«Ψαράκης & Κεφαλάς» (www.psarakislegal.com).
Χριστίνα Καπουράνη, ΜΔΕ (mult.), Pgcert, Υποψήφια Δ.Ν.
Περίληψη: Η παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα ποινικοποιείται, πλέον, στο άρθρο 38 του ειδικού νόμου 4624/2019, ο οποίος αντικατέστησε το προγενέστερο καθεστώς του νόμου 2472/1997 και, ιδίως, το άρθρο 22 αυτού. Με τον τελευταίο ενσωματώθηκε στο ελληνικό δίκαιο ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ΕΕ 679/2018, γνωστός και ως GDPR (General Data Protection Regulation) καθώς και η οδηγία ΕΕ 690/2016 περί επεξεργασίας προσωπικών δεδομένων από τις αρμόδιες αρχές για την ανίχνευση αδικημάτων και εκτέλεση ποινικών κυρώσεων. Παρακάτω θα προσπαθήσουμε, εν συντομία, να περιγράψουμε τα επιμέρους αδικήματα του άρθρου 38, την ποινική τους αντιμετώπιση καθώς και τις περιπτώσεις εκείνες που η διενεργηθείσα επεξεργασία έγινε «με δικαίωμα» αποκλείοντας, ως εκ τούτου, την τέλεση ποινικού αδικήματος. Ιδιαίτερη, δε, αναφορά, γίνεται και στην περίπτωση της «εκδικητικής», όπως χαρακτηρίζεται, δημοσιοποίησης δεδομένων με σκοπό όχι την οικονομική εκμετάλλευση του υποκειμένου αυτών αλλά την κοινωνική διαπόμπευσή του.
- Εισαγωγή – Απαραίτητες εννοιολογικές διευκρινίσεις:
Με το νόμο 4624/2019 λήφθηκαν μέτρα εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (GDPR) ΕΕ 679/2016 και της οδηγίας ΕΕ 680/2016 περί ειδικής επεξεργασίας δεδομένων από τις αρμόδιες διωκτικές αρχές αναφορικά με την τέλεση ποινικών αδικημάτων και αντικαταστάθηκε το προγενέστερο ρυθμιστικό πλαίσιο του νόμου 2472/1997. Τόσο, δε, υπό την παλαιά ρύθμιση όσο και υπό την ισχύουσα, γίνεται δεκτό ότι η προστασία των προσωπικών δεδομένων, εν γένει, (άρα και η ποινική πλευρά αυτής που μας ενδιαφέρει στο παρόν) στηρίζεται στο σχήμα «κανόνας – εξαίρεση», με την έννοια ότι κάθε επεξεργασία προσωπικών δεδομένων φυσικού προσώπου είναι παράνομη, εκτός αν υπάρχει ειδική νομική διάταξη που την προβλέπει και, ως εκ τούτου, την επιτρέπει (όπως είναι οι διατάξεις, λ.χ., που προβλέπουν την συγκατάθεση του προσώπου, κατά τα όσα αναλύουμε και παρακάτω).
Βασικές έννοιες, δε, στο δίκαιο της προστασίας των δεδομένων γενικά, στις οποίες πρέπει να γίνει αναφορά προκειμένου να καταστεί αντιληπτή η περιγραφόμενη ρύθμιση, είναι οι εξής: αυτή α) των δεδομένων προσωπικού χαρακτήρα, β) του υποκειμένου των δεδομένων, γ) του υπεύθυνου επεξεργασίας και δ) του συστήματος αρχειοθέτησης. Έτσι, λοιπόν, έχουμε τους παρακάτω βασικούς ορισμούς:
α. Δεδομένο προσωπικού χαρακτήρα: συνιστά κάθε πληροφορία που αφορά φυσικό πρόσωπο που έχει ταυτοποιηθεί ή μπορεί να ταυτοποιηθεί (β. υποκείμενο των δεδομένων). Ιδίως όσον αφορά στο ταυτοποιήσιμο πρόσωπο η ταυτότητα αυτού μπορεί να εξακριβωθεί αμέσως (με αναφορά σε όνομα, επώνυμο, αριθμό ταυτότητας, παράδειγμα: ο Αριθμός Δελτίου Ταυτότητας είναι προσωπικό δεδομένο καθώς μπορεί να συνδεθεί με ένα συγκεκριμένο φυσικό πρόσωπο και να το ταυτοποιήσει) ή εμμέσως (με αναφορά, λ.χ., σε στοιχεία που προσδιορίζουν τη σωματική, ψυχολογική, οικονομική, οικογενειακή ή κοινωνική του κατάσταση του προσώπου, παράδειγμα: οι αναφορές: «γνωστή, ξανθιά, τηλεπαρουσιάστρια των βορείων προαστίων» συνιστούν προσωπικά δεδομένα, εφόσον μπορούν να συνδεθούν με ένα συγκεκριμένο φυσικό πρόσωπο).
β. Υπεύθυνος Επεξεργασίας: είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία, εν γένει, που είναι υπεύθυνη για τον προσδιορισμό του σκοπού της επεξεργασίας ή τον τρόπο επεξεργασίας {παράδειγμα: Ανώνυμη εταιρεία παροχής ενέργειας αποτελεί υπεύθυνο επεξεργασίας ως προς τα προσωπικά δεδομένα που τηρεί για τους πελάτες και τους εργαζομένους της (όπως όνομα, στοιχεία επικοινωνίας, στοιχεία ταυτότητας, ιατρικά δεδομένα κ.ο.κ.)}.
γ. Σύστημα Αρχειοθέτησης: είναι ένα οργανωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με βάση ορισμένα κριτήρια {όπως όνομα, ημερομηνία, χρονική σειρά τήρησης, είδος δεδομένου κ.ο.κ., παραδείγματα: λίστα με ονόματα επιβατών στους υπολογιστές μίας αεροπορικής εταιρείας συνιστά σύστημα αρχειοθέτησης όπως και ένα άλμπουμ με φωτογραφίες εικονιζόμενων φυσικών προσώπων που τηρείται από άλλο φυσικό πρόσωπο σε ηλεκτρονική ή και φυσική μορφή, καθώς και οι μαγνητοσκοπήσεις και οι μαγνητοφωνήσεις τηλεοπτικών εκπομπών (Βλ. ΣυμβΠλημΑθ 4087/2016), οι βιντεοκάμερες και τα σύγχρονα κινητά τηλέφωνα (Βλ. ΑΠ 1306/2016), τα αρχεία ποινικών αποφάσεων των ποινικών δικαστηρίων (Βλ. ΣυμβΠλημΘεσσαλ 1247/2011). Δεν συνιστά, όμως, όπως έχει κριθεί, σύστημα αρχειοθέτησης η ποινική δικογραφία η οποία βρίσκεται σε εξέλιξη και δεν έχει αρχειοθετηθεί (Βλ. ΣυμβΠλημΑθ 2942/2003 και παρακάτω αναλυόμενη υπ΄ αριθμ. 222/2021 Διατ.ΕΠλημΑθ)}.
Σημειώνεται, περαιτέρω, ότι με την πρόβλεψη του ποινικού αδικήματος της «χωρίς δικαίωμα» επεξεργασίας προσωπικών δεδομένων στόχος είναι να προστατευτεί η λεγόμενη πληροφοριακή αυτοδιάθεση του προσώπου, δηλαδή το δικαίωμα του να ελέγχει τις πληροφορίες που το αφορούν, είτε αυτές αποτελούν ειδικές κατηγορίες δεδομένων (ευαίσθητα δεδομένα, όπως τα ξέραμε υπό τον προγενέστερο νόμο) και βρίσκονται, ως εκ τούτου, στον πυρήνα της ιδιωτικής ζωής (όπως είναι, για παράδειγμα, η σεξουαλική ταυτότητα, η σωματική και η ψυχική υγεία, η οικογενειακή ζωή κ.ο.κ.), είτε συνιστούν απλά δεδομένα (όπως το όνομα, το επώνυμο, η διεύθυνση, ο αριθμός τηλεφώνου κ.ο.κ.), ακόμη κι αν αυτά τα δεδομένα έχουν καταστεί ευρέως γνωστά. Δεδομένων, δε, των σύγχρονων τεχνολογικών δυνατοτήτων επεξεργασίας πληροφοριών (βλ. ηλεκτρονικοί υπολογιστές, smart phones κ.ο.κ.) στόχος είναι, ιδίως, η προστασία του προσώπου από την αθέμιτη κατάρτιση προφίλ, δηλαδή από τη δημιουργία ενός, όπως λέγεται, πορτραίτου προσωπικότητας μέσω της αποσπασματικής σύνδεσης φαινομενικά άσχετων πληροφοριών με σκοπό την απόδοση νοήματος μη ηθελημένου και μη επιδιωκόμενου από το πρόσωπο που το αφορούν, συνήθως κατόπιν δημιουργίας νέων πληροφοριών – δεδομένων {παράδειγμα: άλλο είναι, σαφώς, το νόημα και η αξία της πληροφορίας της διεύθυνσης ενός προσώπου που με τη συναίνεσή του αναγράφεται σε έναν λογαριασμό οφειλών (στόχος: η ορθή αποστολή της ειδοποίησης οφειλών) και άλλο όταν, δίχως συναίνεση, τοποθετείται σε σχετικό δημοσιογραφικό άρθρο για να προσδιορίσει, λ.χ., την οικονομική κατάσταση αυτού, η οποία αξιολογείται, εν προκειμένω, με κριτήριο την επιλογή του τόπου κατοικίας (στόχος: ο μη επιθυμητός από το πρόσωπο προσδιορισμός της οικονομικής και κοινωνικής του τάξης)}.
- Τα επιμέρους αδικήματα του άρθρου 38 ν. 4624/2019:
Στο άρθρο 38 του νόμου περιγράφονται οι τις δύο βασικές μορφές του αδικήματος το οποίο τελείται με δύο τρόπους: α) με παράνομη επέμβαση στο σύστημα αρχειοθέτησης, όπως το ορίσαμε, στο οποίο τηρούνται τα δεδομένα ή με, κατά κύριο λόγο, αναπαραγωγή και επεξεργασία αυτών και β) με διάδοση δεδομένων (που, κατόπιν της παραπάνω παράνομης επέμβασης, γνωρίζει ή απέκτησε ο δράστης (πρόκειται για το λεγόμενο αδίκημα της κοινολόγησης). Έτσι, το αδίκημα τελεί κατά τις παραγράφους 1 και 2 του αρ. 38:
«1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών• β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει» (Παραδείγματα: οικιακή βοηθός αποκτά πρόσβαση στον ηλεκτρονικό υπολογιστή του δημοφιλούς στον καλλιτεχνικό χώρο εργοδότη της και, χωρίς τη συναίνεσή του, αντιγράφει σειρά φωτογραφιών με απεικονιζόμενο τον ίδιο κατόπιν χρήσης του κινητού της τηλεφώνου, βλ. και καταδικαστική ΕφΑιγ (Ποιν) 112/2019 κατά την οποία « … ο κατηγορούμενος προέβαινε σε ηλεκτρονικές παραγγελίες συναλλαγές, αναφορικά με την αγορά προϊόντων υπολογιστών από τα ηλεκτρονικά καταστήματα με τις επωνυμίες …… και …… χρησιμοποιώντας, μεταξύ άλλων, και τα στοιχεία των προεκτεθέντων πιστωτικών καρτών, εκδοθέντων από τραπεζικά ιδρύματα του εξωτερικού, τα οποία άπαντα είχε υποκλέψει κατόπιν επέμβασης στο αρχείο του υπολογιστή του ξενοδοχείου με επωνυμία …… στο οποίο εργαζόταν ως υπάλληλος υποδοχής, ανηκόντων σε πελάτες του εν λόγω ξενοδοχείου…).
«2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α’ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών» (Παράδειγμα: Βλ. καταδικαστική ΜονΠΛημΚαλαμ 4033/2005 κατά την οποία στελέχη τραπεζικού ιδρύματος απέστειλαν προς δημοσίευση σε εφημερίδα ευρείας κυκλοφορίας στοιχεία σχετικά με τις οικονομικές οφειλές του παθόντος μεταξύ των οποίων και στοιχεία που αφορούσαν τους εκκρεμείς σε βάρος της περιουσίας του πλειστηριασμούς).
Προκύπτει, συνεπώς, ότι δεν πράττει το αδίκημα όποιος προβαίνει σε χρήση πληροφοριών στις οποίες απέκτησε πρόσβαση τυχαία, δίχως, δηλαδή να επέμβει και να ερευνήσει κάποιο αρχείο ή δίχως να του τις μεταδώσει τρίτος που επενέβη στο αρχείο αυτό. Μόνο, δε, απόπειρα του αδικήματος μπορεί να υπάρξει όταν ο δράστης αποκτήσει πρόσβαση σε κρυπτογραφημένα ή ψευδοποιημένα δεδομένα, δεδομένα, δηλαδή, τα οποία δεν μπορούν να συνδεθούν με ένα συγκεκριμένο πρόσωπο (εκτός αν αυτός που επεμβαίνει καταφέρει να τα αποκρυπτογραφήσει ή να τα καταστρέψει, οπότε στην τελευταία περίπτωση θα έχουμε αδίκημα του δεύτερου τρόπου τέλεσης της πρώτης παραγράφου (… αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, …. διαγράφει, καταστρέφει …).
iii. Η ποινική τους αντιμετώπιση:
Οι δύο παραπάνω βασικές μορφές εκδήλωσης του αδικήματος είναι πλημμελήματα με τη δεύτερη (αυτή της κοινολόγησης) να αντιμετωπίζεται βαρύτερα, λόγω της μεγαλύτερης προσβολής που συνεπάγεται για το θύμα η περαιτέρω διάδοση των δεδομένων του από το δράστη. Έτσι, λοιπόν, ο τελευταίος τιμωρείται με ποινή φυλάκισης μέχρι ένα (1) έτος, αν δεν τιμωρείται βαρύτερα από άλλη διάταξη, για την τέλεση πράξεων της πρώτης παραγράφου και με ποινή φυλάκισης έως πέντε (5) έτη για την τέλεση των πράξεων της δεύτερης παραγράφου. Στο ίδιο, δε, άρθρο 38 προβλέπονται, περαιτέρω, μία αυστηρότερα τιμωρούμενη περίπτωση του αδικήματος της κοινολόγησης δεδομένων (πρόκειται, όπως λέγεται, για το αδίκημα κοινολόγησης ειδικών κατηγοριών δεδομένων ή δεδομένων που αφορούν ποινικές καταδίκες) καθώς και κακουργηματικές περιπτώσεις του αδικήματος με κριτήριο α) τη συνολικώς επιδιωκόμενη ωφέλεια/ζημία από την πράξη ή την ηθική του βλάβη, εν γένει β) τον κίνδυνο που προκλήθηκε για το δημοκρατικό πολίτευμα ή την εθνική ασφάλεια. Έτσι οι παράγραφοι 3,4,5 του άρθρου 38 νόμου 4624/2019 έχουν ως εξής: «…3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ (τέτοια είναι, ιδίως, δεδομένα σχετικά με: σεξουαλική ταυτότητα και γενικότερα γενετήσιο προσανατολισμό, υγεία, πολιτικά φρονήματα, θρησκευτικές πεποιθήσεις) ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη. 4. Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ. 5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ».
Να σημειωθεί, ωστόσο, ότι μετά το νέο άρθρο 463 παρ. 2 και 3 ΠΚ (έναρξη εφαρμογής από 1.7.2019), κατά το οποίο {«2. Όπου σε ειδικούς ποινικούς νόμους απειλείται ποινή φυλάκισης, προστίθεται διαζευκτικά και η χρηματική ποινή, όπως αυτή προβλέπεται στο αρ. 57 του παρόντος κώδικα … 3. Όπου σε ειδικούς ποινικούς νόμους απειλείται κάθειρξη έως δέκα έτη, επιβάλλεται ποινή μειωμένη κατά το αρ. 83 περ. γ’ (αντί για την ποινή της κάθειρξης επιβάλλεται φυλάκιση τουλάχιστον ενός (1) έτους ή κάθειρξη έως οχτώ (8) έτη)}. Η πράξη διατηρεί τον κακουργηματικό της χαρακτήρα … »), οι προβλεπόμενες ποινές στον υπό κρίση ειδικό ποινικό νόμο διαμορφώνονται αντίστοιχα.
- Πότε υπάρχει «δικαίωμα» επεξεργασίας που αποκλείει την τέλεση του αδικήματος:
Όπως προαναφέρθηκε, αν δεν υπάρχει ειδική νομική βάση που να επιτρέπει την επεξεργασία των δεδομένων φυσικού προσώπου (απλών και ειδικών) αυτή είναι απαγορευμένη. Στο νόμο 4624/2019 οι σχετικές βάσεις επιτρεπτής επεξεργασίας εντοπίζονται στα άρθρα 21 έως 30 και 46 έως 52. Οι σημαντικότερες απ’ αυτές, που απασχόλησαν την νομολογία των δικαστηρίων μας και υπό τον προγενέστερο νόμο, είναι α) η συγκατάθεση του υποκειμένου των δεδομένων, β) το υπέρτερο έννομο συμφέρον του υπεύθυνου επεξεργασίας και γ) η δημοσιοποίηση των δεδομένων από το ίδιο το υποκείμενο των δεδομένων. Έτσι όταν συντρέχουν οι προϋποθέσεις εφαρμογής των ως άνω περιπτώσεων επιτρεπτής επεξεργασίας τότε δεν μπορεί να γίνει λόγος για τέλεση του αδικήματος. Αναλυτικότερα:
α) Η συγκατάθεση του υποκειμένου των δεδομένων: Η συγκατάθεση του προσώπου για την επεξεργασία των δεδομένων του προβλέπεται απευθείας στον κανονισμό προστασίας (άρθρο 6 παρ. 1α’ και 9 παρ. 2α’). Η συγκατάθεση αποτελεί κατά την έννοια του κανονισμού «κάθε ένδειξη βούλησης, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρη επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί με δήλωση ή με σαφή θετική ενέργεια να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν». Έτσι, λοιπόν, η συγκατάθεση θα πρέπει να είναι ελεύθερη (να μην είναι, δηλαδή, αποτέλεσμα εξαναγκασμού από τον υπεύθυνο επεξεργασίας, ιδίως στις περιπτώσεις που υπάρχει σχέση εξάρτησης με τον τελευταίο, ως είναι, λ.χ., οι σχέσεις εξαρτημένης εργασίας), αλλά και να δίνεται για ένα συγκεκριμένο σκοπό επεξεργασίας κατόπιν, φυσικά, σαφούς ενημέρωσης του προσώπου για α) τον υπεύθυνο επεξεργασίας β) το σκοπό της επεξεργασίας, γ) τα δεδομένα επί των οποίων θα λάβει χώρα η επεξεργασία, δ) το δικαίωμα ανάκλησης της δοθείσας συγκατάθεσης και ε) το ενδεχόμενο διαβίβασης των δεδομένων σε τρίτη χώρα της ΕΕ καθώς και τον κίνδυνο που συνεπάγεται αυτή (Βλ. ιδίως άρθρο 43 κανονισμού).
Αξίζει, τέλος, να σημειωθεί ότι για τη νομιμότητα της επεξεργασίας δεν αρκεί μόνο η συγκατάθεση του υποκειμένου αλλά θα πρέπει η γενικότερη η επεξεργασία να μην είναι υπέρμετρη σε σχέση με τον επιδιωκόμενο σκοπό επεξεργασίας. Να τηρείται, δηλαδή, η λεγόμενη αρχή της αναλογικότητας. Έτσι, στην υπ΄αριθμ. 3425/2021 ΠΠρΘεσσαλ κρίθηκε ότι η ενσωμάτωση σε δικόγραφο αγωγής μη εναγόμενων προσώπων, των ποσοστών συμμετοχής τους σε ανώνυμη εταιρεία και των ιδιοτήτων τους στη διοίκηση αυτής ήταν άνευ συγκαταθέσεως, δίχως να εξυπηρετεί, περαιτέρω, τον επιδιωκόμενο με την αγωγή σκοπό. Η χρήση, δε, αυτών των δεδομένων από τα ίδια τα πρόσωπα σε προγενέστερες δίκες δεν αποτελεί συγκατάθεση για «ες αεί» επεξεργασία καθιστώντας την τελευταία παράνομη και αντίθετη με το ά. 38 ν. 4624/2019, στο οποίο στηριζόταν η σχετική αγωγή. Απόσπασμα της αποφάσεως έχει ως εξής « … Ο εναγόμενος προέβη στην ως άνω επεξεργασία χωρίς να λάβει τη συγκατάθεση των υποκειμένων των δεδομένων, όπως αβάσιμα ισχυρίζεται. Τούτο, δε, διότι παρά το γεγονός ότι όλοι οι ενάγοντες έκαναν χρήση ορισμένων εκ των δεδομένων αυτών σε προηγούμενες δικαστικές διενέξεις με τον εναγόμενο όπως προκύπτει από το σχετικό Νο … των από ……. προτάσεων του τρίτου των εναγόντων, ουδέποτε προέβησαν σε ρητή και ειδική, σύμφωνα με τα αρ. 6 και 7 του ΓΚΠΔ σε συνδυασμό με την αιτιολογική σκέψη του αρ. 32 του προοιμίου αυτού, δήλωση συγκατάθεσης για την περαιτέρω επεξεργασία αυτών {…} Περαιτέρω, αποδείχθηκε ότι ο εναγόμενος υπέβαλε σε περαιτέρω επεξεργασία τα επίδικα προσωπικά δεδομένα, χωρίς να εξυπηρετεί συγκεκριμένο νόμιμο σκοπό παραβιάζοντας την αρχή της αναλογικότητας και την αρχή της ελαχιστοποίησης των προσωπικών δεδομένων, κατά τα αρ. 5,6 ΓΚΠΔ, διότι δεν ήταν συναφή προς το σκοπό της επεξεργασίας καθώς οι αγωγές στις οποίες ενσωματώθηκαν στρέφονταν μόνο κατά της δεύτερης ενάγουσας και επομένως δεν υπήρχε κανένας λόγος να περιληφθούν τα προσωπικά δεδομένα του τρίτου ενάγοντος, ενώ και ως προς τον πρώτο ενάγοντα, η απόδειξη της αναλήθειας των ισχυρισμών του σε προηγούμενη ένορκη κατάθεση που έδωσε στο πλαίσιο άλλης δίκης σχετικά με το ποιόν του (του εναγομένου) ως συζύγου, πατέρα και επιχειρηματία, ουδόλως σχετίζεται με την παράθεση των ποσοστών της μετοχικής σύνθεσης και την ιδιότητα του στο μετοχικό συμβούλιο της εταιρείας ………… Α.Ε.».
β) Το έννομο συμφέρον του υπεύθυνου επεξεργασίας: Στο αρ. 6 παρ. 1 στ΄ του κανονισμού ορίζεται «η επεξεργασία είναι σύννομη εφόσον …. είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα ….».Στο άρθρο, δε, 9 παρ. 2 αυτού νομιμοποιείται, περαιτέρω, η επεξεργασία δεδομένων ειδικών κατηγοριών καθώς η επεξεργασία των τελευταίων είναι επιτρεπτή όταν «είναι απαραίτητη για τη θεμελίωση, άσκηση, υποστήριξη, νομικών αξιώσεων ή όταν τα δικαστήρια ενεργούν υπό τη δικαιοδοτική τους ιδιότητα». Παρόμοια ρύθμιση υφίσταται και στο ά. 25 παρ. 1 γ’ νόμου 4624/2019 κατά το οποίο η επεξεργασία απλών προσωπικών δεδομένων είναι νόμιμη, ακόμη και για σκοπό διαφορετικό απ’ αυτόν που συλλέχθηκαν, εφόσον είναι απαραίτητη για τη θεμελίωση και ενάσκηση νομικών αξιώσεων και δεν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων. Το αν υφίσταται, συνεπώς, ή όχι έννομο συμφέρον επεξεργασίας το κρίνουν τα δικαστήρια. Η επίκληση, δε, εννόμου συμφέροντος επεξεργασίας απαντάται, κυρίως, στις εξής περιπτώσεις:
– Δικαστικών αγώνων προς άσκηση ουσιαστικού ή δικονομικού δικαιώματος: Έτσι με την ΣυμβΠλημΑθ 1001/2002 κρίθηκε ότι δεν έδρασε χωρίς δικαίωμα συνήγορος που προσκόμισε δυσμενή οικονομικά στοιχεία, δηλαδή εγγραφές στον Τειρεσία περί ακάλυπτων επιταγών και συναλλαγματικών, που ήταν απολύτως αναγκαία για να αποδειχθεί η πιστοληπτική ικανότητα του μηνυτή και να ικανοποιηθεί σχετικό έννομο συμφέρον της εντολέως της. Αντιθέτως, κατά την ΑΠ 1381/2009 τέλεσε το αδίκημα ο δράστης που «για να αντικρούσει την εις βάρος του κατηγορία για απάτη συνέλεξε ποινικές καταδίκες του μηνυτή δια της ψευδούς παράστασης ότι πρόκειται για αναγκαία για την υπεράσπιση του στοιχεία και στη συνέχεια τα κοινολόγησε σε μη δικαστικές αρχές με σκοπό βλάβης της υπόληψης του μηνυτή», τα εν λόγω δεδομένα κρίθηκαν, περαιτέρω άσχετα με το αντικείμενο της δίκης.
Όσον αφορά, ιδίως, την επεξεργασία δεδομένων που αφορούν ποινικές καταδίκες ενδιαφέρον παρουσιάζει η αδημοσίευτη υπ’ αριθμ. 21 – 288/2021 Διάταξη του Εισαγγελέα Εφετών Αθηνών, με την οποία, επικυρώθηκε η υπ’ αριθμ. 222/2021 Διάταξη του Εισαγγελέα Πρωτοδικών περί θέσης στο αρχείο εγκλήσεων για το κακούργημα, μεταξύ άλλων, της κατ’ εξακολούθηση παράνομης επέμβασης σε σύστημα αρχειοθέτησης προσωπικών δεδομένων που αφορούσαν ποινικές καταδίκες με σκοπούμενο περιουσιακό όφελος άνω των 120.000 € (φερόμενη παραβίαση της παρ. 3 και 4 του υπόκριση ά. 38), με την οποία κρίθηκε η ύπαρξη εννόμου συμφέροντος στο πρόσωπο του εγκαλουμένου (ικανοποίηση εμπορικής απαίτησης) για την επίμαχη επεξεργασία και δεν ασκήθηκε, συνεπώς, ποινική δίωξη σε βάρος του. Κρίσιμο απόσπασμα της διάταξης έχει ως εξής «Με τις ως άνω αιτήσεις εννόμου συμφέροντος ο εγκαλούμενος …. εξέθεσε την έννομη σχέση που τον συνδέει με τους εγκαλούντες και την απαίτηση που διατηρεί από την υπ’ αριθμ. …. Διαταγή Πληρωμής και επί τη βάση αυτών θεμελίωσε το έννομο συμφέρον για τη λήψη των ως άνω αντιγράφων από τις ποινικές δικογραφίες, προκειμένου να κάνει χρήση αυτών σε δικαστική διεκδίκηση της απαίτησής του. Ο εκάστοτε δικαστής που εξέτασε τις αιτήσεις του έκρινε ότι πράγματι συνέτρεχε περίπτωση εννόμου συμφέροντος και έκανε δεκτές τις αιτήσεις. Ο εναγόμενος πράγματι δεν προέβη σε άσκηση αναγνωριστικής αγωγής για την ακυρότητα μεταβίβασης ακινήτων, ως είχε εκθέσει στις ως άνω αιτήσεις του, καθώς μετά την ικανοποίησή της απαίτησής του, δεν υπήρχε λόγος για την άσκηση αγωγής. Των αντιγράφων που έλαβε κατόπιν των ως άνω αιτήσεων του, έκανε χρήση στις αιτήσεις ασφαλιστικών μέτρων, στην έγκληση και στις προτάσεις που αναφέρουν οι εγκαλούντες. Οι αιτήσεις αυτές, η έγκληση και οι προτάσεις αφετηριάζονται, όμως, από το ίδιο βιοτικό γεγονός και από την ίδια έννομη σχέση που είχε επικαλεστεί με τις αιτήσεις του για τη λήψη των αντιγράφων και η άσκησή τους σκοπό είχε την ικανοποίηση της απαίτησης του εγκαλουμένου. Επομένως, με το ιστορικό που έχει εκτεθεί στις αιτήσεις του εγκαλουμένου έχει κριθεί ότι συντρέχει περίπτωση εννόμου συμφέροντος και ο …. έκανε χρήση των αντιγράφων που νομίμως έλαβε, για δικαστική διεκδίκηση της απαίτησής του που έχει, ήδη, εκτεθεί και κριθεί και όχι για άσχετο με τα ως άνω σκοπό».
- Στο χώρο των μέσων μαζικής ενημέρωσης προς εξυπηρέτηση του δικαιώματος ελεύθερης έκφρασης και ενημέρωσης του κοινού: Στο ά. 28 παρ. 1γ’ του νόμου 4624/2019 προβλέπεται ότι επιτρέπεται η επεξεργασία προσωπικών δεδομένων όταν υπερέχει το δικαίωμα στην έκφραση και το δικαίωμα του κοινού στην πληροφόρηση, ιδίως για ζητήματα γενικότερου ενδιαφέροντος ή όταν τα δεδομένα αφορούν σε δημόσια πρόσωπα (έτσι, με την υπ’ αριθμ. 1567/2010 ΑΠ κρίθηκε ότι δεν είναι επιτρεπτή η δημοσίευση προσωπικών – ερωτικών στιγμών του παθόντος δημόσιου προσώπου καθώς αυτές δεν ήταν απαραίτητες για την ικανοποίηση του δικαιώματος πληροφόρησης του κοινού, ενώ, από την άλλη, με την ΣυμβΠλημΑθ 1001/2002 κρίθηκε ότι «η ανάγκη προστασίας των πολιτών από αφερέγγυους συναλλασσόμενους επιτρέπει την επεξεργασία και κοινολόγηση δεδομένων δυσμενούς οικονομικής συμπεριφοράς ως δημόσιας κοινωνικής ζωής και δράσης του προσώπου».
γ) Η δημοσιοποίηση των δεδομένων από το ίδιο το υποκείμενο αυτών: Από το ά. 9 παρ. 2 ε’ του κανονισμού και ά. 28 παρ. 1 β’ του νόμου προκύπτει ότι η επεξεργασία δεδομένων είναι επιτρεπτή (τόσο για τα απλά όσα και για τα ευαίσθητα, πλέον, ειδικών κατηγοριών) όταν το ίδιο το υποκείμενο των δεδομένων έχει προβεί, πρόδηλα, σε δημοσιοποίηση αυτών και ιδίως για λόγους ακαδημαϊκής, λογοτεχνικής και καλλιτεχνικής έκφρασης. Το πότε έχουμε μία πρόδηλη δημοσίευση είναι, συνήθως, ευχερώς διαγνώσιμο (π.χ. το πρόσωπο σε δημοσιογραφική συνέντευξη αποκαλύπτει τα προβλήματα υγείας του). Το πρόβλημα γεννάται, ιδίως, για τις δημοσίευσης μέσω των σύγχρονων μέσων κοινωνικής δικτύωσης (facebook, instagram, twitter κ.ο.κ.). Σε αυτές τις περιπτώσεις η νομολογία των δικαστηρίων μας (Βλ. ΤριμΠλημΑιγ 791/2012) απαιτεί να ελέγχονται οι ειδικότερες ρυθμίσεις στις οποίες έχει προβεί ο χρήστης, αν ο ίδιος κατάστησε, δηλαδή, τη δημοσίευση δημόσια ή αν την περιόρισε μόνο στους διαδικτυακούς φίλους αυτού (στη δεύτερη περίπτωση, είναι προφανές, ότι δεν μπορούμε να κάνουμε λόγο για πρόδηλη δημοσιοποίηση).
- Ιδίως η εκδικητική δημοσιοποίηση δεδομένων (“revenge” δημοσιοποίηση):
Ιδιαίτερη περίπτωση παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα αποτελεί αυτή της «εκδικητικής», όπως χαρακτηρίζεται, δημοσίευσης δεδομένων, ιδίως φωτογραφιών και βίντεο που απεικονίζουν, δίχως συγκατάθεση, το προσβαλλόμενο πρόσωπο σε προσωπικές στιγμές ερωτικής συνεύρεσης, συνήθως με τον ίδιο το δράστη. Πρόκειται για μία πράξη που, τις περισσότερες φορές, δεν έχει ως σκοπό την οικονομική ωφέλεια του τελευταίου αλλά την «εκδίκηση» του θύματος και τον κοινωνικό διασυρμό αυτού, κατόπιν εσωτερικών προσωπικών διαφωνιών και συγκρούσεων μεταξύ θύτη και θύματος. Ο νομοθέτης, έχοντας υπ’ όψιν του αυτές ακριβώς τις περιπτώσεις, προβαίνει σε μία «καινοτομία» σε σχέση με τα λοιπά αδικήματα στα οποία προβλέπεται χρηματικό όριο για το χαρακτηρισμό τους ως κακουργημάτων (ως είναι, π.χ., η απάτη, απιστία, υπεξαίρεση κ.ο.κ.). Προβλέπει, δηλαδή (βλ. ανωτέρω παρ. 4 ά. 38) ότι για να κριθεί αν το αδίκημα θα είναι πλημμέλημα ή κακούργημα λαμβάνεται υπ’ όψιν, όχι μόνο η σκοπούμενη περιουσιακή ζημία/ωφέλεια, αλλά, εν γένει, η ηθική βλάβη του θύματος, δηλαδή η με όχι οικονομικά κριτήρια προσδιοριζόμενη ζημία αυτού η οποία συνίσταται στον ψυχικό πόνο και αναστάτωση που βίωσε το θύμα από τη δημοσιοποίηση. Έτσι, με την ΑΠ 686/2021 κρίθηκε ένοχος ο κατηγορούμενος για το κακούργημα της κατ’ εξακολούθηση μετάδοσης σε μη δικαιούμενα πρόσωπα οπτικοακουστικού υλικού (βίντεο) που απεικόνιζαν την εγκαλούμενη σε ερωτική συνεύρεση με τον ίδιο (δίχως να διακρίνονται τα δικά του χαρακτηριστικά σώματος και προσώπου) διαλαμβάνοντας κρίσεις κατά τις οποίες «Η δημιουργία του οπτικοακουστικού υλικού των ερωτικών συνευρέσεων, με τη μαγνητοσκόπησή τους μέσω ψηφιακής κάμερας κινητού τηλεφώνου, συνιστά «αρχείο» (κατά τους όρους του υπό κρίση νόμου: σύστημα αρχειοθέτησης) και δεν απαιτείται ομαδοποίηση ή ταξινόμηση αυτού για να κριθεί το παράνομο της επεμβάσεως …. Οι προαναφερθείσες ταινίες αποτελούν αρχείο προσωπικών δεδομένων … τις οποίες ο κατηγορούμενος επεξεργάστηκε μοντάροντας αυτές, ώστε να αποκοπούν οι σκηνές που εμφάνιζαν το πρόσωπο του και να εμφανίζεται μόνο το πρόσωπο και το γυμνό σώμα της …. και μέρη μόνο του δικού του σώματος, έτσι ώστε να μην είναι δυνατό να αναγνωριστεί και “εκτεθεί” και ο ίδιος με την ανάρτηση. Τις εν λόγω ταινίες μετέδωσε και γνωστοποίησε, δίχως τη συγκατάθεση της παθούσας, μέσω των προαναφερθεισών ιστοσελίδων σε τρίτα μη δικαιούμενα πρόσωπα, με σκοπό να προσβάλει βάναυσα την προσωπικότητά της, καθώς με τους προαναφερθέντες τρόπους παρουσίασε την παθούσα ως άτομο ελαφρών ηθών, πλήττοντας με τον τρόπο αυτό βάναυσα την κοινωνική της υπόσταση».
- Αντί επιλόγου:
Απ’ όσα εκτέθηκαν εύκολα γίνεται αντιληπτό ότι ο νομοθέτης με την ποινικοποίηση του υπό κρίση αδικήματος (ακόμη και σε βαθμό κακουργήματος) προσπαθεί, επί της ουσίας, να προστατεύσει το πρόσωπο από την εξαιρετικά ευχερή, λόγω των σύγχρονων τεχνολογικών δυνατοτήτων, επεξεργασία των δεδομένων του, προσδιορίζοντας περιορισμένα τις περιπτώσεις νόμιμης επεξεργασίας, ρύθμιση η οποία αξιολογείται θετικά, ενόψει και της προαναφερόμενης σημασίας του δικαιώματος της πληροφοριακής αυτοδιάθεσης του προσώπου. Η συνδρομή ή μη των τελευταίων (ιδίως: του εννόμου συμφέροντος και της ικανοποίησης δικαιώματος δημόσιας πληροφόρησης), τις περισσότερες φορές, είναι ζήτημα ουσιαστικό που απαιτεί σχετική δικαστική κρίση. Δεδομένου, περαιτέρω, και του πολυσχιδούς χαρακτήρα του νόμου απαιτείται προσεκτική προσέγγιση της εκάστοτε εκτιμώμενης περίπτωσης καθώς, είναι πολύ πιθανό, στις μη εξόφθαλμες περιπτώσεις που συντρέχει, για παράδειγμα, πρόθεση βλάβης, παράνομης οικονομικής εκμετάλλευση ή καταφανής έλλειψη συγκατάθεσης επεξεργασίας, να αποδοθεί η ιδιότητα του κατηγορουμένου σε πρόσωπα που μοχθούν για την διεκδίκηση των αξιώσεων τους. Ωστόσο, μέσα από την κατάλληλη νομική υποστήριξη δύναται τόσο για το υποκείμενο των δεδομένων όσο και για τον υπεύθυνο επεξεργασίας να χαραχθούν τα άκρα όρια νομιμότητας της εκάστοτε επεξεργασίας.
H Χριστίνα Καπουράνη είναι δικηγόρος και Εταίρος στη Δικηγορική Εταιρεία «Ψαράκης & Κεφαλάς» (www.psarakislegal.com).