Αλκοτέστ στους πλοιάρχους φέρυ μποτ: Πρόστιμο από τη σουηδική αρχή προστασίας δεδομένων

Επιμέλεια: Δημήτρης Βέρρας

H οδήγηση ενός δημόσιου μέσου μαζικής μεταφοράς προϋποθέτει την τήρηση ορισμένων κανόνων, μεταξύ των οποίων η μη κατανάλωση αλκοόλ από τον οδηγό. Το ίδιο ισχύει και όταν το μέσο μεταφοράς είναι ένα φέρυ μποτ, που εκτελεί τοπικά δρομολόγια, με το πρόσωπο που φέρει την αντίστοιχη υποχρέωση να είναι ο κυβερνήτης του.

Η σουηδική αρχή προστασίας δεδομένων ΙΜΥ έλαβε την καταγγελία ενός πλοιάρχου φέρυ μποτ για την παράνομη επεξεργασία των δεδομένων του προς τον σκοπό του εντοπισμού τυχόν κατανάλωσης αλκοόλ κατά τον χρόνο πριν τον απόπλου.

Υπεύθυνη για την ιδέα αυτή ήταν η Aktiebolaget Storstockholms Lokaltrafik (SL), η εταιρεία που διαχειρίζεται τις αστικές συγκοινωνίες της Στοκχόλμης, ενώ ο πλοίαρχος ανήκε στο προσωπικό τρίτης εταιρείας, που είχε αναλάβει την εκτέλεση των υδάτινων συγκοινωνιών για λογαριασμό της SL.

Σύμφωνα με την ιδέα αυτή, κάθε κυβερνήτης φέρυ μποτ υποχρεωνόταν να πραγματοποιεί αλκοτέστ αμέσως πριν τον απόπλου, φυσώντας στην ειδική συσκευή που είχε τοποθετηθεί στο πλοίο. Για αποτελέσματα που ήταν κάτω του επιτρεπόμενου ορίου, η συσκευή εμφάνιζε πράσινη ένδειξη, ενώ η ακριβής μέτρηση εμφανιζόταν μόνο όταν υπήρχε υπέρβαση του ορίου και η ένδειξη γινόταν κόκκινη. Τα αποτελέσματα, θετικά ή αρνητικά, τηρούνταν επί του πλοίου, ενώ διαβιβάζονταν και σε εξωτερικό server, στον οποίο πρόσβαση είχαν τόσο η SL, όσο και η εργοδότρια εταιρεία.

Υπό τα δεδομένα αυτά, η σουηδική αρχή πραγματοποίησε έρευνα, εξετάζοντας τέσσερα κρίσιμα ζητήματα: 1) κατά πόσον γινόταν επεξεργασία προσωπικών δεδομένων, υπό την έννοια της ταυτοποίησης των πλοιάρχων που έκαναν αλκοτέστ, 2) ποια εκ των δύο εταιρειών ενεργούσε ως υπεύθυνος επεξεργασίας, 3) ποια εκ των νομικών βάσεων του άρθρου 6 ΓΚΠΔ μπορούσε να τύχει εφαρμογής, και 4) αν η επεξεργασία αυτή οδηγούσε στην αποκάλυψη δεδομένων υγείας.

Ως προς το ζήτημα της επεξεργασίας προσωπικών δεδομένων, η SL διευκρίνισε πως το σύστημα που καταγράφει τα αποτελέσματα δεν αναγνωρίζει τα πρόσωπα που έχουν υποβληθεί σε έλεγχο. Στο σύστημα αυτό, πρόσβαση έχουν οι αρμόδιοι υπάλληλοι της ιδίας, αλλά και της εταιρείας που εκτελεί τα δρομολόγια, με τους τελευταίους να έχουν τη δυνατότητα να εντοπίσουν και να ταυτοποιήσουν τον κυβερνήτη του πλοίου στο οποίο έγινε η κάθε μέτρηση.

Η αναφορά αυτή ήταν αρκετή για τη σουηδική αρχή προκειμένου να διαπιστώσει το αυτονόητο. Από τη στιγμή που η εργοδότρια εταιρεία είχε στη διάθεσή της συμπληρωματικές πληροφορίες που της επέτρεπαν να ταυτοποιήσει τα πρόσωπα που είχαν κάνει αλκοτέστ, τα αποτελέσματα των ελέγχων αποτελούν προσωπικά δεδομένα. Άλλωστε, όπως γίνεται παγίως δεκτό, το γεγονός πως η SL δεν  είχε άμεση πρόσβαση στις πληροφορίες ταυτοποίησης δεν επηρεάζει την κρίση ως προς τον χαρακτήρα των αποτελεσμάτων μέτρησης.

Ως προς το ζήτημα του φορέα που ενεργεί ως υπεύθυνος επεξεργασίας, η SL αναγνώρισε πως είναι η ίδια εκείνη που καθόρισε τους σκοπούς και τα μέσα της επίμαχης επεξεργασίας, με την εργολάβο εταιρεία να ενεργεί ως εκτελών την επεξεργασία. Η ΙΜΥ δεν είχε λόγο να κρίνει διαφορετικά.

Μεγαλύτερο ενδιαφέρον παρουσιάζει η εξέταση του ζητήματος της νομικής βάσης για την επεξεργασία δεδομένων των πλοιάρχων. Ερωτηθείσα σχετικώς από τη σουηδική αρχή, η SL υποστήριξε πως η επεξεργασία αυτή θεμελιώνεται στο έννομο συμφέρον της (άρθρο 6 παρ.1 στ’ ΓΚΠΔ), όπως αυτό τεκμηριώθηκε κατόπιν στάθμισης που προηγήθηκε, ενώ επικουρικά προέβαλε και την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον (άρθρο 6 παρ.1ε’ ΓΚΠΔ).

Η ΙΜΥ, σύμφωνα με την πάγια προσέγγισή της, εξέτασε το έννομο συμφέρον της εταιρείας με βάση τις τρεις προϋποθέσεις που έχει θέσει το ΔΕΕ: την καταρχήν ύπαρξη εννόμου συμφέροντος, την αναγκαιότητα της επεξεργασίας και την υπεροχή αυτού έναντι των δικαιωμάτων και ελευθεριών των υποκειμένων.

Ως προς την πρώτη προϋπόθεση, η ΙΜΥ έκρινε πως, πράγματι, η ασφάλεια των επιβατών ενός δημόσιο μέσου μεταφοράς και η διασφάλιση πως ο καπετάνιος ενός πλοίου δεν βρίσκεται υπό την επήρεια αλκοόλ αποτελούν σκοπούς δημοσίου συμφέροντος, που στοιχειοθετούν το έννομο συμφέρον της εταιρείας για τη διενέργεια της επίμαχης επεξεργασίας δεδομένων. Το πρόβλημα εντοπίστηκε στη δεύτερη προϋπόθεση, την αναγκαιότητα, η οποία κατά πάγια νομολογία του ΔΕΕ εξετάστηκε από κοινού με την αρχή της ελαχιστοποίησης των δεδομένων και είχε δύο εκφάνσεις.

Το πρώτο πρόβλημα που διαπιστώθηκε αφορούσε τους χρόνους διατήρησης των δεδομένων. Μολονότι το σύστημα που είχε εγκατασταθεί στα φέρυ μποτ δεν είχε εμφανίσει ποτέ κόκκινη ένδειξη, τα δεδομένα των μετρήσεων αποθηκεύονταν στον server και διατηρούνταν για πολλούς μήνες. Η διαδικασία αυτή παραβίαζε σαφώς την αναγκαιότητα της επεξεργασίας, αφού το όποιο έννομο συμφέρον της εταιρείας στην ασφάλεια των μεταφορών δεν θα μπορούσε να δικαιολογεί την επί μακρόν διατήρηση των αρνητικών αποτελεσμάτων.

Περαιτέρω, η ΙΜΥ διαπίστωσε πως και το ίδιο το σύστημα που επελέγη παραβίαζε την ελαχιστοποίηση των δεδομένων. Η σουηδική αρχή ρώτησε την SL ως προς το αν εξέτασε τη λήψη άλλων, ηπιότερων, μέσων για την επίτευξη του επιδιωκόμενου σκοπού και πήρε την απάντηση πως υπήρχε εναλλακτικό μέτρο, το οποίο όμως δεν κρίθηκε ηπιότερο. Η SL είχε εξετάσει το ενδεχόμενο να εγκαταστήσει μηχανισμό κλειδώματος των οργάνων των πλοίων με βάση τη μέτρηση του αλκοτέστ.

Το εναλλακτικό σύστημα αυτό, που χρησιμοποιείται και σε άλλα μέσα μεταφοράς, δεν αποθήκευε δεδομένα από αρνητικές μετρήσεις, αλλά μόνο από τις περιπτώσεις όπου ο ελεγχόμενος βρισκόταν πάνω από το όριο, οπότε και παρεμπόδιζε τη λειτουργία των μηχανών του φέρυ μποτ. Η SL, εκτιμώντας εσφαλμένα πως η αρνητική μέτρηση δεν επηρεάζει τα δικαιώματα των υποκειμένων των δεδομένων, είχε καταλήξει πως το σύστημα αυτό δεν είχε διαφορές, ως προς τον βαθμό επέμβασης, με εκείνο που τελικώς εγκατέστησε. Τούτο διότι, στην περίπτωση όπου το εναλλακτικό σύστημα εντόπιζε υπέρβαση του ορίου θα έπρεπε να ακολουθήσει έρευνα επί των αποτελεσμάτων του ελέγχου, ως εκ τούτου θα πραγματοποιείτο επεξεργασία δεδομένων.

Η ΙΜΥ επεσήμανε πως το σκεπτικό αυτό υπήρξε εσφαλμένο. Ένα σύστημα που θα οδηγούσε σε έλεγχο μόνο των προσώπων που βρέθηκαν πάνω από το όριο είναι σαφώς ηπιότερο από ένα σύστημα που καταγράφει όλα τα αποτελέσματα των αλκοτέστ, ανεξαρτήτως του αν αυτά είναι θετικά ή αρνητικά. Με βάση την ανωτέρω διαπίστωση, η αρχή έκρινε πως ο επιδιωκόμενος σκοπός θα μπορούσε να έχει επιτευχθεί με τη χρήση ηπιότερων μέσων, κατά συνέπεια το έννομο συμφέρον της εταιρείας έπασχε ως προς την προϋπόθεση της αναγκαιότητας.

Η διαπίστωση αυτή οδήγησε την ΙΜΥ στην απόρριψη και της έτερης νομικής βάσης που επικουρικώς προβλήθηκε από την εταιρεία. Χωρίς να χρειαστεί να εξετάσει το κατά πόσον η επίμαχη επεξεργασία συνδέεται με νόμιμα καθήκοντα και υποχρεώσεις, η σουηδική αρχή απέρριψε τη νομική βάση της εκπλήρωσης καθήκοντος, αφού και αυτή προϋποθέτει την αναγκαιότητα της επεξεργασίας.

Μολονότι η απόφαση είχε ήδη κρίνει ως προς τη νομιμότητα της επεξεργασίας, η ΙΜΥ προχώρησε και στον έλεγχο του τετάρτου ζητήματος, που αφορούσε το κατά πόσον η επίμαχη επεξεργασία συνιστούσε επεξεργασία δεδομένων υγείας. Η κρίση της για το ζήτημα αυτό παρουσιάζει ιδιαίτερο ενδιαφέρον.

Η ΙΜΥ επεσήμανε πως κρίσιμο στοιχείο της έννοιας των δεδομένων υγείας, σύμφωνα με τον ορισμό του άρθρου 4 στοιχ. 15 και της αιτιολογικής σκέψης 35 ΓΚΠΔ, είναι το αν είναι δυνατή η συναγωγή συμπερασμάτων σχετικά με την υγεία ενός προσώπου μέσα από μια πληροφορία. Παράλληλα, η σουηδική αρχή επικαλέστηκε τις Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του άρθρου 29 για την αυτοματοποιημένη λήψη αποφάσεων και την κατάρτιση προφίλ, όπου είχε διατυπωθεί η άποψη πως «η κατάρτιση προφίλ μπορεί να δημιουργήσει δεδομένα ειδικών κατηγοριών διά της συναγωγής από δεδομένα που δεν ανήκουν σε ειδική κατηγορία καθαυτά, αλλά τα οποία καθίστανται δεδομένα ειδικών κατηγοριών όταν συνδυάζονται με άλλα δεδομένα. Για παράδειγμα, μπορεί να είναι εφικτή η συναγωγή της κατάστασης της υγείας ενός φυσικού προσώπου από τα αρχεία των αγορών τροφίμων που πραγματοποιεί σε συνδυασμό με δεδομένα σχετικά με την ποιότητα και την ενέργεια που περιέχεται στα τρόφιμα».

Η SL ισχυρίστηκε πως ποτέ δεν είχε βρεθεί θετικό αποτέλεσμα στα αλκοτέστ που είχαν διενεργηθεί, ενώ υπενθύμισε πως το σύστημα εμφάνιζε το ακριβές αποτέλεσμα της μέτρησης μόνο όταν το αποτέλεσμα ήταν θετικό. Υπό τη δική της οπτική, η συλλογή πληροφοριών πως κάποιος δεν βρίσκεται υπό την επήρεια αλκοόλ δεν μπορούσε να συνιστά επεξεργασία δεδομένων υγείας.

Η ΙΜΥ και πάλι διαφώνησε με την οπτική αυτή.

Όπως επεσήμανε, η έννοια των δεδομένων υγείας πρέπει να τυγχάνει ευρείας ερμηνείας, ενώ παρατήρησε εκ νέου πως είναι δυνατή η δημιουργία ευαίσθητων δεδομένων μέσα από τη συλλογή «απλών» δεδομένων, αφού άλλωστε δεν έχουν όλα τα δεδομένα υγείας τον ίδιο βαθμό ευαισθησίας.

Η σουηδική αρχή αναγνώρισε πως μια αρνητική μέτρηση σε αλκοτέστ δεν συνιστά αυτομάτως δεδομένο υγείας, παραδεχόμενη πως η ευαισθησία μια συγκεκριμένης πληροφορίας δεν σχετίζεται κατ’ ανάγκην με το κατά πόσο η πληροφορία αυτή εντάσσεται στην έννοια του όρου βάσει ΓΚΠΔ. Κρίσιμο εν προκειμένω είναι το πλαίσιο στο οποίο γίνεται η επεξεργασία της πληροφορίας και το κατά πόσον μπορεί το πλαίσιο αυτό να οδηγήσει στην εξαγωγή συμπερασμάτων. Ως παράδειγμα επ’ αυτού, η ΙΜΥ ανέφερε την περίπτωση όπου μια πληροφορία αποκαλύπτει ότι κάποιος δεν πάσχει από μια συγκεκριμένη πάθηση, οπότε και θα μπορούσε να αποτελεί πληροφορία σχετική με την υγεία του.

Στην προκείμενη περίπτωση, η εταιρεία συνέλεγε μεγάλο όγκο προσωπικών δεδομένων των πλοιάρχων, οι οποίοι δύο φορές την ημέρα έκαναν αλκοτέστ που έβγαιναν αρνητικά, με τα αποτελέσματα να διατηρούνται επί σειρά μηνών. Σύμφωνα με την ΙΜΥ, υπό το πλαίσιο της επεξεργασίας αυτής, θα ήταν δυνατή η συναγωγή συμπερασμάτων σχετικά με την υγεία του καταγγέλλοντος, συνεπώς η επίμαχη επεξεργασία αποτέλεσε επεξεργασία δεδομένων υγείας.

Με βάση τις διαπιστώσεις αυτές, η ΙΜΥ έκρινε ότι η εταιρεία είχε επεξεργαστεί τα δεδομένα του καταγγέλλοντος έχοντας παραβιάσει τα άρθρα 6 και 9 ΓΚΠΔ. Για τις παραβάσεις αυτές επιβλήθηκε πρόστιμο ύψους 6.600 ευρώ.