Το Συμβούλιο απαντά σε ερώτημα της Ουγγρικής Εποπτικής Αρχής για το κατά πόσον μπορεί αυτή να δίνει εντολή διαγραφής δεδομένων, όταν αυτό δεν έχει ζητηθεί από το υποκείμενο (Γνώμη 39/2021)
Οι διατάξεις και το αίτημα προς το ΕΣΠΔ
Το άρθρο 64 παρ.2 Γενικού Κανονισμού Προστασίας Δεδομένων προβλέπει ότι: «2. Κάθε εποπτική αρχή, ο Πρόεδρος του Συμβουλίου Προστασίας Δεδομένων ή η Επιτροπή μπορεί να ζητήσει την εξέταση οποιουδήποτε ζητήματος γενικής εφαρμογής ή ζητήματος που παράγει αποτελέσματα σε περισσότερα από ένα κράτη μέλη από το Συμβούλιο Προστασίας Δεδομένων, με σκοπό τη έκδοση γνωμοδότησης, ιδίως όταν αρμόδια εποπτική αρχή δεν συμμορφώνεται προς τις υποχρεώσεις περί αμοιβαίας συνδρομής σύμφωνα με το άρθρο 61 ή περί κοινών επιχειρήσεων σύμφωνα με το άρθρο 62». Επί του αιτήματος αυτού, η παρ.3 του ιδίου άρθρου προβλέπει ότι «[…] το Συμβούλιο Προστασίας Δεδομένων εκδίδει γνώμη σχετικά με το αντικείμενο που του υποβάλλεται, εφόσον δεν έχει ήδη εκδώσει γνώμη επί του ίδιου θέματος […]»
Περαιτέρω, μεταξύ των διορθωτικών εξουσιών που αναγνωρίζει στις αρμόδιες εποπτικές αρχές το άρθρο 58 παρ.2 ΓΚΠΔ εντάσσεται και η εξουσία της αρχής «να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19» (περ.ζ’).
Στο πλαίσιο αυτό, η Ουγγρική Αρχή Προστασίας Δεδομένων (NAIH – Nemzeti Adatvédelmi és Információszabadság Hatóság) ρώτησε το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων κατά πόσον το άρθρο 58 παρ.2ζ ΓΚΠΔ μπορεί να αποτελέσει τη νομική βάση για την αυτεπάγγελτη εντολή διαγραφής προσωπικών δεδομένων, που έχουν υποβληθεί παρανόμως σε επεξεργασία, σε περίπτωση όπου δεν έχει υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων.
Η Γνώμη του Συμβουλίου
Το Συμβούλιο δέχεται καταρχήν την ανάγκη έκδοσης γνωμοδότησης επί του υποβληθέντος ερωτήματος. Όπως ειδικότερα παρατηρείται, το ερμηνευτικό ερώτημα που τίθεται αφορά σε «ζήτημα γενικής εφαρμογής» του ΓΚΠΔ, το οποίο θα μπορούσε να οδηγήσει στην παραβίαση του θεμελιώδους δικαιώματος στην προστασία δεδομένων. Τούτο διότι, οι εξουσίες που αποδίδονται με το άρθρο 58 ΓΚΠΔ στις εποπτικές αρχές πρέπει να ερμηνεύονται και να εφαρμόζονται με τρόπο συνεκτικό, προκειμένου να διασφαλίζεται η συνεπής εφαρμογή του Γενικού Κανονισμού, ειδικά με δεδομένο το ότι η άσκηση των εξουσιών αυτών από μια εποπτική αρχή μπορεί να παράγει αποτελέσματα σε περισσότερα του ενός Κράτη Μέλη (πχ. σε διαδικασίες που υπάγονται στον μηχανισμό μιας στάσης).
Περαιτέρω, το ΕΣΠΔ υπογραμμίζει ότι η Γνώμη του περιορίζεται στο ερώτημα που έχει τεθεί, ήτοι στην ερμηνεία της εξουσίας του άρθρου 58 παρ.2ζ, και δεν επεκτείνεται στην αξιολόγηση των υπολοίπων διορθωτικών εξουσιών ή τη σχέση μεταξύ αυτών.
Τούτων δοθέντων, το ΕΣΠΔ εκτιμά πως η απάντηση στο ερώτημα θα προκύψει μέσα από την ερμηνεία των διατάξεων του άρθρου 17 ΓΚΠΔ για τη διαγραφή δεδομένων. Είναι η διαγραφή του άρθρου 17 αποκλειστικά ένα δικαίωμα του υποκειμένου των δεδομένων ή συνιστά και μια αυτοτελή υποχρέωση του υπευθύνου επεξεργασίας;
Θα μπορούσε να υποστηριχθεί, απαντά αρχικώς το Συμβούλιο, πως ισχύει το πρώτο. Ο ίδιος ο τίτλος του άρθρου 17 αναφέρεται σε δικαίωμα, συνεπώς η γραμματική ερμηνεία υποδεικνύει πως δεν υφίσταται υποχρέωση διαγραφής χωρίς την προηγούμενη άσκηση του δικαιώματος από το υποκείμενο.
Υπάρχει όμως και η αντίθετη άποψη, ότι δηλαδή το άρθρο 17 προβλέπει α) ένα ανεξάρτητο δικαίωμα των υποκειμένων, και β) μια ανεξάρτητη υποχρέωση του υπευθύνου επεξεργασίας. Υπό την άποψη αυτή, το άρθρο 17 δεν προϋποθέτει την ανάληψη ενέργειας εκ μέρους του υποκειμένου, αλλά απλώς επισημαίνει πως το υποκείμενο «έχει το δικαίωμα να ζητήσει» τη διαγραφή και ο υπεύθυνος επεξεργασίας «υποχρεούται να διαγράψει» τα δεδομένα, αρκεί να ισχύει ένας από τους έξι λόγους της παραγράφου 1 του άρθρου.
Στους έξι αυτούς λόγους, το ΕΣΠΔ βλέπει και το γιατί η δεύτερη άποψη είναι ορθότερη. Όπως προκύπτει από τη μελέτη των στοιχ. α έως στ της παραγράφου 1, ορισμένα από αυτά αναφέρονται σε περιπτώσεις στις οποίες οι υπεύθυνοι επεξεργασίας πρέπει να εντοπίσουν αυτοβούλως την υποχρέωση διαγραφής, ανεξάρτητα από το αν η υποχρέωση αυτή έχει υποπέσει στην αντίληψη των υποκειμένων. Στην πραγματικότητα μάλιστα, είναι δύσκολο για ένα υποκείμενο να γνωρίζει ότι: α) «τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να τηρηθεί νομική υποχρέωση βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας» (στοιχ. ε΄), β) «τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία» (στοιχ. α΄), ή γ) «τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα» (στοιχ. δ΄).
Ο εντοπισμός των περιστάσεων αυτών αποτελεί ευθύνη των υπευθύνων επεξεργασίας και όχι των υποκειμένων, ενώ άλλωστε συναρτάται με τις αρχές του άρθρου 5 παρ.1α και ε καθώς και τη λογοδοσία.
Παράλληλα και ως προς το σκέλος της άσκησης των διορθωτικών εξουσιών του άρθρου 58, μια ερμηνεία η οποία θα κατέτεινε υπέρ της πρώτης άποψης και θα απαιτούσε την προηγούμενη άσκηση του δικαιώματος διαγραφής, θα περιόριζε την εξουσία που δίνει το άρθρο 58 παρ.2ζ στις εποπτικές αρχές.
Με βάση τα ανωτέρω, το ΕΣΠΔ καταλήγει ότι «το άρθρο 58.2ζ ΓΚΠΔ αποτελεί έγκυρη νομική βάση για μια εποπτική αρχή, προκειμένου αυτή να διατάξει αυτεπαγγέλτως τη διαγραφή προσωπικών δεδομένων, που υποβάλλονται παράνομα σε επεξεργασία, σε περιπτώσεις όπου δεν έχει υποβληθεί σχετικό αίτημα από το υποκείμενο των δεδομένων».
Πηγή: lawspot.gr