ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΣΧΟΛΗ ΝΟΜΙΚΏΝ & ΟΙΚΟΝΟΜΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΝΟΜΙΚΗΣ ΤΟΜΕΑΣ ΕΜΠΟΡΙΚΟΥ & ΟΙΚΟΝΟΜΙΚΟΥ ΔΙΚΑΙΟΥ ΤΡΑΠΕΖΙΚΟ ΔΙΚΑΙΟ

Transcript

1 ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΣΧΟΛΗ ΝΟΜΙΚΏΝ & ΟΙΚΟΝΟΜΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΝΟΜΙΚΗΣ ΤΟΜΕΑΣ ΕΜΠΟΡΙΚΟΥ & ΟΙΚΟΝΟΜΙΚΟΥ ΔΙΚΑΙΟΥ ΤΡΑΠΕΖΙΚΟ ΔΙΚΑΙΟ ΘΕΜΑ ΔΙΠΛΩΜΑΤΙΚΗΣ ΕΡΓΑΣΙΑΣ: Ο Ν.2472/1997 περί προστασίας των προσωπικών δεδομένων και η επεξεργασία δεδομένων οικονομικής συμπεριφοράς από την «Τειρεσίας α.ε.» ΔΙΔΑΣΚΟΝΤΕΣ: Λ. ΚΟΤΣΙΡΗΣ-Σ.ΨΥΧΟΜΑΝΗΣ-Ν. ΕΛΕΥΘΕΡΙΑΔΗΣ ΕΙΣΗΓΗΤΡΙΑ: ΚΩΤΟΥΛΑ ΒΑΣΙΛΙΚΗ Α.Ε.Μ.: 494 Θεσσαλονίκη, Οκτώβριος 2008

2 ΠΕΡΙΕΧΟΜΕΝΑ 1. Εισαγωγή 2. Ο Ν.2472/1997 Βασικές έννοιες και διακρίσεις 3. Η επεξεργασία δεδομένων οικονομικής συμπεριφοράς από την «Τειρεσίας α.ε.» 4. Η προστασία των δεδομένων οικονομικής συμπεριφοράς- το σύστημα των ουσιαστικών προϋποθέσεων της νομιμότητας της επεξεργασίας 5. Οι αρχές που διέπουν τη νομιμότητα της επεξεργασίας 5.1.Η αρχή του σκοπού 5.2.Η αρχή της αναλογικότητας 5.3.Η αρχή της ακρίβειας 5.4.Η αρχή της χρονικά πεπερασμένης διατήρησης των δεδομένων 5.5.Συνέπειες της μη τήρησης των αρχών της νομιμότητας της επεξεργασίας 6. Το σύστημα των τυπικών προϋποθέσεων της νομιμότητας της επεξεργασίας 7. Το σύστημα των δικαιωμάτων του υποκειμένου των δεδομένων για την προστασία του 7.1.Το δικαίωμα ενημέρωσης 7.2.Το δικαίωμα πρόσβασης 7.3.Το δικαίωμα αντίρρησης 7.4.Το δικαίωμα προσωρινής δικαστικής προστασίας 8. Οι κυρώσεις 8.1.Διοικητικές κυρώσεις 8.2.Ποινικές κυρώσεις 8.3.Αστικές κυρώσεις 9. Αστικοδικαιική προστασία της προσωπικότητας 10. Συμπεράσματα-Επίλογος 11. Βιβλιογραφία-Αρθογραφία

3 1. ΕΙΣΑΓΩΓΗ Η σύγχρονη τεχνολογία και συγκεκριμένα η ανάπτυξη και η διάδοση της πληροφορικής και των τηλεπικοινωνιών καθιστά δυνατή την αύξηση της συλλογής και της αποθήκευσης οικονομικών πληροφοριών, μέσω της εγκατάστασης δικτύων πληροφορικής και τηλεπικοινωνίας Σύμφωνα με τα ανωτέρω, παρατηρείται ότι η ηλεκτρονική συλλογή και επεξεργασία πληροφοριών ή δεδομένων αποτελεί προϋπόθεση για την οικονομική και κοινωνική εξέλιξη, διότι η κάθε πληροφορία ενσωματώνει γνώση και κατ επέκταση αξία και αγαθό και μπορεί γι αυτό το λόγο να αξιοποιηθεί με την βοήθεια της σύγχρονης τεχνολογίας. Η επεξεργασία οικονομικών δεδομένων από το διατραπεζικό σύστημα «Τειρεσίας» ξεκίνησε πριν από έντεκα χρόνια με κύριους σκοπούς τον εξορθολογισμό του χρηματοπιστωτικού συστήματος και την εξυγίανση των συναλλαγών. 1 Η ανώνυμη αυτή εταιρία, με την επωνυμία «Τραπεζικά Συστήματα Πληροφοριών Α.Ε.» και το διακριτικό τίτλο «Τειρεσίας Α.Ε.», η οποία τηρεί το ομώνυμο σύστημα επεξεργασίας δεδομένων οικονομικής συμπεριφοράς, ιδρύθηκε το 1997 από τις Ελληνικές Τράπεζες και με την λειτουργία της συνέβαλε ουσιαστικά στον εκσυγχρονισμό του χρηματοπιστωτικού συστήματος, καθώς παρέχει πληροφορίες σε διάφορους φορείς αναφορικά με την εκτίμηση της φερεγγυότητας και της πιστοληπτικής ικανότητας των υποκειμένων, τα δεδομένα των οποίων επεξεργάζεται. 2 1 Αναφορικά με το σκοπό της επεξεργασίας οικονομικών πληροφοριών στο σύστημα της Τειρεσίας α.ε. βλ. Την υπ αριθμόν 109/1999 απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ι.Ιγγλεζάκης, Ευαίσθητα προσωπικά δεδομένα, Αθήνα-Θεσσαλονίκη(ανατυπ. 2004), σελ.130 επ.-γ.νούσκαλης, Ποινική προστασία προσωπικών δεδομένων, Αθήνα-Θεσσαλονίκη 2005, σελ.48 επ. 2 Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Ηλεκτρονική επεξεργασία προσωπικών δεδομένων στο πεδίο της τραπεζικής δραστηριότητας, Αρμ. 2004, σελ επ. (1381).- Σ.Ψυχομάνη, Τραπεζικές δραστηριότητες αμφισβητήσιμης νομιμότητας, Θεσσαλονίκη 2002, σελ.35 επ.-στην ηλεκτρονική διεύθυνση:

4 Λαμβάνοντας υπόψη τα ανωτέρω, γίνεται αντιληπτό ότι η λειτουργία του συστήματος πληροφοριών «Τειρεσίας Α.Ε.» είναι ιδιαιτέρως σημαντική, διότι έχει αναλάβει το ρόλο να παρέχει στους αποδέκτες του πληροφορίες, οι οποίες τους δίνουν τη δυνατότητα να αξιολογήσουν την οικονομική φερεγγυότητα και την πιστοληπτική ικανότητα των πιστοληπτών-υποκειμένων των δεδομένων και μ αυτό τον τρόπο να συμβάλουν στην προστασία της εμπορικής πίστης και στην εξυγίανση των συναλλαγών. Συγχρόνως, κρίνεται απαραίτητο, στο πλαίσιο λειτουργίας του τραπεζικού αυτού συστήματος να διασφαλιστεί και η προστασία των πιστοληπτών, καθώς είναι πιθανό να εμφανιστούν φαινόμενα κατάχρησης των προσωπικών τους δεδομένων, κατά την διάδοση των ποικίλων οικονομικών πληροφοριών στους αποδέκτες του συστήματος. 3 Είναι, επομένως, ιδιαιτέρως σημαντικό να τίθενται όρια στην επεξεργασία των προσωπικών δεδομένων από το σύστημα πληροφοριών της «Τειρεσίας», αν και οι πληροφορίες που αφορούν τη φερεγγυότητα και τη πιστοληπτική ικανότητα του ατόμου είναι απλές και όχι ευαίσθητες, 4 όπως θα αναλυθεί παρακάτω, αλλά η συλλογή, η διατήρηση και η διαβίβαση τους στους αποδέκτες είναι δυνατό να έχει αρνητικές συνέπειες για το άτομο, καθώς η πιστοληπτική του ικανότητα μειώνεται και κατ επέκταση περιορίζεται η οικονομική του ελευθερία και η ανάπτυξη της προσωπικότητας του. 5 Β. Ο Ν.2472/1997-Βασικές έννοιες και διακρίσεις Το ελληνικό νομοθετικό πλαίσιο για την προστασία των προσωπικών δεδομένων, στο πλαίσιο του εθνικού νομοθέτη, συντίθεται από τη βασική προστατευτική νομοθεσία, το Ν.2472/1997 6, τη συμπληρωματική ειδική 3 Ι. Ιγγλεζάκης, Προστασία Προσωπικών Δεδομένων στο σύστημα πληροφοριών Τειρεσίας, Αθήνα- Θεσσαλονίκη 2006, σελ Ι. Ιγγλεζάκης, Ευαίσθητα προσωπικά δεδομένα, σελ. 94,200 5 Απόφαση, ΕφΑθ 4786/2002, ΔΕΕ 2002,σελ.1003-Ι.Ιγγλεζάκης, Ευαίσθητα προσωπικά δεδομένα, σελ Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Ζητήματα από το δίκαιο Πληροφορικής, σελ.24 επ.- Π.Αρμαμέντο-Β.Σωτηρόπουλο, Προσωπικά Δεδομένα. Ερμηνεία ν.2472/1997,εκδ.σάκκουλα, Αθήνα

5 νομοθεσία, η οποία αφορά την προστασία των προσωπικών δεδομένων στο χώρο των ηλεκτρονικών επικοινωνιών, το Ν.3471/2006, αλλά και τη γενική ρύθμιση για την προστασία της προσωπικότητας, την αστική, τη ποινική και τους ειδικούς αστικούς νόμους 7, η οποία αποτελούσε μέχρι την έναρξη του Ν.2472/1997, το βασικό οπλοστάσιο για την προστασία των προσωπικών δεδομένων, σε περίπτωση προσβολής αυτών. Το ανωτέρω σύστημα νομικών ρυθμίσεων ερμηνεύεται, εξειδικεύεται και εφαρμόζεται με τις αποφάσεις των ελληνικών δικαστηρίων και με τις πράξεις της Αρχής Προστασίας Προσωπικών Δεδομένων. Ο Ν.2472/1997 κλήθηκε να επιφέρει μία ισορροπία ανάμεσα στη προστασία του ατόμου από την αθέμιτη επεξεργασία πληροφοριών που αναφέρονται στην ιδιωτική ζωή και στη διασφάλιση της χρήσης της πληροφορικής στον ιδιωτικό και στο δημόσιο τομέα, για την επιδίωξη σκοπών που η έννομη τάξη προστατεύει, όπως στην περίπτωση του συστήματος πληροφοριών Τειρεσίας, η οποία εξετάζεται στην παρούσα εργασία. Επιπλέον, ο ανωτέρω νόμος προσπάθησε να συγκεράσει το δικαίωμα του καθενός στον πληροφορικό του αυτοκαθορισμό και το συνταγματικό δικαίωμα του κάθε πολίτη στην ελεύθερη πληροφόρηση, στην ενεργητική και στη παθητική της έκφραση. Λαμβάνοντας υπόψη αυτές τις παραμέτρους, ο νόμος θέσπισε :α) ευρύ ορισμό της έννοιας των προσωπικών δεδομένων, της επεξεργασίας αυτών, του αρχείου προσωπικών δεδομένων, ώστε το ρυθμιστικό πλαίσιο του να καταλαμβάνει κάθε είδους επεξεργασία, αυτοματοποιημένη και μη, ιδιωτική και δημόσια. β) σύστημα γνωστοποίησης κάθε επεξεργασίας ή τηρούμενου αρχείου και σύστημα άδειας για επεξεργασίες ή αρχεία με ευαίσθητα δεδομένα. γ) σύστημα εγγυήσεων για την προστασία του ατόμου-υποκειμένου των προσωπικών δεδομένων και παράλληλη πρόβλεψη αυστηρών κυρώσεων, διοικητικής, ποινικής και αστικής φύσης, για τα πρόσωπα που ενδεχομένως οδηγηθούν σε παράβαση. δ) την Αρχή Προστασίας Προσωπικών Δεδομένων, μια ανεξάρτητη διοικητική αρχή, με κεντρική όσο και αποφασιστική θέση στο σύστημα προστασίας και επεξεργασίας που εισάγεται με το νόμο Β. Γέροντας, Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδομένων, εκδ.σάκκουλα, Αθήνα-Κομοτηνή 2002, σελ.221 επ.- Ι.Ιγγλεζάκης, Ευαίσθητα προσωπικά δεδομένα, σελ. 78 επ. και 82 επ.-α.καίση Ν.Παρασκευόπουλο, Προστασία προσωπικών δεδομένων, Αθήνα-Θεσσαλονίκη Ι. Καράκωστας, Προστασία της ιδιωτικότητας στην Κοινωνία της Πληροφορίας, πρακτικά 1 ου συνεδρίου του επιστημονικού Συμβουλίου της Κοινωνίας της Πληροφορίας με θέμα «Ηλεκτρονική δημοκρατία-κοινωνία της Πληροφορίας και δικαιώματα του πολίτη», Αθήνα 25-26/9/03, σελ. 205

6 Επομένως, ο Ν.2472/1997 αποτελεί σύνολο ειδικών νομοθετικών ρυθμίσεων με τις οποίες θεσπίζονται οι προϋποθέσεις της νόμιμης επεξεργασίας δεδομένων προσωπικού χαρακτήρα με σκοπό την προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων και κυρίως της ιδιωτικής ζωής. Με την ανωτέρω νομοθετική ρύθμιση η Ελλάδα συμμορφώθηκε προς τις διεθνείς και τις ευρωπαϊκές υποχρεώσεις της. Η ειδική νομοθετική ρύθμιση στηρίζεται στο σύστημα των ουσιαστικών και τυπικών προϋποθέσεων της νομιμότητας της επεξεργασίας, στο σύστημα των δικαιωμάτων του υποκειμένου των δεδομένων και των εγγυήσεων για τη προστασία του και στο σύστημα του θεσμικού ελέγχου με την ίδρυση της Αρχής Προστασίας Προσωπικών Δεδομένων Βασικές έννοιες του νόμου στο σύστημα πληροφοριών «Τειρεσίας α.ε» Προσωπικό δεδομένο είναι κάθε πληροφορία που αναφέρεται σε συγκεκριμένο φυσικό πρόσωπο. Tα προσωπικά δεδομένα διακρίνονται σε δύο κατηγορίες, στα απλά 8 και στα ευαίσθητα δεδομένα. 9 Τα δεδομένα οικονομικής συμπεριφοράς, τα οποία διαχειρίζεται και επεξεργάζεται η Τειρεσίας α.ε. περιλαμβάνουν και αποτυπώνουν το σύνολο των πληροφοριών που αναφέρεται στην οικονομική κατάσταση του προσώπου και αποτελούν εκδηλώσεις του δικαιώματος της πληροφορικής αυτοδιάθεσης. Αυτά τα δεδομένα είναι: τα έσοδα, τα περιουσιακά στοιχεία κινητά ή ακίνητα, τα περιουσιακά χρέη, οι επενδύσεις, τα έξοδα, τα δάνεια, οι υποθήκες, οι πιστώσεις, τραπεζικοί λογαριασμοί, πιστωτικές κάρτες. Λαμβάνοντας υπόψη το γεγονός ότι γίνεται αναφορά σε δεδομένα οικονομικής συμπεριφοράς, τα οικονομικά δεδομένα αποτελούν κριτήριο αξιολόγησης της παρούσας αλλά και της μελλοντικής οικονομικής συμπεριφοράς του υποκειμένου. 8 Απλά προσωπικά δεδομένα είναι το όνομα, το επώνυμο, η κατοικία, το επάγγελμα οικογενειακή και περιουσιακή κατάσταση, ο μισθός, οι τραπεζικοί λογαριασμοί. 9 Ευαίσθητα προσωπικά δεδομένα είναι η φυλετική ή εθνική προέλευση, τα πολιτικά φρονήματα, οι θρησκευτικές πεποιθήσεις, πληροφορίες για την υγεία.

7 Το σύστημα πληροφοριών Τειρεσίας α.ε. έχει δημιουργήσει ένα αρχείο στο οποίο επεξεργάζεται οικονομικά δεδομένα μεγάλου αριθμού ατόμων, εξυπηρετώντας μ αυτό τον τρόπο τα συμφέροντα των αποδεκτών του, δηλαδή των πιστωτικών και χρηματοδοτικών ιδρυμάτων αλλά και άλλων δημόσιων και ιδιωτικών φορέων, για τους οποίους θα γίνει λόγος παρακάτω. Με τον όρο «επεξεργασία», ο νόμος εννοεί κάθε επεξεργασία ή σειρά εργασιών που εφαρμόζεται σε προσωπικά δεδομένα, από διάφορους φορείς 10, με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων. Τέτοιες εργασίες είναι η συλλογή, η καταχώρηση, η οργάνωση, η διατήρηση ή αποθήκευση, η διαβίβαση, η διασύνδεση, η διαγραφή κ.α. Σύμφωνα με τον νόμο 2472/1997, «υποκείμενο» των δεδομένων είναι το φυσικό πρόσωπο 11 στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιοριστεί άμεσα ή έμμεσα, κυρίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη οικονομική, στην περίπτωση επεξεργασίας των δεδομένων από το σύστημα «Τειρεσίας α.ε.». Με βάση το νόμο, υπεύθυνος επεξεργασίας είναι οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Ο υπεύθυνος επεξεργασίας οφείλει να ανταποκρίνεται σε ορισμένες νόμιμες υποχρεώσεις, όπως η τήρηση των αρχών επεξεργασίας, η υποχρέωση να γνωστοποιεί στην Αρχή την τήρηση και επεξεργασία προσωπικών δεδομένων, η υποχρέωση ενημέρωσης του υποκειμένου των προσωπικών δεδομένων για την επεξεργασία δεδομένων που το αφορούν, η υποχρέωση λήψης της σχετικής συγκατάθεσης του υποκειμένου, εκτός από την περίπτωση επεξεργασίας δεδομένων από το Τειρεσία αλλά και άλλες εξαιρέσεις, η υποχρέωση να ανταποκρίνεται στην άσκηση των δικαιωμάτων πρόσβασης και αντίρρησης του υποκειμένου, η υποχρέωση 10 Δηλαδή, το Δημόσιο ή από νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο 11 Σύμφωνα με την ελληνική νομοθεσία για τα προσωπικά δεδομένα, όπως και με τη σχετική οδηγία 95/46/Ε.Κ., προστατεύονται μόνο τα φυσικά πρόσωπα και όχι τα νομικά, διότι προστατεύονται με τις γενικές διατάξεις για τη προστασία της προσωπικότητας, του αθέμιτου ανταγωνισμού.

8 να λαμβάνει μέτρα ασφαλείας για τα υπό επεξεργασία δεδομένα, υποχρεώσεις οι οποίες θα αναλυθούν στη συνέχεια. Ο εκτελών την επεξεργασία είναι οποιοσδήποτε επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του υπεύθυνου επεξεργασίας, δηλαδή μπορεί να είναι ένα φυσικό ή νομικό πρόσωπο, μία δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Τρίτος είναι κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας και τα πρόσωπα, τα οποία είναι εξουσιοδοτημένα να επεξεργάζονται τα προσωπικά δεδομένα, εφόσον ενεργούν κατόπιν εποπτείας ή για λογαριασμό του υπευθύνου επεξεργασίας. Αρχείο προσωπικών δεδομένων είναι κάθε διαρθρωμένο σύνολο προσωπικών δεδομένων, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια. Αποδέκτες των πληροφοριών του αρχείου προσωπικών δεδομένων είναι τα φυσικά ή νομικά πρόσωπα, οι δημόσιες αρχές ή υπηρεσίες ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή διαβιβάζονται τα δεδομένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι. Για παράδειγμα, αποδέκτες των δεδομένων που επεξεργάζεται η διατραπεζική ανώνυμη εταιρία Τειρεσίας α.ε. 12 είναι οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα, οι εταιρίες διαχείρισης πιστωτικών καρτών 13, οι εταιρίες πρακτορείας επιχειρηματικών απαιτήσεων, οι εταιρίες χρηματοδοτικής μίσθωσης 14 αλλά και φορείς του δημοσίου. 12 Η Τειρεσίας α.ε. εξειδικεύεται στη συγκέντρωση και διάθεση πληροφοριών οικονομικής συμπεριφοράς για επιχειρήσεις και ιδιώτες, μέσω αξιόπιστων πληροφορικών συστημάτων. Επίσης, παρέχει υπηρεσίες ενημέρωσης και επαφής με τους άμεσα ενδιαφερόμενους. Η Τειρεσίας α.ε. δεν προβαίνει σε εκτίμηση, κρίση ή άλλη αξιολόγηση των δεδομένων αυτών, η οποία γίνεται από τους αποδέκτες τους.- Ε.Αλεξανδροπούλου-Αιγυπτιάδου, Ηλεκτρονική επεξεργασία δεδομένων οικονομικής συμπεριφοράς από την Τειρεσίας α.ε.(θεσμικό πλαίσιο), ΔΕΕΤ 2004, β τριμ., σελ.25 επ.- Ι. Ιγγλεζάκη, Προστασία Προσωπικών Δεδομένων στο σύστημα πληροφοριών Τειρεσίας, εκδ. Σάκκουλα, Αθήνα-Θεσσαλονίκη 2006, 13 Τους αποδέκτες αυτούς προβλέπει η υπ αριθμόν 109/1999 απόφαση της Αρχής-Η απόφαση αυτή επαναλήφθηκε με την υπ αριθμόν 24/2004 απόφαση της Αρχής, ΚΝοΒ 52, 2004, σελ Τους αποδέκτες αυτούς προβλέπει η υπ αριθμόν 523/1999 απόφαση της Αρχής- Η απόφαση αυτή επαναλήφθηκε με την υπ αριθμόν 25/2004 απόφαση της Αρχής, ΚΝοΒ 52, 2004, σελ. 685.

9 3.Η επεξεργασία δεδομένων οικονομικής συμπεριφοράς από την «Τειρεσίας α.ε.» Η εταιρία Τειρεσίας α.ε. συστήθηκε αρχικά ως μη κερδοσκοπική αστική εταιρία και από το Σεπτέμβριο του 1997 λειτουργεί ως ανώνυμη εταιρία, διατηρώντας το μη κερδοσκοπικό της χαρακτήρα αλλά εξασφαλίζοντας παράλληλα τις απαραίτητες προϋποθέσεις για την ανάπτυξη της. 15 Δεδομένου ότι στο εμπόριο και στις συναλλαγές, ιδίως όταν η προμήθεια αγαθών ή εμπορευμάτων γίνεται έναντι πίστωσης του τιμήματος αυτών, υπάρχει ανάγκη πληροφόρησης σχετικά με την οικονομική φερεγγυότητα και την πίστη του αντισυμβαλλομένου πριν από την ανάληψη συμβατικών υποχρεώσεων. Η ανάγκη αυτή ολοένα και αυξάνεται στη σημερινή καταναλωτική κοινωνία, στην οποία ο αριθμός των πιστωτικών συμβάσεων είναι ιδιαίτερα σημαντικός. 16 Σημειώνεται ότι λόγω της αύξησης του αριθμού των πιστοληπτών και σε συνάρτηση με την ταχύτατη διαδικασία που ακολουθείται κατά τη κατάρτιση των πιστωτικών συμβάσεων, καθίσταται απαραίτητη η λήψη αξιόπιστων πληροφοριών αναφορικά με τη φερεγγυότητά τους, για τη διασφάλιση των πιστοδοτών απέναντι στον αυξημένο κίνδυνο στον οποίο εκτίθενται. Συνεπώς, ο ρόλος του συστήματος πληροφοριών Τειρεσίας α.ε. είναι να συμβάλει στην προστασία της εμπορικής πίστης και στην εξυγίανση των οικονομικών συναλλαγών μέσω της παροχής πληροφοριών στα μέλη του, τα οποία εν συνεχεία θα αξιολογήσουν την οικονομική φερεγγυότητα και την πιστοληπτική ικανότητα των πιστοληπτών. Το σύστημα πληροφοριών της Τειρεσίας α.ε. μέσω της κεντρική βάσης δεδομένων που τηρεί, προβαίνει στην αξιολόγηση της πιστοληπτικής ικανότητας των συναλλασσόμενων με πιστωτικά ιδρύματα. 17 Το εν λόγω σύστημα έχει δημιουργήσει ένα αρχείο και η κύρια δραστηριότητα του είναι να συγκεντρώνει και να διασταυρώνει πληροφορίες. Στο συγκεκριμένο αρχείο γίνεται η καταχώρηση αρνητικών οικονομικών δεδομένων υποκειμένων αναφορικά με τη φερεγγυότητά τους, στα οποία περιλαμβάνονται οφειλές από ακάλυπτες επιταγές ή απλήρωτες συναλλαγματικές, διαταγές πληρωμής, προγράμματα πλειστηριασμού, κατασχέσεις, Δ. Κλαβανίδου, Καταναλωτικά δάνεια, Θεσσαλονίκη 1997, σελ.34 επ. 17 Ι.Ιγγλεζάκης, Προστασία Προσωπικών δεδομένων στο σύστημα πληροφοριών «Τειρεσίας», 2006,σελ.19.επ

10 επιταγές του ν.δ. 1923, διοικητικές κυρώσεις του Υπουργείου Οικονομίας και Οικονομικών, καταγγελίες συμβάσεων πιστωτικών καρτών και δανείων, αιτήσεις πτωχεύσεων και κυρηχθείσες πτωχεύσεις, προσημειώσεις υποθηκών, τροπές προσημειώσεων σε υποθήκες, υποθήκες. Η Τειρεσίας α.ε. έχει ως σκοπό τη συγκέντρωση, ταξινόμηση και διάθεση στις τράπεζες που λειτουργούν στην Ελλάδα των ανωτέρω οικονομικών πληροφοριών, που αφορούν φυσικά και νομικά πρόσωπα δραστηριοποιούμενα στη χώρα μας. Σημειώνεται ότι η επεξεργασία δεδομένων από την Τειρεσίας α.ε. λαμβάνει χώρα σύμφωνα με τον Κανονισμό Επεξεργασίας Δεδομένων, στον οποίο προβλέπονται γενικές αρχές τήρησης του αρχείου δεδομένων οικονομικής συμπεριφοράς. 18 Ειδικότερα, το αρχείο συστήθηκε και λειτουργεί έχοντας ως στόχο την ελαχιστοποίηση των κινδύνων από τη σύναψη πιστωτικών συμβάσεων με αφερέγγυους πελάτες και εν γένει από τη δημιουργία επισφαλών απαιτήσεων, ενώ παράλληλα λαμβάνεται μέριμνα και για την τήρηση των δικαιωμάτων των υποκειμένων, τα οποία προβλέπονται στον νόμο 2472/1997 και για τα οποία θα γίνει λόγος στη συνέχεια. Επίσης, σχετικά πρόσφατα, η Τειρεσίας α.ε. δημιούργησε και αρχείο δεδομένων συγκέντρωσης κινδύνων,τη λεγόμενη λευκή λίστα, ούτως ώστε να παρέχει στις τράπεζες πληροφόρηση για την εκτίμηση της πιστοληπτικής ικανότητας των πελατών τους. Στο εν λόγω αρχείο καταχωρούνται πληροφορίες που αφορούν ενήμερες και σε καθυστέρηση οφειλές δανείων καταναλωτικής πίστης (προσωπικών, καταναλωτικών) και πιστωτικών καρτών, που οι τράπεζες έχουν ήδη χορηγήσει σε πελάτες τους. Ακόμη, η Τειρεσίας α.ε. έχει ιδρύσει και το Αρχείο Απωλεσθένων /Κλαπέντων Ταυτοτήτων, στο οποίο καταχωρούνται δηλώσεις πολιτών αναφορικά με την κλοπή ή την απώλεια των ταυτοτήτων τους και έχει ως σκοπό να προστατεύσει τα ανωτέρω φυσικά πρόσωπα από τυχόν παράνομες σε βάρος τους ενέργειες από τη χρήση των απωλεσθένων ή κλαπέντων ταυτοτήτων. Οι πληροφορίες αυτές διατηρούνται στο διηνεκές για την πληρέστερη προστασία των προσώπων. 18 Ι.Ιγγλεζάκης,, Προστασία Προσωπικών δεδομένων στο σύστημα πληροφοριών «Τειρεσίας», 2006,σελ.20

11 Τέλος, ένα ακόμη αρχείο που δημιούργησε η Τειρεσίας α.ε, είναι το αρχείο επιχειρήσεων των οποίων οι συμβάσεις για αποδοχή καρτών έχουν καταγγελθεί, δηλαδή των συμβάσεων που καταρτίζονται μεταξύ των τραπεζών και επιχειρήσεων που πωλούν προϊόντα ή παρέχουν υπηρεσίες και οι οποίες αποδέχονται κάρτες για την εξόφληση μέσω αυτών του αντιτίμου Σκοπός, του αρχείου εί ναι ο περιορισμός της απάτης και πιο συγκεκριμένα η ενίσχυση της πίστης και η εξυγίανση των συναλλαγών μέσω της παροχής της δυνατότητας στους αποδέκτες του συστήματος εν προκειμένω στις τράπεζες να αξιολογούν τους κινδύνους που προέρχονται από συμβάσεις για αποδοχή καρτών από συγκεκριμένες επιχειρήσεις Η προστασία των δεδομένων οικονομικής συμπεριφοράς- το σύστημα των ουσιαστικών προϋποθέσεων της νομιμότητας της επεξεργασίας δεδομένων οικονομικής συμπεριφοράς από την Τειρεσίας α.ε. Κρίνεται απαραίτητο, παράλληλα με την εξυπηρέτηση των συμφερόντων των τραπεζικών και χρηματοδοτικών ιδρυμάτων, να διασφαλίζεται και η προστασία των πιστοληπτών έναντι του κινδύνου κατάχρησης των προσωπικών τους δεδομένων, στο πλαίσιο επεξεργασίας αυτών από το σύστημα πληροφοριών Τειρεσίας α.ε.,καθώς ενδέχεται να προκληθούν δυσμενείς συνέπειες για τα υποκείμενα των δεδομένων κατά τη διατήρηση και διαβίβαση των πληροφοριών που τους αφορούν στους νόμιμους αποδέκτες. Για να προστατευθούν, επομένως, τα υποκείμενα των δεδομένων χρήζουν εφαρμογής αναφορικά με τα απλά δεδομένα οικονομικής συμπεριφοράς, οι 19 Υπ αριθμόν 6/2006 απόφαση της Αρχής,

12 προϋποθέσεις νομιμότητας της επεξεργασίας που καθιερώνονται στα άρθρα 4-10 του νόμου 2472/1997. Συγκεκριμένα, στα εν λόγω άρθρα προβλέπονται: α) ο προσδιορισμός της βάσης νομιμότητας της επεξεργασίας με την καθιέρωση της αρχής της απαγόρευσης της επεξεργασίας, εκτός αν συντρέχει κάποια εξαιρετική περίπτωση που νομιμοποιεί την επεξεργασία (όπως ισχύει με το σύστημα πληροφοριών Τειρεσίας α.ε.), β) οι αρχές που διέπουν τη νομιμότητα της επεξεργασίας, γ) την ειδική προϋπόθεση της γνωστοποίησης κάθε επεξεργασίας ή αρχείου δεδομένων στην Αρχή, δ) οι προϋποθέσεις της διασύνδεσης αρχείων και της διασυνοριακής ροής δεδομένων που αποτελούν ειδικές μορφές επεξεργασίας,ε) η λήψη μέτρων ασφαλείας των δεδομένων και της επεξεργασίας τους. Συνεπώς, με την έναρξη ισχύος του Ν.2472/1997, η οποία ολοκληρώθηκε με την έναρξη λειτουργίας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 20, κρίθηκε απαραίτητη η ρύθμιση της νόμιμης λειτουργίας του συστήματος της Τειρεσίας α.ε. με βάση τις προϋποθέσεις που θέτει αυτός ο νόμος. Η εν λόγω Αρχή, μεριμνώντας για τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από την Τειρεσίας α.ε, με την υπ αριθμόν 109/1999 απόφαση που έλαβε αποφάνηκε σχετικά με την νομιμότητα της συγκεκριμένης επεξεργασίας.με την απόφαση αυτή της Αρχής, η επεξεργασία των δεδομένων οικονομικού χαρακτήρα που διαχειρίζεται η Τειρεσίας α.ε. είναι δυνατή και επιτρέπεται χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, διότι εμπίπτει στην εξαίρεση που προβλέπεται στο άρθρο 5 παρ.2 εδαφ. ε του Ν.2472/ Σύμφωνα, επομένως, με το παραπάνω άρθρο, αλλά και με την υπ αριθμόν 109/1999 απόφαση της Αρχής κρίθηκε ότι η επεξεργασία των δεδομένων που τηρεί η Τειρεσίας α.ε. στο αρχείο της, είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος των τρίτων 22 στους οποίους ανακοινώνονται τα δεδομένα, υπερέχοντας παράλληλα των δικαιωμάτων και των συμφερόντων των 20 Π.Αρμαμέντος-Β.Σωτηρόπουλος, Προσωπικά Δεδομένα, Ερμηνεία του Ν.2472/1997, 2005, σελ Βλ. την υπ αριθμόν 109/1999 απόφαση της Αρχής 22 Τρίτοι, των οποίων το έννομο συμφέρον για πληροφόρηση υπερέχει του δικαιώματος του ατόμου στα προσωπικά του δεδομένα, μπορούν να θεωρηθούν Ενώσεις τραπεζών, στις οποίες λειτουργούν Διατραπεζικά Συστήματα Συναλλαγών ή τηρούνται Αρχεία Πληροφοριών με σκοπό την προστασία των συναλλαγών και των χρηματοπιστωτικών ιδρυμάτων, που μετέχουν στις παραπάνω ενώσεις- Ε.Αλεξανδροπούλου-Αιγυπτιάδου, Ζητήματα από το Δίκαιο της Πληροφορικής, σελ. 30.

13 προσώπων στα οποία αναφέρονται τα δεδομένα, χωρίς να θίγονται οι θεμελιώδεις ελευθερίες αυτών. Αυτό έχει ως αποτέλεσμα να ικανοποιείται ο σκοπός της επεξεργασίας και να προστατεύεται η εμπορική πίστη, η οποία υπερέχει σε σύγκριση με τα συμφέροντα των υποκειμένων. Αξίζει να σημειωθεί ότι η απόφαση αυτή συμπληρώθηκε με την υπ αριθμόν 523/1999 απόφαση της Αρχής, 23 η οποία έθεσε κανόνες για την κατηγοριοποίηση των δεδομένων. Εν συνεχεία, η Αρχή αποφάνθηκε ξανά αναφορικά με την νομιμότητα της επεξεργασίας οικονομικών δεδομένων από την Τειρεσίας α.ε. με μία σειρά αποφάσεων που ακολούθησαν. 24 Ακόμη, οι υπ αριθμόν 109/1999 και 523/1999 αποφάσεις της Αρχής, τροποποιήθηκαν εν μέρει από τις υπ αριθμόν 24/2005 και 25/2005. Η Αρχή, συνεπώς,έκρινε με βάση την αρχή της αναλογικότητας, η οποία θα εξεταστεί στη συνέχεια, ως υπέρτερο του συμφέροντος του υποκειμένου, το συμφέρον για την εύρυθμη λειτουργία του χρηματοπιστωτικού συστήματος. 25 Παράλληλα, με τα ανωτέρω ζητήματα ασχολήθηκαν και εξέδωσαν σχετικές αποφάσεις τα πολιτικά και ποινικά δικαστήρια 26, αποφάσεις, οι οποίες στηρίζονται στις αντίστοιχες αποφάσεις της Αρχής, κυρίως αναφορικά με τη νομιμότητα της σύστασης και λειτουργίας του αρχείου δεδομένων της Τειρεσίας α.ε. αλλά και σχετικά με τις περιπτώσεις συλλογής και διαβίβασης στις Τράπεζες και τους λοιπούς αποδέκτες τους προσωπικών δεδομένων, τα οποία ήταν ανακριβή ή αναληθή. 27 Από τα ανωτέρω συνάγεται ότι οι αποφάσεις της Αρχής και η νομολογία των δικαστηρίων καλύπτουν την έλλειψη ειδικών νομοθετικών ρυθμίσεων για την επεξεργασία δεδομένων οικονομικής συμπεριφοράς. Ωστόσο, παρατηρείται μια περιπτωσιολογική αντιμετώπιση του ζητήματος που αφορά επεξεργασία δεδομένων οικονομικής συμπεριφοράς, καθώς η Αρχή έχει προχωρήσει έως τώρα σε τροποποίηση της γνώμης της σε διάφορα ζητήματα και έχει για παράδειγμα 23 Α. Καίσης-Ν. Παρασκευόπουλος, Προστασία Προσωπικών δεδομένων, Αθήνα-Θεσσαλονίκη 2001,σελ.279 επ. 24 Υπ αριθμόν 91/2001, ΚΝοΒ 2002, σελ /2002, ΚΝοΒ 2003, σελ Βλ. υπ αριθμόν 36/2001 απόφαση της Αρχής, ΚΝοΒ 50,2002,σελ ΕφΑθ 753/2005, ΕπισκΕΔ 2005, σελ. 760 επ.-εφθες 147/2005, ΕπισκΕΔ 2005, σελ. 168-ΕφΑθ 3833/2003, ΝοΒ 2004,σελ.247-ΜονΠρΘες 2950/2002, ΝοΒ 202,σελ.50-ΠολΠρΑθ 4677/2001, ΕΕμπΔ 2001, σελ Ι.Ιγγλεζάκης, Προσβολή προσωπικότητας και παραβίαση προσωπικών δεδομένων από διαβίβαση ανακριβών δεδομένων στο σύστημα πληροφοριών Τειρεσίας, Παρατηρήσεις ΙΙ στην ΕφΘες 147/2005, ΕπισκΕΔ 2005, σελ.179 επ.

14 επεκτείνει τον κατάλογο των αποδεκτών των πληροφοριών του συστήματος Τειρεσίας α.ε. 28 Το σύστημα των ουσιαστικών προϋποθέσεων της νομιμότητας της επεξεργασίας δεδομένων οικονομικής συμπεριφοράς από την Τειρεσίας α.ε. Η επεξεργασία προσωπικών δεδομένων οικονομικής συμπεριφοράς από την Τειρεσίας α.ε., όπως αναφέρθηκε ανωτέρω, εμπίπτει στην εξαίρεση του άρθρου 5 παρ.2 εδάφιο ε και σύμφωνα με την υπ αριθμόν 523/1999 απόφαση της Αρχής, οι κατηγορίες δεδομένων οικονομικής συμπεριφοράς των οποίων επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση του υποκειμένου τους είναι: σφραγισμένες επιταγές, απλήρωτες συναλλαγματικές, καταγγελίες συμβάσεων πιστωτικών καρτών και δανείων καταναλωτικής πίστης, προγράμματα πλειστηριασμών, κατασχέσεις, επιταγές του ν.δ. 1923, διοικητικές κυρώσεις του Υπουργείου Οικονομικών, αιτήσεις πτωχεύσεων, κυρηχθείσες πτωχεύσεις, προσημειώσεις υποθηκών, υποθήκες. Σημειώνεται ότι, οι ανωτέρω κατηγορίες 29 δεδομένων οικονομικής συμπεριφοράς απαριθμούνται αποκλειστικά και άρα δεν επιτρέπεται η επεξεργασία άλλων οικονομικών δεδομένων από την Τειρεσίας α.ε. χωρίς προηγούμενη σχετική απόφαση της Αρχής. 30 Σ αυτό το σημείο αξίζει να αναφερθούν η υπ αριθμόν 36/2001 απόφαση της Αρχής 31, η οποία έκρινε νόμιμη την καταχώρηση στην Τειρεσίας α.ε. των οικονομικών δεδομένων φυσικού προσώπου που ενεργεί ως εκπρόσωπος εταιρίας και η υπ αριθμόν 129/2001 απόφαση της Αρχής 32 που έκρινε 28 Ι.Ιγγλεζάκης, Προστασία προσωπικών δεδομένων στο σύστημα πληροφοριών Τειρεσίας, 2006,σελ Για τις διαταγές πληρωμής βλ. Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Ηλεκτρονική επεξεργασία προσωπικών δεδομένων στο πεδίο της τραπεζικής δραστηριότητας, ΔΕΕΤ, α τριμ. σελ.1382,σημ Για τα προγράμματα πλειστηριασμού που αντικαταστήθηκαν από την περίληψη της κατασχετήριας έκθεσης στην ίδια σημ Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Ηλεκτρονική επεξεργασία προσωπικών δεδομένων στο πεδίο της τραπεζικής δραστηριότητας, ΔΕΕΤ, α τριμ. σελ.1382 επ. 31 ΚΝοΒ 50,2002,σελ ΚΝοΒ 50,2002,σελ.1679

15 νόμιμη την καταχώρηση στην Τειρεσίας α.ε. επιταγής με την ένδειξη εξοφλήθηκε ανεξάρτητα αν μετά την εξόφληση η επιταγή κηρύχθηκε άκυρη. Από την άλλη πλευρά, κρίθηκε από την Αρχή 33 ότι επιτρέπεται η επεξεργασία δεδομένων που αφορούν νόμιμη οικονομική συμπεριφορά μόνο με τη συγκατάθεση του υποκειμένου τους. Η Τειρεσίας α.ε. δημιούργησε το σύστημα συγκέντρωσης κινδύνου, δηλαδή τη λευκή λίστα, το οποίο συμπληρώνει το αρχείο δεδομένων οικονομικής συμπεριφοράς και αποσκοπεί στο να συμβάλει στη προστασία της εμπορικής πίστης και την εξυγίανση των συναλλαγών. Γι αυτό η επεξεργασία δεδομένων που αφορούν τη «συγκέντρωση κινδύνων» που έχουν αναλάβει ιδιώτες και επιχειρήσεις από καταναλωτικά/προσωπικά δάνεια αλλά και από πιστωτικές/χρεωστικές κάρτες. Η εν λόγω συλλογή και επεξεργασία δεδομένων οικονομικής συμπεριφοράς φυσικών προσώπων που αφορούν δάνεια καταναλωτικής πίστης και κάρτες, καθώς και στοιχείων που αφορούν «ενήμερες οφειλές» και «οφειλές σε καθυστέρηση» δεν έχουν αρνητικό χαρακτήρα, ώστε να μπορούν να αποτελέσουν αντικείμενο νόμιμης επεξεργασίας, χωρίς τη συγκατάθεση του υποκειμένου τους. Περαιτέρω, οι «οφειλές σε καθυστέρηση», μπορεί να αποτελέσουν αντικείμενο επεξεργασίας μόνο όταν είναι βεβαιωμένες και απαιτητές 34, γιατί μόνο στην περίπτωση αυτή κρίνεται νόμιμη η επεξεργασία τους ως αναγκαία για την ελαχιστοποίηση των κινδύνων από τη σύναψη πιστωτικών συμβάσεων με αφερέγγυους πελάτες. Στις περιπτώσεις αυτές, η επεξεργασία δεδομένων θα είναι νόμιμη, μόνο εφόσον το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεση του, αφού βέβαια προηγουμένως ενημερωθεί για το σκοπό και τις λεπτομέρειες της επεξεργασίας σύμφωνα με το άρθρο 5 παρ.1 σε συνδυασμό με άρθρο 2 περ. ια. Σύμφωνα με το νόμο, η συγκατάθεση πρέπει να είναι προϊόν ελεύθερης βούλησης και να εκφέρεται με ρητή και ειδική δήλωση βούλησης 35, με την οποία το υποκείμενο των δεδομένων, αφού ενημερωθεί προηγουμένως για την επεξεργασία, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα που το αφορούν Υπ αριθμόν 86/2002 απόφαση της Αρχής, ΚΝοΒ 51, 2003, σελ Βλ. υπ αριθμόν 109/1999 απόφαση της Αρχής 35 Υπ αριθμόν 18/2002 απόφαση της Αρχής, ΚΝοΒ 2003, σελ Ι.Ιγγλεζάκης, Ευαίσθητα προσωπικά δεδομένα, σελ.214 επ.-αρμαμέντος/σωτηρόπουλος, Προσωπικά δεδομένα, σελ.94 επ.

16 5. Οι αρχές που διέπουν τη νομιμότητα της επεξεργασίας Η επεξεργασία των προσωπικών δεδομένων, για να είναι νόμιμη, πρέπει απαραιτήτως να τηρεί ορισμένες αρχές, οι οποίες προβλέπονται από το νόμο και συγκεκριμένα από το άρθρο 4, με τον τίτλο «Χαρακτηριστικά δεδομένων προσωπικού χαρακτήρα» και συγκροτούν το πυρήνα της προστασίας, είτε το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεση του γι αυτό είτε όχι. 5.1.Η αρχή του σκοπού 37 Σύμφωνα με την αρχή της νομιμότητας του σκοπού και του τρόπου επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο, και να υφίστανται θεμιτή και νόμιμη επεξεργασία για καθορισμένους, σαφείς και νόμιμους σκοπούς ενόψει των σκοπών αυτών. 38 Από τα οριζόμενα στην εν λόγω διάταξη προκύπτει ότι η συλλογή των δεδομένων πρέπει να είναι σύμφωνη με τον σκοπό για τον οποίο συγκεντρώνονται τα δεδομένα και για τον οποίο θα χρησιμοποιηθούν. Γι αυτό το λόγο είναι απαραίτητο να προσδιορίζεται με σαφήνεια ο σκοπός της χρήσης τους κατά τη συλλογή και κατά την επεξεργασία. Μ αυτό τον τρόπο, ο σκοπός προσδιορίζει πρωτίστως τη νομιμότητα της συλλογής και εν συνεχεία της επεξεργασίας των δεδομένων, αφού αποτελεί κριτήριο της αναγκαιότητας της επεξεργασίας. Επιπλέον, ο επιδιωκόμενος σκοπός της συλλογής και επεξεργασίας οφείλει να είναι νόμιμος, δηλαδή να μην απαγορεύεται από το νόμο. Επομένως, απαγορεύεται η συλλογή και επεξεργασία δεδομένων για μελλοντικούς σκοπούς ή η συλλογή και επεξεργασία δεδομένων που δεν ανταποκρίνονται στο συγκεκριμένο σκοπό. Έτσι, δεν είναι νόμιμη, καθώς υπερβαίνει το θεμιτό σκοπό της επεξεργασίας, η χρησιμοποίηση των δεδομένων που 37 Η αρχή αυτή προβλέπεται από το άρθρο 4 παρ.1 α του Ν.2472/1997, κατά το οποίο «τα προσωπικά δεδομένα πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο και να υφίστανται θεμιτή και νόμιμη επεξεργασία για καθορισμένους, σαφείς και νόμιμους σκοπούς ενόψει των σκοπών αυτών.» 38 Βλ. υπ αριθμόν 39/2004 απόφαση της Αρχής, σύμφωνα με την οποία «κάθε επεξεργασία προσωπικών δεδομένων που δεν είναι αναγκαία για την επίτευξη του επιδιωκόμενου σκοπού δεν είναι νόμιμη.»

17 προκύπτουν από την απευθείας πρόσβαση των Τραπεζών στη βάση δεδομένων της Τειρεσίας α.ε. για άλλο σκοπό, εκτός από τον προληπτικό έλεγχο της πιστοληπτικής ικανότητας, όπως και για την υποστήριξη έννομου συμφέροντος της Τράπεζας ενώπιον των δικαστηρίων. 39 Ακόμη δύο ενδιαφέρουσες αποφάσεις της Αρχής οι οποίες εφάρμοσαν την αρχή του σκοπού και έκριναν τη νομιμότητα της επεξεργασίας είναι η υπ αριθμόν 10/ κατά την οποία θεωρείται νόμιμη η επεξεργασία οικονομικών δεδομένων από εταιρία παροχής υπηρεσιών πιστωτικών καρτών, η συλλογή προσωπικών δεδομένων της αιτούσης τη χορήγηση πιστωτικής κάρτας με σκοπό τον έλεγχο της πιστοληπτικής ικανότητας της, αφού προηγουμένως την είχε ενημερώσει για την πηγή των πληροφοριών που ήταν η Τειρεσίας α.ε. και το σκοπό της διαβίβασης αλλά και η υπ αριθμόν 45/ η οποία έκρινε νόμιμη την συλλογή και επεξεργασία δεδομένων υποκειμένου από Τράπεζα με πηγή το αρχείο της Τειρεσίας α.ε. με σκοπό να ελέγξει τη πιστοληπτική ικανότητα του κατά τη δοαδικασία εξέτασης αίτησης χορήγησης δανείου προς τρίτο πρόσωπο, εφόσον συμμετείχε στη σχετική σύμβαση ως εγγυητής. Από την άλλη πλευρά, η υπ αριθμόν 86/ απόφαση της Αρχής έκρινε ότι δεν είναι νόμιμο και υπερβαίνει το σκοπό του αρχείου ποικονομικής συμπεριφοράς, το αίτημα της Τειρεσίας α.ε. για την επεξεργασία δεδομένων που αφορούν τη συγκέντρωση κινδύνων που έχουν αναλάβει ιδιώτες και επειχειρήσεις από καταναλωτικά δάνεια και πιστωτικές/χρεωστικές κάρτες, χωρίς τη συγκατάθεση του υποκειμένου. Παρατηρείται, ακόμη, ότι από τη διατύπωση της διάταξης και από την υποχρέωση ενημέρωσης του υποκειμένου (άρθρο 11 παρ.1 του Ν,2472/1997) ο σκοπός της συλλογής και της επεξεργασίας θα πρέπει να είναι γνωστός στο υποκείμενο και κατανοητός σ αυτό. 43 Επιπλέον, η ίδια η μέθοδος της επεξεργασίας πρέπει να είναι νόμιμη, να διενεργείται κατά τρόπο που να μην παραβιάζει τις ελευθερίες και τα δικαιώματα του υποκειμένου και να γίνεται με προσήλωση στο συγκεκριμένο σκοπό που εξυπηρετεί. 39 Βλ. υπ αριθμόν 61/2001 απόφαση της Αρχής, ΚΝοΒ 50, 2002,σελ ΚΝοΒ 51,2003,σελ ΚΝοΒ 51,2003,σελ ΚΝοΒ 51,2003,δελ.736-Ι.Ιγγλεζάκης, Προστασία Προσωπικών δεδομένων στο σύστημα πληροφοριών Τειρεσίας, σελ. 48 επ. 43 Βλ. υπ αριθμόν 1830/2001 απόφαση της Αρχής, ΚΝοΒ 50, 2002,σελ.1672

18 5.2. Η αρχή της αναλογικότητας Στο άρθρο 4 παρ.1 εδ. β καθιερώνεται η αρχή της αναλογικότητας, η οποία απορρέει από τη συνταγματική αρχή της αναλογικότητας 44 που βρίσκεται σε άμεση συνάρτηση με το συνταγματικά ανεκτό σύστημα της των περιορισμών της ελευθερίας του ατόμου. Η εν λόγω αρχή διαδραμάτισε σημαντικό ρόλο σε πολλές αποφάσεις και γνωμοδοτήσεις της Αρχής αναφορικά με την αντιμετώπιση της συμβατότητας της χρήσης νέων τεχνολογιών με την προστασία της προσωπικότητας. Σύμφωνα με την αρχή της αναλογικότητας 45, για την νομιμότητα της επεξεργασίας απαιτείται αντιστοιχία σκοπού και μέσου, δηλαδή τα υπό επεξεργασία δεδομένα πρέπει να είναι συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά χρειάζεται ενόψει του σκοπού της επεξεργασίας. Παράλληλα, κάθε επεξεργασία προσωπικών δεδομένων που λαμβάνει χώρα πέρα του επιδιωκόμενου σκοπού ή που δεν είναι πρόσφορη και αναγκαία για την επίτευξή του δεν είναι νόμιμη. 46 Η παραπάνω αρχή χρησιμοποιεί για τον έλεγχο νομιμότητας της επεξεργασίας κατά σειρά δύο κριτήρια, ένα ποιοτικό («συναφή και πρόσφορα») και ένα ποσοτικό («όχι περισσότερα από όσα κάθε φορά απαιτείται»), τα οποία έχουν ως σημείο αναφοράς το σκοπό της επεξεργασίας. Προκειμένου να κριθεί αν η επεξεργασία συγκεκριμένου προσωπικού δεδομένου συνάδει με την αρχή της αναλογικότητας πρώτα με βάση το ποιοτικό κριτήριο ελέγχεται αν το συγκερκριμένο 44 Στο Σύνταγμα η αρχή της αναλογικότητας σκοπού και μέσου ή μέτρου απορρέει και από την αρχή του κράτους δικαίου και αποτελεί όριο του περιορισμού των ατομικών δικαιωμάτων. Επίσης, η εν λόγω αρχή αποτελεί βασική αρχή του ευρωπαϊκού δικαίου και απορρέει από το άρθρο 5 παρ 1 και 25 παρ 1του ελληνικού Συντάγματος. 45 Π.Αρμαμέντος/Β Σωτηρόπουλος, Ερμην Ν.2472/1997, άρθρο 4, αρ , όπου διατυπώνεται η άποψη ότι το άρθρο 4 αποτελεί εξειδίκευση της αρχής της αναλογικότητας και με βάση την παρ 1 εδ.β διασπάται η αρχή σε τρεις συνιστώσες αρχές : α)την αρχή της συνάφειας των δεδομένων προς το σκοπό της επεξεργασίας, β) την αρχή της προσφορότητας των δεδομένων προς τον σκοπό της επεξεργασίας και γ) την αρχή της ποσοτικής ισορροπίας των δεδομένων προς το σκοπό της επεξεργασίας. 46 Ε.Αλεξανδροπούλου-Αιγυπτιάδου, Ζητήματα από το δίκαιο της πληροφορικής, σελ.27 επ.-στην ίδια, Ηλεκτρονική επεξεργασία προσωπικών δεδομένων στο πεδίο της τραπεζικής δραστηριότητας σελ.1383 επ.

19 δεδομένο είναι συναφές με τον επιδιωκόμενο σκοπό και πρόσφορο, για να οδηγήσει στην επίτευξή του. Αν η συγκεκριμένη επεξεργασία δεν είναι σύμφωνη με το ποιοτικό κριτήριο, τότε αυτή είναι παράνομη και δεν κρίνεται απαραίτητο να εξεταστεί η νομιμότητα της επεξεργασίας με βάση το ποσοτικό κριτήριο. Αντιθέτως, αν η επεξεργασία κατόπιν ελέγχου κριθεί ότι είναι νόμιμη σύμφωνα με το ποιοτικό κριτήριο, τότε ακολουθεί και ο έλεγχος βάσει του ποσοτικού κριτηρίου. Σε περίπτωση που και ο τελευταίος έλεγχος είναι επιτυχής, η επεξεργασία συνάδει με την αρχή της αναλογικότητας. Σύμφωνα με το ποιοτικό κριτήριο, κατά την επιλογή του τρόπου επεξεργασίας και των υπό επεξεργασία στοιχείων πρέπει απαραιτήτως να εκτιμάται η προσφορότητά τους για την επίτευξη του σκοπού της επεξεργασίας, γεγονός που σημαίνει ότι πρέπει να τηρείται το επιδεικνυόμενο μέτρο. Αναφορικά με το εν λόγω κριτήριο, η Αρχή έκρινε 47 ότι «η συλλογή στοιχείων που αφορούν οφειλές, εκτός των βεβαιωμένων και απαιτητών, με σκοπό την ελαχιστοποίηση των κινδύνων και τη μείωση των επισφαλειών που προκύπτουν από την υπερχρέωση, είναι μη πρόσφορη και δυσανάλογη με τον προαναφερόμενο σκοπό, σύμφων με το άρθρο 4παρ.1 εδ.β του Ν.2472/1997». Εν συνεχεία, κατά το ποσοτικό κριτήριο, τα υπό επεξεργασία δεδομένα πρέπει να είναι τα ελάχιστα δυνατά, δεν πρέπει δηλαδή να είναι περισσότερα από όσα κάθε φορά απαιτείται ενόψει πάντα του σκοπού της επεξεργασίας. Η Αρχή έκρινε 48 ότι η διατραπεζική εταιρία Τειρεσίας α.ε. μπορεί, για την επίτευξη του σκοπού της, που είναι η προστασία της εμπορικής πίστης, η μείωση των επισφαλειών των τραπεζών και η εξυγίανση του χρηματοπιστωτικού συστήματος, να τηρεί τη μαύρη λίστα, που περιλαμβάνει δυσμενή οικονομικά στοιχεία για τους πελάτες των τραπεζών, όχι όμως και λευκή λίστα με τα ευμενή οικονομικά στοιχεία των πελατών τους. Παράλληλα, η Αρχή απευθυνόμενη στην Τειρεσίας α.ε. 49 και συνδέοντας το σκοπό της επεξεργασίας, που είναι η προστασία της εμπορικής πίστης και η εξυγίανση των συναλλαγών με τα δεδομένα του υποκειμένου που είναι οι αγορές και οι πωλήσεις ακινήτων, αποφάνθηκε ότι η επεξεργασία των παραπάνω δεδομένων δεν συμβιβάζεται «προς την αρχή της 47 Βλ. υπ αριθμόν 86/2002 απόφαση της Αρχής 48 Βλ. υπ αριθμόν 109/1999 απόφαση της Αρχής, Η απόφαση αυτή επεναλήφθηκε με την υπ αριθμόν 24/2004 απόφαση της Αρχής, ΚΝοΒ 52, 2004, σελ Βλ. υπ αριθμόν 109/1999 απόφαση της Αρχής,

20 αναλογικότητας, κατά την οποία τα δεδομένα δεν πρέπει να είναι περισσότερα από όσα κάθε φορά απαιτείται ενόψει του σκοπού της επεξεργασίας.» 5.3. Η αρχή της ακρίβειας Η αρχή της ακρίβειας των δεδομένων, όπως καθιερώνεται στο άρθρο 4 παρ. 1 εδ.γ του νόμου 50 είναι μία ακόμη βασική αρχή προστασίας που διέπει κάθε νόμιμη επεξεργασία προσωπικών δεδομένων και έχει ιδιαίτερη σημασία κυρίως για την επεξεργασία των δεδομένων οικονομικής συμπεριφοράς. Σύμφωνα με την εν λόγω αρχή τα δεδομένα πρέπει να ανταποκρίνονται στη πραγματικότητα και να είναι επίκαιρα και ακριβή 51 και εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση. Στο πλαίσιο της αρχής της ακρίβειας είναι αναγκαίο και απαραίτητο κατά την επεξεργασία των δεδομένων να λαμβάνονται μέτρα προσοχής και συνέπειας ώστε να αποφεύγονται ενδεχόμενες παραδρομές, αλλά και πιθανές συγχύσεις λόγω συνωνυμίας ή λόγω ελλιπών καταχωρημένων στοιχείων. Η ακρίβεια και η ενημέρωση των υπό επεξεργασία δεδομένων βαρύνει καταρχήν τον υπεύθυνο της επεξεργασίας, δηλαδή εν προκειμένω την Τειρεσίας α.ε., γι αυτό σε περίπτωση παράβασης της υποχρέωσης της, παρέχεται στο υποκείμενο η έννομη προστασία του νόμου και η προστασία των γενικών διατάξεων για την προσωπικότητα, για τις οποίες θα ακολουθήσει ανάλυση παρακάτω. Μ αυτό τον τρόπο, για παράδειγμα, η καταχώρηση στο αρχείο της Τειρεσίας α.ε. αίτησης πτώχευσης με λάθος το όνομα του πτωχεύσαντα, τον οποίο αφορά, δημιουργεί ευθύνη της Τειρεσίας α.ε.. 52 Επίσης, όταν το ονοματεπώνυμο του υποκειμένου είναι συνηθισμένο, κρίνεται απαραίτητο να προστεθεί στο τηρούμενο 50 Η αρχή αυτή προβλέπεται στο εν λόγω άρθρο, σύμφωνα με το οποίο τα προσωπικά δδομένα, για να τύχουν νόμιμης επεξεργασίας, πρέπει «να είναι ακριβή, και εφόσον χρειάζεται να υποβάλλονται σε ενημέρωση». 51 Ε. Παντελιάδου-Σαατζίδου, Νέοι κανόνες δικαίου στο πλαίσιο της Νέας Οικονομίας- Ηλεκρονική επεξεργασία δεδομένων οικονομικής συμπεριφοράς,θεσσαλονίκη 2007, σελ Ε.Αλεξανδροπούλου-Αιγυπτιάδου, Προσωπικά Δεδομένα, σελ Βλ. ΜονΠρΘες 2950/2002, Αρμ. ΝΗ, 2004, σελ. 195

21 αρχείο το πατρώνυμο, το επάγγελμα η κάποιο άλλο στοιχείο, ούτως ώστε να είναι δυνατή η εξακρίβωση του προσώπου, στο οποίο αναφέρονται τα δυσμενή οικονομικά στοιχεία και να μη συγχέται με άλλο πρόσωπο, με το ίδιο ονοματεπώνυμο, το οποίο δεν έχει δυσμενή οικονομικά στοιχεία. 53 Ακόμη, η εν λόγω αρχή πρέπει να εφαρμόζεται και στις περιπτώσεις κατά τις οποίες πραγματοποιούνται διαγραφές δεδομένων που συλλέγονται από την Τειρεσίας α.ε. 54 Γι αυτό το λόγο, όταν τα γεγονότα που δικαιολογούν τη διαγραφή δεδομένων οικονομικής συμπεριφοράς που τηρούνται στο αρχείο της Τειρεσίας α.ε.,αποκτούν δημοσιότητα (π.χ. ματαίωση συζήτησης αίτησης πτώχευσης, άρση προσημειώσεων ή υποθηκών) και συνεπώς η Τειρεσίας έχει πρόσβαση σ αυτά ή αποδεικνύονται από στοιχεία που προσκομίζουν στην Τειρεσίας α.ε. τα ίδια τα υποκείμενα (π.χ. εξοφλητικές αποδείξεις του χρέους), τότε η διαγραφή των δυσμενών οικονομικών δεδομένων, που αποτελεί προϋπόθεση για την τήρηση της ακρίβειας του σχετικού αρχείου, συνιστά υποχρέωση της Τειρεσίας α.ε.. 55 Παράλληλα, κρίθηκε ότι επιβάλλεται η διαγραφή δεδομένων που αφορούν εγγυητές, χωρίς να απαιτείται υποβολή αιτήματος από το υποκείμενο, εφόσον η αντίστοιχη απαίτηση εξοφλήθηκε. 56 Εν συνεχεία, η Αρχή με απόφασή 57 της αποφάνθηκε ότι επιβάλλεται η διαγραφή από τη βάση δεδομένων της Τειρεσίας α.ε, των δεδομένων που σχετίζονται με πλειστηριασμό ακινήτου του αιτούντα που ματαιώθηκε λόγω ανυπαρξίας χρέους. Κρίθηκε 58, τέλος, ότι η απώλεια επίμαχων στοιχείων ή η λειτουργική αδυναμία ανεύρεσης τους από εμπλεκόμενη Τράπεζα για την ικανοποίηση των δικαιωμάτων του υποκειμένου, δημιουργεί υποχρέωση διαγραφής των σχετικών στοιχείων από το αρχείο της Τειρεσίας α.ε. Αναφορικά με τη διόρθωση των δεδομένων ως υποχρέωση του υποκειμένου, η Αρχή έκρινε 59 ότι οι εξοφλήσεις οικονομικών υποχρεώσεων από επιταγές, συναλλαγματικές και διαταγές πληρωμής καθώς και οικονομικών υποχρεώσεων για τις οποίες εκδόθηκαν προγράμματα πλειστηριασμών, έγιναν κατασχέσεις, εκδόθηκαν επιταγές ή επιβλήθηκαν διοικητικές κυρώσεις του 53 ΠολΠρΑθ 4677/2001, ΕΕμπΔ ΝΒ,2001, σελ Βλ. Υπ αριθμόν 523/1999 απόφαση της Αρχής, ο.π. 55 Βλ. Υπ αριθμόν 104/2001 απόφαση της Αρχής, ΚΝοΒ 50, 2002, σελ Α.Π. 1923/2006, ΕλλΔνη 48, 2007, σελ Βλ. Υπ, αριθμόν 26/2002 απόφαση της Αρχής, ΚΝοΒ 51,2003, σελ Βλ. Υπ αριθμόν 24 και 139/2001 αποφάσεις της Αρχής, ΚΝοΒ 50, 2002, σελ Βλ. Υπ αριθμόν 28/2003 απόφαση της Αρχής, Ετήσια έκθεση 2003, σελ /1999 απόφαση της Αρχής

22 Υπουργείου Οικονομικών, δεν αποκτούν δημοσιότητα και τα σχετικά δικαιολογητικά θα πρέπει να προσκομίζονται υποχρεωτικά από τα υποκείμενα. Επίσης, τα ήδη υπάρχοντα δεδομένα για αιτήσεις πτώχευσης, η συζήτηση των οποίων ματαιώθηκε, διαγράφονται, εφόσον τα υποκείμενα προσκομίσουν το σχετικό πιστοποιητικό του αρμόδιου Πρωτοδικείου. Στο πλαίσιο της αρχής της ακρίβειας, επιβάλλεται η συμπλήρωση από την Τειρεσίας α.ε. της ένδειξης «εκκρεμεί ασκηθείσα ανακοπή» στην εγγραφή που αφορά κατάσχεση ακινήτου, καθώς ενδεχόμενη ευδοκίμησή της θα έχει ως συνέπεια την ακύρωση της επιβληθείσας κατάσχεσης και κατ επέκταση στη διαγραφή της δυσμενούς πληροφορίας. 60 Ακολούθως, η Αρχή με απόφαση της έκρινε ότι είναι αναγκαία η συμπλήρωση από την Τειρεσίας α.ε. του δεδομένου της πρώτης ακάλυπτης επιταγής με την ένδειξη ότι αντικαταστάθηκε με δεύτερη επιταγή που εξοφλήθηκε, όταν προκύψει ότι η δεύτερη επιταγή που αντικατέστησε τη πρώτη σφραγισμένη ακάλυπτη επιταγή εξοφλήθηκε Η αρχή της χρονικά πεπερασμένης διάρκειας των δεδομένων Σύμφωνα με την αρχή της καθορισμένης χρονικής διάρκειας τήρησης των δεδομένων που καθιερώνεται με το άρθρο 4 παρ.1 εδ.δ, τα δεδομένα μπορούν να τηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Σύμφωνα με τα ανωτέρω η συγκεκριμένη αρχή περιορίζεται και ορίζεται από την αρχή του σκοπού που προκαθορίζει τον επιτρεπτό χρόνο διατήρησης 60 11/2002, ΚΝοΒ 51,2003, σελ /2002, ΚΝοΒ 51, 2003, σελ.736

23 των δεδομένων 62 και υποστηρίζεται από της αρχές της αναλογικότητας και της ακρίβειας όσον αφορά, αφενός την εξυπηρέτηση του σκοπού ενόψει του οποίου τα δεδομένα συλλέγονται και υποβάλλονται σε επεξεργασία 63 και αφετέρου τη σύνδεση του υποκειμένου με δεδομένα ακριβή και επίκαιρα σε σχέση με το χρόνο συλλογής και επεξεργασίας τους, αποφεύγοντας κατά αυτό τον τρόπο τον κίνδυνο σύνδεσης του υποκειμένου με δεδομένα ανακριβή και παρωχημένα αναφορικά με το χρόνο δημιουργίας τους. Εξάλλου, με βάση την αρχή αυτή, η επεξεργασία ολοκληρώνεται με το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας και την καταστροφή των δεδομένων. 64 Παράλληλα, η αρχή συνδέεται με το θεμελιώδες δικαίωμα της πληροφορικής αυτοδιάθεσης στο μέτρο που δεν επιτρέπει τον οριστικό προσδιορισμό της ταυτότητας του υποκειμένου, αφού παρέχεται σ αυτό η δυνατότητα να επαναπροδιοριστεί 65 αλλά και με το δικαίωμα της πληροφόρησης που απαιτεί ορθές και επίκαιρες πληροφορίες. Αρμόδια να καθορίσει τη διάρκεια της τήρησης των δεδομένων είναι η Αρχή Προστασίας Προσωπικών Δεδομένων, η οποία στη περίπτωση της Τειρεσίας α.ε. καθόρισε με απόφαση της τον χρόνο τήρησης των δεδομένων οικονομικής συμπεριφοράς λαμβάνοντας υπόψη τη παλαιότητα του αρχείου της Τειρεσίας και τον τρόπο τήρησης των δεδομένων στο παρελθόν και έκρινε ότι τα δεδομένα που έχουν καταχωρηθεί στο αρχείο μέχρι την διαγράφονται μετά τη συμπλήρωση δεκαετίας ακόμη και αν δεν προσκομιστούν αποδείξεις εξοφλήσεις των σχετικών οικονομικών υποχρεώσεων. Επιπλέον, ο χρόνος τήρησης των δυσμενών οικονομικών δεδομένων ορίσθηκε 66 ανά κατηγορία δεδομένων είτε ευθέως είτε έμμεσα, μέσω της περιπτωσιολογικής ρύθμισης του χρόνου διαγραφής των δεδομένων. Επομένως, η Αρχή έκρινε ότι τα δεδομένα για σφραγισμένες επιταγές ή απλήρωτες συναλλαγματικές διατηρούνται, κατά περίπτωση, είτε μέχρι την εξόφλησή τους είτε 62 Ε. Σαατζίδου-Παντελιάδου, Νέοι κανόνες δικαίου στο πλαίσιο της Νέας Οικονομίας- Ηλεκρονική επεξεργασία δεδομένων οικονομικής συμπεριφοράς,θεσσαλονίκη 2007, σελ. 133 επ. 63 Υπ αριθμόν 123/2001 ΚΝοΒ 50, 2002, σελ 1677 σύμφωνα με την οποία τα δεδομένα, για να είναι πρόσφορα για το σκοπό της επεξεργασίας, πρέπει να διατηρούνται από τον υπεύθυνο μόνο κατά τη περίοδο που κατά την κρίση της Αρχής απαιτείται για το σκοπό της επεξεργασίας. 64 Υπ αριθμόν 11/2005 απόφαση της Αρχής, www,dpa.gr 65 Ε. Σαατζίδου-Παντελιάδου, ο.π σελ.134- Α.Γέροντας, Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδομένων, σελ Υπ αριθμόν 523/1999 απόφαση της Αρχής, www,dpa.gr

24 24 μήνες είτε πέντε χρόνια μετά την εξόφλησή τους, ανάλογα με το πλήθος των σχετικών αξιογράφων και το οφειλόμενο ποσό, εκτός αν συντρέχει περίπτωση στέρησης βιβλιαρίου επιταγών, οπότε οι πληροφορίες για τις επιταγές διαγράφονται μόλις αρθεί το μέτρο αυτό. Ακολούθως, οι διαταγές πληρωμής διατηρούνται στο αρχείο για επτά χρόνια ενώ τα προγράμματα πλειστηριασμών, οι κατασχέσεις,οι επιταγές του ΝΔ 1923 και οι διοικητικές κυρώσεις του Υπουργείου Οικονομικών διατηρούνται για δέκα χρόνια. Επίσης, οι αιτήσεις πτωχεύσεων διαγράφονται είτε με την καταχώρηση της δικαστικής απόφασης για κήρυξη της πτώχευσης είτε, εφόσον ματαιωθεί η σχετική συζήτηση, μετά από δώδεκα μήνες από την ημερομηνία της ματαιωθείσας. Αντιθέτως, οι πληροφορίες για κηρυχθείσες πτωχεύσεις δεν διαγράφονται από το αρχείο και οι πληροφορίες για προσημειώσεις υποθηκών και για υποθήκες διαγράφονται από το αρχείο όταν αρθούν με αντίστοιχη εγγραφή στα βιβλία του αρμόδιου Υποθηκοφυλακείου. Όλες οι ανωτέρω πληροφορίες διαγράφονται από το αρχείο εφόσον οι αντίστοιχες υποχρεώσεις έχουν εξοφληθεί και συγχρόνως εφόσον μέχρι τη συμπλήρωση του προβλεπόμενου χρόνου διατήρησης δεν καταχωρηθούν στο αρχείο πληροφορίες που διαγράφονται σε μεταγενέστερο χρόνο. Μετά την πάροδο του χρόνου που απαιτείται να διαρκεί η επεξεργασία των προσωπικών δεδομένων σε σχέση με το σκοπό της, τα δεδομένα καταστρέφονται με ευθύνη της Τειρεσίας α.ε Παραβάσεις και συνέπειες της μη τήρησης των αρχών της νομιμότητας της επεξεργασίας 67 Υπ αριθμόν 1/2005 απόφαση της Αρχής,

25 Η τήρηση των παραπάνω αρχών από την Τειρεσίας α.ε. είναι θεμελιώδης για τη νομιμότητα της επεξεργασίας. Σε περίπτωση μη τήρησης μίας ή περισσοτέρων από τις παραπάνω αρχές, το άρθρο 4 παρ. 2 εδ. β προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα καταστρέφονται με ευθύνη της Τειρεσίας α.ε. Η Αρχή, αν εξακριβώσει, αυτεπάγγελτως ή μετά από σχετική καταγγελία, παράβαση επιβάλλει τη διακοπή της συλλογής ή της επεξεργασίας και την καταστροφή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη συλλεγεί ή τύχει επεξεργασίας. Η Αρχή σε περιπτώσεις παράνομης επεξεργασίας οικονομικών δεδομένων που αντιμετώπισε, εφαρμόζοντας την ανωτέρω διάταξη, αποφάσισε και επέβαλλε τη διακοπή της επεξεργασίας στη περίπτωση της διαβίβασης, ως μορφή επεξεργασίας, από Τράπεζα στις δημόσιες υπηρεσίες δεδομένων οικονομικής συμπεριφοράς σχετικών με τις υποχρεώσεις και τις οφειλές πελατών της Τράπεζας που υπηρετούν στις παραπάνω δημόσιες υπηρεσίες, χωρίς ενημέρωση και συγκατάθεση του υποκειμένου Το σύστημα των τυπικών προϋποθέσεων της νομιμότητας της επεξεργασίας Παράλληλα, με τις ουσιαστικές προϋποθέσεις νομιμότητας της επεξεργασίας, ο νόμος καθιερώνει και τυπικές ή διαδικαστικές προϋποθέσεις νομιμότητας στο πλαίσιο του συστήματος προληπτικού ελέγχου της επεξεργασίας. Με βάση το νόμο, επομένως, προβλέπεται: α) ως απαραίτητη προϋπόθεση για την έναρξη λειτουργίας ενός αρχείου ή μιας επεξεργασίας, η προηγούμενη γνωστοποίηση της έναρξης στην Αρχή από τον εκάστοτε υπεύθυνο, β) η γνωστοποίηση στην Αρχή κάθε διασύνδεσης αλλά και γ) οι προϋποθέσεις παροχής άδειας της Αρχής για τη διασυνοριακή ροή δεδομένων προς χώρα που δεν είναι μέλος της Ευρωπαϊκής Ένωσης. Επιπλέον, μεταξύ των 68 Υπ αριθμόν 1661/2000 απόφαση της Αρχής,