oaednews

Κυριακή 26 Νοεμβρίου 2017

Προσωπικά δεδομένα, πότε μπορεί να γίνει χρήση από το Δημόσιο

Από μια  σειρά υποθέσεων, που επεξεργάστηκε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προκύπτουν  οι προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων στην Δημόσια Διοίκηση.

Στοιχεία από τον ΟΑΕΔ
Ο ΟΑΕΔ μπορεί υπό προϋποθέσεις να διαθέσει σε συνυποψήφιους στοιχεία των επιλεχθέντων από διαγωνισμό. Ο συνυποψήφιος πρέπει να κάνει νόμιμη έγγραφη αίτηση για να δει τον φάκελο με τα δικαιολογητικά που προσκόμισε ο επιλεχθείς, μόνο με ειδική άδεια εξασφαλίζεται η πρόσβαση σε ευαίσθητα προσωπικά δεδομένα έτερου συνυποψήφιου με την συγκατάθεσή του.

Σε περίπτωση αντιδικίας εργοδότη με εργαζόμενο μέσω προγράμματος του ΟΑΕΔ, ο Οργανισμός μπορεί να δώσει στοιχεία στον εργοδότη, που αφορούν στον φάκελο του εργαζομένου, ο οποίος συστάθηκε από την στιγμή σύναψης εργασιακής σχέσης με τον πρώτο.

Δημοσιοποίηση ονομάτων
 Με αφορμή την υπόθεση ανάρτησης των ονομάτων οφειλετών άνω των 150.000 ευρώ προς το Δημόσιο στην ιστοσελίδα της Γενικής Γραμματείας Δημοσίων Εσόδων, η Αρχή εξέδωσε προσωρινή διαταγή για τη μη επεξεργασία των προσωπικών δεδομένων. Έτσι, τα ονόματα δεν δημοσιοποιήθηκαν, μετά από προσφυγή ατόμου που περιλαμβανόταν στη λίστα των οφειλετών. Είχε προηγηθεί, μάλιστα, σχετική απόφαση της Αρχής για την μη δημοσιοποίηση των ονομάτων.



Φορολογικά στοιχεία
Αναφορικά με την διαβίβαση στοιχείων του φορολογικού μητρώου από τη Γενική Γραμματεία Δημοσίων Εσόδων στην ΕΛΣΤΑΤ αυτή κρίθηκε νόμιμη από την Αρχή. Βέβαια, η Αρχή εξέφρασε επιφυλάξεις για την αναδρομική διαβίβαση στοιχείων, δεδομένου ότι αυτή η πράξη δεν ενέπιπτε στο μνημόνιο συνεργασίας που είχαν υπογράψει οι δυο Οργανισμοί του δημοσίου για την διαβίβαση στοιχείων. Σε άλλη περίπτωση, επετράπη μόνο η διαβίβαση στοιχείων από το ΙΚΑ – ΕΤΑΜ στο taxisnet στοιχείων για άτομα με αναπηρία, που σχετίζονται αποκλειστικά με την φοροαπαλλαγή.

Στοιχεία για την κατάσταση υγείας
Αναφορικά με προσωπικά δεδομένα, που αφορούν την κατάσταση της υγείας του ατόμου, η Αρχή αποφάνθηκε ότι σε περιπτώσεις που εκκρεμεί ποινική υπόθεση, κανείς πλην του δικαστικού ή εισαγγελικού λειτουργού δεν μπορεί να έχει πρόσβαση σε αυτά τα στοιχεία.
Ενώ αναφορικά με την διαβίβαση ευαίσθητων δεδομένων για την υγεία του ατόμου στις δημόσιες Αρχές, αυτή επιτρέπεται μόνο σε δημόσιες Αρχές οι οποίες διαθέτουν βάσει της νομοθεσίας ελεγκτική αρμοδιότητα. Για την διαβίβαση των στοιχείων δεν απαιτείται άδεια από την Αρχή. Πρόκειται για τις δημόσιες Αρχές, Υπηρεσία Ελέγχου Δαπανών Υγείας Φορέων Κοινωνικής Ασφάλισης (ΥΠΕΔΥΦΚΑ), Σώμα Επιθεωρητών Υπηρεσιών Υγείας και Πρόνοιας (ΣΕΥΥΠ), Εθνική Υπηρεσία Πληροφοριών (ΕΥΠ), Σώμα Επιθεωρητών Εργασίας (ΣΕΠΕ), Δίωξη Ηλεκτρονικού Εγκλήματος (ΔΗΕ), Σώμα Δίωξης Οικονομικού Εγκλήματος, Συνήγορος του Πολίτη, κ.ά.

Πόθεν έσχες
Στην περιβόητη υπόθεση ανάρτησης στοιχείων του “πόθεν έσχες” στο Διαδίκτυο, επί της οποίας απεφάνθη πρόσφατα και το Συμβούλιο της Επικρατείας, η Αρχή έχει γνωμοδοτήσει ότι αναρτώνται μόνο τα δηλωθέντα μετρητά και κινητά στοιχεία που φυλάσσονται σε θυρίδες, όπως και αυτά που είναι δηλωμένα σε τραπεζικούς λογαριασμούς.

Οι καταγγελίες του 2016
Με βάση την ετήσια έκθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το 2016, στο σύνολο των 3.105 υποθέσεων, οι 634 είναι υποθέσεις προσφυγών και καταγγελιών πολιτών. Παρά τον μεγάλο όγκο διεκπεραίωσης, η Αρχή το 2016 κατέγραψε υψηλές επιδόσεις κατορθώνοντας να ολοκληρώσει 40% περισσότερες υποθέσεις προσφυγών και καταγγελιών σε σχέση με το προηγούμενο έτος, όπως αυτό αποτυπώνεται στην ετήσια έκθεσή της.
 Από τις 634 υποθέσεις προσφυγών και καταγγελιών οι 361 αφορούν ηλεκτρονικές επικοινωνίες, οι 83 το κλάδο ιδιωτικής οικονομίας πλην χρηματοπιστωτικού, ασφαλιστικού και τηλεπικοινωνιακού. Μικρός είναι ο αριθμός υποθέσεων που αφορούν στην προστασία προσωπικών δεδομένων στο πεδίο της δημόσιας διοίκησης και αυτοδιοίκησης. Μόλις 19 είναι αυτές οι υποθέσεις, που έλεγξε το 2016 η Αρχή και οι οποίες αφορούν κυρίως διασταύρωση ή δημοσιοποίηση στοιχείων. Στις περισσότερες περιπτώσεις οι ίδιοι οι δημόσιοι και δημοτικοί υπάλληλοι καταφεύγουν στην Αρχή προκειμένου να λάβουν τις απαραίτητες κατευθύνσεις.

Τηλεφωνική όχληση
Στο μεταξύ, “βροχή” έπεφταν, με βάση τα στοιχεία της προηγούμενης χρονιάς, οι καταγγελίες πολιτών αναφορικά με τηλεφωνικές οχλήσεις με ή χωρίς την ανθρώπινη παρέμβαση με σκοπό την προώθηση υπηρεσιών και προϊόντων. Η Αρχή ενημέρωνε διαρκώς ότι με βάση τη νομοθεσία, η διαφημιζόμενη εταιρεία που χρησιμοποιεί στοιχεία των συνδρομητών οφείλει να φροντίζει «εφ’ όσον ένας συνδρομητής, εκφράζει την αντίρρησή του να δέχεται κλήσεις για διαφημιστικούς σκοπούς, πρέπει ο αριθμός του να εξαιρείται από τη λίστα». Βέβαια, συνιστά υποχρέωση των διαφημιζόμενων υπηρεσιών όταν αξιοποιούν τηλεφωνικές λίστες να λαμβάνουν υπ’ όψιν όσους έχουν δηλώσει ότι δεν επιθυμούν να δέχονται κλήσεις για προωθητικές ενέργειες.

Τα πρόστιμα
Το 2016, η Αρχή επέβαλε πρόστιμα συνολικά 93.000 ευρώ για 21 υποθέσεις εκ των οποίων σε 7 περιπτώσεις επιβλήθηκε πρόστιμο το ύψος του οποίου κυμάνθηκε από 1.000 έως 28.000 ευρώ. Για μια ακόμη χρονιά πρόστιμα μάζεψαν εταιρείες που δραστηριοποιούνται στον χώρο των ηλεκτρονικών επικοινωνιών, καθώς χρησιμοποίησαν καταχρηστικά προσωπικά δεδομένα συνδρομητών. Όπως προκύπτει από την ετήσια έκθεση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ανάμεσα στις 21 αποφάσεις που εκδόθηκαν και περιλαμβάνουν την επιβολή προστίμων, οι 8 αφορούν εταιρείες ηλεκτρονικής επικοινωνίας.
Χαρακτηριστική περίπτωση είναι το πρόστιμο των 25.000 ευρώ, που επέβαλε η Αρχή σε εταιρεία, η οποία έστελνε ηλεκτρονικά μηνύματα (mail) χωρίς τη συγκατάθεση των παραληπτών, καθώς αυτοί δεν είχαν δώσει τα στοιχεία τους.
παραθέτουμε μέρος της έκθεσης της αρχής 
3 .2 . ΔΗΜΟΣΙΑ ΔΙΟΙΚΗΣΗ 3.2.1. Προϋποθέσεις νόμιμης επεξεργασίας δεδομένων από τη Δημόσια Διοίκηση Η Αρχή απηύθυνε σύσταση με βάση το άρθρο 21 παρ. 1 στοιχ. α΄ του ν. 2472/1997 προς τη Διεύθυνση Πολιτικού Προσωπικού της Ελληνικής Αστυνομίας όπως αυτή απαναρτήσει σύμβαση έργου μεταξύ ιδιώτη και του ελληνικού δημοσίου εκπροσωπούμενου από τον Γενικό Γραμματέα Δημοσίας Τάξης, καθώς και να αντικαταστήσει αυτή με την περίληψη της σύμβασης, η οποία θα περιέχει τα απαραίτητα και αναγκαία προσωπικά δεδομένα. Ειδικότερα, η Αρχή έκρινε ότι με την περ. 14, της παρ. 4 του άρθρ. 2 του ν. 3861/2010 γίνεται ρητή αναφορά στην ανάρτηση στο διαδίκτυο της περίληψης συμβάσεων έργου στο δημόσιο, ενώ η περ. 16 του ιδίου άρθρου αναφέρεται σε αποφάσεις και πράξεις κατακύρωσης και ανάθεσης δημοσίων έργων, οι οποίες αναρτώνται στο «Διαύγεια». Στην ως άνω απόφαση το κείμενο της σύμβασης έργου που αναρτήθηκε στο «Διαύγεια» αποτελεί την καταρτισθείσα σύμβαση έργου μεταξύ του ιδιώτη και του ελληνικού δημοσίου και όχι πράξη κατακύρωσης ή ανάθεσης έργου και πρέπει να γίνει δεκτό άνευ ετέρου ότι η επίμαχη ανάρτηση εμπίπτει στο ρυθμιστικό πεδίο της ως άνω αναφερόμενης περ. 14, που απαιτεί τη δημοσίευση περίληψης της σύμβασης. Η δε ανάρτηση περίληψης δεν συνεπάγεται τον αποκλεισμό δημοσίευσης στο «Διαύγεια» δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητα και αναγκαία. Με την ίδια δε απόφαση η Αρχή απηύθυνε έκκληση στον νομοθέτη να προβεί σε νομοθετική ρύθμιση αναφορικά με τον χρονικό περιορισμό της ανάρτησης των πράξεων που αφορούν σε φυσικά πρόσωπα στο πρόγραμμα «Διαύγεια» (απόφαση 45/2016). Επίσης, η Αρχή, κατόπιν καταγγελίας ξεναγού, έκρινε νόμιμη την τήρηση βιβλίου εισόδου ξεναγών που θέσπισε το Μουσείο Δελφών για τους σκοπούς της εύκολης και ασφαλούς πρόσβασης των επισκεπτών σε αυτό, σύμφωνα με τη διάταξη του άρθρου 5 παρ. 2 στοιχ. δ΄ του ν. 2472/1997 και κάλεσε το Μουσείο να υποβάλει τη σχετική γνωστοποίηση. Ειδικότερα, η Αρχή έκρινε ότι το μέτρο της τήρησης ειδικού βιβλίου εισόδου ξεναγών είναι πρόσφορο για την επίτευξη του επιδιωκόμενου σκοπού, της εύρυθμης δηλαδή λειτουργίας του μουσείου, και γενικότερα της εύκολης και ασφαλούς πρόσβασης των επισκεπτών του (απόφαση 58/2016). Αναφορικά με το ζήτημα της ανάρτησης των ονομάτων οφειλετών ληξιπρόθεσμων οφειλών άνω των 150.000,00 ευρώ προς το Δημόσιο στην ιστοσελίδα της ΓΓΔΕ, κατόπιν αιτήσεως οφειλέτη για έκδοση προσωρινής διαταγής, η Αρχή εξέδωσε σχετική προσωρινή διαταγή για μη επεξεργασία. Στη συνέχεια η ΓΓΔΕ με υπόμνημά της, μεταξύ άλλων, ενημέρωσε και διαβεβαίωσε την Αρχή ότι επειδή δεν πληρούται ο όρος της με αριθμ. 4/2011 γνωμοδότησης της Αρχής περί οριστικοποίησης της φορολογικής ενοχής, δεν πρόκειται να δημοσιοποιηθούν τα στοιχεία του αιτούντος. Στις 7-7-2016 αναρτήθηκε η επίμαχη λίστα οφειλετών, όπου διαπιστώθηκε ότι δεν περιλαμβάνονται τα στοιχεία του αιτούντος και η Αρχή, λόγω της συμμόρφωσης της ΓΓΔΕ στην ως άνω γνωμοδότηση, εξέδωσε την απόφαση 59/2016, σύμφωνα με την οποία η προσφυγή του αιτούντος ήταν πλέον άνευ αντικειμένου. Αναφορικά με το ζήτημα της πρόσβασης υποψηφίων σε διαγωνισμό πρόσληψης σε προσωπικά δεδομένα, μεταξύ των οποίων και ευαίσθητα, των συνυποψηφίων επιτυχόντων στον εν λόγω διαγωνισμό, η Αρχή εξέδωσε σειρά αποφάσεων, με τις οποίες χορήγησε άδεια στον ΟΑΕΔ να διαθέσει σε υποψηφίους για πλήρωση θέσεων ΑΜΕΑ αντίγραφα των αιτήσεων και δικαιολογητικών των τελικώς επιλεγέντων συνυποψηφίων στον διαγωνισμό, προκειμένου αυτοί να ασκήσουν τα εκ του νόμου δικαιώματά τους υποβολής ενστάσεως κατά του πίνακα κατάταξης (αποφάσεις 120/2016, 121/2016, 123/2016, 124/2016, 125/2016, 126/2016, 127/2016 και 128/2016). Ειδικότερα, σύμφωνα με το σκεπτικό των ως άνω αποφάσεων, και όπως παγίως έχει κρίνει η Αρχή, η ανακοίνωση των στοιχείων των επιλεχθέντων συνυποψηφίων σε άλλον υποψήφιο είναι νόμιμη χωρίς τη συγκατάθεσή τους, υπό τις εξής σωρευτικά εξεταζόμενες προϋποθέσεις: α) τα δεδομένα να ζητούνται με τη νόμιμη διαδικασία (έγγραφη αίτηση από τον ενδιαφερόμενο στον υπεύθυνο επεξεργασίας και τεκμηρίωση υπέρτερου έννομου συμφέροντος), β) η ανακοίνωση των στοιχείων των συνυποψηφίων να περιορίζεται στη χορήγηση των δικαιολογητικών εκείνων που αποτέλεσαν τη βάση της αξιολόγησης των υποψηφίων για την κατάληψη των προκηρυχθεισών θέσεων, γ) στην περίπτωση που ζητούνται ευαίσθητα προσωπικά δεδομένα, καθώς αυτά αποτέλεσαν τη βάση αξιολόγησης των υποψηφίων για την κατάληψη των προκηρυχθεισών θέσεων, τότε χορηγείται στον υπεύθυνο επεξεργασίας η άδεια του άρθρου 7 παρ. 2 του ν. 2472/1997, προκειμένου να επιτραπεί η πρόσβαση του αιτούντος τρίτου στα στοιχεία αυτά, και δ) απαραίτητη είναι η προηγούμενη ενημέρωση του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 11 παρ. 3 του ν. 2472/1997. Ακόμη, η Αρχή απέρριψε κατά πλειοψηφία προσφυγή εκπαιδευτικού, με την οποία κατήγγειλε παράνομη διαβίβαση πειθαρχικού του φακέλου από την υπηρεσία, στην οποία εργαζόταν το χρονικό διάστημα που έλαβε χώρα το πειθαρχικό αδίκημα, προς την υπηρεσία στην οποία εργαζόταν τον κρίσιμο χρόνο της διαβίβασης των επίμαχων εγγράφων. Ειδικότερα, η Αρχή έκρινε κατά πλειοψηφία ότι η εν λόγω διαβίβαση έγινε μεταξύ υπηρεσιών που λειτουργούν στο πλαίσιο του ιδίου υπευθύνου επεξεργασίας, δηλαδή του Υπουργείου Παιδείας, με το σκεπτικό ότι υπεύθυνος επεξεργασίας είναι το ίδιο το Υπουργείο και όχι οι σχολικές μονάδες (απόφαση 28/2016). Επιπρόσθετα, η Αρχή εξέτασε το αίτημα του «Ιπποκράτειου» Γενικού Νοσοκομείου Θεσσαλονίκης για χορήγηση δεδομένων μητέρων από το αρχείο του σε αιτούντα ενήλικο υιοθετημένο και έκρινε ότι για την εν λόγω χορήγηση αρμόδιο είναι το Βρεφοκομείο Άγιος Στυλιανός, καθώς υπεύθυνος επεξεργασίας ήταν το ως άνω βρεφοκομείο, το οποίο όφειλε να αποφανθεί σχετικά, λαμβάνοντας υπόψη τις διατάξεις των άρθρων 1559 παρ. 2 ΑΚ και 12 του ν. 2472/1997, αφού προηγουμένως ενημέρωνε, εάν ήταν εφικτό, τα υποκείμενα των δεδομένων για τη διαβίβαση αυτή (απόφαση 42/2016). Περαιτέρω, η Αρχή απέρριψε, ως άνευ αντικειμένου, αίτημα δικηγόρου για λήψη αδείας της Αρχής για χορήγηση σε τρίτον εγγράφων με ευαίσθητα προσωπικά δεδομένα, καθώς τα ευαίσθητα δεδομένα που περιέχονταν στα υπό κρίση έγγραφα αναφέρονταν στον ίδιο τον τρίτο, οπότε εφαρμόζεται το άρ. 12 ν. 2472/1997, ενώ τα υπόλοιπα προσωπικά δεδομένα που περιέχονταν στα εν λόγω έγγραφα ήταν «απλά» και για τον λόγο αυτό τη στάθμιση για την ύπαρξη υπέρτερου εννόμου συμφέροντος θα την έκανε ο ίδιος ο δικηγόρος ως υπεύθυνος επεξεργασίας (απόφαση 102/2016).

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου