logo-print

Δικαστήριο ΕΕ: Τι πληροφορίες πρέπει να παρέχονται για τους αποδέκτες δεδομένων

Το ΔΕΕ αποκρυσταλλώνει υποχρεώσεις διαφάνειας των υπευθύνων επεξεργασίας και ειδικότερα, τις απαραίτητες πληροφορίες που πρέπει να παρέχονται για τους αποδέκτες των δεδομένων

Μια πολύ ενδιαφέρουσα απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (C-154/21 | Österreichische Post) εκδόθηκε στις 12/01/2023 αναφορικά με τις υποχρεώσεις διαφάνειας των Υπευθύνων Επεξεργασίας σε σχέση με τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα.

Με την απόφαση του αυτή το ΔΕΕ όρισε ότι ο Υπεύθυνος Επεξεργασίας έχει υποχρέωση να ενημερώνει το υποκείμενο των δεδομένων, κατόπιν αιτήματος του, για τους συγκεκριμένους αποδέκτες στους οποίους κοινοποιήθηκαν ή πρόκειται να κοινοποιηθούν τα προσωπικά δεδομένα που τους αφορούν, κατόπιν αιτήματος τους.

Κατ’ εξαίρεση, όταν δεν είναι (ακόμη) δυνατή η ταυτοποίηση των αποδεκτών αυτών, ο υπεύθυνος επεξεργασίας μπορεί να αναφέρει μόνο τις κατηγορίες των εν λόγω αποδεκτών. Αυτό ισχύει επίσης όταν ο υπεύθυνος επεξεργασίας αποδεικνύει ότι το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό.

Ποιες καινούργιες υποχρεώσεις επιβάλλονται στους Υπευθύνους Επεξεργασίας δυνάμει αυτής της απόφασης;

Πρακτικά καμία καινούργια υποχρέωση καθώς, η υποχρέωση παροχής συγκεκριμένης πληροφόρησης αναφορικά με τους συγκεκριμένους αποδέκτες προσωπικών δεδομένων, είχε ήδη οριστεί από την Ομάδας Εργασίας του άρθρου 29 (εφεξής «ΟΕ29») με τις «Κατευθυντήριες γραμμές σχετικά με τη διαφάνεια βάσει του κανονισμού 2016/679»1.

Ωστόσο, τώρα η ερμηνεία αυτή αποκτά και έναν δεσμευτικό χαρακτήρα.

Λαμβάνοντας δε υπόψη και τις ως άνω κατευθυντήριες γραμμές της ΟΕ29, η υποχρέωση της πλήρους διαφάνειας σχετικά με την ταυτότητα των αποδεκτών προσωπικών δεδομένων, δεν περιορίζεται αποκλειστικά στο πλαίσιο διεκπεραίωσης ενός αιτήματος. Αντιθέτως, εκτείνεται στη γενική υποχρέωση παροχής ενημέρωσης που βαραίνει έναν Υπεύθυνο Επεξεργασίας κατά τη συλλογή δεδομένων απευθείας από το υποκείμενο ή τρίτο2​.

Τι πρέπει να κάνουν λοιπόν οι υπεύθυνοι επεξεργασίας για να είναι πλήρως συμμορφωμένοι με τη νέα απόφαση του ΔΕΕ;

Αρχικά, το κυριότερο μέλημα, των υπευθύνων επεξεργασίας, πρέπει να είναι η τήρηση λεπτομερών και διαρκώς επικαιροποιημένων αρχείων δραστηριοτήτων. Είναι το πιο βασικό βήμα ώστε να είναι σε θέση να ανταποκρίνονται εμπρόθεσμα και με ακρίβεια στις αυξημένες υποχρεώσεις διαφάνειας που προβλέπει ο ΓΚΠΔ. Αυτό σημαίνει ότι στα αρχεία δραστηριοτήτων, δεν πρέπει να περιλαμβάνονται μόνο οι κατηγορίες των αποδεκτών. Αντιθέτως πρέπει να αποτυπώνεται μια ξεκάθαρη αντίστιξη μεταξύ των κατηγοριών προσωπικών δεδομένων, των σκοπών και των συγκεκριμένων αποδεκτών.

Με αυτόν τον τρόπο, η προσθήκη αυτών των πληροφοριών στα ενημερωτικά σημειώματα των υπευθύνων επεξεργασίας ή σε μια απάντηση αιτήματος πρόσβασης είναι απλούστατη και άμεση. Διαφορετικά, θα απαιτηθούν επιπλέον, χειροκίνητες αναζητήσεις σε όλα τα σημεία που ο υπεύθυνος επεξεργασίας τηρεί προσωπικά δεδομένα, γεγονός που μπορεί να οδηγήσει σε δυσανάλογες καθυστερήσεις ή ανακρίβειες στις παρεχόμενες πληροφορίες.

Επιπλέον, δεν είναι σίγουρο ότι η ΑΠΔΠΧ ή άλλη Εποπτική Αρχή του ΕΟΧ θα δεχθεί ως λόγο παράτασης της προθεσμίας ενός μήνα, για την απάντηση σε αίτημα, την αδυναμία του υπευθύνου να εντοπίσει τους συγκεκριμένους αποδέκτες των προσωπικών δεδομένων που επεξεργάζεται. Υπενθυμίζεται, ότι ο Υπεύθυνος Επεξεργασίας οφείλει να σχεδιάζει διαδικασίες και πολιτικές, βάσει των οποίων θα ανταποκρίνεται στα αιτήματα των υποκειμένων των δεδομένων «αμελλητί». Οτιδήποτε διαφορετικό ενδέχεται να θεωρηθεί παρεμπόδιση των δικαιωμάτων του υποκειμένου των δεδομένων.

Πως πρέπει να αποτυπώνονται οι πληροφορίες αυτές στα υποκείμενα των δεδομένων;

Εν γένει, το να δημιουργηθούν μακροσκελείς λίστες στα ενημερωτικά σημειώματα των υπευθύνων επεξεργασίας με τους διάφορους συνεργάτες, προμηθευτές και λοιπούς αποδέκτες των δεδομένων που επεξεργάζονται δεν συνιστάται. Θα στερούνταν πρακτικότητας καθώς και δεν θα ήταν σύμφωνο με το άρθρο 12 του ΓΚΠΔ.

Για να αποφευχθεί η ανωτέρω περίπτωση, συνιστάται στα ενημερωτικά σημειώματα προστασίας δεδομένων, να αναφέρονται αποκλειστικά οι κατηγορίες των αποδεκτών. Σε περίπτωση, ωστόσο, που το υποκείμενο των δεδομένων αιτηθεί πληροφόρηση αναφορικά με τους συγκεκριμένους αποδέκτες των δεδομένων τους, να υπάρχουν οι εσωτερικές διαδικασίες, το αίτημα αυτό να διεκπεραιωθεί άμεσα ώστε ο υπεύθυνος επεξεργασίας να μην καθίσταται εκπρόθεσμος.

Επιπλέον, θα ήταν δυνατό στους παρόχους ηλεκτρονικών υπηρεσιών, να παρέχονταν η δυνατότητα παραπομπής σε ειδική ενημέρωση για τις συγκεκριμένες ταυτότητες των αποδεκτών. Χαρακτηριστικό παράδειγμα της πρακτικής αυτής, είναι η φόρμες ενημέρωσης που διαμόρφωσαν πολλά ενημερωτικά site μετά από αυτεπάγγελτη ελεγκτική δράση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Έχοντας επικαιροποιημένα και λεπτομερή αρχεία δραστηριοτήτων καθώς και έχοντας υιοθετήσει άμεσες και πρακτικές διαδικασίες και πολιτικές, ένας υπεύθυνος επεξεργασίας μπορεί να διασφαλίσει τη διαφάνεια της επεξεργασίας που διενεργεί και αποφύγει μια χρονοβόρα και τελικά δαπανηρή ροή εργασίας για τη διεκπεραίωση αιτημάτων των υποκειμένων, όπως είναι αυτό της πρόσβασης.

  • 1. ΟΕ29, «Κατευθυντήριες γραμμές σχετικά με τη διαφάνεια βάσει του κανονισμού 2016/679», wp.260rev.01, 11/04/2018
  • 2. Άρθρα 13,14 Κανονισμού (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»)

Στέργιος Κωνσταντίνου

Ο Στέργιος Κωνσταντίνου είναι δικηγόρος με ειδίκευση στην προστασία προσωπικών δεδομένων, στη διανοητική ιδιοκτησία και στο δίκαιο των τηλεπικοινωνιών. Διαθέτει πιστοποίηση από το Διεθνή Σύλλογο Επαγγλματιών στην Ιδιωτικότητα (IAPP) στο ενωσιακό...

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Η μικρή και κλειστή οικογενειακή ανώνυμη εταιρία

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΓΕΝΙΚΟ ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ