Ανδρέου ηλεκτρονικές απάτες

Το δικαίωμα πρόσβασης στην ταυτότητα των υπαλλήλων του υπευθύνου επεξεργασίας (ΔΕΕ υπόθεση C-579/21 – Pankki S.)

Δημοσιεύθηκαν στις 15-12-2022 οι Προτάσεις του Γενικού Εισαγγελέα επί δύο εκ των αιτήσεων προδικαστικής απόφασης που αφορούν στην ερμηνεία του δικαιώματος πρόσβασης του άρθρου 15 Γενικού Κανονισμού Προστασίας Δεδομένων.

Πρόκειται για τις υποθέσεις C-579/21 (Pankki S) και C-487/21 (Österreichische Datenschutzbehörde and CRIF), στις οποίες ζητείται από το Δικαστήριο του Λουξεμβούργου να ερμηνεύσει το δικαίωμα πρόσβασης, όπως αυτό ρυθμίζεται με το άρθρο 15 ΓΚΠΔ.

Με την πρώτη εκ των υποθέσεων αυτών (Pankki S.), το Δικαστήριο καλείται να κρίνει επί της δυνατότητας του υποκειμένου να λαμβάνει γνώση της ταυτότητας υπαλλήλων του υπευθύνου επεξεργασίας, στην περίπτωση όπου υποψιάζεται πως αυτοί ενήργησαν παρανόμως.

Το ιστορικό της υπόθεσης

Ο J. M. εργαζόταν ως υπάλληλος στη φινλανδική τράπεζα Pankki S, της οποίας ετύγχανε και πελάτης. Όπως υποστήριξε, το 2014 πληροφορήθηκε ότι κατά το χρονικό διάστημα από την 1η Νοεμβρίου έως την 31η Δεκεμβρίου 2013, στο οποίο εργαζόταν στην τράπεζα, είχαν ελεγχθεί και τα δικά του δεδομένα πελάτη. Ο J. M. υποψιάστηκε ότι οι λόγοι του ελέγχου των δεδομένων του δεν ήταν απολύτως σύννομοι, γι’ αυτό και ζήτησε από την τράπεζα να του παράσχει πληροφορίες σχετικά με την ταυτότητα των προσώπων που είχαν επεξεργαστεί τα δικά του δεδομένα πελάτη, καθώς και να τον ενημερώσει σχετικά με τον σκοπό της επεξεργασίας των εν λόγω δεδομένων.

Εν τω μεταξύ, ο J. M. απολύθηκε από την τράπεζα. Θεμελίωσε το ανωτέρω αίτημά του, μεταξύ άλλων, στη βούλησή του να διευκρινίσει τους λόγους της απολύσεώς του.

Με την απάντησή της προς τον J. M., η τράπεζα αρνήθηκε να παράσχει πληροφορίες σχετικά με τα ονόματα των υπαλλήλων που είχαν επεξεργαστεί τα προσωπικά δεδομένα του.

Κατά την τράπεζα, το δικαίωμα ελέγχου των ιδίων δεδομένων που απορρέει από το άρθρο 15 ΓΚΠΔ δεν ισχύει για τα δεδομένα του αρχείου καταγραφής ενεργειών του συστήματος επεξεργασίας δεδομένων της τράπεζας. Οι ζητηθείσες πληροφορίες δεν αποτελούν δεδομένα προσωπικού χαρακτήρα του πελάτη, αλλά του υπαλλήλου που επεξεργάστηκε τα δεδομένα.

Στην απάντησή της προς τον J. M., η τράπεζα, ανακοίνωσε ότι θα χορηγούσε περαιτέρω επεξηγήσεις ως προς τα δεδομένα του αρχείου καταγραφής ενεργειών προκειμένου να μην υπάρχουν παρανοήσεις.

Σύμφωνα με τις εν λόγω επεξηγήσεις, μετά από εσωτερική επιθεώρηση που διενεργήθηκε, προέκυψε ότι κατά το ζητηθέν χρονικό διάστημα τέσσερις υπάλληλοι της τράπεζας είχαν επεξεργαστεί τα δεδομένα του J. M. και η επεξεργασία αυτή σχετιζόταν με την επεξεργασία των δεδομένων άλλου πελάτη της τράπεζας, με τον οποίον ο J. M συνδεόταν στο πλαίσιο χειρισμού της υποθέσεώς του. Από τα δεδομένα του άλλου πελάτη προέκυψε ότι ένα πρόσωπο, ονόματι J. M. είχε ενοχική σχέση με αυτόν ως οφειλέτης. Δεδομένου ότι κατά το ίδιο χρονικό διάστημα, ο J. M. ήταν ο υπεύθυνος σύμβουλος πελάτη της τράπεζας για τον συγκεκριμένο πελάτη, η τράπεζα έπρεπε να διευκρινίσει αν ο επίμαχος οφειλέτης ήταν ο J. M. και αν, ως εκ τούτου, υπήρχε ενδεχομένως ανεπίτρεπτη σύγκρουση συμφερόντων.

Κατά την τράπεζα, προκειμένου να διαλευκανθεί η υπόθεση απαιτήθηκε να υποβληθούν σε επεξεργασία και τα δεδομένα του J. M. και κάθε υπάλληλος της τράπεζας που είχε επεξεργαστεί τα εν λόγω δεδομένα υπέβαλε ενώπιον της εσωτερικής επιθεωρήσεως δήλωση αναφορικά με τους λόγους της επεξεργασίας των δεδομένων στην οποία είχε προβεί. Επιπλέον, η τράπεζα δήλωσε ότι η εν λόγω επεξεργασία των δεδομένων που έλαβε χώρα το 2013 δεν σχετιζόταν με οποιαδήποτε υποψία εκ μέρους της για την ύπαρξη παράνομης συμπεριφοράς του J. M.

Ο J. M. απευθύνθηκε στη φινλανδική εποπτική αρχή και της ζήτησε να δώσει εντολή προς την τράπεζα να παράσχει τις αιτηθείσες πληροφορίες. Κατά την άποψη του J. M., κάθε πρόσωπο έχει δικαίωμα πρόσβασης στις υποθέσεις και τις πληροφορίες που το αφορούν. Οι πληροφορίες που σχετίζονται με την επεξεργασία των δεδομένων πελάτη δεν αποτελούν άμεσα ίδια δεδομένα ενός προσώπου, αλλά συνδέονται ευθέως με τη νόμιμη επεξεργασία και τη διασφάλιση των δεδομένων αυτού. Αν το υποκείμενο των δεδομένων δεν δικαιούται να λάβει τις αντίστοιχες πληροφορίες, δεν διαθέτει ουσιαστικά κανένα πραγματικό μέσο να ελέγξει αν τα δεδομένα που το αφορούν έχουν υποστεί νόμιμη επεξεργασία.

Το αίτημά του δεν έγινε δεκτό από την αρχή, η οποία έκρινε ότι η αίτηση του J. M. συνιστούσε στην πραγματικότητα αίτημα πρόσβασης στα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών, ενώ σύμφωνα με τη «νομολογία» της αρχής, τα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών δεν αποτελούν δεδομένα που αφορούν τους ίδιους τους πελάτες, αλλά δεδομένα που αφορούν εκείνους τους εργαζομένους που έχουν επεξεργαστεί τα δεδομένα πελάτη.

Ο αιτών προσέβαλε την απόφαση της αρχής ενώπιον του Διοικητικού Πρωτοδικείου Ανατολικής Φινλανδίας, ζητώντας την ακύρωσή της, με το δικαστήριο να ζητά τη συνδρομή του ΔΕΕ επί των ζητημάτων ερμηνείας του άρθρου 15 ΓΚΠΔ που είχαν τεθεί υπόψιν του.

Το προδικαστικό αίτημα

Κατά το αιτούν δικαστήριο, η κρινόμενη διαφορά αφορά την ερμηνεία του όρου «δεδομένα προσωπικού χαρακτήρα» κατά την έννοια του άρθρου 4, σημείο 1, ΓΚΠΔ και το προβλεπόμενο στο άρθρο 15, παράγραφος 1, δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα προσωπικά δεδομένα που το αφορούν, τα οποία έχουν συλλεγεί από τον υπεύθυνο επεξεργασίας.

Το υποκείμενο των δεδομένων έχει σύμφωνα με το άρθρο 15 το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και τον σκοπό της επεξεργασίας, τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, καθώς και τους αποδέκτες ή τις κατηγορίες αποδεκτών. Δεν προκύπτει ωστόσο με σαφήνεια βάσει του εν λόγω άρθρου, αν οι πληροφορίες που συλλέγει ο υπεύθυνος επεξεργασίας στο πλαίσιο της υποχρεώσεώς του σύμφωνα με το άρθρο 24, παράγραφος 1 ΓΚΠΔ, από τις οποίες προκύπτουν η ταυτότητα των προσώπων που έχουν επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων και τα χρονικά σημεία της εν λόγω επεξεργασίας, πρέπει να θεωρηθούν ως πληροφορίες από τις αναφερόμενες στο άρθρο 15, παράγραφος 1, στις οποίες το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης ή αποκλειστικώς ως δεδομένα προσωπικού χαρακτήρα των προσώπων που έχουν επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα στα οποία το υποκείμενο των δεδομένων δεν έχει δικαίωμα πρόσβασης.

Στην παρούσα διαφορά τίθεται το ζήτημα αν ο J. M. έχει πράγματι τη δυνατότητα να βεβαιωθεί για τη νομιμότητα της επεξεργασίας των δεδομένων του. Τα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών και η καταχώρισή τους περιέχουν ταυτόχρονα πληροφορίες σχετικά με τον έλεγχο των δεδομένων προσωπικού χαρακτήρα που έχουν υποβληθεί σε επεξεργασία (παράγοντας περιεχομένου) και η χρήση τους είναι πιθανόν να θίγει τα δικαιώματά του που απορρέουν από την προστασία της ιδιωτικής ζωής (στοιχεία αντικτύπου).

Κατά τούτο, το φινλανδικό δικαστήριο υπέβαλε προς το ΔΕΕ τα ακόλουθα προδικαστικά ερωτήματα:

1. Έχει το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ, σε συνδυασμό με τον όρο «δεδομένα προσωπικού χαρακτήρα» κατά την έννοια του άρθρου 4, σημείο 1 ΓΚΠΔ, την έννοια ότι οι πληροφορίες που συλλέγονται από τον υπεύθυνο επεξεργασίας, από τις οποίες προκύπτει ποιος επεξεργάστηκε τα δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, πότε τα επεξεργάστηκε και για ποιον σκοπό, δεν αποτελούν πληροφορίες στις οποίες έχει δικαίωμα πρόσβασης το υποκείμενο των δεδομένων, ιδίως επειδή πρόκειται για δεδομένα που αφορούν εργαζομένους του υπεύθυνου επεξεργασίας;

2. Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα και εφόσον κριθεί κατά συνέπεια ότι το υποκείμενο των δεδομένων δεν έχει δικαίωμα πρόσβασης στις προαναφερθείσες πληροφορίες, επειδή δεν αποτελούν «δεδομένα προσωπικού χαρακτήρα» αυτού, πρέπει, εν προκειμένω, να ληφθούν επίσης υπόψη οι πληροφορίες στις οποίες το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης σύμφωνα με το άρθρο 15, παράγραφος 1, στοιχεία [α΄ έως η΄]:

α. Πώς πρέπει να ερμηνευθεί ο σκοπός της επεξεργασίας κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο α΄, λαμβανομένης υπόψη της εκτάσεως του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων, μπορεί δηλαδή ο σκοπός της επεξεργασίας να δικαιολογήσει δικαίωμα πρόσβασης στα δεδομένα του αρχείου καταγραφής ενεργειών των χρηστών, τα οποία έχουν συλλεγεί από τον υπεύθυνο επεξεργασίας, όπως για παράδειγμα σε πληροφορίες σχετικές με δεδομένα προσωπικού χαρακτήρα εκείνων που προβαίνουν στην επεξεργασία, το χρονικό σημείο καθώς και τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα;

β. Μπορούν τα πρόσωπα που έχουν επεξεργαστεί τα δεδομένα πελάτη του J. M. να θεωρηθούν στο πλαίσιο αυτό, βάσει ορισμένων κριτηρίων, ως αποδέκτες των δεδομένων προσωπικού χαρακτήρα κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο γ΄, του Γενικού Κανονισμού για την Προστασία Δεδομένων, για τους οποίους το υποκείμενο των δεδομένων θα δικαιούτο να λάβει πληροφορίες;

3. Έχει σημασία στο πλαίσιο της διαφοράς το αν πρόκειται για τράπεζα, η οποία ασκεί νομοθετικά ρυθμιζόμενη δραστηριότητα, ή το γεγονός ότι ο J. M. ήταν ταυτόχρονα υπάλληλος και πελάτης της;

4. Έχει σημασία για την εκτίμηση των ανωτέρω υποβληθέντων ερωτημάτων το γεγονός ότι τα δεδομένα του J. M. είχαν υποστεί επεξεργασία πριν από την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων;

Οι Προτάσεις του Γενικού Εισαγγελέα

Ο Γενικός Εισαγγελέας του ΔΕΕ Manuel Campos Sánchez-Bordona αφιέρωσε το μεγαλύτερο μέρος των Προτάσεών του στα δύο πρώτα ερωτήματα, καθώς τα δύο τελευταία είναι μάλλον ήσσονος σημασίας.

Επί των δύο πρώτων ερωτημάτων, οι Προτάσεις χωρίζονται σε τρία μέρη.

Στο πρώτο μέρος, ο Γ.Ε. επιχειρεί να απαντήσει στο γενικό ερώτημα, μολονότι αυτό δεν φαίνεται να έχει τεθεί από το αιτούν δικαστήριο, αν το υποκείμενο έχει το δικαίωμα να πληροφορείται την ταυτότητα των υπαλλήλων του υπευθύνου επεξεργασίας στο πλαίσιο άσκησης δικαιώματος πρόσβασης.

Σύμφωνα με τις Προτάσεις, οι συγκεκριμένες πληροφορίες αφορούν μια λεπτομέρεια των πράξεων επεξεργασίας και όχι τα καθαυτό δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ. Οι πληροφορίες που μπορεί το υποκείμενο των δεδομένων να λαμβάνει είναι αυτές που περιλαμβάνονται στα σημεία α’ έως η’ της παραγράφου 1 του άρθρου 15 και δεν πρέπει να συγχέονται με τα προσωπικά δεδομένα του υποκειμένου, για τα οποία η ίδια διάταξη δίνει το δικαίωμα στην «ενημέρωση».

Κατά τούτο, το αν ο αιτών έχει το δικαίωμα να πληροφορηθεί την ταυτότητα των υπαλλήλων της τράπεζας θα πρέπει να κριθεί με βάση το αν η πληροφορία αυτή εντάσσεται στις πληροφορίες των στοιχείων α΄ έως η’ και όχι στη βάση ενημέρωσης ως προς τα προσωπικά δεδομένα του που τυγχάνουν επεξεργασίας. Κατά τη γνώμη του Γενικού Εισαγγελέα, «η ταυτότητα των υπαλλήλων που αναζήτησαν πληροφορίες στα δεδομένα του J. M. δεν συνιστά ‘δεδομένο προσωπικού χαρακτήρα’ που αφορά τον ίδιο».

Στο δεύτερο μέρος, ο Γενικός Εισαγγελέας εξετάζει κατά πόσον η ταυτότητα των υπαλλήλων θα μπορούσε να αποτελεί πληροφορία σχετική με τους αποδέκτες των δεδομένων, κατά το στοιχείο γ’ του άρθρου 15 παρ.1. Και στην περίπτωση αυτή, ο Γενικός Εισαγγελέας είναι αρνητικός.

Σύμφωνα με τις Προτάσεις του, μια ερμηνεία της διάταξης, σύμφωνα με την οποία, ως αποδέκτης νοείται και ο κάθε υπάλληλος του υπευθύνου επεξεργασίας, εφόσον αυτός έχει αναζητήσει πληροφορίες στα προσωπικά δεδομένα «εξ ονόματος και για λογαριασμό του νομικού προσώπου» είναι επιφανειακή και λανθασμένη.

Ειδικότερα:

«63. Υπό το πρίσμα των ως άνω παραδοχών, εκτιμώ, όμως, ότι η έννοια του αποδέκτη δεν περιλαμβάνει τους υπαλλήλους νομικού προσώπου οι οποίοι, κάνοντας χρήση του συστήματος πληροφορικής του νομικού προσώπου, αναζητούν πληροφορίες στα δεδομένα προσωπικού χαρακτήρα πελάτη, κατ’ εντολή των διευθυντικών οργάνων του νομικού προσώπου. Όταν οι εν λόγω υπάλληλοι ενεργούν υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας δεν αποκτούν, εκ του λόγου αυτού και μόνον, την ιδιότητα «αποδεκτών» των δεδομένων.

64. Εντούτοις, ενδέχεται ένας υπάλληλος να παραβεί τις διαδικασίες που έχει θεσπίσει ο υπεύθυνος επεξεργασίας και, με δική του πρωτοβουλία, να αποκτήσει πρόσβαση, με μη σύννομο τρόπο, στα δεδομένα πελατών ή άλλων υπαλλήλων. Εν τοιαύτη περιπτώσει, ο υπάλληλος που παρέβη τις διαδικασίες δεν θα έχει ενεργήσει για λογαριασμό και εξ ονόματος του υπευθύνου επεξεργασίας.

65. Στο μέτρο αυτό, ο υπάλληλος που παρέβη τις διαδικασίες θα μπορούσε να χαρακτηρισθεί «αποδέκτης» στον οποίο «κοινοποιήθηκαν» (μεταφορικώς), μολονότι με δική του πρωτοβουλία και, συνεπώς, παρανόμως, δεδομένα προσωπικού χαρακτήρα του υποκειμένου των δεδομένων , ή ακόμη (αυτόνομος) υπεύθυνος επεξεργασίας.

66. Από την έκθεση των πραγματικών περιστατικών στη διάταξη περί παραπομπής και τα επιχειρήματα που προέβαλε η Pankki κατά την επ’ ακροατηρίου συζήτηση προκύπτει ότι η εν λόγω οντότητα εξουσιοδότησε τους υπαλλήλους τους να αναζητήσουν πληροφορίες, υπό την ευθύνη της, στα δεδομένα προσωπικού χαρακτήρα του J. M. Επομένως, οι συγκεκριμένοι υπάλληλοι ακολούθησαν τις εντολές και ενήργησαν για λογαριασμό του υπευθύνου επεξεργασίας. Ως εκ τούτου, δεν μπορούν να χαρακτηρισθούν αποδέκτες κατά την έννοια του άρθρου 15, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ.»

Ο Γ.Ε. δέχεται ότι υπάρχουν περιπτώσεις όπου το υποκείμενο των δεδομένων «μπορεί να διατηρεί αμφιβολίες σχετικά με τη νομιμότητα της παρέμβασης συγκεκριμένων προσώπων στη διαχείριση της επεξεργασίας των δεδομένων που το αφορούν για λογαριασμό του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία και υπό την εποπτεία αυτών», δεν δέχεται όμως ότι αυτό του δίνει το δικαίωμα να αποκτά άμεση πρόσβαση στην ταυτότητα των υπαλλήλων, την οποία θεωρεί ως πληροφορία με ευαίσθητο χαρακτήρα. Παράλληλα, επισημαίνει ότι μια τέτοια πρόσβαση θα μπορούσε να εκθέτει τους υπαλλήλους σε απόπειρες άσκησης πιέσεων και επιρροής.

Για την αντιμετώπιση του ζητήματος και εξισορρόπηση των συγκρουόμενων δικαιωμάτων, ο Γ.Ε. προτείνει την κατά περίπτωση επίλυση του ζητήματος από την αρμόδια εποπτική αρχή, στην οποία μπορεί να προσφεύγει το υποκείμενο όταν διατηρεί αμφιβολίες ως προς τη νομιμότητα των ενεργειών των υπαλλήλων του υπευθύνου επεξεργασίας.

Στο τρίτο μέρος, ο Γενικός Εισαγγελέας εξετάζει την ειδικότερη περίπτωση της πρόσβασης του υποκειμένου, όχι γενικώς στην ταυτότητα των υπαλλήλων, αλλά ειδικώς στις πληροφορίες που τηρούνται από τον υπεύθυνο επεξεργασίας, μέσα από αρχεία ή καταχωρίσεις πράξεων. Και στην περίπτωση αυτή, η οποία αποτελεί τον κύριο προβληματισμό του αιτούντος δικαστηρίου, ο Γ.Ε. είναι αρνητικός.

Σύμφωνα με τις Προτάσεις του, οι πληροφορίες σχετικά με τους υπαλλήλους που αποκτούν πρόσβαση στα αρχεία του υπευθύνου επεξεργασίας τηρούνται προς εκπλήρωση των υποχρεώσεων των άρθρων 24 και 25 ΓΚΠΔ. Η γνώση των περιστάσεων υπό τις οποίες διενεργείται η επεξεργασία των δεδομένων, μια εκ των οποίων είναι και η ταυτότητα των προσώπων που αναζητούν πληροφορίες πελατών, αποτελεί προνόμιο της εποπτικής αρχής, ενώ «καμία διάταξη του ΓΚΠΔ δεν επιβάλλει να γνωστοποιούνται στον πελάτη οι εν λόγω αναφορές στην ταυτότητα των υπαλλήλων οι οποίες περιέχονται στα εσωτερικά αρχεία των οντοτήτων, χάρη στα οποία οι οντότητες μπορούν να γνωρίζουν (και, ενδεχομένως, να θέτουν στη διάθεση της εποπτικής αρχής) τα στοιχεία του προσώπου που εξέτασε τα δεδομένα προσωπικού χαρακτήρα πελάτη και τον χρόνο διενέργειας της εν λόγω εξέτασης».

Το πλήρες κείμενο των Προτάσεων είναι διαθέσιμο στο Curia.

Πηγή: lawspot.gr