Επεξεργασία ευαίσθητων προσωπικών δεδομένων από δικηγόρο και εντολέα στο πλαίσιο δίκης – Αναίρεση αθωωτικής απόφασης
Με την απόφαση 901/2019 του Αρείου Πάγου αναιρέθηκε απόφαση Τριμελούς Εφετείου με την οποία οι κατηγορούμενοι κρίθηκαν ομόφωνα αθώοι για την πράξη της παράβασης του άρθρου 22 παρ. 4 του ν. 2472/1997 (χωρίς δικαίωμα επέμβαση σε αρχείο “ευαίσθητων” δεδομένων προσωπικού χαρακτήρα).
Η υπόθεση αφορά στην χρήση πιστοποιητικού περί άσκησης ποινικής δίωξης από δικηγόρο και εντολέα στο πλαίσιο δίκης, κατά παράβαση των προϋποθέσεων νόμιμης επεξεργασίας, όπως η άδεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (υπό το καθεστώς του καταργηθέντος πλέον Νόμου 2472/97).
Ο Άρειος Πάγος (Τμήμα ΣΤ Ποινικό) έκρινε ότι η απόφαση του Εφετείου έπρεπε να αναιρεθεί, καθώς αφενός μεν δεν διέλαβε σ’αυτήν την ειδική και εμπεριστατωμένη αιτιολογία, προκειμένου να στηρίξει την αθωωτική για τους κατηγορούμενους κρίση του, αφετέρου ερμήνευσε και εφάρμοσε εσφαλμένα τις οικείες ουσιαστικές ποινικές διατάξεις, ενώ η αιτιολογία ήταν ελλιπής, ασαφής και με λογικά κενά.
Μεταξύ άλλων, ο Άρειος Πάγος σημείωσε ότι, κατ’εσφαλμένη εφαρμογή των ανωτέρω διατάξεων των άρθρων 7 παρ. 1 και 2 περ. 3 και 22 παρ. 4 του Ν. 2472/1997, το Εφετείο δέχτηκε ότι επιτρεπόταν η κατά τα άνω χρησιμοποίηση των ευαίσθητων προσωπικών δεδομένων του εγκαλούντος από τους δεύτερο και τρίτο κατηγορούμενους στις προαναφερόμενες δίκες “ως μόνο πρόσφορο μέσον προκειμένου να αποδείξει ενώπιον του εκάστοτε Δικαστηρίου τις ομοιότητες στον τρόπο χειρισμού των υποθέσεων από τον εγκαλούντα”, ενώ η επεξεργασία ευαίσθητων προσωπικών δεδομένων επιτρέπεται κατ’ εξαίρεση, όταν είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου ή πειθαρχικού οργάνου.
Απόσπασμα της απόφασης
Κατά το άρθρο 1 του Ν. 2472/1997 “Προστασία ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα”, όπως αυτός ισχύει μετά τις τροποποιήσεις του με το άρθρο 8 του Ν. 2819/2000 και το άρθρο 34 του Ν. 2915/2001, αντικείμενο αυτού του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής.
Περαιτέρω, κατά το άρθρο 22 παρ. 4 του ίδιου νόμου, “Όποιος χωρίς δικαίωμα επεμβαίνει με οποιονδήποτε τρόπο σε αρχείο δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα ή επιτρέπει στα πρόσωπα αυτά να λάβουν γνώση των εν λόγω δεδομένων ή τα εκμεταλλεύεται με οποιονδήποτε τρόπο, τιμωρείται με φυλάκιση και χρηματική ποινή και αν πρόκειται για ευαίσθητα δεδομένα με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή τουλάχιστον ενός εκατομμυρίου (1.000.000) έως δέκα εκατομμυρίων (10.000.000) δραχμών, αν η πράξη δεν τιμωρείται βαρύτερα από άλλες διατάξεις”, ενώ κατά την παρ. 8 του ίδιου άρθρου “Αν οι πράξεις των παρ.1 έως 5 του παρόντος άρθρου τελέσθηκαν από αμέλεια, επιβάλλεται φυλάκιση έως τριών (3) ετών και χρηματική ποινή”.
Εξάλλου, κατά το άρθρο 2 στοιχ. α’ , β’ , γ’ , δ’ , ε’, ι’ και ια’ του αυτού νόμου για τους σκοπούς αυτού νοούνται ως: α) “Δεδομένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων, β) “Ευαίσθητα δεδομένα”, τα δεδομένα που αφορούν τη φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε ένωση, σωματείο και συνδικαλιστική οργάνωση, την υγεία, την κοινωνική πρόνοια και την ερωτική ζωή, καθώς και τα σχετικά με ποινικές διώξεις ή καταδίκες (με την παρ. 1 του άρθρου 18 του Ν. 3471/2Θ06 και στη συνέχεια με την παρ. 3 του άρθρου 8 του Ν. 3625/2007, ρυθμίστηκαν οι περιπτώσεις, όπου, ειδικά για τα σχετικά με ποινικές διώξεις ή καταδίκες, δύναται να επιτραπεί η δημοσιοποίηση μόνον από την εισαγγελική αρχή) καθώς και στη συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων, γ) “Υποκείμενο των δεδομένων”, το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσότερων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική, δ) “Επεξεργασία δεδομένων προσωπικού χαρακτήρα ” (“επεξεργασία”), κάθε εργασία ή σειρά εργασιών που πραγματοποιείται, από το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζονται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή, ε) “Αρχείο δεδομένων προσωπικού χαρακτήρα” (“αρχείο”), κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια…ζ) “Υπεύθυνος επεξεργασίας”, οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός…. ι) “Αποδέκτης” είναι το φυσικό πρόσωπο ή νομικό πρόσωπο ή δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα, ανεξαρτήτως αν πρόκειται, για τρίτο ή όχι και ια) “Συγκατάθεση” του υποκειμένου των δεδομένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή και εν πλήρη επιγνώσει, και με την οποία, το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Περαιτέρω, κατά το άρθρο 3 παρ. 1 του Ν 2472/1997 οι διατάξεις αυτού “εφαρμόζονται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία, καθώς και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο”. Τέλος, στο άρθρο 7 του ίδιου νόμου ορίζεται ότι “1. Απαγορεύεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων. 2. Κατ’εξαίρεση επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων δεδομένων, καθώς και η ίδρυση και λειτουργία σχετικού αρχείου, ύστερα από άδεια της Αρχής, όταν συντρέχουν μία ή περισσότερες από τις ακόλουθες προϋποθέσεις : α)…β)…γ) Η επεξεργασία αφορά δεδομένα που δημοσιοποιεί το ίδιο το υποκείμενο ή είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου ή πειθαρχικού οργάνου (όπως αντικαταστάθηκε με την παρ. 2 του άρθρου 34 του ν. 2915/2001), δ)…3. Η Αρχή χορηγεί άδεια συλλογής και επεξεργασίας ευαίσθητων δεδομένων, καθώς και άδεια ιδρύσεως και λειτουργίας σχετικού αρχείου, ύστερα από αίτηση του υπεύθυνου επεξεργασίας.
Προϋπόθεση για τη νόμιμη εφαρμογή της παραπάνω διάταξης είναι ότι τα δεδομένα, των οποίων ζητείται η χορήγηση ή για τα οποία πρόκειται η χρήση, πρέπει να είναι απολύτως αναγκαία και πρόσφορα για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου (αρχή της αναγκαιότητας) και δη ενόψει της συγκεκριμένης δίκης που εκκρεμεί. Η αναγκαιότητα δε υφίσταται όταν ο επιδιωκόμενος σκοπός δεν μπορεί να επιτευχθεί με άλλα ηπιότερα μέσα. Τα δεδομένα, επίσης, δεν πρέπει να είναι περισσότερα από όσα είναι απολύτως απαραίτητα για την υπεράσπιση του δικαιώματος (αρχή της αναλογικότητας).
Εξάλλου, κατά το άρθρο 7 Α παρ. 1 περιπτ. ε’ του ως άνω νόμου, ως αντικαταστάθηκε τελικά με το άρθρο 23 παρ. 1 του ν. 3471/2006, “Ο υπεύθυνος επεξεργασίας απαλλάσσεται από την υποχρέωση γνωστοποίησης του άρθρου 6 και από την υποχρέωση λήψης άδειας του άρθρου 7 του παρόντος νόμου στις ακόλουθες περιπτώσεις : …ε) Όταν η επεξεργασία γίνεται από δικηγόρους, συμβολαιογράφους, άμισθους υποθηκοφύλακες και δικαστικούς επιμελητές ή εταιρείες των προσώπων αυτών και αφορά στην παροχή νομικών υπηρεσιών προς πελάτες τους, εφόσον ο υπεύθυνος επεξεργασίας και τα μέλη των εταιρειών δεσμεύονται από υποχρέωση απορρήτου που προβλέπει νόμος και τα δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους, εκτός από τις περιπτώσεις που αυτό είναι αναγκαίο και συνδέεται άμεσα με την εκπλήρωση εντολής του πελάτη”.
Από τα παραπάνω προκύπτει: Α) Ότι το πιστοποιητικό που εκδίδει η αρμόδια εισαγγελία πρωτοδικών, κατόπιν αιτήσεως του εγκαλούντος, περί ασκήσεως ποινικής διώξεως σε βάρος του εγκαλούμενου και της πορείας αυτής, αφορά ευαίσθητα προσωπικά δεδομένα του τελευταίου. Η χορήγηση του εν λόγω πιστοποιητικού στον εγκαλούντα αποτελεί επέμβαση στα αρχεία της εισαγγελίας, τα οποία ως διαρθρωμένα σύνολα εγγράφων αποτελούν “αρχεία” κατά την έννοια του νόμου. Το πιστοποιητικό χορηγείται, προκειμένου ο εγκαλών και αιτών να το χρησιμοποιήσει μόνο στο πλαίσιο της μεταξύ αυτού και του εγκαλούμενου διαφοράς. Η περαιτέρω χρήση του εν λόγω πιστοποιητικού για διαφορετικό σκοπό από αυτόν για τον οποίο και μόνο αυτό χορηγήθηκε, ήτοι παράδοση αυτού σε τρίτον, χωρίς να υφίσταται λόγος εξαίρεσης της εν λόγω επεξεργασίας, συνιστά μη νόμιμη επεξεργασία του εν λόγω ευαίσθητου προσωπικού δεδομένου. Η εν συνεχεία χρησιμοποίηση του πιστοποιητικού από τον τρίτο, χωρίς δικαίωμα και χωρίς να υφίσταται λόγος εξαίρεσης της εν λόγω επεξεργασίας, συνιστά παράνομη επέμβαση σε αρχείο που πλέον δημιούργησε ο τρίτος. Αντίθετη παραδοχή θα οδηγούσε στο αποκρουστέο αποτέλεσμα της νομιμοποίησης της ανεξέλεγκτης επεξεργασίας ευαίσθητων προσωπικών δεδομένων, τα οποία αποκτώνται μεν αρχικώς νομίμως στην συνέχεια όμως παραδίδονται σε τρίτους χωρίς οι τελευταίοι να μπορούν να ελεγχθούν για τυχόν, κατά παράβαση των διατάξεων του νόμου 2472/1997, χρήση τους (πρβλ. ΑΠ 1520/2017 Πολιτική) και
Β) Ότι οι κυρώσεις που προβλέπονται στο Ν. 2472/1997, ενόψει της ιδιάζουσας βαρύτητάς τους, προβλέπονται όχι γενικώς και αορίστως για κάθε παράβαση των διατάξεών του, αλλά μόνο για συγκεκριμένες ειδικά περιγραφόμενες σοβαρές παραβάσεις.
Με εξαίρεση δε τις περιπτώσεις της παρ. 5 του άρθρου 22 , η οποία ποινικοποιεί τις παραβάσεις συγκεκριμένων αποφάσεων της Αρχής προσωπικών δεδομένων, το κοινό συνδετικό γνώρισμα των ειδικών ποινικών προβλέψεων του άρθρου 22 του Ν. 2472/1997 και εκείνο που προσδίδει βαρύτητα στις σχετικές πράξεις είναι η αναφορά τους στην τήρηση “αρχείων προσωπικών δεδομένων”. Από τη διατύπωση δε της παραπάνω διάταξης καθίσταται σαφές ότι το αδίκημα του άρθρου 22 παρ. 4 του Ν. 2472/1997 είναι ένα υπαλλακτικώς μικτό έγκλημα και μόνο στην πρώτη μορφή τέλεσής του τίθεται ως προϋπόθεση η πράξη της επέμβασης σε αρχείο. Στις υπόλοιπες μορφές τέλεσης δεν τίθεται ως προϋπόθεση να υφίσταται ή να έχει προηγηθεί επέμβαση σε αρχείο χωρίς δικαίωμα.
Δείτε αναλυτικά την απόφαση 901/2019 του Αρείου Πάγου