GDPR και υπερβολικά δεδομένα: «ουκ εν τω πολλώ τω ευ»
Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 29/03/2021
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Πριν από λίγες ημέρες η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου παρέδωσε στον Πρόεδρο της Δημοκρατίας την Έκθεση του Γραφείου της για το 2019. Η Έκθεση βρίθει ενεργειών του Γραφείου Επιτρόπου με εξαιρετικό ενδιαφέρον για την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού και ως GDPR, ο οποίος αποτελεί τη σπονδυλική στήλη του προστατευτικού πλαισίου όχι μόνο στην Ελλάδα, αλλά και στην Κύπρο.
Εξ αυτών, επιλέγουμε σήμερα να παρουσιάσουμε εν συντομία τέσσερις υποθέσεις που αφορούν την καταγγελθείσα επεξεργασία υπερβολικών προσωπικών δεδομένων. Εφόσον θεμελιώνεται, πρόκειται για παράνομη πρακτική που παραβιάζει πρωτίστως το άρθρο 5 παρ. 1 περ. γ΄ του GDPR και την προβλεπόμενη σε αυτό αρχή της ελαχιστοποίησης των προσωπικών δεδομένων (αρχή της αναλογικότητας). Σύμφωνα με αυτή, τα προσωπικά δεδομένα που αποτελούν αντικείμενο επεξεργασίας επιβάλλεται να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
Σημειώνεται ότι, παρά τον παιγνιώδη τίτλο του άρθρου, η αρχή της ελαχιστοποίησης των δεδομένων αφορά όχι μόνο την ποσότητα, αλλά και την ποιότητα των προσωπικών δεδομένων. Έτσι, συνήθως παραβιάζεται όταν συλλέγονται πάρα πολλά δεδομένα, π.χ. ζητείται από υπάλληλο να προσκομίσει ολόκληρο τον ιατρικό φάκελό του για να διαπιστωθεί η ικανότητα της εργασίας του, ενώ είναι προφανές ότι αυτό δεν είναι αναγκαίο για τη σχετική αξιολόγηση. Μολαταύτα, μπορεί να παραβιάζεται και όταν συλλέγονται ελάχιστα δεδομένα, η συλλογή των οποίων αποτελεί δυσανάλογη παρέμβαση στα δικαιώματα και τα συμφέροντα του υποκειμένου, π.χ. η συλλογή ενός μόνο δεδομένου που αφορά συγκεκριμένη πάθηση υποψήφιου εργαζομένου, η οποία θα τον δυσχέραινε μεν στην περίπτωση χειρωνακτικής εργασίας, ουδόλως όμως τον επηρεάζει για την άσκηση διοικητικών καθηκόντων τα οποία αφορά αποκλειστικά η επίμαχη θέση.
Ακολουθεί η συνοπτική ανάπτυξη των τεσσάρων υποθέσεων όπως αντλούνται από την Έκθεση, η οποία είναι διαθέσιμη στην ιστοσελίδα του Γραφείου Επιτρόπου στη διεύθυνση http://www.dataprotection.gov.cy/.
Α. Πρακτική βιβλιοθήκης πανεπιστημίου για κατακράτηση πολιτικής ταυτότητας
Στην εν λόγω υπόθεση καταγγέλθηκε πρακτική βιβλιοθήκης πανεπιστημίου για την κατακράτηση της πολιτικής ταυτότητας επισκέπτη, ο οποίος λάμβανε κάρτα επισκέπτη κατά την είσοδό του, παραδίδοντας την πολιτική ταυτότητά του, ώστε να διασφαλιστεί η επιστροφή της κάρτας επισκέπτη. Μετά το πέρας της επίσκεψής του, ο επισκέπτης επέστρεφε την κάρτα επισκέπτη και λάμβανε πίσω την πολιτική ταυτότητά του. Το Γραφείο Επιτρόπου έκρινε πως το επίμαχο μέτρο ήταν δυσανάλογο και πως θα έπρεπε να υιοθετηθεί άλλος μηχανισμός διασφάλισης της επιστροφής κάρτας επισκέπτη. Σε σύντομο χρονικό διάστημα, η βιβλιοθήκη πανεπιστημίου υιοθέτησε άλλο μηχανισμό και έπαψε την εφαρμογή της επίμαχης πρακτικής.
Β. Πρακτική ασφαλιστικής εταιρείας για προσκόμιση αποτελέσματος εξέτασης προ της καταβολής αποζημίωσης
Στην εν λόγω υπόθεση καταγγέλθηκε η απόρριψη απαίτησης ασφαλισμένης για αποζημίωση γυναικολογικής εξέτασής της (τεστ Παπανικολάου) από ασφαλιστική εταιρεία. Το επιχείρημα της ασφαλιστικής εταιρείας ήταν ότι απαιτείτο η ασφαλισμένη να υποβάλει πρώτα το αποτέλεσμα της εξέτασης στην ασφαλιστική εταιρεία, ώστε να είναι δυνατή η αξιολόγηση της απαίτησής της. Το Γραφείο Επιτρόπου έκρινε πως η ασφαλιστική εταιρεία όφειλε να καταβάλει την αποζημίωση ανεξαρτήτως του αποτελέσματος της επίμαχης εξέτασης, δεδομένου ότι το ασφαλιστήριο συμβόλαιο της ασφαλισμένης αφορούσε εξετάσεις ρουτίνας. Κατόπιν υποβολής αιτήματος παροχής εξηγήσεων από το Γραφείο Επιτρόπου στην ασφαλιστική εταιρεία ως προς το αν υφίστατο νομική βάση για την αξίωση υποβολής του αποτελέσματος της εξέτασης και ως προς το αν κατ’ αυτό τον τρόπο παραβιαζόταν η αρχή της ελαχιστοποίησης, η ασφαλιστική εταιρεία προέβη στην καταβολή της αποζημίωσης στην ασφαλισμένη, χωρίς να χρειασθεί η υποβολή στην εταιρεία του αποτελέσματος της εξέτασης.
Γ. Πρακτική δικηγορικού γραφείου για συμπλήρωση πλήθους στοιχείων σε αίτηση πρόσληψης υποψηφίου
Στην εν λόγω υπόθεση καταγγέλθηκε πρακτική δικηγορικού γραφείου να ζητά από υποψήφιους πρόσληψης, μέσω συμπλήρωσης συγκεκριμένου εντύπου, την παροχή πλήθους προσωπικών δεδομένων τους, μεταξύ άλλων, για την οικογενειακή κατάσταση, τον αριθμό τέκνων, την εθνικότητα, τη θρησκεία, τον αριθμό κοινωνικών ασφαλίσεων, το επάγγελμα πατέρα, το επάγγελμα μητέρας, το επάγγελμα συζύγου/αρραβωνιαστικού, το αν ο υποψήφιος υπηρέτησε στην Εθνική Φρουρά και το αν ο υποψήφιος είναι καπνιστής. Το Γραφείο Επιτρόπου έκρινε ότι τα ως άνω στοιχεία, τα οποία καλείτο να συμπληρώσει ο υποψήφιος πρόσληψης στο επίμαχο έντυπο, ήταν υπερβολικά και αχρείαστα για την αξιολόγηση ενός υποψηφίου προς πρόσληψη, κατά παράβαση της αρχής της ελαχιστοποίησης. Κατόπιν τούτων, το δικηγορικό γραφείο έπαψε να ζητά τα ως άνω στοιχεία από υποψήφιους προς πρόσληψη, μεταβάλλοντας τη μέχρι τότε πρακτική του.
Δ. Πρακτική κινηματογράφου για έγγραφη συγκατάθεση γονέα, ώστε ανήλικος να παρακολουθήσει ακατάλληλη ταινία
Στην εν λόγω υπόθεση καταγγέλθηκε πρακτική κινηματογράφου για υπογραφή από γονέα εντύπου με το όνομα και την ηλικία του τέκνου του, ώστε το τελευταίο να παρακολουθήσει μαζί με τον γονέα ταινία που απευθυνόταν σε ανηλίκους μεγαλύτερης ηλικίας. Στο πλαίσιο εξέτασης της καταγγελίας, το Γραφείο Επιτρόπου ζήτησε την παροχή εξηγήσεων από τον κινηματογράφο. Ο Διευθυντής αυτού απάντησε ότι σύμφωνα με τη νομοθεσία που διέπει την κατάταξη και την προβολή κινηματογραφικών ταινιών, κρίνεται επιβεβλημένη σε περιπτώσεις όπως η επίμαχη η γραπτή γονική συγκατάθεση. Και αυτό, ώστε να διασφαλίζεται, σε περίπτωση ελέγχου ή παραπόνου, η τεκμηρίωση από τον κινηματογράφο ότι ο ανήλικος συνοδευόταν από γονέα ή κηδεμόνα και ότι ο τελευταίος συγκατατέθηκε στην παρουσία του ανηλίκου εντός της κινηματογραφικής αίθουσας. Όπως επισημάνθηκε μάλιστα από τον κινηματογράφο, η εν λόγω πρακτική υιοθετήθηκε κατόπιν κρουσμάτων απόπειρας παρακολούθησης ακατάλληλων ταινιών από ανηλίκους. Κατόπιν τούτων, το Γραφείο Επιτρόπου έκρινε ότι η εν λόγω πρακτική ήταν δικαιολογημένη και ότι δεν συνέτρεχε εν προκειμένω παραβίαση του GDPR.