Δεν υπάρχει όριο στον αριθμό των καταγγελιών για παραβίαση του ΓΚΠΔ (ΔΕΕ C-416/23 - Österreichische Datenschutzbehörde)
Εκτός εάν η εποπτική αρχή αποδείξει πως ο καταγγέλλων επιδιώκει την παρεμπόδιση της εύρυθμης λειτουργίας της
Επιμέλεια: Δημήτρης Βέρρας
Τέλος στην πρακτική της αυστριακής αρχής προστασίας δεδομένων να μην εξετάζει πολλαπλές καταγγελίες του ιδίου προσώπου έβαλε το Δικαστήριο της Ευρωπαϊκής Ένωσης με την απόφασή του στην υπόθεση C-416/23 (Österreichische Datenschutzbehörde), η οποία δημοσιεύτηκε στις 9 Ιανουαρίου.
Η υπόθεση ήχθη ενώπιον του ΔΕΕ μετά από αίτηση προδικαστικής απόφασης του Ανωτάτου Διοικητικού Δικαστηρίου της Αυστρίας Verwaltungsgerichtshof, που εκλήθη να εξετάσει την ερμηνεία και εφαρμογή του άρθρου 57 παρ. 4 ΓΚΠΔ.
Το άρθρο 57 παρ.4 ΓΚΠΔ προβλέπει ότι:
4. Εάν τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, η εποπτική αρχή μπορεί να επιβάλει ένα εύλογο τέλος για διοικητικά έξοδα ή να αρνηθεί να απαντήσει στο αίτημα. Η εποπτική αρχή φέρει το βάρος απόδειξης του προδήλως αβάσιμου ή υπερβολικού χαρακτήρα του αιτήματος.
Τη διάταξη αυτή επικαλέστηκε η αυστριακή αρχή προστασίας δεδομένων DSB (Datenschutzbehörde), αρνούμενη να εξετάσει καταγγελία για παραβίαση του δικαιώματος πρόσβασης, που υποβλήθηκε από πολίτη στις 17 Φεβρουαρίου 2020. Σύμφωνα με τη DSB, η καταγγελία αυτή είχε «υπερβολικό χαρακτήρα», καθώς ο ίδιος αυτός καταγγέλλων είχε υποβάλει, σε διάστημα περίπου 20 μηνών, 77 παρόμοιες καταγγελίες κατά διαφόρων υπευθύνων επεξεργασίας. Αυτό που έκανε ουσιαστικά δηλαδή ο καταγγέλλων ήταν να αποστέλλει μαζικά αιτήματα πρόσβασης σε υπευθύνους επεξεργασίας και να υποβάλλει άμεσα καταγγελίες στην εποπτική αρχή σε βάρος όσων υπευθύνων επεξεργασίας δεν του είχαν απαντήσει προσηκόντως. Η πρακτική αυτή δεν έγινε αποδεκτή από την αυστριακή αρχή, η οποία προσέφυγε στη δυνατότητα που της δίνει το άρθρο 57 παρ.4 ΓΚΠΔ.
Η προσέγγισή της αυτή, ωστόσο, δεν δικαιώθηκε από το Ομοσπονδιακό Διοικητικό Δικαστήριο της Αυστρίας Bundesverwaltungsgericht, το οποίο έκανε δεκτή την προσφυγή που άσκησε ο καταγγέλλων και ακύρωσε την απόφασή της.
Διαβάστε σχετικά: Προσωπικά δεδομένα: Στις πόσες καταγγελίες «καίγεται» το υποκείμενο των δεδομένων;
Τα τρία ζητήματα που κρίθηκαν από το ΔΕΕ
Με βάση το ιστορικό αυτό, το ΔΕΕ ερωτήθηκε σχετικά με τρεις πτυχές της ερμηνείας της επίμαχης διάταξης του άρθρου 57 παρ.4 ΓΚΠΔ και έκρινε ως εξής:
1. Ως προς το κατά πόσον στην έννοια του «αιτήματος» της διάταξης αυτής περιλαμβάνονται και οι καταγγελίες, η απάντηση του Δικαστηρίου ήταν προφανώς καταφατική.
Σύμφωνα με το ΔΕΕ, οι σχετικές διατάξεις του Γενικού Κανονισμού δεν ορίζουν ρητώς την έννοια του «αιτήματος», το δε νόημα της λέξης αυτής στην καθημερινή «περιλαμβάνει δυνητικά κάθε αίτημα που υποβάλλεται από πρόσωπο ή οντότητα». Κατά συνέπεια, και σύμφωνα με το γράμμα του νόμου, στην έννοια του αιτήματος του άρθρου 57 παρ.4 εντάσσονται και οι καταγγελίες του άρθρου 77 παρ.1 ΓΚΠΔ.
2. Ως προς το αν η υποβολή μεγάλου αριθμού αιτημάτων αρκεί από μόνη της για να χαρακτηρισθούν τα αιτήματα αυτά ως «υπερβολικά» ή αν ο χαρακτηρισμός αυτός προϋποθέτει επιπλέον καταχρηστική συμπεριφορά του υποκειμένου των δεδομένων που υπέβαλε τα αιτήματα.
Το Δικαστήριο παρατήρησε πως από το γράμμα του άρθρου 57 παρ.4 ΓΚΠΔ προκύπτει ότι τα αιτήματα ενδέχεται να είναι «υπερβολικά» ιδίως όταν έχουν επαναλαμβανόμενο χαρακτήρα. «Εντούτοις, από τη γραμματική ερμηνεία της διατάξεως αυτής δεν μπορεί να συναχθεί αν ο επαναλαμβανόμενος αυτός χαρακτήρας και, κατά συνέπεια, ο αριθμός και μόνον των υποβληθέντων αιτημάτων αρκούν για να δικαιολογηθεί ένας τέτοιος χαρακτηρισμός.». Κατά συνέπεια, η απάντηση θα πρέπει να δοθεί μέσα από την ερμηνεία του πλαισίου στο οποίο εντάσσεται η επίμαχη διάταξη και τους σκοπούς που αυτή επιδιώκει.
Το ΔΕΕ αναζήτησε την απάντηση στη λειτουργία του δικαιώματος πρόσβασης και την αποστολή του στο πλαίσιο της προστασίας δεδομένων, ανέτρεξε δηλαδή στο ίδιο το δικαίωμα, η υπεράσπιση του οποίου ζητήθηκε μέσα από τις επίδικες καταγγελίες. Στο πλαίσιο αυτό, το Δικαστήριο παρατήρησε ότι «αν το υποκείμενο των δεδομένων έχει υποβάλει πλείονα αιτήματα πρόσβασης σε έναν ή περισσότερους υπευθύνους επεξεργασίας χωρίς αυτά να ικανοποιηθούν, ο αριθμός των καταγγελιών που υποβάλλονται στην εποπτική αρχή θα μπορούσε να συμπίπτει με τον αριθμό των απορριπτικών απαντήσεων εκ μέρους των υπευθύνων επεξεργασίας προς το υποκείμενο των δεδομένων. Υπό τις συνθήκες αυτές, ο καθορισμός ενός απόλυτου αριθμητικού ορίου, πέραν του οποίου οι εν λόγω καταγγελίες θα μπορούσαν να χαρακτηρίζονται αυτομάτως ως υπερβολικές, ενδέχεται να θίγει τα δικαιώματα που κατοχυρώνει ο εν λόγω κανονισμός».
Το Δικαστήριο υπενθύμισε πως το άρθρο 57 παρ.4 ΓΚΠΔ συνιστά εξαίρεση από τον κανόνα της χωρίς επιβάρυνση άσκησης καθηκόντων από τις εποπτικές αρχές, ως εκ τούτου θα πρέπει να ερμηνεύεται συσταλτικά, «χωρίς ο αριθμός των υποβληθεισών καταγγελιών να μπορεί να συνιστά, αφ’ εαυτού, επαρκές κριτήριο για τη διαπίστωση της ύπαρξης τέτοιας κατάχρησης».
Το άρθρο 57 παρ.4 ΓΚΠΔ απηχεί την πάγια νομολογία του Δικαστηρίου, κατά την οποία υφίσταται στο πλαίσιο του δικαίου της Ένωσης γενική αρχή του δικαίου, σύμφωνα με την οποία οι πολίτες δεν μπορούν να επικαλούνται δολίως ή καταχρηστικώς τους κανόνες του δικαίου της Ένωσης, αυτό όμως είναι κάτι που πρέπει να αποδεικνύεται. Όπως επισημάνθηκε, «η οικεία εποπτική αρχή, όταν προτίθεται να κάνει χρήση της ευχέρειας που παρέχει το άρθρο 57, παράγραφος 4, του ΓΚΠΔ, πρέπει να αποδεικνύει, λαμβανομένου υπόψη του συνόλου των κρίσιμων περιστάσεων της εκάστοτε συγκεκριμένης περίπτωσης, την ύπαρξη καταχρηστικής συμπεριφοράς εκ μέρους του υποκειμένου των δεδομένων, ο δε αριθμός των καταγγελιών που έχει υποβάλει το υποκείμενο των δεδομένων δεν συνιστά, αφ’ εαυτού, επαρκές στοιχείο. Πάντως, η ύπαρξη καταχρηστικής συμπεριφοράς μπορεί να διαπιστωθεί όταν το υποκείμενο των δεδομένων υποβάλλει καταγγελίες χωρίς τούτο να απαιτείται αντικειμενικώς για την προστασία των δικαιωμάτων που του παρέχει ο κανονισμός».
Διαβάστε επίσης: Καταγγελία προδήλως αβάσιμη λόγω αιτήματος του υποκειμένου για καταβολή αποζημίωσης
Το ΔΕΕ στάθηκε και στο ζήτημα των ανθρώπινων, τεχνικών και οικονομικών πόρων των εποπτικών αρχών του ΓΚΠΔ, το οποίο αποτέλεσε βασική αιτιολογία για τη μη εξέταση της επίμαχης καταγγελίας. Το επιχείρημα της DSB επ’ αυτού ήταν πως οι ήδη ανεπαρκείς ανθρώπινοι πόροι της δικαιολογούσαν, αλλά και επέβαλαν, μια τέτοια επιλογή, καθώς η διαρκής ενασχόληση με τις καταγγελίες του συγκεκριμένου πολίτη καθυστερούσαν και παρακώλυαν την πρόοδο άλλων σημαντικών υποθέσεων που έπρεπε να εξεταστούν. Το Δικαστήριο δεν δέχθηκε την αιτιολογία αυτή, άφησε όμως ανοικτή μια δυνατότητα περαιτέρω τεκμηρίωσής της.
Σύμφωνα με την απόφασή του, «εναπόκειται στα κράτη μέλη να παρέχουν στις εποπτικές αρχές τα κατάλληλα μέσα για την εξέταση όλων των καταγγελιών των οποίων επιλαμβάνονται, αυξάνοντας ενδεχομένως τα μέσα αυτά προκειμένου να τα προσαρμόζουν στον τρόπο με τον οποίο τα υποκείμενα των δεδομένων κάνουν χρήση του δικαιώματός τους προς υποβολή καταγγελίας δυνάμει του άρθρου 77, παράγραφος 1, του ΓΚΠΔ. Ως εκ τούτου, η εποπτική αρχή δεν μπορεί να στηρίξει την άρνησή της να δώσει συνέχεια σε καταγγελία κατ’ εφαρμογήν του άρθρου 57, παράγραφος 4, του ως άνω κανονισμού στο γεγονός ότι το πρόσωπο που υποβάλλει αριθμό καταγγελιών αισθητά υψηλότερο από τον μέσο αριθμό καταγγελιών που υποβάλλει κάθε υποκείμενο των δεδομένων χρησιμοποιεί σημαντικούς πόρους της αρχής αυτής, εις βάρος της εξέτασης των καταγγελιών που υποβάλλουν άλλα υποκείμενα των δεδομένων».
Επεσήμανε μάλιστα και κάτι ιδιαίτερα σημαντικό το ΔΕΕ: οι καταγγελίες δεν είναι μόνο προβλεπόμενες, αλλά πρέπει και να είναι ευπρόσδεκτες από τις εποπτικές αρχές, αφού μέσω αυτών λαμβάνουν οι εποπτικές αρχές γνώση των προβλημάτων στην εφαρμογή του ΓΚΠΔ: «οι καταγγελίες που υποβάλλονται δυνάμει του άρθρου 77, παράγραφος 1, του ΓΚΠΔ διαδραματίζουν σημαντικό ρόλο στη γνώση που μπορούν να έχουν οι εποπτικές αρχές όσον αφορά τις προσβολές των δικαιωμάτων που προστατεύονται από τον κανονισμό αυτό. Ως εκ τούτου, οι καταγγελίες συμβάλλουν σημαντικά στη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των προσώπων εντός της Ένωσης, καθώς και στην ενίσχυση και αποσαφήνιση των δικαιωμάτων των προσώπων αυτών σύμφωνα με τις αιτιολογικές σκέψεις 10 και 11 του εν λόγω κανονισμού».
Ωστόσο, υπάρχει και το ενδεχόμενο οι καταγγελίες που υποβάλλονται να μην αποσκοπούν στην προστασία των δικαιωμάτων του καταγγέλλοντος, αλλά να εξυπηρετούν άλλους σκοπούς, κάτι το οποίο πρέπει να αποδεικνύεται από την αρμόδια εποπτική αρχή: «βάσει των ιδιαίτερων περιστάσεων κάθε συγκεκριμένης περίπτωσης, εναπόκειται στην εποπτική αρχή που επιλαμβάνεται μεγάλου αριθμού καταγγελιών να αποδείξει ότι ο αριθμός αυτός δεν οφείλεται στη βούληση του υποκειμένου των δεδομένων να εξασφαλίσει την προστασία των δικαιωμάτων που του παρέχει ο ΓΚΠΔ, αλλά σε άλλον σκοπό μη σχετιζόμενο με την προστασία αυτή. Τούτο ισχύει, ειδικότερα, όταν από τις περιστάσεις αυτές προκύπτει ότι ο μεγάλος αριθμός καταγγελιών αποσκοπεί στην παρεμπόδιση της εύρυθμης λειτουργίας της εν λόγω αρχής διά της καταχρηστικής χρησιμοποίησης των πόρων της».
Διαβάστε επίσης: Ο ΓΚΠΔ εφαρμόζεται και στις εξεταστικές επιτροπές του Κοινοβουλίου (ΔΕΕ C-33/22 - Österreichische Datenschutzbehörde)
3. Ως προς το αν η εποπτική αρχή μπορεί να επιλέξει ελεύθερα αν θα επιβάλει ένα εύλογο τέλος για διοικητικά έξοδα ή θα αρνηθεί να απαντήσει στο αίτημα
Το Δικαστήριο παρατήρησε πως οι δύο δυνατότητες που δίνει το άρθρο 57 παρ.4 ΓΚΠΔ στις εποπτικές αρχές «παρατίθενται διαδοχικώς και διαχωρίζονται από τον διαζευκτικό σύνδεσμο «ή», χωρίς να είναι δυνατόν να συναχθεί από τη διατύπωση που χρησιμοποιείται ότι υφίσταται σχέση προτεραιότητας μεταξύ των δυνατοτήτων αυτών». Κατά συνέπεια, από το γράμμα της διάταξης προκύπτει πως η κάθε εποπτική αρχή είναι ελεύθερη να επιλέξει μεταξύ των δύο αυτών δυνατοτήτων.
Ωστόσο, για την όποια απόφασή τους, οι αρχές αυτές οφείλουν να «λαμβάνουν υπόψη όλες τις κρίσιμες περιστάσεις και να επαληθεύουν την καταλληλότητα, την αναγκαιότητα και την αναλογικότητα της προκριθείσας επιλογής». Αυτό στην πράξη σημαίνει πως «οι εποπτικές αρχές θα μπορούσαν να εξετάσουν το ενδεχόμενο να επιβάλουν, σε πρώτο στάδιο, την καταβολή εύλογου τέλους για διοικητικά έξοδα προτού αρνηθούν, σε επόμενο στάδιο, να δώσουν συνέχεια στις καταγγελίες, στον βαθμό που το πρώτο από τα ως άνω μέτρα θίγει σε μικρότερη έκταση, σε σχέση με το δεύτερο ως άνω μέτρο, τα δικαιώματα τα οποία παρέχει ο εν λόγω κανονισμός στα υποκείμενα των δεδομένων». Παρ’ όλα αυτά, το Δικαστήριο επεσήμανε πως η πρακτική αυτή δεν αποτελεί υποχρέωση που προκύπτει από τη διάταξη.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο στον ιστότοπο του ΔΕΕ.