Έκταση του δικαιώματος προσβάσεως στις πληροφορίες του άρθρου 15 του ΓΚΠΔ – Πληροφορίες περιεχόμενες σε αρχεία καταγραφής ενεργειών τα οποία παράγονται μέσω συστήματος επεξεργασίας (log data) – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Έννοια των “αποδεκτών” – Διαχρονική εφαρμογή
Επιμέλεια: Γεώργιος Π. Κανέλλος
Με τη δημοσιευθείσα στις 22.06.2023 απόφασή του το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) αποφάνθηκε ότι κάθε πρόσωπο έχει το δικαίωμα να γνωρίζει την ημερομηνία και τους λόγους της χρήσης των προσωπικών του δεδομένων.
Σύμφωνα με το ΔΕΕ, το γεγονός ότι ο υπεύθυνος επεξεργασίας δραστηριοποιείται στον τραπεζικό τομέα δεν επηρεάζει, κατ’ αρχήν, την έκταση του εν λόγω δικαιώματος.
Ιστορικό της υπόθεσης
Το 2014, ο J.M., τότε υπάλληλος και πελάτης της Pankki S, πληροφορήθηκε ότι μέλη του προσωπικού της τράπεζας είχαν επανειλημμένως αναζητήσει πληροφορίες στα δικά του δεδομένα ως πελάτη της τράπεζας κατά το χρονικό διάστημα μεταξύ 1ης Νοεμβρίου και 31ης Δεκεμβρίου 2013.
Έχοντας αμφιβολίες ως προς τη νομιμότητα των εν λόγω αναζητήσεων πληροφοριών, ο J.M., ο οποίος, εν τω μεταξύ, είχε απολυθεί από την Pankki S, ζήτησε, στις 29 Μαΐου 2018, από την τελευταία να του γνωστοποιήσει την ταυτότητα των προσώπων που είχαν προβεί σε αναζητήσεις στα δεδομένα του ως πελάτη, τις ακριβείς ημερομηνίες των αναζητήσεων καθώς και τους σκοπούς της επεξεργασίας των εν λόγω δεδομένων.
Με την από 30 Αυγούστου 2018 απάντησή της, η Pankki S, υπό την ιδιότητα του υπευθύνου επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), αρνήθηκε να γνωστοποιήσει την ταυτότητα των υπαλλήλων οι οποίοι προέβησαν στις αναζητήσεις, με την αιτιολογία ότι οι πληροφορίες αυτές αποτελούσαν δεδομένα προσωπικού χαρακτήρα των εν λόγω υπαλλήλων.
Ωστόσο, με την ίδια απάντηση, η Pankki S παρέσχε ορισμένες διευκρινίσεις σχετικά με τις αναζητήσεις στις οποίες είχε προβεί, βάσει των υποδείξεών της, η υπηρεσία της εσωτερικού ελέγχου. Συνακόλουθα, διευκρίνισε ότι πελάτης της τράπεζας του οποίου σύμβουλος πελατείας ήταν ο J.M. ήταν πιστωτής προσώπου το οποίο έφερε επίσης το επώνυμο του J.M., οπότε είχε θελήσει να διευκρινίσει αν ο προσφεύγων της κύριας δίκης και ο εν λόγω οφειλέτης ήταν ένα και το αυτό πρόσωπο και αν υπήρχε ενδεχομένως αθέμιτη κατάσταση συγκρούσεως συμφερόντων. Η Pankki S προσέθεσε ότι η αποσαφήνιση του συγκεκριμένου ζητήματος απαιτούσε να υποβληθούν σε επεξεργασία τα δεδομένα του J.M. και ότι κάθε μέλος του προσωπικού της τράπεζας το οποίο είχε επεξεργασθεί τα εν λόγω δεδομένα είχε υποβάλει, ενώπιον της υπηρεσίας εσωτερικού ελέγχου, δήλωση αναφορικά με τους λόγους της συγκεκριμένης επεξεργασίας των δεδομένων. Επιπλέον, η τράπεζα δήλωσε ότι χάρη στις εν λόγω αναζητήσεις πληροφοριών είχε εξαλειφθεί κάθε υπόνοια συγκρούσεως συμφερόντων όσον αφορά τον J.M.
Ο J.M. απευθύνθηκε στο Tietosuojavaltuutetun toimisto (γραφείο του επόπτη προστασίας δεδομένων, Φινλανδία), την εποπτική αρχή κατά την έννοια του άρθρου 4, σημείο 21, του ΓΚΠΔ, με αίτημα να υποχρεωθεί η Pankki S να του διαβιβάσει τις πληροφορίες που είχε ζητήσει.
Με απόφαση της 4ης Αυγούστου 2020, ο αναπληρωτής επόπτης προστασίας δεδομένων απέρριψε την αίτηση του J.M. Διευκρίνισε ότι σκοπός της αιτήσεως ήταν να επιτραπεί στον J.M. η πρόσβαση στα αρχεία καταγραφής ενεργειών των υπαλλήλων οι οποίοι είχαν επεξεργασθεί τα δεδομένα του, ενώ, σύμφωνα με την πρακτική του κατά τη λήψη αποφάσεων, τα αρχεία αυτά αποτελούν δεδομένα προσωπικού χαρακτήρα τα οποία δεν αφορούν το υποκείμενο των δεδομένων, αλλά τους υπαλλήλους οι οποίοι επεξεργάσθηκαν τα δεδομένα του.
Ο J.M. άσκησε προσφυγή κατά της αποφάσεως ενώπιον του αιτούντος δικαστηρίου.
Το αιτούν δικαστήριο υπενθύμισε ότι το άρθρο 15 του ΓΚΠΔ προβλέπει το δικαίωμα του υποκειμένου των δεδομένων να του παρασχεθούν από τον υπεύθυνο επεξεργασίας, αφενός, πρόσβαση στα δεδομένα τα οποία υποβλήθηκαν σε επεξεργασία και το αφορούν καθώς και, αφετέρου, οι πληροφορίες οι οποίες αφορούν, μεταξύ άλλων, τους σκοπούς της επεξεργασίας και τους αποδέκτες των δεδομένων. Το αιτούν δικαστήριο διερωτήθηκε αν η κοινοποίηση των αρχείων καταγραφής ενεργειών που δημιουργούνται επ’ ευκαιρία των πράξεων επεξεργασίας και περιέχουν τέτοιες πληροφορίες, ιδίως την ταυτότητα των υπαλλήλων του υπευθύνου επεξεργασίας, καλύπτεται από το άρθρο 15 του ΓΚΠΔ, δεδομένου ότι τα εν λόγω αρχεία ενδέχεται να αποδειχθούν αναγκαία για το υποκείμενο των δεδομένων προκειμένου να εκτιμήσει τη νομιμότητα της επεξεργασίας στην οποία υποβλήθηκαν τα δεδομένα του.
Υπό τις συνθήκες αυτές, το Itä-Suomen hallinto-oikeus (διοικητικό πρωτοδικείο Ανατολικής Φινλανδίας, Φινλανδία) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο προδικαστικά ερωτήματα.
Απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης
Με την απόφασή του αυτή, το Δικαστήριο, πρώτον, αποφάνθηκε ότι το άρθρο 15 του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα του άρθρου 99, σημείο 2, του ίδιου κανονισμού, εφαρμόζεται σε αίτηση προσβάσεως στις πληροφορίες οι οποίες αναφέρονται στη διάταξη αυτή οσάκις οι πράξεις επεξεργασίας τις οποίες αφορά η αίτηση είχαν πραγματοποιηθεί μεν πριν από την ημερομηνία ενάρξεως εφαρμογής του εν λόγω κανονισμού, αλλά η αίτηση υποβλήθηκε μετά την ανωτέρω ημερομηνία.
Το Δικαστήριο, δεύτερον, έκρινε ότι οι πληροφορίες σχετικά με αναζητήσεις στα δεδομένα προσωπικού χαρακτήρα ενός προσώπου, οι οποίες αφορούν τις ημερομηνίες και τους σκοπούς των αναζητήσεων, συνιστούν πληροφορίες τις οποίες το εν λόγω πρόσωπο δικαιούται να λάβει από τον υπεύθυνο επεξεργασίας δυνάμει του άρθρου 15, παράγραφος 1, του ΓΚΠΔ. Αντιθέτως, η εν λόγω διάταξη δεν καθιερώνει τέτοιο δικαίωμα όσον αφορά τις πληροφορίες σχετικά με την ταυτότητα των υπαλλήλων του εν λόγω υπευθύνου οι οποίοι προέβησαν στις αναζητήσεις υπό την εποπτεία του και σύμφωνα με τις υποδείξεις του, εκτός αν οι πληροφορίες αυτές είναι απαραίτητες για να μπορέσει το υποκείμενο των δεδομένων να ασκήσει αποτελεσματικά τα δικαιώματα που του παρέχει ο κανονισμός και υπό την προϋπόθεση ότι λαμβάνονται υπόψη τα δικαιώματα και οι ελευθερίες των εν λόγω υπαλλήλων.
Τρίτον, το Δικαστήριο διαπίστωσε ότι το γεγονός ότι ο υπεύθυνος επεξεργασίας δραστηριοποιείται στον τραπεζικό τομέα στο πλαίσιο νομοθετικά ρυθμιζόμενης δραστηριότητας και ότι το πρόσωπο του οποίου τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία υπό την ιδιότητά του ως πελάτη του υπευθύνου επεξεργασίας υπήρξε επίσης υπάλληλος του υπευθύνου επεξεργασίας δεν επηρεάζει, κατ’ αρχήν, την έκταση του δικαιώματος του οποίου απολαύει το εν λόγω πρόσωπο δυνάμει του άρθρου 15, παράγραφος 1, του ΓΚΠΔ.
Γίνεται υπόμνηση ότι η διαδικασία εκδόσεως προδικαστικής αποφάσεως παρέχει στα δικαστήρια των κρατών μελών τη δυνατότητα να υποβάλουν στο Δικαστήριο, στο πλαίσιο της ένδικης διαφοράς της οποίας έχουν επιληφθεί, ερώτημα σχετικό με την ερμηνεία του δικαίου της Ένωσης ή με το κύρος πράξεως οργάνου της Ένωσης. Το Δικαστήριο δεν αποφαίνεται επί της διαφοράς που εκκρεμεί ενώπιον του εθνικού δικαστηρίου. Στο εθνικό δικαστήριο εναπόκειται να επιλύσει τη διαφορά αυτή, λαμβάνοντας υπόψη την απόφαση του Δικαστηρίου. Η απόφαση αυτή δεσμεύει, ομοίως, άλλα εθνικά δικαστήρια ενώπιον των οποίων ανακύπτει παρόμοιο ζήτημα.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο στην ιστοσελίδα CURIA