Σπυριδούλα Καρύδα
Δικηγόρος παρ’ Αρείω Πάγω, LL.M.
GDPR και Προσωπικά Δεδομένα: Πότε εταιρικά δεδομένα μπορούν να θεωρηθούν προσωπικά δεδομένα?
1.Ορισμός Δεδομένων Προσωπικού χαρακτήρα
Το άρθρο 4 του GDPR , το οποίο φέρει τον τίτλο
«Ορισμοί», ορίζει στο σημείο 1 ότι ως «δεδομένα προσωπικού χαρακτήρα»
νοείται «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο
(“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του
οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς
σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε
δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή
περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική,
ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού
προσώπου». Παρά το γεγονός ότι το ΔΕΕ και η Ομάδα Εργασίας 29 με την
4/2007 γνωμοδότησή τους για την έννοια των προσωπικών δεδομένων έχουν
υιοθετήσει την ευρεία έννοια του ορισμού,[1] σύμφωνα με
ρητή πρόβλεψη του GDPR δεδομένα που αφορούν νομικό και όχι φυσικό πρόσωπο δεν
εμπίπτουν στον GDPR [2] (βλ. ΔΕΕ
υπόθεση Scania C-319/22, σκ. 49
όπου ο αριθμός πλαισίου αυτοκινήτου θεωρήθηκε μη προσωπικό δεδομένο μόνο στην
περίπτωση που αφορούσε σε αυτοκίνητο εταιρείας).
Τούτο συμβαίνει, διότι όπως έχει παρατηρήσει το ΔΕΕ «η έννοια των πληροφοριών που αφορούν τα νομικά πρόσωπα διακρίνεται αυστηρώς από την έννοια των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων, όπως αυτή ορίζεται στο δίκαιο της Ένωσης. Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν συνιστά θεμελιώδες δικαίωμα το οποίο κατοχυρώνεται στο άρθρο 8, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων…Αντιθέτως, οι πληροφορίες που αφορούν τα νομικά πρόσωπα δεν τυγχάνουν ανάλογης προστασίας στο δίκαιο της Ένωσης».[3]
2. Προβληματισμός: O διάβολος κρύβεται στις λεπτομέρειες
Ωστόσο, η ψηφιοποίηση των διαδικασιών (ενδ.e-adeies, όπου αναρτώνται ονόματα μηχανικών, τοπογράφων, η ανάρτηση δεδομένων στο σύστημα Διαύγεια) τα social media, ακόμη και η δημιουργία ιστοσελίδων από πλευράς εταιρείων και ατομικών επιχειρήσεων θέτει το ζήτημα πότε εταιρικά δεδομένα μπορούν παρ’ όλα αυτά να θεωρηθούν προσωπικά δεδομένα. Σχετικός προβληματισμός έχει τεθεί και από την Ομάδα Εργασίας του άρθρου 29 στην γνωμοδότηση 4/2007 ( βλ. σελ. 23-24). Τι γίνεται όμως στην περίπτωση που η επωνυμία της εταιρίας προσδιορίζει απευθείας τα φυσικά πρόσωπα που συνδέονται με αυτήν ή η ατομική επιχείρηση ταυτίζεται με το φυσικό πρόσωπο, όπως συμβαίνει στην περίπτωση των δικηγόρων, ιατρών, μηχανικών.[4] Το ζήτημα απασχόλησε και την 35/2025 ΑΠΔΠΧ, με την οποία χωρίς ιδιαίτερες θεωρητικές ή νομολογιακές αναφορές, εταιρικά δεδομένα κατασκευαστικής εταιρείας κρίθηκαν ως μη προσωπικά δεδομένα, ωστόσο διατάχθηκε η διαγραφή τους. Παρομοίως, με πρόσφατη απόφαση του Ανώτατου Διοικητικού Δικαστηρίου της Πολωνίας[5] εταιρικά δεδομένα οδοντιάτρου [η υπόθεση αφορούσε οδοντίατρο που ζήτησε τη διαγραφή πληροφοριών σχετικά με το ιδιωτικό του ιατρείο («Ιδιωτικό Οδοντιατρείο»), τη διεύθυνση και τον αριθμό τηλεφώνου του από εμπορική ιστοσελίδα] κρίθηκαν ως μη προσωπικά δεδομένα παρά το γεγονός ότι η Πολωνική DPA είχε εκφράσει την άποψη ότι είναι προσωπικά δεδομένα εφόσον οδηγούσαν στην ταυτοποίηση του οδοντιάτρου.
Προφανώς είναι ένα ζήτημα που απασχολεί από πλευράς εφαρμογής και ερμηνείας του GDPR. Η αποστολή προδικαστικού ερωτήματος στο ΔΕΕ θα έλυνε αρκετά προβλήματα, το Πολωνικό Δικαστήριο ωστόσο δεν το έπραξε! Ενδιαφέρον έχει πάντως ότι κατόπιν της κρίσης του ότι δεν υπήρχε εφαρμογή του GDPR εξαφάνισε και την υποχρέωση διαγραφής που είχε επιβάλει η Πολωνική DPA.
Το ζήτημα είναι αμφιλεγόμενο και το κριτήριο της ταυτοποίησης φυσικών προσώπων, παρά την επικράτηση της relative approach, παραμένει υψηλό. Η κρίση περί μη εφαρμογής του GDPR έχει πολύπλευρες συνέπειες για επεξεργασίες που περιλαμβάνουν την επεξεργασία εταιρικών δεδομένων καθώς τις εξαιρούν από το προστατευτικό πεδίο εφαρμογής του GDPR ( βλ. ΔΕΕ υπόθεση Land Nordrhein‑Westfalen C-620/19). Συχνά όμως ο «διάβολος κρύβεται στις λεπτομέρειες» για αυτό καλό είναι να είμαστε προσεκτικοί ακόμη και με την περίπτωση των «εταιρικών δεδομένων».
Σπυριδούλα Καρύδα
Δικηγόρος για προσωπικά δεδομένα
Δεν υπάρχουν σχόλια:
Δεν επιτρέπονται νέα σχόλια.