Η Αρχή κρίνει πως η τυχόν υποχρέωση εγκατάστασης γραμματοκιβωτίου δεν αίρει την ευθύνη του υπευθύνου επεξεργασίας για τη λήψη μέτρων ασφάλειας του ΓΚΠΔ
Ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υποβλήθηκε καταγγελία φορολογούμενου για παραβίαση των διατάξεων της νομοθεσίας για τα προσωπικά δεδομένα (παραβίαση ασφάλειας), καθώς και για πλημμελή ικανοποίηση του δικαιώματος ενημέρωσης.
Σύμφωνα με την καταγγελία, ο καταγγέλλων είχε λάβει κατά τα δύο προηγούμενα έτη το εκκαθαριστικό σημείωμα της φορολογικής του δήλωσης μέσα σε φάκελο που δεν πληρούσε τις προδιαγραφές και τις απαιτήσεις ασφαλείας της ΕΕΤΤ και της ΑΑΔΕ. Τούτο διότι ο φάκελος είχε παράθυρο/θυρίδα, με αποτέλεσμα να έχουν διαρρεύσει σε απροσδιόριστο αριθμό ατόμων πληροφορίες ευαίσθητης φύσης, όπως το συνολικό δηλωθέν εισόδημά του.
Περαιτέρω, ο καταγγέλλων απέστειλε αίτημα στην ΑΑΔΕ, με το οποίο αιτήθηκε εξηγήσεις για την εν λόγω παραβίαση της ασφάλειας των προσωπικών του δεδομένων, ενώ παράλληλα, κατ’ επίκληση του άρθρου 13 ΓΚΠΔ, ζήτησε πλήρη ενημέρωση:. «i) για την επεξεργασία των προσωπικών του δεδομένων (με ειδικότερη αναφορά στην ταυτότητα όλων των υπευθύνων, εκτελούντων και υπο-εκτελούντων την επεξεργασία των προσωπικών του δεδομένων και των στοιχείων επικοινωνίας τους, καθώς και τυχόν τρίτων μερών στα οποία είχαν δημοσιοποιηθεί τα δεδομένα του, συμπεριλαμβανομένου του ονόματος και των στοιχείων επικοινωνίας των παραληπτών), καθώς και ii) για τον ρόλο της ΕΛΤΑ Α.Ε. στην εν λόγω επεξεργασία των προσωπικών του δεδομένων και την τυχόν ύπαρξη σύμβασης μεταξύ της ΕΛΤΑ Α.Ε. και της ΑΑΔΕ δυνάμει του άρθρου 28 του ΓΚΠΔ.»
Τέλος, εν όψει της επικείμενης λήψης νέου εκκαθαριστικού o καταγγέλλων εναντιώθηκε στην επεξεργασία των προσωπικών του δεδομένων κατά αυτόν τον τρόπο, ώστε να μην επαναληφθεί το περιστατικό. Επί του ως άνω αιτήματός του, ο καταγγέλλων ισχυρίζεται ότι έλαβε απάντηση από την καταγγελλόμενη, χωρίς ωστόσο κατά τους ισχυρισμούς του, η τελευταία να απαντάει ικανοποιητικώς στα ερωτήματά του και ιδίως στο ερώτημά του αναφορικά με τον ρόλο της ΑΑΔΕ και των ΕΛΤΑ στην εν λόγω επεξεργασία.
Ερωτηθείσα από την Αρχή, η ΑΑΔΕ δια του Αυτοτελούς Τμήματος Υποστήριξης Υπευθύνου Προστασίας Δεδομένων απάντησε ότι σε συνέχεια της καταγγελίας προτάθηκε στη Γενική Διευθύντρια Φορολογικής Διοίκησης εφεξής να επιλέγεται η ηλεκτρονική κοινοποίηση των εγγράφων στους πολίτες, καθώς και να καταστραφούν οι εν λόγω φάκελοι. Ακολούθως, η καταγγελλόμενη γνωστοποίησε την παραβίαση δεδομένων στην Αρχή αλλά δεν προέβη σε ανακοίνωσή στο υποκείμενο των δεδομένων, δεδομένου ότι τελούσε ήδη σε γνώση αυτού.
Ως προς το ζήτημα της ενημέρωσης του καταγγέλλοντος, η ΑΑΔΕ προέβαλε τον ισχυρισμό πως «απάντησε στο αίτημα του καταγγέλλοντος ενημερώνοντάς τον για όσες πληροφορίες υποχρεούνταν δυνάμει του ΓΚΠΔ, οι δε αιτούμενες περαιτέρω πληροφορίες (υπογραφή συμφωνίας άρθρου 28 του ΓΚΠΔ μεταξύ Α.Α.Δ.Ε και ΕΛΤΑ) δεν αποτελούν αντικείμενο του δικαιώματος ενημέρωσης κατά τα άρθρα 13 και 14 ΓΚΠΔ». Όσον αφορά δε, τον ισχυρισμό περί διαρροής των δεδομένων του, η ΑΑΔΕ ισχυρίστηκε ότι «δεν υπήρξε τεκμηριωμένη παραβίαση των δεδομένων προσωπικού χαρακτήρα του, δεδομένου ότι […] οι φάκελοι που τις περιείχαν εστάλησαν ταυτόχρονα και παρελήφθησαν από τον αποδέκτη τους, καταγγέλλοντα, απαραβίαστοι/σφραγισμένοι».
Περαιτέρω, σύμφωνα πάντα με την ανωτέρω απάντηση του Αυτοτελούς Τμήματος Υποστήριξης Υπευθύνου Προστασίας Δεδομένων της ΑΑΔΕ, ο καταγγέλλων δεν επικαλέστηκε κάποιο συγκεκριμένο περιστατικό από το οποίο να προκύπτει ότι συγκεκριμένο τρίτο πρόσωπο έλαβε γνώση των προσωπικών του δεδομένων, ενώ οι υπάλληλοι της ΑΑΔΕ επεξεργάσθηκαν τα δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντος στο πλαίσιο άσκησης των καθηκόντων τους δεσμευόμενοι από το καθήκον εχεμύθειας και το φορολογικό απόρρητο.
Η απόφαση της Αρχής
Η Αρχή εξέτασε την υπόθεση με βάση τα τρια ζητήματα που είχαν προκύψει: την ασφάλεια των δεδομένων, την ενημέρωση του υποκειμένου και την ανακοίνωση της παραβίασης των δεδομένων στο υποκείμενο.
● Ως προς την ασφάλεια των δεδομένων, η Αρχή έκρινε ότι «η καταγγελλόμενη επεξεργασία της αποστολής των εκκαθαριστικών σημειωμάτων σε φάκελο με παράθυρο/θυρίδα απ’ όπου ήταν ορατά προσωπικά δεδομένα του καταγγέλλοντος, παραπάνω από τα αναγκαία για την αποστολή των φακέλων και την ταυτοποίηση του παραλήπτη, συνιστά […] παραβίαση εμπιστευτικότητας (απορρήτου), ήτοι ενδεχόμενη μη εξουσιοδοτημένη αποκάλυψη και λήψη γνώσης από μη εξουσιοδοτημένα πρόσωπα κατά παράβαση της διάταξης του άρθρου 5 παρ. 1, περ. στ΄ ΓΚΠΔ περί υποχρεώσεως τηρήσεως της αρχής της ακεραιότητας και εμπιστευτικότητας των δεδομένων αλλά και τις επιταγές του άρθρου 32 ΓΚΠΔ, αφού η ΑΑΔΕ όφειλε, σε εκπλήρωση της υποχρέωσης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων, στο πλαίσιο μιας ενδεδειγμένης πολιτικής ασφαλείας από την ΑΑΔΕ ως υπεύθυνου επεξεργασίας, να διασφαλίζει την τήρηση του απορρήτου/εμπιστευτικότητας τόσο κατά την εκτύπωση και την εμφακέλλωση των εκκαθαριστικών σημειωμάτων, όσο και κατά την αποστολή τους στους φορολογούμενους».
Η Αρχή απορρίπτει τον ισχυρισμό της καταγγελλόμενης σχετικά με την υποχρέωση των χρηστών των ταχυδρομικών υπηρεσιών για τη διαφύλαξη του απορρήτου των επιστολών, σύμφωνα με το άρθρο 32 του Κτιριοδομικού Κανονισμού (Υ.Α. 3046/304/1989 του Υπουργείου Περιβάλλοντος, Χωροταξίας και Δημοσίων Έργων) να λαμβάνουν μέτρα αυτοπροστασίας εγκαθιστώντας γραμματοκιβώτιο με κλειδαριά, μέσα στο οποίο ο διανομέας οφείλει να τοποθετεί την απλή αλληλογραφία, καθώς στις διατάξεις περί φορολογικού απορρήτου (αρ. 26 του Ν. 4174/2013) ή του καθήκοντος εχεμύθειας των υπαλλήλων της ΑΑΔΕ στο πλαίσιο άσκησης των καθηκόντων τους (αρ. 26 Ν. 3528/2007), κρίνοντας ότι ουδεμία επιρροή ασκούν τα ζητήματα αυτά στις αυτοτελείς υποχρεώσεις του υπευθύνου επεξεργασίας σχετικά με την ασφάλεια της επεξεργασίας, όπως προσδιορίζονται ρητά στα άρθρα 5 (1) (στ), 24 και 32 ΓΚΠΔ. Όπως χαρακτηριστικά επισημαίνεται στην απόφαση, οι υποχρεώσεις αυτές «αποτελούν αυτοτελείς υποχρεώσεις του υπευθύνου επεξεργασίας που δεν παύουν να ισχύουν εξαιτίας της τυχόν πρόβλεψης άλλων υποχρεώσεων διαφορετικών τομέων του δικαίου […]».
● Ως προς το ζήτημα της μη ανακοίνωσης της παραβίασης στο υποκείμενο, η Αρχή συντάσσεται με την αξιολόγηση της ΑΑΔΕ. Σύμφωνα με την απόφαση, «αν και υπήρξε κίνδυνος για τα δικαιώματα και τις ελευθερίες του καταγγέλλοντος, δεν υπήρχε υποχρέωση ανακοίνωσης της παραβίασης στον καταγγέλλοντα, λαμβάνοντας υπόψη τον στόχο της ανακοίνωσης των δεδομένων, όπως αυτός αναλύεται στις Κατευθυντήριες Γραμμές σχετικά με τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα δυνάμει του κανονισμού 2016/679, αλλά και την αιτιολογική σκέψη 86 του ΓΚΠΔ, μεταξύ άλλων, (σελ 23-24), ο οποίος συνίσταται στην παροχή στα υποκείμενα συγκεκριμένων πληροφοριών σχετικά με τις ενέργειες στις οποίες πρέπει να προβούν τα ίδια ώστε να προστατευτούν, καθώς οι περαιτέρω ενέργειες που θα μπορούσε να προβεί το υποκείμενο των δεδομένων (το οποίο, σημειωτέον, τελούσε ήδη σε γνώση του περιστατικού και είχε ήδη εναντιωθεί στην επεξεργασία των προσωπικών του δεδομένων κατά τον προαναφερθέντα τρόπο) για να προστατευτεί από τυχόν αρνητικές συνέπειες της παραβίασης, ήταν περιορισμένες».
● Ως προς το ζήτημα της ενημέρωσης του καταγγέλλοντος, η Αρχή και πάλι συμφωνεί με τους ισχυρισμούς και τις ενέργειες της καταγγελλόμενης, κρίνοντας ότι «η ΑΑΔΕ ως υπεύθυνος επεξεργασίας, μέσω της απάντησης που παρέσχε με το υπ’ αριθμ. πρωτ. … έγγραφο του Αυτοτελούς Τμήματος Υποστήριξης Προστασίας Δεδομένων στον καταγγέλλοντα, ικανοποίησε το δικαίωμα ενημέρωσης που άσκησε ο καταγγέλλων με το από … αίτημά του, ως προς τις πληροφορίες που ζήτησε και μάλιστα εμπρόθεσμα, ήτοι προ της παρέλευσης της προθεσμίας του ενός μηνός, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 12 παρ. 3 του ΓΚΠΔ, δεδομένου ότι απάντησε σε όσα στοιχεία απαιτούνταν σε εκπλήρωση της απαίτησης διαφανούς ενημέρωσης προς τον καταγγέλλοντα, κάνοντας μάλιστα αναφορά στην ύπαρξη Συμφωνίας – Πλαισίου (υπ’αριθμ. 5/13-03-2018) για την παροχή των ταχυδρομικών υπηρεσιών στο Ελληνικό Δημόσιο (υπουργεία και αποκεντρωμένες διοικήσεις) με αναθέτουσα Αρχή τη Γενική Δ/νση Δημοσίων Συμβάσεων της Γενικής Γραμματείας Εμπορίου και Προστασίας Καταναλωτή του Υπουργείου Οικονομίας και Ανάπτυξης και ανάδοχο τα Ελληνικά Ταχυδρομεία Α.Ε. Η Αρχή, περαιτέρω, κρίνει ότι οι πρόσθετες πληροφορίες που αιτήθηκε ο καταγγέλλων (αναφορικά με τον ρόλο των ΕΛΤΑ στην εν λόγω επεξεργασία των προσωπικών του δεδομένων) δεν περιλαμβάνονται στις πληροφορίες που οφείλει, κατ’ άρθρο 13 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας να παράσχει στο υποκείμενο των δεδομένων, λαμβανομένου προσέτι υπόψη ότι η ευθύνη για την καταγγελλόμενη παραβίαση της εμπιστευτικότητας των οικονομικών/φορολογικών του δεδομένων με την αποστολή του επίμαχου εκκαθαριστικού σημειώματος βαρύνει την Α.Α.Δ.Ε. ως υπεύθυνο επεξεργασίας κατά τα ανωτέρω διαλαμβανόμενα».
Με βάση τα ανωτέρω, η Αρχή επέβαλε στην Ανεξάρτητη Αρχή Δημοσίων Εσόδων διοικητικό πρόστιμο 8.000 ευρώ για την παραβίαση των υποχρεώσεων ασφάλειας των άρθρων 5 παρ.1στ’ και 32 ΓΚΠΔ.
Η απόφαση είναι διαθέσιμη εδώ.