logo-print

Ανασκόπηση 2023: Οι αποφάσεις του ΔΕΕ για τα προσωπικά δεδομένα

Ρεκόρ αποφάσεων: Το Δικαστήριο της Ευρωπαϊκής Ένωσης ανεβάζει ρυθμούς στην ερμηνεία του ΓΚΠΔ

28/12/2023

22/01/2024

Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων και Ευθύνη για Αποζημίωση
Δίκαιο πληροφορικής - E έκδοση

Το 2023 υπήρξε μια χρονιά συναρπαστική για τη νομολογία του ΔΕΕ στο δίκαιο προστασίας προσωπικών δεδομένων.

Οι είκοσι μία (21) αποφάσεις του1 επί ζητημάτων ερμηνείας του Γενικού Κανονισμού Προστασίας Δεδομένων αποτελούν αριθμό ρεκόρ2, καταρρίπτοντας το προηγούμενο ρεκόρ που είχε σημειωθεί το 20223.

Τη μερίδα του λέοντος ως προς την αποστολή προδικαστικών αιτήσεων στο ΔΕΕ είχαν και πάλι τα γερμανικά δικαστήρια, από ερωτήματα των οποίων προήλθαν οι δώδεκα από τις εικοσι μία αποφάσεις4. Σημαντική η συνεισφορά και των Αυστριακών, με τις τρεις υποθέσεις που έστειλαν στο ΔΕΕ, ενώ από μια υπόθεση απέστειλαν δικαστήρια της Φινλανδίας, της Τσεχίας, της Βουλγαρίας, της Λιθουανίας, της Σουηδίας, της Ουγγαρίας. Πρόκειται για χώρες που είχαν και τα προηγούμενα χρόνια μεγάλη συνεισφορά στην ερμηνεία του Γενικού Κανονισμού από το ΔΕΕ, σε αντίθεση με τα δικαστήρια μεγάλων χωρών της Ένωσης (Ιταλία-Γαλλία-Ισπανία) που σπανίως διατυπώνουν ερμηνευτικές ανησυχίες ή την Ελλάδα που δεν έχει ακόμη αποστείλει προδικαστικό για ζητήματα προσωπικών δεδομένων.

Με τις είκοσι μια φετινές αποφάσεις του, το ΔΕΕ προχώρησε και συμπλήρωσε την ερμηνεία του επί διατάξεων που είχαν τεθεί στην κρίση του και τα προηγούμενα χρόνια, αλλά και εισήλθε για πρώτη φορά σε ζητήματα που δεν είχαν μέχρι τώρα εξεταστεί.

Στις σημαντικότερες αποφάσεις του θα μπορούσαμε να συγκαταλέξουμε:

- την απόφαση C-252/21 (Meta Platforms κ.λπ.), όπου το Δικαστήριο έκρινε ζητήματα νομιμότητας στην επεξεργασία δεδομένων των χρηστών του Facebook, αλλά και άνοιξε τον δρόμο για την επιλογή του μοντέλου «συνδρομή ή συγκατάθεση», που πρόσφατα εισήγαγε η Meta.

- τις τέσσερις αποφάσεις για το δικαίωμα πρόσβασης (C-154/21 - Österreichische Post, C-487/21 - Österreichische Datenschutzbehörde, C-579/21 - Pankki S και C-307/22 – FT), με τις οποίες το Δικαστήριο ανέλυσε τα χαρακτηριστικά του δικαιώματος, διευκρίνισε την υποχρέωση ενημέρωσης ως προς τους αποδέκτες, προσδιόρισε τα όρια της παροχής αντιγράφου και βεβαίωσε πως το δικαίωμα μπορεί να ασκείται ακόμη και για σκοπούς εκτός της επιβεβαίωσης της νομιμότητας της επεξεργασίας.

- την απόφαση C-340/21 (Natsionalna agentsia za prihodite), όπου εξειδικεύτηκε η ευθύνη του υπευθύνου επεξεργασίας για τη λήψη μέτρων ασφάλειας των δεδομένων στην περίπτωση κακόβουλου συμβάντος παραβίασης δεδομένων.

- την απόφαση C-34/21 (Hauptpersonalrat der Lehrerinnen und Lehrer), με την οποία ουσιαστικά ακυρώθηκε η εθνική διάταξη των Γερμανών για την επεξεργασία δεδομένων των εργαζομένων, αλλά και όλες οι εθνικές διατάξεις που είχαν βασιστεί σε αυτή.

- τις τέσσερις αποφάσεις (C-300/21 - Österreichische Post, C-340/21 - Natsionalna agentsia za prihodite, C-456/22 - Gemeinde Ummendorf, C-667/21 - Krankenversicherung Nordrhein) για την αποζημίωση του υποκειμένου των δεδομένων για την υλική και κυρίως τη μη υλική ζημία, όπου το Δικαστήριο έθεσε τα ερμηνευτικά όρια για τη θεμελίωση του δικαιώματος αυτού.

- τις δύο πρόσφατες αποφάσεις της Schufa Holding (C-634/21 και C-26/22), στις οποίες το ΔΕΕ έθεσε τα αναγκαία όρια για τη συλλογή και διατήρηση πιστωτικών δεδομένων από ιδιωτικές εταιρείες και έβαλε τις βάσεις για τη σύνδεση του Γενικού Κανονισμού με την τεχνητή νοημοσύνη, προστατεύοντας το δικαίωμα του πολίτη να μην αποτελεί αντικείμενο αυτοματοποιημένων ατομικών αποφάσεων που επηρεάζουν τα οικονομικά συμφέροντα, τα δικαιώματα και τις ελευθερίες του.

Σημαντικές αποφάσεις εξέδωσε το ΔΕΕ και για την ερμηνεία της Οδηγίας 2016/680 (C-205/21 - Ministerstvo na vatreshnite raboti και C333-22 - Ligue des droits humains), αλλά και του άρθρου 15 της Οδηγίας 2002/58 (C-349/21 - HYA and Others και C-162/22 - Lietuvos Respublikos generalinė prokuratūra), ενώ ειδική αναφορά πρέπει να γίνει και σε πολύ σημαντικές αποφάσεις επί ευρύτερων ζητημάτων που άπτονται της προστασίας των προσωπικών δεδομένων: Την απόφαση C‑204/21 (Επιτροπή κατά Πολωνίας) για τα ευαίσθητα προσωπικά δεδομένα των Πολωνών δικαστών και την απόφαση του Γενικού Δικαστηρίου στην υπόθεση T‑557/20 (ΕΣΕ κατά ΕΕΠΔ), όπου και κρίθηκε η διαφορά μεταξύ ανωνυμοποίησης και ψευδωνυμοποίησης των προσωπικών δεδομένων. Η τελευταία αυτή υπόθεση θα κριθεί οριστικά από το ΔΕΕ.

Στο συνημμένο κείμενο καταγράφονται κατ’ άρθρον οι φετινές αποφάσεις του ΔΕΕ, με παράθεση του διατακτικού τους. Όπως είναι προφανές, από το έγγραφο απουσιάζουν οι ιδιαίτερα πλούσιοι μείζονες και ελάσσονες συλλογισμοί του Δικαστηρίου, όπου και αναλύονται λεπτομερώς οι σκέψεις του επί της ερμηνείας και εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων.

Κατά τούτο, σκοπός του εγγράφου είναι η υποβοήθηση ως προς τον εντοπισμό της κάθε απόφασης, η οποία κρίνεται αναγκαία δεδομένης της συχνότητας έκδοσης των αποφάσεων του Δικαστηρίου.

Δείτε αναλυτικά το αρχείο.

  • 1. Στα ελληνικά έχουν μεταφραστεί οι 20 από τις 21 αποφάσεις αυτές. Η απόφαση C-560/21 (KISA) παραμένει μετά από μήνες διαθέσιμη μόνο στα γερμανικά και τα γαλλικά, πιθανότατα επειδή είναι παρόμοια με την απόφαση C-453/21 (X-FAB Dresden).
  • 2. Για να έχει κανείς μια εικόνα του αριθμού, αρκεί να αναφερθεί πως τόσες ήταν περίπου οι αποφάσεις που εξέδωσε το ΔΕΕ μεταξύ των ετών 2010-2017.
  • 3. Ενδεικτική της δυσχέρειας που προκαλεί η συχνότητα έκδοσης αποφάσεων του ΔΕΕ για τα προσωπικά δεδομένα υπήρξε η απόφαση του Δικαστηρίου να αλλάξει εκ νέου την πολιτική του για την ονομασία των υποθέσεων και να εισαγάγει την απόδοση ονομασιών με ψευδή στοιχεία φυσικών προσώπων. Με βάση την προηγούμενη πολιτική του, οι υποθέσεις έπαιρναν συνήθως τον τίτλο τους από τα στοιχεία ενός εκ των νομικών προσώπων που συμμετείχαν στην υπόθεση, σε συνδυασμό με τη θεματολογία της υπόθεσης. Αυτό είχε ως αποτέλεσμα το 2023 να εκδοθούν δύο υποθέσεις με τον ίδιο τίτλο, αλλά διαφορετικό αντικείμενο: C-154/21 - Österreichische Post (Informations relatives aux destinataires de données personnelles) και C-300/21 - Österreichische Post (Préjudice moral lié au traitement de données personnelles)
  • 4. Προδικαστικές αιτήσεις υπέβαλαν το Ανώτατο Ομοσπονδιακό Δικαστήριο (C‑307/22), το Ομοσπονδιακό Δικαστήριο Εργατικών Διαφορών (C-667/21), αλλά και εφετεία (C‑807/21), πρωτοδικεία (C‑319/22 και C‑456/22), ή διοικητικά πρωτοδικεία (C‑634/21, C‑26/22 και C‑60/22)
Τεχνητή Νοημοσύνη & ανταγωνισμός
Ποινικός Κώδικας Ι
send