logo-print

Προσωπικά δεδομένα: Πρόστιμο σε ΚΕ.ΕΛ.Π.ΝΟ. (νυν Ε.Ο.Δ.Υ.) και στο Σωματείο Εργαζομένων ΚΕ.ΕΛ.Π.ΝΟ. (ΑΠΔΠΧ απόφαση 33/2021)

Η αδικαιολόγητη αδιαφορία του ΚΕ.ΕΛ.Π.ΝΟ στις αλλεπάλληλες κλήσεις της Αρχής για ακρόαση καταδεικνύει την παντελή έλλειψη συμμόρφωσης με τις επιταγές του ΓΚΠΔ

30/03/2022

31/03/2022

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Δίκαιο της πληροφορικής Δ

ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΗΣ & ΠΝΕΥΜΑΤΙΚΗΣ ΙΔΙΟΚΤΗΣΙΑΣ - ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ - ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΓΓΛΕΖΑΚΗΣ ΙΩΑΝΝΗΣ

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (απόφαση 22/2021) επέβαλε στο Κέντρο Ελέγχου και Πρόληψης Νοσημάτων – ΚΕ.ΕΛ.Π.ΝΟ. (νυν Εθνικός Οργανισμός Δημόσιας Υγείας – Ε.Ο.Δ.Υ.) πρόστιμο συνολικού ύψους 10.000 ευρώ, καθώς και στο Σωματείο Εργαζομένων Κέντρου Ελέγχου Ειδικών Λοιμώξεων πρόστιμο συνολικού ύψους 5.000 ευρώ, κατόπιν εξέτασης καταγγελίας για παράνομη επεξεργασία και μη ικανοποίηση δικαιωμάτων πρόσβασης και διαγραφής.

Πιο αναλυτικά, η Αρχή διαπίστωσε ότι αναρτήθηκαν στον διαδικτυακό ιστότοπο του Σ.Ε.Κ.Ε.Ε.Λ. έγγραφα, τα οποία αναφέρονται σε εκκρεμή ποινική υπόθεση του καταγγέλλοντος και, συγκεκριμένα, σε ασκηθείσα ποινική δίωξη σε βάρος του.

Η επεξεργασία αυτή είναι νόμιμη, μόνο εφόσον πληρούνται σωρευτικά οι προϋποθέσεις των άρθρων 5, 6 και 10 ΓΚΠΔ, μεταξύ άλλων, κι όταν αυτή βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων.

Τη λήψη καθώς και την εγκυρότητα της συγκατάθεσης οφείλει να αποδείξει ο υπεύθυνος επεξεργασίας, στο πλαίσιο της αρχής της λογοδοσίας.

Εν προκειμένω, διαπιστώθηκε ότι η επίμαχη ανάρτηση, η οποία συνιστά αυτοματοποιημένη επεξεργασία, έγινε από το Σ.Ε.Κ.Ε.Ε.Λ., ως υπεύθυνο επεξεργασίας, το οποίο θεμελίωσε εσφαλμένα τη νομιμότητα της εν λόγω ανάρτησης στη συγκατάθεση του καταγγέλλοντος.

Περαιτέρω, διαπιστώθηκε ότι ο καταγγέλλων άσκησε νομίμως το δικαίωμα πρόσβασης ενώπιον του Σ.Ε.Κ.Ε.Ε.Λ., ζητώντας να ενημερωθεί αναφορικά με τον τρόπο κτήσης και συλλογής των επίμαχων εγγράφων και τον λόγο ανάρτησής τους. Το Σ.Ε.Κ.Ε.Ε.Λ., ωστόσο, ουδέποτε απάντησε στο ως άνω αίτημα, ως όφειλε σύμφωνα με τα άρθρα 12 παρ. 3 και 4 και 15 παρ. 1 του ΓΚΠΔ.

Επιπλέον, ο καταγγέλλων άσκησε το δικαίωμα διαγραφής ενώπιον του Σ.Ε.Κ.Ε.Ε.Λ., αιτούμενος  από το εν λόγω σωματείο να προβεί την αφαίρεση των επίμαχων εγγράφων από την ιστοσελίδα του Σ.Ε.Κ.Ε.Ε.Λ. για τον λόγο ότι η ανάρτησή τους και, κατ’ επέκταση, η δημοσίευσή τους για μεγάλο χρονικό διάστημα αντιβαίνει στον ισχύοντα ΓΚΠΔ και τον θίγουν ως άτομο. Το σωματείο ουδέποτε απάντησε και στο εν λόγω αίτημα, ούτε προέβη στην άμεση και χωρίς αδικαιολόγητη καθυστέρηση απανάρτησή τους, ως όφειλε σύμφωνα με τα άρθρα 12 παρ. 3 και 4 και 17 παρ. 1 δ΄ του ΓΚΠΔ.

Ακολούθως, ο καταγγέλλων απευθύνθηκε στο ΚΕ.ΕΛ.Π.ΝΟ., ζητώντας να ενημερωθεί αναφορικά με τον τρόπο απόκτησης των επίμαχων εγγράφων και δη εάν νομίμως είχαν χορηγηθεί στο εν λόγω σωματείο. Το ΚΕ.ΕΛ.Π.ΝΟ. ουδέποτε απάντησε στο ως άνω αίτημα, έδειξε δε αδικαιολόγητη αδιαφορία και στις αλλεπάλληλες κλήσεις της Αρχής για παροχή διευκρινίσεων. Η στάση αυτή, κατά τον έλεγχο της εποπτικής Αρχής, σύμφωνα με την κρίση της τελευταίας, συνιστά παραβίαση των υποχρεώσεων του ως υπευθύνου επεξεργασίας και καταδεικνύει όχι μόνο την έλλειψη πρόθεσης εκ μέρους του υπευθύνου επεξεργασίας να συνεργασθεί με την Αρχή, αλλά και την παντελή έλλειψη συμμόρφωσης με τις επιταγές του ΓΚΠΔ.

Απόσπασμα απόφασης

Επειδή, αναφορικά με την επεξεργασία δεδομένων που αφορούν σε ποινικά αδικήματα, συμπεριλαμβανομένων των ποινικών διώξεων, επισημαίνεται ότι ο ΓΚΠΔ δεν τις εντάσσει στις ειδικές κατηγορίες δεδομένων, όπως αυτά προσδιορίζονται στο άρθρο 9 παρ. 1 ΓΚΠΔ. Για την κατηγορία των εν λόγω δεδομένων ο ΓΚΠΔ επιφυλάσσει πλέον ειδικότερη ρύθμιση για την επεξεργασία τους. Ειδικότερα, αναφορικά με την επεξεργασία προσωπικών δεδομένων που αφορούν σε ποινικά αδικήματα ο ΓΚΠΔ προβλέπει στο άρθρο 10 «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας που βασίζονται στο άρθρο 6 παράγραφος 1 διενεργείται μόνο υπό τον έλεγχο επίσημης αρχής ή εάν η επεξεργασία επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Πλήρες ποινικό μητρώο τηρείται μόνο υπό τον έλεγχο επίσημης αρχής».

Περαιτέρω η Αρχή με τη Γνωμοδότησή της 1/2020 επισήμανε σχετικά τα εξής: «Ενώ από την διάταξη του άρθρου 10 ΓΚΠ∆ προκύπτει ότι παρέχεται εξουσιοδότηση («ρήτρα ανοίγματοςεξειδίκευσης») στον εθνικό νομοθέτη να λάβει τα αναγκαία μέτρα µε την πρόβλεψη επαρκών εγγυήσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα, εν τούτοις, µε το νόμο δεν λαμβάνονται σχετικά μέτρα, ούτε από την αιτιολογική έκθεση προκύπτει ο λόγος της παράλειψης αυτής. Σε κάθε περίπτωση, ακόμη και εάν η πρόθεση του εθνικού νομοθέτη υπήρξε να ληφθούν μέτρα εφαρμογής του άρθρου 10 ΓΚΠ∆ σε ειδική τομεακή νομοθεσία, σε αντίθεση µε την επιλογή του σε σχέση µε το άρθρο 9 ΓΚΠ∆, τέτοια μέτρα δεν έχουν ληφθεί μέχρι σήμερα µε αποτέλεσμα να καθίσταται εν πολλοίς αδύνατη η εφαρμογή της διάταξης του άρθρου 10 ΓΚΠ∆»1 . Από τα ανωτέρω προκύπτει ότι με τις διατάξεις του άρθρου 10 ΓΚΠΔ δεν εισάγονται ειδικές νομικές βάσεις επεξεργασίας, διακριτές και αυτοτελείς εκείνων του άρθρου 6 ΓΚΠΔ και επομένως δεν τίθεται ζήτημα υπερίσχυσης ή αντικατάστασης των εν λόγω νομικών βάσεων. Επιπλέον, με τις διατάξεις του άρθρου 10 ΓΚΠΔ εισάγονται περαιτέρω όροι και διαδικαστικές εγγυήσεις για τη σύννομη επεξεργασία των προσωπικών δεδομένων που αφορούν τις ποινικές καταδίκες και τα αδικήματα, περιλαμβανομένων των ποινικών διώξεων.

Τέτοια νομική βάση, στην οποία δύναται να στηρίζεται η επεξεργασία των προβλεπομένων από τις διατάξεις του άρθρου 10 ΓΚΠΔ προσωπικών δεδομένων, συνιστά η συγκατάθεση του υποκειμένου, σύμφωνα με το άρθρο 6 παρ. 1 α΄ ΓΚΠΔ κατά το οποίο «1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, β) […]».

Δείτε ολόκληρη την απόφαση στο dpa.gr

send