Η ΑΡΧΗ ΤΗΣ ΝΟΜΙΜΟΤΗΤΑΣ ΚΑΙ ΤΗΣ ΔΙΑΦΑΝΕΙΑΣ ΣΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΜΕΣΩ ΔΗΜΟΣΙΩΝ ΨΗΦΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ

Posted on by aris

Η υπ’ αριθμ. 2/2025 απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αποτελεί χαρακτηριστικό παράδειγμα εφαρμογής των βασικών αρχών του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) στο πλαίσιο λειτουργίας δημόσιων φορέων και χρήσης ψηφιακών υπηρεσιών της διοίκησης. Η υπόθεση αφορά καταγγελία φυσικού προσώπου για παράνομη επεξεργασία των προσωπικών του δεδομένων, η οποία συνίστατο στην αναζήτηση του ΑΦΜ του μέσω της διαδικτυακής υπηρεσίας της ΑΑΔΕ «Αναζήτηση Βασικών Στοιχείων Μητρώου Επιχειρήσεων», χωρίς προηγούμενη ενημέρωση ή ύπαρξη σαφούς νομικής βάσης. Η υπόθεση αναδεικνύει κρίσιμα ζητήματα σχετικά με τη νομιμότητα της επεξεργασίας, την υποχρέωση διαφάνειας, την αρχή της λογοδοσίας και τις σχέσεις μεταξύ υπευθύνου και εκτελούντος την επεξεργασία.

Σύμφωνα με τα πραγματικά περιστατικά, η καταγγέλλουσα ενημερώθηκε μέσω ηλεκτρονικού μηνύματος από την ΑΑΔΕ ότι πραγματοποιήθηκε αναζήτηση των στοιχείων της από φορέα με τον οποίο δεν διατηρούσε καμία επαγγελματική ή οικονομική σχέση. Από τη διερεύνηση προέκυψε ότι η αναζήτηση έγινε από εξωτερικό συνεργάτη, ο οποίος ενεργούσε στο πλαίσιο εντολής του Ελληνικού Κέντρου Κινηματογράφου (ΕΚΚ) για έλεγχο της πληρότητας των φακέλων στελεχών του οργανισμού. Ωστόσο, η επεξεργασία αυτή πραγματοποιήθηκε με χρήση διαπιστευτηρίων άλλου φορέα, χωρίς σαφή προσδιορισμό της νομικής της βάσης και χωρίς προηγούμενη ενημέρωση της καταγγέλλουσας, γεγονός που προκάλεσε εύλογη ανησυχία ως προς την ασφάλεια και τη νομιμότητα της επεξεργασίας.

Η ΑΠΔΠΧ εξέτασε την υπόθεση υπό το πρίσμα των διατάξεων του ΓΚΠΔ και ιδίως των αρχών που προβλέπονται στο άρθρο 5. Κατά τη διάταξη αυτή, τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο σύννομο, θεμιτό και διαφανή, ενώ παράλληλα πρέπει να διασφαλίζεται η ακεραιότητα και η εμπιστευτικότητά τους. Κεντρικής σημασίας είναι επίσης η αρχή της λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει το βάρος να αποδεικνύει τη συμμόρφωσή του με τις ανωτέρω αρχές. Στην προκειμένη περίπτωση, η Αρχή διαπίστωσε ότι ο υπεύθυνος επεξεργασίας δεν ήταν σε θέση να τεκμηριώσει επαρκώς τη νομιμότητα της επεξεργασίας, ούτε να αποδείξει ότι αυτή ήταν αναγκαία και αναλογική σε σχέση με τον επιδιωκόμενο σκοπό.

Ειδικότερα, ως προς τη νομική βάση της επεξεργασίας, το ΕΚΚ επικαλέστηκε σωρευτικά διάφορες διατάξεις του άρθρου 6 παρ. 1 ΓΚΠΔ, όπως την εκτέλεση σύμβασης, τη συμμόρφωση με έννομη υποχρέωση, την εξυπηρέτηση δημοσίου συμφέροντος και τα έννομα συμφέροντα του φορέα. Ωστόσο, η Αρχή έκρινε ότι η επίκληση πολλαπλών νομικών βάσεων χωρίς σαφή και συγκεκριμένο προσδιορισμό της εφαρμοστέας βάσης αντιβαίνει στην αρχή της διαφάνειας και καθιστά την επεξεργασία μη προβλέψιμη για το υποκείμενο των δεδομένων. Περαιτέρω, δεν αποδείχθηκε ότι η επίμαχη επεξεργασία ήταν πράγματι αναγκαία, ιδίως δεδομένου ότι τα απαιτούμενα στοιχεία φαίνεται να υπήρχαν ήδη στον υπηρεσιακό φάκελο της καταγγέλλουσας ή θα μπορούσαν να αναζητηθούν με ηπιότερα μέσα.

Ιδιαίτερη έμφαση δόθηκε από την Αρχή στην υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων, όπως αυτή κατοχυρώνεται στα άρθρα 13 και 14 ΓΚΠΔ. Η υποχρέωση αυτή συνιστά βασική έκφανση της αρχής της διαφάνειας και επιβάλλει στον υπεύθυνο επεξεργασίας να παρέχει σαφείς και πλήρεις πληροφορίες σχετικά με την επεξεργασία. Στην εξεταζόμενη περίπτωση, η καταγγέλλουσα δεν ενημερώθηκε εγκαίρως για την επεξεργασία των δεδομένων της, ενώ η επίκληση εξαιρέσεων από την υποχρέωση ενημέρωσης βάσει του ν. 4624/2019 δεν συνοδεύτηκε από την απαιτούμενη ειδική αιτιολόγηση και στάθμιση συμφερόντων. Ως εκ τούτου, η Αρχή έκρινε ότι παραβιάστηκε η αρχή της διαφάνειας.

Περαιτέρω, η απόφαση εξετάζει τον ρόλο του εκτελούντος την επεξεργασία, ο οποίος στην προκειμένη περίπτωση ενήργησε κατ’ εντολή του υπευθύνου επεξεργασίας. Διαπιστώθηκε ότι ο εκτελών προέβη σε χρήση κωδικών πρόσβασης άλλου φορέα, γεγονός που συνιστά πλημμελή εκτέλεση της επεξεργασίας. Ωστόσο, η Αρχή έλαβε υπόψη ότι δεν προέκυψε διαρροή ή περαιτέρω διάδοση των δεδομένων και, συνεπώς, η παράβαση αξιολογήθηκε ως ήσσονος σημασίας.

Τέλος, ιδιαίτερη σημασία αποδόθηκε στη σύμβαση μεταξύ υπευθύνου και εκτελούντος την επεξεργασία. Η Αρχή διαπίστωσε ότι η υφιστάμενη σύμβαση περιείχε μόνο γενικές αναφορές στη συμμόρφωση με τον ΓΚΠΔ, χωρίς να περιλαμβάνει τις ειδικές και υποχρεωτικές προβλέψεις του άρθρου 28 παρ. 3 ΓΚΠΔ. Η έλλειψη αυτή συνιστά αυτοτελή παράβαση, δεδομένου ότι η σύμβαση αυτή αποτελεί κρίσιμο εργαλείο για τη διασφάλιση της νόμιμης επεξεργασίας.

Κατόπιν των ανωτέρω, η ΑΠΔΠΧ απηύθυνε επίπληξη στο ΕΚΚ ως υπεύθυνο επεξεργασίας για παραβίαση των αρχών της νομιμότητας και της διαφάνειας, ενώ παράλληλα του επέβαλε την υποχρέωση να συνάψει σύμβαση με τον εκτελούντα την επεξεργασία σύμφωνη με τις απαιτήσεις του ΓΚΠΔ. Επιπλέον, απηύθυνε προειδοποίηση προς την εκτελούσα την επεξεργασία εταιρεία για μελλοντική συμμόρφωση, ενώ απέρριψε την καταγγελία ως προς τον τρίτο εμπλεκόμενο φορέα.

Συνολικά, η απόφαση 2/2025 υπογραμμίζει ότι ακόμη και επεξεργασίες περιορισμένης έκτασης υπόκεινται σε αυστηρό έλεγχο νομιμότητας και διαφάνειας. Επιβεβαιώνει δε ότι οι δημόσιοι φορείς δεν εξαιρούνται από τις απαιτήσεις του ΓΚΠΔ και οφείλουν να τεκμηριώνουν πλήρως κάθε πράξη επεξεργασίας, να ενημερώνουν τα υποκείμενα των δεδομένων και να διασφαλίζουν την ύπαρξη κατάλληλων συμβατικών εγγυήσεων με τους εκτελούντες την επεξεργασία. Η συμβολή της απόφασης είναι ιδιαίτερα σημαντική για την ερμηνεία της αρχής της λογοδοσίας και την πρακτική εφαρμογή της στον δημόσιο τομέα, ενισχύοντας το επίπεδο προστασίας των προσωπικών δεδομένων στο σύγχρονο ψηφιακό περιβάλλον.