Συνεχης ενημερωση

    Τρίτη, 21-Ιουν-2022 00:03

    Κατευθύνσεις για το δικαίωμα πρόσβασης στα προσωπικά δεδομένα

    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Κομνηνού Κόμνιου

    Η άσκηση του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων εγείρει ποικίλα  ερωτήματα στην πράξη. Ήταν, λοιπόν, μάλλον αναμενόμενο να ασχοληθεί με το θέμα το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ), εκδίδοντας αναλυτικές κατευθυντήριες γραμμές στην αγγλική γλώσσα. Στο παρόν θα παρουσιαστούν ορισμένες από τις κυριότερες επισημάνσεις του ΕΣΠΔ με εξόχως πρακτικό αντίκρισμα για τις επιχειρήσεις.

    Α. Το δικαίωμα παροχής αντίγραφου των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία

    1. Πεδίο εφαρμογής

    Σύμφωνα με το άρθρο 15 παρ. 3 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), "ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως". 

    Το ΕΣΠΔ ερμηνεύει ευρέως τον όρο "αντίγραφο", ακολουθώντας εν προκειμένω την θέση του γερμανικού Ομοσπονδιακού Δικαστηρίου  Εργατικών Διαφορών (BAG), το οποίο στην απόφασή του της 27.04.2021 (2 AZR 342/20) είχε υιοθετήσει διασταλτική ερμηνεία του δικαιώματος παροχής αντιγράφου. Τα αντίγραφα θα πρέπει να παρέχονται από τον υπεύθυνο επεξεργασίας σε ανθεκτική μορφή και να είναι ευχερώς διαθέσιμα. Σύμφωνα με το EΣΠΔ, αντίγραφα δεδομένων προσωπικού χαρακτήρα μπορούν κατ' αρχήν να διαβιβάζονται και μέσω ηλεκτρονικού ταχυδρομείου, υπό την προϋπόθεση ότι λαμβάνονται όλα τα απαραίτητα μέτρα ασφαλείας για την προστασία των δεδομένων. 

    Εξάλλου, δεδομένου ότι οι λεγόμενοι "κοινώς χρησιμοποιούμενοι μορφότυποι" υπόκεινται σε αλλαγές με την πάροδο του χρόνου, το ΕΣΠΔ διαπιστώνει ότι η κοινότητα αυτών των μορφότυπων πρέπει να βασίζεται στις δικαιολογημένες προσδοκίες του υποκειμένου των δεδομένων και δεν αναφέρεται στους μορφότυπους που χρησιμοποιεί ο υπεύθυνος επεξεργασίας δεδομένων στην καθημερινή του δραστηριότητα.

    2. Το περιεχόμενο του δικαιώματος

    Κατά το ΕΣΠΔ, το αίτημα του υποκειμένου των δεδομένων πρέπει να απαντηθεί με βάση την επεξεργασία που πραγματοποιείται κατά τη στιγμή της αίτησης. Αυτό σημαίνει ότι ο υπεύθυνος επεξεργασίας θα πρέπει να παράσχει στο υποκείμενο των δεδομένων και τα δεδομένα που ενδέχεται να είναι ανακριβή ή που έχουν υποστεί παράνομη επεξεργασία. Εξαιρούνται τα δεδομένα που έχουν ήδη διαγραφεί, π.χ. λόγω παρέλευσης της περιόδου αποθήκευσής τους.

    Το ΕΣΠΔ δικαιολογεί την παροχή όλων των υπό επεξεργασία δεδομένων με την εύλογη επισήμανση ότι ο σκοπός του δικαιώματος πρόσβασης είναι ακριβώς να επιτρέψει στο υποκείμενο των δεδομένων να διαπιστώσει εάν γίνεται παράνομη επεξεργασία δεδομένων. Βέβαια, η υποχρέωση ενημέρωσης σχετικά με την κατάσταση της επεξεργασίας "ως  έχει", δεν θίγει την υποχρέωση του υπευθύνου επεξεργασίας να σταματήσει την παράνομη επεξεργασία ή να διορθώσει τα ανακριβή δεδομένα. 

    Εξάλλου, επισημαίνεται ότι ο υπεύθυνος επεξεργασίας δεν μπορεί να παρακάμψει σκόπιμα την υποχρέωση παροχής των ζητούμενων δεδομένων προσωπικού χαρακτήρα, διαγράφοντας ή τροποποιώντας τα δεδομένα προσωπικού χαρακτήρα ως απάντηση σε αίτημα πρόσβασης. Συνεπώς, εάν ο υπεύθυνος επεξεργασίας κατά την επεξεργασία του αιτήματος πρόσβασης διαπιστώσει ότι τα δεδομένα είναι ανακριβή ή ότι η επεξεργασία τους είναι παράνομη, πρέπει να αξιολογήσει την επεξεργασία και να ενημερώσει σχετικά το υποκείμενο των δεδομένων πριν εκπληρώσει τις άλλες υποχρεώσεις του. Για το δικό του συμφέρον, ο υπεύθυνος επεξεργασίας θα πρέπει να προσθέσει πληροφορίες σχετικά με την επακόλουθη διόρθωση ή διαγραφή, προκειμένου να αποφευχθεί η ανάγκη περαιτέρω επικοινωνίας, αλλά και να συμμορφωθεί με την αρχή της διαφάνειας.

    3. Πρόσθετο αντίγραφο ή νέα αίτηση

    Εάν ένα υποκείμενο των δεδομένων ζητήσει πρόσθετο αντίγραφο μετά την υποβολή αρχικού αιτήματος, ο υπεύθυνος επεξεργασίας πρέπει να εκτιμήσει εάν πρόκειται για νέα αίτηση ή απλώς για πρόσθετο αντίγραφο κατά την έννοια του άρθρου 15 παρ. 3 εδ.β΄ ΓΚΠΔ, για το οποίο δύναται να χρεωθεί εύλογη αμοιβή. Σύμφωνα με το ΕΣΠΔ, το περιεχόμενο του αιτήματος είναι καθοριστικό για τη συγκεκριμένη διάκριση. Έτσι, δεν υφίσταται νέα αίτηση, εάν το αίτημα αφορά το ίδιο σύνολο δεδομένων προσωπικού χαρακτήρα από απόψεως χρόνου και πεδίου εφαρμογής με το προηγούμενο αίτημα. Στην περίπτωση αυτή θα πρόκειται για πρόσθετο αντίγραφο κατά την έννοια του άρθρου 15 παρ. 3 εδ. β΄ ΓΚΠΔ.

    Ωστόσο, σύμφωνα με το ΕΣΠΔ, το αίτημα που περιγράφεται ανωτέρω μπορεί να χαρακτηριστεί ως νέα αίτηση, εάν το υποκείμενο των δεδομένων επιδιώκει να λάβει πληροφορίες σχετικά με τα δεδομένα που υποβλήθηκαν σε επεξεργασία σε διαφορετικό χρόνο ή για διαφορετικό σύνολο δεδομένων από αυτό που ζητήθηκε αρχικώς, με αποτέλεσμα να ενεργοποιείται και πάλι το δικαίωμα δωρεάν αντιγράφου σύμφωνα με το άρθρο 15 παρ. 3  ΓΚΠΔ. 

    Εάν το υποκείμενο των δεδομένων επαναλάβει το πρώτο αίτημα χορήγησης πρόσβασης με την αιτιολογία ότι η απάντηση που έλαβε ήταν ελλιπής ή ότι η άρνηση δεν ήταν δικαιολογημένη, το αίτημα αυτό δεν δύναται να θεωρηθεί νέα αίτηση, καθώς πρόκειται απλώς για επανυποβολή του πρώτου αιτήματος που δεν απαντήθηκε πλήρως.

    Αναφορικά με τον προσδιορισμό του "εύλογου τέλους" για ένα πρόσθετο αντίγραφο, το ΕΣΠΔ συνιστά να λαμβάνεται υπόψη το ειδικό διοικητικό κόστος που προκύπτει εν προκειμένω. Γενικά έξοδα ή άλλες γενικές δαπάνες δεν πρέπει να μετακυλίονται στο υποκείμενο των δεδομένων. Μάλιστα, ο υπεύθυνος επεξεργασίας βαρύνεται με την απόδειξη του εύλογου χαρακτήρα του τέλους. Επιπλέον, προτού χρεωθεί εύλογο τέλος, ο υπεύθυνος επεξεργασίας θα πρέπει να ενημερώσει τον αιτούντα. Συνεπώς, το υποκείμενο των δεδομένων πρέπει να έχει τη δυνατότητα να αποφασίσει, εάν θα αποσύρει την αίτηση για να αποφύγει την επιβολή τέλους.

    Β. Περιορισμοί του δικαιώματος πρόσβασης

    1. Γενικά

    Με την επιφύλαξη ρητού αντίθετου αιτήματος από το υποκείμενο των δεδομένων, το ΕΣΠΔ θεωρεί ότι πρέπει να παρέχονται στο υποκείμενο πληροφορίες που να καλύπτουν όλα τα προσωπικά δεδομένα που το αφορούν.

    Σε περίπτωση μεγάλου όγκου δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να χρησιμοποιεί εργαλεία αυτοεξυπηρέτησης σε επιγραμμικό περιβάλλον. Εναλλακτικά, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την εξειδίκευση του αιτήματος, αλλά αυτό δεν πρέπει να έχει ως αποτέλεσμα τον περιορισμό της απάντησης στο αίτημα ή την απόκρυψη πληροφοριών σχετικά με τα δεδομένα ή την επεξεργασία των δεδομένων του υποκειμένου των δεδομένων.

    Σύμφωνα με το ΕΣΠΔ, οι περιορισμοί στο δικαίωμα πρόσβασης προκύπτουν μόνο από τον ΓΚΠΔ. Κατά συνέπεια, το δικαίωμα πρόσβασης δεν υπόκειται σε στάθμιση με βάση την αρχή της αναλογικότητας όσον αφορά την προσπάθεια που πρέπει να καταβάλει ο υπεύθυνος επεξεργασίας για να συμμορφωθεί με το αίτημα του υποκειμένου των δεδομένων. Τέλος, η εφαρμογή του άρθρου 15 παρ. 4 ΓΚΠΔ δεν πρέπει να έχει ως αποτέλεσμα την πλήρη απόρριψη του αιτήματος.

    2.    Αβάσιμα και υπερβολικά αιτήματα

    Αναφορικά με τις έννοιες "αβάσιμα" ή "υπερβολικά" αιτήματα το ΕΣΠΔ τονίζει ότι αυτές πρέπει να ερμηνεύονται στενά. Τα υπερβολικά αιτήματα, σύμφωνα με το ΕΣΠΔ, εξαρτώνται από τον τομέα στον οποίο δραστηριοποιείται ο υπεύθυνος επεξεργασίας δεδομένων. Επί παραδείγματι,  όσο πιο συχνές είναι οι αλλαγές στη βάση δεδομένων του υπευθύνου επεξεργασίας δεδομένων, τόσο πιο συχνά το υποκείμενο των δεδομένων μπορεί να ζητήσει πρόσβαση χωρίς αυτό να δύναται να θεωρηθεί υπερβολικό. Σε περίπτωση υπερβολικών αιτημάτων, αντί να αρνηθεί την πρόσβαση, ο υπεύθυνος επεξεργασίας μπορεί να επιλέξει να χρεώσει το υποκείμενο των δεδομένων με ένα εύλογο τέλος για την κάλυψη του διοικητικού κόστους που μπορεί να προκαλέσουν οι εν λόγω αιτήσεις.

    Εξάλλου,  ένα αίτημα μπορεί να αξιολογηθεί ως "υπερβολικό" εάν το υποκείμενο υποβάλει το αίτημα, αλλά ταυτόχρονα προσφέρεται να το αποσύρει με αντάλλαγμα κάποια μορφή οφέλους ή ανταλλάγματος. Ομοίως, ένα αίτημα μπορεί να θεωρηθεί υπερβολικό εάν το αίτημα είναι κακόβουλο και αποσκοπεί στην παρενόχληση του υπεύθυνου επεξεργασίας ή των υπαλλήλων του, χωρίς άλλο σκοπό πέρα από τη διατάραξη της λειτουργίας της δραστηριότητας του υπεύθυνου επεξεργασίας. 

    Γ. Καταληκτικές επισημάνσεις

    Εκτός από τις ήδη γνωστές ερμηνευτικές προσεγγίσεις σχετικά με το άρθρο 15 ΓΚΠΔ, το ΕΣΠΔ παρέχει επιπλέον ενδεικτικά παραδείγματα –π.χ. για τον εντοπισμό υπερβολικών ή αβάσιμων αιτημάτων–τα οποία είναι εξόχως σημαντικά για την αντιμετώπιση συναφών ζητημάτων στην πράξη. Στο σύνολό τους, οι κατευθυντήριες γραμμές αποτιμώνται θετικά, καθώς αποτελούν μια επιτυχή επισκόπηση του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων.

    * Ο κ. Κομνηνός Κόμνιος είναι Επικ. Καθηγητής στο Διεθνές Πανεπιστήμιο της Ελλάδος, Δικηγόρος, Διαμεσολαβητής

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ