Μπορεί το υποκείμενο να αποκτήσει πρόσβαση στα log files στο πλαίσιο άσκησης του δικαιώματος πρόσβασης στα προσωπικά του δεδομένα; [C-579/21]

Στον ιστότοπο του Δικαστηρίου της Ευρωπαϊκής Ένωσης αναρτήθηκε η αίτηση προδικαστικής απόφασης στην υπόθεση C-579/21 [J. M. κατά Apulaistietosuojavaltuutettu και Pankki S], με την οποία διοικητικό πρωτοδικείο της Φινλανδίας ζητά την ερμηνευτική συνδρομή του Δικαστηρίου ως προς την έννοια του όρου προσωπικά δεδομένα και τα όρια του δικαιώματος πρόσβασης του άρθρου 15 ΓΚΠΔ.

Η υπόθεση θυμίζει τη ΣτΕ 681/2020, όταν το Συμβούλιο της Επικρατείας είχε κληθεί να εξετάσει αίτηση ακύρωσης κατά της άρνησης της Διοίκησης να δώσει πρόσβαση σε αρχεία καταγραφής πληροφοριακού συστήματος της ΓΓΔΕ.

Ιστορικό:

Ο J.M. υπήρξε υπάλληλος και πελάτης της τράπεζας Pankki S. Tο 2014, o J.M. έλαβε γνώση του ότι κατά το χρονικό διάστημα από την 1η Νοεμβρίου έως την 31η Δεκεμβρίου 2013, είχαν ελεγχθεί και τα δικά του δεδομένα πελάτη. Με επιστολή της 29ης Μαΐου 2018, ζήτησε από την τράπεζα να του παράσχει πληροφορίες σχετικά με την ταυτότητα των προσώπων που είχαν επεξεργαστεί τα δικά του δεδομένα πελάτη κατά το χρονικό διάστημα από την 1η Νοεμβρίου έως την 31η Δεκεμβρίου 2013, καθώς και να τον ενημερώσει σχετικά με τον σκοπό της επεξεργασίας των εν λόγω δεδομένων. Η καθυστερημένη υποβολή του αιτήματός του θεμελιώθηκε στην ανάγκη του να διευκρινίσει τους λόγους της απόλυσής του, η οποία είχε επέλθει σε μεταγενέστερο χρόνο.

Η τράπεζα αρνήθηκε να παράσχει πληροφορίες σχετικά με τα ονόματα των υπαλλήλων που είχαν επεξεργαστεί τα δικά του δεδομένα πελάτη. Κατά την τράπεζα, το δικαίωμα ελέγχου του άρθρου 15 ΓΚΠΔ δεν ισχύει για τα δεδομένα του αρχείου καταγραφής ενεργειών του συστήματος επεξεργασίας δεδομένων της τράπεζας. Οι ζητηθείσες πληροφορίες δεν αποτελούν δεδομένα προσωπικού χαρακτήρα του πελάτη, αλλά του υπαλλήλου που επεξεργάστηκε τα δεδομένα.

Ο J.M. απευθύνθηκε στην Αρχή Προστασίας Προσωπικών Δεδομένων της Φινλανδίας, ζητώντας της να δώσει εντολή στην τράπεζα να παράσχει τις αιτηθείσες πληροφορίες. Κατά την άποψη του J.M., «κάθε πρόσωπο έχει δικαίωμα πρόσβασης στις υποθέσεις και τις πληροφορίες που το αφορούν. Οι πληροφορίες που σχετίζονται με την επεξεργασία των δεδομένων πελάτη δεν αποτελούν άμεσα ίδια δεδομένα ενός προσώπου, αλλά συνδέονται ευθέως με τη νόμιμη επεξεργασία και τη διασφάλιση των δεδομένων αυτού. Αν το υποκείμενο των δεδομένων δεν δικαιούται να λάβει τις αντίστοιχες πληροφορίες, δεν διαθέτει ουσιαστικά κανένα πραγματικό μέσο να ελέγξει αν τα δεδομένα που το αφορούν έχουν υποστεί νόμιμη επεξεργασία».

Με απόφαση της 4ης Αυγούστου 2020, ο αναπληρωτής Επόπτης Προστασίας Δεδομένων απέρριψε το αίτημα του J.M. για πρόσβαση στις ζητηθείσες πληροφορίες της τράπεζας. Σύμφωνα με την απόφαση, «οι απαιτήσεις του J. M. συνιστούσαν στην πραγματικότητα αίτημα πρόσβασης στα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών. Ο αναπληρωτής Επόπτης Προστασίας Δεδομένων παρέπεμψε συναφώς στην πρακτική προγενέστερων αποφάσεών του, σύμφωνα με την οποία τα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών δεν αποτελούν δεδομένα που αφορούν τους ίδιους τους πελάτες, αλλά δεδομένα που αφορούν εκείνους τους εργαζομένους που έχουν επεξεργαστεί τα δεδομένα πελάτη. Ως εκ τούτου, τα δεδομένα που περιλαμβάνονται σε αρχείο καταγραφής ενεργειών των χρηστών δεν θεωρούνται ότι καλύπτονται από το δικαίωμα πρόσβασης».

Ο J.M. προσέφυγε ενώπιον του Διοικητικού Πρωτοδικείου Ανατολικής Φινλανδίας, ζητώντας την ακύρωση της απόφασης αυτής. Σύμφωνα με την υποβληθείσα αίτηση ακύρωσης, ο αιτών «βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων δικαιούται να λάβει πληροφορίες σχετικά με την ταυτότητα των προσώπων που έλεγξαν τα δεδομένα του στην τράπεζα, καθώς και σχετικά με τη θέση τους. Οι εν λόγω πληροφορίες είναι αναγκαίες για να αποδειχθεί η παραβίαση της προστασίας των δεδομένων προσωπικού χαρακτήρα από τον υπεύθυνο επεξεργασίας. Ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα του J.M. ήταν νόμιμη, κατάλληλη και διαφανής».

Το δικαστήριο αποφάσισε να θέσει το ζήτημα στην ερμηνευτική κρίση του ΔΕΕ, απόφαση με την οποία συντάχθηκε και η Φινλανδική Αρχή.

Ο προβληματισμός του αιτούντος δικαστηρίου:

Το αιτούν δικαστήριο διαπίστωσε πως κρίσιμη, για την έκδοση απόφασης επί της αίτησης ακύρωσης, είναι η ερμηνεία του όρου «δεδομένα προσωπικού χαρακτήρα», κατά την έννοια του άρθρου 4 παρ.1 ΓΚΠΔ, καθώς και η διαπίστωση των ορίων του δικαιώματος πρόσβασης του άρθρου 15 ΓΚΠΔ.

Κατά το άρθρο 5 παρ.2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»). Περαιτέρω, για την εκπλήρωση της υποχρέωσής του αυτής, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα σύμφωνα με το άρθρο 24 παρ.1 ΓΚΠΔ, προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Για τους λόγους αυτούς, οι υπεύθυνοι επεξεργασίας «καταχωρίζουν τα δεδομένα του αρχείου καταγραφής ενεργειών αναφορικά με τα πρόσωπα που έχουν επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα των υποκειμένων των δεδομένων, καθώς και αναφορικά με [το χρονικό σημείο] της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα».

Το υποκείμενο των δεδομένων έχει, σύμφωνα με το άρθρο 15 ΓΚΠΔ, το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και τον σκοπό της επεξεργασίας, τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, καθώς και τους αποδέκτες ή τις κατηγορίες αποδεκτών. Δεν προκύπτει ωστόσο με σαφήνεια βάσει του εν λόγω άρθρου, αν οι πληροφορίες που συλλέγει ο υπεύθυνος επεξεργασίας στο πλαίσιο της υποχρεώσεώς του σύμφωνα με το άρθρο 24 παρ.1 ΓΚΠΔ, από τις οποίες προκύπτουν η ταυτότητα των προσώπων που έχουν επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και τα χρονικά σημεία της εν λόγω επεξεργασίας, πρέπει να θεωρηθούν ως πληροφορίες από τις αναφερόμενες στο άρθρο 15 παρ.1 ΓΚΠΔ, στις οποίες το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης ή αποκλειστικώς ως προσωπικά δεδομένα των προσώπων που έχουν επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα στα οποία το υποκείμενο των δεδομένων δεν έχει δικαίωμα πρόσβασης.

Τα προδικαστικά ερωτήματα:

Υπό τους ως άνω προβληματισμούς, το αιτούν δικαστήριο αποφάσισε να αναστείλει τη διαδικασία και να υποβάλει στο ΔΕΕ τα ακόλουθα προδικαστικά ερωτήματα:

1. Έχει το δικαίωμα πρόσβασης, που παρέχει στο υποκείμενο των δεδομένων το άρθρο 15, παράγραφος 1, του Γενικού Κανονισμού για την Προστασία Δεδομένων, σε συνδυασμό με τον όρο «δεδομένα προσωπικού χαρακτήρα» κατά την έννοια του άρθρου 4, σημείο 1, του κανονισμού, την έννοια ότι οι πληροφορίες που συλλέγονται από τον υπεύθυνο επεξεργασίας, από τις οποίες προκύπτει ποιος επεξεργάστηκε τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, πότε τα επεξεργάστηκε και για ποιον σκοπό, δεν αποτελούν πληροφορίες στις οποίες έχει δικαίωμα πρόσβασης το υποκείμενο των δεδομένων, ιδίως επειδή πρόκειται για δεδομένα που αφορούν εργαζομένους του υπεύθυνου επεξεργασίας;

2. Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα και εφόσον κριθεί κατά συνέπεια ότι το υποκείμενο των δεδομένων δεν έχει δικαίωμα πρόσβασης βάσει του άρθρου 15, παράγραφος 1, του Γενικού Κανονισμού για την Προστασία Δεδομένων στις προαναφερθείσες πληροφορίες, επειδή δεν αποτελούν «δεδομένα προσωπικού χαρακτήρα» αυτού σύμφωνα με το άρθρο 4, σημείο 1, του Γενικού Κανονισμού για την Προστασία Δεδομένων, πρέπει, εν προκειμένω, να ληφθούν επίσης υπόψη οι πληροφορίες στις οποίες το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σύμφωνα με το άρθρο 15, παράγραφος 1, στοιχεία [α΄ έως η΄]:

α. Πώς πρέπει να ερμηνευθεί ο σκοπός της επεξεργασίας κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο α΄, λαμβανομένης υπόψη της εκτάσεως του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων, μπορεί δηλαδή ο σκοπός της επεξεργασίας να δικαιολογήσει δικαίωμα πρόσβασης στα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών, τα οποία έχουν συλλεγεί από τον υπεύθυνο επεξεργασίας, όπως για παράδειγμα σε πληροφορίες σχετικές με δεδομένα προσωπικού χαρακτήρα εκείνων που προβαίνουν στην επεξεργασία, το χρονικό σημείο καθώς και τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα;

β. Μπορούν τα πρόσωπα που έχουν επεξεργαστεί τα δεδομένα πελάτη του J. M. να θεωρηθούν στο πλαίσιο αυτό, βάσει ορισμένων κριτηρίων, ως αποδέκτες των δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο γ΄, του Γενικού Κανονισμού για την Προστασία Δεδομένων, για τους οποίους το υποκείμενο των δεδομένων θα δικαιούτο να λάβει πληροφορίες;

3. Έχει σημασία στο πλαίσιο της διαφοράς το αν πρόκειται για τράπεζα, η οποία ασκεί νομοθετικά ρυθμιζόμενη δραστηριότητα, ή το γεγονός ότι ο J. M. ήταν ταυτόχρονα υπάλληλος και πελάτης της;

4. Έχει σημασία για την εκτίμηση των ανωτέρω υποβληθέντων ερωτημάτων το γεγονός ότι τα δεδομένα του J. M. είχαν υποστεί επεξεργασία πριν από την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων;

Η απόφαση ΣτΕ 681/2020:

Η υπόθεση που έχει τεθεί ενώπιον του φινλανδικού δικαστηρίου και άγεται ενώπιον του ΔΕΕ εμφανίζει πολλά κοινά σημεία με αντίστοιχη αίτηση ακύρωσης που κρίθηκε πέρυσι από το Συμβούλιο της Επικρατείας, με την υπ’ αριθμ. 681/2020 απόφασή του.

Βλ. σχετική δημοσίευση για την απόφαση και σχόλιο του συντάκτη του παρόντος.

Στην υπόθεση εκείνη, η αιτούσα την ακύρωση πράξης της Διοίκησης είχε ζητήσει ενημέρωση από τη Διεύθυνση Ηλεκτρονικής Διακυβέρνησης της Γενικής Γραμματείας Δημοσίων Εσόδων, ως προς το ποιοι χρήστες είχαν δει τη φορολογική της μερίδα στο Taxis, πιθανολογώντας ότι από την πρόσβαση αυτή προήλθαν ανώνυμες καταγγελίες, που έγιναν σε βάρος της.

Το αρχικό της αίτημα απορρίφθηκε σιωπηρώς, οπότε η αιτούσα επανήλθε με εισαγγελική παραγγελία, ζητώντας αυτή τη φορά αντίγραφο του ιστορικού επισκεψιμότητας της φορολογικής της μερίδας, επικαλούμενη το δικαίωμα πρόσβασης στα έγγραφα του άρθρου 5 Κώδικα Διοικητικής Διαδικασίας. Όπως ειδικότερα αναφέρεται στην απόφαση: «η αιτούσα επικαλέσθηκε τις διατάξεις των άρθρων 5 και 4 παρ.1 του Κώδικα Διοικητικής Διαδικασίας και ζήτησε να της χορηγηθεί αντίγραφο «του ιστορικού της επισκεψιμότητας της φορολογικής [της] εικόνας» από το πληροφοριακό σύστημα, για το χρονικό διάστημα από 1.6.2013 έως και 30.9.2013, προκειμένου να εντοπισθεί «ο χρήστης εκείνος ο οποίος αναρμοδίως και παρανόμως εισήλθε στη φορολογική [της] μερίδα».

Το δεύτερο αυτό αίτημα απορρίφθηκε με την προσβληθείσα πράξη, με την αιτιολογία ότι αφενός αυτό που ζητείται δεν σχετίζεται με το δικαίωμα πρόσβασης στα έγγραφα, αφετέρου η τεχνική αναζήτηση των πληροφοριών αυτών ενέχει ζητήματα «επισφάλειας και επικινδυνότητας».

Το ΣτΕ έκρινε το αίτημα, όχι μόνο στο πλαίσιο του δικαιώματος του άρθρου 5 ΚΔΔιαδ, αλλά πρωτίστως σε εκείνο του δικαιώματος πρόσβασης του άρθρου 12 Ν.2472/1997, το οποίο και συνέδεσε με την υποχρέωση ασφάλειας της επεξεργασίας του άρθρου 10.

Σύμφωνα με την απόφαση:

«Η κατοχύρωση του ως άνω δικαιώματος πρόσβασης κατατείνει στην διασφάλιση της δυνατότητας του ενδιαφερομένου να βεβαιώνεται ότι η επεξεργασία των προσωπικών δεδομένων του γίνεται κατά ακριβή και νόμιμο τρόπο και, ειδικότερα, ότι τα προσωπικά δεδομένα που τον αφορούν είναι ακριβή και κοινοποιούνται σε αποδέκτες που έχουν προς τούτο δικαίωμα (βλ. Δ.Ε.Κ. απόφαση της 7.5.2009, Rijkeboer, C-553/2007, σκ.48-49).

Από τα ανωτέρω συνάγεται ότι, στο πλαίσιο ασκήσεως του δικαιώματος πρόσβασης, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται σχετικά με τις συνθήκες, υπό τις οποίες διεξάγεται η επεξεργασία των δεδομένων του, προκειμένου να καθίσταται δυνατή η εξακρίβωση της τηρήσεως από τον υπεύθυνο της επεξεργασίας των υποχρεώσεων που απορρέουν από το άρθρο 10 του ν. 2472/1997 για τη λήψη των καταλλήλων οργανωτικών και τεχνικών μέτρων προς διασφάλιση του απορρήτου της επεξεργασίας και της ασφάλειας των δεδομένων.

Συνεπώς, αίτηση προς τον υπεύθυνο της επεξεργασίας, εκ μέρους του υποκειμένου των δεδομένων, με αντικείμενο την ενημέρωσή του σχετικά με το αν κατά την επεξεργασία των δεδομένων του απέκτησαν πρόσβαση σε αυτά μη εξουσιοδοτημένα πρόσωπα, υποβάλλεται στο πλαίσιο ασκήσεως του δικαιώματος πρόσβασης, κατά τα τις διατάξεις του άρθρου 12 του ν. 2472/1997. Η άρνηση δε ικανοποιήσεως του ως άνω αιτήματος αποτελεί, σε περίπτωση που ο υπεύθυνος επεξεργασίας είναι διοικητική αρχή, εκτελεστή διοικητική πράξη (πρβλ. ΣτΕ 1851/2016).

Περαιτέρω, ο ενδιαφερόμενος, εφόσον επικαλείται πραγματικά περιστατικά που θεμελιώνουν το εύλογο ενδιαφέρον του, έχει, σύμφωνα με το άρθρο 5 του Κώδικα Διοικητικής Διαδικασίας, δικαίωμα πρόσβασης σε στοιχεία και πληροφορίες που τυχόν έχει στη διάθεσή της η διοικητική αρχή και τα οποία συνδέονται με την ικανοποίηση του κατά το άρθρο 12 του ν. 2472/1997 δικαιώματός του. Ως τέτοια δε έγγραφα και στοιχεία νοούνται και τα ηλεκτρονικά έγγραφα, υπό την καθοριζόμενη στο άρθρο 3 του ν. 3979/2011 έννοια.»

Η κρίση αυτή παρουσιάζει ενδιαφέρον, ειδικά υπό το φως των ερωτημάτων που υπεβλήθησαν προς το ΔΕΕ.

Τούτο διότι, το Συμβούλιο της Επικρατείας, σε αντίθεση με το Διοικητικό Πρωτοδικείο της Φινλανδίας, δεν εξέτασε την ερμηνεία του όρου «δεδομένα προσωπικού χαρακτήρα», προκειμένου να κρίνει εάν οι πληροφορίες επί των προσώπων που ελέγχουν τα προσωπικά δεδομένα του υποκειμένου μπορούν να θεωρηθούν προσωπικά δεδομένα αυτού και άρα να ενταχθούν στο δικαίωμα πρόσβασης.

Αντ’ αυτού, το Δικαστήριο έστρεψε την προσοχή του στο κατά πόσον μπορεί στο δικαίωμα πρόσβασης να ενταχθεί και ο έλεγχος επί των οργανωτικών μέτρων ασφαλείας. Επί του ζητήματος αυτού, το ΣτΕ επικαλέστηκε τη C-553/2007 απόφαση ΔΕΕ, [υπόθεση Rijkeboer], όπου είχε κριθεί ότι ο ενδιαφερόμενος έχει το δικαίωμα να βεβαιώνει πως η επεξεργασία «γίνεται κατά ακριβή και νόμιμο τρόπο, ήτοι, ότι, ειδικότερα, τα προσωπικά δεδομένα που τον αφορούν είναι ακριβή και κοινοποιούνται σε αποδέκτες που έχουν προς τούτο δικαίωμα». Με βάση την κρίση αυτή, το Δικαστήριο κατέληξε πως ως βεβαίωση των ως άνω νοείται και η ενημέρωση του υποκειμένου σχετικά με τις συνθήκες, υπό τις οποίες διεξάγεται η επεξεργασία των δεδομένων του, προκειμένου να μπορεί να ελέγχει το αν τηρείται η υποχρέωση ασφάλειας του προϊσχύσαντος Ν.2472/1997.

Επισημαίνεται ότι η απόφαση Rijkeboer έχει ληφθεί υπόψιν και από το αιτούν Φινλανδικό δικαστήριο, χωρίς όμως να έχει συνδράμει ιδιαίτερα στην εξεύρεση της απάντησης επί των προβληματισμών του.