στοιχεία των αποδεκτών ζητούνται ρητώς από το υποκείμενο;

Το ζήτημα αυτό έχει τεθεί ενώπιον του ΔΕΕ στην υπόθεση C-154/21 (Österreichische Post), η απόφαση επί της οποίας αναμένεται να εκδοθεί την Πέμπτη 12 Ιανουαρίου, ενώ παράλληλα έχει εξεταστεί από το ΕΣΠΔ αλλά και από εποπτικές αρχές του Γενικού Κανονισμού.

Εν αναμονή της πολύ σημαντικής απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης έχει ενδιαφέρον να υπομνησθούν, με χρονική σειρά, ορισμένες σημαντικές εξελίξεις επί του ως άνω ερμηνευτικού ζητήματος.

I. Η υπόθεση C-154/21 (Österreichische Post)

Στις 15 Ιανουαρίου 2019 ο RW ζήτησε από την Österreichische Post (αυστριακά ταχυδρομεία) να του παράσχει πρόσβαση, κατ’ εφαρμογήν του άρθρου 15 ΓΚΠΔ, στα προσωπικά δεδομένα του, τα οποία διατηρεί ή διατηρούσε στο παρελθόν, καθώς και να τον ενημερώσει, σε περίπτωση κοινολόγησης των δεδομένων αυτών σε τρίτους, για την ταυτότητα των αποδεκτών στους οποίους κοινολογήθηκαν τα δεδομένα αυτά.

Η Österreichische Post του απάντησε ότι χρησιμοποιεί δεδομένα, στο μέτρο που επιτρέπεται από τον νόμο, στο πλαίσιο της δραστηριότητάς της ως εκδότριας τηλεφωνικών καταλόγων και τα παρέχει σε επιχειρήσεις για σκοπούς εμπορικής προωθήσεως. Εν συνεχεία, παρέπεμψε σε έναν ιστότοπο από τον οποίο προέκυπταν γενικές πληροφορίες σχετικά με τους σκοπούς της επεξεργασίας των δεδομένων του RW και ο οποίος περιείχε παραπομπή σε άλλον ιστότοπο. Ο δεύτερος αυτός ιστότοπος περιείχε γενικές πληροφορίες σχετικά με την προστασία των δεδομένων και καθιστούσε δυνατό τον γενικό προσδιορισμό ορισμένων κατηγοριών αποδεκτών στους οποίους η Österreichische Post κοινολογούσε δεδομένα προσωπικού χαρακτήρα. Εντούτοις, η Österreichische Post ουδέποτε γνωστοποίησε στον RW τους συγκεκριμένους αποδέκτες στους οποίους κοινολογούνται τα δεδομένα του.

Ο RW άσκησε αγωγή με αίτημα να υποχρεωθεί η Österreichische Post να του παράσχει περαιτέρω πληροφορίες, κατ’ εφαρμογήν του άρθρου 15 του ΓΚΠΔ, όσον αφορά τυχόν διαβίβαση των προσωπικών δεδομένων του σε τρίτους καθώς και, σε περίπτωση που πράγματι έχει λάβει χώρα τέτοια διαβίβαση, όσον αφορά τον συγκεκριμένο ή τους συγκεκριμένους αποδέκτες στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα προσωπικά δεδομένα του. Ο RW υποστηρίζει ότι οι πληροφορίες που παρέσχε η Österreichische Post δεν πληρούν τις νόμιμες απαιτήσεις του άρθρου 15 του ΓΚΠΔ, καθόσον εξ αυτών δεν προκύπτει εάν η Österreichische Post γνωστοποίησε ή όχι σε τρίτους τα προσωπικά δεδομένα του και, σε περίπτωση που όντως υπήρξε γνωστοποίηση, ποιοι ήταν οι συγκεκριμένοι αποδέκτες των κοινολογήσεων.

Τα δικάσαντα σε πρώτο και δεύτερο βαθμό δικαστήρια απέρριψαν το αγωγικό αίτημα του RW, κρίνοντας κατ’ ουσίαν ότι, δεδομένου ότι το άρθρο 15 παρ.1γ΄ ΓΚΠΔ κάνει λόγο για αποδέκτες ή κατηγορίες αποδεκτών, η διάταξη αυτή παρέχει στον υπεύθυνο επεξεργασίας τη δυνατότητα να επιλέξει αν θα περιοριστεί να κοινοποιήσει στο υποκείμενο των δεδομένων τις κατηγορίες αποδεκτών, χωρίς να απαιτείται να κατονομάσει τους συγκεκριμένους αποδέκτες στους οποίους κοινολογούνται τα προσωπικά δεδομένα του.

Ο RW άσκησε αναίρεση ενώπιον του Ανωτάτου Δικαστηρίου της Αυστρίας (Oberster Gerichtshof), με το δικαστήριο να υποβάλλει2 την από 9-3-2021 αίτηση έκδοσης προδικαστικής απόφασης, θέτοντας στο ΔΕΕ ένα και μόνο ερώτημα:

Έχει το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του [ΓΚΠΔ] την έννοια ότι το δικαίωμα πρόσβασης [του υποκειμένου των δεδομένων] περιορίζεται στις πληροφορίες σχετικά με τις κατηγορίες αποδεκτών αν οι συγκεκριμένοι αποδέκτες δεν έχουν ακόμη προσδιοριστεί στο πλαίσιο σχεδιαζόμενων κοινολογήσεων, ενώ, αν έχουν ήδη κοινολογηθεί δεδομένα, το εν λόγω δικαίωμα πρέπει υποχρεωτικώς να εκτείνεται και στις πληροφορίες σχετικά με τους αποδέκτες των εν λόγω κοινολογήσεων;

ΙΙ. Οι Κατευθυντήριες Γραμμές 1/2022 ΕΣΠΔ

Το ζήτημα πρόσβασης αποτέλεσε αντικείμενο των Κατευθυντηρίων Γραμμών 1/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.3 Στο κείμενο αυτό, εξετάζεται ειδικώς και η έννοια της αναφοράς του άρθρου 17 παρ.1γ’ ΓΚΠΔ σε «αποδέκτες» και «κατηγορίες αποδεκτών».

Επί του ζητήματος αυτού, το Συμβούλιο παρατηρεί τα εξής4:

«115. Επί του ερωτήματος εάν ο υπεύθυνος επεξεργασίας έχει τη δυνατότητα να επιλέγει μεταξύ πληροφόρησης για αποδέκτες ή για κατηγορίες αποδεκτών, πρέπει να υπομνησθεί ότι, όπως επισημαίνεται στις Κατευθυντήριες Γραμμές για τη διαφάνεια, η πληροφόρηση σχετικά με τους αποδέκτες, ήδη με βάση τα άρθρα 13 και 14 ΓΚΠΔ, πρέπει να είναι όσο το δυνατόν πιο σαφής, εν όψει των αρχών της διαφάνειας και της θεμιτής επεξεργασίας.

Ως εκ τούτου, ο υπεύθυνος επεξεργασίας οφείλει γενικά να παρέχει τα στοιχεία των συγκεκριμένων αποδεκτών, εκτός εάν δεν είναι σε θέση παρά μόνο να υποδείξει τις κατηγορίες των αποδεκτών. Παρά ταύτα, υπάρχουν περιπτώσεις όπου η παροχή των στοιχείων των συγκεκριμένων αποδεκτών δεν είναι ακόμη εφικτή κατά τον χρόνο της πληροφόρησης των άρθρων 13 και 14 ΓΚΠΔ, αλλά μόνο σε δεύτερο χρόνο, για παράδειγμα όταν ασκείται αίτημα πρόσβασης. Στο πλαίσιο αυτό, το ΕΣΠΔ επισημαίνει ότι η διατήρηση πληροφοριών σχετικά με τους συγκεκριμένους αποδέκτες είναι αναγκαία, μεταξύ άλλων, για τη συμμόρφωση με τις υποχρεώσεις του υπευθύνου επεξεργασίας σύμφωνα με τα άρθρα 5 παρ.2 και 19 ΓΚΠΔ.

Παράδειγμα: Στην Πολιτική Προστασίας του, ο εργοδότης παρέχει ενημέρωση σχετικά με τις κατηγορίες δεδομένων που διαβιβάζονται σε «ταξιδιωτικά πρακτορεία» ή «ξενοδοχεία» σε περίπτωση επαγγελματικών ταξιδίων, σύμφωνα με το άρθρο 13 παρ.1ε’ και 14 παρ.1ε’ ΓΚΠΔ. Εάν ένας υπάλληλος υποβάλει αίτημα πρόσβασης μετά από ένα επαγγελματικό ταξίδι, ο υπεύθυνος επεξεργασίας οφείλει, όσον αφορά τους αποδέκτες των δεδομένων, να υποδείξει το πρακτορείο (-α) και το ξενοδοχείο (-α) που έχουν λάβει τα δεδομένα. Ενώ η αρχική αναφορά της Πολιτικής Προστασίας σε κατηγορίες αποδεκτών ήταν σύννομη, καθώς στο στάδιο εκείνο δεν ήταν δυνατός ο προσδιορισμός αυτών, οι αρχές της διαφάνειας και θεμιτής επεξεργασίας απαιτούν την πληροφόρηση επί των συγκεκριμένων αποδεκτών, όταν ο υπάλληλος υποβάλλει αίτημα πρόσβασης.

Εάν οι υπεύθυνοι επεξεργασίας επιλέγουν να παράσχουν τις κατηγορίες των αποδεκτών, οι πληροφορίες θα πρέπει είναι όσο το δυνατόν πιο συγκεκριμένες και να αναφέρουν τον τύπο του αποδέκτη (δηλ., με αναφορά στις δραστηριότητες που εκτελεί), τον κλάδο, τον τομέα, τον επιμέρους τομέα και την τοποθεσία των αποδεκτών».

Από τα ανωτέρω προκύπτει πως το Συμβούλιο μοιάζει να συνδέει καταρχήν την ερμηνεία της διάταξης αυτής με την ερμηνεία που είχε προηγηθεί ως προς την υποχρέωση ενημέρωσης – διαφάνειας των άρθρων 13-14 ΓΚΠΔ.

Υπενθυμίζεται ότι, εκτός της περίπτωσης του άρθρου 15 παρ.1γ’ ΓΚΠΔ, η αναφορά σε «αποδέκτες ή κατηγορίες αποδεκτών» συναντάται και στα άρθρα 13 παρ.1ε’5 και 14 παρ.1ε’6 ΓΚΠΔ, που αναφέρονται στην ενημέρωση που πρέπει να παρέχεται στα υποκείμενα στο πλαίσιο εκπλήρωσης της αρχής της διαφάνειας. Η αναφορά αυτή είχε εξεταστεί με τρόπο συνοπτικό και μάλλον ασαφή στο παράρτημα των Κατευθυντηρίων Γραμμών της Ομάδας Εργασίας του Άρθρου 29 για τη Διαφάνεια (WP260 rev.01), όπου είχαν διατυπωθεί (σελ. 49) τα εξής:

«Ο όρος «αποδέκτης» ορίζεται στο άρθρο 4 παράγραφος 9 ως «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι» [προσθήκη έμφασης]. Δεδομένου τούτου, ένας αποδέκτης δεν χρειάζεται να είναι κάποιος τρίτος. Ως εκ τούτου, οι υπόλοιποι υπεύθυνοι επεξεργασίας δεδομένων, από κοινού υπεύθυνοι επεξεργασίας και εκτελούντες την επεξεργασία στους οποίους διαβιβάζονται ή κοινολογούνται τα δεδομένα καλύπτονται από τον όρο «αποδέκτης» και οι πληροφορίες για αυτούς τους αποδέκτες θα πρέπει να παρέχονται επιπλέον των πληροφοριών για τρίτους αποδέκτες.

Πρέπει να παρέχονται τα ονόματα των αποδεκτών των δεδομένων προσωπικού χαρακτήρα ή οι κατηγορίες αποδεκτών. Σύμφωνα με την αρχή της νομιμότητας, οι υπεύθυνοι επεξεργασίας πρέπει να παρέχουν σχετικά με τους αποδέκτες τις πλέον σημαντικές για τα υποκείμενα των δεδομένων πληροφορίες. Στην πράξη, θα πρόκειται σε γενικές γραμμές για τα ονόματα των αποδεκτών, ώστε να υποκείμενα των δεδομένων να γνωρίζουν επακριβώς ποιος έχει στην κατοχή του τα δεδομένα προσωπικού χαρακτήρα τους. Εάν οι υπεύθυνοι επεξεργασίας επιλέγουν να παράσχουν τις κατηγορίες των αποδεκτών, οι πληροφορίες θα πρέπει είναι όσο το δυνατόν πιο συγκεκριμένες και να αναφέρουν τον τύπο του αποδέκτη (δηλ., με αναφορά στις δραστηριότητες που εκτελεί), τον κλάδο, τον τομέα, τον επιμέρους τομέα και την τοποθεσία των αποδεκτών7».

Από την αντιπαραβολή των δύο κειμένων φαίνεται ότι το ΕΣΠΔ ευθυγραμμίζεται με το πνεύμα της ΟΕ298 ως προς το ότι εξετάζει το άρθρο 15 παρ.1γ’ ως μια υποχρέωση του υπευθύνου επεξεργασίας, και δη ως λογική και χρονική συνέχεια της υποχρέωσης ενημέρωσης των άρθρων 13-14, παράλληλα όμως καθιστά ελαφρώς πιο σαφή την υποχρέωση αυτή σε σχέση με την αρχική γνώμη του καταργηθέντος οργάνου, ακόμη και στο πλαίσιο των άρθρων 13-14. Σύμφωνα με το Συμβούλιο, ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τα ονόματα/στοιχεία των αποδεκτών, τόσο κατά την αρχική ενημέρωση των 13-14, όσο και κατά την άσκηση αιτήματος πρόσβασης του άρθρου 15, εκτός εάν «δεν είναι σε θέση» να κάνει κάτι τέτοιο.9

Παράλληλα, το ΕΣΠΔ καθιστά μάλλον σαφές ότι, ακόμη και αν κατά τον χρόνο ενημέρωσης των άρθρων 13-14 ο υπεύθυνος επεξεργασίας θα μπορούσε να ισχυριστεί ότι δεν γνωρίζει ακόμη τα στοιχεία συγκεκριμένων αποδεκτών (αν και στην πράξη σε πολλές περιπτώσεις αυτά θα είναι εξ αρχής στη διάθεσή του), όταν θα κληθεί να εκπληρώσει την υποχρέωση πληροφόρησης του δικαιώματος πρόσβασης και θα έχει ήδη διαβιβάσει τα δεδομένα του αιτούντος σε συγκεκριμένους αποδέκτες, δεν έχει επιλογή παρά να του γνωστοποιήσει τα στοιχεία αυτών.

IΙΙ. Η απόφαση EDPBI:SE:OSS:D:2022:366 της Σουηδικής Αρχής Προστασίας Δεδομένων.

Στη σουηδική αρχή προστασίας δεδομένων ΙΜΥ διαβιβάστηκε καταγγελία Γερμανού πολίτη για την πλημμελή ικανοποίηση αιτήματος πρόσβασης. Η καταγγελία στρεφόταν κατά σουηδικής εταιρείας που δραστηριοποιείται στην Ένωση και διαβιβάστηκε στην ΙΜΥ, υπό την ιδιότητά της ως επικεφαλής εποπτικής αρχής του άρθρου 56 ΓΚΠΔ.

Σύμφωνα με την καταγγελία, ο καταγγέλλων ζήτησε πρόσβαση στα προσωπικά δεδομένα του, η απάντηση όμως που έλαβε δεν ήταν πλήρης, καθώς απουσίαζαν τα στοιχεία των συγκεκριμένων αποδεκτών στους οποίους είχαν διαβιβαστεί τα δεδομένα του. Με νέο αίτημα ζήτησε την πληροφορία αυτή, χωρίς να λάβει και πάλι σχετική ενημέρωση.

Ερωτηθείσα από τη σουηδική αρχή, η εταιρεία ισχυρίστηκε πως το αίτημα ικανοποιήθηκε σύμφωνα με τις απαιτήσεις του Γενικού Κανονισμού Προστασίας Δεδομένων: Ο ΓΚΠΔ δεν θεσπίζει κάποια σχετική υποχρέωση, ενώ οι Κατευθυντήριες Γραμμές 1/2022 ΕΣΠΔ δεν είχαν ακόμη εκδοθεί.

Επικαλούμενη τις Κατευθυντήριες Γραμμές αυτές10, η IMY παρατηρεί ότι:11

«Η γραμματική διατύπωση του άρθρου 15 παρ.1γ’ ΓΚΠΔ δεν διευκρινίζει εάν ο υπεύθυνος επεξεργασίας έχει τη δυνατότητα να επιλέγει μεταξύ της πληροφόρησης για συγκεκριμένους αποδέκτες ή μόνο για κατηγορίες αποδεκτών. Ωστόσο, η IMY καταλήγει ότι το άρθρο 15 παρ.1γ’, σε συνδυασμό με το άρθρο 19 ΓΚΠΔ και υπό το φως των αρχών της διαφάνειας και θεμιτής επεξεργασίας (άρθρο 5 παρ.1α) δεν μπορεί να ερμηνεύεται παρά μόνο ως δικαίωμα του υποκειμένουειδικά όταν αυτό ζητείται ρητώς, να λαμβάνει από τον υπεύθυνο επεξεργασίας πληροφόρηση για τους συγκεκριμένους αποδέκτες, στους οποίους τα δεδομένα του έχουν ή πρόκειται να κοινολογηθούν, εκτός εάν αυτό αποδεικνύεται αδύνατο ή προϋποθέτει δυσανάλογη προσπάθεια. Η ΙΜΥ επισημαίνει ότι ο καταγγέλλων ρητώς ζήτησε πληροφόρηση για τους πραγματικούς αποδέκτες, ενώ η εταιρεία δεν απέδειξε πως αυτό ήταν αδύνατο ή απαιτούσε δυσανάλογη προσπάθεια. Κατά συνέπεια, η εταιρεία επεξεργάστηκε τα προσωπικά δεδομένα του καταγγέλλοντος κατά παράβαση του άρθρου 15 ΓΚΠΔ.

Το συμπέρασμα αυτό δεν επηρεάζεται από τον ισχυρισμό της εταιρείας περί μη έκδοσης των Κατευθυντηρίων Γραμμών του ΕΣΠΔ κατά τον χρόνο ικανοποίησης του αιτήματος. Η ΙΜΥ δεν ισχυρίζεται πως η εταιρεία είχε την υποχρέωση να εφαρμόσει Κατευθυντήριες που δεν ήταν σε γνώση της εταιρείας κατά τον χρόνο της παράβασης. Η επίκληση των Κατευθυντηρίων Γραμμών από την ΙΜΥ γίνεται προς απόδειξη της ευρείας υποστήριξης της γνώμης της, ως αποτέλεσμα της γραμματικής διατύπωσης του άρθρου 19

Με το σκεπτικό αυτό, η σουηδική αρχή, με την από 11-5-2022 απόφασή της, απηύθυνε επίπληξη στην εταιρεία, η οποία παρ’ όλα αυτά προσέφυγε ενώπιον των δικαστηρίων ζητώντας την ακύρωση της απόφασης. Σύμφωνα με την από 30-12-2022 ανακοίνωση της αρχής, η αίτηση ακύρωσης απορρίφθηκε.

ΙV. Οι προτάσεις του Γενικού Εισαγγελέα ΔΕΕ στην υπόθεση C-154/21

Στις 9-6-2022 δημοσιεύτηκαν οι προτάσεις του Γενικού Εισαγγελέα του ΔΕΕ Giovanni Pitruzzella, με τις οποίες προτείνεται μια ερμηνεία που μοιάζει καταρχήν σύμφωνη με τη γνώμη του ΕΣΠΔ, χωρίς όμως να ταυτίζεται με αυτή:

Το άρθρο 15, παράγραφος 1, στοιχείο γʹ, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχει την έννοια ότι το προβλεπόμενο στην εν λόγω διάταξη δικαίωμα πρόσβασης του υποκειμένου των δεδομένων πρέπει οπωσδήποτε να εκτείνεται, εφόσον το ζητεί το εν λόγω υποκείμενο των δεδομένων, στον προσδιορισμό των συγκεκριμένων αποδεκτών στους οποίους κοινολογούνται τα προσωπικά δεδομένα του. Το εν λόγω δικαίωμα πρόσβασης μπορεί να περιορίζεται μόνο στον προσδιορισμό των κατηγοριών αποδεκτών όταν είναι πρακτικώς ανέφικτο να προσδιοριστούν οι συγκεκριμένοι αποδέκτες στους οποίους κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων ή όταν ο υπεύθυνος επεξεργασίας αποδεικνύει ότι τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά κατά την έννοια του άρθρου 12, παράγραφος 5, του κανονισμού (ΕΕ) 2016/679.

Αναλυτικότερα,

ο Γενικός Εισαγγελέας υπενθυμίζοντας πως «κατά πάγια νομολογία, οσάκις διάταξη του δικαίου της Ένωσης επιδέχεται πλείονες ερμηνείες, πρέπει να προτιμάται η ερμηνεία η οποία διασφαλίζει την πρακτική της αποτελεσματικότητα», παρατηρεί πως η γραμματική διατύπωση του άρθρου 15 παρ.1γ’ ΓΚΠΔ «δεν επιτρέπει να δοθεί οριστική απάντηση στο ερώτημα εάν το προβλεπόμενο στην εν λόγω διάταξη δικαίωμα πρόσβασης του υποκειμένου των δεδομένων πρέπει οπωσδήποτε να θεωρηθεί ότι περιλαμβάνει την πρόσβαση σε πληροφορίες σχετικές με συγκεκριμένους αποδέκτες στους οποίους κοινολογούνται τα προσωπικά δεδομένα του ή εάν μπορεί να περιοριστεί μόνο στην πρόσβαση σε πληροφορίες σχετικές με τις κατηγορίες αποδεκτών». Τούτο διότι, «οι όροι «αποδέκτες» και «κατηγορίες αποδεκτών» χρησιμοποιούνται διαδοχικά, με ουδέτερο τρόπο, χωρίς να μπορεί να συναχθεί σειρά προτεραιότητας μεταξύ τους».

Ως εκ τούτου, «η διάταξη δεν διευκρινίζει ρητώς ούτε εάν είναι δυνατή η επιλογή μεταξύ των δύο προβλεπόμενων πιθανών κατηγοριών πληροφοριών (δηλαδή τους «αποδέκτες» ή τις «κατηγορίες αποδεκτών») ούτε σε ποιον (δηλαδή στο υποκείμενο των δεδομένων ή στον υπεύθυνο επεξεργασίας) εναπόκειται, ενδεχομένως, να επιλέξει το είδος πληροφοριών στο οποίο πρέπει να εξασφαλιστεί η πρόσβαση».

Επί του τελευταίου ζητήματος ο Γενικός Εισαγγελέας συντάσσεται με το αιτούν δικαστήριο υπέρ της άποψης πως ορθότερη είναι η ερμηνεία πως «εναπόκειται στο υποκείμενο των δεδομένων (και όχι επομένως στον υπεύθυνο επεξεργασίας όπως έκριναν εν προκειμένω τα δύο εθνικά δικαστήρια της ουσίαςνα επιλέξει μεταξύ των δύο εναλλακτικών λύσεων που προβλέπονται στην εν λόγω διάταξη».

Υπέρ της ερμηνείας αυτής τάσσεται η ανάλυση του πλαισίου και των σκοπών της επίμαχης διάταξης, στοιχεία που, κατά πάγια νομολογία του ΔΕΕ, λαμβάνονται υπόψιν από κοινού με τη γραμματική διατύπωση αυτής.

Προς τούτο, ο Γενικός Εισαγγελέας ανατρέχει στους σκοπούς του δικαιώματος πρόσβασης:

- Ως προς τον πρώτο σκοπό, ήτοι τη δυνατότητα του υποκειμένου των δεδομένων «να έχει επίγνωση και να επαληθεύει τη νομιμότητα της επεξεργασίας των δεδομένων του», παρατηρείται ότι μια ερμηνεία που θα απέκλειε την πρόσβαση σε συγκεκριμένους αποδέκτες θα στερούσε το υποκείμενο από τη δυνατότητα «να ελέγξει πλήρως τη νομιμότητα της επεξεργασίας που πραγματοποιείται από τον υπεύθυνο επεξεργασίας και, ιδίως, να ελέγξει τη νομιμότητα των κοινολογήσεων δεδομένων που έχουν ήδη χωρήσει».

- Ως προς τον δεύτερο σκοπό, ήτοι την ενίσχυση του υποκειμένου στην περαιτέρω άσκηση των υπολοίπων δικαιωμάτων του (άρθρα 16-18, 21, 79, 82), ο Γενικός Εισαγγελέας παρατηρεί πως «ελλείψει γνώσεως της ταυτότητας των εν λόγω αποδεκτών, το υποκείμενο των δεδομένων δεν θα ήταν σε θέση να ασκήσει κατ' αυτών τα δικαιώματα που του παρέχουν οι προμνησθείσες διατάξεις του ΓΚΠΔ ή θα μπορούσε να ασκήσει τα δικαιώματα αυτά μόνο με δυσανάλογες προσπάθειες

Με βάση τα ανωτέρω – και αφού ο Γενικός Εισαγγελέας συνδέει συστηματικά την επίμαχη διάταξη και με το άρθρο 19 ΓΚΠΔ12 – οι Προτάσεις καταλήγουν ότι «προκειμένου να διασφαλιστεί η πρακτική αποτελεσματικότητα όλων των προαναφερθεισών διατάξεων του ΓΚΠΔ, το άρθρο 15, παράγραφος 1, στοιχείο γʹ, πρέπει να ερμηνευθεί υπό την έννοια ότι το προβλεπόμενο σε αυτό δικαίωμα πρόσβασης πρέπει, κατ’ αρχήν, να αφορά οπωσδήποτε τη δυνατότητα να ληφθούν από τον υπεύθυνο επεξεργασίας πληροφορίες σχετικά με τους συγκεκριμένους αποδέκτες στους οποίους κοινολογούνται τα προσωπικά δεδομένα του υποκειμένου των δεδομένων». Εξαίρεση από τον κανόνα αυτό εισάγεται μόνο για την περίπτωση όπου «είναι πρακτικώς ανέφικτο να παρασχεθούν πληροφορίες σχετικά με τους συγκεκριμένους αποδέκτες, παραδείγματος χάριν διότι αυτοί δεν έχουν ακόμη πράγματι προσδιοριστεί» και για την περίπτωση όπου τα αιτήματα του υποκειμένου είναι προδήλως αβάσιμα ή υπερβολικά, κατά την έννοια του άρθρου 12 παρ.5 ΓΚΠΔ, γεγονός που εναπόκειται στον υπεύθυνο επεξεργασίας να αποδείξει.

Είναι αξιοσημείωτη η χρήση του παθητικού «ληφθούν» αντί του «παρέχει» που είχε προτιμήσει το ΕΣΠΔ, καθώς από αυτήν αναδεικνύεται η βασική διαφοροποίηση μεταξύ των δύο ερμηνειών.

Όπως προκύπτει από την προσεκτικότερη ανάγνωση της τελικής εισήγησής του προς το Δικαστήριο, η οποία παρατίθεται αυτούσια στην έναρξη του παρόντος κεφαλαίου, ο Γενικός Εισαγγελέας δεν τάσσεται υπέρ μιας γενικής υποχρέωσης παροχής των στοιχείων των αποδεκτών σε κάθε περίπτωση όπου ασκείται δικαίωμα πρόσβασης και τα στοιχεία είναι γνωστά, αλλά μόνον όταν αυτό ζητείται ειδικώς από το υποκείμενο, κατ’ αναλογίαν με την πρόβλεψη του άρθρου 19. Αυτός είναι ο λόγος για τον οποίο, ο Γενικός Εισαγγελέας δεν εξετάζει την υποχρέωση του άρθρου 15 ως συνέχεια εκείνης των άρθρων 13-14, όπως σαφώς έκανε το ΕΣΠΔ, αλλά ως απολύτως διακριτής. Όπως με έμφαση παρατηρεί, τα άρθρα 13-14 ΓΚΠΔ αποτελούν υποχρεώσεις του υπευθύνου επεξεργασίας και δεν πρέπει να συγχέονται με το άρθρο 15, το οποίο προβλέπει γνήσιο δικαίωμα του υποκειμένου και άρα οριοθετείται με βάση τις επιλογές του.13

Ενώ δηλαδή το ΕΣΠΔ διακρίνει την έκταση της υποχρέωσης αποκλειστικά με βάση τη γνώση των στοιχείων των αποδεκτών από τον υπεύθυνο επεξεργασίας (γνωρίζει/δεν γνωρίζει), ο Γενικός Εισαγγελέας μοιάζει να προσθέτει και μια ακόμη προϋπόθεση-κριτήριο: να ζητείται αυτό ρητώς από το υποκείμενο (το ζητά/δεν το ζητά).

Παρά το γεγονός πως αναγνωρίζει ότι οι δύο εναλλακτικές δεν έχουν σειρά προτεραιότητας, ο Γ.Ε. χρησιμοποιεί το τεκμήριο περί άσκησης δικαιώματος και επιλογής από το υποκείμενο, για να καταλήξει σε ένα συμπέρασμα που είναι σαφώς στενότερο από την άποψη του ΕΣΠΔ. Ουσιαστικά δηλαδή, και σε αντίθεση με τις αρχικές διαπιστώσεις του, ο Γενικός Εισαγγελέας στην πράξη φαίνεται να καταλήγει πως το «δικαίωμα επιλογής» ανήκει μεν στο υποκείμενο, εφόσον όμως αυτό δεν ασκηθεί, τότε αυτό είτε περιέρχεται στον υπεύθυνο επεξεργασίας ή αδρανεί, κυριαρχούσης σε κάθε περίπτωση της εναλλακτικής της γνωστοποίησης κατηγοριών αποδεκτών.

Αυτό φυσικά σημαίνει ότι σε κάθε περίπτωση όπου το υποκείμενο των δεδομένων ασκεί δικαίωμα πρόσβασης χωρίς να γνωρίζει το «δικαίωμα επιλογής» που ενδεχομένως θα του αναγνωρίσει το Δικαστήριο ή και χωρίς να επιλέγει μια από τις δύο εναλλακτικές του άρθρου 15 παρ.1γ’, η ενημέρωση που θα λαμβάνει θα περιορίζεται στις κατηγορίες των αποδεκτών.

Από τη συμπερίληψη ή μη της φράσης «εφόσον το ζητεί το εν λόγω υποκείμενο των δεδομένων» στο διατακτικό της απόφασης του ΔΕΕ, θα κριθεί η πλήρης έκταση του δικαιώματος και, συνακόλουθα, της υποχρέωσης των υπευθύνων επεξεργασίας.

Από την ερμηνεία του ΔΕΕ ως προς τα όρια της υποχρέωσης του άρθρου 15 παρ.1γ’ πιθανώς θα κριθούν και τα όρια της υποχρέωσης ενημέρωσης των άρθρων 13 παρ.1ε’ και 14 παρ.1ε’ ΓΚΠΔ. Διότι, εάν το ΔΕΕ κρίνει πως η ενημέρωση ως προς τα στοιχεία συγκεκριμένων αποδεκτών είναι υποχρεωτική εφόσον αυτή ζητηθεί, δύσκολα θα μπορούσε να υποστηριχθεί πως η υποχρέωση αυτή ισχύει χωρίς προϋποθέσεις στο πλαίσιο ενός κειμένου ενημέρωσης.

Σε κάθε περίπτωση όμως, από την Πέμπτη 12-1 θα γνωρίζουμε εάν οι υπεύθυνοι επεξεργασίας οφείλουν να είναι προετοιμασμένοι για την απάντηση επί του ερωτήματος: σε ποιους συγκεκριμένους αποδέκτες έχετε διαβιβάσει τα προσωπικά δεδομένα μου

 

 

  • 1. Σύμφωνα με το άρθρο 4 περ.9 ΓΚΠΔ, ως «αποδέκτης» ορίζεται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας», Κατά το ΕΣΠΔ (Κατευθυντήριες Γραμμές 7/2020), «ο ορισμός καταλαμβάνει οποιονδήποτε λαμβάνει δεδομένα προσωπικού χαρακτήρα, ανεξαρτήτως του αν είναι ή δεν είναι τρίτος. Για παράδειγμα, όταν ο υπεύθυνος επεξεργασίας διαβιβάζει δεδομένα προσωπικού χαρακτήρα σε άλλη οντότητα, ανεξαρτήτως του αν αυτή είναι υπεύθυνος επεξεργασίας ή τρίτος, η εν λόγω οντότητα είναι αποδέκτης. Ο τρίτος αποδέκτης θα πρέπει να θεωρείται υπεύθυνος επεξεργασίας για κάθε επεξεργασία που εκτελεί για ίδιο σκοπό/ίδιους σκοπούς μετά την παραλαβή των δεδομένων».
  • 2. Βλ. την από 18-2-2021 απόφαση περί παραπομπής με ενδιαφέρουσα παράθεση της διχογνωμίας που χαρακτηρίζει τη θεωρία.
  • 3. Οι Κατευθυντήριες 1/2022 εκδόθηκαν σε σχέδιο την 18-1-2022 και παραμένουν, σχεδόν ένα χρόνο μετά, σε διαδικασία διαβούλευσης. Η ασυνήθιστη αυτή καθυστέρηση θα μπορούσε ενδεχομένως να αποδοθεί στα πολλά προδικαστικά ερωτήματα επί του άρθρου 15 που εκκρεμούν ενώπιον του ΔΕΕ, η απάντηση επί των οποίων αναγκαστικά θα επηρεάσει την τελική γνώμη του Συμβουλίου.
  • 4. Η ελληνική μετάφραση από τον συντάκτη του παρόντος.
  • 5. 1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες: ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν, (αγγλικό: if any)
  • 6. 1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες: ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως, (αγγλικό: if any)
  • 7. Όπως μπορεί κανείς να παρατηρήσει, το τελευταίο αυτό εδάφιο έχει μεταφερθεί αυτούσιο στο τέλος της σκέψης 115 των Κατευθυντηρίων Γραμμών 1/2022. Έτσι εξηγείται και η αναφορά σε «επιλογή» των πληροφοριών που θα παρασχεθούν, δυνατότητα η οποία δεν επιβεβαιώνεται από το προηγηθέν κείμενο.
  • 8. Οι Κατευθυντήριες Γραμμές της ΟΕ29 για τη διαφάνεια έχουν γίνει αποδεκτές από το ΕΣΠΔ με απόφαση της 25ης Μαΐου 2018.
  • 9. Στην απόφαση EDPBI:NO:OSS:D:2022:365 του μηχανισμού μιας στάσης, η Νορβηγική Αρχή Προστασίας Δεδομένων εξέτασε το κατά πόσον η διαβίβαση της Πολιτικής Προστασίας Προσωπικών Δεδομένων του υπευθύνου επεξεργασίας αρκεί για την παροχή των πληροφοριών του άρθρου 15 ΓΚΠΔ. Μολονότι διαπίστωσε σημαντικές ελλείψεις του κειμένου σε σχέση με τις πληροφορίες του άρθρου 15, η Datatilsynet επεσήμανε ότι η ενημέρωση ως προς του αποδέκτες ήταν πλήρης. Τούτο διότι η Πολιτική Προστασίας παρέθετε τον κάθε ένα από τους εκτελούντες την επεξεργασία, με αναφορά των στοιχείων και της δραστηριότητάς του. (υποσημ. 49)
  • 10. Η απόφαση της σουηδικής αρχής έχει εκδοθεί ένα μήνα πριν τις προτάσεις του Γενικού Εισαγγελέα του ΔΕΕ, φαίνεται ωστόσο να έχει επηρεαστεί από την προδικαστική αίτηση (μολονότι δεν την μνημονεύει ποτέ), καθώς αντλεί επιχειρήματα και σκέψεις περισσότερο από τους προβληματισμούς του αυστριακού δικαστηρίου, παρά από τις Κατευθυντήριες Γραμμές του ΕΣΠΔ, τις οποίες επικαλείται.
  • 11. Η ελληνική μετάφραση από τον συντάκτη του παρόντος.
  • 12. Ο υπεύθυνος επεξεργασίας ανακοινώνει κάθε διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων που διενεργείται σύμφωνα με το άρθρο 16, το άρθρο 17 παράγραφος 1 και το άρθρο 18 σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν αυτό αποδεικνύεται ανέφικτο ή εάν συνεπάγεται δυσανάλογη προσπάθεια. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τους εν λόγω αποδέκτες, εφόσον αυτό ζητηθεί από το υποκείμενο των δεδομένων.
  • 13. Εφαρμόζοντας την ερμηνεία αυτή στην υπόθεση της σουηδικής αρχής, θα μπορούσαμε να πούμε πως η εταιρεία ενήργησε σύννομα στην πρώτη απάντησή της, όταν και έστειλε μόνο τις κατηγορίες των αποδεκτών, όχι όμως όταν το υποκείμενο επανήλθε ζητώντας και τα στοιχεία τους.

Δημήτρης Βέρρας

Airbnb Η πολεοδομική αντιμετώπιση

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΚΤΗΜΑΤΟΛΟΓΙΟ - ΠΟΛΕΟΔΟΜΙΑ - ΧΩΡΟΤΑΞΙΑ

ΔΗΜΗΤΡΗΣ ΜΕΛΙΣΣΑΣ

Η αοριστία των ανακοπών του ΚπολΔ - Δημοσιεύματα ΕπολΔ Νο 29

ΕΥΑΓΓΕΛΙΑ ΑΣΗΜΑΚΟΠΟΥΛΟΥ

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ / ΕΝΔΙΚΑ ΜΕΣΑ ΚΑΙ ΑΝΑΚΟΠΕΣ ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ