ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΣΧΟΛΗ ΝΟΜΙΚΩΝ ΟΙΚΟΝΟΜΙΚΩΝ ΚΑΙ ΠΟΛΙΤΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΝΟΜΙΚΗΣ

Transcript

1 ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΣΧΟΛΗ ΝΟΜΙΚΩΝ ΟΙΚΟΝΟΜΙΚΩΝ ΚΑΙ ΠΟΛΙΤΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΝΟΜΙΚΗΣ ΤΟΜΕΑΣ ΕΜΠΟΡΙΚΟΥ ΚΑΙ ΟΙΚΟΝΟΜΙΚΟΥ ΙΚΑΙΟΥ ΜΕΤΑΠΤΥΧΙΑΚΟ ΤΜΗΜΑ ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΑΘΗΜΑ: ΤΡΑΠΕΖΙΚΟ ΙΚΑΙΟ Η Προστασία προσωπικών δεδοµένων στο σύστηµα πληροφοριών «Τειρεσίας Α.Ε.» ιδάσκοντες Καθηγητές: Λάµπρος Κοτσίρης, οµότιµος καθηγητής Σπυρίδων Ψυχοµάνης, καθηγητής Ευµορφία Τζίβα, επίκουρη καθηγήτρια Νικόλαος Ελευθεριάδης, λέκτορας ΕΙΣΗΓΗΤΡΙΑ: ΒΑΣΙΛΙΚΗ Ζ. ΜΟΤΣΙΟΥ Θεσσαλονίκη, 2010

2 ΠΕΡΙΕΧΟΜΕΝΑ 1. ΕΙΣΑΓΩΓΗ Γενικές πληροφορίες για την «Τειρεσίας Α.Ε.» Σκιαγράφηση του τρόπου λειτουργίας των συστηµάτων πληροφοριών της «Τειρεσίας ΑΕ» Σύστηµα αθέτησης υποχρεώσεων (ΣΑΥ) και Σύστηµα εδοµένων Υποθηκών- Προσηµειώσεων (ΣΥΠ) Σύστηµα Συγκέντρωσης Χορηγήσεων (ΣΣΧ) Αρχείο Ταυτοτήτων- ιαβατηρίων (ΣΤ ) Αρχείο Καταγγελθεισών Συµβάσεων Επιχειρήσεων (ΣΚΣΕ) Σύστηµα Βαθµολόγησης Συναλλακτικής Συµπεριφοράς ΠΡΟΣΤΑΣΙΑ ΤΩΝ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ Η συνταγµατική κατοχύρωση Ο νόµος 2472/ Προϋποθέσεις εφαρµογής του Ν.2472/ Το σύστηµα των ουσιαστικών προϋποθέσεων της νοµιµότητας της επεξεργασίας Η νοµιµότητα επεξεργασίας δεδοµένων στο «Σύστηµα Αθέτησης Υποχρεώσεων» και στο «Σύστηµα Υποθηκών- Προσηµειώσεων» Η νοµιµότητα της επεξεργασίας δεδοµένων στο «Σύστηµα Συγκέντρωσης Χορηγήσεων» Οι αρχές που διέπουν τη νοµιµότητα της επεξεργασίας Η αρχή της νοµιµότητας του σκοπού και του τρόπου επεξεργασίας Η αρχή της αναλογικότητας Η αρχή της ακρίβειας Η αρχή της χρονικής διάρκειας τήρησης των δεδοµένων Συνέπειες της µη τήρησης των αρχών νοµιµότητας της επεξεργασίας Το σύστηµα των τυπικών προϋποθέσεων της νοµιµότητας της επεξεργασίας Η γνωστοποίηση των αρχείων Η γνωστοποίηση της διασύνδεσης αρχείων Η διασυνοριακή ροή δεδοµένων προσωπικού χαρακτήρα Η λήψη µέτρων ασφαλείας των δεδοµένων και της επεξεργασίας τους Το σύστηµα των δικαιωµάτων του υποκειµένου των δεδοµένων και των εγγυήσεων για την προστασία του Το δικαίωµα ενηµέρωσης Το δικαίωµα πρόσβασης Το δικαίωµα αντίρρησης Το δικαίωµα προσωρινής δικαστικής προστασίας Οι κυρώσεις ιοικητικές κυρώσεις Ποινικές κυρώσεις Αστικές κυρώσεις Επίλογος Βιβλιογραφία - Αρθρογραφία ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 1

3 1. ΕΙΣΑΓΩΓΗ Ένα από τα σηµαντικότερα προβλήµατα της σύγχρονης κοινωνίας είναι αυτό του άκρατου καταναλωτισµού, το οποίο έχει ως αποτέλεσµα την ανεξέλεγκτη έκρηξη του υπερδανεισµού, είτε από την πλευρά των νοικοκυριών, τα οποία δανείζονται προκειµένου να ικανοποιήσουν τις καταναλωτικές τους ανάγκες, είτε από την πλευρά των µικροµεσαίων επιχειρήσεων, οι οποίες δανείζονται για να καλύψουν τις επιχειρηµατικές τους ανάγκες, χωρίς συνήθως τον αναγκαίο προγραµµατισµό. Όσον αφορά τις συγκεκριµένες συναλλαγές πάντοτε ενέχει ο κίνδυνος ο πιστολήπτης να φανεί αφερέγγυος, αδυνατώντας ή αρνούµενος να επιστρέψει τη ληφθείσα πίστωση. Ιδίως στις µέρες µας, όπου η οικονοµική κρίση έχει κάνει εµφανή τα σηµάδια της περισσότερο από ποτέ, πληθαίνει ολοένα και περισσότερο ο αριθµός των πιστοληπτών, οι οποίοι αδυνατούν πλήρως να ανταπεξέλθουν στις δανειακές τους υποχρεώσεις. Για το λόγο αυτό πρωταρχικό µέληµα των τραπεζών, όταν συνάπτουν πιστωτικές συµβάσεις αποτελεί η διαπίστωση της φερεγγυότητας και της πιστοληπτικής ικανότητας των αντισυµβαλλοµένων τους, προκειµένου να διασφαλίσουν τα οικονοµικά τους συµφέροντα. Έναν από τους τρόπους αντιµετώπισης τέτοιων πιστωτικών κινδύνων αποτελεί η συλλογή στοιχείων που αφορούν την οικονοµική συµπεριφορά του πελάτη, µέθοδος η οποία εφαρµόζεται εδώ και πολλά χρόνια σε παγκόσµιο επίπεδο. Στο διεθνή χώρο, τα πρώτα γραφεία παροχής πληροφοριών µε ειδίκευση στο χρηµατοπιστωτικό τοµέα δηµιουργήθηκαν το 1830 στην Αγγλία, ενώ αντίστοιχα στις ΗΠΑ και τη Γαλλία, η δηµιουργία αντίστοιχων οργανισµών έλαβε χώρα το 1857, και στη Γερµανία το Στη χώρα µας, πηγή συγκέντρωσης τέτοιων πληροφοριών αποτέλεσαν αρχικά οι προηγούµενες συναλλαγές των τραπεζών µε τους πιστολήπτες ή οι συναλλαγές µε άλλες τράπεζες, στα πλαίσια του επιτρεπτού και του δυνατού. Η αποσπασµατικότητα, όµως, των πληροφοριών, καθώς επίσης και η αδυναµία πρόσβασης στο σύνολο των τραπεζών οδήγησαν στις αρχές της δεκαετίας του 1980 στη δηµιουργία από την Ένωση Ελληνικών Τραπεζών ενός κοινού για όλες ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 2

4 τις τράπεζες αρχείου πληροφοριών οικονοµικής συµπεριφοράς φυσικών και νοµικών προσώπων, ενώ από την µεταβίβασε στην αστική εταιρία µε την επωνυµία «ΤΡΑΠΕΖΙΚΑ ΣΥΣΤΗΜΑΤΑ ΠΛΗΡΟΦΟΡΙΩΝ» αυτήν την αρµοδιότητα συγκέντρωσης και µετάδοσης στις τράπεζες- µέλη της, στοιχείων οικονοµικής συµπεριφοράς των συναλλασσοµένων µε αυτές, µε σκοπό την προαγωγή της πίστης, την ελαχιστοποίηση των κινδύνων διενέργειας συναλλαγών µε αφερέγγυα άτοµα και την εξυγίανση των οικονοµικών συναλλαγών. Η ανάγκη για πρόσβαση σε ακριβή δεδοµένα οικονοµικής συµπεριφοράς, σε συνδυασµό µε την ραγδαία αύξηση του πιστωτικού κινδύνου, οδήγησε το έτος 1997, στην σύσταση της ανώνυµης διατραπεζικής εταιρίας µε την επωνυµία «Τραπεζικά Συστήµατα Πληροφοριών Α.Ε.» και διακριτικό τίτλο «ΤΕΙΡΕΣΙΑΣ Α.Ε.», που ανέλαβε τις δραστηριότητες της υπό εκκαθάρισης τελούσας αστικής εταιρίας. Η λειτουργία της «Τειρεσίας Α.Ε.» βοήθησε στον εξορθολογισµό και εκσυγχρονισµό του τραπεζικού και του χρηµατοπιστωτικού συστήµατος, καθώς η πληροφόρηση που παρέχει αποτελεί σηµαντικό παράγοντα για την εκτίµηση της φερεγγυότητας και της πιστοληπτικής ικανότητας των αντισυµβαλλοµένων 1. Εκτός, όµως, από την εξυπηρέτηση των συµφερόντων των τραπεζικών οργανισµών, απαραίτητο είναι να διασφαλίζεται και η προστασία των πιστοληπτών, καθότι µέσω του παραπάνω συστήµατος πληροφόρησης, υπάρχει ο κίνδυνος κατάχρησης των προσωπικών τους δεδοµένων. Οι πιστολήπτες, πέρα από την προστασία που τους παρέχει ο νοµοθέτης ως καταναλωτές, θα πρέπει να απολαµβάνουν και προστασίας αναφορικά µε τα προσωπικά τους δεδοµένα 2. Στη χώρα µας όσον αφορά την επεξεργασία δεδοµένων προσωπικού χαρακτήρα εφαρµόζεται ο νόµος 2472/1997 3, ο οποίος ενσωµάτωσε στο ελληνικό δίκαιο την Οδηγία 95/46/Ε.Κ. του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της , για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδοµένων 1 Βλ. Ιγγλεζάκη, Προστασία προσωπικών δεδοµένων στο σύστηµα πληροφοριών «Τειρεσίας», εκδόσεις Σάκκουλα Αθήνα- Θεσσαλονίκη, 2006, σελ. 13, Σ.Ψυχοµάνη, Τραπεζικές δραστηριότητες αµφισβητήσιµης νοµιµότητας, Θεσσαλονίκη 2002, σελ. 35 επ., Ε. Αλεξανδροπούλου- Αιγυπτιάδου, Ηλεκτρονική επεξεργασία προσωπικών δεδοµένων στο πεδίο της τραπεζικής δραστηριότητας (Νοµικό πλαίσιο), Αρµ. 2004, σελ επ. (1381). 2 Η προστασία των προσωπικών δεδοµένων τέµνεται µε την προστασία του καταναλωτή, στο βαθµό που υφίστανται κίνδυνοι για την ιδιωτική ζωή του καταναλωτή, οι οποίοι αντιµετωπίζονται µε εφαρµογή των διατάξεων της γενικής νοµοθεσίας (Ν. 2472/1997) ή της νοµοθεσίας για την προστασία του καταναλωτή, βλ. και Ιγγλεζάκη Ι., ό.π., σελ. 16, του ιδίου, Ευαίσθητα προσωπικά δεδοµένα, εκδόσεις Σάκκουλα, Αθήνα- Θεσσαλονίκη 2003, σελ. 131 επ.. 3 Όπως τροποποιήθηκε από τον ν. 3471/2006, ΦΕΚ 133 Α /2006 και τον ν. 3625/2007, ΦΕΚ 290 Α /2007. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 3

5 αυτών. Πρόθεση των συντακτών της οδηγίας ήταν να διασφαλιστεί, όσον τον δυνατόν περισσότερο, η προστασία των θεµελιωδών δικαιωµάτων του ατόµου και η ανεµπόδιστη κοινωνική και οικονοµική του πρόοδος 4. Η οριοθέτηση της επεξεργασίας προσωπικών δεδοµένων από το σύστηµα πληροφοριών της «Τειρεσίας Α.Ε.» αποτελεί ένα θέµα µείζονος σηµασίας, καθώς οι πληροφορίες που αφορούν τη φερεγγυότητα του ατόµου δεν ανήκουν µεν στην κατηγορία των ευαίσθητων προσωπικών δεδοµένων 5 υπό την έννοια του νόµου (ν. 2472/1997), όµως η διατήρηση και η διαβίβαση στους αποδέκτες τους µπορεί να έχει δυσµενείς συνέπειες για το άτοµο, η πιστοληπτική ικανότητα του οποίου µειώνεται, µε αποτέλεσµα να περιορίζεται και η οικονοµική του ελευθερία και κατ επέκταση η ανάπτυξη της προσωπικότητάς του 6. Αντικείµενο της παρούσας αποτελεί η σκιαγράφηση του τρόπου λειτουργίας των συστηµάτων πληροφοριών της «Τειρεσίας Α.Ε.» και η οριοθέτηση της επεξεργασίας δεδοµένων οικονοµικής συµπεριφοράς από την «Τειρεσίας Α.Ε.» µέσω ενός συστήµατος ουσιαστικών και τυπικών προϋποθέσεων, που καθιερώνει ο νόµος 2472/1997, αλλά και αρχών που πρέπει να τηρούνται, ώστε να καθίσταται νόµιµη η επεξεργασία. Ακολουθεί η ανάλυση των δικαιωµάτων, τα οποία µπορεί να ασκήσει το υποκείµενο των δεδοµένων, καθώς και οι κυρώσεις, οι οποίες µπορεί να επιβληθούν στον υπεύθυνο επεξεργασίας δυνάµει του νόµου 2472/1997 και του Αστικού Κώδικα σε περίπτωση παραβίασης της νοµοθεσίας περί προσωπικών δεδοµένων. 4 Βλ. ενδεικτικά αιτιολογικές σκέψεις της Οδηγίας 95/46/ΕΚ, µε αριθµούς (1),(2),(3),(8),(10),(23),(33). 5 Βλ. άρθρο 2 περ. β του ν. 2472/1997, σύµφωνα µε το οποίο «Ως Ευαίσθητα δεδοµένα νοούνται τα δεδοµένα που αφορούν στη φυλετική ή εθνική προέλευση, στα πολιτικά φρονήµατα, στις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, στη συµµετοχή σε συνδικαλιστική οργάνωση, στην υγεία, στην κοινωνική πρόνοια και στην ερωτική ζωή, στα σχετικά µε ποινικές διώξεις ή καταδίκες, καθώς και στη συµµετοχή σε συναφείς µε τα ανωτέρω ενώσεις προσώπων. Ειδικά για τα σχετικά µε ποινικές διώξεις ή καταδίκες δύναται να επιτραπεί η δηµοσιοποίηση µόνον από την εισαγγελική αρχή για τα αδικήµατα που αναφέρονται στο εδάφιο β' της παραγράφου 2 του άρθρου 3 µε διάταξη του αρµόδιου Εισαγγελέα Πρωτοδικών ή του Εισαγγελέα Εφετών, εάν η υπόθεση εκκρεµεί στο Εφετείο. Η δηµοσιοποίηση αυτή αποσκοπεί στην προστασία του κοινωνικού συνόλου, των ανηλίκων, των ευάλωτων ή ανίσχυρων πληθυσµιακών οµάδων και προς ευχερέστερη πραγµάτωση της αξίωσης της Πολιτείας για τον κολασµό των παραπάνω αδικηµάτων». 6 Βλ. ΕφΑθ 4786/2002, ΕΕ 2002/1003, ΕΤΡΑΞΧΡ 2003/102, ΕΕΜΠ 2004/125 και Τράπεζα Νοµικών Πληροφοριών ΝΟΜΟΣ και ΜονΠρωτΑθ 373/2004, Τράπεζα Νοµικών Πληροφοριών ΝΟΜΟΣ, ΕΕ 2004/557 και ΝοΒ 2004/1230. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 4

6 2. Γενικές πληροφορίες για την «Τειρεσίας Α.Ε.» Στη χώρα µας, όπως προαναφέρθηκε, η αξιολόγηση της πιστωτικής ικανότητας των συναλλασσοµένων µε πιστωτικά ιδρύµατα πραγµατοποιείται από µια κεντρική βάση δεδοµένων, το σύστηµα πληροφοριών της «Τειρεσίας Α.Ε.». Η Τειρεσίας συστάθηκε αρχικά ως µία µη κερδοσκοπική εταιρία και από το Σεπτέµβριο του 1997 λειτουργεί ως ανώνυµη εταιρία. Είναι διατραπεζική εταιρία και µέτοχοί της µπορεί να είναι µόνο πιστωτικά ιδρύµατα και θυγατρικές εταιρίες πιστωτικών ιδρυµάτων, που σκοπό έχουν την χρηµατοδοτική µίσθωση ή την πρακτόρευση επιχειρηµατικών απαιτήσεων τρίτων ή τη διαχείριση, για λογαριασµό των µητρικών πιστωτικών ιδρυµάτων, προϊόντων καταναλωτικής πίστης και µέσων πληρωµής 7. Μετά την ενσωµάτωση στην ελληνική νοµοθεσία της οδηγίας 95/46/ΕΚ µε τον ν. 2472/1997 και την έναρξη λειτουργίας της Αρχής εδοµένων Προσωπικού Χαρακτήρα, η «Τειρεσίας Α.Ε.» γνωστοποίησε, στις , σύµφωνα µε το άρθρο 6 του ως άνω νόµου 8, στην Αρχή την σύσταση και λειτουργία του αρχείου δεδοµένων οικονοµικής συµπεριφοράς και την έναρξη της επεξεργασίας. Η εταιρία εξειδικεύεται στη συγκέντρωση και διάθεση πληροφοριών οικονοµικής συµπεριφοράς για επιχειρήσεις και ιδιώτες, δεδοµένων συγκέντρωσης χορηγήσεων για ιδιώτες και µικρές επιχειρήσεις, υποθηκών και προσηµειώσεων, καθώς και στοιχείων που συνδράµουν στην αποτροπή απάτης στις τραπεζικές συναλλαγές 9. Η επεξεργασία δεδοµένων από την «Τειρεσίας Α.Ε.» λαµβάνει χώρα σύµφωνα µε τον Κανονισµό Επεξεργασίας εδοµένων (ΚΕ ), ο οποίος διαµορφώθηκε µε βάση τις αποφάσεις και τις κανονιστικές πράξεις της Αρχής Προστασίας εδοµένων Προσωπικού Χαρακτήρα, από την οποία και εγκρίθηκε. Αποδέκτες 10 των δεδοµένων των αρχείων της ΤΕΙΡΕΣΙΑΣ είναι: - πιστωτικά ιδρύµατα- µέλη της Ένωσης Ελληνικών Τραπεζών «Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στην Αρχή, τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας» Αποδέκτης είναι το φυσικό ή νοµικό πρόσωπο, η δηµόσια αρχή ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισµός, στον οποίο ανακοινώνονται ή µεταδίδονται τα δεδοµένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι. Αποδέκτες των πληροφοριών µπορεί να είναι και αλλοδαποί φορείς ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 5

7 - εταιρίες έκδοσης και διαχείρισης µέσων πληρωµών (πιστωτικών ή χρεωστικών καρτών) - εταιρίες χρηµατοδοτικής µίσθωσης (leasing) - εταιρίες πρακτόρευσης επιχειρηµατικών απαιτήσεων (factoring) - φορείς δηµοσίου - νοµικά πρόσωπα που παρέχουν πίστη και ελέγχονται από την Τράπεζα της Ελλάδος ή από άλλες κεντρικές τράπεζες κατά τους όρους της 2 ης Τραπεζικής Οδηγίας και του ν. 3601/2007. Βασικοί σκοποί της ΤΕΙΡΕΣΙΑΣ είναι η ανάπτυξη και λειτουργία πληροφοριακών συστηµάτων µε αποστολή: - την προαγωγή και προστασία του θεσµού της εµπορικής πίστης - την εξυγίανση των οικονοµικών συναλλαγών και συνεπώς, την οµαλή λειτουργία της αγοράς - τη συµβολή της στη µείωση των επισφαλειών και κατ επέκταση του κόστους δανεισµού προς όφελος του τραπεζικού συστήµατος και των συναλλασσοµένων - τον περιορισµό της υπερχρέωσης µέσω της ορθής εκτίµησης της φερεγγυότητας και της πιστοληπτικής ικανότητας των συναλλασσοµένων - τον περιορισµό της απάτης στης συναλλαγές που συνεπάγεται προστασία των πολιτών και αύξηση της εµπιστοσύνης της αγοράς - την προστασία των πολιτών που έχουν απολέσει προσωπικά έγγραφα (ταυτότητα, διαβατήριο) από πιθανές απάτες εις βάρος τους. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 6

8 3. Σκιαγράφηση του τρόπου λειτουργίας των συστηµάτων πληροφοριών της «Τειρεσίας ΑΕ» Για την επίτευξη των παραπάνω σκοπών η εταιρία εξειδικεύεται στη συγκέντρωση και διάθεση πληροφοριών που αναφέρονται στην οικονοµική συµπεριφορά επιχειρήσεων και ιδιωτών µέσω του Συστήµατος Αθέτησης Υποχρεώσεων (ΣΑΥ)& Συστήµατος εδοµένων Υποθηκών- Προσηµειώσεων (ΣΥΠ) 11, καθώς και του Συστήµατος Συγκέντρωσης Χορηγήσεων (ΣΣΧ) 12, πληροφοριών που αφορούν σε ταυτότητες και διαβατήρια που έχουν κλαπεί ή απολεσθεί µέσω του Συστήµατος Ταυτοτήτων/ ιαβατηρίων που έχουν απωλεσθεί ή κλαπεί (ΣΤ ), καθώς και πληροφοριών σχετικά µε δόλια χρήση πιστωτικών καρτών µέσω του Συστήµατος Καταγγελθεισών Συµβάσεων Επιχειρήσεων (ΣΚΣΕ) Σύστηµα αθέτησης υποχρεώσεων (ΣΑΥ) και Σύστηµα εδοµένων Υποθηκών- Προσηµειώσεων (ΣΥΠ). Στα εν λόγω συστήµατα καταχωρούνται αρνητικά για τη φερεγγυότητα των υποκειµένων δεδοµένα. Συγκεκριµένα, στο Σύστηµα Οικονοµικής Συµπεριφοράς Αθέτησης Υποχρεώσεων (ΣΑΥ) καταχωρούνται δεδοµένα που αφορούν σε ακάλυπτες (σφραγισµένες) επιταγές, απλήρωτες κατά τη λήξη τους συναλλαγµατικές και γραµµάτια σε διαταγή, αιτήσεις πτωχεύσεων, αποφάσεις που απορρίπτουν αιτήσεις πτωχεύσεων λόγω µη επάρκειας περιουσίας του οφειλέτη, κηρυχθείσες πτωχεύσεις, διαταγές πληρωµής, προγράµµατα πλειστηριασµών ακινήτων, προγράµµατα πλειστηριασµών κινητών, τροπές προσηµειώσεων σε υποθήκες, κατασχέσεις και επιταγές βάσει Ν 1923, καταγγελίες συµβάσεων καρτών, καταγγελίες συµβάσεων χορηγήσεως καταναλωτικής πίστης και στεγαστικών δανείων, καθώς και διοικητικές κυρώσεις. 11 Το οποίο παλαιότερα καλούνταν «Σύστηµα εδοµένων Οικονοµικής Συµπεριφοράς (ΣΟΣ)». 12 Το οποίο παλαιότερα καλούνταν «Σύστηµα Συγκέντρωσης Κινδύνων (ΣΣΚ)». ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 7

9 Στο Σύστηµα Οικονοµικής Συµπεριφοράς Υποθηκών- Προσηµειώσεων (ΣΥΠ) καταχωρούνται δεδοµένα που αφορούν σε υποθήκες, προσηµειώσεις υποθηκών και τροπές προσηµειώσεων σε υποθήκες επί ακινήτων. Σκοπός του Συστήµατος Οικονοµικής Συµπεριφοράς Αθέτησης Υποχρεώσεων είναι η εκ µέρους των αποδεκτών των δεδοµένων εκτίµηση της φερεγγυότητας ιδιωτών και επιχειρήσεων, ενώ του Συστήµατος Οικονοµικής Συµπεριφοράς Υποθηκών- Προσηµειώσεων είναι η ενηµέρωση αναφορικά µε εµπράγµατα βάρη επί ακινήτων για φυσικά και νοµικά πρόσωπα. Οι πηγές άντλησης των δεδοµένων διαφοροποιούνται ανάλογα µε τις κατηγορίες των πληροφοριών. Όσον αφορά τις ακάλυπτες επιταγές, τις απλήρωτες κατά τη λήξη τους συναλλαγµατικές και τις καταγγελίες συµβάσεων καταναλωτικής και στεγαστικής πίστης, πηγή άντλησης είναι οι τράπεζες. Όσον αφορά τις αποφάσεις που απορρίπτουν τις αιτήσεις πτωχεύσεως λόγω µη επάρκειας περιουσίας του οφειλέτη, τις κηρυχθείσες πτωχεύσεις, τις διαταγές πληρωµής και τις αιτήσεις και αποφάσεις συνδιαλλαγής (αρ. 99 επ. Πτωχευτικού Κώδικα) πηγή άντλησης αποτελούν τα Πρωτοδικεία. Οι πληροφορίες για τα προγράµµατα πλειστηριασµών ακινήτων και κινητών αντλούνται από τα Ειρηνοδικεία. Οι πληροφορίες που αφορούν τις υποθήκες, τις προσηµειώσεις, καθώς και τις κατασχέσεις- επιταγές του Ν αντλούνται από τα Υποθηκοφυλακεία, ενώ, τέλος, οι διοικητικές κυρώσεις κατά παραβατών των φορολογικών νόµων αντλούνται από το Υπουργείο Οικονοµικών. Η επεξεργασία δεδοµένων από την Τειρεσίας Α.Ε. πραγµατοποιείται σύµφωνα µε τον Κανονισµό Επεξεργασίας εδοµένων, στον οποίο προβλέπονται γενικές αρχές τήρησης του παραπάνω αρχείου 13. Έτσι, στα δεδοµένα που υπόκεινται σε επεξεργασία δεν περιλαµβάνονται ευαίσθητα προσωπικά δεδοµένα, για τα οποία προβλέπεται αυξηµένη προστασία στο νόµο 2472/1997. Για παράδειγµα δεν καταχωρείται το γεγονός ότι κάποιος τελεί σε δικαστική συµπαράσταση, ούτε πληροφορίες σχετικά µε ποινικές καταδίκες και παραβάσεις. Σηµαντικό είναι, ότι η, µετά την ένταξη στο ΣΑΥ και ΣΥΠ ενός συγκεκριµένου δεδοµένου, εξέλιξη της οικονοµικής πράξης ή διαφοροποίηση της οικονοµικής συµπεριφοράς του υποκειµένου, στην οποία το δεδοµένο αυτό αφορά, δεν επηρρεάζει τη διατήρησή του στο σύστηµα, για παράδειγµα εάν εντάχθηκε το 13 Βλ. σχετικά Ιγγλεζάκη Ι., Προστασία προσωπικών δεδοµένων στο σύστηµα πληροφοριών «Τειρεσίας», σελ. 20, Α. Σινανιώτη- Μαρούδη/Ι. Φαρσαρώτα, Ηλεκτρονική Τραπεζική, ό.π., σελ. 225 επ.. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 8

10 δεδοµένο (πληροφορία) ότι µια επιταγή σφραγίστηκε διότι ήταν ακάλυπτη, αυτό διατηρείται στο σύστηµα, έστω και αν µεταγενέστερα (µετά την παρέλευση της προβλεπόµενης στο Νόµο προθεσµίας εµφάνισης της επιταγής προς πληρωµή) ο εκδότης της επιταγής εξόφλησε την εξ αυτής οικονοµική του υποχρέωση µε την αντίστοιχη συµπλήρωση του δεδοµένου. Και αυτό διότι η σφράγιση της επιταγής έλαβε χώρα και αποτελεί στοιχείο οικονοµικής συµπεριφοράς αντικειµενικού χαρακτήρα. Η εξέλιξη ή διαφοροποίηση αυτή θα εντάσσεται ως νέο δεδοµένο, σε άµεση συσχέτιση µε το αρχικό. Από την άλλη πλευρά, διαγραφή των δεδοµένων είναι δυνατή σε συγκεκριµένες µόνο περιπτώσεις, που προβλέπονται λεπτοµερώς στον Κανονισµό, ο οποίος αναφέρει και τα δικαιολογητικά που κάθε φορά απαιτούνται 14 ή αφορούν πληροφορίες που δεν ενδιαφέρουν πλέον από την άποψη εξυπηρέτησης των σκοπών του αρχείου. Τέλος, διόρθωση δεδοµένων πραγµατοποιείται εφόσον προκύπτει ότι τα στοιχεία είναι λανθασµένα και ελλιπή Σύστηµα Συγκέντρωσης Χορηγήσεων (ΣΣΧ) Ένα ακόµα σύστηµα πληροφοριών που διατηρεί η Τειρεσίας Α.Ε. είναι το Σύστηµα Συγκέντρωσης Χορηγήσεων 16, η λεγόµενη λευκή λίστα. Στο εν λόγω σύστηµα καταχωρούνται δεδοµένα που αφορούν σε ενήµερες οφειλές και οφειλές σε καθυστέρηση, ενώ σκοπός του είναι η εκ µέρους των αποδεκτών των δεδοµένων εκτίµηση της πιστοληπτικής ικανότητας των ιδιωτών και µικρών επιχειρήσεων. Τα δεδοµένα αυτά συγκεκριµένα αφορούν δάνεια τακτής λήξης (προσωπικά, καταναλωτικά, κεφάλαια κίνησης), δάνεια ανακυκλούµενης µορφής (ανοικτά, κεφάλαια κίνησης κλπ), δικαίωµα υπερανάληψης από καταθετικό λογαριασµό (overdrafts), πιστωτικές και εταιρικές κάρτες και στεγαστικά δάνεια και διαβιβάζονται στην Τειρεσίας Α.Ε. µε ηλεκτρονικά µέσα από τους φορείς, δηλαδή τα 14 Βλ. και Για παράδειγµα, σύµφωνα µε την παράγραφο του Κανονισµού ορίζεται ότι διαγραφή επιταγής από το αρχείο και διαγραφή ηµεροµηνίας λήξης µέτρου στέρησης βιβλιαρίου επιταγών, ανεξάρτητα από την παρέλευση ή µη της ταχθείσας ηµεροµηνίας, πραγµατοποιείται όταν πρόκειται για: 1. σφράγιση επιταγής από παραδροµή της τράπεζας, παρά την ύπαρξη επαρκών κεφαλαίων, 2. σφράγιση επιταγής λόγω ανάκλησης, παρά την ύπαρξη επαρκών κεφαλαίων, 2. επιταγή άτακτου εκδόσεως, 4. επιταγή για την οποία έχει αθωωθεί ο εκδότης µε βούλευµα ή δικαστική απόφαση για λόγους που ανάγονται στην εγκυρότητα του τίτλου και όχι λόγω εξόφλησης (ν. 240/1996), 5. επιταγή για την οποία έχει εκδοθεί τελεσίδικη απόφαση κήρυξής της ανίσχυρης για οποιαδήποτε αιτία ή τελεσίδικη απόφαση µε την οποία βεβαιώνεται ότι το υποκείµενο δεν ανέλαβε εγκύρως υποχρέωση. 15 Βλ σχετ Παλαιότερα αποκαλούµενο Σύστηµα Συγκέντρωσης Χορηγήσεων. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 9

11 πιστωτικά ιδρύµατα, τις εταιρίες παροχής πιστώσεων και τις εταιρίες έκδοσης και διαχείρισης καρτών, οι οποίοι χορήγησαν τα σχετικά δάνεια/κάρτες. Τα δεδοµένα αυτά τηρούνται στο σύστηµα για πέντε χρόνια από την τελευταία µηνιαία ενηµέρωσή τους από τους φορείς 17, ενώ µεταβάλλονται όσο και όταν µεταβάλλονται τα υπόλοιπα των σχετικών χορηγήσεων. ιαγραφή δεδοµένου από το συγκεκριµένο αρχείο πραγµατοποιείται : α) σε περίπτωση δανείου ή κάρτας για την οποία έχει εκδοθεί τελεσίδικη δικαστική απόφαση µε την οποία βεβαιώνεται ότι το υποκείµενο δεν ανέλαβε εγκύρως υποχρέωση από το συγκεκριµένο δάνειο ή την κάρτα 18 και β) σε περίπτωση µετάβασης µικρής επιχείρησης 19 στις µεσαίες ή µεγάλες επιχειρήσεις, µετά από σχετικά ενηµέρωση της Τειρεσίας Α.Ε. από το φορέα Αρχείο Ταυτοτήτων- ιαβατηρίων (ΣΤ ) «Τειρεσίας Α.Ε.» έχει ιδρύσει, επίσης, το Αρχείο Ταυτοτήτων- ιαβατηρίων 20, στο οποίο καταχωρούνται δηλώσεις πολιτών περί της κλοπής ή απώλειας ταυτοτήτων ή διαβατηρίων τους και η λειτουργία του οποίου έχει επικουρικό χαρακτήρα, καθώς δεν εξυπηρετεί τον κύριο σκοπό που είναι η ελαχιστοποίηση των κινδύνων από τη σύναψη πιστωτικών συµβάσεων και από τη δηµιουργία επισφαλών απαιτήσεων. Σκοπός της επεξεργασίας στην περίπτωση του εν λόγω αρχείου είναι η προστασία των παραπάνω φυσικών προσώπων από τυχόν παράνοµες σε βάρος τους ενέργειες µε τη χρήση των απολεσθέντων ταυτοτήτων ή διαβατηρίων, ενώ αποδέκτες των δεδοµένων είναι τα χρηµατοπιστωτικά ιδρύµατα, οι εταιρίες χρηµατοδοτικών µισθώσεων, οι εταιρίες πρακτορείας επιχειρηµατικών απαιτήσεων, οι εταιρίες έκδοσης και διαχείρισης µέσων πληρωµής και φορείς του δηµόσιου τοµέα. Οι σχετικές πληροφορίες διατηρούνται στο διηνεκές 21 καθώς δεν 17 Εξαιρούνται τα δεδοµένα χορηγήσεων των οποίων οι συµβάσεις λύθηκαν λόγω καταγγελίας, τα οποία µπορούν να τηρηθούν στο σύστηµα για τρία χρόνια από την τελευταία ενηµέρωσή τους από τους φορείς. 18 Σε περίπτωση έκδοσης δικαστικής απόφασης µε την οποία βεβαιώνεται ότι το υποκείµενο δεν ανέλαβε εγκύρως υποχρέωση από το συγκεκριµένο δάνειο ή κάρτα, τότε η σχετική πληροφορία συµπληρώνεται σχετικώς µε την ένδειξη «ακυρώθηκε». 19 Εταιρία, η οποία έχει ετήσιο κύκλο εργασιών µικρότερο από 2,5 εκατοµµύρια ευρώ. 20 Βλ. σχετικά την υπ αριθµ. 523/1999 απόφαση της Αρχής, µε την οποία κρίθηκε σύννοµη η δηµιουργία του εν λόγω αρχείου. 21 Εφόσον η σχετική δήλωση απώλειας/κλοπής δεν ανακληθεί και ενηµερωθεί σχετικά η Τειρεσίας Α.Ε.. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 10

12 υφίσταται λόγος χρονικού περιορισµού που να βασίζεται στην ανάγκη προστασίας των υποκειµένων των δεδοµένων Αρχείο Καταγγελθεισών Συµβάσεων Επιχειρήσεων (ΣΚΣΕ) Ένα ακόµη αρχείο, το οποίο δηµιούργησε η Τειρεσίας Α.Ε. και γνωστοποίησε στην Αρχή, είναι το Αρχείο επιχειρήσεων των οποίων οι συµβάσεις για αποδοχή καρτών έχουν καταγγελθεί, δηλαδή των συµβάσεων που καταρτίζονται µεταξύ τραπεζών και επιχειρήσεων που πωλούν προϊόντα ή παρέχουν υπηρεσίες και οι οποίες αποδέχονται πιστωτικές κάρτες για την εξόφληση µέσω αυτών του αντιτίµου. Οι καταγγελίες σχετίζονται µε λόγους που αφορούν στην αθέτηση των όρων των συµβάσεων των συναλλαγών, όπως αποδοχή καρτών που έχουν δηλωθεί ως απολεσθείσες, εικονικές συναλλαγές, αυτοχρηµατοδότηση κ.λ.π. 22, ενώ δεν καταγράφεται καµία πληροφορία που αφορά στις αγορές µέσω καρτών (λ.χ. είδος προιόντος, τιµή, κλπ.) και στους κατόχους αυτών. Λαµβάνοντας υπόψη τα παραπάνω, η Αρχή έκρινε ως νόµιµη τη δηµιουργία και λειτουργία του αρχείου µε την υπ αριθµ. 6/2006 απόφασή της που εξέδωσε σχετικά 23. Σκοπός του αρχείου είναι η ενίσχυση της πίστης και η εξυγίανση των συναλλαγών µέσω της παροχής της δυνατότητας στους αποδέκτες του να αξιολογούν τους κινδύνους που απορρέουν από 22 -Αποδοχή καρτών, οι οποίες έχουν προηγουµένως δηλωθεί ως απολεσθείσες ή κλαπείσες. -Αποδοχή καρτών που δεν έχουν χορηγηθεί από το Φορέα ή από αντίστοιχο Φορέα του εξωτερικού (π.χ. παραχαραχθείσες ή παραποιηµένες κάρτες). - ιενέργεια ή πληκτρολόγηση πραγµατικών ή εικονικών συναλλαγών χωρίς την εξουσιοδότηση του κατόχου. -Παραβίαση όρων της Σύµβασης Συνεργασίας µεταξύ της επιχείρησης και του Φορέα για την αποδοχή των καρτών, οι οποίοι δεν περιλαµβάνονται στους υπόλοιπους κωδικούς. -Επιχειρήσεις που θεωρούνται ότι είναι Κοινά Σηµεία Πώλησης, (Common Point of Purchase) δηλαδή επιχειρήσεις στις οποίες έχουν παρατηρηθεί φαινόµενα υποκλοπής στοιχείων καρτών. -Ξέπλυµα χρήµατος (Laundering). -Επιχειρήσεις που έχουν κηρυχθεί σε πτώχευση, έχουν τεθεί υπό εκκαθάριση ή αναγκαστική διαχείριση ή δε λειτουργούν για οποιονδήποτε λόγο ή έχουν λυθεί. -Αλλοίωση των ποσών των συναλλαγών στα χρεωστικά δελτία που εκδίδονται κατά τις συναλλαγές. -Αυτοχρηµατοδότηση. Πρόκειται για δηµιουργία εικονικών συναλλαγών για ίδιο λογαριασµό ή για λογαριασµό συγγενικών προσώπων. -Σπάσιµο συναλλαγών (π.χ. έκδοση περισσοτέρων του ενός χρεωστικών δελτίων για µία συναλλαγή, ώστε το συνολικό ποσό της συναλλαγής να διαιρείται σε µικρότερα ποσά που δεν υπερβαίνουν το όριο της επιχείρησης για συναλλαγές µε κάρτες χωρίς έγκριση). -Ανακριβείς αιτήσεις χορήγησης κάρτας που διαβιβάζονται από την επιχείρηση στο Φορέα, στα πλαίσια της µεταξύ τους συνεργασίας. -Ανακριβής αίτηση συνεργασίας της επιχείρησης προς τον Φορέα. Πρόκειται για αίτηση συνεργασίας, η οποία εµπεριέχει ανακριβή ή ψευδή στοιχεία. -Πραγµατοποίηση συναλλαγών, µε επίκληση εικονικής έγκρισης. -Υπέρογκος αριθµός αντιλογισµών (charge backs) / αµφισβητήσεων συναλλαγών. 23 Βλ. σχετικά ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 11

13 τη σύναψη σύµβασης µε συγκεκριµένη επιχείρηση, καθώς και η ενίσχυση της ασφαλούς διακίνησης και χρήσης των καρτών ως µέσων πληρωµής. Τα δεδοµένα διαβιβάζονται στην «Τειρεσίας Α.Ε.» από τα πιστωτικά ιδρύµατα και διατίθενται στις υπηρεσίες των πιστωτικών ιδρυµάτων και των εταιριών έκδοσης και διαχείρισης µέσων πληρωµών (πιστωτικών και χρεωστικών καρτών), που είναι αρµόδιες για τη σύναψη συµβάσεων για την αποδοχή καρτών µε τις επιχειρήσεις. Ο χρόνος παραµονής των στοιχείων των επιχειρήσεων στο αρχείο ορίζεται σε πέντε έτη από την ηµεροµηνία της καταγγελίας. Μετά την πάροδο των πέντε ετών τα δεδοµένα του αρχείου διαγράφονται αυτόµατα Σύστηµα Βαθµολόγησης Συναλλακτικής Συµπεριφοράς Με επιστολή του προς την Αρχή την 1 η Ιουλίου 2009, ο Πρόεδρος του.σ. της Τειρεσίας Α.Ε. γνωστοποίησε την προσπάθεια ανάπτυξης ενός συστήµατος βαθµολόγησης της συναλλακτικής συµπεριφοράς (behaviour scoring) µε βάση τα δεδοµένα των αρχείων της Τειρεσίας, αλλά µε προδιαγραφές και παραµέτρους που θα τίθενται από τις τράπεζες. Το εν λόγω σύστηµα θα βαθµολογεί σε δεδοµένη κλίµακα, η οποία θα εντάσσεται στο σύστηµα αξιολόγησης του πιστωτικού κινδύνου (credit scoring) της κάθε τράπεζας και θα συναξιολογείται µε τα λοιπά δεδοµένα που αυτή χρησιµοποιεί. Υποστηρίζεται ότι το εν λόγω σύστηµα δε θα αντικαταστήσει την υπάρχουσα επεξεργασία, ούτε την πρόσβαση των τραπεζών στα αρχεία δεδοµένων της Τειρεσίας Α.Ε.. Οι τράπεζες θα συνεχίσουν να αξιολογούν τους πιστωτικούς κινδύνους που αναλαµβάνουν ή έχουν ήδη αναλάβει µε βάση την πρωτογενή διαθέσιµη πληροφόρηση. Συγχρόνως, όµως, θα έχουν τη δυνατότητα να επανελέγχουν την αποτελεσµατικότητα των παραµέτρων του συστήµατος βαθµολόγησης και να διορθώνουν ή να προσαρµόζουν αυτές στις εκάστοτε συνθήκες. Σύµφωνα µε την ανακοίνωση το σύστηµα αυτό αποτελεί ένα αποφασιστικό βήµα προς τη δικαιότερη κατανοµή των επιτοκιακών επιβαρύνσεων στους πολίτες, καθότι µέχρι τώρα ο αναλαµβανόµενος από τις τράπεζες πιστωτικός κίνδυνος, ο οποίος δεν µπορεί να εξατοµικευτεί ή να κατηγοριοποιηθεί, αντισταθµίζεται µε τον ίδιο τρόπο τόσο για το συνεπή όσο και για τον ασυνεπή πελάτη. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 12

14 Η συγκεκριµένη πρακτική αξιολόγησης της φερεγγυότητας των συναλλασσοµένων µε την εκτίµηση του πιστωτικού κινδύνου σε κάθε συγκεκριµένη περίπτωση εφαρµόζεται από παρόµοιους φορείς του εξωτερικού ΠΡΟΣΤΑΣΙΑ ΤΩΝ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ 4.1. Η συνταγµατική κατοχύρωση Σύµφωνα µε το άρθρο 9Α του Συντάγµατος, «καθένας έχει δικαίωµα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως, µε ηλεκτρονικά µέσα των προσωπικών του δεδοµένων, όπως νόµος ορίζει. Η προστασία των προσωπικών δεδοµένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόµος ορίζει». Η συνταγµατική κατοχύρωση του ατοµικού δικαιώµατος της προστασίας του ατόµου έναντι της συλλογής, επεξεργασίας και χρήσης, µε συµβατικές ή ηλεκτρονικές µεθόδους, των προσωπικών του δεδοµένων 25, δηλώνει την επίγνωση των κινδύνων που προκαλεί η εξέλιξη της τεχνολογίας και ιδιαίτερα αναδεικνύει την ιδιαίτερη σηµασία του δικαιώµατος κάθε ανθρώπου να περιορίζει τη χρήση των πληροφοριών που τον αφορούν ως προϋπόθεση της άσκησης άλλων θεµελιωδών δικαιωµάτων του, ως προϋπόθεση, δηλαδή, για την ελεύθερη ανάπτυξη και δράση του ανθρώπου µέσα σε µια κοινωνία, κύριο χαρακτηριστικό της οποίας είναι η ραγδαία τεχνολογική εξέλιξη 26. Με άλλα λόγια κατοχυρώνεται ο χώρος του ατόµου µέσα στον οποίο αναπτύσσει ελεύθερα την προσωπικότητά του. 24 Βλ. Ιγγλεζάκη Ι., Προστασία προσωπικών δεδοµένων στο σύστηµα πληροφοριών «Τειρεσίας», 2006, σελ. 22, του ιδίου, Το νοµικό πλαίσιο του ηλεκτρονικού εµπορίου, Αθήνα- Θεσσαλονίκη 2003, σελ. 211 επ.. 25 Βλ. Ιγγλεζάκη Ι., Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ. 56 επ.. 26 Βλ. Γέροντα Α., Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδοµένων (Μια συµβολή στην ερµηνεία του Ν. 2472/1997 «Προστασία του ατόµου από την επεξεργασία δεδοµένων προσωπικού χαρακτήρα»), Αθήνα-Κοµοτηνή 2002, 93 επ., Ιγγλεζάκη Ι., Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ. 56 και 59 επ., Μήτρου Λ., Προστασία προσωπικών δεδοµένων: Ένα νέο δικαίωµα, σε.θ.τσάτσο/ευ.β.βενιζέλο/ξ.ι.κοντιάδη (επιµ.), Το Νέο Σύνταγµα, Πρακτικά Συνεδρίου για το αναθεωρηµένο Σύνταγµα του 1975/1986/2001, Αθήνα 2001, σελ. 85 και 90 επ... ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 13

15 Το παραπάνω δικαίωµα προστασίας των προσωπικών δεδοµένων αφορά κατά βάση το δικαίωµα της πληροφοριακής αυτοδιάθεσης ή του πληροφοριακού αυτοκαθορισµού ή αυτοπροσδιορισµού, το οποίο είναι το δικαίωµα του ατόµου να µην καθίσταται πληροφοριακό αντικείµενο και να αποφασίζει για την παροχή και τη χρήση των προσωπικών του πληροφοριών. Το δικαίωµα της πληροφορικής αυτοδιάθεσης αποτελεί εξειδίκευση 27 του άρθρου 5 παρ. 1 του Συντάγµατος για την ελεύθερη ανάπτυξη της προσωπικότητας και τη συµµετοχή στα κοινωνικά, οικονοµικά και πολιτικά δρώµενα και συνδέεται µε τα άρθρα 2 παρ. 1 και 9 παρ. 1 εδ. β, αφού κατοχυρώνει την ανθρώπινη αξιοπρέπεια και θωρακίζει τον ιδιωτικό βίο 28. Θα πρέπει να σηµειωθεί ότι το άρθρο 9Α Συντ. κατοχυρώνει το δικαίωµα προστασίας της ιδιωτικής ζωής όχι ως δικαίωµα στη µόνωση του ατόµου, σύµφωνα µε την παραδοσιακή άποψη που εξίσωνε το εν λόγω δικαίωµα µε τη δυνατότητα της µονώσεως 29. Αντιθέτως, το Σύνταγµα θέτει στο επίκεντρο της προστασίας την ιδιωτική ζωή, όπως αυτή νοείται στη σηµερινή, σύγχρονη κοινωνία των πληροφοριών, στην οποία είναι αδύνατη η πλήρης αποµόνωση το ατόµου και ο αποσυσχετισµός του από το κοινωνικό γίγνεσθαι και τις κοινωνικές σχέσεις. Το δικαίωµα της ιδιωτικής ζωής αποτελεί την αξίωση του ατόµου να αποκρούει τις προσβολές στην ιδιωτική του σφαίρα, οι οποίες θίγουν τη δυνατότητά του να µην αποκαλύπτει ορισµένες πτυχές αυτής, όπου το κρίνει αναγκαίο και, συνακόλουθα, τη δυνατότητα ελεύθερης ανάπτυξης της προσωπικότητάς του. Το δικαίωµα αυτό υπόκειται, πάντως, όπως όλα τα συνταγµατικά δικαιώµατα, σε περιορισµούς, οι οποίοι οφείλουν να είναι αντικειµενικοί, να δικαιολογούνται από λόγους γενικότερου συµφέροντος, να είναι αναγκαίοι και πρόσφοροι και να µην αναιρούν τον πυρήνα του δικαιώµατος 30. Η συνταγµατική προστασία των προσωπικών δεδοµένων δε συνεπάγεται, συνεπώς, την απόλυτη απαγόρευση της συλλογής, επεξεργασίας και χρήσης αυτών 31, 27 Βλ. Γέροντα Α., Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδοµένων, ό.π., σελ. 69 επ., Ιγγλεζάκη Ι., Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ. 52 επ., Μήτρου Λ., Προστασία προσωπικών δεδοµένων, Ένα νέο δικαίωµα, ό.π., σελ. 86, Χρυσόγονο Κ., Ατοµικά και κοινωνικά δικαιώµατα, 3 η έκδοση, 2006, σελ Βλ. σχετικά Σαατζίδου- Παντελιάδου Ελ., Νέοι κανόνες δικαίου στο πλαίσιο της Νέας Οικονοµίας, Ηλεκτρονική επεξεργασία δεδοµένων οικονοµικής συµπεριφοράς, Θεσσαλονίκη 2007, σελ. 50 επ.. 29 Βλ. σχετικά Μαυριά Κ., Το συνταγµατικό δικαίωµα ιδιωτικού βίου, Αθήνα Κοµοτηνή, 1982, σελ. 40, Μιχαηλίδη- Νουάρου Γ., Ιδιωτικός βίος και ελευθερία του τύπου, ΤοΣ 1983, σελ., 375 επ. 30 Βλ. Μάνεση Α., Συνταγµατικά δικαιώµατα, α ατοµικές ελευθερίες, Θεσσαλονίκη 1981, σελ. 76 επ.. 31 Βλ. όµως Ψυχοµάνη Σ., Τραπεζικές δραστηριότητες αµφισβητήσιµης νοµιµότητας, Αθήνα- Θεσσαλονίκη 2002, σελ. 40, όπου υποστηρίζει ότι: «πραγµατική προστασία του θεµελιώδους δικαιώµατος του κάθε ανθρώπου να αναπτύσσει ελεύθερα την προσωπικότητά του (άρθρο 5 1 Συντ.) ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 14

16 ούτε και την οριοθέτηση ενός απαραβίαστου πυρήνα της ιδιωτικής σφαίρας, όπως γινόταν δεκτό στο πλαίσιο της ερµηνείας της διάταξης του άρθρου 9 1 εδ. β Συντ 32. Αντιθέτως, η παραπάνω προστασία έχει το νόηµα ότι καθιερώνει την υποχρέωση του νοµοθέτη να διαµορφώσει ένα περιοριστικό θεσµικό πλαίσιο, µέσα στο οποίο καθίσταται θεµιτή η επεξεργασία προσωπικών δεδοµένων 33. Αυτό, εξάλλου, γίνεται σαφές από την ίδια τη διατύπωση του άρθρου 9Α, στο οποίο προβλέπεται επιφύλαξη υπέρ του νόµου Ο νόµος 2472/1997 Ο ν. 2472/1997, όπως ισχύει σήµερα, αποτελεί σύνολο ειδικών νοµοθετικών ρυθµίσεων µε τις οποίες θεσπίζονται οι προϋποθέσεις της νόµιµης επεξεργασίας δεδοµένων προσωπικού χαρακτήρα µε σκοπό την προστασία των δικαιωµάτων και των ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής. Με την παραπάνω νοµοθετική ρύθµιση η Ελλάδα ανταποκρίθηκε στο «αίτηµα των καιρών» και συµµορφώθηκε προς τις διεθνείς και τις ευρωπαϊκές υποχρεώσεις της. Η ειδική νοµοθετική ρύθµιση στηρίζεται στο σύστηµα των ουσιαστικών και τυπικών προϋποθέσεων της νοµιµότητας της επεξεργασίας, στο σύστηµα των δικαιωµάτων του υποκειµένου των δεδοµένων και των εγγυήσεων για την προστασία του και στο σύστηµα του θεσµικού ελέγχου µε την ίδρυση της Αρχής Προστασίας Προσωπικών εδοµένων. Όσον αφορά τις προϋποθέσεις νοµιµότητας της επεξεργασίας, αυτές διαµορφώνονται ανάλογα µε τη βασική διάκριση των δεδοµένων σε απλά και ευαίσθητα. Όσον αφορά τα απλά προσωπικά δεδοµένα (στα οποία, όπως αναφέρθηκε παραπάνω, περιλαµβάνονται και τα δεδοµένα οικονοµικής συµπεριφοράς) ο νόµος καθιερώνει στα άρθρα 4 έως 10 τις προϋποθέσεις 35 νοµιµότητας της επεξεργασίας τους. Αυτές συγκροτούνται από τον προσδιορισµό της βάσης νοµιµότητας της επεξεργασίας µε την καθιέρωση της αρχής της απαγόρευσης της επεξεργασίας (εκτός προσφέρει µόνον (... ) η γενική απαγόρευση της συλλογής προσωπικών δεδοµένων, που είναι ικανή να επιτρέψει την επεξεργασία σε τέτοια έκταση, ώστε να σκιαγραφείται σε βαθµό προχωρηµένης πληρότητας ένας τοµέας, µια πλευρά της προσωπικής ζωής- κοινωνικής, περιουσιακής, οικονοµικής κλπ.- του καθενός». 32 Βλ. σχετικά αγτόγλου Π., Συνταγµατικό δίκαιο- Ατοµικά δικαιώµατα, τ. Α, Αθήνα 1991, σελ. 324, Ιγγλεζάκη Ι., Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ Βλ. σχετικά Χρυσόγονου Κ., Ατοµικά και κοινωνικά δικαιώµατα, (β έκδ.) Αθήνα 2002, σελ Βλ. Σωτηρόπουλου Β., Η συνταγµατική προστασία των προσωπικών δεδοµένων, Αθήνα- Θεσσαλονίκη 2006, σελ. 79 επ.. 35 Βλ. άρθρα 6-9, 16,17 και 25 επ. της Οδηγίας. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 15

17 αν συντρέχει η συγκατάθεση του υποκειµένου ή άλλη εξαιρετική περίπτωση που νοµιµοποιεί την επεξεργασία), τις αρχές που διέπουν τη νοµιµότητα της επεξεργασίας και την ειδική προυπόθεση της γνωστοποίησης κάθε επεξεργασίας ή αρχείου δεδοµένων στην Αρχή 36. Ακόµη, µε ειδικές διατάξεις ρυθµίζονται οι προϋποθέσεις της διασύνδεσης αρχείων και της διασυνοριακής ροής δεδοµένων που αποτελούν ειδικές µορφές επεξεργασίας. Με την έναρξη ισχύος του ν. 2472/ , η οποία ολοκληρώθηκε µε την έναρξη λειτουργίας της Αρχής Προστασίας Προσωπικών εδοµένων 38, ήταν σαφές πως η λειτουργία της «Τειρεσίας Α.Ε.» θα ήταν νόµιµη, εφόσον πληρούσε τις προϋποθέσεις που έτασσε ο νόµος. Στο πλαίσιο αυτό τέθηκαν µια σειρά από ζητήµατα σχετικά µε τη νοµιµότητα της επεξεργασίας προσωπικών δεδοµένων από την Τειρεσίας Α.Ε. σύµφωνα µε το νόµο αυτό και ειδικότερα το αν είναι η νόµιµη η επεξεργασία δεδοµένων χωρίς τη συγκατάθεση του υποκειµένου, καθώς και ζητήµατα σχετικά µε το ποια προσωπικά δεδοµένα µπορούν να καταχωρούνται στην εν λόγω βάση δεδοµένων, το σκοπό επεξεργασίας, το χρόνο διατήρησης τους, την προέλευση και τους αποδέκτες τους, αλλά και τα δικαιώµατα των υποκειµένων τους. Ζητήµατα σχετικά µε τα παραπάνω απασχόλησαν και τη νοµολογία των πολιτικών και ποινικών δικαστηρίων 39. Πάντως, από τη µελέτη των σχετικών αποφάσεων καθίσταται σαφές ότι στηρίζονται στις αντίστοιχες αποφάσεις της Αρχής, ιδίως όσον αφορά τη νοµιµότητα της σύστασης και λειτουργίας του αρχείου της Τειρεσίας Α.Ε., καθώς και ότι σηµείο αντιπαράθεσης αποτέλεσε κυρίως η συλλογή και η διαβίβαση στις τράπεζες και τους λοιπούς αποδέκτες τους προσωπικών δεδοµένων, τα οποία ήταν ανακριβή ή αναληθή Για την υποχρέωση γνωστοποίησης όλων των αρχείων ως «εργαλείο διαπαιδαγώγησης» βλ. Μήτρου Λ., Η Αρχή Προστασίας Προσωπικών εδοµένων, ό.π., σελ Βλ. άρθρο 26 ν. 2472/1997, σύµφωνα µε το οποίο η ισχύς των άρθρων 15,16,17,18 και 20 αρχίζει µε τη δηµοσίευση του νόµου στην Εφηµερίδα της Κυβερνήσεως, ενώ η ισχύς των λοιπών διατάξεων αρχίζει από την κατά το άρθρο 25 έναρξη λειτουργίας της Αρχής. 38 Ως χρόνος έναρξης της λειτουργίας της Αρχής ορίσθηκε η Βλ. Αρµαµέντου Π.- ΣωτηρόπουλουΒ., Προσωπικά δεδοµένα (Ερµηνεία ν. 2472/1997), 2005, σελ Βλ. ΕφΑθ 753/2005, ΕπισκΕ 2005, σελ. 760 επ., µε παρατηρήσεις Παµπούκη Κ και Ιγγλεζάκη Ι., ΕφΑθ 147/2005, ΕπισκΕ 2005, σελ. 168 επ., µε παρατηρήσεις Παµπούκη Κ και Ιγγλεζάκη Ι., ΕφΑθ 3833/2003, ΝοΒ 2004, σελ. 247, ΕφΑθ 4786/2002 ό.π., ΜονΠρΘες 2950/2002, ΜοΒ 2002, σελ. 50, ΠολΠρΑθ 4677/2001, ΕΕµπ 2001, σελ. 566, ΜΠρΑθ 373/2004, ΝοΒ 2004, σελ. 1230, ΜονΠρΑθ 7363/2002 (αδηµ.), 10775/2002 (αδηµ.), 37472/1999 (αδηµ.), 17624/1999 (αδηµ.), 17405/1999 (αδηµ.), 2928/1998 (αδηµ.), 15972/1997 (αδηµ.), ΣυµβΑΠ 793/2003, ΝοΒ 2004, σελ. 297, ΣυµβΠληµΑθ 1001/2002, Ποιν ικ 2002,σελ Βλ. Ιγγλεζάκη Ι., Προσβολή προσωπικότητας και παραβίαση προσωπικών δεδοµένων από διαβίβαση ανακριβών δεδοµένων στο σύστηµα πληροφοριών «ΤΕΙΡΕΣΙΑΣ», Παρατηρήσεις στην ΕφΘες 147/2005, σελ. 179 επ., επίσης βλ. Έκθεση της Αρχής 2002, σελ. 38 επ.. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 16

18 4.3. Προϋποθέσεις εφαρµογής του Ν.2472/1997 Πριν προβούµε στην εξέταση των ζητηµάτων ουσίας, σκόπιµο είναι να ερευνήσουµε το πεδίο εφαρµογής του ν. 2472/1997. Ως αποδέκτης των επιταγών και υποχρεώσεων του νόµου ορίζεται ο υπεύθυνος επεξεργασίας, δηλαδή το φυσικό ή νοµικό πρόσωπο, δηµόσια αρχή ή υπηρεσία, που καθορίζει το σκοπό και τον τρόπο επεξεργασίας των δεδοµένων (άρθρο 2 περ. ζ ). Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται µε διατάξεις νόµου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο 41. Αντίθετα, ο εκτελών την επεξεργασία, ο οποίος επεξεργάζεται δεδοµένα προσωπικού χαρακτήρα για λογαριασµό τρίτου, όπως συµβαίνει λ.χ. στην περίπτωση της ανάθεσης της επεξεργασίας σε τρίτους (outsourcing), δεν έχει την ίδια νοµική αντιµετώπιση, αλλά βαρύνεται µε την υποχρέωση τήρησης του απορρήτου της επεξεργασίας, την υποχρέωση επιλογής κατάλληλου προσωπικού και λήψης µέτρων ασφάλειας δεδοµένων 42. Το εδαφικό πεδίο εφαρµογής του ν. 2472/1997 προσδιορίζεται σύµφωνα µε ορισµένα κριτήρια (άρθρο 3 3). Ειδικότερα, ο νόµος εφαρµόζεται α) όταν η εγκατάσταση του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία βρίσκεται στην Ελλάδα ή σε τόπο που εφαρµόζεται το ελληνικό δίκαιο, β) όταν η επεξεργασία αφορά υποκείµενα εγκατεστηµένα στην ελληνική επικράτεια και γ) όταν ο υπεύθυνος επεξεργασίας, ο οποίος είναι εγκατεστηµένος σε έδαφος τρίτης χώρας, προσφεύγει σε µέσα επεξεργασίας δεδοµένων ευρισκόµενος στην ελληνική επικράτεια. Οι διατάξεις αυτές έχουν εφαρµογή και στην περίπτωση όπου αποδέκτες των πληροφοριών της Τειρεσίας Α.Ε. είναι αλλοδαποί φορείς. Ο Κανονισµός Επεξεργασίας εδοµένων της Τειρεσίας Α.Ε. αναφέρει ότι οι αποδέκτες των δεδοµένων µπορεί να είναι εγκατεστηµένοι και σε άλλα κράτη µέλη της Ε.Ε.. Όσον αφορά τη διαβίβαση πληροφοριών σε χώρες εκτός της ΕΕ ισχύουν αυστηρότεροι κανόνες, σύµφωνα µε το άρθρο 9 του ν. 2472/ Βλ. Αρµαµέντου- Σωτηρόπουλου, Προσωπικά δεδοµένα- Ερµηνεία κατ άρθρο, Εκδόσεις Σάκκουλα, Αθήνα- Θεσσαλονίκη 2008, ό.π., σελ. 82 επ.. 42 Βλ. Ιγγλεζάκη Ι., Το νοµικό πλαίσιο του ηλεκτρονικού εµπορίου, Αθήνα-Θεσσαλονίκη 2003, σελ. 222 επ.. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 17

19 Αναφορικά µε το αντικειµενικό πεδίο εφαρµογής του ν. 2472/1997 ανακύπτουν κρίσιµα ζητήµατα. Σύµφωνα µε το άρθρο 3 1, οι διατάξεις του νόµου εφαρµόζονται στην εν όλω ή εν µέρει αυτοµατοποιηµένη επεξεργασία, καθώς και στη µη αυτοµατοποιηµένη επεξεργασία δεδοµένων προσωπικού χαρακτήρα που περιλαµβάνονται ή πρόκειται να περιληφθούν σε αρχείο. Η έννοια της επεξεργασίας έχει θεµελιώδη σηµασία στην προστασία προσωπικών δεδοµένων και ορίζεται στο νόµο ως η πραγµατοποίηση εργασίας ή σειράς εργασιών µε ή χωρίς τη βοήθεια αυτοµατοποιηµένων µεθόδων, δηλαδή µε χρήση προγραµµατιζόµενων συστηµάτων επεξεργασίας δεδοµένων 43, από το ηµόσιο ή νοµικό πρόσωπο δηµοσίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο (άρθρο 2 περ. δ ) Ο νοµοθέτης παραθέτει έναν ενδεικτικό κατάλογο εργασιών ως ειδικότερων φάσεων της επεξεργασίας δεδοµένων, στον οποίο περιλαµβάνεται καταρχήν, η συλλογή ως η πρωταρχική φάση της εύρεσης πληροφοριών, η καταχώριση, ως το στάδιο που έπεται της συλλογής, η οργάνωση, η οποία είναι ειδική µορφή καταχώρισης δεδοµένων, η διατήρηση ή αποθήκευση, µε την οποία αποκτά διάρκεια η καταχώριση, και περαιτέρω, µια σειρά άλλων ειδικότερων εργασιών, όπως είναι η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε µορφής διάθεση, η συσχέτιση ή ο συνδυασµός, η διασύνδεση, η δέσµευση, η διαγραφή και η καταστροφή 44. Ο ν. 2472/1997 δε βρίσκει εφαρµογή σε όλες τις περιπτώσεις επεξεργασίας δεδοµένων. Ειδικότερα αντικείµενο ρύθµισης του νόµου αποτελούν τα δεδοµένα προσωπικού χαρακτήρα, ενώ η επεξεργασία πληροφοριών που δεν αναφέρονται σε πρόσωπα αποκλείεται από το πεδίο εφαρµογής του 45. Εν προκειµένω, οι πληροφορίες που αποτελούν αντικείµενο επεξεργασίας από την Τειρεσίας Α.Ε. και αφορούν φυσικά πρόσωπα εµπίπτουν στην έννοια των προσωπικών δεδοµένων, καθ ότι προσωπικά δεδοµένα, σύµφωνα µε το νόµο (άρθρο 2 περ. α σε συνδ. περ. γ ν. 2472/1997), είναι κάθε πληροφορία που αναφέρεται σε ένα πρόσωπο- υποκείµενο των δεδοµένων, δηλαδή σε ένα φυσικό πρόσωπο, στο οποίο αναφέρονται τα δεδοµένα και του οποίου η ταυτότητα είναι γνωστή ή µπορεί να εξακριβωθεί. Στα 43 Στην περίπτωση του συστήµατος Τειρεσίας Α.Ε., η επεξεργασία των προσωπικών δεδοµένων πραγµατοποιείται µέσω συστηµάτων υπολογιστών, οπότε δεν τίθεται θέµα ως προς την ένταξή της ή µη στο πεδίο εφαρµογής του ν. 2472/1997. Συγκεκριµένα, η τήρηση του αρχείου γίνεται µε αυτοµατοποιηµένες µεθόδους, ενώ η διαβίβαση των δεδοµένων στους αποδέκτες γίνεται είτε µε διασύνδεση των συστηµάτων πληροφορικής είτε µε ανακοίνωση των στοιχείων που περιλαµβάνονται στο ηλεκτρονικό αρχείο της Τειρεσίας Α.Ε. από τα τερµατικά που περιέχουν πρόσβαση στο αρχείο 44 Βλ. Αρµαµέντου- Σωτηρόπουλου, Προσωπικά δεδοµένα, ό.π., σελ. 48 επ.. 45 Βλ. Ιγγλεζάκη Ι., Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ. 64, Αρµαµέντου- Σωτηρόπουλου, Προσωπικά δεδοµένα, ό.π., σελ. 23 επ.. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 18

20 προσωπικά δεδοµένα εµπίπτουν πληροφορίες που αφορούν τις ειδικότερες πτυχές της προσωπικότητας ενός ατόµου (λ.χ. όνοµα, ηλικία, οικογενειακή κατάσταση κλπ.), αλλά και πληροφορίες που αφορούν το εισόδηµα και την περιουσιακή κατάσταση του υποκειµένου, στα οποία εντάσσονται ιδίως τα στοιχεία της πιστοληπτικής ικανότητας. Αξίζει να αναφερθεί εδώ ότι, σύµφωνα µε την Αρχή, στα προσωπικά δεδοµένα που περιλαµβάνονται εν γένει στην οικονοµική κατάσταση του προσώπου εντάσσονται οι κατηγορίες δεδοµένων που αφορούν έσοδα, περιουσιακά στοιχεία, επενδύσεις, απολογισµός εξόδων, δάνεια, υποθήκες, πιστώσεις, επιδόµατα, εργασιακά προνόµια, επιχορηγήσεις, δεδοµένα ασφάλισης, σύνταξη γήρατος, αγαθά και υπηρεσίες που προσφέρονται στο άτοµο ή που προσφέρει το άτοµο, τραπεζικοί λογαριασµοί, πιστωτικές κάρτες, κληρονοµία, αποζηµίωση 46. Θα πρέπει να αναφερθεί ότι ο νόµος δε διακρίνει ανάµεσα σε πληροφορίες που αφορούν την ιδιωτική ζωή ενός φυσικού προσώπου και σε στοιχεία που εντάσσονται στη σφαίρα της δηµόσιας εικόνας,καθώς και της σχετικής δραστηριότητάς του. Συνεπώς, η δεύτερη κατηγορία πληροφοριών, στην οποία ανήκουν και ορισµένες από τις πληροφορίες οικονοµικής φύσεως που είναι αντικείµενο επεξεργασίας από το σύστηµα πληροφοριών της Τειρεσίας Α.Ε., δεν αποκλείεται από την εφαρµογή του 2472/ Ακόµα, στο πεδίο εφαρµογής του νόµου εµπίπτουν, σύµφωνα µε τον ορισµό που δίνεται αναφορικά µε τα προσωπικά δεδοµένα, τα δεδοµένα που αφορούν φυσικά πρόσωπα, και, συνεπώς, εξαιρούνται όσα αφορούν νοµικά πρόσωπα, και ειδικότερα, εταιρίες 48. Στην ελληνική έννοµη τάξη, τα νοµικά πρόσωπα προστατεύονται µε βάση την διάταξη του άρθρου 57 ΑΚ 49.Ωστόσο, όταν υφίσταται συσχετισµός µε φυσικά πρόσωπα, τα δεδοµένα των νοµικών προσώπων αποκτούν σηµασία για την προστασία των προσωπικών δεδοµένων. Στο σύστηµα πληροφοριών Τειρεσίας Α.Ε. καταχωρούνται πληροφορίες που αφορούν και νοµικά πρόσωπα. Εποµένως, η επεξεργασία δεδοµένων νοµικών προσώπων εµπίπτει στο πεδίο εφαρµογής του 46 Βλ. Έντυπο 2.0, Γνωστοποίηση τήρησης αρχείου προσωπικών δεδοµένων, « 47 Βλ. όµως ΣυµβΠληµΑθ 1001/2002, ΠοινΧρ 2003, σελ. 113 επ., επίσης, Ανδρουλάκη Ν., Ιδιωτική Γνωµοδότηση, ΠοινΧρ 2001, σελ. 278 επ., όπου υποστηρίζεται ότι «η από µέρους ενός υποκειµένου που µετέχει ενεργά στην οικονοµική ζωή, έκδοση ακάλυπτων επιταγών ή έκδοση σε βάρος του δικαστικών διαταγών πληρωµής, αλλά και η µη πληρωµή συναλλαγµατικών που αφήνονται έτσι να διαµαρτυρηθούν, δεν αποτελούν δεδοµένα της ιδιωτικής ζωή, αλλά και εντελώς αντίθετα στοιχεία της δηµόσιας κοινωνικής παράστασης και δράσης του εν λόγω υποκειµένου, που έχουν ζωτικό ενδιαφέρον για εκείνους που συναλλάσσονται µαζί του». 48 Βλ. Ιγγλεζάκη Ι., Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ Βλ. ΣτΕ 884/2005, /νη 2006/1705 και ΠολΠρΑθ 3058/2003, Α ηµοσίευση ΝΟΜΟΣ, ΕΤΡΑΞΧΡ 2000/891. ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 19

21 νόµου, όταν σε τελική ανάλυση αφορά φυσικά πρόσωπα. Αυτό συµβαίνει, κατ αρχήν, στην περίπτωση των προσωπικών εταιριών, στις οποίες εταίροι είναι ιδίως φυσικά πρόσωπα που ευθύνονται προσωπικά για τα χρέη της εταιρίας, καθώς επίσης και στις πληροφορίες που αφορούν αποκλειστικό µέτοχο µιας µονοπρόσωπης ΑΕ ή ΕΠΕ, για τον οποίο γεννώνται συνέπειες λόγω της ιδιότητάς του αυτής, ή για τους εταίρους, στην περίπτωση που συντρέχει λόγος αυτοτέλειας του νοµικού προσώπου. Επιπλέον, η επεξεργασία δεδοµένων νοµικών προσώπων αφορά και τους διευθύνοντες συµβούλους ή τους νόµιµους εκπροσώπους της ανώνυµης εταιρίας, καθώς και τους διαχειριστές των ΕΠΕ. Στις περιπτώσεις αυτές, η επεξεργασία των δεδοµένων προσωπικού χαρακτήρα νοµικών προσώπων εµπίπτει στο πεδίο εφαρµογής του ν. 2472/1997, ενώ δεν αποκλείεται η επέκταση της προστασίας που παρέχει ο νόµος και στα νοµικά πρόσωπα, εφόσον συντρέχει ευθύνη του υπεύθυνου επεξεργασίας ή τρίτου από παράνοµη επεξεργασία δεδοµένων και θεµελιώνεται προσβολή προσωπικότητας µε βάση τις γενικές διατάξεις στην πίστη, φήµη, υπόληψη και επαγγελµατική δραστηριότητά τους Βλ. Ιγγλεζάκη Ι., Προστασία προσωπικών δεδοµένων στο σύστηµα πληροφοριών «ΤΕΙΡΕΣΙΑΣ», 2006, σελ. 38 και ΠολΠρΑθ 3058/2003, ΕΤρΑξΧρ 2003, σελ ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 20

22 5. Το σύστηµα των ουσιαστικών προϋποθέσεων της νοµιµότητας της επεξεργασίας Η συλλογή και επεξεργασία των προσωπικών δεδοµένων καταρχήν απαγορεύεται, συνεπώς είναι παράνοµη. Είναι σαφές, λοιπόν, πως στην περίπτωση σύγκρουσης των δύο αγαθών, της προστασίας των προσωπικών δεδοµένων από τη µία προς ικανοποίηση του δικαιώµατος της πληροφοριακής αυτοδιάθεσης και της πληροφοριακής ελευθερίας από την άλλη, πρόθεση του νοµοθέτη είναι να διαφυλάξει το πρώτο ενόψει των κινδύνων από την ανάπτυξη της πληροφοριακής τεχνολογίας 51. Ο παράνοµος χαρακτήρας της επεξεργασίας αίρεται µόνο στις περιπτώσεις που προβλέπονται στο άρθρο 5 του νόµου. Στη διάταξη αυτή ορίζεται η συγκατάθεση 52 ως βασική προυπόθεση νοµιµότητας 53, η οποία αποτελεί εκδήλωση του δικαιώµατος της πληροφοριακής αυτοδιάθεσης του ατόµου να ορίζει το ίδιο αν τα προσωπικά του δεδοµένα θα τύχουν επεξεργασίας. Η συγκατάθεση πρέπει να είναι ελεύθερη, ρητή και ειδική δήλωση βούλησης 54, η οποία εκφράζεται µε τρόπο σαφή και µε την οποία το υποκείµενο των δεδοµένων δέχεται την επεξεργασία των προσωπικών του δεδοµένων 55, αφού προηγουµένως ενηµερωθεί. Επίσης, η συγκατάθεση είναι ελεύθερα ανακλητή χωρίς αναδροµικό αποτέλεσµα Βλ. Σαατζίδου- Παντελιάδου Ελ., ό.π., σελ. 106, Μήτρου Λ, Η Αρχή Προστασίας Προσωπικών εδοµένων, ό.π., σελ. 16 επ.. 52 Ακολουθώντας το πρότυπο του αντίστοιχου γερµανικού νόµου, ο νοµοθέτης του ν. 2472/1997 πρόταξε τη συγκατάθεση ως βάση της νοµιµότητας της επεξεργασίας προσωπικών δεδοµένων, διαφοροποιούµενος από την αντίστοιχη κοινοτική ρύθµιση (άρθρο 7 της οδηγίας 95/46), κατά την οποία η συγκατάθεση αποτελεί µία από τις προϋποθέσεις της νοµιµότητας που αναφέρονται διαζευκτικά. Βλ. Μήτρου Λ., Η Αρχή Προστασίας Προσωπικών εδοµένων, ό.π., σελ. 17, Ιγγλεζάκη Ι., Προστασία προσωπικών δεδοµένων στο σύστηµα πληροφοριών «Τειρεσίας», ό.π., σελ. 40, του ιδίου, Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ Βλ. άρθρο 5 ν. 2472/1997. Για τη συγκατάθεση ως νοµιµοποιητικό λόγο της επεξεργασίας βλ. Σωτηρόπουλο Β., Η συνταγµατική προστασία των προσωπικών δεδοµένων, Αθήνα-Θεσσαλονίκη 2006, σελ. 120 επ.. 54 Βλ. την υπ αριθµ. 18/2002 απόφαση της Αρχής (ΚΝοΒ 2003, 738), µε την οποία κρίθηκε ότι, στην περίπτωση εντύπου παραγγελίας εταιρίας εµπορίας αυτοκινήτων, η αναφορά ότι µόνο µε την υπογραφή του ο αγοραστής παρέχει στην αντιπροσωπεία τη ρητή συγκατάθεσή του στην επεξεργασία προσωπικών δεδοµένων που τον αφορούν δεν είναι νόµιµη, αλλά απαιτείται ο αγοραστής να παρέχει ελεύθερα τη συγκατάθεσή του σε χωριστό έντυπο ή σε χωριστό τµήµα του ίδιου εντύπου και όχι ως συστατικό στοιχείο ή επακόλουθο της παραγγελίας και, ασφαλώς, να δίνεται η δυνατότητα της επιλογής ανάµεσα στην καταφατική και την αρνητική απάντηση. 55 Βλ. Ιγγλεζάκι Ι.,Ευαίσθητα προσωπικά δεδοµένα, ό.π., σελ. 214 επ., Αρµαµέντου/ Σωτηρόπουλου, Προσωπικά δεδοµένα, σελ. 94 επ.. Για τα προβλήµατα συµβατότητας της συγκατάθεσης µε τη θεωρία του αστικού δικαίου βλ. Χριστοδούλου Κ., Προς µια επανεξέταση της έννοιας της δικαιοπραξίας, Το ΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΜΟΤΣΙΟΥ ΒΑΣΙΛΙΚΗ 21