Απαραίτητος ο ορισμός Υπευθύνου Προστασίας Δεδομένων, η ενημέρωση των υποκειμένων και τα κατάλληλα τεχνικά και οργανωτικά μέτρα
Με νέα γνωμοδότησή του το Νομικό Συμβούλιο του Κράτους απάντησε σε ερώτημα σχετικά με τα προσωπικά δεδομένα και τη δυνατότητα χορήγησης από τον Ε.Φ.Κ.Α. στοιχείων από το μητρώο συνταξιούχων μηχανικών και εργοληπτών δημοσίων έργων.
Συγκεκριμένα, το ερώτημα του Διοικητή του Ενιαίου Φορέα Κοινωνικής Ασφάλισης αφορούσε στο εάν είναι επιτρεπτή η χορήγηση από τον Ε.Φ.Κ.Α. στην Ένωση Συνταξιούχων Ταμείου Ασφάλισης Μηχανικών και Εργοληπτών Δημοσίων Έργων (ΕΣΤΑΜΕΔΕ) αναλυτικής κατάστασης όλων των συνταξιούχων μηχανικών από την οποία να προκύπτει το ονοματεπώνυμό τους, ο αριθμός μητρώου, η διεύθυνση κατοικίας, ο αριθμός τηλεφώνου και το ηλεκτρονικό ταχυδρομείο (email).
Αξίζει να σημειωθεί ότι, πέραν του Νόμου 2472/1997 για την προστασία δεδομένων, το Νομικό Συμβούλιο του Κράτους έλαβε υπόψη του, προκειμένου να γνωμοδοτήσει επί του ερωτήματος, και τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR).
Σύμφωνα με το ιστορικό της υπόθεσης, η ΕΣΤΑΜΕΔΕ ζήτησε να της χορηγηθεί από τον Ε.Φ.Κ.Α., αρχείο με πλήρη στοιχεία (ονοματεπώνυμο, αριθμό μητρώου, διεύθυνση κατοικίας, αριθμό τηλεφώνου, email), των συνταξιούχων μηχανικών του Ε.Φ.Κ.Α. (πρώην ΤΣΜΕΔΕ), ο αριθμός των οποίων ανέρχεται σε 35.000 με σκοπό να επικοινωνήσουν με αυτούς για να τους ενημερώσουν γενικά για τις δράσεις της Ένωσης και ειδικότερα για τη συμμετοχή τους σε επωφελή ασφαλιστικά προγράμματα υγείας.
Προηγουμένως, ο Ε.Φ.Κ.Α. απευθύνθηκε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για χορήγηση αδείας κατά το άρθρο 7 του Ν.2472/1997.
Σε συνέχεια αυτής η Αρχή απάντησε ότι, από την έναρξη εφαρμογής ταυ Γενικού Κανονισμού για την Προστασία Δεδομένων (25.5.2018) δεν έχουν εφαρμογή οι διατάξεις του άρθρου αυτού, κατά το μέρος που προβλέπουν τη χορήγηση αδείας, και ως εκ τούτου η Αρχή δεν έχει πλέον αρμοδιότητα χορήγησης των αδειών στις περιπτώσεις που προβλέπονται στο εν λόγω άρθρο.
Στη συνέχεια, η Περιφερειακή Διεύθυνση Συντάξεων και Ασφάλισης του Τομέα Μηχανικών & ΕΔΕ με έγγραφό της έκανε γνωστό ότι, υπάρχει η δυνατότητα εξαγωγής και χορήγησης – εφόσον κρίνεται σύννομο – αρχείου, που θα περιλαμβάνει το ονοματεπώνυμο και την ταχυδρομική διεύθυνση των συνταξιούχων, όχι όμως αριθμούς τηλεφώνων και ηλεκτρονικών διευθύνσεων, καθώς τέτοια στοιχεία δεν καταχωρούνται στο μητρώο, επιπλέον, λόγω του μεγάλου όγκου ταυ αρχείου (28.477 εγγραφές ενεργών συνταξιούχων) κρίνεται πρόσφορη για την υπηρεσία η χορήγηση μόνο σε ηλεκτρονική μορφή.
Η γνωμοδότηση του ΝΣΚ
Σε σχέση με το ερώτημα του ΕΦΚΑ, το Νομικό Συμβούλιο του Κράτους γνωμοδότησε ομόφωνα ότι ο Υπεύθυνος Επεξεργασίας Δεδομένων (Διεύθυνση Συντάξεων και Ασφάλισης του Τομέα Μηχανικών και Εργοληπτών Δημοσίων Έργων) οφείλει να διαβιβάσει στην αιτούσα τα αιτούμενα στοιχεία, αφού προηγηθούν, αφενός, ορισμός Υπευθύνου Προστασίας Δεδομένων και από τα δύο μέρη, αφετέρου, ενημέρωση των υποκειμένων των δεδομένων για τον σκοπό της επεξεργασίας αυτών, ληφθούν δε τα απαραίτητα κατά το νόμο τεχνικά και οργανωτικά μέτρα διασφάλισης της ασφάλειας της επεξεργασίας.
Μεταξύ άλλων στη γνωμοδότηση αναφέρεται ότι μεταξύ των αρμοδιοτήτων της Διεύθυνσης Συντάξεων και Ασφάλισης του Τομέα Μηχανικών και Εργοληπτών Δημοσίων Έργων είναι και η διαχείριση του γενικού μητρώου των συνταξιούχων του Ταμείου ως και των ειδικών μητρώων, αναλόγως του είδους της σύνταξης και της ειδικότητας των συνταξιούχων, το οποίο τηρείται σε ηλεκτρονική βάση και περιλαμβάνει μεταξύ άλλων, στοιχεία ταυτοποίησης των συνταξιούχων.
Το μητρώο αυτό αποτελεί με την ευρεία έννοια του όρου δημόσιο έγγραφο και τα στοιχεία που περιέχει και αιτείται η ΕΣΤΑΜΕΔΕ αποτελούν απλά προσωπικά δεδομένα ταυτοποίησης των υποκειμένων.
Ως απλά προσωπικά δεδομένα δεν απαιτούν προηγούμενη διαβούλευση, εκτίμηση αντικτύπου και τις λοιπές ασφαλιστικές δικλείδες που θέτει ο ΓΚΠΔ.
Περαιτέρω, ως νομική βάση (έννομο συμφέρον) για την σκοπούμενη επεξεργασία η ΕΣΤΑΜΕΔΕ επικαλείται την επικοινωνία με τα υποκείμενα-συνταξιούχους, προκειμένου να τα ενημερώσει για τις δράσεις της Ένωσης και τη συμμετοχή τους σε επωφελή ασφαλιστικά προγράμματα υγείας.
Σημειωτέον ότι, σκοπός της ΕΣΤΑΜΕΔΕ σύμφωνα με το καταστατικό της είναι η ανάπτυξη της αλληλεγγύης μεταξύ των μελών της και η βελτίωση της θέσης αυτών ως συνταξιούχων.
Επομένως, η Διεύθυνση Συντάξεων και Ασφάλισης του ΤΣΜΕΔΕ-υπεύθυνος επεξεργασίας, ο οποίος φέρει το βάρος απόδειξης συμμόρφωσης με τις διατάξεις του ΓΚΠΔ(λογοδοσία), οφείλει να διαβιβάσει τα αιτούμενα και μόνο αναγκαία στοιχεία, σε ηλεκτρονική μορφή όπως προτίθεται, αφού προηγουμένως και τα δύο μέρη, Υπηρεσία και ΕΣΤΑΜΕΔΕ λάβουν κατάλληλα τεχνικά και οργανωτικά μέτρα για την διασφάλιση της επεξεργασίας, διορίζοντας και η ΕΣΤΑΜΕΔΕ υπεύθυνο προστασίας δεδομένων και αφού προηγηθεί ενημέρωση των υποκειμένων για το σκοπό της επεξεργασίας.
Δείτε αναλυτικά τη γνωμοδότηση 7/2019 του ΝΣΚ.