To 2018 η αμερικανική ασφαλιστική Aetna συμφώνησε εξωδικαστικά να καταβάλει το ποσόν των 17 εκατομμυρίων δολαρίων ως αποζημίωση για την παραβίαση προσωπικών δεδομένων, η οποία είχε συμβεί το καλοκαίρι του προηγούμενου έτους. Το λάθος, το οποίο οδήγησε στην παραβίαση δεδομένων και εν τέλει στην αποζημίωση των ζημιωθέντων, ήταν αδικαιολόγητα απλό και ιδιαίτερα επικίνδυνο: Οι φάκελοι που είχαν αποσταλεί από την εταιρεία ταχυδρομικά σε σχεδόν 12.000 ασφαλισμένους της, οι οποίοι ελάμβαναν φαρμακευτική αγωγή για την αντιμετώπιση του HIV, είχαν πολύ μεγάλα «παράθυρα». Τα παράθυρα αυτά επέτρεπαν σε αυτόν που θα έβλεπε τον φάκελο να πληροφορηθεί πως ο παραλήπτης έπαιρνε αγωγή για τη συγκεκριμένη νόσο, ως εκ τούτου, έπασχε από αυτή.
Η ζημία που προκλήθηκε στους παραλήπτες από το λάθος αυτό ήταν τρομακτική. Σύμφωνα με δημοσιεύματα, υπήρξαν περιπτώσεις ασφαλισμένων που είδαν ομοφοβικά συνθήματα να γράφονται στην πόρτα τους, ενώ άλλοι έφτασαν μέχρι το σημείο να αναγκαστούν να αλλάξουν γειτονιά.
Η ταχυδρομική αποστολή φακέλου ή δέματος παρουσιάζει εξαιρετικό ενδιαφέρον από πλευράς δικαίου προστασίας προσωπικών δεδομένων. Το ενδιαφέρον αυτό εντοπίζεται στη σημασία της τήρησης των απαιτήσεων νομιμότητας του Γενικού Κανονισμού Προστασίας Δεδομένων, η οποία όμως είναι σαφώς παραγνωρισμένη σε σχέση με τις ψηφιακές μορφές επεξεργασίας, την αποστολή e-mail ή την προστασία δεδομένων από κυβερνοεπιθέσεις και διαρροές. Ωστόσο, όπως το παράδειγμα της Aetna αποδεικνύει, μια απλή ταχυδρομική αποστολή έγχαρτου αρχείου μπορεί να προκαλέσει σημαντική βλάβη στα υποκείμενα των δεδομένων και ζημία στον υπεύθυνο επεξεργασίας.
Μια αστοχία στην αποστολή ή την παράδοση ενός φακέλου ή δέματος μπορεί να είναι τυχαία και να οφείλεται σε ατομικό λάθος ενός υπαλλήλου. Στην περίπτωση αυτή – και ανάλογα βέβαια με τις ειδικότερες περιστάσεις και συνέπειες του συμβάντος – η αντίδραση της εποπτικής αρχής μπορεί να είναι σχετικά ήπια. Στην περίπτωση όμως που από την έρευνα της αρχής προκύψει η ύπαρξη συστημικών δυσλειτουργιών, οι συνέπειες είναι ευρύτερες, οι δε κυρώσεις βαρύτερες. Όπως θα καταδειχθεί στη συνέχεια, έστω και μια λάθος αποστολή ή παράδοση μπορεί να οδηγήσει στη διαπίστωση της παραβίασης σειράς υποχρεώσεων του Γενικού Κανονισμού Προστασίας Δεδομένων και στην επιβολή υψηλού διοικητικού προστίμου. Η διενέργεια πράξεων επεξεργασίας που υπερβαίνουν τον σκοπό και την αναλογικότητα, η απουσία διαδικασιών για την ανταπόκριση σε αιτήματα των υποκειμένων, οι πλημμελείς ή ανύπαρκτες διαδικασίες επικαιροποίησης των τηρούμενων δεδομένων, οι αρρύθμιστες σχέσεις με τις εταιρείες που κάνουν την παράδοση, η απουσία αντίδρασης μετά την παραβίαση δεδομένων, είναι μερικά μόνο από τα ζητήματα που μπορούν να αναδειχθούν μετά από το λάθος στην αποστολή.
Στο κείμενο αυτό θα επιχειρηθεί μια συνοπτική καταγραφή των επτά χαρακτηριστικότερων περιστάσεων που έχουν οδηγήσει (ή δύνανται να οδηγήσουν) στη διαπίστωση των παραβάσεων αυτών.
Περίπτωση 1η: Η αναγραφή περιττών πληροφοριών στον φάκελο.
Η πρώτη περίπτωση είναι και η πιο απλή, υπό την έννοια ότι δεν αφορά παρά τις πληροφορίες που πρέπει να αναγράφονται στην εξωτερική πλευρά του ταχυδρομικού αντικειμένου (φακέλου/δέματος). Οι πληροφορίες αυτές, είναι λίγο ή πολύ γνωστές ή αυτονόητες στους περισσότερους, παρ’ όλα αυτά δεν έχουν λείψει οι περιπτώσεις στις οποίες τα πράγματα δεν ήταν τόσο απλά.
Στην απόφαση ΑΠΔΠΧ 36/2010, η Αρχή δέχθηκε την καταγγελία ασφαλισμένου στο ΤΣΜΕΔΕ, ο οποίος διαμαρτυρήθηκε για το γεγονός ότι στον φάκελο που του είχε αποσταλεί από το Ταμείο δεν καταγράφονταν μόνο το ονοματεπώνυμο και η διεύθυνσή του, αλλά και «το επάγγελμα/ειδικότητα και ιδιότητα» αυτού. Το ΤΣΜΕΔΕ δεν δέχθηκε την ύπαρξη σφάλματος, προβάλλοντας τον ισχυρισμό πως τα επίμαχα στοιχεία, δηλαδή το επάγγελμα και η ειδικότητα του ασφαλισμένου «δεν είναι απόρρητα στοιχεία αλλά βρίσκονται διαθέσιμα σε δημόσια προσβάσιμες πηγές (βλ. και “Χρυσό Οδηγό” του ΟΤΕ, μητρώο μελών του ΤΕΕ)». Η Αρχή συντάχθηκε με το Ταμείο και έκρινε πως η αναγραφή των συγκεκριμένων πληροφοριών δεν προσκρούει στις διατάξεις του – τότε ισχύοντος – Ν.2472/1997. Σύμφωνα με την απόφαση, η επικοινωνία μέσω φακέλου αλληλογραφίας, στον οποίο αναγράφονται τα στοιχεία του εκάστοτε παραλήπτη, αποτελεί μορφή επεξεργασίας προσωπικών δεδομένων. Τα απαραίτητα στοιχεία για την επικοινωνία αυτή είναι, αναντίρρητα, το ονοματεπώνυμο και η διεύθυνση του παραλήπτη, χωρίς ωστόσο η αναγραφή του επαγγέλματος/ειδικότητας να «επιφέρει καταρχήν προσβολή προσωπικών δεδομένων ή βλάβη στο υποκείμενο των δεδομένων». Τα πρόσθετα στοιχεία αυτά «δεν είναι απόρρητα στοιχεία ή στοιχεία που ενέχουν ιδιαίτερους κινδύνους για το υποκείμενο των δεδομένων, για την αποφυγή των οποίων θα επιβαλλόταν μεγαλύτερη ασφάλεια», ενώ άλλωστε «από την αποστολή και μόνο του φακέλου» δύνανται να συναχθούν εκ της ιδιότητας του αποστολέα: Από τη στιγμή που αποστολέας είναι το ΤΣΜΕΔΕ είναι μάλλον σαφές πως ο παραλήπτης είναι ασφαλισμένος στο Ταμείο. Όπως θα επισημανθεί στο τέλος του παρόντος κειμένου, η παρατήρηση αυτή της Αρχής έχει τη σημασία της, καθώς θα μπορούσε να βρει πρόσθετες εφαρμογές στις περιπτώσεις εκείνες όπου η αναφορά των στοιχείων του αποστολέα αρκεί για να συναχθούν συμπεράσματα για τον παραλήπτη.
Στην απόφαση ΑΠΔΠΧ 14/2022, η καταγγελία αφορούσε την αναγραφή επί του φακέλου ακόμη περισσότερων πληροφοριών. Σύμφωνα με τον καταγγέλλοντα, ο φάκελος που απεστάλη από Δήμο και παραδόθηκε στον κοινόχρηστο χώρο αλληλογραφίας της πολυκατοικίας όπου διαμένει1 περιελάμβανε, όχι μόνο το όνομα και τη διεύθυνσή του, αλλά και το ΑΦΜ, τη ΔΟΥ και το δελτίο ταυτότητάς του. Η Αρχή διαπίστωσε την παραβίαση τριών εκ των αρχών νομιμότητας του άρθρου 5 ΓΚΠΔ: περιορισμός του σκοπού, ελαχιστοποίηση και ακεραιότητα/εμπιστευτικότητα. Σύμφωνα με την απόφαση, η αποστολή της επιστολής έγινε «κατά τρόπο που δεν πληροί τις προϋποθέσεις της νόμιμης επεξεργασίας που ορίζει ο ΓΚΠΔ». Ειδικότερα, η αναγραφή των δεδομένων επί του φακέλου αποτέλεσε επεξεργασία που έγινε πέραν του επιδιωκόμενου σκοπού, ενώ τα δεδομένα αυτά δεν ήταν «συναφή, πρόσφορα και ανάλογα του σκοπού που εξυπηρετεί η συγκεκριμένη επεξεργασία». Παράλληλα, η αναγραφή των δεδομένων αυτών έδινε τη δυνατότητα παράνομης πρόσβασης τρίτων προσώπων, όπως ενδεικτικά του ταχυδρόμου και των γειτόνων του υποκειμένου. Η Αρχή, αποδεχόμενη τον ισχυρισμό του υπευθύνου επεξεργασίας περί εκ παραδρομής χρήσης λανθασμένης φόρμας εκτύπωσης, απηύθυνε επίπληξη.
Αυστηρότερη υπήρξε η ιταλική αρχή Garante, σε υπόθεση που εξέτασε το 2021. Σύμφωνα με την καταγγελία που δέχθηκε, Τράπεζα απέστειλε ενημερωτικό σημείωμα σε δανειολήπτη, με τον φάκελο να φέρει εξωτερική σημείωση περί μη εξυπηρετούμενου δανείου. Η Garante έκρινε πως η αναφορά αυτή, ανεξαρτήτως του περιεχομένου της επιστολής, είναι ικανή να αποκαλύψει σε τρίτα πρόσωπα πληροφορίες σχετικές με την οικονομική κατάσταση του παραλήπτη, ως εκ τούτου ήταν παράνομη. Σύμφωνα με την απόφασή της η Τράπεζα είχε παραβιάσει την αρχή της νομιμότητας (άρθρο 5 παρ.1α) και της ελαχιστοποίησης (άρθρο 5 παρ.1γ ΓΚΠΔ), παραβάσεις για τις οποίες της επιβλήθηκε διοικητικό πρόστιμο 100.000 ευρώ.
Αντίστοιχη περίπτωση καταγράφεται στην ετήσια έκθεση 2022 της ιρλανδικής αρχής DPC. Στην υπόθεση αυτή, εταιρεία ένδυσης και τροφίμων απέστειλε φάκελο στον καταγγέλλοντα με αναγραφόμενες στο εξωτερικό μέρος αυτού τις λέξεις «Coeliac Mailing». Η αναγραφή αυτή σχετιζόταν με την πάθηση του παραλήπτη, η οποία τον υποχρέωνε να αποφεύγει προϊόντα με γλουτένη. Η ιρλανδική αρχή, κατά τη συνήθη πρακτική της, δεν επέβαλε διοικητικές κυρώσεις στον υπεύθυνο επεξεργασίας, περιοριζόμενη σε σύσταση να μη δημοσιοποιεί δεδομένα υγείας στο εξωτερικό των φακέλων που αποστέλλει.
Στη Γερμανία, κάτοικος του κρατιδίου του Μεκλεμβούργου – Δυτικής Πομερανίας διαμαρτυρήθηκε στην εποπτική αρχή (LfDI M-V) γιατί στον φάκελο που έλαβε από τη δημοτική αρχή για τον υπολογισμό του φόρου δεύτερης κατοικίας δεν αναγράφονταν μόνο τα στοιχεία της αποστέλλουσας αρχής, αλλά και η ειδική σημείωση “Φόρος δεύτερης κατοικίας”. Η αρχή δέχθηκε πως, πράγματι, η πρακτική αυτή συνιστούσε παραβίαση της εμπιστευτικότητας του άρθρου 5 παρ.1στ’ ΓΚΠΔ. Σύμφωνα με τη γνώμη της, όπως αυτή αποτυπώνεται στην Ετήσια Έκθεση 2020, η αναφορά του συγκεκριμένου φόρου στο εξωτερικό του φακέλου ήταν αρκετή για να αποκαλύψει σε τρίτα πρόσωπα, μεταξύ των οποίων ακόμη και οι συγκάτοικοι του υποκειμένου, ποιο ήταν το περιεχόμενο του φακέλου, κατ’ επέκταση δε ποια ήταν η περιουσιακή κατάσταση του παραλήπτη.
Περίπτωση 2η: Η αποκάλυψη πληροφοριών μέσα από το «παράθυρο» του φακέλου.
Η πρακτική αυτή διαφοροποιείται από την προηγηθείσα, ως προς το ότι η αποκάλυψη των προσωπικών δεδομένων του παραλήπτη δεν προκαλείται από την αναγραφή τους επί της εξωτερικής πλευράς του φακέλου, αλλά από τη χρήση φακέλου με ακατάλληλο παράθυρο (θυρίδα) ή από την ακατάλληλη εμφακέλωση του εγγράφου, με αποτέλεσμα προσωπικές πληροφορίες να καθίστανται ορατές σε τρίτους. Είναι η πρακτική που οδήγησε στην παραβίαση δεδομένων των ασφαλισμένων της Aetna.
Σχετική περίπτωση εξέτασε η Αρχή Προστασίας Δεδομένων στην απόφαση ΑΠΔΠΧ 47/2009. Στην υπόθεση αυτή, ο καταγγέλλων διαμαρτυρήθηκε καθώς η υπηρεσία συντάξεων του ΙΚΑ απέστελνε ενημερωτικά σημειώματα συντάξεων με φακέλους, από το παράθυρο των οποίων «γίνονται ορατά προσωπικά δεδομένα αναγραφόμενα στο ενημερωτικό σημείωμα και, ειδικότερα το είδος των αποδοχών των συνταξιούχων, το ποσό της ληφθείσας συντάξεως καθώς και οι ασφαλιστικές τους κρατήσεις, με αποτέλεσμα να έχουν δυνατότητα πρόσβασης στα στοιχεία αυτά παρανόμως και τρίτοι (ταχυδρομικοί υπάλληλοι, γείτονες, κ.λ.π.)». Η Αρχή έκρινε πως τα στοιχεία που εμφανίζονταν δεν ήταν συναφή, πρόσφορα και ανάλογα του σκοπού που εξυπηρετούσε η συγκεκριμένη επεξεργασία και πως το ΙΚΑ θα έπρεπε «να αποστέλλει προς τους ασφαλισμένους του τα ενημερωτικά σημειώματα των συντάξεων τους σε φακέλους στους οποίους θα αναγράφονται μόνον τα στοιχεία που είναι απαραίτητα για την αποστολή του φακέλου στον παραλήπτη δηλαδή ονοματεπώνυμο, διεύθυνση και ταχυδρομικός κώδικας». Παράλληλα, η Αρχή διαπίστωσε την παραβίαση του άρθρου 10 παρ. 1 και 3 του Ν. 2472/1997 περί υποχρέωσης του υπευθύνου επεξεργασίας να τηρεί το απόρρητο της επεξεργασίας και του άρθρου 11 παρ.3 περί ενημέρωσης του υποκειμένου σε περίπτωση ανακοίνωσης των δεδομένων του σε τρίτους.
Υπό το πεδίο εφαρμογής του ΓΚΠΔ, εκδόθηκε η απόφαση ΑΠΔΠΧ 58/2022 επί καταγγελίας για την αποστολή εκκαθαριστικών σημειωμάτων από την ΑΑΔΕ. Σύμφωνα με τον καταγγέλλοντα, το εκκαθαριστικό σημείωμα της φορολογικής του δήλωσης απεστάλη επί δύο συναπτά έτη με φάκελο, ο οποίος επέτρεπε τη διαρροή σε απροσδιόριστο αριθμό ατόμων πληροφοριών ευαίσθητης φύσης, όπως το συνολικό δηλωθέν εισόδημά του. Όπως μάλιστα ειδικότερα επισημαινόταν, το σφάλμα αυτό οφειλόταν είτε στην επιλογή ακατάλληλων προδιαμορφωμένων φακέλων, είτε στην εμφακέλωση του περιεχομένου από την καταγγελλόμενη. Η Αρχή έκρινε πως «η καταγγελλόμενη επεξεργασία της αποστολής των εκκαθαριστικών σημειωμάτων σε φάκελο με παράθυρο/θυρίδα απ’ όπου ήταν ορατά προσωπικά δεδομένα του καταγγέλλοντος, παραπάνω από τα αναγκαία για την αποστολή των φακέλων και την ταυτοποίηση του παραλήπτη» συνιστά παραβίαση εμπιστευτικότητας (απορρήτου), «ήτοι ενδεχόμενη μη εξουσιοδοτημένη αποκάλυψη και λήψη γνώσης από μη εξουσιοδοτημένα πρόσωπα κατά παράβαση της διάταξης του άρθρου 5 παρ. 1, περ. στ΄ ΓΚΠΔ περί υποχρεώσεως τηρήσεως της αρχής της ακεραιότητας και εμπιστευτικότητας των δεδομένων αλλά και τις επιταγές του άρθρου 32 ΓΚΠΔ». Σύμφωνα με την Αρχή, η ΑΑΔΕ όφειλε «σε εκπλήρωση της υποχρέωσης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων, στο πλαίσιο μιας ενδεδειγμένης πολιτικής ασφαλείας […] να διασφαλίζει την τήρηση του απορρήτου/εμπιστευτικότητας τόσο κατά την εκτύπωση και την εμφακέλωση των εκκαθαριστικών σημειωμάτων, όσο και κατά την αποστολή τους στους φορολογούμενους». Δεδομένης της διαπίστωσης περί παραβίασης της ασφάλειας των δεδομένων, η Αρχή εξέτασε και το κατά πόσον η καταγγελλόμενη ικανοποίησε τις απαιτήσεις των άρθρων 33-34 ΓΚΠΔ για γνωστοποίηση παραβίασης στην Αρχή και ανακοίνωση στα υποκείμενα. Όπως προέκυψε, η ΑΑΔΕ είχε από την πρώτη στιγμή υποβάλλει σχετική γνωστοποίηση, ενώ είχε ορθώς παραλείψει την ανακοίνωση, δεδομένου ότι για το περιστατικό είχε ενημερωθεί από το ίδιο το υποκείμενο. Με βάση τα ανωτέρω, η Αρχή επέβαλε διοικητικό πρόστιμο 8.000 ευρώ για την παραβίαση των άρθρων 5 παρ.1στ’ και 32 ΓΚΠΔ.
Συναφής υπόθεση έχει καταγραφεί και στην από 17-1-2023 απόφαση της σουηδικής αρχής IMY, με την οποία επιβλήθηκε διοικητικό πρόστιμο 17.000 ευρώ στην Περιφέρεια της Dalarna. Στην υπόθεση αυτή, η ΙΜΥ έλαβε την καταγγελία υποκειμένου των δεδομένων, σύμφωνα με την οποία η επιστολή που απεστάλη από την καταγγελλόμενη και η οποία αφορούσε τη διενέργεια ιατρικών εξετάσεων αποκάλυπτε, μέσω του παραθύρου του φακέλου, την ιατρική δομή στην οποία έπρεπε το υποκείμενο να προσέλθει. Η σουηδική αρχή, ακολουθώντας το σκεπτικό του ΔΕΕ στην υπόθεση C-184/20, έκρινε πως η έννοια των δεδομένων υγείας πρέπει να ερμηνεύεται ευρέως, ως εκ τούτου έστω και η απλή αναφορά σε κλινική, στην οποία ο παραλήπτης οφείλει να προσέλθει, πρέπει να θεωρείται ως αποκαλύπτουσα δεδομένα υγείας αυτού. Κατά τούτο, η αποστολή φακέλων με ορατά τα στοιχεία της κλινικής καθιστούσε ορατά τα ευαίσθητα προσωπικά δεδομένα των παραληπτών σε τρίτα πρόσωπα, μεταξύ αυτών του ταχυδρόμου, του συνοίκου του υποκειμένου ή του προσώπου που θα λάβει επιστολή που παραδόθηκε σε λάθος διεύθυνση και συνιστούσε παραβίαση του άρθρου 32 ΓΚΠΔ.
Περίπτωση 3η: Η αποστολή σε λανθασμένη διεύθυνση ή η παράδοση σε τρίτο πρόσωπο.
Σε συνέχεια της ως άνω παρατήρησης της ΙΜΥ, τρίτη προβληματική πρακτική αποτελεί η αποστολή φακέλου/δέματος σε λάθος διεύθυνση του παραλήπτη ή σε τρίτο πρόσωπο. Στην πρώτη περίπτωση, ο φάκελος μπορεί να αποστέλλεται στην προηγούμενη διεύθυνση κατοικίας του υποκειμένου των δεδομένων, που έχει όμως πλέον μετακομίσει, ενώ στη δεύτερη περίπτωση η αποστολή εκ παραδρομής γίνεται στην ταχυδρομική διεύθυνση τρίτου προσώπου, τα στοιχεία του οποίου επίσης τηρούνται στα αρχεία του αποστολέα. Στην περίπτωση αυτή θα μπορούσαν να ενταχθούν και περιπτώσεις όπου τα στοιχεία του παραλήπτη είναι ακριβή και ορθά, ωστόσο ο φάκελος/δέμα αφήνεται από τον ταχυδρομικό υπάλληλο σε λάθος διεύθυνση (παρεμφερής αριθμός ή ονομασία οδού) ή παραδίδεται σε πρόσωπο που κατοικεί σε παρακείμενη ιδιοκτησία.
Η περίπτωση αυτή παρουσιάζει ενδιαφέρον, καθώς είναι σαφώς πιο περίπλοκη σε σχέση με τις προηγούμενες. Εν προκειμένω, δεν τίθεται μόνο ζήτημα (μη) ασφαλούς επεξεργασίας των δεδομένων, αλλά υπεισέρχονται και άλλες παράμετροι νομιμότητας, όπως η ακρίβεια των δεδομένων. Υπενθυμίζεται ότι, σύμφωνα με το άρθρο 5 παρ.1δ’ ΓΚΠΔ («ακρίβεια»), ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να επεξεργάζεται δεδομένα, τα οποία «είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται». Κατά συνέπεια, θα μπορούσε να τεθεί ζήτημα παραβίασης και της αρχής της ακρίβειας, όταν το υποκείμενο της επεξεργασίας έχει ενημερώσει για την αλλαγή της ταχυδρομικής του διεύθυνσης, η αλλαγή αυτή όμως δεν έχει καταχωρηθεί σε όλα τα τηρούμενα αρχεία.
Αντίστοιχα, στην περίπτωση όπου η παράδοση σε λάθος διεύθυνση οφείλεται σε λάθος του ταχυδρομικού υπαλλήλου, ενδέχεται να προκύψουν ζητήματα σχετικά με τη συμβατική σχέση μεταξύ υπευθύνου επεξεργασίας και υπηρεσίας ταχυδρομικών μεταφορών. Τις εποπτικές αρχές και τα αρμόδια δικαστήρια έχει επανειλημμένως απασχολήσει η κατανομή των ρόλων, άρα και η απόδοση των ευθυνών, μεταξύ εταιρείας που αποστέλλει και εταιρείας που παραδίδει.
Παράλληλα, στην περίπτωση αυτή εμπλέκονται ενεργά και τρίτα πρόσωπα, οι τελικοί παραλήπτες των φακέλων, τα οποία ενδέχεται απλώς να λαμβάνουν γνώση των προσωπικών πληροφοριών τρίτων προσώπων ή και να αποτελούν οι ίδιοι θύματα μιας σύγχυσης μεταξύ προσώπων με τα ίδια αναγνωριστικά χαρακτηριστικά ή με κοντινές χρονικά παραγγελίες.
Σε όλες αυτές τις περιπτώσεις παράδοσης σε λάθος διεύθυνση, η βλάβη που μπορεί να προκληθεί στο υποκείμενο των δεδομένων είναι σαφώς σημαντική και καθόλου υποθετική: Μπορεί κανείς να σκεφθεί, για παράδειγμα, τις συνέπειες της αποστολής φακέλου με οικονομικές πληροφορίες του παραλήπτη, η οποία γίνεται στην προηγούμενη διεύθυνση κατοικίας του, όπου πλέον διαμένει ο/η εν αντιδικία ευρισκόμενος/η σύζυγος. Ή τις συνέπειες της παράδοσης ενός φακέλου με ιατρικά δεδομένα στην κατοικία των – ανυποψίαστων για την πάθηση του τέκνου τους – γονέων. Στην ίδια κατηγορία, αν και ενδεχομένως ηπιότερη ως προς τις συνέπειες, η παράδοση του φακέλου/δέματος στον γείτονα – άσπονδο φίλο του παραλήπτη.
Μια τέτοια περίπτωση απασχόλησε την ισπανική αρχή AEPD σε απόφαση του έτους 2022, όταν ο υπάλληλος της εταιρείας ταχυμεταφορών παρέδωσε δέμα στον γείτονα του παραλήπτη – καταγγέλλοντα. Η ισπανική αρχή, ελέγχοντας τη σχέση και τους ρόλους των εμπλεκομένων εταιρειών, απέδωσε την ευθύνη στην εταιρεία ταχυμεταφορών, στην οποία και επέβαλε διοικητικό πρόστιμο 70.000 ευρώ για παραβίαση των άρθρων 5 παρ.1στ’ και 32 ΓΚΠΔ. Σε πλήρη αντίθεση με το σκεπτικό αυτό, η βελγική αρχή APD έκρινε πως η παράδοση δέματος στον γείτονα του παραλήπτη λόγω της απουσίας του τελευταίου από την κατοικία του δεν μπορεί να ελεγχθεί με βάση τις απαιτήσεις του Γενικού Κανονισμού. Σύμφωνα με την απόφασή της, η παράδοση αυτή δεν αποτελεί εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα ή μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης, ως εκ τούτου βρίσκεται εκτός πεδίου εφαρμογής του ΓΚΠΔ.
Ειδικές οδηγίες για την αντιμετώπιση της παράδοσης σε λάθος παραλήπτη έχει εκδώσει η ιρλανδική αρχή DPC, με τις οποίες συμβουλεύει τους πολίτες για το πώς πρέπει να ενεργήσουν όταν λαμβάνουν έγχαρτη ή ηλεκτρονική αλληλογραφία που απευθύνεται σε άλλο πρόσωπο. Σύμφωνα με την ιρλανδική αρχή, ο παραλήπτης της αλληλογραφίας οφείλει να ενεργήσει άμεσα, προκειμένου να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων. Στις ενέργειές του αυτές εντάσσονται: α) ο εντοπισμός του υπευθύνου επεξεργασίας και η ενημέρωσή του για το λάθος, β) η αποφυγή ανοίγματος των εγγράφων ή δεμάτων, γ) η συνεννόηση με τον υπεύθυνο επεξεργασίας για το πώς θα παραλάβει το αντικείμενο, δ) η επικοινωνία με την εποπτική αρχή, στην περίπτωση όπου η επικοινωνία με τον υπεύθυνο επεξεργασίας δεν είναι εφικτή, και ε) η αποφυγή αναγνώρισης του υποκειμένου και επικοινωνίας μαζί του, καθώς αυτό συνιστά πρόσθετη επεξεργασία των πληροφοριών. Η τελευταία συμβουλή έχει ενδιαφέρον, καθώς δίδει την εντύπωση, σε συνδυασμό με τις προηγηθείσες, πως να προστατεύσει μάλλον τον υπεύθυνο επεξεργασίας, παρά τα εμπλεκόμενα φυσικά πρόσωπα. Στην πραγματικότητα, είναι αμφίβολο το κατά πόσον η επικοινωνία με τον αληθή παραλήπτη (ή ακόμη και η προώθηση της επιστολής) θα συνιστούσε πράγματι επεξεργασία δεδομένων· η παρότρυνση αυτή, η οποία ενέχει στοιχεία απειλής, μοιάζει μάλλον να αποσκοπεί στη μη ενημέρωση του προσώπου που έχει υποστεί την παραβίαση των δεδομένων του.
Τέλος, αντίστοιχα περιστατικά αναλύονται και στην Ενότητα 6 των Κατευθυντηρίων Γραμμών 1/2021 ΕΣΠ3 (6.1 ΠΕΡΙΠΤΩΣΗ αριθ. 13: Σφάλμα ταχυδρομικής αποστολής, 6.4 ΠΕΡΙΠΤΩΣΗ αριθ. 16: Σφάλμα ταχυδρομικής αποστολής)
Περίπτωση 4η: Η αποστολή δεδομένων τρίτου προσώπου στον σωστό παραλήπτη.
Η πρακτική αυτή έχει παρατηρηθεί σε περιπτώσεις ικανοποίησης αιτημάτων πρόσβασης, όπου ο υπεύθυνος επεξεργασίας εκ παραδρομής αποστέλλει τα δεδομένα άλλου προσώπου. Η περίπτωση συναντάται συχνότερα στην ηλεκτρονική διαβίβαση των δεδομένων, δεν λείπουν όμως και οι περιπτώσεις όπου το λάθος εμφιλοχωρεί κατά την εμφακέλωση των χορηγούμενων δεδομένων.
Ένα τέτοιο περιστατικό εξετάστηκε στην απόφαση ΑΠΔΠΧ 7/2023 της Αρχής Προστασίας Δεδομένων: η καταγγέλλουσα διαμαρτυρήθηκε στην Αρχή διότι ο φάκελος που της απεστάλη από πάροχο υπηρεσιών τηλεφωνίας κατόπιν αιτήματος πρόσβασης περιελάμβανε CD με καταγεγραμμένες τηλεφωνικές συνομιλίες, πλην όμως στις συνομιλίες αυτές δεν ακουγόταν η ίδια, αλλά τρίτο πρόσωπο. Το λάθος αυτό οδήγησε την Αρχή στη διαπίστωση της παραβίασης των άρθρων 15 και 33 ΓΚΠΔ και στην επιβολή διοικητικού προστίμου 40.000 ευρώ.
Περίπτωση 5η: Η χρήση φακέλου διαφανούς ή με ελαττωματική κόλλα
Πρόβλημα ως προς την τήρηση των απαιτήσεων νομιμότητας ενδέχεται να προκύψει και στην περίπτωση όπου η αποστολή γίνεται προς τον σωστό παραλήπτη, ο φάκελος όμως που χρησιμοποιείται δεν διασφαλίζει την εμπιστευτικότητα (ή και διαθεσιμότητα) των δεδομένων. Αυτό μπορεί να γίνεται είτε επειδή ο φάκελος είναι διαφανής, συνεπώς επιτρέπει την ανάγνωση μέρους του περιεχομένου του χωρίς να ανοιχθεί, είτε επειδή δεν κλείνει με ασφάλεια, με αποτέλεσμα να παραδίδεται ανοικτός.
Η τελευταία περίπτωση μνημονεύεται από την εποπτική αρχή της Θουριγγίας στην Ετήσια Έκθεση 2021. Στην εξετασθείσα υπόθεση, πολίτης έλαβε επιστολή από τη δικαστική αρχή του κρατιδίου, η οποία του επιδόθηκε σε φάκελο που ήταν ήδη ανοικτός. Η εποπτική αρχή επικοινώνησε με τα δικαστήρια και έλεγξε τους φακέλους που χρησιμοποιούνταν, επιβεβαιώνοντας πως αυτοί ήταν πράγματι ελαττωματικοί ως προς το κλείσιμό τους. Για την αποφυγή παρόμοιων περιστατικών στο μέλλον και με δεδομένο πως ο πολίτης ήθελε απλώς να ενημερώσει για το πρόβλημα, χωρίς να θεωρεί πως υπήρξε παραβίαση των δεδομένων του, αποφασίστηκε η ενημέρωση των αρμοδίων υπαλλήλων των δικαστηρίου προκειμένου αυτοί να μεριμνούν για το ασφαλές κλείσιμο των φακέλων με πρόσθετη ταινία.
Περίπτωση 6η: Η απώλεια των δεδομένων.
Χαρακτηριστικότερη περίπτωση απώλειας των δεδομένων είναι η απώλεια φακέλου που περιλαμβάνει έγγραφα με προσωπικά δεδομένα. Η απώλεια αυτή συνιστά καταρχήν παραβίαση της εμπιστευτικότητας των προσωπικών δεδομένων, αφού πιθανολογείται ότι αυτά μπορούν να τεθούν σε γνώση τρίτου προσώπου, αλλά και της διαθεσιμότητας, στην περίπτωση όπου τα απωλεσθέντα έγγραφα ήταν κάτι περισσότερο από ένα απλό αντίγραφο.
Μια τέτοια περίπτωση, αν και εσωτερικού χαρακτήρα καταγράφηκε στην απόφαση της πολωνικής αρχής UODO για την επιβολή διοικητικού προστίμου 80.000 ευρώ σε βάρος Τράπεζας. Η Τράπεζα συνέλεξε από τον καταγγέλλοντα τα αναγκαία έγγραφα για το άνοιγμα λογαριασμού καταθέσεων και εν συνεχεία τα απέστειλε με courier από το τοπικό κατάστημα προς τα κεντρικά. Μετά την πάροδο αρκετών ημερών και αφού ο σχετικός φάκελος δεν είχε παραδοθεί, η Τράπεζα ζήτησε ενημέρωση από την εταιρεία ταχυμεταφορών, για να λάβει την απάντηση πως ο φάκελος αγνοείται. Μετά την ενημέρωσή της αυτή, η Τράπεζα ενημέρωσε (πλημμελώς με βάση τις απαιτήσεις του άρθρου 34 ΓΚΠΔ) τον πελάτη και δεν γνωστοποίησε την παραβίαση στην εποπτική αρχή σύμφωνα με την πρόβλεψη του άρθρου 33. Το πρόστιμο που επιβλήθηκε αφορούσε την παραβίαση των δύο αυτών διατάξεων.
Περίπτωση 7η: Η αναγραφή των στοιχείων του αποστολέα.
Η δυσκολότερη των περιπτώσεων, από πλευράς αξιολόγησης των απαιτήσεων νομιμότητας, είναι εκείνη στην οποία ο φάκελος παραδίδεται στην κατοικία του παραλήπτη χωρίς να έχει εμφιλοχωρήσει οποιαδήποτε από τις προαναφερθείσες πλημμέλειες. Ωστόσο, ο φάκελος αυτός αναγράφει τα στοιχεία του αποστολέα.
Ένας φάκελος στον οποίο αναγράφονται τα στοιχεία παρόχου υπηρεσιών υγείας (κλινική, ιατρός, νοσοκομείο) ή εταιρείας ενημέρωσης οφειλετών/ διαχείρισης απαιτήσεων από δάνεια ή θρησκευτικής οργάνωσης πληροί τις απαιτήσεις νομιμότητας του Γενικού Κανονισμού Προστασίας Δεδομένων;
Θα μπορούσε να υποστηριχθεί, ειδικά σε σχέση με όσα έχουν ήδη κριθεί και αναφερθεί ανωτέρω, πως ένας φάκελος που αποστέλλεται από ιατρό αποκαλύπτει την ύπαρξη ζητημάτων υγείας (βλ. απόφαση σουηδικής αρχής), ενώ αντίστοιχα ο φάκελος της εταιρείας διαχείρισης απαιτήσεων την ύπαρξη δανειακών υποχρεώσεων (βλ. απόφαση Garante). Με την ίδια λογική, από τα στοιχεία του αποστολέα θα μπορούσε κανείς να συνάγει πληροφορίες και συμπεράσματα σχετικά με τις πολιτικές πεποιθήσεις, τα θρησκευτικά ή φιλοσοφικά πιστεύω, τις διατροφικές συνήθειες που ενδέχεται να αποκαλύπτουν θρησκευτικά πιστεύω ή προβλήματα υγείας. Υπενθυμίζεται ότι η αποκάλυψη αυτή δεν έχει την έννοια της αποκάλυψης αληθών πληροφοριών που επιβεβαιωμένα ανταποκρίνονται στην πραγματικότητα. Όπως έχει παρατηρήσει η Ομάδας Εργασίας του Άρθρου 294 και γίνεται παγίως δεκτό, οι πληροφορίες δεν είναι αναγκαίο να είναι αληθείς ή αποδεδειγμένες για να χαρακτηρισθούν ως «δεδομένα προσωπικού χαρακτήρα». Κατά συνέπεια, για την αποκάλυψη προσωπικών δεδομένων δεν απαιτείται η πρόσβαση σε συγκεκριμένες και αποδεδειγμένες πληροφορίες· η εντύπωση και μόνο μπορεί να αρκεί. Για παράδειγμα, η πληροφόρηση των ενοίκων της πολυκατοικίας για την παράδοση επιστολής από εταιρεία διαχείρισης απαιτήσεων μπορεί να οδηγήσει στην παραβίαση των προσωπικών δεδομένων του παραλήπτη, ανεξαρτήτως του περιεχομένου του φακέλου. Βλέποντας την επιστολή, οι ένοικοι σχηματίζουν την εντύπωση πως ο συγκεκριμένος ιδιοκτήτης διατηρεί δανειακές υποχρεώσεις, η εντύπωση αυτή δε είναι ισχυρή ακόμη και αν αντικείμενο της επιστολής είναι η εξόφληση του δανείου.
Η περίπτωση αυτή θα μπορούσε χωρίς αμφιβολία να προκαλέσει πρόβλημα στην περίπτωση αποκάλυψης προσωπικών δεδομένων ειδικών κατηγοριών του άρθρου 9 ΓΚΠΔ, για τα οποία, όπως έχει ήδη αναφερθεί, το ΔΕΕ έχει κρίνει πως πρέπει να ερμηνεύονται ευρέως, λαμβανομένης υπόψιν της δυνατότητας έμμεσης αποκάλυψής τους «μέσω μιας νοητικής διεργασίας συσχετισμού ή επαγωγής».5 Την ίδια διακινδύνευση, ωστόσο, θα μπορούσαμε δεχθούμε πως προκαλεί η αποκάλυψη και των οικονομικού χαρακτήρα δεδομένων, όπως οι ήδη αναφερθείσες περιπτώσεις αποκάλυψης περιουσιακών στοιχείων ή δανειακών οφειλών. Τα δεδομένα αυτά, αν και δεν εντάσσονται στο ειδικό πεδίο προστασίας του άρθρου 9 ΓΚΠΔ, αποτελούν δεδομένα εξαιρετικά προσωπικού χαρακτήρα ή ευαίσθητα δεδομένα υπό την ευρεία και κοινώς νοούμενη έννοια,6 η δε αποκάλυψή τους θα μπορούσε να θέσει σε κίνδυνο τα συμφέροντα και δικαιώματα του υποκειμένου.
- 1.Σύμφωνα με την περίπτωση 3.2 του άρθρου 2 της απόφασης ΕΕΤΤ 710/019 «Καθορισμός των προϋποθέσεων διανομής των ταχυδρομικών αντικειμένων, των πιθανών παρεκκλίσεων και προϋποθέσεων αυτών, καθώς και θέσπισης ειδικών ρυθμίσεων για την κατ’ οίκον διανομή ταχυδρομικών δεμάτων βάρους το πολύ είκοσι (20) χιλιόγραμμων, στο πλαίσιο της παροχής της Καθολικής Ταχυδρομικής Υπηρεσίας» (ΦΕΚ τ.Β’ 1441/14-6-2014): «Σε περιπτώσεις έλλειψης ή μη επαρκούς σήμανσης γραμματοκιβωτίων, ειδικά σε πολυκατοικίες όπου ο πάροχος της ταχυδρομικής υπηρεσίας δεν αναγνωρίζει το γραμματοκιβώτιο του παραλήπτη, ο πάροχος δύναται να επιστρέψει τα απλά ταχυδρομικά αντικείμενα στον αποστολέα ή να τα τοποθετήσει σε, κατά το δυνατόν, ασφαλές σημείο της εισόδου, κατά την κρίση του.»
- 2.Ενδιαφέρον παρουσιάζει και η κρίση της ΑΠΔΠΧ επί του ισχυρισμού της καταγγελλόμενης σχετικά με τις υποχρεώσεις των ιδίων των χρηστών ταχυδρομικών υπηρεσιών για τη διασφάλιση του απορρήτου των επιστολών. Η ΑΑΔΕ ισχυρίστηκε πως το άρθρο 32 του Κτιριοδομικού Κανονισμού (Υ.Α. 3046/304/1989 του Υπουργείου Περιβάλλοντος, Χωροταξίας και Δημοσίων Έργων) προβλέπει την υποχρέωση των χρηστών να λαμβάνουν μέτρα αυτοπροστασίας εγκαθιστώντας γραμματοκιβώτιο με κλειδαριά, μέσα στο οποίο ο διανομέας οφείλει να τοποθετεί την απλή αλληλογραφία. Ο ισχυρισμός αυτός δεν έπεισε την Αρχή, η οποία έκρινε πως η διάταξη αυτή δεν ασκεί επιρροή στις αυτοτελείς υποχρεώσεις του υπευθύνου επεξεργασίας σχετικά με την ασφάλεια της επεξεργασίας. Το άρθρο 32 του Κτιριοδομικού Κανονισμού μνημονεύεται και στην απόφαση ΕΕΤΤ 710/019 περί προϋποθέσεων διανομής ταχυδρομικών αντικειμένων: «Άρθρο 2: 3.2. Η διανομή αυτών πραγματοποιείται στα γραμματοκιβώτια των κατοικιών ή των πολυκατοικιών, τα οποία εγκαθίστανται, σύμφωνα με το άρθρο 32 του Κτιριοδομικού Κανονισμού (υπουργική απόφαση 3046/304 ΦΕΚ Δ΄/59/3−2−1989), υπό την προϋπόθεση εξασφάλισης απρόσκοπτης και ασφαλούς πρόσβασης σε αυτά του εντεταλμένου ταχυδρομικού διανομέα. Οι κάτοχοι των γραμματοκιβωτίων είναι υπεύθυνοι για την εγκατάσταση, τη συντήρηση και τη σωστή σήμανση (αναγραφή ονόματος) των γραμματοκιβωτίων. Σε περιπτώσεις έλλειψης ή μη επαρκούς σήμανσης γραμματοκιβωτίων, ειδικά σε πολυκατοικίες όπου ο πάροχος της ταχυδρομικής υπηρεσίας δεν αναγνωρίζει το γραμματοκιβώτιο του παραλήπτη, ο πάροχος δύναται να επιστρέψει τα απλά ταχυδρομικά αντικείμενα στον αποστολέα ή να τα τοποθετήσει σε, κατά το δυνατόν, ασφαλές σημείο της εισόδου, κατά την κρίση του».
- 3.Κατευθυντήριες γραμμές 01/2021 σχετικά με παραδείγματα γνωστοποίησης παραβιάσεων δεδομένων προσωπικού χαρακτήρα
- 4.ΟΕ29 – Γνώμη 4/2007 σχετικά με την έννοια του όρου ‘δεδομένα προσωπικού χαρακτήρα’, σελ. 7
- 5.C-184/20 – Vyriausioji tarnybinės etikos komisija, σκ. 120επ.
- 6.ΟΕ29 – Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισμού 2016/679, σελ. 11.
Πηγή: Lawspot.gr