ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ. Ειρήνης Μενεγάκη ΘΕΜΑ: Η ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΗΝ ΚΟΙΝΩΝΙΚΗ ΑΣΦΑΛΙΣΗ. Επιβλέπων:

Transcript

1 ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ Της Μεταπτυχιακής Φοιτήτριας του Τμήματος Νομικής της Σχολής Νομικών Οικονομικών και Πολιτικών Επιστημών του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης: Ειρήνης Μενεγάκη ΘΕΜΑ: Η ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΣΤΗΝ ΚΟΙΝΩΝΙΚΗ ΑΣΦΑΛΙΣΗ. Επιβλέπων: Καθηγητής Άγγελος Στεργίου Θεσσαλονίκη

2 2

3 Περιεχόμενα Πρόλογος σ. 9 Κυριότεροι όροι σ. 11 Εισαγωγή σ. 15 ΚΕΦΑΛΑΙΟ 1. Ιδιωτικότητα και επεξεργασία προσωπικών δεδομένων στις ασφαλιστικές σχέσεις... σ. 17 Θεσμικό πλαίσιο για την προστασία της επεξεργασίας των προσωπικών δεδομένων.. σ Το Σύνταγμα.... σ Ο Νόμος 2472/1997 σ. 22 Το πεδίο εφαρμογής του Ν. 2472/ σ. 25 Οι κατηγορίες των προσωπικών δεδομένων στην Κοινωνική Ασφάλιση..σ. 25 Η διάκριση σε απλά και ευαίσθητα προσωπικά δεδομένα και η πρακτική σημασία της. Η θεωρία των σφαιρών της προσωπικότητας σ. 26 ΚΕΦΑΛΑΙΟ 2. Οι πυλώνες του συστήματος προστασίας σ ος τρόπος προστασίας Α) Σύστημα γνωστοποίησης και λήψης άδειας επεξεργασίας από την Αρχή. Β) Απόρρητο και Ασφάλεια επεξεργασίας σ ος τρόπος επεξεργασίας Η συγκατάθεση του ασφαλισμένου και του συνταξιούχου πριν από κάθε επεξεργασία των προσωπικών δεδομένων τους.. σ. 31 Επεξεργασία απλών προσωπικών δεδομένων χωρίς συγκατάθεση. σ. 32 Επεξεργασία ευαίσθητων προσωπικών δεδομένων χωρίς συγκατάθεση..σ. 34 Τα χαρακτηριστικά της συγκατάθεσης. σ. 35 Ο τύπος της συγκατάθεσης. σ. 36 3

4 Η ανάκληση της συγκατάθεσης. σ. 37 Η σχέση της συγκατάθεσης με τις βασικές αρχές επεξεργασίας. σ ος τρόπος προστασίας Βασικές αρχές επεξεργασίας των προσωπικών δεδομένων. σ. 39 Α) Αρχή της νόμιμης συλλογής: Συλλογή με θεμιτό και νόμιμο τρόπο για καθορισμένους, σαφείς και νόμιμους σκοπούς.. σ. 40 Β) Αρχή της νόμιμης επεξεργασίας: Θεμιτή και νόμιμη επεξεργασία ενόψει των προκαθορισμένων σκοπών επεξεργασίας σ. 40 Γ) Αρχή της αναλογικότητας: Δεδομένα συναφή, πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας σ. 42 Δ) Αρχή της ακρίβειας: Δεδομένα ακριβή και ενημερωμένα, όταν υπόκεινται σε αλλαγές σ. 49 Ε) Αρχή της καθορισμένης χρονικής διάρκειας τήρησης των δεδομένων. σ. 50 Συνέπειες από τη μη τήρηση των αρχών επεξεργασίας.. σ ος τρόπος προστασίας Απονομή δικαιωμάτων στους ασφαλισμένους και στους συνταξιούχους για την προστασία των προσωπικών δεδομένων τους σ Δικαίωμα ενημέρωσης.. σ Δικαίωμα πρόσβασης. σ Δικαίωμα αντίρρησης.. σ Δικαίωμα προσωρινής δικαστικής προστασίας.. σ ο Προληπτικό Σύστημα Προστασίας Εισαγωγή και οργάνωση θεσμικού ελέγχου Ανεξάρτητη Αρχή διασφαλίζει την εφαρμογή του ν. 2472/1997. σ. 61 Σύνθεση της Αρχής σ. 62 Αρμοδιότητες της Αρχής σ. 62 4

5 6 ο Κατασταλτικό Σύστημα Προστασίας Πρόβλεψη κατασταλτικού συστήματος ελέγχου της επεξεργασίας και κυρώσεων σ Αστική ευθύνη του υπεύθυνου επεξεργασίας. σ Διοικητικές και ποινικές κυρώσεις σ. 64 ΚΕΦΑΛΑΙΟ 3. Η προστασία των δεδομένων κοινωνικής πρόνοιας από την επεξεργασία τους από διάφορους φορείς. σ. 66 Προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων από ασφαλιστικά ταμεία... σ. 66 Η προστασία των προσωπικών δεδομένων κοινωνικής πρόνοιας στις περιπτώσεις διατροφής. σ. 68 Ο Α.Μ.Κ.Α. ως απλό προσωπικό δεδομένο κοινωνικής ασφάλισης Σχετικές αποφάσεις της Αρχής σ. 72 Η προστασία των προσωπικών δεδομένων κοινωνικής πρόνοιας στις περιπτώσεις αποστολής αλληλογραφίας ασφαλιστικού ταμείου στους ασφαλισμένους του σ. 77 Προϋποθέσεις νόμιμης επεξεργασίας δεδομένων κοινωνικής πρόνοιας από ελεγκτικούς μηχανισμούς δαπανών υγείας σ. 78 Η προστασία των προσωπικών δεδομένων κοινωνικής πρόνοιας στο Σύστημα Ηλεκτρονικής Συνταγογράφησης (ΣΗΣ). σ. 79 Προϋποθέσεις νόμιμης επεξεργασίας δεδομένων κοινωνικής πρόνοιας από τον Ο.Α.Ε.Δ. σ. 80 Επίλογος.σ. 85 Βιβλιογραφία..σ. 87 5

6 6

7 7 Στην οικογένειά μου.

8 8

9 Πρόλογος Η παρούσα διπλωματική εργασία αποτελεί αποτέλεσμα μιας προσπάθειας να παρουσιάσει με όσο το δυνατό πιο παραστατικό και συγκεντρωτικό τρόπο το θέμα της προστασίας των δεδομένων προσωπικού χαρακτήρα στο πεδίο της Κοινωνικής Ασφάλισης. Έχοντας ως επίκεντρο το εξεταζόμενο θέμα, αναλύει -στο μέτρο που κρίθηκε σκόπιμο- το γενικότερο θεσμικό πλαίσιο γύρω από το θέμα της προστασίας των προσωπικών δεδομένων και τις βασικές αρχές επεξεργασίας, που αποτελούν ενιαίο πλαίσιο και ισχύουν και στο ειδικότερο εξεταζόμενο θέμα, ώστε να αποκτήσει αυτό τη δέουσα πληρότητα και σαφήνεια. Η έρευνα επικεντρώθηκε κυρίως στην αναζήτηση δεδομένων και πληροφοριών μέσω του Διαδικτύου, μιας και δεν είναι πολλά τα συγγράμματα, ελληνικής και ξένης βιβλιογραφίας, που έχουν αφιερωθεί στο συγκεκριμένο θέμα. Βασική πηγή πληροφοριών αποτέλεσε η ιστοσελίδα της Αρχής Προστασίας Προσωπικών Δεδομένων ( αποφάσεις της οποίας παρατίθενται με σχετικό σχολιασμό στο μεγαλύτερο μέρος της εργασίας. Το θέμα της διπλωματικής μου εργασίας ήταν εξαιρετικά ενδιαφέρον και επίκαιρο και θα ήθελα να ευχαριστήσω θερμά τον επιβλέποντα Καθηγητή μου κ. Άγγελο Στεργίου για την επιλογή του, όπως και για τις κατευθυντήριες οδηγίες και την πολύτιμη συμβολή του στην ολοκλήρωση της παρούσας εργασίας. Θα ήθελα, τέλος, να ευχαριστήσω την οικογένειά μου για την εν γένει υποστήριξή της, με την οποία σαφώς συνέβαλλε δημιουργικά στην αποπεράτωση της διπλωματικής μου εργασίας. 9

10 10

11 Κυριότεροι Όροι Εκ προοιμίου και πριν εισέλθουμε στην ειδικότερη ανάλυση του αντικειμένου της παρούσας εργασίας, κρίνεται σκόπιµη η συνοπτική, αλλά περιεκτική παρουσίαση των κυριότερων όρων που θα συναντήσουμε, όροι στους οποίους γίνεται αναφορά αρκετές φορές στις σελίδες που ακολουθούν. α) «Δεδοµένα προσωπικού χαρακτήρα ή προσωπικά δεδομένα»: είναι κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο που μπορεί να προσδιοριστεί, όπως προκύπτει από το άρθρο 2 στοιχ. α του ν. 2472/1997. Από το γράμμα αυτής της διάταξης, όπου δίνεται ο ορισμός των προσωπικών δεδομένων, δεν αναφέρεται πουθενά ότι προσωπικά δεδομένα είναι μόνο οι «ιδιωτικές» πληροφορίες ή οι πληροφορίες της ιδιωτικής ζωής. Έχοντας ως οδηγό τη γραμματική ερμηνεία της διάταξης, αυτό που εξ αρχής πρέπει να διευκρινιστεί είναι ότι η έννοια των προσωπικών δεδομένων είναι ευρύτερη από την παραδοσιακή έννοια της ιδιωτικότητας, καθώς τα προσωπικά δεδομένα δεν ταυτίζονται με την ιδιωτική ζωή του ατόμου, την οποία ωστόσο συμπεριλαμβάνουν. Επομένως, οι ιδιωτικές πληροφορίες για ένα φυσικό πρόσωπο που μπορεί να προσδιοριστεί είναι μέρος μόνο της έννοιας των προσωπικών δεδομένων. Πέρα από τη γραμματική ερμηνεία της επίμαχης διάταξης που δίνει τον ορισμό των προσωπικών δεδομένων, ένα ακόμη επιχείρημα υπέρ της άποψης ότι προσωπικά δεδομένα δεν είναι μόνο οι ιδιωτικές πληροφορίες είναι και ότι το χαρακτηριστικό των προσωπικών δεδομένων δεν είναι το "απόρρητο" και το "απαραβίαστο" που χαρακτηρίζει την ιδιωτικότητα. Αντίθετα, αυτό που χαρακτηρίζει την έννοια των προσωπικών δεδομένων είναι ο ανθρωποπαγής χαρακτήρας τους, η σύνδεσή τους δηλαδή με ένα άτομο, η φύση τους ως πληροφοριών που συνδέονται με μία ανθρώπινη ύπαρξη, της οποίας η πληροφοριακή ακεραιότητα πρέπει να προστατεύεται. Με βάση, λοιπόν, όλα τα παραπάνω και σύμφωνα με την ως άνω διάταξη του άρθρου 2 στοιχ. α του ν. 2472/1997, που δίνει τον ορισμό των προσωπικών δεδομένων, δεν λογίζονται ως δεδοµένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν µπορούν πλέον να προσδιορισθούν τα υποκείµενα των δεδοµένων. Διότι, όπως αναφέρθηκε, τα προσωπικά δεδομένα συνδέονται µε ένα συγκεκριµένο υπαρκτό πρόσωπο, που έχει όνοµα, επώνυµο, διεύθυνση, επάγγελµα κ.λπ. Συνεπώς, οποιαδήποτε δεδοµένα µπορούν να συνδεθούν έµµεσα ή άµεσα µε την ταυτότητα ενός συγκεκριµένου ανθρώπου είναι προσωπικά δεδοµένα, τα οποία πρέπει να προστατεύονται. Δεδοµένα που αφορούν τις ιδιότητες (βιολογικές, ψυχολογικές, οικονοµικές, κοινωνικές κ.λπ.) ενός συγκεκριµένου 11

12 προσώπου, αλλά δεν είναι δυνατό να συνδεθούν µε το πρόσωπο αυτό, δεν είναι προσωπικά δεδοµένα. Για παράδειγµα, µπορεί σε κάποιο αρχείο να υπάρχουν δεδοµένα που αφορούν τις πολιτικές πεποιθήσεις ή την ερωτική συµπεριφορά ή την υγεία κάποιου κ.λπ., πουθενά όµως δεν υπάρχει το όνοµά του ή η διεύθυνσή του, ή έστω κάποιο στοιχείο που να µπορεί ακόµη και έµµεσα να οδηγήσει στην αποκάλυψη της ταυτότητάς του, να συνδέσει αυτά τα δεδοµένα µε το πρόσωπό του. Τα δεδοµένα αυτά δεν είναι προσωπικά. Αντίθετα, προσωπικά δεδοµένα είναι αυτά που συνδέονται ευθέως ή έµµεσα µε το πρόσωπο κάποιου, ακόµη και αυτά στα οποία ο καθένας µπορεί να έχει πρόσβαση καθηµερινά, ανοίγοντας για παράδειγµα τον τηλεφωνικό κατάλογο, όπου µπορεί να βρει τον αριθµό τηλεφώνου, τη διεύθυνσή ή το επάγγελµα κάποιου. β) «Ευαίσθητα δεδοµένα»: ορισμένες κατηγορίες προσωπικών δεδομένων, που αναφέρονται στον πυρήνα της ιδιωτικής μας ζωής, χαρακτηρίζονται από το ν. 2472/1997 ως «ευαίσθητα» και απολαμβάνουν μεγαλύτερης προστασίας σε σχέση με τα υπόλοιπα προσωπικά δεδομένα τα οποία χαρακτηρίζονται ως «απλά». Τα ευαίσθητα προσωπικά δεδομένα απαριθμούνται περιοριστικά στο άρθρο 2 στοιχ. β του ν. 2472/1997 και πρόκειται για τα δεδοµένα που αφορούν τη φυλετική ή εθνική προέλευση, τα πολιτικά φρονήµατα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συµµετοχή σε συνδικαλιστική οργάνωση, την υγεία, την κοινωνική πρόνοια, την ερωτική ζωή, τα σχετικά µε ποινικές διώξεις ή καταδίκες, καθώς και τη συµµετοχή σε συναφείς µε τα ανωτέρω ενώσεις προσώπων. Όσο πιο ευαίσθητα είναι τα προσωπικά δεδοµένα, τόσο περισσότερη προστασία χρειάζονται. γ) «Υποκείµενο των δεδοµένων»: το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδοµένα, και του οποίου η ταυτότητα είναι γνωστή ή µπορεί να εξακριβωθεί, δηλαδή µπορεί να προσδιορισθεί αµέσως ή εµµέσως, ιδίως βάσει αριθµού ταυτότητας ή βάσει ενός η περισσότερων συγκεκριµένων στοιχείων που χαρακτηρίζουν την υπόστασή του από άποψη φυσική, βιολογική, ψυχική, οικονοµική, πολιτιστική, πολιτική ή κοινωνική. Συγκεκριμένα στον τομέα της Κοινωνικής Ασφάλισης, υποκείμενα των δεδομένων είναι οι ασφαλισμένοι και οι συνταξιούχοι, των οποίων τα προσωπικά δεδομένα επεξεργάζεται κυρίως ο ασφαλιστικός ή συνταξιοδοτικός οργανισμός στον οποίο υπάγονται, καθώς και το ασφαλιστικό ταμείο τους. δ) «Επεξεργασία δεδοµένων προσωπικού χαρακτήρα»: κάθε εργασία ή σειρά εργασιών που πραγµατοποιείται από φυσικό ή νομικό πρόσωπο δηµοσίου ή ιδιωτικού δικαίου ή από το Δηµόσιο ή από ένωση προσώπων µε 12

13 ή χωρίς τη βοήθεια αυτοµατοποιηµένων µεθόδων και η εργασία ή οι εργασίες αυτές εφαρµόζονται σε δεδοµένα προσωπικού χαρακτήρα. Τέτοιες εργασίες είναι η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης µορφής διάθεση, η συσχέτιση ή ο συνδυασµός, η διασύνδεση, η δέσµευση (κλείδωµα), η διαγραφή, η καταστροφή. ε) «Αρχείο δεδοµένων προσωπικού χαρακτήρα»: κάθε διαρθρωµένο σύνολο δεδοµένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά µε γνώµονα συγκεκριµένα κριτήρια. στ) «Διασύνδεση»: μορφή επεξεργασίας που συνίσταται στη δυνατότητα συσχέτισης των δεδομένων ενός αρχείου με δεδομένα αρχείου ή αρχείων που τηρούνται από άλλον ή άλλους υπεύθυνους επεξεργασίας ή που τηρούνται από τον ίδιο υπεύθυνο επεξεργασίας για άλλο σκοπό. ζ) «Υπεύθυνος επεξεργασίας»: οποιοσδήποτε καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια, βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο. Συγκεκριμένα, στον τομέα της Κοινωνικής Ασφάλισης το ρόλο του υπεύθυνου επεξεργασίας διαδραματίζουν τα ασφαλιστικά ταμεία, οι ασφαλιστικοί φορείς, οι συνταξιοδοτικοί οργανισμοί, καθώς και άλλοι φορείς που χορηγούν επιδόματα ανεργίας ή άλλου είδους κοινωνικά επιδόματα (π.χ. ο Ο.Α.Ε.Δ.), οι οποίοι τηρούν πληροφορίες για τους ασφαλισμένους και τους συνταξιούχους. Παράλληλα, υπεύθυνος επεξεργασίας μπορεί να νοηθεί και οποιοδήποτε άλλο φυσικό ή νομικό πρόσωπο, πέραν των ανωτέρω ασφαλιστικών και συνταξιοδοτικών φορέων, που συλλέγει και επεξεργάζεται περαιτέρω δεδομένα που αναφέρονται στην κοινωνική πρόνοια. Για παράδειγμα, ο εργοδότης, ο οποίος προκειμένου να προσλάβει έναν εργαζόμενο ή να του παράσχει συγκεκριμένο επίδομα, ενδιαφέρεται να ενημερωθεί για την οικογενειακή κατάσταση του (υποψήφιου) εργαζομένου, δηλαδή αν είναι πολύτεκνος ή όχι και να συμπεριλάβει και αυτό το δεδομένο κοινωνικής πρόνοιας στο φάκελο του εργαζομένου. η) «Εκτελών την επεξεργασία»: οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. 13

14 θ) «Τρίτος»: κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας και τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον ενεργούν υπό την άμεση εποπτεία ή για λογαριασμό του υπεύθυνου επεξεργασίας. Αναφορικά με το ζήτημα αν οι στενοί συγγενείς έχουν δικαίωμα να λαμβάνουν γνώση δεδομένων κοινωνικής πρόνοιας κάποιου ασφαλισμένου, αναφέρουμε ότι οι συγγενείς ασφαλισμένου, ακόμη και οι στενότεροι, θεωρούνται τρίτοι ως προς αυτόν και συνεπώς δεν μπορούν να έχουν πρόσβαση στα δεδομένα κοινωνικής πρόνοιας του ασφαλισμένου, εκτός αν ο τελευταίος τους έχει παράσχει σχετική εξουσιοδότηση ή αν οι συγγενείς έχουν ορισθεί δικαστικοί συμπαραστάτες του. Διαφορετικά, ο τρίτος μόνο μετά από προηγούμενη άδεια της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και εφόσον πληρούνται οι σχετικές προϋποθέσεις του ν. 2472/1997, μπορεί να πετύχει τη χορήγηση σε αυτόν ασφαλιστικής βεβαίωσης ή λοιπών δεδομένων κοινωνικής πρόνοιας του ασφαλισμένου ή συνταξιούχου. ι) «Αποδέκτης»: το φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι. ια) «Συγκατάθεση»: του υποκειµένου των δεδοµένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βούλησης, που εκφράζεται µε τρόπο σαφή, και με πλήρη επίγνωση, µε την οποία το υποκείµενο των δεδοµένων, αφού προηγουµένως ενηµερωθεί, δέχεται να αποτελέσουν αντικείµενο επεξεργασίας τα δεδοµένα προσωπικού χαρακτήρα που το αφορούν. Η ενηµέρωση αυτή περιλαµβάνει πληροφόρηση τουλάχιστον για τον σκοπό της επεξεργασίας, τα δεδοµένα ή τις κατηγορίες δεδοµένων που αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδοµένων, καθώς και το όνοµα, την επωνυµία και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση µπορεί να ανακληθεί οποτεδήποτε, χωρίς αναδροµικό αποτέλεσµα. ιβ) «Αρχή»: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.). 14

15 Εισαγωγή Στόχος της παρούσας διπλωματικής εργασίας είναι η συνεκτική παρουσίαση του τρόπου και των μηχανισμών προστασίας των ασφαλισμένων και των συνταξιούχων από μη σύννομες επεξεργασίες των προσωπικών δεδομένων τους με ιδιαίτερη έμφαση στα δεδομένα που αφορούν την κοινωνική πρόνοια στο χώρο της Κοινωνικής Ασφάλισης. Όπως θα δούμε αναλυτικά, τα ασφαλιστικά και συνταξιοδοτικά ταμεία και οι λοιποί φορείς, ως υπεύθυνοι επεξεργασίας προσωπικών δεδομένων των ασφαλισμένων και συνταξιούχων δεν ασκούν απρόσκοπτα και ανεξέλεγκτα τις αρμοδιότητές τους, αλλά είναι υποχρεωμένοι για τη σύννομη τήρηση αρχείου προσωπικών δεδομένων και την επεξεργασία αυτών, καθώς επίσης οφείλουν να τηρούν και τις προβλεπόμενες βασικές αρχές επεξεργασίας, να σέβονται τα θεσπισμένα δικαιώματα των ασφαλισμένων και των συνταξιούχων ως υποκείμενων της επεξεργασίας, να ζητούν τη συγκατάθεση τους στις περιπτώσεις που απαιτείται η χορήγησή της και τέλος να συνεργάζονται με την Αρχή προστασίας προσωπικών δεδομένων και να υφίστανται τον έλεγχο της προς την κατεύθυνση της πιο αποτελεσματικής προστασίας των προσωπικών δεδομένων των υποκειμένων. Τέλος, προς την πληρέστερη ασφάλεια των προσωπικών δεδομένων των υποκειμένων προβλέπεται από την ελληνική νομοθεσία, πέρα από το προληπτικό σύστημα και κατασταλτικό σύστημα ελέγχου της επεξεργασίας των προσωπικών δεδομένων, καθώς και αντίστοιχες κυρώσεις, η βαρύτητα των οποίων ποικίλει ανάλογα προς την επικινδυνότητα της επεξεργασίας για την ασφάλεια των προσωπικών δεδομένων των υποκειμένων. Συγκεκριμένα, στο πρώτο κεφάλαιο, θα αναφερθούμε στο μέτρο που μπορούν να αξιώνουν «ιδιωτικότητα» τα υποκείμενα των προσωπικών δεδομένων στο χώρο της Κοινωνικής Ασφάλισης, καθώς και στο θεσμικό πλαίσιο που περιβάλλει την προστασία των δεδομένων αυτών. Περαιτέρω, στο κεφάλαιο αυτό, θα δούμε το πεδίο εφαρμογής του ν. 2472/1997, τη διάκριση των προσωπικών δεδομένων που τυγχάνουν επεξεργασίας στον τομέα αυτό σε απλά και ευαίσθητα και την πρακτική σημασία αυτής της διάκρισης με ταυτόχρονη αναφορά στη Θεωρία των σφαιρών της προσωπικότητας. Στο δεύτερο κεφάλαιο, θα αναλύσουμε τους πυλώνες του συστήματος προστασίας με σημείο εκκίνησης την προστασία της ίδιας της επεξεργασίας με την καθιέρωση συστήματος γνωστοποίησής της στην Αρχή ή λήψης άδειας επεξεργασίας από την Αρχή, καθώς και την καθιέρωση του απορρήτου της 15

16 επεξεργασίας. Κατόπιν, θα γίνει διεξοδικός λόγος για το ρόλο της συγκατάθεσης του ασφαλισμένου και του συνταξιούχου πριν από κάθε επεξεργασία των προσωπικών δεδομένων τους. Ειδικότερα, θα αναλύσουμε τα επιμέρους χαρακτηριστικά και τον τύπο που πρέπει να έχει η συγκατάθεση, για να είναι έγκυρη, καθώς και τη δυνατότητα ανάκλησής της και τη σχέση της συγκατάθεσης με τις βασικές αρχές επεξεργασίας, των οποίων η ανάλυση ακολουθεί. Ιδιαίτερη έμφαση δίνεται στην αρχή της αναλογικότητας που πρέπει να διέπει την επεξεργασία. Θα δούμε ακόμη τις συνέπειες από τη μη τήρηση των βασικών αρχών επεξεργασίας. Στη συνέχεια του κεφαλαίου αυτού, θα εστιάσουμε στα δικαιώματα που απονέμονται στα υποκείμενα των δεδομένων (σε ασφαλισμένους και συνταξιούχους), τα οποία επίσης μπορούν να συμμετέχουν ενεργά στην προστασία των προσωπικών δεδομένων τους από αθέμιτες επεξεργασίες. Προς την πλήρη και αποτελεσματικότερη προστασία των προσωπικών δεδομένων των υποκειμένων έχει καθιερωθεί ως θεσμικό όργανο αρμόδιο μεταξύ άλλων και για τον προληπτικό έλεγχο της επεξεργασίας των προσωπικών δεδομένων η ανεξάρτητη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καθώς επίσης έχουν προβλεφθεί κυρώσεις και κατασταλτικό σύστημα ελέγχου της επεξεργασίας, που επίσης περιγράφονται στο κεφάλαιο αυτό. Στο τρίτο κεφάλαιο, εξετάζουμε επιμέρους σημαντικά ζητήματα που άπτονται της προστασίας των δεδομένων κοινωνικής πρόνοιας από την επεξεργασία τους από διάφορους φορείς, όπως τα ασφαλιστικά ταμεία, τους ελεγκτικούς μηχανισμούς δαπανών υγείας και τον Ο.Α.Ε.Δ. Επιπρόσθετα, αντικείμενα εξέτασης αποτελούν οι περιπτώσεις αποστολής αλληλογραφίας ασφαλιστικού ταμείου στους ασφαλισμένους του, όπως και το θέμα της προστασίας των προσωπικών δεδομένων κοινωνικής πρόνοιας στις περιπτώσεις διατροφής και επιμέλειας. Μέρος του κεφαλαίου αυτού είναι και η ανάλυση γύρω από τον Α.Μ.Κ.Α. που γίνεται δεκτό ότι αποτελεί απλό προσωπικό δεδομένο κοινωνικής ασφάλισης με παράθεση σχετικών αποφάσεων της Αρχής. Τέλος, γίνεται αναφορά στην προστασία των προσωπικών δεδομένων κοινωνικής πρόνοιας στο σύστημα ηλεκτρονικής συνταγογράφησης. 16

17 ΚΕΦΑΛΑΙΟ 1 Ο ΙΔΙΩΤΙΚΟΤΗΤΑ ΚΑΙ ΕΠΕΞΕΡΓΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΑΣΦΑΛΙΣΤΙΚΕΣ ΣΧΕΣΕΙΣ. Η ασφαλιστική σχέση, όπως άλλωστε κάθε έννομη σχέση, βασίζεται σε μεγάλο βαθμό στην επεξεργασία πληροφοριών. Η ασφαλιστική σχέση, η σχέση δηλαδή του ασφαλισμένου με τον ασφαλιστικό του φορέα, προϋποθέτει την έναρξη της απασχόλησης του εργαζομένου και την αναγγελία της στον ασφαλιστικό φορέα, στον οποίο υπάγεται το είδος της απασχόλησής του. Η επεξεργασία, λοιπόν, προσωπικών δεδομένων στην Κοινωνική Ασφάλιση βρίσκει καταρχήν το λόγο θεμελίωσής της, αφενός στην υποχρέωση του εργοδότη να συμμορφωθεί με την υφιστάμενη νομοθεσία και να ασφαλίσει τον εργαζόμενό του, αφετέρου στο έννομο συμφέρον του ίδιου του εργαζόμενου να ασφαλιστεί, προκειμένου να λάβει από το Κράτος τις ανάλογες κοινωνικές και ασφαλιστικές παροχές. Έτσι, ένας χώρος από προσωπικά δεδομένα του ασφαλισμένου αναγκαία πρέπει να περιέλθει στη σφαίρα γνώσης και επεξεργασίας του εργοδότη και του ασφαλιστικού φορέα, στον οποίο ανήκει το είδος της απασχόλησής του εργαζομένου, για να κρίνεται σύννομη η σχέση εργασίας και για να επιτύχει ο εργαζόμενος ασφαλισμένος την απολαβή κοινωνικοασφαλιστικών παροχών. Συνεπώς, ένας σημαντικός χώρος από προσωπικά δεδομένα του ατόμου παύει να βρίσκεται στην αυτοκυριαρχία του ασφαλισμένου, με την ένταξή του στην αγορά εργασίας και στο χώρο της ασφάλισής του, καθώς οι πληροφορίες αυτές είναι αναγκαίο να γνωστοποιηθούν στον ασφαλιστικό φορέα, ο οποίος στη συνέχεια θα τηρήσει και θα λειτουργήσει αρχείο με αυτά και θα τα επεξεργαστεί, για να παράσχει στον ασφαλισμένο τα επιδόματα και τις λοιπές παροχές που δικαιούται, καθώς και στο συνταξιούχο τη σύνταξη του. Διαπιστώνουμε λοιπόν, ότι τα δικαιώματα στην ιδιωτικότητα (άρθρ. 9 παρ. 1 Συντάγματος) και στον πληροφοριακό αυτοκαθορισμό (άρθρ. 5 Α Συντάγματος) του εργαζομένου - ασφαλισμένου συγκρούονται με τα αντίστοιχης συνταγματικής θεμελίωσης δικαιώματα του εργοδότη για την ελεύθερη ανάπτυξη της προσωπικότητάς του, της οικονομικής ελευθερίας, του απορρέοντος από αυτή διευθυντικού δικαιώματος (άρθρο 5 παρ. 1 Συντάγματος) και της ιδιοκτησίας (άρθρο 17 Συντάγματος), καθώς και με το ομοίως συνταγματικής θεμελίωσης δικαίωμα στην πληροφόρηση (άρθρ. 5 Α Συντάγματος) των ασφαλιστικών και συνταξιοδοτικών φορέων και ταμείων. Δεδομένου, λοιπόν, πως στο πεδίο των εργασιακών και ασφαλιστικών σχέσεων υφίσταται σύγκρουση δικαιωμάτων ιεραρχικά 17

18 όμοιας θεμελίωσης, δεν μπορεί να γίνει λόγος για υπερίσχυση του ενός ή του άλλου δικαιώματος in abstracto, αλλά πρέπει να γίνει στάθμιση in concreto με βάση τα εκάστοτε πραγματικά περιστατικά που έχει κάθε φορά στη διάθεσή του ο δικαστής. ΘΕΣΜΙΚΟ ΠΛΑΙΣΙΟ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. 1. ΤΟ ΣΥΝΤΑΓΜΑ. Με τη συνταγματική αναθεώρηση του 2001, προστέθηκαν τα άρθρα 5 Α και 9 Α του Συντάγματος. Το πρώτο από αυτά καθιερώνει το δικαίωμα του ατόμου στην πληροφόρηση. Το δεύτερο καθιερώνει το δικαίωμα του ατόμου στην προστασία των προσωπικών του δεδομένων, δηλαδή το δικαίωμα στον πληροφοριακό αυτοκαθορισμό και στην πληροφοριακή αυτοδιάθεση. Ειδικότερα, το εδάφιο α του άρθρου 9 Α Συντάγματος ορίζει ότι «Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει». Από το γράμμα της διάταξης, εξάγουμε ότι η προστασία των προσωπικών δεδομένων αφενός αφορά χωρίς διαφοροποιήσεις τον δημόσιο και τον ιδιωτικό τομέα και αφετέρου την αυτοματοποιημένη αλλά και τη μη αυτοματοποιημένη επεξεργασία που διεξάγεται με παραδοσιακές - συμβατικές μεθόδους. Η προσθήκη δε του άρθρου 9 Α στο Σύνταγμα, κατά την αναθεώρησή του το 2001, και η συνταγματική κατοχύρωση της προστασίας των δεδομένων προσωπικού χαρακτήρα συνδέεται σαφώς και με την ανάγκη επικαιροποίησης του δικαίου και παρακολούθησης των τεχνολογικών εξελίξεων, που επιβάλλουν τη θωράκιση ενός χώρου αυτοκαθορισμού σε συνθήκες ανάπτυξης και αξιοποίησης της Τεχνολογίας, που έχει ως αποτέλεσμα την πιο εύκολη και γρήγορη συλλογή και επεξεργασία των προσωπικών δεδομένων των φυσικών προσώπων, όσο και τη διάδοση και τη διασύνδεσή περισσότερων αρχείων του ίδιου ή και διαφορετικών υπεύθυνων επεξεργασίας. Έτσι, εύκολα το άτομο μπορεί να υποβιβαστεί σε σύνολο δεδομένων και πληροφοριών, σε πληροφοριακό αντικείμενο και αντικείμενο συναλλαγής και εμπορικής εκμετάλλευσης, δεδομένου ότι η συλλογή και επεξεργασία των δεδομένων του πραγματοποιείται όχι μόνο από το Κράτος και δημόσιους φορείς, όπου ο έλεγχος είναι εκτενέστερος και νομιμοποιημένος, αλλά ως επί το πλείστον και από ιδιωτικούς φορείς. Η μετατροπή αυτή του ατόμου σε πληροφοριακό αντικείμενο και της πληροφορίας σε αντικείμενο εμπορικής συναλλαγής εγκυμονεί κινδύνους όχι 18

19 μόνο για την ιδιωτική ζωή του ατόμου, αλλά και για το ίδιο το δημοκρατικό πολίτευμα, διότι το άτομο κατά το μέτρο που γνωρίζει ότι καταγράφεται η κοινωνική και πολιτική του δραστηριότητα, δεν εκφράζεται ελεύθερα και δε συμμετέχει σε δραστηριότητες που άλλως θα συμμετείχε 1. Σαφώς, επομένως, αφορά και τον εργαζόμενο, τον ασφαλισμένο και τον συνταξιούχο, που στον επαγγελματικό χώρο τους, όπως και στον χώρο της κοινωνικής τους ασφάλισης χορηγούν υποχρεωτικώς στοιχεία τους που συνιστούν άλλα από αυτά απλά και άλλα ευαίσθητα προσωπικά δεδομένα, για να επιτύχουν την έναρξη της απασχόλησής τους, τη συνέχιση της και την παροχή κοινωνικοασφαλιστικών παροχών. Έτσι, οι πληροφορίες αυτές που χορηγούνται από τις συγκεκριμένες ιδιότητες του ατόμου ως εργαζόμενου, ως ασφαλισμένου ή συνταξιούχου εξέρχονται και απέχουν πολύ από τα στενά όρια προστασίας του ιδιωτικού βίου του άρθρου 9 Συντάγματος, καθότι αφορούν εκφάνσεις της κοινωνικής ζωής του ατόμου και η επεξεργασία τους για σκοπούς άσχετους με αυτούς για τους οποίους δόθηκαν, διαταράσσει την ηρεμία του ατόμου και την προσωπική του αυτονομία και επιθυμία να διαχειρίζεται και να δημοσιοποιεί κατά βούληση τα προσωπικά του στοιχεία. Από τα παραπάνω προκύπτει η διακινδύνευση των προσωπικών δεδομένων του ασφαλισμένου και του συνταξιούχου και η ανάγκη προστασίας τους, η οποία σαφώς θέτει όρια και συγκρούεται με το δικαίωμα στην πληροφόρηση του εργοδότη, του ασφαλιστικού ταμείου ή του συνταξιοδοτικού οργανισμού. Εκ πρώτης όψεως, παρατηρούμε λοιπόν ότι τα δύο αυτά δικαιώματα, αφενός του πληροφοριακού αυτοκαθορισμού, αφετέρου της πληροφόρησης δεν είναι απόλυτα, δηλαδή δεν παρέχουν στο άτομο απεριόριστη εξουσία προς κάθε κατεύθυνση, αλλά ισχύουν σε αυτά περιορισμοί που σχετικοποιούν την εξουσία που αυτά παρέχουν στο άτομο, θέτοντας όρια στη δράση τους. Σκοπός του συντακτικού νομοθέτη, ο οποίος την ίδια χρονική στιγμή πρόσθεσε τα δύο αυτά άρθρα στο Σύνταγμα, φαίνεται ότι ήταν η πρακτική εναρμόνιση των δύο αυτών δικαιωμάτων, η επίτευξη καταρχήν της ισορροπίας τους με σεβασμό και στις δύο κατευθύνσεις, ήτοι από τη μία στο δικαίωμα του εργοδότη και των ασφαλιστικών ταμείων και οργανισμών να έχουν πρόσβαση σε πληροφορίες και από την άλλη στο δικαίωμα του ασφαλισμένου και συνταξιούχου να προστατεύει τα προσωπικά του δεδομένα από μη εξουσιοδοτημένη και μη νόμιμη συλλογή, περαιτέρω επεξεργασία και χρήση τους. Φαίνεται, λοιπόν, ότι οι δύο αυτές διατάξεις αλληλοσυμπληρώνονται ή ακόμη και αλληλοσυγκρούονται. Μάλιστα, η διάταξη του άρθρου 9 του Συντάγματος είναι συγγενής με τη διάταξη του 1 Μαντζούφας Παναγιώτης, Συνταγματική προστασία των δικαιωμάτων στην κοινωνία της διακινδύνευσης, εκδ. Σάκκουλα 2006, σελ

20 άρθρου 9 Α, όπως άλλωστε εξάγεται και από τη συστηματική ερμηνεία και τη θέση της στο κείμενο του Συντάγματος στο άρθρο 9. Ωστόσο, το προστατευτικό πεδίο του άρθρου 9 του Συντάγματος που αφορά τη στενή προστασία του ασύλου της κατοικίας, της ιδιωτικής και οικογενειακής ζωής δεν κάλυπτε και τις περιπτώσεις που αφορούσαν την προστασία του προσώπου από επεξεργασίες των προσωπικών δεδομένων του κατά τη συμμετοχή του σε διάφορες κοινωνικοπολιτικές δραστηριότητες, οι οποίες πλέον καλύπτονται από το πεδίο εφαρμογής του νέου άρθρου 9 Α του Συντάγματος. Έτσι, η ειδική συνταγματική κατοχύρωση της προστασίας των προσωπικών δεδομένων στο άρθρο 9 Α του Συντάγματος ήταν αναγκαία, διότι, το προστατευτικό πεδίο του άρθρου 9 Συντάγματος κάλυπτε την επεξεργασία των προσωπικών δεδομένων του ατόμου στα στενά όρια του ιδιωτικού βίου, παρέχοντας στο άτομο την αξίωση να απαγορεύει απόλυτα την παράνομη συλλογή και επεξεργασία των δεδομένων του που θίγουν την ιδιωτικότητά του, χωρίς να προβλέπει την προστασία του ατόμου από επεξεργασίες των προσωπικών δεδομένων του κατά τις κοινωνικοπολιτικές δραστηριότητες του, όπου εκθέτει δημόσια την εικόνα του 2. Τέτοια δε είναι αναμφισβήτητα και η συμμετοχή του στην αγορά εργασίας και η ασφάλιση του λόγω ακριβώς της εργασίας του. Έτσι, με το νέο άρθρο 9 Α του Συντάγματος κατοχυρώθηκε συνταγματικά το δικαίωμα στον πληροφοριακό αυτοκαθορισμό, δηλαδή η εξουσία του ατόμου να καθορίζει ποιες από τις πληροφορίες που αφορούν την κοινωνικότητα του και τη συμμετοχή του σε εκφάνσεις της δημόσιας ζωής, θα περιέρχονται σε γνώση των τρίτων και ποιοι θα είναι αποδέκτες αυτής της πληροφόρησης, για ποιο σκοπό υπόκεινται σε επεξεργασία τα δεδομένα του και για πόσο χρονικό διάστημα θα διατίθενται, απαραίτητοι όροι της προσωπικής αυτονομίας του και της ανεμπόδιστης συμμετοχής του στην κοινωνική ζωή. Η σημασία, λοιπόν, της διάταξης του άρθρου 9 Α Συντάγματος εντοπίζεται ουσιαστικά σε δύο, αλληλένδετα μεταξύ τους, σημεία: αφενός συνιστά ένα ιδιαίτερο, θεμελιώδες και αυτοτελές συνταγματικό δικαίωμα 3 και 2 Μαντζούφας Παναγιώτης, Συνταγματική προστασία των δικαιωμάτων στην κοινωνία της διακινδύνευσης, εκδ. Σάκκουλα, έτος 2006, σελ Και στο πεδίο της ευρωπαϊκής έννομης τάξης, το δικαίωμα προστασίας των προσωπικών δεδομένων, είτε ως έκφανση του ιδιωτικού βίου, είτε ως έκφανση της προσωπικότητας, είτε ως συνώνυμο της ιδιωτικότητας, έχει διανύσει μία τέτοια πορεία κατά τα τελευταία 30 χρόνια που το έχει αναγάγει εν τέλει καθεαυτό σε ένα θεμελιώδες δικαίωμα. Το δικαίωμα προστασίας του πολίτη από την επεξεργασία των προσωπικών του στοιχείων κατοχυρώνεται σε ορισμένα ευρωπαϊκά συντάγματα ως ένα από τα θεμελιώδη ανθρώπινα δικαιώματα. Έχει πλέον έναν ικανό αριθμό ιδιαίτερων χαρακτηριστικών, ώστε να δικαιολογεί την ιδιαίτερη θέση και την αναγνώρισή του ως ενός ξεχωριστού θεμελιώδους δικαιώματος. Η διαπίστωση αυτή εξάλλου υπήρξε η βάση για την 20

21 αφετέρου με τη ρητή και ειδική συνταγματική προστασία ο συντακτικός νομοθέτης απευθύνει εντολή στο δικαστή και στον κοινό νομοθέτη να πληρώσουν τα κενά νόμου, όπου διαπιστώνονται. Έτσι, το δικαίωμα στην πληροφοριακή αυτοδιάθεση του ατόμου απέκτησε κανονιστική διάσταση, που σημαίνει ότι η προστασία του αποτελεί δέσμευση για το κράτος, που υποχρεούται να λαμβάνει τα κατάλληλα μέτρα προς το σκοπό της διασφάλισης του ατόμου από την υποβάθμιση του σε πληροφοριακό αντικείμενο, λειτουργώντας σύμφωνα με τις συνταγματικές επιταγές, αλλά ταυτόχρονα αποτελεί και δέσμευση για έκαστο εκ των δημόσιων φορέων και ιδιωτών που ως υπεύθυνοι επεξεργασίας προβαίνουν σε επεξεργασία προσωπικών δεδομένων. Συγκεκριμένα, η ρητή συνταγματική πρόβλεψη του άρθρου 9 Α στο Σύνταγμα, δημιούργησε πιέσεις προς τον κοινό νομοθέτη να διαμορφώσει οργανωτικές και διαδικαστικές εγγυήσεις, ως απαραίτητες δικλείδες ασφαλείας των προσωπικών δεδομένων, με πρωταρχικό στόχο την πρόληψη της προσβολής της προσωπικότητας του ατόμου από ενδεχόμενη παράνομη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα, σε αντίθεση και πάλι με τη διάταξη του άρθρου 9 Συντάγματος που έχει κατασταλτικό χαρακτήρα, επομένως θα κρινόταν εκ νέου ανεπαρκής για την αποτελεσματική προστασία των προσωπικών δεδομένων των ασφαλισμένων και όχι μόνο. Το άρθρο 9 Α του Συντάγματος δεν εξαντλείται επομένως στην αξίωση του ατόμου απέναντι στο κράτος για παρεμπόδιση της μη εξουσιοδοτημένης χρήσης ή της αποκάλυψης των προσωπικών δεδομένων του σε άλλους. Αλλά λειτουργεί επιπλέον και ως θεσμική εγγύηση 4 που συνίσταται σε ένα πλέγμα αρχών και δικαιωμάτων που εγγυώνται την ορθή λειτουργία του δημοκρατικού πολιτεύματος με τη συμμετοχική δράση του πολίτη, προκειμένου να κινείται στο δημόσιο χώρο χωρίς να μετατρέπεται σε πληροφοριακό αντικείμενο χωρίς τη θέλησή του ή εν αγνοία του. Έτσι, η προστασία των προσωπικών δεδομένων εξασφαλίζεται με ένα σύνολο από κανόνες, όρους, προϋποθέσεις, και απαγορεύσεις σε σχέση με τη συλλογή και την περαιτέρω επεξεργασία τους. Εξασφαλίζεται, επίσης, από διαδικασίες και θεσμικούς ελέγχους που πραγματοποιούνται από μία ανεξάρτητη αρχή που συγκροτείται και λειτουργεί όπως ορίζει το άρθρο 101 Α του Συντάγματος, την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Εν κατακλείδι, η διάταξη του άρθρου 9 πρόσφατη, αντίστοιχη ένταξή του στον Χάρτη των θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης. O Χάρτης διαχωρίζει με σαφήνεια τον σεβασμό της ιδιωτικής και οικογενειακής ζωής (άρθρο 7) από την προστασία των δεδομένων προσωπικού χαρακτήρα (άρθρο 8). 4 Μαντζούφας Παναγιώτης, Συνταγματική προστασία των δικαιωμάτων στην κοινωνία της διακινδύνευσης, εκδ. Σάκκουλα, έτος 2006, σελ

22 Α Συντάγματος χαρακτηρίζεται ως λιτή, καθώς δεν αναφέρει συγκεκριμένα στοιχεία του δικαιώματος, ούτε συγκεκριμένες αρμοδιότητες της Αρχής. Από αυτό μπορούμε να συμπεράνουμε ότι γνώμονας του συντακτικού νομοθέτη ήταν η διασφάλιση της προστασίας των προσωπικών δεδομένων, έργο δε του κοινού νομοθέτη η εξειδίκευση των τρόπων της προστασίας των δεδομένων αυτών. Έτσι, εκτός από τη θετική επιταγή προς τον κοινό νομοθέτη για ίδρυση της ανεξάρτητης Αρχής, η διάταξη αυτή δηλώνει επιπλέον ότι τυχόν περιορισμός των αρμοδιοτήτων, εξουσιών και ευχερειών της ελεγκτικής Αρχής σε βαθμό που δεν μπορεί πλέον να διασφαλιστεί η αποτελεσματική προστασία του δικαιώματος, θέτει ζητήματα συνταγματικότητας. Με τα μέτρα και τις διαδικασίες αυτές που θα αναλύσουμε στη συνέχεια της παρούσας και έχουν πρωτίστως προληπτικό χαρακτήρα, παρέχεται στο άτομο και εν προκειμένω στον ασφαλισμένο και στο συνταξιούχο ήδη σε πρώιμο στάδιο ικανό επίπεδο προστασίας για να αποτραπεί η παράνομη επεξεργασία των προσωπικών δεδομένων του και η προσβολή της προσωπικότητάς του. Τέλος, πριν την ειδική συνταγματική κατοχύρωση του άρθρου 9 Α του Συντάγματος, το δικαίωμα στην προστασία των προσωπικών δεδομένων του ατόμου έβρισκε θεμέλια στο ν. 2472/1997, καθώς και σε άλλες συνταγματικές διατάξεις ή στο συνδυασμό επιμέρους διατάξεων του Συντάγματος, όπως στο άρθρο 2 παρ. 1 για την προστασία της αξίας του ανθρώπου, στο άρθρο 5 παρ. 1 για την ελεύθερη ανάπτυξη της προσωπικότητας, στο άρθρο 9 για την προστασία της ιδιωτικής ζωής και στο άρθρο 19 για το απόρρητο της επικοινωνίας, καθώς και σε επιμέρους διατάξεις του Αστικού Κώδικα για την προστασία της προσωπικότητας, όπως αυτές των άρθρων Α.Κ. 2. Ο ΝΟΜΟΣ 2472/1997. Στον ευρωπαϊκό χώρο, σταθμό στην προστασία των προσωπικών δεδομένων αποτελεί η Οδηγία 95/46/EK, η οποία εξασφαλίζει την εναρμόνιση των εθνικών νομοθεσιών των κρατών-μελών ως προς την προστασία των προσωπικών δεδομένων και την ελεύθερη κυκλοφορία τους στα κράτη-μέλη. Ο ελληνικός νόμος 2472/97 μετέφερε την Οδηγία 95/46/EK στο εσωτερικό δίκαιο και συγχρόνως εκπλήρωσε την υποχρέωση της Ελλάδας που απέρρεε από τη Σύμβαση του Συμβουλίου της Ευρώπης να θεσπίσει ειδικές διατάξεις για την προστασία των προσωπικών δεδομένων. 5 Η Σύμβαση 108 του Συμβουλίου της Ευρώπης αφορούσε την Προστασία από την Αυτοματοποιημένη Επεξεργασία των προσωπικών δεδομένων και αποτέλεσε το πρώτο νομικά 22

23 Η επεξεργασία των προσωπικών δεδομένων των ασφαλισμένων και των συνταξιούχων εμπίπτει στο πεδίο εφαρμογής και προστασίας του Ν. 2472/1997: για να είναι νόμιμη η επεξεργασία, θα πρέπει καταρχήν να θεμελιώνεται σε ένα νόμιμο λόγο επεξεργασίας, που κατά κανόνα είναι η συγκατάθεση (άρθρο 5) και κατ εξαίρεση όπου δεν απαιτείται η συγκατάθεση είναι κάποιος από τους νόμιμους λόγους που προβλέπονται περιοριστικά στο άρθρο 5 του νόμου αυτού. Επιπλέον, θα πρέπει να τηρεί τις βασικές αρχές της επεξεργασίας (άρθρο 4), καθώς και τις ειδικότερες ουσιαστικές και διαδικαστικές προϋποθέσεις αυτής (άρθρο 6- γνωστοποίηση σε Αρχή σύστασης αρχείου ή έναρξης επεξεργασίας). Ο ειδικός νόμος 2472/1997 που ισχύει γενικά για την προστασία των προσωπικών δεδομένων βρίσκει εφαρμογή και στο πεδίο της Κοινωνικής Ασφάλισης, στο οποίο δεν προβλέπεται άλλη ειδικότερη νομοθεσία για την προστασία των προσωπικών δεδομένων των ασφαλισμένων και των συνταξιούχων. Ο νόμος αυτός μετέφερε τις ρυθμίσεις της 95/46/ΕΚ κοινοτικής οδηγίας για την προστασία προσωπικών δεδομένων στην εσωτερική έννομη τάξη. Αντικείμενο του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα και σκοπός του η προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής. Ο νομοθέτης με το ν. 2472/97 οριοθετεί με ουσιαστικούς, οργανωτικούς διαδικαστικούς και κυρωτικούς κανόνες τη συνταγματικά ανεκτή επεξεργασία προσωπικών δεδομένων και με τον τρόπο αυτό ρυθμίζει τη ροή των προσωπικών δεδομένων στο πλαίσιο του κράτους, της οικονομίας και της κοινωνίας και οργανώνει τις πληροφοριακές σχέσεις μεταξύ των προσώπων. Ο ν. 2472/97 συνιστά ένα προστατευτικό πλαίσιο κανόνων που εδράζεται σε τέσσερις πυλώνες: α) σε ένα σύστημα ουσιαστικών ρυθμίσεων που θέτει αφενός τις προϋποθέσεις νομιμότητας της επεξεργασίας, προσδιορίζοντας δεσμευτικά το σημείο ισορροπίας μεταξύ των αντιτιθέμενων δικαιωμάτων και συμφερόντων και αφετέρου τις βασικές αρχές του νόμου με έμφαση στην αρχή του σκοπού και της αναλογικότητας (άρθρα 4-10), β) στην απονομή δικαιωμάτων στα υποκείμενα των δεδομένων, ώστε να προστατεύσουν τα δικαιώματα και συμφέροντά τους (άρθρα 11-14), γ) στην εισαγωγή και οργάνωση ανεξάρτητου θεσμικού ελέγχου της προστασίας των προσωπικών δεδομένων, ώστε να εξασφαλίζεται η εφαρμογή της νομοθεσίας (άρθρα 15-20) και δ) στους κανόνες που προβλέπουν διοικητικές, δεσμευτικό διεθνές κείμενο του ευρωπαϊκού χώρου με σκοπό την προστασία των προσωπικών δεδομένων, το οποίο επικυρώθηκε από την Ελλάδα 11 χρόνια μετά, με την ψήφιση του Νόμου 2068/1992. Η σημασία της προστασίας των προσωπικών δεδομένων ήταν μεγάλη, γι αυτό έχει καθιερωθεί η 28 η Ιανουαρίου κάθε έτους ως Ημέρα Προστασίας Προσωπικών Δεδομένων από το Συμβούλιο της Ευρώπης και την Ευρωπαϊκή Επιτροπή. Μάλιστα, επιλέχθηκε η συγκεκριμένη ημέρα, καθώς στις 28 Ιανουαρίου 1981 θεσπίστηκε η παραπάνω Σύμβαση 108 του Συμβουλίου της Ευρώπης. 23

24 ποινικές και αστικές κυρώσεις σε περιπτώσεις παράβασης του νόμου (άρθρα 21-23). Αξιοσημείωτο είναι ότι ο κοινός νομοθέτης στο θέμα της στάθμισης των συγκρουόμενων δικαιωμάτων αφενός της πληροφόρησης του ασφαλιστικού ταμείου αφετέρου του πληροφοριακού αυτοκαθορισμού του ασφαλισμένου, εμμέσως πλην σαφώς, δίνει προβάδισμα 6 στην προστασία των προσωπικών δεδομένων των ασφαλισμένων και των συνταξιούχων σε σχέση με το δικαίωμα στην πληροφόρηση των ασφαλιστικών και συνταξιοδοτικών οργανισμών, με το να καθιερώνει την υπό όρους και προϋποθέσεις επεξεργασία των δεδομένων προσωπικού χαρακτήρα και με το να απαγορεύει καταρχήν τη συλλογή και επεξεργασία των ευαίσθητων δεδομένων, καθώς και την ίδρυση και λειτουργία σχετικού αρχείου τους, θεσπίζοντας ουσιαστικά τεκμήριο της παράνομης επεξεργασίας τους στο άρθρο 7 Ν. 2472/1997, όταν δεν πληρούνται οι αρχές, οι προϋποθέσεις και οι εγγυήσεις προληπτικού ελέγχου που θέτει ο νόμος 2472/1997 και εξειδικεύει με τις αποφάσεις της η Αρχή. Με τον τρόπο αυτό, ο νόμος διευρύνει τις επεξεργασίες που θεωρούνται παράνομες και τις προσβολές της προσωπικότητας που δύσκολα θα εντάσσονταν στο προστατευτικό πεδίο του άρθρου 5 παρ. 1 Συντάγματος, όπως εξειδικεύεται από το άρθρο 57 Α.Κ. για την προστασία της προσωπικότητας. Επιπλέον, η στάθμιση του νομοθέτη μεταξύ του δικαιώματος στην πληροφόρηση και του δικαιώματος στα προσωπικά δεδομένα τείνει προς την υπέρτερη προστασία των τελευταίων, καθώς δεν αρκείται στο ήδη υφιστάμενο κατασταλτικό σύστημα προστασίας των δεδομένων, όπως προβλέπεται από τα άρθρα 5 και 9 Συντάγματος και 57 Α.Κ., αλλά υιοθετεί προληπτικό σύστημα ελέγχου που ήδη σε πρώιμο στάδιο μεριμνά για την προστασία του πληροφοριακού αυτοκαθορισμού του ατόμου και σε μεγάλο βαθμό αποτρέπει τις προσβολές της προσωπικότητάς του. Τέλος, το ν. 2472/1997 και το θεσπιζόμενο με αυτόν νομοθετικό πλαίσιο προστασίας των δεδομένων προσωπικού χαρακτήρα συμπληρώνει ο ν. 3471/2006 που αντικατέστησε το ν. 2774/1999 και αφορά την προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Ο ν. 3471/2006 ενσωμάτωσε την Οδηγία 2002/58/ΕΚ και αποσκοπεί στην εισαγωγή ειδικών ρυθμίσεων που αφορούν τόσο το απόρρητο της επικοινωνίας και την προστασία της ιδιωτικότητας των χρηστών από πρακτικές όπως είναι η εγκατάσταση κατασκοπευτικού λογισμικού (spyware) όσο και η οργάνωση της προστασίας των δεδομένων των συνδρομητών και των χρηστών έναντι των παρόχων τους. 6 Μαντζούφας Παναγιώτης, Συνταγματική προστασία των δικαιωμάτων στην κοινωνία της διακινδύνευσης, εκδ. Σάκκουλα, έτος 2006, σελ

25 ΤΟ ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ ΤΟΥ Ν. 2472/1997. Η προστασία του Ν. 2472/1997 αφορά την προστασία μόνο των φυσικών προσώπων εν ζωή, των οποίων οι πληροφορίες που υφίστανται επεξεργασία προσδιορίζουν την ταυτότητά τους ή μπορούν αμέσως ή εμμέσως να την προσδιορίσουν. Έτσι, στο προστατευτικό πεδίο του νόμου 2472/1997 δεν συμπεριλαμβάνονται τα φυσικά πρόσωπα που απεβίωσαν, των οποίων οι ενδεχόμενες προσβολές της φήμης ή του ονόματος τους λόγω αθέμιτης επεξεργασίας των προσωπικών τους στοιχείων θα ενέπιπταν στο προβλεπόμενο εκ των άρθρων 57 επ. Α.Κ. κατασταλτικό σύστημα προστασίας. Επίσης, ο νόμος 2472/1997 μέχρι στιγμής δεν εφαρμόζεται στα νομικά πρόσωπα. Περαιτέρω, σύμφωνα με το άρθρο 2 του Ν. 2472/1997 ορίζεται ότι «Για τους σκοπούς του παρόντος νόμου νοούνται ως: α) Δεδομένα προσωπικού χαρακτήρα, κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιορισθούν τα υποκείμενα των δεδομένων». Επομένως, γίνεται σαφές από τα ανωτέρω ότι η προστασία δεν αφορά επεξεργασίες προσωπικών στοιχείων από τις οποίες δεν προσδιορίζεται ή δεν μπορεί να προσδιορισθεί αμέσως ή εμμέσως η ταυτότητα του υποκειμένου των δεδομένων, όπως είναι οι επεξεργασίες που γίνονται για στατιστικούς ή επιστημονικούς σκοπούς, όπου τηρείται η ανωνυμία των στοιχείων των υποκειμένων. ΟΙ ΚΑΤΗΓΟΡΙΕΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΚΗ ΑΣΦΑΛΙΣΗ. Σύμφωνα με το άρθρο 2 περ. β. του ν. 2472/1997 στα ευαίσθητα προσωπικά δεδομένα συγκαταλέγονται και οι πληροφορίες που αναφέρονται στην κοινωνική πρόνοια και ως εκ τούτου ο νόμος τους επιφυλάσσει αυξημένη προστασία. Ως προσωπικά δεδομένα κοινωνικής πρόνοιας 7 νοούνται εκείνα που αφορούν σε εν γένει κοινωνικοασφαλιστικές παροχές που σχετίζονται με τη λήψη από ευάλωτες κοινωνικές ομάδες (π.χ. ορφανά, αναπήρους, ανέργους) ειδικών παροχών και επιδομάτων από το κράτος. Ένα τέτοιο δεδομένο που αφορά στην κοινωνική πρόνοια είναι και η ιδιότητα κάποιου προσώπου ως ανέργου ή/και δικαιούχου επιδόματος από τον Ο.Α.Ε.Δ. Τις πληροφορίες αυτές για τους ασφαλισμένους και τους λοιπούς δικαιούχους τις 7 Θεματικές Ενότητες/Κοινωνική Ασφάλιση/ υπ αριθμ. 1/2009 Απόφαση της Αρχής. 25

26 τηρούν τα ασφαλιστικά ταμεία, άλλοι δημόσιοι ασφαλιστικοί φορείς, συνταξιοδοτικοί οργανισμοί, καθώς και φορείς που χορηγούν επιδόματα ανεργίας ή άλλου είδους κοινωνικά επιδόματα, ανεξάρτητα από τη φύση των δεδομένων, αν δηλαδή αναφέρονται στην κατάσταση της υγείας του ασφαλισμένου ή στην κοινωνική του κατάσταση, δηλαδή αν κάποιος είναι άνεργος, ορφανός, ανάπηρος κ.λπ. Ωστόσο, στο πεδίο της Κοινωνικής Ασφάλισης συλλέγονται και επεξεργάζονται και δεδομένα προσωπικού χαρακτήρα του ασφαλισμένου ή/και του συνταξιούχου που χαρακτηρίζονται ως απλά και δεν αφορούν καθαυτή την κοινωνική πρόνοια. Τέτοια είναι ενδεικτικά το ονοματεπώνυμό του, το πατρώνυμο, ο τόπος κατοικίας, η διεύθυνση ηλεκτρονικού ταχυδρομείου ( ), ο Αριθμός Φορολογικού Μητρώου (Α.Φ.Μ.), ο αριθμός της ταυτότητάς του, ο Αριθμός Μητρώου Κοινωνικής Ασφάλισης (Α.Μ.Κ.Α.). Για την τήρηση αρχείου με τα απλά αυτά δεδομένα προσωπικού χαρακτήρα, δεν επιφυλάσσεται το αυξημένο επίπεδο προστασίας που προβλέπεται για τα ευαίσθητα δεδομένα και δεν απαιτείται η λήψη άδειας από την Αρχή για την επεξεργασία τους, αρκεί μόνο η γνωστοποίηση στην Αρχή. Η ΔΙΑΚΡΙΣΗ ΣΕ ΑΠΛΑ ΚΑΙ ΕΥΑΙΣΘΗΤΑ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ ΚΑΙ Η ΠΡΑΚΤΙΚΗ ΣΗΜΑΣΙΑ ΤΗΣ. Η ΘΕΩΡΙΑ ΤΩΝ ΣΦΑΙΡΩΝ ΤΗΣ ΠΡΟΣΩΠΙΚΟΤΗΤΑΣ. Η διάκριση σε απλά και ευαίσθητα προσωπικά δεδομένα έγκειται στην αντίληψη ότι υπάρχουν αφενός αβλαβή δεδομένα, δεδομένα άνευ σημασίας και ταυτόχρονα ευαίσθητα δεδομένα που χρήζουν (ιδιαίτερης) προστασίας. Η αντίληψη αυτή ανάγεται στη θεωρία των σφαιρών της προσωπικότητας 8, σύμφωνα με την οποία η ανθρώπινη προσωπικότητα και εν τέλει η ανθρώπινη ύπαρξη κατατέμνεται σε τρεις σφαίρες: στην ατομική, την ιδιωτική και την απόρρητη ή μυστική σφαίρα. Ως ατομική σφαίρα προσδιορίζονται τα χαρακτηριστικά γνωρίσματα της προσωπικότητας ενός ανθρώπου σε σχέση με τον κοινωνικό του περίγυρο (π.χ. κοινωνική και επαγγελματική δραστηριότητα). Ως ιδιωτική σφαίρα γίνεται αντιληπτή από τους υποστηρικτές της άποψης αυτής το πεδίο της δραστηριότητας ενός προσώπου, το οποίο είναι προσιτό μόνο σε στενό κύκλο προσώπων και σε τρίτους υπό προϋποθέσεις. Τέλος ως μυστική ή απόρρητη σφαίρα ορίζεται το πεδίο της ανθρώπινης προσωπικότητας, στο οποίο ένας άνθρωπος επιτρέπει την 8 Λίλιαν Μήτρου, Σημειώσεις στο Διαδίκτυο στα πλαίσια του μαθήματος ΑΡΧΕΣ ΔΙΚΑΙΟΥ ΚΑΙ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ, Η έννοια των προσωπικών δεδομένων, Παράδοση 3.Βλ: 26

27 πρόσβαση μόνο υπό εξαιρετικές περιστάσεις σε ιδιαίτερα στενό κύκλο προσώπων. Όπως παρατηρείται, τα όρια των τριών αυτών περιοχών της προσωπικότητας δεν είναι δυνατόν να καθοριστούν ακριβώς εκ των προτέρων, αλλά εξαρτάται από τις συγκεκριμένες περιστάσεις ποιά σφαίρα και σε τι βαθμό έγινε αντικείμενο προσβολής. Με βάση, λοιπόν, τη «θεωρία των σφαιρών της προσωπικότητας» θα μπορούσαμε σχηματικά να πούμε ότι τα απλά δεδομένα ανάγονται στην ατομική σφαίρα της προσωπικότητας του ατόμου, ενώ τα ευαίσθητα στην ιδιωτική και πολύ περισσότερο στην απόρρητη ή μυστική σφαίρα του. Παρακάτω θα εξηγήσουμε την πρακτική σημασία της διάκρισης σε απλά και ευαίσθητα δεδομένα, κυρίως με γνώμονα το πώς επιδρά η διάκριση αυτή στο επίπεδο της προστασίας τους από αθέμιτες επεξεργασίες τους γενικά, αλλά και με ειδικότερο ενδιαφέρον βέβαια στην προστασία τους στον τομέα της Κοινωνικής Ασφάλισης, που αποτελεί και το αντικείμενο της παρούσας εργασίας. 27

28 ΚΕΦΑΛΑΙΟ 2 ο ΟΙ ΠΥΛΩΝΕΣ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ ΠΡΟΣΤΑΣΙΑΣ 1 ος ΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ: Α) ΣΥΣΤΗΜΑ ΓΝΩΣΤΟΠΟΙΗΣΗΣ ΚΑΙ ΛΗΨΗΣ ΑΔΕΙΑΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΑΠΟ ΤΗΝ ΑΡΧΗ. Με βάση, λοιπόν, την ως άνω διάκριση των προσωπικών δεδομένων σε απλά και ευαίσθητα, θεμελιώνεται και ο πρώτος μηχανισμός προστασίας των προσωπικών δεδομένων του υποκειμένου, με τη νομοθετική καθιέρωση υποχρέωσης του (εκάστοτε) υπεύθυνου επεξεργασίας να γνωστοποιεί στην Αρχή την επεξεργασία απλών προσωπικών δεδομένων και να ζητά από αυτήν (Αρχή) άδεια για την επεξεργασία των ευαίσθητων προσωπικών δεδομένων των υποκειμένων, εν προκειμένω των ασφαλισμένων και των συνταξιούχων. Αυτός ο μηχανισμός προστασίας προβλέπεται στο άρθρο 6 ν. 2472/1997 που αφορά τα απλά δεδομένα και στο άρθρο 7 του ίδιου νόμου που αφορά τα ευαίσθητα δεδομένα. Επομένως, αν πρόκειται για απλά προσωπικά δεδομένα, απαιτείται για τη νομιμότητά της επεξεργασίας τους, η γνωστοποίηση τους στην Αρχή, στην οποία οφείλει να προβεί ο υπεύθυνος επεξεργασίας. Εφόσον η Αρχή διαπιστώσει ότι η επεξεργασία αφορά ευαίσθητα προσωπικά δεδομένα και όχι απλά, η γνωστοποίηση του αρχείου επέχει θέση αιτήσεως για τη χορήγηση άδειας. Αντίθετα, αν πρόκειται για ευαίσθητα δεδομένα, όπως είναι αυτά της κοινωνικής πρόνοιας, δεν αρκεί η απλή γνωστοποίηση στην Αρχή, αλλά απαιτείται να χορηγηθεί σχετική άδεια της Αρχής, ύστερα από αίτηση του υπεύθυνου επεξεργασίας. Ο υπεύθυνος επεξεργασίας, λοιπόν, (π.χ. τα ασφαλιστικά ταμεία) υποχρεούται να ζητήσει από την Αρχή και να λάβει από αυτήν άδεια συλλογής και επεξεργασίας και άδεια ιδρύσεως και λειτουργίας σχετικού αρχείου. Η άδεια πρέπει να περιέχει απαραιτήτως το ονοματεπώνυμο ή την επωνυμία ή τον τίτλο καθώς και τη διεύθυνση του υπεύθυνου επεξεργασίας και του τυχόν εκπροσώπου του, τη διεύθυνση όπου είναι εγκατεστημένο το αρχείο, το είδος των δεδομένων προσωπικού χαρακτήρα που επιτρέπεται να περιληφθούν στο αρχείο, το χρονικό διάστημα για το οποίο χορηγείται η άδεια, τους τυχόν όρους και προϋποθέσεις που έχει 28

29 επιβάλει η Αρχή για την ίδρυση και λειτουργία του αρχείου, την υποχρέωση γνωστοποίησής του ή των αποδεκτών αμέσως μόλις εξατομικευτούν. Η Αρχή μπορεί να επιβάλλει όρους και προϋποθέσεις για την αποτελεσματικότερη προστασία του δικαιώματος στα προσωπικά δεδομένα των υποκειμένων. Πριν χορηγήσει την άδεια, η Αρχή καλεί σε ακρόαση τον υπεύθυνο επεξεργασίας ή τον εκπρόσωπο του ή τον εκτελούντα την επεξεργασία. Η άδεια εκδίδεται για ορισμένο χρόνο, ανάλογα με τον σκοπό της επεξεργασίας. Αντίγραφο της άδειας καταχωρείται στο Μητρώο Αδειών που τηρεί η Αρχή. Ο υπεύθυνος επεξεργασίας οφείλει χωρίς καθυστέρηση να γνωστοποιεί στην Αρχή κάθε μεταβολή των παραπάνω στοιχείων. Συμπεραίνουμε, λοιπόν, από τα παραπάνω ότι στο πεδίο της Κοινωνικής Ασφάλισης, οι υπεύθυνοι επεξεργασίας που κατά κανόνα είναι ασφαλιστικοί οργανισμοί, συνταξιοδοτικοί οργανισμοί και λοιποί φορείς κοινωνικής πρόνοιας (π.χ. ΟΑΕΔ), και οι οποίοι κατά κύριο λόγο συλλέγουν, τηρούν και επεξεργάζονται προσωπικά δεδομένα που αναφέρονται στην κοινωνική πρόνοια, υποχρεούνται εκ του νόμου να προβούν σε γνωστοποίηση του αρχείου τους και να λάβουν από την Αρχή προστασίας προσωπικών δεδομένων άδεια τήρησης και επεξεργασίας ευαίσθητων δεδομένων. Το ίδιο ισχύει και για οποιονδήποτε υπεύθυνο επεξεργασίας επεξεργάζεται δεδομένα κοινωνικής πρόνοιας. Επιπλέον, όλοι οι προαναφερόμενοι υπεύθυνοι επεξεργασίας που επεξεργάζονται δεδομένα κοινωνικής πρόνοιας υποχρεούνται να γνωστοποιούν την επεξεργασία στην Αρχή και να λαμβάνουν άδεια από αυτή, στις περιπτώσεις που η επεξεργασία διεξάγεται στο πλαίσιο προγραμμάτων τηλεϊατρικής ή παροχής ιατρικών υπηρεσιών μέσω δικτύου. Κατ εξαίρεση, ο ν. 2472/1997 με το άρθρο 7 Α απαλλάσσει τον υπεύθυνο επεξεργασίας από την υποχρέωση γνωστοποίησης και λήψης άδειας, όταν η επεξεργασία: α) πραγματοποιείται για σκοπούς που συνδέονται άμεσα με σχέση εργασίας ή έργου ή με παροχή υπηρεσιών στο δημόσιο τομέα και είναι αναγκαία για την εκπλήρωση υποχρέωσης που επιβάλλει ο νόμος ή για την εκτέλεση των υποχρεώσεων από τις παραπάνω σχέσεις και το υποκείμενο έχει προηγουμένως ενημερωθεί, β) αφορά πελάτες 9 ή προμηθευτές, εφόσον τα δεδομένα δεν διαβιβάζονται ούτε κοινοποιούνται σε τρίτους 10, 9 Δεν απαλλάσσονται από την υποχρέωση γνωστοποίησης οι ασφαλιστικές εταιρίες για όλους τους κλάδους ασφάλισης, οι φαρμακευτικές εταιρίες, οι εταιρίες εμπορίας πληροφοριών και τα χρηματοπιστωτικά νομικά πρόσωπα, όπως οι τράπεζες και οι εταιρίες έκδοσης πιστωτικών καρτών. 29

30 γ) γίνεται από σωματεία και αφορά τα μέλη τους, δ) γίνεται από ιατρούς ή άλλα πρόσωπα που παρέχουν υπηρεσίες υγείας και δεσμεύονται από το ιατρικό ή άλλο σχετικό απόρρητο, ε) γίνεται από δικηγόρους και αφορά την παροχή νομικών υπηρεσιών στους πελάτες τους και στ) γίνεται από δικαστικές αρχές ή υπηρεσίες στο πλαίσιο απονομής της δικαιοσύνης ή για την εξυπηρέτηση των αναγκών της λειτουργίας τους. Όταν, στο πλαίσιο των παραπάνω σχέσεων, γίνεται επεξεργασία ευαίσθητων προσωπικών δεδομένων που αφορούν την κοινωνική πρόνοια δεν απαιτείται γνωστοποίηση και λήψη άδειας από την Αρχή. Κατά τα λοιπά, όμως, ο υπεύθυνος επεξεργασίας υπέχει όλες τις άλλες υποχρεώσεις που επιβάλλει ο νόμος (ενημέρωση του υποκειμένου, λήψη συγκατάθεσής του, μέτρα για την ασφάλεια της επεξεργασίας κ.λπ.). Β) ΑΠΟΡΡΗΤΟ ΚΑΙ ΑΣΦΑΛΕΙΑ ΕΠΕΞΕΡΓΑΣΙΑΣ. Επιπλέον, με το απόρρητο της επεξεργασίας διασφαλίζεται το υποκείμενο από την τυχόν επεξεργασία των προσωπικών δεδομένων του από οποιοδήποτε μη εξουσιοδοτημένο πρόσωπο. Έτσι, η επεξεργασία διεξάγεται αποκλειστικά και μόνο από τον υπεύθυνο επεξεργασίας ή/και από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας και μόνο μετά από εντολή του, όπως συμβαίνει στην περίπτωση του εκτελούντος την επεξεργασία. Ακόμη, τα πρόσωπα που επιλέγει ο υπεύθυνος επεξεργασίας πρέπει να διαθέτουν τα απαιτούμενα προσόντα και τεχνικές γνώσεις για την επεξεργασία, καθώς και προσωπική ακεραιότητα για την τήρηση του απόρρητου χαρακτήρα της. Ακόμη, ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για την ασφάλεια των δεδομένων που επεξεργάζεται (ο ίδιος ή τα εκτελούντα την επεξεργασία και εξουσιοδοτημένα από αυτόν πρόσωπα). Στο πλαίσιο της ευθύνης αυτής, οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την προστασία των δεδομένων από τυχαία ή αθέμιτη καταστροφή, απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Τα μέτρα ασφαλείας πρέπει να είναι ανάλογα 11 προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. Η Αρχή με εκ των προτέρων οδηγίες ή κατόπιν με αποφάσεις της σε κάθε συγκεκριμένη 10 Τα δικαστήρια και οι δημόσιες αρχές δεν λογίζονται ως τρίτοι, εφόσον τη διαβίβαση ή κοινοποίηση επιβάλλει νόμος ή δικαστική απόφαση. 11 Αλεξανδροπούλου Αιγυπτιάδου Ευγενία, ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους, εκδ. Αντ. Σάκκουλα, Αθήνα Κομοτηνή 2007, σελ

31 υπόθεση υποδεικνύει στους υπεύθυνους επεξεργασίας το βαθμό ασφάλειας των δεδομένων, τις υποδομές και εν γένει τα μέτρα ασφαλείας που είναι αναγκαίο να λαμβάνονται για την προστασία ή την ενίσχυση της προστασίας κάθε κατηγορίας και επεξεργασίας δεδομένων. 2 ος ΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ: H ΣΥΓΚΑΤΑΘΕΣΗ TOY ΑΣΦΑΛΙΣΜΕΝΟΥ ΚΑΙ TOY ΣΥΝΤΑΞΙΟΥΧΟΥ ΠΡΙΝ ΑΠΟ ΚΑΘΕ ΕΠΕΞΕΡΓΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΤΟΥΣ. H συγκατάθεση του υποκειμένου των δεδομένων αποτελεί βασικότατη προϋπόθεση της νομιμότητας της επεξεργασίας, νομιμοποιητικό λόγο αυτής και ως εκδήλωση του πληροφοριακού αυτοκαθορισμού του ατόμου εντάσσεται στο σκληρό πυρήνα του δικαιώματος προστασίας των προσωπικών δεδομένων του. Γενικά, με τον όρο συγκατάθεση νοείται τόσο η συναίνεση (εκ των προτέρων συγκατάθεση) όσο και η έγκριση (εκ των υστέρων συγκατάθεση). Ειδικά, όμως, στο θέμα της προστασίας των προσωπικών δεδομένων απαιτείται η εκ των προτέρων συναίνεση του υποκειμένου για την επεξεργασία των προσωπικών δεδομένων του, όπως άλλωστε ευθέως προκύπτει και από τη διάταξη του άρθρου 2 περ. ια του ν. 2472/97 που στον ορισμό της «συγκατάθεσης» γίνεται αναφορά στο δικαίωμα προηγούμενης ενημέρωσης του υποκειμένου για την επικείμενη επεξεργασία των προσωπικών δεδομένων του και τη συνακόλουθη αποδοχή ή μη της επεξεργασίας πριν από αυτήν. Η συγκατάθεση του υποκειμένου, ως προϋπόθεση της νόμιμης επεξεργασίας των προσωπικών δεδομένων του, προβλέπεται στο άρθρο 5 παρ. 1 του ν. 2472/1997, σύμφωνα με το οποίο: «Επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του», ενώ προβλέπεται ρητά και από το άρθρο 8 παρ. 2 εδ. α του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ε.Ε Σύμφωνα με το άρθρο 8 παρ. 2 εδ. α του Χάρτη των Θεμελιωδών Δικαιωμάτων για την Προστασία των δεδομένων προσωπικού χαρακτήρα: 1. Κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. 31

32 ΕΠΕΞΕΡΓΑΣΙΑ ΑΠΛΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΧΩΡΙΣ ΣΥΓΚΑΤΑΘΕΣΗ. Η λήψη της συγκατάθεσης του ασφαλισμένου ως υποκειμένου των προσωπικών δεδομένων αποτελεί, λοιπόν, τον κανόνα τη βασική προϋπόθεση για τη νόμιμη επεξεργασία τους. Κατ εξαίρεση, η επεξεργασία των προσωπικών δεδομένων του ασφαλισμένου επιτρέπεται και χωρίς τη συγκατάθεση του για πέντε λόγους που προβλέπονται περιοριστικά στο άρθρο 5 παρ. 2 του ν. 2472/1997 με γνώμονα τη βούληση του υποκειμένου που ερμηνεύεται π.χ. από συμβάσεις των οποίων είναι συμβαλλόμενο μέρος ή το γενικότερο συμφέρον ή το συμφέρον τρίτων προσώπων, που στη συγκεκριμένη περίπτωση κρίνεται προφανώς υπέρτερο από το δικαίωμα ή συμφέρον του υποκειμένου και δεν θίγει τις θεμελιώδεις ελευθερίες του. Οι εξαιρετικές αυτές περιπτώσεις, όπου δεν απαιτείται η συγκατάθεση του υποκειμένου για την επεξεργασία των προσωπικών δεδομένων του είναι οι εξής: 1. Όταν η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης στην οποία συμβαλλόμενο μέρος είναι το υποκείμενο 13 ή για τη λήψη μέτρων κατόπιν αίτησης του υποκειμένου κατά το προσυμβατικό στάδιο. 2. Όταν είναι αναγκαία για την εκπλήρωση υποχρέωσης του υπεύθυνου επεξεργασίας που επιβάλλεται από νόμο. 3. Όταν είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων, εάν αυτό τελεί σε νομική ή φυσική αδυναμία να δώσει τη συγκατάθεσή του. 4. Όταν είναι αναγκαία για την εκτέλεση έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας 14 και εκτελείται 2. Η επεξεργασία αυτών των δεδομένων πρέπει να γίνεται νομίμως, για καθορισμένους σκοπούς και με βάση τη συγκατάθεση του ενδιαφερομένου ή για άλλους θεμιτούς λόγους που προβλέπονται από τον νόμο. Κάθε πρόσωπο δικαιούται να έχει πρόσβαση στα συλλεγέντα δεδομένα που το αφορούν και να επιτυγχάνει τη διόρθωσή τους. 3. Ο σεβασμός των κανόνων αυτών υπόκειται στον έλεγχο ανεξάρτητης αρχής. 13 Για παράδειγμα, δε χρειάζεται η συγκατάθεση εργαζομένου για την επεξεργασία προσωπικών δεδομένων του απαραίτητων για τον καθορισμό της μισθοδοσίας του και την πληρωμή του. 14 Στην έννοια του έργου δημόσιου συμφέροντος ή έργου που εμπίπτει στην άσκηση δημόσιας εξουσίας εμπίπτει η επεξεργασία των προσωπικών δεδομένων των φορολογουμένων για την επιβολή των νόμιμων φόρων, η γνωστοποίηση σε βουλευτές των μελών Διοικητικού Συμβουλίου και των αποδοχών τους στα πλαίσια της άσκησης κοινοβουλευτικού ελέγχου κ.α. 32

33 από δημόσια αρχή ή έχει ανατεθεί από αυτή είτε στον υπεύθυνο επεξεργασίας είτε σε τρίτο, στον οποίο γνωστοποιούνται τα δεδομένα. 5. Όταν είναι απολύτως αναγκαία για την ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων του υποκειμένου και δεν θίγονται οι θεμελιώδεις ελευθερίες του. Οι ανωτέρω πέντε νόμιμοι λόγοι που επιτρέπουν επίσης τη συλλογή και επεξεργασία προσωπικών δεδομένων, χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, που είναι ο κανόνας, είναι οι μόνες περιπτώσεις σύννομης επεξεργασίας σύμφωνα με το ελληνικό και το ευρωπαϊκό δίκαιο. Ισχύουν στα κράτη μέλη της ΕΕ, έχουν αναγνωριστεί ως οι μόνοι έγκυροι από το Συμβούλιο της Ευρώπης (Ευρωπαϊκή Σύμβαση για την προστασία προσωπικών δεδομένων), το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου, το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων και τις ανεξάρτητες Αρχές Προστασίας Προσωπικών Δεδομένων των κρατών - μελών. Πρέπει να επισημανθεί, όμως, ότι ακόμη και σε αυτές τις εξαιρετικές περιπτώσεις που δεν απαιτείται η συγκατάθεση του ασφαλισμένου για την επεξεργασία των προσωπικών δεδομένων του, ο υπεύθυνος επεξεργασίας οφείλει να τον ενημερώνει για την επεξεργασία, εκτός αν πρόκειται για εξαιρετική περίπτωση που κατά το νόμο δεν χρειάζεται ούτε ενημέρωση. Οφείλει, επίσης, ο υπεύθυνος επεξεργασίας να γνωστοποιεί στην Αρχή την επεξεργασία ή να λαμβάνει άδεια, αν πρόκειται για ευαίσθητα δεδομένα, ανεξάρτητα από το αν απαιτείται η συγκατάθεση του ασφαλισμένου. Και αυτό γιατί οι τρεις παραπάνω υποχρεώσεις του υπεύθυνου επεξεργασίας (ενημέρωσης του υποκειμένου, λήψης της συγκατάθεσής του, και γνωστοποίησης ή λήψης άδειας επεξεργασίας στην Αρχή) λειτουργούν ανεξάρτητα η μία από την άλλη Αλεξανδροπούλου Αιγυπτιάδου Ευγενία, ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους, εκδ. Αντ. Σάκκουλα, Αθήνα Κομοτηνή 2007, σελ

34 ΕΠΕΞΕΡΓΑΣΙΑ ΕΥΑΙΣΘΗΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΧΩΡΙΣ ΣΥΓΚΑΤΑΘΕΣΗ. Το άρθρο 7 του ν. 2472/1997 προβλέπει, μεταξύ άλλων, τις περιπτώσεις εκείνες, στις οποίες δεν απαιτείται η λήψη της συγκατάθεσης του ασφαλισμένου και γενικά του υποκειμένου των δεδομένων για την επεξεργασία των ευαίσθητων προσωπικών δεδομένων του. Οι περιπτώσεις αυτές είναι οι ακόλουθες: 1. Η επεξεργασία είναι αναγκαία για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου ή προβλεπόμενου από το νόμο συμφέροντος τρίτου 16, εάν το υποκείμενο τελεί σε φυσική αδυναμία (σοβαρή νόσος, απουσία) ή νομική αδυναμία (δικαιοπρακτική ανικανότητα και απουσία δικαστικού συμπαραστάτη) να δώσει τη συγκατάθεσή του. 2. Η επεξεργασία αφορά δεδομένα που δημοσιοποιεί το ίδιο το υποκείμενο (π.χ. με ομιλίες, συνεντεύξεις, δημοσιεύματα, με την εκδηλωθείσα βούλησή του να περιληφθεί σε δημόσιους καταλόγους συνδρομητών ή επαγγελματιών) ή είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος (του υποκειμένου ή τρίτου) ενώπιον δικαστηρίου ή πειθαρχικού οργάνου, με την προϋπόθεση ότι η επεξεργασία δεν έγινε με παράνομο τρόπο είτε στο στάδιο της συλλογής είτε σε μεταγενέστερο στάδιο. 3. Η επεξεργασία αφορά θέματα υγείας και εκτελείται από πρόσωπο που ασχολείται κατ επάγγελμα με την παροχή υπηρεσιών υγείας (π.χ. ιατροί, νοσοκόμοι, μαίες, φαρμακοποιοί) και υπόκειται σε καθήκον εχεμύθειας ή σε συναφείς κώδικες δεοντολογίας, υπό τον όρο ότι η επεξεργασία είναι απαραίτητη για την ιατρική πρόληψη, διάγνωση, περίθαλψη ή τη διαχείριση υπηρεσιών υγείας. Όμως, απαιτείται η συγκατάθεση του υποκειμένου, όταν γιατρός δημοσιεύει σε σύγγραμμά του φωτογραφία μιας ασθενούς για να δείξει τη συγκεκριμένη πάθηση, χωρίς να λαμβάνει τα κατάλληλα μέτρα, ώστε η ασθενής να μην είναι αναγνωρίσιμη. Το ίδιο πρέπει να γίνει δεκτό και για τις διαφάνειες με ασθενείς που προβάλλονται σε ιατρικό συνέδριο. 4. Η επεξεργασία εκτελείται από Δημόσια Αρχή και είναι αναγκαία είτε για λόγους εθνικής ασφάλειας είτε για την εξυπηρέτηση των αναγκών εγκληματολογικής ή σωφρονιστικής πολιτικής και αφορά τη διακρίβωση εγκλημάτων, ποινικές καταδίκες ή μέτρα ασφαλείας είτε για λόγους προστασίας της δημόσιας υγείας είτε για την άσκηση 16 Για παράδειγμα, του κυοφορούμενου. 34

35 δημόσιου φορολογικού ελέγχου ή δημόσιου ελέγχου κοινωνικών παροχών. 5. Η επεξεργασία πραγματοποιείται για ερευνητικούς και επιστημονικούς αποκλειστικά σκοπούς και υπό τον όρο ότι τηρείται η ανωνυμία και λαμβάνονται όλα τα απαραίτητα μέτρα για την προστασία των δικαιωμάτων των προσώπων στα οποία αναφέρονται. 6. Η επεξεργασία αφορά δεδομένα δημοσίων προσώπων 17, εφόσον αυτά συνδέονται με την άσκηση δημοσίου λειτουργήματος ή τη διαχείριση συμφερόντων τρίτων, και πραγματοποιείται αποκλειστικά για την άσκηση του δημοσιογραφικού επαγγέλματος. ΤΑ ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΤΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ. Σύμφωνα με τον ορισμό που δίνει το άρθρο 2 περ. ια του ν. 2472/97, για να είναι έγκυρη η συγκατάθεση του υποκειμένου απαιτείται να συντρέχουν σωρευτικά ορισμένες ιδιότητές της και συγκεκριμένα να είναι αυτή ελεύθερη, ρητή, ειδική, να εκφράζεται με σαφή τρόπο και να μην αντίκειται στο νόμο ή στα χρηστά ήθη 18. Ελεύθερη είναι η συγκατάθεση, όταν δεν είναι προϊόν ελαττωματικής βούλησης (πλάνης, απάτης, απειλής) ούτε προϊόν ανάγκης ή σχέσης εξάρτησης του υποκειμένου από τον υπεύθυνο επεξεργασίας. Όπως χαρακτηριστικά αναφέρει η Αρχή στην υπ αριθμ. 115/2001 Οδηγία της 19, στην περίπτωση των σχέσεων απασχόλησης, η εγγενής ανισότητα των μερών και η κατά κανόνα σχέση εξάρτησης των εργαζομένων θέτει σε αμφιβολία την ελευθερία της συγκατάθεσης των εργαζομένων, στοιχείο απαραίτητο για την 17 Ως δημόσια πρόσωπα νοούνται εκείνα που βρίσκονται στην επικαιρότητα είτε υπό απόλυτη έννοια (πολιτικοί, καλλιτέχνες, αθλητές κ.α) είτε υπό σχετική έννοια (δράστες εγκλημάτων, δημοφιλείς παίκτες τηλεπαιχνιδιών κ.α). Αρκεί τα δεδομένα που υφίστανται επεξεργασία να αφορούν την άσκηση δημόσιου λειτουργήματος ή τη διαχείριση συμφερόντων τρίτων. 18 Η τελευταία αυτή προϋπόθεση εγκυρότητας της συγκατάθεσης «να μην αντίκειται στο νόμο ή στα χρηστά ήθη» προβλέπεται ρητά για τη συγκατάθεση που αφορά την επεξεργασία των ευαίσθητων προσωπικών δεδομένων και συγκεκριμένα στο άρθρο 7 παρ. 2 περ. α ν. 2472/1997. Ωστόσο, έχει υποστηριχθεί ότι η προϋπόθεση αυτή πρέπει να συντρέχει και για τη συγκατάθεση που αφορά τα απλά προσωπικά δεδομένα, αφού δε νοείται ελεύθερη συγκατάθεση σε αντίθετη περίπτωση. Βλ. Ευγενία Αλεξανδροπούλου Αιγυπτιάδου, Προσωπικά Δεδομένα, Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους, εκδ. Αντ. Σάκκουλα, Αθήνα Κομοτηνή 2007, σελ. 58, υποσημ Η υπ αριθμό 115 / 2001 Οδηγία της Αρχής εξειδικεύει και ερμηνεύει το νόμο 2472/1997 στο πεδίο των εργασιακών σχέσεων και αφορά την επεξεργασία των προσωπικών δεδομένων του εργαζομένου από τον εργοδότη του και την τήρηση αρχείου από τον τελευταίο. 35

36 εγκυρότητά της επεξεργασίας, όπως προκύπτει από τους γενικούς κανόνες του δικαίου, αλλά και συγκεκριμένα από το συνδυασμό των άρθρων 2 στοιχ. ια, 5 παρ. 1 και 7 παρ. 2α του νόμου για την προστασία προσωπικών δεδομένων. Ρητή είναι η συγκατάθεση, όταν εκδηλώνεται με τέτοια μέσα (εγγράφως ή προφορικά), ώστε να συνάγεται σαφώς ότι άμεσος σκοπός είναι η εξωτερίκευση της βούλησης για συγκατάθεση του υποκειμένου. Η Αρχή δέχεται ότι και η σιωπηλή συγκατάθεση του υποκειμένου νομιμοποιεί την επεξεργασία, όταν από αυτή συνάγεται σαφώς η συγκατάθεση. Κατά κύριο λόγο, αρκεί η σιωπηλή συγκατάθεση στις περιπτώσεις, στις οποίες προκύπτει αυτή από τη σχέση του υποκειμένου με τον υπεύθυνο επεξεργασίας ή από το συνδυασμό των περιστάσεων που συνοδεύουν την επεξεργασία. Ειδική είναι η συγκατάθεση, όταν αφορά συγκεκριμένη επεξεργασία, ώστε να μπορεί να λειτουργήσει ως παράγοντας νομιμότητάς της, αφού προηγηθεί η σχετική ενημέρωση του υποκειμένου των δεδομένων. Η συγκατάθεση δεν μπορεί να είναι «λευκή», δηλαδή να έχει γενικό χαρακτήρα και να αφορά κάθε μελλοντική επεξεργασία από τον υπεύθυνο επεξεργασίας. Αν ο τελευταίος επιθυμεί να επεξεργαστεί εκ νέου τα προσωπικά δεδομένα του ασφαλισμένου ή για άλλο σκοπό θα πρέπει να ενημερώσει το υποκείμενο και αυτό να χορηγήσει εκ νέου τη συγκατάθεσή του. Επίσης, αν η επεξεργασία συνίσταται στη διαβίβαση προσωπικών δεδομένων του ασφαλισμένου σε τρίτους, είναι απαραίτητη η ενημέρωση του ασφαλισμένου σχετικά με τους αποδέκτες της επεξεργασίας ή τις κατηγορίες των αποδεκτών. Έτσι, η συγκατάθεση του ασφαλισμένου για διαβίβαση προσωπικών δεδομένων του γενικά σε τρίτους δεν είναι έγκυρη, διότι δεν προσδιορίζονται, έστω ανά κατηγορίες αποδεκτών, οι τρίτοι από τον υπεύθυνο επεξεργασίας κατά την υποχρέωση του ενημέρωσης του υποκειμένου. Ο ΤΥΠΟΣ ΤΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ. Η συγκατάθεση απαιτείται να είναι έγγραφη μόνο όταν αφορά επεξεργασία ευαίσθητων προσωπικών δεδομένων, ενώ όταν αφορά απλά προσωπικά δεδομένα αρκεί να είναι προφορική, πάντα όμως πρέπει να είναι ρητή. Ο έγγραφος τύπος της συγκατάθεσης που απαιτείται για τα ευαίσθητα δεδομένα είναι στοιχείο ενδεικτικό της αυξημένης προστασίας που απολαμβάνουν σε σχέση με τα απλά δεδομένα. Με έγγραφη συγκατάθεση ισοδυναμεί και αυτή που διαβιβάζεται ηλεκτρονικά με προηγμένη ηλεκτρονική υπογραφή, ενώ όταν δεν απαιτείται έγγραφος τύπος για τη συγκατάθεση αρκεί και η απλή ηλεκτρονική υπογραφή του υποκειμένου. 36

37 Η ΑΝΑΚΛΗΣΗ ΤΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ. Η συγκατάθεση μπορεί να ανακληθεί οποτεδήποτε, χωρίς όμως αναδρομικό αποτέλεσμα. Τούτο είναι λογικό, καθώς αν ο ασφαλισμένος έθεσε υπόψη του ασφαλιστικού ταμείου του ιατρικά δεδομένα του για να επιτύχει τη χορήγηση κάποιου επιδόματος, αν αργότερα ανακαλέσει τη συγκατάθεσή του, θεωρείται ότι νομίμως επεξεργάστηκε τα δεδομένα του το ασφαλιστικό του ταμείο, πριν την ανάκληση της συγκατάθεσης. Αν η συγκατάθεση είναι άκυρη, διότι δε συνέτρεχαν εξ αρχής οι ιδιότητες που προαναφέραμε για αυτήν, τότε η επεξεργασία που στηρίχθηκε σε αυτήν είναι εξ αρχής παράνομη, ανεξάρτητα αν η ακυρότητα της συγκατάθεσης διαγνώστηκε αργότερα. Η ΣΧΕΣΗ ΤΗΣ ΣΥΓΚΑΤΑΘΕΣΗΣ ΜΕ ΤΙΣ ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ. Η συγκατάθεση του υποκειμένου των δεδομένων έχει σημασία μόνο στις περιπτώσεις που ο υπεύθυνος επεξεργασίας τηρεί τις βασικές αρχές επεξεργασίας, τις οποίες θα εξετάσουμε διεξοδικά στη συνέχεια, ώστε η συγκατάθεση δεν μπορεί να καταστήσει νόμιμη την επεξεργασία προσωπικών δεδομένων, όταν με αυτή θίγεται κάποια από τις βασικές αρχές (π.χ. συγκατάθεση για την επεξεργασία ανακριβούς δεδομένου), ακριβώς επειδή οι αρχές αυτές απηχούν αναγκαστικό δίκαιο, από τις οποίες η ιδιωτική βούληση δεν επιτρέπεται να παρεκκλίνει. Έτσι, για παράδειγμα, η συγκατάθεση των ασφαλισμένων δεν μπορεί να άρει την απαγόρευση της υπέρβασης του σκοπού 20. Δεν παραγνωρίζεται η ελευθερία της συγκατάθεσης, η οποία συνιστά εξάλλου τον κατά νόμο βασικό θεμελιωτικό λόγο της επεξεργασίας δεδομένων. Όπως, όμως, έχει κρίνει η Αρχή σε επιμέρους υποθέσεις, η νομιμότητα της επεξεργασίας αξιολογείται τόσο με βάση τη διαπίστωση της συνδρομής μιας ή περισσοτέρων βάσεων νομιμότητας (άρθρα 5 και 7 του ν. 2472/97), όσο και κυρίως με βάση την τήρηση των γενικών αρχών που εισάγει το άρθρο 4 και τις οποίες θα αναλύσουμε στη συνέχεια. Από τα παραπάνω έγινε σαφές ότι το υποκείμενο των δεδομένων δεν έχει δικαίωμα, παρέχοντας τη συγκατάθεσή του, να παραιτηθεί από την τήρηση των νομίμως θεσπιζόμενων υπέρ του βασικών αρχών επεξεργασίας 21 των προσωπικών δεδομένων του. Ενδεικτικώς, δεν μπορεί νόμιμα να δώσει τη συγκατάθεσή του για την επεξεργασία και έτερων προσωπικών δεδομένων Ακολουθεί παρακάτω η ανάλυση της αρχής του σκοπού. Ακολουθεί σχετική ανάλυση των βασικών αρχών επεξεργασίας. 37

38 του που δεν είναι αναγκαία για την εξυπηρέτηση του συγκεκριμένου σκοπού ή που δεν είναι συναφή και πρόσφορα για την επίτευξη του συγκεκριμένου σκοπού. Η συγκατάθεση του υποκειμένου δεν αρκεί δηλαδή για να θεραπεύσει μία επεξεργασία που είναι παράνομη, αλλά έχει σημασία μόνο στην περίπτωση που τα δεδομένα υφίστανται νόμιμη επεξεργασία, επί τη βάσει των βασικών αρχών. Διαφορετικά, αν η συγκατάθεση του υποκειμένου θεράπευε το παράνομο της επεξεργασίας, το υποκείμενο θα υποβιβαζόταν σε αντικείμενο εκμετάλλευσης και τα προσωπικά δεδομένα του σε αντικείμενα συναλλαγής, το οποίο ακριβώς προέβλεψε ο νομοθέτης, θεσπίζοντας τις αρχές της νόμιμης επεξεργασίας. Επιπρόσθετα, κατά το εσωτερικό δίκαιο, η συγκατάθεση, ακόμη κι αν δόθηκε σύμφωνα με τους όρους αυτούς, δεν νομιμοποιεί την επεξεργασία ευαίσθητων δεδομένων, αν δεν είναι έγγραφη και αν δεν υπάρχει άδεια της Αρχής κατά τη διάταξη του άρθρου 7 περ. 2 στ. α του ν. 2472/1997. Τα ανωτέρω συμπεράσματα για το ρόλο που διαδραματίζει η συγκατάθεση του υποκειμένου, αν δεν έχουν τηρηθεί οι βασικές αρχές επεξεργασίας, μπορούν να στηριχθούν και στη θεωρία ότι δεν υφίσταται ιδιοκτησιακή σχέση 22 του ατόμου με τα προσωπικά δεδομένα του και γι αυτό δεν μπορεί το υποκείμενο να παραιτηθεί από την προστασία τους ή να τα διαθέτει κατά βούληση και με αντάλλαγμα, χωρίς να τηρηθούν οι προϋποθέσεις που θέτει ο νόμος και εξειδικεύονται από την Αρχή προστασίας προσωπικών δεδομένων. Διότι, βέβαια, αν τα προσωπικά δεδομένα του ατόμου θεωρούνταν ιδιοκτησία του, θα μετατρέπονταν σε περιουσιακό δικαίωμα. Πέραν αυτού, το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν αποτελεί απλά ατομικό δικαίωμα, αλλά όπως προαναφέρθηκε, λειτουργεί και ως θεσμική εγγύηση του δημοκρατικού πολιτεύματος, καθώς όχι μόνο το άτομο, αλλά και η ίδια η πολιτεία ενδιαφέρεται για την ανεμπόδιστη συμμετοχή του ατόμου στις κοινωνικοπολιτικές δραστηριότητες, η οποία επιτυγχάνεται μεταξύ άλλων και με την εμπιστοσύνη που έχει το άτομο και εν προκειμένω ο εργαζόμενος - ασφαλισμένος και ο συνταξιούχος για τη μη χρήση και επεξεργασία των προσωπικών δεδομένων του εν αγνοία του και χωρίς τη συναίνεσή του, για σκοπούς άλλους από αυτούς για τους οποίους δόθηκαν. 22 Μαντζούφας Παναγιώτης, Συνταγματική προστασία των δικαιωμάτων στην κοινωνία της διακινδύνευσης, εκδ. Σάκκουλα, έτος 2006, σελ

39 3 ος ΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ: ΒΑΣΙΚΕΣ ΑΡΧΕΣ ΕΠΕΞΕΡΓΑΣΙΑΣ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. Με αφορμή την προηγούμενη ανάλυση του ρόλου της συγκατάθεσης των ασφαλισμένων ως ενός από τους τρόπους προστασίας των προσωπικών δεδομένων τους από αθέμιτη επεξεργασία, έγινε ήδη μια πρώτη αναφορά σε βασικές αρχές επεξεργασίας. Οι αρχές αυτές προβλέπονται στο άρθρο 4 παρ. 1 του Ν. 2472/1997, που ορίζει ότι τα προσωπικά δεδομένα για να τύχουν νόμιμης επεξεργασίας πρέπει α) να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών, β) να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας, γ) να είναι ακριβή και εφόσον χρειάζεται να υποβάλλονται σε ενημέρωση, δ) να διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής, η Αρχή μπορεί, με αιτιολογημένη απόφασή της, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς, επιστημονικούς ή στατιστικούς σκοπούς, εφόσον κρίνει ότι δεν θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων τους ή και τρίτων. Προκειμένου λοιπόν πληροφορίες που συνιστούν προσωπικά δεδομένα να μπορούν να υπόκεινται σε νόμιμη επεξεργασία, πρέπει να συντρέχουν σωρευτικά οι παραπάνω προϋποθέσεις (αρχές), οι οποίες λόγω του ενιαίου της εφαρμογής της νομοθεσίας 2472/1997 και στον τομέα της Κοινωνικής Ασφάλισης, θα πρέπει να τηρούνται και στον τομέα αυτόν για να κρίνεται νόμιμη η επεξεργασία των προσωπικών δεδομένων των ασφαλισμένων και των συνταξιούχων. Όπως τονίζεται και στο άρθρο 1 του ν. 2472/97, η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα αποσκοπεί στην προστασία των δικαιωμάτων και θεμελιωδών ελευθεριών κάθε προσώπου. Ειδικότερα, οι αρχές που πρέπει να τηρούνται είναι οι εξής 39

40 Α) ΑΡΧΗ ΤΗΣ ΝΟΜΙΜΗΣ ΣΥΛΛΟΓΗΣ: ΣΥΛΛΟΓΗ ΜΕ ΘΕΜΙΤΟ ΚΑΙ ΝΟΜΙΜΟ ΤΡΟΠΟ ΓΙΑ ΚΑΘΟΡΙΣΜΕΝΟΥΣ, ΣΑΦΕΙΣ ΚΑΙ ΝΟΜΙΜΟΥΣ ΣΚΟΠΟΥΣ. Η αρχή αυτή προβλέπεται από το άρθρο 4 παρ. 1 περ. α του Ν. 2472/1997, που ορίζει ότι «Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών». Από τη διάταξη αυτή προκύπτει ότι κατά πρώτον η ίδια η συλλογή των προσωπικών δεδομένων του ατόμου θα πρέπει να πραγματοποιείται με θεμιτά μέσα και με τρόπο ώστε να διασφαλίζεται ο σεβασμός της ιδιωτικής ζωής, της προσωπικότητας και της ανθρώπινης αξιοπρέπειας των εργαζομένων - ασφαλισμένων στο χώρο της Κοινωνικής Ασφάλισης και γενικότερα στο πλαίσιο των εργασιακών σχέσεων, να γίνεται με νόμιμο τρόπο και για έναν ή περισσότερους νόμιμους σκοπούς, που να είναι σαφείς και καθορισμένοι. Για παράδειγμα, η συλλογή εκ μέρους ασφαλιστικού οργανισμού στοιχείων από τα οποία να προκύπτει άμεσα ή έμμεσα η ταυτότητα των ασφαλισμένων, χωρίς τη συγκατάθεση τους, με σκοπό τη διαβίβαση σε τρίτο ή την επεξεργασία από αυτόν για άλλο σκοπό από αυτόν που δίνεται η συγκατάθεση του ασφαλισμένου είναι παράνομη. Β) ΑΡΧΗ ΤΗΣ ΝΟΜΙΜΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ: ΘΕΜΙΤΗ ΚΑΙ ΝΟΜΙΜΗ ΕΠΕΞΕΡΓΑΣΙΑ ΕΝΟΨΕΙ ΤΩΝ ΠΡΟΚΑΘΟΡΙΣΜΕΝΩΝ ΣΚΟΠΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ. Από την ίδια ως άνω διάταξη, συνάγεται όμως, ότι πέρα από τη συλλογή και η περαιτέρω επεξεργασία των δεδομένων πρέπει να είναι νόμιμη και να εξυπηρετεί τον προκαθορισμένο σκοπό. Η επεξεργασία δηλαδή των προσωπικών δεδομένων πρέπει να εξυπηρετεί ένα συγκεκριμένο, καθορισμένο και νόμιμο σκοπό και δεν μπορεί να γίνεται επεξεργασία χωρίς κανένα σκοπό ή με πρόθεση μελλοντικού προσδιορισμού του σκοπού 23. Ο σκοπός αυτός θα πρέπει να είναι σύμφωνος με το Σύνταγμα και τις διατάξεις των άρθρων 174, 178 και 179 Α.Κ. Όπως προκύπτει λοιπόν από την αρχή του σκοπού, την οποία ο Έλληνας νομοθέτης καθιέρωσε ως βασική αρχή για την προστασία των προσωπικών 23 Ευγενία Αλεξανδροπούλου Αιγυπτιάδου, Προσωπικά Δεδομένα, Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους, εκδ. Αντ. Σάκκουλα, Αθήνα Κομοτηνή 2007, σελ

41 δεδομένων, η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των ασφαλισμένων επιτρέπεται αποκλειστικά για σκοπούς που συνδέονται άμεσα με την ασφαλιστική σχέση, εφόσον είναι αναγκαία για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που θεμελιώνονται σε αυτή τη σχέση, είτε αυτές πηγάζουν από το νόμο είτε από σύμβαση. Τόσο από τη διατύπωση της διάταξης του άρθρου 4 παρ. 1 α του ν. 2472/97, όσο και από την υποχρέωση ενημέρωσης των υποκειμένων, που θα αναλύσουμε παρακάτω, συνάγεται ότι οι σκοποί της επεξεργασίας θα πρέπει να είναι εκ των προτέρων γνωστοί στους ασφαλισμένους και κατανοητοί από αυτούς. Μάλιστα, η Αρχή έχει καταρτίσει κατάλογο που περιγράφει συνοπτικά νόμιμους σκοπούς επεξεργασίας, όπως η δημιουργία αρχείου για τα μέλη του προσωπικού μιας επιχείρησης, για το πελατολόγιο, για την προώθηση προϊόντων και υπηρεσιών, για τη δημιουργία εκλογικών καταλόγων, καταλόγων για πραγματογνώμονες, ιατρούς, κοινωνικές υπηρεσίες κ.λπ. Ο συγκεκριμένος σκοπός (ή οι συγκεκριμένοι σκοποί) της συλλογής και της επεξεργασίας των προσωπικών δεδομένων πρέπει να δηλώνεται στην Αρχή προστασίας προσωπικών δεδομένων. Αν ο υπεύθυνος επεξεργασίας έχει δηλώσει στην αρχή το σκοπό επεξεργασίας και στη συνέχεια θελήσει να επεξεργαστεί τα ίδια δεδομένα για άλλο σκοπό, θα πρέπει να δηλώσει στην Αρχή και το νέο σκοπό επεξεργασίας. Τέλος, και ο τρόπος της επεξεργασίας πρέπει να είναι νόμιμος, δηλαδή να εξυπηρετεί το σκοπό για τον οποίο γίνεται και να μην παραβιάζει τα δικαιώματα του υποκειμένου. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των ασφαλισμένων για σκοπούς που δεν αφορούν, άμεσα ή έμμεσα, την ασφαλιστική σχέση απαγορεύεται από την αρχή του σκοπού. Η συγκατάθεση των ασφαλισμένων δεν μπορεί να άρει την απαγόρευση της υπέρβασης του σκοπού. Βέβαια, δεν παραγνωρίζεται η ελευθερία της συγκατάθεσης, η οποία συνιστά εξάλλου τον κατά νόμο βασικό θεμελιωτικό λόγο της επεξεργασίας δεδομένων. Όπως, όμως, έχει κρίνει η Αρχή σε επιμέρους υποθέσεις, η νομιμότητα της επεξεργασίας αξιολογείται τόσο με βάση τη διαπίστωση της συνδρομής μιας ή περισσοτέρων βάσεων νομιμότητας (άρθρα 5 και 7 του Ν. 2472/97), όσο και κυρίως με βάση την τήρηση των γενικών αρχών που εισάγει το άρθρο 4. Εξάλλου, στην περίπτωση των σχέσεων απασχόλησης και ασφάλισης, η εγγενής ανισότητα των μερών και η κατά κανόνα σχέση εξάρτησης των εργαζομένων από τον εργοδότη, αλλά και από τον ασφαλιστικό φορέα 24 θέτει σε αμφιβολία την ελευθερία της συγκατάθεσης των 24 Σχέση εξάρτησης του ασφαλισμένου υφίσταται και απέναντι στον ασφαλιστικό φορέα του, δεδομένου ότι πέραν του ότι ο εργοδότης εκ του νόμου υποχρεούται να ασφαλίσει τον εργαζόμενο του, ο ίδιος ο εργαζόμενος επιθυμεί να ασφαλιστεί, χορηγώντας υποχρεωτικώς μια σειρά από 41

42 εργαζομένων - ασφαλισμένων, στοιχείο απαραίτητο για την εγκυρότητά της επεξεργασίας. Γ) ΑΡΧΗ ΤΗΣ ΑΝΑΛΟΓΙΚΟΤΗΤΑΣ: ΔΕΔΟΜΕΝΑ ΣΥΝΑΦΗ, ΠΡΟΣΦΟΡΑ ΚΑΙ ΟΧΙ ΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΟΣΑ ΚΑΘΕ ΦΟΡΑ ΑΠΑΙΤΕΙΤΑΙ ΕΝΟΨΕΙ ΤΩΝ ΣΚΟΠΩΝ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ. Η επεξεργασία των προσωπικών δεδομένων για να είναι νόμιμη, πρέπει να είναι και σύμφωνη με την αρχή της αναλογικότητας. Η τήρηση της αρχής της αναλογικότητας συνίσταται στη σωρευτική πλήρωση δύο κριτηρίων, του ποιοτικού και του ποσοτικού. Ο έλεγχος του ποιοτικού κριτηρίου προηγείται και αν αυτό πληρούται, έπεται ο έλεγχος του ποσοτικού κριτηρίου. Αν πληρούται και το ποσοτικό κριτήριο, τότε η επεξεργασία είναι σύμφωνη με την αρχή της αναλογικότητας. Ειδικότερα, σύμφωνα με το ποιοτικό κριτήριο, εξετάζεται πρώτον αν τα υπό επεξεργασία δεδομένα είναι συναφή με το σκοπό επεξεργασίας που εξυπηρετούν, δηλαδή αν συνδέονται στενά με το σκοπό της επεξεργασίας και επιπλέον εξετάζεται απαραίτητα αν τα υπό επεξεργασία δεδομένα είναι πρόσφορα να τον εξυπηρετήσουν, ελέγχεται δηλαδή η συνάφεια και η προσφορότητα των υπό επεξεργασία δεδομένων με σημείο αναφοράς τον επιδιωκόμενο σκοπό επεξεργασίας και με βάση αυτόν πρέπει να τηρείται το ενδεικνυόμενο μέτρο 25. Αν κρίνει η Αρχή ότι τα προσωπικά δεδομένα που χρησιμοποιούνται είναι συναφή και πρόσφορα για τον επιδιωκόμενο σκοπό, τότε ελέγχει αν τα προσωπικά δεδομένα που επεξεργάζονται είναι τα ελάχιστα δυνατά για να πετύχουν το συγκεκριμένο σκοπό. Αντίθετα, αν δεν πληρούται το ποιοτικό κριτήριο και τα υπό επεξεργασία δεδομένα δεν είναι συναφή ή/και πρόσφορα για το σκοπό της επεξεργασίας, η επεξεργασία είναι παράνομη και παρέλκει το δεύτερο στάδιο εξέτασης του ποσοτικού κριτηρίου. Στην περίπτωση, λοιπόν, που η επεξεργασία περάσει με επιτυχία το πρώτο στάδιο της συνάφειας και προσφορότητας των υπό επεξεργασία δεδομένων, η Αρχή ελέγχει αν επεξεργάστηκαν περισσότερα δεδομένα προσωπικού χαρακτήρα από αυτά που απαιτούνταν για την επίτευξη του συγκεκριμένου σκοπού, οπότε στην περίπτωση που διαπιστωθεί αυτό, δεν τηρείται το ποσοτικό κριτήριο και η επεξεργασία δεν είναι σύμφωνη με την αρχή της αναλογικότητας. Από τα ανωτέρω γίνεται σαφές ότι η επεξεργασία δεν πρέπει να υπερβαίνει το σκοπό της. Αντίθετα, πρέπει να συνδέεται στενά προσωπικά δεδομένα του, για να διασφαλίσει την χορήγηση σε αυτόν κοινωνικοασφαλιστικών παροχών και να θεμελιώσει μετέπειτα το δικαίωμά του για συνταξιοδότηση. 25 Ευγενία Αλεξανδροπούλου Αιγυπτιάδου, ό.π., σελ

43 με αυτόν. Ακόμη και αν συναινέσει το υποκείμενο των δεδομένων για την επεξεργασία περισσότερων προσωπικών δεδομένων του από αυτά που είναι αναγκαία, δεν είναι νόμιμη η επεξεργασία, διότι αντίκειται στην αρχή της αναλογικότητας υπό το πρίσμα του ποσοτικού κριτηρίου αυτής. Η αρχή της αναλογικότητας συνδέεται επομένως και με την αρχή της αναγκαιότητας, σύμφωνα με την οποία τα υπό επεξεργασία δεδομένα πρέπει να είναι και απολύτως αναγκαία για το σκοπό της επεξεργασίας. Η αναγκαιότητα δε υφίσταται όταν ο επιδιωκόμενος σκοπός δεν μπορεί να επιτευχθεί με άλλα ηπιότερα μέσα. Χαρακτηριστικό παράδειγμα στον τομέα της Κοινωνικής Ασφάλισης, για την τήρηση της αρχής της αναλογικότητας ως απαραίτητης προϋπόθεσης για τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, αποτελεί η πρόσφατη υπ αριθμ. 51/2014 Απόφαση της Αρχής, τα πραγματικά περιστατικά της οποίας έχουν ως εξής: Οι δηµοσιογράφοι Α, Β, Γ και καταγγέλλουν ως ασφαλισµένα µέλη και μέτοχοι του Ε ΟΕΑΠ (Ενιαίος ηµοσιογραφικός Οργανισµός Επικουρικής Ασφαλίσεως & Περιθάλψεως) ότι µε την ιδιότητά τους αυτή κλήθηκαν να προσέλθουν στον Ε ΟΕΑΠ, προκειµένου να απογραφούν ως µέλη συνταξιούχοι. Παρά τη συµπλήρωση απογραφικού δελτίου και την υπογραφή υπεύθυνης δήλωσης ότι δεν παρέχουν εργασία σε άλλο φορέα, τους ζητήθηκε να καταθέσουν εκτός των άλλων δικαιολογητικών και εκκαθαριστικό σηµείωµα του έτους 2013 ή αντίγραφο της κατατεθείσας φορολογικής δηλώσεως σε περίπτωση που ακόµα δεν έχουν λάβει το εκκαθαριστικό, προκειµένου να ολοκληρωθεί η απογραφή. Στην επιστολή δε που τους απέστειλε ο Ε ΟΕΑΠ προς ενηµέρωσή τους, προκειµένου να προσέλθουν για να απογραφούν, επισηµαινόταν ότι σε περίπτωση που κάποιος συνταξιούχος δεν απογραφεί, θα ανασταλεί η καταβολή της επικούρησης. Οι καταγγέλλοντες προσήλθαν να απογραφούν στον οριζόµενο από τον Ε ΟΕΑΠ χρόνο, αλλά επειδή δεν κατέθεσαν αντίγραφο του εκκαθαριστικού τους σηµειώµατος, ο οργανισµός ανέστειλε από τον εκέµβριο του 2013 την καταβολή της µηνιαίας επικούρησής τους. Κατόπιν αυτών, η Αρχή µε έγγραφό της προς τον Ε ΟΕΑΠ, ζήτησε να διευκρινισθεί για ποιους λόγους και βάσει ποιων διατάξεων νόµου ζητήθηκε από τους ασφαλισµένους συνταξιούχους η κατάθεση αντιγράφου του εκκαθαριστικού τους σηµειώµατος προκειµένου να απογραφούν, καθώς και αν προβλέπεται ότι σε περίπτωση που δεν θα το υποβάλλουν διακόπτεται η καταβολή της επικούρησής τους. Ακολούθως, ο Ε ΟΕΑΠ στο απαντητικό έγγραφό του ανέφερε τα εξής: Ο Ε ΟΕΑΠ σύµφωνα µε τις διατάξεις των άρθρων 1 και 2 του ιδρυτικού του νόµου Α.Ν.248/67 και το Καταστατικό του αποτελεί νοµικό πρόσωπο 43

44 ιδιωτικού δικαίου και είναι ο φορέας κοινωνικής ασφάλισης των δηµοσιογράφων και υπαλλήλων διαχείρισης και διοίκησης των απασχολουµένων στις ηµερήσιες εφηµερίδες και ραδιοτηλεοπτικά µέσα Αθηνών και Θεσσαλονίκης, σκοπός δε του οργανισµού είναι α) η παροχή µηνιαίας επικούρησης στους ασφαλισµένους β) η παροχή εφάπαξ οικονοµικής ενίσχυσης και γ) η παροχή ιατροφαρµακευτικής και νοσοκοµειακής περίθαλψης στους ασφαλισµένους και συνταξιούχους, καθώς και στα προστατευόµενα µέλη των οικογενειών τους. Η ιοίκηση του Ε ΟΕΑΠ ενεργώντας µε γνώµονα την ικανοποίηση του εννόµου συµφέροντος του Οργανισµού, βάσει του οποίου οφείλει να διασφαλίσει το ασφαλιστικό του κεφάλαιο, προς όφελος όλων των συνταξιούχων αποφάσισε να επικαιροποιήσει το µητρώο των συνταξιούχων του και παράλληλα να ελέγξει τη νοµιµότητα των καταβαλλόμενων επικουρήσεων σε αυτούς, διακόπτοντας κάθε τυχόν παράνοµα καταβαλλόµενη επικουρική σύνταξη, ακολουθώντας τις σχετικές κατευθύνσεις του εποπτεύοντος τον οργανισµό Υπουργείου Εργασίας, Κοινωνικής Ασφάλισης και Πρόνοιας και την αντίστοιχη πρακτική που εφάρµοσαν τα λοιπά ασφαλιστικά Ταµεία, όπως το ΕΤΑΠ-ΜΜΕ και ο Ο.Α.Ε.Ε. Για τον σκοπό αυτό, µεταξύ των δικαιολογητικών που ζητήθηκαν ήταν και το εκκαθαριστικό σηµείωµα του έτους 2013, προκειµένου να διαπιστωθεί εάν υφίσταται υπέρβαση ή όχι των νοµικών προϋποθέσεων απονοµής των συντάξεων. Για την ορθότητα του ελέγχου έπρεπε να γίνει ταυτοποίηση του ΑΜΚΑ και του ΑΦΜ, ώστε να βεβαιώνεται η ταυτότητα του συνταξιούχου στον οποίο καταβάλλεται η σύνταξη, και να ελεγχθεί η νοµιµότητα καταβολής της επικουρικής σύνταξης σε α) συνταξιούχους στους οποίους έχει απονεµηθεί επικουρική σύνταξη και είναι κάτω των 55 ετών, για τους οποίους, σε περίπτωση που έχουν αναλάβει µισθωτή εργασία ή αυτοαπασχολούνται, θα πρέπει να διακοπεί η καταβολή της επικουρικής σύνταξης σύµφωνα µε το άρθρο 63 του Ν. 2676/1999, όπως τροποποιήθηκε µε το άρθρο 16 του Ν. 3863/2010 και µε το άρθρο 42 του Ν. 3996/2011 και β) σε συνταξιούχους, οι οποίοι λαµβάνουν και σύνταξη λόγω θανάτου, ως σύζυγοι, για τους οποίους υφίσταται περιορισµός στην καταβολή της δεύτερης επικουρικής σύνταξης, σύµφωνα µε τις διατάξεις του άρθρου 62 του Ν. 2676/1999 και του άρθρου 13 παρ. 1 του Ν. 3863/2010. Για τις περιπτώσεις αυτές προκρίθηκε να υποβληθεί το εκκαθαριστικό σηµείωµα ως το πλέον πρόσφορο και αποτελεσµατικό µέσο ελέγχου, το οποίο αποσκοπούσε αποκλειστικά και µόνον στην εξυπηρέτηση των ασφαλισµένων του Οργανισµού, ώστε να αποφευχθεί η εκ µέρους τους προσκόµιση πολλών και διαφορετικών δικαιολογητικών από διάφορες υπηρεσίες. 44

45 Οι συνταξιούχοι ενηµερώθηκαν µε σειρά επιστολών (αρχική, παρατάσεις, εξατοµικευµένες υπενθυµίσεις) για την υποχρέωση αυτοπρόσωπης απογραφής και υποβολής των απαιτούµενων δικαιολογητικών, και µε τις ίδιες αυτές επιστολές γνωστοποιήθηκε προς τους ασφαλισµένους ότι σε περίπτωση µη απογραφής ή ελλιπούς απογραφής, η καταβολή της σύνταξης θα αναστέλλεται προσωρινά και θα επαναχορηγείται άµεσα µε την ολοκλήρωση της απογραφής, πρακτική που ακολούθησαν όλα τα ασφαλιστικά ταµεία που διενήργησαν απογραφή των συνταξιούχων τους. Όταν πρόκειται να γίνει έλεγχος νοµιµότητας αίρεται το φορολογικό απόρρητο και χωρίς τη συναίνεση του φορολογουµένου. Ειδικότερα, σύµφωνα µε τις διατάξεις του άρθρου 85 του Κώδικα Φορολογίας α) επιτρέπεται η χορήγηση των στοιχείων του Υποσυστήµατος µητρώου φορολογουµένων σε ασφαλιστικά ταµεία µε την υποχρέωση χρησιµοποίησης αυτών αποκλειστικά για τις υπηρεσιακές τους ανάγκες και β) επιτρέπεται σε εξουσιοδοτηµένους υπαλλήλους των φορέων κύριας ασφάλισης να λαµβάνουν τα αναγκαία στοιχεία και πληροφορίες από τους φακέλους που τηρούνται στις.ο.υ. για τα εισοδήµατα φορολογουµένων, ασφαλισµένων ή ασφαλιστέων στους εν λόγω φορείς, µε σκοπό τη διευκόλυνση του έργου των οργανισµών στην είσπραξη των νοµοθετηµένων πόρων τους, καθώς και στον έλεγχο της νοµιµότητας χορήγησης των παροχών τους. Ωστόσο, σύµφωνα µε το ως άνω άρθρο 85 του Κώδικα Φορολογίας Εισοδήµατος, όπως αυτός τροποποιήθηκε και ισχύει σήµερα, προβλέπεται διαδικασία µε την οποία επιτρέπεται η χορήγηση των στοιχείων του Υποσυστήµατος Μητρώου Φορολογουµένων σε ασφαλιστικά ταµεία µε την υποχρέωση χρησιµοποίησης αυτών αποκλειστικά για τις υπηρεσιακές τους ανάγκες και για έλεγχο της νοµιµότητας της χορήγησης των παροχών τους, αλλά µόνο σε αυτά της κύριας ασφάλισης και µόνο εφόσον έχουν τη µορφή του νοµικού προσώπου δηµοσίου δικαίου, ιδιότητες που δεν συντρέχουν στον Ε ΟΕΑΠ, συνεπώς δεν υπήρχε δυνατότητα άντλησης των φορολογικών στοιχείων των ασφαλισµένων απευθείας από τις αρµόδιες.ο.υ. Στη συνέχεια, η Αρχή µε κλήσεις κάλεσε τους καταγγέλλοντες Α, Β, Γ, και και τον Ε ΟΕΑΠ να παραστούν στη συνεδρίαση της Αρχής την , για να συζητηθούν οι καταγγελίες τους κατά του Ε ΟΕΑΠ. Οι καταγγέλλοντες κατά την ανωτέρω ακρόαση της , αλλά και µε τα υπομνήματα που κατέθεσαν στην Αρχή ανέφεραν ότι η απαίτηση υποβολής αντιγράφου της φορολογικής δήλωσης και εκκαθαριστικού σηµειώµατος, προκειµένου να ολοκληρωθεί η απογραφή των ασφαλισµένων στον Ε ΟΕΑΠ παραβιάζει τις διατάξεις του Ν. 2472/1997, καθώς α) αντίστοιχη υποχρέωση δεν προβλέπεται από διάταξη ουσιαστικού νόµου, β) παραβιάζει την αρχή της 45

46 αναλογικότητας, διότι στην φορολογική δήλωση περιέχονται µη συναφή στοιχεία για την εκπλήρωση των καταστατικών σκοπών του Ταµείου και περισσότερα από όσα απαιτούνται ενόψει των σκοπών επεξεργασίας, γ) δεν προβλέπεται διαδικασία καταστροφής των στοιχείων αυτών ούτε υφίσταται επαρκές πλαίσιο προστασίας του δηµιουργούµενου αρχείου, µε αποτέλεσµα να υφίσταται µεγάλος κίνδυνος αθέµιτης χρήσης αυτού, δ) δεν ενηµερώθηκαν τα υποκείµενα των δεδοµένων για τον σκοπό επεξεργασίας και τον τρόπο διεξαγωγής αυτής, ε) δε λήφθηκε η συγκατάθεση των υποκειµένων των δεδοµένων και στ) δε γνωστοποιήθηκε εγγράφως από τον Ε ΟΕΑΠ στην Αρχή η επεξεργασία των φορολογικών στοιχείων και η δηµιουργία του αρχείου αυτού. Επίσης, οι νόµιµοι εκπρόσωποι της ΕΣΗΕΑ (Ένωσης Συντακτών Ημερήσιων Εφημερίδων Αθηνών) και της ΠΟΕΣΥ (Πανελλήνια Ομοσπονδία Ενώσεων Συντακτών), ως παρεµβαίνοντες υπέρ των καταγγελλόντων κατά την ακρόαση της , αλλά και µε το υπόµνηµά τους ανέφεραν όλα τα παραπάνω και επιπλέον ότι η δηµιουργία αρχείου µε τις φορολογικές δηλώσεις των ασφαλισµένων αποτελεί παράνοµη επεξεργασία προσωπικών δεδοµένων και ότι η αυθαίρετη παρακράτηση της επικούρησης των καταγγελλόντων από τον εκέµβριο του 2013 δεν προβλέπεται από καµία διάταξη νόµου ούτε από το καταστατικό του Ε ΟΕΑΠ, αλλά επιβλήθηκε µε κατά πλειοψηφία απόφαση του Σ του Ε ΟΕΑΠ και συνεχίζεται ως τιµωρητική εκδήλωση σε βάρος των δηµοσιογράφων. Από τα στοιχεία του φακέλου και από την ακροαµατική διαδικασία προέκυψαν τα εξής: Το Υπουργείο Εργασίας, Κοινωνικής Ασφάλισης και Πρόνοιας µε έγγραφα προς τους ασφαλιστικούς οργανισµούς κύριας και επικουρικής ασφάλισης αρµοδιότητας του Υπουργείου ζήτησε από τους ασφαλιστικούς φορείς να διενεργήσουν αυτοπρόσωπη απογραφή των συνταξιούχων λόγω θανάτου, προκειµένου να διαπιστωθεί η νοµιµότητα των καταβαλλόµενων συντάξεων για την κατηγορία αυτή των συνταξιούχων, µε προαπαιτούµενο δικαιολογητικό µεταξύ των άλλων και το τελευταίο εκκαθαριστικό φόρου εισοδήµατος, αναφέροντας ότι σε όσους συνταξιούχους δεν προσέλθουν να απογραφούν θα πρέπει να διακόπτεται η καταβολή της σύνταξης κύριας ή/και επικουρικής. Η ιοίκηση του Ε ΟΕΑΠ, ακολουθώντας τις σχετικές κατευθύνσεις του εποπτεύοντος τον οργανισµό Υπουργείου Εργασίας, µε ανακοίνωση του Ε ΟΕΑΠ κάλεσε τους συνταξιούχους µέλη του να προσέλθουν για να απογραφούν, ζητώντας προκειµένου να ολοκληρωθεί η απογραφή µεταξύ των λοιπών δικαιολογητικών να καταθέσουν και το τελευταίο εκκαθαριστικό 46

47 σηµείωµα του οικονοµικού έτους 2013 ή φορολογική δήλωση του 2013 εφόσον δεν έχει παραληφθεί εκκαθαριστικό, ενώ µε νεότερη ανακοίνωσή του παρέτεινε την προθεσµία απογραφής, επισηµαίνοντας ότι σε περίπτωση που κάποιος συνταξιούχος δεν απογραφεί, θα ανασταλεί η καταβολή της επικούρησης. Η φορολογική δήλωση και το εκκαθαριστικό σηµείωµα της.ο.υ. περιέχουν κατά κανόνα απλά προσωπικά δεδοµένα του ασφαλισµένου φορολογούµενου, είναι δε δυνατόν να περιέχουν και ευαίσθητα προσωπικά δεδοµένα στην περίπτωση αναπηρίας και δαπανών υγείας. Όµως, περιέχουν και προσωπικά δεδοµένα τρίτων προς τον ασφαλισµένο προσώπων, όπως συζύγων και τέκνων. Συνεπώς, η προσκόµιση του εκκαθαριστικού σηµειώµατος ή αντιγράφου της φορολογικής δήλωσης γίνεται κατά κανόνα κατόπιν συναινέσεως των ασφαλισµένων φορολογουµένων ή στο πλαίσιο ελέγχου από τον ασφαλιστικό οργανισµό των ασφαλιστικών παροχών, κατά τα αναγκαία τους χωρία. Το άρθρο 63 του Ν. 2676/1999, όπως τροποποιήθηκε µε το άρθρο 16 του Ν. 3863/2010 και µε το άρθρο 42 του Ν. 3996/2011 προβλέπει ότι για τους συνταξιούχους λόγω γήρατος φορέων κύριας ασφάλισης που αναλαµβάνουν εργασία και δεν έχουν συµπληρώσει το 55 ο έτος της ηλικίας τους αναστέλλεται η καταβολή της σύνταξης ή των συντάξεων κύριων και επικουρικών. Οι συνταξιούχοι της κατηγορίας αυτής υποχρεούνται πριν αναλάβουν εργασία ή αυτοαπασχοληθούν να το δηλώσουν στον φορέα ή στους φορείς από τους οποίους συνταξιοδοτούνται για κύρια σύνταξη. Επίσης, υποβάλλεται σχετική δήλωση και στους φορείς επικουρικής ασφάλισης. Παράλειψη της δήλωσης συνεπάγεται καταλογισµό σε βάρος του συνταξιούχου του ποσού των συντάξεων που έλαβε κατά το χρονικό διάστηµα της εργασίας του ή κατά το διάστηµα που αυτοαπασχολούνταν και πρόστιµο επί του καταλογισθέντος ποσού ίσο µε το νόµιµο τόκο υπερηµερίας. Επίσης, σύµφωνα µε το άρθρο 62 του Ν. 2676/1999, σε περίπτωση θανάτου ασφαλισµένου ή συνταξιούχου ασφαλιστικού οργανισµού κύριας ή επικουρικής ασφάλισης, στον επιζώντα των συζύγων που θεµελιώνει συνταξιοδοτικό δικαίωµα λόγω θανάτου υφίστανται περιορισµοί στην καταβολή της δεύτερης επικουρικής σύνταξης, και συνεπώς πρέπει να διακοπεί ή να αναπροσαρµοσθεί η επικουρική σύνταξη. Ενόψει του αναφερόµενου από τον Ε ΟΕΑΠ σκοπού επεξεργασίας που ήταν ο έλεγχος της νοµιµότητας καταβολής της επικουρικής σύνταξης, η συλλογή του εκκαθαριστικού σηµειώµατος θα µπορούσε να εκτιµηθεί ως καταρχήν πρόσφορη για την εκπλήρωση του σκοπού αυτού επεξεργασίας, σύµφωνα µε τις διατάξεις του άρθρου 4 του Ν. 2472/1997. Όµως, η 47

48 συγκεκριµένη επεξεργασία είναι αναγκαία µόνο α) για τους συνταξιούχους κάτω των 55 ετών και β) για τους συνταξιούχους λόγω θανάτου που υπόκεινται στις αντίστοιχες διατάξεις του νόµου 2676/1999, και όχι για όλους τους συνταξιούχους του οργανισµού, εφόσον µόνο για αυτές τις κατηγορίες προβλέπεται η αναστολή ή ο περιορισµός της καταβολής της επικουρικής σύνταξης. Περαιτέρω, η εξυπηρέτηση του επιδιωκόµενου σκοπού θα µπορούσε να γίνει µε ηπιότερα µέσα, όπως με απλή επίδειξη εκκαθαριστικού σηµειώµατος ή φορολογικής δήλωσης ή µε την προσκόµιση από τον συνταξιούχο, ασφαλισµένο του ταµείου, σχετικής βεβαίωσης από την εφορία. Κατόπιν των ανωτέρω, ο Ε ΟΕΑΠ, ως προς τους συνταξιούχους κάτω των 55 ετών και τους συνταξιούχους λόγω θανάτου ήταν δυνατό να ζητήσει και να του προσκοµισθεί αντίγραφο του εκκαθαριστικού σηµειώµατος ή της φορολογικής δήλωσης. Για τους υπόλοιπους συνταξιούχους αυτό δεν ήταν αναγκαίο και η προσκόµισή του ήταν οικειοθελής. Σε περίπτωση δε άρνησης των υπόχρεων, ο Ε ΟΕΑΠ μπορούσε να ζητήσει είτε την επίδειξη του εκκαθαριστικού ή της φορολογικής δηλώσεως, είτε τουλάχιστον φωτοτυπία των κρίσιµων χωρίων του εκκαθαριστικού ή της δηλώσεως που αναφέρονται στα εισοδήµατα από µισθωτές εργασίες και ελευθέρια επαγγέλµατα στις περιπτώσεις που αυτό επηρέαζε το ύψος της καταβαλλόµενης επικουρικής σύνταξης. Περαιτέρω, όμως, η νοµιµότητα της σύνδεσης της µη υποβολής του εκκαθαριστικού σηµειώµατος ή του αντιγράφου της φορολογικής δηλώσεως προς την αναστολή καταβολής της επικουρικής αυτής σύνταξης µέχρι την προσκόµισή τους είναι θέµα το οποίο εξέρχεται των αρµοδιοτήτων της Αρχής και δύναται να κριθεί από τα διοικητικά δικαστήρια, τα οποία κατά την υπ αριθµ. 5/2002 απόφαση του Ανωτάτου Ειδικού ικαστηρίου έχουν δικαιοδοσία επί των ασφαλιστικού χαρακτήρα θεµάτων του Ε ΟΕΑΠ. Έτσι, η Αρχή απηύθηνε προειδοποίηση στον Ενιαίο ηµοσιογραφικό Οργανισµό Επικουρικής Ασφαλίσεως & Περιθάλψεως (Ε ΟΕΑΠ) να µην συνεχίσει τη συγκεκριµένη επεξεργασία και να καταστρέψει το υπάρχον αρχείο για τους συνταξιούχους που δεν έπρεπε να συλλεχθεί αντίγραφο του εκκαθαριστικού ή της φορολογικής δήλωσης, ενώ για τους συνταξιούχους για τους οποίους νοµίµως συλλέχθηκε, δηλαδή για όσους είναι κάτω των 55 ετών και έχουν αναλάβει µισθωτή εργασία ή αυτοαπασχολούνται, καθώς και για όσους λαµβάνουν σύνταξη λόγω θανάτου του άλλου συζύγου, να τηρηθούν από τα κατατεθέντα εκκαθαριστικά σηµειώµατα ή τις κατατεθείσες φορολογικές δηλώσεις µόνο όσα στοιχεία είναι απαραίτητα για την ασφαλιστική σχέση και τα υπόλοιπα να διαγραφούν. 48

49 Δ) ΑΡΧΗ ΤΗΣ ΑΚΡΙΒΕΙΑΣ: ΔΕΔΟΜΕΝΑ ΑΚΡΙΒΗ ΚΑΙ ΕΝΗΜΕΡΩΜΕΝΑ ΕΦΟΣΟΝ ΥΠΟΚΕΙΝΤΑΙ ΣΕ ΑΛΛΑΓΕΣ. Η τρίτη βασική αρχή προστασίας που διέπει κάθε νόμιμη επεξεργασία προσωπικών δεδομένων είναι η αρχή της ακρίβειας, που επιτάσσει τα δεδομένα να ανταποκρίνονται στην πραγματικότητα, να είναι επίκαιρα και ακριβή και να υποβάλλονται σε ενημέρωση, τουλάχιστον μέχρι τη διαβίβασή τους 26. Για παράδειγμα, κατά το χρονικό διάστημα που συντρέχει μία ιδιότητα σε ένα πρόσωπο που δικαιολογεί την χορήγηση σε αυτό σύνταξης ή επιδόματος, το άτομο θα πρέπει να λαμβάνει την παροχή αυτή. Αν στην πορεία για οποιονδήποτε λόγο παύσει να συντρέχει η ιδιότητα στο πρόσωπο που δικαιούνταν την παροχή, θα πρέπει να ενημερωθεί το αρχείο και να παύσει το άτομο αυτό να λαμβάνει πλέον τη σχετική παροχή. Έτσι, αν σε έναν ασφαλισμένο ή συνταξιούχο έχουν λάβει χώρα κάποια περιστατικά που δικαιολογούν την ιδιαίτερη μεταχείρισή του ή την παροχή σε αυτόν ενός βοηθήματος ή μιας κοινωνικής παροχής, θα πρέπει να ενημερώνεται το αρχείο που εξυπηρετεί αυτό το σκοπό επεξεργασίας. Το ίδιο θα πρέπει να ισχύει και στην περίπτωση που έπαψαν πλέον να υφίστανται στο πρόσωπο του ασφαλισμένου ή του συνταξιούχου ορισμένες ιδιότητες που δικαιολογούσαν την ιδιαίτερη μεταχείρισή του, οπότε επιβάλλεται να διαγράφονται ή να διορθώνονται τα τηρούμενα δεδομένα, ώστε να ανταποκρίνονται στην πραγματικότητα. Επιπλέον, η αρχή αυτή αποσκοπεί στο να αποφεύγονται παραδρομές και συγχύσεις λόγω των ελλιπών καταχωρημένων στοιχείων. Για παράδειγμα, όταν το ονοματεπώνυμο του ασφαλισμένου - υποκειμένου των δεδομένων είναι συνηθισμένο, επιβάλλεται να προστεθεί στο αρχείο και το πατρώνυμο, το επάγγελμα ή οποιοδήποτε άλλο στοιχείο διακριτικό, για να αποφεύγονται οι συγχύσεις. 26 Βλ. και ΜΠΘ 2950/2002, παράδειγμα εκτός του πεδίου της Κοινωνικής Ασφάλισης, όπου όμως μια νόμιμη εταιρία εμπορίας πληροφοριών ενημέρωσε μια αντιπροσωπεία αυτοκινήτων ότι ο υποψήφιος αγοραστής αυτοκινήτου έχει στο όνομά του εκκρεμή οφειλή προς άλλη εταιρία, ενώ ο αγοραστής είχε εξοφλήσει την οφειλή του. Η εταιρία εμπορίας πληροφοριών φέρει ευθύνη, καθώς τα δυσμενή για το υποκείμενο προσωπικά δεδομένα που διαβιβάσθηκαν δεν ήταν ακριβή και ενημερωμένα μέχρι το χρόνο της διαβίβασης. 49

50 Ε) ΑΡΧΗ ΤΗΣ ΚΑΘΟΡΙΣΜΕΝΗΣ ΧΡΟΝΙΚΗΣ ΔΙΑΡΚΕΙΑΣ ΤΗΡΗΣΗΣ ΤΩΝ ΔΕΔΟΜΕΝΩΝ. Άλλη μία υποχρέωση που απορρέει από την τήρηση αρχείου προσωπικών δεδομένων γενικά και επομένως και στον τομέα της Κοινωνικής Ασφάλισης είναι η διατήρηση των προσωπικών δεδομένων των ασφαλισμένων και των συνταξιούχων μόνο για όσο χρονικό διάστημα απαιτείται, κατά την κρίση της Αρχής, για την πραγματοποίηση του σκοπού της επεξεργασίας τους. Η Αρχή καθορίζει τη διάρκεια τήρησης των δεδομένων είτε in concreto, δηλαδή όταν παρέχει την άδεια επεξεργασίας συγκεκριμένων ευαίσθητων δεδομένων είτε όταν αποδέχεται τη γνωστοποίηση απλών προσωπικών δεδομένων είτε τέλος εκδίδει in abstracto απόφαση για σημαντικές κατηγορίες προσωπικών δεδομένων. Μετά την πάροδο του καθορισμένου χρόνου, η άδεια μπορεί να ανανεωθεί ύστερα από αίτηση του υπεύθυνου επεξεργασίας στην Αρχή, αλλιώς επιβάλλεται η καταστροφή του αρχείου των προσωπικών δεδομένων. Η υποχρέωση καταστροφής του αρχείου μετά το πέρας της καθορισμένης διάρκειας επεξεργασίας τους συνάγεται άλλωστε και από τη διάταξη του άρθρου 4 παρ. 1 περ, δ, αλλά και από αυτήν του άρθρου 10 εδ. α του ν. 2472/1997, η οποία ορίζει ότι: «Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας». Κατά συνέπεια, το άρθρο 10 του ν. 2472/1997 αναφέρεται και στην ασφαλή καταστροφή των προσωπικών δεδομένων μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας, ώστε αυτά να μην αποτελέσουν αντικείμενο αθέμιτης επεξεργασίας, όπως διάδοσης τους σε τρίτους. Ως εκ τούτου, μετά το πέρας της περιόδου που απαιτείται για την πραγματοποίηση του σκοπού της επεξεργασίας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία οφείλει να καταστρέψει τα δεδομένα με ασφαλή τρόπο. Σε αντίθετη περίπτωση, παραβιάζεται το άρθρο 10 του Ν. 2472/1997 και η ευθύνη βαρύνει σε κάθε περίπτωση τον υπεύθυνο επεξεργασίας. Ωστόσο, η Αρχή μπορεί με αιτιολογημένη απόφασή της να επιτρέπει τη διατήρησή τους και μετά το πέρας του απαιτούμενου χρόνου επεξεργασίας τους, για ιστορικούς, επιστημονικούς - ερευνητικούς 27 ή στατιστικούς σκοπούς, εφόσον κρίνει ότι δεν θίγονται σε κάθε συγκεκριμένη περίπτωση τα 27 Θεματικές Ενότητες/Κοινωνική Ασφάλιση/υπ αριθμ. 47/2004 Απόφαση της Αρχής. 50

51 δικαιώματα των υποκειμένων τους ή τρίτων 28. Σε αυτήν την περίπτωση γίνεται λόγος για δευτερεύουσα χρήση των προσωπικών δεδομένων που υπερβαίνει τον αρχικό σκοπό επεξεργασίας, αλλά κρίνεται ότι εξυπηρετεί κάποιον δευτερεύοντα νόμιμο σκοπό (ιστορικό, επιστημονικό, στατιστικό) που δικαιολογεί τη διατήρηση του σχετικού αρχείου και μετά το πέρας της καθορισμένης διάρκειάς του. Βέβαια, πρέπει να σημειωθεί ότι αν τα δεδομένα τηρούνται κατά τρόπο που δεν συνδέονται με συγκεκριμένο πρόσωπο δεν υπάρχει χρονικός προσδιορισμός στη διατήρησή τους, επειδή δεν πρόκειται για προσωπικά δεδομένα, κύριο χαρακτηριστικό των οποίων είναι η άμεση ή έμμεση σύνδεσή τους με κάποιο πρόσωπο. ΣΥΝΕΠΕΙΕΣ ΑΠΟ ΤΗ ΜΗ ΤΗΡΗΣΗ ΤΩΝ ΑΡΧΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ. Ο υπεύθυνος επεξεργασίας υποχρεούται να τηρήσει τις παραπάνω αρχές για να είναι νόμιμη η επεξεργασία. Αν η Αρχή διαπιστώσει αυτεπαγγέλτως ή μετά από σχετική καταγγελία παράβαση των αρχών επεξεργασίας, επιβάλλει τη διακοπή της επεξεργασίας και την καταστροφή των προσωπικών δεδομένων που έχουν ήδη υποστεί επεξεργασία. Έτσι, τα προσωπικά δεδομένα που έχουν συλλεχθεί ή υφίστανται επεξεργασία κατά παράβαση των παραπάνω αρχών καταστρέφονται από τον υπεύθυνο επεξεργασίας ή από τον εκτελών την επεξεργασία με ευθύνη όμως του υπεύθυνου επεξεργασίας. Η υποχρέωση καταστροφής των προσωπικών δεδομένων προβλέπεται και από το άρθρο 10 εδ. α του ν. 2472/1997, προκειμένου να αποφευχθεί κάθε είδους αθέμιτη επεξεργασία τους. 4 ος ΤΡΟΠΟΣ ΠΡΟΣΤΑΣΙΑΣ: ΑΠΟΝΟΜΗ ΔΙΚΑΙΩΜΑΤΩΝ ΣΤΟΥΣ ΑΣΦΑΛΙΣΜΕΝΟΥΣ ΚΑΙ ΣΤΟΥΣ ΣΥΝΤΑΞΙΟΥΧΟΥΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΤΟΥΣ. Το σύστημα προληπτικών ελέγχων που προβλέπει ο ν. 2472/1997 συμπληρώνεται με την κατοχύρωση τεσσάρων βασικών δικαιωμάτων των υποκειμένων των δεδομένων 29 και εν προκειμένω των ασφαλισμένων και των συνταξιούχων: της ενημέρωσης, της πρόσβασης, της αντίρρησης και της προσωρινής δικαστικής προστασίας. Τα δικαιώματα αυτά δεν μπορούν να 28 Αλεξανδροπούλου Αιγυπτιάδου Ευγενία, ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Η νομική ρύθμιση ηλεκτρονικής επεξεργασίας τους, εκδ. Αντ. Σάκκουλα, Αθήνα Κομοτηνή 2007, σελ Μαντζούφας Παναγιώτης, Συνταγματική προστασία των δικαιωμάτων στην κοινωνία της διακινδύνευσης, εκδ. Σάκκουλα, έτος 2006, σελ της 51

52 αντικαταστήσουν τις νόμιμες αρχές επεξεργασίας, αλλά αποτελούν πρόσθετες προς αυτές εγγυήσεις. Η σημασία των δικαιωμάτων αυτών, που αναγνωρίζονται στο υποκείμενο, έγκειται στο γεγονός ότι το καθιστούν υπεύθυνο για τις πληροφορίες που το αφορούν και μέσω αυτών επιτυγχάνεται ο πληροφοριακός αυτοκαθορισμός του. 1. Δικαίωμα ενημέρωσης (άρθρο 11 ν. 2472/1997). Η ενημέρωση του υποκειμένου αποτελεί υποχρέωση του υπεύθυνου επεξεργασίας και του τυχόν αποδέκτη των προσωπικών δεδομένων, αλλά ταυτόχρονα και δικαίωμα του υποκειμένου ως έκφανση του πληροφοριακού του αυτοκαθορισμού. Επίσης, το δικαίωμα στην ενημέρωση αποτελεί προϋπόθεση για την άσκηση των δικαιωμάτων της πρόσβασης και της αντίρρησης. Όπως επισημάνθηκε ήδη, η ενημέρωση του υποκειμένου από τον υπεύθυνο επεξεργασίας γίνεται είτε το υποκείμενο παρέχει τη συγκατάθεση ή τη συνδρομή του για τη συλλογή των δεδομένων είτε όχι. Ειδικότερα, τα δεδομένα κοινωνικής πρόνοιας συλλέγονται κατά κύριο λόγο από το ίδιο το υποκείμενο, προκειμένου να καταστεί δικαιούχος συγκεκριμένων κοινωνικών ωφελημάτων. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει το πρόσωπο στο οποίο αναφέρονται οι πληροφορίες κοινωνικής πρόνοιας για την επεξεργασία τους, πάντα κατά το στάδιο της συλλογής των δεδομένων με τον πιο πρόσφορο τρόπο, ώστε να εξασφαλίζεται η πληροφόρησή του. Η υποχρέωση ενημέρωσης προβλέπεται στο άρθρο 11 ν. 2472/1997 και πρέπει απαραίτητα να περιλαμβάνει τα εξής στοιχεία: α) την ταυτότητα του υπεύθυνου επεξεργασίας (ονοματεπώνυμο επωνυμία, διεύθυνση, τηλέφωνο) και την ταυτότητα του τυχόν εκπροσώπου του, β) το σκοπό της επεξεργασίας κατά τρόπο εύληπτο και σαφή, γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων κατά τρόπο αποκλειστικό και δ) την ύπαρξη του δικαιώματος πρόσβασης. Εάν για τη συλλογή των δεδομένων προσωπικού χαρακτήρα ο υπεύθυνος επεξεργασίας ζητεί τη συνδρομή του υποκειμένου, οφείλει να το ενημερώσει ειδικά και εγγράφως για τα ως άνω στοιχεία και για τα δικαιώματα του από τα άρθρα του ν. 2472/1997. Με την έγγραφη ενημέρωση, ο υπεύθυνος επεξεργασίας γνωστοποιεί στο υποκείμενο αν οφείλει ή όχι να παράσχει τη συνδρομή του, με βάση ποιες διατάξεις και τις τυχόν συνέπειες της άρνησής του. Αν το υποκείμενο δεν συμμετέχει στη συλλογή των δεδομένων του, η ενημέρωσή του γίνεται με οποιοδήποτε πρόσφορο τρόπο, και αν η ενημέρωση αφορά μεγάλο αριθμό υποκειμένων, κατ εξαίρεση και ύστερα από άδεια της Αρχής, η ενημέρωση γίνεται in abstracto δια του τύπου ή με οποιοδήποτε άλλο πρόσφορο μέσο. 52

53 Τέλος, όταν με άδεια της Αρχής δεδομένα κοινωνικής πρόνοιας διαβιβάζονται σε τρίτους, το υποκείμενο πρέπει να ενημερώνεται σχετικά πριν από τη διαβίβαση, καθώς και για την ταυτότητα των τρίτων. Το υποκείμενο των δεδομένων μπορεί επίσης, ανά πάσα στιγμή, να ζητήσει να ενημερωθεί για τα προσωπικά του δεδομένα που επεξεργάζεται κάποιος, καθώς και τη λογική, την κατάσταση και την εξέλιξη της επεξεργασίας. Η υποχρέωση ενημέρωσης μπορεί να αρθεί εν όλω ή εν μέρει με απόφαση της Αρχής, αν η επεξεργασία των δεδομένων γίνεται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Σε επείγουσες περιπτώσεις, η άρση της υποχρέωσης ενημέρωσης μπορεί να γίνει με προσωρινή και άμεσα εκτελεστή απόφαση του Προέδρου, ο οποίος πρέπει να συγκαλέσει το συντομότερο την Αρχή για την έκδοση οριστικής απόφασης επί του θέματος (άρθρο 11 παρ. 4 ν. 2472/1997). Απαλλαγή από την υποχρέωση ενημέρωσης του υποκειμένου υφίσταται και όταν το υποκείμενο είναι δημόσιο πρόσωπο και η συλλογή γίνεται αποκλειστικά για δημοσιογραφικούς σκοπούς με την επιφύλαξη των δικαιωμάτων πρόσβασης και αντίρρησης (άρθρο 11 παρ. 5 ν. 2472/1997). 2. Δικαίωμα πρόσβασης (άρθρο 12 του ν. 2472/1997). Ο ασφαλισμένος και ο συνταξιούχος έχει το δικαίωμα να γνωρίζει αν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Το δικαίωμα πρόσβασης ασκείται 30 εγγράφως είτε αυτοπροσώπως (από το υποκείμενο) είτε με νόμιμο εκπρόσωπο είτε από απόσταση με απλό ή ηλεκτρονικό ταχυδρομείο. Το δικαίωμα πρόσβασης μπορεί να ασκήσει το υποκείμενο και με τη συνδρομή ειδικού. Δεδομένα που αφορούν την υγεία γνωστοποιούνται στο υποκείμενο μέσω ιατρού. Ειδικότερα, το δικαίωμα αυτό ασκείται με την υποβολή σχετικής αίτησης προς τον υπεύθυνο επεξεργασίας και την ταυτόχρονη καταβολή χρηματικού ποσού, το ύψος του οποίου και τον τρόπο καταβολής του ορίζει η Αρχή. Με την αίτησή του το υποκείμενο μπορεί να ζητάει όλες τις πληροφορίες που προβλέπονται στο άρθρο 12 παρ. 2 ν. 2472/1997, δηλαδή τα προσωπικά δεδομένα που το αφορούν και την προέλευσή τους, το σκοπό (ή τους σκοπούς) της επεξεργασίας, τους αποδέκτες (ή τις κατηγορίες αποδεκτών), την εξέλιξη της επεξεργασίας από την τελευταία ενημέρωση του, τη λογική της 30 Αλεξανδροπούλου Αιγυπτιάδου Ευγενία, ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους, σελ

54 αυτοματοποιημένης επεξεργασίας. Τέλος, μπορεί ακόμη να ζητήσει τη διόρθωση, τη διαγραφή ή τη δέσμευση (το κλείδωμα) των δεδομένων, όταν η επεξεργασία τους δεν είναι σύννομη, ιδίως όταν τα προσωπικά δεδομένα είναι ελλιπή ή ανακριβή και την κοινοποίηση της διόρθωσης ή διαγραφής ή δέσμευσης αυτής σε τρίτους στους οποίους ανακοινώθηκαν τα δεδομένα, εφόσον η κοινοποίηση αυτή δεν είναι αδύνατη ή δυσανάλογα δύσκολη. Ο υπεύθυνος οφείλει να απαντήσει εγγράφως εντός 15 ημερών. Αν δεν απαντήσει ή η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο έχει δικαίωμα να προσφύγει στην Αρχή. Αν ο υπεύθυνος αρνηθεί να ικανοποιήσει το αίτημα του υποκειμένου, κοινοποιεί την αρνητική απάντηση στην Αρχή και ενημερώνει το υποκείμενο ότι μπορεί να προσφύγει σε αυτήν. Αν ο υπεύθυνος αδυνατεί να ικανοποιήσει το δικαίωμα πρόσβασης λόγω απώλειας των επίμαχων στοιχείων ή λειτουργικής αδυναμίας ανεύρεσής τους, είναι υποχρεωμένος να διαγράψει τα σχετικά στοιχεία από το αρχείο του. Αν το αίτημα διόρθωσης ή διαγραφής των δεδομένων κριθεί βάσιμο είτε από τον υπεύθυνο είτε από την Αρχή (εφόσον το υποκείμενο είχε προσφύγει σε αυτήν), ο υπεύθυνος οφείλει να χορηγήσει στον αιτούντα χωρίς καθυστέρηση, δωρεάν και σε κατανοητή γλώσσα αντίγραφο του διορθωμένου μέρους της επεξεργασίας που τον αφορά. Επίσης, στην περίπτωση αυτή που ευδοκιμήσει η αίτηση, το χρηματικό ποσό που είχε καταβάλει το υποκείμενο επιστρέφεται σε αυτό. Τέλος, μπορεί να αποκλειστεί το δικαίωμα πρόσβασης και πληροφόρησης του υποκειμένου, αν ο υπεύθυνος το ζητήσει με σχετική αίτησή του προς την Αρχή και με απόφαση της Αρχής αρθεί συνολικά ή μερικά η υποχρέωση του να πληροφορήσει το υποκείμενο μόνο στις περιπτώσεις που η επεξεργασία γίνεται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων. Στην περίπτωση αυτή, αν γίνει δεκτό το αίτημά του και εκδοθεί η σχετική απόφαση της Αρχής, ο Πρόεδρος της Αρχής ή ο αναπληρωτής του έχει ελεύθερη πρόσβαση στο αρχείο και προβαίνει σύννομα σε όλες τις αναγκαίες ενέργειες, χωρίς την πληροφόρηση του υποκειμένου. Σε συνάρτηση με όλα τα παραπάνω, θα μπορούσαμε να πούμε ότι εκ πρώτης όψεως, το δικαίωμα πρόσβασης του ν. 2472/1997 μοιάζει με το δικαίωμα επίδειξης εγγράφου των άρθρων 450 επ. Κ.Πολ.Δ. και Α.Κ. Ωστόσο, τα δύο αυτά δικαιώματα στηρίζονται σε διαφορετική νομική βάση και εκτός από αυτό, το δικαίωμα πρόσβασης κρίνεται ευρύτερο από το δικαίωμα επίδειξης εγγράφου. Σημείο αναφοράς για την πληρέστερη κατανόηση του δικαιώματος πρόσβασης του υποκειμένου πρέπει να αποτελέσει η υπ αριθμ. 54/2007 απόφαση της Αρχής. Τα πραγματικά περιστατικά της υπόθεσης που έκρινε η Αρχή έχουν ως εξής: 54

55 Ο προσφεύγων Χ, συνταξιούχος ιπτάμενος μηχανικός, με προσφυγή του ενώπιον της Αρχής κατήγγειλε το υπό εκκαθάριση Ταμείο Παροχών Χειριστών και Ιπταμένων Μηχανικών Ολυμπιακής Αεροπορίας (γνωστό με την αγγλική του ονομασία FOAPE, εφεξής για λόγους συντομίας Ταμείο) ότι δεν ικανοποιεί το δικαίωμα πρόσβασης στα προσωπικά του δεδομένα όπως επιτάσσει το άρθρο 12 του ν. 2472/1997. Συγκεκριμένα, την ο προσφεύγων ζήτησε με αίτησή του προς το Ταμείο του οποίου είναι πρώην μέλος και ασφαλισμένος να του χορηγηθούν μεταξύ πλείστων άλλων εγγράφων και αντίγραφα από διάφορες αναλογιστικές μελέτες που εκπονήθηκαν από την αναλογιστική εταιρεία του Ταμείου WatsonWyatt στις οποίες όπως ισχυρίζεται περιέχονται προσωπικά του δεδομένα σχετικά με το τωρινό και μελλοντικό ύψος της Ατομικής του Μερίδας. Η Αρχή με το υπ αρ. πρωτ. 2805/ έγγραφό της προς το Ταμείο ζητούσε από το τελευταίο ως υπεύθυνο επεξεργασίας με την έννοια του άρθρου 2 εδ. ζ του ν. 2472/1997 να ικανοποιήσει το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων του Χ σύμφωνα με το άρθρο 12 παρ. 1, 2 και 4 του ίδιου νόμου και να του χορηγήσει άμεσα και χωρίς καμία καθυστέρηση τα στοιχεία-προσωπικά δεδομένα που ζήτησε. Μάλιστα τόνισε την υποχρέωση του Ταμείου ως υπεύθυνου επεξεργασίας να ικανοποιήσει το δικαίωμά του πρόσβασης ακόμη και όταν χρησιμοποιεί για λογαριασμό του άλλα νομικά πρόσωπα ως εκτελούντα την επεξεργασία (άρθρο 2 εδ. η του ν. 2472/1997, βλ. ακόμη σχετικά άρθρο 10 παρ. 1 και 4 του ίδιου νόμου) με σύμβαση έργου ή εντολής αφού η επεξεργασία των προσωπικών δεδομένων του υποκειμένου γίνεται κατ εντολή και για λογαριασμό του. Η εσωτερική σχέση που ρυθμίζει τα της αναθέσεως της επεξεργασίας των δεδομένων μεταξύ του υπευθύνου επεξεργασίας και εκείνου που την εκτελεί καθώς και οι εκατέρωθεν ενδοσυμβατικές υποχρεώσεις δεν περιορίζουν τα δικαιώματα του υποκειμένου έναντι του υπεύθυνου επεξεργασίας στα οποία συμπεριλαμβάνεται και το δικαίωμα πρόσβασης στα προσωπικά δεδομένα που επεξεργάζεται και τηρεί ο εκτελών την επεξεργασία για λογαριασμό και κατ εντολή του υπεύθυνου επεξεργασίας. Εκτελούντες την επεξεργασία στην υπό κρίση περίπτωση ήταν ο εμπιστευματούχος (trustee) Rothschild Trust Guernsey Limited, καθώς και η εταιρεία αναλογιστικών μελετών Watson Wyatt LLP. Επειδή η Αρχή έκρινε ότι το δικαίωμα πρόσβασης του προσφεύγοντος δεν είχε τότε ικανοποιηθεί, κάλεσε το Ταμείο σε ακρόαση και έπειτα σκέφθηκε σύμφωνα με το νόμο ότι: 55

56 Η Αρχή έχει αρμοδιότητα να κρίνει την υπόθεση παρά την ύπαρξη της απόφασης 8760/ του Μονομελούς Πρωτοδικείου Αθηνών επί της αιτήσεως ασφαλιστικών μέτρων του προσφεύγοντος Χ για επίδειξη των υπ αρ. 1,2,3,4, 7 και 8 εγγράφων γιατί, όπως έχει δεχθεί (βλ. και την παρακάτω υπ αριθμ. 57/2004 Απόφαση της Αρχής), η διάταξη του άρθρου 12 του ν. 2472/1997 είναι ευρύτερη του δικαιώματος για επίδειξη εγγράφου τόσο των άρθρων 450 και 451 ΚΠολΔ όσο και του άρθρου 902 ΑΚ, διότι θεωρείται δεδομένο το έννομο συμφέρον του υποκειμένου να λαμβάνει γνώση των πληροφοριών που το αφορούν. Ακόμη και η τελεσίδικη απόρριψη αιτήματος για επίδειξη εγγράφου δεν αποκλείει την ικανοποίηση του δικαιώματος πρόσβασης βάσει του άρθρου 12 του ν. 2472/1997. Αντιθέτως, η Αρχή δεν έχει αρμοδιότητα να κρίνει την ουσιαστικού δικαίου διαφορά μεταξύ του προσφεύγοντος και του Ταμείου επί της οποίας μάλιστα ο πρώτος έχει καταθέσει την από αγωγή ενώπιον του Πρωτοδικείου Αθηνών (Διαδικασία Εργατικών Διαφορών) με αίτημα να του καταβληθεί συμπληρωματική παροχή ύψους δολλαρίων ΗΠΑ πλέον των ήδη καταβληθέντων δολλαρίων ΗΠΑ. Επί της διαφοράς αυτής αρμόδια να αποφανθούν είναι προδήλως τα πολιτικά δικαστήρια. Όσον αφορά την πρόσβαση του προσφεύγοντος στις αναλογιστικές μελέτες που αιτείται, προέκυψαν τα ακόλουθα: Η αναλογιστική μελέτη της εταιρείας Watson Wyatt του Σεπτεμβρίου 1998 εκπονήθηκε το Σεπτέμβρη του 1998 αλλά αναφέρεται στην οικονομική θέση του Ταμείου την , όπως δηλώνει το Ταμείο και η αναλογιστική εταιρεία. Αφορά τη βιωσιμότητα του Ταμείου και είναι η τελευταία αναλογιστική μελέτη που εκπονήθηκε πριν την τροποποίηση του Καταστατικού του Ταμείου που μετέτρεψε το σύστημα παροχών του από σύστημα καθορισμένων παροχών (defined benefit) σε σύστημα καθορισμένων εισφορών (defined contribution). Αντίγραφο της εν λόγω μελέτης υποβλήθηκε στην Αρχή και δόθηκε στον προσφεύγοντα. Έκτοτε δεν προκύπτει ότι εκπονήθηκε άλλη αναλογιστική μελέτη για τη βιωσιμότητα του Ταμείου. Επίσης, μετά τη «μεριδοποίηση», η αναλογιστική εταιρεία υπέβαλε στο Ταμείο το από έγγραφο σχετικά με τη διαμόρφωση του Πλήρους Ατομικού Λογαριασμού (ΠΑΛ) των μελών για το έτος Αυτό έγινε γιατί από το σύστημα παροχών του ταμείου όπως προαναφέρθηκε μετατράπηκε από σύστημα καθορισμένων παροχών σε σύστημα καθορισμένων εισφορών. Υποβλήθηκε μάλιστα επιπρόσθετα και αντίγραφο εγγράφου της αναλογιστικής εταιρείας με ημερομηνία στο οποίο εμφαίνεται ο υπολογισμός του ανοίγματος του Ατομικού Λογαριασμού (αρχικό υπόλοιπο λογαριασμού) για κάθε νέο μέλος με ημερομηνία , δηλαδή πριν την εφαρμογή του συστήματος καθορισμένων εισφορών. Τα 56

57 αναλυτικά στοιχεία της Ατομικής Μερίδας του Χ εμφαίνονται με αριθμό Ψ στην σελίδα... της συνημμένης κατάστασης με τις Ατομικές Μερίδες. Βάσει των παραπάνω η Αρχή κρίνει ότι το δικαίωμα πρόσβασης στα υπ αρ. 1 και 2 αιτούμενα έγγραφα έχει ικανοποιηθεί, είναι δε άλλο ζήτημα αν ο προσφεύγων διαφωνεί με το περιεχόμενο όσων εγγράφων του δίδονται. Ακόμη όμως και αν θεωρεί ότι είναι ελλιπή κατά το περιεχόμενό τους και ότι δεν συνιστούν αναλογιστικές μελέτες με την τεχνική έννοια του όρου αλλά απλά πορίσματα, δεν προέκυψε ότι υπάρχουν στην κατοχή του υπεύθυνου επεξεργασίας ή των εκτελούντων την επεξεργασία περισσότερα στοιχείαπροσωπικά δεδομένα που τον αφορούν άμεσα ή έμμεσα τα οποία το Ταμείο σκόπιμα παρακρατεί ή αποκρύπτει. Περαιτέρω το Ταμείο υποστηρίζει ότι για τα έτη δεν εκπονήθηκαν αναλογιστικές μελέτες ακριβώς επειδή υπήρχε πλέον το σύστημα της «μεριδοποίησης» (με άλλα λόγια ατομικός κουμπαράς για κάθε ασφαλισμένο) και επειδή η μέση επενδυτική απόδοση για καθένα από τα επίμαχα έτη δεν ήταν μικρότερη του 8%. Επομένως κατά το Ταμείο δεν υφίστατο λόγος για εκπόνηση αναλογιστικών μελετών, που θα το επιβάρυναν άλλωστε οικονομικά. Ο προσφεύγων δεν απέδειξε ότι όντως και παρά τον ισχυρισμό του ταμείου εκπονήθηκαν οι αιτούμενες αναλογιστικές μελέτες και ότι παρ ότι έγιναν, δεν του δίδονται. Αν το Ταμείο ορθώς ή όχι αποφάσισε να μην εκπονήσει αναλογιστικές μελέτες για τα έτη αποτελεί ζήτημα που εκφεύγει της αρμοδιότητας της Αρχής. Τέλος, ένα άλλο (το υπ. αριθμ. 4) αιτούμενο έγγραφο δόθηκε με την υποβολή του από εγγράφου της αναλογιστικής εταιρείας πέραν του οποίου κατά δήλωση της αναλογιστικής εταιρείας δεν υπάρχει τίποτε περισσότερο στο αρχείο της. Επομένως όλες «οι αναλογιστικές μελέτες» που ζητά ο προσφεύγων του έχουν ήδη δοθεί στη μορφή που έχουν εκπονηθεί και υφίστανται, και οι οποίες με τη μετατροπή του Ταμείου σε πλήρως κεφαλαιοποιητικό με σύστημα καθορισμένων εισφορών δεν είχαν πλέον την παραδοσιακή μορφή αναλογιστικών μελετών με πίνακες ανάπτυξης, μαθηματική ανάλυση της μελέτης κλπ. όπως αντιθέτως συνέβαινε με τις αναλογιστικές μελέτες πριν το 1999 όταν το σύστημα ήταν καθορισμένων παροχών. Με βάση τα παραπάνω η Αρχή κρίνει ότι το δικαίωμα πρόσβασης του Χ στο σύνολο των εγγράφων που περιέχουν προσωπικά του δεδομένα και τον αφορούν και τα οποία τηρεί είτε ο ίδιος ο υπεύθυνος επεξεργασίας Ταμείο Παροχών Χειριστών και Ιπταμένων Μηχανικών Ολυμπιακής Αεροπορίας (FOAPE) είτε οι εκτελούντες την επεξεργασία κατ εντολή και για λογαριασμό του υπευθύνου, δηλαδή ο εμπιστευματούχος και η εταιρεία αναλογιστικών 57

58 μελετών Watson Wyatt, έχει ικανοποιηθεί έστω και αν αυτό έγινε με σημαντική καθυστέρηση. Το γεγονός ότι ο προσφεύγων διατηρεί ενστάσεις ως προς το περιεχόμενο των εγγράφων που του δίδονται υπερβαίνει το σκοπό του δικαιώματος πρόσβασης. Μάλιστα, η καθυστέρηση της ικανοποίησης του δικαιώματος αυτού υπήρξε δικαιολογημένη ενόψει τού ότι το Ταμείο βρίσκεται υπό εκκαθάριση με απόφαση της Γενικής Συνέλευσης των μελών του της , δεν διαθέτει δικό του προσωπικό, οι δύο εκτελούντες την επεξεργασία εδρεύουν και λειτουργούν στην αλλοδαπή και ότι από το φθινόπωρο του 2006 το Ταμείο επέδειξε διάθεση συνεργασίας για την ικανοποίηση των δικαιωμάτων του προσφεύγοντος. Έτσι, η Αρχή απέρριψε την προσφυγή του Χ για μη ικανοποίηση του δικαιώματος πρόσβασης. Αναφέρουμε ως χαρακτηριστικό παράδειγμα και την υπ αριθμ. 57/2004 Απόφαση της Αρχής στην εξής υπόθεση: Δικηγόρος που συνεργαζόταν με Τράπεζα προσέφυγε στην Αρχή εναντίον της Τράπεζας, επειδή δεν ικανοποιήθηκε προσηκόντως το δικαίωμά της να γνωρίζει ποια προσωπικά δεδομένα της τηρούσε η Τράπεζα στο αρχείο. Mε την απόφαση που εξέδωσε η Αρχή, επέβαλε πρόστιμο σε Τράπεζα για άρνηση έγκαιρης ικανοποίησης του δικαιώματος για πρόσβαση στα δεδομένα που αφορούν δικηγόρο συνεργαζόμενη και απηύθυνε στην Τράπεζα σύσταση για να τηρεί την υποχρέωση ενημέρωσης του υποκειμένου για τα στοιχεία που τηρούν. Ιδιαίτερο ενδιαφέρον παρουσιάζει το ότι η Αρχή διαχώρισε με σαφήνεια το δικαίωμα δικαστικής αξίωσης για επίδειξη εγγράφου από το δικαίωμα πρόσβασης στα δεδομένα που αφορούν το υποκείμενο, το οποίο ασκείται εξωδικαστικά. Το συγκεκριμένο απόσπασμα της απόφασης αναφέρει: "Το αίτημα για επίδειξη εγγράφου, το οποίο υπεβλήθη στο Δικαστήριο από την προσφεύγουσα, στηρίχθηκε αποκλειστικά στα άρθρα 450 επ. ΚΠολΔ και ΑΚ. Η προσφυγή της προς την Αρχή στηρίζεται στο άρθρο 12 του Ν. 2472/1997, δηλαδή σε διαφορετική νομική βάση. Συνεπώς, η Αρχή έχει αρμοδιότητα να κρίνει την υπόθεση παρά την ύπαρξη της ως άνω απόφασης του Μονομελούς Πρωτοδικείου Αθηνών, καθώς η προσφυγή της Α προς την Αρχή στηρίζεται σε διαφορετική νομική βάση, ήτοι στο άρθρο 12 του Ν. 2472/1997, το οποίο παρέχει στο υποκείμενο των δεδομένων διαφορετική νομική προστασία από ότι τα άρθρα 450 επ. ΚΠολΔ και ΑΚ." Οπότε, η Αρχή κρίνει ότι δεν δεσμεύεται από το δεδικασμένο που βασίζεται στην απόφαση του Μονομελούς Πρωτοδικείου όσον αφορά την δική της 58

59 αρμοδιότητα για διασφάλιση του δικαιώματος πρόσβασης του υποκειμένου στα δεδομένα που το αφορούν. 3. Δικαίωμα αντίρρησης (άρθρο 13 του ν. 2472/1997). Το άρθρο 13 του ν. 2472/1997 ρυθμίζει το δικαίωμα αντίρρησης του υποκειμένου, εν προκειμένω του ασφαλισμένου και του συνταξιούχου, να προβάλει οποτεδήποτε αντιρρήσεις για την επεξεργασία δεδομένων που το αφορούν. Όπως εύστοχα έχει υποστηριχθεί 31, πρόκειται για το κατ εξοχήν δυναμικό δικαίωμα του υποκειμένου, καθώς περιλαμβάνει την ενεργή αντίδραση του στην επεξεργασία των προσωπικών δεδομένων του. Οι παράγραφοι 1 και 2 του άρθρου 13 προβλέπουν το δικαίωμα σχετικής αντίρρησης του υποκειμένου. Όσον αφορά τον τρόπο άσκησης του εν λόγω δικαιώματος, ο ασφαλισμένος ή ο συνταξιούχος απευθύνεται εγγράφως σε συγκεκριμένο υπεύθυνο επεξεργασίας και του ζητά να προβεί σε συγκεκριμένη ενέργεια ή ενέργειες όπως διόρθωση, προσωρινή μη χρησιμοποίηση, δέσμευση, μη διαβίβαση ή διαγραφή των προσωπικών δεδομένων του. Οι ενέργειες αυτές αναφέρονται ενδεικτικά στο νόμο και δεν αποτελούν αποκλειστικό περιεχόμενο των αντιρρήσεων του υποκειμένου. Το δικαίωμα αυτό ασκείται είτε αυτοπροσώπως από το υποκείμενο είτε από νόμιμο εκπρόσωπό του, είτε από απόσταση με απλό ή ηλεκτρονικό ταχυδρομείο. Σημειωτέον ότι η άσκηση του δικαιώματος σχετικής αντίρρησης προϋποθέτει την καταβολή χρηματικού ποσού στον υπεύθυνο επεξεργασίας, το ύψος του οποίου διακυμαίνεται ανάλογα με την ενέργεια που απαιτεί το υποκείμενο 32. Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να απαντήσει εγγράφως επί των αντιρρήσεων μέσα σε αποκλειστική προθεσμία δεκαπέντε (15) ημερών. Στην απάντησή του οφείλει να ενημερώσει το υποκείμενο για τις ενέργειες στις οποίες προέβη ή, ενδεχομένως, για τους λόγους που δεν ικανοποίησε το αίτημα. Η απάντηση σε περίπτωση απόρριψης των αντιρρήσεων πρέπει να κοινοποιείται και στην Αρχή. Εάν ο υπεύθυνος επεξεργασίας δεν απαντήσει εμπροθέσμως ή η απάντησή του δεν είναι ικανοποιητική, ο ασφαλισμένος ή ο συνταξιούχος, ως υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή και να 31 Αλεξανδροπούλου Αιγυπτιάδου Ευγενία, ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Η νομική ρύθμιση της ηλεκτρονικής επεξεργασίας τους, σελ Βλ. περισσότερες λεπτομέρειες για το θέμα αυτό, Αλεξανδροπούλου Αιγυπτιάδου Ευγενία, ό.π, σελ

60 ζητήσει την εξέταση των αντιρρήσεών του. Εάν η Αρχή πιθανολογήσει ότι οι αντιρρήσεις είναι εύλογες και ότι συντρέχει κίνδυνος σοβαρής βλάβης του υποκειμένου από την συνέχιση της επεξεργασίας, μπορεί να επιβάλλει την άμεση αναστολή της επεξεργασίας μέχρι να εκδώσει οριστική απόφαση επί των αντιρρήσεων (άρθρο 13 παρ. 2 ν. 2472/1997). Τέλος, η παράγραφος 3 του άρθρου 13 του ν. 2472/1997 προβλέπει το δικαίωμα απόλυτης αντίρρησης του υποκειμένου. Το δικαίωμα αυτό ασκείται ανέξοδα. Ο ασφαλισμένος και ο συνταξιούχος ενός ασφαλιστικού ταμείου μπορούν με έγγραφη δήλωσή τους προς την Αρχή να εκφράσουν ότι δεν επιθυμούν την επεξεργασία των προσωπικών δεδομένων τους που έχουν χορηγήσει για τις ανάγκες της Κοινωνικής τους Ασφάλισης από οποιονδήποτε για λόγους προώθησης της πώλησης αγαθών ή παροχής υπηρεσιών εξ αποστάσεως. Μάλιστα, η Αρχή τηρεί μητρώο με τα στοιχεία της ταυτότητας των υποκειμένων αυτών που δεν επιθυμούν την ανωτέρω επεξεργασία από οποιονδήποτε, το οποίο πρέπει να συμβουλεύεται ο υπεύθυνος επεξεργασίας που έχει ως στόχο την προώθηση των προϊόντων του ή την παροχή των υπηρεσιών του και να διαγράφει από το αρχείο του τα υποκείμενα αυτά. 4. Δικαίωμα προσωρινής δικαστικής προστασίας. Εκτός από τα παραπάνω δικαιώματα που έχει ο ασφαλισμένος και ο συνταξιούχος κατά την διαχείριση των προσωπικών του δεδομένων από τα ασφαλιστικά ταμεία και τους λοιπούς φορείς ασφάλισης και συνταξιοδότησης, παρέχεται σ αυτόν και το δικαίωμα προσωρινής δικαστικής προστασίας σε περίπτωση αυτοματοποιημένης επεξεργασίας των προσωπικών του δεδομένων, εφόσον αυτή αποβλέπει στην αξιολόγηση της προσωπικότητάς του και ιδίως της αποδοτικότητάς του στην εργασία, της οικονομικής φερεγγυότητάς του, της αξιοπιστίας του και της εν γένει συμπεριφοράς του. Όταν η επεξεργασία είναι αυτοματοποιημένη και αποβλέπει στους παραπάνω σκοπούς, ο εργαζόμενος - ασφαλισμένος, αλλά και ο συνταξιούχος έχει το δικαίωμα να προσφύγει στο αρμόδιο πολιτικό ή διοικητικό δικαστήριο και να ζητήσει την άμεση αναστολή ή μη εφαρμογή πράξης ή απόφασης που τον θίγει, ανεξάρτητα από το αν συντρέχουν οι λοιπές προϋποθέσεις παροχής προσωρινής δικαστικής προστασίας (όπως λ.χ. το κατεπείγον). Είναι αυτονόητο ότι, όταν συντρέχουν οι προϋποθέσεις που προβλέπονται από διατάξεις ουσιαστικού ή δικονομικού δικαίου, η προσωρινή προστασία δίδεται για οποιοδήποτε λόγο, ακόμη και στην περίπτωση της μη αυτοματοποιημένης 60

61 επεξεργασίας. Δικαίωμα οριστικής δικαστικής προστασίας δεν ορίζεται από το νόμο ως αυτονόητο. Παραίτηση του ασφαλισμένου από τα παραπάνω δικαιώματα που εισάγει ο ν. 2472/97 είναι άκυρη. Εξάλλου, η άσκηση των δικαιωμάτων που προβλέπονται από το ν. 2472/1997 (ενημέρωσης, πρόσβασης, αντίρρησης κ.λπ.) δεν μπορεί σε καμία περίπτωση να έχει δυσμενείς συνέπειες για τον ασφαλισμένο, αφού έτσι θα αναιρούνταν ο σκοπός του νόμου. Για παράδειγμα, η άσκηση του δικαιώματος πρόσβασης ή η προσφυγή στην Αρχή για να παράσχει τη συνδρομή της στην άσκηση των δικαιωμάτων του δεν μπορεί να οδηγεί σε δυσμενή αξιολόγηση του εργαζόμενουασφαλισμένου, σε καταγγελία της σύμβασης ή σχέσης εργασίας κ.λπ. 5 ο ΠΡΟΛΗΠΤΙΚΟ ΣΥΣΤΗΜΑ ΠΡΟΣΤΑΣΙΑΣ: ΕΙΣΑΓΩΓΗ ΚΑΙ ΟΡΓΑΝΩΣΗ ΘΕΣΜΙΚΟΥ ΕΛΕΓΧΟΥ - ΑΝΕΞΑΡΤΗΤΗΣ ΑΡΧΗΣ ΠΟΥ ΔΙΑΣΦΑΛΙΖΕΙ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΟΥ Ν. 2472/1997. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) είναι ανεξάρτητη διοικητική αρχή που δεν υπόκειται σε οποιονδήποτε διοικητικό έλεγχο και εδρεύει στην Αθήνα. Αποστολή της είναι η εποπτεία της εφαρμογής των νόμων και άλλων ρυθμίσεων που αφορούν στην προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Υπήρξε η ανάγκη για τη δημιουργία της, λόγω της ανεξέλεγκτης καταχώρισης και επεξεργασίας των προσωπικών δεδομένων σε ηλεκτρονικά και χειρόγραφα αρχεία υπηρεσιών, εταιρειών και οργανισμών, που μπορεί να δημιουργήσει προβλήματα στην ιδιωτική ζωή του πολίτη. Γι αυτό το λόγο τα προσωπικά δεδομένα προστατεύονται με αυστηρότητα και επιτρέπεται η επεξεργασία τους και η δημιουργία αρχείων μόνο κάτω από πολύ 61