ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ 

ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ (ΑΠΔΠΧ)

ΚΩΔΙΚΑΣ ΠΕΡΙ ΔΙΚΗΓΟΡΩΝ

Αριθ. 30/2024 

(Μονοπρόσωπο Όργανο)

Πρόεδρος: Κ. Μενουδάκος

Παράβαση Κανονισμού Προστασίας Δεδομένων από Δικηγόρο και επιβολή προστίμου σε Δικηγόρο, λόγω α) της παραβίασης του δικαιώματος πρόσβασης πρώην εντολέα του σε έγγραφα υποθέσεων που είχε αναλάβει στο παρελθόν (άρθρα 12, 15 ΓΚΠΔ και άρθρα 53, 55, 57 του ν. 4624/2019) και β) της παραβίασης της υποχρέωσης συνεργασίας του με την Αρχή (Άρθρο 17 & 66 ν. 4624/2019, 4 ¶ 3 & 10 Κανονισμού Λειτουργίας ΑΠΔΠΧ, 31 ΓΚΠΔ).

(…) 1. Επειδή από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού (ΕΕ) 2016/679 – εφεξής, ΓΚΠΔ) και του άρθρου 9 του νόμου 4624/ 2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Με το άρθρο 5 § 1 του ΓΚΠΔ τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία και με την § 2 του άρθρου αυτού ορίζεται ότι ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την § 1 («λογοδοσία»)». Όπως έχει κρίνει η Αρχή[1] με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό σημείο του οποίου συνιστά η αρχή της λογοδοσίας, στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον δε, ο υπεύθυνος επεξεργασίας βαρύνεται με το περαιτέρω καθήκον να αποδεικνύει ο ίδιος τη συμμόρφωσή του με τις αρχές του άρθρου 5 § 1 ΓΚΠΔ. 

2. Επειδή σύμφωνα με το άρθρο 15 §§ 1, 3 και 4 του ΓΚΠΔ «1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να λαμβάνει από τον υπεύθυνο επεξεργασίας επιβεβαίωση για το κατά πόσον ή όχι τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία και, εάν συμβαίνει τούτο, το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα και στις ακόλουθες πληροφορίες: α) τους σκοπούς της επεξεργασίας, β) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινολογήθηκαν ή πρόκειται να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς, δ) εάν είναι δυνατόν, το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, ε) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για διόρθωση ή διαγραφή δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που αφορά το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην εν λόγω επεξεργασία, στ) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή, ζ) όταν τα δεδομένα προσωπικού χαρακτήρα δεν συλλέγονται από το υποκείμενο των δεδομένων, κάθε διαθέσιμη πληροφορία σχετικά με την προέλευσή τους, η) την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που προβλέπεται στο άρθρο 22 § 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων. 2. […] 3. Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. […] Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως. 4. Το δικαίωμα να λαμβάνεται αντίγραφο που αναφέρεται στην § 3 δεν επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων.». Με τις διατάξεις αυτές καθιερώνεται το δικαίωμα πρόσβασης του υποκειμένου στα προσωπικά δεδομένα του. Στο πλαίσιο του δικαιώματος αυτού, το υποκείμενο πρέπει αφενός να έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα οποία συλλέχθηκαν και το αφορούν, προκειμένου να λαμβάνει γνώση και να βεβαιώνεται για την ακρίβεια και τον χαρακτήρα της επεξεργασίας των δεδομένων του και να επαληθεύει τη νομιμότητα της επεξεργασίας, και αφετέρου να μπορεί να ασκεί το εν λόγω δικαίωμα ευχερώς και σε εύλογα τακτά διαστήματα[2]. Ο δε υπεύθυνος επεξεργασίας πρέπει να παρέχει δυνατότητα πρόσβασης εξ αποστάσεως σε ασφαλές σύστημα μέσω του οποίου το υποκείμενο των δεδομένων αποκτά άμεση πρόσβαση στα δεδομένα που το αφορούν[3]. 

Εξάλλου η Αρχή δέχεται παγίως ότι το υποκείμενο των δεδομένων έχει δικαίωμα να γνωρίζει αν δεδομένα προσωπικού χαρακτήρα που το αφορούν υφίστανται επεξεργασία, καθώς και να λαμβάνει γνώση αυτών, χωρίς να απαιτείται προς τούτο η επίκληση εννόμου συμφέροντος[4], αφού αυτό ενυπάρχει και αποτελεί βάση του δικαιώματος πρόσβασης, δηλαδή του δικαιώματος του υποκειμένου των δεδομένων να λάβει γνώση πληροφοριών οι οποίες το αφορούν και έχουν καταχωρηθεί σε αρχείο που τηρεί ο υπεύθυνος επεξεργασίας, έτσι ώστε να πραγματώνεται η βασική αρχή του δικαίου για την προστασία των προσωπικών δεδομένων, που συνίσταται στη διαφάνεια της επεξεργασίας ως προϋπόθεση κάθε περαιτέρω ελέγχου από το υποκείμενο της νομιμότητάς της[5]. Ομοίως, δεν απαιτείται επίκληση των λόγων για τους οποίους το υποκείμενο των δεδομένων επιθυμεί την άσκηση του δικαιώματος πρόσβασης[6]. Εξάλλου, η υποχρέωση ικανοποίησης του δικαιώματος πρόσβασης είναι καθολική, αφορά δηλαδή όλες τις πληροφορίες που αφορούν στο υποκείμενο των δεδομένων και, επιπλέον, δεν εξαρτάται από την επίκληση των λόγων άσκησης του δικαιώματος[7]. Κατά συνέπεια, η ικανοποίηση του δικαιώματος δεν εξαρτάται από προηγούμενη κρίση του υπεύθυνου επεξεργασίας ως προς το αν δικαιολογείται ή όχι η άσκηση του δικαιώματος[8]. 

3. Επειδή σύμφωνα με το άρθρο 12 ΓΚΠΔ «1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων […] κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 […] 2. Ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 […] 3. Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. […] 4. Εάν ο υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους, για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής. 5. Οι πληροφορίες που παρέχονται σύμφωνα με τα άρθρα 13 και 14 και κάθε ανακοίνωση, καθώς και όλες οι ενέργειες που αναλαμβάνονται σύμφωνα με τα άρθρα 15 έως 22 και το άρθρο 34 παρέχονται δωρεάν. Εάν τα αιτήματα του υποκειμένου των δεδομένων είναι προδήλως αβάσιμα ή υπερβολικά, ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους, ο υπεύθυνος επεξεργασίας μπορεί είτε: α) να επιβάλει την καταβολή εύλογου τέλους, λαμβάνοντας υπόψη τα διοικητικά έξοδα για την παροχή της ενημέρωσης ή την ανακοίνωση ή την εκτέλεση της ζητούμενης ενέργειας, ή β) να αρνηθεί να δώσει συνέχεια στο αίτημα. Ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης του προδήλως αβάσιμου ή του υπερβολικού χαρακτήρα του αιτήματος». 

4. Επειδή σύμφωνα με το άρθρο 5 του Κώδικα περί Δικηγόρων (ν. 4194/2013) προβλέπεται ότι: «Ο δικηγόρος κατά την άσκηση των καθηκόντων του: α) Υπερασπίζεται το Σύνταγμα, την Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου και τα Πρόσθετα Πρωτόκολλα αυτής, το Χάρτη των θεμελιωδών δικαιωμάτων του ανθρώπου της Ευρωπαϊκής Ένωσης, καθώς και το σύνολο των διεθνών και ευρωπαϊκών συμβάσεων για τα ανθρώπινα δικαιώματα. β) Ακολουθεί τις παραδόσεις του υπερασπιστικού λειτουργήματος και τους κανόνες δεοντολογίας, όπως έχουν διαμορφωθεί ιστορικά κατά την άσκηση της δικηγορίας και διατυπώνονται στον Κώδικα. γ) Τηρεί εχεμύθεια, απαραβίαστη υπέρ του εντολέα του, για όσα αυτός του εμπιστεύθηκε ή περιήλθαν σε γνώση του κατά την άσκηση του δικηγορικού λειτουργήματος. δ) Δεσμεύεται από το περιεχόμενο της εντολής που αποδέχτηκε, εκτός εάν συγκεκριμένη πράξη, ενέργεια ή παράλειψη στο πλαίσιο της εντολής έρχεται σε αντίθεση με το καθήκον του. ε) Διατηρεί την ελευθερία χειρισμού της υπόθεσης, δεν υπόκειται σε υποδείξεις και εντολές αντίθετες προς τον νόμο και μη συμβατές προς το συμφέρον του εντολέα του». 

5. Επειδή σύμφωνα με τη διάταξη του άρθρου 31 του ΓΚΠΔ προβλέπεται ότι: «Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της». Η διάταξη αυτή εισάγει αυτοτελή γενική υποχρέωση κάθε υπευθύνου επεξεργασίας να συνεργάζεται με την εποπτική αρχή, όταν υποβάλλεται σχετικό αίτημα κατά την άσκηση των καθηκόντων που της έχει αναθέσει ο Ευρωπαίος νομοθέτης, ενώ η παραβίαση εκπλήρωσής της επισύρει αυτοτελώς την επιβολή του διοικητικού προστίμου του άρθρου 83 § 4 στοιχ. α΄ ΓΚΠΔ. Επισημαίνεται ότι η υποχρέωση αυτή μαζί την αρχή της λογοδοσίας του άρθρου 5 § 2 ΓΚΠΔ ενισχύει τον ρόλο της εποπτικής Αρχής κατά την άσκηση των αρμοδιοτήτων της προς την πραγμάτωση του σκοπού της αποτελεσματικής εφαρμογής των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα[9]. 

6. Επειδή στην ως άνω εξεταζόμενη περίπτωση, από τα στοιχεία του φακέλου προκύπτει ότι ο καταγγέλλων άσκησε το δικαίωμα πρόσβασης σε δεδομένα που τον αφορούν ενώπιον του καταγγελλόμενου δικηγόρου ως υπευθύνου επεξεργασίας προσηκόντως και δη με σαφήνεια ήδη στις 27.11.2019 με σχετικό SMS, με το οποίο του ζητούσε την επιστροφή του φακέλου του, ενώ με το από 27.04.2020 μήνυμα ηλεκτρονικού ταχυδρομείου που επίσης απέστειλε στον καταγγελλόμενο αιτήθηκε τη χορήγηση του συνόλου των φακέλων που έχει χειριστεί, ως νομικός του παραστάτης, και τον αφορούν. Το τελευταίο δε αίτημα επανέλαβε και με τις επιδοθείσες προς τον ως άνω καταγγελλόμενο στις 30.09.2020 και στις 22.06.2021 Εξώδικες Δηλώσεις – Διαμαρτυρίες – Οχλήσεις. Δεδομένου δε ότι από το περιεχόμενο των ως άνω προσκομιζόμενων ενώπιον της Αρχής αιτημάτων δεν καταλείπεται κάποια αμφιβολία ή ασάφεια ως προς τα αιτούμενα έγγραφα, είναι απορριπτέος ως αβάσιμος ο ισχυρισμός του καταγγελλομένου περί πρόσδοσης στα επίμαχα αιτήματα περιεχομένου τέτοιου, ώστε να μην είναι πρακτικά δυνατή η προσήκουσα ανταπόκριση σε αυτά[10]. Σε κάθε περίπτωση, επισημαίνεται ότι το δικαίωμα πρόσβασης δεν απαιτείται να ενδύεται υποχρεωτικά συγκεκριμένο τύπο ή να ασκείται με τρόπο πανηγυρικό[11]. 

7. Επειδή, περαιτέρω, από την εξέταση του συνόλου των στοιχείων του φακέλου δεν προκύπτει ότι ο καταγγελλόμενος δικηγόρος ανταποκρίθηκε καθ’ οιονδήποτε τρόπο στα ανωτέρω αιτήματα πρόσβασης που άσκησε και επανέφερε ενώπιόν του ο καταγγέλλων, κατά τα ανωτέρω αναλυτικώς εκτεθέντα, μολονότι δεν προκύπτει κάποια οικονομική εκκρεμότητα μετά την ανάκληση της εντολής του τελευταίου προς τον καταγγελλόμενο. Ωστόσο, ο καταγγελλόμενος δικηγόρος όφειλε, κατ’ εφαρμογή της διάταξης της § 4 του άρθρου 12 του ΓΚΠΔ, να ενημερώσει τον τελευταίο, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενεργεί, καθώς και για τη δυνατότητα υποβολής καταγγελίας στην αρμόδια εποπτική αρχή και άσκησης δικαστικής προσφυγής. Ειδικότερα, ο καταγγελλόμενος δικηγόρος επικαλείται μεν ενώπιον της Αρχής υπερβολικό, αβάσιμο και καταχρηστικό χαρακτήρα του αιτήματος του καταγγέλλοντος[12], σε κάθε περίπτωση, όμως, όφειλε, κατά τα προαναφερόμενα, να απαντήσει και δη εμπροθέσμως στο υποκείμενο των δεδομένων αιτιολογώντας τη μη ανταπόκρισή του στο αίτημα πρόσβασης που ασκήθηκε ενώπιόν του αναφερόμενος στον κατά την κρίση του ανωτέρω χαρακτήρα του αιτήματος για τον οποίο, μάλιστα, φέρει το βάρος της απόδειξης σύμφωνα με την § 5 του προαναφερόμενου άρθρου 12 του ΓΚΠΔ, ανεξαρτήτως του γεγονότος ότι ο καταγγέλλων επανέφερε το αίτημα του, και με εξώδικες προσκλήσεις, λόγω της παράλειψης του καταγγελλόμενου να αποστείλει οποιαδήποτε απάντηση, έστω και αρνητική. Εξάλλου, ο ισχυρισμός του καταγγελλομένου ότι δεν τηρεί έγγραφα παλιότερων υποθέσεων του καταγγέλλοντος που είχε χειριστεί ως πληρεξούσιος δικηγόρος του, δεν ασκεί επιρροή στην κρινόμενη υπόθεση διότι ο υπεύθυνος επεξεργασίας ακόμα και όταν δεν τηρεί αρχείο με δεδομένα του υποκειμένου, δεν απαλλάσσεται εκ του λόγου αυτού από την υποχρέωσή του να ενημερώσει σχετικά το υποκείμενο των δεδομένων απαντώντας έστω και αρνητικά[13]. 

Περαιτέρω, ο καταγγελλόμενος αναφέρει ότι το υποκείμενο των δεδομένων είχε ήδη πρόσβαση σε ορισμένα εκ των στοιχείων τα οποία αιτήθηκε ή θα μπορούσε να τα αποκτήσει από άλλες πηγές, μεταξύ των οποίων και οι φάκελοι δικογραφίας για υποθέσεις στις οποίες ήταν διάδικος. Ωστόσο, οι ανωτέρω ισχυρισμοί του καταγγελλομένου, ουδόλως αναιρούν την υποχρέωση που είχε να απαντήσει στον καταγγέλλοντα, σύμφωνα με όσα προαναφέρθηκαν, ενώ το γεγονός ότι το υποκείμενο των δεδομένων μπορεί να έχει πρόσβαση και από έτερη πηγή, όπως ενδεικτικά από φάκελο δικογραφίας, στα δεδομένα που έχει ζητήσει από συγκεκριμένο υπεύθυνο επεξεργασίας και τα οποία τον αφορούν, ωσαύτως δεν επηρεάζει την υποχρέωση του υπευθύνου επεξεργασίας όπως ικανοποιεί το σχετικό δικαίωμα πρόσβασης που ασκείται ενώπιόν του. Τούτο δε, καθώς οποιαδήποτε τυχόν έτερη πηγή ή αρχείο εξ αντικειμένου δεν ταυτίζεται με το τηρούμενο από τον καταγγελλόμενο δικηγόρο αρχείο[14]. 

8. Επειδή, σύμφωνα με όσα εκτίθενται ανωτέρω, ο καταγγελλόμενος δικηγόρος όφειλε να απαντήσει και δη εμπρόθεσμα αποστέλλοντας τα ζητηθέντα στοιχεία του καταγγέλλοντος που διέθετε ή και ενημερώνοντάς τον έστω και μόνον για το γεγονός ότι δεν διατηρεί στο αρχείο του δεδομένα που να τον αφορούν ή ενημερώνοντας το υποκείμενο των δεδομένων για τους λόγους για τους οποίους δεν ενήργησε, κατά τα προαναφερόμενα, καθώς και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής. Ωστόσο, από τα πραγματικά περιστατικά και τα στοιχεία που τέθηκαν υπ’ όψιν της Αρχής, δεν αποδείχτηκε η εντός των εκ του ΓΚΠΔ προβλεπόμενων προθεσμιών ικανοποίηση του δικαιώματος πρόσβασης ή ενημέρωση του καταγγέλλοντος για τους λόγους δικαιολογημένης, κατά τα προδιαλαμβανόμενα, μη ικανοποίησης αυτού, αλλά ούτε καθυστερημένη εκπλήρωση της σχετικής υποχρέωσης. Συνεπώς, στοιχειοθετείται παραβίαση του άρθρου 15 του ΓΚΠΔ σε συνδυασμό με τη διάταξη του άρθρου 12 §§ 3 και 4 ΓΚΠΔ. 

9. Επειδή, εξάλλου, εκ των ανωτέρω πραγματικών περιστατικών προκύπτει ότι ο υπεύθυνος επεξεργασίας δεν επέδειξε οποιαδήποτε διάθεση συνεργασίας με την Αρχή παρέχοντας διευκρινίσεις σχετικά με την καταγγελία που τον αφορούσε. Ειδικότερα, αδιαφόρησε και δεν μερίμνησε να απαντήσει με σαφήνεια στα συγκεκριμένα ερωτήματα που έθεσε το πρώτον η Αρχή με το με αριθ. πρωτ. Γ/ΕΞΕ/666/14.03.2023 έγγραφό της. Συγκεκριμένα, απέστειλε μία σημείωση με την οποία δεν απαντήθηκε κανένα ερώτημα της Αρχής και κατ’ επέκταση εξ αντικειμένου ανέκυπταν προσκόμματα στην περαιτέρω διερεύνηση της ουσιαστικής βασιμότητας της επίμαχης καταγγελίας. Περαιτέρω, ουδεμία απάντηση απέστειλε o καταγγελλόμενος στο με αριθ. πρωτ. Γ/ΕΞΕ/1828/19.07.2023 έγγραφο της Αρχής, με το οποίο εκλήθη όπως παράσχει αμελλητί τις δέουσες διευκρινίσεις, και το οποίο υπενθύμιζε και την απορρέουσα από το άρθρο 31 του ΓΚΠΔ υποχρέωση που υπέχει ως καταγγελλόμενος. Όπως, δε, αναφέρεται ανωτέρω, το τελευταίο ως άνω έγγραφο απεστάλη στην διεύθυνση ηλεκτρονικού ταχυδρομείου, από την οποία απάντησε στο πρώτο έγγραφο της Αρχής ο καταγγελλόμενος, χωρίς να λάβει η Αρχή κάποιο αποδεικτικό περί ανεπιτυχούς αποστολής του επίμαχου ηλεκτρονικού μηνύματος, ενώ το αυτό ως άνω έγγραφο εστάλη στον καταγγελλόμενο δικηγόρο και με συστημένη επιστολή στη διεύθυνση της επαγγελματικής του έδρας χωρίς ουδέποτε να επιστρέψει στην Αρχή ως μη παραδοθείσα στον καταγγελλόμενο – παραλήπτη της. Ενόψει της ανωτέρω άρνησης συνεργασίας του καταγγελλομένου, η Αρχή σε μία πρόσθετη προσπάθεια να αποκρυσταλλώσει τα πραγματικά περιστατικά προκειμένου να καταστεί δυνατή η αποτελεσματική διερεύνηση της βασιμότητας της υποβληθείσας καταγγελίας, απέστειλε το με αριθ. πρωτ. Γ/ΕΞΕ/3117/05.12. 2023 έγγραφο προς τον καταγγέλλοντα αυτή τη φορά ζητώντας διευκρινίσεις και σχετικά έγγραφα για τη διερεύνηση των όσων ασαφώς ανέφερε ο καταγγελλόμενος περί της μεταξύ τους αντιδικίας, είναι δε απορριπτέοι ως αβάσιμοι οι ισχυρισμοί του καταγγελλομένου περί δήθεν εφαρμογής από την Αρχή «της αρχής της μη αντιστροφής του βάρους απόδειξης»[15] λόγω της αναζήτησης από τον καταγγέλλοντα συμπληρωματικών στοιχείων. Με τα δεδομένα αυτά ο καταγγελλόμενος παραβίασε την απορρέουσα από το προαναφερόμενο άρθρο 31 του ΓΚΠΔ υποχρέωσή του, η οποία είναι αυτοτελής και η παραβίασή της επισύρει την επιβολή του διοικητικού προστίμου του άρθρου 83 § 4 στοιχ. α΄ ΓΚΠΔ[16]. 

10. Επειδή, σύμφωνα με όσα αναφέρονται στις προηγούμενες σκέψεις, προκύπτει μη ικανοποίηση των επίμαχων δικαιωμάτων πρόσβασης που ασκήθηκαν κατ’ επανάληψη από τον καταγγέλλοντα και, συνεπώς, έχει στοιχειοθετηθεί, κατά τα αναλυτικώς ως άνω αναφερόμενα, παραβίαση του άρθρου 12 §§ 3 και 4 ΓΚΠΔ ως προς το δικαίωμα πρόσβασης που μάλιστα είχε χαρακτήρα εξακολουθητικό, καθώς από τις 27.11. 2019 και 27.04.2020, οπότε και ασκήθηκαν τα εξεταζόμενα δικαιώματα πρόσβασης, μέχρι και την ημερομηνία της ακρόασης ενώπιον της Αρχής, ουδεμία ανταπόκριση προκύπτει από την πλευρά του καταγγελλόμενου δικηγόρου, κατ’ εφαρμογή των ανωτέρω διατάξεων. 

11. Επειδή, σύμφωνα με τον ΓΚΠΔ (Αιτ. Σκ. 148), προκειμένου να ενισχυθεί η επιβολή των κανόνων του Κανονισμού αυτού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του Κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα Κανονισμό. 

15. Επειδή, με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 § 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 § 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς. Περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83 § 2 του ΓΚΠΔ, καθώς και τις § 5 εδ. β’ και 4 εδ. α’, αντιστοίχως, του ίδιου άρθρου για καθεμία από τις ανωτέρω παραβάσεις που έχουν εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03.10.2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253) και τις Κατευθυντήριες γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων στο πλαίσιο του Γενικού Κανονισμού, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και ιδίως τα κριτήρια που παρατίθενται στη συνέχεια. Α. Για την παραβίαση των διατάξεων των άρθρων 15 § 1 του ΓΚΠΔ συνδυαστικά προς τις διατάξεις των §§ 3 και 4 του άρθρου 12 του ΓΚΠΔ: 

i. Το γεγονός ότι η παράβαση της νομιμότητας της επεξεργασίας εμπίπτει στη διάταξη της § 5 του άρθρου 83 ΓΚΠΔ 

ii. Το γεγονός ότι ο καταγγελλόμενος δεν ικανοποίησε το δικαίωμα πρόσβασης που άσκησε ο καταγγέλλων κατ’ άρθρο 15 § 1 ΓΚΠΔ, ούτε προέβη σε οποιαδήποτε ενέργεια κατ’ εφαρμογή των §§ 3 και 4 του άρθρου 12 του ΓΚΠΔ από το 2019 μέχρι και την ακρόαση ενώπιον της Αρχής 

iii. Το γεγονός της μακράς χρονικής διάρκειας μη ικανοποίησης του δικαιώματος πρόσβασης παρά την παρέμβαση της Αρχής. 

iv. Το γεγονός ότι δεν προκύπτει ότι κάποιο από τα ζητηθέντα προσωπικά δεδομένα του καταγγέλλοντος περιλαμβάνει προσωπικά δεδομένα ειδικών κατηγοριών 

v. Το γεγονός ότι η παράβαση εν προκειμένω έθιξε ένα (1) μόνο φυσικό πρόσωπο ως υποκείμενο των προσωπικών δεδομένων σε σχέση με την ικανοποίηση του δικαιώματος πρόσβασης. 

vi. Το γεγονός ότι το περιστατικό φαίνεται να είναι μεμονωμένο, καθώς δεν έχει επιβληθεί από την Αρχή κύρωση στον καταγγελλόμενο δικηγόρο για παρόμοια παράβαση στο παρελθόν, ενώ δεν αποδεικνύεται δόλος του καταγγελλόμενου δικηγόρου για την ως άνω τελεσθείσα παράβαση. 

vii. Το γεγονός ότι ο καταγγελλόμενος δικηγόρος δεν προέβη σε οποιαδήποτε ενέργεια ως προς τα επίμαχα δικαιώματα πρόσβασης που ασκήθηκαν από τον καταγγέλλοντα, έστω και μετά την παρέμβαση της Αρχής. 

viii. Το γεγονός ότι από τα στοιχεία που τέθηκαν υπ’ όψιν της Αρχής και με βάση τα οποία διαπίστωσε την παραβίαση του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας δεν αποκόμισε οικονομικό όφελος, ούτε προκάλεσε υλική ζημία στον καταγγέλλοντα. 

ix. Το γεγονός ότι η παράβαση των διατάξεων σχετικά με τα δικαιώματα των υποκειμένων υπάγεται, σύμφωνα με τις διατάξεις του άρθρου 83 § 5 εδ. β’ ΓΚΠΔ, στην ανώτερη προβλεπόμενη κατηγορία του συστήματος διαβάθμισης διοικητικών προστίμων. 

x. Τα ακαθάριστα έσοδα του καταγγελλομένου, όπως αυτά προκύπτουν από το έντυπο Ε3 της ΑΑΔΕ (κατάσταση οικονομικών στοιχείων από επιχειρηματική δραστηριότητα) για το φορολογικό έτος 2022 που προσκόμισε ενώπιον της Αρχής. 

Β. Για την παραβίαση της υποχρέωσης συν­εργασίας με την Αρχή κατ’ άρθρο 31 του ΓΚΠΔ, η οποία υπάγεται στην κατηγορία της περ. α’ της § 4 του άρθρου 83 του ΓΚΠΔ ως προς το σύστημα διαβάθμισης των διοικητικών προστίμων: 

i) Tον εξακολουθητικό χαρακτήρα της μη συνεργασίας με την Αρχή του καταγγελλόμενου δικηγόρου, ο οποίος, στο πρώτο από τα δύο διευκρινιστικά έγγραφα που του απέστειλε η Αρχή, όπως αναλυτικά περιγράφηκε ανωτέρω, δεν παρείχε επαρκείς απαντήσεις, ενώ στο δεύτερο δεν έστειλε οποιαδήποτε απάντηση. 

ii) Tο γεγονός ότι η διαπιστούμενη παραβίαση τελείται από υπεύθυνο επεξεργασίας που φέρει την ιδιότητα του δικηγόρου. 

iii) Το γεγονός ότι πάντως η συγκεκριμένη παραβίαση συνιστά μεμονωμένη περίπτωση. 

iv) Τα ακαθάριστα έσοδα του καταγγελλομένου, όπως αυτά προκύπτουν από το έντυπο Ε3 της ΑΑΔΕ (κατάσταση οικονομικών στοιχείων από επιχειρηματική δραστηριότητα) για το φορολογικό έτος 2022 που προσκόμισε ενώπιον της Αρχής. 

13. Επειδή, βάσει των ανωτέρω, η Αρχή αποφασίζει ότι πρέπει να επιβληθούν στον καταγγελλόμενο δικηγόρο ως υπεύθυνο επεξεργασίας οι αναφερόμενες στο διατακτικό διοικητικές κυρώσεις, οι οποίες κρίνονται ανάλογες με τη βαρύτητα των παραβάσεων.

Για τους λόγους αυτούς

Η Αρχή

α) Διαπιστώνει ότι ο καταγγελλόμενος δικηγόρος παραβίασε το δικαίωμα πρόσβασης του άρθρου 15 του ΓΚΠΔ σε συνδυασμό με το άρθρο 12 § 3 και 4 του ΓΚΠΔ κατά τα αναλυτικώς ως άνω λεχθέντα, και ως εκ τούτου του επιβάλλει διοικητικό πρόστιμο ύψους επτακοσίων (700€) ευρώ, σύμφωνα με το άρθρο 58 § 2 στοιχ. θ΄ ΓΚΠΔ. β) Διαπιστώνει ότι ο καταγγελλόμενος δικηγόρος παραβίασε το άρθρο 31 του ΓΚΠΔ, κατά τα αναλυτικώς ως άνω λεχθέντα, και ως εκ τούτου του επιβάλλει διοικητικό πρόστιμο ύψους επτακοσίων (700€) ευρώ, σύμφωνα με το άρθρο 58 § 2 στοιχ. θ΄ ΓΚΠΔ.

ΣΧΟΛΙΟ

Μη παράδοση φακέλου και παραβίαση GDPR

Μία πρώτη, αυθόρμητη αντίδραση θα ήταν για τους δικηγόρους της πράξης: «όλα τά ‘χαμε, αυτό μας έλειπε!». 

Η πραγματικότητα είναι εν τ’ αυτώ πιο απλή και πιο σύνθετη, καθώς, είναι ένα θέμα, αν και κατά πόσον έχει δίκιο ή Αρχή και είναι ένα άλλο θέμα, ποια είναι η συμβατή προς τις επιταγές του ΓΚΠΔ συμπεριφορά του δικηγόρου.

Γενικά, ο δικηγόρος ως υπεύθυνος επεξεργασίας δεδομένων κατά το άρθρο 4.7. του ΓΚΠΔ

Το καταρχήν ζήτημα που τίθεται, κατά πόσον οι δικηγόροι υπάγονται στο ρυθμιστικό πλαίσιο του ν. 4624/2019, απαντάται θετικά. Παρά το γεγονός ότι θα μπορούσε πιθανώς να υποστηριχθεί η εξαίρεση των δικηγόρων από την κατηγορία των υπεύθυνων επεξεργασίας,  με βάση την αιτιολογική σκέψη 16, (η οποία ορίζει ότι ο Κανονισμός δεν εφαρμόζεται σε ζητήματα προστασίας θεμελιωδών δικαιωμάτων και ελευθεριών), οι δικηγόροι και οι δικηγορικές εταιρείες, ως δημόσιοι λειτουργοί που συμμετέχουν στην απονομή της Δικαιοσύνης, σύμφωνα με τα άρθρα 1, 2, 3 ν. 4194/2013, προβαίνουν στη συστηματική αρχειοθέτηση φακέλων υποθέσεων και δικογραφιών, που περιέχουν προ­σωπικά δεδομένα και άρα θεωρείται ότι υπόκεινται στον ΓΚΠΔ1. Επομένως δικηγόροι και δικηγορικές εταιρείες υπόκεινται στον ΓΚΠΔ, τόσο ως προς την αμιγώς επαγγελματική τους δραστηριότητα, δηλαδή την διεκπεραίωση των εντολών που τους ανατίθενται από τους πελάτες/εντολείς τους, όσο και ως προς τις υποστηρικτικές διαδικασίες οργάνωσης του γραφείου και της δουλειάς τους (ενδεικτικά, μισθοδοσία προσωπικού, χρήση κάμερας για λόγους ασφαλείας κλπ). 

Εν προκειμένω είναι κρίσιμο για την καθημερινότητα των δικηγόρων, το γεγονός ότι κατά την άσκηση της επαγγελματικής μας δραστηριότητας, επειδή στην απολύτως συντριπτική πλειοψηφία των περιπτώσεων, τηρούμε κάποιου είδους αρχείο2 των υποθέσεών μας, υπέχουμε τις υποχρεώσεις του ΓΚΠΔ για τους υπεύθυνους επεξεργασίας3.

Στην επίμαχη απόφαση της Αρχής δεν γίνεται η προεισαγωγική και, αναγκαία, κατά την άποψή μου, διαπίστωση της ύπαρξης αρχείου από τον καταγγελλόμενο συνάδελφο, εικάζω, επειδή η ΑΠΔΠΧ θεωρεί πλέον δεδομένο ότι ο δικηγόρος, εν γένει, εμπίπτει στο ρυθμιστικό πεδίο του ΓΚΠΔ4 και βαρύνεται με / υπέχει τις υποχρεώσεις του ΓΚΠΔ ως υπεύθυνος επεξεργασίας. Από μόνη της αυτή η διαπίστωση καταδεικνύει μία κατεύθυνση, η οποία, εκτιμώ, ότι δύσκολα θα μπορούσε να ανατραπεί, χωρίς ωστόσο να σημαίνει ότι είναι και σωστή για το σύνολο των περιπτώσεων.

Σε κάθε περίπτωση, ως υπεύθυνοι επεξεργασίας οι δικηγόροι/δικηγορικές εταιρείες πρέπει να συμμορφώνονται με τις υποχρεώσεις νομιμότητας που διέπουν την επεξεργασία ΔΠΧ. Νομική βάση της επεξεργασίας, ώστε αυτή να συνιστά νόμιμη επεξεργασία είναι η σύμβαση εντολής (713 ΑΚ) που καταρτίζεται μεταξύ δικηγόρου και πελάτη (και όχι η συναίνεση του υποκειμένου των ΔΠΧ) και συνεπώς ο φάκελος του εντολέα που περιλαμβάνει προσωπικά δεδομένα του, καθώς και οι φάκελλοι δικογραφίας που δημιουργούνται, πρέπει να τυγχάνουν επεξεργασίας σύμφωνα με τις αρχές νομιμότητάς της που τάσσονται από τον ΓΚΠΔ, ενώ πρέπει να διατηρούνται από τον υπεύθυνο επεξεργασίας δικηγόρο καθ’ όλη τη διάρκεια της ανωτέρω σύμβασης και μετά τη λήξη της να παραδίδονται στον εντολέα ή να διαγράφονται/καταστρέ­φονται. 

Η διατήρηση των φακέλλων και πέραν της ανάκλησης της εντολής ή του ρητού αιτήματος του εντολέα για καταστροφή τους, επιτρέπεται από πλευράς ΓΚΠΔ, εφόσον σκοπεί την άσκηση νομίμως δικαιωμάτων του δικηγόρου (πχ. απόδειξη φορολογικά κρίσιμων συναλλαγών του).   

Οι υποχρεώσεις του δικηγόρου από τον ΓΚΠΔ σε σχέση με τις λοιπές «επαγγελματικές» του δεσμεύσεις/υποχρεώσεις 

Η «σύγκρουση» των υποχρεώσεων που προκύπτουν για τον δικηγόρο από τον ΓΚΠΔ, όπως πχ οι υποχρεώσεις από το δικαίωμα πρόσβασης ή το δικαίωμα διαγραφής του εντολέα, με το άρθρο 85 του Κώδικα Δικηγόρων, που επιφυλάσσει δικαίωμα επίσχεσης των φακέλλων του εντολέα σε περίπτωση μη καταβολής προς τον δικηγόρο της συμφωνημένης αμοιβής του, δημιουργεί ένα θέμα ως προς το πως θα λυθεί. Στην προκείμενη περίπτωση δεν συντρέχει αυτή η συνθήκη, καθώς ο καταγγέλλων είχε εξοφλήσει τις οικονομικές του υποχρεώσεις προς τον καταγγελλόμενο δικηγόρο. Άποψή μου είναι, ότι, δικαιοπολιτικά και όχι συνδικαλιστικά, η σύγκρουση αυτή οφείλει να λυθεί υπέρ του δικηγόρου. Άλλωστε, ο εντολέας καλύπτεται από πληθώρα διατάξεων του ποινικού και του αστικού δικαίου έναντι της αθέμιτης χρήσης των ΔΠΧ του ή εν γένει του περιεχομένου των φακέλλων του εκ μέρους του έχοντος ασκήσει το δικαίωμα επίσχεσης δικηγόρου5.   

Ως προς την «απαγόρευση» χρήσης από τον εντολέα ΔΠΧ που ο ίδιος θέτει στη γνώση του δικηγόρου (του) προς το σκοπό εκτέλεσης της εντολής και την πιθανή σύγκρουση με το άρθρο 5.ε. του Κώδικα Δικηγόρων, φρονώ ότι αυτή θα πρέπει να λυθεί υπέρ του εντολέα/πελάτη. Ωστόσο, ο δικηγόρος προς διασφάλισή του από μελλοντικές αξιώσεις του εντολέα για μη ικανοποιητικό χειρισμό, θα πρέπει γραπτώς να διατυπώσει προς τον εντολέα του την τυχόν αντίθεσή του στην επιλογή του αυτή. 

Η φύση των υποχρεώσεων που προκύπτουν για τον δικηγόρο από τις διατάξεις του ΓΚΠΔ και του εκτελεστικού αυτού νόμου 4624/2019 είναι απολύτως ανεξάρτητη από υποχρεώσεις που βαρύνουν τον δικηγόρο από διαφορετικά ρυθμιστικά/κανονιστικά πλαίσια. Η ύπαρξη παραβίασης μίας υποχρέωσης ή της κρίσης για την μη ύπαρξη αυτής δεν συνεπάγεται αυτόματα και την ύπαρξη ή μη της παραβίασης κάποιας υποχρέωσης του δικηγόρου από τον ΓΚΠΔ. Στην προκειμένη περίπτωση, η θέση στο αρχείο της μήνυσης του καταγγέλλοντος για υπεξαίρεση εγγράφων δεν ασκεί την παραμικρή επιρροή στην κρίση περί παραβίασης των ΔΠΧ του εντολέα του διά της άρνησης επιστροφής των φακέλλων που αυτός είχε ζητήσει. Το ίδιο συμβαίνει με την υποχρέωση απορρήτου και με όποιες άλλες υποχρεώσεις προκύπτουν για τον δικηγόρο από τα νομοθετήματα που τον αφορούν. 

Η τήρηση του ΓΚΠΔ από τον δικηγόρο συνιστά μία νέα, αλλά πραγματική υποχρέωση που προστίθεται στις υποχρεώσεις που έχει ο δικηγόρος κατά την άσκηση του επαγγέλματός του, ανεξάρτητη και απολύτως διακριτή από οποιαδήποτε άλλη.   

Η παραβίαση δικαιωμάτων του υποκειμένου ΔΠΧ/εντολέα του από τον δικηγόρο στη συγκεκριμένη υπόθεση

Όσον αφορά στην παραβίαση του άρθρου 15 ΓΚΠΔ, βασικός σκοπός του δικαιώματος πρόσβασης είναι, υπό τον όρο ότι τα ΔΠΧ ενός υποκειμένου υφίστανται επεξεργασία, να διασφαλιστεί στα υποκείμενα των ΔΠΧ η πρόσβαση σε αυτά και στις ακόλουθες πληροφορίες: τους σκοπούς της επεξεργασίας, τη φύση των δεδομένων, τους αποδέκτες προς τους οποίους κοινολογήθηκαν, το χρόνο αποθήκευσης, την ύπαρξη σχετικού αιτήματος, το δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή, την τυχόν ύπαρξη αυτοματοποιημένης επεξεργασίας και την πηγή τους (των ΔΠΧ) σε περίπτωση που δεν συλλέγονται από το υποκείμενο αυτών. Με απλά λόγια σκοπός του δικαιώματος πρόσβασης είναι να παρέχει στο υποκείμενο επαρκείς, διαφανείς και εύκολα προσβάσιμες πληροφορίες σχετικά με την επεξεργασία των δεδομένων του.

Συγκεκριμένα, όπως αναφέρεται στα πραγματικά περιστατικά της υπόθεσης ο καταγγέλλων είχε προβεί σε «αίτημα επιστροφής εγγράφων». Το κατά πόσο το αίτημα αυτό μπορεί να θεωρηθεί αίτημα πρόσβασης κατ’ άρθρο 15 ΓΚΠΔ, είναι συζητήσιμο, καθώς σε άλλο σημείο της απόφασης που αναφέρεται σε ισχυρισμούς των μερών, υπάρχει και η εξής αναφορά: «Αναφέρει δε ο καταγγέλλων ότι ζητώντας επανειλημμένα, κατά τα ανωτέρω, την επιστροφή των εγγράφων που τον αφορούσαν, ανακάλεσε τη συγκατάθεση που είχε δώσει στον καταγγελλόμενο δικηγόρο και ως εκ τούτου ο τελευταίος είχε υποχρέωση να διαγράψει τα επίμαχα δεδομένα». 

Τόσο η γραμματική ερμηνεία του αιτήματος («επιστροφή») όσο και το ανωτέρω εδάφιο της απόφασης που αναφέρεται σε ανάκληση συγκατάθεσης και σε υποχρέωση του δικηγόρου να διαγράψει τα έγγραφα, θα μπορούσε να θεωρηθεί ότι παραπέμπουν σε άσκηση από τον Καταγγέλλοντα του δικαιώματος διαγραφής (ΓΚΠΔ 17) ή του δικαιώματος εναντίωσης (ΓΚΠΔ 21). Τα δικαιώματα αυτά είναι πιθανώς τα πιο πρόσφορα για την ικανοποίηση του επιδιωκόμενου σκοπού, όπως αναφέρει και ο καταγγελλόμενος στο υπόμνημά του προς την Αρχή. 

Δεν συνάγεται, δηλαδή, επιθυμία του καταγγέλλοντος να αποκτήσει πρόσβαση στα έγγραφα με τα προσωπικά του δεδομένα και να πληροφορηθεί σχετικά με την επεξεργασία τους, αλλά κυρίως να πάψει ο καταγγελλόμενος δικηγόρος να έχει τα εν λόγω έγγραφα στην κατοχή του. Άλλωστε, βάσει της § 3 του άρθρου 15 ΓΚΠΔ «Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία». Συνεπώς, ακόμα και αν ο καταγγελλόμενος δικηγόρος ανταποκρινόταν προσηκόντως στο αίτημα πρόσβασης του καταγγέλλοντος πελάτη, χορηγώντας του αντίγραφα, κατά πάσα πιθανότητα δεν θα έπαυε να έχει πρόσβαση στα προσωπικά δεδομένα του, αφού θα είχε ακόμα τα δικά του αντίτυπα των εγγράφων που τα περιέχουν. 

Ωστόσο, σε κάθε περίπτωση το δικαίωμα πρόσβασης θεωρείται σημαντικό, ώστε να μπορεί μεταγενέστερα το υποκείμενο να απαιτήσει τη διαγραφή των προσωπικών του δεδομένων ή να ασκήσει το δικαίωμα εναντίωσης.

Ως προς την παραβίαση της υποχρέωσης συνεργασίας με την εποπτική αρχή, δηλαδή την ΑΠΔΠΧ, όπως συνάγεται και από το ιστορικό της υπόθεσης, αυτή αποτελεί μία ανεξάρτητη από οποιαδήποτε άλλη, εκ του ΓΚΠΔ ή άλλου ρυθμιστικού/κανονιστικού πλαισίου, υποχρέωση, την οποία αναμφισβήτητα παραβίασε ο καταγγελλόμενος Δικηγόρος. 

Σημαντικό στοιχείο για τον δικηγόρο είναι ότι αυτός, ως υπεύθυνος επεξεργασίας, φέρει, σύμφωνα με το άρθρο 82 § 3 ΓΚΠΔ το βάρος απόδειξης για το ότι δεν ευθύνεται για την όποια ζημία τυχόν επικαλείται κάποιος εντολέας του που τον εναγάγει σχετικά.

Αυτό συμβαίνει επειδή ο ΓΚΠΔ καθιερώνει την αρχή της υποχρέωσης των υπεύθυνων επεξεργασίας να τηρούν αυτή σύμφωνα με τον ΓΚΠΔ.

Οδηγός αποφυγής επιβολής προστίμου

Παρά το γεγονός ότι κατά της απόφασης της ΑΠΔΠΧ χωρεί σύμφωνα με το άρθρο 20 ν.4624/2019 αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας, προτείνονται κάποιες απλές πρακτικές προκειμένου να αποφευχθεί η επιβολή τέτοιων προστίμων. 

Επίσης, είναι επικίνδυνη η επιβολή κάποιου προστίμου σε δικηγόρο λόγω παραβίασης του ΓΚΠΔ, καθώς δίνει λαβή σε άσκηση αστικής αγωγής αποζημίωσης.

Να σημειωθεί καταρχάς, ότι, όπως προκύπτει και από το πραγματικό της υπόθεσης, η ΑΠΔΠΧ εξαντλεί τις κλήσεις και τις προσκλήσεις προς κάθε καταγγελλόμενο, μετά την υποβολή κάποιας καταγγελίας.

Η απλή απάντηση προς την ΑΠΔΠΧ, από μόνη της και ανεξαρτήτως περιεχομένου, απαλλάσσει από την πιθανότητα παραβίασης του άρθρου 31 ΓΚΠΔ για μη συνεργασία με την Αρχή.

Ως προς την ουσία της απάντησης που οφείλει να δώσει ο δικηγόρος στον εντολέα του, ώστε να μην κινδυνεύει να «καταδικασθεί» σε παραβίαση των δικαιωμάτων του υποκειμένου των ΔΠΧ επειδή δεν απάντησε τίποτα, είναι απλή: ή θα του δώσει αυτά που ζητεί, ή θα του εξηγήσει γιατί δεν του τα δίνει, επικαλούμενος μία νόμιμη αιτιολογία (πχ επίσχεση λόγω μη πληρωμής, ή αίτημα προδήλως αβάσιμο ή υπερβολικό κατ’ άρθρο 12.5 ΓΚΠΔ), ή σε περίπτωση που δεν ενεργήσει κάτι σε σχέση με το αίτημα του εντολέα/υποκείμενο των ΔΠΧ, θα πρέπει εντός μηνός να ενημερώσει το υποκείμενο των δεδομένων για τους λόγους για τους οποίους δεν προέβη σε κάποια ενέργεια και για τη δυνατότητα υποβολής καταγγελίας στην εποπτική αρχή (την ΑΠΔΠΧ) και άσκηση δικαστικής προσφυγής. 

Εν κατακλείδι, η απόφαση 30/2024 επιβεβαιώνει το γεγονός ότι οι δικηγόροι καταρχήν υπάγονται στο ρυθμιστικό πεδίο του ΓΚΠΔ και του ν. 4624/2019, καθώς θεωρούνται από την ΑΠΔΠΧ υπεύθυνοι επεξεργασίας και ως εκ τούτου βαρύνονται με όλες τις σχετικές υποχρεώσεις που ο ΓΚΠΔ τάσσει στους υπεύθυνους επεξεργασίας ΔΠΧ. Η ΑΠΔΠΧ είναι σε θέση να σταθμίσει την καταχρηστική άσκηση καταγγελιών και γενικά λειτουργεί με γνώμονα τον καλόπιστο διάλογο και την παροχή αρωγής για θέματα αρμοδιότητάς 
της. Αυτή η παράμετρος απαλύνει κάπως το αρνητικό, από πάσης απόψεως, δεδομένο, ότι το δικηγορικό επάγγελμα «φορτώθηκε» με έναν ακόμα «σάκο» υποχρεώσεων, που εντέλει καθιστά την επαγγελματική μας καθημερινότητα ακόμα πιο απαιτητική. 

ΧΡΙΣΤΙΝΑ ΠΑΝΑΓΟΥΛΕΑ

Δικηγόρος, LLM, DPO

[1]. Βλ. απόφαση Αρχής 26/2019, σκέψη 8, διαθέσιμη στην ιστοσελίδα της.

[2]. Βλ. αιτιολογική σκέψη 63 του ΓΚΠΔ.

[3]. Βλ. ωσαύτως αιτιολογική σκέψη 63 του ΓΚΠΔ και απόφαση της Αρχής 23/2020.

[4]. Βλ. ιδίως, αποφάσεις της Αρχής 22/2023, 32/2019, 144/2017 195/2014 193/2014 και 75/2011, διαθέσιμες στην ιστοσελίδα της Αρχής.

[5]. Βλ. ενδεικτικά αποφάσεις της Αρχής 22/2023, 2/ 2020, 23/2020, 16/2017, 98/2014, 149/2014, 72/2013 και 71/2013.

[6]. Βλ. EDPB, Guidelines 01/2022 on data subjects' rights - Right of access. Version 2.0, adopted on 28 March 2023, Κεφ. 61, § 167, σ 52, https://edpb.europa. eu/svstern/files/2023-04/edpb guidelines 202201 data subject rights access v2 en.pdf

[7]. Βλ. απόφαση της Αρχής 16/2017.

[8]. Βλ. σχετικά απόφαση της Αρχής 1/2005, με την οποία κρίθηκε ότι ο υπεύθυνος επεξεργασίας οφείλει να απαντήσει στο αίτημα πρόσβασης του υποκειμένου των δεδομένων χωρίς αοριστίες και υπεκφυγές επικαλούμενος λόγους άσχετους με την ικανοποίηση του δικαιώματος πρόσβασης. Βλ. επίσης και την απόφαση της Αρχής 16/2017.

[9]. Βλ. αποφάσεις της Αρχής 37/2022, σκ. 4 και 28/2022, σκ. 8.

[10]. Βλ. σ. 2-3 του μετ’ ακρόαση υποβληθέντος υπομνήματος του καταγγελλομένου.

[11]. Βλ. απόφαση της Αρχής 26/2021 σκ. 11, καθώς επίσης και 36/2021, σκ, 7, διαθέσιμες στον ιστότοπο www.dpa.gr.

[12]. Βλ. ενδεικτικά σ. 4 του μετ’ ακρόαση υποβληθέντος υπομνήματος του καταγγελλομένου.

[13]. Βλ. ΣτΕ 2627/2017, σκ. 7 και τις με αριθ. 61/2021, 2/2020, σκ. 1 και 43/2019 αποφάσεις της Αρχής.

[14]. Πρβλ. συναφώς απόφαση της Αρχής 26/2021, σκ. 14, ενώ πρβλ. ακόμα και απόφαση Αρχής 28/2022 σκ. 6 σχετικά με το ότι η παροχή πληροφοριών στις αρμόδιες δικαστικές αρχές δεν δικαιολογεί τη μη συμμόρφωση του υπευθύνου επεξεργασίας στις αυτοτελείς του υποχρεώσεις, που απορρέουν από το θεσμικό πλαίσιο προστασίας δεδομένων και συνακόλουθα την αρμοδιότητα της Αρχής να επιληφθεί της καταγγελλόμενης παραβίασης δικαιώματος.

[15]. Βλ. σ. 3-4 του μετ’ ακρόαση υπομνήματος του καταγγελλομένου όπου αναφέρονται τα εξής: «Αξίζει δε να σημειώσει ότι με το ανωτέρω αριθ. πρωτ.: 3117/05.12.-2023 έγγραφο της η ΑΠΔΠΧ αξιοποίησε το περιεχόμενο της με αριθ. πρωτ. Γ/ΕΙΣ/2671/11.04.2023 απάντησης μας προς την Αρχή και ουσιαστικά εφάρμοσε στην πράξη την αρχή της μη αντιστροφής του βάρους απόδειξης σε περιπτώσεις καταγγελιών, ζητώντας από τον καταγγέλλοντα να προσκομίσει συμπληρωματικά στοιχεία με βάση τα ρητώς αναφερόμενα στη δική μας απάντηση».

[16]. Ενδεικτικά σημειώνεται ότι η Αρχή με την απόφαση 33/2021 επέβαλε διοικητικό πρόστιμο για την αυτοτελή παραβίαση της διάταξης του άρθρου 31 ΓΚΠΔ.

1. “THE GDPR HANDBOOK”, Λεωνίδας Ι. Κανέλλος, Νομική Βιβλιοθήκη, 2020, σ. 320-322.

2. Η ύπαρξη αρχείου είναι απαραίτητο στοιχείο για την εφαρμογή του ΓΚΠΔ. Παράλληλα, η έννοια τόσο του αρχείου όσο και της επεξεργασίας ΔΠΧ υπάρχει ακόμα και επειδή έχω φωτογραφίες αποθηκευμένες στο κινητό μου, τις οποίες ενδέχεται να βλέπω μόνον εγώ. 

3. Έχει εκφραστεί και η αντίθετη άποψη, ότι δηλαδή οι δικηγόροι δεν εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ από τον συνάδελφο Βασίλη Σωτηρόπουλο στο «Υπεύθυνος Προστασίας Δεδομένων, 2η έκδοση, Σάκκουλας 2019, ωστόσο η κρατούσα πλέον σήμερα άποψη είναι ότι ο δικηγόρος υπόκειται ως υπεύθυνος επεξεργασίας στις διατάξεις του ΓΚΠΔ και δεσμεύεται από τις υποχρεώσεις που ο Κανονισμός τάσσει για τους υπεύθυνους επεξεργασίας.

4. Είναι αδιάφορο με ποια ιδιότητα χαρακτηρίζεται ο δικηγόρος κατά περίπτωση, αυτή του υπεύθυνου ή του εκτελούντος την επεξεργασία, κρίσιμο είναι ότι εμπίπτει στο ρυθμιστικό πεδίο του ΓΚΠΔ.

5. Την άποψη αυτή ασπάζεται και η Νόπη Τιντζογλίδου σε Οδηγό Εφαρμογής GDPR, Νομική Βιβλιοθήκη 2020, σ. 211.