Στις 31 Οκτωβρίου 2024 η Αρχή Προστασίας Δεδομένων (ΑΠΔ) δημοσίευσε δύο αποφάσεις (υπ’ αριθμόν 39 και υπ’ αριθμόν 40) επί ισάριθμων καταγγελιών (1, 2) μίας υπαλλήλου και ενός υπαλλήλου της Εθνικής Υπηρεσίας Πληροφοριών (ΕΥΠ) σχετικά με διαρροή προσωπικών δεδομένων τους κατά παράβαση της ισχύουσας νομοθεσίας και πιο συγκεκριμένα των άρθρων 5 παρ. 1 περ. α’ και 13 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ).
Σύμφωνα με το σκεπτικό των αποφάσεών, η ΑΠΔ διαπίστωσε ότι στις 15 Δεκεμβρίου 2021 η ΕΥΠ κοινοποίησε προς την Ελληνική Αστυνομία (ΕΛΑΣ), τον υπουργό και τον υφυπουργό Προστασίας του Πολίτη έγγραφο, στο οποίο επισυνάπτονταν καταστάσεις με στοιχεία μετατασσόμενου από την ΕΥΠ προσωπικού, στο οποίο ανήκαν και τα δύο καταγγέλλοντα πρόσωπα. Στις μεταβιβασθείσες -από την ΕΥΠ προς την ΕΛΑΣ και το υπουργείο Προστασίας του Πολίτη- πληροφορίες αναγράφονταν τα ονοματεπώνυμα των καταγγελλόντων, ο κλάδος και η κατηγορία τους, καθώς και το γνωστικό αντικείμενο των σπουδών τους.
Ωστόσο, η κοινοποίηση των ως άνω στοιχείων έγινε μία ημέρα πριν τη δημοσίευση του ν. 4873/2021 στην Εφημερίδα της Κυβερνήσεως (ΦΕΚ Α’/248/16.12.2021), δηλαδή μία ημέρα πριν ο νόμος αποκτήσει νομική υπόσταση. Αυτό το δεδομένο είναι κρίσιμο για τις εξεταζόμενες καταγγελίες, καθώς το άρθρο 74 του ν. 4873/2021 προέβλεψε τη μετάταξη προσωπικού της ΕΥΠ στο υπουργείο Προστασίας του Πολίτη και την ΕΛΑΣ και ως εκ τούτου θα αποτελούσε τη βάση για την κοινοποίηση των πληροφοριών των μετατασσόμενων υπαλλήλων της ΕΥΠ, συμπεριλαμβανομένων των δύο καταγγελλόντων ατόμων.
Ωστόσο, καθώς η αποστολή των κρίσιμων πληροφοριών έγινε πριν τη δημοσίευση του ν. 4873/2021 στην Εφημερίδα της Κυβερνήσεως, δηλαδή πριν καταστεί νόμος του κράτους, η διαβίβαση -εκ μέρους της ΕΥΠ- στοιχείων των υπαλλήλων της ήταν, σύμφωνα με την ΑΠΔ, παράνομη και κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας, όπως κατοχυρώνεται από το άρθρο 5 παρ. 1 περ. α’ ΓΚΠΔ, σύμφωνα με το οποίο τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), όρος που εν προκειμένω δεν συνέτρεξε, αφού κατά τη διαβίβαση των στοιχείων των δύο καταγγελλόντων δεν υπήρχε το νομοθετικό έρεισμα για την εν λόγω μετάταξη.
Στην υπ’ αριθμόν 39 απόφασή της, η ΑΠΔ επισημαίνει σχετικά: «Επειδή εν προκειμένω, από τη μελέτη όλων των στοιχείων της υπόθεσης προκύπτει ότι κατά την ημερομηνία της επίμαχης διαβίβασης, ήτοι στις 15-12-2021, η Πρόεδρος της Δημοκρατίας είχε υπογράψει μεν το ψηφισθέν από τη Βουλή νομοσχέδιο, το οποίο περιείχε τη σχετική με τη μετάταξη προσωπικού της ΕΥΠ διάταξη, η δημοσίευση αυτού ωστόσο στην Εφημερίδα της Κυβερνήσεως πραγματοποιήθηκε μία ημέρα αργότερα, και συγκεκριμένα στις 16-12-2021, οπότε, και τότε μόνο ο σχετικός νόμος απέκτησε τυπική ισχύ και νόμιμη υπόσταση, σύμφωνα με τα ανωτέρω. Επομένως, στις 15-12-2021 η ΕΥΠ προέβη σε επεξεργασία των προσωπικών δεδομένων της καταγγέλλουσας, με τη διαβίβαση στον Υπουργό Προστασίας του Πολίτη, στον Υφυπουργό Προστασίας του Πολίτη και στον Αρχηγό της ΕΛΑΣ, του υπ’ αριθ. πρωτ. … εγγράφου, με συνημμένες τις σχετικές καταστάσεις του υπηρετούντος προσωπικού της ΕΥΠ, στις οποίες περιλαμβάνονται προσωπικά δεδομένα της καταγγέλλουσας, και συγκεκριμένα το ονοματεπώνυμό της, ο κλάδος/κατηγορία, ο βαθμός και ο τίτλος σπουδών της, χωρίς να έχει προηγηθεί η δημοσίευση στην Εφημερίδα της Κυβερνήσεως του, σχετικού με την μετάταξη της ΕΥΠ προσωπικού, τυπικού νόμου (ήτοι του Ν. 4873/2021), με αποτέλεσμα κατά την επίμαχη διαβίβαση να ελλείπει το νομοθετικό έρεισμα για την εν λόγω μετάταξη, αλλά και χωρίς να έχει προηγηθεί σχετική ενημέρωση της καταγγέλλουσας, ως υποκειμένου των δεδομένων για τη διαβίβαση αυτή. Κατά τον τρόπο αυτό η επίμαχη επεξεργασία πραγματοποιήθηκε κατά παράβαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας (άρθρο 5 παρ. 1, περ. α’ ΓΚΠΔ), με αποτέλεσμα τα προσωπικά δεδομένα της καταγγέλλουσας να έχουν υποβληθεί σε μη σύννομη και μη θεμιτή επεξεργασία που έλαβε χώρα με μη διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων». (Θα πρέπει να επισημάνουμε ότι η ίδια ακριβώς σκέψη περιλαμβάνεται και στην υπ’ αριθμόν 40 απόφαση, η οποία αφορά τον καταγγέλλοντα υπάλληλο της ΕΥΠ.)
Αναφορικά με την παραβίαση του άρθρου 13 ΓΚΠΔ, η ΑΠΔ σημειώνει στις δύο αποφάσεις της κατά τρόπο ταυτοτικό: «Όπως αναφέρεται ανωτέρω, το υποκείμενο των δεδομένων δεν ενημερώθηκε για την διαβίβαση των δεδομένων του, ο δε σχετικός ισχυρισμός της ΕΥΠ ότι “Άλλωστε η ως άνω επίμαχη διάταξη νόμου που επέτασσε την μετάταξη των υπαλλήλων της ΕΥΠ σε έτερο Δημόσιο Φορέα ήταν ήδη γνωστή από τον χρόνο κατάθεσής της στο Ελληνικό Κοινοβούλιο προς ψήφιση, είχε λάβει σημαντική δημοσιότητα και συζητήθηκε πολύ πριν την ψήφισή της (…)” δεν είναι ουσιώδης, καθώς ενημέρωση δια της επικαλούμενης από την ΕΥΠ δημοσιότητας που είχε λάβει το εν λόγω ζήτημα, δεν πληροί τους όρους του άρθρου 13 ΓΚΠΔ, σύμφωνα με το οποίο για την ενημέρωση απαιτείται ενέργεια του υπευθύνου επεξεργασίας, απευθυνόμενη στο υποκείμενο των δεδομένων, κάτι που δεν συνέτρεξε εν προκειμένω».
Για κάθε απόφαση η ΑΠΔ επέβαλε στην ΕΥΠ διοικητικό πρόστιμο συνολικού ύψους 5.000 ευρώ και συγκεκριμένα 4.000 ευρώ για τη διαπιστωθείσα παραβίαση του άρθρου 5 παρ. 1 περ. α’ και 1.000 ευρώ για τη διαπιστωθείσα παραβίαση του άρθρου 13 ΓΚΠΔ.
Σε ένα Κράτος Δικαίου οι κρατικές Αρχές οφείλουν να εφαρμόζουν την εθνική νομοθεσία αφενός για την προστασία των προσωπικών δεδομένων του προσωπικού τους και των πολιτών, αφετέρου για τη σύννομη διοικητική λειτουργία τους.
Ωστόσο, από τις προαναφερθείσες αποφάσεις της ΑΠΔ προκύπτει ότι εν προκειμένω η ΕΥΠ παραβίασε σε δύο περιπτώσεις τα άρθρα 5 παρ. 1 περ. α’ και 13 του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), προβαίνοντας σε παράνομη διαρροή προσωπικών δεδομένων δύο υπαλλήλων της.
Αριθμός Λογαριασμού: 1100 0232 0016 560
IBAN: GR56 0140 1100 1100 0232 0016 560
BIC: CRBAGRAA
Στον αγώνα μας για Λογοδοσία και Διαφάνεια, απέναντι σε οτιδήποτε υπονομεύει τις αρχές της Δημοκρατίας και του Κράτους Δικαίου.
Γιατί η Δημοκρατία δεν είναι αυτονόητη.
Είναι στο χέρι μας να μη στεκόμαστε απαθείς ή κυνικοί.
Δες πώς μπορείς να μας βοηθήσεις, εδώ!
