Μια ενδιαφέρουσα απόφαση της Ιταλικής Αρχής Προστασίας Δεδομένων (Garante), με μια σημαντική παρατήρηση για τη σημασία της ανάμειξης του DPO
Ο Δήμος του Greve in Chianti της Τοσκάνης ανακάλυψε ότι μια υπάλληλός του είχε δηλώσει ανακριβώς, κατά το χρόνο της πρόσληψής της, ότι δεν αντιμετώπιζε ποινικές εκκρεμότητες. Η υπάλληλος απολύθηκε και προσέφυγε στα δικαστήρια. Ο Δήμος ανέθεσε την υπόθεση σε δικηγόρο και ανάρτησε στην ιστοσελίδα του τη σχετική πράξη, όπως υποχρεωνόταν από τη νομοθεσία.
Στην αναρτηθείσα πράξη αναφερόταν το ένδικο βοήθημα που είχε ασκηθεί από την υπάλληλο καθώς και η διοικητική πράξη της απόλυσης, με αναφορά στην τυπική προϋπόθεση της πρόσληψης, ήτοι ότι ο υπάλληλος δεν έπρεπε να αντιμετωπίζει ποινικές εκκρεμότητες. Το ονοματεπώνυμο της υπαλλήλου αναφερόταν με τα αρχικά του.
Η υπάλληλος προσέφυγε στην ιταλική Αρχή Προστασίας Δεδομένων, καταγγέλλοντας την παράνομη επεξεργασία των δεδομένων της και δη εκείνων του άρθρου 10 ΓΚΠΔ, που αναφέρονται σε ποινικές καταδίκες ή αδικήματα. Ο Δήμος ισχυρίστηκε ότι τα στοιχεία της είχαν αναρτηθεί ανωνυμοποιημένα και κατά συνέπεια δεν ήταν δυνατή η ταυτοποίησή της. Η Αρχή δικαίωσε την υπάλληλο.
Σύμφωνα με την Garante:
1. Τα αρχικά του ονόματος της υπαλλήλου συνιστούν προσωπικά δεδομένα της, καθώς η χρήση τους δεν αρκεί για να καταστήσει το πρόσωπο μη ταυτοποιήσιμο. Παρά τον ισχυρισμό του Δήμου ότι τα ονόματα των υπαλλήλων του δεν είναι διαθέσιμα στην ιστοσελίδα του, ενώ η συγκεκριμένη υπάλληλος δεν κατοικεί καν στο Δήμο αυτό, η Αρχή δέχτηκε ότι η ταυτοποίησή της είναι δυνατή.
Επικαλούμενη την παρατήρηση της Ομάδας Εργασίας του Άρθρου 29 ότι «”εξακρίβωση ταυτότητας” δεν σημαίνει μόνο την πιθανότητα ανάκτησης του ονοματεπώνυμου ή/και της διεύθυνσης ενός προσώπου, αλλά περιλαμβάνει επίσης τη δυνητική ταυτοποίηση μέσω του εντοπισμού, της συνδετικότητας και της εξαγωγής συμπερασμάτων» [Γνώμη 05/2014 σχετικά με τις τεχνικές ανωνυμοποίησης], η Garante κατέληξε στο συμπέρασμα πως η αναφορά και μόνο των αρχικών του ονόματος της υπαλλήλου ήταν επαρκής για να επιτρέψει την ταυτοποίησή της, τουλάχιστον από τους συγγενείς ή γνωστούς της ή τους 84 υπαλλήλους του Δήμου.
2. Η αναφορά του λόγου απόλυσης συνιστά επεξεργασία ποινικών δεδομένων, που έγινε κατά παράβαση των προϋποθέσεων του άρθρου 10 ΓΚΠΔ και της ιταλικής νομοθεσίας. Ο Δήμος ισχυρίστηκε ότι δεν αναφέρθηκε σε καμία σχετική πληροφορία, παρά μόνο στη διαπίστωση της έλλειψης τυπικής προϋπόθεσης κατά την πρόσληψη. Άλλωστε, το αν υπήρχαν ή όχι ποινικές εκκρεμότητες ή καταδίκες δεν προέκυπτε από την πράξη που είχε αναρτήσει, ενώ σε κάθε περίπτωση θα κρινόταν από τα αρμόδια δικαστήρια.
Η Garante και πάλι διαφώνησε. Όταν αναρτάς πράξη που αναφέρεται σε αυτή την τυπική προϋπόθεση, επεξεργάζεσαι δεδομένα του άρθρου 10 ΓΚΠΔ.
Με βάση τα συμπεράσματά της αυτά, η ιταλική αρχή επέβαλε στο Δήμο διοικητικό πρόστιμο 4.000 ευρώ, αναγνωρίζοντας όμως μια ελαφρυντική περίσταση που αξίζει προσοχής.
Ο Δήμος ισχυρίστηκε ότι όλες οι ενέργειές του έγιναν κατόπιν συνεργασίας με τον Υπεύθυνο Επεξεργασίας Δεδομένων, του οποίου «πάντοτε ζητήθηκε η γνώμη». Προς τούτο, προσκόμισε και έγγραφες χρονολογημένες εισηγήσεις του DPO, μεταξύ των οποίων και εκείνη στην οποία διατυπωνόταν η άποψη πως η ανάρτηση της πράξης με τα αρχικά του ονόματος της υπαλλήλου δεν παρουσίαζε ζητήματα νομιμότητας. Η Garante εκτίμησε θετικά – και δη με ρητή αναφορά – την πρακτική αυτή του ελεγχόμενου Δήμου, κρίνοντας ότι αυτός ενήργησε αφού είχε πρώτα ζητήσει τη γνώμη του DPO, την οποία και ακολούθησε καλόπιστα.
Η απόφαση είναι διαθέσιμη στα ιταλικά:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9440025
Με πληροφορίες από το: