Skip to content

Αρθρογραφία

O Υπεύθυνος Επεξεργασίας Δεδομένων (DPO) – Νομολογία ΔΕΕ

Υπεύθυνος Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα

Το Δικαστήριο της ΕΕ (ΔΕΕ) έχει κατ’ επανάληψη ασχοληθεί με την ερμηνεία του άρθρου 2 (στοιχείο δ) της οδηγίας 95/46 της ΕΕ περί της έννοιας του Υπευθύνου της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα (DPO – Data Protection Officer).

Παρακάτω παρουσιάζονται 3 σημαντικές, κατά την νομικής τους διάσταση, αποφάσεις σχετικά με το θέμα αυτό.

Απόφαση της 10ης Ιουλίου 2018 (τμήμα μείζονος συνθέσεως), Jehovan todistajat

Στην παραπάνω υπόθεση, το Δικαστήριο της Ε.Ε. αποφάνθηκε επί της ευθύνης θρησκευτικής κοινότητας ως προς την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο δραστηριότητας κηρύγματος από πόρτα σε πόρτα, την οποία οργανώνει, συντονίζει και παροτρύνει η κοινότητα αυτή. 

Συγκεκριμένα, το Δικαστήριο εκτίμησε ότι η υποχρέωση κάθε προσώπου να συμμορφώνεται προς τους κανόνες του ενωσιακού δικαίου περί προστασίας των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να θεωρηθεί επέμβαση στην οργανωτική αυτονομία των θρησκευτικών κοινοτήτων. Συναφώς, το Δικαστήριο κατέληξε στο συμπέρασμα ότι το άρθρο 2, της οδηγίας 95/46, ερμηνευόμενο υπό το πρίσμα του άρθρου 10, παράγραφος 1, του Χάρτη, έχει την έννοια ότι επιτρέπει να θεωρηθεί μια θρησκευτική κοινότητα, από κοινού με τα μέλη της που μετέχουν στο κήρυγμα, υπεύθυνη της επεξεργασίας δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται από τα μέλη αυτά στο πλαίσιο δραστηριότητας κηρύγματος από πόρτα σε πόρτα που οργανώνεται, συντονίζεται και ενθαρρύνεται από την κοινότητα αυτή, χωρίς να απαιτείται η εν λόγω κοινότητα να έχει πρόσβαση στα δεδομένα ούτε να χρειάζεται να αποδειχθεί ότι έχει δώσει στα μέλη της γραπτές κατευθυντήριες γραμμές ή εντολές σχετικά με την επεξεργασία αυτή. 

Απόφαση της 5ης Ιουνίου 2018 (τμήμα μείζονος συνθέσεως), Wirtschaftsakademie SchleswigHolstein 

Η γερμανική αρχή προστασίας δεδομένων, ως αρχή ελέγχου, κατά την έννοια του άρθρου 28 της οδηγίας 95/46/ΕΚ, είχε διατάξει γερμανική εταιρία, ειδικευμένη στον τομέα της εκπαίδευσης και παρέχουσα εκπαιδευτικές υπηρεσίες μέσω της σελίδας της στο Facebook, να απενεργοποιήσει τη σελίδα της. 

Συγκεκριμένα, κατά την εθνική αρχή ελέγχου, ούτε η ίδια η εταιρία ούτε το Facebook είχαν ενημερώσει τους επισκέπτες της σελίδας στο Facebook ότι το Facebook συνέλεγε, με τη χρήση cookies, πληροφορίες προσωπικού χαρακτήρα που τους αφορούν και ότι, εν συνεχεία, η εν λόγω εταιρία και το Facebook επεξεργάζονταν τις πληροφορίες αυτές. 

Στο πλαίσιο αυτό, το Δικαστήριο διευκρίνισε την έννοια του «υπευθύνου της επεξεργασίας» δεδομένων προσωπικού χαρακτήρα. Συναφώς, το Δικαστήριο εκτίμησε ότι ο διαχειριστής σελίδας στο Facebook, όπως η αναιρεσίβλητη εταιρία στην υπόθεση της κύριας δίκης, συμμετέχει στον καθορισμό των σκοπών και του τρόπου επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των επισκεπτών της σελίδας που έχει δημιουργήσει, ειδικότερα μέσω της επιλογής των σχετικών ρυθμίσεων, η οποία αποτελεί συνάρτηση, μεταξύ άλλων, του κοινού-στόχου, καθώς και των σκοπών διαχείρισης ή προώθησης των δραστηριοτήτων του. Ως εκ τούτου, κατά το Δικαστήριο, ένας τέτοιος διαχειριστής πρέπει να χαρακτηριστεί υπεύθυνος σε επίπεδο Ένωσης, από κοινού με τη Facebook Ireland (τη θυγατρική στην Ένωση της αμερικανικής εταιρία Facebook), για την επεξεργασία αυτή, κατά την έννοια του άρθρου 2, της οδηγίας. 

Απόφαση της 29ης Ιουλίου 2019, Fashion ID 

Στην υπόθεση αυτή, το Δικαστήριο είχε την ευκαιρία να αποσαφηνίσει την έννοια του «υπευθύνου της επεξεργασίας» σε σχέση με την ενσωμάτωση προσθέτου (plugin) σε ιστοσελίδα. 

Συγκεκριμένα, η Fashion ID, γερμανική επιχείρηση η οποία εμπορεύεται είδη ένδυσης μέσω του διαδικτύου, είχε ενσωματώσει στην ιστοσελίδα της το πρόσθετο «Μου αρέσει!» του μέσου κοινωνικής δικτύωσης Facebook. Προέκυψε όμως ότι συνέπεια της ενσωμάτωσης αυτής ήταν ότι, όταν ο χρήστης επισκεπτόταν την ιστοσελίδα της Fashion ID, διαβιβάζονται στη Facebook Ireland δεδομένα προσωπικού χαρακτήρα που τον αφορούσαν. Κατά τα φαινόμενα, η διαβίβαση αυτή γινόταν χωρίς ο χρήστης να το γνωρίζει και ανεξαρτήτως του αν ήταν μέλος του Facebook ή αν είχε κάνει κλικ στην επιλογή «Μου αρέσει!» του Facebook. 

Η Verbraucherzentrale NRW, γερμανική μη κερδοσκοπική ένωση προστασίας των καταναλωτών, κατήγγειλε ότι η Fashion ID διαβίβαζε στη Facebook Ireland δεδομένα προσωπικού χαρακτήρα των επισκεπτών της ιστοσελίδας της, αφενός, χωρίς τη συγκατάθεσή τους και, αφετέρου, κατά παράβαση των υποχρεώσεων που προβλέπουν οι διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα. Επιληφθέν της διαφοράς, το Oberlandesgericht Düsseldorf (ανώτερο περιφερειακό δικαστήριο Ντίσελντορφ, Γερμανία) ζήτησε από το Δικαστήριο να ερμηνεύσει ορισμένες διατάξεις της οδηγίας 95/46/ΕΚ. 

Καταρχάς, το Δικαστήριο διαπίστωσε ότι ο διαχειριστής ιστοσελίδας, όπως η Fashion ID, μπορεί να θεωρηθεί υπεύθυνος της επεξεργασίας, κατά την έννοια του άρθρου 2, στοιχείο δ’, της οδηγίας 95/46. Η ευθύνη αυτή περιορίζεται μόνο στην πράξη ή στη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες αυτός καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας, ήτοι στη συλλογή και στη γνωστοποίηση μέσω διαβίβασης των επίμαχων δεδομένων. Αντιθέτως, κατά το Δικαστήριο, ήταν εκ πρώτης όψεως μάλλον απίθανο να καθορίζει η Fashion ID τους σκοπούς και τον τρόπο της μεταγενέστερης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από τη Facebook Ireland μετά τη διαβίβασή τους σε αυτήν και, επομένως, η Fashion ID δεν μπορούσε να θεωρηθεί υπεύθυνη της μεταγενέστερης αυτής επεξεργασίας, κατά την έννοια του άρθρου 2. 

Επιπλέον, το Δικαστήριο υπογράμμισε ότι είναι αναγκαίο ο διαχειριστής της ιστοσελίδας και ο πάροχος πρόσθετου μέσου κοινωνικής δικτύωσης, όπως η Facebook Ireland, να επιδιώκουν με τις εν λόγω πράξεις θεμιτό συμφέρον, κατά την έννοια του άρθρου 7, στοιχείο στ΄, της οδηγίας 95/46/ΕΚ, προκειμένου οι πράξεις αυτές να είναι δικαιολογημένες ως προς καθέναν από αυτούς. 

Τέλος, το Δικαστήριο διευκρίνισε ότι ο διαχειριστής ιστοσελίδας πρέπει να λάβει τη συγκατάθεση του υποκειμένου των δεδομένων, κατά την έννοια του άρθρου 2, στοιχείο η΄, και του άρθρου 7, στοιχείο α΄, της οδηγίας 95/46/ΕΚ, μόνον όσον αφορά τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες αυτός καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας. Σε μια τέτοια περίπτωση, η υποχρέωση ενημέρωσης την οποία προβλέπει το άρθρο 10 της οδηγίας αυτής βαρύνει επίσης και τον εν λόγω διαχειριστή, η ενημέρωση όμως την οποία αυτός οφείλει να παράσχει στο υποκείμενο των δεδομένων αφορά μόνον την πράξη ή τη σειρά πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες ο ίδιος καθορίζει πράγματι τους σκοπούς και τον τρόπο της επεξεργασίας (σκέψη 106 και σημείο 4 του διατακτικού). 

Το Δικηγορικό μας Γραφείο, για περισσότερα από 15 χρόνια εξειδικεύεται στο Εταιρικό και Εμπορικό Δίκαιο. Επικοινωνήστε μαζί μας για σας καθοδηγήσουμε και να σας συμβουλεύσουμε σε κάθε θέμα σχετικά με το GDPR και θέματα DPO.