Ενδιαφέρον παρουσιάζει η πρόσφατη απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων, η οποία έκρινε ότι το Γενικό Νοσοκομείο Θεσσαλονίκης «Παπαγεωργίου» παραβίασε το καθήκον ενημέρωσης προς το υποκείμενο των δεδομένων σχετικά με τη διαβίβασή τους σε τρίτο πρόσωπο, παρόλο που υπήρχε Εισαγγελική παραγγελία για την εν λόγω διαβίβαση των προσωπικών δεδομένων. Οι δικηγόροι του γραφείου μας με την εξειδίκευσή τους στη νομοθεσία για την προστασία των προσωπικών δεδομένων θεωρούν σκόπιμη την επισήμανση αυτής της απόφασης έχοντας χειριστεί παρόμοιες υποθέσεις στα Δικαστήρια.

Η απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων εξεδόθη με βάση τον νόμο που ίσχυε πριν από την θέση σε ισχύ του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων ( GDPR ) αλλά το σκεπτικό της είναι απόλυτα συμβατό με

Πιο συγκεκριμένα, ο Α κατήγγειλε τη σύμβαση εργασίας της Β ως οικιακής μισθωτού μόλις πληροφορήθηκε την εγκυμοσύνη της. Για να αποκτήσει μία πληρέστερη εικόνα της υγείας της Β, ο Α θεώρησε σκόπιμο να έχει πρόσβαση στα προσωπικά δεδομένα που είχαν σχέση με την υγεία της. Για τον λόγο αυτό, ο Α µε αίτησή του προς τον Εισαγγελέα Πληµµελειοδικών Θεσσαλονίκης, επικαλούμενος έννομο συμφέρον, ζήτησε τη χορήγηση σχετικής εισαγγελικής παραγγελίας, προκειμένου να λάβει από το Νοσοκομείο αντίγραφα από τα οποία να προκύπτει το χρονικό διάστημα νοσηλείας της. Ο Εισαγγελέας διαβίβασε την αίτηση του Α στο Νοσοκομείο, καλώντας το να χορηγήσει τα αιτούμενα στοιχεία σύμφωνα µε το άρθρο 25 αρ.4 εδ. β του ν. 1756/1988.

Το Νοσοκομείο συμμορφώθηκε με την Εισαγγελική παραγγελία και διαβίβασε τα προσωπικά δεδομένα της ασθενούς, χωρίς προηγουμένως να ενημερώσει την Β. Να σημειωθεί ότι κατ’ εξαίρεση επιτρέπεται η χορήγηση προσωπικών δεδομένων σε τρίτο, και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, μόνον στις εξαιρετικές περιπτώσεις του άρθρου 5 παρ. 2 του ν. 2472/97. Μία από αυτές τις περιπτώσεις είναι όταν: το έννομο συμφέρον του τρίτου υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, και ταυτόχρονα δεν θίγονται οι θεμελιώδεις ελευθερίες του.

Η Αρχή Προστασίας Προσωπικών Δεδομένων έκρινε όμως ότι δεν συντρέχει εν προκειμένω κάποια εξαίρεση που να δικαιολογεί την μη προηγούμενη ενημέρωση του υποκειμένου των δεδομένων, όπως απαιτεί το άρθρο 11 παρ. 3 του ν. 2472/1997. Η ενημέρωση δε αυτή ήταν απαραίτητη, προκειμένου η Β, ως υποκείμενο των προσωπικών δεδομένων, να ασκήσει το δικαίωμα αντίρρησης του άρθρου 13 ν. 2472/1997, το οποίο έχει σε κάθε περίπτωση.

Σε περίπτωση που έχετε αντιμετωπίσει κάποια παραβίαση ή παράνομη χρήση των προσωπικών σας δεδομένων, η δικηγορική μας εταιρία Στέφανος Οικονόμου και Συνεργάτες μπορεί να σας συμβουλεύσει πως μπορείτε να κινηθείτε για την προάσπιση των συμφερόντων σας και την αναζήτηση αποζημίωσης.

Στην εποχή των social media, πολλοί χρήστες πιστεύουν ότι ό,τι ανεβάζουν στο Facebook ανήκει αποκλειστικά στην «ιδιωτική τους ζωή». Η πραγματικότητα όμως είναι πιο σύνθετη. Η απόφαση 1015/2023 του Μονομελούς Πρωτοδικείου Πειραιώς φωτίζει με πολύ ενδιαφέρον τρόπο ένα κρίσιμο νομικό ζήτημα: πότε οι αναρτήσεις στο Facebook θεωρούνται προστατευόμενα προσωπικά δεδομένα και πότε όχι.

Η υπόθεση δεν αφορούσε συκοφαντική δυσφήμιση ή προσβολή προσωπικότητας, αλλά αίτηση υπαγωγής στον νόμο για τα υπερχρεωμένα νοικοκυριά. Παρ’ όλα αυτά, η απόφαση έχει ιδιαίτερη σημασία και για το δίκαιο των προσωπικών δεδομένων, διότι ξεκαθαρίζει κάτι που συναντάται όλο και συχνότερα στη δικαστηριακή πράξη: μπορούν οι φωτογραφίες και οι αναρτήσεις από social media να χρησιμοποιηθούν ως αποδεικτικό μέσο;

Το ιστορικό της υπόθεσης

Ο αιτών είχε προσφύγει στη δικαιοσύνη ζητώντας να υπαχθεί στο προστατευτικό πλαίσιο του ν. 3869/2010 για τα υπερχρεωμένα φυσικά πρόσωπα. Υποστήριζε ότι βρισκόταν σε μόνιμη αδυναμία πληρωμής και ότι το βασικό του εισόδημα προερχόταν από σύνταξη λόγω προβλημάτων υγείας.

Το δικαστήριο προχώρησε στην ουσία και εξέτασε τα πραγματικά δεδομένα της οικονομικής κατάστασης του αιτούντος. Εκεί αναδείχθηκε η σημασία των αναρτήσεων στο Facebook.

Από δημόσιες φωτογραφίες και αναρτήσεις που είχαν προσκομιστεί από την τράπεζα, το δικαστήριο διαπίστωσε ότι ο αιτών δεν είχε μόνο τα δηλωμένα του εισοδήματα, αλλά φαινόταν να έχει καλλιτεχνική και επαγγελματική δραστηριότητα, συμμετοχή σε παραγωγές, εργασία σε φεστιβάλ, ταξίδια στο εξωτερικό για επαγγελματικούς λόγους και, γενικότερα, πηγές εισοδήματος που δεν είχαν αποκαλυφθεί πλήρως.

Ο ίδιος ισχυρίστηκε ότι κάποια από τα ταξίδια είχαν γίνει με δωρεές φίλων, ώστε να μπορεί να βγάζει φωτογραφίες σε φεστιβάλ του εξωτερικού. Το δικαστήριο όμως δεν πείστηκε. Αντιθέτως, δέχθηκε ότι υπήρχαν αφανή εισοδήματα και άδηλη επαγγελματική δραστηριότητα, που είχαν αποσιωπηθεί δολίως.

Το αποτέλεσμα ήταν καθοριστικό: το δικαστήριο έκανε δεκτή την ένσταση περί ανειλικρινούς δήλωσης και απέρριψε τελικά την αίτηση, κρίνοντας ότι ο αιτών δεν ήταν άξιος της προστασίας του νόμου.

Το κρίσιμο νομικό σημείο: προσωπικά δεδομένα και Facebook

Το πραγματικά ενδιαφέρον σημείο της απόφασης είναι το εξής: το δικαστήριο έκανε σαφή διάκριση ανάμεσα σε αναρτήσεις που είναι ορατές μόνο σε περιορισμένο κύκλο και σε αναρτήσεις που είναι δημόσια προσβάσιμες.

Σύμφωνα με την απόφαση, όταν ένας χρήστης κάνει αναρτήσεις στο Facebook με ρυθμίσεις ιδιωτικότητας ώστε να είναι ορατές μόνο στους φίλους του, τότε οι αναρτήσεις αυτές ανήκουν στη σφαίρα της προστατευόμενης ιδιωτικότητας. Εκτυπώσεις τέτοιων αναρτήσεων συνιστούν αποδεικτικά μέσα που προσκρούουν στη συνταγματικά προστατευόμενη ελεύθερη άσκηση της επικοινωνίας και δεν μπορούν να ληφθούν υπόψη νόμιμα.

Αντίθετα, όταν ο ίδιος ο χρήστης έχει επιλέξει να αφήσει φωτογραφίες, αναρτήσεις ή άλλα στοιχεία του δημόσια προσβάσιμα, τότε αυτά παύουν να προστατεύονται με τον ίδιο τρόπο ως προσωπικά δεδομένα. Κατά τη λογική της απόφασης, πληροφορίες που το ίδιο το υποκείμενο έχει αναρτήσει σε δημόσια πρόσβαση στο διαδίκτυο δεν εμπίπτουν πλέον στην προστασία που παρέχεται σε κρυφά ή μη δημοσιοποιημένα δεδομένα.

Με απλά λόγια, το δικαστήριο λέει το εξής:

Άλλο είναι το “κλειστό” Facebook και άλλο το “δημόσιο” Facebook.

Πότε προστατεύονται οι αναρτήσεις στο Facebook

Η απόφαση δίνει ένα αρκετά καθαρό πρακτικό κριτήριο. Οι αναρτήσεις στο Facebook προστατεύονται όταν:

• έχουν περιοριστεί από τον ίδιο τον χρήστη μόνο για φίλους ή για συγκεκριμένο κύκλο προσώπων,

• δεν είναι ελεύθερα προσβάσιμες στο κοινό,

• αφορούν ιδιωτική επικοινωνία ή στοιχεία που δεν έχουν δημοσιοποιηθεί ευρέως.

Σε τέτοιες περιπτώσεις, η εκτύπωση ή χρήση τους σε δίκη μπορεί να θεωρηθεί ότι παραβιάζει το απόρρητο της ιδιωτικής ζωής και της επικοινωνίας, καθώς και τη νομοθεσία για την επεξεργασία προσωπικών δεδομένων.

Αυτό έχει μεγάλη σημασία για κάθε δικηγόρο προσωπικών δεδομένων ή για κάθε διάδικο που σκέφτεται να χρησιμοποιήσει υλικό από social media σε δικαστήριο. Δεν είναι όλα «ελεύθερα» μόνο και μόνο επειδή βρίσκονται online.

Πότε δεν προστατεύονται

Από την άλλη πλευρά, όταν ο χρήστης έχει αφήσει δημόσια ορατές τις φωτογραφίες, τις αναρτήσεις ή τις πληροφορίες του, η εικόνα αλλάζει σημαντικά. Τότε, σύμφωνα με την απόφαση, οι πληροφορίες αυτές δεν αντιμετωπίζονται πλέον ως προστατευόμενα προσωπικά δεδομένα με την έννοια που θα είχαν αν βρίσκονταν σε κλειστό περιβάλλον.

Έτσι, δημόσιες φωτογραφίες από ταξίδια, δημόσια posts για επαγγελματικές δραστηριότητες ή άλλες αναρτήσεις ανοιχτές σε οποιονδήποτε χρήστη του διαδικτύου μπορούν να ληφθούν υπόψη ως αποδεικτικό υλικό.

Αυτό ακριβώς συνέβη στην υπόθεση του Πρωτοδικείου Πειραιώς. Οι δημόσιες φωτογραφίες και οι πληροφορίες από το Facebook αξιοποιήθηκαν για να σχηματίσει το δικαστήριο εικόνα για την πραγματική οικονομική και επαγγελματική κατάσταση του αιτούντος.

Γιατί η απόφαση έχει ευρύτερη σημασία

Η σημασία της απόφασης ξεπερνά κατά πολύ το δίκαιο των υπερχρεωμένων νοικοκυριών. Στην πράξη, λειτουργεί ως χρήσιμος οδηγός για υποθέσεις που αφορούν:

• προσωπικά δεδομένα,

• αναρτήσεις στα social media,

• αποδεικτική αξιοποίηση περιεχομένου από Facebook,

• όρια ανάμεσα στην ιδιωτικότητα και τη δημόσια έκθεση στο διαδίκτυο.

Το βασικό μήνυμα είναι σαφές: η προστασία δεν εξαρτάται μόνο από το είδος της πληροφορίας, αλλά και από τον τρόπο που ο ίδιος ο χρήστης επιλέγει να τη δημοσιοποιήσει.

Συμπέρασμα

Η απόφαση 1015/2023 του Μονομελούς Πρωτοδικείου Πειραιώς υπενθυμίζει κάτι πολύ ουσιαστικό: στο Facebook και γενικότερα στα social media, η ιδιωτικότητα δεν κρίνεται αφηρημένα, αλλά σε μεγάλο βαθμό από τις ίδιες τις ρυθμίσεις και τις επιλογές του χρήστη.

Αναρτήσεις ορατές μόνο σε φίλους μπορούν να προστατεύονται ως προσωπικά δεδομένα και να μην αξιοποιούνται νόμιμα ως αποδεικτικά μέσα. Αντίθετα, αναρτήσεις δημόσια προσβάσιμες σε όλους μπορεί να χρησιμοποιηθούν δικαστικά και να έχουν σοβαρές συνέπειες για τον ίδιο τον χρήστη.

Για αυτό και, σε υποθέσεις που αγγίζουν το Facebook, το GDPR, την ιδιωτικότητα και τη χρήση αναρτήσεων σε δίκη, η συμβουλή από δικηγόρο για προσωπικά δεδομένα είναι συχνά απολύτως αναγκαία.

Η δικηγορική μας εταιρεία Στέφανος Οικονόμου και Συνεργάτες ασχολείται συμβουλευτικά και δικαστηριακά με θέματα προστασίας προσωπικών δεδομένων. Οι δικηγόροι μας γνωρίζουν έχουν δει ότι στην εποχή των social media, μία ανάρτηση στο Facebook μπορεί μέσα σε λίγα λεπτά να εκθέσει ανεπανόρθωτα ένα πρόσωπο. Όταν δε η ανάρτηση συνοδεύεται από φωτογραφία, ονοματεπώνυμο ή άλλα στοιχεία ταυτοποίησης, τότε το ζήτημα δεν αφορά μόνο την τιμή και την υπόληψη του θιγόμενου, αλλά και την παράνομη επεξεργασία προσωπικών δεδομένων. Η απόφαση 1255/2023 του Εφετείου Αθηνών είναι ιδιαίτερα σημαντική, γιατί δείχνει με σαφήνεια πότε μία δημόσια ανάρτηση στο Facebook ξεπερνά τα όρια και φτάνει να στοιχειοθετεί συκοφαντική δυσφήμιση μέσω διαδικτύου.

Το ιστορικό της υπόθεσης

Η υπόθεση αφορούσε μία γυναίκα από τη Χίο, η οποία είχε γνωριστεί το καλοκαίρι του 2016 με γνωστή λαϊκή και νησιώτικη τραγουδίστρια, με την οποία ανέπτυξαν φιλική σχέση. Οι δύο γυναίκες διατηρούσαν επικοινωνία τόσο τηλεφωνικά όσο και μέσω social media. Με την πάροδο του χρόνου, όμως, η σχέση αυτή διαταράχθηκε.

Η τραγουδίστρια, η οποία διατηρούσε ανοιχτό προφίλ στο Facebook με χιλιάδες φίλους και μεγάλη δημόσια προβολή λόγω της καλλιτεχνικής της ιδιότητας, προχώρησε σε ανάρτηση φωτογραφίας της ενάγουσας, συνοδεύοντάς την με ιδιαίτερα βαρείς χαρακτηρισμούς. Στην επίμαχη δημοσίευση την αποκάλεσε, μεταξύ άλλων, «ψυχοπαθή», ισχυρίστηκε ότι την παρακολουθούσε, ότι της είχε κάνει τη ζωή «κόλαση», ότι ήταν «άκρως επικίνδυνη» και ότι «πρέπει να μπει επειγόντως σε ψυχιατρική κλινική».

Η ανάρτηση δεν έμεινε σε στενό κύκλο. Αντιθέτως, λόγω του ανοιχτού προφίλ της εναγόμενης και της μεγάλης διαδικτυακής απήχησής της, έγινε ορατή σε χιλιάδες χρήστες. Επιπλέον, ακολούθησαν σχόλια και διαδικτυακός διάλογος κάτω από την ανάρτηση, ενώ το περιεχόμενο αναπαράχθηκε και από περιοδικό που ασχολείται με την προσωπική ζωή καλλιτεχνών.

Γιατί η υπόθεση έχει ιδιαίτερη σημασία

Η απόφαση δεν στάθηκε μόνο στο προφανές, δηλαδή στην προσβολή της προσωπικότητας. Το Εφετείο έκρινε ότι υπήρξε και επεξεργασία προσωπικών δεδομένων της ενάγουσας, αφού στην ανάρτηση χρησιμοποιήθηκαν η φωτογραφία της, το όνομά της και ο τόπος καταγωγής της. Με τα στοιχεία αυτά μπορούσε να ταυτοποιηθεί εύκολα από μεγάλο αριθμό προσώπων.

Με απλά λόγια, η δικαστική κρίση δεν περιορίστηκε στο «είπε κάτι προσβλητικό». Είπε κάτι πολύ περισσότερο: ότι όταν κάποιος χρησιμοποιεί μέσω Facebook φωτογραφία και ταυτοποιητικά στοιχεία άλλου προσώπου χωρίς συγκατάθεση, εκθέτοντάς το δημόσια, τότε θίγονται ταυτόχρονα η τιμή, η υπόληψη και η προστασία των προσωπικών δεδομένων του θύματος.

Τι έκρινε το δικαστήριο για το Facebook

Το Εφετείο έκανε μία ενδιαφέρουσα παρατήρηση για τη φύση του Facebook. Ανέφερε ότι πρόκειται για δημόσιο διαδικτυακό χώρο, όπου ο χρήστης μπορεί να επιλέξει τον βαθμό δημοσιότητας του προφίλ του. Όταν το προφίλ είναι ανοιχτό, οι αναρτήσεις είναι προσβάσιμες όχι μόνο στους «φίλους», αλλά ακόμη και σε ευρύτερο κοινό.

Στην προκειμένη περίπτωση, αυτό είχε ιδιαίτερη σημασία, γιατί η τραγουδίστρια είχε επιλέξει ανοιχτό προφίλ, με αποτέλεσμα η επίμαχη ανάρτηση να λάβει μεγάλη διάδοση. Άρα, η προσβολή δεν έγινε σε ιδιωτική συνομιλία ή σε περιορισμένο κύκλο, αλλά δημόσια, με μεγάλη δυνατότητα αναπαραγωγής.

Αυτό είναι κρίσιμο και για κάθε δικηγόρο για συκοφαντική δυσφήμιση, διότι στις υποθέσεις social media το μέσο τέλεσης της πράξης αυξάνει σημαντικά την έκταση της προσβολής.

Η νομική βάση της απόφασης

Το δικαστήριο στηρίχθηκε τόσο στις διατάξεις για την προστασία της προσωπικότητας όσο και στις διατάξεις για τη συκοφαντική δυσφήμιση. Υπενθύμισε ότι για να στοιχειοθετηθεί συκοφαντική δυσφήμιση απαιτείται:

να ισχυρίζεται ή να διαδίδει κάποιος ενώπιον τρίτων γεγονός που μπορεί να βλάψει την τιμή ή την υπόληψη άλλου,
το γεγονός αυτό να είναι ψευδές,
και ο δράστης να γνωρίζει ότι είναι ψευδές.

Το Εφετείο δέχθηκε ότι οι συγκεκριμένοι ισχυρισμοί της εναγόμενης ήταν ψευδείς και ότι η ίδια γνώριζε το ψεύδος τους όταν τους ανάρτησε. Έκρινε επίσης ότι οι χαρακτηρισμοί και οι αναφορές σε δήθεν επικινδυνότητα και ανάγκη εγκλεισμού σε ψυχιατρική κλινική ήταν ικανοί και πρόσφοροι να βλάψουν σοβαρά την τιμή και την υπόληψη της ενάγουσας.

Ιδιαίτερο ενδιαφέρον έχει και το ότι το δικαστήριο απέρριψε τον ισχυρισμό της εναγόμενης ότι ενήργησε από δικαιολογημένο ενδιαφέρον ή για λόγους προστασίας του εαυτού της. Έκρινε ότι δεν αποδείχθηκαν τα περιστατικά που επικαλούνταν, ούτε προέκυψε πραγματικός και άμεσος κίνδυνος που να δικαιολογεί τέτοια δημόσια έκθεση.

Η παράνομη επεξεργασία προσωπικών δεδομένων

Το δικαστήριο δέχθηκε ακόμη ότι η ανάρτηση συνιστούσε παράνομη επεξεργασία απλών προσωπικών δεδομένων, αφού η φωτογραφία, το όνομα και ο τόπος καταγωγής της ενάγουσας χρησιμοποιήθηκαν και διαδόθηκαν χωρίς τη συγκατάθεσή της. Η κρίση αυτή είναι πολύ σημαντική, γιατί δείχνει ότι μία υπόθεση δυσφήμισης μέσω Facebook μπορεί ταυτόχρονα να είναι και υπόθεση προστασίας προσωπικών δεδομένων.

Για πρακτικούς λόγους αυτό σημαίνει ότι το θύμα μιας τέτοιας συμπεριφοράς δεν προστατεύεται μόνο ποινικά ή μόνο αστικά, αλλά μπορεί να στηρίξει τις αξιώσεις του σε περισσότερες από μία νομικές βάσεις.

Η αποζημίωση

Παρότι η ενάγουσα είχε ζητήσει πολύ υψηλότερο ποσό, το δικαστήριο έκρινε ότι εύλογη χρηματική ικανοποίηση για την ηθική βλάβη ήταν το ποσό των 5.000 ευρώ. Έλαβε υπόψη του την ένταση της προσβολής, την έκταση της δημοσιότητας, τη διάρκεια παραμονής της ανάρτησης, τις συνέπειες στη ζωή της ενάγουσας, αλλά και την αρχή της αναλογικότητας.

Με άλλα λόγια, το δικαστήριο αναγνώρισε μεν σοβαρή προσβολή, αλλά δεν θέλησε να οδηγηθεί σε υπέρμετρη οικονομική επιβάρυνση της εναγόμενης.

Συμπέρασμα

Η απόφαση 1255/2023 του Εφετείου Αθηνών αποτελεί ένα πολύ χρήσιμο νομολογιακό παράδειγμα για το πώς αντιμετωπίζει η ελληνική δικαιοσύνη τη συκοφαντική δυσφήμιση μέσω Facebook. Το βασικό μήνυμα είναι σαφές: το Facebook δεν είναι χώρος ατιμωρησίας. Μία δημόσια ανάρτηση με ψευδείς ισχυρισμούς, προσβλητικούς χαρακτηρισμούς και έκθεση προσωπικών δεδομένων μπορεί να οδηγήσει σε πλήρη αστική ευθύνη και να θεμελιώσει συκοφαντική δυσφήμιση.

Αν έχετε πέσει θύμα αντίστοιχης συμπεριφοράς, μπορείτε να απευθυνθείτε στο δικηγορικό μας γραφείο στο 2107231630 για να κλείσετε ραντεβού και να συζητήσετε την υπόθεση σας με έναν δικηγόρο με γνώσεις και εμπειρία σε θέματα προσωπικών δεδομένων και GDPR.

Πως το Facebook χρησιμοποιεί τα προσωπικά δεδομένα για να μας στέλνει <<εξατομικευμένες>> διαφημίσεις.

Η συζήτηση γύρω από την προστασία προσωπικών δεδομένων και το GDPR δεν είναι θεωρητική. Είναι απολύτως πρακτική — και αφορά εκατομμύρια χρήστες καθημερινά.

Η απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) στην υπόθεση C-446/21 φέρνει στο προσκήνιο ένα κρίσιμο ερώτημα: Μπορεί το Facebook (Meta) να χρησιμοποιεί πληροφορίες για τη σεξουαλική σου ζωή για να σου δείχνει διαφημίσεις;

Η απάντηση του Δικαστηρίου της Ευρωπαϊκής Ένωσης είναι ξεκάθαρη — και αλλάζει τα δεδομένα.

Το ιστορικό της υπόθεσης: Όταν ένας χρήστης του Facebook δήλωσε σε εκδήλωση ότι είναι «ομοφυλόφιλος άνδρας» και το Facebook χρησιμοποίησε αυτή την πληροφορία για να του στέλνει σχετικές διαφημίσεις.

Η υπόθεση ξεκίνησε από έναν χρήστη του Facebook, ο οποίος είχε δηλώσει δημόσια —σε συγκεκριμένο πλαίσιο— τη σεξουαλική του ταυτότητα, αναφερόμενος στον εαυτό του ως ομοφυλόφιλο άνδρα.

Η δήλωση αυτή δεν έγινε για διαφημιστικούς σκοπούς. Αντιθέτως:

• έγινε σε συγκεκριμένο περιεχόμενο,

• σε συγκεκριμένο context,

• και για συγκεκριμένο λόγο επικοινωνίας.

Ωστόσο, η Meta ( Facebook) αξιοποίησε την πληροφορία αυτή και τη συνέδεσε με:

• τη συνολική διαδικτυακή του δραστηριότητα,

• δεδομένα από τρίτες ιστοσελίδες,

• και προφίλ συμπεριφοράς.

Το αποτέλεσμα;

Ο χρήστης άρχισε να λαμβάνει στοχευμένες διαφημίσεις που σχετίζονταν με τη σεξουαλική του προτίμηση.

Ο ίδιος θεώρησε ότι αυτό αποτελεί σοβαρή παραβίαση προσωπικών δεδομένων και προσέφυγε νομικά.

Το βασικό νομικό ζήτημα

Η Meta υποστήριξε ότι είχε το δικαίωμα να επεξεργάζεται τα δεδομένα αυτά:

• είτε βάσει της σύμβασης με τον χρήστη,

• είτε βάσει έννομου συμφέροντος,

• είτε λόγω «δημόσιας αποκάλυψης» από τον ίδιο τον χρήστη.

Το Δικαστήριο της Ευρωπαϊκής Ένωσης κλήθηκε να απαντήσει αν επιτρέπεται, βάσει GDPR, η χρήση τέτοιων ευαίσθητων προσωπικών δεδομένων για σκοπούς διαφήμισης;

Τι έκρινε το ΔΕΕ – Σαφή όρια στη Meta

1. Η δημόσια δήλωση δεν σημαίνει «ελεύθερη χρήση»

Το γεγονός ότι ο χρήστης δήλωσε δημόσια τη σεξουαλική του ταυτότητα δεν σημαίνει ότι η Meta μπορεί να τη χρησιμοποιεί ανεξέλεγκτα.

Το ΔΕΕ ξεκαθάρισε ότι:

• η χρήση των δεδομένων πρέπει να είναι περιορισμένη στον σκοπό για τον οποίο δημοσιοποιήθηκαν.

Άρα:
Άλλο η έκφραση προσωπικής ταυτότητας

Και άλλο η εμπορική εκμετάλλευση μέσω διαφήμισης

2. Τα ευαίσθητα προσωπικά δεδομένα έχουν αυξημένη προστασία (GDPR)

Η σεξουαλική προτίμηση αποτελεί ευαίσθητο προσωπικό δεδομένο κατά τον GDPR.

Αυτό σημαίνει ότι:

• απαγορεύεται η επεξεργασία του,

• εκτός αν πληρούνται πολύ αυστηρές προϋποθέσεις.

Το ΔΕΕ έκρινε ότι: η στοχευμένη διαφήμιση δεν δικαιολογεί τέτοια επεξεργασία ευαίσθητων προσωπικών δεδομένων.

3. η επεξεργασία αυτή δεν ήταν «αναγκαία» για τη λειτουργία του Facebook

Η Meta προσπάθησε να στηριχθεί στην «εκτέλεση σύμβασης».

Το Δικαστήριο όμως απέρριψε το επιχείρημα:

Η προσωποποιημένη διαφήμιση δεν είναι απαραίτητη για τη λειτουργία μιας πλατφόρμας κοινωνικής δικτύωσης.

Άρα:

• δεν μπορεί να χρησιμοποιηθεί ως νομική βάση επεξεργασίας.

4. Η συγκατάθεση πρέπει να είναι πραγματική — όχι τυπική

Το ΔΕΕ επανέλαβε μια βασική αρχή του GDPR:

Η συγκατάθεση πρέπει να είναι:

• ελεύθερη

• συγκεκριμένη

• ενημερωμένη

Δεν αρκεί:

• ένα γενικό «accept all»

• ή η απλή χρήση της πλατφόρμας

Η απόφαση αυτή έχει πρακτικές συνέπειες για κάθε χρήστη:

• Το Facebook δεν μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα σου για διαφήμιση χωρίς σαφή συγκατάθεση

• Η δραστηριότητά σου εκτός πλατφόρμας δεν μπορεί να συλλέγεται ανεξέλεγκτα

• Έχεις δικαίωμα να ελέγχεις πώς χρησιμοποιούνται τα δεδομένα σου

Αν θεωρείς ότι τα δικαιώματά σου παραβιάζονται, ένας δικηγόρος για προσωπικά δεδομένα μπορεί να σε καθοδηγήσει για τα επόμενα βήματα. Μπορείς να κλείσεις το ραντεβού σου στο 210 7231630.

Τι αλλάζει για τη Meta και την αγορά

Η απόφαση αυτή δεν αφορά μόνο το Facebook.

Αφορά συνολικά:

• το μοντέλο της στοχευμένης διαφήμισης

• τη χρήση big data

• τη λειτουργία των μεγάλων πλατφορμών

Το μήνυμα του ΔΕΕ είναι σαφές:

Δεν μπορείς να χτίζεις επιχειρηματικό μοντέλο πάνω σε ευαίσθητα προσωπικά δεδομένα χωρίς αυστηρούς κανόνες.

Συμπέρασμα

Η απόφαση C-446/21 αποτελεί μία από τις σημαντικότερες εξελίξεις στο δίκαιο προστασίας προσωπικών δεδομένων.

Επιβεβαιώνει ότι:

• το GDPR δεν είναι απλώς ένα θεωρητικό πλαίσιο,

• αλλά ένα ισχυρό εργαλείο προστασίας του πολίτη.

Σε μια εποχή όπου τα δεδομένα αποτελούν «νόμισμα», το ΔΕΕ υπενθυμίζει ότι:

Η ιδιωτικότητα δεν είναι διαπραγματεύσιμη.

Η δικηγορική εταιρεία Οικονόμου και Συνεργάτες εξειδικεύεται σε θέματα προστασίας προσωπικών δεδομένων και εφαρμογής του Γενικού Κανονισμού Προσωπικών Δεδομένων ( GDPR ).

Η παραβίαση των προσωπικών δεδομένων είναι εξαιρετικά συχνή και έχει αναδειχθεί τα τελευταία χρόνια σε ένα από τα σημαντικότερα ζητήματα του δικαίου της ιδιωτικότητας.
Η συνεχής ανάπτυξη των κοινωνικών δικτύων, η ηλεκτρονική επικοινωνία και η εκτεταμένη χρήση ψηφιακών αρχείων έχουν δημιουργήσει νέους κινδύνους για τα δικαιώματα των ατόμων.

Στην Ελλάδα, πέρα από το ευρωπαϊκό κανονιστικό πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR – Κανονισμός 2016/679/ΕΕ), ισχύει και ο Ν. 4624/2019,
ο οποίος προσαρμόζει το εθνικό δίκαιο και προβλέπει συγκεκριμένες ποινικές κυρώσεις για παραβάσεις των προσωπικών δεδομένων.

Ο Ν. 4624/2019, στο άρθρο 38, προβλέπει ποινικές κυρώσεις για όποιον «προβαίνει χωρίς δικαίωμα σε επεξεργασία προσωπικών δεδομένων»· οι ποινές φθάνουν έως φυλάκιση και χρηματική ποινή.

Όταν η παραβίαση συνδέεται με σκοπό παράνομου οφέλους ή πρόκλησης βλάβης στο υποκείμενο, η ποινή μπορεί να είναι αυστηρότερη.

Συχνές περιπτώσεις παραβίασης προσωπικών δεδομένων είναι οι κάτωθι:

α/ αναρτήσεις στα social media φωτογραφιών και κειμένων που παραβιάζουν την ιδιωτικότητα και τα προσωπικά δεδομένα του ατόμου.

β/ παραβίαση των προσωπικών δεδομένων εργαζόμενου από την εταιρεία του με χρήση κάμερας επιτήρησης σε μέρη που απαγορεύεται.

γ/ διαρροή προσωπικών δεδομένων των οποίων εργαζόμενος έλαβε γνώση κατά τη διάρκεια της εργασίας του, όπως ονόματα πελατών, συνεργατών και υπαλλήλων.

δ/ παραβίαση προσωπικών δεδομένων με χρήση φωτογραφιών και μηνυμάτων στα πλαίσια δίκης.

ε/ παραβίαση της νομοθεσίας προσωπικών δεδομένων λόγω βιντεοεπιτήρησης χωρίς ενημερωτική σήμανση.

Στ/ παραβίαση προσωπικών δεδομένων εργαζόμενου με επιτήρηση του e mail του.

ζ/ παράνομη διαβίβαση δεδομένων πελατών από τράπεζες σε fund.

η/ δημοσιοποίηση ιατρικών άρα ευαίσθητων προσωπικών δεδομένων από κλινική σε ασφαλιστική εταιρεία.

Ειδικότερα:

Προσβολές μέσω αναρτήσεων στα κοινωνικά δίκτυα – social media

Ένα από τα πιο συνηθισμένα φαινόμενα παραβίασης και προσβολής προσωπικών δεδομένων που συναντούν οι δικηγόροι μας, αφορά τη δημοσίευση ή διαρροή στοιχείων σε μέσα κοινωνικής δικτύωσης ή η ανάρτηση προσβλητικών σχολίων και κειμένων στα social media.

Η χρήση ψηφιακών μέσων και ειδικότερα των social media όπως το Facebook, Instagram, X πρώην Twitter, LinkedIn, Tik Tok και πολλών άλλων κάνει την διάδοση των προσωπικών δεδομένων ιδιαίτερα εύκολη. Μία φωτογραφία που δημοσιεύεται στο Instagram αυτομάτως τίθεται στην διάθεση και στα μάτια του οποιουδήποτε. Η δε δημιουργία ψεύτικων λογαριασμών που κρύβουν την ταυτότητα αυτού που την δημοσίευσε, κάνει ιδιαίτερα δύσκολη την αποκάλυψη του δράστη.

Η ανάρτηση φωτογραφιών, βίντεο ή συνομιλιών χωρίς τη συναίνεση του υποκειμένου συνιστά επεξεργασία δεδομένων κατά παράβαση των άρθρων 5 και 6 GDPR.
Ιδιαίτερα όταν πρόκειται για ευαίσθητα δεδομένα, όπως υγεία ή σεξουαλική ζωή, παραβιάζονται και οι αυστηρότεροι κανόνες του άρθρου 9 GDPR.

Η ανάρτηση προσωπικών στοιχείων στο Facebook ή το Instagram με σκοπό τον εκφοβισμό ή τον εκβιασμό ή την προσβολή της τιμής του άλλου, ενδέχεται να οδηγήσει όχι μόνο σε αστικές αξιώσεις αποζημίωσης αλλά και σε ποινική δίωξη.

Παραβιάσεις στα πλαίσια κάποιας δίκης.

Ιδιαίτερη προσοχή απαιτείται και στο πλαίσιο των δικαστικών διαδικασιών.
Η προσκόμιση εγγράφων που περιέχουν προσωπικά δεδομένα τρίτων – όπως ιατρικά στοιχεία, τραπεζικές κινήσεις ή ιδιωτική αλληλογραφία – πρέπει να γίνεται μόνο στον βαθμό που είναι απολύτως αναγκαίο για τη δικαστική υπεράσπιση ή για την άσκηση δικαιώματος (άρθρο 9 παρ. 2 περ. στ’ GDPR).

Η αλόγιστη χρήση τέτοιων δεδομένων μπορεί να οδηγήσει σε παραβίαση του δικαίου προστασίας προσωπικών δεδομένων.

Ο Ν. 4624/2019, στο άρθρο 41, ποινικοποιεί ειδικότερα τη μη νόμιμη κοινολόγηση ή διάθεση προσωπικών δεδομένων.

Όποιος «διαβιβάζει ή καθιστά προσιτά προσωπικά δεδομένα σε μη δικαιούμενο» χωρίς τη συναίνεση ή νόμιμη βάση, τιμωρείται με φυλάκιση τουλάχιστον ενός έτους και χρηματική ποινή.

Έτσι, διάδικος ή μάρτυρας που προσκομίζει ευαίσθητα δεδομένα πέραν των ορίων της αναγκαιότητας, κινδυνεύει με ποινικές ευθύνες.

Το πλέγμα ποινικής προστασίας

Η ποινική προστασία δεν περιορίζεται μόνο στις διατάξεις του Ν. 4624/2019.
Συναντάται και σε γενικότερες διατάξεις του Ποινικού Κώδικα, όπως το άρθρο 370Β ΠΚ («Παραβίαση του απορρήτου της τηλεφωνικής επικοινωνίας») ή το άρθρο 370Γ ΠΚ («Παραβίαση απορρήτου μέσω υπολογιστή»).

Σε συνδυασμό με τον GDPR και τον ελληνικό εφαρμοστικό νόμο, διαμορφώνεται ένα αυστηρό πλέγμα κανόνων που προστατεύουν την ιδιωτική σφαίρα.

Είναι, εμφανής η πρόθεση του νομοθέτη να τιμωρήσει τον δράστη με βαριές ποινές, τόσο στερητικές της ελευθερίας όσο και χρηματικές, προκειμένου να ελαχιστοποιήσει, κατά το δυνατόν, το φαινόμενο της παραβίασης δεδομένων προσωπικού χαρακτήρα. Το προστατευόμενο από την διάταξη του άρθρου 38 του ν. 4624/2019 έννομο αγαθό είναι το δικαίωμα στην πληροφοριακή αυτοδιάθεση (ή αυτοκαθορισμό) ως ειδικότερη εκδήλωση του δικαιώματος στην ιδιωτική ζωή (ιδιωτική σφαίρα), το οποίο δεν είναι πρωτίστως οικονομικής φύσεως.

Για τη στοιχειοθέτηση της υποκειμενικής υπόστασης του αδικήματος της παραβίασης προσωπικών δεδομένων των εδαφίων α’ και β’ της παρ. 1 του άρθρου 38 του ως άνω νόμου απαιτείται δόλος, ακόμη και ενδεχόμενος.

Οι παραβάσεις προσωπικών δεδομένων δεν αφορούν πλέον μόνο φορείς, αλλά και ιδιώτες που κάνουν κατάχρηση των social media ή εγγράφων.
Η νομολογία δείχνει αυξανόμενη αυστηρότητα στην αντιμετώπιση τέτοιων φαινομένων, ιδίως όταν προκαλείται σοβαρή ηθική βλάβη.

Τα Δικαστήρια έχουν ασχοληθεί πολλές φορές με θέματα προσβολής των προσωπικών δεδομένων. Αναφέρουμε παρακάτω μερικές σχετικές αποφάσεις:

Απόφαση Αρείου Πάγου 947/2022: Κρίθηκε ότι η δημοσιοποίηση ευαίσθητων δεδομένων (π.χ. υγείας) σε τρίτους μέσω διαδικτύου συνιστά αξιόποινη διάδοση.
Απόφαση Αρείου Πάγου 813/2020: Διαπίστωσε παραβίαση από δημοσιοποίηση στοιχείων δικογραφίας σε ιστοσελίδα χωρίς νόμιμη βάση.
Απόφαση ΠΠρΑθ 3920/2017: Ο διαχειριστής ιστοσελίδας που αναρτά προσωπικά δεδομένα εξομοιώνεται με υπεύθυνο επεξεργασίας.
Απόφαση ΑΠ 513/2020: Αναγνώρισε την ευθύνη για παράνομη διάδοση δεδομένων μέσω διαδικτύου, ερμηνεύοντας το άρθρο 38 Ν. 4624/2019.
Απόφαση Εφετείου (2023): Δημοσίευση αποσπασμάτων καταθέσεων από δικογραφία κρίθηκε παράνομη, επιβεβαιώνοντας τις θέσεις του ΑΠ 813/2020.

Η παραβίαση των προσωπικών δεδομένων λόγω των ψηφιακών μέσων είναι σήμερα πάρα πολύ συχνή και μπορεί να επιφέρει τεράστιες συνέπειες τόσο ηθικές και προσωπικές όσο και χρηματική ζημία. Η ποινική προστασία των προσωπικών δεδομένων αποτελεί σήμερα ένα αναγκαίο αντίβαρο στην ψηφιακή εποχή.

Η ανάρτηση ή κοινολόγηση δεδομένων χωρίς συναίνεση μπορεί να επισύρει σοβαρές ποινικές κυρώσεις.

Παράλληλα, οι νομικοί και οι διάδικοι οφείλουν να χειρίζονται με υπευθυνότητα τα έγγραφα που περιέχουν προσωπικά στοιχεία στις δίκες.

Η συμμόρφωση με το ευρωπαϊκό και ελληνικό πλαίσιο δεν αποτελεί μόνο νομική υποχρέωση, αλλά και δείκτη σεβασμού στην ανθρώπινη αξιοπρέπεια.
Η ιδιωτικότητα είναι θεμελιώδες δικαίωμα και οι παραβιάσεις της τιμωρούνται ποινικά, ενισχύοντας την εμπιστοσύνη στη δικαιοσύνη και την κοινωνία.

Οι δικηγόροι της εταιρείας είναι στην διάθεσή σας για κάθε θέμα που αφορά τη παραβίαση των προσωπικών σας δεδομένων.

Ο δικηγόρος Στέφανος Οικονόμου είναι πιστοποιημένος DPO (Υπεύθυνος Προστασίας Δεδομένων) και παράλληλα έχει μεγάλη εμπειρία και εξειδίκευση στο ποινικό δίκαιο. Για θέματα παραβίασης προσωπικών δεδομένων μπορείτε να απευθυνθείτε στο γραφείο μας για να σας παρέχουμε νομικές υπηρεσίες τόσο σε συμβουλευτικό όσο και σε πρακτικό επίπεδο.

 

Ενδιαφέρον παρουσιάζει η πρόσφατη απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων, η οποία έκρινε ότι το Γενικό Νοσοκομείο Θεσσαλονίκης «Παπαγεωργίου» παραβίασε το καθήκον ενημέρωσης προς το υποκείμενο των δεδομένων σχετικά με τη διαβίβασή τους σε τρίτο πρόσωπο, παρόλο που υπήρχε Εισαγγελική παραγγελία για την εν λόγω διαβίβαση των προσωπικών δεδομένων. Οι δικηγόροι του γραφείου μας με την εξειδίκευσή τους στη νομοθεσία για την προστασία των προσωπικών δεδομένων θεωρούν σκόπιμη την επισήμανση αυτής της απόφασης έχοντας χειριστεί παρόμοιες υποθέσεις στα Δικαστήρια.

Η απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων εξεδόθη με βάση τον νόμο που ίσχυε πριν από την θέση σε ισχύ του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων ( GDPR ) αλλά το σκεπτικό της είναι απόλυτα συμβατό με αυτόν.

Πιο συγκεκριμένα, ο Α κατήγγειλε τη σύμβαση εργασίας της Β ως οικιακής μισθωτού μόλις πληροφορήθηκε την εγκυμοσύνη της. Για να αποκτήσει μία πληρέστερη εικόνα της υγείας της Β, ο Α θεώρησε σκόπιμο να έχει πρόσβαση στα προσωπικά δεδομένα που είχαν σχέση με την υγεία της. Για τον λόγο αυτό, ο Α µε αίτησή του προς τον Εισαγγελέα Πληµµελειοδικών Θεσσαλονίκης, επικαλούμενος έννομο συμφέρον, ζήτησε τη χορήγηση σχετικής εισαγγελικής παραγγελίας, προκειμένου να λάβει από το Νοσοκομείο αντίγραφα από τα οποία να προκύπτει το χρονικό διάστημα νοσηλείας της. Ο Εισαγγελέας διαβίβασε την αίτηση του Α στο Νοσοκομείο, καλώντας το να χορηγήσει τα αιτούμενα στοιχεία σύμφωνα µε το άρθρο 25 αρ.4 εδ. β του ν. 1756/1988.

Το Νοσοκομείο συμμορφώθηκε με την Εισαγγελική παραγγελία και διαβίβασε τα προσωπικά δεδομένα της ασθενούς, χωρίς προηγουμένως να ενημερώσει την Β. Να σημειωθεί ότι κατ’ εξαίρεση επιτρέπεται η χορήγηση προσωπικών δεδομένων σε τρίτο, και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, μόνον στις εξαιρετικές περιπτώσεις του άρθρου 5 παρ. 2 του ν. 2472/97. Μία από αυτές τις περιπτώσεις είναι όταν: το έννομο συμφέρον του τρίτου υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα, και ταυτόχρονα δεν θίγονται οι θεμελιώδεις ελευθερίες του.

Η Αρχή Προστασίας Προσωπικών Δεδομένων έκρινε όμως ότι δεν συντρέχει εν προκειμένω κάποια εξαίρεση που να δικαιολογεί την μη προηγούμενη ενημέρωση του υποκειμένου των δεδομένων, όπως απαιτεί το άρθρο 11 παρ. 3 του ν. 2472/1997. Η ενημέρωση δε αυτή ήταν απαραίτητη, προκειμένου η Β, ως υποκείμενο των προσωπικών δεδομένων, να ασκήσει το δικαίωμα αντίρρησης του άρθρου 13 ν. 2472/1997, το οποίο έχει σε κάθε περίπτωση.

Σε περίπτωση που έχετε αντιμετωπίσει κάποια παραβίαση ή παράνομη χρήση των προσωπικών σας δεδομένων, η δικηγορική μας εταιρία Στέφανος Οικονόμου και Συνεργάτες μπορεί να σας συμβουλεύσει πως μπορείτε να κινηθείτε για την προάσπιση των συμφερόντων σας και την αναζήτηση αποζημίωσης.

 

 

H Ευρωπαική Επιτροπή Προστασίας Προσωπικών Δεδομένων ανακοίνωσε ότι έχει λάβει ήδη πάνω από 1.100 αναφορές παραβιάσεων δεδομένων που εμπλέκουν προσωπικά δεδομένα, μέσα σε δύο μήνες από την εφαρμογή του GDPR.  

Οι 1.184 αναφορές προς την Επιτροπή σημαίνουν ότι οι αναφορές για την παραβίαση δεδομένων είναι σημαντικά υψηλότερες από τον μέσο όρο των 230 που αναφέρθηκαν κάθε μήνα το 2017. Παρατηρείται δηλαδή μία αύξηση 500% στις καταγγελίες στο Ευρωπαικό επίπεδο.  

Ένα μέρος αυτών μπορεί να εξηγηθεί από το ότι ο GDPR εισάγει υποχρεωτική αναφορά παραβιάσεων προσωπικών δεδομένων, εκτός αν η παραβίαση είναι απίθανο να καταλήξει σε κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων ή των υποκειμένων των δεδομένων. 

Όμως είναι βέβαιο ότι ο κόσμος έχει πλέον ευαισθητοποιηθεί τόσο από τα διάφορα σκάνδαλα που είδαν το φως τα τελευταία χρόνια με απίστευτες διαρροές προσωπικών δεδομένων όσο και από τις καμπάνιες που έγιναν με την εισαγωγή του GDPR.  

Όπως είναι γνωστό, οι παραβιάσεις προσωπικών δεδομένων πρέπει να αναφέρονται «χωρίς αδικαιολόγητη καθυστέρηση» και όχι αργότερα από 72 ώρες αφότου ο υπεύθυνος επεξεργασίας δεδομένων λάβει γνώση αυτών. 

Η δικηγορική μας εταιρία Στέφανος Οικονόμου και Συνεργάτες μπορεί να αναλάβει την συμμόρφωσή σας με τις υποχρεώσεις που θέτει ο GDPR έτσι ώστε να μην βρεθείτε στην δυσάρεστη θέση να ανακοινώσετε κάποια παραβίαση προσωπικών δεδομένων.  

Σε μία εργασιακή σχέση εξ αντικειμένου ο εργοδότης βρίσκεται σε θέση ισχύος έναντι του εργαζόμενου. Αυτό πολλές φορές οδηγεί ορισμένους εργοδότες σε παραβίαση του νόμου για την προστασία των προσωπικών δεδομένων των εργαζομένων προσπαθώντας να προασπίσουν το συμφέρον της επιχείρησής τους.  

Ενόψει και της εφαρμογής του GDPR οι επιχειρήσεις οφείλουν να είναι ιδιαίτερα προσεκτικές στο πως επεξεργάζονται τα προσωπικά δεδομένων των εργαζόμενών τους με δεδομένο ότι πλέον ο GDPR αναγνωρίζει περισσότερα δικαιώματα στο υποκείμενο των προσωπικών δεδομένων και απειλεί με βαρύτατα πρόστιμα.  

Αναφέρουμε παρακάτω ορισμένες περιπτώσεις που τέθηκαν ενώπιον της Αρχής Προστασίας Προσωπικών Δεδομένων τα τελευταία χρόνια και έχουν να κάνουν με την προστασία των προσωπικών δεδομένων των εργαζομένων.  

 

1/ Διενέργεια ελέγχου στον ηλεκτρονικό υπολογιστή που χρησιµοποιούσε ο εργαζόμενος στον επαγγελματικό του χώρο, χωρίς προηγούµενη ενηµέρωση και εν απουσία του. 

Η Αρχή Προστασίας Προσωπικών Δεδομένων, με την με αριθμό 34/2018 απόφασή της έκρινε ότι η από µέρους του εργαζόµενου χρήση ηλεκτρονικού υπολογιστή που ανήκει στον εργοδότη και για τον οποίο έχει προηγουµένως ρητά ενηµερωθεί ότι απαγορεύεται η χρήση του για µη επαγγελµατικούς λόγους δεν συνιστά από µόνο του νόµιµο λόγο επιτήρησης ή ελέγχου των προσωπικών δεδοµένων που επεξεργάζεται ο εργαζόµενος, αλλά απαιτείται ειδικότερη ενηµέρωση του εργαζόμενου. 

Ο νέος GDPR ενισχύει ακόμα περισσότερο τα δικαιώματα ενημέρωσης των υποκειμένων των προσωπικών δεδομένων.  

2/ Δικαίωμα εργοδότη να χρησιµοποιήσει ιατρικές πληροφορίες από τον φάκελο του πρώην εργαζοµένου του, προκειµένου να αντικρούσει την αγωγή αποζηµίωσης που έχει ασκήσει σε βάρος του ο πρώην εργαζόµενος.  

Ο εργαζόμενος μετά την λύση της σύμβασης εργασίας, άσκησε αγωγή κατά του εργοδότη ζητώντας την επιδίκαση χρηµατικής αποζηµίωσης, λόγω της βλάβης της υγείας του εξαιτίας των εργασιακών καθηκόντων που του ανατίθεντο.  

Ο εργοδότης υπέβαλε αίτημα στην Αρχή Προστασίας Προσωπικών Δεδομένων για να του επιτραπεί να χρησιµοποιήσει ιατρικές πληροφορίες από τον φάκελο του πρώην εργαζοµένου του  που τηρούσε τηρεί µε την ιδιότητα του υπευθύνου επεξεργασίας, προκειµένου να αντικρούσει την αγωγή αποζηµίωσης.  

Η Αρχή προστασίας προσωπικών δεδομένων, με την με αριθμό 5/2016 απόφασή της έκρινε ότι πληρούται η αρχή της αναλογικότητας των δεδοµένων, σύµφωνα µε τα οριζόµενα στη διάταξη του άρθρου 4 παρ. 1 στοιχ. β΄ του ν.2472/1997, καθόσον οι αιτούµενες πληροφορίες τυγχάνουν πρόσφορες για την απόδειξη του ισχυρισµού της εναγοµένης ότι συµµορφώθηκε πλήρως µε τις ιατρικές συστάσεις και οδηγίες που κατά καιρούς δίδονταν για τον πρώην εργαζόµενό της και έτσι δεν την βαρύνει οποιαδήποτε υπαιτιότητα για την επικαλούµενη βλάβη της υγείας του που, κατά τους ισχυρισµούς του, συνδέεται µε την άσκηση των καθηκόντων που του ανέθετε 

Ο νέος GDPR κατατάσσει στο άρθρο 9 δηλαδή στην ειδική κατηγορία των ευαίσθητων προσωπικών δεδομένων τα δεδομένα υγείας και θέτει ιδιαίτερους περιορισμούς στην επεξεργασία τους. 

 

3/ Δικαίωμα του υπαλλήλου να λάβει πλήρη αντίγραφα του ατομικού και πειθαρχικού του φακέλου από τον εργοδότη.  

Ο Α, υπάλληλος της Χ Τράπεζας, υπέβαλε καταγγελία κατά της Τραπέζης, αιτούµενος να υποχρεώσει η Αρχή Προστασίας Προσωπικών Δεδομένων την Τράπεζα να του χορηγήσει πλήρη αντίγραφα του ατοµικού και πειθαρχικού του φακέλου. 

Η Αρχή με την με αρ. 37/2016 απόφασή της έκρινε ότι ο υπάλληλος ως υποκείµενο των προσωπικών δεδοµένων έχει πάντοτε το δικαίωµα να ζητήσει να πληροφορηθεί και να λάβει αντίγραφα των περιεχοµένων στο αρχείο του υπευθύνου επεξεργασίας εγγράφων και τούτο γιατί επιβάλλεται να λάβει γνώση του περιεχοµένου των υπαρχόντων στο αρχείο εγγράφων, προκειµένου να ασκήσει τα δικαιώµατά του. Αν όµως, το υποκείµενο των δεδοµένων αποδεδειγµένα κατέχει συγκεκριµένα έγγραφα και τα αναφέρει κατά τα προσδιοριστικά τους στοιχεία στην αίτησή του, τότε θα πρέπει να εξηγήσει στον υπεύθυνο επεξεργασίας τον λόγο για τον οποίο ζητεί τη χορήγησή τους. 

Ο νέος GDPR ενισχύει ακόμα περισσότερο τα δικαιώματα ενημέρωσης των υποκειμένων των προσωπικών δεδομένων με την λήψη αντιγράφου των προσωπικών δεδομένων του και τίθενται σύντομες προθεσμίες συμμόρφωσης του υπεύθυνου επεξεργασίας.  

 

4/ Απαγόρευση εγκατάστασης και λειτουργίας βιομετρικού συστήματος για τον έλεγχο τήρησης του ωραρίου από τους εργαζομένους. 

Με την με αριθμό 127/2012 απόφασή της και κατ’ εφαρµογή της αρχής της αναλογικότητας, η Αρχή έχει επιτρέψει τη χρήση βιοµετρικών συστηµάτων για τον έλεγχο πρόσβασης σε χώρους εργασίας αποκλειστικά και µόνο σε περιπτώσεις ιδιαίτερα κρίσιµων εγκαταστάσεων και µε µοναδικό σκοπό την προστασία των προσώπων και των αγαθών εντός αυτών. Αντίθετα, σε κάθε άλλη περίπτωση έχει επιβάλει τη διακοπή της λειτουργίας των βιοµετρικών συστηµάτων, θεωρώντας ότι η χρήση τους δεν είναι σύµφωνη µε την αρχή της αναλογικότητας. Φυσικά, υφίσταται έννοµο συµφέρον του υπεύθυνου επεξεργασίας για τον έλεγχο τήρησης του ωραρίου από τους υπαλλήλους του, αλλά  η χρήση βιοµετρικού συστήµατος  εισάγει µια επαχθή και δυσανάλογη για τα υποκείµενα επεξεργασία (αποθήκευση βιοµετρικών αποτυπωµάτων για αόριστο χρονικό διάστηµα σε κεντρική βάση δεδοµένων) σε σχέση µε το σκοπό για τον οποίο επιχειρείται, χωρίς αυτό να είναι απαραίτητο, καθώς ο έλεγχος µπορεί να πραγµατοποιηθεί επαρκώς και µε άλλα ηπιότερα εναλλακτικά µέσα, όπως οι µαγνητικές κάρτες χωρίς βιοµετρικά στοιχεία. 

Ο νέος GDPR κάνει ιδιαίτερη μνεία στα βιομετρικά προσωπικά δεδομένα δίνοντας τον ορισμό τους και θέτοντας ιδιαίτερους περιορισμούς στην επεξεργασία τους. Η αρχή της αναλογικότητας υιοθετείται και αυτή πλήρως από το νέο καθεστώς του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων ( GDPR ).  

 

Η δικηγορική μας εταιρία με εμπειρία σε θέματα προστασίας προσωπικών δεδομένων και απορρήτου επικοινωνιών λόγω της συνεργασίας της με μεγάλους πολυεθνικούς ομίλους τηλεπικοινωνιών, φαρμακευτικών εταιριών και πολλών άλλων τομέων, αναλαμβάνει με πιστοποιημένους DPO την συμμόρφωση της επιχείρησης σας με τον GDPR – Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων και την παροχή συναφών υπηρεσιών.   

Ενόψει της εφαρμογής του GDPR είναι πολλά τα θέματα που πρέπει να αντιμετωπίσει μία εταιρία για να μην υποστεί τα βαρύτατα πρόστιμα και οι ερωτήσεις είναι πιεστικές.  

Συλλέγετε νόμιμα τα προσωπικά δεδομένα των εργαζομένων, των προμηθευτών και των πελατών σας; Πρέπει να τους ενημερώσετε για τα δεδομένα που επεξεργάζεστε και πως; Τι δεδομένα δικαιούστε να συλλέγετε και τι όχι; Για ποιους σκοπούς δικαιούστε να συλλέγετε προσωπικά δεδομένα; Σε ποιες περιπτώσεις πρέπει να λαμβάνετε συγκατάθεση; Μπορείτε να στείλετε e–mail στον πελάτη χωρίς να έχει προηγηθεί συγκατάθεσή του; Τι όρους πρέπει να αλλάξετε στις συμβάσεις σας ; Μπορείτε να έχετε κάμερες ασφαλείας; Τι όρους χρήσης και privacy notice πρέπει να βάλετε στα site σας;  Μπορείτε να αναθέσετε την μισθοδοσία σε άλλη εταιρία; Είναι επαρκή τα μέτρα που λαμβάνετε για την ασφάλεια των δεδομένων; Πόσο καιρό δικαιούστε να κρατάτε τα δεδομένα; Πρέπει να έχετε πολιτική προστασίας προσωπικών δεδομένων και τι πρέπει να προβλέπει ; Δικαιούται ο εργαζόμενος ή ο πελάτης σας να σας ζητήσει να διαγράψετε τα δεδομένα του; Πρέπει να κάνετε DPIA ή όχι; 

H εταιρία μας θα απαντήσει σε όλες τις ερωτήσεις σας, θα καλύψει όλα τα νομικά θέματα συμμόρφωσης με τον GDPR και θα σας υποδείξει όλα τα τεχνικά μέτρα ασφαλείας που πρέπει να λάβετε για την ασφάλεια των δεδομένων σας.  

Παρέχουμε ενδεικτικά τις κάτωθι Υπηρεσίες συμμόρφωσης με τον  GDPR σε ειδικά πακέτα ανάλογα με το μέγεθος και τις ανάγκες της επιχείρησής σας. Καλέστε μας για μία ενημέρωση ή για υποβολή προσφοράς.    

• Α/ Καταγραφή, ανάλυση και εκτίμηση της υπάρχουσας κατάστασης και διαδικασιών της εταιρίας και ιδίως των ελλείψεων αυτών. (Data mapping, gap analysis).  
• Β/ Βελτίωση των υπαρχουσών διαδικασιών και πολιτικών, δημιουργία νέων και υπόδειξη οργανωτικών και τεχνικών μέτρων σε συμμόρφωση με τον GDPR.  
• Γ/ Εκπαίδευση στελεχών και ευαισθητοποίηση του προσωπικού της εταιρίας. 
• Δ/ Δημιουργία προτύπων εντύπων ( συγκαταθέσεις, mails, privacy statement, όρους χρήσης των sites της εταιρίας  κλπ ) καθώς και συμβατικών όρων προς συμμόρφωση με τον GDPR.  

• Ε/ εκπόνηση Εκτίμησης Αντικτύπου Προστασίας Δεδομένων ( DPIA ),  
• Στ/ δημιουργία Αρχείου Διαδικασιών Επεξεργασίας Προσωπικών Δεδομένων  
• Ζ/ Υπηρεσίες DPO.  

 

«Δεσμευτικοί εταιρικοί κανόνες»: είναι οι πολιτικές προστασίας δεδομένων προσωπικού χαρακτήρα τις οποίες ακολουθεί ένας υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία εγκατεστημένος στο έδαφος κράτους μέλους για διαβιβάσεις ή δέσμη διαβιβάσεων δεδομένων προσωπικού χαρακτήρα σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία σε μία ή περισσότερες τρίτες χώρες εντός ομίλου επιχειρήσεων, ή ομίλου εταιρειών που ασκεί κοινή οικονομική δραστηριότητα.