Ενδιαφέροντα Ζητήματα Προστασίας Προσωπικών Δεδομένων

Ζητήματα Προστασίας Προσωπικών Δεδομένων από υποθέσεις της Ανεξάρτητης Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που περιλαμβάνονται στην ετήσια έκθεση πεπραγμένων έτους
2015.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα είναι συνταγματικά κατοχυρωμένη ανεξάρτητη Αρχή και έχει ως αποστολή της την εποπτεία της εφαρμογής του Ν. 2472/1997 και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και την ενάσκηση των αρμοδιοτήτων που της ανατίθενται κάθε φορά. Εξυπηρετείται από δική της Γραμματεία που λειτουργεί σε επίπεδο Διεύθυνσης και έχει δικό της προϋπολογισμό.
Η Ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα , συμπλήρωσε 17 χρόνια λειτουργίας από την ίδρυσή της , με τον Ν. 2472/1997, ο οποίος εκδόθηκε για τη μεταφορά στο ελληνικό δίκαιο της Οδηγίας 95/46/ΕΚ.
Στο διάστημα αυτό της λειτουργίας της η Αρχή, χάρη στην προσπάθεια και την αφοσίωση στο καθήκον των μελών και του προσωπικού της, εδραιώθηκε στη συνείδηση των Ελλήνων πολιτών ως πραγματικός φορέας προστασίας των προσωπικών δεδομένων τους, όπως ακριβώς θέλησε ο ενωσιακός νομοθέτης με την Οδηγία 95/46/ΕΚ και κυρίως ο Έλληνας νομοθέτης, ο οποίος ανήγαγε σε συνταγματικό επίπεδο την προστασία των προσωπικών δεδομένων των Ελλήνων πολιτών (άρθρο 9Α Συντ.) και εξασφάλισε ειδική μεταχείριση και αυξημένες εγγυήσεις στα μέλη και το προσωπικό της Αρχής (άρθρο 101 Συντ., Ν. 3051/2002 όπως ισχύει).

ΣΤΑΤΙΣΤΙΚΑ ΣΤΟΙΧΕΙΑ
Το 2015, το σύνολο των διεκπεραιωμένων υποθέσεων προσφυγών/καταγγελιών, ερωτημάτων και γνωστοποιήσεων αρχείων και επεξεργασιών ανήλθε σε 2.849, εμφανίζοντας μεν μικρή μείωση 5,5% σε σύγκριση με τον αντίστοιχο αριθμό του 2014, παραμένοντας όμως σημαντικά αυξημένο σε σύγκριση με προηγούμενα έτη, κατά περίπου 14% σε σύγκριση με το έτος 2013 και 30% σε σύγκριση με το έτος 2012. Σε 138 περιπτώσεις η εξέταση των υποθέσεων ολοκληρώθηκε με την έκδοση απόφασης από την Ολομέλεια ή το Τμήμα. Επίσης, το 2015, η Αρχή εξέδωσε 7 γνωμοδοτήσεις.
Ειδικότερα, η Αρχή εξέτασε 452 προσφυγές/καταγγελίες και 1.194 ερωτήματα υπευθύνων επεξεργασίας ή πολιτών σχετικά με τη νομιμότητα συγκεκριμένης επεξεργασίας ή τον τρόπο εφαρμογής της σχετικής νομοθεσίας. Ερεύνησε 1.203 υποθέσεις γνωστοποιήσεων αρχείων και επεξεργασιών, από τις οποίες οι 753 αφορούσαν στην εγκατάσταση και λειτουργία κλειστών κυκλωμάτων τηλεόρασης και οι 450 σε τήρηση αρχείων ή επεξεργασία προσωπικών δεδομένων. Αξιοσημείωτη είναι η αύξηση των γνωστοποιήσεων συστημάτων βιντεοεπιτήρησης, η οποία ανήλθε σε περίπου 65% σε σύγκριση με το 2014. Επίσης, το 2015, η Αρχή χορήγησε ή ανανέωσε 193 άδειες τήρησης αρχείων ευαίσθητων δεδομένων, 1 άδεια διασύνδεσης αρχείων και 2 άδειες διαβίβασης δεδομένων σε χώρες εκτός ΕΕ. Στις ανωτέρω διεκπεραιωθείσες υποθέσεις περιλαμβάνονται και 32 υποθέσεις πρόσβασης και αντίρρησης σχετικά με το Σύστημα Πληροφοριών Σένγκεν.

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΔΗΜΟΣΙΑΣ ΤΑΞΗΣ

Η Αρχή κλήθηκε να εξετάσει τις αντιρρήσεις που υπέβαλε ενώπιον της αστυνομικός εν αποστρατεία δια μέσου της Διεύθυνσης Αστυνομικού Προσωπικού του Αρχηγείου της Ελληνικής Αστυνομίας. Ειδικότερα, εξέτασε το αίτημα υποκειμένου των δεδομένων αναφορικά με την άσκηση του δικαιώματος αντίρρησης κατά το άρ. 13 του Ν. 2472/1997 και σχετικά με τη μη χορήγηση σε αιτούσα τρίτη αντιγράφων των σχετικών εγγράφων από τον πειθαρχικό φάκελο του ιδίου, εν διαστάσει συζύγου της, αστυνομικού. Τα στοιχεία αυτά ζητούσε η αιτούσα προκειμένου να τα χρησιμοποιήσει για δικαστική χρήση, σε υπόθεση μεταξύ τους αντιδικίας (ασφαλιστικά μέτρα προσωρινής επιμέλειας τέκνου). Η Αρχή, αρχικά, ερμήνευσε συνδυαστικά τόσο τον νόμο για την προστασία των προσωπικών δεδομένων όσο και το σχετικό Π.δ. 22/1996 (Πειθαρχικό Δίκαιο Αστυνομικού Προσωπικού). Στη συγκεκριμένη υπόθεση δεν κατέστη φανερό το αντικείμενο της ποινικής δίκης, καθώς και η σχέση της και ως εκ τούτου και η συνάφεια με τον πειθαρχικό φάκελο του υποκειμένου των δεδομένων. Εξάλλου, η Αρχή υπενθύμισε ότι με σειρά αποφάσεων της έχει κρίνει ότι δεν επιλαμβάνεται σχετικά με τη νομιμότητα της συλλογής και χρήσης προσωπικών δεδομένων, όταν εκκρεμεί δίκη ή διενεργείται προανάκριση ή ανάκριση. Αρμόδιος να κρίνει, στο πλαίσιο της αξιολόγησης των αποδεικτικών μέσων ή του ανακριτικού υλικού, αν η συλλογή και χρήση των δεδομένων είναι σύμφωνη με τις διατάξεις του Ν. 2472/1997, δεδομένου μάλιστα ότι το δικαίωμα προστασίας προσωπικών δεδομένων του ατόμου κατοχυρώνεται πλέον συνταγματικά στο άρθρο 9Α του Συντάγματος, είναι ο δικαστικός ή εισαγγελικός λειτουργός, ενώπιον του οποίου εκκρεμεί η υπόθεση. Για το λόγο αυτό έκανε δεκτές τις αντιρρήσεις του υποκειμένου των δεδομένων (απόφαση 11/2015).

Σε παρόμοια υπόθεση χορήγησης αντιγράφου του πορίσματος διενεργηθείσας Προκαταρκτικής Διοικητικής Εξέτασης (ΠΔΕ), σε βάρος αστυνομικών, η Αστυνομική Διεύθυνση ΒΑ Αττικής υπέβαλε στην Αρχή αίτημα παροχής γνωμοδότησης σχετικά με το εάν δύναται να χορηγήσει στον αιτούντα τρίτο, ο οποίος ήταν και ο καταγγέλλων, υπηρεσιακές παραλείψεις των εν λόγω αστυνομικών, το πόρισμα που εξεδόθη για τη διενεργηθείσα αυτή ΠΔΕ σύμφωνα με τις διατάξεις του άρθρου 24 παρ. 1 εδ. α' του Π.δ. 120/2008 και κατόπιν της δικής του καταγγελίας. Η Αρχή παρατήρησε ότι ενώ η αρμόδια αστυνομική υπηρεσία ενημέρωσε τα υποκείμενα των δεδομένων για το υποβληθέν αίτημα, καλώντας τους να ασκήσουν αντιρρήσεις εάν το επιθυμούν, αντί να εξετάσει την υπόθεση και να αποφασίσει επί των αντιρρήσεων, απηύθυνε αίτημα στην Αρχή. Ενόψει των παραπάνω, και καθώς ο αιτών ζητούσε το αντίγραφο του πορίσματος ως καταγγέλλων που δικαιούται πρόσβαση στο πόρισμα αυτό, χωρίς να είναι αναγκαία και απαραίτητη η επίκληση εννόμου συμφέροντος του, η Αρχή επισήμανε ότι η Αστυνομία οφείλει να ακολουθεί την προβλεπόμενη στο άρθρο 13 παρ. 1 και 2 του Ν. 2472/1997 διαδικασία, ήτοι να εξετάζει τις έγγραφες αντιρρήσεις του υποκειμένου των δεδομένων εντός της προβλεπόμενης αποκλειστικής προθεσμίας των δεκαπέντε (15) ημερών και μόνον εάν δεν ικανοποιηθεί το υποκείμενο και προσφύγει στην Αρχή ή εάν τα αιτούμενα στοιχεία περιέχουν ευαίσθητα δεδομένα, τότε θα απευθύνεται το αίτημα στην Αρχή προς κρίση. Εν τούτοις, για λόγους οικονομίας της όλης διαδικασίας και χρηστής διοίκησης, η Αρχή εξέτασε τις αντιρρήσειςπροσφυγές των αστυνομικών και τις απέρριψε ως αβάσιμες για τον λόγο ότι ο αιτών το πόρισμα είναι και ο καταγγέλλων παραπτώματα αστυνομικών (απόφαση 79/2015).

Η Αρχή εξέτασε προσφυγή ανθυπαστυνόμου κατά της Ελληνικής Αστυνομίας για παράνομη επεξεργασία δεδομένων που αφορούν στη συνδικαλιστική της ιδιότητα. Συγκεκριμένα, η προσφεύγουσα διαμαρτύρεται γιατί περιλήφθηκε, δίχως την προηγούμενη άδεια της Αρχής και ενημέρωση της ιδίας, σε φάκελο διενεργηθείσας ΕΔΕ, αρχείο οπτικοακουστικού υλικού που εικονίζει το πρόσωπο της ως μέλους συνδικαλιστικού οργάνου αστυνομικών κατά τη διάρκεια μεταγωγής αλλοδαπών σε κέντρο φιλοξενίας. Η Αρχή δέχθηκε ότι η συλλογή και χρήση οπτικοακουστικού υλικού, που εικονίζει πρόσωπα, συνιστά επεξεργασία προσωπικών δεδομένων, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 2 στοιχ. δ' του Ν. 2472/1997. Μάλιστα, όταν τα πρόσωπα αυτά φέρονται με την ιδιότητα του μέλους συνδικαλιστικής οργάνωσης, τότε πρόκειται για επεξεργασία ευαίσθητων προσωπικών δεδομένων, σύμφωνα με το άρθρο 2 στοιχ. β' του Ν. 2472/1997. Στην προκειμένη περίπτωση, η υπό εξέταση συλλογή και χρήση του ευαίσθητου δεδομένου της συνδικαλιστικής ιδιότητας έγινε από τα καθ' ύλην και σύμφωνα με το νόμο αρμόδια να κινήσουν την πειθαρχική διαδικασία όργανα της Ελληνικής Αστυνομίας σε βάρος της προσφεύγουσας ανθυπαστυνόμου. Για τη συγκεκριμένη δε επεξεργασία, δεν απαιτείτο η προηγούμενη συγκατάθεση του υποκειμένου των δεδομένων και η λήψη άδειας της Αρχής, καθώς η διερεύνηση της διάπραξης τυχόν πειθαρχικών παραπτωμάτων αστυνομικών υπαλλήλων συνδέεται με την παροχή υπηρεσιών στον δημόσιο τομέα. Περαιτέρω, η Αρχή απέρριψε τους ισχυρισμούς της προσφεύγουσας σχετικά με τη μη τήρηση της υποχρέωσης της προηγούμενης ενημέρωσης και μη χορήγησης δικαιώματος πρόσβασης ως αβάσιμους, καθώς στο πλαίσιο της ΕΔΕ αστυνομικών υπαλλήλων, που διέπεται από την αρχή της μυστικότητας, τα ως άνω δικαιώματα και υποχρεώσεις υλοποιούνται με βάση τις ειδικές διατάξεις του Π.δ. 120/2008, οι οποίες προβλέπουν την ενημέρωση του υποκειμένου και την άσκηση του δικαιώματος πρόσβασης με την κλήση του προς απολογία, στάδιο στο οποίο χορηγείται πρόσβαση στα στοιχεία του πειθαρχικού φακέλου, ενημερώνεται το υποκείμενο των δεδομένωναστυνομικός και λαμβάνει γνώση και των προσωπικών δεδομένων τα οποία τον αφορούν και, ενδεχομένως, πρόκειται να αξιολογηθούν από το Πειθαρχικό Συμβούλιο (απόφαση 50/2015).

Αναγραφή επωνύμου κατά παρέκκλιση από το πρότυπο ΕΛΟΤ 743
Η Αρχή εξέτασε, επίσης, προσφυγή για αναγραφή επωνύμου σε διαβατήριο κατά παρέκκλιση του προτύπου ΕΛΟΤ 743. Σχετικώς έκρινε ότι το επώνυμο της προσφεύγουσας στο υπό έκδοση διαβατήριο σε λατινικούς χαρακτήρες πρέπει να αναγραφεί, κατά παρέκκλιση από το πρότυπο ΕΛΟΤ 743, σύμφωνα με την γνωμοδότηση 1/2013 της Αρχής, επειδή α) με τον τρόπο αυτό το επώνυμο αναγραφόταν και σε άλλα μέλη της οικογένειας της, β) με τον τρόπο αυτό είχε αναγραφεί σε προγενέστερα διαβατήρια της ημεδαπής και αλλοδαπής, γ) με το επώνυμο αυτό η οικογένεια της είχε καθιερώσει επαγγελματικές και εμπορικές σχέσεις με το εξωτερικό για ιδιαίτερα μεγάλο χρονικό διάστημα, οπότε η διπλή αναγραφή ενδέχεται να δημιουργήσει πρόβλημα διαφορετικής ηχητικής απόδοσης, αλλά και ταυτοπροσωπίας, στις επαγγελματικές και εμπορικές υποχρεώσεις της, δ) η διπλή αναγραφή θα δημιουργούσε προβλήματα στην εξακρίβωση της ταυτότητας του υιού της και της οικογένειας της στην αλλοδαπή, και ε) η Αρχή είχε ήδη αποφανθεί στην περίπτωση του εγγονού της με προγενέστερη απόφαση της. Ωστόσο, απέρριψε το αίτημα της προσφεύγουσας ως προς το σκέλος που αφορά την αλλαγή του ονόματος της, διότι δεν προέκυψε τέτοιο υποβληθέν αίτημα από τις αναφορές της προς τη Δ/νση Διαβατηρίων και Εγγράφων Ασφαλείας και τον Προϊστάμενο του Κλάδου Ασφαλείας του Αρχηγείου Ελληνικής Αστυνομίας (απόφαση 22/2015).

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΕΘΝΙΚΗΣ ΑΜΥΝΑΣ
Η Στρατολογική Υπηρεσία Πειραιά διαβίβασε στην Αρχή αίτηση της Γενικής Γραμματείας Αθλητισμού ζητώντας τη χορήγηση αδείας για την παροχή ευαίσθητων προσωπικών δεδομένων τρίτου. Η ΓΓΑ είχε αιτηθεί τη διαβίβαση πιστοποιητικού υγείας, προκειμένου να διερευνηθεί ανώνυμη καταγγελία για υποψήφιο προπονητή καράτε, σύμφωνα με την οποία απαλλάχθηκε από τις στρατιωτικές του υποχρεώσεις για λόγους υγείας. Η Αρχή χορήγησε άδεια στη Στρατολογική Υπηρεσία Πειραιά για τη διαβίβαση τυχόν γνωμάτευσης της Επιτροπής Απαλλαγών των Ενόπλων Δυνάμεων στη Γενική Γραμματεία Αθλητισμού στο πλαίσιο ελέγχου, από την τελευταία, καταγγελίας για υποψήφιο προπονητή καράτε. Η Αρχή έκρινε ότι η χορήγηση ευαίσθητων δεδομένων είναι κατάλληλο και αναγκαίο μέτρο για λόγους προστασίας της δημόσιας υγείας, δεδομένου ότι ο επιτυχών στη διαδικασία επιλογής προπονητών καράτε, εκτός των άλλων, θα προπονεί και ανηλίκους. Εναπόκειται δε στη ΓΓΑ να διαπιστώσει εκ νέου, στο πλαίσιο των αρμοδιοτήτων της, αν το υποκείμενο των δεδομένων εμφανίζει πάθηση η οποία κωλύει την επιλογή του ως προπονητή καράτε (απόφαση 32/2015).

Η Αρχή αρνήθηκε την παροχή και έκδοση άδειας για χορήγηση δεδομένων υγείας από το Γενικό Επιτελείο Στρατού σε τρίτο για δικαστική χρήση που ζητούσε να λάβει αντίγραφα ιατρικών εγγράφων πρώην φοιτητή της ΣΣΑΣ, ο οποίος είχε αποπεμφθεί από τη ΣΣΑΣ. Τα στοιχεία αυτά ζητούσε η αιτούσα προς αντίκρουση αγωγής για την οριστική ανάθεση της επιμέλειας των ανήλικων τέκνων, που είχε ασκηθεί από τον εν διαστάσει σύζυγο της ενώπιον δικαστηρίου, καθώς και για την υποστήριξη της αγωγής που επρόκειτο να καταθέσει η ίδια εναντίον του για το ίδιο θέμα. Η αιτούσα ήθελε να ισχυριστεί και να αποδείξει ενώπιον του αρμοδίου δικαστηρίου ότι, λόγω της κατάστασης της υγείας του εν διαστάσει συζύγου της (εύθραυστη ή διαταραγμένη ψυχική και πνευματική κατάσταση) εξαιτίας της οποίας διεκόπη προώρως η φοίτηση του κατά τους ισχυρισμούς τηςστην ΣΣΑΣ, δεν είναι κατάλληλος να αναλάβει την επιμέλεια των δύο ανήλικων τέκνων τους. Η Αρχή, ωστόσο, έκρινε ότι η χορήγηση των αιτούμενων πληροφοριών παραβιάζει την αρχή της αναλογικότητας των δεδομένων, σύμφωνα μετά οριζόμενα στη διάταξη του άρθρου
4παρ. 1 στοιχ. β' του Ν. 2472/1997. Οι συγκεκριμένες πληροφορίες, λόγω της παρέλευσης μεγάλου χρονικού διαστήματος από την απομάκρυνση του πρώην συζύγου της αιτούσης από την ΣΣΑΣ, εξαιτίας της επικαλούμενης ψυχικής νόσου, έχουν καταστεί πλέον απρόσφορες για την τεκμηρίωση των ισχυρισμών της για την ένδικη υπόθεση, στην οποία κρίσιμο στοιχείο αποτελεί η ενεστώσα ψυχική κατάσταση του εν λόγω και όχι εκείνη που ανάγεται (απόφαση 57/2015).

Έλεγχος του εθνικού τμήματος του Πληροφοριακού Συστήματος Σένγκεν
Η Συμφωνία Σένγκεν του 1985 και η Σύμβαση Εφαρμογής της Συμφωνίας Σένγκεν (στο εξής και ΣΕΣΣ), η οποία τέθηκε σε εφαρμογή το 1995, οδήγησαν στην κατάργηση των ελέγχων στα εσωτερικά σύνορα των κρατών που την είχαν υπογράψει, καθώς και στη δημιουργία ενιαίων εξωτερικών συνόρων, στα οποία οι έλεγχοι εισόδου στο «χώρο Σένγκεν» πραγματοποιούνται με βάση τις ίδιες διαδικασίες. Με την ίδια Σύμβαση καθιερώθηκαν κοινοί κανόνες για την έκδοση θεωρήσεων, την παροχή ασύλου και τον έλεγχο στα εξωτερικά σύνορα, ώστε να είναι εφικτή η ελεύθερη κυκλοφορία των προσώπων στο εσωτερικό του «χώρου Σένγκεν» χωρίς παράλληλα να διαταράσσεται η δημόσια ασφάλεια.
Το σημαντικότερο από τα αποκαλούμενα «αντισταθμιστικά» μέτρα στην ελεύθερη κυκλοφορία των προσώπων αποτελεί η δημιουργία και λειτουργία ενός κοινού συστήματος πληροφοριών, του Συστήματος Πληροφοριών Σένγκεν (Schengen Information System SIS, στο εξής και ΣΠΣ), το οποίο δημιουργήθηκε στο πλαίσιο της βελτίωσης της συνεργασίας μεταξύ των αστυνομικών και δικαστικών αρχών. Το ΣΠΣ είναι μια βάση δεδομένων που επιτρέπει στις αρμόδιες αρχές των κρατών Σένγκεν την ανταλλαγή δεδομένων αναφορικά με ορισμένες κατηγορίες προσώπων και πραγμάτων. Ειδικότερα, στο ΣΠΣ καταχωρούνται πληροφορίες σχετικά με πρόσωπα που καταζητούνται από τις δικαστικές αρχές, με ανεπιθύμητους αλλοδαπούς, με πρόσωπα που έχουν εξαφανισθεί, καθώς και με πρόσωπα τα οποία τίθενται υπό διακριτική παρακολούθηση. Στις 9 Απριλίου 2013 τέθηκε σε λειτουργία το Σύστημα Πληροφοριών Σένγκεν δεύτερης γενιάς (SIS II), το οποίο χαρακτηρίζεται από βελτιωμένες λειτουργίες, όπως από τη δυνατότητα χρήσης βιομετρικών δεδομένων, τη δυνατότητα δημιουργίας νέου τύπου καταχωρίσεων, καθώς και τη δυνατότητα σύνδεσης διαφόρων καταχωρίσεων μεταξύ τους (όπως για παράδειγμα τη σύνδεση μιας καταχώρισης για ένα πρόσωπο με την καταχώριση για ένα όχημα). Ο Κανονισμός 1987/2006 (SIS II) συνιστά την αναγκαία νομοθετική βάση, η οποία διέπει τη λειτουργία του ΣΠΣ δεύτερης γενιάς όσον αφορά τις διαδικασίες καταχωρίσεων που εμπίπτουν στο πεδίο εφαρμογής του τίτλου IV της Συνθήκης περί ιδρύσεως της Ευρωπαϊκής Κοινότητας, δηλαδή αναφορικά με τις καταχωρίσεις που εμπίπτουν στον πρώην πρώτο πυλώνα. Ο εν λόγω Κανονισμός συμπληρώνεται από την Απόφαση 2007/533/ΔΕΥ του Συμβουλίου, η οποία ρυθμίζει τις διαδικασίες καταχωρίσεων που εμπίπτουν στον πρώην τρίτο πυλώνα, στο πεδίο εφαρμογής δηλαδή του τίτλου IV της Συνθήκης για την Ευρωπαϊκή Ένωση, και η οποία περιλαμβάνει διατάξεις όμοιες με εκείνες του Κανονισμού.
Ως εγγύηση των δικαιωμάτων των πολιτών, και ειδικότερα αυτού της προστασίας των προσωπικών δεδομένων, τα δύο ανωτέρω κείμενα (Κανονισμός και Απόφαση) προβλέπουν, μεταξύ άλλων, τη λειτουργία μιας ανεξάρτητης Αρχής Ελέγχου σε κάθε συμβαλλόμενο κράτος, η οποία είναι αρμόδια να εξετάζει αν από την επεξεργασία θίγονται τα δικαιώματα των ενδιαφερομένων προσώπων (άρθρο 44 του Κανονισμού 1987/2006 και άρθρο 60 της απόφασης 2007/533/ΔΕΥ). Στην Ελλάδα η αρμοδιότητα αυτή έχει ανατεθεί με το άρθρο 19 παρ. 1 στοιχ. ιε' του Ν. 2472/1997 στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Παράλληλα, με βάση τη νομοθεσία για την είσοδο και διαμονή αλλοδαπών στην Ελλάδα (άρθρο 82 του Ν. 3386/2005), τηρείται και ο Εθνικός Κατάλογος Ανεπιθύμητων Αλλοδαπών (στο εξής και ΕΚΑΝΑ). Τα κριτήρια και η διαδικασία εγγραφής και διαγραφής αλλοδαπών από τον κατάλογο αυτό καθορίζονται με την υπ' αριθμ. 4000/4/32λα'/5.10.2012 (ΦΕΚ Β 2805/17.10.2012) απόφαση των Υπουργών Εξωτερικών, Εθνικής Άμυνας, Εσωτερικών, Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων και Δημοσίας Τάξης και Προστασίας του Πολίτη. Η Αρχή είναι αρμόδια να ελέγχει (στο πλαίσιο εξέτασης των αντιρρήσεων των υποκειμένων των δεδομένων άρθρο 13 του Ν. 2472/1997) και τη νομιμότητα των καταχωρίσεων στον ΕΚΑΝΑ.
Στην Αρχή υποβάλλεται κάθε έτος ένας ικανός αριθμός αιτήσεων αλλοδαπών, οι οποίοι αιτούνται τη διαγραφή τους από το Σύστημα Πληροφοριών Σένγκεν και από τον ΕΚΑΝΑ (98 αιτήσεις το 2006, 84 το 2007, 79 το 2008, 90 το 2009, 83 το 2010, 81 το 2011, 48 το 2012, 20 το 2013, 24 το 2014 και 25 το 2015). Αντικείμενο όλων των αιτήσεων αποτελεί η διαγραφή καταχωρίσεων βάσει του άρθρου 96 της ΣΕΣΣ (νυν άρθρο 24 του Κανονισμού 1987/2006). Για το λόγο αυτό η Αρχή εξέδωσε τη γνωμοδότηση 3/2012, η οποία ερμηνεύοντας τις σχετικές διατάξεις κατέληξε σε μια σειρά συμπερασμάτων (βλ. Ετήσια Έκθεση 2012, ενότητα 3.1.1).
Το έτος 2015, η Αρχή, εφαρμόζοντας τα πορίσματα της γνωμοδότησης 3/2012, με τις αποφάσεις 83/2015, 116/2015, 117/2015 και 120/2015 διαπίστωσε την αυτοδίκαιη διαγραφή των εν λόγω καταχωρίσεων του άρ.
24 του Κανονισμού 1987/2006 από το ΣΠΣ καλώντας τον υπεύθυνο επεξεργασίας να ενημερώσει εγγράφως την Αρχή και το υποκείμενο των δεδομένων σχετικά με τις ενέργειες του για την εκτέλεση των αποφάσεων της εντός 15 ημερών από τη λήψη τους. Συγκεκριμένα, έκρινε ότι οι εν λόγω καταχωρίσεις στο ΣΠΣ υφίσταντο κατά παράβαση των διατάξεων των παρ. 2, 4 και 5 του άρ. 29 του Κανονισμού 1987/2006, όπου σαφώς ορίζεται ότι το κράτος μέλος που εισάγει μια καταχώριση οφείλει να επανεξετάσει εντός τριετίας από την εισαγωγή της την ανάγκη διατήρησης της και να αποφασίσει, κατόπιν καταγεγραμμένης συνολικής και εξατομικευμένης αξιολόγησης, την ανάγκη διατήρησης της, αντιθέτως, η καταχώριση διαγράφεται αυτομάτως. Εν τούτοις, η Διεύθυνση Αλλοδαπών δεν είχε προβεί στην έκδοση αιτιολογημένης πράξης διατήρησης της καταχώρισης ως όφειλε και ούτε είχε προβεί σε διαγραφή των προσφευγόντων από το Σύστημα Πληροφοριών Σένγκεν (SIS II) την ημερομηνία κατά την οποία έληγε η τριετία από την καταχώριση και θα επερχόταν αυτοδίκαιη διαγραφή της, σύμφωνα με τις προαναφερόμενες διατάξεις. Ωστόσο, η Αρχή απέρριψε τις προσφυγές των υποκειμένων, κατά το μέρος που αφορούσαν στη διαγραφή τους από τον ΕΚΑΝΑ επειδή, σύμφωνα με την αποκλειστική απαρίθμηση των λόγων για τους οποίους επέρχεται αυτοδίκαιη διαγραφή των δεδομένων από τον ΕΚΑΝΑ, όπως ορίζονται στη σχετική ισχύουσα κοινή υπουργική απόφαση, συνάγεται το συμπέρασμα ότι η μη τήρηση της υποχρέωσης για την αυτοδίκαιη επανεξέταση της καταχώρισης ανά τριετία δεν συνεπάγεται τη διαγραφή της από τον εν λόγω κατάλογο. Συνεπώς, η μεταχρονολογημένη επανεξέταση της καταχώρισης και λήψη απόφασης διατήρησης της δεν επιφέρει την ίδια με το ΣΠΣ (SIS II) έννομη συνέπεια της αυτοδίκαιης διαγραφής (αποφάσεις 116/2015 και 120/2015). Ειδικότερα και αναφορικά με την περίπτωση δικαστικής απέλασης, η Αρχή επισήμανε ότι ο απελαθείς αλλοδαπός έχει δικαίωμα με βάση τις ειδικότερες διατάξεις της παρ. 3 του άρ. 74 του Ποινικού Κώδικα, όπως αντικαταστάθηκαν με το άρ. 4 του Ν. 4322/2015, να αιτηθεί από το Συμβούλιο Πλημμελειοδικών του τόπου του δικαστηρίου που επέβαλε την απέλαση την επιστροφή του στη χώρα, αφού περάσει μία τριετία από την εκτέλεση της απέλασης. Μόνον η αποδοχή ενός τέτοιου αιτήματος μπορεί να θεμελιώσει τη διαγραφή αλλοδαπού από τον ΕΚΑΝΑ, αίτημα όμως που δεν υφίστατο (απόφαση 117/2015).
Σε παρόμοιες προσφυγές αλλοδαπών με αίτημα διαγραφής από το ΣΠΣ και τον ΕΚΑΝΑ, αναφορικά και πάλι με καταχωρίσεις του άρ. 24 του Κανονισμού 1987/2006 για λόγους δημόσιας τάξης και ασφάλειας, και συγκεκριμένα διότι διέπραξαν σοβαρή αξιόποινη πράξη και ειδικότερα αυτή της κατοχής και χρήσης πλαστών εγγράφων, η Αρχή διαπίστωσε την αυτοδίκαιη διαγραφή τους, καθώς δεν προέκυπτε η εντός τριετίας από την έκδοση της απόφασης καταχώρισης έκδοση αιτιολογημένης απόφασης περί διατήρησης ή μη της καταχώρισης. Όσον αφορά το αίτημα διαγραφής από τον ΕΚΑΝΑ, επειδή δεν είχαν διαβιβαστεί στην Αρχή πράξεις που να εκφέρουν ρητώς κρίση για την καταχώριση στον ΕΚΑΝΑ και την ανάγκη διατηρήσεως αυτής, η Αρχή κάλεσε τον υπεύθυνο επεξεργασίας (Διεύθυνση Αλλοδαπών της ΕΛΑΣ) να παράσχει τις απαραίτητες για τη διατήρηση της καταχωρίσεως στον ΕΚΑΝΑ πληροφορίες και, συνεπώς, ανέβαλε τη λήψη αποφάσεως επί της αιτήσεως διαγραφής από τον ΕΚΑΝΑ, έως ότου λάβει τα απαραίτητα στοιχεία (αποφάσεις 111/2015, 112/2015, 123/2015 και 137/2015).
Αντίθετα, η Αρχή με σειρά αποφάσεων απέρριψε προσφυγές αλλοδαπών για τη διαγραφή τους από το ΣΠΣ και τον ΕΚΑΝΑ, καθώς έκρινε ότι η καταχώριση των προσφευγόντων είναι νόμιμη, λόγω του ότι σε βάρος τους υπάρχουν σημαντικές ενδείξεις ότι διέπραξαν σοβαρή αξιόποινη πράξη και, συγκεκριμένα, αυτή της πλαστογραφίας (αποφάσεις 81/2015 και 84/2015) και λόγω του ότι αλλοδαπός έχει παραβιάσει τις διατάξεις του Ν. 3386/2005 περί νόμιμης εισόδου στη χώρα, επιχειρώντας να εισέλθει παράνομα σε αυτή, χωρίς νομιμοποιητικά έγγραφα (απόφαση 127/2015). Επίσης, η Αρχή, σε απόφαση της περί απόρριψης προσφυγής διαγραφής αλλοδαπού από το ΣΠΣ και τον ΕΚΑΝΑ για τους ως άνω αναφερόμενους λόγους της χρήσης πλαστών εγγράφων, επισήμανε ότι η καταχώριση του προσφεύγοντος είναι νόμιμη, καθώς η υπόθεση για χρήση πλαστών πιστοποιητικών τέθηκε στο αρχείο κατόπιν εισαγγελικής πράξης με βάση το άρ. 8 παρ. α, β του Ν. 4198/2013, ωστόσο αυτό δεν ακυρώνει την αρχική καταδικαστική ούτε συνεπάγεται ότι η σοβαρή αξιόποινη πράξη δεν έλαβε χώρα, στοιχείο που αποτελεί λόγο διατήρησης της εγγραφής. Επιπλέον, η Αρχή τόνισε ότι δεν αποτελεί κριτήριο για την εγγραφή στο ΣΠΣ και τον ΕΚΑΝΑ μόνον το πλαίσιο της στερητικής της ελευθερίας ποινής, αλλά και το προστατευόμενο κάθε φορά έννομο αγαθό και η απαξία της τελεσθείσας πράξης, υπενθυμίζοντας ότι το αδίκημα της πλαστογραφίας αποτελεί σοβαρή αξιόποινη πράξη, σύμφωνα με πάγια νομολογία της Αρχής (απόφαση 121/2015).
Εξάλλου, η Αρχή απέρριψε προσφυγή αλλοδαπών για αναστολή απαγόρευσης εισόδου τους στην Ελλάδα λόγω αναρμοδιότητας και για διαγραφή των δεδομένων τους από τον ΕΚΑΝΑ ως αβάσιμη. Συγκεκριμένα, η Αρχή έκρινε ότι η καταχώριση για λόγους δημόσιας τάξης και ασφάλειας είναι νόμιμη, ενόψει και του γεγονότος ότι ασκήθηκε σε βάρος τους ποινική δίωξη, καθώς υπήρχαν σοβαρές ενδείξεις για την τέλεση του ποινικού αδικήματος της διευκόλυνσης της μεταφοράς πολιτών τρίτων χωρών που δεν είχαν δικαίωμα εισόδου στο ελληνικό έδαφος, από κερδοσκοπία, η τέλεση του οποίου, τιμωρείται σε βαθμό κακουργήματος. Η Αρχή δεν αποδέχθηκε τους ισχυρισμούς των προσφευγόντων ότι η επιβολή περιοριστικών όρων αντί της προσωρινής κράτησης καταδεικνύουν ότι δεν συντρέχουν στην περίπτωση τους λόγοι δημόσιας τάξης και ασφάλειας που να δικαιολογούν την καταχώριση τους στον ΕΚΑΝΑ. Τουναντίον, η Αρχή σημείωσε ότι η επιβολή περιοριστικών όρων, όπως είναι η εγγυοδοσία, προϋποθέτει την ύπαρξη σοβαρών ενδείξεων ενοχής του κατηγορουμένου και έκτου ότι δεν επιβλήθηκε σε βάρος τους προσωρινή κράτηση, αλλά μόνον ο περιοριστικός όρος της εγγυοδοσίας δεν συνάγεται αποδυνάμωση των σε βάρος τους σοβαρών ενδείξεων ενοχής. Κατά συνέπεια, έκρινε την καταχώριση στον ΕΚΑΝΑ νόμιμη, αφού αποδίδεται η τέλεση αξιόποινης πράξης κατά της οποίας απειλείται ποινή καθείρξεως τουλάχιστον δέκα ετών, σε κάθε δε περίπτωση τυγχάνει σοβαρή αξιόποινη πράξη, κατά την πάγια νομολογία της Αρχής, καθιστώντας την παρουσία των προσφευγόντων στην ελληνική επικράτεια απειλή κατά της δημόσιας ασφάλειας και τάξης (αποφάσεις 131/2015 και 132/2015).
Τέλος, σε μία περίπτωση προσφυγής αλλοδαπού, η Αρχή διαπιστώνοντας ότι δεν υφίσταται πλέον καταχώριση στο ΣΠΣ, καθώς είχε ήδη τελεσθεί διαγραφή από το ΣΠΣ με απόφαση του Διευθυντή της Δ/νσης Αλλοδαπών, δεδομένου ότι είχε εκδοθεί άδεια παραμονής στον εν λόγω αλλοδαπό από έτερο κράτος μέλος ΕΕ, απέρριψε την προσφυγή κρίνοντας ότι εξέλειπε το αντικείμενο της (απόφαση 82/2015). Ομοίως, αποφάσισε και σε προσφυγή αλλοδαπού για διαγραφή από τον ΕΚΑΝΑ καθώς είχε ήδη εκδοθεί απόφαση διαγραφής της καταχώρισης από την ΕΛΑΣ, κατόπιν παρέλευσης της χρονικής περιόδου της πενταετίας που προβλέπεται στη σχετική κοινή υπουργική απόφαση, καθώς και σε προσφυγή για έκδοση προσωρινής διαταγής και διαγραφή από τον ΕΚΑΝΑ για τον λόγο ότι δεν υφίστατο σχετική καταχώριση στον ΕΚΑΝΑ, ενώ επισήμανε επιπλέον ότι ο προσφεύγων δεν είχε ασκήσει προγενέστερα το δικαίωμα αντιρρήσεων ενώπιον του υπευθύνου επεξεργασίας, σύμφωνα με το άρθρο 13 του Ν. 2472/1997 (αποφάσεις 133/2015 και 100/2015).

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΔΗΜΟΣΙΑΣ ΔΙΟΙΚΗΣΗς ΚΑΙ ΑΥΤΟΔΙΟΙΚΗΣΗΣ

Πρόσβαση σε δημόσια έγγραφα
Η Αρχή εξέτασε σειρά ζητημάτων που τέθηκαν ενώπιον της από δημόσιους φορείς αναφορικά με τη νομιμότητα χορήγησης προς τρίτο δημοσίων εγγράφων που περιέχουν προσωπικά δεδομένα.
Μία από αυτές τις υποθέσεις αφορούσε την πρόσβαση τρίτων σε ληξιαρχικές πράξεις. Συγκεκριμένα, η Αρχή έκρινε ότι ο υπεύθυνος επεξεργασίας οφείλει να ικανοποιεί το δικαίωμα πρόσβασης του Ν. 344/1976 υπό το πρίσμα της νομοθεσίας περί προστασίας προσωπικών δεδομένων, δηλαδή, όταν περιέχονται στις αιτούμενες ληξιαρχικές πράξεις ευαίσθητα προσωπικά δεδομένα, θα πρέπει να ζητείται η άδεια της Αρχής. Κατά τ' άλλα εφαρμόζεται η γνωμοδότηση 6/2013 που αναφέρεται στην πρόσβαση σε δημόσια έγγραφα (απόφαση 77/2015).

Η Αρχή, επίσης, απεφάνθη αναφορικά με την πρόσβαση τρίτων στις δημοσιευμένες διαθήκες, μετά από σχετικό ερώτημα συμβολαιογραφικού συλλόγου εάν ο εκάστοτε συμβολαιογράφος οφείλει να χορηγεί αντίγραφα των δημοσιευμένων διαθηκών χωρίς την προηγούμενη άδεια της Αρχής ακόμα και στην περίπτωση που τα τελευταία περιέχουν ευαίσθητα προσωπικά δεδομένα τρίτων. Συγκεκριμένα, η Αρχή έκρινε ότι: α) Στην περίπτωση που ο αιτών τρίτος ενδιαφέρεται για τη χορήγηση των ευαίσθητων δεδομένων που περιέχονται στις δημοσιευμένες διαθήκες, ο υπεύθυνος επεξεργασίας υποχρεούται να ζητήσει την προηγούμενη άδεια της Αρχής σύμφωνα μετά οριζόμενα στο άρθρο 7 του Ν. 2472/1997. β) Αν στα αιτηθέντα συμβολαιογραφικά έγγραφα των δημοσιευμένων διαθηκών περιέχονται απλά δεδομένα ή στην περίπτωση που ο αιτών τρίτος δεν ενδιαφέρεται για τη χορήγηση των ευαίσθητων προσωπικών δεδομένων των υποκειμένων, είναι δυνατή η χορήγηση τους με απαλοιφή των ευαίσθητων προσωπικών δεδομένων, όπου υπάρχουν, καθώς και οποιασδήποτε περαιτέρω πληροφορίας η οποία είναι ικανή να οδηγήσει έστω και σε έμμεση αποκάλυψη των δεδομένων αυτών. Συνεπώς, δεν απαιτείται η προηγούμενη άδεια της Αρχής και ο εκάστοτε συμβολαιογράφος, ως υπεύθυνος επεξεργασίας, εφαρμόζει συνδυαστικά τις διατάξεις των άρ. 5 παρ. 2 περ. β' του Ν. 2472/1997 και άρ. 13 του Ν. 2830/2000. Στην περίπτωση αυτή πρέπει να ενημερώνονται σχετικά τα υποκείμενα των δεδομένων, σύμφωνα με το άρθρο 11 παρ. 3 του Ν. 2472/1997. γ) Αν στις αιτηθείσες δημοσιευμένες διαθήκες περιλαμβάνονται πληροφορίες θανόντων, η χορήγηση τους δεν κωλύεται από τις διατάξεις του Ν. 2472/1997 καθώς ο τελευταίος αφορά στα δεδομένα φυσικών προσώπων και μόνο. Αν όμως στα ίδια έγγραφα περιέχονται επιπλέον και προσωπικά δεδομένα φυσικών προσώπων, πρέπει, κατά περίπτωση, να ακολουθηθεί μία έκτων προαναφερθεισών διαδικασιών. Και δ) ο συμβολαιογράφος απαλλάσσεται από την προηγούμενη λήψη άδειας από την Αρχή εφόσον δεσμεύεται από το απόρρητο του κλάδου των συμβολαιογράφων και η επεξεργασία σχετίζεται με παροχή υπηρεσιών προς τους πελάτες του και με τον όρο ότι τα ευαίσθητα προσωπικά δεδομένα δεν κοινοποιούνται σε τρίτους (απόφαση 119/2015).

Προϋποθέσεις νόμιμης επεξεργασίας δεδομένων από τη Δημόσια Διοίκηση
Η Αρχή, κατόπιν αιτήματος που υποβλήθηκε από δημόσιο πρόσωπο και τα συγγενικά του πρόσωπα για τη διερεύνηση της νομιμότητας επεξεργασίας προσωπικών τους δεδομένων από υπηρεσίες της πολεοδομίας και από δημοσιογράφο, επέβαλε σε υπηρεσία της πολεοδομίας την προβλεπόμενη στις διατάξεις του άρθρου 21 παρ. 1 στοιχ. α' του Ν. 2472/1997 κύρωση της προειδοποίησης α) σε περίπτωση υποβολής καταγγελίας ή αιτήσεως τρίτου για διερεύνηση αυθαίρετης κατασκευής, να μην κοινοποιεί στους καταγγέλλοντες ή αιτούντες τρίτους αυτούσιες τις εκθέσεις αυτοψίας, αλλά να τους ενημερώνει εγγράφως για την εξέλιξη της υπόθεσης (π.χ. ότι έχει ήδη διενεργηθεί σχετική αυτοψία) και για το γεγονός ότι η σχετική έκθεση μπορεί να τους χορηγηθεί κατόπιν σχετικής έγγραφης αιτήσεως τους, σε κάθε δε περίπτωση μετά την παρέλευση της προθεσμίας για την υποβολή ένστασης από τους ιδιοκτήτες των ακινήτων, καθώς και β) να ενημερώνει κάθε φορά τα υποκείμενα των δεδομένων πριν από την ανακοίνωση των προσωπικών δεδομένων τους σε τρίτους. Επίσης, επέβαλε σε δημοτική υπηρεσία δόμησης την κύρωση της προειδοποίησης να αποστέλλει εφεξής τις προσκλήσεις ενημέρωσης των ενδιαφερομένων για την εκδίκαση των ενστάσεων τους ατομικά στον κάθε ενδιαφερόμενο και όχι με μαζική αποστολή τους, καθώς η αποστολή μαζικών προσκλήσεων προς όλους τους ενδιαφερομένους για την εκδίκαση των ενστάσεων τους, με την αναγραφή του ονοματεπώνυμου τους και της ταχυδρομικής διευθύνσεως τους, υπερβαίνει τον επιδιωκόμενο σκοπό επεξεργασίας.

Επίσης, η Αρχή έκρινε ότι η ανάρτηση από δημόσια υπηρεσία στην ιστοσελίδα της του καταλόγου των υπηρετούντων σε αυτή υπαλλήλων, συμπεριλαμβανομένης της πληροφορίας αυτοδίκαιης προσωρινής αργίας υπαλλήλου της, έγινε κατά παράβαση των διατάξεων του άρθρου 4 του Ν. 2472/1997 και κάλεσε την υπηρεσία να προβεί άμεσα σε όλες τις απαραίτητες ενέργειες για την απομάκρυνση κάθε στιγμιότυπου του παλαιότερου καταλόγου των υπηρετούντων υπαλλήλων της από το διαδίκτυο, το οποίο αναφέρει τον προσφεύγοντα ως τελούντα σε αργία. Επιπλέον, η Αρχή επέβαλε στη δημόσια υπηρεσία την προβλεπόμενη στις διατάξεις του άρθρου 21 παρ. 1 στοιχ. α' του Ν. 2472/1997 κύρωση της προειδοποίησης, σε περίπτωση ανάρτησης στην ιστοσελίδα της του καταλόγου των υπηρετούντων σε αυτή υπαλλήλων, να μην αναρτά περισσότερα από όσα προσωπικά δεδομένα είναι απαραίτητα και αναγκαία για την επίτευξη του επιδιωκόμενου σκοπού της πληροφόρησης του κοινού για το οργανόγραμμα της υπηρεσίας και τα στοιχεία επικοινωνίας με τους υπηρετούντες υπαλλήλους (απόφαση 34/2015).

Ακόμη, η Αρχή χορήγησε στις αρμόδιες υπηρεσίες του Υπουργείου Οικονομικών άδεια προκειμένου να χορηγήσουν σε αιτούντες τρίτους επικυρωμένα αντίγραφα απόφασης ειδικής επιτροπής και γνωμάτευσης αρμόδιας υγειονομικής επιτροπής, στις οποίες αναφέρονται η πάθηση και η κατάσταση της υγείας του υποκειμένου των δεδομένων, που δικαιολόγησαν τον διορισμό του, για τον σκοπό της υπεράσπισης των δικαιωμάτων τους ενώπιον των αρμόδιων διοικητικών δικαστηρίων (απόφαση 47/2015).
Με την απόφαση 53/2015, η Αρχή έκρινε ότι είναι νόμιμη η διαβίβαση φορολογικών στοιχείων από ΔΟΥ σε ΤΕΙ αναφορικά με υπάλληλο του, στο πλαίσιο διενεργηθείσας ΕΔΕ, χωρίς τη συγκατάθεση του και χωρίς την προηγούμενη ενημέρωση του, διότι σύμφωνα με τις οικείες διατάξεις του Υπαλληλικού Κώδικα ο υπάλληλος έχει δικαίωμα πρόσβασης στα στοιχεία του πειθαρχικού φακέλου με την κλήση του προς απολογία, οπότε ενημερώνεται και λαμβάνει γνώση των προσωπικών δεδομένων που τον αφορούν.

Η Αρχή δεν χορήγησε άδεια στη Διεύθυνση Ανθρωπίνου Δυναμικού και Επιμορφώσεως της Βουλής των Ελλήνων να παρέχει σε αιτούντα πρόσβαση σε δημόσια έγγραφα που περιέχουν ευαίσθητα προσωπικά δεδομένα τρίτου. Συγκεκριμένα, η Αρχή έκρινε α) ότι η χορήγηση τους δεν μπορεί να θεμελιωθεί στη βάση του άρθρου 7 παρ. 2 στοιχ. γ' του Ν. 2472/1997, και β) ότι σε περίπτωση που συντρέχουν οι προϋποθέσεις της με αριθμ. 6/2013 γνωμοδότησης της Αρχής, ο υπεύθυνος επεξεργασίας δύναται να χορηγήσει τα αιτηθέντα έγγραφα με απαλοιφή των ευαίσθητων δεδομένων των υποκειμένων (απόφαση 88/2015).

Επίσης, η Αρχή δεν εξέδωσε προς την αρμόδια διεύθυνση του Υπουργείου Εργασίας άδεια για τη διαβίβαση στην Περιφέρεια Αττικής ονομαστικού καταλόγου που περιέχει ευαίσθητα προσωπικά δεδομένα και δη δεδομένα που αφορούν στην κοινωνική πρόνοια. Ειδικότερα, κρίθηκε ότι η συλλογή από την Περιφέρεια Αττικής με διαβίβαση πληροφοριών από την αρμόδια υπηρεσία του Υπουργείου Εργασίας πληροφοριών για δικαιούχους κοινωνικού επιδόματος, για τον σκοπό της ενημέρωσης τους, προκειμένου να συμμετέχουν σε πρόγραμμα οικονομικής ενίσχυσης που τους αφορά, μπορεί να διενεργηθεί μόνο με τη συγκατάθεση καθενός από τους ενδιαφερόμενους και απευθείας από αυτούς (απόφαση 106/2015).

Περαιτέρω, η Αρχή έκρινε ότι η ανάρτηση στον διαδικτυακό τόπο των ΕΛΤΑ ΑΕ των πινάκων αποκλειομένων σε διαγωνισμό πρόσληψης υπερβαίνει τον επιδιωκόμενο σκοπό επεξεργασίας και απηύθυνε σύσταση προς τα ΕΛΤΑ ΑΕ α) η δημοσίευση των αποτελεσμάτων των διαγωνισμών στο δικτυακό του τόπο να περιορίζεται μόνο στους πίνακες επιτυχόντων και διοριστέων, και β) να αναγράφουν στους πίνακες κατάταξης των υποψηφίων σε διαγωνισμούς πρόσληψης τον ακριβή λόγο αποκλεισμού τους (απόφαση 128/2015).
Ακόμη, την Αρχή απασχόλησε το ζήτημα της δυνατότητας εγκατάστασης, στους χώρους λειτουργίας των Μηχανογραφικών Συστημάτων Θεωρητικής Εξέτασης Υποψηφίων Οδηγών, συστημάτων παρακολούθησης και καταγραφής της διαδικασίας εξέτασης, καθώς και συστημάτων φραγής τηλεφώνων ή άλλων ασύρματων συσκευών, προς τον σκοπό της αποτροπής, κατά τη διάρκεια εξέτασης των υποψηφίων οδηγών, έξωθεν παρεμβάσεων που αποσκοπούν στην υποβοήθηση ορισμένων εξεταζόμενων και, κατ' επέκταση, στην αλλοίωση του αποτελέσματος της εξέτασης. Αφού εξέτασε το ζήτημα, κατόπιν σχετικού αιτήματος από την Περιφέρεια Αττικής, παρέπεμψε σε παλαιότερη πράξη της από το 2011 (Γ/ΕΞ/42451/13072011) σύμφωνα με την οποία, η υπό κρίση επεξεργασία θα πρέπει να προβλέπεται σε νομοθετική διάταξη, η οποία θα τηρεί την αρχή της αναλογικότητας και θα αναφέρει τα βασικά χαρακτηριστικά της επεξεργασίας, συμπεριλαμβανομένων του υπευθύνου επεξεργασίας, του σκοπού, των δεδομένων τα οποία θα τύχουν επεξεργασίας, καθώς και των αποδεκτών αυτών (Γ/ΕΞ/35491/09072015).

Τέλος, η Αρχή αναφορικά με τη διαβίβαση των στοιχείων των νομίμως κυκλοφορούντων και προς ασφάλιση οχημάτων από το Κέντρο Πληροφοριών του Επικουρικού Κεφαλαίου προς τις ασφαλιστικές επιχειρήσεις προκειμένου να εξασφαλισθεί η ορθή έκδοση των ασφαλιστηρίων συμβολαίων οχημάτων και η περαιτέρω διασταύρωση τους, έκρινε ότι αυτή είναι νόμιμη υπό τους εξής όρους: α) τυχόν διαβίβαση δεδομένων θα πρέπει να περιορίζεται μόνο στα προβλεπόμενα στο νόμο στοιχεία και να πραγματοποιείται μέσω έμπιστου δικτύου ή ασφαλούς σύνδεσης με τη χρήση προσωπικών λογαριασμών εξουσιοδοτημένων χρηστών για κάθε ασφαλιστική εταιρεία, και β) να καταγράφεται μαζί με συγκεκριμένη αιτιολογία, ώστε να είναι δυνατό να ελεγχθεί κάθε μεμονωμένη ενέργεια πρόσβασης στα δεδομένα (Γ/ΕΞ/6029/19112015).

Κοινή υπουργική απόφαση σχετικά με ηλεκτρονικό σύστημα έκδοσης, διάθεσης και ελέγχου της διακίνησης των ονομαστικών/αριθμημένων εισιτηρίων σε αγώνες του επαγγελματικού αθλητισμού
Η Αρχή, κατόπιν υποβολής σχετικής γνωστοποίησης από τη Σούπερλιγκ Ελλάδος, Συνεταιρισμός Περιορισμένης Ευθύνης, έκρινε ότι προκειμένου η συλλογή προσωπικών δεδομένων των ενδιαφερόμενων φιλάθλων και η περαιτέρω επεξεργασία τους για την αντιμετώπιση της βίας στον αθλητισμό να είναι νόμιμη θα πρέπει να προβλέπεται σε διάταξη τυπικού νόμου, στην οποία θα αναφέρονται τα βασικά χαρακτηριστικά της επεξεργασίας. Εφόσον η Διοίκηση κρίνει ότι η προμήθεια της κάρτας φιλάθλου είναι υποχρεωτική για την αγορά ηλεκτρονικού εισιτηρίου θα πρέπει να προβλέπεται ρητώς στη σχετική εξουσιοδοτική διάταξη. Επιπλέον, η κεντρική βάση δεδομένων φιλάθλων πανελλήνιας εμβέλειας πρέπει να τελεί υπό την εποπτεία της κεντρικής διοίκησης και, εφόσον θεωρηθεί ότι αυτή μπορεί να λειτουργήσει από τις διοργανώτριες αρχές, θα πρέπει να προβλέπεται ρητώς η σχετική ανάθεση στην εξουσιοδοτική διάταξη. Τα προσωπικά δεδομένα των φιλάθλων της λευκής λίστας θα πρέπει να τηρούνται στο κεντρικό σύστημα ηλεκτρονικού εισιτηρίου για καθορισμένο χρονικό διάστημα. Τέλος, η Αρχή έκρινε κατά πλειοψηφία ότι η Διοίκηση θα πρέπει να εξετάσει την ανάγκη καθιέρωσης υποχρεωτικής κάρτας φιλάθλου για τον προβαλλόμενο σκοπό της ταυτοποίησης του κατόχου του εισιτηρίου με το άτομο που τελικά εισέρχεται στον αγωνιστικό χώρο (γνωμοδότηση 7/2015).

Ανάρτηση σε ιστοσελίδα επιμελητηρίου του ειδικού μητρώου των μελών του
Η Αρχή, κατόπιν αιτήματος του Υπουργείου Παραγωγικής Ανασυγκρότησης, Περιβάλλοντος και Ενέργειας για παροχή γνώμης σχετικά με τη νομιμότητα ανάρτησης στην ιστοσελίδα του Γεωτεχνικού Επιμελητηρίου Ελλάδος (ΓΕΩΤΕΕ) του ειδικού μητρώου των μελών του για λόγους δημοσίου συμφέροντος, έκρινε ότι δεν υφίστατο νομικό έρεισμα για την έκδοση του προτεινόμενου προεδρικού διατάγματος που θα προέβλεπε μεταξύ άλλων και την ανάρτηση στην ιστοσελίδα του ΓΕΩΤΕΕ του ειδικού μητρώου των μελών του, χωρίς τη συναίνεση τους. Επιπλέον, η Αρχή επισήμανε ότι σε κάθε περίπτωση, βάσει της συνταγματικής αρχής της αναλογικότητας, μια τέτοια ανάρτηση θα μπορούσε να περιλαμβάνει μόνο τα υποχρεωτικά στοιχεία ταυτότητας του μέλους. Ειδικότερα, αναφορικά με διοικητικές κυρώσεις ή πειθαρχικές ποινές και λόγω ιδίως των ιδιαίτερων κινδύνων που ενέχει το διαδίκτυο θα μπορούσε να υπάρχει απλά η ένδειξη δίπλα στα υποχρεωτικά στοιχεία του κάθε μέλους ότι το μέλος είναι ή όχι «ενεργό», μην αποκαλύπτοντας με τον τρόπο αυτό ένα επαχθές για το μέλος μέτρο, αλλά παράλληλα ενημερώνοντας τον ενδιαφερόμενο πολίτη για την επαγγελματική κατάσταση του παρόχου γεωτεχνικών υπηρεσιών. Άλλωστε, ο σκοπός της εν λόγω ανάρτησης, που δεν ήταν άλλος από την ενημέρωση των ενδιαφερόμενων πολιτών αναφορικά με την επαγγελματική κατάσταση των παροχών γεωτεχνικών υπηρεσιών, θα μπορούσε να επιτευχθεί με ηπιότερα μέσα, όπως με την πρόσβαση στο τηρούμενο ειδικό μητρώο στις εγκαταστάσεις του ΓΕΩΤΕΕ και στα κατά τόπους παραρτήματα (γνωμοδότηση 6/2015).

Παιδεία και έρευνα
Υπό τη θεματική αυτή η Αρχή εξέτασε υποθέσεις στις οποίες εμπλέκονται εκπαιδευτικά ιδρύματα καθώς και το Υπουργείο Παιδείας. Ειδικότερα, η Αρχή απέρριψε λόγω αναρμοδιότητας τις αιτήσεις πρόσβασης τρίτου στο πλαίσιο εκκρεμούς ποινικής δίκης σε ευαίσθητα, κυρίως, προσωπικά δεδομένα που τηρούν διευθύνσεις εκπαίδευσης και νηπιαγωγείο, με το σκεπτικό ότι, εφόσον τα αιτούμενα στοιχεία αποτελούν μέρος της ποινικής δικογραφίας, εφαρμόζονται οι διατάξεις του Κώδικα Ποινικής Δικονομίας, οι οποίες ως ειδικότερες κατισχύουν των διατάξεων του Ν. 2472/1997 (απόφαση 29/2015).

Επίσης, η Αρχή με την απόφαση 40/2015 έκρινε ότι πανεπιστημιακός διδάσκων, που αξιολογήθηκε αρνητικά βάσει σχολίων φοιτητών του, έχει δικαίωμα να λάβει γνώση των ανωνυμοποιημένων σχολίων των φοιτητών, τα οποία τηρούνται στο οικείο αρχείο του πανεπιστημίου, εφόσον α) ο υπηρεσιακός φάκελος εργαζομένου συνιστά αρχείο προσωπικών δεδομένων, κατά την έννοια του άρθρου 2 περ. ε' του Ν. 2472/1997 και συνεπώς ο εργαζόμενος, ως υποκείμενο των δεδομένων, απολαύει των δικαιωμάτων ενημέρωσης (άρθρο 11) και πρόσβασης (άρθρο 12) που θεσπίζει ο Ν. 2472/1997, και β) ο εργαζόμενος έχει υπέρτερο έννομο συμφέρον να λάβει γνώση και των στοιχείων τρίτων προσώπων που περιλαμβάνονται στον υπηρεσιακό του φάκελο, κατ'εφαρμογή του άρθρου 5 παρ. 2 περ. ε του παραπάνω νόμου, στο μέτρο που αυτό είναι απολύτως αναγκαίο για την ικανοποίηση του εννόμου συμφέροντος που μπορεί να επιδιώκει ο εργαζόμενος, και το οποίο (συμφέρον) συνίσταται συνήθως στην προβολή αντιρρήσεων σε σχέση με αρνητική αξιολόγηση του από τον εργοδότη.

Ακόμη, η Αρχή επέβαλε σε σχολείο τη διοικητική κύρωση της προειδοποίησης λόγω καταχώρισης στο βιβλίο επιβολής ποινών του σχολείου, κατά παράβαση των διατάξεων του άρθρου 4 παρ. 1 στοιχ. α' του Ν. 2472/1997, επιβληθείσας σε μαθητή ποινής, μη ενημέρωσης των γονέων για την καταχώριση αυτή και μη εμπρόθεσμης απάντησης επί των υποβληθεισών αντιρρήσεων για τη διαγραφή της ποινής (απόφαση 54/2015).
Σε ερώτημα σχολείου σχετικά με το ζήτημα της χρήσης υπηρεσιών υπολογιστικού νέφους για τη διαχείριση δεδομένων που τηρεί το σχολείο, η Αρχή απάντησε τα εξής: α) ο πελάτης υπηρεσιών υπολογιστικού νέφους, εφόσον καθορίζει τον τελικό σκοπό της επεξεργασίας και αποφασίζει να αναθέσει ή όχι την επεξεργασία σε εξωτερικό τρίτο, εν προκειμένω στον πάροχο υπηρεσιών υπολογιστικού νέφους, ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων (σύμφωνα με το άρθρο 2 στοιχ. ζ' του Ν. 2472/1997). Ως εκ τούτου, το σχολείο είναι υπεύθυνο για όλες τις νομικές υποχρεώσεις που απορρέουν από το Ν. 2472/1997 περί προστασίας δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της υποχρέωσης ενημέρωσης του άρθρου 11 του Ν. 2472/1997, β) εφόσον ο πάροχος υπηρεσιών υπολογιστικού νέφους παρέχει τα μέσα και την πλατφόρμα των υπηρεσιών, ενεργώντας εξ ονόματος του πελάτη, τότε θεωρείται εκτελών την επεξεργασία (σύμφωνα με το άρ. 2 στοιχ. η' του Ν. 2472/1997), γ) σύμφωνα με το άρ. 10 του Ν. 2472/1997, για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας, δηλαδή το σχολείο, οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου και να λαμβάνει τα κατάλληλα μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας, εάν δε η επεξεργασία γίνεται για λογαριασμό του υπευθύνου από πρόσωπο μη εξαρτώμενο από αυτόν, όπως είναι η συγκεκριμένη περίπτωση, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως και οι υποχρεώσεις για την ασφάλεια βαρύνουν και τον εκτελούντα την επεξεργασία (ήτοι, για τη συγκεκριμένη περίπτωση, τον πάροχο της υπηρεσίας), και δ) δεν θα πρέπει να επιτρέπεται η καθ' οιονδήποτε τρόπο ανάγνωση, αντιγραφή, τροποποίηση ή διαγραφή δεδομένων από μη εξουσιοδοτημένα πρόσωπα, ενώ επίσης κάθε εξουσιοδοτημένο πρόσωπο (εκπαιδευτικός, γονιός ή μαθητής) θα πρέπει να έχει πρόσβαση μόνο στα απολύτως απαραίτητα δεδομένα, βάσει του ρόλου στη συνολική εκπαιδευτική διαδικασία (Γ/ΕΞ/951/12022015).

Περαιτέρω, υποβλήθηκαν στην Αρχή αιτήσεις από νοσηλευτικά ιδρύματα σχετικά με τη νομιμότητα πρόσβασης ερευνητών στα αρχεία του νοσοκομείου για τον σκοπό εκπόνησης επιστημονικών μελετών (διπλωματικών εργασιών, διδακτορικών διατριβών). Η Αρχή προδιέγραψε τις προϋποθέσεις νομιμότητας επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τόσο απλών όσο και ευαίσθητων για ερευνητικούς σκοπούς, επισημαίνοντας ιδίως ότι οι ερευνητές θα πρέπει να ενημερώνουν προηγουμένως ειδικώς τους ενδιαφερόμενους ασθενείς, καθώς και ότι η ανακοίνωση των αποτελεσμάτων της έρευνας θα πρέπει να γίνεται σε στοιχεία ανωνυμοποιημένα ή συγκεντρωτικά στατιστικά (Γ/ΕΞ/29461/03062015, Γ/ΕΞ/6681/11032015, Γ/ΕΞ/6661/11032015).

Επίσης, υποβλήθηκε καταγγελία από μητέρα ανήλικης σχετικά με την αποκάλυψη πληροφοριών για την ίδια και την ανήλικη κόρη της στη διδακτορική διατριβή του πρώην συζύγου της, χωρίς τη συγκατάθεση της. Η Αρχή έκρινε με το υπ' αριθμ. Γ/ΕΞ/22331/12062015 έγγραφο ότι για τον σκοπό της επιστημονικής έρευνας ο ερευνητής θα έπρεπε να προβεί στην ανωνυμοποίηση συγκεκριμένων πληροφοριών, έτσι ώστε να μην αποκαλύπτονται πληροφορίες για την ανήλικη κόρη τους και απηύθυνε σύσταση στον ερευνητή για την προσήκουσα τήρηση της ανωνυμίας κατά τη δημοσίευση της διδακτορικής του διατριβής (άρθρο 19 παρ. 1 στοιχ. γ' του Ν. 2472/1997).

Η Αρχή χορήγησε την υπ' αριθμ. ΓΝ/ΕΞ/27761/ 24.07.2015 άδεια συλλογής και τήρησης αρχείου σε Πανεπιστημιακή Κλινική νοσηλευτικού ιδρύματος, στο πλαίσιο συμμετοχής της σε διεθνές δίκτυο καταγραφής των διαταραχών των νευροδιαβιβαστών, καθώς και άλλων σχετιζόμενων νοσημάτων. Η συλλογή των δεδομένων της υγείας πραγματοποιείται με τη συγκατάθεση των ενδιαφερομένων ασθενών, ενώ η καταχώριση των δεδομένων των συμμετεχόντων ασθενών στη βάση δεδομένων γίνεται με τη χρήση ψευδωνύμου.

Τέλος, η Αρχή χορήγησε την υπ' αριθμ. ΓΝ/ΕΞ/412/ 26032015 άδεια σε Οδοντιατρική Σχολή ανώτατου εκπαιδευτικού ιδρύματος για τη συλλογή και την τήρηση προσωπικών δεδομένων ασθενών, με τη συγκατάθεση τους, στο πλαίσιο της εκπαίδευσης των προπτυχιακών και μεταπτυχιακών φοιτητών υπό τη στενή και άμεση καθοδήγηση και παρέμβαση, στο μέτρο που απαιτείται, του διδακτικού επιστημονικού προσωπικού της Σχολής.

Προϋποθέσεις απαλλαγής μαθητών από το μάθημα των θρησκευτικών
Η Αρχή με την απόφαση 69/2015 παρέπεμψε από το Τμήμα στην Ολομέλεια το ζήτημα της απαλλαγής μαθητών από το μάθημα των θρησκευτικών, ως μείζονος σημασίας κατ' εφαρμογή της διατάξεως του άρθρου 5α παρ. 1 του Κανονισμού Λειτουργίας της Αρχής. Στη συνέχεια η Ολομέλεια της Αρχής εξέτασε το θέμα και έκρινε ότι η δήλωση ότι ο μαθητής (αν είναι ενήλικος) ή οι γονείς του (αν είναι ανήλικος) επιθυμούν την απαλλαγή του μαθητή από το μάθημα των θρησκευτικών για λόγους θρησκευτικής συνείδησης, υπό την ουσιαστική έννοια του όρου, δεν αντίκειται στις διατάξεις του άρθρου 4 παρ. 1 στοιχ. α' και β' του Ν. 2472/1997 (απόφαση 94/2015 και γνωμοδότηση Αρχής 4/2015).
3.2.5.Δήμοι

Η Αρχή εξέδωσε σε δήμο άδεια ίδρυσης και λειτουργίας αρχείου ευαίσθητων δεδομένων στο πλαίσιο της πράξης «Διαχείριση ευπαθών κοινωνικών ομάδων του δήμου», με σκοπό την παροχή κοινωνικών υπηρεσιών και υπηρεσιών υγείας στους δημότες του και ειδικά στις ευπαθείς κοινωνικές ομάδες δημοτών που χρήζουν κοινωνικής πρόνοιας και υποστήριξης. Το εν λόγω πρόγραμμα περιλαμβάνει την ανάπτυξη διαδικτυακής πλατφόρμας για τη διαχείριση αιτήσεων δημοτών για λήψη των εξής προνοιακών παροχών του δήμου: α) Ένταξη σε δομές εκπαίδευσης, β) Βοήθεια στο σπίτι και λοιπές παροχές πρόνοιας, και γ) Οικονομική βοήθεια. Οι παρεχόμενες υπηρεσίες από την εν λόγω διαδικτυακή πλατφόρμα αφορούν την υποβολή αίτησης για ένταξη σε προνοιακή παροχή του δήμου και τη διεκπεραίωση αυτής με ψηφιοποιημένο τρόπο, από την έγκριση της μέχρι την ολοκλήρωση ή τη λήξη της.
Επίσης, η Αρχή χορήγησε την υπ' αριθμ. ΓΝ/ΕΞ/20841/ 03062015 άδεια σε δήμο να συλλέξει και να επεξεργαστεί, σε συνεργασία με δημόσιο νοσηλευτικό ίδρυμα, προσωπικά δεδομένα ενδιαφερόμενων δημοτών-ασθενών, στο πλαίσιο υλοποίησης προγραμμάτων προσυμπτωματικών ελέγχων με σκοπό την πρόληψη και την προαγωγή της υγείας των δημοτών.

Ηλεκτρονική διακυβέρνηση
Η Αρχή απηύθυνε συστάσεις στο Υπουργείο Εσωτερικών και Διοικητικής Ανασυγκρότησης για τη βελτίωση της αυθεντικοποίησης των χρηστών της διαδικτυακής υπηρεσίας «Μάθε πού ψηφίζεις» (διαδικτυακός τόπος αυτής: http://www.ypes.gr/services/eea/eeagr/eea. htm). Ειδικότερα, η Αρχή πρότεινε στο Υπουργείο να λάβει τα εξής μέτρα: α) σύμφωνα με το άρθρο 10 του ιδίου νόμου, να λαμβάνει τα κατάλληλα μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα εν λόγω μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι το αντικείμενο της επεξεργασίας, β) στο πλαίσιο μιας ηλεκτρονικής επεξεργασίας προσωπικών δεδομένων, η οποία εκτελείται διαδικτυακά, απαιτείται η εφαρμογή μέτρων ασφαλείας ενός συγκεκριμένου επιπέδου προκειμένου να αποφευχθεί περαιτέρω μη νόμιμη χρήση των δεδομένων που είναι δυνατόν να εξαχθούν μαζικά από κάποιον τρίτο χρήστη, γ) να εξετασθούν μέθοδοι ενίσχυσης της διαδικασίας πιστοποίησης της ταυτότητας του χρήστη για την εν λόγω διαδικτυακή υπηρεσία προκειμένου να αντιμετωπιστούν οι ιδιαίτεροι αυτοί κίνδυνοι (όπως π.χ. με την απαίτηση να εισάγεται υποχρεωτικώς ένα ακόμα αναγνωριστικό του χρήστη ή/και να ζητείται κώδικας οπτικής επιβεβαίωσης (captcha) μετά από κάποιο πλήθος συνεχόμενων αποτυχημένων προσπαθειών), και δ) ο αριθμός δημοτολογίου του εκλογέα δεν θα πρέπει να εμφανίζεται μετά από σχετική αναζήτηση μέσω της διαδικτυακής αυτής υπηρεσίας, δεδομένου ότι ο αριθμός αυτός δεν είναι απαραίτητος για την επίτευξη του επιδιωκόμενου σκοπού της υπηρεσίας, που είναι η αναζήτηση του εκλογικού κέντρου του εκλογέα και ενδέχεται να αποκαλύπτει και πληροφορίες περί της οικογενειακής κατάστασης του κατόχου του (Γ/ΕΞ/44371/10092015 και Γ/ΕΞ/44372/ 10122015).

Ειδικά θέματα επεξεργασίας δεδομένων στη δημόσια διοίκηση
Κατόπιν προσφυγής στην Αρχή σχετικά με το ότι ο πρόεδρος συλλόγου εργαζομένων υπουργείου γνωστοποίησε στοιχεία από το προσωπικό μητρώο του προσφεύγοντος, και δη δεδομένα σχετικά με διενεργηθείσες από τον ίδιο ΕΔΕ σε βάρος του προσφεύγοντος, όχι μόνον στα μέλη του συλλόγου εργαζομένων του υπουργείου αλλά και σε τρίτα πρόσωπα (λοιπές υπηρεσίες του υπουργείου), η Αρχή α) έκρινε ότι η εν λόγω δημοσιοποίηση έγινε χωρίς την προηγούμενη ενημέρωση και συγκατάθεση του προσφεύγοντος, ως υποκειμένου των δεδομένων για την ανακοίνωση αυτή και χωρίς να προκύπτει σχέση, συνάφεια και αναλογικότητα με τον επιδιωκόμενο σκοπό της ανακοίνωσης των στοιχείων αυτών στα τρίτα πρόσωπα στα οποία ανακοινώθηκαν, κατά παράβαση των διατάξεων των άρθρων 4, 5 και 11 παρ. 3 του Ν. 2472/1997, και β) απηύθυνε σύσταση στον υπεύθυνο επεξεργασίας να μην προβεί εκ νέου σε δημοσιοποίηση των προσωπικών δεδομένων του προσφεύγοντος μετά ίδια ή παρεμφερή μέσα (απόφαση 10/2015).

Η Αρχή χορήγησε την υπ' αριθμ. ΓΝ/ΕΞ/831/ 30042015 άδεια σε Διεύθυνση Αστυνομίας για την τήρηση δεδομένων υγείας των προσωρινά κρατούμενων μη νόμιμων μεταναστών στο Προαναχωρησιακό Κέντρο Κράτησης Αλλοδαπών, από τους ίδιους τους προσωρινά κρατούμενους/φιλοξενούμενους μη νόμιμους μετανάστες, τους παρέχοντες υπηρεσίες υγείας όπου παραπέμπονται για περαιτέρω ιατρικές εξετάσεις, καθώς και τα Κέντρα και τις Μονάδες Πρώτης Υποδοχής του άρθρου 8 του Ν. 3907/2011 (ΦΕΚ Α 7), για τον σκοπό της παροχής της απαραίτητης ιατροφαρμακευτικής περίθαλψης, ψυχοκοινωνικής διάγνωσης και στήριξης, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 12 της υπ' αριθμ. 8038/23/22ιγ' υπουργικής απόφασης (ΦΕΚ Β 118/21.01.2015).


ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΥΓΕΙΑΣ

Αποδέκτες δεδομένων υγείας/στοιχείων ιατρικού φακέλου
Α. Επεξεργασία δεδομένων υγείας για τον σκοπό της προσκόμισης και χρήσης ενώπιον πολιτικών δικαστηρίων στο πλαίσιο εκκρεμούς ένδικης διαφοράς
Στην Αρχή υποβλήθηκαν αιτήσεις νοσηλευτικών ιδρυμάτων, με την ιδιότητα των υπευθύνων επεξεργασίας, προκειμένου να τους παρασχεθεί η απαιτούμενη από το άρθρο 7 του Ν. 2472/1997 άδεια για τη χορήγηση δεδομένων υγείας από τα τηρούμενα αρχεία τους σε τρίτους ενόψει συγκεκριμένης εκκρεμούς δίκης. Θα πρέπει να σημειωθεί ότι σύμφωνα με την πάγια νομολογία της Αρχής (βλ. ιδίως αποφάσεις 8/2005, 9/2005 και 81/2009), προκειμένου η Αρχή να επιληφθεί των σχετικών υποθέσεων επεξεργασίας ευαίσθητων δεδομένων για δικαστική χρήση, θα πρέπει ο υπεύθυνος επεξεργασίας να διαβιβάζει μαζί με την αίτηση του αιτούντος τρίτου όλα τα επικαλούμενα στοιχεία που θεμελιώνουν την αναγκαιότητα χορήγησης τους και το εν γένει έννομο συμφέρον του αιτούντος, δηλαδή εν προκειμένω, το σχετικό δικόγραφο από το οποίο να προκύπτει μάλιστα και η ορισθείσα δικάσιμος. Ακολούθως, παρατίθενται οι κυριότερες αποφάσεις και τα σχετικά απαντητικά έγγραφα της Αρχής ανά ειδικότερο σκοπό επεξεργασίας.

Οικογενειακές διαφορές
Ένας μεγάλος αριθμός υποθέσεων που απασχόλησε την Αρχή αφορούσε στη χορήγηση ευαίσθητων δεδομένων υγείας από νοσηλευτικά ιδρύματα σε τρίτους προκειμένου οι τελευταίοι να υποστηρίξουν/αντικρούσουν ενώπιον των αρμοδίων δικαστηρίων αιτήσεις ασφαλιστικών μέτρων για την προσωρινή ρύθμιση της επικοινωνίας και αγωγές για τη ρύθμιση του δικαιώματος επικοινωνίας με τα ανήλικα τέκνα τους (άρθρα 1511, 1520 ΑΚ και 681Β, 681Γ ΚΠολΔ). Η Αρχή με τις αποφάσεις 6/2015, 9/2015, 27/2015, 41/2015, 44/2015, 60/2015, 67/2015, 78/2015, 90/2015, 93/2015, 96/2015, 102/2015, 105/2015, 108/2015 και 109/2015 παρέσχε την άδεια σε νοσηλευτικά ιδρύματα, στο Κέντρο Θεραπείας Εξαρτημένων Ατόμων (απόφαση 44/2015) και στον Οργανισμό κατά των Ναρκωτικών (απόφαση 90/2015) να χορηγήσουν ιατρικά πιστοποιητικά σχετικά με την κατάσταση, ιδίως της ψυχικής υγείας, ενός εκ των δύο γονέων, προκειμένου να κριθεί από τα αρμόδια δικαστήρια η ικανότητα άσκησης των γονεϊκών δικαιωμάτων. Με τις αποφάσεις 4/2015, 5/2015, 97/2015 και 115/2015 η Αρχή παρέσχε την αιτούμενη από τα νοσηλευτικά ιδρύματα άδεια επεξεργασίας ευαίσθητων δεδομένων, περιορίζοντας, ωστόσο, σύμφωνα με την αρχή της αναλογικότητας (άρθρο 4 παρ. 1 στοιχ. β' του Ν. 2472/1997), το σχετικό αίτημα χορήγησης αντιγράφων του ιατρικού φακέλου στη χορήγηση σχετικού ιατρικού πιστοποιητικού. Με την απόφαση 7/2015 η Αρχή παρέσχε την άδεια σε νοσηλευτικό ίδρυμα να χορηγήσει στην εν διαστάσει σύζυγο το αιτούμενο ιατρικό πιστοποιητικό που αφορά στην κατάσταση ψυχικής υγείας της αδελφής του εν διαστάσει συζύγου της, η οποία de facto ασκεί την επιμέλεια των ανήλικων τέκνων, προκειμένου να κριθεί από τα αρμόδια δικαστήρια η ανάθεση της επιμέλειας τους.

Αντίθετα, η Αρχή με την απόφαση 8/2015 απέρριψε την αίτηση ενδιαφερόμενου τρίτου, ο οποίος ζητούσε να λάβει ιατρικές βεβαιώσεις από μια εταιρεία έρευνας, ανάπτυξης και εφαρμογής μοριακής βιολογίας, καθώς και από έναν ιδιώτη ψυχίατρο, σχετικά με την κατάσταση της υγείας της εν διαστάσει συζύγου του προκειμένου να υποστηρίξει την αίτηση ασφαλιστικών μέτρων για την προσωρινή ρύθμιση της επικοινωνίας με το ανήλικο τέκνο, με το αιτιολογικό ότι δεν είχαν υποβληθεί σχετικές αιτήσεις από την εταιρεία έρευνας, ανάπτυξης και εφαρμογής μοριακής βιολογίας και από τον ιδιώτη ψυχίατρο, ως υπευθύνων επεξεργασίας (άρθρο 7 παρ. 3 του Ν. 2472/1997). Με την απόφαση 21/2015 η Αρχή δεν παρέσχε την άδεια σε νοσηλευτικό ίδρυμα να χορηγήσει στην αιτούσα ιατρικές γνωματεύσεις σχετικά με μια συγκεκριμένη κατάσταση υγείας του εν διαστάσει συζύγου της, στο πλαίσιο εκδίκασης ανταγωγής διαζυγίου, καθώς από τα στοιχεία του φακέλου της υπόθεσης δεν προέκυψε κάποιος συσχετισμός μεταξύ των αιτούμενων πληροφοριών και των ισχυρισμών που αναπτύσσει η αιτούσα στην ανταγωγή της (άρθρο 4 παρ. 1 στοιχ. β' του Ν. 2472/1997).

Τέλος, με την απόφαση 57/2015 δεν χορήγησε στο Γενικό Επιτελείο Στρατού την άδεια να διαβιβάσει στην αιτούσα πληροφορίες σχετικά με την κατάσταση της υγείας του εν διαστάσει συζύγου της, στο πλαίσιο εκδίκασης ασφαλιστικών μέτρων για την προσωρινή ανάθεση της επιμέλειας των ανήλικων τέκνων, με το σκεπτικό ότι οι αιτούμενες πληροφορίες, λόγω της παρέλευσης μεγάλου χρονικού διαστήματος, έχουν καταστεί πλέον απρόσφορες για την τεκμηρίωση των ισχυρισμών της αιτούσας (άρθρο 4 παρ. 1 στοιχ. β' του Ν. 2472/1997).
Ιδιωτική κλινική υπέβαλε το ερώτημα αν μπορεί να χορηγήσει σε ενδιαφερόμενο πρόσωπο αντίγραφο της βεβαίωσης που έκανε από κοινού με την εν διαστάσει σύζυγο του σχετικά με τη χρήση δωρεάς γενετικού υλικού για την υποβολή στις μεθόδους υποβοηθούμενης αναπαραγωγής, προκειμένου να τη χρησιμοποιήσει ενώπιον του αρμοδίου δικαστηρίου για την επιμέλεια του ανήλικου τέκνου. Η Αρχή με το υπ' αρ. Γ/ΕΞ/34781/ 25062015 έγγραφο έκρινε ότι η κλινική μπορεί να διαβιβάσει την αιτούμενη βεβαίωση, δυνάμει ειδικού όρου της άδειας που έχει λάβει από την Αρχή η κλινική, αφού προηγουμένως ενημερώσει την εν διαστάσει σύζυγο.

Η Αρχή έκρινε ότι η χορήγηση βεβαιώσεων αποδοχών εργαζομένων νοσηλευτικού ιδρύματος και του ΙΚΑ στην πρώην σύζυγο, για τον προσδιορισμό του ύψους της διατροφής από το αρμόδιο δικαστήριο, συνιστά επεξεργασία απλών προσωπικών δεδομένων που συνάδει με τη διάταξη του άρθρου 5 παρ. 2 στοιχ. β' του Ν. 2472/1997, στο μέτρο που η σχετική αίτηση διαβιβάζεται στο νοσηλευτικό ίδρυμα/ΙΚΑ μέσω του αρμοδίου Εισαγγελέως, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 1445 ΑΚ (υπ' αρ. Γ/ΕΞ/64911/17122015 και Γ/ ΕΞ/51391/08102015 έγγραφα).

Με την απόφαση 24/2015 η Αρχή δεν παρέσχε άδεια στο ΤΣΜΕΔΕ να χορηγήσει σε αιτούντα αντίγραφο των συνταγογραφήσεων της εν διαστάσει συζύγου του. Η Αρχή έκρινε ότι η χορήγηση συνταγογραφήσεων από τους ψυχιάτρους που εξέτασαν την εν διαστάσει σύζυγο του είναι καταρχήν πρόσφορη προκειμένου να συνεκτιμηθεί από το δικαστήριο εάν η μητέρα είναι σε θέση να αναλάβει την επιμέλεια του τέκνου τους και αν οι ισχυρισμοί της περί εξυβρίσεως, απρόκλητης έμπρακτης εξυβρίσεως, σωματικής βλάβης και απειλής ευσταθούν. Ωστόσο, η χορήγηση συνταγογραφήσεων από τους ιατρούς που εξέτασαν την εν διαστάσει σύζυγο του, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 5 παρ. 3 του Ν. 3418/2005, κρίνεται δυσανάλογη σε σχέση με τον επιδιωκόμενο σκοπό, καθώς μέσω εκάστης συνταγογραφήσεως μπορεί να αποκαλύπτονται περισσότερα από τα αναγκαία για την υποστήριξη του δικαιώματος της ενώπιον δικαστηρίου. Τον συγκεκριμένο σκοπό θα μπορούσε να επιτύχει ο αιτών με την υποβολή ιατρικών βεβαιώσεων από τους ιατρούς που εξέτασαν την εν διαστάσει σύζυγο του αναφορικά με την κατάσταση της υγείας της. Συγκεκριμένα, ο αιτών μπορεί να υποβάλει αίτηση προς τους ιατρούς που εξέτασαν τη σύζυγο του για τη χορήγηση ιατρικής βεβαιώσεως αναφορικά με την εξέταση της, την τεθείσα διάγνωση και την εν γένει κατάσταση της υγείας της εν διαστάσει συζύγου του (υπό τις προϋποθέσεις αδειοδοτήσεως από την Αρχή βάσει του άρθρου 7 παρ. 2 του Ν. 2472/1997). Στη συνέχεια ο αιτών άσκησε αίτηση θεραπείας κατά της αποφάσεως 24/2015 συγκεκριμενοποιώντας το αίτημα του προς το ΤΣΜΕΔΕ και ζητώντας μόνο αντίγραφο των συνταγογραφήσεων της εν διαστάσει συζύγου του που αναφέρονται αποκλειστικά και μόνο στην ψυχική της πάθηση.

Η Αρχή με την απόφαση 75/2015 έκρινε ότι η χορήγηση συνταγογραφήσεων από τους ψυχιάτρους που εξέτασαν την εν διαστάσει σύζυγο του είναι κατ' αρχήν πρόσφορη προκειμένου να συνεκτιμηθεί από το δικαστήριο εάν η μητέρα είναι σε θέση να αναλάβει την επιμέλεια του τέκνου τους. Ωστόσο, η χορήγηση γενικών συνταγογραφήσεων από τους ιατρούς που εξέτασαν την εν διαστάσει σύζυγο του, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 5 παρ. 3 του Ν. 3418/2005, κρίνεται δυσανάλογη σε σχέση με τον επιδιωκόμενο σκοπό, καθώς μέσω εκάστης συνταγογραφήσεως μπορεί να αποκαλύπτονται περισσότερα από τα αναγκαία για την υποστήριξη του ως άνω δικαιώματος του προσωπικά δεδομένα. Για το λόγο αυτό πρόσφορη κρίνεται η χορήγηση εκ μέρους του ΤΣΜΕΔΕ μόνο εκείνων των συνταγογραφήσεων που αναφέρονται στην ψυχική νόσο της εν διαστάσει συζύγου του. Εάν δε στην ίδια συνταγή αναφέρονται και φάρμακα που χορηγήθηκαν ως θεραπευτική αγωγή άλλης νόσου, αυτά πρέπει να διαγραφούν από το ΤΣΜΕΔΕ. Ως εκ τούτου, η Αρχή παρέσχε την άδεια στο ΤΣΜΕΔΕ να χορηγήσει στον αιτούντα αντίγραφο των συνταγογραφήσεων της εν διαστάσει συζύγου του που αναφέρονται αποκλειστικά και μόνο στην ψυχική της πάθηση.

Αγωγές αποζημίωσης λόγω ιατρικού σφάλματος
Η Αρχή με τις αποφάσεις 28/2015, 73/2015, 101/2015, 122/2015, 125/2015, 126/2015 και 130/2015 παρέσχε την άδεια σε νοσηλευτικά ιδρύματα να χορηγήσουν αντίγραφα του ιατρικού φακέλου των ασθενών σε ιατρούς, προκειμένου οι τελευταίοι να αντικρούσουν αγωγές αποζημίωσης λόγω ιατρικού σφάλματος που έχουν εγερθεί ενώπιον των αρμοδίων δικαστηρίων από ασθενείς. Θα πρέπει να σημειωθεί ότι οι ιατροί στις υποθέσεις αυτές δεν παρείχαν, κατά τον κρίσιμο χρόνο και υπό οιανδήποτε σχέση εργασίας, τις υπηρεσίες τους στα αιτούμενα νοσηλευτικά ιδρύματα, και συνεπώς δεν μετείχαν στην παροχή ιατρικής φροντίδας από τα νοσηλευτικά αυτά ιδρύματα για να δικαιούνται να ζητήσουν με την ιδιότητα τους αυτή αντίγραφα του ιατρικού φακέλου των ασθενών (βλ. απόφαση 74/2010 της Αρχής). Με την απόφαση 66/2015 η Αρχή παρέσχε την άδεια σε νοσηλευτικό ίδρυμα να διαβιβάσει αντίγραφα του ιατρικού φακέλου ασθενούς σε έτερο νοσηλευτικό ίδρυμα, όπου υπήρξε προγενέστερη νοσηλεία του ασθενούς, προκειμένου το τελευταίο να αντικρούσει αγωγή αποζημίωσης λόγω ιατρικού σφάλματος ενώπιον του αρμοδίου δικαστηρίου. Με τις αποφάσεις 113/2015 και 115/2015 η Αρχή παρέσχε την άδεια στα νοσηλευτικά ιδρύματα να διαβιβάσουν αντίγραφα του ιατρικού φακέλου των ασθενών στις αιτούσες ασφαλιστικές εταιρείες, προκειμένου να αντικρούσουν αγωγές προσεπίκλησης-παρεμπίπτουσας των νοσηλευτικών ιδρυμάτων εναντίον τους, σε περίπτωση που ευδοκιμήσουν οι κύριες αγωγές αποζημίωσης, για την καταβολή αποζημίωσης, σύμφωνα με τη μεταξύ τους σύμβαση ασφάλισης για αστική ευθύνη.

Σε ερώτημα νοσηλευτικού ιδρύματος σχετικά με τη νομιμότητα χορήγησης αντιγράφων του ιατρικού φακέλου ασθενούς στον θεράποντα ιατρό για το σκοπό της αντίκρουσης αγωγής αποζημίωσης λόγω ιατρικού σφάλματος που έχει εγείρει ο ασθενής κατά του ιατρού του, η Αρχή έκρινε ότι, εφόσον η άδεια του νοσηλευτικού ιδρύματος περιλαμβάνει τον όρο της αποφάσεως 74/2010 της Αρχής και είναι σε ισχύ, το νοσηλευτικό ίδρυμα δύναται να προβεί στη χορήγηση αντιγράφων του ιατρικού φακέλου του ασθενούς, χωρίς τη λήψη ειδικής άδειας από την Αρχή, αφού προηγουμένως ενημερώσει τον ασθενή (υπ' αρ. Γ/ΕΞ/26771/11052015).

Αιτήσεις για την υποβολή προσώπου σε καθεστώς δικαστικής συμπαράστασης
Στην Αρχή υποβλήθηκαν αιτήσεις από νοσηλευτικά ιδρύματα για τη χορήγηση πιστοποιητικού σχετικά με την κατάσταση της υγείας ασθενούς σε τρίτα πρόσωπα που νομιμοποιούνται ενεργητικά και έχουν καταθέσει σχετικές αιτήσεις για την υποβολή ασθενών σε καθεστώς δικαστικής συμπαράστασης (άρθρα 1666 επ. ΑΚ) και η Αρχή με τις αποφάσεις 13/2015, 25/2015 και 55/2015 παρέσχε στα νοσηλευτικά ιδρύματα την αιτούμενη άδεια. Η Αρχή, με την απόφαση 19/2015, παρέσχε την άδεια στο νοσηλευτικό ίδρυμα να χορηγήσει ευαίσθητα δεδομένα υγείας ασθενούς σε τρίτο, ενεργητικά νομιμοποιούμενο πρόσωπο, για να υποστηρίξει την αίτηση που έχει καταθέσει ενώπιον του αρμοδίου δικαστηρίου για την υποβολή της μητέρας του σε δικαστική συμπαράσταση, περιορίζοντας, ωστόσο, σύμφωνα με την αρχή της αναλογικότητας, το σχετικό αίτημα χορήγησης αντιγράφων του ιατρικού φακέλου στη χορήγηση σχετικού ιατρικού πιστοποιητικού. Επιπλέον, η Αρχή με την απόφαση 62/2015 παρέσχε την άδεια σε νοσηλευτικό ίδρυμα να χορηγήσει στα αιτούντα τέκνα της συμπαραστατούμενης τα στοιχεία της δικαστικής αποφάσεως δυνάμει της οποίας ετέθη η μητέρα τους σε καθεστώς δικαστικής συμπαράστασης, ενώ απέρριψε το αίτημα χορήγησης αντιγράφων του ιατρικού της φακέλου στα αιτούντα τέκνα, καθόσον δεν επικαλούνταν αλλά ούτε και εξειδίκευαν στην αίτηση τους σε ποια δικαστική ενέργεια προτίθενται να προβούν. Αντίθετα, η Αρχή με την απόφαση 43/2015 δεν χορήγησε σε νοσηλευτικό ίδρυμα την άδεια να διαβιβάσει στην αιτούσα πιστοποιητικό σχετικά με την κατάσταση της ψυχικής υγείας της ενήλικης κόρης της για το σκοπό της έκδοσης βιβλιαρίου υγείας, καθώς το υποκείμενο των δεδομένων δεν είχε συγκατατεθεί προς τούτο, ούτε κατέστη εμφανής η σχέση των αιτούμενων στοιχείων με την επίτευξη του προβαλλόμενου σκοπού (άρθρο 7 παρ. 2 στοιχ. α' και 4 παρ. 1 στοιχ. β' του Ν. 2472/1997).

Αγωγές αποζημίωσης λόγω αθέτησης της ασφαλιστικής σύμβασης
Στην Αρχή υποβλήθηκαν αιτήσεις νοσηλευτικών ιδρυμάτων για τη χορήγηση αντιγράφων του ιατρικού φακέλου ασθενών σε ασφαλιστικές εταιρείες, προκειμένου οι τελευταίες να αντικρούσουν αγωγές αποζημίωσης λόγω αθέτησης της ασφαλιστικής σύμβασης ύστερα από την επέλευση της ασφαλιστικής περίπτωσης και τη μη καταβολή του ασφαλίσματος (άρθρο 1 Ν. 2496/1997) και η Αρχή με τις αποφάσεις 31/2015 και 103/2015 παρέσχε στα νοσηλευτικά ιδρύματα τη σχετική άδεια. Αντίθετα, η Αρχή με την απόφαση 99/2015 δεν παρέσχε την άδεια στο νοσηλευτικό ίδρυμα να χορηγήσει στην αιτούσα ασφαλιστική εταιρεία αντίγραφα του ιατρικού φακέλου του ασθενούς-ασφαλισμένου στο πλαίσιο εκκρεμούς μεταξύ τους ένδικης διαφοράς για την καταβολή του ασφαλίσματος, καθόσον η ασφαλιστική εταιρεία δεν εξειδίκευε στην αίτηση της πώς το αιτούμενο ευαίσθητο δεδομένο υγείας του ασθενούς-ασφαλισμένου επιδρά ολικά ή μερικά επί της υποχρέωσης της ασφαλιστικής εταιρείας να καταβάλει το ασφάλισμα. ν. Εργατικό ατύχημα εργασιακές διαφορές Η Αρχή παρέσχε με την απόφαση 3/2015 την άδεια στο ΕΚΑΒ να χορηγήσει στην εργοδότρια εταιρεία του βεβαίωση σχετικά με τις συνθήκες διακομιδής εργαζομένου, προκειμένου η τελευταία να αντικρούσει την αγωγή αποζημίωσης για την επιδίκαση χρηματικής αποζημίωσης για τη βλάβη της υγείας και χρηματική ικανοποίηση προς αποκατάσταση της ηθικής βλάβης που υπέστη ο εργαζόμενος λόγω του τραυματισμού του στο χώρο εργασίας του. Με την απόφαση 23/2015 η Αρχή παρέσχε την άδεια σε νοσηλευτικό ίδρυμα να διαβιβάσει αντίγραφα του ιατρικού φακέλου ασθενούς στον θεράποντα ιατρό του, προκειμένου ο τελευταίος να υποστηρίξει την αίτηση ασφαλιστικών μέτρων που έχει καταθέσει ενώπιον του αρμοδίου δικαστηρίου για την ακυρότητα της καταγγελίας της ατομικής σύμβασης εργασίας του και την προσωρινή επαναπρόσληψή του. vi. Αγωγές αποζημίωσης λόγω αδικοπραξίας Με την απόφαση 68/2015 η Αρχή χορήγησε άδεια σε Κέντρο Υγείας να διαβιβάσει αντίγραφο του βιβλίου συμβάντων, σχετικά με τον τραυματισμό τουρίστριας στο κατάλυμα που διέμενε, στην εταιρεία που παρείχε διαμονή και υπηρεσίες στα καταλύματα τουριστικού γραφείου, προκειμένου να αντικρούσει τη σε βάρος εγερθείσα (πρόσθετη) αγωγή ενώπιον αλλοδαπών δικαστηρίων.
Με την απόφαση 98/2015 η Αρχή χορήγησε άδεια σε νοσηλευτικό ίδρυμα για τη διαβίβαση ιατρικού πιστοποιητικού σχετικά με την κατάσταση της υγείας ασθενούς σε ιδιοκτήτη διαμερίσματος και διαχειριστή της πολυκατοικίας για την αντίκρουση αγωγής αποζημίωσης για την επιδίκαση χρηματικής ικανοποίησης λόγω τραυματισμού που προκλήθηκε.

Επεξεργασία δεδομένων υγείας για δικαστική χρήση στο πλαίσιο ποινικής διαδικασίας
Η Αρχή με την απόφαση 35/2015 έκρινε ότι δεν επιλαμβάνεται περιπτώσεων σχετικών με τη νομιμότητα της συλλογής και χρήσης προσωπικών δεδομένων, όταν εκκρεμεί δίκη ή διενεργείται προανάκριση ή κύρια ανάκριση. Και τούτο, διότι αρμόδιος να κρίνει, στο πλαίσιο της αξιολόγησης των αποδεικτικών μέσων ή του ανακριτικού υλικού, αν η συλλογή και χρήση των δεδομένων είναι σύμφωνη με τις διατάξεις του Ν. 2472/1997 είναι ο δικαστικός ή εισαγγελικός λειτουργός, ενώπιον του οποίου εκκρεμεί η ποινική υπόθεση. Το αυτό δέχθηκε η Αρχή και στην περίπτωση της προκαταρκτικής εξέτασης (άρθρο 31 ΚΠΔ και αποφάσεις της Αρχής 71/2014 και 155/2014).
Συνεπώς, καθ' ο μέρος τα αιτούμενα έγγραφα, αν και περιέχουν δεδομένα υγείας, αποτελούν μέρος της δικογραφίας, η Αρχή δεν έχει αρμοδιότητα να επιληφθεί. Εάν, αντίθετα, τα αιτούμενα έγγραφα δεν βρίσκονται στο φάκελο της δικογραφίας, μπορούν οι κατηγορούμενοι και ο πολιτικώς ενάγων να ζητήσουν από το δικαστήριο να διατάξει περισσότερες αποδείξεις με σκοπό, με μέριμνα της Εισαγγελίας, να τεθούν στη δικογραφία που σχηματίσθηκε, εφόσον τα κρίνει απαραίτητα για τη διερεύνηση της υποθέσεως (βλ. και υπ' αρ. Γ/ΕΞ/66241/23122015, Γ/ΕΞ/65271/17122015, Γ/ΕΞ/61271/02122015, Γ/ΕΞ/ 56971/12112015, Γ/ΕΞ/49681/07102015, Γ/ΕΞ/42371/06082015, Γ/ΕΞ/34391/16062015, Γ/ΕΞ/17281/ 06042015, Γ/ΕΞ/16061/06042015, Γ/ΕΞ/15921/ 06042015 απαντητικά έγγραφα).

Σε ερώτημα πληρεξουσίου δικηγόρου σχετικά με τη νομιμότητα λήψης από νοσηλευτικό ίδρυμα δεδομένων υγείας αντιδίκου στο πλαίσιο διενεργούμενης προκαταρκτικής εξέτασης, η Αρχή υπογράμμισε ότι θα πρέπει να υποβληθεί πρώτα αίτηση από τον υπεύθυνο επεξεργασίας (άρθρο 7 παρ. 3 του Ν. 2472/1997), ενώ όσον αφορά τη νομιμότητα της διαβίβασης έκρινε ότι δεν έχει αρμοδιότητα, καθώς ισχύουν οι ειδικότερες διατάξεις του ΚΠΔ, σύμφωνα με τα διαλαμβανόμενα στην αμέσως προηγούμενη παράγραφο (απόφαση 35/2015). Επιπλέον, η Αρχή έκρινε, για την ίδια υπόθεση, ότι για τη συλλογή από τη δικηγόρο, ως υπεύθυνο επεξεργασίας, προσωπικών δεδομένων (απλών και ευαίσθητων) και περαιτέρω χρήσης αυτών στο πλαίσιο της εντολής του πελάτη συντρέχει η απαλλαγή της δικηγόρου ως προς την υποχρέωση γνωστοποίησης και λήψης άδειας από την Αρχή, τηρουμένων των όρων του άρθρου 7Α παρ. 1 στοιχ. ε' του Ν. 2472/1997 (υπ' αρ. Γ/ΕΞ/6621/18022015 έγγραφο).

Εξαγωγή δεδομένων από ιατρικά αρχεία για φορολογικούς και δημοσίους ελέγχους
Από δικηγορική εταιρεία υποβλήθηκε το ερώτημα σχετικά με τη νομιμότητα διαβίβασης αντιγράφου του βιβλίου χειρουργείου μιας συγκεκριμένης ημερομηνίας στη Διεύθυνση Οικονομικής Αστυνομίας του Αρχηγείου Ελληνικής Αστυνομίας στο πλαίσιο διενέργειας ελέγχου. Η Αρχή έκρινε με το υπ' αρ. Γ/ΕΞ/59661/25112015 έγγραφο ότι η χορήγηση των αιτούμενων πληροφοριών στη Διεύθυνση Οικονομικής Αστυνομίας της Ελληνικής Αστυνομίας είναι νόμιμη, σύμφωνα με τα οριζόμενα στη διάταξη του 44 παρ. 3 του Ν. 4249/2014 και ότι το νοσηλευτικό ίδρυμα μπορεί να προβεί στη χορήγησή τους, χωρίς την προηγούμενη άδεια της Αρχής (άρθρο 7Α παρ. 1 στοιχ. δ' εδ. β' του Ν. 2472/1997).

Σε ερώτημα ψυχιατρικού νοσοκομείου σχετικά με τη νομιμότητα αναζήτησης μέσω της Γενικής Γραμματείας του Υπουργείου Οικονομικών των Αριθμών Φορολογικών Μητρώων νοσηλευομένων ασθενών προκειμένου το νοσοκομείο να προβεί στην είσπραξη των ωφελούμενων νοσηλειών, η Αρχή υπογράμμισε ότι οι ΑΦΜ συνιστούν απλά προσωπικά δεδομένα και ότι για τη νομιμότητα της επεξεργασίας ισχύουν τα οριζόμενα στη διάταξη του άρθρου 5 του Ν. 2472/1997, λαμβανομένων προσέτι υπόψη των σχετικών διατάξεων της φορολογικής νομοθεσίας (υπ' αρ. Γ/ΕΞ/4983/30092015 έγγραφο).

Διαγνωστικό κέντρο υπέβαλε το ερώτημα σχετικά με τη νομιμότητα διαβίβασης γνωματεύσεων και πορισμάτων ιατρικών εξετάσεων ασθενών σε εταιρεία που έχει αναλάβει τον έλεγχο των δαπανών υγείας με απόφαση του ΔΣ του ΕΟΠΥΥ, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 28 παρ. 9 περ. ε' του Ν. 3918/2011. Η Αρχή έκρινε, με το υπ' αρ. Γ/ΕΞ/3341/04032015 έγγραφο, ότι η διαβίβαση από το διαγνωστικό κέντρο των αιτούμενων πληροφοριών στην ελεγκτική εταιρεία είναι νόμιμη δυνάμει της ειδικής άδειας που έχει λάβει το διαγνωστικό κέντρο από την Αρχή για το σκοπό της παροχής των υπηρεσιών υγείας. Όσον αφορά στην ασφάλεια των διακινούμενων επίμαχων πληροφοριών η Αρχή συνέστησε να διαβιβασθούν στην ελεγκτική εταιρεία σε κωδικοποιημένη μορφή.

Νοσηλευτικό ίδρυμα διαβίβασε στην Αρχή το αίτημα της Διεύθυνσης Ιθαγένειας του Υπουργείου Εσωτερικών και Διοικητικής Ανασυγκρότησης σχετικά με τη χορήγηση συγκεκριμένων πληροφοριών για ένα άτομο στο πλαίσιο διερεύνησης της κατοχής ελληνικής ιθαγένειας. Η Αρχή έκρινε με το υπ' αρ. Γ/ΕΞ/30141/16062015 έγγραφο ότι από τα στοιχεία του φακέλου της υπόθεσης, λαμβάνοντας υπόψη και τις διατάξεις του Ν. 3284/2004 (ΦΕΚ Α 287 Κώδικας της Ελληνικής Ιθαγένειας), δεν προκύπτει η αναγκαιότητα αλλά ούτε και η προσφορότητα χορήγησης της πληροφορίας σχετικά με τη νοσηλεία του προσώπου στο νοσηλευτικό ίδρυμα για τη διερεύνηση της κατοχής στο πρόσωπο του της ελληνικής ιθαγένειας.

Ζητήματα πρόσβασης σε αρχεία προσωπικών δεδομένων
Σε ερώτημα νοσηλευτικού ιδρύματος αναφορικά με τη νομιμότητα διαβίβασης των ονομάτων των αποκλειστικών νοσοκόμων που φρόντισαν συγκεκριμένο ασθενή κατά ένα συγκεκριμένο χρονικό διάστημα σε πρόσωπο που έχει εξουσιοδοτήσει ειδικά προς τούτο ο ίδιος ο ασθενής, η Αρχή έκρινε με το υπ' αρ. Γ/ΕΞ/32231/ 10062015 έγγραφο ότι το νοσηλευτικό ίδρυμα οφείλει να ικανοποιήσει το αίτημα και να χορηγήσει τις αιτούμενες πληροφορίες στο τρίτο πρόσωπο που ενεργεί στο όνομα και για λογαριασμό του ασθενούς, δυνάμει της σχετικής εξουσιοδότησης που έχει παράσχει ο τελευταίος (άρθρο 12 Ν. 2472/1997).
Ασφαλισμένος σε ασφαλιστική εταιρεία υπέβαλε το ερώτημα εάν έχει δικαίωμα λήψης αντιγράφου των ηχογραφημένων συνομιλιών που είχε με την ασφαλιστική εταιρεία και η Αρχή με το υπ' αρ. Γ/ΕΞ/15411/26032015 έγγραφο έκρινε ότι η ασφαλιστική εταιρεία οφείλει να ικανοποιήσει το δικαίωμα πρόσβασης του ασφαλισμένου σε προσωπικές του πληροφορίες, καθώς και ότι υποχρεούται να παράσχει στον ασφαλισμένο όλες τις απαραίτητες πληροφορίες για τις εταιρείες που φαίνονται να έχουν αναλάβει για λογαριασμό της την εκτέλεση συγκεκριμένων εργασιών.
Σε ερώτημα Εισαγγελίας Πρωτοδικών σχετικά με την πρόσβαση προσώπου στο φάκελο της ακούσιας νοσηλείας του, η Αρχή έκρινε ότι το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σε στοιχεία του φακέλου του που τον αφορούν άμεσα και προσωπικά (άρθρο 12 Ν. 2472/1997), ενώ όσον αφο ρά τα δεδομένα υγείας τρίτων προσώπων που περιλαμβάνονται στο φάκελο της ακούσιας νοσηλείας, ο αιτών θα πρέπει να αποδεικνύει ειδικό έννομο συμφέρον για τη χορήγηση τους (υπ' αρ. Γ/ΕΞ/2901/12022015 έγγραφο).
Τέλος, υποβλήθηκε ερώτημα από το ΙΚΑ σχετικά με τη νομιμότητα αποκάλυψης των ονομάτων των ιατρών που συμμετείχαν στην υγειονομική επιτροπή των Κέντρων Πιστοποίησης Αναπηρίας (ΚΕΠΑ) σε ασθενή προκειμένου να υποβάλει ένσταση κατά της σχετικής απόφασης που έκρινε το ποσοστό της αναπηρίας. Η Αρχή με το υπ' αρ. Γ/ΕΞ/56262/25112015 έγγραφο έκρινε ότι η αποκάλυψη των ονομάτων των ιατρών που συμμετείχαν στην επιτροπή των ΚΕΠΑ συνιστά επεξεργασία απλών προσωπικών δεδομένων και ότι το ΙΚΑ θα πρέπει να αξιολογήσει τη νομιμότητα ικανοποίησης του αιτήματος, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 5 του Ν. 2472/1997 (βλ. και γνωμοδότηση της Αρχής 6/2013 και γνωμοδότηση ΝΣΚ 116/2015). Κατόπιν τούτου, το ΙΚΑ ενημέρωσε την Αρχή ότι ικανοποίησε το αίτημα της αιτούσας, ενημερώνοντας προηγουμένως τους ενδιαφερόμενους ιατρούς.

Διαρροή δεδομένων από νοσοκομεία
Πέραν όποιων κυρώσεων επιβάλλονται στον Τύπο για την παράνομη δημοσίευση προσωπικών δεδομένων, η δημοσίευση αυτή εγείρει ζητήματα μη τηρήσεως των αναγκαίων μέτρων ασφαλείας εκ μέρους των υπευθύνων επεξεργασίας, καθώς οι δημοσιογράφοι αξιοποίησαν ενδεχόμενα κενά ασφαλείας για να έχουν πρόσβαση στα δεδομένα αυτά. Ως εκ τούτου, η Αρχή, με την απόφαση 52/2015, επέβαλε μεταξύ άλλων σε νοσοκομείο την προβλεπόμενη στις διατάξεις του άρθρου 21 παρ.1στοιχ. α' και β' του Ν. 2472/1997 κύρωση του χρηματικού προστίμου 2.000 ευρώ, με την αιτιολογία ότι δεν ελάμβανε τα απαραίτητα μέτρα σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας των ευαίσθητων δεδομένων υγείας που τηρούνται στα αρχεία του (άρθρο 10 του Ν. 2472/1997), καθώς η εφημερίδα δημοσίευσε ευαίσθητα προσωπικά δεδομένα δημοσίου προσώπου και στο εν λόγω δημοσίευμα δημοσιεύεται αυτούσιο το εξιτήριο έγγραφο του νοσοκομείου στο οποίο αναφέρεται η ημερομηνία νοσηλείας σε συγκεκριμένη κλινική του νοσοκομείου, η ακριβής πάθηση και η αναλυτική ιατρική διάγνωση ασθενούς.
Με αίτηση θεραπείας κατά της αποφάσεως 52/2015, το νοσοκομείο υποστηρίζει ότι η αιτιολογία της προσβαλλόμενης αποφάσεως είναι αφενός εσφαλμένη, καθώς το νοσοκομείο έλαβε όλα τα αναγκαία μέτρα για τη διαφύλαξη των δεδομένων υγείας του υποκειμένου των δεδομένων, και αφετέρου παραβιάζει την αρχή της αναλογικότητας, καθώς η επιβαλλόμενη από την Αρχή κύρωση βρίσκεται σε προφανή δυσαναλογία με τον επιδιωκόμενο σκοπό της τηρήσεως εκ μέρους του νοσοκομείου των αναγκαίων μέτρων ασφάλειας των δεδομένων. Με την απόφαση 91/2015 η Αρχή απέρριψε την αίτηση θεραπείας του νοσοκομείου με την αιτιολογία ότι από τα στοιχεία του φακέλου της υποθέσεως προκύπτει ότι η εφημερίδα δημοσίευσε στοιχεία νοσηλείας του υποκειμένου των δεδομένων, όπως ακριβώς αναγράφονται στο διοικητικό εξιτήριο έγγραφο του νοσοκομείου. Από την αναφορά αυτή συνάγεται αναμφιβόλως ότι το νοσοκομείο δεν τηρεί τα απαραίτητα μέτρα ασφάλειας των δεδομένων. Η εν λόγω δημοσίευση της παθήσεως του προσφεύγοντος καταδεικνύει την ανάγκη να ληφθούν αποτελεσματικότερα μέτρα σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας των δεδομένων που τηρούνται στα αρχεία του (άρθρο 10 του Ν. 2472/1997). Περαιτέρω, σύμφωνα με την Αρχή, το ύψος του επιβληθέντος με την απόφαση 52/2015 της Αρχής προστίμου, λαμβανομένων υπόψη των συγκεκριμένων στοιχείων του φακέλου της υποθέσεως και του γεγονότος ότι το νοσοκομείο δεν έχει απασχολήσει στο παρελθόν την Αρχή με αντίστοιχες υποθέσεις παραβάσεως της νομοθεσίας περί ευαίσθητων προσωπικών δεδομένων, κινήθηκε σχεδόν στο κατώτατο όριο του πλαισίου που προβλέπει η διάταξη του άρθρου 21 παρ. 1 στοιχ. β' του Ν. 2472/1997. Η Αρχή υπογράμμισε ότι η αίτηση θεραπείας του νοσοκομείου δεν θέτει υπόψη της Αρχής νέα πραγματικά περιστατικά ικανά να θεμελιώσουν την τροποποίηση ή ανάκληση της αποφάσεως 52/2015 της Αρχής.

Ηλεκτρονικός φάκελος
Σύστημα Ηλεκτρονικού Ιατρικού Φακέλου «ΠΑΝΑΚΕΙΑ»
Η Αρχή γνωμοδότησε (γνωμοδότηση 2/2015) σχετικά με τη λειτουργία του συστήματος ηλεκτρονικού ιατρικού φακέλου, με την επωνυμία «ΠΑΝΑΚΕΙΑ», στο πλαίσιο του Ολοκληρωμένου Πληροφοριακού Συστήματος Υγείας (ΟΠΣΥ) Κρήτης, κατόπιν σχετικού αιτήματος της 7ης ΥΠΕ Κρήτης. Η Αρχή έθεσε τους όρους και τις προϋποθέσεις για την ασφαλή επεξεργασία των ευαίσθητων δεδομένων υγείας στο πλαίσιο του συστήματος «ΠΑΝΑΚΕΙΑ».
Το σύστημα ηλεκτρονικού ιατρικού φακέλου συγκεντρώνει διάχυτη πληροφορία από τα επιμέρους πληροφοριακά συστήματα των Μονάδων Υγείας της 7ης ΥΠΕ έτσι ώστε να είναι δυνατή από έναν ιατρό (πρόσωπο που παρέχει υπηρεσίες υγείας) η ανάκτηση πλήρους και επικαιροποιημένου ιατρικού ιστορικού των ασθενών. Η πραγματοποιούμενη επεξεργασία αποτελεί μια σημαντική διευκόλυνση κατά την αναζήτηση πληροφορίας για τον ασθενή, δεν συγκαταλέγεται όμως στο είδος της επιτρεπόμενης επεξεργασίας με βάση την προαναφερθείσα διάταξη της παρ. 2 στοιχ. δ' του άρθρου 7 Ν. 2472/1997. Σε σχέση με δεδομένα που παρήχθησαν από άλλες Μονάδες Υγείας, η πρόσβαση και χρήση των ιατρικών δεδομένων από τους θεράποντες ιατρούς του τρέχοντος περιστατικού προϋποθέτει τη συγκατάθεση του ασθενούς, η οποία για να είναι ισχυρή θα πρέπει να είναι ελεύθερη, ρητή και ειδική και ο οποίος θα πρέπει να έχει προηγουμένως ενημερωθεί με τρόπο σαφή και να τελεί εν πλήρη επιγνώσει αυτής. Η συγκατάθεση μπορεί να δοθεί μία φορά, κατά την επίσκεψη σε Μονάδα Υγείας της 7ης ΥΠΕ. Προτείνεται ο ασθενής να μπορεί, εκτός από τη γενική συγκατάθεση που παρέχει για την επεξεργασία των δεδομένων του στο πλαίσιο της λειτουργίας του συστήματος «ΠΑΝΑΚΕΙΑ», να έχει τη δυνατότητα να αποκλείει την πρόσβαση σε στοιχεία που έχουν εισαχθεί από συγκεκριμένες μονάδες υγείας ή και επιμέρους κλινικές. Επίσης, προτείνεται να δίδεται η δυνατότητα να εξαιρείται η πρόσβαση σε ιδιαιτέρως ευαίσθητα δεδομένα, όπως τα δεδομένα ψυχικής υγείας. Τέλος, πρέπει να σημειωθεί ότι σε περίπτωση επείγοντος περιστατικού, όπου κινδυνεύει η υγεία ή η ζωή του ασθενούς και ο ίδιος τελεί σε νομική ή φυσική αδυναμία να δώσει τη συγκατάθεση του, η διάταξη του άρθρου 7 παρ. 2 στοιχ. β' Ν. 2472/1997 προβλέπει ότι επιτρέπεται η επεξεργασία, πάντα μόνο των αναγκαίων προς αντιμετώπιση του περιστατικού δεδομένων (βλ. και άρθρο 12 παρ. 3 Ν. 3418/2005). Η συγκατάθεση θα πρέπει να δίδεται με τη συμπλήρωση και υπογραφή ειδικού εντύπου, το οποίο θα είναι σαφές και εύληπτο για τον μέσο ασθενή. Επίσης, θα πρέπει ο ενδιαφερόμενος ασθενής υποκείμενο των δεδομένωννα ενημερώνεται για τη δυνατότητα αλλαγής των επιλογών του, που σημαίνει τροποποίηση ή ανάκληση της συγκατάθεσης για το μέλλον, και να υπάρχει προς τούτο ειδικό έντυπο.
Οι επιλογές του ενδιαφερόμενου ασθενούς πρέπει να αντανακλώνται στο πληροφοριακό σύστημα «ΠΑΝΑΚΕΙΑ», δηλαδή να υλοποιούνται τεχνικώς. Με άλλα λόγια, ο χρήστης του συστήματος θα πρέπει να έχει πρόσβαση στα δεδομένα ανάλογα με το είδος της συγκατάθεσης που έχει δώσει ο ασθενής. Γ ια κάθε πρόσβαση σε δεδομένα για τα οποία δεν έχει δοθεί συγκατάθεση, το σύστημα πρέπει να απαιτεί νέα ειδική συγκατάθεση.
Υπεύθυνες επεξεργασίας αποτελούν τόσο οι μονάδες υγείας, όσο και η 7 η ΥΠΕ, της οποίας οι ρόλοι και αρμοδιότητες διέπονται από την ειδική νομοθεσία που διέπει τις Υγειονομικές Περιφέρειες της χώρας. Οι μονάδες υγείας είναι υπεύθυνες επεξεργασίας για τα δεδομένα υγείας των ασθενών τα οποία τηρούνται στο ΟΠΣΥ Κρήτης για τον σκοπό της παροχής υπηρεσιών υγείας. Η 7η ΥΠΕ είναι υπεύθυνη επεξεργασίας του πληροφοριακού συστήματος «ΠΑΝΑΚΕΙΑ», καθώς σε αυτή συγκεντρώνονται δεδομένα κατ' εντολήν της από τις μονάδες υγείας (π.χ. ενημερωτικά σημειώματα, βιοψίες). Η 7η ΥΠΕ είναι επίσης υπεύθυνη επεξεργασίας του πληροφοριακού συστήματος «ΠΑΝΑΚΕΙΑ», γιατί καθορίζει τον σκοπό της επεξεργασίας και τη λειτουργία του εν λόγω συστήματος και ελέγχει και εποπτεύει από τον νόμο τις μονάδες υγείας. Επιπλέον δε, παρέχει τα μέσα (κεντρική πληροφοριακή υποδομή) μέσω των οποίων πραγματοποιείται η τήρηση των δεδομένων υγείας των ασθενών από κάθε μονάδα υγείας. Συνεπώς, οι ως άνω υπεύθυνες επεξεργασίας, 7η ΥΠΕ και μονάδες υγείας, οφείλουν να εκπληρώσουν τις υποχρεώσεις που απορρέουν από τις διατάξεις των άρθρων 6, 7 παρ. 2 στοιχ. α' και 7Α παρ. 1 στοιχ. δ' τελ. εδάφιο του Ν. 2472/1997.
Όσον αφορά τα τεχνικά θέματα της αρχιτεκτονικής του συστήματος «ΠΑΝΑΚΕΙΑ», καθώς και τα τηρούμενα μέτρα ασφάλειας (άρθρο 10 του Ν. 2472/1997): α) Συνιστάται να εκπονηθεί σύστημα διαχείρισης ασφάλειας πληροφοριών (ΣΔΑΠ) για το πληροφοριακό σύστημα «ΠΑΝΑΚΕΙΑ», το οποίο συστήνεται να ακολουθεί διεθνή πρότυπα (π.χ. τη σειρά προτύπων διαχείρισης ασφάλειας πληροφοριών ISO 27000, με το γενικό πρότυπο να είναι το ISO 27001:2013 και το ειδικότερο πρότυπο να είναι το ISO 27799:2008 που αφορά τα συστήματα υγείας), β) θα πρέπει να υποβληθεί στην Αρχή κείμενο κώδικα δεοντολογίας σχετικά με την προστασία των προσωπικών δεδομένων που τηρεί η υπεύθυνη επεξεργασίας (7η ΥΠΕ), γ) θα πρέπει να οριστεί εσωτερικός υπεύθυνος προστασίας προσωπικών δεδομένων (αναφέρεται και στο άρθρο 36 παρ. 2 του Ν. 3979/2011 για την ηλεκτρονική διακυβέρνηση), ο οποίος θα μεριμνά για τη λήψη όλων των αναγκαίων τεχνικών και οργανωτικών μέτρων για την τήρηση των αρχών και υποχρεώσεων ως προς την επεξεργασία προσωπικών δεδομένων, όπως η υιοθέτηση και εφαρμογή πολιτικής ασφαλείας, η περιοδική κατάρτιση και ευαισθητοποίηση των υπαλλήλων ως προς την προστασία δεδομένων προσωπικού χαρακτήρα, η πρόταση για λήψη εσωτερικών διαδικασιών ελέγχου και επαλήθευσης της αποτελεσματικής εφαρμογής των μέτρων ασφάλειας.
θα πρέπει επίσης να ληφθεί υπόψη από την 7η ΥΠΕ, καθώς και από τις μονάδες υγείας, η ανάγκη εφαρμογής επιμέρους διατάξεων του Ν. 3979/2011 για την ηλεκτρονική διακυβέρνηση, καθώς και της υπουργικής απόφασης υπ' αρ. ΥΑΠ/φ.40.1/989/12.04.2012 (ΦΕΚ Β 1301), για την κύρωση του πλαισίου παροχής υπηρεσιών ηλεκτρονικής διακυβέρνησης, ιδίως το άρθρο 1 παρ. 25 και το παράρτημα II της υπουργικής απόφασης, σχετικά με τους κανόνες και τα πρότυπα για τη διαλειτουργικότητα σε οργανωτικό, σημασιολογικό και τεχνολογικό επίπεδο για την ανταλλαγή των δεδομένων μεταξύ πληροφορικών συστημάτων των φορέων του δημοσίου τομέα. Το ίδιο ισχύει και σε σχέση με το ζήτημα της διαβαθμισμένης πρόσβασης των χρηστών και την αυθεντικοποίηση.
Οι απαιτήσεις ασφαλείας που καταγράφονται σε παράρτημα της γνωμοδότησης είναι ενδεικτικές, και θα πρέπει να καλύπτονται στο ΣΔΑΠ για το πληροφοριακό σύστημα «ΠΑΝΑΚΕΙΑ», στο βαθμό που αυτές εφαρμόζονται στο εν λόγω σύστημα και πάντα ως απόρροια μελέτης επικινδυνότητας της υπολογιστικής και επικοινωνιακής υποδομής του συστήματος. Οι απαιτήσεις αυτές πρέπει επίσης να ικανοποιούνται και από τις μονάδες υγείας της 7ης ΥΠΕ, η ασφάλεια των πληροφοριακών συστημάτων των οποίων είναι απαραίτητη προκειμένου να εξασφαλίζεται η σωστή λειτουργία του συστήματος «ΠΑΝΑΚΕΙΑ».
Ψηφιοποίηση φακέλων ασθενών

Σε απάντηση εγγράφου του Πανεπιστημιακού Γενικού Νοσοκομείου Ηρακλείου (ΠΑΓΝΗ), με το οποίο ενημερώθηκε η Αρχή για την προκήρυξη διαγωνισμού που περιλαμβάνει την ψηφιοποίηση φακέλων ασθενών, η οποία προβλέπεται να πραγματοποιηθεί στα εργαστήρια αναδόχου εταιρείας, που βρίσκονται εκτός των χώρων του νοσοκομείου, και ερωτήθηκε σχετικά με το εάν η μεταφορά φακέλων ασθενών στους χώρους της αναδόχου εταιρείας προκειμένου να γίνει η ψηφιοποίηση τους είναι σύμφωνη με στις διατάξεις του Ν. 2472/1997, η Αρχή επισήμανε ότι το «Πανεπιστημιακό Γενικό Νοσοκομείο Ηρακλείου, Γενικό Νοσοκομείο Βενιζέλειο» αποτελεί τον υπεύθυνο επεξεργασίας, κατά το άρθρο 2, παρ. ζ' του Ν. 2472/1997, για τα προσωπικά δεδομένα ασθενών που περιέχονται στους φακέλους ασθενών, τα οποία προβλέπεται να ψηφιοποιηθούν. Η ανάδοχος εταιρεία για το έργο της ψηφιοποίησης αποτελεί τον εκτελούντα την επεξεργασία, κατά το άρθρο 2 παρ. η' του Ν. 2472/1997.
Σύμφωνα με το άρθρο 10 παρ. 2 του Ν. 2472/1997, ο υπεύθυνος επεξεργασίας πρέπει να επιλέγει για τη διεξαγωγή της επεξεργασίας πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση απορρήτου. Η δε ανάθεση σε εκτελούντα θα πρέπει να γνωστοποιείται στην Αρχή (άρθρο 7 παρ. 5 στοιχ. στ' του Ν. 2472/1997). Ο υπεύθυνος επεξεργασίας οφείλει να πραγματοποιεί τη σχετική ανάθεση μόνον εγγράφως, σύμφωνα με όσα ορίζονται στο άρθρο 10 παρ. 4 του Ν. 2472/1997. Η ανάθεση πρέπει να γίνεται κατά τέτοιο τρόπο ώστε ο υπεύθυνος επεξεργασίας να έχει τη συνολική επίβλεψη της διαδικασίας της ψηφιοποίησης, π.χ. εξουσιοδοτημένος υπάλληλος του υπευθύνου επεξεργασίας να επιβλέπει την ψηφιοποίηση των δεδομένων στις εγκαταστάσεις του εκτελούντος την επεξεργασία. Θα πρέπει επίσης να διασφαλίζεται ότι ο υπεύθυνος επεξεργασίας έχει την εξουσία διάθεσης και ελέγχου των δεδομένων μέχρι την ολοκλήρωση της ψηφιοποίησής τους.

Η σύμβαση πρέπει να περιέχει κατ' ελάχιστο τα παρακάτω: περιγραφή των προσωπικών δεδομένων, τον σκοπό, τον τόπο και τον τρόπο/διαδικασία της επεξεργασίας, καθώς και τα επίπεδα των υπηρεσιών που πρέπει να επιτυγχάνει ο εκτελών την επεξεργασία ως προς την ασφάλεια και την ποιότητα των δεδομένων. Η σύμβαση πρέπει να περιέχει επίσης διαδικασίες ελέγχου συμμόρφωσης των διαδικασιών του εκτελούντα με τα προβλεπόμενα στη σύμβαση, καθώς και ρήτρες αναφορικά με παραβιάσεις όρων της σύμβασης σε σχέση με όλα τα ανωτέρω. Όταν η επεξεργασία γίνεται εκτός των εγκαταστάσεων του υπευθύνου επεξεργασίας, ο υπεύθυνος θα πρέπει να εξασφαλίζει ότι ο εκτελών παρέχει επίπεδο ασφαλείας τουλάχιστον ανάλογο με αυτό που ορίζεται στην πολιτική ασφάλειας του υπευθύνου. Επίσης, στη σύμβαση της ανάθεσης πρέπει να αναφέρονται και τυχόν πρόσθετες απαιτήσεις του υπευθύνου επεξεργασίας σχετικά με τεχνικά και οργανωτικά μέτρα, καθώς επίσης και τα ακριβή στοιχεία τυχόν τρίτων (υπεργολάβων) που πρόκειται να πραγματοποιήσουν μέρος ή το σύνολο της ψηφιοποίησης των δεδομένων για λογαριασμό του εκτελούντος την επεξεργασία.

Οι υπάλληλοι του εκτελούντος που επεξεργάζονται, κατά το χρονικό διάστημα ισχύος της σύμβασης, προσωπικά δεδομένα για λογαριασμό του υπευθύνου επεξεργασίας πρέπει να υποχρεώνονται ειδικώς στο απόρρητο της επεξεργασίας και να δεσμεύονται εγγράφως με κατάλληλη δήλωση εμπιστευτικότητας.
Προκειμένου να ικανοποιούνται οι απαιτήσεις για την τήρηση του απορρήτου και της ασφάλειας της επεξεργασίας προσωπικών δεδομένων, βάσει του άρθρου 10 του Ν. 2472/1997, θα πρέπει να λαμβάνονται τα κατάλληλα μέτρα για να ελαχιστοποιηθεί ο κίνδυνος διαρροής ή μη εξουσιοδοτημένης πρόσβασης στα δεδομένα που θα ψηφιοποιηθούν, τα οποία πρέπει να περιλαμβάνουν κατ' ελάχιστον τα εξής:
α) Θα πρέπει να λαμβάνονται κατάλληλα μέτρα φυσικής ασφάλειας για τα έντυπαφακέλους ασθενών που πρόκειται να ψηφιοποιηθούν, τόσο κατά τη διάρκεια της ψηφιοποίησης τους όσο και κατά τη μεταφορά τους στον τόπο ψηφιοποίησης.
β) Ο εκτελών την επεξεργασία πρέπει να διατηρεί ξεχωριστά τα προς ψηφιοποίηση δεδομένα του κάθε υπευθύνου επεξεργασίας με τον οποίο συνάπτει σχετική σύμβαση.
γ) Ο πληροφορικός εξοπλισμός πρέπει να είναι εγκατεστημένος σε απομονωμένο χώρο με ελεγχόμενη πρόσβαση και να διαθέτει πόρτα ασφαλείας, κλιματισμό, πυρανίχνευση-πυρασφάλεια, ανιχνευτές υγρασίας και πλημμύρας.
δ) Η πληροφοριακή υποδομή που θα χρησιμοποιηθεί για την ψηφιοποίηση των φακέλων ασθενών δεν θα πρέπει να είναι προσβάσιμη από το διαδίκτυο ή να έχει σύνδεση με το διαδίκτυο.
ε) Θα πρέπει να προβλέπεται ορθή διαχείριση των χρηστών για την απόδοση δικαιωμάτων πρόσβασης στα δεδομένα, ούτως ώστε οι χρήστες να έχουν πρόσβαση αποκλειστικά στα δεδομένα που απαιτούνται για την πραγματοποίηση της εργασίας τους.
στ) Οι σταθμοί εργασίας όπου γίνεται επεξεργασία δεδομένων πρέπει να είναι ρυθμισμένοι κατάλληλα ώστε να μην επιτρέπονται ενέργειες απλών χρηστών οι οποίες επηρεάζουν τη συνολική τους διαμόρφωση (π.χ. απενεργοποίηση προγραμμάτων προστασίας από ιούς, εγκατάσταση νέων προγραμμάτων ή αλλαγή ρυθμίσεων υπαρχόντων κ.λπ.), ενώ επίσης, δεν θα πρέπει να επιτρέπεται η εξαγωγή δεδομένων, είτε έντυπα (π.χ. μέσω εκτυπώσεων) είτε ηλεκτρονικά, όπως με τη χρήση αποσπώμενων μέσων (π.χ. USB, CD/DVD) εκτός αν υπάρχει έγκριση από τον υπεύθυνο ασφάλειας (ή άλλης μορφής έγκριση, μέσω διαδικασίας που προβλέπεται στην πολιτική ασφάλειας).
ζ) Θα πρέπει να ενεργοποιείται η τήρηση αρχείων καταγραφής (log files), τόσο σε επίπεδο ενεργειών χρηστών όσο και σε επίπεδο συστημάτων. Θα πρέπει επίσης να πραγματοποιείται τακτικός έλεγχος, ειδικά των ενεργειών των χρηστών επί των δεδομένων που αφορούν στην ψηφιοποίηση, ούτως ώστε να εξασφαλίζεται αν κάθε πρόσβαση ή γενικότερα ενέργεια είναι εξουσιοδοτημένη (Γ/ΕΞ/16191/30042015).

Σύστημα Διαχείρισης Επιχειρηματικής Ευφυΐας ΕΣΥ
Η Αρχή γνωμοδότησε (γνωμοδότηση 3/2015) επί του σχεδίου διάταξης νόμου του Υπουργείου Υγείας σχετικά με την εφαρμογή του Συστήματος Διαχείρισης και Επιχειρηματικής Ευφυΐας ΕΣΥ.
Η Αρχή έκρινε ότι η συλλογή και περαιτέρω επεξεργασία των δεδομένων υγείας από το Υπουργείο Υγείας μπορεί να πραγματοποιηθεί βάσει του άρθρου 7 παρ.
2περ. ε' υποπεριπτώσεις γγ και δδ του Ν. 2472/1997, η οποία επιτρέπει την επεξεργασία ευαίσθητων προσωπικών δεδομένων, μετά από άδεια της Αρχής, εφόσον «η επεξεργασία εκτελείται από Δημόσια Αρχή και είναι αναγκαία γγ) για λόγους προστασίας της δημόσιας υγείας είτε δδ) για την άσκηση δημόσιου φορολογικού ελέγχου ή δημόσιου ελέγχου κοινωνικών παροχών». Λαμβάνοντας υπόψη την κρισιμότητα των προσωπικών δεδομένων (ευαίσθητα δεδομένα υγείας), καθώς και το γεγονός ότι η επεξεργασία αφορά σε ένα πολύ μεγάλο αριθμό υποκειμένων, η απαιτούμενη άδεια της Αρχής πρέπει να θέτει ειδικούς όρους και προϋποθέσεις για την πραγματοποίηση της επεξεργασίας, ιδίως σύμφωνα με τα άρθρα 4 (χαρακτηριστικά δεδομένων προσωπικού χαρακτήρα) και 10 (απόρρητο και ασφάλεια της επεξεργασίας) του Ν. 2472/1997.
Στο σχέδιο νόμου προβλέπονται επιμέρους σκοποί επεξεργασίας, οι οποίοι περιλαμβάνουν την προστασία και προαγωγή της δημόσιας υγείας, την αποτελεσματικότερη παρακολούθηση της λειτουργίας των μονάδων υγείας του ΕΣΥ και της στελέχωσης και κατανομής του ανθρώπινου δυναμικού αλλά και των υπόλοιπων εποπτευόμενων από το Υπουργείο Υγείας φορέων, καθώς και την παρακολούθηση της οικονομικής λειτουργίας και τον έλεγχο δαπανών υγείας. Οι ανωτέρω επιμέρους σκοποί εντάσσονται στις αρμοδιότητες του Υπουργείου Υγείας ως επιτελικού, συντονιστικού και ελεγκτικού οργάνου για τη χάραξη της γενικότερης πολιτικής υγείας σε εθνικό επίπεδο και τον προγραμματισμό των επιμέρους δράσεων στον τομέα αυτόν.
Στη συγκεκριμένη περίπτωση όμως πρόκειται για μια περαιτέρω επεξεργασία που πραγματοποιείται μέσω του Συστήματος διαχείρισης και επιχειρηματικής ευφυΐας ΕΣΥ, η οποία έγκειται στην ηλεκτρονική διαβίβαση από τις μονάδες υγείας και τις ΥΠΕ, την ηλεκτρονική συλλογή από το Υπουργείο και την περαιτέρω επεξεργασία για τους ανωτέρω αναφερόμενους επιμέρους σκοπούς για την οποία απαιτείται ειδική προηγούμενη άδεια της Αρχής για συλλογή και επεξεργασία ευαίσθητων δεδομένων υγείας.
Όπως γίνεται σαφές από το σχέδιο Εισηγητικής Έκθεσης, η μεγάλης κλίμακας αυτή επεξεργασία δικαιολογείται από την έλλειψη ενός ευρέως φάσματος αξιόπιστων και άμεσα αξιοποιήσιμων πληροφοριών, η οποία δεν επιτρέπει στο Υπουργείο να σχεδιάσει και να υλοποιήσει στοχευμένες πολιτικές υγείας προς όφελος του δημοσίου συμφέροντος. Όπως αναφέρεται, οι σχετικές πληροφορίες βρίσκονται σήμερα κατακερματισμένες σε διάφορους εποπτευόμενους από το Υπουργείο Υγείας φορείς και υπάρχει ανάγκη να ενσωματωθούν σε μια ενιαία κωδικοποιημένη βάση δεδομένων ώστε να είναι εφικτή η αποτελεσματικότερη διαχείριση τους.
Στο κρινόμενο σχέδιο νομοθετικής διάταξης φαίνεται ότι καταρχήν πληρούνται οι ανωτέρω αναφερόμενες προϋποθέσεις, καθόσον
α) η περιγραφόμενη επεξεργασία συνάδει με τις αρμοδιότητες του Υπουργείου,
β) περιγράφονται επαρκώς οι σκοποί της επεξεργασίας, τα βασικά χαρακτηριστικά της, οι επιμέρους αρμόδιες γενικές διευθύνσεις που επεξεργάζονται τα δεδομένα που θα συλλέγονται για λογαριασμό του υπευθύνου επεξεργασίας, τα συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαίο να τύχουν επεξεργασίας, ιδιαίτερα δε τα ευαίσθητα δεδομένα, ο χρόνος τήρησης των δεδομένων, οι αποδέκτες των δεδομένων και παρέχεται ειδικώς η αναγκαία νομοθετική εξουσιοδότηση για τη ρύθμιση ειδικότερων, τεχνικών ή λεπτομερειακών θεμάτων.
Παρ' όλα αυτά στο σχέδιο νόμου δεν ήταν σαφές ποιες συγκεκριμένες κατηγορίες συλλεγόμενων δεδομένων από τις αναφερόμενες στην παράγραφο 2 του σχεδίου απαιτείται να επεξεργάζεται καθεμία από τις αρμόδιες γενικές διευθύνσεις. Το στοιχείο αυτό είναι απαραίτητο προκειμένου να εκδοθούν οι αντίστοιχες άδειες ευαίσθητων δεδομένων, δεν είναι όμως απαραίτητο να αναφέρεται στη διάταξη νόμου, καθώς μπορεί να αποτελεί αντικείμενο ρύθμισης της υπουργικής απόφασης η έκδοση της οποίας προβλέπεται στο σχέδιο νόμου.
Από το σχέδιο διάταξης σε συνδυασμό με την αιτιολογική έκθεση προκύπτει ότι δεν συλλέγονται ονομαστικά στοιχεία ή άλλα μοναδικά αναγνωριστικά, αλλά δεδομένα τα οποία είτε αποστέλλονται κωδικοποιημένα από την πηγή τους (μονάδες υγείας και ΥΠΕ), όταν πρόκειται για αναλυτικά στοιχεία, είτε πρόκειται για συγκεντρωτικά στοιχεία. Ως εκ τούτου, εφόσον παρεμποδίζεται η εξακρίβωση της ταυτότητας των υποκειμένων, και λαμβάνοντας υπόψη ότι προς τούτο η Αρχή επιφυλάχθηκε να θέσει ειδικότερες προϋποθέσεις κατά την έκδοση της απαιτούμενης άδειας επεξεργασίας, κρίθηκε καταρχήν ότι πληρούται η αρχή της αναλογικότητας του άρθρου 4 του Ν. 2472/1997.
Στην παρ. 4 του σχεδίου που αναφέρεται στον υπεύθυνο επεξεργασίας, η Αρχή έκρινε ότι πρέπει να αναφέρεται ότι υπεύθυνος επεξεργασίας είναι το Υπουργείο Υγείας και όχι καθεμία αρμόδια γενική διεύθυνση ξεχωριστά, καθώς σε αυτό τηρείται το σύνολο των δεδομένων και οι επιμέρους γενικές διευθύνσεις τελούν υπό την εποπτεία του.
Λαμβάνοντας υπόψη ότι η κωδικοποίηση των δεδομένων δεν συνεπάγεται, καταρχήν, την ανωνυμοποίησή τους, η Αρχή πρότεινε τη συμπλήρωση του εδ. 10 του σχεδίου νόμου, όπου προβλέπεται η έκδοση υπουργικής απόφασης, με αναφορά στη χρήση τεχνικών ανωνυμοποίησης. Δεδομένου ότι η προβλεπόμενη υπουργική απόφαση θα ορίσει στη λεπτομέρεια τους τα μέτρα ασφάλειας, προτάθηκε στο εδ. 7 του σχεδίου νόμου να υπάρχει μια γενικότερη αναφορά στη χρήση της κωδικοποίησης και στο σκοπό αυτής, και όχι στην τεχνική υλοποίησης της, η οποία προτάθηκε να περιγραφεί αναλυτικά στην προβλεπόμενη υπουργική απόφαση.
Όσον αφορά τα αναφερόμενα στο σχέδιο αιτιολογικής έκθεσης που περιγράφουν ειδικά τον τρόπο κωδικοποίησης του ΑΜΚΑ, η Αρχή επιφυλάχθηκε να γνωμοδοτήσει σχετικά με το ειδικό αυτό θέμα, όταν θα υποβληθεί προς γνωμοδότηση το σχέδιο της προβλεπόμενης υπουργικής απόφασης στο οποίο θα περιλαμβάνεται η περιγραφή των οργανωτικών και τεχνικών μέτρων για την ασφάλεια της επεξεργασίας των δεδομένων, καθώς και των τεχνικών ανωνυμοποίησης.
Η Αρχή έκρινε ότι το Υπουργείο Υγείας θα πρέπει να υποβάλει γνωστοποίηση για την επεξεργασία ευαίσθητων προσωπικών δεδομένων και να υποβάλει το σχέδιο της προβλεπόμενης από το άρθρο 13Α του Ν. 3370/2005 απόφασης του Υπουργού Υγείας προκειμένου να είναι σε θέση η Αρχή να προχωρήσει στην έκδοση της σχετικής άδειας.
3.3.5.Αρχείο Εθνικού Μητρώου Εθελοντών Αιμοδοτών
Η Αρχή χορήγησε, σύμφωνα με τα οριζόμενα στις διατάξεις των άρθρων 6 και 7 παρ. 2 στοιχ. α' και ε' περ. γγ του Ν. 2472/1997, στο Υπουργείο Υγείας και στο Εθνικό Κέντρο Αιμοδοσίας (ΕΚΕΑ), ως υπευθύνους επεξεργασίας από κοινού, άδεια επεξεργασίας ευαίσθητων δεδομένων προσωπικού χαρακτήρα για την εκπλήρωση των σκοπών της σύστασης και λειτουργίας του Εθνικού Μητρώου Εθελοντών Αιμοδοτών, όπως αυτοί καθορίζονται από την οικεία νομοθεσία. Επίσης, η Αρχή αποφάσισε ότι θέση εκτελούντων την επεξεργασία για το Εθνικό Μητρώο Εθελοντών Αιμοδοτών υπέχουν από κοινού: (α) η εταιρεία Εθνικό Δίκτυο Έρευνας και Τεχνολογίας (ΕΔΕΤ ΑΕ), και (β) τα νοσοκομεία της χώρας, οι αρμόδιες υπηρεσίες των οποίων συνδέονται στο κεντρικό πληροφοριακό σύστημα του Εθνικού Μητρώου Εθελοντών Αιμοδοτών. Η σχετική άδεια περιλαμβάνει τους όρους και τις προϋποθέσεις, που πρέπει να τηρεί κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία για τη νόμιμη σύσταση και λειτουργία του Εθνικού Μητρώου Εθελοντών Αιμοδοτών (ΓΝ/ΕΞ/2622/20112015).


ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ  ΚΟΙΝΩΝΙΚΗΣ ΑΣΦΑΛΙΣΗΣ

Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων από ασφαλιστικά ταμεία Περιστατικά παραβίασης δεδομένων
Με την απόφαση 129/2015, η Αρχή έκρινε ότι δεν συνάδει με τις διατάξεις του Ν. 2472/1997 η χορήγηση βεβαιώσεων ενσήμων του ασφαλισμένου στους αντιδίκους για το σκοπό της δικαστικής χρήσης. Περαιτέρω, η Αρχή παρέσχε άδεια στο ΙΚΑ για χορήγηση δεδομένων υγείας σε τρίτο για δικαστική χρήση (εργατικό ατύχημα). Στη συγκεκριμένη υπόθεση, εταίροι ομόρρυθμης εταιρείας ζήτησαν με την ιδιότητα του τρίτου τη χορήγηση απλών (ένσημα) και ευαίσθητων δεδομένων (δεδομένα υγείας) που αφορούν σε εργαζόμενο και τα οποία τηρούνται στα αρχεία του ΙΚΑ για δικαστική χρήση. Σύμφωνα με την Αρχή, ο προβαλλόμενος σκοπός επεξεργασίας συνάδει καταρχήν με τις προαναφερόμενες διατάξεις των άρθρων 5 παρ. 2 στοιχ. ε' και 7 παρ. 2 στοιχ. γ' του Ν. 2472/1997, όσον αφορά την επεξεργασία των απλών και των ευαίσθητων προσωπικών δεδομένων, αντίστοιχα. Ωστόσο, όσον αφορά την αιτούμενη βεβαίωση για τα αποδεικνύοντα την ασφάλιση στο ΙΚΑ ένσημα του εργαζομένου δεν πληρούται η αρχή της αναλογικότητας των δεδομένων, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 4 παρ. 1 στοιχ. β' του Ν. 2472/1997, καθώς από τα στοιχεία του φακέλου της υπόθεσης δεν προκύπτει ότι υπάρχει αμφισβήτηση σχετικά με την ασφαλιστική ικανότητα του εργαζομένου, δεν προβάλλεται κάποιος σχετικός ισχυρισμός και, τέλος, το στοιχείο αυτό δεν συνδέεται με την απόδειξη και ανταπόδειξη των ανωτέρω ισχυρισμών. Αντίθετα, όσον αφορά τη χορήγηση αντιγράφων των αποφάσεων του ΙΚΑΕΤΑΜ αναφορικά με το ποσοστό και το είδος αναπηρίας του ασφαλισμένου από το 2007 έως σήμερα, πληρούται η αρχή της αναλογικότητας των δεδομένων, καθόσον το στοιχείο αυτό τυγχάνει πρόσφορο για την απόδειξη του ισχυρισμού των εναγομένων περί του ότι οι επικαλούμενες από τον ενάγοντα ως απότοκες του εργατικού ατυχήματος βλάβες της υγείας του προϋφίσταντο του ατυχήματος.

Η Αρχή, κατόπιν προσφυγής δημοσίου προσώπου, το οποίο κατήγγειλε ότι σε δυο συγκεκριμένα δημοσιεύματα εφημερίδας περιελήφθησαν έγγραφα από τον προσωπικό του φάκελο που τηρείται στο ασφαλιστικό του ταμείο, επέβαλε την προβλεπόμενη στις διατάξεις του άρθρου 21 παρ. 1 στοιχ. α' του Ν. 2472/1997 κύρωση της προειδοποίησης στο ασφαλιστικό ταμείο α) να ενημερώνει κάθε φορά τα υποκείμενα των δεδομένων πριν από την ανακοίνωση των προσωπικών τους δεδομένων στο εποπτεύον Υπουργείο ή σε άλλες αρμόδιες υπηρεσίες, και β) να λάβει αποτελεσματικότερα μέτρα σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας των δεδομένων που τηρεί στο αρχείο του, ώστε να αποφευχθούν παρόμοια περιστατικά διαρροής εγγράφων ασφαλισμένων στο μέλλον. Επίσης, η Αρχή έκρινε ότι η δημοσίευση προσωπικών δεδομένων του δημοσίου προσώπου σε εφημερίδα δεν υπερβαίνει το αναγκαίο μέτρο για την εξασφάλιση του δικαιώματος του Τύπου να ασκήσει δημόσιο έλεγχο και κριτική ρόλος «public watchdog» κατά τη νομολογία του ΕΔΔΑ(απόφαση 16/2015).

Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων από ΟΑΕΔ
Η Αρχή δέχθηκε, κατά το έτος 2015, μικρό αριθμό ερωτημάτων με τα οποία ερωτάται αν νομιμοποιείται ο ΟΑΕΔ να χορηγήσει σε τρίτο εργοδότη πληροφορίες σχετικά με την ενδεχόμενη εγγραφή προσώπου στα μητρώα ανέργων του οργανισμού για το σκοπό της αντίκρουσης αγωγής. Πάγια θέση της Αρχής στις περιπτώσεις αυτές είναι ότι: (α) Δικαιούται ο υπερήμερος εργοδότης να λάβει από τον ΟΑΕΔ για καθέναν από τους ενδιαφερόμενους πρώην εργαζομένους του, οι οποίοι διεκδικούν από αυτόν μισθούς υπερημερίας για συγκεκριμένο χρονικό διάστημα, απλά προσωπικά δεδομένα που ενδεχομένως τηρούνται στο αρχείο του οργανισμού, στη βάση αναγγελιών πρόσληψης, που τους έχουν υποβληθεί και ιδίως το ονοματεπώνυμο ή την επωνυμία του συγκεκριμένου εργοδότη, το χρόνο και τη συγκεκριμένη απασχόληση, καθώς και τις συγκεκριμένες αποδοχές που αναλογούν στην απασχόληση αυτή. Η διαβίβαση των στοιχείων αυτών επιτρέπεται αποκλειστικά για τον προβαλλόμενο από τον εργοδότη σκοπό της προβολής της ένστασης των αλλαχού κερδηθέντων, κατά το άρθρο 656 εδ. β' ΑΚ ενώπιον των αρμόδιων δικαστηρίων, (β) Αντίθετα, ο εργοδότης δεν δικαιούται να λάβει από τον ΟΑΕΔ πληροφορίες σχετικά με την καταβολή επιδομάτων ανεργίας ή άλλων κοινωνικών βοηθημάτων στους πρώην εργαζομένους του, για το μετά την καταγγελία της εργασιακής τους σχέσης διάστημα, γιατί τα επιδόματα αυτά δεν συνιστούν ωφέλεια κατά την έννοια του άρθρου 656 εδ. β' ΑΚ, και ως εκ τούτου ο εργοδότης δεν μπορεί να αφαιρέσει από τους μισθούς υπερημερίας, για δικό του όφελος, τις κοινωνικές αυτές παροχές. Για να είναι ορισμένο το σχετικό αίτημα πρέπει οι ανωτέρω προϋποθέσεις να προκύπτουν από το σχετικό δικόγραφο που ο ΟΑΕΔ πρέπει να προσκομίζει στην Αρχή (Γ/ΕΞ/2949/25052015 και Γ/ΕΞ/2951/25052015).

Εξάλλου, η Αρχή έκρινε, με την απόφαση της 118/2015, μεταξύ άλλων, ότι η διαβίβαση σε αιτούντα τρίτο από ΟΑΕΔ ΚΠΑ2, ως υπεύθυνο επεξεργασίας, πληροφοριών σχετικά με ενδεχόμενη εγγραφή του αντιδίκου του στα μητρώα ανέργων του Οργανισμού κατά τους θερινούς μήνες των ετών 2010 έως και 2012, είναι δυσανάλογη σε σχέση με τον επιδιωκόμενο από τον αιτούντα σκοπό επεξεργασίας (υπεράσπιση δικαιώματος ενώπιον δικαστηρίων), καθόσον, όπως έχει ήδη κρίνει η Αρχή (βλ., μεταξύ άλλων, τις αποφάσεις 45/2011 και 47/2011), αντιβαίνει καταρχήν στις διατάξεις του άρθρου 4 παρ. 1 του Ν. 2472/1997 η διαβίβαση από τον ΟΑΕΔ, ως υπεύθυνο επεξεργασίας, σε αιτούντα τρίτο πληροφοριών για την εγγραφή του υποκειμένου στα μητρώα του ΟΑΕΔ ως ανέργου, για το σκοπό της αντίκρουσης των ισχυρισμών ότι ο αιτών και το υποκείμενο συνδέονταν με σχέση εξαρτημένης εργασίας. Και τούτο, διότι η εγγραφή ενός προσώπου ως ανέργου στα σχετικά μητρώα του ΟΑΕΔ ούτε δύναται να αποκλείσει την ύπαρξη σχέσης (εξαρτημένης ή ανεξάρτητης) εργασίας που να τον συνδέει με συγκεκριμένο εργοδότη ούτε επιδρά στο κύρος της εν λόγω σχέσης εργασίας, αλλά δύναται μόνο να επισύρει ενδεχομένωςδιοικητικές ή άλλες κυρώσεις σε βάρος του εν λόγω προσώπου, εφόσον συνεχίσει να λαμβάνει από τον ΟΑΕΔ κοινωνικές παροχές ως άνεργος, ενώ στην πραγματικότητα εργάζεται και λαμβάνει μισθό ως αντιπαροχή της εργασίας του (βλ. αποφάσεις της Αρχής 1/2009, 87/2009 και 2/2010). Η εγγραφή ενός προσώπου ως ανέργου στα σχετικά μητρώα του ΟΑΕΔ μπορεί να είναι πρόσφορο μέσο για την απόδειξη της ύπαρξης ή ανυπαρξίας σχέσης (εξαρτημένης ή ανεξάρτητης) εργασίας μεταξύ του αιτούντος τρίτου και του υποκειμένου των δεδομένων, μόνο στις περιπτώσεις που ο τρίτος ή το υποκείμενο των δεδομένων υποστηρίζουν ότι η εγγραφή του υποκειμένου ως ανέργου στα σχετικά μητρώα του ΟΑΕΔ συνιστά προϋπόθεση της πρόσληψης του από τον φερόμενο ως εργοδότη του, όπως όταν η πρόσληψη αυτή διενεργήθηκε στο πλαίσιο εκτέλεσης ειδικού προγράμματος του ΟΑΕΔ για την απασχόληση συγκεκριμένων κατηγοριών ανέργων (βλ. απόφαση της Αρχής 2/2010).

Με την ίδια απόφαση η Αρχή απεφάνθη ότι το ΙΚΑ ΕΤΑΜ δύναται, ως υπεύθυνος επεξεργασίας, να εξετάσει τη διαβίβαση στον αιτούντα τρίτο βεβαίωσης, σχετικά με ενδεχόμενη απασχόληση του αντιδίκου του σε οποιονδήποτε εργοδότη κατά τους θερινούς μήνες των ετών 2010 έως και 2012, για το σκοπό της υπεράσπισης δικαιώματος ενώπιον δικαστηρίων, καθόσον πρόκειται για απλά δεδομένα προσωπικού χαρακτήρα του αντιδίκου του, υποχρεούμενο να ενημερώσει το υποκείμενο των δεδομένων, πριν από τη διαβίβαση των δεδομένων.

Σε σχέση με τον μικρό αριθμό υποθέσεων επεξεργασίας δεδομένων από τον ΟΑΕΔ που αντιμετώπισε η Αρχή κατά το έτος 2015, πρέπει να υπογραμμιστεί ότι, όπως αναφερόταν στην Ετήσια Έκθεση της για το έτος 2014 (βλ. σελ. 74), σε συνέχεια πληθώρας εγγράφων της Αρχής επί σχετικών ερωτημάτων, ο ΟΑΕΔ κοινοποίησε στην Αρχή τη με αριθμ. 23169/18032014 Εγκύκλιο της Διοίκησης του σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες του Οργανισμού, η οποία καταρτίστηκε από τη Νομική Υπηρεσία του ΟΑΕΔ σε συνεργασία με την Αρχή, κοινοποιήθηκε σε όλες τις κατά τόπους υπηρεσίες του ΟΑΕΔ και περιλαμβάνει σαφείς οδηγίες προς τις υπηρεσίες αυτές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και, ιδίως, τις διαβιβάσεις δεδομένων σε τρίτουςμε σκοπό την προσήκουσα και ομοιόμορφη εφαρμογή των σχετικών διατάξεων του Ν. 2472/1997 και τη σχετική νομολογία της Αρχής. Συνεπώς, οι κατά τόπους υπηρεσίες του ΟΑΕΔ οφείλουν να διενεργούν τις κρίσιμες επεξεργασίες δεδομένων προσωπικού χαρακτήρα σύμφωνα μετά διαλαμβανόμενα στην Εγκύκλιο αυτή και να ικανοποιούν ή απορρίπτουν, ανάλογα, τις αιτήσεις διαβίβασης των ζητουμένων από αιτούντες τρίτους δεδομένων προσωπικού χαρακτήρα, χωρίς να διαβιβάζουν τις σχετικές αιτήσεις προς την Αρχή.


ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ  ΙΔΙΩΤΙΚΗΣ ΑΣΦΑΛΙΣΗΣ

Με την απόφαση 30/2015, το Τμήμα της Αρχής παρέπεμψε, σύμφωνα με την διάταξη του άρθρου 5α του Κανονισμού Λειτουργίας της Αρχής, στην Ολομέλεια το ζήτημα εάν ο αναφερόμενος στο σκεπτικό της απόφασης αυτής επίμαχος όρος της ασφαλιστικής σύμβασης του υποκειμένου των δεδομένων με την εταιρεία ING, καθώς επίσης και άλλοι παρεμφερείς όροι, πληρούν όντως τις προϋποθέσεις της ελεύθερης, ρητής, εν πλήρη επιγνώσει και αδιαμφισβήτητης συγκατάθεσης του ιδίου, ως υποκειμένου των ευαίσθητων προσωπικών του δεδομένων, προς επεξεργασία των ευαίσθητων προσωπικών του δεδομένων, ως και αν τυγχάνει νόμιμη η εν συνεχεία παρασχεθείσα εξουσιοδότηση στην ως άνω εταιρεία, με το αναφερόμενο στο σκεπτικό περιεχόμενο. Και τούτο, διότι ως προς το ζήτημα αυτό υφίσταται κυμαινόμενη νομολογία, τόσο του Συμβουλίου της Επικρατείας και του Αρείου Πάγου (βλ. ΣτΕ 3775/2012 και ΑΠ 2100/2009) όσο και της Αρχής (βλ. σχετικά τις αποφάσεις της Αρχής 2/2004, 66/2005, 46/2011, 78/2012, 45/2013, 49/2014, 50/2014 και 89/2014). Επίσης, το ζήτημα τούτο τυγχάνει γενικότερου ενδιαφέροντος.

Στη συνέχεια, η Ολομέλεια της Αρχής, με την απόφαση της 92/2015, απεφάνθη, μεταξύ άλλων, ότι παρέλκει η εξέταση του γενικότερου ζητήματος για το οποίο παρέπεμψε στην Ολομέλεια το Τμήμα, καθώς παραιτήθηκε η αιτούσα εταιρεία ING του αρχικού αιτήματος.

Με την απόφαση 59/2015 η Αρχή παρέσχε άδεια σε ασφαλιστική εταιρεία για την επεξεργασία ευαίσθητων δεδομένων του ασφαλισμένου σε άλλη ασφαλιστική εταιρεία για το σκοπό της δικαστικής χρήσης, και συγκεκριμένα προκειμένου η ασφαλιστική εταιρεία να αντικρούσει την αίτηση ασφαλιστικών μέτρων που έχει ασκήσει σε βάρος της ο ασφαλισμένος ενώπιον του Μονομελούς Πρωτοδικείου Αθηνών.

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ  ΧΡΗΜΑΤΟΠΙΣΤΩΤΙΚΟΥ ΤΟΜΕΑ ΚΑΙ ΙΔΙΩΤΙΚΗΣ ΟΙΚΟΝΟΜΙΑΣ
Οι ακόλουθες παράγραφοι αναφέρονται συνοπτικά σε υπόθεση παράνομης συλλογής διευθύνσεων ηλεκτρονικού ταχυδρομείου για την αποστολή αζήτητης προωθητικής επικοινωνίας από εκδοτικό οίκο, σε υπόθεση εγκατάστασης και λειτουργίας συστήματος βιντεοεπιτήρησης και μη λήψης επαρκών μέτρων ασφαλείας του πληροφοριακού συστήματος από εταιρία, στη μη αποτελεσματική ανωνυμοποίηση προσωπικών δεδομένων κατά τη δημιουργία αρχείου από φαρμακευτική εταιρία, καθώς και στην ανανέωση της άδειας της βάσης νομικών δεδομένων «ΝΟΜΟΣ».

Παράνομη συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου
Υποβλήθηκαν στην Αρχή πολλές καταγγελίες σχετικά με την αποστολή αζήτητων μηνυμάτων ηλεκτρονικής επικοινωνίας (spam) προς φυσικά και νομικά πρόσωπα από συγκεκριμένες ηλεκτρονικές διευθύνσεις. Από τα στοιχεία που συγκέντρωσαν οι εντεταλμένοι ελεγκτές της Αρχής, κατά τον έλεγχο που διενήργησαν σε συνεργασία με τη Δίωξη Ηλεκτρονικού Εγκλήματος, προέκυψε ότι οι ηλεκτρονικές διευθύνσεις ανήκουν στην ανώνυμη εταιρεία με την επωνυμία «ΙΑΝΟΣ ΟΙΚΟΝΟΜΙΚΕΣ ΕΚΔΟΣΕΙΣ ΑΕ» και το διακριτικό τίτλο «ΙΑΝΟΣ ΑΕ», η οποία εκδίδει και την εβδομαδιαία οικονομική εφημερίδα Οικονομία. Τα προγράμματα συλλογής διευθύνσεων ηλεκτρονικού ταχυδρομείου είχαν ρυθμιστεί κατά τρόπο ώστε να προβαίνουν σε αδιάκριτη και μαζική συλλογή των διευθύνσεων, που ανευρίσκονται σε συγκεκριμένους διαδικτυακούς τόπους για τον απώτερο σκοπό της αποστολής αζήτητης επικοινωνίας, κατά παράβαση του Ν. 2472/1997. Με την υπ' αριθμ. 38/2015 απόφαση της, η Αρχή επέβαλε στην εταιρεία «ΙΑΝΟΣ ΟΙΚΟΝΟΜΙΚΕΣ ΕΚΔΟΣΕΙΣ ΑΕ», ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο τριάντα χιλιάδων ευρώ, λαμβάνοντας υπόψη τη συγκέντρωση, για το σκοπό της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας, ιδιαίτερα μεγάλου αριθμού ηλεκτρονικών διευθύνσεων. Επίσης, η Αρχή επέβαλε την κύρωση της καταστροφής των ηλεκτρονικών διευθύνσεων των ενδιαφερομένων φυσικών και νομικών προσώπων, που είχαν συλλέγει παρανόμως από την εταιρεία, καθόσον πρόκειται για ιδιαίτερα σοβαρή παράβαση των διατάξεων του Ν. 2472/1997 (βλ. σχετικά και ενότητα 3.7. Ηλεκτρονικές Επικοινωνίες).

Σύστημα βιντεοεπιτήρησης και ελλιπή μέτρα ασφαλείας του πληροφοριακού συστήματος εταιρείας
Υποβλήθηκε στην Αρχή προσφυγή καταγγελία από εργαζόμενη κατά της τότε εργοδότριας της εταιρείας σχετικά με την τοποθέτηση κλειστού κυκλώματος τηλεόρασης στους χώρους της επιχείρησης και την εγκατάσταση κατασκοπευτικού λογισμικού στον ηλεκτρονικό υπολογιστή που της είχε παραχωρηθεί από την εταιρεία για την παροχή της εργασίας της. Διαπιστώθηκαν, μετά από επιτόπιο έλεγχο, παραβάσεις του Ν. 2472/1997, ειδικότερα, ότι η εν λόγω εταιρεία, ως υπεύθυνος επεξεργασίας, είχε εγκαταστήσει και λειτουργούσε στους χώρους της κλειστό κύκλωμα τηλεόρασης, το οποίο είχε παραλείψει να γνωστοποιήσει στην Αρχή και ότι είχε παραλείψει να λάβει επαρκή μέτρα ασφάλειας του πληροφοριακού της συστήματος, όπως χρήση μηχανισμών αυθεντικοποίησης για τοπική και δικτυακή πρόσβαση καθώς και μηχανισμών αποτροπής εγκατάστασης κατασκοπευτικού/ επιβλαβούς λογισμικού στους σταθμούς εργασίας. Με την υπ' αριθμ. 136/2015 απόφαση της, η Αρχή επέβαλε στην εταιρεία, ως υπεύθυνο επεξεργασίας, τη διοικητική κύρωση του προστίμου τριών χιλιάδων ευρώ για διαπιστωθείσες παραβάσεις του Ν. 2472/1997, καθώς και προειδοποίηση, με αποκλειστική προθεσμία για άρση της παράβασης, προκειμένου να ακολουθεί τις επιταγές της οδηγίας 1/2011 για τη χρήση συστημάτων βιντεοεπιτήρησης και να λάβει κατ' ελάχιστον τα οργανωτικά και τεχνικά μέτρα ασφάλειας, τα οποία περιλαμβάνονται στο επισυναπτόμενο στη απόφαση παράρτημα (βλ. σχετικά με την εγκατάσταση και λειτουργία συστημάτων βιντεοεπιτήρησης και την ενότητα 3.10).

Μη αποτελεσματική ανωνυμοποίηση
Η Αρχή εξέτασε αίτηση εταιρείας για την έκδοση άδειας ίδρυσης και λειτουργίας αρχείου με ευαίσθητα δεδομένα, αναφορικά με τη συλλογή δεδομένων πωλήσεων φαρμάκων από φαρμακεία, στα οποία θα περιλαμβάνεται και ένας μοναδικός κωδικός για κάθε ασθενή, ο οποίος θα προκύπτει με μη αναστρέψιμο μετασχηματισμό του Αριθμού Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ) αυτού, μέσω κρυπτογραφικής συνάρτησης κατακερματισμού (hash function). Η Αρχή με το ΓΝ/ΕΞ/104/2112015 απαντητικό της έγγραφο έκρινε πως η ως άνω τεχνική δεν καθιστά τα δεδομένα ανώνυμα και πως για τη συλλογή και την επεξεργασία ευαίσθητων δεδομένων δεν έχει εφαρμογή η εξαίρεση του άρθρου 7 παρ. 2 στοιχ. στ' του Ν. 2472/1997, αφού η επεξεργασία δεν γίνεται για αποκλειστικά ερευνητικούς και επιστημονικούς σκοπούς και, συνεπώς, η μόνη νομική βάση για την έκδοση άδειας από την Αρχή θα ήταν η έγγραφη ελεύθερη, ρητή και ειδική συγκατάθεση των υποκειμένων των δεδομένων, εφόσον έχει προηγηθεί ενημέρωση τους για τα βασικά στοιχεία της επεξεργασίας και έχει εξασφαλιστεί τρόπος με τον οποίο οι ασθενείς θα μπορούν να ασκούν προς την εταιρεία, ως υπεύθυνο επεξεργασίας, τα δικαιώματα πρόσβασης και αντίρρησης που προβλέπονται στα άρθρα 12 και 13 του Ν. 2472/1997.

Ανανέωση άδειας της βάσης νομικών δεδομένων «ΝΟΜΟΣ»
Η Αρχή με το ΓΝ/ΕΞ/827/642015 έγγραφο της ανανέωσε την άδεια τήρησης αρχείου της εταιρείας Intrasoft International AE/NOMOS, κατόπιν τροποποίησης της εταιρικής μορφής της από «ΙΝΤΡΑΚΟΜ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΠΑΡΟΧΗΣ ΥΠΗΡΕΣΙΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ», με σκοπό επεξεργασίας την παροχή άμεσης επιστημονικής νομικής πληροφόρησης, εφόσον πριν από την καταχώριση των αποφάσεων στη βάση νομικών δεδομένων «ΝΟΜΟΣ» έχει γίνει προηγουμένως ανωνυμοποίηση των στοιχείων των διαδίκων και των λοιπών φυσικών προσώπων που αναφέρονται στην απόφαση, εξαιρουμένων των πληρεξούσιων δικηγόρων και των φυσικών προσώπων που αποτελούν τη σύνθεση των δικαστηρίων.
Στη συνέχεια περιλαμβάνονται υποενότητες που αναφέρονται σε θέματα συλλογής και επεξεργασίας δεδομένων από τράπεζες, σχετικά με την ΤΕΙΡΕΣΙΑΣ ΑΕ, σε θέματα εταιριών ενημέρωσης οφειλετών, ενημέρωσης δια του Τύπου, σε περιστατικό παραβίασης δεδομένων, στην εκτίμηση πιστωτικού κινδύνου στην κινητή τηλεφωνία, σε υπηρεσιών διαδικτύουνέων τεχνολογιών, στη δημοσιοποίηση γενετικών τόπων υποκειμένου σε ιστοσελίδα, στη διενέργεια ελέγχων εμπορικών εταιριών και στη διαβίβαση δεδομένων σε χώρες εκτός Ευρωπαϊκής Ένωσης.

Συλλογή και επεξεργασία δεδομένων από τράπεζες
Υποβλήθηκε στην Αρχή καταγγελία αναφορικά με την ασφάλεια της διαδικτυακής υπηρεσίας «Winbank for cards» της Τράπεζας Πειραιώς. Συγκεκριμένα, για την εν λόγω υπηρεσία, αν ο επισκέπτης της σχετικής ιστοσελίδας εισαγάγει τα στοιχεία μιας πιστωτικής κάρτας που έχει χορηγήσει η Τράπεζα σε κάποιον πελάτη της, καθώς επίσης και την ημερομηνία γέννησης του κατόχου αυτής της κάρτας, θα μπορούσε να λάβει πληροφορίες περί των κινήσεων της κάρτας (αγορές/χρεώσεις και πληρωμές), χωρίς να είναι σε εφαρμογή άλλος μηχανισμός αυθεντικοποίησης του χρήστη. Η εν λόγω υπηρεσία αποσκοπούσε στην αμεσότερη πληροφόρηση των πελατών-κατόχων πιστωτικών καρτών που δεν επιθυμούσαν να είναι εγγεγραμμένοι χρήστες στις υπηρεσίες ηλεκτρονικής τραπεζικής σχετικά με την κίνηση των καρτών τους και ήταν διαθέσιμη για οποιονδήποτε κάτοχο πιστωτικής κάρτας, εκτός αν ο ίδιος δήλωνε ρητώς ότι δεν την επιθυμεί (σύστημα "optout").
Στην προκειμένη περίπτωση, με την με αριθμ. 39/2015 απόφαση κρίθηκε από την Αρχή ότι η εν λόγω επεξεργασία δεν μπορεί να εκληφθεί ως απολύτως απαραίτητη στο πλαίσιο των συμβατικών σχέσεων μεταξύ του υπευθύνου επεξεργασίας και των υποκειμένων των δεδομένων ώστε να τύχει εφαρμογής η εξαίρεση του άρ.5παρ. 2 στοιχ. α) του Ν. 2472/1997, αλλά θα πρέπει να παρέχεται σε κάθε πελάτη του υπευθύνου επεξεργασίας μόνο κατόπιν συγκατάθεσης του, μετά από επαρκή και σαφή ενημέρωση.
Ενόψει των ανωτέρω, η Αρχή κάλεσε την Τράπεζα Πειραιώς:
α) Να διασφαλίσει ότι, για τους νέους πελάτες-κατόχους πιστωτικών καρτών, η υπηρεσία «Winbank for cards» θα παρέχεται μόνο εφόσον δηλώσουν ρητώς και ειδικώς ότι την επιθυμούν, αφού προηγουμένως ενημερωθούν για τα βασικά χαρακτηριστικά αυτής. Η δήλωση συγκατάθεσης θα πρέπει να παρέχεται από τους πελάτες, με φυσική τους παρουσία, σε κατάστημα της Τράπεζας ή ηλεκτρονικά, με τρόπο τέτοιο που να διασφαλίζεται η πιστοποίηση της ταυτότητας του αιτούντος, β) Να φροντίσει αμελλητί, για τους νυν πελάτεςκατόχους πιστωτικών καρτών της Τράπεζας, που δεν έχουν δηλώσει την αντίρρηση τους για την εν λόγω υπηρεσία, να υπάρξει ατομική ενημέρωση σχετικά με την υπηρεσία «Winbank for cards», στην οποία ενημέρωση θα αναφέρεται ότι η υπηρεσία είναι ήδη ενεργή, θα περιγράφονται τα χαρακτηριστικά αυτής αλλά και ο τρόπος με τον οποίο μπορεί κάποιος να ζητήσει τη διακοπή της. γ) Να τροποποιήσει, εντός τριών μηνών, την υπηρεσία ως προς τα μέτρα ασφάλειας αυτής, έτσι ώστε να υλοποιείται στο πλαίσιο αυτής ισχυρός μηχανισμός αυθεντικοποίησης των χρηστών της, όπως είναι ο κωδικός πρόσβασης (συνθηματικό) από τον κάθε χρήστη, κατά τρόπο τέτοιο ώστε αυτό να είναι εις γνώσιν μόνο του ιδίου, δ) Να διασφαλίζει ότι, για κάθε τυχόν μελλοντική τροποποίηση της εν λόγω υπηρεσίας, θα παρέχεται πρόσφορη σχετική ενημέρωση στους χρήστες αυτής.

Με την υπ' αριθμ. 42/2015 απόφασή της, η Αρχή απέρριψε δυο αιτήσεις θεραπείας που υποβλήθηκαν κατά της απόφασης 154/2013, καθώς έκρινε ότι οι αιτούντες δεν επικαλούνται ούτε προσκομίζουν για την υποστήριξη των ισχυρισμών τους νέα στοιχεία ικανά να κλονίσουν την κρίση της Αρχής. Αναφορικά με την πρώτη αίτηση θεραπείας που υπέβαλε η πρώτη αιτούσα, επισημάνθηκε ότι οι δικαστικές αποφάσεις που επικαλείται και προσκομίζει η αιτούσα δεν είναι τελεσίδικες, ότι το ζήτημα του πεδίου εφαρμογής του Ν. 2472/1997 με βάση την έννοια της προσωπικής/οικιακής δραστηριότητας έχει ήδη συζητηθεί, εξεταστεί και κριθεί διεξοδικά με την προσβαλλόμενη απόφαση. Αναφορικά με τη δεύτερη αίτηση θεραπείας, επισημάνθηκε ότι τόσο η κρίση περί της νομιμότητας επεξεργασίας της καθ' ου εταιρείας, όσο και οι λόγοι επιβολής του προστίμου σε βάρος της αναλύονται διεξοδικά στην προσβαλλόμενη απόφαση, ότι η έκθεση γραφολογικής γνωμοδότησης δεν μπορεί να εκτιμηθεί από την Αρχή ούτε να συναχθούν εξ αυτής συμπεράσματα, αλλά από το ποινικό δικαστήριο, ενώπιον του οποίου εκκρεμεί σχετική υπόθεση, καθώς και ότι τόσο το ζήτημα της αρμοδιότητας της Αρχής σχετικά με τα αρχεία που τηρούνται για τις ανάγκες της ποινικής δικαιοσύνης όσο και του πεδίου εφαρμογής του Ν. 2472/1997 με βάση την έννοια της προσωπικής/οικιακής δραστηριότητας έχει ήδη συζητηθεί, εξεταστεί και κριθεί διεξοδικά με την προσβαλλόμενη απόφαση.

Η εταιρεία με την επωνυμία «Α2Ζ Συστήματα Πληροφορικής ΑΕ» άσκησε αίτηση θεραπείας κατά του υπ' αριθμ. Γ/ΕΞ/414/23012015 εγγράφου της Αρχής, με το οποίο απέρριψε τις δύο προσφυγές της λόγω αναρμοδιότητας, με την αιτιολογία ότι πληροφορίες αναφερόμενες σε νομικά πρόσωπα δεν αποτελούν δεδομένα προσωπικού χαρακτήρα και, ως εκ τούτου, δεν εφαρμόζεται σχετικά με την επεξεργασία αυτών ο Ν. 2472/1997. Η Αρχή μετά από εξέταση της υπόθεσης, εξέδωσε την με αριθμ. 61/2015 απόφαση της με την οποία ενέμεινε στο ανωτέρω έγγραφο της, κρίνοντας ότι με την αίτηση θεραπείας δεν προβάλλεται κανένα νομικό ή πραγματικό ελάττωμα της προσβαλλόμενης πράξης της Αρχής. Και τούτο διότι ο προβαλλόμενος λόγος, ότι η τράπεζα Alpha Bank δεν ανήγγειλε στην Τειρεσίας τον νόμιμο εκπρόσωπο της εταιρείας, ο οποίος είχε εκδώσει την κρίσιμη επιταγή υπό την ιδιότητα του διευθύνοντος συμβούλου της εταιρείας, στηρίζεται σε υποθετική βάση, ενόψει του ότι δεν έγινε αναγγελία στην Τειρεσίας ΑΕ και των στοιχείων του αιτούντος ως νομίμου εκπροσώπου της προσφεύγουσας και συνακόλουθα δεν υπέστη, ως πρόσωπο, βλάβη από την αναγγελία της ακάλυπτης επιταγής, πληρωτής της οποίας τύγχανε το ως άνω νομικό πρόσωπο, η οποία (βλάβη) θα στοιχειοθετούσε άμεσο και ενεστώς έννομο συμφέρον του και θα δικαιολογούσε την άσκηση της κρινόμενης αίτησης θεραπείας.

Σε άλλη περίπτωση ωστόσο αίτησης θεραπείας, κατά της απόφασης 91/2014, με την αιτίαση ότι η αναγραφή ότι πολλοί εξ αυτών των λογαριασμών που τηρούσε η ίδια ήταν κοινοί με άλλα πρόσωπα που εφέροντο στο κύκλωμα τοκογλυφίας είναι ανακριβής, καθόσον σε κανέναν από τους 24 λογαριασμούς που τηρούσε η προσφεύγουσα δεν συμμετείχε, πλην του συζύγου της, πρόσωπο που εφέρετο ως εμπλεκόμενο στο κύκλωμα τοκογλυφίας, η Αρχή προέβη σε διόρθωση της απόφασης της. Μετά από εξέταση του σχετικού φακέλου, προέκυψε ότι πράγματι το μόνο πρόσωπο από τα φερόμενα ως εμπλεκόμενα στο κύκλωμα τοκογλυφίας που ήταν συνδικαιούχος σε τραπεζικούς λογαριασμούς που τηρούσε η προσφεύγουσα ήταν ο σύζυγος της. Συνεπώς η απόφαση της Αρχής έσφαλε ως προς τούτο και διορθώθηκε με νέα απόφαση (58/2015), ανεξαρτήτως αν η επίδικη αναφορά καμία επίπτωση δεν έχει στην ουσιαστική κρίση της Αρχής για τη νομιμότητα της επεξεργασίας των δεδομένων της προσφεύγουσας από την τράπεζα.

Με την υπ' αριθμ. 48/2015 απόφαση της, η Αρχή έκρινε ότι η Citibank, ως υπεύθυνος επεξεργασίας, αναζήτησε δεδομένα πιστοληπτικής ικανότητας του προσφεύγοντος που τηρούνται στο αρχείο της ΤΕΙΡΕΣΙΑΣ ΑΕ σχετικά με την πιστοληπτική του ικανότητα για παράνομο σκοπό, αφού ο προσφεύγων δεν διατηρούσε καμία συναλλακτική σχέση με τη συγκεκριμένη τράπεζα και δεν ικανοποίησε το ασκηθέν δικαίωμα πρόσβασης του προσφεύγοντος. Η Αρχή έκρινε ότι η πρόσβαση της Τράπεζας στα δεδομένα του προσφεύγοντος στα αρχεία της ΤΕΙΡΕΣΙΑΣ ΑΕ θα πρέπει, σε κάθε περίπτωση, για να είναι νόμιμη, να συνάδει με τις εκ του νόμου προβλεπόμενες προϋποθέσεις και με τους σκοπούς επεξεργασίας των δεδομένων των διατραπεζικών αρχείων της ΤΕΙΡΕΣΙΑΣ ΑΕ. Επιπροσθέτως, προέκυψε ότι η Citibank, ως υπεύθυνος επεξεργασίας, δεν έχει λάβει κατάλληλα οργανωτικά μέτρα, σύμφωνα με το άρθρο 10 του Ν. 2472/1997, τόσο προς τεκμηρίωση των αναζητήσεων στα αρχεία της ΤΕΙΡΕΣΙΑΣ ΑΕ, όσο και προς άμεσο έλεγχο και απόδειξη των νόμιμων λόγων αναζήτησης, οποτεδήποτε αυτό απαιτηθεί.

Για τους λόγους αυτούς, η Αρχή επέβαλε στη Citibank, ως υπεύθυνο επεξεργασίας, α) πρόστιμο ύψους οκτώ χιλιάδων ευρώ για παράνομη επεξεργασία των δεδομένων πιστοληπτικής ικανότητας του προσφεύγοντος, και β) πρόστιμο ύψους οκτώ χιλιάδων ευρώ για μη ικανοποίηση του δικαιώματος πρόσβασης του προσφεύγοντος, απηύθυνε δε σύσταση στην τράπεζα να λάβει κατάλληλα οργανωτικά και τεχνικά μέτρα σχετικά με την τεκμηρίωση των αναζητήσεων που πραγματοποιούν οι εξουσιοδοτημένοι προς τούτο υπάλληλοι της στα αρχεία της ΤΕΙΡΕΣΙΑΣ ΑΕ.

Η Αρχή εξέτασε την προσφυγή υποκειμένου αναφορικά με παράνομη επεξεργασία προσωπικών του δεδομένων σχετικά με την πιστοληπτική του ικανότητα από την τράπεζα Eurobank και, συγκεκριμένα, αναζήτηση στοιχείων βαθμολογικής συμπεριφοράς (score) από την ΤΕΙΡΕΣΙΑΣ ΑΕ. Κατά την εξέταση της υπόθεσης δεν αποδείχθηκε ότι η πρόσβαση της τράπεζας στο αρχείο ΣΣΧ της ΤΕΙΡΕΣΙΑΣ και η έρευνα των στοιχείων πιστοληπτικής ικανότητας του προσφεύγοντος διενεργήθηκαν νομίμως, αφού η Τράπεζα όφειλε να είχε λάβει ειδική συγκατάθεση για τη συλλογή δεδομένων από το Σύστημα Βαθμολογικής Συμπεριφοράς της ΤΕΙΡΕΣΙΑΣ, η οποία πρέπει να είναι ξεχωριστή από τη συγκατάθεση που δίνει το υποκείμενο των δεδομένων για τους σκοπούς εκτέλεσης της σύμβασης χορήγησης πίστωσης δανείων και λοιπών τραπεζικών προϊόντων. Τέτοια όμως συγκατάθεση ούτε ισχυρίστηκε ούτε απέδειξε η τράπεζα ότι έλαβε από τον προσφεύγοντα. Επιπλέον, η Τράπεζα με την πρώτη της απάντηση, η οποία ήταν και κατ' ομολογία της αναληθής, δεν ικανοποίησε το δικαίωμα πρόσβασης του προσφεύγοντος, χρειάστηκε δε περίπου έξι μήνες μετά την πρώτη παρέμβαση της Αρχής προκειμένου να απαντήσει με πληρότητα και ακρίβεια σχετικά με τον σκοπό και την εξέλιξη της εν λόγω επεξεργασίας, γεγονός που καταδεικνύει μη προσήκουσα ικανοποίηση του δικαιώματος πρόσβασης.

Ακολούθως, η Αρχή, με την με αριθμ. 71/2015 απόφαση της, επέβαλε πρόστιμο ύψους πέντε χιλιάδων ευρώ για παράνομη επεξεργασία δεδομένων και πρόστιμο ύψους πέντε χιλιάδων ευρώ για μη ικανοποίηση του δικαιώματος πρόσβασης, απηύθυνε δε προς την τράπεζα την κύρωση της προειδοποίησης να μεριμνήσει ώστε στο έντυπο της αίτησης/σύμβασης να υπάρχει ειδική ενημέρωση για το Σύστημα ΣΣΧ και το Σύστημα Βαθμολογικής Συμπεριφοράς και ότι, σε περίπτωση πρόσβασης στα εν λόγω συστήματα, απαιτείται η λήψη ειδικής συγκατάθεσης προς τούτο και να ενημερώσει σχετικά την Αρχή εντός δυο μηνών από τη λήψη της παρούσας.

Η Αρχή εξέτασε προσφυγή υποκειμένου αναφορικά με παραβίαση του τραπεζικού απορρήτου των προσωπικών και εταιρικών λογαριασμών που διατηρεί στην τράπεζα Eurobank. Από την εξέταση της προσφυγής προέκυψε πλημμελής τήρηση οργανωτικών και τεχνικών μέτρων για την ασφάλεια των δεδομένων και την προστασία τους από παράνομη ή αθέμιτη επεξεργασία που οδήγησαν σε μη νόμιμες πράξεις επεξεργασίας (πρόσβαση και άντληση) στις οποίες υποβλήθηκαν τα δεδομένα της προσφεύγουσας από υπαλλήλους της τράπεζας. Η Αρχή, με τη με αριθμ. 70/2015 απόφαση της, επέβαλε στην τράπεζα, ως υπεύθυνο επεξεργασίας, πρόστιμο για παράνομη επεξεργασία δεδομένων της προσφεύγουσας και για μη τήρηση κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας, η οποία οδήγησε σε μη εξουσιοδοτημένες προσβάσεις υπαλλήλων της στα προσωπικά δεδομένα της προσφεύγουσας. Της απηύθυνε δε σύσταση να λάβει κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από παράνομη ή αθέμιτη επεξεργασία, ώστε να τεκμηριώνονται επαρκώς οι προσβάσεις που πραγματοποιούν οι εξουσιοδοτημένοι προς τούτο υπάλληλοι της στους λογαριασμούς των πελατών της. Περαιτέρω, στην ειδική περίπτωση καταγγελίας για αθέμιτη πρόσβαση σε λογαριασμό πελάτη, συστήθηκε στην τράπεζα να ακολουθεί ορθές διαδικασίες προκειμένου να διασφαλίσει ότι η διερεύνηση της καταγγελίας διεξάγεται κατά τρόπο που να συνάδει με τις αρχές της ψηφιακής εγκληματολογίας, στο βαθμό που ακολουθούνται διεθνώς αποδεκτές πρακτικές συλλογής και ανάλυσης ψηφιακών πειστηρίων.

Μετά από έλεγχο που διενήργησε η Αρχή στην εταιρεία με την επωνυμία «ICAP GROUP ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ ΠΛΗΡΟΦΟΡΗΣΗ ΣΥΜΒΟΥΛΟΙ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΥΠΗΡΕΣΙΕΣ ΠΡΟΣ ΕΠΙΧΕΙΡΗΣΕΙΣ», εξέδωσε τη με αριθμ. 65/2015 απόφαση. Λαμβάνοντας υπόψη τον ιδιαίτερα μεγάλο αριθμό από φυσικά πρόσωπαεπιτηδευματίες, των οποίων τα δεδομένα έτυχαν παράνομης επεξεργασίας, και τα οποία είναι εξαιρετικά πιθανό να υπέστησαν εν αγνοία τους τις συνέπειες των προαναφερθέντων παράνομων πράξεων στο πλαίσιο των συναλλαγών τους, η Αρχή επέβαλε ως κύρωση χρηματικό πρόστιμο εκατό χιλιάδων ευρώ στην ALPHA BANK για παράνομη διάθεση/χορήγηση δεδομένων των αρχείων ΣΑΥ/ΣΥΠ και ΣΣΧ της ΤΕΙΡΕΣΙΑΣ ΑΕ στην ICAP, καθώς και τριάντα χιλιάδων ευρώ για παράλειψη γνωστοποίησης στην Αρχή βασικών χαρακτηριστικών της επεξεργασίας, όπως, ιδίως, τα στοιχεία του εκτελούντος, τη διεύθυνση του αρχείου και του εξοπλισμού που υποστηρίζει την εν λόγω επεξεργασία (βλ. σχετικά και ενότητα 3.6.2).
Όπως αποδείχθηκε, δυνάμει της τότε υφιστάμενης σύμβασης με την ALPHA BANK, η ICAP απέκτησε πρόσβαση στα στοιχεία της ΤΕΙΡΕΣΙΑΣ ως εκτελούσα την επεξεργασία για λογαριασμό της Τράπεζας. Παρά τις συμβατικές δεσμεύσεις της ότι θα ελέγχει συστηματικά τις προσβάσεις της ICAP στην ΤΕΙΡΕΣΙΑΣ μέσω σύγκρισης τους με τις αιτήσεις για χορήγηση καρτών, η τράπεζα δεν έδωσε οδηγίες για «κατάλληλη πρόσβαση» της ICAP στα αρχεία της ΤΕΙΡΕΣΙΑΣ, ενώ προέκυψε ότι ο αριθμός των προσβάσεων των χρηστών της ICAP στο σύστημα της ΤΕΙΡΕΣΙΑΣ το διάστημα εκείνο ήταν ιδιαίτερα μεγαλύτερος και εξαιρετικά δυσανάλογος σε σχέση με τον αριθμό των πελατών της ALPHA BANK, για τους οποίους η Τράπεζα ζήτησε υπηρεσίες από την ICAP
ΤΕΙΡΕΣΙΑΣ ΑΕ
Η Αρχή, επέβαλε, με την υπ' αριθμ. 64/2015 απόφαση της, στην ΤΕΙΡΕΣΙΑΣ ΑΕ χρηματικό πρόστιμο τριάντα χιλιάδων ευρώ για παράλειψη λήψης μέτρων κατά τη διάθεση/χορήγηση δεδομένων των αρχείων της ΣΑΥ/ ΣΥΠ και ΣΣΧ στην εταιρεία ICAP GROUP και προειδοποίηση να διαφοροποιήσει τα δικαιώματα πρόσβασης στα αρχεία ΣΑΥ/ΣΥΠ και ΣΣΧ.
Η Αρχή πραγματοποίησε επιτόπιο έλεγχο στην έδρα της εταιρείας ICAP GROUP κατά τον οποίο διαπιστώθηκε ότι οι υπάλληλοι της ICAP είχαν πρόσβαση στην ηλεκτρονική εφαρμογή της ΤΕΙΡΕΣΙΑΣ για χρονικό διάστημα τουλάχιστον τριών ετών (2011 έως και τέλος του 2013) με χρήση συγκεκριμένων κωδικών που είχαν εκδοθεί από την ΤΕΙΡΕΣΙΑΣ ΑΕ για την ALPHA BANK και αποδοθεί από την ALPHA BANK στην εκτελούσα την επεξεργασία ICAP. Όπως αναφέρθηκε και στην ενότητα 3.6.1, αποδείχθηκε ότι ο αριθμός των προσβάσεων των χρηστών της ICAP στο σύστημα της ΤΕΙΡΕΣΙΑΣ ήταν ιδιαίτερα μεγάλος και εξαιρετικά δυσανάλογος σε σχέση με τον αριθμό των πελατών της ALPHA BANK, για τους οποίους η Τράπεζα ζήτησε και έλαβε υπηρεσίες από την ICAP Διαπιστώθηκε επίσης ότι τόσο η ΤΕΙΡΕΣΙΑΣ όσο και η ALPHA BANK δεν διερεύνησαν σε καμία χρονική στιγμή τη νομιμότητα των εν λόγω προσβάσεων.
Η Αρχή έκρινε ότι η ΤΕΙΡΕΣΙΑΣ δεν κατόρθωσε να αποδείξει στην Αρχή ότι διαθέτει τα κατάλληλα μέτρα ασφάλειας μετά οποία μπορεί να διαπιστωθεί μια «μη συνήθης» επεξεργασία των δεδομένων των αρχείων ΣΑΥ/ΣΥΠ και ΣΣΧ και περαιτέρω ότι, λόγω της μη πρόβλεψης της να υπάρχει διαφοροποιημένη πρόσβαση στις αιτήσεις δημιουργίας λογαριασμών πρόσβασης στα αρχεία της, τα σχετικά δεδομένα τέθηκαν σε αυξημένο κίνδυνο απαγορευμένης διάδοσης, καθώς αποδείχθηκε ότι η ICAP δεν αναζητούσε στοιχεία μόνο στη μαύρη λίστα, αλλά και στη λευκή και, μάλιστα, συγκέντρωσε περισσότερα από τη λευκή. Από τη στιγμή που η ICAP είχε αποδεδειγμένη πρόσβαση σε αυτά σε τακτική βάση, δεν χωρεί αμφιβολία ότι τα χρησιμοποιούσε ή ότι τουλάχιστον μπορούσε ευχερέστατα να τα χρησιμοποιήσει για άλλους σκοπούς (π.χ. προφορική ενημέρωση δικών της πελατών ή επαλήθευση πληροφοριώνταυτοποίηση υποκειμένων).
Κατά της με αριθμ. 64/2015 απόφασης της Αρχής, η εταιρεία ΤΕΙΡΕΣΙΑΣ ΑΕ υπέβαλε αίτηση θεραπείας ζητώντας να ανακληθεί, ή άλλως να τροποποιηθεί, η ανωτέρω απόφαση και να απαλειφθεί το σε βάρος της εταιρείας χρηματικό πρόστιμο. Η Αρχή στη με αριθμ. 138/2015 απόφαση της απέρριψε τα επιχειρήματα της εταιρείας σχετικά με την αδυναμία ελέγχου του αποδέκτη των αρχείων της ως αλυσιτελή, με την αιτιολογία ότι η κύρωση που επιβλήθηκε στην ΤΕΙΡΕΣΙΑΣ δεν συνιστά διαπίστωση της επέκτασης της ευθύνης της εταιρείας για τις πράξεις ή παραλείψεις της τράπεζας, αλλά διαπίστωση της ίδιας της ευθύνης της εταιρείας, στο μέτρο που αυτή γνώριζε ότι η ICAP δεν μπορούσε άλλως να είναι νόμιμος αποδέκτης των δεδομένων των αρχείων της ΤΕΙΡΕΣΙΑΣ και ιδίως της λευκής λίστας (ΣΣΧ). Όπως τελικά αποδείχθηκε, οι 26 κωδικοί τους οποίους είχε η ΤΕΙΡΕΣΙΑΣ παραχωρήσει σε γνωστούς χρήστες της ICAP είχαν πρόσβαση ανεξέλεγκτα και στο απαγορευμένο ΣΣΧ.

Εταιρείες Ενημέρωσης Οφειλετών
Υποβλήθηκε στην Αρχή προσφυγή κατά τράπεζας για ανάθεση εργασίας ενημέρωσης και διακανονισμού ληξιπρόθεσμης οφειλής σε εταιρεία ενημέρωσης οφειλετών, υπολαμβάνοντας την τυχόν εμπλοκή της ως άνω εταιρείας, ειδικά για τον διακανονισμό, ως παράνομη.
Επίσης, υποβλήθηκε στην Αρχή προσφυγή για μη ικανοποίηση του αιτήματος που υπέβαλε ο προσφεύγων προς την καταγγελλόμενη τράπεζα να μην ανακοινώνει τα προσωπικά του δεδομένα σε εταιρείες ενημέρωσης οφειλετών, υπολαμβάνοντας ότι για την ανακοίνωση αυτή απαιτείται η συγκατάθεση του.

Η Αρχή, επισήμανε ότι με τον Ν. 3758/2009 «Εταιρείες ενημέρωσης οφειλετών για ληξιπρόθεσμες απαιτήσεις και άλλες διατάξεις», όπως τροποποιήθηκε και ισχύει, κατ' αρχάς προβλέπεται ότι οι δανειστές έχουν δικαίωμα, υπό συγκεκριμένους όρους, να χορηγούν στις εταιρείες ενημέρωσης οφειλετών στοιχεία σχετικά με ληξιπρόθεσμες απαιτήσεις έναντι των τελευταίων, για τους προβλεπόμενους νόμιμους σκοπούς: α) της ενημέρωσης των οφειλετών για την ύπαρξη ληξιπρόθεσμων οφειλών τους, και β) τη διαπραγμάτευση του χρόνου, του τρόπου και των λοιπών όρων αποπληρωμής αυτών (δηλ. τη ρύθμιση ή τον διακανονισμό οφειλής), κατ' εντολή και για λογαριασμό των δανειστών (βλ., ιδίως, άρθρα 3 παρ. 3, 4 παρ. 2, 8 παρ. 3 Ν. 3758/2009, όπως τροποποιήθηκε και ισχύει). Περαιτέρω, ρυθμίζονται το πλαίσιο λειτουργίας των εταιρειών ενημέρωσης οφειλετών και οι ειδικότερες υποχρεώσεις που συνεπάγεται η υπηρεσία αυτή τόσο για τις ως άνω εταιρείες, όσο και για τους δανειστές. Επί επιτρεπτής επεξεργασίας, όπως στην περίπτωση του άρθρου 5 παρ. 2 στοιχ. α' του Ν. 2472/1997 (επεξεργασία αναγκαία για την εκτέλεση σύμβασης), η χορήγηση/ανακοίνωση των στοιχείων οφειλετών από τον δανειστή υπεύθυνο επεξεργασίας προς την εκάστοτε συνεργαζόμενη με αυτόν εταιρεία ενημέρωσης οφειλετών εκτελούσα την επεξεργασία επιτρέπεται και χωρίς τη συγκατάθεση του οφειλέτη υποκειμένου των δεδομένων, με την προϋπόθεση ότι ο δανειστής έχει ενημερώσει με σαφήνεια τον οφειλέτη για την κατηγορία αυτή αποδεκτών των δεδομένων του. Σε κάθε περίπτωση, οι υποχρεώσεις για το απόρρητο και την ασφάλεια της επεξεργασίας πρέπει να τηρούνται απαρεγκλίτως και τα προσωπικά δεδομένα να μην χρησιμοποιούνται για άλλους σκοπούς.
Επισημάνθηκε, επίσης, ότι η γενική κατά κανόνα εποπτεία της δραστηριότητας των εταιρειών ενημέρωσης οφειλετών και της υπηρεσίας ενημέρωσης οφειλετών, είτε αυτή ενεργείται από εταιρείες ενημέρωσης οφειλετών είτε από τον ίδιο τον δανειστή (αρθρ. 10 Ν. 3758/2009, όπως τροποποιήθηκε και ισχύει), ανήκει στην αρμοδιότητα του Υπουργείου Ανάπτυξης/Γενικής Γραμματείας Καταναλωτή. Ενώ η Αρχή έχει ειδική κατ' εξαίρεση αρμοδιότητα για συγκεκριμένες μόνο παραβάσεις του Ν. 3758/2009 (παραβάσεις σχετικές με την ενημέρωση του οφειλέτη, την επιβεβαίωση οφειλής ή/ και ταυτοποίηση του οφειλέτη, το απόρρητο και την ασφάλεια της επεξεργασίας, το ηλεκτρονικό αρχείο με στοιχεία πραγματοποιηθείσας επικοινωνίας και το αρχείο καταγεγραμμένων συνομιλιών) (Γ/ΕΞ/3606/24062015, Γ/ΕΞ/37041/04082015).

Τέλος, κατόπιν καταγγελίας για όχληση του προσφεύγοντα από πάροχο ηλεκτρονικών επικοινωνιών για καταβολή οφειλής άλλου πελάτη και παραδοχή της εταιρείας ότι οι τηλεφωνικές οχλήσεις στο κινητό τηλέφωνο του προσφεύγοντα έγιναν εκ παραδρομής λόγω αναριθμητισμού, η Αρχή με το με αριθμ. Γ/4303/04082015 έγγραφο της, απηύθυνε σύσταση στον δανειστήπάροχο ηλεκτρονικών επικοινωνιών για την τήρηση της υποχρέωσης του ελέγχου της ακρίβειας των στοιχείων οφειλέτη πριν από τη διενέργεια υπηρεσίας ενημέρωσης οφειλετών.

Ενημέρωση δια του Τύπου
Η Αρχή, με την υπ' αριθμ. 80/2015 απόφαση της, χορήγησε άδεια στην εταιρεία «ΜΑΚΡΟ ΚΑΣ & ΚΑΡΥ ΧΟΝΔΡΕΜΠΟΡΙΚΗ ΑΝΩΝΥΜΟΣ ΕΜΠΟΡΙΚΗ ΕΤΑΙΡΕΙΑ», ως απορροφώμενη εταιρεία, για την ενημέρωση δια του Τύπου των πελατών της περί της μεταβίβασης του πελατολογίου και των λοιπών κατά τα ανωτέρω στοιχείων τους στην απορροφώσα εταιρεία «ΙΝΩ Εισαγωγές και Εμπορία Αγαθών Παροχή Ηλεκτρονικών Υπηρεσιών και Εκμετάλλευση Ακινήτων Ανώνυμος Εταιρεία», λαμβανομένου υπόψη ότι η ατομική ενημέρωση τους καθίσταται δυσχερής λόγω του μεγάλου αριθμού τους, ενώ παράλληλα το κόστος σε χρόνο και τέλη των ατομικών ταχυδρομικών επιστολών είναι υψηλό.

Η Αρχή έκρινε πως σύμφωνα με το άρθρο 7Α παρ. 1β του Ν. 2472/1997, η επεξεργασία δεδομένων του πελατολογίου για τον σκοπό εκπλήρωσης της πελατειακής σχέσης δεν προϋποθέτει την υποχρέωση γνωστοποίησης στην Αρχή. Η συγχώνευση ανωνύμων εταιρειών εξομοιώνεται με καθολική διαδοχή και η απορροφώσα εταιρία υπεισέρχεται στο σύνολο των δικαιωμάτων και των υποχρεώσεων της παλαιάς εταιρείας, εν προκειμένω, η αποκτώσα εταιρία υπεισέρχεται στα δικαιώματα και υποχρεώσεις του υπευθύνου επεξεργασίας κατά τον Ν. 2472/1997. Ο σκοπός της επεξεργασίας των προσωπικών δεδομένων των πελατών είναι ο ίδιος με τον σκοπό για τον οποίο είχαν ενημερωθεί οι πελάτες κατά τη συλλογή των στοιχείων τους, τα προσωπικά δεδομένα θα συνεχίσουν να τηρούνται και να υπόκεινται σε επεξεργασία στους ίδιους χώρους, τα δε δικαιώματα πρόσβασης και αντίρρησης εξακολουθούν να ισχύουν.

Περιστατικό παραβίασης δεδομένων
Η Αρχή εξέτασε καταγγελία αναφορικά με περιστατικό διαρροής δεδομένων πιστωτικών καρτών από ηλεκτρονικό σύστημα κρατήσεων ξενοδοχείου, το οποίο της κοινοποιήθηκε από τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια των Δικτύων και Πληροφοριών (ENISA). Συγκεκριμένα, ο ENISA ενημέρωσε την Αρχή ότι διέρρευσαν δεδομένα πιστωτικών καρτών τριών ατόμων, τα οποία θα συμμετείχαν σε συνέδριο που διοργάνωνε ο ENISA και στο πλαίσιο αυτό είχαν προβεί σε ηλεκτρονική κράτηση για τη διαμονή τους στο ξενοδοχείο Royal Olympic, όπου και είχαν εισάγει στο σχετικό ηλεκτρονικό σύστημα τα δεδομένα των πιστωτικών τους καρτών. Η εν λόγω διαρροή είχε δυσμενείς συνέπειες για τα υποκείμενα των δεδομένων, καθώς έγιναν χρεώσεις αλλά και απόπειρες χρεώσεων των πιστωτικών τους καρτών.
Κατά την εξέταση της υπόθεσης διαπιστώθηκε ότι δεν είχαν ληφθεί ενδεδειγμένα μέτρα ασφάλειας της επεξεργασίας, τα οποία θα απέτρεπαν την εμφάνιση του εν λόγω περιστατικού γενεσιουργό αιτία του οποίου, όπως προέκυψε από την εξέταση της υπόθεσης, αποτέλεσε το γεγονός ότι άγνωστος χρήστης συνδέθηκε απομακρυσμένα στο εν λόγω ηλεκτρονικό σύστημα γνωρίζοντας τον κωδικό πρόσβασης ενός εξουσιοδοτημένου χρήστη. Ειδικότερα, διαπιστώθηκε ότι η ηλεκτρονική πλατφόρμα που χρησιμοποιούνταν από τον υπεύθυνο επεξεργασίας (την ως άνω επιχείρηση) για τις διαδικτυακές κρατήσεις των πελατών του τηρούσε αυτούσιο το σύνολο των δεδομένων των πιστωτικών τους καρτών, ήτοι τον αριθμό της κάρτας, τον αριθμό ασφαλείας αυτής αλλά και την ημερομηνία λήξης της, καθώς επίσης και ότι δεν είχαν ενεργοποιηθεί ισχυροί μηχανισμοί αυθεντικοποίησης των χρηστών του συστήματος. Η Αρχή, με την απόφαση 85/2015, επέβαλε πρόστιμο πέντε χιλιάδων ευρώ στον υπεύθυνο επεξεργασίας για τη μη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας, σύμφωνα με τα οριζόμενα στο άρθρο 10 του Ν. 2472/1997, η οποία οδήγησε σε περιστατικό παραβίασης προσωπικών δεδομένων. Με την ίδια απόφαση η Αρχή απηύθυνε προειδοποίηση στον υπεύθυνο επεξεργασίας όπως λάβει αμελλητί συγκεκριμένα μέτρα για την ασφάλεια της επεξεργασίας των δεδομένων των πελατών του.

Εκτίμηση πιστωτικού κινδύνου στην κινητή τηλεφωνία
Η Αρχή προέβη σε γνωμοδότηση (υπ' αριθμ. 1/2015), σύμφωνα με το άρθρο 19 στοιχ. ιγ' εδάφιο δεύτερο του Ν. 2472/1997, επί αιτήματος της Ένωσης Εταιρειών Κινητής Τηλεφωνίας (ΕΕΚΤ) σχετικά με τη σύσταση φορέα για την εκτίμηση του πιστωτικού κινδύνου στην κινητή τηλεφωνία. Συγκεκριμένα, το αίτημα αφορούσε τη δημιουργία κοινού αρχείου με δεδομένα οικονομικής συμπεριφοράς (ασυνέπειας) συνδρομητώνπελατών, φυσικών και νομικών προσώπων, των εταιρειών κινητής τηλεφωνίας, ώστε οι τελευταίες να προβαίνουν σε έλεγχο φερεγγυότητας του υποψήφιου πελάτη για νέα σύνδεση κινητής τηλεφωνίας.
Ενόψει του ότι σκοπός της υπό κρίση επεξεργασίας είναι η πραγματοποίηση αποτελεσματικού προσυμβατικού πιστοληπτικού ελέγχου, δηλαδή ένας σκοπός που περιλαμβάνεται στη γενικότερη επιχειρηματική δραστηριότητα των εταιρειών κινητής τηλεφωνίας, η Αρχή έκρινε ότι η επεξεργασία των «απλών» προσωπικών δεδομένων (στοιχεία ταυτότητας, ΑΦΜ, οφειλή) του συνδρομητή ή χρήστη για την ικανοποίηση του έννομου συμφέροντος του παρόχου ως εμπόρου/επιχειρηματία να επιδιώξει την εξυγίανση των συναλλαγών στον κλάδο του, συμφέρον που αναγνωρίζεται σε οποιονδήποτε ασκεί εμπορικές δραστηριότητες, εμπίπτει στο πεδίο εφαρμογής του Ν. 2472/1997 και όχι του Ν. 3471/2006, και συνακόλουθα εξετάζεται κατά πόσο η υπό κρίση επεξεργασία πληροί τους όρους του άρθρου 5 παρ. 2 στοιχ. ε' του Ν. 2472/1997. Εξάλλου, και ο Ν. 3471/2006 παραπέμπει (βλ. άρθρο 3 παρ. 2) στον Ν. 2472/1997, για κάθε ζήτημα σχετικό με την παροχή υπηρεσιών ηλεκτρονικών επικοινωνιών, που δεν ρυθμίζεται ειδικότερα και εξαντλητικά ή αρνητικά από τον νόμο αυτό (βλ. και άρθρο 5 παρ. 2 εδ. β' Ν. 3471/2006).
Κατ' αρχάς, ο σκοπός της εν λόγω επεξεργασίας κρίθηκε σαφής, θεμιτός και νόμιμος, δεδομένου ότι η ζημία του κλάδου των εταιρειών κινητής τηλεφωνίας για το χρονικό διάστημα 2007-2013 φαίνεται σημαντικά υψηλή, με βάση τις επικαλούμενες σχετικές οικονομικές μελέτες. Επιπρόσθετα, με βάση την «απάντηση» που θα λαμβάνει ο πάροχος από το Σύστημα Ανταλλαγής Πληροφόρησης, θα μπορεί να αποφασίσει εάν είναι σκόπιμο να προβεί σε κάποια συμπληρωματικά μέτρα με σκοπό τη μείωση του πιστωτικού κινδύνου, αλλά και την προστασία του συνδρομητή, π.χ. να ζητήσει εγγύηση, να καθοδηγήσει κατάλληλα τον υποψήφιο συνδρομητή σε ένα οικονομικό πρόγραμμα που ανταποκρίνεται στις οικονομικές του δυνατότητες και να εξετάσει τα όρια παροχής επιδότησης τηλεπικοινωνιακού εξοπλισμού σε σχέση με την αξία αυτού που ζητεί ο πελάτης. Περαιτέρω, τα «απλά» προσωπικά δεδομένα που θα τύχουν επεξεργασίας (στοιχεία ταυτότητας, ΑΦΜ, οφειλή ενεργού συνδρομητή ίση ή μεγαλύτερη των 200 ευρώ ή οφειλή ανενεργού συνδρομητή που δεν πλήρωσε ποτέ κανέναν λογαριασμό) είναι συναφή, πρόσφορα και όχι περισσότερα από όσα απαιτείται για την εκπλήρωση του επιδιωκόμενου σκοπού.
Ενόψει όλων αυτών, η Αρχή έκρινε ότι συντρέχει η περίπτωση του υπέρτερου εννόμου συμφέροντος του συγκεκριμένου επιχειρηματικού κλάδου, ωστόσο έθεσε κάποιους περιορισμούς στη χρήση του Συστήματος Ανταλλαγής Πληροφόρησης, όπως ότι δεν μπορεί να χρησιμοποιηθεί προκειμένου να αποκλειστεί εντελώς ο καταναλωτής από τηλεπικοινωνιακές υπηρεσίες που είναι ιδιαιτέρως σημαντικές για την καθημερινή του ζωή ή για να αποκλειστεί από τη δυνατότητα φορητότητας (αφού άλλωστε τούτο πλέον αποτελεί δικαίωμα του συνδρομητή με βάση το νέο Κανονισμό Φορητότητας). Επίσης, η ένταξη ενός συνδρομητή στο σύστημα δεν επιτρέπεται να συνεπάγεται τη λήψη αυτοματοποιημένων αποφάσεων από τον πάροχο (άρθρο 14 Ν. 2472/1997), αλλά αντίθετα, ο πάροχος μπορεί να χρησιμοποιεί το Σύστημα ως συμπληρωματικό και συμβουλευτικό εργαλείο κατά τη διαδικασία σύναψης σύμβασης με υποψήφιους συνδρομητές. Τέλος, η Αρχή προχώρησε σε ειδικότερες επισημάνσεις αναφορικά με τους όρους νομιμότητας του αρχείου, την ικανοποίηση των δικαιωμάτων ενημέρωσης, πρόσβασης, αντίρρησης των υποκειμένων των δεδομένων, την τήρηση του απορρήτου και της ασφάλειας της επεξεργασίας, κ.λπ.
Ωστόσο, όπως επισημάνθηκε, η υπό κρίση επεξεργασία προσωπικών δεδομένων κρίνεται νόμιμη, μόνον από απόψεως εφαρμογής του Ν. 2472/1997, και όχι άλλων διατάξεων (όπως δικαίου ανταγωνισμού και προστασίας καταναλωτή), η εφαρμογή των οποίων καταρχήν εκφεύγει της αρμοδιότητας της, κυριαρχικώς δε ανήκουν στην Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων.

Υπηρεσίες Διαδικτύου Νέες Τεχνολογίες
Παρατηρήσεις της Αρχής επί των προδικαστικών ερωτημάτων του έκτου πολιτικού τμήματος του ανωτάτου ομοσπονδιακού δικαστηρίου Bundesgerichtshof της Γερμανίας προς το Δικαστήριο της Ευρωπαϊκής Ένωσης (C582/14) (αρ. Γ/ΕΞ/9171/10032015)
Με το με αριθμ. 683/Φ.2478, 621015 (ΑΠΔΠΧ Γ/ ΕΙΣ/917/12022015) έγγραφο του Νομικού Συμβουλίου του Κράτους, Γραφείου Νομικού Συμβούλου, Υπουργείου Εξωτερικών ζητήθηκαν οι παρατηρήσεις της Αρχής επί των προδικαστικών ερωτημάτων του έκτου πολιτικού τμήματος του Bundesgerichtshof της Γερμανίας προς το Δικαστήριο της Ευρωπαϊκής Ένωσης (C582/14). Τα ερωτήματα έχουν ως εξής:
1)Πρέπει το άρθρο 2, στοιχείο α', της Οδηγίας 95/46/ ΕΚ του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281, σ. 31), να ερμηνευτεί υπό την έννοια ότι η διεύθυνση πρωτοκόλλου του διαδικτύου (IP), την οποία αποθηκεύει ο φορέας παροχής υπηρεσιών στο πλαίσιο προσβάσεως στην ιστοσελίδα του, αποτελεί ως προς εκείνον δεδομένο προσωπικού χαρακτήρα σε περίπτωση που τρίτος, εν προκειμένω ο φορέας παροχής υπηρεσιών προσβάσεως στο διαδίκτυο, διαθέτει τις πρόσθετες γνώσεις που απαιτούνται για την εξακρίβωση της ταυτότητας του θιγόμενου προσώπου;
2)Αντιτίθεται το άρθρο 7, στοιχείο στ1, της Οδηγίας 95/46/ΕΚ σε εθνική κανονιστική ρύθμιση κατά την οποία ο φορέας παροχής υπηρεσιών δύναται να συλλέγει και να χρησιμοποιεί δεδομένα προσωπικού χαρακτήρα των χρηστών χωρίς τη συναίνεση τους μόνο προκειμένου, εφόσον τούτο είναι αναγκαίο, να καταστεί δυνατή και να τιμολογηθεί η συγκεκριμένη χρήση του τηλεμέσου από τους εκάστοτε χρήστες, και κατά την οποία ο σκοπός διασφαλίσεως της γενικής λειτουργικότητας του τηλεμέσου δεν μπορεί να δικαιολογήσει τη χρησιμοποίηση των δεδομένων μετά τη λήξη της εκάστοτε χρήσεως του τηλεμέσου;
Αναφορικά με τα ανωτέρω ερωτήματα η Αρχή παρατήρησε σχετικά τα παρακάτω:
1.Σύμφωνα με την Οδηγία 95/46/ΕΚ, αιτιολογική σκέψη 26, οι αρχές της προστασίας πρέπει να εφαρμόζονται σε κάθε πληροφορία που αφορά πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί. Ότι, για να διαπιστωθεί αν η ταυτότητα ενός προσώπου μπορεί να εξακριβωθεί, πρέπει να λαμβάνεται υπόψη το σύνολο των μέσων που μπορούν ευλόγως να χρησιμοποιηθούν, είτε από τον υπεύθυνο της επεξεργασίας, είτε από τρίτο. Οι αρχές της προστασίας δεν εφαρμόζονται σε δεδομένα που έχουν καταστεί ανώνυμα, κατά τρόπο ώστε να μην μπορεί να εξακριβωθεί πλέον η ταυτότητα του προσώπου στο οποίο αναφέρονται.
2.Στη Γνώμη 4/2007 (WP 136) της Ομάδας Εργασίας του άρθρου 29, σελ. 21, αναφέρεται ότι «εκτός κι αν ο πάροχος είναι σε θέση να διαπιστώσει με απόλυτη βεβαιότητα ότι τα δεδομένα αντιστοιχούν σε χρήστες που δεν μπορούν να αναγνωρισθούν, πρέπει να αντιμετωπίζει όλες τις πληροφορίες IP ως δεδομένα προσωπικού χαρακτήρα».
3.Εκτός από τους φορείς παροχής προσβάσεως στο διαδίκτυο, και άλλοι τρίτοι, πάροχοι υπηρεσιών διαδικτύου μπορεί να είναι σε θέση να εξακριβώσουν την ταυτότητα του χρήστη, εφόσον ο ίδιος έχει δηλώσει στο πλαίσιο της χρήσεως τα προσωπικά του στοιχεία. Το ρόλο δηλαδή του τρίτου, ο οποίος μπορεί με εύλογα μέσα (Οδηγία 95/46/ΕΚ, αιτιολογική σκέψη 26) να εξακριβώσει την ταυτότητα του χρήστη μπορεί να έχει όχι μόνο ο φορέας παροχής προσβάσεως στο διαδίκτυο αλλά οποιοσδήποτε πάροχος υπηρεσιών διαδικτύου, στον οποίο ο ίδιος ο χρήστης έχει δηλώσει στο πλαίσιο της χρήσεως τα προσωπικά του στοιχεία.
4.Η τυχόν υιοθέτηση της άποψης ότι θα πρέπει οι διευθύνσεις IP, σε περίπτωση αμφιβολίας, να θεωρηθούν «ανώνυμα» δεδομένα έρχεται σε αντίθεση με τον ορισμό των ανώνυμων δεδομένων, όπως αναφέρεται και στην πρόσφατη Γνώμη 5/2014 (WP 216) σχετικά με τις τεχνικές ανωνυμοποίησης, σύμφωνα με την οποία η χρήση ψευδωνύμου δεν συνιστά μέθοδο ανωνυμοποίησης.
5.Σε σχέση με το β' προδικαστικό ερώτημα, ότι εφόσον θεωρηθεί ότι η αποθήκευση των IP διευθύνσεων εμπίπτει στο άρθρο 7 στοιχείο στ) της Οδηγίας 95/46/ΕΚ (βλ. Γνώμη 1/2008 της Ομάδας Εργασίας του άρθρου 29 σχετικά με τα θέματα προστασίας δεδομένων σε σχέση με τις μηχανές αναζήτησης, σελ. 21), θα πρέπει να τηρούνται από τους παρόχους διαδικτύου, η αρχή της αναλογικότητας, η αρχή της ελαχιστοποίησης των δεδομένων, αλλά και να ικανοποιούν το δικαίωμα ενημέρωσης και το δικαίωμα πρόσβασης των χρηστών στα δεδομένα προσωπικού χαρακτήρα (IP διευθύνσεις) που τηρούν.

Δημοσιοποίηση γενετικών τόπων υποκειμένου των δεδομένων σε ιστοσελίδα
Στην Αρχή υποβλήθηκε αίτηση για την ανάκληση και εξαφάνιση της αποφάσεως 29/2012, κατόπιν αμετάκλητης αθωωτικής απόφασης ποινικού δικαστηρίου. Η Αρχή με την απόφαση 45/2015 δέχθηκε ότι η υποβαλλόμενη αίτηση συνιστά νόμιμο λόγο επανεξετάσεως της υπόθεσης (αίτηση θεραπείας). Περαιτέρω, η Αρχή δέχθηκε ότι λαμβάνει υπόψη της τα κριθέντα από αμετάκλητη δικαστική απόφαση ποινικού δικαστηρίου και συγκεκριμένα σέβεται το τεκμήριο αθωότητας του κρινόμενου προσώπου, δεν δεσμεύεται όμως να κρίνει άλλες πτυχές παραβάσεων του Ν. 2472/1997, οι οποίες δεν συνδέονται αρρήκτως ή κινούνται ανεξαρτήτως από τα κριθέντα με την αθωωτική απόφαση του ποινικού δικαστηρίου (αρχή ne bis in idem).
Η Αρχή επισήμανε ότι το ποινικό δικαστήριο διαμόρφωσε τη δικανική του πεποίθηση, συνεκτιμώντας την κατάθεση προσώπου ως μάρτυρα υπερασπίσεως, ο οποίος δήλωσε στο δικαστήριο ότι γνωμοδότησε ως προς το ειδικότερο ζήτημα των γενετικών τόπων STRs στην Αρχή, χωρίς αυτό να αποδεικνύεται από τα τηρούμενα αρχεία της Αρχής, γεγονός το οποίο συνομολογείται και από τον πληρεξούσιο δικηγόρο του αιτούντος. Η Αρχή επανέλαβε την κρίση της προσβαλλόμενης αποφάσεως εφαρμόζοντας τη διάταξη του άρθρου 7 παρ. 2 στοιχ. ζ' του Ν. 2472/1997 σχετικά με την επεξεργασία δεδομένων για δημοσιογραφικούς σκοπούς, ότι δηλαδή για τον προβαλλόμενο σκοπό επεξεργασίας αρκούσε η δημοσίευση λιγότερων πληροφοριών (γεγονός το οποίο συνομολόγησε και ο αιτών), δέχθηκε δε ότι η ανάρτηση ιδιόχειρου σημειώματος στην ιστοσελίδα είναι, λόγω της μεγάλης αμφισβητήσεως που υπήρχε, στα όρια του ανεκτού μέτρου (αναλογικότητας).
Τέλος, η Αρχή επισήμανε ότι σε αντίθεση με τη διαπίστωση υποκειμενικής ευθύνης για τον καταλογισμό ποινικής ευθύνης στο πρόσωπο του δράστη, την ευθύνη για την παράνομη επεξεργασία προσωπικών δεδομένων φέρει από σκοπιάς προστασίας προσωπικών δεδομένων καταρχήν ο υπεύθυνος επεξεργασίας (αντικειμενική ευθύνη), ο οποίος οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου (άρθρο 10 παρ. 2 του Ν. 2472/1997). Συνεπώς, για την ανάρτηση προσωπικών δεδομένων από τον βοηθό του αιτούντος, την ευθύνη φέρει ο αιτών, ως υπεύθυνος επεξεργασίας. Κατόπιν τούτων, η Αρχή με την απόφαση 45/2015 επέβαλε στον αιτούντα διοικητικό πρόστιμο χιλίων ευρώ για την ανάρτηση γενετικών τόπων STRs σε ιστοσελίδα του διαδικτύου κατά παράβαση της αρχής της αναλογικότητας.

Διενέργεια ελέγχων σε εμπορικές εταιρείες

Εταιρείες διαπίστωσης πιστοληπτικής ικανότητας
Η Αρχή, εντός του 2013, πραγματοποίησε τακτικούς ελέγχους με σκοπό την αποτίμηση του βαθμού συμμόρφωσης με το θεσμικό πλαίσιο προστασίας δεδομένων των εταιρειών που δραστηριοποιούνται στον τομέα του ελέγχου πιστοληπτικής ικανότητας νομικών και φυσικών προσώπων. Ελέγχθηκαν οι εταιρείες: Infobank ΑΕ, Ελληνική Εταιρεία Στατιστικών και Οικονομικών Πληροφοριών ΑΕ (Hellastat), Trust Center ΑΕ και ICAP Group. To 2015 ολοκληρώθηκαν οι έλεγχοι και εκδόθηκαν οι σχετικές αποφάσεις αναφορικά με τη δραστηριότητα των εταιρειών αυτών.
Όσον αφορά την εταιρεία INFOBANK, η Αρχή διαπίστωσε πολλές παραβάσεις του Ν. 21472/1997, όπως ότι σημαντικός αριθμός από τα τηρούμενα στα αρχεία της INFOBANK προσωπικά δεδομένα ήταν ανακριβήμη επικαιροποιημένα, τα δυσμενή δεδομένα τηρούνταν για χρονικό διάστημα μεγαλύτερο από το εκ του νόμου προβλεπόμενο διάστημα, δεν γνωστοποιήθηκαν στην Αρχή εγγράφως και χωρίς καθυστέρηση οι μεταβολές της εταιρείας και δεν πραγματοποιούνταν ατομική ενημέρωση των υποκειμένων. Με τη με αριθμ. 46/2015 απόφαση της, η Αρχή επέβαλε στην εταιρεία τέσσερα πρόστιμα συνολικού ύψους εξήντα χιλιάδων ευρώ, την κύρωση της καταστροφής των δεδομένων που τηρούνταν για χρονικό διάστημα μεγαλύτερο από του εκ του νόμου προβλεπόμενο και της απηύθυνε τις συστάσεις αφενός να ενημερώνει τα υποκείμενα των δεδομένων σύμφωνα με όσα αναλυτικά εκτίθενται στο σκεπτικό της απόφασης, καθώς και να υποβάλλει κάθε τυχόν τροποποίηση του εσωτερικού κανονισμού επεξεργασίας προσωπικών δεδομένων στην Αρχή χωρίς καθυστέρηση και, σε κάθε περίπτωση, να ενημερώνει αποδεδειγμένα τους εργαζόμενους σχετικά με τις υποχρεώσεις τους που απορρέουν από τα σχετικά με τον κανονισμό αυτό κείμενα.
Ως προς την εταιρεία με την επωνυμία Ελληνική Εταιρεία Στατιστικών και Οικονομικών Πληροφοριών ΑΕ (Hellastat), διαπιστώθηκε ότι η εταιρεία τηρούσε δεδομένα σχετικά με στέρηση καρνέ επιταγών τα οποία δεν περιέχονται σε δημόσια προσβάσιμα βιβλία και πηγές από όπου η εταιρεία συλλέγει δεδομένα, αλλά και στοιχεία λευκής λίστας σχετικά με εξοφλήσεις και υπόλοιπα δανείων καρτών, σε καθυστέρηση, τακτοποίηση κ.λπ. Επίσης, διαπιστώθηκε ότι δεν υπήρχε πεδίο στους πίνακες της βάσης δεδομένων, το οποίο να περιέχει περιγραφή της πηγής των τηρούμενων δεδομένων, καθώς και διαχωρισμός ποια από αυτά αποτελούν μέρος του αρχείου της εταιρείας που τα τηρεί ως υπεύθυνη επεξεργασίας και ποια της έχουν διαβιβαστεί στο πλαίσιο εκτέλεσης έργου από τράπεζες. Η Αρχή με την με αριθμ. 51/2015 απόφαση της επέβαλε στην Hellastat, ως υπεύθυνη επεξεργασίας, χρηματικά πρόστιμα για παράνομη συλλογή και χρήση δεδομένων και για παράβαση της εκπλήρωσης της ατομικής ενημέρωσης των υποκειμένων. Περαιτέρω, της απηύθυνε σύσταση: α) να καταγράφει την πηγή προέλευσης των προσωπικών δεδομένων που τηρεί στη βάση δεδομένων του, β) να τηρεί με επιμέλεια τις διατάξεις της υπ' αριθμ. 1/2011 οδηγίας της Αρχής για το θέμα της «χρήσης συστημάτων βιντεοεπιτήρησης για την προστασία προσώπων και αγαθών», και ειδικά του άρθρου 7 που ρυθμίζει τη λειτουργία συστημάτων βιντεοεπιτήρησης σε χώρους εργασίας, και γ) να τηρεί με επιμέλεια τις διατάξεις του άρθρου 11 παρ. 1 του Ν. 3471/2006 για την προστασία προσωπικών δεδομένων και ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες.
Αναφορικά με την εταιρεία με την επωνυμία «Trust Ανώνυμος Εταιρεία Σύμβουλοι Επιχειρησιακής Ανάπτυξης Κατασκευής και Εκμετάλλευσης Ακινήτων» και το διακριτικό τίτλο «Trust Center ΑΕ», διαπιστώθηκε παράβαση της εκπλήρωσης της υποχρέωσης ατομικής ενημέρωσης των υποκειμένων μετά τη συλλογή των δεδομένων και πριν από κάθε διαβίβαση για την οποία επιβλήθηκε χρηματικό πρόστιμο τριών χιλιάδων ευρώ. Περαιτέρω, και με δεδομένο τη συμμόρφωση της εταιρείας στις υποδείξεις της Αρχής όσον αφορά τα υπόλοιπα ευρήματα του ελέγχου, η Αρχή απηύθηνε σύσταση στον υπεύθυνο επεξεργασίας να ενημερώνει εφεξής ατομικά τα υποκείμενα των δεδομένων είτε μέσω του αποδέκτη είτε με άλλο τυχόν πρόσφορο τρόπο που θα επιλέξει η ίδια σύμφωνα με το σκεπτικό της παρούσας και να τηρεί τις υποχρεώσεις που απορρέουν από το Ν. 2472/1997 αναφορικά με την ασφάλεια των προσωπικών δεδομένων κατά την επεξεργασία (απόφαση 36/2015).
Τέλος, στην εταιρεία «ICAP GROUP ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ ΠΛΗΡΟΦΟΡΗΣΗ ΣΥΜΒΟΥΛΟΙ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΥΠΗΡΕΣΙΕΣ ΠΡΟΣ ΕΠΙΧΕΙΡΗΣΕΙΣ» διαπιστώθηκε παράνομη συλλογή και χρήση δεδομένων του αρχείου ΣΑΥ/ΣΥΠ και παράνομη πρόσβαση στο αρχείο ΣΣΧ της ΤΕΙΡΕΣΙΑΣ ΑΕ για ίδιο λογαριασμό και καθ' υπέρβαση της σύμβασης με την ALPHA BANK, παράνομη συλλογή και χρήση δεδομένων που προέρχονταν από τα τηρούμενα στη ΓΓΠΣ αρχεία μητρώου φορολογουμένων για ίδιους οικονομικούς σκοπούς, μη λήψη των απαραίτητων μέτρων που εξασφαλίζουν την τήρηση των δεδομένων αποκλειστικά εντός του εκ του νόμου προβλεπόμενου χρονικού διαστήματος και μη προσήκουσα ενημέρωση των υποκειμένων των δεδομένων. Ενόψει των ανωτέρω, επιβλήθηκαν στην ICAP χρηματικά πρόστιμα συνολικού ύψους εκατόν πενήντα χιλιάδων ευρώ και της απηύθηνε τις ακόλουθες συστάσεις: α) να συμπεριλαμβάνει την πληροφορία της πηγής στα τηρούμενα δεδομένα, β) να ενημερώνει εφεξής ατομικά τα υποκείμενα των δεδομένων είτε μέσω του πελάτηαποδέκτη, είτε με άλλο τυχόν πρόσφορο τρόπο που θα επιλέξει η ίδια, και γ) να υποβάλλει κάθε τυχόν τροποποίηση του εσωτερικού κανονισμού επεξεργασίας προσωπικών δεδομένων στην Αρχή χωρίς καθυστέρηση και, σε κάθε περίπτωση, να ενημερώνει αποδεδειγμένα τους εργαζόμενους σχετικά με τις υποχρεώσεις τους που απορρέουν από τα σχετικά με τον κανονισμό αυτό κείμενα σύμφωνα με το σκεπτικό της παρούσας (απόφαση 63/2015).

Διασυνοριακές διαβιβάσεις δεδομένων

Διαβίβαση δεδομένων μεταξύ οργανισμών
Με την υπ' αριθμ. Γ/ΕΞ/20791/2015 απόφασή της, η Αρχή χορήγησε στην Επιτροπή Λογιστικής Τυποποίησης και Ελέγχων (ΕΛΤΕ) άδεια διαβίβασης μέχρι τις 3172016 των προσωπικών δεδομένων που περιέχονται στα έγγραφα ελέγχων που αφορούν νόμιμους ελεγκτές και τα οποία προκύπτουν κατά την άσκηση των αρμοδιοτήτων των δύο αρχών ή συλλέγονται επ' ευκαιρία διενέργειας κοινών ελέγχων προς το Συμβούλιο Λογιστικής Εποπτείας των Εταιρειών Δημοσίου Ενδιαφέροντος των ΗΠΑ (Public Company Accounting Oversight BoardPCAOB), σύμφωνα με το άρθρο 9 παρ. 2 εδαφ. στ' του Ν. 2472/1997.
Η Αρχή έκρινε ότι συντρέχουν οι προϋποθέσεις του άρθρου 9 παρ. 2 εδαφ. στ' του Ν. 2472/1997, σύμφωνα με το οποίο επιτρέπεται κατ' εξαίρεση, με άδεια της Αρχής, η διαβίβαση σε τρίτη χώρα η οποία δεν εξασφαλίζει ικανοποιητικό επίπεδο προστασίας όταν «ο υπεύθυνος επεξεργασίας παρέχει επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδομένων των υποκειμένων και την άσκηση των σχετικών δικαιωμάτων τους, όταν οι εγγυήσεις προκύπτουν από συμβατικές ρήτρες, σύμφωνες με τις ρυθμίσεις του παρόντος νόμου».
Γ ια την κρίση της αυτή η Αρχή έλαβε υπόψη ότι από το ισχύον νομοθετικό πλαίσιο (άρθρο 42 του Ν. 3693/2008) επιτρέπεται η εν λόγω διαβίβαση στις αρμόδιες αρχές τρίτων χωρών, ότι υπάρχει εκτελεστική απόφαση της Ευρωπαϊκής Επιτροπής της 11 Ιουνίου 2013 για την καταλληλότητα των αρμοδίων αρχών των ΗΠΑ, η οποία λήγει στις 3172016, ότι υπογράφηκαν την 182015 από τις δύο αρχές η «Δήλωση Πρωτοκόλλου Συνεργασίας» και η σύμβαση για τη διαβίβαση προσωπικών δεδομένων στην οποία περιέχονται επαρκείς εγγυήσεις για την προστασία των προσωπικών δεδομένων των υποκειμένων και την άσκηση των σχετικών δικαιωμάτων τους και ότι υπάρχουν ικανοποιητικά μέτρα ασφάλειας των δεδομένων που εφαρμόζει το PCAOB, καθώς και οι κανόνες για την τήρηση του απορρήτου από το προσωπικό του PCAOB.

Διαβίβαση δεδομένων εκτός ΕΕ βάσει δεσμευτικών εταιρικών κανόνων
Το 2015 η Αρχή χορήγησε, σύμφωνα με το άρθρο 9 παρ. 2 στοιχ. στ' εδ. α' του Ν. 2472/1997, τις υπ'αριθμ. ΓΝ/ΕΞ/2296/13102015 (αρ. άδειας 1574) και ΓΝ/ΕΞ/ 2297/13102015 (αρ. άδειας 1573) άδειες διαβίβασης προσωπικών δεδομένων με βάση δεσμευτικούς εταιρικούς κανόνες (Binding Corporate Rules, στο εξής BCR) στις εταιρείες Accenture Ανώνυμη Εταιρεία Οργάνωσης Πληροφορικής και Ανάπτυξης Επιχειρήσεων και Accenture BPM Ανώνυμη Εταιρεία Υπηρεσιών Λειτουργικής Στήριξης αντίστοιχα.
Η Αρχή, προκειμένου να χορηγήσει τις ως άνω άδειες, έλαβε υπόψη της: α) την έγκριση των καταρτισθέντων BCR σε ευρωπαϊκό επίπεδο από την επικεφαλής εθνική Αρχή (εν προκειμένω την Αρχή του Ηνωμένου Βασιλείου), β) το είδος των προσωπικών δεδομένων που επρόκειτο να διαβιβαστούν (πρώην και εν ενεργεία υπαλλήλων, υποψηφίων προς πρόσληψη, επαφών πελατών, προμηθευτών, χρηστών ιστοτόπων και μετόχων), γ) τους σκοπούς της διαβίβασης (κατά κύριο λόγο διοίκηση προσωπικού και διαχείριση σχέσεων της εταιρείας με πελάτες της), δ) την κατοχυρούμενη στους όρους των BCR υπεροχή του εθνικού δικαίου προστασίας προσωπικών δεδομένων όταν το τελευταίο παρέχει υψηλότερου επιπέδου προστασία από τα BCR, ε) την υποχρέωση του υπευθύνου επεξεργασίας να τηρεί με βάση τα BCR όλες τις υποχρεώσεις του σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας, καθώς και στ) να τηρεί όλες τις βασικές προϋποθέσεις νόμιμης επεξεργασίας που ορίζει ο Ν. 2472/1997.
Επιπλέον, η Αρχή, προκειμένου να χορηγήσει τις εν λόγω άδειες, έθεσε τους εξής όρους: α) η ισχύς της άδειας εξαρτάται από την τήρηση αμετάβλητων των εγκριθέντων BCR υπό την επιφύλαξη τυχόν τροποποίησης του ισχύοντος δικαίου, β) τυχόν μεταβολές της δομής των κρίσιμων πολυεθνικών ομίλων ή των όρων των εγκριθέντων BCR οφείλουν να γνωστοποιούνται στην Αρχή, ενώ οποιαδήποτε ουσιώδης μεταβολή τους η οποία επηρεάζει τις υπό εξέταση διαβιβάσεις δεδομένων τελεί υπό την έγκριση της Αρχής, γ) ο υπεύθυνος επεξεργασίας οφείλει να τηρεί τις βασικές υποχρεώσεις που απορρέουν από το Ν. 2472/1997 και τις σχετικές πράξεις της Αρχής (π.χ. οδηγία 115/2001 για την προστασία των προσωπικών δεδομένων στον τομέα των εργασιακών σχέσεων), δ) ο υπεύθυνος επεξεργασίας πρέπει να χρησιμοποιεί κατάλληλους, ασφαλείς κρυπτογραφικούς μηχανισμούς σύμφωνα με διεθνώς αποδεκτά πρότυπα, προκειμένου να εξασφαλίζει την εμπιστευτικότητα των δεδομένων κατά τη διαβίβαση, ε) ο υπεύθυνος επεξεργασίας οφείλει να τηρεί την οριζόμενη στο άρθρο 11 παρ. 3 Ν. 2472/1997 υποχρέωση ενημέρωσης των υποκειμένων και να συμμορφώνεται με τις αποφάσεις, γνωμοδοτήσεις και οδηγίες της Αρχής, καθώς και να καταβάλει το απαιτούμενο για την άδεια διαβίβασης παράβολο.

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ  ΗΛΕΚΤΡΟΝΙΚΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Περιστατικά παραβίασης παροχών
Με την απόφαση 1/2015 η Αρχή εξέτασε σοβαρό περιστατικό παραβίασης προσωπικών δεδομένων σε πάροχο υπηρεσιών ηλεκτρονικής επικοινωνίας. Από τη διενέργεια ελέγχου της Δίωξης Ηλεκτρονικού Εγκλήματος με τη συνδρομή της Αρχής σε εταιρεία που δραστηριοποιείται στον τομέα της εμπορίας δεδομένων προσωπικού χαρακτήρα, διαπιστώθηκε ότι η εταιρεία αυτή είχε στην κατοχή της μεγάλο όγκο δεδομένων συνδρομητών του ΟΤΕ. Συγκεκριμένα, όπως προέκυψε από την ανάλυση των στοιχείων, τεκμηριώθηκε περιστατικό παραβίασης προσωπικών δεδομένων που αφορά σε δεδομένα μεταξύ των ετών 2008 και 2010. Αν και δεν κατέστη δυνατό να διαπιστωθεί με ποιο τρόπο πραγματοποιήθηκε το περιστατικό, αποδείχθηκε ότι τα δεδομένα αυτά αφορούν σε πάνω από 8.000.000 παλιούς ή υφιστάμενους συνδρομητές του οργανισμού. Η αρχική προέλευση των δεδομένων είναι πέραν αμφιβολίας ο ΟΤΕ, καθώς σε αυτά περιλαμβάνονται πεδία που είναι εσωτερικά του οργανισμού, στοιχεία συνδρομητών που είναι ανακοινώσιμα σε καταλόγους (και άρα μπορεί να βρεθούν από δημόσια προσβάσιμη πηγή) αλλά και στοιχεία μη ανακοινώσιμα σε καταλόγους, όπως για παράδειγμα ο ΑΦΜ φυσικών προσώπων, που δεν μπορούν να βρεθούν από δημόσια προσβάσιμη πηγή. Μάλιστα, σε πάνω από 350.000 περιπτώσεις συνδρομητών, το υποκείμενο των δεδομένων έχει ρητά ζητήσει από τον πάροχο να μην περιλαμβάνονται τα στοιχεία του σε καταλόγους. Διαπιστώθηκε επίσης ότι τα δεδομένα αυτά έχουν συνδυαστεί με άλλα προσωπικά δεδομένα, είτε εντός του οργανισμού είτε με διασταύρωση με άλλα ενδεχομένως παράνομης προέλευσης-δεδομένα, συνεπώς υπήρξε επίπτωση από τη μη ασφαλή επεξεργασία των προσωπικών δεδομένων των συνδρομητών του οργανισμού, ιδιαίτερα μάλιστα και σε όσους είχαν δηλώσει ότι δεν επιθυμούν να είναι τα στοιχεία τους ανακοινώσιμα σε καταλόγους.
Ο ΟΤΕ, ως πάροχος υπηρεσιών ηλεκτρονικής επικοινωνίας, υπόκειται σε αυστηρούς κανόνες ως προς την ασφάλεια των ηλεκτρονικών υπηρεσιών που παρέχει και των συναφών δεδομένων, στα οποία περιλαμβάνονται και τα δεδομένα συνδρομητών. Διαθέτει μεν πολιτική ασφάλειας, σύμφωνη με τους κανονισμούς της ΑΔΑΕ, αλλά τα λαμβανόμενα μέτρα ασφάλειας αποδείχθηκαν στην πράξη ανεπαρκή. Και τούτο γιατί δεν κατάφεραν να αποτρέψουν «μαζική» διαρροή δεδομένων για έως τέσσερις διαφορετικές χρονικές περιόδους, γεγονός που υποδεικνύει ότι το περιστατικό δεν ήταν ένα μεμονωμένο ή τυχαίο γεγονός. Η Αρχή δέχθηκε ότι ο ΟΤΕ δεν έχει πλέον τη δυνατότητα να διερευνήσει πλήρως το περιστατικό, καθώς έχουν περάσει πλέον των δύο ετών και τα αρχεία καταγραφής έχουν καταστραφεί. Τούτο όμως δεν σημαίνει ότι ο οργανισμός απαλλάσσεται των ευθυνών του. Αντίθετα, θα έπρεπε να έχει εφαρμόσει μέτρα ασφάλειας που να εξασφαλίζουν ότι δεν είναι δυνατή η μαζική μεταφόρτωση ή/και η εξαγωγή δεδομένων από τα συστήματα του. Σε κάθε περίπτωση, θα έπρεπε ένα τέτοιας έκτασης και επαναλαμβανόμενο περιστατικό να έχει προληφθεί ή, στη χειρότερη περίπτωση, ανιχνευθεί από τα εφαρμοζόμενα μέτρα ασφάλειας. Αποδείχθηκε, επομένως, ότι τα λαμβανόμενα μέτρα ασφάλειας δεν ήταν ικανά να αποτρέψουν το περιστατικό.
Η Αρχή, λαμβάνοντας υπόψη τον μεγάλο αριθμό προσωπικών δεδομένων συνδρομητών φυσικών προσώπων, παλαιών και υφισταμένων, του οργανισμού που διέρρευσαν, το γεγονός ότι στα δεδομένα περιλαμβάνονται μη δημόσια προσβάσιμα απλά προσωπικά δεδομένα για πολύ μεγάλο αριθμό συνδρομητών, την προσβολή που επήλθε στα υποκείμενα των δεδομένων, τη διαπίστωση ότι δεν τηρήθηκαν τα κατάλληλα μέτρα ασφάλειας, συνεκτιμώντας το γεγονός ότι φάνηκε πως μετά το χρονικό διάστημα του περιστατικού ο ΟΤΕ διαρκώς ενισχύει τα λαμβανόμενα μέτρα ασφάλειας και ότι μετά την ανακοίνωση του περαστικού σε αυτόν προχώρησε σε κατάλληλες ενέργειες έστω και ατελέσφορεςγια τη διερεύνηση του, επέβαλε στον ΟΤΕ πρόστιμο ύψους εξήντα χιλιάδων ευρώ.

Καταγραφή και ακρόαση τηλεφωνικών κλήσεων σε τηλεφωνικό κέντρο παρόχου υπηρεσιών ηλεκτρονικής επικοινωνίας
Μετά από καταγγελία του Πανελλήνιου Σωματείου Εργαζομένων TIM (Wind), εξετάστηκε από την Αρχή η νομιμότητα της διαδικασίας ηχογράφησης των εισερχόμενων κλήσεων στο τμήμα εξυπηρέτησης πελατών, όπως και της ακρόασης αυτών, σε πραγματικό χρόνο, από τους προϊσταμένους τους. Παράλληλα τέθηκε και θέμα νομιμότητας της εξ αποστάσεως πρόσβασης σε συστήματα της WIND από συνεργαζόμενες τρίτες εταιρείες (απόφαση 86/2015).
Η Αρχή έχει επισημάνει ότι, σύμφωνα με το άρθρο 4 παρ. 3 του Ν. 3471/2006, η καταγραφή συνδιαλέξεων και των συναφών δεδομένων κίνησης επιτρέπεται μόνο κατ' εξαίρεση, όταν πραγματοποιείται κατά τη διάρκεια νόμιμης επαγγελματικής πρακτικής, με σκοπό την παροχή αποδεικτικών στοιχείων εμπορικής συναλλαγής ή άλλης επικοινωνίας επαγγελματικού χαρακτήρα, υπό την προϋπόθεση ότι και τα δύο μέρη, μετά από προηγούμενη ενημέρωση σχετικά με το σκοπό της καταγραφής, συγκατατίθενται στην καταγραφή. Ωστόσο, η Αρχή έχει ήδη κρίνει ότι δεν απαιτείται προηγούμενη συγκατάθεση και των δύο μερών αλλά προηγούμενη ενημέρωση του μέρους που δεν έχει την πρωτοβουλία της καταγραφής, σύμφωνα με το άρθρο 11 του Ν. 2472/1997 (βλέπε επίσης και ετήσια έκθεση της Αρχής για το 2006, σελ. 78). Η απαιτούμενη από το νόμο ενημέρωση μπορεί να διενεργηθεί και με ηχογραφημένη ειδοποίηση πριν από την έναρξη της τηλεφωνικής συνδιάλεξης που πρόκειται να καταγραφεί.
Στη συγκεκριμένη περίπτωση, στις διατάξεις των υπ' αριθμ. 488/82/15072008 και 621/011/27092011 αποφάσεων της ΕΕΤΤ τεκμηριώνεται υποχρέωση του παρόχου να διασφαλίζει ότι οι διαδικασίες και το προσωπικό του είναι σε συμμόρφωση με την κείμενη νομοθεσία. Μάλιστα, ορίζονται συγκεκριμένες υποχρεώσεις για το προσωπικό του παρόχου που ασχολείται με την τηλεφωνική εξυπηρέτηση για περιπτώσεις όπως οι μέθοδοι διενέργειας πωλήσεων, τα ελάχιστα σημεία ενημέρωσης καταναλωτών, η κατάρτιση συμβάσεων και η ποιότητα υπηρεσίας. Διαπιστώθηκε ότι οι καταγεγραμμένες συνομιλίες συνδρομητών με το τμήμα εξυπηρέτησης πελατών της WIND χρησιμοποιήθηκαν από την εταιρεία για την εξαγωγή ατομικού στατιστικού στοιχείου (monitoring) και τη συμπερίληψη του σε μήνυμα ηλεκτρονικού ταχυδρομείου προς τους εργαζόμενους στο τμήμα αυτό, μαζί με λοιπά ατομικά στατιστικά στοιχεία που προκύπτουν από εξωτερικά δεδομένα των κλήσεων και αφορούν τους δείκτες ποιότητας τηλεφωνικά παρεχόμενων υπηρεσιών, όπως αυτοί ορίζονται στην προαναφερθείσα υπ' αριθμ. 621/011/27092011 απόφαση της ΕΕΤΤ. Το σύνολο των στοιχείων αυτών χρησιμοποιήθηκε για την επιβράβευση και δεν αποτέλεσε τμήμα της τυπικής διαδικασίας αξιολόγησης προσωπικού. Με δεδομένο ότι ο πάροχος οφείλει να διαθέτει μηχανισμούς ώστε να ελέγχει ότι η τηλεφωνική επικοινωνία με τον καταναλωτή γίνεται σύμφωνα με το ισχύον κανονιστικό και νομοθετικό πλαίσιο, η Αρχή έκρινε ότι η παραπάνω ενέργεια του αποτελεί νόμιμη επαγγελματική πρακτική, που σκοπό έχει την παροχή αποδεικτικών στοιχείων επικοινωνίας επαγγελματικού χαρακτήρα, συνεπώς, ως προς αυτό το σημείο μπορεί να εφαρμοστεί το άρ. 4 παρ. 3 του Ν. 3471/2006.
Διαπιστώθηκε, επίσης, ότι σε μικρό αριθμό περιπτώσεων, προϊστάμενοι εταιρείας που ενεργεί ως εκτελούσα την επεξεργασία για λογαριασμό της WIND προχώρησαν σε ενέργεια παρακολούθησης, σε πραγματικό χρόνο, τηλεφωνικών επικοινωνιών μεταξύ συνδρομητών της WIND και υπαλλήλων της. Η Αρχή έκρινε ότι για την ενέργεια αυτή δεν απαιτείται ξεχωριστή γνωστοποίηση ή ενημέρωση καθώς τα δύο μέρη της επικοινωνίας παραμένουν ο συνδρομητής και η εταιρεία, τα οποία δεν μεταβάλλει η παρέμβαση επιπλέον προσώπου του υπευθύνου. Η ακρόαση των συνομιλιών σε πραγματικό χρόνο από τους προϊσταμένους αποτελεί μία επιπλέον επεξεργασία, η νομιμότητα της οποίας θα πρέπει να εξετασθεί και με βάση το άρ. 4 παρ. 1 του Ν. 2472/1997. Η ενέργεια αυτή, όμως, μπορεί να ενταχθεί στις διαδικασίες ελέγχου ποιότητας των παρεχόμενων υπηρεσιών και να θεωρηθεί ότι αποτελεί νόμιμη επαγγελματική πρακτική. Επιπλέον, ο ιδιαίτερα μικρός αριθμός περιστατικών σε διάστημα τριών μηνών οδηγεί στο συμπέρασμα ότι δεν πρόκειται για πάγια και καθημερινή πρακτική, αλλά περισσότερο για περιστασιακά γεγονότα, άρα δεν επαρκεί για να τεκμηριωθεί επιτήρηση εργαζομένων.
Διαπιστώθηκε, όμως, ότι στα ενημερωτικά έγγραφα της εταιρείας δεν είναι απόλυτα σαφής η ενημέρωση που παρέχεται προς τους εργαζόμενους, σχετικά με τους σκοπούς ακρόασης των καταγεγραμμένων συνομιλιών στο τμήμα εξυπηρέτησης πελατών. Προς τούτο η Αρχή απηύθυνε σύσταση στη WIND ότι θα πρέπει να γίνεται σαφές, τόσο στην ενημέρωση που παρέχεται στους εργαζόμενους όσο και στα έγγραφα των εσωτερικών διαδικασιών της εταιρείας, ότι ακρόαση των καταγεγραμμένων κλήσεων γίνεται και για τον ειδικότερο σκοπό της συμμόρφωσης με την κείμενη νομοθεσία για τον έλεγχο παροχής ποιοτικών υπηρεσιών, όπως και ότι τα στοιχεία αυτά θα χρησιμοποιηθούν μόνο για την επιβράβευση των εργαζόμενων. Η ενημέρωση θα πρέπει να ακολουθεί τα οριζόμενα στο άρ. 11 παρ. 1 του Ν. 2472/1997 και θα πρέπει να είναι άμεσα διαθέσιμη και προς τις αρμόδιες Αρχές, καθώς με μεγάλη καθυστέρηση κατέστησαν απόλυτα σαφείς, απέναντι στην Αρχή, οι σκοποί χρήσης των καταγεγραμμένων συνομιλιών.
Τέλος, όσον αφορά στη δυνατότητα εξ αποστάσεως πρόσβασης σε συστήματα της WIND από συνεργαζόμενες με αυτή τρίτες εταιρείες, που ενεργούν ως εκτελούσες την επεξεργασία, και στο γεγονός ότι εφαρμόζεται εργασία εξ αποστάσεως, η Αρχή έκρινε ότι δεν προκύπτει παράβαση των διατάξεων για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να επιλέγει τόσο τους εκάστοτε εκτελούντες την επεξεργασία όσο και τα πρόσωπα που ασχολούνται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον τηρούνται τα προβλεπόμενα στο άρ. 10 του Ν. 2472/1997 για το απόρρητο και την ασφάλεια για τις οποίες δεν τεκμηριώθηκε παράβαση.

Χρήση «Cookies» σε ιστοσελίδες Συμμετοχή της ελληνικής Αρχής στην ευρωπαϊκή δράση «cookie sweep»
Η Αρχή συμμετείχε σε κοινή δράση που οργάνωσε η Ομάδα Εργασίας του άρθρου 29, αναφορικά με τη συμμόρφωση των φορέων παροχής υπηρεσιών διαδικτύου ως προς τις υποχρεώσεις τους σχετικά με την εγκατάσταση cookies στους τερματικούς εξοπλισμούς των χρηστών (όπως αυτές προδιαγράφονται στην Οδηγία 2002/58/ΕΚ ePrivacy Directiveμετά την τροποποίηση της από την Οδηγία 2009/136/ΕΚ (βλ. σχετικά και ενότητα 3.7.3 Ετήσιας Έκθεσης 2014).
Στο πλαίσιο της κοινής αυτής δράσης, εξετάστηκαν διαδικτυακοί τόποι υψηλής επισκεψιμότητας στους τομείς του ηλεκτρονικού εμπορίου, του ηλεκτρονικού Τύπου και δημοσίων υπηρεσιών. Η ελληνική Αρχή συμμετείχε στην ευρωπαϊκή αυτή δράση με την εξέταση τριάντα ελληνικών διαδικτυακών τόπων.
Η συγκεντρωτική αναφορά για τα αποτελέσματα της ως άνω δράσης είναι διαθέσιμη στο http://ec.europa. eu/justice/dataprotection/article29/pressmaterial/ pressrelease/art29_pressmaterial/20150217_wp29_ press_release_on_cookie_sweep_.pdf. Η Αρχή εξέδωσε σχετικά δελτίο Τύπου με ημερομηνία 3.3.2015.
Η χρήση των «cookies» από ιστοσελίδες ρυθμίζεται με το άρθρο 4 παρ. 5 του Ν. 3471/2006 για την προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, ο οποίος ενσωματώνει την Οδηγία 2002/58/ΕΚ, μετά και την τροποποίηση του από το Ν. 4070/2012, με τον οποίο ενσωματώθηκαν και οι τροποποιήσεις της Οδηγίας 2002/58/ΕΚ που πραγματοποιήθηκαν με την Οδηγία 2009/136/ΕΚ. Συγκεκριμένα, το εν λόγω άρθρο ορίζει ότι «η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνο αν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεση του μετά από σαφή και εκτενή ενημέρωση κατά την παρ. 1 του άρθρου 11 του Ν. 2472/1997, όπως ισχύει. Η συγκατάθεση του συνδρομητή ή χρήστη μπορεί να δίδεται μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής. Τα παραπάνω δεν εμποδίζουν την οποιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή η οποία είναι αναγκαία για την παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής».
Ως εκ τούτου, καθίσταται σαφές ότι, με το ισχύον νομικό πλαίσιο, εφόσον η εγκατάσταση «cookie» στο τερματικό ενός χρήστη δεν είναι απολύτως απαραίτητη για την παροχή της υπηρεσίας την οποία ο ίδιος αιτείται, τότε επιτρέπεται η εγκατάσταση και χρήση του «cookie» μόνο υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας ενημερώνει τον χρήστη για την επεξεργασία που θα λάβει χώρα και εφόσον ο χρήστης δηλώσει σαφώς, ρητώς και ειδικώς ότι συγκατατίθεται στην εν λόγω επεξεργασία (explicit consent ή αλλιώς «optin»). Σημειώνεται ότι η Αρχή έχει εκδώσει αναλυτικές οδηγίες στην ιστοσελίδα της (www.dpa.gr => θεματική ενότητα: Υπηρεσίες διαδικτύου = > Cookies), στις οποίες αναφέρονται οι νόμιμοι τρόποι ενημέρωσης και λήψης της συγκατάθεσης του χρήστη, καθώς και οι περιπτώσεις που εξαιρούνται σύμφωνα με το νόμο από την υποχρέωση ενημέρωσης και λήψης συγκατάθεσης.
Στις περιπτώσεις διαδικτυακών τόπων που δεν είχαν συμμορφωθεί απόλυτα με τις σχετικές υποχρεώσεις, η Αρχή προέβη σε έγγραφη ενημέρωσή τους ώστε να προβούν στις κατάλληλες ενέργειες για την τήρηση των ανωτέρω.
Η Αρχή ενημέρωσε τον Υπουργό Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων για το ισχύον νομικό πλαίσιο, καθώς και την ανωτέρω δράση, σε απάντηση του με αρ. 253/1372015 εγγράφου του (Γ/ΕΙΣ/3944/15072015) κατόπιν της υπ' αριθμ. 2819/22052015 ερώτησης Βουλευτή.

Αζήτητες ηλεκτρονικές επικοινωνίες για σκοπούς προώθησης προϊόντων ή υπηρεσιών

Μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου
Η Αρχή, μετά από καταγγελίες για αποστολή αζήτητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, απέστειλε εντός του έτους 2015 είκοσι τέσσερα έγγραφα προς ενημέρωση και συμμόρφωση των υπευθύνων επεξεργασίας με τις διατάξεις του άρθρου 11 Ν. 3471/2006 αναφορικά με την αποστολή αζήτητης ηλεκτρονικής επικοινωνίας, είτε για διαφημιστικούς σκοπούς είτε για το σκοπό της πολιτικής επικοινωνίας. Έξι από αυτές αφορούσαν αποστολές που πραγματοποιήθηκαν μέσω ηλεκτρονικού ταχυδρομείου και δεκαοκτώ αποστολές που πραγματοποιήθηκαν μέσω σύντομων γραπτών μηνυμάτων σε συνδρομητές κινητής τηλεφωνίας (sms). Επιπρόσθετα, σε μία περίπτωση, η Αρχή συνέδραμε τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος σε υπόθεση για την οποία είχε λάβει και η ίδια καταγγελία και αφορούσε τόσο σε αποστολή αζήτητης ηλεκτρονικής επικοινωνίας, όσο και πώληση έναντι χρηματικού αντιτίμου αρχείων με διευθύνσεις ηλεκτρονικού ταχυδρομείου για το σκοπό της προώθησης προϊόντων και υπηρεσιών από τρίτους. Η εν λόγω υπόθεση οδήγησε στη σύλληψη δύο ατόμων (βλ. σχετικό δελτίο Τύπου της Δίωξης Ηλεκτρονικού Εγκλήματος http://www.astynomia.gr/ index.php?option=ozo_content&lang=%27..%27&perf orm=view&id= 53285&Itemid=1490&lang =).
Τέλος, με τις αποφάσεις 26, 38 και 72/2015, η Αρχή επέβαλε κυρώσεις σε υπευθύνους επεξεργασίας για την αποστολή αζήτητων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Ειδικότερα, η Αρχή εξέδωσε:
α) την απόφαση 26/2015, με την οποία κατόπιν καταγγελιών και διοικητικού ελέγχου στην εταιρεία Airtouch, ο οποίος πραγματοποιήθηκε εντός του έτους 2012 (βλ. Ετήσια Έκθεση 2013, ενότητα 3.7.5, απόφαση 42/2013), επέβαλε σε εταιρεία πρόστιμο 1.000 ευρώ για παράνομη συλλογή και περαιτέρω επεξεργασία προσωπικών δεδομένων κατά παράβαση του άρθρου 4 Ν. 2472/1997 και του άρθρου 11 παρ. 1 του Ν. 3471/2006. Συγκεκριμένα διαπιστώθηκε ότι η εταιρεία τηρούσε λίστα με διευθύνσεις ηλεκτρονικού ταχυδρομείου την οποία και διαβίβασε στην Airtouch, ενώ παράλληλα απέστειλε και διαφημιστικά μηνύματα ηλεκτρονικού ταχυδρομείου, χωρίς, σε καμία περίπτωση, να έχει ληφθεί η συγκατάθεση των συνδρομητών. Η Αρχή επέβαλε παράλληλα και την καταστροφή του αρχείου των διευθύνσεων ηλεκτρονικού ταχυδρομείου. Προς πλήρη άρση της παράβασης, η Αρχή διέταξε τον υπεύθυνο επεξεργασίας να ενημερώσει την εταιρεία Airtouch, εγγράφως και με απόδειξη ότι η τήρηση του αρχείου το οποίο της διαβίβασε είναι παράνομη. Σε συνέχεια της απόφασης αυτής, η Αρχή ενημέρωσε πελάτη του υπευθύνου επεξεργασίας, με το υπ' αριθμ. Γ/ΕΞ/1455/05032015 έγγραφο της, σχετικά με τη νόμιμη διαδικασία αποστολής διαφημιστικών μηνυμάτων με ηλεκτρονικό ταχυδρομείο ζητώντας τη συμμόρφωσή του.
β) την απόφαση 38/2015, με την οποία επέβαλε στην εταιρεία «ΙΑΝΟΣ ΟΙΚΟΝΟΜΙΚΕΣ ΕΚΔΟΣΕΙΣ ΑΕ» την κύρωση του προστίμου χρηματικού ποσού 30.000 ευρώ, για από κοινού παράβαση των άρθρων 2, 4 παρ.1εδ. (α'), 5, 11 και 13 του Ν. 2472/1997 και 11 παρ. 1 του Ν. 3471/2006. Η Αρχή, μετά από καταγγελίες για αποστολή αζήτητης ηλεκτρονικής επικοινωνίας, κατόπιν διοικητικού ελέγχου σε συνεργασία με τη Δίωξη Ηλεκτρονικού Εγκλήματος και συνοδεία εισαγγελικού λειτουργού, διαπίστωσε ότι με χρήση λογισμικού συλλογής διευθύνσεων ηλεκτρονικού ταχυδρομείου από το διαδίκτυο συγκεντρώθηκε ιδιαίτερα μεγάλος αριθμός διευθύνσεων (29.758 διευθύνσεις βρέθηκαν στο λογισμικό και παράλληλα βρέθηκαν πολυάριθμα αρχεία με διευθύνσεις ηλεκτρονικού ταχυδρομείου, με το μεγαλύτερο από αυτά να αριθμεί 174.787 διευθύνσεις). Οι εν λόγω ηλεκτρονικές διευθύνσεις είχαν αναρτηθεί για άλλους σκοπούς, αλλά χρησιμοποιήθηκαν για το σκοπό της αποστολής αζήτητης ηλεκτρονικής επικοινωνίας (spam). Παράλληλα, η Αρχή επέβαλε και την κύρωση της καταστροφής των ηλεκτρονικών διευθύνσεων που είχαν συλλέγει παρανόμως.
γ) την απόφαση 72/2015, με την οποία η Αρχή, κατόπιν πλήθους καταγγελιών, επέβαλε στην εταιρεία «ALL THE WORLD COSMOS ONLINE LTD», πρόστιμο 3.000 ευρώ για αποστολή μηνυμάτων αζήτητης επικοινωνίας, καταστροφή του αρχείου των διευθύνσεων ηλεκτρονικού ταχυδρομείου που διατηρεί η εταιρεία για τις ιστοσελίδες της aircosmos.eu και cosmosgrs.com και διαγραφή όσων διευθύνσεων ηλεκτρονικού ταχυδρομείου διατηρεί η εταιρεία για τις υπόλοιπες ιστοσελίδες της και για τις οποίες η εταιρεία δεν έχει λάβει τη συγκατάθεση του παραλήπτη για αποστολή μηνυμάτων ηλεκτρονικής αλληλογραφίας ή η συγκατάθεση αυτή δεν πληροί όσα ορίζονται στην οδηγία 2/2011 της Αρχής, με ακόλουθη ενημέρωση της Αρχής. Στην ίδια εταιρεία είχαν ήδη επιβληθεί, με την 85/2013 απόφαση της Αρχής, παρόμοιες κυρώσεις και συγκεκριμένα πρόστιμο 8.000 ευρώ και καταστροφή των παρανόμως τηρούμενων διευθύνσεων ηλεκτρονικού ταχυδρομείου. Λόγω μη συμμόρφωσης με πράξη επιβολής διοικητικών κυρώσεων, η Αρχή διαβίβασε την απόφαση στον Πρόεδρο της, προκειμένου να διαβιβαστεί η απόφαση στον αρμόδιο εισαγγελέα.

Μέσω τηλεφωνικών κλήσεων
Και το έτος 2015 παρατηρήθηκε υποβολή αρκετών καταγγελιών αναφορικά με τηλεφωνικές οχλήσεις για το σκοπό της προώθησης προϊόντων και υπηρεσιών. Σε δεκατέσσερις περιπτώσεις μεμονωμένων καταγγελιών για υπευθύνους επεξεργασίας, η Αρχή απηύθυνε σχετικές συστάσεις προς τους καταγγελλόμενους για τη συμμόρφωση τους με το άρθρο 11 του Ν. 3471/2006. Σε περιπτώσεις όπου μεγάλο πλήθος καταγγελιών αφορούσαν τον ίδιο υπεύθυνο επεξεργασίας, η Αρχή προχώρησε στη διεξοδικότερη εξέταση τους (βλ. και Ετήσια Έκθεση 2014 της Αρχής, ενότητα 3.7.2.) και, αφού ζήτησε εγγράφως και έλαβε τις απόψεις τους για καθεμία καταγγελία αναλυτικά, στη συνέχεια τους κάλεσε για ακρόαση ενώπιον της. Ειδικότερα, κλήθηκαν ενώπιον της Αρχής επτά υπεύθυνοι επεξεργασίας, για τους οποίους συνολικά έχουν υποβληθεί μέχρι την ημερομηνία της ακρόασης τουςεκατόν πέντε καταγγελίες, οι οποίες αφορούν πραγματοποίηση τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση προς συνδρομητές που είτε έχουν εγγραφεί στο μητρώο που προβλέπεται στο άρ. 11 του Ν. 3471/2006 (μητρώο «optout») είτε είχαν προηγούμενα δηλώσει προς τους καταγγελλόμενους ότι δεν επιθυμούν να δέχονται τέτοιες κλήσεις, ασκώντας το δικαίωμα αντίρρησης κατά το άρ. 13 του Ν. 2472/1997. Οι καταγγελλόμενοι υπέβαλαν, μετά την ακρόαση τους, τα υπομνήματα τους. Η εξέταση της υπόθεσης δεν ολοκληρώθηκε εντός του έτους και οι σχετικές αποφάσεις αναμένεται να εκδοθούν εντός του 2016.
Περαιτέρω, σε μία ειδικότερη περίπτωση τηλεφωνικής όχλησης για προωθητικούς σκοπούς, η διαφημιζόμενη εταιρεία VIVIFY THE BEAUTY LAB κάλεσε τηλεφωνικό αριθμό συνδρομητή τον οποίο ο ίδιος είχε αναρτήσει στο διαδικτυακό τόπο www.car.gr (με σκοπό την πώληση από μεριάς του κράνους μοτοσικλέτας). Η Αρχή με το υπ' αριθμ. Γ/ΕΞ/4161/27072015 έγγραφο της ενημέρωσε την εταιρεία ότι η συλλογή και χρήση προσωπικών δεδομένων για το σκοπό της απευθείας προώθησης επιτρέπεται: α) με τη συγκατάθεση του υποκειμένου των δεδομένων ή β) χωρίς τη συγκατάθεση του υποκειμένου, όταν τα δεδομένα συλλέγονται από αα) δημόσιους καταλόγους, όπως τηλεφωνικούς καταλόγους συνδρομητών, επαγγελματικούς καταλόγους (π.χ. Χρυσός Οδηγός), καταλόγους εμπορικών εκθέσεων ή το νέο γενικό εμπορικό μητρώο για εταιρείες και εμπόρους, ή ββ) όταν το ίδιο το υποκείμενο των δεδομένων δημοσιοποίησε τα δεδομένα του για συναφείς σκοπούς ή γγ) βάσει της πελατειακής σχέσης ή συναλλακτικής επαφής. Ως εκ τούτου, στη συγκεκριμένη περίπτωση, η συλλογή δεδομένων, ονοματεπώνυμο και τηλεφωνικό αριθμό, από τον ανωτέρω διαδικτυακό τόπο για τον σκοπό της προώθησης προϊόντων ή/και υπηρεσιών δεν είναι σύμφωνη με τις ως άνω προϋποθέσεις νομιμότητας, διότι ο σκοπός για τον οποίο ο ίδιος τα ανήρτησε στο συγκεκριμένο δημόσια προσβάσιμο διαδικτυακό τόπο δεν είναι συναφής με το σκοπό της προώθησης προϊόντων και υπηρεσιών που επιδιώκει ο υπεύθυνος επεξεργασίας. Με το ίδιο έγγραφο η Αρχή απηύθυνε σχετική σύσταση στην εταιρεία.
Επίσης, η Αρχή απάντησε σε ερώτημα υπευθύνου επεξεργασίας σχετικά με τη νομιμότητα πραγματοποίησης τηλεφωνικών κλήσεων σε πρόσωπα που έχουν καταχωρίσει αγγελία σε εφημερίδα ή ιστοσελίδα προκειμένου να ζητείται η σύμφωνη γνώμη τους για να δημοσιευτούν οι αγγελίες τους σε ειδικό διαδικτυακό τόπο του ιδίου. Οι δημοσιεύσεις αυτές θα είναι δωρεάν, ενώ τα πρόσωπα αυτά θα μπορούν να εγγράφονται ως χρήστες στον εν λόγω διαδικτυακό τόπο ώστε να μπορούν να διαχειριστούν τις αγγελίες τους (καταχώριση νέων, έλεγχος επισκεψιμότητας κ.λπ.). Η Αρχή, με το υπ' αριθμ. Γ/ΕΞ/6049/20112015 έγγραφο της, ενημέρωσε τον υπεύθυνο επεξεργασίας ότι οι κλήσεις αυτές είναι νόμιμες, υπό την προϋπόθεση ότι οι καλούμενοι τηλεφωνικοί αριθμοί δεν είναι καταχωρημένοι στον κατάλογο που προβλέπεται στο άρθρο 11 παρ. 2 του Ν. 3471/2006 (μητρώο «optout») και τούτο διότι ο επιδιωκόμενος σκοπός επεξεργασίας μπορεί να θεωρηθεί ότι είναι συναφής με τον σκοπό της αρχικής δημοσίευσης της αγγελίας, ενώ τα δεδομένα που αντλούνται αποτελούν στοιχεία που δημοσιοποιεί το ίδιο το υποκείμενο των δεδομένων, το οποίο γνωρίζει ότι τα δημοσιευμένα αυτά στοιχεία μπορούν να χρησιμοποιηθούν για συναφείς με την αγγελία σκοπούς. Εφόσον, κατά την τηλεφωνική κλήση, ο καλούμενος επιθυμεί την παροχή της εν λόγω υπηρεσίας, ο υπεύθυνος επεξεργασίας μπορεί, μετά από σχετική ενημέρωση για την καταγραφή, να καταγράψει την τηλεφωνική συνδιάλεξη στην οποία ο καλούμενος συγκατατίθεται στην παροχή των υπηρεσιών. Η καταγραφή της τηλεφωνικής συνομιλίας δεν επιτρέπεται να γίνεται εκ των προτέρων παρά μόνο από τη στιγμή που ο καλούμενος ενημερώνεται και συμφωνεί στην παροχή των υπηρεσιών του υπευθύνου επεξεργασίας.

Τέλος, ως προς το γενικότερο ζήτημα επεξεργασίας τηλεφωνικών αριθμών συνδρομητών, υποβλήθηκαν στην Αρχή δέκα καταγγελίες κατά της «ΧΡΥΣΟΣ ΟΔΗΓΟΣ ΕΝΤΥΠΗ & ΗΛΕΚΤΡΟΝΙΚΗ ΠΛΗΡΟΦΟΡΗΣΗ ΑΕ» για διάφορες παραβάσεις της νομοθεσίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Μετά την εξέταση των καταγγελιών διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας επεξεργάστηκε παράνομα προσωπικά δεδομένα συνδρομητών, καθώς: α) σε τρεις περιπτώσεις τα προσωπικά δεδομένα που εμφανίστηκαν στις ιστοσελίδες του δεν ήταν αυτά των συνδρομητών τηλεφωνίας, β) σε τέσσερις περιπτώσεις οι συνδρομητές, κάτοχοι των αριθμών, είχαν δηλώσει στον πάροχό τους ότι δεν επιθυμούν οι αριθμοί των τηλεφώνων τους να είναι ανακοινώσιμοι σε υπηρεσίες καταλόγων, γ) σε δύο περιπτώσεις είναι απροσδιόριστη η προέλευση των δεδομένων, δ) σε μία περίπτωση συνέχισε να επεξεργάζεται τα προσωπικά δεδομένα και μετά την άσκηση αντιρρήσεων εκ μέρους του υποκειμένου των δεδομένων. Επίσης, διαπιστώθηκε ότι ο υπεύθυνος επεξεργασίας δεν τηρεί την πληροφορία της πηγής προέλευσης των δεδομένων, στις περιπτώσεις που αφορούν οι καταγγελίες, με αποτέλεσμα το δικαίωμα πρόσβασης να μην μπορεί να ικανοποιηθεί, ενώ δεν ενημερώνει κατάλληλα τα φυσικά πρόσωπα των οποίων επεξεργάζεται τα δεδομένα. Τέλος, διαπιστώθηκε ότι η ικανοποίηση των δικαιωμάτων πρόσβασης και αντίρρησης ήταν στην πράξη προβληματική, καθώς ο υπεύθυνος επεξεργασίας δεν τα ικανοποίησε εντός του προβλεπόμενου χρόνου, μη απαντώντας μάλιστα στους αιτούντες, εκτός από μία περίπτωση.
Η Αρχή, για το σύνολο των καταγγελιών, επέβαλε, με την υπ' αριθμ. 2/2015 απόφαση, πρόστιμο 10.000 ευρώ και συνέστησε όπως καταρτίσει και εφαρμόζει εσωτερική διαδικασία για την ικανοποίηση των δικαιωμάτων των υποκειμένων των δεδομένων τα οποία προβλέπονται στα άρθρα 11, 12 και 13 του Ν. 2472/1997.

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΣΤΟ ΠΕΔΙΟ ΕΡΓΑΣΙΑΚΩΝ ΣΧΕΣΕΩΝ

Προϋποθέσεις νόμιμης επεξεργασίας δεδομένων στο πλαίσιο εργασιακών σχέσεων

Η Αρχή εξέτασε πλήθος υποθέσεων αναφορικά με την επεξεργασία προσωπικών δεδομένων εργαζομένων. Σε μία περίπτωση, η Αρχή απάντησε σε ερώτημα του Επιμελητηρίου Καρδίτσας αναφορικά με τη χρήση συστήματος ελέγχου παρουσίας προσωπικού το οποίο διαθέτει κάμερα για την ταυτοποίηση των εισερχομένων ενώ για το ίδιο ζήτημα υποβλήθηκε στην Αρχή και σχετική καταγγελία από την Ομοσπονδία Συλλόγων Υπαλλήλων Επιμελητηρίων. Η Αρχή ενημέρωσε και τις δύο πλευρές, με το υπ' αριθμ. Γ/ΕΞ/262/19012015 έγγραφο της, ότι η λήψη φωτογραφιών εισάγει μια επαχθή και δυσανάλογη για τα υποκείμενα επεξεργασία σε σχέση με τον ανωτέρω σκοπό, χωρίς αυτό να είναι απαραίτητο, καθώς ο έλεγχος μπορεί να πραγματοποιηθεί επαρκώς και με άλλα ηπιότερα εναλλακτικά μέσα, όπως με τη χρήση μαγνητικών καρτών (χωρίς βιομετρικά στοιχεία), σε συνδυασμό με τη διενέργεια περιοδικών ελέγχων από τον προϊστάμενο της Υπηρεσίας. Εξάλλου, δεδομένου ότι το Επιμελητήριο Καρδίτσας επικαλέστηκε σχετικώς την υπ' αριθμ. ΔΙΑΔΠ/Φ.Β. 1/28874/21102013 εγκύκλιο του Υπουργείου Διοικητικής Μεταρρύθμισης, η Αρχή επισήμανε στο ως άνω έγγραφο της ότι στην εν λόγω εγκύκλιο γίνεται αναφορά σε ηλεκτρονικόψηφιακό μηχανισμό σήμανσης και όχι στην τοποθέτηση καμερών ή στην επεξεργασία βιομετρικών δεδομένων. Αντιστοίχως, υποβλήθηκαν στην Αρχή άλλα δύο ερωτήματα από ιδιωτικούς φορείς αναφορικά με τη νομιμότητα χρήσης συστημάτων ελέγχου πρόσβασης προσωπικού («ρολόι εργασίας») στα οποία γίνεται επεξεργασία δακτυλικών αποτυπωμάτων: και στις δύο περιπτώσεις η Αρχή απάντησε, κατ' αναλογία με την προηγούμενη περίπτωση, αρνητικά ως προς τη νομιμότητα αυτού (υπ' αριθμ. Γ/ΕΞ/29961/03062015 και Γ/ΕΞ/53611/30102015 έγγραφα).

Περαιτέρω, υποβλήθηκε στην Αρχή ερώτημα υπαλλήλου αναφορικά με τη δυνατότητα απομακρυσμένου ελέγχου του αποθηκευτικού χώρου των υπολογιστών των εργαζομένων από τον διαχειριστή. Στο ερώτημα του ο υπάλληλος επισήμανε ιδιαίτερα ότι οι εργαζόμενοι έχουν δικαιώματα απλού χρήστη (όχι διαχειριστή) στους υπολογιστές τους, ενώ οι ενημερώσεις (updates) των εγκατεστημένων προγραμμάτων γίνεται από τους διαχειριστές. Η Αρχή, με το υπ' αριθμ. Γ/ΕΞ/32791/01072015 έγγραφό της, επισήμανε ότι η μη απόδοση δικαιωμάτων διαχειριστή στους απλούς χρήστες (εργαζομένους) για τους υπολογιστές που χειρίζονται είναι μια πρακτική προς τη σωστή κατεύθυνση από τη σκοπιά της ασφάλειας, αφού με αυτόν τον τρόπο μειώνεται σημαντικά, για παράδειγμα, η πιθανότητα να εγκατασταθεί κακόβουλο λογισμικό σε υπολογιστή από αβλεψία του χρήστη. Η Αρχή σημείωσε επίσης ότι οι ενημερώσεις (updates) των εγκατεστημένων προγραμμάτων (π.χ. ενημερώσεις του αντιϊκού προγράμματος λογισμικού) μπορούν να πραγματοποιούνται αυτοματοποιημένα, χωρίς ο διαχειριστής να αποκτά πρόσβαση στον κάθε υπολογιστή συνεπώς, η λήψη ενημερώσεων στον υπολογιστή ενός εργαζομένου δεν συνεπάγεται απαραίτητα την πραγματοποίηση απομακρυσμένης πρόσβασης από τον διαχειριστή του συστήματος. Τέλος, η Αρχή επισήμανε ότι ο υπάλληλος μπορεί ανά πάσα στιγμή να απευθυνθεί στην υπηρεσία του για την παροχή αναλυτικότερων πληροφοριών περί των ρυθμίσεων του υπολογιστή του σε σχέση με το συνολικό δίκτυο, καθώς και για το είδος των δεδομένων (αρχείων) του υπολογιστή τα οποία δύνανται να προσπελαθούν απομακρυσμένα.
Η Αρχή εξέτασε έγγραφο ερώτημα του Υπουργείου Δικαιοσύνης, Διαφάνειας και Ανθρωπίνων Δικαιωμάτων σχετικά με το εάν νομιμοποιούνται οι αρμόδιες υπηρεσίες του Υπουργείου να χορηγήσουν στο αιτούν σωματείο με την επωνυμία «Πανελλήνιος Σύνδεσμος Υπαλλήλων Άμισθων Υποθηκοφυλακείων Κτηματολογικών Γραφείων» αναλυτικά οικονομικά στοιχεία τριμήνων των Ειδικών Άμισθων Υποθηκοφυλακείων για τα οικονομικά έτη 2012, 2013 και 2014, τα οποία τηρούνται από τις εν λόγω υπηρεσίες, σύμφωνα μετά οριζόμενα στις διατάξεις του Ν.δ. 811/1971 και του άρθρου 6 της με αρ. 28771/1971 απόφασης του Υπουργού Δικαιοσύνης. Το σωματείο ζήτησε τα ως άνω στοιχεία προκειμένου αυτά να χρησιμοποιηθούν στον ΟΜΕΔ (όπως αναλυτικά η κείμενη νομοθεσία ορίζει) στη διαδικασία για έκδοση διαιτητικής απόφασης για την κλαδική συλλογική σύμβαση εργασίας του κλάδου. Στα ως άνω ζητηθέντα στοιχεία περιλαμβάνονται οικονομικά στοιχεία, όπως εργοδοτικές εισφορές και εισπραττόμενα δικαιώματα υπέρ των υποθηκοφυλακείων. Η Αρχή απεφάνθη ότι στα ως άνω στοιχεία συμπεριλαμβάνονται και απλά δεδομένα προσωπικού χαρακτήρα των υποθηκοφυλάκων, τα οποία είναι οικονομικής φύσης και αφορούν τις συνολικές εισπράξεις τους. Τα δεδομένα αυτά επιτρέπεται να χορηγηθούν στον «Πανελλήνιο Σύνδεσμο Υπαλλήλων Άμισθων Υποθηκοφυλακείων Κτηματολογικών Γραφείων», ακόμα και χωρίς τη συναίνεση των ενδιαφερομένων υποκειμένων, καθόσον συντρέχει όντως υπέρτερο έννομο συμφέρον για τη χορήγηση στο Σωματείο των εργαζομένων των στοιχείων αυτών, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 5 παρ. 2 στοιχ. ε' του Ν. 2472/1997, σε συνδυασμό με τα οριζόμενα στις διατάξεις των άρθρων 4 του Ν. 1264/1982 και 2 και 4 του Ν. 1876/1990. Και τούτο, διότι οι κρίσιμες αυτές διατάξεις της εργατικής νομοθεσίας προσδιορίζουν τις αρμοδιότητες του εν λόγω Σωματείου, ως συνδικαλιστικής οργάνωσης, για την εκπλήρωση των σκοπών της διαφύλαξης και προαγωγής των εργασιακών, οικονομικών, ασφαλιστικών, κοινωνικών και συνδικαλιστικών συμφερόντων των εργαζομένων και θεμελιώνουν τη νομιμότητα της χορήγησης σε αυτό των ως άνω στοιχείων, για την προάσπιση των νομίμων συμφερόντων των εργαζομένων, τα οποία συνίστανται, εν προκειμένω, στη διαφύλαξη του δικαιώματος των εργαζομένων στη συλλογική διαπραγμάτευση και τη σύναψη συλλογικών συμβάσεων εργασίας ή, άλλως, την έκδοση διαιτητικής απόφασης σχετικά με την κλαδική συλλογική σύμβαση εργασίας του κλάδου τους. Εξάλλου, ρητά οι ως άνω διατάξεις του άρθρου 4 του Ν. 1876/1990 περιλαμβάνουν την υποχρέωση των δημοσίων αρχών να παρέχουν στις συνδικαλιστικές οργανώσεις των εργαζομένων τα αναγκαία για τη συλλογική διαπραγμάτευση και τη σύναψη συλλογικής σύμβασης εργασίας στοιχεία για τους τομείς απασχόλησης, τιμών και μισθών (Γ/ΕΞ/27111/20052015).
Ψυχιατρικό νοσοκομείο υπέβαλε το ερώτημα αν μπορεί να διαβιβάσει στο ΙΚΑ πιστοποιητικό σχετικά με την κατάσταση της υγείας προσώπουυπαλλήλου του ΙΚΑ προκειμένου να κριθεί η ικανότητα προς εργασία της συγκεκριμένης υπαλλήλου. Η Αρχή με το υπ' αριθμ. Γ/ ΕΞ/44251/12.11.2015 έκρινε ότι το νοσοκομείο νομιμοποιείται, δυνάμει των διατάξεων των άρθρων 2 στοιχ. β ' και 7Α παρ. 1 στοιχ. δ' εδ. β' του Ν. 2472/1997, καθώς και του άρθρου 56 παρ. 6 του Ν. 2683/1999, να διαβιβάσει το αιτούμενο πιστοποιητικό στο ΙΚΑ, χωρίς την προηγούμενη άδεια της Αρχής, προκειμένου το τελευταίο να το διαβιβάσει στην αρμόδια Ειδική Υγειονομική Επιτροπή Νευροψυχικών Νόσων του ΑΧΕΠΑ για να εκτιμήσει την ικανότητα της υπαλλήλου προς εργασία (απόφαση 15/2013).

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΜΕΣΩΝ ΜΑΖΙΚΗΣ ΕΝΗΜΕΡΩΣΗΣ

Η Αρχή έκρινε σε δύο υποθέσεις ότι η επεξεργασία των δεδομένων των προσφευγόντων, που συνιστούν δημόσια πρόσωπα, από εφημερίδα και περιοδικό, δεν προσκρούει στο Ν. 2472/1997, καθώς υφίσταται δικαιολογημένο ενδιαφέρον του κοινού για ενημέρωση, ενώ δεν υπερβαίνει το αναγκαίο μέτρο για την εξασφάλιση του δικαιώματος του Τύπου να ασκήσει δημόσιο έλεγχο και κριτική (ρόλος «public watchdog» κατά τη νομολογία του ΕΔΔΑ). Περαιτέρω, η Αρχή επανειλημμένα έχει αποφανθεί ότι το δικαιολογημένο ενδιαφέρον του κοινού καλύπτει ακόμα και πράξεις μη δημοσίων προσώπων, όπως οι κοντινοί συγγενείς του ελεγχόμενου δημοσίου προσώπου, όταν αυτές ενδιαφέρουν, λόγω της φύσης τους και της άμεσης συνάφειας τους με την ελεγχόμενη συμπεριφορά του δημοσίου προσώπου, το κοινωνικό σύνολο.
Ειδικότερα, η Αρχή, με τη με αριθμ. 16/2015 απόφαση της, έκρινε ότι η επεξεργασία των δεδομένων της προσφεύγουσας από εφημερίδα (καταχώριση και δημοσίευση/διάδοση εγγράφων που τηρούνται στο ασφαλιστικό ταμείο της προσφεύγουσας και περιέχουν, μεταξύ άλλων, πληροφορίες σχετικά με τις συντάξιμες αποδοχές της), δεν προσκρούει στο Ν. 2472/1997, καθώς υφίσταται δικαιολογημένο ενδιαφέρον του κοινού για ενημέρωση σχετικά με ζήτημα που συνδέεται με τη δυσλειτουργία ενός ασφαλιστικού ταμείου, πολλώ δε μάλλον εφόσον το ζήτημα αυτό αφορά κατά την κρίση του συντάκτη των επίμαχων δημοσιευμάτωνσε μη νόμιμη είσπραξη οικογενειακού επιδόματος από πρόσωπο που κατέχει δημόσια θέση. Στο πλαίσιο αυτό, λαμβάνεται υπόψη και το γεγονός ότι η εφημερίδα μερίμνησε ώστε να απαλειφθούν τεχνικά (μέσω θόλωσης) άλλα στοιχεία της προσφεύγουσας (π.χ. στοιχεία επικοινωνίας, διεύθυνση κατοικίας) που δεν αφορούσαν στο θέμα. Συνεπώς, η υπό κρίση επεξεργασία δεν υπερβαίνει το αναγκαίο μέτρο για την εξασφάλιση του δικαιώματος του Τύπου να ασκήσει δημόσιο έλεγχο και κριτική δημοσιεύοντας τα επίμαχα στοιχεία σχετικά με εκκρεμή υπόθεση της προσφεύγουσας ενώπιον του ασφαλιστικού της ταμείου, αλλά και του δικαιώματος του κοινού να ενημερωθεί για την υπόθεση αυτή. Τούτο θα ίσχυε και στην περίπτωση διάδοσης των ίδιων δεδομένων μέσω διαδικτύου, καθώς, σύμφωνα με πρόσφατη νομολογία του ΔΕΕ (βλ. ΔΕΕ C131/12, Google Spain, σκ. 9698, ιδίως 97), το δικαιολογημένο ενδιαφέρον του κοινού υπερέχει του δικαιώματος του δημοσίου προσώπου να ζητήσει, ως υποκείμενο των δεδομένων, τη διαγραφή ή το κλείδωμα των δεδομένων του (τη δέσμευση, δηλαδή, του ονοματεπωνύμου του, ώστε να μην αποτελεί λέξηκλειδί για την αναζήτηση του κρίσιμου δημοσιεύματος, πρβλ. απόφαση 165/2012 της Αρχής σκ. 5 και 9). Τα ανωτέρω ισχύουν ακόμη και αν γίνει δεκτός ο ισχυρισμός της προσφεύγουσας ότι τα υπό κρίση δημοσιεύματα είχαν ως σκοπό να πλήξουν τη θυγατέρα της, δικηγόρο και πρώην βουλευτή (που είναι αναμφισβήτητα δημόσιο πρόσωπο), δημοσιεύοντας παράλληλα με τα επίμαχα έγγραφα και φωτογραφίες της με λεζάντα «η ανήλικη κόρη».

Επίσης, κατόπιν προσφυγής που υποβλήθηκε από δημόσιο πρόσωπο και τα συγγενικά του πρόσωπα κατά της Πολεοδομίας της Νομαρχιακής Αυτοδιοίκησης και κατά δημοσιογράφου, η Αρχή έκρινε, με τη με αριθμ. 17/2015 απόφαση της, ότι η εν μέρει αυτοματοποιημένη επεξεργασία των δεδομένων της προσφεύγουσας (η αυτούσια αναπαραγωγή της έκθεσης αυτοψίας που περιλαμβάνει τα ονόματα μελών της οικογένειας της, καθώς και φωτογραφίες του σπιτιού, δεδομένου ότι από αυτές αποκαλύπτονται εμμέσως πληροφορίες για τους ιδιοκτήτες του) από εφημερίδα και περιοδικό, δεν προσκρούει στο Ν. 2472/1997. Η Αρχή διαπίστωσε ότι υφίσταται δικαιολογημένο ενδιαφέρον του κοινού για ενημέρωση σχετικά με ζήτημα που συνδέεται με φερόμενα ως αυθαίρετα κτίσματα σε περιβαλλοντικά ευαίσθητη περιοχή, πολλώ δε μάλλον εφόσον το ζήτημα αυτό αφορά κατά την κρίση του συντάκτη των υπό κρίση δημοσιευμάτωνσε ενδεχόμενη παραβατική συμπεριφορά από πρόσωπο που κατέχει δημόσια θέση, δεδομένης της ιδιότητας της πρώτης εκ των αιτούντων ως βουλευτού τότε, και σε συναφείς ενέργειες του προσώπου αυτού ενώπιον των αρμόδιων αρχών και υπηρεσιών. Στο πλαίσιο αυτό, τα δεδομένα που δημοσιεύθηκαν αφορούν, σύμφωνα με τα ανωτέρω, σε πράξεις που σχετίζονται, άμεσα ή έμμεσα, με τη δημόσια δράση της πρώτης εκ των αιτούντων και είναι συναφή και πρόσφορα ενόψει του επιδιωκόμενου δημοσιογραφικού σκοπού, δεδομένου μάλιστα ότι, τελικώς, οι ισχυρισμοί του δημοσιογράφου περί ύπαρξης αυθαίρετων κτισμάτων στο ακίνητο των αιτούντων ήταν εν μέρει τουλάχιστον αληθείς. Συνεπώς, η υπό κρίση επεξεργασία δεν υπερβαίνει το αναγκαίο μέτρο για την εξασφάλιση του δικαιώματος του Τύπου να ασκήσει δημόσιο έλεγχο και κριτική δημοσιεύοντας τα επίμαχα στοιχεία σχετικά με εκκρεμή υπόθεση της ενώπιον των πολεοδομικών υπηρεσιών και των δικαστικών αρχών, αλλά και του δικαιώματος του κοινού να ενημερωθεί για την υπόθεση αυτή. Τα ανωτέρω ισχύουν ακόμη και αν γίνει δεκτός ο ισχυρισμός των αιτούντων ότι τα υπό κρίση δημοσιεύματα πλήττουν ταυτόχρονα και μέλη της οικογένειάς τους.

Αντίθετα, η Αρχή σε δύο υποθέσεις έκανε δεκτές τις υπό εξέταση προσφυγές. Συγκεκριμένα, η Αρχή εξέτασε προσφυγή σχετικά με δημοσίευση φωτογραφίας από εφημερίδα και, με τη με αριθμ. 37/2015 απόφαση της, διαπίστωσε ότι η επίμαχη φωτογραφία ουδόλως συνδέεται με το περιεχόμενο του δημοσιεύματος, στο οποίο αυτή συμπεριλήφθηκε και, ως εκ τούτου, η δημοσίευση της αντίκειται στις διατάξεις του Ν. 2472/1997, καθώς δεν συμβάλλει στην ενημέρωση του αναγνωστικού κοινού και θα μπορούσε ενδεχομένως να δημιουργηθεί στο μέσο αναγνώστη η εσφαλμένη εντύπωση ότι το εικονιζόμενο πρόσωπο συνδέεται με την είδηση των συλλήψεων μελών του κόμματος της Χρυσής Αυγής. Περαιτέρω, ο προσφεύγων δεν μπορεί να θεωρηθεί δημόσιο πρόσωπο αφού από κανένα στοιχείο του φακέλου της υπόθεσης δεν προκύπτει ότι κατέχει δημόσια θέση ή/και χρησιμοποιεί δημόσιο χρήμα ή ακόμα διαδραματίζει ρόλο στη δημόσια ζωή, και ως εκ τούτου δεν υφίσταται δικαιολογημένο ενδιαφέρον του κοινού για ενημέρωση. Στην περίπτωση αυτή, η Αρχή έκρινε ότι η εφημερίδα δεν ικανοποίησε το δικαίωμα αντίρρησης του προσφεύγοντος με την έννοια της διαγραφής των επίμαχων δημοσιεύσεων εντός δεκαπέντε ημερών, καθώς τόσο η επίμαχη φωτογραφία όσο και το δημοσίευμα, με το οποίο αυτή συνδέθηκε, ήταν διαθέσιμα και στο διαδικτυακό τόπο της εφημερίδας για σημαντικό χρονικό διάστημα (δεκαέξι μήνες), γεγονός που θίγει δυσανάλογα τα δικαιώματα του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τους ιδιαίτερους κινδύνους που συνδέονται με τη φύση του διαδικτύου (ελεύθερη, καθολική και μη ελεγχόμενη πρόσβαση χωρίς χρονικό περιορισμό σε κάθε είδους πληροφορίες σχετικά με ένα πρόσωπο). Επίσης, η Αρχή διαπίστωσε ότι η εφημερίδα δεν είχε ικανοποιήσει προσηκόντως το δικαίωμα πρόσβασης του προσφεύγοντος, αφού δεν απάντησε καθόλου αναφορικά με το αίτημα να του χορηγηθούν όλα τα δεδομένα που τον αφορούν, ενώ απάντησε σχετικά με την προέλευση τους με σημαντική χρονική καθυστέρηση.

Τέλος, κατόπιν προσφυγής δημοσίου προσώπου ότι σε δημοσίευμα εφημερίδας αναγράφηκε η αιτία νοσηλείας και η ασφαλιστική του κατάσταση ως απόρου, η Αρχή, με τη με αριθμ. 52/2015 απόφαση της, επέβαλε χρηματικό πρόστιμο στην εφημερίδα για την παράνομη επεξεργασία προσωπικών δεδομένων του προσφεύγοντος και στο νοσοκομείο που δεν είχε λάβει αποτελεσματικά μέτρα σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας των δεδομένων που τηρεί στο αρχείο του, δεδομένου ότι η εφημερίδα δημοσίευσε στοιχεία νοσηλείας, όπως ακριβώς αυτά αναγράφονται στο έγγραφο του διοικητικού εξιτηρίου του νοσοκομείου. Συγκεκριμένα, η Αρχή έκρινε ότι στην κατηγορία των δημοσίων προσώπων και μάλιστα των προσώπων που κατέχουν δημόσιο αξίωμα ανήκει και ο προσφεύγων, ο οποίος κατά την περίοδο 20052010 είχε διορισθεί στη θέση του προέδρου κρατικού οργανισμού, τα πεπραγμένα του οποίου απασχόλησαν ιδιαίτερα έντονα τον Τύπο λόγω των ασυνήθιστα υψηλών προς αυτόν κρατικών επιχορηγήσεων, για τη διαχείριση των οποίων υπήρξε μάλιστα επιβαρυντικό πόρισμα ελέγχου από τον Γενικό Επιθεωρητή Δημόσιας Διοίκησης. Ως εκ τούτου, η αναφορά στο ότι ο προσφεύγων νοσηλεύτηκε ως άπορος (το οποίο είναι ευαίσθητο δεδομένο κοινωνικής πρόνοιας) είναι γεγονός που το κοινό έχει εύλογο ενδιαφέρον να πληροφορηθεί, καθώς συνδέεται με την επιδεικνυόμενη οικονομική ανέχεια του προσφεύγοντος, η οποία βρίσκεται σε αναντιστοιχία με τις υψηλές κρατικές αποδοχές που ελάμβανε στο παρελθόν. Περαιτέρω, η Αρχή απεφάνθη ότι η δημοσίευση προσωπικών δεδομένων του δημοσίου προσώπου σε εφημερίδα δεν υπερβαίνει το αναγκαίο μέτρο για την εξασφάλιση του δικαιώματος του Τύπου να ασκήσει δημόσιο έλεγχο και κριτική (ρόλος «public watchdog» κατά τη νομολογία του ΕΔΔΑ), πλην όμως ότι η εν λόγω δημοσίευση θα μπορούσε να έχει περιοριστεί στο γεγονός ότι ένας κάποτε αδρά αμειβόμενος από το δημόσιο πρόεδρος κρατικού οργανισμού νοσηλεύεται ως άπορος σε δημόσιο νοσοκομείο χωρίς να αναγράφεται η πλήρης πάθηση αυτού.

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΣΥΣΤΗΜΑΤΩΝ ΒΙΝΤΕΟΕΠΙΤΗΡΗΣΗΣ

Επιτήρηση χώρων εργασίας
Επιβολή διοικητικών κυρώσεων σε κατάστημα εστίασης για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης σε χώρους εργασίας Η Αρχή πραγματοποίησε, μετά από καταγγελία, επιτόπιο έλεγχο στο κατάστημα εστίασης «Burger Joint/ Μαρία Γαλιώνη IKE». Διαπιστώθηκε ότι στην επιχείρηση λειτουργούσε σύστημα βιντεοεπιτήρησης χωρίς να έχει γνωστοποιηθεί στην Αρχή. Επίσης, βρέθηκαν αρχεία βίντεο με ήχο τα οποία είχαν καταγραφεί σε χρόνο προγενέστερο των 15 ημερών πριν από τον έλεγχο, ενώ διαπιστώθηκε η ύπαρξη καμερών σε χώρο εργασίας, χωρίς αυτό να δικαιολογείται από τη φύση και τις συνθήκες εργασίας, καθώς και καμερών που λάμβαναν εικόνα από χώρο εστίασης. Η Αρχή επέβαλε πρόστιμο τριών χιλιάδων ευρώ για τις ως άνω διαπιστωθείσες παραβάσεις και διέταξε τον υπεύθυνο επεξεργασίας: α) να αφαιρέσει τις κάμερες που βρίσκονται στο εσωτερικό του καταστήματος, εκτός από την κάμερα που βρίσκεται στην κεντρική είσοδο, καθώς και την κάμερα που επιτηρεί το ταμείο, β) να καταστρέψει κάθε σχετικό αρχείο με προσωπικά δεδομένα εργαζομένων και πελατών που συλλέχτηκε από το έως τώρα εγκατεστημένο σύστημα βιντεοεπιτήρησης και να ενημερώσει σχετικά την Αρχή, και γ) να υποβάλει στην Αρχή γνωστοποίηση του συστήματος βιντεοεπιτήρησης, μετά τις επιβληθείσες τροποποιήσεις (απόφαση 49/2015).

Επιβολή διοικητικών κυρώσεων σε εταιρεία για παράληψη γνωστοποίησης στην Αρχή εγκατάστασης και λειτουργίας συστήματος βιντεοεπιτήρησης
Η Αρχή πραγματοποίησε, μετά από καταγγελία, επιτόπιο έλεγχο στην έδρα της εταιρείας με επωνυμία «Ε. ΣΤΑΘΑΤΟΣ ΑΒΕΕ ΓΡΑΦΙΚΕΣ ΤΕΧΝΕΣ». Διαπιστώθηκε ότι στην επιχείρηση λειτουργούσε σύστημα βιντεοεπιτήρησης χωρίς να έχει γνωστοποιηθεί στην Αρχή και χωρίς να έχουν τοποθετηθεί σχετικές ενημερωτικές πινακίδες, ενώ το σύστημα λάμβανε εικόνα από παρακείμενους κοινόχρηστους χώρους. Η Αρχή επέβαλε πρόστιμο τριών χιλιάδων ευρώ, μεταξύ άλλων (βλ. και Ενότητα 3.6 Χρηματοπιστωτικός τομέας και Ιδιωτική Οικονομία) για την παράλειψη γνωστοποίησης του συστήματος βιντεοεπιτήρησης, ενώ απηύθυνε προειδοποίηση στον υπεύθυνο επεξεργασίας να αναρτήσει αμέσως ευδιάκριτες ενημερωτικές πινακίδες για τη βιντεοσκόπηση και να μεριμνήσει ώστε να μην λαμβάνεται εικόνα από παρακείμενους κοινόχρηστους χώρους (απόφαση 136/2015).

Σύσταση σχετικά με λειτουργία καμερών σε τηλεφωνικό κέντρο με σκοπό την επίβλεψη εργαζομένων
Ο Μεταφορικός Συνεταιρισμός Ασυρματοφόρων Επιβατηγών Δημοσίας Χρήσεως Αυτοκινήτων Βόλου και Ν. Ιωνίας ΣΠΕ «Eurotaxi Βόλος» γνωστοποίησε στην Αρχή την εγκατάσταση συστήματος βιντεοεπιτήρησης με καταγραφή εικόνας και ήχου εντός των γραφείων του, σε χώρους όπου είναι εγκατεστημένος ηλεκτρονικός εξοπλισμός του τηλεφωνικού κέντρου και λαμβάνονται κλήσεις πελατών. Η Αρχή, αφού αρχικά ζήτησε από τον υπεύθυνο επεξεργασίας να τεκμηριώσει επακριβώς τους λόγους για τους οποίους κρίνει ότι το εν λόγω σύστημα, με τα συγκεκριμένα χαρακτηριστικά, είναι απολύτως αναγκαίο για την επίτευξη του επιδιωκόμενου σκοπού, τον ενημέρωσε με έγγραφο της (υπ' αριθμ. ΓΝ/ΕΞ/543/ 22102015 έγγραφο) ότι στη συγκεκριμένη περίπτωση δεν προκύπτει ότι ο έλεγχος μέσω του συστήματος βιντεοεπιτήρησης δικαιολογείται από τη φύση και τις συνθήκες της εργασίας και είναι απολύτως απαραίτητος για την ασφάλεια του εξοπλισμού ώστε να υπερτερεί του δικαιώματος της προστασίας των προσωπικών δεδομένων των εργαζομένων. Και τούτο διότι αφενός φαίνεται ότι μέσω του εν λόγω συστήματος είναι αναπόφευκτη η παρακολούθηση θέσεων εργασίας, ακόμη και αν η κάμερα δεν εστιάζει σε πρόσωπα εργαζομένων, αφού θα γίνεται εκ των πραγμάτων λήψη εικόνας από τα χέρια των χειριστών/χειριστριών, ενώ ταυτοχρόνως δεν καταδεικνύεται ότι ο επιδιωκόμενος σκοπός δεν μπορεί να επιτευχθεί με ηπιότερα μέσα, όπως π.χ. με συστηματικούς ελέγχους, σε συνδυασμό με κάμερα στην είσοδο της επιχείρησης ή/και με έγγραφες βεβαιώσεις των υπαλλήλων για τον εξοπλισμό που παραλαμβάνουν κατά την έναρξη του ωραρίου τους. Στο εν λόγω έγγραφο της, η Αρχή απηύθυνε σύσταση για αφαίρεση της επίμαχης κάμερας.

Μη επιτρεπτή η χρήση συστήματος βιντεοεπιτήρησης για την εξακρίβωση της ταυτότητας υπαλλήλων κατά τη χρήση συσκευής ελέγχου της ώρας προσέλευσης και αποχώρησης
Σε απάντηση σχετικού ερωτήματος υπαλλήλου ΟΤΑ, η Αρχή διευκρίνισε ότι η χρήση καμερών για την απεικόνιση των υπαλλήλων κατά τη στιγμή που εισάγουν την κάρτα εισόδουεξόδου τους στα αντίστοιχα μηχανήματα στην είσοδο των κτηρίων του Δήμου για την ωρομέτρηση του προσωπικού εισάγει μια επαχθή και δυσανάλογη για τα υποκείμενα επεξεργασία σε σχέση με τον επιδιωκόμενο σκοπό, χωρίς αυτό να είναι απαραίτητο, καθώς ο έλεγχος μπορεί να πραγματοποιηθεί επαρκώς και με άλλα ηπιότερα εναλλακτικά μέσα (υπ' αριθμ. Γ/ΕΞ/16131/ 02042015 έγγραφο).

Μη σύννομη η λειτουργία συστήματος βιντεοεπιτήρησης εντός οχήματος ταξί με σκοπό την παρακολούθηση των υπαλλήλων οδηγών
Η Αρχή, σε απάντηση σχετικού ερωτήματος ιδιοκτήτη οχήματος ταξί, ενημέρωσε ότι, όπως επισημαίνεται στην υπ'αριθμ. 1/2011 οδηγία της Αρχής, ένα σύστημα βιντεοεπιτήρησηςδεν πρέπει να χρησιμοποιείται για την επιτήρηση των εργαζομένων εντός των χώρων εργασίας (εκτός συγκεκριμένων εξαιρέσεων), όπως εξάλλου μπορεί να θεωρηθεί ο χώρος ενός ταξί για έναν υπάλληλο, και κατά συνέπεια δεν μπορεί να θεωρηθεί ως σύννομη η λειτουργία συστήματος βιντεοεπιτήρησης στο χώρο του ταξί με σκοπό την παρακολούθηση της συμπεριφοράς των υπαλλήλων οδηγών, με απώτερο σκοπό την ομαλή λειτουργία και παροχή των σχετικών υπηρεσιών των εργαζομένων, ειδικά στο βαθμό που ο σκοπός αυτός ενδέχεται να μπορεί να επιτευχθεί εξίσου αποτελεσματικά με λιγότερο επαχθή μέσα (υπ'αριθμ. Γ/ΕΞ/18741/ 28052015 έγγραφο).

Κατοικίες -Συγκροτήματα κατοικιών

Επιβολή προστίμου για ελλιπή γνωστοποίηση και συστάσεις για τη λειτουργία συστήματος βιντεοεπιτήρησης σε συνιδιοκτησία συγκροτήματος κατοικιών
Η Αρχή εξέδωσε την απόφαση 95/2015 σχετικά με τη λειτουργία του συστήματος βιντεοεπιτήρησης προς τη Συνιδιοκτησία Συγκροτήματος Κατοικιών «Λόφος Έντισον», μετά από καταγγελία ιδιοκτητώνκατοίκων του για την εγκατάσταση καμερών συστήματος βιντεοεπιτήρησης περιμετρικά και εντός των κοινόχρηστων και κοινωφελών χώρων του συγκροτήματος αυτού. Στο πλαίσιο της εξέτασης της υπόθεσης, πραγματοποιήθηκε επιτόπιος διοικητικός έλεγχος στα αρχεία του υπευθύνου επεξεργασίας και ειδικότερα στο εκεί εγκατεστημένο σύστημα.
Κατά τη διενέργεια του ελέγχου διαπιστώθηκε ότι υπήρχαν εγκατεστημένες 40 κάμερες, ενώ είχαν γνωστοποιηθεί στην Αρχή μόνο οι 32. Οι 8 νέες κάμερες γνωστοποιήθηκαν καθυστερημένα στην Αρχή, μετά τη διενέργεια του ελέγχου, κατά παράβαση του άρ. 6 του Ν. 2472/1997. Γ ια την παράβαση αυτή της διάταξης του άρθρου 6 του Ν. 2472/1997, η Αρχή επέβαλε στη Συνιδιοκτησία Συγκροτήματος Κατοικιών «Λόφος Έντισον» πρόστιμο χιλίων ευρώ.
Η Αρχή έκρινε ότι οι χώροι του εσωτερικού δικτύου οδών και πλατειών του Συγκροτήματος αποτελούν ιδιόκτητους, κοινόχρηστους χώρους και όχι δημόσιους χώρους ή κοινόχρηστους πολεοδομικώς χώρους. Συνεπώς σε αυτούς έχει εφαρμογή το άρθρο 15 της Οδηγίας 1/2011 της Αρχής για την εγκατάσταση συστημάτων βιντεοεπιτήρησης σε συγκροτήματα κατοικιών ή γραφείων για την ασφάλεια των κοινόχρηστων χώρων και των προσώπων που κυκλοφορούν σε αυτούς. Ωστόσο το παραπάνω δεν ισχύει για τους τρεις χώρους που βρίσκονται εντός της περίφραξης του Συγκροτήματος, οι οποίοι αποτελούν πολεοδομικώς κοινόχρηστους χώρους πρασίνου. Οι χώροι αυτοί είναι δημόσιοι χώροι και δεν θα έπρεπε, κατ' αρχάς, να επιτηρούνται από το σύστημα βιντεοεπιτήρησης του Συγκροτήματος. Όπως όμως αποδείχθηκε, οι τρεις αυτοί χώροι δεν διαχωρίζονται με κάποιο τρόπο, όπως διάδρομο, μονοπάτι ή περίφραξη, από το Συγκρότημα και αποτελούν στην ουσία φυσικό όριο του Συγκροτήματος. Επίσης, όπως διαπιστώθηκε και κατά τον έλεγχο, μέσω του συστήματος βιντεοεπιτήρησης, λαμβάνεται εικόνα από τη δημοτική οδό Έντισον και το πεζοδρόμιο της οδού αυτής. Στα σημεία αυτά η επιτήρηση πρέπει να περιορίζεται στον απολύτως αναγκαίο χώρο. Διαπιστώθηκε επίσης ότι δύο κάμερες λαμβάνουν εικόνα από μέρος του μπαλκονιού και από τμήμα πρόσοψης κτιρίου του Συγκροτήματος, σε αντίθεση μετά οριζόμενα στο άρ. 6 παρ. 2, σχετικά με την εικόνα από εσωτερικό κατοικιών, της οδηγίας της Αρχής. Τέλος, διαπιστώθηκαν ελλείψεις στις χρησιμοποιούμενες ενημερωτικές πινακίδες.
Η Αρχή απηύθυνε, επιπλέον, σύσταση στη συνιδιοκτησία του συγκροτήματος κατοικιών όπως τροποποιήσει κατάλληλα το πεδίο λήψης εικόνας των καμερών και όπως συμμορφωθεί με τα όσα προβλέπονται στο άρ. 12 της οδηγίας της Αρχής σχετικά με την υποχρέωση ενημέρωσης.
Προϋποθέσεις νόμιμης τοποθέτησης καμερών εντός ανελκυστήρα σε συγκρότημα κατοικιών
Με την απόφαση 124/2015, η Αρχή έκρινε, εξετάζοντας δύο συναφείς καταγγελίες, ότι η τοποθέτηση καμερών εντός του ανελκυστήρα σε συγκρότημα κατοικιών είναι σύμφωνη με το Ν. 2472/1997, εφόσον πληρούνται σωρευτικά οι προϋποθέσεις νομιμότητας που θέτει η Οδηγία 1/2011, η οποία ρυθμίζει το ζήτημα συστημάτων βιντεοεπιτήρησης. Η Αρχή, επίσης, έκρινε ότι θα πρέπει να τοποθετηθεί ειδικώς εντός του θαλάμου του ανελκυστήρα αλλά και στην είσοδο αυτού, σε κάθε όροφο του συγκροτήματος, σχετική ενημερωτική πινακίδα, με περιεχόμενο που προβλέπεται στο άρ. 12 της Οδηγίας 1/2011.
Στο σκεπτικό της απόφασης επισημάνθηκε ότι ο ανελκυστήρας είναι ένας κοινόχρηστος χώρος στον οποίο παραμένει ο επιβαίνων για πολύ μικρό χρονικό διάστημα και ο οποίος διαθέτει τα εξής χαρακτηριστικά: α) Είναι ένας κλειστός και περιορισμένος χώρος, μέσα στον οποίο μπορούν να συνυπάρξουν κατά περίπτωση αρκετά άτομα. Λόγω του γεγονότος ότι ο χώρος είναι περιορισμένος και ό,τι συμβαίνει στο εσωτερικό του δεν είναι ορατό από τους έξω χώρους, εκτός βέβαια από περιπτώσεις ανελκυστήρων με γυάλινες πόρτες, έχει αυξημένη επικινδυνότητα όσον αφορά στην τέλεση εγκληματικών πράξεων, όπως κλοπές, βανδαλισμοί, παρενοχλήσεις. Επίσης, η χρήση του είναι απαραίτητη και πολύ συχνή, κυρίως σε πολυώροφα κτίρια, β) συγχρόνως, τα χαρακτηριστικά αυτά ενδεχομένως δίνουν την αίσθηση σε κάποιον, που συμπτωματικά είναι ο μόνος ευρισκόμενος στο θάλαμο του ανελκυστήρα, ότι απολαμβάνει κάποιας μορφής ιδιωτικότητα, λόγω των χαρακτηριστικών «απομόνωσης» του συγκεκριμένου χώρου, παρόλο που είναι κοινόχρηστος. Ωστόσο, η εν λόγω αίσθηση διαρκεί για μικρό χρονικό διάστημα, κατά κανόνα λίγων δευτερολέπτων, ενώ όλοι οι επιβαίνοντες γνωρίζουν εξ αρχής ότι πιθανόν, μέχρι να φτάσουν στον προορισμό τους, να εισέλθουν και άλλα άτομα εντός αυτού. Ο χώρος του ανελκυστήρα σε συγκρότημα κατοικιών ή γραφείων δεν μπορεί να θεωρηθεί ως χώρος στον οποίο η βιντεοεπιτήρηση δεν είναι επιτρεπτή και προσβάλλει τον σκληρό πυρήνα του δικαιώματος στην προστασία της ιδιωτικής ζωής. Και τούτο διότι η προσδοκία ιδιωτικότητας που έχει κάποιος εισερχόμενος στον ανελκυστήρα δεν μπορεί να θεωρηθεί ίδιας «έντασης» με την αντίστοιχη προσδοκία που γεννάται όταν εισέρχεται σε χώρους όπως αυτοί που ενδεικτικά περιγράφονται στο άρ. 6 παρ. 3 της ως άνω οδηγίας, δηλαδή χώροι και προθάλαμοι τουαλετών, αποδυτήρια και λουτρά προσωπικού ή πελατών, δεδομένου ότι συχνά στον ανελκυστήρα βρίσκονται ταυτόχρονα πλέον του ενός ατόμων, ακόμα και αν κάποιος αρχικά είναι μόνος του εντός του ανελκυστήρα, πιθανώς πριν φτάσει στον προορισμό τουνα εισέλθει και άλλος, και αυτή η πιθανότητα είναι εις γνώσιν του οποιουδήποτε.

Σύσταση για προσαρμογή συστήματος βιντεοεπιτήρησης εγκατεστημένου σε οικία που λαμβάνει εικόνα από δημόσιο δρόμο
Η Αρχή εξέδωσε την απόφαση 135/2015, κατόπιν καταγγελίας, για σύστημα βιντεοεπιτήρησης εγκατεστημένο σε οικία. Κατά την εξέταση της υπόθεσης λήφθηκε υπόψη ότι στο παρελθόν έχει τοποθετηθεί εμπρηστικός μηχανισμός έξω από την είσοδο της εν λόγω οικίας, και κατά συνέπεια πρόκειται για χώρο με αυξημένες ανάγκες ασφάλειας, κατά την έννοια του άρθρου 6 παρ. 1 της Οδηγίας 1/2011. Εντούτοις, η τοποθέτηση κάμερας στο μπαλκόνι του πρώτου ορόφου, όπως προκύπτει από το προσκομισθέν φωτογραφικό υλικό, επιτρέπει τη λήψη εικόνας από σχετικά μεγάλο μέρος του παράπλευρου δημοσίου δρόμου, πεζοδρομίου και μέρους γειτονικής κατοικίας. Η Αρχή απηύθυνε σχετική σύσταση καθώς έκρινε ότι απαιτείται τροποποίηση της εγκατάστασης της εν λόγω κάμερας, δηλαδή τοποθέτηση της σε σημείο χαμηλότερο του παρόντος σημείου εγκατάστασης, κατά τέτοιο τρόπο που να περιορίζεται η λήψη εικόνας από τον παράπλευρο δρόμο και πεζοδρόμιο και να επιτυγχάνεται καλύτερη επόπτευση του προς προστασία χώρου της εισόδου της οικίας. Ο καταγγελλόμενος θεωρείται υπεύθυνος επεξεργασίας για την εγκατάσταση αυτή και έχει επομένως όλες τις υποχρεώσεις που απορρέουν από το Ν. 2472/1997 και την οδηγία 1/2011, όπως υποχρέωση υποβολής γνωστοποίησης στην Αρχή, υποχρέωση ικανοποίησης των δικαιωμάτων ενημέρωσης, πρόσβασης και αντίρρησης των υποκειμένων καθώς και υποχρέωση τήρησης του απορρήτου και της ασφάλειας της επεξεργασίας.

Σύσταση για προσαρμογή συστήματος βιντεοεπιτήρησης εγκατεστημένου σε είσοδο οροφοδιαμερίσματος και σε θέση στάθμευσης ενοίκου σε πολυκατοικία
Η Αρχή εξέδωσε την απόφαση 134/2015 κατόπιν καταγγελίας για σύστημα βιντεοεπιτήρησης που περιλαμβάνει κάμερα έξω από οροφοδιαμέρισμα και στην είσοδο πολυκατοικίας. Λαμβάνοντας υπόψη ότι η κάμερα είναι τοποθετημένη έξω από οροφοδιαμέρισμα, και με την προϋπόθεση ότι το πεδίο λήψης εικόνας είναι το απολύτως απαραίτητο για το σκοπό της προστασίας της εισόδου του διαμερίσματος, δηλαδή περιορίζεται στην επιτήρηση της πόρτας του διαμερίσματος, και λαμβάνει όσο το δυνατόν λιγότερη εικόνα από κοινόχρηστους χώρους, όπως σκάλα και ασανσέρ, η Αρχή έκρινε ότι η επεξεργασία θεωρείται νόμιμη, καθώς τα πρόσωπα που κατά κανόνα ενδέχεται να θίγονται από την επεξεργασία είναι αυτά που έχουν ως σκοπό την είσοδο στην οικία του καταγγελλόμενου. Ο καταγγελλόμενος θεωρείται υπεύθυνος επεξεργασίας για την εγκατάσταση αυτή και έχει όλες τις υποχρεώσεις που απορρέουν από το Ν. 2472/1997 και την οδηγία 1/2011, όπως υποχρέωση υποβολής γνωστοποίησης στην Αρχή, υποχρέωση ικανοποίησης των δικαιωμάτων ενημέρωσης, πρόσβασης και αντίρρησης των υποκειμένων, υποχρέωση τήρησης του απορρήτου και της ασφάλειας της επεξεργασίας. Επίσης, για την κάμερα που είναι τοποθετημένη από τον καταγγελλόμενο στην είσοδο της πολυκατοικίας και η οποία στοχεύει στη θέση στάθμευσης του οχήματος του, εφαρμόζονται τα οριζόμενα στην παρ. 4 του άρθρου 15 της οδηγίας 1/2011, συνεπώς, καθώς υπήρχε σύμφωνη γνώμη περισσοτέρων των 2/3 των ενοίκων και απόφαση της Γενικής Συνέλευσης των ιδιοκτητών, η τοποθέτηση αυτή θεωρήθηκε νόμιμη. Και για τις δύο περιπτώσεις απευθύνθηκε σύσταση, ιδίως για την υποχρέωση ενημέρωσης για τη λειτουργία του συστήματος.

Λοιπά θέματα βιντεοεπιτήρησης για σκοπούς προστασίας προσώπων και αγαθών
Επιβολή κυρώσεων σε νεφρολογικό κέντρο για παράνομη λειτουργία συστήματος βιντεοεπιτήρησης Στο πλαίσιο εξέτασης υποβληθείσας καταγγελίας, η Αρχή πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο «ΠΡΟΤΥΠΟ ΝΕΦΡΟΛΟΓΙΚΟ ΚΕΝΤΡΟ ΑΤΤΙΚΗΣ ΕΠΕ». Διαπιστώθηκε ότι σύστημα βιντεοεπιτήρησης λειτουργούσε στους χώρους αιμοκάθαρσης, οι κάμερες του οποίου ήταν σε κρυφά σημεία, ενώ δεν υπήρχαν σχετικές ενημερωτικές πινακίδες, ούτε καν για τις φανερές, εξωτερικές κάμερες του συστήματος στις εισόδους του κτιρίου και στο χώρο στάθμευσης. Για το εν λόγω σύστημα βιντεοεπιτήρησης δεν είχε υποβληθεί γνωστοποίηση στην Αρχή, ενώ ειδικά για τις κάμερες στους χώρους παροχής υπηρεσιών υγείας, δηλαδή τους χώρους αιμοκάθαρσης, δεν πληρούνται οι προϋποθέσεις νομιμότητας του άρ. 20 της οδηγίας 1/2011 της Αρχής και κατ' επέκταση των άρθρων 4 και 7 του Ν. 2472/1997, ήτοι λήψη άδειας από την Αρχή, τεκμηρίωση από επιτροπή αποτελούμενη από αρμόδιο ιατρικό και νοσηλευτικό προσωπικό περί της αναγκαιότητας ύπαρξης τους και τοποθέτηση ενημερωτικών πινακίδων. Τέλος, ο χρόνος τήρησης των δεδομένων εξαρτάται αποκλειστικά από τη χωρητικότητα των αποθηκευτικών μέσων καθώς διαπιστώθηκε κατά τον έλεγχο ότι η εγγραφή βίντεο ήταν ήδη σε εξέλιξη για χρονικό διάστημα δεκαεννέα ημερών, δηλαδή μεγαλύτερο από το όριο των δεκαπέντε ημερών που τίθεται στο άρθρο 8 της οδηγίας 1/2011. Παράλληλα, δύο έκτων εξωτερικών καμερών του συστήματος βιντεοεπιτήρησης λάμβαναν εικόνα από την παράπλευρη οδό και το πεζοδρόμιο έξωθεν του κτιρίου. Σημειώνεται ότι η οθόνη παρακολούθησης ήταν στο χώρο υποδοχής (reception) του Κέντρου.
Ενόψει της βαρύτητας της παράβασης που διαπιστώθηκε, και ιδίως των ιδιαίτερων συνθηκών στις οποίες βρίσκονται τα υποκείμενα κατά την επεξεργασία ευαίσθητων προσωπικών δεδομένων υγείας, και λαμβάνοντας επίσης υπόψη τόσο το ότι ο υπεύθυνος προέβη στην άμεση απενεργοποίηση όλων ανεξαιρέτως των καμερών, όσο και το ότι δεν προέκυψε ότι υπήρχε από την πλευρά του επιδίωξη κρυφής παρακολούθησης των ασθενών, αφού η οθόνη παρακολούθησης ήταν στο χώρο υποδοχής, ενώ επίσης, από τον έλεγχο δεν προέκυψε ότι έγινε κάποια άλλη επεξεργασία, όπως εξαγωγή αρχείου βίντεο, επί του καταγεγραμμένου από τις κάμερες στους χώρους αιμοκάθαρσης υλικού, αλλά και συνεκτιμώντας την τρέχουσα δυσχερή οικονομική κατάσταση της εταιρείας, καθώς και το γεγονός ότι οι εκπρόσωποι της συνεργάστηκαν με την Αρχή κατά τη διενέργεια του επιτόπιου ελέγχου, η Αρχή επέβαλε με την απόφαση 76/2015 πρόστιμο χιλίων πεντακοσίων ευρώ και διέταξε τον υπεύθυνο επεξεργασίας να προβεί αμέσως στις ακόλουθες ενέργειες: α) Στην αφαίρεση των καμερών από τις αίθουσες αιμοκάθαρσης, και β) στην καταστροφή κάθε σχετικού αρχείου με προσωπικά δεδομένα που συλλέχτηκε από το σύστημα βιντεοεπιτήρησης. Επίσης, η Αρχή απηύθυνε προειδοποίηση στον υπεύθυνο ώστε, σε περίπτωση μελλοντικής εγκατάστασης συστήματος βιντεοεπιτήρησης, να υποβάλει σχετική γνωστοποίηση στην Αρχή, καθώς επίσης και να ληφθεί από την πλευρά του μέριμνα για την τήρηση όλων των προϋποθέσεων νομιμότητας που αναλύονται στην οδηγία 1/2011.

Καταγγελία για σύστημα βιντεοεπιτήρησης στο Επιχειρησιακό Κέντρο Ασφάλειας (Security Operations Center SOC) εταιρείας αλυσίδας υπεραγορών
Με την απόφαση 87/2015 η Αρχή εξέτασε καταγγελία πρώην εργαζομένων της Μαρινόπουλος ΑΕ σύμφωνα με την οποία σε εγκατάσταση της εταιρείας και συγκεκριμένα στο Security Operations Center (SOC) αυτήςέχουν τοποθετηθεί κάμερες σε διάφορους χώρους και ειδικότερα στο χώρο του κέντρου ελέγχου (Control Room), στο χώρο της κουζίνας, στις σκάλες και στο διάδρομο, οι οποίες χρησιμοποιούνται και για τον έλεγχο των εργαζομένων. Όπως επίσης αναφέρεται στην καταγγελία, από το χώρο αυτό πραγματοποιείται παρακολούθηση των καταστημάτων της εταιρείας πανελλαδικά.
Η Αρχή, μετά από εξέταση των γνωστοποιήσεων για τα συστήματα βιντεοεπιτήρησης που έχει υποβάλει η εταιρεία στην Αρχή, και κατόπιν ελέγχου που πραγματοποίησε στον προαναφερθέντα χώρο του SOC, διαπίστωσε ότι το SOC λειτουργεί από το 2010, σε εικοσιτετράωρη βάση, με δυνατότητα λήψης και επόπτευσης σημάτων, μεταξύ των οποίων και εικόνας, από περίπου 30 από τα μεγαλύτερα καταστήματα της εταιρείας. Η αποθήκευση των εικόνων γίνεται τοπικά στα καταστήματα. Το εν λόγω σύστημα γνωστοποιήθηκε στην Αρχή με καθυστέρηση, μετά την προαναφερθείσα καταγγελία. Εντός του SOC υπάρχει εγκατεστημένος εξοπλισμός συστήματος βιντεοεπιτήρησης με κάμερες και κέντρο ελέγχου. Κατά τον επιτόπιο έλεγχο το σύστημα αυτό δεν βρέθηκε σε λειτουργία, αλλά διαπιστώθηκε ότι ήταν εύκολο να ενεργοποιηθεί με πολύ απλές κινήσεις. Η κεντρική μονάδα δεν διέθετε κατά το χρόνο ελέγχου δυνατότητα καταγραφής, κάτι που είναι πιθανό να συνέβαινε στο παρελθόν. Τέλος, οι κάμερες, αν τεθούν σε λειτουργία, λαμβάνουν εικόνα από προαύλιο χώρο, εισόδους και εξόδους, το χώρο του κεντρικού εξοπλισμού, διάδρομο, χώρους γραφείων, χώρο θέσεων εργασίας, χωρίς να εστιάζουν σε αυτές, καθώς και χώρο δωματίου κουζίνας. Οι εν λόγω κάμερες αφαιρέθηκαν από τον υπεύθυνο επεξεργασίας μετά τον επιτόπιο έλεγχο. Επίσης διαπιστώθηκε ότι σε ορισμένα καταστήματα της εταιρείας οι οθόνες παρακολούθησης ήταν εγκατεστημένες στο γραφείο της Διεύθυνσης του καταστήματος.

Η Αρχή επέβαλε πρόστιμο τριών χιλιάδων ευρώ στη Μαρινόπουλος ΑΕ για παραβίαση της διάταξης του άρθρου 6 του Ν. 2472/1997, αναφορικά με τη μη γνωστοποίηση του συστήματος βιντεοεπιτήρησης. Περαιτέρω απηύθυνε σύσταση στην εταιρεία όπως προσαρμόσει τη λειτουργία των συστημάτων βιντεοπιτήρησης μέσω των οποίων επεξεργάζεται δεδομένα εικόνας έτσι ώστε: α) Αναφορικά με το σύστημα του SOC που λαμβάνει εικόνα από διάφορα καταστήματα της επιχείρησης, να ληφθούν κατάλληλα μέτρα ασφάλειας, όπως η τυποποίηση των διαδικασιών του υπευθύνου, με την κατάρτιση σχετικών εσωτερικών εγγράφων, με πολιτική ορθής χρήσης του συστήματος και τη συνεχή εκπαίδευση του προσωπικού σε θέματα προστασίας δεδομένων, και β) στα επιμέρους καταστήματα να μην υπάρχει οθόνη παρακολούθησης του εκεί εγκατεστημένου συστήματος βιντεοεπιτήρησης στο γραφείο της Διεύθυνσης.
Έγκριση αιτήματος της εταιρείας «Σταθερές Συγκοινωνίες ΑΕ» για την εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης στο εσωτερικό 17 συρμών 3ης γενιάς του μετρό της Αθήνας
Με την απόφαση 104/2015, η Αρχή έκρινε επί αιτήσεως θεραπείας της «Σταθερές Συγκοινωνίες ΑΕ» (ΣΤΑΣΥ). Η εταιρεία ζήτησε την επανεξέταση της απόφασης 137/2013 της Αρχής, με την οποία απερρίφθη προσωρινά η αίτηση της κατά το μέρος που αφορά στην εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης στο εσωτερικό των συρμών του μετρό της Αθήνας, ενώ κρίθηκε ως σύννομη η εγκατάσταση και λειτουργία καμερών στο εξωτερικό των συρμών του μετρό της Αθήνας, στις γραμμές 2 και 3, για τον σκοπό επεξεργασίας και υπό τους όρους που αναφέρονταν στο σκεπτικό της απόφασης.
Η Αρχή, με τη νέα απόφαση, έκρινε κατά πλειοψηφία ότι, παρόλο που ένα σύστημα βιντεοεπιτήρησης στο οποίο δεν πραγματοποιείται συνεχής παρακολούθηση των εικόνων των καμερών σε πραγματικό χρόνο δεν είναι πλήρως αποτελεσματικό για την καταστολή και αντιμετώπιση τυχόν περιστατικών ασφαλείας σε πραγματικό χρόνο, η εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης στο εσωτερικό των συρμών, με τα χαρακτηριστικά και τις προδιαγραφές που έχει προτείνει η ΣΤΑΣΥ, συνιστά αναλογικό μέτρο για τον επιδιωκόμενο σκοπό επεξεργασίας, εν όψει των ιδιαίτερων χαρακτηριστικών του συγκεκριμένου μεταφορικού μέσου (υπόγειες εγκαταστάσεις, πληθώρα εγκαταστάσεων και απομακρυσμένων σημείων, συνωστισμός) και της αποδεδειγμένης δυσχέρειας αποτελεσματικής εφαρμογής άλλων ηπιότερων μέσων (π.χ. περιπολίες). Επιπλέον, παρόλο που, λόγω της μαζικότητας που χαρακτηρίζει το μέσο μεταφοράς αυτό και της δημοτικότητας του, ο αριθμός των υποκειμένων που επηρεάζονται σε καθημερινή βάση είναι μεγάλος, το μέγεθος της επίπτωσης στην ιδιωτική ζωή του κάθε επιβάτη είναι σχετικά περιορισμένο. Και τούτο λόγω του γεγονότος ότι πρόκειται για μέσο που προορίζεται για χρήση από ευρύ κοινό, του συνωστισμού που συνήθως παρατηρείται εντός των συρμών και της μικρής διάρκειας παραμονής στους συρμούς.
Απαραίτητη προϋπόθεση είναι ότι θα τηρηθούν κατ' ελάχιστο οι όροι για τον χρονικό περιορισμό της τήρησης των δεδομένων και τη λήψη κατάλληλων οργανωτικών και τεχνικών μέτρων ασφάλειας και προστασίας των δεδομένων. Οι όροι που τέθηκαν στην απόφαση περιλαμβάνουν: α) χρόνο τήρησης των καταγεγραμμένων δεδομένων που δεν θα πρέπει να ξεπερνά τις 48 ώρες, β) λήψη μέτρων φυσικής και λογικής προστασίας του καταγεγραμμένου υλικού ώστε η πρόσβαση στο καταγεγραμμένο υλικό και η εξαγωγή δεδομένων από αυτό να γίνεται μόνο από εξουσιοδοτημένα άτομα με συγκεκριμένη διαδικασία, γ) σύνταξη και εφαρμογή εσωτερικού κώδικα δεοντολογίας και σχετικού κανονιστικού πλαισίου, δ) περιορισμό σε επεξεργασία εικόνας και όχι ήχου, και ε) διαδικασίες για την ικανοποίηση των δικαιωμάτων ενημέρωσης, πρόσβασης και αντίρρησης, κατά τα οριζόμενα στο άρθρα 12 και 13 της υπ' αριθμ. 1/2011 οδηγίας της Αρχής.

Απάντηση προς το Δημοτικό Λιμενικό Ταμείο Πρέβεζας για τοποθέτηση κάμερας στη χερσαία ζώνη του λιμένα στάθμιση της αναλογικότητας από την πλευρά του υπευθύνου επεξεργασίας
Το Δημοτικό Λιμενικό Ταμείο Πρέβεζας ρώτησε την Αρχή αναφορικά με τη νομιμότητα τοποθέτησης καμερών στη χερσαία ζώνη λιμένα λόγω περιστατικών κλοπών και βανδαλισμών που έχουν λάβει χώρα. Η Αρχή με το υπ' αριθμ. Γ/ΕΞ/13351/12032015 έγγραφό της, ενημέρωσε τον φορέα ότι στην περίπτωση αυτή εφαρμόζεται το άρθρο 14 παρ. 5 του Ν. 3917/2011, οπότε και «η εγκατάσταση και λειτουργία συστημάτων επιτήρησης (...) από δημόσιες αρχές, Ο.Τ.Α., φυσικά ή νομικά πρόσωπα στους χώρους που διαχειρίζονται επιτρέπεται για το σκοπό της προστασίας προσώπων και αγαθών, σύμφωνα με τις διατάξεις του Ν. 2472/1997 και τις κατευθυντήριες οδηγίες που εκδίδονται από την Αρχή». Η Αρχή παρέπεμψε στην υπ' αριθμ. 1/2011 οδηγία και επισήμανε ότι στην περίπτωση αυτή το σύστημα βιντεοεπιτήρησης φαίνεται ότι θα εστιάζει σε ανοιχτούς χώρους της χερσαίας ζώνης του λιμανιού που είναι δημόσια προσβάσιμοι. Ως εκ τούτου, η νομιμότητα της σκοπούμενης επεξεργασίας θα πρέπει να κριθεί σταθμίζοντας τον επιδιωκόμενο σκοπό με τις επιπτώσεις της συγκεκριμένης επεξεργασίας στην ιδιωτική ζωή.
Η αναγκαιότητα εγκατάστασης των καμερών για την ικανοποίηση του σκοπού της επεξεργασίας θα πρέπει να αιτιολογείται πλήρως, ενώ ο επιδιωκόμενος σκοπός δεν θα πρέπει να μπορεί να επιτευχθεί με λιγότερο επαχθή μέσα ή με άλλο ηπιότερο τρόπο, χωρίς να θίγονται θεμελιώδεις ελευθερίες και δικαιώματα των υποκειμένων των δεδομένων. Αυτό συνεπάγεται ότι το πλήθος των καμερών, το πεδίο λήψης τους αλλά και τα λοιπά χαρακτηριστικά του συστήματος θα πρέπει να δικαιολογούνται απόλυτα για την εκπλήρωση αυτού του σκοπού και μόνο. Παρέπεμψε μάλιστα στη σχετική απόφαση 59/2013.
Επίσης, η Αρχή ενημέρωσε τον φορέα ότι θα πρέπει να προβεί στην ανωτέρω περιγραφείσα στάθμιση, συνυπολογίζοντας αφενός τα αγαθά που θέλει να διαφυλάξει και τους σχετικούς κινδύνους προς αυτά και, αφετέρου, τις δραστηριότητες που πραγματοποιούν οι παρευρισκόμενοι στους υπό επιτήρηση χώρους και την επέμβαση στα δικαιώματα αυτών. Στη στάθμιση αυτή θα πρέπει, μεταξύ άλλων, να λάβει υπόψη ότι το πρόσωπο που επιτρέπεται να προβεί στην τοποθέτηση καμερών για την επιτήρηση ενός χώρου είναι εκείνο στο οποίο η ασφάλεια του προς επιτήρηση χώρου εμπίπτει στις αρμοδιότητες του. Σε κάθε περίπτωση, ο υπεύθυνος επεξεργασίας οφείλει να υποβάλει γνωστοποίηση στην Αρχή για την εν λόγω επεξεργασία.

Σύσταση για ικανοποίηση δικαιώματος πρόσβασης υπαλλήλου (χορήγηση υλικού βίντεο)
Υπάλληλος του Οργανισμού Λιμένος Πειραιώς ΑΕ κατήγγειλε στην Αρχή ότι ζήτησε από τον οργανισμό οπτικό υλικό από το σύστημα βιντεοεπιτήρησης όπου καταγράφηκαν προσωπικά του δεδομένα σε συγκεκριμένη ημερομηνία, αλλά δεν ικανοποιήθηκε. Με το υπ' αριθμ. Γ/ΕΞ/37011/09072015 έγγραφο της η Αρχή ενημέρωσε ότι όπως ορίζεται στο άρθρο 13 της οδηγίας 1/2011 «ο υπεύθυνος επεξεργασίας έχει υποχρέωση να χορηγεί εντός δεκαπέντε (15) ημερών από την υποβολή της σχετικής αίτησης αντίγραφο του τμήματος της εγγραφής σήματος εικόνας όπου έχει καταγραφεί το υποκείμενο των δεδομένων ή έντυπη σειρά στιγμιότυπων από τις καταγεγραμμένες εικόνες ή, αναλόγως, να ενημερώσει εγγράφως το ενδιαφερόμενο πρόσωπο μέσα στην ίδια χρονική διορία είτε ότι δεν απεικονίζεται είτε ότι το σχετικό τμήμα της εγγραφής έχει καταστραφεί. Εναλλακτικά, εφόσον συμφωνεί και το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί απλώς να επιδείξει, άμεσα, το ανωτέρω τμήμα...». Η Αρχή ζήτησε από τον φορέα να ικανοποιήσει το δικαίωμα πρόσβασης του εργαζομένου.
Σημείωσε επίσης ότι δεδομένα βιντεοσκοπημένου υλικού από κλειστό κύκλωμα τηλεόρασης εγκατεστημένο για τον σκοπό της προστασίας προσώπων και αγαθών, τα οποία ενδέχεται να αποτελούν αποδεικτικά στοιχεία μιας αξιόποινης πράξης, επιτρέπεται να διαβιβαστούν στο πρόσωπο που απεικονίζεται ως θύμα ή δράστης της πράξης σύμφωνα με το άρθρο 9 της οδηγίας 1/2011 της Αρχής. Για την εν λόγω διαβίβαση δεν απαιτείται άδεια της Αρχής. Μάλιστα, όπως αναφέρεται στο άρθρο 8 της οδηγίας, σε περίπτωση συμβάντος, όπως π.χ. κλοπή, ληστεία, ξυλοδαρμός σε βάρος τρίτου, ο υπεύθυνος επεξεργασίας επιτρέπεται να τηρεί τις εικόνες στις οποίες έχει καταγραφεί το συγκεκριμένο συμβάν για τρεις (3) μήνες.
Σύστημα βιντεοεπιτήρησης σε βιβλιοθήκη στην οποία τηρούνται βιβλία και έργα τέχνης ιστορικής αξίας
Η Πανεπιστημιακή Βιβλιοθήκη Κέντρο Πληροφόρησης του Αριστοτέλειου Πανεπιστημίου Θεσσαλονίκης ρώτησε την Αρχή για τις προϋποθέσεις νόμιμης εγκατάστασης και λειτουργίας συστήματος βιντεοεπιτήρησης στον χώρο ανάγνωσης σπάνιου υλικού της Βιβλιοθήκης, προκειμένου η ιστορικής αζιας συλλογή του να προστατευτεί από κακόβουλη χρήση και κλοπή.
Η Αρχή απάντησε με το υπ' αριθμ. Γ/ΕΞ/28851/08062015 έγγραφο της, επισημαίνοντας ότι εφαρμόζονται οι ρυθμίσεις της υπ'αριθ. 1/2011 οδηγίας της Αρχής και, επομένως, η νομιμότητα της επεξεργασίας εξετάζεται στο πλαίσιο του σκοπού που επιδιώκει ο υπεύθυνος επεξεργασίας και σύμφωνα με την αρχή της αναλογικότητας. Παρέπεμψε δε στο άρθρο 21 παρ. 1 για τους χώρους μουσείων και αρχαιολογικών χώρων, όπου ορίζεται ότι η προστασία εκθεμάτων ιδιαίτερης καλλιτεχνικής και πνευματικής αξίας σε μουσεία και λοιπούς εκθεσιακούς χώρους μπορεί να δικαιολογήσει την εγκατάσταση και λειτουργία συστήματος βιντεοεπιτήρησης, ακόμη και όταν οι χώροι αυτοί είναι ανοικτοί για το κοινό, υπό συγκεκριμένες προϋποθέσεις που αναλύονται στο άρθρο αυτό. Η περίπτωση της Βιβλιοθήκης, παρόλο που δεν πρόκειται ευθέως για μουσείο ή αρχαιολογικό χώρο, προσιδιάζει στους χώρους αυτούς, ειδικά ως προς τις απαιτήσεις ασφαλείας. Η Αρχή επισήμανε επίσης ότι ο υπεύθυνος επεξεργασίας έχει σε κάθε περίπτωση την υποχρέωση τήρησης και των λοιπών γενικότερων προϋποθέσεων νομιμότητας της οδηγίας.

Σύστημα βιντεοεπιτήρησης εγκατεστημένο σε υπαίθριο χώρο μελισσοκομείου, που βρίσκεται σε δημόσια δασική έκταση
Υπεύθυνος επεξεργασίας υπέβαλε στην Αρχή γνωστοποίηση συστήματος βιντεοεπιτήρησης, σύμφωνα με την οποία έχει τοποθετήσει δύο κάμερες σε υπαίθριο χώρο του μελισσοκομείου του, σε δημόσια δασική έκταση.
Η Αρχή με το υπ' αριθμ. ΓΝ/ΕΞ/18251/03092015 έγγραφο της ενημέρωσε ότι στην περίπτωση του εν λόγω συστήματος βιντεοεπιτήρησης εφαρμόζεται η οδηγία 1/2011 κατ' εφαρμογή του άρθρου 14 παρ. 5 Ν. 3917/2011. Συνεπώς, μόνο στο βαθμό που η σχετική αρμοδιότητα διαχείρισης του χώρου του μελισσοκομείου, και ως εκ τούτου, και της διαχείρισης της ασφάλειας αυτού ανήκει στον υπεύθυνο (π.χ. με δημόσιο έγγραφο), μπορεί να θεωρηθεί ότι είναι κατ' αρχάς νόμιμη η επεξεργασία και ότι ορθώς έγινε η υποβολή της γνωστοποίησης.

Γνωστοποιήσεις συστημάτων βιντεοεπιτήρησης σε επιχειρήσεις παιδότοπων
Η Αρχή απαντώντας σε γνωστοποιήσεις συστημάτων βιντεοεπιτήρησης σε παιδότοπους επισήμανε ότι στην περίπτωση αυτή τυγχάνουν εφαρμογής τα οριζόμενα στο άρθρο 18 της οδηγίας 1/2011, όπου αναφέρεται ότι η ύπαρξη και μόνο καμερών σε σχολεία και άλλους χώρους όπου δραστηριοποιούνται ανήλικοι χρήζει ιδιαίτερης προσοχής, αφού δεν είναι εύκολο να αξιολογηθούν οι συνέπειες που μια τέτοια επεξεργασία μπορεί να έχει για την ελεύθερη ανάπτυξη της προσωπικότητας των ανηλίκων. Συγκεκριμένα, υπάρχει ο κίνδυνος να περιορισθεί η ανάπτυξη της έννοιας της ελευθερίας τους, εάν πιστέψουν από μικρή ηλικία ότι είναι φυσιολογικό να παρακολουθούνται μέσω καμερών. Μάλιστα, στις παραγράφους 26 του άρθρου αυτού περιγράφονται αναλυτικά οι προϋποθέσεις που ισχύουν για την εγκατάσταση συστημάτων βιντεοεπιτήρησης σε σχολεία, οι οποίες σύμφωνα με την παρ. 7 ισχύουν αναλόγως και για κάθε άλλο χώρο όπου δραστηριοποιούνται ανήλικοι, όπως η περίπτωση του παιδότοπου.
Η Αρχή ενημέρωσε ότι για να είναι νόμιμη η λειτουργία των εν λόγω συστημάτων βιντεοεπιτήρησης, θα πρέπει να διασφαλίζεται ότι πληρούνται όλες οι προϋποθέσεις νομιμότητας που τίθενται στην οδηγία.

Αίτημα του Τεχνικού Επιμελητηρίου Ελλάδος για βιντεοσκόπηση της διενέργειας των εξετάσεων για την ανάδειξη ενεργειακών επιθεωρητών και ελεγκτών δόμησης
To TEE ενημέρωσε την Αρχή σχετικά με την πρόθεση του να εγκαταστήσει σύστημα βιντεοεπιτήρησης στις κατάλληλα διαμορφωμένες αίθουσες διενέργειας των εξετάσεων για την ανάδειξη ενεργειακών επιθεωρητών και ελεγκτών δόμησης. Οι αίθουσες αυτές βρίσκονται στην κεντρική του υπηρεσία και στα 17 περιφερειακά τμήματα. Σκοπός είναι η βιντεοσκόπηση της διαδικασίας εξέτασης, προκειμένου να τεκμηριώνεται η παρουσία στην αίθουσα του επιτηρητή και των εξεταζόμενων υποψηφίων και κανενός τρίτου, για την απόλυτη διαφάνεια της διαδικασίας. Ζήτησε δε να χορηγηθεί άδεια για τη βιντεοσκόπηση.
Η Αρχή με το υπ' αριθμ. Γ/ΕΞ/5503/26102015 έγγραφο της ενημέρωσε ότι, από τις ισχύουσες νομοθετικές διατάξεις που αναφέρει το TEE στο αίτημα του (άρ. 13 της από 5122012 Π.Ν.Π. ΦΕΚ Α 237/2012 και Ν. 4030/2011ΦΕΚ Α 249/2011), δεν προκύπτει η δυνατότητα χρήσης συστήματος βιντεοεπιτήρησης κατά τη διενέργεια των εξετάσεων για την ανάδειξη ενεργειακών επιθεωρητών και ελεγκτών δόμησης και, επομένως, δεν υπάρχει νομική βάση για την εν λόγω επεξεργασία. Συνεπώς δεν μπορεί να τύχει εφαρμογής η εξαίρεση της παρ. 5 παρ. 2 στοιχ. β' του Ν. 2472/1997. Το σύννομο της προαναφερθείσας επεξεργασίας δεν μπορεί επίσης να κριθεί ούτε με βάση τη διάταξη του άρθρου 5 παρ. 2 στοιχ. ε' του Ν. 2472/1997, σύμφωνα με το οποίο επιτρέπεται η επεξεργασία και χωρίς συγκατάθεση όταν είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών, διότι, όπως παγίως γίνεται δεκτό, η αρχή της νομιμότητας λειτουργεί ως περιοριστικό όριο της διοικητικής δράσης, ή, με αντίστροφο συλλογισμό, η διοικητική ενέργεια πρέπει να είναι σύμφωνη προς τον κανόνα δικαίου που διέπει τη δράση της διοίκησης. Ως εκ τούτου, είναι απαραίτητο η εν λόγω επεξεργασία να προβλέπεται σε νομοθετική διάταξη, η οποία θα αναφέρει τα βασικά χαρακτηριστικά της επεξεργασίας, συμπεριλαμβανομένων του υπευθύνου επεξεργασίας, του σκοπού, των δεδομένων τα οποία θα τύχουν επεξεργασίας καθώς και των αποδεκτών αυτών. Η επεξεργασία που θα προβλέπεται στην εν λόγω διάταξη θα πρέπει να είναι σύμφωνη με τις διατάξεις του Ν. 2472/1997, ιδίως δε με την αρχή της αναλογικότητας, η οποία επιβάλλει τα συστήματα βιντεοεπιτήρησης να είναι πρόσφορα και αναγκαία σε σχέση με τον επιδιωκόμενο σκοπό, ο οποίος θα πρέπει να μη δύναται να επιτευχθεί με ηπιότερα μέσα. Προς τούτο, σημειώνεται ιδιαίτερα ότι, κατ' αρχάς, ως προς τη βιντεοσκόπηση της διαδικασίας εξέτασης δεν προκύπτει ότι ο επιδιωκόμενος σκοπός δεν μπορεί να επιτευχθεί με ηπιότερα μέσα, για παράδειγμα, με την παρουσία επιτηρητών ή με αλλαγές στη διαδικασία εξέτασης.
Επισημάνθηκε επίσης ότι, εφόσον κριθεί αναγκαία η κατάρτιση σχετικής διάταξης, κρίνεται σκόπιμο να γνωμοδοτήσει η Αρχή επί της εν λόγω ρυθμίσεως, σύμφωνα με το άρ. 19 παρ. 1 στοιχ. ιγ' του Ν. 2472/1997. Τέλος, ενημέρωσε ότι δεν απαιτείται προηγούμενη άδεια της Αρχής για την εγκατάσταση και λειτουργία συστημάτων βιντεοεπιτήρησης παρά μόνο όταν πραγματοποιείται επεξεργασία ευαίσθητων προσωπικών δεδομένων.

Λειτουργία καμερών για σκοπούς ενημέρωσης και προβολής
Η Αρχή, εξέτασε σε δύο περιπτώσεις, με τα υπ' αριθμ. Γ/ ΕΞ/10181/28052015 και ΓΝ/ΕΞ/22821/23102015, τις προϋποθέσεις τοποθέτησης και λειτουργίας διαδικτυακών καμερών (webcam) που μεταδίδουν εικόνα από δημόσιο χώρο για ενημερωτικούς ή προωθητικούς σκοπούς, όπως για την ενημέρωση του κοινού για τις μετεωρολογικές συνθήκες σε μια περιοχή ή για την τουριστική προβολή λιμένα. Η Αρχή επισήμανε ότι, εφόσον, για τους ανωτέρω σκοπούς, μια κάμερα μέσω της οποίας μεταδίδεται εικόνα στο διαδίκτυο είναι εγκατεστημένη με τέτοιο τρόπο ώστε να μην είναι, σε καμία περίπτωση, εφικτή η αναγνώριση προσώπων ή πινακίδων κυκλοφορίας οχημάτων, δεν υφίσταται επεξεργασία προσωπικών δεδομένων και επομένως δεν έχει εφαρμογή ο Ν. 2472/1997. Εάν, όμως, από τη μεταδιδόμενη εικόνα αναγνωρίζονται πρόσωπα ή αριθμοί κυκλοφορίας οχημάτων ή είναι δυνατόν με εύλογο τρόπο να προσδιοριστούν τα πρόσωπα με χρήση άλλων χαρακτηριστικών, όπως ενδυμασίας, σωματότυπου κ.λπ., τότε πραγματοποιείται επεξεργασία προσωπικών δεδομένων και έχει εφαρμογή ο Ν. 2472/1997.
Ωστόσο, επειδή φαίνεται ότι για την ικανοποίηση του επιδιωκόμενου, ενημερωτικού ή προωθητικού, σκοπού για τον οποίο χρησιμοποιούνται οι διαδικτυακές κάμερες, ο οποίος είναι, καταρχήν, θεμιτός, δεν είναι αναγκαία η μετάδοση εικόνων με αναγνωρίσιμα πρόσωπα ή πινακίδες κυκλοφορίας, θα πρέπει να αποκλειστεί τέτοια δυνατότητα. Συνεπώς, θα πρέπει ο εκάστοτε υπεύθυνος επεξεργασίας να προβαίνει σε κατάλληλες τροποποιήσεις των καμερών (π.χ. πεδίο κάλυψης, ανάλυση εικόνας), ώστε να μην είναι εφικτή η αναγνώριση προσώπων και κατ' επέκταση να μην πραγματοποιείται, εν τέλει, επεξεργασία προσωπικών δεδομένων.

Χρήση drones για εναέρια φωτογράφιση
Το Δημοτικό Λιμενικό Ταμείο Σύρου διαβίβασε στην Αρχή αλλά και στην Υπηρεσία Πολιτικής Αεροπορίας ερώτημα πολίτη, σχετικά με τη νομιμότητα εναέριας φωτογράφισης από ιπτάμενα μη επανδρωμένα οχήματα ή τηλεχειριζόμενα πολυκόπτερα (drones), οι πτήσεις των οποίων θα γίνονται αποκλειστικά πάνω από τη θάλασσα, με σκοπό την προβολή του νησιού.
Η Αρχή απάντησε, με το υπ' αριθμ. Γ/ΕΞ/45411/16092015 έγγραφο της ότι, ως προς το σκέλος της εφαρμογής της νομοθεσίας περί προστασίας προσωπικών δεδομένων, εφόσον από τις εικόνες που λαμβάνονται δεν είναι εφικτή σε κανένα στάδιο της επεξεργασίας η αναγνώριση προσώπων, τότε δεν πραγματοποιείται επεξεργασία προσωπικών δεδομένων και, συνεπώς, η εν λόγω επεξεργασία εκφεύγει του πεδίου εφαρμογής του Ν. 2472/1997. Εφόσον όμως η συγκεκριμένη επεξεργασία εμπίπτει στις διατάξεις του Ν. 2472/1997, τότε δεδομένου ότι η επεξεργασία των δεδομένων των τρίτων προσώπων δεν μπορεί εκ των πραγμάτων να γίνει με τη συγκατάθεση τους θα πρέπει να επιβεβαιώνεται η συνδρομή υπέρτερου έννομου συμφέροντος στο πρόσωπο που πραγματοποιεί την επεξεργασία, το οποίο συμφέρον θα πρέπει να υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα, σύμφωνα με το άρθρο 5 παρ. 2 στοιχ. ε' του Ν. 2472/1997. Προς τούτο, λαμβάνοντας υπόψη το σκοπό επεξεργασίας (προβολή του νησιού) η επεξεργασία μπορεί να είναι νόμιμη βάσει της ανωτέρω διάταξης, εφόσον όμως πληρούνται συγκεκριμένες προϋποθέσεις, ώστε να τηρείται η αρχή της αναλογικότητας υπό την ειδικότερη έκφανση της ελαχιστοποίησης των δεδομένων και ο υπεύθυνος επεξεργασίας εκπληρώνει τις υποχρεώσεις του σε σχέση με τη λήψη κατάλληλων μέτρων ασφάλειας, κατά το άρθρο 10, καθώς και τα δικαιώματα των υποκειμένων των δεδομένων κατά τα άρθρα 11 και 12 Ν. 2472/1997. Ως εκ τούτου, θα πρέπει να υιοθετηθούν κατάλληλα μέτρα για τη διασφάλιση της αρχής της ιδιωτικότητας ήδη κατά το σχεδιασμό (privacy by design principle), ήτοι να υιοθετηθεί η χρήση τεχνολογίας φιλικής προς την ιδιωτικότητα (τέτοιας ώστε π.χ. να συλλέγονται τα λιγότερα δυνατά προσωπικά δεδομένα ή/και να γίνεται αυτοματοποιημένη θόλωση των προσώπων στις εικόνες που καταγράφονται, πριν αυτές υποστούν οποιαδήποτε άλλη επεξεργασία). Περαιτέρω, αναφορικά με την ενημέρωση των υποκειμένων των δεδομένων για την εν λόγω επεξεργασία (άρ.11του Ν. 2472/1997), αυτή θα μπορούσε να λάβει χώρα με διάφορους τρόπους οι οποίοι θα μπορούσαν να αξιοποιηθούν παράλληλα, όπως ενδεικτικά αναφέρονται και στην Γνώμη 1/2015 της Ομάδας Εργασίας του άρθρου 29 για παράδειγμα, με σχετικές ενημερωτικές πινακίδες στο χώρο, με σχετικές ανακοινώσεις σε υπηρεσίες κοινωνικής δικτύωσης ή σε ιστοσελίδες, κ.ά.

Έκδοση του Π.δ. που προβλέπεται στο Ν. 3917/2011
Σε συνέχεια των όσων αναφέρθηκαν στις Ετήσιες Εκθέσεις  των ετών 2014 (σελ. 105), 2013 (σελ. 114) και 2012 (σελ. 102 και 103) σχετικά με τη μη έκδοση του προβλεπόμενου από το άρθρο 14 παρ. 4 του Ν. 3917/2011 Προεδρικού διατάγματος, επισημαίνεται για ένα ακόμη έτος ότι μέχρι την ημερομηνία σύνταξης της παρούσας Έκθεσης, η έκδοση του παραμένει σε εκκρεμότητα. Παρά το ότι έχει υποβληθεί σχέδιο από συσταθείσα ομάδα εργασίας από το 2012, δεν έχει προχωρήσει η επεξεργασία από το αρμόδιο Υπουργείο με αποτέλεσμα να παραμένουν σε ισχύ οι διατάξεις του άρθρου 3 παρ. 2 στοιχ. β' τρία τελευταία εδάφια και στοιχ. γ' του Ν. 2472/1997. Η Αρχή ήδη με τη γνωμοδότηση 1/2009 έθεσε ζήτημα συνταγματικότητας του εδ. γ', στη συνέχεια δε εξέδωσε, κατόπιν αιτήματος του Υπουργού Δικαιοσύνης, τη γνωμοδότηση 2/2010, η οποία τελικώς οδήγησε στη θέσπιση του άρθρου 14 Ν. 3917/2011. Η διάταξη όμως του Ν. 3917/2011 που επιλύει το ζήτημα συνταγματικότητας παραμένει ανενεργή, εφόσον δεν έχει εκδοθεί το προβλεπόμενο σε αυτή προεδρικό διάταγμα.

ΥΠΟΘΕΣΕΙΣ ΠΟΥ ΕΞΕΤΑΣΕ Η ΑΡΧΗ ΓΙΑ ΖΗΤΗΜΑΤΑ ΑΡΜΟΔΙΟΤΗΤΑΣ ΤΗΣ ΑΡΧΗΣ

Υποβλήθηκε στην Αρχή αίτηση για χορήγηση άδειας, προκειμένου ο αιτών να προβεί σε δικαστική χρήση ευαίσθητων προσωπικών δεδομένων της εν διαστάσει συζύγου του και της ανήλικης θυγατέρας του, προσκομίζοντας συγκεκριμένο οπτικό δίσκο (DVDdisk) ενώπιον των αρμοδίων δικαστηρίων και δημοσίων αρχών, για την αναγνώριση, άσκηση ή υπεράσπιση των δικαιωμάτων του ιδίου και εκείνων της ανήλικης θυγατέρας του (βλ. άρθρο 7 παρ. 2 στοιχ. γ' του Ν. 2472/1997). Λαμβάνοντας υπόψη ότι οι επίμαχες πληροφορίες έχουν ήδη περιληφθεί σε φάκελο δικογραφίας και αποτελούν ήδη αντικείμενο δικαστικής εκτίμησης από τα αρμόδια δικαστήρια, η Αρχή, με τη με αριθμ. 18/2015 απόφαση, έκρινε ότι, για λόγους διάκρισης των εξουσιών, δεν εξετάζει τη συλλογή και δικαστική χρήση των επίμαχων προσωπικών δεδομένων, επαναλαμβάνοντας την πάγια θέση της (βλ. ενδεικτικά κυρίως τη με αριθμ. 147/2001 απόφαση, τις με αριθμ. 31/2005, 49/2005, 10/2006 αποφάσεις, και σωρεία απαντητικών εγγράφων, όπως ενδεικτικά, Γ/ΕΞ/1613/342007, Γ/ΕΞ/25061/1062008, Γ/ ΕΞ/3228/272008, Γ/ΕΞ/28881/2582008, Γ/ΕΞ/29201/2582008, Γ/ΕΞ/84/912009, Γ/ΕΞ/71941/412010, Γ/ ΕΞ/2571/322012, Γ/ΕΞ/60121/9102012, Γ/ΕΞ/22141/29112012, Γ/ΕΞ/40271/2272013) ότι, όταν οι πληροφορίες/προσωπικά δεδομένα έχουν περιληφθεί σε φάκελο δικογραφίας, αποκλειστικά αρμόδιος να κρίνει τη νομιμότητα της συλλογής και χρήσης προσωπικών δεδομένων ενώπιον δικαστηρίου είναι ο αρμόδιος δικαστικός λειτουργός.
Επίσης, υποβλήθηκε στην Αρχή αίτηση για χορήγηση άδειας, προκειμένου η αιτούσα να χρησιμοποιήσει ενώπιον δικαστηρίου προσωπικά δεδομένα του εν διαστάσει συζύγου της, που η ίδια εξήγαγε από το παλαιό του κινητό τηλέφωνο. Συγκεκριμένα, κατά την αιτούσα, από τα δεδομένα αυτά προκύπτει ότι ο εν διαστάσει σύζυγος της προέβαινε συστηματικά σε αναζήτηση ερωτικών συντρόφων μέσω της ιστοσελίδας γνωριμίας ομοφυλοφίλων ανδρών, στην οποία είναι ενεργό εγγεγραμμένο μέλος με ψευδώνυμο. Τα εν λόγω δεδομένα η αιτούσα δήλωνε ότι επιθυμεί να τα χρησιμοποιήσει ενώπιον δικαστηρίου με σκοπό την ανάθεση σε αυτή της ασκήσεως γονικής μέριμνας και επικουρικά της επιμέλειας των τέκνων της και τη λύση του γάμου τους λόγω ισχυρού κλονισμού. Η Αρχή, με τη με αριθμ. 15/2015 απόφαση, επιφυλασσόμενη κυρίως για τα ζητήματα που θα μπορούσαν να ανακύψουν, όσον αφορά, προεχόντως, την εφαρμογή του Ν. 2472/1997 στην εν λόγω επεξεργασία (άρθρο 3 παρ. 2 εδαφ. α'), τη νομιμότητα της κτήσεως των εν λόγω ευαίσθητων προσωπικών δεδομένων και τη δυνατότητα της περαιτέρω επεξεργασίας με τον επικαλούμενο τρόπο (χρήση αυτών ως αποδεικτικών μέσων ενώπιον δικαστηρίου), απέρριψε το αίτημα, λαμβάνοντας υπόψη ότι η αιτούσα δεν έχει ασκήσει κάποιο από τα ένδικα βοηθήματα που επικαλείται στην αίτησή της. Περαιτέρω, κατόπιν νέας αίτησης της ιδίας, η Αρχή, με τη με αριθμ. 33/2015 απόφαση, επισημαίνει ότι: α) Από τα στοιχεία του φακέλου δεν μπορεί να διακριβωθεί αν τα δεδομένα, που προτίθεται να χρησιμοποιήσει η αιτούσα ως αποδεικτικό μέσο, στις δίκες που αναφέρει, συλλέχθηκαν κατά τρόπο θεμιτό και νόμιμο, κατά τα οριζόμενα στο άρθρο 4 παρ. 1 στοιχ. α' του Ν. 2472/1997, β) Η νομιμότητα της συλλογής των δεδομένων συνδέεται άρρηκτα με τη νομιμότητα τους ως αποδεικτικών μέσων και τη χρήση τους (βλ. άρθρα 370 Α, 370 Γ ΠΚ) και συνακόλουθα το παραδεκτό της προσκομίσεως και επικλήσεως τους ενώπιον του δικαστηρίου, ζητήματα τα οποία υπάγονται στην αποκλειστική αρμοδιότητα του δικαστηρίου, στο οποίο θα προσκομισθούν και επικληθούν (βλ. και άρθρα 177 παρ. 2 ΚΠΔ και 270 παρ. 2 ΚΠολΔ). Κατόπιν τούτων, η Αρχή έκρινε ότι πρέπει να απέχει από την παροχή άδειας για χρήση ενώπιον δικαστηρίου ευαίσθητων προσωπικών δεδομένων του εν διαστάσει συζύγου της αιτούσας, δεδομένου ότι αρμόδιο όργανο να αποφανθεί επί της νομιμότητας συλλογής των δεδομένων είναι το δικαστήριο, στο οποίο η σύζυγος θα προσκομίσει τα ευαίσθητα δεδομένα.
Υποβλήθηκαν δύο καταγγελίες συνδρομητών κατά διαφορετικών εταιρειών τηλεπικοινωνιών για διεύρυνση/τροποποίηση του συμβολαίου τους χωρίς αίτηση και προσήκουσα ενημέρωση τους. Η Αρχή, λαμβάνοντας υπόψη τα στοιχεία του φακέλου, το γεγονός ότι και στις δύο περιπτώσεις οι προσφεύγοντες έχουν καταρτίσει ένα συμβόλαιο με την καταγγελλόμενη εταιρεία, ότι τα καταγγελλόμενα αναφέρονται στο περιεχόμενο της συμβάσεως που κατήρτισαν (διεύρυνση/τροποποίηση συμβολαίου που εντέλει ακυρώθηκε), έκρινε ότι η Αρχή δεν είναι αρμόδια να επιλύει συμβατικές διαφορές, όπως οι ανωτέρω, για τις οποίες σε κάθε περίπτωση οι προσφεύγοντες μπορούν να προσφύγουν στα αρμόδια δικαστήρια (Γ/ΕΞ/21792/19112015, Γ/ΕΞ/13032/19112015).

Σε ανάλογη περίπτωση, η Αρχή έκρινε ότι τα ζητήματα που θέτει ο προσφεύγων ενώπιον της, ζητήματα νομιμότητας σε τραπεζικά προϊόντα καταναλωτικής πίστης, σε σχέση με χρεώσεις τόκων, ανατοκισμούς, κ.λπ., δεν εμπίπτουν στο πεδίο εφαρμογής του Ν. 2472/1997, καθόσον αφορούν ιδιωτική διαφορά μεταξύ του προσφεύγοντα και της αντισυμβαλλόμενης με αυτόν εταιρείας, θέμα που ανήκει στην αρμοδιότητα των τακτικών δικαστηρίων, όπου, σύμφωνα με την αίτηση του, έχει ήδη προσφύγει. Κατά συνέπεια, η Αρχή έκρινε ότι είναι αναρμόδια να επιληφθεί της ως άνω αιτήσεως (Γ/ΕΞ/6820/30122015).

Τα παραπάνω κείμενα είναι αποσπάσματα από την «Ετήσια Έκθεση Πεπραγμένων Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έτους 2015» της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που δημοσιεύθηκε στο ΦΕΚ 3682/15-11-2016.
Ολόκληρη την Έκθεση Πεπραγμένων μπορείτε να διαβάσετε ΕΔΩ.



e-nomothesia.gr
.