Επίπληξη στο Διοικητικό Εφετείο Αθηνών, ως υπεύθυνο επεξεργασίας δεδομένων απευθύνει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την απόφασή της 13/2025, ύστερα από καταγγελία εργαζομένου σε αυτό το δικαστήριο δικαστικού υπαλλήλου, τον οποίο εκπροσωπώ ως πλήρεξούσιος δικηγόρος.
Η Αρχή, μετά την καταγγελία μας και κατόπιν επίπονης έρευνας και έντονης ανταλλαγής επιχειρημάτων επί μία τετραετία (2021 - 2025), διαπίστωσε τελικά ότι το Διοικητικό Εφετείο παραβίασε το δικαίωμα προσβασης του εργαζομένου, αρνούμενο να του χορηγήσει αντίγραφα των προσωπικών δεδομένων του που τηρούνται στον προσωπικό του φάκελο, καθώς επίσης και αρνήθηκε να ικανοποιήσει την πρόσβασή του στον ηλεκτρονικό υπολογιστή του για να αποκτήσει αντίγραφα του "ιστορικού περιήγησης" του στο Διαδίκτυο ώστε να αντικρούσει σχετική ανυπόστατη πειθαρχική κατηγορία για δήθεν αδικαιολόγητη απουσία του.
Με την ίδια απόφαση, η Αρχή δίνει εντολή στο Δικαστήριο "να ικανοποιήσει άμεσα το δικαίωμα πρόσβασης του καταγγέλλοντος, αφενός στον υπηρεσιακό του φάκελο, παρέχοντας αντίγραφα του συνόλου των εγγράφων περιεχόντων δεδομένων προσωπικού χαρακτήρα που τον αφορούν,και αφετέρου στον σκληρό δίσκο του ηλεκτρονικού υπολογιστή που χρησιμοποιούσε μέχρι και το έτος 2020, παρέχοντας αντίγραφα των εγγράφων με αναφορά στο όνομά του, των
εκθέσεων αξιολόγησής του και του ιστορικού περιήγησης του καταγγέλλοντος στο Διαδίκτυο."
Το πιο ενδιαφέρον όμως που προέκυψε από αυτή την υπόθεση, για την οποία εργάζομαι από τις αρχές του έτους 2021, είναι ότι το Διοικητικό Εφετείο Αθηνών δεν έχει ορίσει "Υπεύθυνο Προστασίας Δεδομένων" (Data Protection Officer - DPO), όλα αυτά τα χρόνια, από το έτος 2018 που ισχύει η σχετική υποχρέωσή του λόγω της εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR - ΓΚΠΔ).
Η Αρχή εντόπισε την παράλειψη στην ίδια απόφασή της και "καλεί, δυνάμει του άρθρου 58 παρ. 2 στοιχ. δ’ ΓΚΠΔ, το Διοικητικό Εφετείο Αθηνών, ως υπεύθυνο επεξεργασίας, να μεριμνήσει για τον ορισμό Υπευθύνου Προστασίας Δεδομένων σύμφωνα με τις απαιτήσεις του ΓΚΠΔ, εντός δύο μηνών από την κοινοποίηση της παρούσας."
Αξίζει να σημειωθεί ότι στην ίδια υπόθεση, η γραμματεία του Διοικητικού Εφετείου αναφέρθηκε και σε περιστατικό πλημμύρας, λόγω του οποίου υποχρεώθηκε να αντικαταστήσει υπολογιστές! Με αφορμή αυτή την παραδοχή της ίδιας της γραμματείας επισήμανα στην Αρχή ότι η πλημμύρα που οδηγεί σε αντικατάσταση συσκευών αποθήκευσης προσωπικών δεδομένων πολιτών επιβάλλει στον υπεύθυνο επεξεργασίας, εδώ στο Δικαστήριο, να ειδοποιήσει εντός 72 ωρών την Αρχή για περιστατικό παραβίασης ασφάλειας των δεδομένων κατά το άρθρο 33 ΓΚΠΔ. Ωστόσο, η Αρχή ως προς αυτό το θέμα έκρινε ότι " δεν τεκμηριώνεται και δεν προκύπτει ότι επήλθε παραβίαση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας δεδομένων προσωπικού χαρακτήρα που οφειλόταν στο γεγονός της πλημμύρας και, συνεπώς, δεν ανέκυπτε υποχρέωση του Διοικητικού Εφετείου Αθηνών για τη γνωστοποίηση περιστατικού παραβίασης δεδομένων
προσωπικού χαρακτήρα και δεν στοιχειοθετείται αντίστοιχη παραβίαση του άρθρου 33 του ΓΚΠΔ."
Η συγκεκριμένη κρίση της Αρχής είναι φυσικά εσφαλμένη, καθόσον η υποχρέωση ενημέρωσής της για το περιστατικό της πλημμύρας και εξ αυτής αντικατάστασης πληροφοριακών συστημάτων είναι προληπτική: δεν χρειάζεται να επέλθει η παραβίαση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας ώστε να υποχρεούται το Δικαστήριο να ενημερώσει την Αρχή. Αρκεί ο ίδιος ο κίνδυνος που ελλοχεύει από μια τόσο σοβαρή πλημμύρα που οδήγησε σε αντικατάσταση υπολογιστών. Όλη η λογική του GDPR είναι η πρόληψη και η αντιμετώπιση της διακινδύνευσης κι όχι βέβαια η εκ των υστέρων διαχείριση των συνεπειών! Αλοίμονο αν έπρεπε πρώτα να καταστραφούν πράγματι αρχεία για να έχει την σχετική υποχρέωση ο υπεύθυνος επεξεργασίας. Θα είναι ήδη πολύ, πολύ αργα.
Είναι η πρώτη απόφαση με την οποία η Αρχή ασκεί τις εξουσίες της που προβλέπονται από τον GDPR απέναντι σε ένα δικαστήριο και μάλιστα σε ένα ανώτερο διοικητικό δικαστήριο που εκδικάζει έναν μεγάλο αριθμό υποθέσεων, λόγω της έκτασης της τοπικής αρμοδιότητάς του. Είναι η πρώτη φορά που ένα ελληνικό δικαστήριο δέχεται την διοικητική κύρωση της επίπληξης, αλλά και της εντολής να παραχωρήσει αντίγραφα δεδομένων που δεν χορήγησε και βέβαια την πρόσκληση να ορίσει Υπεύθυνο Προστασίας Δεδομένων κατόπιν σχετικής απόφασης της Αρχής.
Θα παρακαλουθήσουμε κατά πόσον το Διοικητικό Εφετείο Αθηνών θα συμμορφωθεί με τις εντολές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και κατά πόσον θα ανταποκριθεί στις υποχρεώσεις του σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων, ιδίως εάν θα ορίσει Υ.Π.Δ. εντός δύο μηνών, δηλαδή έως τις 17 Μαϊου 2025 και θα επανέλθουμε.
Με την απόφαση αυτή, η οποία βασίζεται και στην νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης σχετικά με την έκταση των εξουσιών που έχουν οι ανεξάρτητες Αρχές επί των δικαστηρίων, οριοθετείται και η έννοια της εφαρμογής του Γ.Κ.Π.Δ. από τα δικαστήρια. Οι διατάξεις ορίζουν ότι τα δικαστήρια έχουν την υποχρέωση τήρησης των κανόνων προστασίας δεδομένων, αλλά το άρθρο 55 παρ. 3 ΓΚΠΔ ορίζει ότι «[ο]ι εποπτικές αρχές δεν είναι αρμόδιες να ελέγχουν πράξεις επεξεργασίας οι οποίες διενεργούνται από δικαστήρια στο πλαίσιο της
δικαιοδοτικής τους αρμοδιότητας". Τον αποκλεισμό της εξουσίας των Αρχών έχει οριοθετήσει το Δ.Ε.Ε. στην υπόθεση C- 245/2020 X και Z κατά Autoriteit Persoonsgegevens, απόφαση της 24-03-2022, την οποία αναφέρει η Αρχή στην δική της απόφαση κατά του Διοικητικού Εφετείου Αθηνών. Πρόκειται για μια διάταξη που δίνει περιεχόμενο στα όρια της διάκρισης των κρατικών λειτουργιών (η Αρχή είναι εκτελεστική λειτουργία, το Δικαστήριο είναι Δικαιοσύνη) και θέτει το όριο της απαγόρευσης της παρέμβασης της μιας λειτουργίας στην άλλη: στην δικαιοδοτική λειτουργία των δικαστηρίων δεν παρεμβαίνει κανένας. Υπάρχει όμως και η παράλληλη λειτουργία της γραμματείας του Δικαστηρίου, η οποία δεν απονέμει Δικαιοσύνη, αλλά διοικεί το ανθρώπινο δυναμικό που υπηρετεί υπαλληλικά στο Δικαστήριο και φυσικά υποστηρίζει διοικητικά την δικαιοδοτική λειτουργία. Σε αυτή την παράλληλη λειτουργία, σαφώς και έχει αρμοδιότητα να παρέμβει η Αρχή όταν διαπιστώνει παραβιάσεις δικαιωμάτων και υποχρεώσεων, όπως συνέβη στην παρούσα υπόθεση με την παραβίαση του δικαιώματος πρόσβασης και την παράλειψη ορισμού Υπεύθυνου Προστασίας Δεδομένων.
Επομένως, με βάση αυτή την απόφαση, αλλά και με βάση τις νομικές διατάξεις που εφάρμοσε, όλα τα Δικαστήρια της χώρας οφείλουν φυσικά να ικανοποιούν το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων στα δεδομένα που το αφορούν και υποχρεούνται να ορίσουν Υπεύθυνο Προστασίας Δεδομένων, σύμφωνα με τον GDPR.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου