ΑΠΟΚΛΕΙΣΤΙΚΟ:ΤΑ ΕΛΠΕ ΦΑΚΕΛΩΝΟΥΝ ΤΟΥΣ ΘΕΣΣΑΛΟΝΙΚΕΙΣ (πολιτικά φρονήµατα, συµµετοχή σε συνδικαλιστική οργάνωση, συµµετοχή σε ενώσεις προσώπων). ΠΡΟΣΤΙΜΟ 30.000 ΕΥΡΩ. Η ΩΡΑ ΤΩΝ ΕΙΣΑΓΓΕΛΕΩΝ…

by on 15 Απριλίου 2019

Α Π Ο Φ Α Σ Η 7 / 2019

Η Αρχή Προστασίας ∆εδοµένων Προσωπικού Χαρακτήρα συνεδρίασε µετά από πρόσκληση του Προέδρου της στην έδρα της την Tρίτη 19.2.2019 σε συνέχεια από τη συνεδρίαση της Τρίτης 26-06-2018 και ώρα 10:00, προκειµένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσης.

Παρέστησαν ο Πρόεδρος της Αρχής, Κ. Μενουδάκος, και τα τακτικά µέλη Κ. Χριστοδούλου, Α. Συµβώνης, Κ. Λαµπρινουδάκης, Χ. Ανθόπουλος, και Ε. Μαρτσούκου, ως εισηγήτρια. Το τακτικό µέλος Σπ. Βλαχόπουλος, αν και εκλήθη νοµίµως εγγράφως, δεν παρέστη λόγω κωλύµατος. Στην συνεδρίαση παρέστησαν, επίσης, µε εντολή του Προέδρου, χωρίς δικαίωµα ψήφου, η Μ. Αλικάκου, δικηγόρος-ειδική επιστήµονας, ως βοηθός εισηγήτρια, η οποία αποχώρησε µετά τη συζήτηση και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και η Ε. Παπαγεωργοπούλου, υπάλληλος του τµήµατος διοικητικών υποθέσεων, ως γραµµατέας.

Η Αρχή έλαβε υπόψη της τα ακόλουθα:

∆ηµοσιεύµατα στο διαδίκτυο, τα οποία περιήλθαν στη γνώση της Αρχής, παρουσίαζαν ότι η εταιρία µε την επωνυµία «One Team Ανώνυµη Εταιρία ∆ιοργανώσεων και Ολοκληρωµένης Επικοινωνίας» (εφεξής OΝΕ TΕΑΜ) συνέταξε µελέτη µε τίτλο «∆υσοσµία στη ∆υτική Θεσσαλονίκη – Καταγραφή υπάρχουσας κατάστασης – Μάιος 2017» (εφεξής Μελέτη) για λογαριασµό του Οµίλου Ελληνικά Πετρέλαια (εφεξής ΕΛΠΕ). Η εν λόγω Μελέτη (104 σελίδων) αναρτήθηκε στο διαδίκτυο ελεύθερα προσβάσιµη και περιείχε, µεταξύ άλλων, ευαίσθητα δεδοµένα προσωπικού χαρακτήρα (πολιτικά φρονήµατα, συµµετοχή σε συνδικαλιστική οργάνωση, συµµετοχή σε ενώσεις προσώπων). Με το µε αριθµ. πρωτ. Γ/ΕΞ/25.9.2017 έγγραφό της η Αρχή ζήτησε διευκρινίσεις και από τους δύο ως άνω εµπλεκόµενους φορείς αναφορικά µε την ως άνω Μελέτη. Με το µε αριθµ. πρωτ. Γ/ΕΙΣ/7315/12.10.2017 απαντητικό έγγραφό της η OΝΕ TΕΑΜ ισχυρίστηκε ότι η εταιρία έχει αναλάβει από τα ΕΛΠΕ «διάφορες εργασίες και έργα, κανένα από τα οποία δεν περιέχει προσωπικά δεδοµένα και µάλιστα ευαίσθητα οποιουδήποτε πολίτη» ζητώντας από την Αρχή να την ενηµερώσει αναφορικά µε την ύπαρξη σχετικής καταγγελίας προκειµένου να απαντήσει συγκεκριµένα.

Τα ΕΛΠΕ απάντησαν στο ως άνω έγγραφο της Αρχής µε το µε αριθµ. πρωτ. Γ/ΕΙΣ/7581/20.10.2017 έγγραφο, µε το οποίο επιβεβαίωσαν, αρχικά, τη σύναψη ιδιωτικού συµφωνητικού µε την ONE TEAM µε αντικείµενο «την υλοποίηση ολοκληρωµένου προγράµµατος προσέγγισης και ενηµέρωσης της κοινής γνώµης στην ευρύτερη περιοχή του Κορδελιού Θεσσαλονίκης», όπου τα ΕΛΠΕ διατηρούν βιοµηχανικές εγκαταστάσεις. Συγκεκριµένα, σύµφωνα µε τους ισχυρισµούς των ΕΛΠΕ η παροχή των υπηρεσιών της ONE TEAM συµφωνήθηκε σε δύο διακριτές φάσεις: α) τη φάση της αναγνώρισης της υπάρχουσας κατάστασης (assessment) και στρατηγικού σχεδιασµού και β) τη φάση της ανάπτυξης πλάνου δράσεων. Ειδικότερα, στο ως άνω συµφωνητικό αναφέρεται, µεταξύ άλλων (όρος 2 της Φάσης 1), ότι τα ΕΛΠΕ ανέθεσαν στην ONE TEAM να προβεί σε «χαρτογράφηση λίστας ενδιαφερόµενων κοινών (stakeholders) σε τοπικό επίπεδο (θεσµοί, πανεπιστηµιακοί φορείς, πολιτικά πρόσωπα, ΜΚΟ)». Περαιτέρω, τα ΕΛΠΕ επιβεβαιώνουν την ύπαρξη της επίµαχης µελέτης και αναφέρουν σχετικά στο ως άνω απαντητικό τους έγγραφο ότι «ποτέ δεν ενέκριναν ή απεδέχθησαν τη µελέτη αυτή, καθώς η συλλογή και επεξεργασία προσωπικών δεδοµένων συγκεκριµένων φυσικών προσώπων βρίσκεται εκτός πεδίου εφαρµογής του συµφωνητικού και υπερβαίνει το σκοπό των συµφωνηθέντων υπηρεσιών, δεν τελεί σε συµφωνία µε τις αξίες και τις αρχές των ΕΛΠΕ, όπως αυτές αποτυπώνονται στον Κώδικα ∆εοντολογίας του Οµίλου ΕΛΛΗΝΙΚΑ ΠΕΤΡΕΛΑΙΑ. Υπό αδιευκρίνιστες δε συνθήκες η µελέτη αυτή διέρρευσε, µε αποτέλεσµα να τεθεί σε γνώση ευρέος κύκλου προσώπων». Τέλος, τα ΕΛΠΕ αναφέρουν ότι µε την από 6.9.2017 δήλωση καταγγελίας προς την ONE TEAM κατήγγειλαν το ως άνω ιδιωτικό συµφωνητικό.

H Aρχή επανήλθε µε νέο έγγραφό της (αριθµ. πρωτ. Γ/ΕΞ/6874-2/4.12.2017), αυτή τη φορά απευθυνόµενη µόνο στην ONE TEAM, µε το οποίο ζήτησε από την εταιρία αυτή να αποστείλει τις απόψεις της αναφορικά µε την υπό κρίση επεξεργασία, καθώς τόσο από την ως άνω απάντηση των ΕΛΠΕ, όσο και από έρευνα της Αρχής στο διαδίκτυο αναφορικά µε την επίµαχη µελέτη, η ως άνω απάντηση της ONE TEAM ότι δεν προέβη ποτέ σε επεξεργασία προσωπικών δεδοµένων για λογαριασµό των ΕΛΠΕ φαινόταν ότι δεν ευσταθεί. Στο εν λόγω έγγραφό της η Αρχή αναφέρθηκε συγκεκριµένα στην ανάρτηση της υπό κρίση µελέτης σε συγκεκριµένη ιστοσελίδα, στην οποία αναφερόταν, επίσης, ότι η ONE TEAM είχε απαντήσει αναφορικά µε την υπό κρίση µελέτη ισχυριζόµενη ότι επρόκειτο για απόρρητα έγγραφα που είχαν υποκλαπεί. Συγκεκριµένα, µε βάση τα όσα υποστηρίζονταν στο εν λόγω δηµοσίευµα η απάντηση της ONE TEAM ανέφερε, µεταξύ άλλων, «Tο Τµήµα Τεχνικής Υποστήριξης και Συστηµάτων της εταιρείας επικοινωνίας One Team A.E. διαπίστωσε σήµερα το πρωί διαρροή απόρρητων αρχείων της καθώς και υποκλοπή στοιχείων ηλεκτρονικής επικοινωνίας, από φάκελο όπου τηρούνται αρχεία εσωτερικής χρήσης. Μέρος αυτών, που αφορούν στην εταιρεία Ελληνικά Πετρέλαια, δηµοσιεύτηκαν – ενδεχοµένως παραποιηµένα– αιφνιδίως σε blog και ιστοσελίδα».

Στο ως άνω έγγραφο της Αρχής, η ONE TEAM απάντησε µε το µε αριθµ. πρωτ. Γ/ΕΙΣ/705/26.1.2018 έγγραφό της, µε το οποίο τελικά παραδεχόταν ότι βάσει ιδιωτικού συµφωνητικού είχε αναλάβει το σχεδιασµό και υλοποίηση προγράµµατος επικοινωνίας και διαχείρισης εταιρικής φήµης σχετικά µε το ζήτηµα της δυσοσµίας στην περιοχή της ∆υτικής Θεσσαλονίκης. Για τον σκοπό αυτό, όπως ανέφερε στο ως άνω έγγραφό της η ONE TEAM, προχώρησε «στη σταδιακή συγκέντρωση στοιχείων, πληροφοριών και απόψεων οι οποίες είχαν διατυπωθεί και εκτίθεντο δηµόσια και επώνυµα (ιστοσελίδες, µέσα κοινωνικής δικτύωσης, ιστολόγια, κ.ά.). Σχέδιο της µελέτης παραδόθηκε σε συγκεκριµένους αποδέκτες στα ΕΛΠΕ τον Μάιο 2017 µέσω µηνύµατος ηλεκτρονικής αλληλογραφίας, σε ηλεκτρονική µορφή. Συγκεκριµένα ένας σύνδεσµος (Link) οδηγούσε στο ηλεκτρονικό έγγραφο της µελέτης.». H ONE TEAM ισχυρίσθηκε επίσης ότι η συγκέντρωση των ως άνω στοιχείων και πληροφοριών ήταν απολύτως αναγκαία, αλλά και νόµιµη, καθώς πηγές ήταν δηµόσιες ιστοσελίδες και µέσα κοινωνικής δικτύωσης, ελεύθερα προσβάσιµα, όπου τα ίδια τα υποκείµενα εξέφραζαν τις απόψεις τους. Τέλος, η ONE TEAM επανέλαβε αυτό που είχε αναφέρει στο αρχικό απαντητικό της έγγραφο προς την Αρχή ότι, δηλαδή, κανένα από τα υποκείµενα δεν έχει υποβάλει σχετική καταγγελία ούτε έχει προβεί σε άλλη ενέργεια κατά της εταιρίας.

Στη συνέχεια, η Αρχή κάλεσε τα εµπλεκόµενα µέρη, δηλαδή την εταιρία ΟΝΕ ΤΕΑΜ και τον Όµιλο ΕΛΠΕ, σε ακρόαση στη συνεδρίαση της Ολοµέλειας της 27.2.2018. Η πρώτη προσήλθε ενώπιον της Αρχής εκπροσωπούµενη από τον διευθύνοντα σύµβουλό της, Α και τον πληρεξούσιο δικηγόρο της, Πάνο Γερόλυµο, και εξέφρασε και εγγράφως τις απόψεις της µε το µε αριθµ. πρωτ. Γ/ΕΙΣ/2026/13.3.2018 υπόµνηµά της.

Ο Όµιλος των ΕΛΠΕ εκπροσωπήθηκε από το νοµικό σύµβουλο Αλκιβιάδη Πούλια και εξέφρασε και εγγράφως τις απόψεις του µε το µε αριθµ. πρωτ. Γ/ΕΙΣ/2033/13.3.2018 υπόµνηµα. Με το ως άνω υπόµνηµα η ONE TEAM πρόσθεσε συµπληρωµατικά στοιχεία στα όσα µέχρι τούδε είχε δηλώσει προς την Αρχή παραδεχοµένη, ωστόσο, ότι «Σχετικά µε τις ονοµαστικές αναφορές, σε κάποια σηµεία της Μελέτης, γίνεται ενδεικτική αναφορά σε µεµονωµένες αντιδράσεις, µε απώτερο σκοπό να αποτυπωθούν τα αίτια των διαµαρτυριών και κατ’ επέκταση να τεκµηριωθεί η επιστηµονικότητα της Μελέτης. Στο πλαίσιο αυτών των αναφορών και προς τεκµηρίωση των επιστηµονικών πορισµάτων, γίνεται και συγκεκριµένη αναφορά στο ονοµατεπώνυµο, καθώς και ενδεικτικά και µόνο κατά περίπτωση στο επάγγελµα. Επίσης, υπάρχουν αναφορές σε ιδεολογικούς χώρους ή κόµµατα, στα οποία ήταν εντεταγµένα µέλη του δηµοτικού συµβουλίου και µάλιστα µόνο µέλη που συµµετείχαν ενεργά στο δηµόσιο διάλογο που εξελισσόταν κατά το συγκεκριµένο χρονικό διάστηµα σύνταξης της Μελέτης και τοποθετούνταν σχετικά µε το αντικείµενο αυτής». Περαιτέρω, αναφορικά µε τα µέτρα ασφαλείας, η ONE TEAM υποστήριξε, µεταξύ άλλων, ότι προσχέδιο της επίµαχης µελέτης τοποθετήθηκε σε προσωπικό λογαριασµό υπαλλήλου της ONE TEAM στην εφαρµογή flip και «το Link της σύνδεσης της παρουσίασης απεστάλη από τον Α, µέσω email σε 4 αποδέκτες». Επιπλέον, η ONE TEAM επικαλέστηκε το από 14/9/2017 Γνωµοδοτικό Σηµείωµα του εµπειρογνώµονα, στον οποίο η ΟΝΕ ΤΕΑΜ ανέθεσε να ελέγξει εάν τα µέτρα που είχε λάβει η εταιρία ήταν επαρκή και αν η «διαρροή» είχε γίνει από την εταιρία. Σύµφωνα µε το εν λόγω σηµείωµα «αποδεικνύεται η βέλτιστη δυνατή προστασία της ιδιωτικότητας του επίµαχου αρχείου κατά τον χειρισµό του από τα µέλη της εταιρίας ‘ΟΝΕ ΤΕΑΜ’ και η αδιάβλητη πρόσβαση στις πληροφορίες του εγγράφου ΜΟΝΟ από τους δύο ανωτέρω περιγραφόµενους χρήστες της εταιρίας ‘ΟΝΕ ΤΕΑΜ’». Τέλος, η ONE TEAM προς επίρρωση των ισχυρισµών της περί θεµιτής και νόµιµης συλλογής προσωπικών δεδοµένων ανέφερε ότι η επίµαχη επεξεργασία «αφορούσε αποκλειστικά και µόνο τον πελάτη µας, καθώς τα δεδοµένα δεν διαβιβάζονταν ούτε κοινοποιούνταν σε τρίτους και κατ’ αποτέλεσµα δεν ήµασταν υποχρεωµένοι να προβούµε σε γνωστοποίηση, ούτε και να λάβουµε σχετική άδεια από την Αρχή όπως προβλέπεται στο άρθρο 7 Α, παρ. 1, περ. β’». Τα ΕΛΠΕ διευκρίνισαν, µε το ως άνω υπόµνηµά τους, µεταξύ άλλων, ότι ουδέποτε έδωσαν εντολή στην ΟΝΕ ΤΕΑΜ για επεξεργασία προσωπικών δεδοµένων και αρνήθηκαν ότι αναγνώρισαν ή αποδέχθηκαν την αποσταλείσα µελέτη.

Συγκεκριµένα, αναφορικά µε τη δηµιουργία αρχείου µε προσωπικά δεδοµένα υποστήριξαν ότι αυτή «βρίσκεται εκτός του συµφωνηθέντος αντικειµένου του ως άνω συµφωνητικού και υπερβαίνει το σκοπό των συµφωνηθέντων υπηρεσιών, και βεβαίως δεν τελεί σε συµφωνία µε τις αξίες και τις αρχές των ΕΛΠΕ, όπως αυτές αποτυπώνονται στον Κώδικα ∆εοντολογίας Οµίλου ΕΛΛΗΝΙΚΑ ΠΕΤΡΕΛΑΙΑ».

Η Αρχή, µετά από εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε την εισηγήτρια και τη βοηθό εισηγήτρια, η οποία παρέστη χωρίς δικαίωµα ψήφου και αποχώρησε µετά από τη συζήτηση της υποθέσεως και πριν από τη διάσκεψη και τη λήψη αποφάσεως, και κατόπιν διεξοδικής συζητήσεως, λαµβάνοντας υπόψη ιδίως:

1. Τις διατάξεις του άρθρου 2 στοιχ. α΄, β΄, δ΄, ζ΄ και θ΄ Ν. 2472/1997 για την προστασία του ατόµου από την επεξεργασία δεδοµένων προσωπικού χαρακτήρα σύµφωνα µε τις οποίες, όπως ισχύουν, «Για τους σκοπούς του παρόντος νόµου νοούνται ως: α)“∆εδοµένα προσωπικού χαρακτήρα”, κάθε πληροφορία που αναφέρεται στο υποκείµενο των δεδοµένων […]. β)“Ευαίσθητα δεδοµένα” τα δεδοµένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήµατα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συµµετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά µε ποινικές διώξεις ή καταδίκες, καθώς και στη συµµετοχή σε συναφείς µε τα ανωτέρω ενώσεις προσώπων [..] δ)“Επεξεργασία δεδοµένων προσωπικού χαρακτήρα” (“επεξεργασία”), κάθε εργασία ή σειρά εργασιών που πραγµατοποιείται, από το ∆ηµόσιο ή από νοµικό πρόσωπο δηµοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο µε ή χωρίς τη βοήθεια αυτοµατοποιηµένων µεθόδων και εφαρµόζονται σε δεδοµένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης µορφής διάθεση, η συσχέτιση ή ο συνδυασµός, η διασύνδεση, η δέσµευση (κλείδωµα), η διαγραφή, η καταστροφή […] ζ)“Υπεύθυνος Επεξεργασίας” οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα, όπως φυσικό ή νοµικό πρόσωπο, δηµόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισµός. […] η) “Εκτελών την επεξεργασία”, οποιοσδήποτε επεξεργάζεται δεδοµένα προσωπικού χαρακτήρα για λογαριασµό υπεύθυνου επεξεργασίας, όπως φυσικό ή νοµικό πρόσωπο, δηµόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισµός.».

2. Τις διατάξεις του άρθρου 4 παρ. 1 Ν. 2472/1997, σύµφωνα µε τις οποίες «[…] τα δεδοµένα προσωπικού χαρακτήρα για να τύχουν νόµιµης επεξεργασίας πρέπει: α) Να συλλέγονται κατά τρόπο θεµιτό και νόµιµο για καθορισµένους, σαφείς και νόµιµους σκοπούς και να υφίστανται θεµιτή και νόµιµη επεξεργασία ενόψει των σκοπών αυτών. β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται εν όψει των σκοπών της επεξεργασίας. […]».

3. Τις διατάξεις του άρθρου 7 παρ. 2 Ν.2472/1997, σύµφωνα µε τις οποίες

«1. Απαγορεύεται η συλλογή και η επεξεργασία ευαίσθητων δεδοµένων.

2. Κατ’ εξαίρεση επιτρέπεται η συλλογή και η επεξεργασία ευαίσθητων δεδοµένων […] ύστερα από άδεια της Αρχής, όταν συντρέχουν µία ή περισσότερες από τις ακόλουθες περιπτώσεις […].». 4. Τις διατάξεις του άρθρου 10 παρ. 2 επ. Ν. 2472/97, σύµφωνα µε τις οποίες «2. Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα µε αντίστοιχα επαγγελµατικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση απορρήτου.

3. Ο υπεύθυνος επεξεργασίας οφείλει να λαµβάνει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας. Αυτά τα µέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδοµένων που είναι αντικείµενο της επεξεργασίας. […]

4. Αν η επεξεργασία διεξάγεται για λογαριασµό του υπεύθυνου από πρόσωπο µη εξαρτώµενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία την διεξάγει µόνο κατ’ εντολή του υπευθύνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν.».

5. Τις διατάξεις του άρθρου 19 παρ. 1 στοιχ. η) Ν. 2472/1997, σύµφωνα µε τις οποίες «Η Αρχή έχει τις εξής ιδίως αρµοδιότητες:… η) Ενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας διοικητικούς ελέγχους στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδοµή και άλλα, αυτοµατοποιηµένα ή µη, µέσα που υποστηρίζουν την επεξεργασία των δεδοµένων. Έχει προς τούτο δικαίωµα προσβάσεως στα δεδοµένα προσωπικού χαρακτήρα και συλλογής κάθε πληροφορίας για τους σκοπούς του ελέγχου, χωρίς να µπορεί να της αντιταχθεί κανενός είδους απόρρητο…», στην ανωτέρω δε έννοια των διοικητικών ελέγχων δεν περιλαµβάνονται µόνον οι επιτόπιοι έλεγχοι, αλλά και οι έλεγχοι που διεξάγονται µέσω συλλογής στοιχείων µε άλλους τρόπους, όπως για παράδειγµα µέσω αλληλογραφίας ή µέσω συναντήσεων µε τους ελεγχόµενους φορείς, όπως εν προκειµένω.

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1. Η συλλογή πληροφοριών που αναφέρονται σε φυσικά πρόσωπα και αφορούν σε πολιτικά φρονήµατα, συµµετοχή σε συνδικαλιστική οργάνωση και συµµετοχή σε ενώσεις προσώπων, όπως στην υπό κρίση υπόθεση, συνιστά επεξεργασία προσωπικών δεδοµένων και δη ευαίσθητων κατά την έννοια του άρθρου 2 περ. δ΄ Ν.247219971 . Προκειµένου να είναι νόµιµη η ανωτέρω επεξεργασία θα έπρεπε να πληρούνται οι προϋποθέσεις εφαρµογής των διατάξεων των άρθρων 4 και 7 Ν. 2472/1997. Ειδικότερα, για την επεξεργασία ευαίσθητων προσωπικών δεδοµένων απαιτείται, πέρα από την πλήρωση µιας, τουλάχιστον, εκ των προϋποθέσεων που αναφέρονται στο άρθρο 7 παρ. 2 του ως άνω νόµου, ο υπεύθυνος επεξεργασίας να έχει προηγουµένως ζητήσει και λάβει την άδεια της Αρχής. 2. Κατά τη γενική διάταξη του άρθρου 4 παρ. 2 Ν. 2472/1997 οι υποχρεώσεις του νόµου αναφορικά µε την επεξεργασία προσωπικών δεδοµένων βαρύνουν τον υπεύθυνο επεξεργασίας. Στον γενικό αυτό κανόνα αντιστοιχεί και η υποχρέωση του υπευθύνου επεξεργασίας να λαµβάνει κατά το άρθρο 10 παρ. 3 τα κατάλληλα µέτρα ασφάλειας. Ειδικότερα, ο υπεύθυνος επεξεργασίας οφείλει να λαµβάνει τέτοια κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων και την προστασία τους από τυχαία ή αθέµιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευµένη διάδοση ή πρόσβαση και κάθε άλλη µορφή αθέµιτης επεξεργασίας

1 Στην υπό κρίση υπόθεση, εφαρµόζονται οι διατάξεις του Ν. 2472/1997, καθώς η επεξεργασία έλαβε χώρα το 2017, δηλαδή χρόνο πριν από την θέση σε εφαρµογή του ΓΚΠ∆

Αυτά τα µέτρα πρέπει να εξασφαλίζουν επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδοµένων που είναι αντικείµενο της επεξεργασίας.

3. Στην υπό κρίση υπόθεση, από τα στοιχεία του φακέλου της υπόθεσης, την ακρόαση, τα υποµνήµατα που υποβλήθηκαν και από το σύνολο της διαδικασίας προέκυψαν τα εξής:

Α. Η εταιρία ONE TEAM συνέλεξε, µεταξύ άλλων, πληροφορίες σχετικές µε πολιτικά φρονήµατα, συµµετοχή σε συνδικαλιστική οργάνωση και συµµετοχή σε ενώσεις προσώπων, τα οποία, σύµφωνα µε την επίµαχη Μελέτη, δραστηριοποιούνταν αναφορικά µε το πρόβληµα της δυσοσµίας που προερχόταν από τη λειτουργία των ΕΛΠΕ στην περιοχή της ∆υτικής Θεσσαλονίκης. Η ONE TEAM, συνεπώς, προέβη σε επεξεργασία προσωπικών δεδοµένων και δη ευαίσθητων προσωπικών δεδοµένων. Η επίµαχη συλλογή έλαβε χώρα στο πλαίσιο της ανάληψης από την ΟΝΕ ΤΕΑΜ συµβατικής υποχρέωσης βάσει του από 19/4/2017 ιδιωτικού συµφωνητικού που είχε συνάψει η εν λόγω εταιρία µε τα ΕΛΠΕ. Ειδικότερα, σύµφωνα µε το ως άνω ιδιωτικό συµφωνητικό η ΟΝΕ ΤΕΑΜ ανέλαβε την υποχρέωση «να σχεδιάσει και να υλοποιήσει ολοκληρωµένο πρόγραµµα προσέγγισης και ενηµέρωσης της κοινής γνώµης στις περιοχές αυτές, παρέχοντας υπηρεσίες επικοινωνίας & διαχείρισης εταιρικής φήµης προς τα ΕΛΠΕ». Περαιτέρω, στη σελίδα 2 του συµφωνητικού αναφέρεται ότι µεταξύ αυτών των υπηρεσιών είναι και η «2. Χαρτογράφηση λίστας ενδιαφερόµενων κοινών (stakeholders) σε τοπικό επίπεδο (θεσµικοί πανεπιστηµιακοί φορείς, πολιτικά πρόσωπα, ΜΚΟ, κλπ)». Η ONE TEAM, συνεπώς, προέβη στην ανωτέρω επεξεργασία για λογαριασµό των ΕΛΠΕ βάσει του ως άνω συµφωνητικού. Κατ’ αυτόν τον τρόπο, η ONE TEAM αποτέλεσε τον εκτελούντα την επίµαχη επεξεργασία, ενώ τα ΕΛΠΕ αποτέλεσαν τον υπεύθυνο επεξεργασίας κατά τις έννοιες των διατάξεων του άρθρου 2 στοιχ ζ΄ και η΄ Ν. 2472/1997, αντίστοιχα. Ο ισχυρισµός των ΕΛΠΕ ότι η ΟΝΕ ΤΕΑΜ δεν ενήργησε για λογαριασµό τους, αλλά ενήργησε αυτοβούλως και ανεξάρτητα από οποιαδήποτε αντίστοιχη πρόθεση των ΕΛΠΕ, δεν είναι βάσιµος διότι, πέρα από τον ως άνω όρο του ιδιωτικού συµφωνητικού, τα ΕΛΠΕ παρέλαβαν την επίµαχη Μελέτη ως ολοκλήρωση της Φάσης 1 µε ηλεκτρονική αλληλογραφία που τους εστάλη από την ΟΝΕ ΤΕΑΜ στις αρχές Μαΐου 2017 και προχώρησαν τόσο στην καταβολή του συµφωνηθέντος τιµήµατος, κατά τα οριζόµενα στο ως άνω ιδιωτικό συµφωνητικό, όπως τόσο τα ΕΛΠΕ, όσο και η ΟΝΕ ΤΕΑΜ επιβεβαίωσαν κατά την εξέταση της υπό κρίση υπόθεσης. Επιπλέον, µετά τη λήψη της ως άνω 9 ηλεκτρονικής αλληλογραφίας, τα ΕΛΠΕ προχώρησαν στη Φάση 2 του συµφωνηθέντος προγράµµατος. Τα ΕΛΠΕ υποστηρίζουν ότι τόσο η συνέχιση του προγράµµατος, όσο και η καταβολή του συµφωνηθέντος για το µέχρι τότε παραδοθέν έργο τιµήµατος στην ΟΝΕ ΤΕΑΜ δεν συνεπάγονται από µόνα τους την από µέρους τους αποδοχή της επίµαχης Μελέτης, επικαλούµενα, ιδίως, το γεγονός ότι δεν την είχαν ελέγξει. Εκτός του ότι, όµως, δεν αποδείχθηκε το γεγονός αυτό ενώπιον της Αρχής, ο ισχυρισµός είναι απορριπτέος διότι από τα στοιχεία που έχουν προσκοµιστεί δεν προκύπτει η µη αποδοχή και άρνηση έγκρισης από τα ΕΛΠΕ της Μελέτης ούτε η σιωπηρή απόρριψή της. Αντιθέτως, εκ των ανωτέρω, λαµβανοµένου υπόψη και του όρου του ως άνω ιδιωτικού συµφωνητικού, σύµφωνα µε τον οποίο «Τα δύο µέρη συµφωνούν ότι µετά την ολοκλήρωση ή/και κατά τη διάρκεια της Φάσης 1 θα συµφωνήσουν περαιτέρω για το βαθµό και την ένταση ενεργοποίησης της Φάσης 2», συνάγεται ότι τα ΕΛΠΕ ενέκριναν την επίµαχη Μελέτη και για τον λόγο αυτό προχώρησαν τόσο στην πληρωµή του συµφωνηθέντος τιµήµατος προς την ΟΝΕ ΤΕΑΜ, όσο και στη φάση 2 του συµφωνηθέντος προγράµµατος. Και ναι µεν τα ΕΛΠΕ απέστειλαν την από 06.9.2017 εξώδικη δήλωση καταγγελίας προς την ΟΝΕ ΤΕΑΜ, µε την οποία κατήγγειλαν το από 19.4.2017 ιδιωτικό συµφωνητικό και δήλωσαν ότι δεν αποδέχονται την επίµαχη Μελέτη για τον λόγο ότι «κείται εκτός του αντικειµένου του έργου», η αιτιολογία, όµως αυτή της καταγγελίας δεν βρίσκει έρεισµα στα στοιχεία που έχουν τεθεί υπόψη της Αρχής.

Β. Στην υπό κρίση υπόθεση, τα ΕΛΠΕ, ως υπεύθυνος επεξεργασίας, ζήτησαν από την ΟΝΕ ΤΕΑΜ βάσει του από 19.4.2017 ιδιωτικού συµφωνητικού, µεταξύ άλλων, τη «Χαρτογράφηση λίστας ενδιαφερόµενων κοινών (stakeholders)». Για τον σκοπό αυτό, η ΟΝΕ ΤΕΑΜ προχώρησε στη συλλογή προσωπικών δεδοµένων, τόσο «απλών», όσο και ευαίσθητων2 . Για τη συλλογή αναφορικά µε τα ευαίσθητα προσωπικά δεδοµένα, τα ΕΛΠΕ, ως υπεύθυνος επεξεργασίας, όφειλαν, σύµφωνα µε όσα εκτίθενται ανωτέρω στη σκέψη 1, να έχουν λάβει άδεια από την Αρχή, την οποία ούτε αιτήθηκαν και κατ’ επέκταση ούτε έλαβαν. Ανεξαρτήτως αυτού, η εν λόγω επεξεργασία δεν θα µπορούσε πάντως να βρει έρεισµα σε κάποια από τις νοµιµοποιητικές βάσεις που προβλέπονται στο άρθρο 7 παρ. 2 Ν. 2472/1997. Εξάλλου, το γεγονός το οποίο επικαλείται η ΟΝΕ ΤΕΑΜ ότι συνέλεξε τα επίµαχα προσωπικά δεδοµένα από δηµόσια προσβάσιµες πηγές, όπως «ιστοσελίδες, µέσα

2 Πλέον, «ειδικές κατηγορίες δεδοµένων» σύµφωνα µε τον ΓΚΠ∆.

κοινωνικής δικτύωσης, ιστολόγια, κ.ά.» σε καµία περίπτωση δεν δύναται να καταστήσει την υπό κρίση επεξεργασία νόµιµη, καθώς ο σκοπός της αρχικής ανάρτησης-δηµοσιοποίησης των εν λόγω πληροφοριών και δεδοµένων είναι άλλος από τον σκοπό για τον οποίο αυτά συνελέγησαν τελικώς από την ΟΝΕ ΤΕΑΜ3 . Συνεπώς, η επεξεργασία που διενήργησε η ΟΝΕ ΤΕΑΜ για λογαριασµό των ΕΛΠΕ βάσει του ως άνω αναφερόµενου ιδιωτικού συµφωνητικού αντίκειται στις διατάξεις του άρθρου 7 Ν. 2472/1997 και για τον λόγο αυτό συνιστά παράνοµη επεξεργασία.

Γ. Αναφορικά µε την επεξεργασία των «απλών» προσωπικών δεδοµένων που περιέχονται στην Μελέτη δεν αποδείχθηκε ενώπιον της Αρχής η ύπαρξη νοµικής βάσης σύµφωνα µε τα οριζόµενα στο άρθρο 5 παρ. 2 του Ν. 2472/1997, αλλά ούτε οι ισχυρισµοί των ΕΛΠΕ θεµελιώνουν κάποια από τις οριζόµενες στη διάταξη αυτή νοµικές βάσεις. Τα ΕΛΠΕ υποστηρίζουν ότι ζήτησαν την επίµαχη Μελέτη χωρίς ονοµαστικά στοιχεία, γιατί είχαν υπέρτερο έννοµο συµφέρον σύµφωνα µε το άρθρο 5 παρ. 2 ε΄ του Ν.2472/1997 και αναφέρουν ειδικότερα στο µε αριθµ. πρωτ. Γ/ΕΙΣ/2033/13.3.2018 Υπόµνηµά τους ότι «Εν προκειµένω η κατάρτιση µιας µελέτης για την εξέταση της κοινής γνώµης και της ενόχλησής της από την λειτουργία του διυλιστηρίου, µε σκοπό τα ΕΛΠΕ να καθορίσουν και να λάβουν τα αναγκαία επιστηµονικά και περιβαλλοντικά µέτρα, σε συνεννόηση µε τις αρχές και σε συνάρτηση µε τις επιδιώξεις των «χαρτογραφούµενων» προσώπων, µε σκοπό την προστασία της περιοχής της ∆υτικής Θεσσαλονίκης αποτελεί έννοµο συµφέρον των ΕΛΠΕ. Έχουν, δηλαδή, έννοµο συµφέρον τα ΕΛΠΕ να προστατέψουν το περιβάλλον και την ανθρώπινη υγεία, στο πλαίσιο της τήρησης της σχετικής νοµοθεσίας και της κοινωνικής εταιρικής ευθύνης τους. […] Πάντοτε όποτε διαπιστώθηκε κάποια αθέλητη επέµβαση στο περιβάλλον, τα ΕΛΠΕ έλαβαν κάθε αναγκαίο µέτρο για την αποκατάσταση της όποιας δυσάρεστης κατάστασης και η επίµαχη µελέτη». Οι ισχυρισµοί, όµως, αυτοί δεν θεµελιώνουν έννοµο συµφέρον των ΕΛΠΕ για την επίµαχη επεξεργασία διότι αναφέρονται σε υποχρεώσεις τους που επιβάλλονται από την ισχύουσα νοµοθεσία, ανεξαρτήτως των υφιστάµενων απόψεων και τυχόν διαµαρτυριών των ενδιαφεροµένων παραγόντων (stakeholders) και, συνεπώς, η συλλογή και χρήση ονοµαστικών στοιχείων τους δεν έχει συνάφεια µε τον ως άνω περιγραφόµενο επιδιωκόµενο σκοπό.

3 Ενδεικτικά, βλ. απόφαση της Αρχής 59/2016.

Συνεπώς, η επίµαχη συλλογή «απλών» προσωπικών δεδοµένων δεν βρίσκει νοµικό έρεισµα ούτε στη διάταξη του άρθρου 5 παρ. 2 στοιχ. ε΄ Ν. 2472/1997.

. Σύµφωνα µε τη γνώµη του κ. Κ. Χριστοδούλου, µέλους της Αρχής, θα έπρεπε επιπροσθέτως να εξετασθεί και τυχόν παράβαση λόγω έλλειψης προηγούµενης ενηµέρωσης των υποκειµένων των επίµαχων δεδοµένων.

Ε. Η Αρχή έχει ήδη κρίνει4 ότι ως παραβίαση δεδοµένων προσωπικού χαρακτήρα νοείται η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνοµη καταστροφή, απώλεια, µεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδοµένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία σύµφωνα µε το άρθρο 10 παρ. 3 Ν. 2472/1997. Από το γράµµα και τον σκοπό της διάταξης του άρθρου 10 παρ. 3 Ν. 2472/1997 είναι σαφές ότι η υποχρέωση αυτή του υπευθύνου επεξεργασίας έχει τόσο προληπτικό, όσο και κατασταλτικό χαρακτήρα. Προληπτικό, ώστε, τα εφαρµοστέα µέτρα να αποτρέψουν περιστατικά παραβίασης προσωπικών δεδοµένων, κατασταλτικό, ώστε τυχόν περιστατικό να µπορεί να ανιχνευθεί και να διερευνηθεί. Οι υποχρεώσεις που απορρέουν από το ως άνω αναφερόµενο άρθρο 10 παρ. 3 του ν. 2472/1997 αναφορικά µε την ασφάλεια της επεξεργασίας βαρύνουν τον υπεύθυνο επεξεργασίας. Όταν δε ο υπεύθυνος επεξεργασίας χρησιµοποιεί άλλο πρόσωπο µη εξαρτώµενο από αυτόν, όπως στην υπό κρίση περίπτωση, «η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως». Ο υπεύθυνος επεξεργασίας οφείλει επιπλέον να ελέγχει τον εκτελούντα κατά την επεξεργασία5 . Στην υπό κρίση υπόθεση, η επίµαχη διαρροή συνιστά παραβίαση προσωπικών δεδοµένων κατά τα ανωτέρω εκτεθέντα και αποδεικνύει την έλλειψη επαρκών και κατάλληλων τεχνικών και οργανωτικών µέτρων κατά το άρθρο 10 παρ. 3 του Ν. 2472/1997. Τα ΕΛΠΕ, ως υπεύθυνος επεξεργασίας, όφειλαν να έχουν λάβει τα κατάλληλα οργανωτικά και τεχνικά µέτρα για την ασφάλεια των δεδοµένων που έτυχαν επεξεργασίας και για την προστασία τους από οποιαδήποτε παραβίαση. Κατά τη διαδικασία εξέτασης της υπόθεσης δεν προσκοµίστηκαν στην Αρχή επαρκή στοιχεία, ώστε να µπορεί να εξακριβωθεί ο τρόπος της επίµαχης διαρροής. Εξάλλου, από το σύνολο του φακέλου της υπόθεσης και όσα τα ίδια τα ΕΛΠΕ υποστήριξαν

4 Βλ. ενδεικτικά απόφαση 98/2013. Βλ. και Γνώµη ΟΕ29 υπ’ αρ. 03/2014 on Personal Data Breach Notification WP 213.

5 Πλέον, ο Γενικός Κανονισµός (ΕΕ) 2016/679 σε περιπτώσεις περιστατικών παραβίασης επιβάλλει την υποχρέωση τόσο στον υπεύθυνο επεξεργασίας, όσο και στον εκτελούντα να λάβουν άµεσα µέτρα (άρθρο 33).

κατά την ακρόαση της 27.2.2018, προέκυψε ότι τα ΕΛΠΕ δεν προχώρησαν σε κάποιο εσωτερικό έλεγχο µετά τη διαρροή της επίµαχης Μελέτης, προκειµένου να ελέγξουν εάν προήλθε από εκείνα η διαρροή, τον τρόπο µε τον οποίο έλαβε χώρα η διαρροή, κοκ. Περαιτέρω, από τα στοιχεία που προσκόµισε η εκτελούσα την επεξεργασία ONE TEAM, συµπεριλαµβανοµένου πορίσµατος από ειδικό εµπειρογνώµονα αναφορικά µε τη διαρροή, δεν κατέστησαν δυνατή τη διερεύνηση του περιστατικού παραβίασης. Κατά τα ανωτέρω, το ως άνω περιστατικό παραβίασης βαρύνει τα ΕΛΠΕ, τα οποία, ως υπεύθυνος επεξεργασίας, όφειλαν να έχουν εξασφαλίσει επίπεδο ασφαλείας ανάλογο προς τους κινδύνους που συνεπαγόταν η επίµαχη επεξεργασία και η φύση των δεδοµένων.

ΣΤ. Κατόπιν των ανωτέρω, η Αρχή, αφού έλαβε υπόψη τη σοβαρότητα της παραβίασης και τα εν γένει δεδοµένα της υπόθεσης, κρίνει οµόφωνα ότι πρέπει να επιβληθούν στον υπεύθυνο επεξεργασίας, µε βάση το άρθρο 21 παρ. 1 στοιχ. β΄ Ν. 2472/1997, οι κυρώσεις που αναφέρονται στο διατακτικό της παρούσας αφενός για παράνοµη επεξεργασία σύµφωνα µε τα άρθρα 5 και 7 Ν. 2472/1997 και αφετέρου για παράλειψη να ληφθούν κατάλληλα οργανωτικά και τεχνικά µέτρα ασφάλειας σύµφωνα µε τα οριζόµενα στο άρθρο 10 Ν. 2472/1997, η οποία οδήγησε σε περιστατικό παραβίασης προσωπικών δεδοµένων.

Για τους λόγους αυτούς

Η Αρχή

Α) Επιβάλλει πρόστιµο ύψους 20.000 ευρώ στα ΕΛΠΕ, ως υπεύθυνο επεξεργασίας, για παράνοµη επεξεργασία σύµφωνα µε τα άρθρα 4, 5 και 7 Ν. 2472/1997.

Β) Επιβάλλει πρόστιµο ύψους 10.000 ευρώ στα ΕΛΠΕ, ως υπεύθυνο επεξεργασίας, για παράλειψη λήψης κατάλληλων οργανωτικών και τεχνικών µέτρων ασφάλειας, σύµφωνα µε τα οριζόµενα στο άρθρο 10 Ν. 2472/1997, η οποία οδήγησε σε περιστατικό παραβίασης προσωπικών δεδοµένων.

Ο Πρόεδρος Η Γραµµατέας Κωνσταντίνος Μενουδάκος Ειρήνη Παπαγεωργοπούλου

Be the first to comment!
 
Leave a reply »