Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 13/03/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Ο αριθμός των επιχειρήσεων που υιοθετούν την τηλεργασία διαρκώς αυξάνεται, στο πλαίσιο λήψης μέτρων αναχαίτισης του κορωνοϊού. Η εξ αποστάσεως εργασία οδηγεί με τη σειρά της σε μεγέθυνση της εξ αποστάσεως επεξεργασίας προσωπικών δεδομένων. Πρόκειται για τάση που εγκυμονεί ειδικούς κινδύνους για την ασφάλεια των προσωπικών δεδομένων. Εξαιτίας αυτού, η εποπτική αρχή της Ιρλανδίας, όπου εφαρμόζεται ο GDPR, με χθεσινή ανακοίνωσή της παρέχει τις ακόλουθες βασικές συμβουλές για την αντιμετώπισή τους. Οι τελευταίες είναι πολύ χρήσιμες και για την ελληνική πραγματικότητα.

Α. Συσκευές

– Επίδειξη αυξημένης μέριμνας ώστε συσκευές όπως USBs, τηλέφωνα, φορητοί υπολογιστές ή tablets να μην χαθούν ή να παραπέσουν.
– Έλεγχος ότι κάθε συσκευή έχει τις αναγκαίες ενημερώσεις, όπως τις ενημερώσεις για τα λειτουργικά συστήματα και ενημερώσεις προγραμμάτων/antivirus.
– Εξασφάλιση ότι ο υπολογιστής, ο φορητός υπολογιστής ή η συσκευή χρησιμοποιείται σε ασφαλή τοποθεσία, για παράδειγμα σε μέρος εντός του οπτικού πεδίου του χρήστη και ελαχιστοποίηση της δυνατότητας τρίτου να δει την οθόνη, ιδίως εάν εργάζεστε με ευαίσθητα προσωπικά δεδομένα.
– Κλείδωμα της συσκευής, αν χρειαστεί αυτή να μείνει χωρίς εποπτεία για οποιοδήποτε λόγο.
– Έλεγχος ότι οι συσκευές είναι κλειστές, κλειδωμένες ή αποθηκευμένες με ασφάλεια, όταν δεν χρησιμοποιούνται.
– Χρήση αποτελεσματικών ελέγχων πρόσβασης (όπως έλεγχος ταυτότητας πολλαπλών παραγόντων και ισχυροί κωδικοί πρόσβασης) και, όπου είναι διαθέσιμη, κρυπτογράφηση, για να περιορίσετε την πρόσβαση στη συσκευή και να μειώσετε τον κίνδυνο σε περίπτωση όπου η συσκευή κλαπεί ή παραπέσει.
– Όταν μια συσκευή χαθεί ή κλαπεί, λήψη αμέσως μέτρων ώστε να επιτευχθεί η διαγραφή της μνήμης εξ αποστάσεως, όταν αυτό είναι εφικτό.

Β. Ηλεκτρονική αλληλογραφία

– Τήρηση όλων των εφαρμοστέων πολιτικών του οργανισμού σας για την ηλεκτρονική αλληλογραφία.
– Χρήση επαγγελματικών λογαριασμών ηλεκτρονικής αλληλογραφίας αντί προσωπικών λογαριασμών ηλεκτρονικής αλληλογραφίας αναφορικά με επαγγελματική αλληλογραφία που αφορά προσωπικά δεδομένα. Αν είναι αναγκαία η χρήση προσωπικού λογαριασμού ηλεκτρονικής αλληλογραφίας, εξασφάλιση ότι τα περιεχόμενα και τα συνημμένα αρχεία είναι κρυπτογραφημένα και αποφυγή χρήσης προσωπικών ή εμπιστευτικών δεδομένων στο θέμα του μηνύματος ηλεκτρονικής αλληλογραφίας.
– Προ της αποστολής του μηνύματος ηλεκτρονικής αλληλογραφίας, επιβεβαίωση ότι αποστέλλεται στον σωστό παραλήπτη, ιδίως για μηνύματα ηλεκτρονικής αλληλογραφίας που αφορούν μεγάλο όγκο προσωπικών δεδομένων ή ευαίσθητων προσωπικών δεδομένων.

Γ. Cloud και πρόσβαση στο δίκτυο

– Όπου είναι δυνατόν, χρήση μόνο αξιόπιστων δικτύων ή υπηρεσιών cloud του οργανισμού σας και συμμόρφωση με όλους τους κανόνες και διαδικασίες του οργανισμού σας σχετικά με την πρόσβαση στο cloud ή στο δίκτυο, τη σύνδεση και την κοινή χρήση δεδομένων.
– Σε περίπτωση εργασίας χωρίς χρήση cloud ή πρόσβαση στο δίκτυο, εξασφάλιση ότι όλα τα τοπικώς αποθηκευμένα δεδομένα έχουν γίνει backup με τον δέοντα τρόπο και με ασφάλεια.

Οι ως άνω συμβουλές είναι σε ένα βαθμό αυτονόητες για οργανισμούς που έχουν ήδη συμμορφωθεί με τον GDPR. Χρήσιμο είναι πάντως ένα «φρεσκάρισμα» ως προς το περιεχόμενό τους, δεδομένου ότι η τηλεργασία για το προσεχές χρονικό διάστημα φαίνεται πως θα καταστεί ο κανόνας για πολύ μεγάλο αριθμό επιχειρήσεων. Υπό αυτές τις συνθήκες, άλλωστε, πολλαπλασιάζονται και τα κίνητρα για σχετικές κακόβουλες ενέργειες.

Έτσι, προβλέπεται ότι η πιθανότητα παραβίασης προσωπικών δεδομένων με αυτά τα ειδικά χαρακτηριστικά θα αυξηθεί σημαντικά. Απαιτείται, λοιπόν, η δέουσα έμφαση στα οικεία μέτρα ασφαλείας. Προσέχουμε… για να έχουμε (ασφάλεια προσωπικών δεδομένων).

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 24/02/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

«Το βασικό νομοθέτημα είναι ο Κανονισμός που έχει υπέρτερη νομική ισχύ.
Ο νόμος 4624/2019 είναι συμπληρωματικός και εφαρμόζεται στο μέτρο
που δεν έρχεται σε αντίθεση με τον Κανονισμό».
Επιστημονική ημερίδα της 28ης Ιανουαρίου 2020
Πρόεδρος ΑΠΔΠΧ

Με την πρόσφατη Γνωμοδότηση υπ’ αριθμ. 1/2020 (Γνωμοδότηση) η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εκφράζει επιτέλους τη γνώμη της επί των ρυθμίσεων του εθνικού εφαρμοστικού του GDPR Ν. 4624/2019. Υπενθυμίζεται ότι ο τελευταίος δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως στις 29 Αυγούστου 2019, δίχως η ΑΠΔΠΧ να έχει προηγουμένως εκφραστεί επί του περιεχομένου του. Οι αντιδράσεις ως προς το περιεχόμενο του ήταν ποικίλες, εστιάζοντας κυρίως στη συμβατότητά του με τον GDPR.

Όπως ήταν αναμενόμενο, η Γνωμοδότηση εντοπίζει κατά τη γνώμη μας ουκ ολίγα προβλήματα τόσο ως προς τη συμβατότητα μεταξύ GDPR και Ν. 4624/2019 όσο και ευρύτερα. Η ΑΠΔΠΧ μάλιστα υπογραμμίζει ότι «…δεν θα τύχουν εφαρμογής από την Αρχή κατά την άσκηση των αρμοδιοτήτων της διατάξεις του ν. 4624/2019, οι οποίες θα κριθούν ότι έρχονται σε αντίθεση µε τον ΓΚΠΔ ή δεν βρίσκουν έρεισμα σε “ρήτρες ανοίγματος – εξειδίκευσης”. Εκ των σημαντικότερων ζητημάτων που τίθενται είναι τα ακόλουθα:

1. Η διάκριση μεταξύ δημόσιων και ιδιωτικών φορέων που επεξεργάζονται προσωπικά δεδομένα, όπως προβλέπεται στο άρθρο 4 του Ν. 4624/2019, είναι γερμανικής προέλευσης, δεν περιλαμβάνεται στον GDPR και «στηρίζεται σε διαφορετική αντίληψη σε σχέση µε εκείνη του επί 20ετία ισχύοντος ν. 2472/1997 (κατ’ εφαρμογή της Οδηγίας 95/46/ΕΚ), αλλά και της παράδοσης που δηµιουργήθηκε από την ερμηνεία του, τόσο από τα δικαστήρια, όσο και από την ΑΠΔΠΧ». Η διάκριση δημιουργεί τον κίνδυνο σύγχυσης μεταξύ των εννοιών «υπεύθυνος επεξεργασίας» και «δημόσιος φορέας», χωρίς πάντως να είναι αντίθετη με τις προβλέψεις του GDPR.

2. Το άρθρο 5 του Ν. 4624/2019 κατά το οποίο «Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας» δεν εισάγει νέα ή επικουρική νομική βάση επεξεργασίας προσωπικών δεδομένων, ούτε αποκλείει την εφαρμογή των νομικών βάσεων του άρθρου 6 παρ. 1 του GDPR. Αντίθετα, με αυτό επαναλαμβάνεται η νομική βάση του άρθρου 6 παρ. 1 περ. ε΄ του GDPR, κατά παράβαση του ενωσιακού κανόνα περί μη επανάληψης ρυθμίσεων του GDPR σε εθνικό νόμο.

3. Η εφαρμογή του άρθρου 10 του GDPR για την επεξεργασία προσωπικών δεδομένων που αφορά ποινικές καταδίκες και αδικήματα παραμένει εν πολλοίς αδύνατη, καθώς ο Ν. 4624/2019 δεν συμπεριλαμβάνει ουδεμία σχετική ρύθμιση, μη συμμορφούμενος με τη σχετική επιταγή του GDPR.

4. Για το πολύ κρίσιμο άρθρο 22 του Ν. 4624/2019 αναφορικά με την επεξεργασία ειδικών κατηγοριών προσωπικών δεδομένων, όπως δεδομένων υγείας, κρίνεται ότι η μεν πρώτη παράγραφός του αποτελεί απλώς μη επιτρεπτή επανάληψη των αντίστοιχων ρυθμίσεων του άρθρου 9 παρ. 2 του GDPR, χωρίς να διακρίνεται μάλιστα από την αναγκαία εξειδίκευση. Εντοπίζονται επίσης μεταβολές/παραλείψεις από το κείμενο του GDPR, χωρίς αυτός να προβλέπει σχετική ευχέρεια του εθνικού νομοθέτη. Προβλήματα εντοπίζονται και στη δεύτερη παράγραφο του άρθρου 22 του Ν. 4624/2019, όπου διαπιστώνονται τα ήδη λεχθέντα προβλήματα για την παράγραφο 1. Επιπρόσθετα, σε αυτή περιλαμβάνονται παρεκκλίσεις υπό τις οποίες είναι επιτρεπτή η επεξεργασία των εν λόγω προσωπικών δεδομένων, χωρίς όμως ο GDPR να περιλαμβάνει σχετική εξουσιοδότηση προς τον εθνικό νομοθέτη.

5. Όλως προβληματικές είναι οι ρυθμίσεις των άρθρων 24, 25 και 26 του Ν. 4624/2019 για την επεξεργασία προσωπικών δεδομένων για σκοπούς άλλους από αυτούς για τους οποίους συνελέγησαν. Και αυτό πρωτίστως γιατί ο GDPR δεν παρέχει εξουσιοδότηση στον εθνικό νομοθέτη να προβλέψει νέες νομικές βάσεις επεξεργασίας, όπως η αιτιολογική έκθεση του Ν. 4624/2019 διατείνεται ότι συμβαίνει με τις επίμαχες εθνικές ρυθμίσεις. Επιπρόσθετα, η οικεία ρύθμιση του άρθρου 6 παρ. 4 του GDPR για την περαιτέρω επεξεργασία προσωπικών δεδομένων θεσπίζει ήδη τα σχετικά κριτήρια, δίχως να απαιτείται παρέμβαση εθνικού νομοθέτη.

6. Το πολύ συχνά εφαρμοζόμενο άρθρο 27 του Ν. 4624/2019 για την επεξεργασία προσωπικών δεδομένων στις εργασιακές σχέσεις πάσχει επίσης. Η πρώτη παράγραφός του αποτελεί μη επιτρεπτή επανάληψη του άρθρου 6 παρ. 1 εδ. β΄ του GDPR. Ουδόλως δε η εν λόγω παράγραφος θίγει την εν γένει εφαρμογή του άρθρου 6 παρ. 1 του GDPR και τις εκεί προβλεπόμενες νομικές βάσεις επεξεργασίας. Η εκδοχή ότι με το άρθρο 27 παρ. 1 του Ν. 4624/2019 εισάγεται μοναδική νομική βάση επεξεργασίας στις εργασιακές σχέσεις, με αποτέλεσμα να αποκλείεται η εφαρμογή των λοιπών νομικών βάσεων του άρθρου 6 παρ. 1 του GDPR, δεν μπορεί να γίνει επ’ ουδενί δεκτή. Ανεπάρκειες εντοπίζονται και στις παρ. 3 και 4 του άρθρου 27 του Ν. 4624/2019.

7. Για την πολυσυζητημένη παρέκκλιση του άρθρου 28 παρ. 2 του Ν. 4624/2019, με την οποία αποκλείεται η εφαρμογή ούτε λίγο ούτε πολύ πλέον των 50 άρθρων του GDPR στο πλαίσιο επεξεργασίας προσωπικών δεδομένων για σκοπούς ιδίως δημοσιογραφικούς, καθώς και ακαδημαϊκής, καλλιτεχνικής και λογοτεχνικής έκφρασης, σημειώνεται χαρακτηριστικά ότι «η ευρύτητα των εξαιρέσεων… θέτει υπό διακινδύνευση τον πυρήνα της προστασίας των δεδοµένων προσωπικού χαρακτήρα… ιδίως η εξαίρεση από ορισμένα δικαιώματα, όπως το δικαίωμα αντίρρησης ή ενημέρωσης». Υπογραμμίζεται επίσης ότι οι εξαιρέσεις είναι αναιτιολόγητες, κατ’ αντίθεση με τα επιβαλλόμενα από τον GDPR.

8. Τα άρθρα 31 έως 35 του Ν. 4624/2019, στα οποία προβλέπονται περιορισμοί στα δικαιώματα των υποκειμένων των προσωπικών δεδομένων, έχουν υιοθετηθεί χωρίς να τηρούνται οι προϋποθέσεις που τίθενται στην εξουσιοδοτική ρύθμιση του άρθρου 23 του GDPR. Έτσι, σημειώνεται ότι «Η Αρχή επιφυλάσσεται να κρίνει, κατά την άσκηση των αρμοδιοτήτων της, αν οι εφαρμοζόµενοι σε κάθε περίπτωση, µε βάση τις διατάξεις αυτές του νόμου, περιορισμοί είναι σύμφωνοι µε τον ΓΚΠΔ…».

9. Η διατήρηση σε ισχύ ορισμένων ρυθμίσεων του προηγούμενου νομοθετικού πλαισίου του Ν. 2472/1997 με το άρθρο 84 του Ν. 4624/2019 κρίνεται ανεπιτυχής, ενώ επαναλαμβάνεται η παρατήρηση της Επιστημονικής Υπηρεσίας της Βουλής «νομοτεχνικώς προσφορότερο θα ήταν να ενσωματωθούν στο υπό ψήφιση νομοσχέδιο οι µη καταργηθείσες διατάξεις του ν. 2472/1997».

Συμπερασματικά σημειώνουμε τα εξής:

Α. Η Γνωμοδότηση προσεγγίζει συνολικά τον Ν. 4624/2019 ο οποίος αφενός περιέχει εφαρμοστικά εθνικά μέτρα του GDPR, αφετέρου ενσωματώνει την Οδηγία (ΕΕ) 2016/680, την καλούμενη και Αστυνομική Οδηγία. Οι παρατηρήσεις της ΑΠΔΠΧ ως προς την Αστυνομική Οδηγία παραλείπονται στο παρόν άρθρο, το οποίο εστιάζει στον GDPR. Υπογραμμίζεται πάντως ότι και στην ενσωμάτωση αυτής εντοπίζονται από τη Γνωμοδότηση σημαντικά προβλήματα.

Β. Η εφαρμογή της νομοθεσίας προστασίας προσωπικών δεδομένων στη χώρα μας καθίσταται πλέον ακόμη περισσότερο δαιδαλώδης. Πέραν των όποιων ρυθμίσεων του Ν. 2472/1997 έχουν παραμείνει σε ισχύ, των διατάξεων του GDPR και των προβλέψεων του εθνικού εφαρμοστικού Ν. 4624/2019, εφεξής πρέπει να λαμβάνεται οπωσδήποτε υπόψη και η Γνωμοδότηση, δεδομένου ότι ενώπιον της ΑΠΔΠΧ συγκεκριμένες εθνικές ρυθμίσεις ενδέχεται να κριθούν ανεφάρμοστες. Κατ’ αυτόν τον τρόπο όμως η ανασφάλεια δικαίου «χτυπάει κόκκινο».

Γ. Αποτελεί άμεση αναγκαιότητα η νομοθετική παρέμβαση με πρωτοβουλία του Υπουργείου Δικαιοσύνης, ώστε να αντιμετωπισθεί η ως άνω κατάσταση, χέρι-χέρι με την ΑΠΔΠΧ. Σε αυτή την κατεύθυνση κινήθηκε πολύ πρόσφατα και ο Πρόεδρος της ΑΠΔΠΧ στην πρόσφατη επιστημονική ημερίδα της 28ης Ιανουαρίου 2020 με ομιλητές τα μέλη της ΑΠΔΠΧ και με θέμα «Το δικαίωμα στην προστασία των προσωπικών δεδομένων μετά την εφαρμογή του Κανονισμού (ΕΕ) 2016/679 και την ενσωμάτωση της Οδηγίας (ΕΕ) 2016/680». Όπως τόνισε ο κ. Πρόεδρος «…με βάση τις μέχρι σήμερα διαπιστώσεις της Αρχής και με βάση τα ζητήματα που ανακύπτουν στην πράξη στο πλαίσιο της εφαρμογής του ν. 4624/2019, η Αρχή θα υποβάλει συγκεκριμένες προτάσεις στο Υπουργείο Δικαιοσύνης για τυχόν αναγκαίες τροποποιήσεις του νόμου».

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 20/02/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Ι. Εισαγωγικά

Με Απόφαση του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων (ΑΑΔΕ), συστάθηκε σε αυτήν από 25-05-2018 Αυτοτελές Τμήμα Υποστήριξης Υπεύθυνου Προστασίας Δεδομένων (Αυτοτελές Τμήμα), σε συμμόρφωση με τον GDPR. O Προϊστάμενός του ορίστηκε ως Υπεύθυνος Προστασίας Δεδομένων αυτής. Η σύσταση Αυτοτελούς Τμήματος ή Γραφείου αποτελεί βέλτιστη πρακτική, αντίστοιχη με αυτή που ακολουθήθηκε, μεταξύ άλλων, στο Υπουργείο Υγείας, στο Υπουργείο Οικονομικών και στο Υπουργείο Ψηφιακής Διακυβέρνησης. Επομένως, ήταν παραπάνω από ευπρόσδεκτη, ώστε να εισέλθει και η ΑΑΔΕ στη μετά GDPR εποχή.

Στο πλαίσιο της λειτουργίας του και σε υλοποίηση των επιμέρους επιταγών συμμόρφωσης με τον GDPR, πολύ πρόσφατα το Αυτοτελές Τμήμα προέβη στην υιοθέτηση και συνακόλουθη δημοσιοποίηση Διαδικασίας Διαχείρισης Αιτημάτων των Υποκειμένων των Δεδομένων περί Άσκησης των Δικαιωμάτων τους που απορρέουν από το Γενικό Κανονισμό για την Προστασία Δεδομένων (υπ’ αριθμ. πρωτ. ΑΤΥΥΠΔ 0002470 ΕΞ 24-12-2019). Η Διαδικασία Διαχείρισης Αιτημάτων αποτελεί ένα έγγραφο εξαιρετικά σημαντικό, λαμβανομένου ιδίως υπόψη του τεράστιου όγκου προσωπικών δεδομένων που επεξεργάζεται η ΑΑΔΕ ως υπεύθυνος επεξεργασίας, των ειδικών χαρακτηριστικών τους, καθώς διέπονται, μεταξύ άλλων, από το φορολογικό απόρρητο κατά τα προβλεπόμενα στον Κώδικα Φορολογικής Διαδικασίας, του πλήθος των υποκειμένων προσωπικών δεδομένων τα οποία αφορά εν προκειμένω και της βαρύτητας που δίνει ο GDPR εν γένει στα δικαιώματά τους.

Σκοπός της υιοθέτησης της ως άνω διαδικασίας είναι η διασφάλιση της σύμφωνης με τον GDPR ικανοποίησης των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων, κατά κανόνα εντός προθεσμίας ενός μήνα.

Προς επίτευξή αυτού, στη Διαδικασία Διαχείρισης Αιτημάτων περιγράφονται λεπτομερώς τα βήματα που οφείλουν να ακολουθούν οι αρμόδιοι υπάλληλοι της ΑΑΔΕ από την παραλαβή σχετικού αιτήματος μέχρι την οριστική διεκπεραίωσή του. Το πεδίο δε εφαρμογής του ως άνω εγγράφου υπερβαίνει τους πολίτες, καθώς καταλαμβάνει επίσης τόσο τους υπαλλήλους της ΑΑΔΕ όσο και τους αντισυμβαλλόμενους της, οι οποίοι απολαμβάνουν επίσης της προστασίας του GDPR.

Ως προς το περιεχόμενο της Διαδικασίας Διαχείρισης Αιτημάτων, αυτό κατά κύριο λόγο αναπτύσσεται σε δύο κεντρικούς άξονες: α) τα δικαιώματα των υποκειμένων, β) η διαδικασία διαχείρισης των αιτημάτων αυτή καθ’ εαυτή.

ΙΙ. Τα δικαιώματα των υποκειμένων

Το 50% περίπου της της Διαδικασίας Διαχείρισης Αιτημάτων καταλαμβάνεται από την περιγραφή των προβλεπόμενων στον GDPR δικαιωμάτων, προς κατάρτιση των υπαλλήλων της ΑΑΔΕ που θα κληθούν να χειριστούν σχετικά αιτήματα. Για τον σκοπό αυτό επαναλαμβάνονται κατ’ επιλογή σχετικές ρυθμίσεις του Γενικού Κανονισμού και του εφαρμοστικού Ν. 4624/2019. Ως προς όλα τα προβλεπόμενα από τον GDPR δικαιώματα επισημαίνεται ότι «οι υπάλληλοι της ΑΑΔΕ πρέπει να είναι σε θέση να αντιληφθούν από τη διατύπωση και το περιεχόμενο κάθε αιτήματος ότι αυτό αφορά στην άσκηση δικαιώματος που απορρέει από το ΓΚΠΔ, ακόμα και αν αυτό δε δηλώνεται ρητά από τον αιτούντα».

Ειδικότερα ως προς τα επιμέρους δικαιώματα, σταχυολογούνται τα ακόλουθα εξαιρετικά σημαντικά κατά τη γνώμη μας χωρία, τα οποία αποτελούν την υπεραξία αυτού του μέρους του εγγράφου, δεδομένου ότι τόσο ο GDPR όσο και ο Ν. 4624/2019 είναι ήδη γνωστοί.

1. Δικαίωμα ενημέρωσης

Κατά τη Διαδικασία Διαχείρισης Αιτημάτων «η ΑΑΔΕ, με σκοπό την ικανοποίηση του δικαιώματος ενημέρωσης των Υποκειμένων των Δεδομένων, έχει προβεί στην κατάρτιση αφενός εγγράφου για την ενημέρωση των πολιτών σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα τους από την ΑΑΔΕ, το οποίο έχει αναρτηθεί στην ιστοσελίδα της ΑΑΔΕ στον ακόλουθο σύνδεσμο https://www.aade.gr/menoy/aade/prostasia-dedomenon-prosopikoy-haraktira αφετέρου εγγράφου για την ενημέρωση των υπαλλήλων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα τους από την ΑΑΔΕ, το οποίο έχει αναρτηθεί στον εσωτερικό ιστότοπο της ΑΑΔΕ στον ακόλουθο σύνδεσμο http://home.aade.int/post/prostasia-dedomenon. Εάν το Υποκείμενο των Δεδομένων επιθυμεί να λάβει περισσότερες πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων του, μπορεί να απευθυνθεί στις υπηρεσίες της ΑΑΔΕ υποβάλλοντας σχετικό αίτημα».

2. Δικαίωμα πρόσβασης

Κατά τη Διαδικασία Διαχείρισης Αιτημάτων «δεδομένου του όγκου των πληροφοριών που επεξεργάζεται η ΑΑΔΕ στο πλαίσιο των αρμοδιοτήτων της, οι υπάλληλοί της δύνανται, σε περίπτωση που το αίτημα του Υποκειμένου των Δεδομένων δεν αναφέρεται σε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα του, να ζητούν από το Υποκείμενο των Δεδομένων να προσδιορίσει τις πληροφορίες ή τις δραστηριότητες επεξεργασίας που σχετίζονται με το αίτημα. Αν το Υποκείμενο των Δεδομένων αρνείται να παράσχει περισσότερες πληροφορίες τότε το αίτημα του Υποκειμένου των Δεδομένων ικανοποιείται με την καταβολή εύλογης προσπάθειας και έρευνας για την ανεύρεση και χορήγηση των δεδομένων που αναφέρονται στο αίτημα».

3. Δικαίωμα διόρθωσης

Ως προς το δικαίωμα διόρθωσης δεν κρίνεται σκόπιμη η παράθεση κάποιου χωρίου.

4. Δικαίωμα περιορισμού επεξεργασίας

Κατά τη Διαδικασία Διαχείρισης Αιτημάτων «σε περίπτωση που κάποιο Υποκείμενο των Δεδομένων υποβάλει σε υπηρεσία της ΑΑΔΕ αίτημα που αφορά στην άσκηση δικαιώματος περιορισμού της επεξεργασίας, το αίτημα αυτό πρέπει να διαβιβάζεται στο Αυτοτελές Τμήμα προς περαιτέρω διαχείριση».

5. Δικαίωμα εναντίωσης

Κατά τη Διαδικασία Διαχείρισης Αιτημάτων «σε περίπτωση που κάποιο Υποκείμενο των Δεδομένων υποβάλει σε υπηρεσία της ΑΑΔΕ αίτημα που αφορά στην άσκηση δικαιώματος εναντίωσης, το αίτημα αυτό πρέπει να διαβιβάζεται στο Αυτοτελές Τμήμα προς περαιτέρω διαχείριση».

6. Δικαίωμα διαγραφής

Κατά τη Διαδικασία Διαχείρισης Αιτημάτων «…μόνο σε εξαιρετικές περιπτώσεις μπορεί να θεμελιωθεί δικαίωμα διαγραφής του Υποκειμένου των Δεδομένων έναντι της ΑΑΔΕ ως υπευθύνου επεξεργασίας. Σε περίπτωση δε που κάποιο Υποκείμενο των Δεδομένων υποβάλει σε υπηρεσία της ΑΑΔΕ αίτημα που αφορά στην άσκηση δικαιώματος διαγραφής, το αίτημα αυτό θα πρέπει να διαβιβάζεται στο Αυτοτελές Τμήμα προς περαιτέρω διαχείριση».

7. Δικαίωμα στη φορητότητα των δεδομένων

Κατά τη Διαδικασία Διαχείρισης Αιτημάτων «…μόνο σε εξαιρετικές περιπτώσεις μπορεί να θεμελιωθεί δικαίωμα φορητότητας του Υποκειμένου των Δεδομένων έναντι της ΑΑΔΕ ως υπευθύνου επεξεργασίας. Σε περίπτωση δε που κάποιο Υποκείμενο των Δεδομένων υποβάλει σε υπηρεσία της ΑΑΔΕ αίτημα που αφορά στην άσκηση δικαιώματος φορητότητας των δεδομένων του, το αίτημα αυτό θα πρέπει να διαβιβάζεται στο Αυτοτελές Τμήμα προς περαιτέρω διαχείριση».

8. Δικαίωμα στην ανθρώπινη παρέμβαση

Κατά τη Διαδικασία Διαχείρισης Αιτημάτων «σε περίπτωση που κάποιο Υποκείμενο των Δεδομένων υποβάλει σε υπηρεσία της ΑΑΔΕ αίτημα που αφορά στην άσκηση δικαιώματος στην ανθρώπινη παρέμβαση, το αίτημα αυτό πρέπει να διαβιβάζεται στο Αυτοτελές Τμήμα προς περαιτέρω διαχείριση».
Από τα ως άνω γίνεται εμφανές ότι για τα περισσότερα δικαιώματα των υποκειμένων (ήτοι για τα δικαιώματα περιορισμού της επεξεργασίας, εναντίωσης, διαγραφής, φορητότητας των δεδομένων και ανθρώπινης παρέμβασης) το Αυτοτελές Γραφείο θα είναι αυτό που θα κληθεί να «βγάλει το φίδι από την τρύπα». Εκτιμάται πάντως ότι την πλειοψηφία των αιτημάτων θα τη διεκπεραιώσουν οι λοιπές υπηρεσίες της ΑΑΔΕ, καθώς κατά κανόνα τα αιτήματα θα αφορούν τα συχνότερα ασκούμενα στην πράξη δικαιώματα ενημέρωσης και πρόσβασης, τα οποία και παραμένουν στην πλήρη αρμοδιότητά τους. Σημειώνεται επίσης ότι σύμφωνα με τη νομική κρίση του Αυτοτελούς Τμήματος, λαμβάνοντας υπόψη το ρυθμιστικό πλαίσιο, τα δικαιώματα διαγραφής και φορητότητας προς την ΑΑΔΕ θα θεμελιώνονται μόνο σε εξαιρετικές περιπτώσεις.

ΙΙΙ. Η διαδικασία διαχείρισης αιτημάτων αυτή καθ’ εαυτή

Ως προς τη διαδικασία διαχείρισης αιτημάτων αυτή καθ’ εαυτή, η οποία καταλαμβάνει περίπου το υπόλοιπο ήμισυ της Διαδικασίας Διαχείρισης Αιτημάτων, αυτή περιλαμβάνει τα ακόλουθα 5 βασικά βήματα.

Βήμα 1: Υποβολή

Όπως είναι αυτονόητο, προκειμένου να ενεργοποιηθεί η διαδικασία διαχείρισης αιτημάτων απαιτείται η υποβολή σχετικού αιτήματος από τον ενδιαφερόμενο. Το αίτημα μπορεί να υποβληθεί μέσα από τα ακόλουθα 5 κανάλια επικοινωνίας: α) την ιστοσελίδα της ΑΑΔΕ, όπου διατίθεται ηλεκτρονική φόρμα υποβολής αιτημάτων, β) με φυσική παρουσία στο Αυτοτελές Τμήμα ή στις υπόλοιπες υπηρεσίες της ΑΑΔΕ, γ) με ταχυδρομική επιστολή στους ως άνω, δ) με τηλεφωνική επικοινωνία στους ως άνω, ε) μέσω των Κέντρων Εξυπηρέτησης Πολιτών. Η επιλογή της τηλεφωνικής επικοινωνίας δεν φαίνεται πάντως ότι παράγει άμεσα αποτελέσματα, δεδομένου ότι κατά τη Διαδικασία Διαχείρισης Αιτημάτων «σημειώνεται επίσης ότι σε περίπτωση τηλεφωνικής επικοινωνίας του Υποκειμένου των Δεδομένων με τις υπηρεσίες της ΑΑΔΕ με σκοπό την υποβολή αιτήματος σχετικά με δικαίωμα που απορρέει από τις διατάξεις του ΓΚΠΔ, το Υποκείμενο των Δεδομένων θα πρέπει να παραπέμπεται σε ένα από τα υπόλοιπα κανάλια λήψεως αιτημάτων». Είναι γεγονός πάντως πως τα μέσα που διατίθενται για την υποβολή αιτημάτων είναι πολυάριθμα προς σημαντική διευκόλυνση πρωτίστως των πολιτών.

Βήμα 2: Ταυτοποίηση

Κατά την παραλαβή του αιτήματος, ο υπάλληλος της ΑΑΔΕ οφείλει να διαπιστώσει την ταυτότητα του αιτούντος. Ο τρόπος ταυτοποίησης διαφοροποιείται ανάλογα με το κανάλι επικοινωνίας που έχει επιλεγεί κατά τα ως άνω. Έτσι: α) για τη φυσική παρουσία απαιτείται επίδειξη δελτίου αστυνομικής ταυτότητας, διαβατηρίου, άδειας οδήγησης ή ατομικού βιβλιαρίου υγείας, β) για την ιστοσελίδα της ΑΑΔΕ εφαρμόζονται τα προβλεπόμενα περί ταυτοποίησης στην επικοινωνία με το Κέντρο Εξυπηρέτησης Φορολογουμένων, γ) για την ταχυδρομική επιστολή, το έγγραφο του αιτήματος πρέπει να φέρει βεβαίωση γνησίου υπογραφής, δ) για τα Κέντρα Εξυπηρέτησης Πολιτών η ταυτοποίηση πραγματοποιείται από τα εν λόγω Κέντρα.

Βήμα 3: Παραλαβή

Και εδώ ο τρόπος παραλαβής των αιτημάτων διαφοροποιείται ανάλογα με το κανάλι επικοινωνίας που έχει επιλεγεί κατά τα ως άνω. Έτσι: α) για την ιστοσελίδα της ΑΑΔΕ, στο αίτημα έχει πρόσβαση ο Προϊστάμενος του Αυτοτελούς Τμήματος και Υπεύθυνος Προστασίας Δεδομένων της ΑΑΔΕ, ο οποίος το χρεώνει σε υπάλληλο του Τμήματος, β) για την υποβολή με φυσική παρουσία ή ταχυδρομική επιστολή, ο αρμόδιος υπάλληλος πρωτοκολλεί το αίτημα και το παραδίδει στον Προϊστάμενο της Υπηρεσίας, ο οποίο το χρεώνει σε υπάλληλο, ενώ προβλέπεται και χορήγηση βεβαίωσης καταχώρησης αιτήματος προς το υποκείμενο των δεδομένων, όταν ζητηθεί από αυτό.

Βήμα 4: Αξιολόγηση

Το βήμα αυτό διαιρείται σε τρία επιμέρους βήματα.
Το πρώτο επιμέρους βήμα αφορά την παραλαβή του αιτήματος. Το περιεχόμενο αυτού του επιμέρους βήματος διαφοροποιείται ανάλογα με τον αν το αίτημα παραλαμβάνεται από το Αυτοτελές Τμήμα ή τις λοιπές υπηρεσίες της ΑΑΔΕ. Αν η λήψη του αιτήματος γίνει από το Αυτοτελές Τμήμα, αυτό, όπως έχει γίνει ήδη εμφανές, δύναται σε κάθε περίπτωση να το διεκπεραιώσει, ζητώντας αν χρειαστεί πρόσθετες πληροφορίες από τις αρμόδιες υπηρεσίες της ΑΑΔΕ. Διαβίβαση στις αρμόδιες υπηρεσίες της ΑΑΕΔΕ λαμβάνει χώρα «εάν η ικανοποίησή του προϋποθέτει ενέργειες που εμπίπτουν στην καθ’ ύλην και κατά τόπον αρμοδιότητα μίας ή περισσοτέρων υπηρεσιών της ΑΑΔΕ». Αν η λήψη του αιτήματος γίνει από λοιπές υπηρεσίες της ΑΑΔΕ, αυτές το διεκπεραιώνουν εκτός εάν «αυτό αφορά σε άσκηση δικαιώματος διαγραφής (άρθρο 17 ΓΚΠΔ), περιορισμού της επεξεργασίας (άρθρο 18 ΓΚΠΔ), φορητότητας (άρθρο 20 ΓΚΠΔ), εναντίωσης (άρθρο 17 ΓΚΠΔ), του δικαιώματος στην ανθρώπινη παρέμβαση (άρθρο 22 ΓΚΠΔ)» ή «η διαχείρισή του απαιτεί εξειδικευμένη γνώση σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα», οπότε διαβιβάζεται στο Αυτοτελές Τμήμα. Διαβίβαση σε άλλη υπηρεσία της ΑΑΔΕ λαμβάνει χώρα εφόσον κριθεί ότι αυτή είναι καθ’ ύλην και κατά τόπο αρμόδια για τη διεκπεραίωσή του.
Το δεύτερο επιμέρους βήμα αφορά την αξιολόγηση του περιεχόμενου του αιτήματος. Κατ’ αυτό αξιολογείται από την υπηρεσία διαχείρισης του αιτήματος αν οι διαθέσιμες πληροφορίες είναι επαρκείς για τη διεκπεραίωσή του. Για την εν λόγω κρίση προβλέπεται η υποχρέωση αναζήτησης πληροφοριών «που διατίθενται μέσω των πληροφοριακών συστημάτων ή βρίσκονται στο φυσικό αρχείο άλλων υπηρεσιών της ΑΑΔΕ επικοινωνώντας σχετικά με αυτές. Σε περίπτωση που οι διαθέσιμες πληροφορίες κριθούν ως ελλιπείς, η υπηρεσία που διαχειρίζεται το αίτημα ζητά πρόσθετες πληροφορίες από το Υποκείμενο των Δεδομένων». Εφόσον οι διαθέσιμες πληροφορίες κριθούν επαρκείς, αξιολογείται αν το αίτημα είναι προδήλως αβάσιμο ή υπερβολικό ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα του, οπότε δεν θα ικανοποιηθεί.

Βήμα 5: Διεκπεραίωση και ενημέρωση

Προβλέπεται η διενέργεια των αναγκαίων πράξεων για τη διεκπεραίωση του αιτήματος και η παροχή τεκμηριωμένης απάντησης στο υποκείμενο των δεδομένων, όταν αυτή είναι αναγκαία. Η τελευταία χορηγείται στο υποκείμενο των δεδομένων μέσω του καναλιού επικοινωνίας που αυτό είχε επιλέξει.

ΙV. Kαταληκτικές παρατηρήσεις

Ως προς το ως άνω έγγραφο, κατόπιν της επιλεγμένης και πολύ σύντομης παρουσίασής του, σημειώνουμε επιγραμματικά τα εξής:

Α) Είναι αξιέπαινη και κατ’ επέκταση ευπρόσδεκτη η εκπόνηση και δημοσίευση της Διαδικασίας Διαχείρισης Αιτημάτων από το Αυτοτελές Τμήμα της ΑΑΔΕ. Η προβλεπόμενη διαδικασία διακρίνεται κατά κανόνα από πληρότητα. Πέραν της εφαρμογής της εντός των κόλπων της ΑΑΔΕ, αυτή, λόγω των αρετών της, μπορεί να χρησιμεύσει επίσης ως πυξίδα εκπόνησης αντίστοιχης διαδικασίας για υπεύθυνους επεξεργασίας που δραστηριοποιούνται στο δημόσιο ή στον ιδιωτικό τομέα.

Β) Ο συνδυασμός των ανθρώπινων πόρων τόσο του Αυτοτελούς Τμήματος όσο και των λοιπών υπηρεσιών της ΑΑΔΕ κρίνεται προς τη σωστή κατεύθυνση, σε όφελος των υποκειμένων των προσωπικών δεδομένων. Η μεταξύ τους αλληλεπίδραση έχει προβλεφθεί με σαφήνεια, για την επιτυχή ικανοποίηση των δικαιωμάτων των υποκειμένων των προσωπικών δεδομένων. Το αποτέλεσμα είναι η δημιουργία ενός συστήματος ικανοποίησης αιτημάτων με δόσεις συγκέντρωσης και αποκέντρωσης. Τελικό κριτή πάντως θα αποτελέσει η δοκιμασία του στην πράξη.

Γ) Όλα τα τμήματά της Διαδικασίας Διαχείρισης Αιτημάτων θα μπορούσαν μελλοντικά να καταστούν ευκολότερα στην προσέγγιση και ευχερέστερα κατανοητά με τη χρήση εικόνων και σχημάτων. Αυτό θα συνέβαλε στην ταχύτερη εμπέδωσή της από τους υπαλλήλους της ΑΑΔΕ που θα κληθούν να την εφαρμόσουν.

Δ) Χρήσιμη θα ήταν επίσης μελλοντικά η εκπόνηση και διάχυση πρακτικών παραδειγμάτων εφαρμογής της διαδικασίας προς διευκόλυνση όλων των ενδιαφερομένων.

Ε) Τέλος, αναγκαία κρίνεται η διαρκής εκπαίδευση και επιμόρφωση όλων των εμπλεκομένων υπαλλήλων σχετικά με την προστασία των προσωπικών δεδομένων. Δίχως την εκπλήρωση αυτής της προϋπόθεσης που συνιστά conditio sine qua non, η ορθή εφαρμογή της Διαδικασίας Διαχείρισης Αιτημάτων κινδυνεύει να αποτύχει.

Το παρόν άρθρο έχει αποκλειστικά ενημερωτικό χαρακτήρα, με αποτέλεσμα την επιλεκτικότητα και συνοπτικότητα του περιεχομένου του. Οι ενδιαφερόμενοι πρέπει σε κάθε περίπτωση να προσεγγίζουν πλήρως τα αναφερόμενα κείμενα στα οποία εκτίθενται πρωτογενώς οι σχετικές πληροφορίες

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 3/02/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Λίγες ημέρες μετά την επιβολή προστίμου 15.000 ευρώ σε ναυτιλιακή εταιρεία για παραβάσεις σε βάρος εργαζομένων (απόφαση υπ’ αριθμ. 43/2019), η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) «ξαναχτυπά» στο χώρο της ναυτιλίας με δεκαπλάσιο αυτή τη φορά πρόστιμο. Πρόκειται για την απόφαση υπ’ αριθμ. 44/2019 που δημοσιεύθηκε στις 22-1-2020.

Τα πραγματικά περιστατικά αφορούν εταιρεία προμήθειας καυσίμων για πλοία (εταιρεία A) η οποία προέβη τον Ιούνιο του 2018 σε γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων. Παράλληλα, για τα ίδια συμβάντα, η εταιρεία Α υπέβαλε και αναφορά-καταγγελία κατά της μητρικής της εταιρείας, δραστηριοποιούμενης ομοίως στο χώρο προμήθειας καυσίμων για πλοία (εταιρεία B), καθώς και κατά μεγάλης εταιρείας παροχής λογιστικών υπηρεσιών και συμβουλών (εταιρεία Γ). Κατά τα υποστηριχθέντα στην αναφορά, οι καταγγελθείσες εταιρείες Β και Γ εισήλθαν παρανόμως και αντέγραψαν σε φορητά μέσα αποθήκευσης το σύνολο ψηφιακού περιεχομένου διακομιστή (server) της εταιρείας Α, το οποίο περιείχε ηλεκτρονικά αρχεία, μηνύματα ηλεκτρονικού ταχυδρομείου και άλλες επικοινωνίες τόσο εργαζομένων της εταιρείας Α όσο και εργαζομένων τρίτων εταιρειών.

Για τα ίδια συμβάντα υποβλήθηκαν επίσης ενώπιον της ΑΠΔΠΧ συνολικά 12 καταγγελίες φυσικών προσώπων κατά των εταιρειών Β και Γ. Τα εν λόγω πρόσωπα κατήγγειλαν την παραβίαση των προσωπικών δεδομένων τους που τηρούνταν στον ως άνω διακομιστή (server) λόγω της παράνομης αντιγραφής τους από τις εταιρείες Β και Γ.

Όπως υποστήριξε η καταγγελθείσα εταιρεία Β, οι ως άνω ενέργειές της ήταν νόμιμες και αναγκαίες, ιδίως στο πλαίσιο εσωτερικού ελέγχου που διεξήγαγε για οικονομικά θέματά της, συμπεριλαμβανομένης της πιθανής τέλεσης αδικημάτων σε βάρος της. Η δε καταγγελθείσα εταιρεία Γ υποστήριξε ότι ουδεμία σχέση είχε με τα καταγγελθέντα.

Προβαίνοντας στη συνέχεια σε σχετικό έλεγχο, η ΑΠΔΠΧ διαπίστωσε ότι τόσο η καταγγελθείσα εταιρεία Β και οι θυγατρικές της, μεταξύ των οποίων η καταγγείλασα εταιρεία Α, όσο και τρίτες εταιρείες έκαναν χρήση και είχαν φυσική πρόσβαση στον ίδιο χώρο όπου ήταν εγκατεστημένοι και λειτουργούσαν περισσότεροι διακομιστές (servers). Οι ως άνω εταιρείες είχαν επίσης πρόσβαση στην ίδια υπολογιστική υποδομή (υλικού και λογισμικού) για τη διεκπεραίωση της ηλεκτρονικής αλληλογραφίας εργαζομένων και στελεχών τους, προβαίνοντας σε επεξεργασία των συστημάτων αρχειοθέτησης ηλεκτρονικών επικοινωνιών. Οι ανωτέρω επεξεργασίες δεδομένων προσωπικού χαρακτήρα λάμβαναν χώρα χωρίς τη λήψη κανενός μέτρου φυσικού και λογικού διαχωρισμού μεταξύ των εμπλεκόμενων εταιρειών. Λάμβαναν επίσης χώρα άτυπα, καθώς δεν υπήρχε καμία ειδική συμφωνία μεταξύ τους.

Κατά την ΑΠΔΠΧ, η καταγγελθείσα εταιρεία Β ως υπεύθυνος επεξεργασίας δεν είχε λάβει ουδένα μέτρο συμμόρφωσης με τον GDPR κατ’ άρθρο 5 παρ. 1 και 6 παρ. 1 αυτού στη λειτουργία της ως άνω υπολογιστικής υποδομής, η οποία υποστήριζε την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, παρά την αντίθετη υποχρέωσή της. Ομοίως, παράνομες ήταν οι εν συνεχεία αυτοτελείς και διακριτές πράξεις επεξεργασίας τις οποίες αυτή επιχείρησε σύμφωνα με τα καταγγελθέντα, λόγω της αρχικής παράνομης επεξεργασίας προσωπικών δεδομένων, ήτοι η αντιγραφή του συνόλου του περιεχομένου της ως άνω υπολογιστικής υποδομής και η δημιουργία ενός νέου συστήματος αρχειοθέτησης -αντίγραφο του πρωτοτύπου-, το οποίο αυτή διαβίβασε στο Ηνωμένο Βασίλειο.

Έτσι, η ΑΠΔΠΧ, κρίνοντας προηγουμένως ότι η επίσης καταγγελθείσα εταιρεία Γ δεν συμμετείχε ή παρείχε συνδρομή στην παράνομη επεξεργασία προσωπικών δεδομένων από πλευράς της εταιρείας Β, αποφάσισε, αποκλειστικά σε βάρος της καταγγελθείσας εταιρείας B: α) να δώσει εντολή η εταιρεία Β να καταστήσει σύμφωνες με τις διατάξεις του GDPR τις πράξεις επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται τόσο στην χρησιμοποιούμενη ως άνω υπολογιστική υποδομή όσο και στα νέο σύστημα αρχειοθέτησης που απεστάλη στο Ηνωμένο Βασίλειο, καθώς και να λάβει όλα τα αναγκαία μέτρα συμμόρφωσης με τον GDPR εντός διαστήματος τριών μηνών, β) να επιβάλει πρόστιμο στην εταιρεία Β ποσού ύψους 150.000 ευρώ.

Ως προς την εν λόγω υπόθεση σημειώνουμε επιγραμματικά τα εξής:

1. Η προσεκτική προσέγγιση των σχετικών ημερομηνιών, ειδικότερα το ότι η γνωστοποίηση του περιστατικού παραβίασης από την καταγγείλασα εταιρεία Α έλαβε χώρα στις 18-6-2018, όπως και η σχετική αναφορά-καταγγελία της, ενώ εν τέλει η απόφαση της ΑΠΔΠΧ δημοσιεύθηκε στην ιστοσελίδα της στις 22-1-2020, καθιστά εμφανείς τις ενίοτε μεγάλες καθυστερήσεις στην έκδοση των αποφάσεων από την εποπτική αρχή. Πρόκειται για πρόβλημα που πρέπει να αντιμετωπιστεί, δεδομένου ότι οι συναφείς καθυστερήσεις αποβαίνουν σε βάρος της προστασίας του υποκειμένου των προσωπικών δεδομένων, καθώς δημιουργούν αίσθηση αρρυθμίας στη λειτουργία της εποπτικής αρχής.

2. Εν προκειμένω η εκπλήρωση της υποχρέωσης γνωστοποίησης περιστατικού παραβίασης οδήγησε σε έλεγχο της ΑΠΔΠΧ, ο οποίος κατέληξε στην επιβολή προστίμου. Εδώ εντοπίζεται ένα κλασικό πλέον σχήμα (γνωστοποίηση – έλεγχος – επιβολή προστίμου) που επαναλαμβάνεται στη νομολογία των εποπτικών αρχών εντός της Ε.Ε. Σημειώνεται επίσης ότι η ρύθμιση για την υποχρέωση γνωστοποίησης περιστατικού παραβίασης κατά τον GDPR λειτουργεί ως δίκοπο μαχαίρι. Η μεν μη γνωστοποίηση περιστατικού παραβίασης αποτελεί υπό προϋποθέσεις παράβαση του GDPR και οδηγεί σε επιβολή κυρώσεων, μόλις γίνει αντιληπτή. Η δε γνωστοποίηση με τη σειρά της ανοίγει τον ασκό του Αιόλου για τη διαπίστωση λοιπών παραβάσεων από την εποπτική αρχή και την επιβολή προστίμων.

3. Το ύψος του επιβληθέντος προστίμου κρίνεται αναμενόμενο, δεδομένου ότι εν προκειμένω η καταγγελθείσα εταιρεία Β, όπως επισημαίνεται στην εν λόγω απόφαση «αγνοούσε παντελώς τις υποχρεώσεις συμμόρφωσης της προς τις επιταγές του ΓΚΠΔ, επιπλέον δε, ουδεμία διάθεση συμμόρφωσης επέδειξε». Αυτό ενδέχεται πάντως να οφειλόταν στο ότι η εταιρεία Β θεωρούσε εσφαλμένα, όπως προέβαλε με ένσταση ενώπιον της ΑΠΔΠΧ, ότι δεν υπάγεται στο πεδίο εφαρμογής του GDPR, επικαλούμενη συγκεκριμένα συνδετικά στοιχεία της με τρίτα κράτη εκτός Ευρωπαϊκής Ένωσης.

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 24/01/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Η 28η Ιανουαρίου έχει καθιερωθεί από το Συμβούλιο Υπουργών του Συμβουλίου της Ευρώπης, ήδη από το 2007, ως Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων. Ο 14ος εορτασμός της, που θα λάβει χώρα πολύ σύντομα, αποσκοπεί στην ενημέρωση και ευαισθητοποίηση των πολιτών για τα οικεία ζητήματα. Με έναυσμα, λοιπόν, την ημέρα αυτή, παρουσιάζονται τα 14 μεγαλύτερα πρόστιμα που επιβλήθηκαν σε 14 διαφορετικά κράτη μέλη κατά την εφαρμογή του GDPR για το έτος 2019. Επιλέγονται από το σύνολο των δημοσιευθέντων αποφάσεων στην ιστοσελίδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ).

Υπενθυμίζεται ότι το ΕΣΠΔ αποτελεί δημιούργημα του GDPR, ως ένας ανεξάρτητος ευρωπαϊκός οργανισμός. Αποστολή του είναι να συμβάλει στη συνεκτική εφαρμογή των κανόνων προστασίας δεδομένων στην Ευρωπαϊκή Ένωση και να προάγει τη συνεργασία μεταξύ των εθνικών εποπτικών αρχών.

Τονίζεται επίσης ότι ο GDPR αποτελεί νομοθετικό κείμενο πανευρωπαϊκής εφαρμογής. Γι’ αυτό, παρά τις όποιες διαφοροποιήσεις που εισάγουν εθνικοί νόμοι, οι αποφάσεις επιβολής προστίμων σε άλλα κράτη μέλη αποτελούν χρήσιμο μπούσουλα και για την Ελλάδα.

14. Βέλγιο – πρόστιμο 10.000 ευρώ

Η υπόθεση (Σεπτέμβριος 2019) αφορούσε επιχειρηματία ο οποίος για την έκδοση κάρτας επιβράβευσης σε πελάτη απαιτούσε οπωσδήποτε τη χρήση της ταυτότητας του. Το πρόστιμο επιβλήθηκε τόσο για παραβίαση της αρχής της ελαχιστοποίησης όσο και για την απουσία νόμιμης βάσης επεξεργασίας των προσωπικών δεδομένων. Έτσι, κρίθηκε ιδίως ότι τα προσωπικά δεδομένα που συλλέγονταν υπερέβαιναν το αναγκαίο μέτρο για τον συγκεκριμένο σκοπό, ήτοι την έκδοση κάρτας επιβράβευσης.

13. Ισπανία – πρόστιμο 30.000 ευρώ

Η υπόθεση (Οκτώβριος 2019) αφορούσε αεροπορική εταιρεία, η οποία στην ιστοσελίδα της δεν παρείχε τη δυνατότητα καθορισμού των cookies που θα εγκαθίσταντο στον υπολογιστή του επισκέπτη. Το πρόστιμο επιβλήθηκε γιατί οι επισκέπτες ενημερώνονταν μεν με σχετική Πολιτική για τα cookies, δεν υπήρχε όμως μηχανισμός αποδοχής ή απόρριψης των cookies.

12. Ουγγαρία – πρόστιμο 35.000 ευρώ

Η υπόθεση (Μάρτιος 2019) αφορούσε ιστοσελίδα πολιτικού κόμματος από την οποία μέσω hacking είχε αφαιρεθεί λίστα με προσωπικά δεδομένων περίπου 6.000 υποστηρικτών του. Στη συνέχεια, η λίστα είχε καταστεί ελευθέρως προσβάσιμη. Ο hacker είχε μάλιστα την ευγένεια να ενημερώσει σχετικά την εποπτική αρχή! Το πρόστιμο επιβλήθηκε γιατί δεν έλαβε χώρα γνωστοποίηση του περιστατικού παραβίασης προσωπικών δεδομένων στην εποπτική αρχή και στα υποκείμενα των προσωπικών δεδομένων από το πολιτικό κόμμα. Σημειώνεται ότι τα πολιτικά φρονήματα αποτελούν κατηγορία προσωπικών δεδομένων που χρήζουν αυξημένης προστασίας κατά τον GDPR.

11. Σουηδία – πρόστιμο 35.000 ευρώ

Η υπόθεση (Δεκέμβριος 2019) αφορούσε ιστοσελίδα εταιρείας, στην οποία δημοσιεύονται προσωπικά δεδομένα Σουηδών άνω των 16 ετών, ήτοι περισσότερων από 8.000.000 ατόμων. Το πρόστιμο επιβλήθηκε για την παράνομη δημοσίευση πληροφοριών σχετικά με ιστορικό μη πληρωμών και ιστορικό για ποινικές καταδίκες. Σημειώνεται ότι οι ποινικές καταδίκες αποτελούν κατηγορία προσωπικών δεδομένων που χρήζουν αυξημένης προστασίας κατά τον GDPR.

10. Λιθουανία – πρόστιμο 61.500 ευρώ

Η υπόθεση (Μάιος 2019) αφορούσε εταιρεία παροχής τραπεζικών υπηρεσιών, στην ιστοσελίδα της οποίας κατέστη δημόσια η λίστα των πληρωμών που είχαν πραγματοποιηθεί μέσω αυτής, καθώς και άλλα στοιχεία. Το πρόστιμο επιβλήθηκε ιδίως γιατί η εταιρεία συνέλεγε περισσότερα προσωπικά δεδομένα από όσα ήταν αναγκαίο, τα διατηρούσε περισσότερο χρόνο από όσο ήταν αναγκαίο, δεν είχε λάβει τα δέοντα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων και δεν προέβη σε γνωστοποίηση περιστατικού παραβίασης στην εποπτική αρχή.

9. Ρουμανία – πρόστιμο 150.000 ευρώ

Η υπόθεση (Οκτώβριος 2019) αφορούσε τράπεζα η οποία προέβη σε γνωστοποίηση περιστατικού παραβίασης στην εποπτική αρχή. Το περιστατικό παραβίασης έλαβε χώρα μέσω δύο υπαλλήλων της τράπεζας, οι οποίοι λάμβαναν προσωπικά δεδομένα φυσικών προσώπων από άλλη εταιρεία, τα οποία στη συνέχεια επεξεργάζονταν, προκειμένου να κριθεί η χορήγηση πιστώσεων. Τα τυχόν αρνητικά αποτελέσματα των σχετικών αξιολογήσεων κοινοποιούνταν στη συνέχεια στην εταιρεία που τους τροφοδοτούσε με προσωπικά δεδομένα, κατά παράβαση εσωτερικών διαδικασιών. Το πρόστιμο επιβλήθηκε γιατί η τράπεζα δεν είχε λάβει τα δέοντα μέτρα, με αποτέλεσμα να λάβουν χώρα τα ως άνω για περίπου 1.200 πρόσωπα.

8. Νορβηγία – πρόστιμο 170.000 ευρώ

H υπόθεση (Μάρτιος 2019) αφορούσε ονόματα χρήστη και κωδικούς μαθητών, καθώς και εργαζομένων σχολείων στο δίκτυο υπολογιστών του δήμου, τα οποία ήταν ελευθέρως προσβάσιμα. Ο αριθμός των εν λόγω λογαριασμών υπερέβαινε τους 35.000. Το πρόστιμο επιβλήθηκε για την απουσία των δεόντων μέτρων ασφαλείας, με αποτέλεσμα να είναι εφικτή για οποιονδήποτε η δυνατότητα σύνδεσης στα πληροφοριακά συστήματα σχολείου και η απόκτηση πρόσβασης σε προσωπικά δεδομένα μαθητών και εργαζομένων. Σημειώνεται ότι κατά τον GDPR τα παιδιά αποτελούν υποκείμενα προσωπικών δεδομένων που χρήζουν αυξημένης προστασίας.

7. Δανία – πρόστιμο 200.000 ευρώ

Η υπόθεση (Ιούνιος 2019) αφορούσε εταιρεία πώλησης επίπλων για την αποθήκευση προσωπικών δεδομένων περίπου 385.000 πελατών σε σύστημα επεξεργασίας προσωπικών δεδομένων, στο οποίο αυτά τηρούνταν εσαεί. Το πρόστιμο επιβλήθηκε για την επεξεργασία προσωπικών δεδομένων για μεγαλύτερο διάστημα από αυτό που απαιτείτο.

6. Ελλάδα – πρόστιμο 200.000 ευρώ επί 2

Πρόκειται για τη γνωστή υπόθεση (Οκτώβριος 2019) εταιρείας τηλεπικοινωνιών, η οποία έχει τύχει ειδικότερης ανάλυσης στη διαδικτυακή πύλη. Υπενθυμίζεται ότι εν προκειμένω επιβλήθηκε διπλό πρόστιμο ύψους 200.000 ευρώ έκαστο λόγω τεχνικών προβλημάτων εφαρμογών που οδηγούσαν στην ανακρίβεια των τηρούμενων προσωπικών δεδομένων, με αποτέλεσμα την παράνομη διενέργεια προωθητικών κλήσεων. Επίσης, για τεχνική δυσλειτουργία που στερούσε τη δυνατότητα διαγραφής από λίστες παραληπτών διαφημιστικών emails.

5. Πολωνία – πρόστιμο 645.000 ευρώ

Η υπόθεση (Σεπτέμβριος 2019) αφορούσε διαδικτυακό κατάστημα (e-shop), στο οποίο έλαβε χώρα περιστατικό παραβίασης, με αποτέλεσμα τη διαρροή προσωπικών δεδομένων περίπου 2.200.000 προσώπων. Τα εν λόγω πρόσωπα αντιμετώπισαν υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες τους λόγω του περιστατικού. Το πρόστιμο επιβλήθηκε για παραβίαση της αρχής της εμπιστευτικότητας των προσωπικών δεδομένων, καθώς και την απουσία των αναγκαίων τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών δεδομένων.

4. Γερμανία – πρόστιμο 14.500.000 ευρώ

Η υπόθεση (Οκτώβριος 2019) αφορούσε εταιρεία που χώρου του real estate, η οποία χρησιμοποιούσε σύστημα αρχειοθέτησης προσωπικών δεδομένων ενοικιαστών δίχως δυνατότητα διαγραφής. Το πρόστιμο επιβλήθηκε για παραβίαση των αρχών επεξεργασίας και μη προστασία των προσωπικών δεδομένων από το σχεδιασμό και εξ ορισμού. Σημειώνεται ότι κατά την επιβολή του προστίμου λήφθηκε υπόψη ότι η εταιρεία είχε το 2018 κύκλο εργασιών που υπερέβαινε το 1,4 δις ευρώ.

3. Αυστρία – πρόστιμο 18.000.000 ευρώ

Η υπόθεση (Οκτώβριος 2019) αφορούσε την εθνική εταιρεία ταχυδρομικών υπηρεσιών η οποία προέβη στην επεξεργασία προσωπικών δεδομένων πολιτών για να βγάλει συμπεράσματα ως προς τις πολιτικές πεποιθήσεις τους. Tα προσωπικά δεδομένα αξιοποιούνταν στη συνέχεια για την προσφορά προωθητικών πακέτων σε πολιτικά κόμματα ή πωλούνταν σε αυτά για στοχευμένες προωθητικές ενέργειες. Παράνομη επεξεργασία προσωπικών δεδομένων διαπιστώθηκε και ως προς την επεξεργασία δεδομένων σχετικά με τη συχνότητα κατά την οποία παραδίδονταν δέματα, καθώς και τη συχνότητα αλλαγής διεύθυνσης των πελατών.

2. Γαλλία – πρόστιμο 50.000.000 ευρώ

Η πολύ γνωστή υπόθεση (Ιανουάριος 2019) αφορούσε τη Google και πιο συγκεκριμένα καταγγελίες σε βάρος της για την απουσία νόμιμης βάσης ως προς την επεξεργασία προσωπικών δεδομένων των χρηστών των υπηρεσιών της, ιδίως για τον σκοπό της εξατομικευμένης διαφήμισης. Το πρόστιμο επιβλήθηκε για απουσία διαφάνειας, ακατάλληλη ενημέρωση και απουσία έγκυρης συγκατάθεσης σχετικά με την επεξεργασία προσωπικών δεδομένων για εξατομικευμένες διαφημίσεις.

1. Ηνωμένο Βασίλειο – πρόστιμο 220.000.000 ευρώ

Και την 1η θέση του πρωταθλητή καταλαμβάνει το Ηνωμένο Βασίλειο, για το οποίο το μεγαλύτερο πρόστιμο δημοσιευθέν στην ιστοσελίδα του ΕΣΠΔ είναι περίπου 220.000.000 ευρώ (Ιούλιος 2019). Η υπόθεση αφορούσε περιστατικό παραβίασης σε ιστοσελίδα αεροπορικής εταιρείας. Η εν λόγω ιστοσελίδα κατηύθυνε τους επισκέπτες της σε τρίτη κακόβουλη ιστοσελίδα. Μέσω της τρίτης ιστοσελίδας συλλέγονταν τα προσωπικά δεδομένα των επισκεπτών από κακόβουλους. Το περιστατικό αφορούσε περίπου 500.000 χρήστες. Πέραν αυτού, εν γένει η ιστοσελίδα της αεροπορικής εταιρείας έπασχε από άποψη ασφαλείας. Σημειώνεται ότι το ως άνω ποσό αφορά ανακοίνωση πρόθεσης επιβολής προστίμου από την αρμόδια εποπτική αρχή. Η επιβολή του οριστικού προστίμου ακόμη αναμένεται.

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 16/01/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Με την υπ’ αριθμ. 43/2019 ογκωδέστατη απόφαση (48 σελίδες) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία αναρτήθηκε στην ιστοσελίδα της στις 15-1-2020, η Αρχή επανήλθε σε ένα καίριο θέμα που την έχει απασχολήσει και κατά το παρελθόν (βλ. ιδίως την υπ’ αριθμ. 34/2018 απόφαση). Πρόκειται για τον έλεγχο ηλεκτρονικών αρχείων του εργαζομένου στον χώρο εργασίας του, από τον εργοδότη του, κατά το κρίσιμο στάδιο της λήξης της εργασιακής του σχέσης.

Κατά τα καταγγελλόμενα, ναυτιλιακή εταιρεία, κατόπιν της γνωστοποίησης της παραίτησης του εργαζομένου της, προέβη, μεταξύ άλλων, αιφνιδίως σε: α) έρευνα στα «ηλεκτροεπικοινωνιακά συστήματα» που χειριζόταν ο ως άνω εργαζόμενος στην εταιρεία, β) αποκλεισμό της πρόσβασής του στα εν λόγω συστήματα, ιδίως στο εταιρικό email του, στον διακομιστή (server) της εταιρείας εξ αποστάσεως και στον υπολογιστή του εντός της εταιρείας. Ο τελευταίος μάλιστα, ο οποίος περιείχε προσωπικά δεδομένα του, υπέστη έρευνα εν τη απουσία του, ενώ αφαιρέθηκε και ο σκληρός δίσκος. Αντίστοιχη έρευνα έλαβε χώρα και στον λογαριασμό της ηλεκτρονικής αλληλογραφίας του εργαζομένου, στη φυσική αλληλογραφία του και στα ιδιωτικά έγγραφά του στον χώρο της εταιρείας. Περαιτέρω, κατά τον καταγγέλλοντα, προσωπικά δεδομένα του ήταν αποθηκευμένα και στον υπολογιστή της γραμματέας του, η πρόσβασή του στον οποίο επίσης αποκλείστηκε.

Εν συνεχεία, με εξώδικα που ο εργαζόμενος απηύθυνε στην εταιρεία, αιτήθηκε να παρευρεθεί σε σχετικό έλεγχο των ως άνω «ηλεκτροεπικοινωνιακών συστημάτων» και αντικειμένων του στον χώρο εργασίας, ώστε να γίνει ο αναγκαίος διαχωρισμός μεταξύ προσωπικών και επαγγελματικών αρχείων, καθώς και να του αποδοθούν προσωπικά δεδομένα και αντικείμενα, χωρίς όμως αυτό να λάβει χώρα. Κατά τον καταγγέλλοντα μάλιστα, η εταιρεία παρουσίαζε εν γένει σημαντικά προβλήματα ως προς τη συμμόρφωσή της με τον GDPR, όπως η απουσία Πολιτικής Απορρήτου, η απουσία Εσωτερικού Κανονισμού για την ορθή χρήση και λειτουργία του εξοπλισμού και του δικτύου πληροφορικής και επικοινωνιών από τους εργαζόμενους, καθώς και η λειτουργία παράνομου συστήματος βιντεοεπιτήρησης.

Η εταιρεία από την πλευρά της υποστήριξε ότι, διαπιστώνοντας τη διαγραφή σημαντικού αριθμού ηλεκτρονικών αρχείων και μηνυμάτων ηλεκτρονικής αλληλογραφίας από τα πληροφοριακά συστήματα της, διενήργησε εσωτερική έρευνα και προέβη σε ανάκτηση αυτών. Αυτό είχε ως αποτέλεσμα να διαπιστώσει την τέλεση αξιόποινων πράξεων σε βάρος της από πλευράς του εργαζομένου της, ο οποίος ήταν όχι μόνο Γενικός Διευθυντής της, αλλά και ο de facto Υπεύθυνος Προστασίας Δεδομένων της! Σε αυτό το πλαίσιο, μεταξύ άλλων, η εταιρεία ισχυρίστηκε ότι απέκτησε πρόσβαση μόνο σε μηνύματα του εταιρικού λογαριασμού ηλεκτρονικής αλληλογραφίας του καταγγέλλοντος, όπως αυτά ανακτήθηκαν από τον εταιρικό διακομιστή (server), και όχι στον υπολογιστή του. Yποστήριξε επίσης ότι οι λοιπές συναφείς ενέργειές της δικαιολογούνταν λόγω της αξιόποινης συμπεριφοράς του εργαζομένου της. Ως προς τις καταγγελθείσες παραλείψεις συμμόρφωσης με τον GDPR, η εταιρεία υποστήριξε ότι δεν συνέτρεχαν.

Η Αρχή, λαμβάνοντας υπόψη τα ως άνω, διαπίστωσε ιδίως ότι η εταιρεία διέθετε πράγματι Εσωτερικό Κανονισμό εργαζομένων και εταιρικές Πολιτικές σε συμμόρφωση προς τον GDPR. Αυτές περιείχαν προβλέψεις, μεταξύ άλλων, για απαγόρευση χρήσης των υπολογιστικών και επικοινωνιακών συστημάτων της εταιρείας για προσωπικούς σκοπούς, καθώς και για τις προϋποθέσεις υπό τις οποίες η εταιρεία μπορούσε να αποκτήσει πρόσβαση σε αυτά. Ο καταγγέλλων είχε μάλιστα γνώση των ως άνω κειμένων. Ομοίως, αυτός είχε ενημερωθεί από την εταιρεία για τη διεξαγωγή έρευνας σε βάρος του. Έτσι, κρίθηκε ότι η εταιρεία νομίμως απέκτησε πρόσβαση σε διαγραμμένα ηλεκτρονικά αρχεία που ανακτήθηκαν από τον διακομιστή της (server), τα οποία αφορούσαν την τέλεση αξιόποινων πράξεων από τον εργαζόμενο, στο πλαίσιο του υπέρτερου εννόμου συμφέροντός της κατά τα άρθρα 5 και 6 παρ. 1 περ. στ΄ GDPR. Στην αντίθεση κατεύθυνση κρίθηκε όμως ότι η εταιρεία παραβίασε το δικαίωμα ενημέρωσης και πρόσβασης του καταγγέλλοντος, ως προς τα προσωπικά δεδομένα του εταιρικού ηλεκτρονικού υπολογιστή του, με το να μην απαντήσει με τον δέοντα τρόπο στα ως άνω εξώδικά του. Και αυτό γιατί δεν ανταποκρίθηκε στο υποβληθέν αίτημά του και δεν τον ενημέρωσε για τα δικαιώματά του σύμφωνα με τον GDPR, με αποτέλεσμα αυτή να παραβιάσει τα άρθρα 12, 13 και 15 του GDPR.

H Aρχή κατέληξε επίσης ότι η εταιρεία λειτουργούσε παρανόμως σύστημα βιντεοεπιτήρησης, κατά παράβαση του άρθρου 5 GDPR, καθώς δεν είχε προβεί σε συναφή έγγραφη τεκμηρίωση της νόμιμης λειτουργίας του συστήματος, ενώ δεν υπήρχε πρόβλεψη περί της λειτουργίας του στις εταιρικές Πολιτικές και στον Κανονισμό των εργαζομένων.

Υπό τις ως άνω κρίσεις, η Αρχή έλαβε τις ακόλουθες αποφάσεις: α) να απευθύνει εντολή στην εταιρεία να ικανοποιήσει αμέσως το αίτημα του καταγγέλλοντος για άσκηση του δικαιώματος πρόσβασης και ενημέρωσης σε σχέση με τα προσωπικά δεδομένα του στον εταιρικό ηλεκτρονικό υπολογιστή του, β) να απευθύνει εντολή προς την εταιρεία να συμμορφώσει εντός ενός μήνα τη λειτουργία του συστήματος βιντεοεπιτήρησής της, γ) να επιβάλλει πρόστιμο στην εταιρεία για την παράνομη λειτουργία του συστήματος βιντεοεπιτήρησης ύψους 15.000 ευρώ.

Ως προς την ως άνω απόφαση, σημειώνουμε επιγραμματικά τα εξής:

1. Είναι εμφανές ότι η συμμόρφωση της εταιρείας με τον GDPR δεν ήταν επαρκής. Το σύστημα βιντεοεπιτήρησης, που κατ’ επανάληψη έχει αποδειχθεί ότι αποτελεί κόκκινο πανί για την Αρχή, δεν λειτουργούσε νόμιμα, ο Υπεύθυνος Προστασίας Δεδομένων δεν είχε γνωστοποιηθεί στην Αρχή, ενώ φαίνεται ότι ήταν και Γενικός Διευθυντής, κατά εμφανή σύγκρουση καθηκόντων, η δε απόκριση στο αίτημα άσκησης δικαιωμάτων του εργαζομένου ήταν μη ικανοποιητική. Υπό αυτές τις συνθήκες, η επιβολή χρηματικού προστίμου μόνο για την παράνομη λειτουργία συστήματος βιντεοεπιτήρησης κρίνεται επιεικής.

2. Είναι δυσάρεστο, αλλά κατανοητό, το ότι τόσο σε αυτή όσο και σε άλλες αντίστοιχες υποθέσεις που έχουν απασχολήσει την ΑΠΔΠΧ, οι εργαζόμενοι προβαίνουν σε σχετικές καταγγελίες μόνο κατόπιν της λήξης της εργασιακής σχέσης τους ή εν μέσω σύγκρουσης με τον εργοδότη τους, με τους υπόλοιπους εργαζομένους μέχρι τότε να σιωπούν. Οι ενέργειες συμμόρφωσης πρέπει να λαμβάνουν χώρα όμως αμέσως μετά τη συνειδητοποίηση των όποιων παρατυπιών και όχι να μετατίθενται στο αβέβαιο μέλλον. Σε αυτό μπορεί να διαδραματίσει σημαντικό ρόλο ο Υπεύθυνος Προστασίας Δεδομένων, που διασφαλίζεται με σημαντικές εγγυήσεις ανεξαρτησίας από τον GDPR.

3. Το κείμενο της απόφασης δεν προσεγγίζει λεπτομερώς το σύνολο των καταγγελιών του καταγγέλλοντος, υποθέτουμε λόγω του ανυπόστατου μέρους αυτών. Η υπόθεση αποτελούσε πάντως μια καλή ευκαιρία για την Αρχή να προσεγγίσει όλα τα ζητήματα που έθεσε ο καταγγέλλων, τα οποία εμφανίζονται κατ’ επανάληψη σε σχετικές υποθέσεις και αγγίζουν το εύρος των ζητημάτων που ανακύπτουν κατά την «επεισοδιακή» λήξη μιας εργασιακής σχέσης. Έτσι, θα επιτυγχανόταν η πλήρης νομολογιακή κωδικοποίησή τους. Δυστυχώς, αυτό δεν επετεύχθη.