Προσωπικά Δεδομένα- Εφαρμογή του Γενικού Κανονισμού μέσα από αποφάσεις του ΔΕΕ, του ΑΠ, του ΣτΕ, της ΑΠΔ

Επιμέλεια:

Λάμπρος Σ. Τσόγκας

Αντεισαγγελέας Εφετών Λάρισας

 

===Σύμφωνα με την παράγραφο 5 του άρθρου 58 του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει κατ' άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού. 

 

 

 

===Η πιο πάνω ρύθμιση είναι χρήσιμη στην περίπτωση, που λαμβάνει χώρα συλλογή πληροφοριών σχετικών με τη συμπεριφορά πλοήγησης τόσο των κατόχων λογαριασμού στο Facebook όσο και των μη χρηστών των υπηρεσιών του Facebook μέσω διαφόρων τεχνολογιών, όπως με τα «cookies», τα «social plugins» (π.χ τα κουμπιά «Μου αρέσει» ή «Κοινοποίηση») ή ακόμη τα «pixels». Τα στοιχεία αυτά παρέχουν στο συγκεκριμένο μέσο κοινωνικής δικτύωσης τη δυνατότητα να αποκτήσει ορισμένα δεδομένα του χρήστη του διαδικτύου, ο οποίος επισκέπτεται ιστοσελίδα, όπως είναι η διεύθυνση της σελίδας αυτής, η «διεύθυνση IP» του επισκέπτη της εν λόγω σελίδας καθώς και η ημερομηνία και η ώρα της οικείας επίσκεψης. Από τα προαναφερθέντα γίνεται σαφές ότι το ανωτέρω ζήτημα έχει πρακτική εφαρμογή όταν γίνεται διασυνοριακή επεξεργασία δεδομένων. Δηλαδή σε άλλο τόπο είναι ο χρήστης της ηλεκτρονικής εφαρμογής και σε άλλο τόπο διαβιβάζονται, συλλέγονται, αποθηκεύονται τα προσωπικά δεδομένα από τη χρήση της ηλεκτρονικής εφαρμογής.

===Για το ανωτέρω θέμα έχει εκδοθεί η υπ’αριθ. C-645/19 απόφαση του ΔΕΕ, σύμφωνα με την οποία το άρθρο 58, παράγραφος 5, του κανονισμού 2016/679 έχει την έννοια ότι, σε περίπτωση διασυνοριακής επεξεργασίας δεδομένων, εποπτική αρχή κράτους μέλους διαφορετική από την επικεφαλής εποπτική αρχή μπορεί να κινεί ένδικες διαδικασίες, κατά την έννοια της διάταξης αυτής, χωρίς να απαιτείται ο υπεύθυνος επεξεργασίας ή ο εκτελών τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά του οποίου στρέφεται η ένδικη διαδικασία, να διαθέτει κύρια εγκατάσταση ή άλλη εγκατάσταση στο έδαφος του κράτους μέλους αυτού.

===Ωστόσο για τις αξιόποινες πράξεις, τα οποία συνδέονται με τα ψηφιακά δεδομένα, που είναι αποθηκευμένα σε υπηρεσία νεφοϋπολογιστικής, ανακύπτει ζήτημα διεθνούς δικαιοδοσίας των ελληνικών δικαστηρίων. Τούτο διότι με τον ισχύοντα ΠΚ δεν διατηρήθηκε σε ισχύ η προσθήκη της παραγράφου 3 στο άρθρο 5 του προϊσχύσαντος ΠΚ με το Ν.4257/2014, σύμφωνα με την οποία, όταν η πράξη τελούνταν μέσω διαδικτύου ή άλλου μέσου επικοινωνίας, τόπος τέλεσης θεωρούνταν και η ελληνική επικράτεια, εφόσον στο έδαφός της υπήρχε πρόσβαση στα συγκεκριμένα μέσα, ανεξάρτητα από τον τόπο εγκατάστασής τους.  Όπως τονίζεται στην αιτιολογική έκθεση του νέου ΠΚ η επέκταση της αρχής της εδαφικότητας στα εγκλήματα μέσω διαδικτύου ή άλλου μέσου επικοινωνίας κρίθηκε αδικαιολόγητη. Αν οι πράξεις, που συνδέονται με τα προσωπικά δεδομένα, τελούνται μέσω διαδικτύου στην αλλοδαπή, διώκονται στην Ελλάδα με τις προϋποθέσεις των άρθρων 6, 7 και σε κάθε περίπτωση του άρθρου 8 ΠΚ, δηλαδή: α) οι ελληνικοί ποινικοί νόμοι εφαρμόζονται και για πράξη, που χαρακτηρίζεται από αυτούς ως κακούργημα ή πλημμέλημα και τελέστηκε στην αλλοδαπή από ημεδαπό, αν αυτή, με τα συγκεκριμένα χαρακτηριστικά της, είναι αξιόποινη και κατά τους νόμους της χώρας, στην οποία τελέστηκε ή αν διαπράχθηκε σε πολιτειακά ασύντακτη χώρα, β) Οι ελληνικοί ποινικοί νόμοι εφαρμόζονται και κατά αλλοδαπού για πράξη, που τελέστηκε στην αλλοδαπή και χαρακτηρίζεται από αυτούς ως κακούργημα ή πλημμέλημα, αν η πράξη αυτή στρέφεται εναντίον Έλληνα πολίτη και είναι αξιόποινη, με τα συγκεκριμένα χαρακτηριστικά της, και κατά τους νόμους της χώρας όπου τελέστηκε, γ) οι ελληνικοί ποινικοί νόμοι εφαρμόζονται για οποιαδήποτε σοβαρή αξιόποινη πράξη, που τελέστηκε στην αλλοδαπή και περιλαμβάνεται στις περιοριστικά αναφερόμενες στο άρθρο 8 ΠΚ. ===Πρόσφατα το ΔΕΕ ασχολήθηκε με το ζήτημα του χρονικού διαστήματος της διατήρησης των ηλεκτρονικών πληροφοριών από τους παρόχους. Ειδικότερα το ΔΕΕ στην υπόθεση C‑140/20 τόνισε ότι η οδηγία 2002/58 δεν αντιτίθεται στη γενική διατήρηση των δεδομένων, που αφορούν την ταυτότητα των πολιτών, για τους σκοπούς της καταπολέμησης της εγκληματικότητας εν γένει. Υπό τις συνθήκες αυτές, πρέπει να διευκρινιστεί ότι ούτε η οδηγία αυτή ούτε κάποια άλλη πράξη του δικαίου της Ένωσης αντιτίθενται σε εθνική νομοθεσία, η οποία έχει ως αντικείμενο την καταπολέμηση της σοβαρής εγκληματικότητας, βάσει της οποίας η απόκτηση ενός μέσου ηλεκτρονικής επικοινωνίας, όπως είναι η προπληρωμένη κάρτα SIM, εξαρτάται από τον έλεγχο επίσημων εγγράφων, που αποδεικνύουν την ταυτότητα του αγοραστή και από την καταχώριση των σχετικών πληροφοριών από τον πωλητή και βάσει της οποίας ο πωλητής υποχρεούται ενδεχομένως να παρέχει στις αρμόδιες εθνικές αρχές πρόσβαση στις πληροφορίες αυτές.  Επιπλέον, το ΔΕΕ σημείωσε ότι η γενική διατήρηση των διευθύνσεων IP της πηγής της σύνδεσης συνιστά σοβαρή επέμβαση στα θεμελιώδη δικαιώματα, που κατοχυρώνονται από τα άρθρα 7 και 8 του Χάρτη, δεδομένου ότι οι διευθύνσεις IP μπορούν να οδηγήσουν σε ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του χρήστη του οικείου μέσου ηλεκτρονικής επικοινωνίας και μπορεί να έχει αποτρεπτικές συνέπειες για την άσκηση της ελευθερίας έκφρασης που κατοχυρώνεται από το άρθρο 11 του Χάρτη. Εντούτοις, όσον αφορά τη διατήρηση αυτή, το ΔΕΕ διαπίστωσε ότι, για τους σκοπούς του αναγκαίου συγκερασμού των επίμαχων δικαιωμάτων και εννόμων συμφερόντων, που απαιτεί η νομολογία του, πρέπει να λαμβάνεται υπόψη το γεγονός ότι, στην περίπτωση παράβασης που διαπράχθηκε μέσω του διαδικτύου, η διεύθυνση IP μπορεί να αποτελεί το μόνο μέσο έρευνας, που καθιστά δυνατή την ταυτοποίηση του προσώπου, στο οποίο είχε αποδοθεί η διεύθυνση αυτή κατά τον χρόνο τέλεσης του εν λόγω αδικήματος (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, EU:C:2020:791, σκέψεις 153 και 154). Έτσι το ΔΕΕ  έκρινε ότι μια τέτοια γενική και χωρίς διάκριση διατήρηση μόνον των διευθύνσεων IP, που αποδίδονται στην πηγή της σύνδεσης δεν είναι, κατ’ αρχήν, αντίθετη προς το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11 του Χάρτη, υπό τον όρο ότι η δυνατότητα αυτή υπόκειται στην αυστηρή τήρηση των ουσιαστικών και διαδικαστικών προϋποθέσεων, οι οποίες πρέπει να διέπουν τη χρήση των εν λόγω δεδομένων  (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, EU:C:2020:791). Ωστόσο το ΔΕΕ με την απόφασή του στην ανωτέρω υπόθεση (C-140/20) έκανε σαφές ότι το όργανο, το οποίο πρέπει να αξιολογεί την αναγκαιότητα με βάση τον επιδιωκόμενο σκοπό, που επιβάλλει την πρόσβαση στα πιο πάνω δεδομένα, πρέπει να είναι ανεξάρτητο. Τέτοια περίπτωση δεν συντρέχει όταν το αίτημα για την πρόσβαση στα δεδομένα  υποβάλλει αστυνομικό όργανο, έστω και εάν εκ των υστέρων το αίτημα υπόκειται σε δικαστικό έλεγχο.

 

=== Αφού πλέον έχει γίνει η διατήρηση των δεδομένων, εκείνο που ακολουθεί είναι η επεξεργασία τους. Στο πεδίο της επεξεργασίας μια από τις βασικές αρχές, που πρέπει να ακολουθείται στην πράξη από τον υπεύθυνο επεξεργασίας κατά την επεξεργασία των προσωπικών δεδομένων, είναι η ελαχιστοποίηση της επεξεργασίας. Τούτο προβλέπεται στο εδάφιο γ’ παράγραφο 1 του άρθρου 5 του ΓΚΠΔ, σύμφωνα με το οποίο τα δεδομένα, που υπόκεινται σε επεξεργασία, πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς, για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»).

===Για να φανεί η χρησιμότητα της πιο πάνω αρχής είναι αναγκαίο να παρατεθούν τα πραγματικά περιστατικά της υπόθεσης, που αφορά η υπ’αριθμ. 29/2023 απόφαση της ΑΠΔ, αλλά και το πόρισμα της απόφασης. Ειδικότερα ένας πολίτης (ο οποίος επικαλέστηκε την ιδιότητα του δημοσιογράφου) απευθύνθηκε σε τοπικό υποκατάστημα ΕΦΚΑ και ανέφερε για μια πολίτη πως απουσίαζε με μακροχρόνια αναρρωτική άδεια από την υπηρεσία της, ενώ συγχρόνως εμφανιζόταν στα μέσα κοινωνικής δικτύωσης να έχει αναλάβει ως αντιπρόεδρος Κοινωφελούς Επιχείρησης Δήμου διάφορες δραστηριότητες. Η Αρχή Προστασίας Δεδομένων με την ανωτέρω απόφασή της διαπίστωσε ότι δεν έγινε ορθή επεξεργασία των προσωπικών δεδομένων της υπαλλήλου. Η επεξεργασία συνίστατο στην αποστολή επιστολής του ΕΦΚΑ προς τον Δήμο, με την οποία ο καταγγελλόμενος ΕΦΚΑ ζητούσε από τον τελευταίο, να του αποστείλει την απόφαση εκλογής της καταγγέλλουσας στην Κοινωφελή Επιχείρηση του Δήμου και αναφερόταν στο σώμα αυτής ότι η καταγγέλλουσα βάσει σχετικής καταγγελίας απουσίαζε με μακροχρόνια αναρρωτική άδεια από την υπηρεσία της, ενώ είχε αναλάβει δραστηριότητες ως αντιπρόεδρος της Κοινωφελούς Επιχείρησης. Η ανωτέρω διαβίβαση προσωπικών δεδομένων έγινε κατά παράβαση της διάταξης του άρθρου 5 παράγραφος 1 στοιχείο γ’ του ΓΚΠΔ, περί υποχρέωσης τήρησης της αρχής ελαχιστοποίησης των δεδομένων. Συγκεκριμένα, για το σκοπό της διενέργειας διοικητικής έρευνας από τον καταγγελλόμενο ΕΦΚΑ αρκούσε αυτός να πληροφορηθεί από τον οικείο Δήμο αν η καταγγέλλουσα – υπάλληλος του είχε οριστεί αντιπρόεδρος της Κοινωφελούς Επιχείρησης, ενώ τελούσε σε αναρρωτική άδεια και να ζητήσει τη σχετική απόφαση εκλογής από τον Δήμο, αναφέροντας ότι το εν λόγω αίτημα υποβάλλεται στο πλαίσιο διενέργειας διοικητικής έρευνας, χωρίς να είναι αναγκαίο να αποκαλυφθεί και ο συγκεκριμένος λόγος, για τον οποίο διενεργείται η έρευνα και να παρατεθεί αυτούσιο το περιεχόμενο της σχετικής καταγγελίας του πολίτη. Τα περαιτέρω αναγραφόμενα στην επίμαχη επιστολή και ιδίως η αυτούσια παράθεση του περιεχομένου της καταγγελίας δεν ήταν πρόσφορα και αναγκαία με τον σκοπό, που εξυπηρετούσε η συγκεκριμένη επεξεργασία, δεδομένου ότι για την διερεύνηση τυχόν ευθύνης της υπαλλήλου βάσει των οριζομένων στις διατάξεις του ν. 3528/2007, όπως τροποποιήθηκε και ισχύει, αρκούσε η αποκάλυψη μόνο της ανωτέρω νομιμοποιητικής βάσης χορήγησης των αιτούμενων πληροφοριών της υπαλλήλου.

===Σε ό,τι αφορά τη στοιχειοθέτηση της αντικειμενικής υπόστασης των εγκλημάτων, που τυποποιούνται σε όλες τις περιπτώσεις του άρθρου 38 Ν.4624/2019, είναι χρήσιμη η υπ’αριθμ. 947/2022 απόφαση του ΑΠ. Σύμφωνα με αυτή είναι απαραίτητο τα προσωπικά δεδομένα, επί των οποίων έγινε η επέμβαση, να βρίσκονται σε "σύστημα αρχειοθέτησης", το οποίο αποτελεί και το αντικείμενο της προσβολής της εγκληματικής πράξης, όπως αναφέρεται και στην Αιτιολογική Έκθεση του νόμου. Τέτοιο αρχείο προσωπικών δεδομένων κατά την έννοια των ως άνω διατάξεων αποτελούν και οι σύγχρονες βιντεοκάμερες, που  διαθέτουν λογισμικά προγράμματα, στα οποία ο κάτοχος και ιδιοκτήτης τους καταχωρεί σε ξεχωριστά αρχεία τα προσωπικά δεδομένα, που αναφέρονται στις φωτογραφίες του, στα βίντεό του (ταινίες του), κ.λ.π., τα οποία αρχεία (όταν είναι πολλά) είναι διαρθρωμένα σε φακέλλους και υποφακέλλους, όπως και στους ηλεκτρονικούς υπολογιστές. Κατά συνέπεια τα αρχεία της σύγχρονης βιντεοκάμερας αποτελούν διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια και μπορούν να τύχουν επεξεργασίας συνισταμένης μεταξύ άλλων και στην ανάρτηση του οπτικοακουστικού υλικού, που καταγράφηκε με αυτά σε διαδικτυακές πλατφόρμες και ιστότοπους, που επιτρέπουν την κοινοποίηση, αποθήκευση, αναζήτηση και αναπαραγωγή ψηφιακών βίντεο και ψηφιακών ταινιών. Τα περιστατικά της υπόθεσης, που αφορά η πιο πάνω απόφαση του ΑΠ, αφορούν έναν ιατρό, ο οποίος κατά τη διάρκεια επέμβασης σε γυναίκα προχώρησε σε βιντεοσκόπηση αυτής και στα σχετικά πλάνα απεικονίζονταν απόκρυφα μέρη του σώματός της αλλά όχι το πρόσωπό της. Στη συνέχεια προέβη σε ανάρτηση στο διαδίκτυο αναφέροντας την επέμβαση ως ολική υστερεκτομή σε γυναίκα ηλικίας 55 ετών μαζί με τα στοιχεία του ως χειρουργού καθώς και αυτά των βοηθών του. Αμέσως μετά την επέμβαση και μόλις η παθούσα συνήλθε, ο ιατρός την ενημέρωσε ότι είχε προβεί στην ολική αφαίρεση της μήτρας της, επειδή αυτή ήταν ατροφική.  Όταν μετά την πάροδο ημερών από την επέμβαση ο ιατρός της έδωσε το εξιτήριο, την ενημέρωσε για πρώτη φορά ότι προέβη σε βιντεοσκόπηση ορισμένων στιγμών της επέμβασης για εκπαιδευτικούς λόγους. Παράλληλα, μετά την ανάρτηση του υλικού στην ιστοσελίδα "youtube" το σύνολο των συναδέλφων της παθούσας, που γνώριζαν την ημερομηνία της επέμβασης, δεν δυσκολεύτηκαν, επειδή και στα σχετικά στοιχεία του βίντεο αναφέρονταν η ηλικία της και η ημερομηνία της επέμβασης, η οποία ήταν η μοναδική του είδους, που έλαβε χώρα εκείνη την ημέρα, να διαπιστώσουν πως στα σχετικά πλάνα απεικονιζόταν η παθούσα, με αποτέλεσμα η τελευταία να γίνει δέκτης διάφορων σχολίων στο χώρο εργασίας της. Στην υπόθεση αυτή κρίθηκε ότι δεν υφίστατο συγκατάθεση ή συναίνεση της παθούσας για την βιντεοσκόπηση, αφού απαιτούνταν η συγκατάθεση ή η συναίνεση να είναι ρητή. Επίσης στην υπόθεση αυτή έγινε δεκτό ότι το παραπάνω υλικό, όπως αυτό βιντεοσκοπήθηκε, αποτελεί αρχείο αποθήκευσης, που περιείχε ευαίσθητα δεδομένα προσωπικού χαρακτήρα της παθούσας, ενώ η αναρτηση από τον ιατρό  στη διαδικτυακή τοποθεσία "youtube" στην προσωπική του ιστοσελίδα "...",  συνιστά επέμβαση σε αρχείο, ασχέτως ότι επρόκειτο για υλικό, που ο ίδιος είχε συλλέξει ( βλ. σχετ και ΑΠ 505/2020 δημοσίευση Τράπεζα Νομικών Πληροφοριών ΝΟΜΟΣ).

===Ωστόσο η ανωτέρω απόφαση του ΑΠ είναι χρήσιμη και για ένα ακόμη ζήτημα: αυτό της ταυτοποίησης του υποκειμένου των προσωπικών δεδομένων    όταν δεν εικονίζεται το πρόσωπο του και πως αυτή νοείται στην πράξη, αφού μόνο τότε μπορεί να γίνει λόγος για θεμελίωση ποινικής ευθύνης του δράστη.

===Συναφές ζήτημα με αυτό, το οποίο επιλύθηκε με την υπ’αριθμ. 947/2022 απόφαση του ΑΠ είναι αυτό, που αφορά η υπ’αριθμ. 474/2016 απόφαση του ΑΠ. Σύμφωνα με αυτή αρχείο προσωπικών αποτελούν και τα σύγχρονα "έξυπνα" τηλέφωνα, τα οποία διαθέτουν λογισμικά προγράμματα και στα οποία ο κάτοχος και ιδιοκτήτης τους καταχωρεί σε ξεχωριστά μικρότερα αρχεία τα προσωπικά δεδομένα του, που αναφέρονται στις επαφές του, στις φωτογραφίες του, στα βίντεό του (ταινίες του), στα μηνύματα (mails) κ.λ.π., τα οποία αρχεία είναι διαρθρωμένα σε φακέλλους και υποφακέλλους, όπως και στους ηλεκτρονικούς υπολογιστές. Δηλαδή τα αρχεία του σύγχρονου κινητού τηλεφώνου αποτελούν διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια και τα οποία μπορούν να τύχουν επεξεργασίας. Η θέση αυτή είναι διαφορετική από εκείνη, που δόθηκε στην οικεία απόφαση από το Δικαστήριο της ουσίας (η οποία αναιρέθηκε). Δηλαδή το Δικαστήριο της ουσίας έκρινε ότι δεν αποτελούν αρχείο προσωπικών δεδομένων τα καταχωρημένα και αρχειοθετημένα σε κινητό τηλέφωνο βίντεο (ταινίες). 

===Ένα άλλο ενδιαφέρον πεδίο στην επεξεργασία των προσωπικών δεδομένων είναι αυτό του φορολογικού απορρήτου. Ενδιαφέρουσα είναι η υπόθεση που απασχόλησε το ΣτΕ, για την οποία εκδόθηκε η υπ’αριθμ. 339/2019 απόφασή του. Τα περιστατικά της υπόθεσης έχουν ως εξής: Από τη διενέργεια διοικητικών ελέγχων σε εταιρείες, που δραστηριοποιούνται στον τοµέα της εµπορίας δεδοµένων προσωπικού χαρακτήρα, διαπιστώθηκε ότι ορισµένες εξ αυτών είχαν στην κατοχή τους µεγάλο όγκο φορολογικών δεδοµένων φυσικών προσώπων. Ακολούθως, ο έλεγχος επεκτάθηκε στη Γενική Γραµµατεία Πληροφοριακών Συστηµάτων (εφεξής Γ.Γ.Π.Σ.). Η Αρχή διαπίστωσε ότι τα ευρεθέντα προσωπικά (φορολογικά) δεδοµένα, που αφορούν στο σύνολο των φορολογουµένων στην Ελλάδα, προέρχονται από τα τηρούµενα στη Γ.Γ.Π.Σ. στοιχεία.i) στοιχεία του εντύπου Ε1 της φορολογικής δήλωσης για τα οικονοµικά έτη από το 2003 έως και το 2009 και εν µέρει για το 2012, ii) στοιχεία του εντύπου Ε2 της φορολογικής δήλωσης για το οικονοµικό έτος 2006, iii) στοιχεία του εντύπου Ε9, iv) στοιχεία του ΕΤΑΚ, v) στοιχεία της έκτακτης εισφοράς του ν. 3986/2011 για το οικονοµικό έτος 2011, vi) στοιχεία του µητρώου φορολογουµένων, vii) στοιχεία των σηµειωµάτων περαίωσης του έτους 2010 και viii) στοιχεία τελών κυκλοφορίας οχηµάτων για τα έτη από το 2006 έως και το 2012. Η Αρχή Προστασίας Δεδομένων, µε την απόφαση 98/2013, έκρινε ότι η Γ.Γ.Π.Σ., ως υπεύθυνη επεξεργασίας, παραβίασε την υποχρέωση λήψης των κατάλληλων µέτρων ασφάλειας των προσωπικών δεδομένων των υποκειμένων τους. Έτσι επιβλήθηκε το ανώτατο πρόστιμο. Το ΣτΕ με την υπ’αριθμ. 339/2019 απόφασή του έκανε δεκτό ότι «εν όψει της έκτασης της μη εξουσιοδοτημένης πρόσβασης και παράνομης επεξεργασίας προσωπικών φορολογικών στοιχείων που διαπιστώθηκε, του όγκου των προσωπικών δεδομένων και της μεγάλης χρονικής περιόδου, που αφορούσε η παραβίαση, της φύσης των δεδομένων, ορισμένα εκ των οποίων υπάγονται στην κατηγορία των ευαίσθητων προσωπικών δεδομένων, καλύπτονται δε, από το φορολογικό απόρρητο, καθώς επίσης και της σημασίας των εν λόγω δεδομένων για τα υποκείμενα αυτών, αλλά και της σημασίας της διαφύλαξης του φορολογικού απορρήτου χάριν της διασφάλισης της εμπιστοσύνης των πολιτών στη φορολογική αρχή, προς αποτροπή ενεργειών, που κατατείνουν στην απόκρυψη φορολογητέας φορολογικής ύλης». Με αφορμή την ανωτέρω απόφαση του ΣτΕ η Αρχή Προστασίας Δεδομένων σε  ανακοίνωσή της, επισημαίνει ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) προτάσσει την «αρχή της διαφάνειας». Ειδικά για τον δημόσιο τομέα, η διαφάνεια κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, όπως με την ορθή και σε απλή γλώσσα ενημέρωση για τον τρόπο, με τον οποίο οι Δημόσιες Αρχές επεξεργάζονται τα δεδομένα των πολιτών για την άσκηση των αρμοδιοτήτων τους, θα οδηγήσει σε αύξηση της εμπιστοσύνης των πολιτών στη Δημόσια Διοίκηση. Η σχετική πρόβλεψη είναι στο άρθρο 5 παρ.1α του ΓΚΠΔ σύμφωνα με το οποίο τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια’’.)

===Σε ό,τι αφορά το φορολογικό απόρρητο η σχετική εφαρμοστέα διάταξη είναι αυτή του άρθρου 85 Ν.2238/1994 (όπως τούτο ισχύει). Για την άρση του χρήσιμη είναι η γνωμοδότηση με αριθμό 326/2004 του ΝΣΚ. Για την εφαρμογή του εν λόγω μέτρου σημειώνονται τα εξής αναφερθέντα στην ανωτέρω γνωμοδότηση του ΝΣΚ:

....η προστασία του φορολογικού απορρήτου μπορεί να εξασθενήσει , αν κάτω από το γλωσσικό νόημα της έκφρασης «δημόσιο συμφέρον» καλύπτεται κάθε αξίωση των ποινικών αρχών. Ο παραπάνω κίνδυνος μπορεί να εξαλειφθεί μόνον από την αυστηρή και σταθερή προσήλωση στην επί του θέματος διαπλασθείσα νομολογία, η οποία επιτάσσει την δυνατότητα πρόσβασης στον «απόρρητο φάκελλο των στοιχείων» του φορολογουμένου μόνο στις περιπτώσεις ανίχνευσης, βεβαίωσης και τιμώρησης των αξιοποίνων πράξεων. Επομένως, σύμφωνα με τα προεκτεθέντα, το φορολογικό απόρρητο κάμπτεται έναντι της δικαστικής αρχής και μόνο εάν έχει διαταχθεί προσηκόντως κυρία ανάκριση, προανάκριση ή τουλάχιστον προκαταρκτική εξέταση αφού και στην τελευταία περίπτωση ενεργείται στην ουσία ό,τι και στην προανάκριση, δεδομένου ότι και η προκαταρκτική εξέταση συνιστά «... ένα θεσμοποιημένο στάδιο δικαστικής ανίχνευσης των αξιοποίνων πράξεων» .

===Σύμφωνα με το άρθρο 85 Ν.2238/1994 στο φορολογικό απόρρητο εμπίπτουν: Οι  φορολογικές δηλώσεις, τα φορολογικά στοιχεία, οι εκθέσεις, οι πράξεις προσδιορισμού αποτελεσμάτων, τα φύλλα ελέγχου, οι αποφάσεις του προϊσταμένου της δημόσιας οικονομικής υπηρεσίας και κάθε στοιχείο του φακέλου, που έχει σχέση με τη φορολογία ή άπτεται αυτής είναι απόρρητα και δεν επιτρέπεται η γνωστοποίηση τους σε οποιονδήποτε άλλον εκτός από το φορολογούμενο, στον οποίο αφορούν αυτά.

===Όσον αφορά την αρχή της διαφάνειας, που καθιερώνεται στο άρθρο 5 του ΓΚΠΔ, όπως τούτο στο εν λόγω πεδίο συνδέεται με τα άρθρα 13, 14 του πιο πάνω Κανονισμού, πρέπει να σημειωθεί ότι η ορθή τήρησή της αποτρέπει την παραβίαση του άρθρου 8 της ΕΣΔΑ, στο οποίο προστατεύεται ο ιδιωτικός βίος του ατόμου. Μια συχνή εκδήλωση της ανωτέρω αρχής αφορά η φωτογράφηση του υποκειμένου (ακόμα και από όργανο του κράτους - π.χ. αστυνομία) και η χρήση της φωτογραφίας σε βάρος του σε ποινική διαδικασία. Από το συνδυασμό των άρθρων 5, 13, 14 του ΓΚΠΔ προκύπτει η ανάγκη της ενημέρωσης του υποκειμένου για τη φωτογράφησή του για ορισμένο (νόμιμο) σκοπό από τον υπεύθυνο της επεξεργασίας, όπου η φωτογράφηση του μπορεί να κριθεί δικαιολογημένη. Βέβαια δεν απαιτείται και η συναίνεση του υποκειμένου για την επιβεβλημένη από τις συνθήκες φωτογράφησή του. Προς τούτο ενδιαφέρει η απόφαση του ΕΔΔΑ στην υπόθεση PERRY κατά Ηνωμένου Βασιλείου, στην οποία ο προσφεύγων βιντεοσκοπήθηκε κρυφά κατά την είσοδό του σε Αστυνομικό Τμήμα για άλλο λόγο (χωρίς έτσι να του έχει ανακοινωθεί ότι έλαβε χώρα τούτο) και ακολούθως το σχετικό υλικό τέθηκε σε δικογραφία για αναγνώρισή του για συμμετοχή σε ερευνώμενη αξιόποινη πράξη. Το ΕΔΔΑ έκρινε ότι έλαβε χώρα παραβίαση του άρθρου 8 της ΕΣΔΑ.

=== Σχετικά με το ζήτημα  της φωτογράφησης του υποκειμένου από όργανα της Διοίκησης και την ανάγκη τήρησης της αρχής της διαφάνειας είναι σχετική η υπ’αριθ.5/2023 Γνωμοδότηση του Αντεισαγγελέα του ΑΠ Γεωργίου Σκιαδαρέση, στην οποία τονίζεται ότι η ανάγκη ενημέρωσης του υποκειμένου για τη φωτογράφησή του (όταν η φωτογράφηση επιβάλλεται ως νόμιμη ενέργεια σύμφωνα με τις σκέψεις, που αναφέρονται στη Γνωμοδότηση) και για τον επιδιωκόμενο σκοπό της φωτογράφησής του δεν σημαίνει ότι απαιτείται και η συναίνεσή του γι’αυτήν.

===Περαιτέρω είναι άξια μνείας τα εξής:

Στο άρθρο 15 του ΓΚΠΔ προβλέπεται το δικαίωμα πρόσβασης του υποκειμένου των προσωπικών δεδομένων στα δεδομένα του. Το εν λόγω όμως δικαίωμα πρέπει να προσεγγίζεται μέσα από την αποσαφήνιση των περιπτώσεων, που τούτο θεμιτά δεν επιτρέπεται. Έτσι είναι αναγκαίο να σημειωθεί ότι στην παράγραφο 3 του άρθρου άρθρο 33 Ν.4624/2019 ορίζεται ότι το δικαίωμα του υποκειμένου των δεδομένων να αποκτά πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, τα οποία δεν υποβάλλονται ούτε σε αυτοματοποιημένη ούτε σε μη αυτοματοποιημένη επεξεργασία από δημόσια αρχή, και αποθηκεύονται σε σύστημα αρχειοθέτησης, υφίσταται μόνο, εάν το υποκείμενο των δεδομένων παρέχει πληροφορίες που επιτρέπουν την ανάκτηση των δεδομένων και η προσπάθεια, που απαιτείται για την παροχή των πληροφοριών, δεν είναι δυσανάλογη προς το συμφέρον του υποκειμένου των δεδομένων για ενημέρωση. Επίσης αποκλεισμός στην πρόσβαση προβλέπεται και στην παράγραφο 4 του άρθρου 33 Ν.4624/2019, σύμφωνα με την οποία το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 15 του ΓΚΠΔ δεν ισχύει, στον βαθμό που μέσω της ενημέρωσης θα αποκαλύπτονταν πληροφορίες, οι οποίες σύμφωνα με διάταξη νόμου ή λόγω της φύσης τους, ιδίως λόγω των υπέρτερων εννόμων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες.

===Τέλος στο άρθρο 21 του ΓΚΠΔ προβλέπεται το δικαίωμα της εναντίωσης του υποκειμένου των προσωπικών δεδομένων. Στο πιο πάνω άρθρο προβλέπονται σε ποιες περιπτώσεις και πότε χρονικά μπορεί να εκδηλωθεί το δικαίωμα εναντίωσης. Και τούτο όμως το δικαίωμα πρέπει να προσεγγιστεί μέσα από την αποσαφήνιση  της προβλεπομένης στο άρθρο 35 Ν.4624/2019 περίπτωσης, σύμρωνα με το οποίο το δικαίωμα εναντίωσης κατ΄ άρθρο 21 παράγραφος 1 του ΓΚΠΔ δεν εφαρμόζεται έναντι δημοσίου φορέα, εάν υπάρχει επιτακτικό δημόσιο συμφέρον για την επεξεργασία, το οποίο υπερτερεί των συμφερόντων του υποκειμένου των δεδομένων ή διάταξη νόμου, που καθιστά υποχρεωτική την επεξεργασία.