Ενδιαφέρουσα απόφαση του Δικαστηρίου της ΕΕ για το συμβατό χαρακτήρα της περαιτέρω επεξεργασίας με τους σκοπούς για τους οποίους είχαν συλλεγεί αρχικώς
Επιμέλεια: Γεώργιος Π. Κανέλλος
Με τη δημοσιευθείσα στις 20-10-2022 απόφασή του το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) αποφάνθηκε ότι η προβλεπόμενη στον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ – GDPR) αρχή του περιορισμού του σκοπού επιτρέπει την καταχώριση και αποθήκευση από τον υπεύθυνο επεξεργασίας, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί και αποθηκευθεί σε άλλη βάση δεδομένων, εφόσον η συγκεκριμένη περαιτέρω επεξεργασία είναι συμβατή με τους ειδικούς σκοπούς για τους οποίους συνελέγησαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα.
Ακόμα, κατά το ΔΕΕ, η αποθήκευση από τον υπεύθυνο επεξεργασίας, σε τέτοια βάση δεδομένων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί για άλλους σκοπούς, για χρονικό διάστημα που υπερβαίνει το αναγκαίο για την πραγματοποίηση των δοκιμών και τη διόρθωση των σφαλμάτων είναι αντίθετη με την προβλεπόμενη στον ΓΚΠΔ αρχή του περιορισμού της περιόδου αποθήκευσης.
Ιστορικό της υπόθεσης
Η Digi αποτελεί έναν από τους κύριους παρόχους υπηρεσιών Διαδικτύου και τηλεοράσεως στην Ουγγαρία.
Τον Απρίλιο του 2018, κατόπιν τεχνικής βλάβης που επηρέασε τη λειτουργία ενός διακομιστή, η Digi δημιούργησε μια βάση δεδομένων με την ονομασία «δοκιμαστική», στην οποία αντέγραψε τα δεδομένα προσωπικού χαρακτήρα περίπου του ενός τρίτου των ιδιωτών πελατών της, που ήταν αποθηκευμένα για σκοπούς άμεσου μάρκετινγκ σε άλλη βάση δεδομένων, με την ονομασία «digihu», η οποία μπορούσε να συνδεθεί με τον ιστότοπο www.digi.hu και η οποία περιελάμβανε τα επικαιροποιημένα δεδομένα των προσώπων που έχουν εγγραφεί προκειμένου να λαμβάνουν το ενημερωτικό δελτίο της Digi, καθώς και τα δεδομένα διαχειριστή συστήματος με τα οποία παρέχεται πρόσβαση στη διεπαφή του ιστοτόπου.
Στις 23 Σεπτεμβρίου 2019 η Digi πληροφορήθηκε ότι ένας «χάκερ με ηθικά κίνητρα» είχε αποκτήσει πρόσβαση στα διατηρούμενα από την εταιρία δεδομένα προσωπικού χαρακτήρα περίπου 322.000 προσώπων. Το συμβάν γνωστοποιήθηκε στην Digi από τον ίδιο τον «χάκερ με ηθικά κίνητρα», ο οποίος της κοινοποίησε, ως αποδεικτικό στοιχείο, μία από τις εγγραφές της δοκιμαστικής βάσεως δεδομένων. Η Digi διόρθωσε το σφάλμα ασφαλείας το οποίο είχε καταστήσει δυνατή την πρόσβαση, συνήψε συμφωνία εμπιστευτικότητας με το εν λόγω πρόσωπο και του προσέφερε αμοιβή.
Κατόπιν της διαγραφής της δοκιμαστικής βάσεως δεδομένων, η Digi γνωστοποίησε στις 25 Σεπτεμβρίου 2019 την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην Αρχή, η οποία εν συνεχεία κίνησε διαδικασία έρευνας.
Με απόφαση της 18ης Μαΐου 2020, η Αρχή αποφάνθηκε, μεταξύ άλλων, ότι η Digi είχε παραβεί το άρθρο 5, παράγραφος 1, στοιχεία βʹ και εʹ, του ΓΚΠΔ, καθόσον, μετά τη διενέργεια των αναγκαίων δοκιμών και τη διόρθωση του σφάλματος ασφάλειας, δεν διέγραψε αμέσως τη δοκιμαστική βάση δεδομένων, με αποτέλεσμα μεγάλος αριθμός δεδομένων προσωπικού χαρακτήρα να έχει αποθηκευθεί στη συγκεκριμένη βάση δεδομένων, χωρίς να εξυπηρετείται κανένας σκοπός, επί σχεδόν 18 μήνες, σε αρχείο που μπορούσε να καταστήσει δυνατή την ταυτοποίηση των υποκειμένων των δεδομένων. Κατά συνέπεια, η Αρχή υποχρέωσε την Digi να ελέγξει το σύνολο των βάσεών της δεδομένων και της επέβαλε πρόστιμο ύψους 100.000.000 ουγγρικών φιορινιών (HUF) (περίπου 248.000 ευρώ).
Η Digi αμφισβήτησε τη νομιμότητα της αποφάσεως αυτής ενώπιον του αιτούντος δικαστηρίου.
Το αιτούν δικαστήριο επισήμανε ότι τα δεδομένα προσωπικού χαρακτήρα που αντέγραψε η Digi στη δοκιμαστική βάση δεδομένων είχαν συλλεγεί με σκοπό τη σύναψη και την εκτέλεση συμβάσεων παροχής υπηρεσιών έναντι συνδρομής και ότι η αρχή δεν αμφισβήτησε τη νομιμότητα της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα. Ζήτησε, πάντως, να διευκρινισθεί αν η αντιγραφή σε άλλη βάση δεδομένων των δεδομένων που είχαν συλλεγεί αρχικώς είχε ως συνέπεια τη μεταβολή του σκοπού της αρχικής συλλογής και της επεξεργασίας τους. Επισήμανε επίσης ότι πρέπει να εξετασθεί και το ζήτημα αν η δημιουργία δοκιμαστικής βάσεως δεδομένων και η εξακολούθηση, στη νέα αυτή βάση, της επεξεργασίας των δεδομένων των πελατών είναι συμβατές με τον σκοπό της αρχικής συλλογής. Το αιτούν δικαστήριο εκτίμησε ότι η αρχή του «περιορισμού του σκοπού», όπως διατυπώνεται στο άρθρο 5, παράγραφος 1, στοιχείο βʹ, του ΓΚΠΔ, δεν καθιστά δυνατό τον προσδιορισμό των εσωτερικών συστημάτων στο πλαίσιο των οποίων ο υπεύθυνος επεξεργασίας έχει το δικαίωμα να υποβάλλει σε επεξεργασία τα δεδομένα που συλλέγονται κατά σύννομο τρόπο ούτε παρέχει τη δυνατότητα να κριθεί αν ο εν λόγω υπεύθυνος δύναται να αντιγράψει τα δεδομένα αυτά σε δοκιμαστική βάση δεδομένων χωρίς να μεταβάλει τον σκοπό της αρχικής συλλογής δεδομένων.
Σε περίπτωση κατά την οποία η δημιουργία της δοκιμαστικής βάσεως δεδομένων δεν συνάδει με τον σκοπό της αρχικής συλλογής, το αιτούν δικαστήριο διερωτήθηκε επίσης αν, καθόσον ο σκοπός της επεξεργασίας των δεδομένων των συνδρομητών σε άλλη βάση δεδομένων δεν είναι η διόρθωση σφαλμάτων αλλά η σύναψη συμβάσεων, το αναγκαίο χρονικό διάστημα αποθηκεύσεως πρέπει, βάσει της αρχής του «περιορισμού της περιόδου αποθηκεύσεως» κατά το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του ΓΚΠΔ, να αντιστοιχεί στο χρονικό διάστημα που απαιτείται για τη διόρθωση των σφαλμάτων ή για την εκπλήρωση των συμβατικών υποχρεώσεων.
Υπό τις συνθήκες αυτές, το Fővárosi Törvényszék (πρωτοδικείο Περιφέρειας Βουδαπέστης-Πρωτευούσης, Ουγγαρία) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο προδικαστικά ερωτήματα.
Απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης
Με την απόφασή του αυτή, το Δικαστήριο έκρινε, ότι αρχή του «περιορισμού του σκοπού», την οποία προβλέπει το άρθρο 5, παράγραφος 1, στοιχείο βʹ, του ΓΚΠΔ, δεν αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας καταχώριση και αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί και αποθηκευθεί σε άλλη βάση δεδομένων, οσάκις η συγκεκριμένη περαιτέρω επεξεργασία είναι συμβατή με τους ειδικούς σκοπούς για τους οποίους συνελέγησαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα, στοιχείο το οποίο πρέπει να εξετασθεί με γνώμονα τα κριτήρια που διαλαμβάνονται στο άρθρο 6, παράγραφος 4, του κανονισμού αυτού.
Επιπλέον, το Δικαστήριο αποφάνθηκε ότι η αρχή του «περιορισμού της περιόδου αποθήκευσης», την οποία προβλέπει το άρθρο 5, παράγραφος 1, στοιχείο εʹ, του ΓΚΠΔ, αντιτίθεται στην εκ μέρους του υπευθύνου επεξεργασίας αποθήκευση, σε βάση δεδομένων που έχει δημιουργηθεί προς τον σκοπό της διενέργειας δοκιμών και της διορθώσεως σφαλμάτων, δεδομένων προσωπικού χαρακτήρα τα οποία έχουν προηγουμένως συλλεγεί για άλλους σκοπούς, για χρονικό διάστημα που υπερβαίνει το αναγκαίο για την πραγματοποίηση των δοκιμών και τη διόρθωση των σφαλμάτων.
Γίνεται υπόμνηση ότι η διαδικασία εκδόσεως προδικαστικής αποφάσεως παρέχει στα δικαστήρια των κρατών μελών τη δυνατότητα να υποβάλουν στο Δικαστήριο, στο πλαίσιο της ένδικης διαφοράς της οποίας έχουν επιληφθεί, ερώτημα σχετικό με την ερμηνεία του δικαίου της Ένωσης ή με το κύρος πράξεως οργάνου της Ένωσης.
Το Δικαστήριο δεν αποφαίνεται επί της διαφοράς που εκκρεμεί ενώπιον του εθνικού δικαστηρίου.
Στο εθνικό δικαστήριο εναπόκειται να επιλύσει τη διαφορά αυτή, λαμβάνοντας υπόψη την απόφαση του Δικαστηρίου.
Η απόφαση αυτή δεσμεύει, ομοίως, άλλα εθνικά δικαστήρια ενώπιον των οποίων ανακύπτει παρόμοιο ζήτημα.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο στην ιστοσελίδα CURIA