Ειδικές κατηγορίες προσωπικών δεδομένων: Το ΔΕΕ διευρύνει το πεδίο ορισμού

Την 1η Αυγούστου 2022, το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ»), με την απόφαση που εξέδωσε στην υπόθεση «OT κατά Vyriausioji tarnybinės etikos komisija»[1], ενδέχεται να έχει σημαντικό αντίκτυπο στον τρόπο με τον οποίο οι οργανισμοί επεξεργάζονται τα δεδομένα ειδικών κατηγοριών στο μέλλον.

Πιο συγκεκριμένα, το ΔΕΕ επιβεβαίωσε ότι όταν η επεξεργασία των δεδομένων στην οποία προβαίνει ένας οργανισμός του επιτρέπει να συναγάγει συμπεράσματα σχετικά με ευαίσθητα δεδομένα ή δεδομένα «ειδικών κατηγοριών» (όπως οι πολιτικές πεποιθήσεις ή ο γενετήσιος προσανατολισμός κάποιου) μέσω μιας «πνευματικής πράξης που περιλαμβάνει σύγκριση ή αφαίρεση» από τα δεδομένα, πρόκειται για επεξεργασία δεδομένων ειδικών κατηγοριών.

Ενώ η απόφαση αυτή συνιστά περισσότερο επαναδιατύπωση της ήδη υπάρχουσας θέσης παρά μία «σεισμική» μετατόπιση της ερμηνείας του Κανονισμού (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»), οι συνέπειες αυτής της ρητής διευκρίνισης είναι πιθανό να είναι σημαντικές.

Με μια τέτοια σαφή καθοδήγηση, οι ρυθμιστικές αρχές ενδέχεται να ενθαρρυνθούν περαιτέρω να αναλάβουν δράση κατά οργανισμών των οποίων οι επιχειρήσεις εξαρτώνται σε μεγαλύτερο βαθμό από τη μαζική συλλογή, διασταύρωση και παρέκταση πολλαπλών σημείων δεδομένων από τους χρήστες τους, προκειμένου να μάθουν όσο το δυνατόν περισσότερα για αυτά.

Οι επιπτώσεις της απόφασης αναμένεται να γίνουν περισσότερο αισθητές από τις επιχειρήσεις  ανεξαρτήτου μεγέθους και τομέα δραστηριότητας, ιδίως εκείνες που στο πλαίσιο δραστηριότητάς τους συνάγουν πληροφορίες για την υγεία, όπως λ.χ. μέσω εφαρμογών παρακολούθησης της υγείας. Και τούτο, διότι θα πρέπει να αρχίσουν να εφαρμόζουν πρόσθετα μέτρα προστασίας προκειμένου να  επεξεργάζονται τμήματα πληροφοριών που δεν θεωρούνταν προηγουμένως ευαίσθητες, δημιουργώντας, έτσι, μια ουσιαστική πρόκληση συμμόρφωσης.

Ιστορικό

Η υπόθεση «OT κατά Vyriausioji tarnybinės etikos komisija» αφορούσε έναν διευθυντή μιας λιθουανικής οργάνωσης (εφεξής «ΟΤ»), η οποία λάμβανε δημόσια κονδύλια για την επίτευξη των σκοπών της, στον τομέα της προστασίας του περιβάλλοντος. Λόγω της θέσης του, ο εν λόγω διευθυντής υπόκειτο στον λιθουανικό νόμο περί μη σύγκρουσης συμφερόντων[2], ο οποίος υποχρεώνει τα άτομα, που εργάζονται στη δημόσια διοίκηση να προχωρούν σε «δήλωση ιδιωτικού συμφέροντος» στο πλαίσιο διασφάλισης της αμερόληπτης λήψης αποφάσεων και αποτροπής τη διαφθοράς. Ο ως άνω νόμος περί μη σύγκρουσης συμφερόντων, απαιτεί από αυτά τα άτομα να υποβάλουν δήλωση στην «Ανώτατη Επιτροπή Δεοντολογίας» (εφεξής «ΑΕΔ») προσδιορίζοντας (μεταξύ άλλων), τα εξής:

• ονοματεπώνυμο, αριθμό ταυτότητας, αριθμό μητρώου κοινωνικής ασφάλισης, τον/του εργοδότη (-ές) και τα καθήκοντα του/της·
• τα νομικά πρόσωπα στα οποία ο δηλών ή ο/η σύζυγός του ή το πρόσωπο με το οποίο είτε έχει συνάψει σύμφωνο συμβίωσης είτε συμβιώνει σε ελεύθερη ένωση έχει την ιδιότητα του εταίρου ή του μετόχου·
• συμμετοχή σε επιχειρήσεις, ενώσεις ή ταμεία και καθήκοντα που ασκούνται (εκτός από τα πολιτικά κόμματα και τις συνδικαλιστικές οργανώσεις) ·
• δώρα που ελήφθησαν κατά τη διάρκεια των προηγούμενων 12 ημερολογιακών μηνών (εκτός από συγγενείς) αξίας άνω των 150 ευρώ·
• πληροφορίες για τις συναλλαγές που πραγματοποιήθηκαν κατά τη διάρκεια των τελευταίων δώδεκα ημερολογιακών μηνών και για άλλες τρέχουσες συναλλαγές, εφόσον η αξία της συναλλαγής υπερβαίνει τα 3 000 ευρώ·
• οικείους ή άλλα γνωστά στον δηλούντα πρόσωπα ή στοιχεία λόγω των οποίων ενδέχεται να προκύψει σύγκρουση συμφερόντων.

Ο νόμος περί μη σύγκρουσης συμφερόντων απαιτεί επίσης τη δημοσίευση αυτών των δεδομένων στον ιστότοπο της ΑΕΔ (με εξαίρεση τους αριθμούς ταυτότητας, τους αριθμούς κοινωνικής ασφάλισης και τις «ειδικές κατηγορίες προσωπικών δεδομένων»).

Τα ερωτήματα που υπέβαλε το λιθουανικό δικαστήριο στο ΔΕΕ μπορούν να συνοψιστούν ως εξής:

1. Ήταν αναλογική η απαίτηση του νόμου περί μη σύγκρουσης συμφερόντων για τη δημοσίευση όλων αυτών των προσωπικών δεδομένων στον ιστότοπο της ΑΕΔ; και
2. Ήταν η απαίτηση δημοσίευσης στοιχείων του/της συζύγου/συμβιούντος/συντρόφου του δηλούντος σύμφωνη με τις εξαιρέσεις του άρθρου 9 παράγραφος 2 του ΓΚΠΔ (οι εξαιρέσεις για την επεξεργασία δεδομένων ειδικής κατηγορίας), ιδίως επειδή οι λεπτομέρειες αυτές θα μπορούσαν να επιτρέψουν τη συναγωγή συμπερασμάτων σχετικά με τον γενετήσιο προσανατολισμό του δηλούντος;

Κατ' ουσίαν, το Δικαστήριο ερωτήθηκε αν οι πληροφορίες ότι ο Χ είναι παντρεμένος ή συγκατοικεί με τον Ψ ή την Ω συνιστούσαν δεδομένα ειδικών κατηγοριών, δεδομένου ότι ο γενετήσιος προσανατολισμός του Χ μπορούσε να συναχθεί από αυτά (ακόμη και αν το συμπέρασμα ήταν εσφαλμένο).

Απόφαση του ΔΕΕ

Όσον αφορά το πρώτο ερώτημα, το σκεπτικό του ΔΕΕ έχει μεγάλο ενδιαφέρον, ιδιαίτερα από πλευράς στάθμισης υποχρεώσεων διαφάνειας και δικαιώματος προστασίας προσωπικών δεδομένων και ιδιωτικότητας.

Το ΔΕΕ αναγνώρισε καταρχάς το ουσιαστικό δημόσιο συμφέρον για την αποφυγή της διαφθοράς που αποτρέπει τις συγκρούσεις συμφερόντων και ότι ήταν δικαιολογημένο να επιβληθούν απαιτήσεις στους φορείς λήψης αποφάσεων να δηλώνουν ιδιωτικά συμφέροντα στην ΑΕΔ, ακόμη και αν αυτό οδηγούσε σε περιορισμό των θεμελιωδών δικαιωμάτων του δηλούντος στην προστασία των δεδομένων και στην ιδιωτική και οικογενειακή ζωή βάσει της ΕΣΔΑ. Ωστόσο, το ΔΕΕ έκρινε ότι η απαίτηση δημοσίευσης των εν λόγω πληροφοριών στο διαδίκτυο ήταν δυσανάλογη, ιδίως:

• Ενώ η ΑΕΔ υποστήριξε ότι η δημοσίευση των υπό συζήτηση πληροφοριών λειτούργησε ως αποτελεσματικό αποτρεπτικό μέσο για τη διαφθορά, οι έλεγχοι του περιεχομένου της δήλωσης από την ΑΕΔ θα ήταν επίσης εξαιρετικά αποτελεσματικοί,
• Το ΔΕΕ απέρριψε το επιχείρημα της ΑΕΔ ότι δεν διέθετε επαρκείς πόρους για τον εξαντλητικό έλεγχο κάθε δήλωσης. Η έλλειψη πόρων δεν μπορεί να δικαιολογήσει την προσβολή των θεμελιωδών δικαιωμάτων του δηλούντος,
• Ακόμη και αν κάποια μορφή δημοσίευσης κρινόταν αναγκαία για αποτρεπτικούς σκοπούς, δεν αξιολογήθηκε κατά πόσον η δημοσίευση σε πιο περιορισμένο σύνολο πληθυσμού θα ήταν εξίσου αποτελεσματική,
• Η δημοσίευση σε δυνητικά απεριόριστο αριθμό χρηστών του διαδικτύου εξέθεσε τους δηλούντες, τους συγγενείς και τους συνεργάτες τους σε διάφορους κινδύνους, συμπεριλαμβανομένης της στοχευμένης διαφήμισης, ακόμη και της εγκληματικής συμπεριφοράς[3]. Ωστόσο, το δημόσιο συμφέρον για την αποφυγή της διαφθοράς σε δημόσια αξιώματα δεν ισχύει για αυτά τα άτομα και δεν εξετάστηκε το ενδεχόμενο εφαρμογής κατάλληλων διασφαλίσεων. Ειδικότερα, η ανωνυμοποίηση του/της συζύγου/συντρόφου/συμβίωσης του δηλούντος θα ήταν εξίσου αποτελεσματική, αποφεύγοντας παράλληλα τον κίνδυνο προστασίας δεδομένων για τα εν λόγω άτομα.

Εν κατακλείδι, το ΔΕΕ διαπίστωσε ότι ο νόμος περί μη σύγκρουσης συμφερόντων δεν κατάφερε να επιτύχει την κατάλληλη ισορροπία μεταξύ του δημόσιου συμφέροντος που εξυπηρετούσε (αφενός) και των δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων (αφετέρου). Το ΔΕΕ έκρινε ότι θα αρκούσε να απαιτηθεί η δήλωση περί μή σύγκρουσης συμφερόντων και να διενεργηθούν οι κατάλληλοι έλεγχοι από την ΑΕΔ. Το ΔΕΕ έκρινε επίσης δυσανάλογη τη δημοσίευση λεπτομερειών για όλες τις συναλλαγές αξίας άνω των 3.000 ευρώ, δεδομένου ότι οι πληροφορίες αυτές, λαμβανόμενες σωρευτικά, θα επέτρεπαν σε κάθε χρήστη του διαδικτύου να σχηματίσει μια ιδιαίτερα λεπτομερή εικόνα της ιδιωτικής ζωής των υποκειμένων των δεδομένων.

Σε σχέση με το δεύτερο ερώτημα, ο αντίκτυπος της απόφασης του ΔΕΕ, η οποία αποτυπώνεται σε λίγες παραγράφους, είναι τεράστιος. Το ΔΕΕ έκρινε ότι η δημοσίευση προσωπικών δεδομένων που ενδέχεται να αποκαλύψουν έμμεσα τον γενετήσιο προσανατολισμό ενός φυσικού προσώπου (ή τις πολιτικές απόψεις ή τις θρησκευτικές πεποιθήσεις ή οποιαδήποτε άλλα δεδομένα ειδικών κατηγοριών), συνιστά επεξεργασία δεδομένων ειδικών κατηγοριών. Μολονότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα, στην υπό κρίση υπόθεση, δεν περιελάμβανε εγγενώς ειδικές κατηγορίες προσωπικών δεδομένων, η δημοσίευση των δεδομένων που αφορούν το όνομα του/της συζύγου, του/της συντρόφου του δηλούντος καθιστά εντούτοις δυνατή την εξαγωγή συμπερασμάτων σχετικά με τον γενετήσιο προσανατολισμό των εν λόγω υποκειμένων των δεδομένων.

Το ΔΕΕ τόνισε ότι τυχόν αντίθετη ερμηνεία δεν θα ήταν σύμφωνη με τους σκοπούς του ΓΚΠΔ, ο οποίος επιβάλλει την παροχή πρόσθετης προστασίας στην επεξεργασία δεδομένων η οποία, λόγω του ευαίσθητου χαρακτήρα της, ενδέχεται να συνιστά ιδιαιτέρως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα των ιδιωτών.

Τι σημαίνει αυτό πρακτικά;

Οι φορείς του δημοσίου (λ.χ. φορείς της Γενικής Κυβέρνησης, Ο.Τ.Α., Ε.Σ.Υ.) και του ιδιωτικού τομέα (λ.χ. ξενοδοχεία, ιδιωτικά νοσοκομεία, πλατφόρμες κοινωνικής δικτύωσης), που ενεργούν ως Υπεύθυνοι Επεξεργασίας, θα πρέπει να επαναξιολογήσουν το πεδίο εφαρμογής των δραστηριοτήτων επεξεργασίας προσωπικών δεδομένων, που διενεργούν για να προσδιορίσουν κατά πόσον είναι δυνατόν να συναχθούν δεδομένα ειδικών κατηγοριών, από τα άλλα δεδομένα προσωπικού χαρακτήρα που επεξεργάζονται. Σε περιπτώσεις τέτοιας επεξεργασίας, , οι Υπεύθυνοι Επεξεργασίας θα πρέπει να επανεξετάσουν τη νόμιμη βάση που χρησιμοποιείται για την επεξεργασία των (πλέον) ειδικών κατηγοριών προσωπικών δεδομένων στα οποία βασίζεται το συμπέρασμα, ώστε να προστεθεί στις νόμιμες βάσεις και μια εκ των εξαιρέσεων της παραγράφου 2 του άρθρου 9 με ιδιαίτερη έμφαση στο κατά πόσον μπορεί τώρα να είναι αναγκαία η λήψη ρητής συγκατάθεσης από τα υποκείμενα των δεδομένων για την εν λόγω επεξεργασία.

 

[1] ΔΕΕ, C‑184/20 -«OT κατά Vyriausioji tarnybinės etikos komisija», ECLI:EU:C:2022:601, 1/8/2022

[2] Lietuvos Respublikos viešųjų ir privačių interesų derinimo valstybinėje tarnyboje įstatymas Nr. VIII‑371 (νόμος VIII‑371 της Δημοκρατίας της Λιθουανίας, περί συμβιβασμού δημοσίων και ιδιωτικών συμφερόντων στον δημόσιο τομέα), της 2ας Ιουλίου 1997 (Žin., 1997, αριθ. 67‑1659)

[3] Θέση και του Γενικού Εισαγγελέα, σκέψη 78