Σάββατο 23 Δεκεμβρίου 2017

Καθήκον επιμελούς διαφύλαξης αρχείου με προσωπικά δεδομένα

Αριθμός 1662/2017

ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΠΙΚΡΑΤΕΙΑΣ, ΤΜΗΜΑ Δ΄

(...)
 2. Επειδή, με την αίτηση αυτή ζητείται η ακύρωση της αποφάσεως 170/10.11.2014 της Αρχής
Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με την οποία επιβλήθηκε στην αιτούσα τράπεζα πρόστιμο 50.000 ευρώ για παράβαση διατάξεων των άρθρων 10 παρ. 3 και 12 του ν. 2472/1997, περί προστασίας δεδομένων προσωπικού χαρακτήρα.

 3. Επειδή, στο άρθρο 12 («Δικαίωμα πρόσβασης») του ν. 2472/1997 (Α΄ 50) προβλέπονται τα εξής: «1. Καθένας έχει δικαίωμα να γνωρίζει εάν δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως. 2. Το υποκείμενο των δεδομένων έχει δικαίωμα να ζητεί και να λαμβάνει από τον υπεύθυνο επεξεργασίας, χωρίς καθυστέρηση και κατά τρόπο εύληπτο και σαφή, τις ακόλουθες πληροφορίες: α) Όλα τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, καθώς και την προέλευσή τους. β) … 3. Το δικαίωμα της προηγούμενης παραγράφου και τα δικαιώματα του άρθρου 13 [Δικαίωμα αντίρρησης] ασκούνται με την υποβολή της σχετικής αίτησης στον υπεύθυνο της επεξεργασίας … 4. Εάν ο υπεύθυνος επεξεργασίας δεν απαντήσει εντός δεκαπέντε (15) ημερών ή εάν η απάντησή του δεν είναι ικανοποιητική, το υποκείμενο των δεδομένων έχει δικαίωμα να προσφύγει στην Αρχή … .». Εξάλλου, στο άρθρο 10 («Απόρρητο και ασφάλεια της επεξεργασίας») ορίζονται, μεταξύ άλλων, τα εξής: «3. Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Αυτά τα μέτρα πρέπει να εξασφαλίζουν επίπεδο ασφάλειας ανάλογο προς τους κινδύνους που συνεπάγεται η επεξεργασία και η φύση των δεδομένων που είναι αντικείμενο της επεξεργασίας. ..». Τέλος, στο άρθρο 21 του ίδιου νόμου, όπως ισχύει, προβλέπεται ότι η Αρχή επιβάλλει στους υπεύθυνους επεξεργασίας, για παράβαση των υποχρεώσεών τους που απορρέουν από τον νόμο αυτό ή από άλλες σχετικές ρυθμίσεις, τις διοικητικές κυρώσεις της προειδοποίησης, με αποκλειστική προθεσμία για άρση της παράβασης, του προστίμου, από 300.000 έως 50.000.000 δρχ., της προσωρινής και οριστικής ανάκλησης άδειας και της καταστροφής αρχείου ή διακοπής επεξεργασίας και καταστροφής, επιστροφής ή κλειδώματος των σχετικών δεδομένων.

 4. Επειδή, με τις προπαρατεθείσες διατάξεις του άρθρου 12 του ν. 2472/1997 κατοχυρώνεται το δικαίωμα πρόσβασης κάθε προσώπου σε δεδομένα προσωπικού χαρακτήρα που το αφορούν και τα οποία αποτέλεσαν αντικείμενο επεξεργασίας, και θεσπίζεται αντίστοιχη υποχρέωση του υπεύθυνου επεξεργασίας να εξασφαλίζει την πρόσβαση του ενδιαφερομένου στα ανωτέρω δεδομένα (βλ. ΣτΕ 1851/2016). Εξ άλλου, κατά την έννοια των επίσης προπαρατεθεισών διατάξεων του άρθρου 10 του ίδιου ως άνω ν. 2472/1997, ο υπεύθυνος επεξεργασίας έχει ιδιαίτερο καθήκον επιμελούς διαφυλάξεως αρχείου με δεδομένα προσωπικού χαρακτήρα για τους καθορισμένους, σαφείς και νόμιμους σκοπούς και για την επιτρεπτή και θεμιτή επεξεργασία τους, καθώς και αποφυγής αμελών ενεργειών που έχουν αποτέλεσμα να θίγονται τα σχετικά δικαιώματα των ενδιαφερομένων (βλ. ΣτΕ 749/2005).

 5. Επειδή, από τα στοιχεία του φακέλου της υποθέσεως προκύπτουν τα εξής: Υπάλληλος της αιτούσας τράπεζας, προερχόμενος από την πρώην ....... ΚΑΙ .....ΤΡΑΠΕΖΑ (η οποία συγχωνεύθηκε με την αιτούσα), υπέβαλε προς την τράπεζα την επιδοθείση την 3.11.2004 αίτηση, με την οποία, ασκώντας το δικαίωμα πρόσβασης, ζήτησε τη χορήγηση σε αυτόν επικυρωμένων αντιγράφων όλων των εγγράφων του υπηρεσιακού του φακέλου, που τηρούνται στο αρχείο της τράπεζας, εντός 15 ημερών από την επίδοση της αιτήσεως. Στις 2.12.2004 άσκησε προσφυγή ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, παραπονούμενος για τη μη ικανοποίηση του δικαιώματος πρόσβασης. Στις 10.2.2005 ο εν λόγω υπάλληλος παρέλαβε από τη Διεύθυνση Ανθρωπίνου Δυναμικού της τράπεζας 56 αντίγραφα των εγγράφων του υπηρεσιακού του φακέλου, και εσημείωσε στο σχετικό αποδεικτικό παραλαβής ότι δεν ανευρέθηκαν τα δελτία αξιολόγησης των ετών 2000, 2001 και 2004. Τα εν λόγω δε έγγραφα, όπως υποστήριξε ο υπάλληλος, ήταν ιδιαίτερα σημαντικά για την αιτιολόγηση της υπηρεσιακής του εξέλιξης στην ιεραρχία της τράπεζας, καθόσον από το 2000 έως το 2005 παραλείφθηκε σε πέντε προαγωγές στελεχών που έγιναν, αλλά και για την εξέλιξη εκκρεμούς δίκης για συκοφαντική δυσφήμιση μετά από μήνυση που υπέβαλε κατά διευθυντών της τράπεζας, οι οποίοι υπήρξαν αξιολογητές του. Κατά τους ισχυρισμούς της τράπεζας, τα μεν δελτία αξιολόγησης για τα έτη 2000 και 2001 δεν του παραδόθηκαν, γιατί δεν βρέθηκαν στον φάκελο του υπαλλήλου που τηρείται στη Διεύθυνση Ανθρωπίνου Δυναμικού της τράπεζας, πιθανώς λόγω της αναστάτωσης που υπήρξε εκείνο το χρονικό διάστημα από τη συγχώνευση της τράπεζας με την .... Τράπεζα, από την οποία προέρχεται, το δε δελτίο του 2004 δεν του παραδόθηκε, γιατί δεν είχε περιέλθει ακόμη στην εν λόγω Διεύθυνση. Επί της ανωτέρω προσφυγής εξεδόθη η ../16.6.2005 απόφαση της Αρχής, με την οποία, αφού ελήφθησαν υπόψη όλα τα ανωτέρω πραγματικά περιστατικά, κρίθηκε ότι, πιθανόν, τα επίμαχα έγγραφα είτε να μην τοποθετήθηκαν, είτε να αφαιρέθηκαν από τον φάκελο του υπαλλήλου, είτε να απωλέσθηκαν και, συνεπώς, δεδομένης της κρισιμότητας που είχαν τα έγγραφα αυτά για τον προσφεύγοντα, ο οποίος παρελείφθη επί σειρά ετών από προαγωγές, αλλά και της αντιδικίας του με τους διευθυντές της τράπεζας, η τράπεζα υπέχει ευθύνη, διότι με ενέργειες ή παραλείψεις των οργάνων της δεν ικανοποίησε τελικώς το δικαίωμα πρόσβασής του, κατά παράβαση του άρθρου 12 του ν. 2472/1997. Περαιτέρω, με την ίδια ως άνω απόφαση κρίθηκε ότι η τράπεζα δεν απέδειξε ότι είχε λάβει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και τη προστασία τους από τυχαία ή αθέμιτη επεξεργασία, δεδομένου ότι το άρθρο 10 παρ. 3 του ν. 2472/1997 θεσπίζει αυξημένη υποχρέωση επιμέλειας από τον υπεύθυνο επεξεργασίας ακόμα και για τυχαία απώλεια. Κατόπιν τούτων, με την ανωτέρω 61/2005 απόφαση της Αρχής επιβλήθηκε στην αιτούσα τράπεζα πρόστιμο 60.000 ευρώ για παράβαση των άρθρων 10 παρ. 3 και 12 παρ.1 του ν. 2472/1997, αφού ελήφθη υπόψη η βαρύτητα της πράξης που αποδείχθηκε και της προσβολής που επήλθε από αυτή στον υπάλληλο, αφού τα επίδικα έγγραφα ήταν ιδιαίτερα κρίσιμα για την υπηρεσιακή του εξέλιξη. Ακολούθως, ο εν λόγω υπάλληλος, στις 23.9.2005, με δύο αιτήσεις του άσκησε και πάλι το δικαίωμα πρόσβασης και ζήτησε αντίγραφα των πρακτικών του Διοικητικού Συμβουλίου της τράπεζας, με τα οποία αποφασίσθηκε η παράλειψή του από τις προαγωγές των ετών 2000, 2001, 2002 2003 και 2004 και, περαιτέρω, επικυρωμένα αντίγραφα όλων των εγγράφων που τηρούνται στα αρχεία της τράπεζας με ιδιαίτερη μνεία στο δελτίο αξιολόγησης του έτους 2004. Κατόπιν επιστολής (στις 4.11.2005) εκ μέρους της τράπεζας και της από 14.11.2005 εξώδικης δήλωσης του υπαλλήλου, στις 18.11.2005 τού παραδόθηκε πίνακας 230 εγγράφων, στον οποίο, κατά την άποψη της Τράπεζας, εκ παραδρομής δεν περιελήφθησαν 3 έγγραφα, τα οποία και απεστάλησαν στις 24.11.2005 μαζί με την αίτηση συμμετοχής του προσωπικού σε εκπαιδευτικά προγράμματα, την οποία ο υπάλληλος είχε κατ` επανάληψη ζητήσει. Ακολούθως, η ανωτέρω 61/2005 απόφαση της Αρχής ανακλήθηκε (λόγω κακής σύνθεσης της Αρχής, κατ’ επίκληση νομολογίας του Συμβουλίου της Επικρατείας), κατόπιν τούτου δε, η Αρχή, επιληφθείσα εκ νέου της υποθέσεως, εκάλεσε τόσο τον υπάλληλο όσο και τον υπεύθυνο επεξεργασίας σε νέα ακρόαση. Τελικώς, η Αρχή, με την προσβαλλόμενη απόφαση 170/2014 επέβαλε στην αιτούσα τράπεζα πρόστιμο ύψους 50.000 ευρώ, επιμεριζόμενο σε 10.000 ευρώ για την παράβαση του άρθρου 10 παρ. 3 του ν. 2472/1997 και σε 40.000 ευρώ για την παράβαση του άρθρου 12 του νόμου αυτού, με την εξής αιτιολογία: «...Η τράπεζα, μετά την πάροδο του 15νθήμερου, καθυστερημένα τον Φεβρουάριο του 2005, ικανοποίησε εν μέρει το δικαίωμα πρόσβασης του προσφεύγοντος, το οποίο ικανοποίησε κατά τρόπο πληρέστερο μετά την εκ νέου αίτησή του τον Σεπτέμβριο του 2005 και ενώ είχε προηγηθεί η επιβαλούσα το πρόστιμο απόφαση της Αρχής. Όμως, όπως δεν αμφισβητείται, δεν παρεδόθησαν στον προσφεύγοντα τα δελτία αξιολογήσεως των ετών 2000 και 2001 και αμφισβητείται από τον προσφεύγοντα η ακρίβεια και πληρότητα του δελτίου αξιολογήσεως 29.8.2002-29.8.2003. Από την τράπεζα δεν αμφισβητείται η ετήσια κατάρτιση δελτίων αξιολογήσεως, όπως ορίζεται στον Κανονισμό, αλλά αποδίδεται η μη ανεύρεσή τους σε τυχαία απώλεια λόγω της αναστατώσεως των φακέλων που προήλθε από την συγχώνευση των τραπεζών .......... και ...........και .......... Τράπεζας. Συνεπώς, συντρέχει περίπτωση επιβολής προστίμου λόγω καθυστέρησης ικανοποίησης του δικαιώματος πρόσβασης και τυχαίας απώλειας στοιχείων του φακέλου, τα οποία, όπως δεν αμφισβητείται, καταρτίζονται κάθε χρόνο και έχουν επιπτώσεις στη σταδιοδρομία του υπαλλήλου».

 6. Επειδή, από το ιστορικό που έχει εκτεθεί ανωτέρω στην τρίτη σκέψη και, ιδίως, τα διαλαμβανόμενα στην προσβαλλόμενη απόφαση, προκύπτει ότι η τράπεζα ικανοποίησε τελικώς, πλην εν μέρει και με μεγάλη καθυστέρηση (και αφού είχε προηγουμένως χωρήσει η αρχική απόφαση 61/2005 περί επιβολής σε βάρος της προστίμου) το κατά το άρθρο 12 του ν. 2472/1997 δικαίωμα πρόσβασης του υπαλλήλου στα κρίσιμα για την υπηρεσιακή εξέλιξή του στοιχεία του φακέλου του, καθ` όσον, όπως προεκτέθηκε, και δεν αμφισβητείται από την αιτούσα, από το τηρούμενο στην τράπεζα αρχείο είχαν απολεσθεί συγκεκριμένα δελτία αξιολογήσεως του υπαλλήλου, τα οποία η τράπεζα έχει κατά τον κανονισμό της υποχρέωση να καταρτίζει ετησίως. Η απώλεια δε αυτή των επίμαχων εγγράφων οφείλεται, κατά τα προεκτεθέντα, στην πλημμελή εκ μέρους της τράπεζας φύλαξη του αρχείου της, κατά παράβαση της κατά το άρθρο 10 παρ. 3 του ν. 2472/1997 υποχρέωσης που υπέχει για τη λήψη των κατάλληλων οργανωτικών και τεχνικών μέτρων για την ασφάλεια και προστασία των δεδομένων προσωπικού χαρακτήρα από τυχαία, μεταξύ άλλων, απώλεια ή καταστροφή. Δεν υπεχρεούτο δε η Αρχή να προσδιορίσει ειδικότερα ποια θα ήταν τα ενδεδειγμένα οργανωτικά και τεχνικά μέτρα για τη διαφύλαξη και προστασία του αρχείου της τράπεζας από τυχαία απώλεια, αλλά απόκειται στην τράπεζα να επιλέξει και υιοθετήσει τα κατάλληλα προς τον σκοπό αυτό μέτρα. Ενόψει τούτων, η προσβαλλόμενη απόφαση, με το ανωτέρω παρατιθέμενο περιεχόμενο, αιτιολογείται νομίμως και επαρκώς ως προς τη διαπίστωση ότι εχώρησε παράβαση των προαναφερθεισών διατάξεων των άρθρων 10 παρ. 3 και 12 του ν. 2472/1997. Συνεπώς, πρέπει να απορριφθούν ως αβάσιμοι οι λόγοι ακυρώσεως, με τους οποίους προβάλλεται ότι η προσβαλλόμενη απόφαση είναι πλημμελώς αιτιολογημένη: α/ διότι “δεν καθίσταται σαφές το νομικό έρεισμα αυτής (...), δεδομένου ότι γίνεται αόριστα αναφορά σε όλες τις διατάξεις του άρθρου 12 του ν. 2472/1997, παράλληλα δε ουδόλως καθίσταται σαφές εάν έχει διαπιστωθεί η συνδρομή των νόμιμων προϋποθέσεων (...), ούτε ποια επακριβώς είναι τα πραγματικά περιστατικά τα οποία έχουν διαπιστωθεί και εκτιμηθεί (...)”, β/ διότι η παραδοχή της προσβαλλόμενης απόφασης, ότι ικανοποιήθηκε το δικαίωμα πρόσβασης του υπαλλήλου εν μέρει και μεταγενέστερα κατά τρόπο πληρέστερο, είναι αντιφατική με την παραδοχή περί τυχαίας απώλειας στοιχείων του φακέλου, και γ/ διότι η Αρχή δεν αναφέρει ποια είναι τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων, τα οποία παρέλειψε να λάβει η τράπεζα.

 7. Επειδή, η προσβαλλόμενη απόφαση παρίσταται νομίμως και επαρκώς αιτιολογημένη και ως προς την επιμέτρηση του προστίμου, δεδομένου ότι η Αρχή έλαβε υπ` όψιν, κατά τα ιστορηθέντα, όλα τα στοιχεία του φακέλου και, ιδίως, τη βαρύτητα της παράβασης (βλ. ΣτΕ 95/2003, 4158/2000), που συνίσταται, όπως προεκτέθηκε, στην καθυστερημένη και ελλιπή ικανοποίηση του δικαιώματος πρόσβασης καθώς και στην μη τήρηση εκ μέρους της αιτούσας των κατάλληλων μέτρων ασφαλείας και προστασίας των προσωπικών δεδομένων, με συνέπεια την απώλεια ορισμένων κρίσιμων εγγράφων για την υπηρεσιακή σταδιοδρομία του ενδιαφερόμενου υπαλλήλου, χωρίς να επιβάλλεται από τον νόμο, ως τυπικό στοιχείο του κύρους της πράξης επιβολής της κύρωσης, η περαιτέρω εξειδίκευση της βαρύτητας της παράβασης (βλ. ΣτΕ 150/2017). Περαιτέρω, υπό τα προεκτεθέντα πραγματικά περιστατικά, η έστω και “τυχαία απώλεια” (υπό την έννοια της μη ηθελημένης εξαφάνισης) των στοιχείων του υπηρεσιακού φακέλου του υπαλλήλου, οφειλόμενη, κατά τους ισχυρισμούς της τράπεζας, σε αναστάτωση “των φακέλων που προήλθε από την συγχώνευση των τραπεζών ........ και ......και ..... Τράπεζας”, στοιχειοθετεί υπαίτια συμπεριφορά της τράπεζας, συνιστάμενη στην πλημμελή τήρηση του αρχείου της, κατά παράβαση του κατά το άρθρο 10 παρ. 3 του ν. 2472/1997 καθήκοντος για τη λήψη των κατάλληλων οργανωτικών μέτρων για την προστασία των δεδομένων προσωπικού χαρακτήρα. Εξ άλλου, όπως προεκτέθηκε, από το περιεχόμενο της προσβαλλόμενης απόφασης προκύπτει σαφώς ότι ελήφθη υπόψη και συνεκτιμήθηκε το γεγονός ότι υπήρξε εκ μέρους της τράπεζας εν μέρει ικανοποίηση του δικαιώματος πρόσβασης του υπαλλήλου στα επίμαχα έγγραφα, ωστόσο, διαπιστώθηκε ότι τα έγγραφα αυτά του χορηγήθηκαν με μεγάλη καθυστέρηση και αφού είχε χωρήσει, με την απόφαση 61/2005, η επιβολή προστίμου σε βάρος της αιτούσας. Τέλος, λαμβανομένου υπόψη ότι, ανεξαρτήτως του ότι για τη στοιχειοθέτηση της παράβασης δεν απαιτείται η επέλευση βλάβης του υποκειμένου των δεδομένων (βλ. Ολ ΣτΕ 1622/2012, 150/2017), πάντως, εν προκειμένω με την προσβαλλόμενη απόφαση ελήφθη υπόψη και η προσβολή που επήλθε στον υπάλληλο από τις ενέργειες και παραλείψεις των οργάνων της τράπεζας, καθόσον, όπως προεκτέθηκε, τα ανωτέρω έγγραφα ήταν κρίσιμα για την υπηρεσιακή εξέλιξη του υπαλλήλου, ο οποίος παρελείπετο επί πενταετία από τις προαγωγές και ευρίσκετο εξ αυτού του λόγου σε δικαστική αντιδικία με τους διευθυντές της τράπεζας. Συνεπώς, το επιβληθέν πρόστιμο, το οποίο, σημειωτέον, κατά τα προεκτεθέντα, επιβλήθηκε συνολικώς, δηλαδή ως άθροισμα δύο αυτοτελών προστίμων, ευρίσκεται μέσα στα νόμιμα όρια και μάλιστα εγγύτερα προς το κατώτερο όριο, σύμφωνα με την ανωτέρω παρατεθείσα διάταξη του άρθρου 21 του ν. 2472/1997. Κατόπιν τούτων, πρέπει να απορριφθούν ως αβάσιμοι όλοι οι λόγοι ακυρώσεως, με τους οποίους προβάλλεται ότι το ύψος του προστίμου κείται εκτός των ορίων της διακριτικής ευχέρειας της Αρχής και είναι δυσανάλογο σε σχέση με τον επιδιωκόμενο σκοπό, κατά παράβαση της αρχής της αναλογικότητας, καθόσον εν προκειμένω έπρεπε να ληφθεί υπ` όψιν ότι δεν απεδείχθη υπαιτιότητα της τράπεζας, ότι ουσιαστικώς η τράπεζα ικανοποίησε τον ενδιαφερόμενο υπάλληλο κατά το μεγαλύτερο μέρος, ότι επέδειξε καλόπιστη συμπεριφορά και ενδιαφέρον για την υπόθεση, καθώς και ότι ουδεμία ζημία υπέστη ο εν λόγω από την συμπεριφορά της τράπεζας.

 8. Επειδή, κατόπιν τούτων, η υπό κρίση αίτηση πρέπει να απορριφθεί.