Σύμφωνα με τη δανική αρχή προστασίας δεδομένων, στην έννοια του αποδέκτη, τα στοιχεία του οποίου έχει δικαίωμα να μάθει το υποκείμενο των δεδομένων, εντάσσεται και αυτός που τα πήρε από λάθος του υπευθύνου επεξεργασίας
Μια ενδιαφέρουσα απόφαση δημοσίευσε η αρχή προστασίας δεδομένων προσωπικού χαρακτήρα της Δανίας Datatilsynet σχετικά με την έννοια του αποδέκτη των δεδομένων.
Σύμφωνα με το άρθρο 4 στοιχ. 9 ΓΚΠΔ, ως αποδέκτης ορίζεται «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι», ενώ παράλληλα το άρθρο 15 παρ.1γ’ ΓΚΠΔ προβλέπει πως μεταξύ των πληροφοριών που δίδονται προς τα υποκείμενα μέσω του δικαιώματος πρόσβασης είναι και οι πληροφορίες σχετικά με «τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα». Η τελευταία αυτή διάταξη έχει ερμηνευτεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης, ως έχουσα την έννοια πως ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να γνωστοποιήσει στο υποκείμενο των δεδομένων τα στοιχεία των συγκεκριμένων αποδεκτών των δεδομένων, εφόσον τα στοιχεία αυτά του είναι γνωστά.
Κατά τούτο, το ενδιαφέρον ζήτημα που τέθηκε ενώπιον της Datatilsynet είναι το κατά πόσον η πρόσβαση στα προσωπικά δεδομένα περιλαμβάνει και τα στοιχεία των προσώπων, στα οποία κοινολογήθηκαν προσωπικά δεδομένα, όταν τα πρόσωπα αυτά δεν ζήτησαν τα προσωπικά δεδομένα, αλλά τα έλαβαν από λάθος του υπευθύνου επεξεργασίας.
Το ζήτημα προέκυψε μετά από δύο καταγγελίες υποκειμένων των δεδομένων σε βάρος της φορολογικής αρχής της χώρας, για την άρνησή της να τους αποκαλύψει τα ονόματα των προσώπων που έλαβαν τα προσωπικά δεδομένα τους μετά από παραβίαση δεδομένων που τελέστηκε δια της αποστολής αυτών σε λάθος πρόσωπο. Το πρόσωπο που έλαβε τα δεδομένα ήταν φοροτεχνικός, ο οποίος είχε ζητήσει στοιχεία για λογαριασμό πελάτη του και έλαβε κατά λάθος τα στοιχεία των καταγγελλόντων, τα οποία μάλιστα προώθησε στη συνέχεια στον πελάτη του.
Οι πολίτες ενημερώθηκαν για την παραβίαση και άσκησαν αίτημα πρόσβασης, ζητώντας να πληροφορηθούν τα στοιχεία των προσώπων που έλαβαν τα δεδομένα τους, με τη φορολογική αρχή να αρνείται, επικαλούμενη, μεταξύ άλλων, το φορολογικό απόρρητο.
Η Datatilsynet έκρινε πως το δικαίωμα πρόσβασης καλύπτει κάθε αποδέκτη των προσωπικών δεδομένων, ακόμη και αν αυτός έλαβε δεδομένα χωρίς να τα έχει ζητήσει, κρίνοντας έτσι πως και τα πρόσωπα αυτά εντάσσονται στην έννοια του αποδέκτη.
Περαιτέρω, τα στοιχεία του φοροτεχνικού που έλαβε τα δεδομένα δεν προστατεύονται από το φορολογικό απόρρητο ή κάποιου είδους εμπιστευτικότητα, ως εκ τούτου πρέπει να γνωστοποιηθούν προς τους καταγγέλλοντες.
Αντίθετη υπήρξε η κρίση της δανικής αρχής στην περίπτωση του πελάτη του φοροτεχνικού, ο οποίος επίσης έλαβε τα προσωπικά δεδομένα των καταγγελλόντων. Στην περίπτωση αυτή, η εποπτική αρχή έκρινε πως τα στοιχεία του δεν πρέπει να αποκαλυφθούν στα υποκείμενα των δεδομένων, καθώς αυτά προστατεύονται τόσο από το φορολογικό απόρρητο, όσο και από τη σχέση εμπιστευτικότητας που διέπει τη σχέση του με τον φοροτεχνικό του.
