Ζητήματα από την καταχώριση προσωπικών δεδομένων στο σύστημα πληροφοριών «ΤΕΙΡΕΣΙΑΣ» [του Ιωάννη Ιγγλεζάκη, Δ.Ν., Δικηγόρου Θεσσαλονίκης Ειδ. Επιστήμονα Τμ. Νομικής ΑΠΘ]
Ι. Τα ζητήματα που ανέκυψαν σχετικά με την επεξεργασία προσωπικών δεδομένων στην υπόθεση που εξέτασε το Εφετείο Αθηνών και τα οποία αφορούν τη διαβίβαση οικονομικών δεδομένων στο σύστημα πληροφοριών της «ΤΕΙΡΕΣΙΑΣ Α.Ε.» θέτουν στο επίκεντρο του προβληματισμού τα δικαιώματα του προσώπου που αφορά η επεξεργασία των δεδομένων (υποκειμένου των δεδομένων) έναντι της εν λόγω επεξεργασίας, ιδίως όταν τα εν λόγω δεδομένα είναι ανακριβή. Η απόφαση περιορίσθηκε στην εξέταση του ζητήματος αν ήταν σύννομη η καταγραφή, στο αρχείο της Τειρεσίας Α.Ε., διαταγής πληρωμής κατά του υποκειμένου των δεδομένων που δεν του είχε προηγουμένως κοινοποιηθεί, ωστόσο στις παρατηρήσεις που ακολουθούν θα επιχειρηθεί μια σφαιρικότερη προσέγγιση των ζητημάτων πουανακύπτουν, στο πλαίσιο του δικαίου προστασίας προσωπικών δεδομένων (ν. 2472/1997)1
ΙΙ. 1. Εισαγωγικά θα πρέπει να αναφερθούμε εν συντομία στη λειτουργία που επιτελεί το σύστημα πληροφοριών «Τειρεσίας». Συγκεκριμένα, το σύστημα αυτό δημιουργήθηκε το 1997 από τα ελληνικά τραπεζικά ιδρύματα υπό τη μορφή ανώνυμης εταιρίας με την επωνυμία «Τραπεζικά Συστήματα Πληροφοριών Ανώνυμη Εταιρία (Τειρεσίας Α.Ε.)». Στο πλαίσιο αυτό η εταιρία Τειρεσίας Α.Ε. δημιούργησε αρχείο και σύστημα και σύστημα συγκέντρωσης και διασταύρωσης πληροφοριών (σύστημα δεδομένων οικονομικής συμπεριφοράς), στο οποίο καταχωρούνται αρνητικά για τη φερεγγυότητα των υποκειμένων δεδομένα (οφειλές από ακάλυπτες επιταγές ή απλήρωτες συναλλαγματικές, διαταγές πληρωμής, προγράμματα πλειστηριασμού, κατασχέσεις, επιταγές του ν.δ. 1923, διοικητικές κυρώσεις του Υπουργείου Οικονομικών, αιτήσεις πτωχεύσεων, προσημειώσεις υποθηκών και υποθήκες). Σκοπός της είναι η συγκέντρωση, ταξινόμηση και διάθεση στις Τράπεζες που λειτουργούν στην Ελλάδα των παραπάνω οικονομικών πληροφοριών, που αφορούν φυσικά και νομικά πρόσωπα δραστηριοποιούμενα στην Χώρα. Αποδέκτες των σχετικών πληροφοριών είναι, κατ’ αρχήν, οι τράπεζες–μέλη της Ένωσης Ελληνικών Τραπεζών, τα χρηματοπιστωτικά ιδρύματα και οι εταιρίες διαχείρισης πιστωτικών καρτών, αλλά και φορείς του δημόσιου τομέα2 .
2. Η επεξεργασία προσωπικών δεδομένων στο πλαίσιο του συστήματος της Τειρεσίας ΑΕ έχει κριθεί σύννομη3 , με βάση τις αποφάσεις 109/99 και 523/99 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή), οι οποίες επαναλήφθησαν με τις αποφάσεις 24/04 και 25/04 και στις οποίες αναγνωρίζεται ότι η επεξεργασία είναι πράγματι απολύτως αναγκαία ενόψει του σκοπού της επεξεργασίας, ήτοι της ελαχιστοποίησης των κινδύνων από τη σύναψη πιστωτικών συμβάσεων με αφερέγγυους πελάτες και εν γένει από τη δημιουργία επισφαλών απαιτήσεων και της προστασίας της εμπορικής πίστης και της εξυγίανσης των οικονομικών συναλλαγών, όπως και ότι η προστασία της εμπορικής πίστεως σε σύγκριση με τα συμφέροντα των υποκειμένων μπορεί να θεωρηθεί ότι υπερέχει προφανώς υπό την έννοια του άρθρου 5 § 2 εδ. ε΄ του Ν. 2472/1997, ως εκ τούτου δε επιτρέπει την επεξεργασία των ανωτέρω δεδομένων και χωρίς την συγκατάθεση του υποκειμένου4 .
3. Η εταιρία Τειρεσίας ΑΕ γνωστοποίησε στην Αρχή το αρχείο της, σύμφωνα με το άρθρο 6 ν. 2472/1997, το οποίο προβλέπει την υποχρέωση κάθε υπεύθυνου επεξεργασίας να γνωστοποιεί εγγράφως στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας, καθώς και τον Κανονισμό λειτουργίας του αρχείου. Και, περαιτέρω, καταχώρισε στον Τύπο σχετική ανακοίνωση περί της λειτουργίας του αρχείου και έχει γνωστοποιήσει στην Αρχή προηγουμένως την εν λόγω ανακοίνωση, σύμφωνα με το άρθρο 24 § 3 ν. 2472/1997 και τις αποφάσεις υπ’ αριθ. 408/1998 και 1/1999 της Αρχής που επεκτείνουν την εμβέλεια της παραπάνω διάταξης, η οποία είναι μεταβατική και αναφέρεται στα λειτουργούντα αρχεία και τις υφιστάμενες επεξεργασίες κατά την έναρξη του νόμου, και καθίσταται πλέον γενικής εφαρμογής, όταν συντρέχουν οι προϋποθέσεις που αναφέρονται σε αυτήν και, κυρίως, όταν ο αριθμός των υποκείμενων σε επεξεργασία ατόμων που πρέπει να ενημερωθούν ανέρχεται τουλάχιστον σε 1.000.
4. Η καταχώριση αρνητικών πληροφοριών σχετικά με την αφερεγγυότητα ενός προσώπου στο παραπάνω σύστημα πληροφοριών επιφέρει οπωσδήποτε ιδιαίτερα αρνητικές συνέπειες5 , καθ’ όσον όσο διάστημα διατηρούνται στο αρχείο οι εγγραφείσες πληροφορίες είναι αδύνατη η λήψη δανείου ή πίστωσης. Ως αντιστάθμισμα το υποκείμενο των δεδομένων έχει συγκεκριμένα, καθορισμένα στο νόμο, δικαιώματα, όπως είναι το δικαίωμα ενημέρωσης (άρθρο 11 ν. 2472/1997), το δικαίωμα πρόσβασης (άρθρο 12), το δικαίωμα αντίρρησης (άρθρο 13) και το δικαίωμα προσωρινής δικαστικής προστασίας (άρθρο 14), δίχως να αποκλείεται, βεβαίως, η προσφυγή στη δικαστική οδό.
ΙΙΙ. 1. Σύμφωνα με το ν. 2472/1997 (άρθρο 13), κάθε ένας, του οποίου προσωπικά δεδομένα υπόκεινται σε επεξεργασία, έχει δικαίωμα να προβάλει αντιρρήσεις στον υπεύθυνο επεξεργασίας και μάλιστα οποτεδήποτε, δηλ. είτε κατά τη διάρκεια της συλλογής των πληροφοριών είτε μετά6 . Για να έχει τη δυνατότητα, ωστόσο, να προβάλει το υποκείμενο των δεδομένων αντιρρήσεις έναντι της Τειρεσίας Α.Ε. για την επεξεργασία δεδομένων που το αφορούν, θα πρέπει να έχει πληροφορηθεί προηγουμένως την εν λόγω επεξεργασία. Η ενημέρωση του υποκειμένου των δεδομένων, έτσι, αποτελεί υποχρέωση του υπεύθυνου επεξεργασίας, η οποία αποσκοπεί στην προστασία του δικαιώματος πληροφοριακής αυτοδιάθεσης του υποκειμένου και η οποία διατυπώνεται στο νόμο (άρθρο 11 ν. 2472/1997) ως δικαίωμα του τελευταίου7 . Θα πρέπει να σημειωθεί ότι το δικαίωμα ενημέρωσης υφίσταται κατά τη διάρκεια της συλλογής των δεδομένων (άρθρο 11 § 1 ν. 2472/1997), ήτοι κατά τη συγκέντρωση των στοιχείων που πρόκειται να εισαχθούν σε ένα αρχείο ή να αποτελέσουν αντικείμενο επεργασίας. Περαιτέρω και στην περίπτωση όπου τα δεδομένα δεν έχουν συλλεχθεί από το υποκείμενο ή με τη συνδρομή του και πρόκειται να υποστούν επεξεργασία, πρέπει το υποκείμενο να ενημερώνεται, όπως προκύπτει από τη διάταξη του άρθρου 11 § 3 ν. 2472/1997, η οποία ορίζει ότι εάν τα δεδομένα ανακοινώνονται σε τρίτους, το υποκείμενο ενημερώνεται για την ανακοίνωση πριν από αυτούς8 .
2. Για την ενημέρωση των υποκειμένων των δεδομένων, η Τειρεσίας Α.Ε. προέβη σε καταχώριση στον Τύπο ανακοίνωσης για τη λειτουργία του αρχείου, την οποία επαναλαμβάνει τακτικά. Η δυνατότητα αυτή προβλέπεται από το άρθρο 24 § 3 εδ. β΄ ν. 2472/1997 και τις κανονιστικές πράξεις της Αρχής. Συγκεκριμένα, η παραπάνω διάταξη αφορά τα αρχεία που λειτουργούσαν και τις επεξεργασίες που εκτελούνταν κατά την έναρξη ισχύος του ν. 2472/1997 και προβλέπει τη δυνατότητα των υπευθύνων επεξεργασίας να προβούν σε ενημέρωση των υποκειμένων δια του τύπου, εφόσον αυτή αφορά μεγάλο αριθμό υποκειμένων. Η ίδια διάταξη στο εδ. γ΄ παρέχει εξουσιοδότηση στην Αρχή να καθορίσει τις λεπτομέρειες της ανακοίνωσης δια του τύπου.
3. Με την υπ’ αριθ. 1/1999 πράξη της, η Αρχή καθόρισε στο άρθρο 3 § 3 εδ. β΄ ότι, όταν η ενημέρωση αφορά μεγάλο αριθμό υποκειμένων, επιτρέπεται η ενημέρωσή τους δια του τύπου, υπό την προϋπόθεση της λήψης άδειας από την Αρχή, η οποία παρέχεται είτε για επιμέρους κλάδους ή τομείς δραστηριότητας είτε για συγκεκριμένο αρχείο. Περαιτέρω, με την υπ’ αριθ. 408/1998 απόφασή της, η Αρχή εξειδίκευσε την προϋπόθεση του μεγάλου αριθμού υποκειμένων και κατέστησε σαφές ότι η προϋπόθεση αυτή συντρέχει όταν ο αριθμός των ατόμων αυτών είναι ίσος ή υπέρτερος των χιλίων, ενώ καθόρισε και τις λεπτομέρειες σχετικά με τη δημοσίευση. Η Αρχή έχει σύμφωνα με το νόμο και, συγκεκριμένα, με βάση το άρθρο 19 § 1 περ. ι΄ ν. 2472/1997, τη δυνατότητα να εκδίδει κανονιστικές πράξεις για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων, στα οποία αναφέρεται ο παρών νόμος. Συνεπώς, η αρμοδιότητά της εκτείνεται στην εξειδίκευση των ρυθμίσεων του νόμου και δεν είναι, οπωσδήποτε, αυτόνομη αρμοδιότητα. Κάνοντας εν προκειμένω χρήση της εξουσιοδοτήσεως που της παρείχε ο νόμος (24 § 3 εδ. γ΄), η Αρχή εξέδωσε τις παραπάνω κανονιστικές πράξεις. Ωστόσο, ενώ ο νόμος με την παραπάνω διάταξη εξουσιοδοτεί την Αρχή να ρυθμίσει τις λεπτομέρειες που αφορούν την ενημέρωση του τύπου, στην περίπτωση των αρχείων που λειτουργούσαν και των επεξεργασιών που εκτελούνταν κατά την έναρξη ισχύος του ν. 2472/1997, η Αρχή «νομοθέτησε» τροποποιώντας κατ’ ουσίαν τη διάταξη του άρθρου 11 ν. 2472/1997 και προέβλεψε –κατά παρέκκλιση από το άρθρο 11– τη δυνατότητα των υπεύθυνων επεξεργασίας να ενημερώνουν εφεξής δια του τύπου τα υποκείμενα, σε κάθε περίπτωση και όχι μόνο όσον αφορά τα υφιστάμενα κατά την έναρξη του νόμου αρχεία. Συνεπώς, έχουμε την άποψη ότι εν προκειμένω η Αρχή υπερέβη την εξουσιοδότηση του άρθρου 24 § 3 του ν. 2472/1997. Και, εν πάση περιπτώσει, εισήγαγε μια εξαίρεση από το δικαίωμα ενημέρωσης, όπως κατοχυρώνεται στο άρθρο 11, η οποία δεν βρίσκει έρεισμα στο νόμο και δημιουργεί προβλήματα στην πράξη. Μάλιστα, θα πρέπει να σημειωθεί ότι ούτε η οδηγία 95/46/ΕΚ καθορίζει τη δυνατότητα των κρατών μελών να προβλέψουν εξαίρεση από το δικαίωμα ενημέρωσης όταν ο αριθμός των υποκειμένων είναι μεγάλος ή, ειδικότερα, εναλλακτική δυνατότητα ενημέρωσης δια του τύπου9 .
IV.1. Τα προβλήματα που δημιουργούνται από την έλλειψη πληροφόρησης του υποκειμένου των δεδομένων γίνονται σαφή και στην υπόθεση που αντιμετώπισε η παραπάνω απόφαση του Εφετείου Αθηνών, όπου το υποκείμενο των δεδομένων –ο ενάγων– στερήθηκε τη δυνατότητα να γνωρίζει ότι προσωπικά δεδομένα που τον αφορούσαν καταχωρήθηκαν στο αρχείο της Τειρεσίας, τόσο διότι δεν ενημερώθηκε για την καταχώριση στο αρχείο αυτό των πληροφοριών σχετικά με την κατ’ αυτού στρεφόμενη διαταγή πληρωμής, όσο και διότι δεν του κοινοποιήθηκε η διαταγή πληρωμής. Ιδίως, όσον αφορά την καταχώριση πληροφοριών σχετικά με διαταγή πληρωμής που δεν κοινοποιήθηκε στον καθ’ ου, το ζήτημα που τίθεται είναι αν είναι νόμιμη και θεμιτή η συλλογή τους κατά το άρθρο 4 § 1 περ. α΄, όσο και αν η επεξεργασία τους είναι νόμιμη με βάση το άρθρο 5 § 2 περ. ε΄ του ν. 2472/1997.
2. Η απόφαση του Εφετείου διατυπώνει ορισμένες σκέψεις σχετικά με το ζήτημα αυτό, τις οποίες δεν θεμελιώνει με βάση τις αρχές και τους κανόνες του δικαίου της προστασίας προσωπικών δεδομένων. Συγκεκριμένα, αναφέρει ότι στον Κανονισμό της Τειρεσίας Α.Ε. δεν διατυπώνεται ως προϋπόθεση για την καταχώριση διαταγής πληρωμής η προηγούμενη κοινοποίησή της στον καθ’ ου. Ωστόσο, το καθήκον του δικαστηρίου ήταν να κρίνει την πρακτική και τους κανόνες που εφαρμόζει η Τειρεσίας Α.Ε. και όχι να κρίνει με βάση αυτούς.
Επίσης, λαμβάνει υπόψη ότι εκδόθηκε η υπ’ αριθ. 545/1999 απόφαση της Αρχής, η οποία αποφαίνεται ότι η Τειρεσίας Α.Ε. θα μπορεί να προβαίνει σε καταχώριση δυσμενών δεδομένων που αναφέρονται σε διαταγές πληρωμής υπό την προϋπόθεση η διαταγή πληρωμής να έχει κοινοποιηθεί στον καθ’ ου, δέχεται όμως ότι αυτή η απόφαση αφορά στο μέλλον και δεν καθιδρύει αναδρομικώς παρανομία της Τειρεσίας Α.Ε. Κατά την άποψή μας, το Δικαστήριο έπρεπε να λάβει υπόψη την κρίση της Αρχής σχετικά με τη νομιμότητα της εν λόγω καταχώρισης, καθ’ όσον εάν ήταν σύννομη και δίκαιη η πρακτική της καταχώρισης διαταγών πληρωμής στο αρχείο της Τειρεσίας Α.Ε. δίχως να έχει προηγηθεί κοινοποίησή τους στους καθ’ ων, δεν θα εξέδιδε η Αρχή την παραπάνω απόφαση.
V. Προκειμένου να κριθεί η νομιμότητα της καταχώρισης της διαταγής πληρωμής στο αρχείο της Τειρεσίας Α.Ε. στην επίδικη περίπτωση, όπου δεν υφίστανται ειδικοί κανόνες, θα πρέπει να ερμηνεύσουμε τις κρίσιμες διατάξεις, δηλ. το άρθρο 4 § 1 περ. α΄ και το άρθρο 5 § 2 περ. ε΄ του ν. 2472/1997, με αναγωγή στο δικαίωμα της ιδιωτικής ζωής που αποτελεί και το αντικείμενο προστασίας του ν. 2472/199710 . 1. Ορόσημο στην κατοχύρωση του δικαιώματος στην προστασία των προσωπικών δεδομένων αποτελεί η απόφαση της 15.12.1983 του γερμανικού Ομοσπονδιακού Συνταγματικού Δικαστηρίου στην υπόθεση Volkszählungsgesetz11 . Όπως δέχθηκε το Δικαστήριο στην απόφαση αυτή, ο αυτοκαθορισμός και η αυτονομία του ατόμου προϋποθέτουν την ελευθερία του να αποφασίζει για το τι θα πράξει και τι θα παραλείψει σε συνδυασμό με την πραγματική δυνατότητά του να ενεργεί σύμφωνα με την απόφαση αυτή. Όποιος δεν γνωρίζει και δεν είναι σε θέση να υπολογίζει ποιες πληροφορίες τον αφορούν και είναι γνωστές στον κοινωνικό του περίγυρο είναι δυνατόν να περιορίζεται σημαντικά στην ελευθερία του να προγραμματίζει και να αποφασίζει αυτόνομα. Δεν συμβιβάζεται, έτσι, με το δικαίωμα του πληροφοριακού αυτοκαθορισμού η έννομη τάξη και, κατά συνέπεια η κοινωνία, στην οποία οι πολίτες δεν είναι σε θέση να γνωρί ζουν ποιος, τι και με ποια ευκαιρία γνωρίζει για αυτούς. Γίνεται σαφές, με βάση τα παραπάνω, ότι η καταχώριση των πληροφοριών σχετικά με τη διαταγή πληρωμής, για την οποία καμία ενημέρωση δεν έλαβε το υποκείμενο των δεδομένων, προσβάλλει τον πυρήνα του δικαιώματος στον πληροφοριακό αυτοκαθορισμό, το οποίο συνιστά μια πτυχή του δικαιώματος προστασίας της ιδιωτικής ζωής12 . Και τούτο, διότι, όπως προαναφέρθηκε, το υποκείμενο των δεδομένων στην υπό κρίση περίπτωση δεν είχε τη δυνατότητα να γνωρίζει την ύπαρξη της διαταγής πληρωμής ούτε και τη σχετική καταχώριση στο αρχείο της Τειρεσίας Α.Ε.
2. Αυτό σημαίνει ότι η εν λόγω καταχώριση πληροφοριών είναι μη νόμιμη ως αντικείμενη στο Σύνταγμα και, συγκεκριμένα, στις διατάξεις του όπου κατοχυρώνεται το δικαίωμα προστασίας της ιδιωτικής ζωής (άρθρο 9 § 1 εδ. β΄ και 9Α Συντ.). Κατά συνέπεια η συλλογή των υπό κρίση πληροφοριών, δηλ. η άντλησή τους από το αρχείο των δικαστηρίων είναι μη νόμιμη και μη θεμιτή και, συνεπώς, αντιβαίνει στη διάταξη του άρθρου 4 § 1 εδ. α΄ ν. 2472/1997. Εδώ πρέπει να σημειωθεί ότι το άρθρο 4 του ν. 2472/1997 θεσπίζει γενικές προϋποθέσεις νομιμότητας της επεξεργασίας προσωπικών δεδομένων, οι οποίες πρέπει να πληρούνται παραλλήλως με τους κανόνες των άρθρων 5 και 7 που καθορίζουν τις ειδικές προϋποθέσεις νομιμότητας της επεξεργασίας αυτής. Μία από τις προϋποθέσεις που θεσπίζει η παραπάνω διάταξη είναι και αυτή που προβλέπει ότι τα προσωπικά δεδομένα πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών.
Επιπλέον, η επεξεργασία των πληροφοριών, δηλ. η καταχώρισή τους στο αρχείο της Τειρεσίας Α.Ε. και η ανακοίνωσή τους σε τρίτους, δεν μπορεί να θεωρηθεί ως νόμιμη κατά το άρθρο 5 § 2 περ. ε΄ ν. 2472/1997, βάσει του οποίου έχει κριθεί από την Αρχή ότι καθίσταται νόμιμη η επεξεργασία δεδομένων από την Τειρεσίας Α.Ε. (βλ. παραπάνω, υπό ΙΙ 2). Και τούτο, διότι ακόμα και αν δεχθούμε ότι η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, δεν πληρούται η προϋπόθεση να υπερέχει προφανώς το εν λόγω έννομο συμφέρον των δικαιωμάτων και συμφερόντων των υποκειμένων των δεδομένων και να μην θίγονται οι θεμελιώδεις ελευθερίες αυτών, αφού, σύμφωνα με όσα προαναφέρθηκαν, στη συγκεκριμένη περίπτωση θίγεται ουσιωδώς το δικαίωμα της ιδιωτικής ζωής του υποκειμένου των δεδομένων από την έλλειψη ενημέρωσής του, η οποία (ενημέρωση) θα του παρείχε τη δυνατότητα να προβάλλει αντιρρήσεις κατά της επεξεργασίας εγκαίρως.
3. Σε αντίθεση με την κρίση της παραπάνω απόφασης του Εφετείου, φρονούμε λοιπόν ότι στην προκειμένη περίπτωση θεμελιώνεται ευθύνη της Τειρεσίας Α.Ε., διότι καταχώρισε στο αρχείο της και στη συνέχεια ανακοίνωσε σε τρίτους δυσμενείς οικονομικές πληροφορίες που αφορούσαν τον ενάγοντα, δίχως προηγουμένως να ελέγξει εάν η διαταγή πληρωμής είχε κοινοποιηθεί σε αυτόν και να τον ενημερώσει13 .
Ιωάννης Δ. Ιγγλεζάκης
Δ.Ν., Δικηγόρος Θεσσαλονίκης
Ειδ. Επιστήμονας Τμ. Νομικής ΑΠΘ
_______________________________________________________________________________
1. Από τη βιβλιογραφία σχετικά με την προστασία προσωπικών δεδομένων βλ. Μ. Αυγουστιανά-
κη, Προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων, ΔτΑ 11/2001, σελ. 673 επ.· Α. Γέροντα, Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδομένων, Αθήνα-Κομοτηνή 2002· Ι. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, εκδ. Σάκκουλα, Αθήνα-Θεσσαλονίκη 2004· Δ. Κατραμάδου, Προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων (Ν. 2472/97), ΔτΑ 3/1999, σελ. 577 επ.· Ε. Μήτρου, Η αρχή προστασίας προσωπικών δεδομένων, 1999.
2. Βλ. Ι. Ιγγλεζάκη, Προσβολή προσωπικότητας και παραβίαση προσωπικών δεδομένων από δια-
βίβαση ανακριβών δεδομένων στο σύστημα πληροφοριών «ΤΕΙΡΕΣΙΑΣ». Παρατηρήσεις ΙΙ στην
ΕφΘεσ 147/2005, ΕπισκΕΔ 2005, σελ. 179 επ. (180).
3. Νόμιμη κρίθηκε η επεξεργασία προσωπικών δεδομένων και στη νομολογία· βλ. ΜΠρΑθ 7363/
2002, 10775/2002, 37472/1999, 17624/1999, 17405/1999, 2928/1998, 15972/1997. Σε πρόσφατη απόφασή της, την υπ’ αριθ. 37/2005, η Αρχή επαναλαμβάνει την κρίση της περί της νομιμότητας του αρχείου και της επεξεργασίας προσωπικών δεδομένων από την «Τειρεσίας ΑΕ», τονίζει δε ότι η εν γένει αμφισβήτηση του εν λόγω συστήματος καταγραφής δεδομένων από όσους έχουν αντίρρηση στην συγκέντρωση και επεξεργασία δεδομένων που τους αφορούν δεν βρίσκει νόμιμο έρεισμα, ενόψει του ότι έχει κριθεί ότι υφίσταται νόμιμο συμφέρον του υπεύθυνου επεξεργασίας σύμφωνα με το ν. 2472/1997, ενώ και ο ισχυρισμός περί αντισυνταγματικότητας του άρθρου 5 § 2 ε΄ ν. 2472/97 είναι αβάσιμος, αφού στο άρθρο 9Α § 1 Συντ. προβλέπεται επιφύλαξη υπέρ του νόμου («Καθένας έχει δικαίωμα προστασίας από την συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει»).
4. Η συγκατάθεση του υποκειμένου των δεδομένων αποτελεί τον κύριο λόγο, βάσει του οποίου
καθίσταται νόμιμη η επεξεργασία προσωπικών δεδομένων, σύμφωνα με το άρθρο 5 § 1 ν. 2472/1997, ενώ οι λοιπές προϋποθέσεις νομιμότητας στην παρ. 2 του ίδιου άρθρου τίθενται ως εξαιρέσεις. Τούτο, ωστόσο, δεν έχει ιδιαίτερη αξία, καθ’ όσον η επεξεργασία δεδομένων καθίσταται νόμιμη, εφόσον συντρέχει ένας από τους αναφερόμενους στις επιμέρους διατάξεις είτε της παρ. 1 είτε της παρ. 2 περιπτώσεις α΄ έως ε΄· βλ. σχετ. Ι. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, σελ. 70 επ.
5. Βλ. Ι. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 10.
6. Για το δικαίωμα αντίρρησης βλ. Β. Τουντόπουλου, Το δικαίωμα αντίρρησης του υποκειμένου
των δεδομένων, ΤοΣ 1999, σελ. 21 επ.· Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Ηλεκτρονική επεξεργασία προσωπικών δεδομένων και το δικαίωμα αντίρρησης του υποκειμένου τους, Αρμ 2005, σελ. 137 επ. Πρέπει να σημειωθεί ότι σύμφωνα με τον Τουντόπουλο, το δικαίωμα αντίρρησης διακρίνεται σε γενικό και σε ειδικό, με την έννοια ότι το πρώτο συνίσταται στο δικαίωμα του υποκειμένου να δηλώσει στην Αρχή ότι δεδομένα που το αφορούν δεν επιθυμεί να αποτελέσουν αντικείμενο επεξεργασίας από οποιονδήποτε, για λόγους προώθησης πωλήσεως αγαθών ή παροχής υπηρεσιών εξ αποστάσεως (άρθρο 13 § 3 ν. 2472/1997) και το δεύτερο στο δικαίωμα του υποκειμένου να προβάλει σε συγκεκριμένο υπεύθυνο επεξεργασίας αντιρρήσεις για την επεξεργασία δεδομένων που το αφορούν, κατά το άρθρο 13 § 1 ν. 2472/1997, ενώ η Αλεξανδροπούλου κάνει λόγο για δικαίωμα απόλυτης και σχετικής αντίρρησης, αντίστοιχα. Η τελευταία αυτή διάκριση δεν μπορεί να γίνει δεκτή, αφού εδώ πρόκειται για δύο εκφάνσεις του ίδιου δικαιώματος, οι οποίες δεν επιδέχονται διαβάθμιση με κριτήριο τον απόλυτο ή μη χαρακτήρα τους. Ορθότερο είναι πάντως να χαρακτηρισθεί το δικαίωμα του άρθρου 13 § 3 ως ειδικό δικαίωμα αντίρρησης, καθώς αποτελεί μια ιδιαίτερη περίπτωση του δικαιώματος αντίρρησης, και ως γενικό το δικαίωμα στο άρθρο 13 § 1· βλ. έτσι και Π. Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα (Ερμηνεία Ν. 2472/1997), Αθήνα-Θεσσαλονίκη 2005, σελ. 370.
7. Βλ. Β. Τουντόπουλου, Το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων, ΔΕΕ 1999,
σελ. 576. Για τη φύση της υποχρέωσης ενημέρωσης βλ. Π. Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα, ό.π., σελ. 317.
8. Βλ. την υπ’ αριθ. 24/2004 απόφαση της Αρχής· επίσης, ΜΠρΘεσ 2950/2002, Αρμ 2004, σελ.
195 επ. (198).
9. Η διάταξη του άρθρο 11 § 2 της οδηγίας 95/46, την οποία αναφέρει η απόφαση 1/1999 και η
οποία προβλέπει τη δυνατότητα εξαίρεσης από το δικαίωμα ενημέρωσης σε περίπτωση συλλογής δεδομένων όχι από το πρόσωπο στο οποίο αναφέρονται, είναι ειδική και αφορά μόνο την επεξεργασία γιa σκοπούς στατιστικούς ή ιστορικής ή επιστημονικής έρευνας.
10. Βλ. σχετ. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 61 επ., 47 επ.· πρβλ. Π.
Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα, ό.π., σελ. 10 επ. Θα πρέπει να σημειωθεί ότι αντικείμενο προστασίας του ν. 2472/1997 είναι τα δικαιώματα και οι θεμελιώδεις ελευθερίες των φυσικών προσώπων, των οποίων προσωπικά δεδομένα υπόκεινται σε επεξεργασία, όπως συνάγεται από το άρθρο 1 του νόμου. Δεν είναι εύστοχο, επομένως, να υποστηρίζεται ότι ο νόμος αποσκοπεί στην προστασία των υπευθύνων της επεξεργασίας (Π. Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα, ό.π., σελ. 10), αφού κάτι τέτοιο υπερακοντίζει τους στόχους της προστασίας των προσωπικών δεδομένων και είναι ξένο σε σχέση με το πνεύμα του νόμου.
11. BVerfGE 65, 1 επ., βλ. ΕφαρμΔημΔικ, 1988, σελ. 338 επ. Από τη βιβλιογραφία βλ. S. Simitis,
σε: Simitis/Dammann/Geiger/Mallmann/Walz, Kommentar zum Bundesdatenschutzgesetz, σελ. 22 επ., 162 επ., τον ίδιο, Die informationelle Selbstbestimmung – Grundbedingung einer verfassungskonformen Informationsordnung, NJW 1984, 402· Α. Γέροντα, Η ηλεκτρονική επεξεργασία των πληροφοριών και η προστασία των θεμελιωδών δικαιωμάτων, ΕλΔνη 1989, σελ. 511· Β. Σκουρή, Ατομικά δικαιώματα και απογραφή του πληθυσμού, Αρμ 1981, σελ. 689 επ.· Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 51 επ.
12. Βλ. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 55.
ΙΙ. 1. Εισαγωγικά θα πρέπει να αναφερθούμε εν συντομία στη λειτουργία που επιτελεί το σύστημα πληροφοριών «Τειρεσίας». Συγκεκριμένα, το σύστημα αυτό δημιουργήθηκε το 1997 από τα ελληνικά τραπεζικά ιδρύματα υπό τη μορφή ανώνυμης εταιρίας με την επωνυμία «Τραπεζικά Συστήματα Πληροφοριών Ανώνυμη Εταιρία (Τειρεσίας Α.Ε.)». Στο πλαίσιο αυτό η εταιρία Τειρεσίας Α.Ε. δημιούργησε αρχείο και σύστημα και σύστημα συγκέντρωσης και διασταύρωσης πληροφοριών (σύστημα δεδομένων οικονομικής συμπεριφοράς), στο οποίο καταχωρούνται αρνητικά για τη φερεγγυότητα των υποκειμένων δεδομένα (οφειλές από ακάλυπτες επιταγές ή απλήρωτες συναλλαγματικές, διαταγές πληρωμής, προγράμματα πλειστηριασμού, κατασχέσεις, επιταγές του ν.δ. 1923, διοικητικές κυρώσεις του Υπουργείου Οικονομικών, αιτήσεις πτωχεύσεων, προσημειώσεις υποθηκών και υποθήκες). Σκοπός της είναι η συγκέντρωση, ταξινόμηση και διάθεση στις Τράπεζες που λειτουργούν στην Ελλάδα των παραπάνω οικονομικών πληροφοριών, που αφορούν φυσικά και νομικά πρόσωπα δραστηριοποιούμενα στην Χώρα. Αποδέκτες των σχετικών πληροφοριών είναι, κατ’ αρχήν, οι τράπεζες–μέλη της Ένωσης Ελληνικών Τραπεζών, τα χρηματοπιστωτικά ιδρύματα και οι εταιρίες διαχείρισης πιστωτικών καρτών, αλλά και φορείς του δημόσιου τομέα2 .
2. Η επεξεργασία προσωπικών δεδομένων στο πλαίσιο του συστήματος της Τειρεσίας ΑΕ έχει κριθεί σύννομη3 , με βάση τις αποφάσεις 109/99 και 523/99 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή), οι οποίες επαναλήφθησαν με τις αποφάσεις 24/04 και 25/04 και στις οποίες αναγνωρίζεται ότι η επεξεργασία είναι πράγματι απολύτως αναγκαία ενόψει του σκοπού της επεξεργασίας, ήτοι της ελαχιστοποίησης των κινδύνων από τη σύναψη πιστωτικών συμβάσεων με αφερέγγυους πελάτες και εν γένει από τη δημιουργία επισφαλών απαιτήσεων και της προστασίας της εμπορικής πίστης και της εξυγίανσης των οικονομικών συναλλαγών, όπως και ότι η προστασία της εμπορικής πίστεως σε σύγκριση με τα συμφέροντα των υποκειμένων μπορεί να θεωρηθεί ότι υπερέχει προφανώς υπό την έννοια του άρθρου 5 § 2 εδ. ε΄ του Ν. 2472/1997, ως εκ τούτου δε επιτρέπει την επεξεργασία των ανωτέρω δεδομένων και χωρίς την συγκατάθεση του υποκειμένου4 .
3. Η εταιρία Τειρεσίας ΑΕ γνωστοποίησε στην Αρχή το αρχείο της, σύμφωνα με το άρθρο 6 ν. 2472/1997, το οποίο προβλέπει την υποχρέωση κάθε υπεύθυνου επεξεργασίας να γνωστοποιεί εγγράφως στην Αρχή τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας, καθώς και τον Κανονισμό λειτουργίας του αρχείου. Και, περαιτέρω, καταχώρισε στον Τύπο σχετική ανακοίνωση περί της λειτουργίας του αρχείου και έχει γνωστοποιήσει στην Αρχή προηγουμένως την εν λόγω ανακοίνωση, σύμφωνα με το άρθρο 24 § 3 ν. 2472/1997 και τις αποφάσεις υπ’ αριθ. 408/1998 και 1/1999 της Αρχής που επεκτείνουν την εμβέλεια της παραπάνω διάταξης, η οποία είναι μεταβατική και αναφέρεται στα λειτουργούντα αρχεία και τις υφιστάμενες επεξεργασίες κατά την έναρξη του νόμου, και καθίσταται πλέον γενικής εφαρμογής, όταν συντρέχουν οι προϋποθέσεις που αναφέρονται σε αυτήν και, κυρίως, όταν ο αριθμός των υποκείμενων σε επεξεργασία ατόμων που πρέπει να ενημερωθούν ανέρχεται τουλάχιστον σε 1.000.
4. Η καταχώριση αρνητικών πληροφοριών σχετικά με την αφερεγγυότητα ενός προσώπου στο παραπάνω σύστημα πληροφοριών επιφέρει οπωσδήποτε ιδιαίτερα αρνητικές συνέπειες5 , καθ’ όσον όσο διάστημα διατηρούνται στο αρχείο οι εγγραφείσες πληροφορίες είναι αδύνατη η λήψη δανείου ή πίστωσης. Ως αντιστάθμισμα το υποκείμενο των δεδομένων έχει συγκεκριμένα, καθορισμένα στο νόμο, δικαιώματα, όπως είναι το δικαίωμα ενημέρωσης (άρθρο 11 ν. 2472/1997), το δικαίωμα πρόσβασης (άρθρο 12), το δικαίωμα αντίρρησης (άρθρο 13) και το δικαίωμα προσωρινής δικαστικής προστασίας (άρθρο 14), δίχως να αποκλείεται, βεβαίως, η προσφυγή στη δικαστική οδό.
ΙΙΙ. 1. Σύμφωνα με το ν. 2472/1997 (άρθρο 13), κάθε ένας, του οποίου προσωπικά δεδομένα υπόκεινται σε επεξεργασία, έχει δικαίωμα να προβάλει αντιρρήσεις στον υπεύθυνο επεξεργασίας και μάλιστα οποτεδήποτε, δηλ. είτε κατά τη διάρκεια της συλλογής των πληροφοριών είτε μετά6 . Για να έχει τη δυνατότητα, ωστόσο, να προβάλει το υποκείμενο των δεδομένων αντιρρήσεις έναντι της Τειρεσίας Α.Ε. για την επεξεργασία δεδομένων που το αφορούν, θα πρέπει να έχει πληροφορηθεί προηγουμένως την εν λόγω επεξεργασία. Η ενημέρωση του υποκειμένου των δεδομένων, έτσι, αποτελεί υποχρέωση του υπεύθυνου επεξεργασίας, η οποία αποσκοπεί στην προστασία του δικαιώματος πληροφοριακής αυτοδιάθεσης του υποκειμένου και η οποία διατυπώνεται στο νόμο (άρθρο 11 ν. 2472/1997) ως δικαίωμα του τελευταίου7 . Θα πρέπει να σημειωθεί ότι το δικαίωμα ενημέρωσης υφίσταται κατά τη διάρκεια της συλλογής των δεδομένων (άρθρο 11 § 1 ν. 2472/1997), ήτοι κατά τη συγκέντρωση των στοιχείων που πρόκειται να εισαχθούν σε ένα αρχείο ή να αποτελέσουν αντικείμενο επεργασίας. Περαιτέρω και στην περίπτωση όπου τα δεδομένα δεν έχουν συλλεχθεί από το υποκείμενο ή με τη συνδρομή του και πρόκειται να υποστούν επεξεργασία, πρέπει το υποκείμενο να ενημερώνεται, όπως προκύπτει από τη διάταξη του άρθρου 11 § 3 ν. 2472/1997, η οποία ορίζει ότι εάν τα δεδομένα ανακοινώνονται σε τρίτους, το υποκείμενο ενημερώνεται για την ανακοίνωση πριν από αυτούς8 .
2. Για την ενημέρωση των υποκειμένων των δεδομένων, η Τειρεσίας Α.Ε. προέβη σε καταχώριση στον Τύπο ανακοίνωσης για τη λειτουργία του αρχείου, την οποία επαναλαμβάνει τακτικά. Η δυνατότητα αυτή προβλέπεται από το άρθρο 24 § 3 εδ. β΄ ν. 2472/1997 και τις κανονιστικές πράξεις της Αρχής. Συγκεκριμένα, η παραπάνω διάταξη αφορά τα αρχεία που λειτουργούσαν και τις επεξεργασίες που εκτελούνταν κατά την έναρξη ισχύος του ν. 2472/1997 και προβλέπει τη δυνατότητα των υπευθύνων επεξεργασίας να προβούν σε ενημέρωση των υποκειμένων δια του τύπου, εφόσον αυτή αφορά μεγάλο αριθμό υποκειμένων. Η ίδια διάταξη στο εδ. γ΄ παρέχει εξουσιοδότηση στην Αρχή να καθορίσει τις λεπτομέρειες της ανακοίνωσης δια του τύπου.
3. Με την υπ’ αριθ. 1/1999 πράξη της, η Αρχή καθόρισε στο άρθρο 3 § 3 εδ. β΄ ότι, όταν η ενημέρωση αφορά μεγάλο αριθμό υποκειμένων, επιτρέπεται η ενημέρωσή τους δια του τύπου, υπό την προϋπόθεση της λήψης άδειας από την Αρχή, η οποία παρέχεται είτε για επιμέρους κλάδους ή τομείς δραστηριότητας είτε για συγκεκριμένο αρχείο. Περαιτέρω, με την υπ’ αριθ. 408/1998 απόφασή της, η Αρχή εξειδίκευσε την προϋπόθεση του μεγάλου αριθμού υποκειμένων και κατέστησε σαφές ότι η προϋπόθεση αυτή συντρέχει όταν ο αριθμός των ατόμων αυτών είναι ίσος ή υπέρτερος των χιλίων, ενώ καθόρισε και τις λεπτομέρειες σχετικά με τη δημοσίευση. Η Αρχή έχει σύμφωνα με το νόμο και, συγκεκριμένα, με βάση το άρθρο 19 § 1 περ. ι΄ ν. 2472/1997, τη δυνατότητα να εκδίδει κανονιστικές πράξεις για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων, στα οποία αναφέρεται ο παρών νόμος. Συνεπώς, η αρμοδιότητά της εκτείνεται στην εξειδίκευση των ρυθμίσεων του νόμου και δεν είναι, οπωσδήποτε, αυτόνομη αρμοδιότητα. Κάνοντας εν προκειμένω χρήση της εξουσιοδοτήσεως που της παρείχε ο νόμος (24 § 3 εδ. γ΄), η Αρχή εξέδωσε τις παραπάνω κανονιστικές πράξεις. Ωστόσο, ενώ ο νόμος με την παραπάνω διάταξη εξουσιοδοτεί την Αρχή να ρυθμίσει τις λεπτομέρειες που αφορούν την ενημέρωση του τύπου, στην περίπτωση των αρχείων που λειτουργούσαν και των επεξεργασιών που εκτελούνταν κατά την έναρξη ισχύος του ν. 2472/1997, η Αρχή «νομοθέτησε» τροποποιώντας κατ’ ουσίαν τη διάταξη του άρθρου 11 ν. 2472/1997 και προέβλεψε –κατά παρέκκλιση από το άρθρο 11– τη δυνατότητα των υπεύθυνων επεξεργασίας να ενημερώνουν εφεξής δια του τύπου τα υποκείμενα, σε κάθε περίπτωση και όχι μόνο όσον αφορά τα υφιστάμενα κατά την έναρξη του νόμου αρχεία. Συνεπώς, έχουμε την άποψη ότι εν προκειμένω η Αρχή υπερέβη την εξουσιοδότηση του άρθρου 24 § 3 του ν. 2472/1997. Και, εν πάση περιπτώσει, εισήγαγε μια εξαίρεση από το δικαίωμα ενημέρωσης, όπως κατοχυρώνεται στο άρθρο 11, η οποία δεν βρίσκει έρεισμα στο νόμο και δημιουργεί προβλήματα στην πράξη. Μάλιστα, θα πρέπει να σημειωθεί ότι ούτε η οδηγία 95/46/ΕΚ καθορίζει τη δυνατότητα των κρατών μελών να προβλέψουν εξαίρεση από το δικαίωμα ενημέρωσης όταν ο αριθμός των υποκειμένων είναι μεγάλος ή, ειδικότερα, εναλλακτική δυνατότητα ενημέρωσης δια του τύπου9 .
IV.1. Τα προβλήματα που δημιουργούνται από την έλλειψη πληροφόρησης του υποκειμένου των δεδομένων γίνονται σαφή και στην υπόθεση που αντιμετώπισε η παραπάνω απόφαση του Εφετείου Αθηνών, όπου το υποκείμενο των δεδομένων –ο ενάγων– στερήθηκε τη δυνατότητα να γνωρίζει ότι προσωπικά δεδομένα που τον αφορούσαν καταχωρήθηκαν στο αρχείο της Τειρεσίας, τόσο διότι δεν ενημερώθηκε για την καταχώριση στο αρχείο αυτό των πληροφοριών σχετικά με την κατ’ αυτού στρεφόμενη διαταγή πληρωμής, όσο και διότι δεν του κοινοποιήθηκε η διαταγή πληρωμής. Ιδίως, όσον αφορά την καταχώριση πληροφοριών σχετικά με διαταγή πληρωμής που δεν κοινοποιήθηκε στον καθ’ ου, το ζήτημα που τίθεται είναι αν είναι νόμιμη και θεμιτή η συλλογή τους κατά το άρθρο 4 § 1 περ. α΄, όσο και αν η επεξεργασία τους είναι νόμιμη με βάση το άρθρο 5 § 2 περ. ε΄ του ν. 2472/1997.
2. Η απόφαση του Εφετείου διατυπώνει ορισμένες σκέψεις σχετικά με το ζήτημα αυτό, τις οποίες δεν θεμελιώνει με βάση τις αρχές και τους κανόνες του δικαίου της προστασίας προσωπικών δεδομένων. Συγκεκριμένα, αναφέρει ότι στον Κανονισμό της Τειρεσίας Α.Ε. δεν διατυπώνεται ως προϋπόθεση για την καταχώριση διαταγής πληρωμής η προηγούμενη κοινοποίησή της στον καθ’ ου. Ωστόσο, το καθήκον του δικαστηρίου ήταν να κρίνει την πρακτική και τους κανόνες που εφαρμόζει η Τειρεσίας Α.Ε. και όχι να κρίνει με βάση αυτούς.
Επίσης, λαμβάνει υπόψη ότι εκδόθηκε η υπ’ αριθ. 545/1999 απόφαση της Αρχής, η οποία αποφαίνεται ότι η Τειρεσίας Α.Ε. θα μπορεί να προβαίνει σε καταχώριση δυσμενών δεδομένων που αναφέρονται σε διαταγές πληρωμής υπό την προϋπόθεση η διαταγή πληρωμής να έχει κοινοποιηθεί στον καθ’ ου, δέχεται όμως ότι αυτή η απόφαση αφορά στο μέλλον και δεν καθιδρύει αναδρομικώς παρανομία της Τειρεσίας Α.Ε. Κατά την άποψή μας, το Δικαστήριο έπρεπε να λάβει υπόψη την κρίση της Αρχής σχετικά με τη νομιμότητα της εν λόγω καταχώρισης, καθ’ όσον εάν ήταν σύννομη και δίκαιη η πρακτική της καταχώρισης διαταγών πληρωμής στο αρχείο της Τειρεσίας Α.Ε. δίχως να έχει προηγηθεί κοινοποίησή τους στους καθ’ ων, δεν θα εξέδιδε η Αρχή την παραπάνω απόφαση.
V. Προκειμένου να κριθεί η νομιμότητα της καταχώρισης της διαταγής πληρωμής στο αρχείο της Τειρεσίας Α.Ε. στην επίδικη περίπτωση, όπου δεν υφίστανται ειδικοί κανόνες, θα πρέπει να ερμηνεύσουμε τις κρίσιμες διατάξεις, δηλ. το άρθρο 4 § 1 περ. α΄ και το άρθρο 5 § 2 περ. ε΄ του ν. 2472/1997, με αναγωγή στο δικαίωμα της ιδιωτικής ζωής που αποτελεί και το αντικείμενο προστασίας του ν. 2472/199710 . 1. Ορόσημο στην κατοχύρωση του δικαιώματος στην προστασία των προσωπικών δεδομένων αποτελεί η απόφαση της 15.12.1983 του γερμανικού Ομοσπονδιακού Συνταγματικού Δικαστηρίου στην υπόθεση Volkszählungsgesetz11 . Όπως δέχθηκε το Δικαστήριο στην απόφαση αυτή, ο αυτοκαθορισμός και η αυτονομία του ατόμου προϋποθέτουν την ελευθερία του να αποφασίζει για το τι θα πράξει και τι θα παραλείψει σε συνδυασμό με την πραγματική δυνατότητά του να ενεργεί σύμφωνα με την απόφαση αυτή. Όποιος δεν γνωρίζει και δεν είναι σε θέση να υπολογίζει ποιες πληροφορίες τον αφορούν και είναι γνωστές στον κοινωνικό του περίγυρο είναι δυνατόν να περιορίζεται σημαντικά στην ελευθερία του να προγραμματίζει και να αποφασίζει αυτόνομα. Δεν συμβιβάζεται, έτσι, με το δικαίωμα του πληροφοριακού αυτοκαθορισμού η έννομη τάξη και, κατά συνέπεια η κοινωνία, στην οποία οι πολίτες δεν είναι σε θέση να γνωρί ζουν ποιος, τι και με ποια ευκαιρία γνωρίζει για αυτούς. Γίνεται σαφές, με βάση τα παραπάνω, ότι η καταχώριση των πληροφοριών σχετικά με τη διαταγή πληρωμής, για την οποία καμία ενημέρωση δεν έλαβε το υποκείμενο των δεδομένων, προσβάλλει τον πυρήνα του δικαιώματος στον πληροφοριακό αυτοκαθορισμό, το οποίο συνιστά μια πτυχή του δικαιώματος προστασίας της ιδιωτικής ζωής12 . Και τούτο, διότι, όπως προαναφέρθηκε, το υποκείμενο των δεδομένων στην υπό κρίση περίπτωση δεν είχε τη δυνατότητα να γνωρίζει την ύπαρξη της διαταγής πληρωμής ούτε και τη σχετική καταχώριση στο αρχείο της Τειρεσίας Α.Ε.
2. Αυτό σημαίνει ότι η εν λόγω καταχώριση πληροφοριών είναι μη νόμιμη ως αντικείμενη στο Σύνταγμα και, συγκεκριμένα, στις διατάξεις του όπου κατοχυρώνεται το δικαίωμα προστασίας της ιδιωτικής ζωής (άρθρο 9 § 1 εδ. β΄ και 9Α Συντ.). Κατά συνέπεια η συλλογή των υπό κρίση πληροφοριών, δηλ. η άντλησή τους από το αρχείο των δικαστηρίων είναι μη νόμιμη και μη θεμιτή και, συνεπώς, αντιβαίνει στη διάταξη του άρθρου 4 § 1 εδ. α΄ ν. 2472/1997. Εδώ πρέπει να σημειωθεί ότι το άρθρο 4 του ν. 2472/1997 θεσπίζει γενικές προϋποθέσεις νομιμότητας της επεξεργασίας προσωπικών δεδομένων, οι οποίες πρέπει να πληρούνται παραλλήλως με τους κανόνες των άρθρων 5 και 7 που καθορίζουν τις ειδικές προϋποθέσεις νομιμότητας της επεξεργασίας αυτής. Μία από τις προϋποθέσεις που θεσπίζει η παραπάνω διάταξη είναι και αυτή που προβλέπει ότι τα προσωπικά δεδομένα πρέπει να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών.
Επιπλέον, η επεξεργασία των πληροφοριών, δηλ. η καταχώρισή τους στο αρχείο της Τειρεσίας Α.Ε. και η ανακοίνωσή τους σε τρίτους, δεν μπορεί να θεωρηθεί ως νόμιμη κατά το άρθρο 5 § 2 περ. ε΄ ν. 2472/1997, βάσει του οποίου έχει κριθεί από την Αρχή ότι καθίσταται νόμιμη η επεξεργασία δεδομένων από την Τειρεσίας Α.Ε. (βλ. παραπάνω, υπό ΙΙ 2). Και τούτο, διότι ακόμα και αν δεχθούμε ότι η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, δεν πληρούται η προϋπόθεση να υπερέχει προφανώς το εν λόγω έννομο συμφέρον των δικαιωμάτων και συμφερόντων των υποκειμένων των δεδομένων και να μην θίγονται οι θεμελιώδεις ελευθερίες αυτών, αφού, σύμφωνα με όσα προαναφέρθηκαν, στη συγκεκριμένη περίπτωση θίγεται ουσιωδώς το δικαίωμα της ιδιωτικής ζωής του υποκειμένου των δεδομένων από την έλλειψη ενημέρωσής του, η οποία (ενημέρωση) θα του παρείχε τη δυνατότητα να προβάλλει αντιρρήσεις κατά της επεξεργασίας εγκαίρως.
3. Σε αντίθεση με την κρίση της παραπάνω απόφασης του Εφετείου, φρονούμε λοιπόν ότι στην προκειμένη περίπτωση θεμελιώνεται ευθύνη της Τειρεσίας Α.Ε., διότι καταχώρισε στο αρχείο της και στη συνέχεια ανακοίνωσε σε τρίτους δυσμενείς οικονομικές πληροφορίες που αφορούσαν τον ενάγοντα, δίχως προηγουμένως να ελέγξει εάν η διαταγή πληρωμής είχε κοινοποιηθεί σε αυτόν και να τον ενημερώσει13 .
Ιωάννης Δ. Ιγγλεζάκης
Δ.Ν., Δικηγόρος Θεσσαλονίκης
Ειδ. Επιστήμονας Τμ. Νομικής ΑΠΘ
_______________________________________________________________________________
1. Από τη βιβλιογραφία σχετικά με την προστασία προσωπικών δεδομένων βλ. Μ. Αυγουστιανά-
κη, Προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων, ΔτΑ 11/2001, σελ. 673 επ.· Α. Γέροντα, Η προστασία του πολίτη από την ηλεκτρονική επεξεργασία προσωπικών δεδομένων, Αθήνα-Κομοτηνή 2002· Ι. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, εκδ. Σάκκουλα, Αθήνα-Θεσσαλονίκη 2004· Δ. Κατραμάδου, Προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων (Ν. 2472/97), ΔτΑ 3/1999, σελ. 577 επ.· Ε. Μήτρου, Η αρχή προστασίας προσωπικών δεδομένων, 1999.
2. Βλ. Ι. Ιγγλεζάκη, Προσβολή προσωπικότητας και παραβίαση προσωπικών δεδομένων από δια-
βίβαση ανακριβών δεδομένων στο σύστημα πληροφοριών «ΤΕΙΡΕΣΙΑΣ». Παρατηρήσεις ΙΙ στην
ΕφΘεσ 147/2005, ΕπισκΕΔ 2005, σελ. 179 επ. (180).
3. Νόμιμη κρίθηκε η επεξεργασία προσωπικών δεδομένων και στη νομολογία· βλ. ΜΠρΑθ 7363/
2002, 10775/2002, 37472/1999, 17624/1999, 17405/1999, 2928/1998, 15972/1997. Σε πρόσφατη απόφασή της, την υπ’ αριθ. 37/2005, η Αρχή επαναλαμβάνει την κρίση της περί της νομιμότητας του αρχείου και της επεξεργασίας προσωπικών δεδομένων από την «Τειρεσίας ΑΕ», τονίζει δε ότι η εν γένει αμφισβήτηση του εν λόγω συστήματος καταγραφής δεδομένων από όσους έχουν αντίρρηση στην συγκέντρωση και επεξεργασία δεδομένων που τους αφορούν δεν βρίσκει νόμιμο έρεισμα, ενόψει του ότι έχει κριθεί ότι υφίσταται νόμιμο συμφέρον του υπεύθυνου επεξεργασίας σύμφωνα με το ν. 2472/1997, ενώ και ο ισχυρισμός περί αντισυνταγματικότητας του άρθρου 5 § 2 ε΄ ν. 2472/97 είναι αβάσιμος, αφού στο άρθρο 9Α § 1 Συντ. προβλέπεται επιφύλαξη υπέρ του νόμου («Καθένας έχει δικαίωμα προστασίας από την συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει»).
4. Η συγκατάθεση του υποκειμένου των δεδομένων αποτελεί τον κύριο λόγο, βάσει του οποίου
καθίσταται νόμιμη η επεξεργασία προσωπικών δεδομένων, σύμφωνα με το άρθρο 5 § 1 ν. 2472/1997, ενώ οι λοιπές προϋποθέσεις νομιμότητας στην παρ. 2 του ίδιου άρθρου τίθενται ως εξαιρέσεις. Τούτο, ωστόσο, δεν έχει ιδιαίτερη αξία, καθ’ όσον η επεξεργασία δεδομένων καθίσταται νόμιμη, εφόσον συντρέχει ένας από τους αναφερόμενους στις επιμέρους διατάξεις είτε της παρ. 1 είτε της παρ. 2 περιπτώσεις α΄ έως ε΄· βλ. σχετ. Ι. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, σελ. 70 επ.
5. Βλ. Ι. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 10.
6. Για το δικαίωμα αντίρρησης βλ. Β. Τουντόπουλου, Το δικαίωμα αντίρρησης του υποκειμένου
των δεδομένων, ΤοΣ 1999, σελ. 21 επ.· Ε. Αλεξανδροπούλου-Αιγυπτιάδου, Ηλεκτρονική επεξεργασία προσωπικών δεδομένων και το δικαίωμα αντίρρησης του υποκειμένου τους, Αρμ 2005, σελ. 137 επ. Πρέπει να σημειωθεί ότι σύμφωνα με τον Τουντόπουλο, το δικαίωμα αντίρρησης διακρίνεται σε γενικό και σε ειδικό, με την έννοια ότι το πρώτο συνίσταται στο δικαίωμα του υποκειμένου να δηλώσει στην Αρχή ότι δεδομένα που το αφορούν δεν επιθυμεί να αποτελέσουν αντικείμενο επεξεργασίας από οποιονδήποτε, για λόγους προώθησης πωλήσεως αγαθών ή παροχής υπηρεσιών εξ αποστάσεως (άρθρο 13 § 3 ν. 2472/1997) και το δεύτερο στο δικαίωμα του υποκειμένου να προβάλει σε συγκεκριμένο υπεύθυνο επεξεργασίας αντιρρήσεις για την επεξεργασία δεδομένων που το αφορούν, κατά το άρθρο 13 § 1 ν. 2472/1997, ενώ η Αλεξανδροπούλου κάνει λόγο για δικαίωμα απόλυτης και σχετικής αντίρρησης, αντίστοιχα. Η τελευταία αυτή διάκριση δεν μπορεί να γίνει δεκτή, αφού εδώ πρόκειται για δύο εκφάνσεις του ίδιου δικαιώματος, οι οποίες δεν επιδέχονται διαβάθμιση με κριτήριο τον απόλυτο ή μη χαρακτήρα τους. Ορθότερο είναι πάντως να χαρακτηρισθεί το δικαίωμα του άρθρου 13 § 3 ως ειδικό δικαίωμα αντίρρησης, καθώς αποτελεί μια ιδιαίτερη περίπτωση του δικαιώματος αντίρρησης, και ως γενικό το δικαίωμα στο άρθρο 13 § 1· βλ. έτσι και Π. Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα (Ερμηνεία Ν. 2472/1997), Αθήνα-Θεσσαλονίκη 2005, σελ. 370.
7. Βλ. Β. Τουντόπουλου, Το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων, ΔΕΕ 1999,
σελ. 576. Για τη φύση της υποχρέωσης ενημέρωσης βλ. Π. Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα, ό.π., σελ. 317.
8. Βλ. την υπ’ αριθ. 24/2004 απόφαση της Αρχής· επίσης, ΜΠρΘεσ 2950/2002, Αρμ 2004, σελ.
195 επ. (198).
9. Η διάταξη του άρθρο 11 § 2 της οδηγίας 95/46, την οποία αναφέρει η απόφαση 1/1999 και η
οποία προβλέπει τη δυνατότητα εξαίρεσης από το δικαίωμα ενημέρωσης σε περίπτωση συλλογής δεδομένων όχι από το πρόσωπο στο οποίο αναφέρονται, είναι ειδική και αφορά μόνο την επεξεργασία γιa σκοπούς στατιστικούς ή ιστορικής ή επιστημονικής έρευνας.
10. Βλ. σχετ. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 61 επ., 47 επ.· πρβλ. Π.
Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα, ό.π., σελ. 10 επ. Θα πρέπει να σημειωθεί ότι αντικείμενο προστασίας του ν. 2472/1997 είναι τα δικαιώματα και οι θεμελιώδεις ελευθερίες των φυσικών προσώπων, των οποίων προσωπικά δεδομένα υπόκεινται σε επεξεργασία, όπως συνάγεται από το άρθρο 1 του νόμου. Δεν είναι εύστοχο, επομένως, να υποστηρίζεται ότι ο νόμος αποσκοπεί στην προστασία των υπευθύνων της επεξεργασίας (Π. Αρμαμέντου/Β. Σωτηρόπουλου, Προσωπικά δεδομένα, ό.π., σελ. 10), αφού κάτι τέτοιο υπερακοντίζει τους στόχους της προστασίας των προσωπικών δεδομένων και είναι ξένο σε σχέση με το πνεύμα του νόμου.
11. BVerfGE 65, 1 επ., βλ. ΕφαρμΔημΔικ, 1988, σελ. 338 επ. Από τη βιβλιογραφία βλ. S. Simitis,
σε: Simitis/Dammann/Geiger/Mallmann/Walz, Kommentar zum Bundesdatenschutzgesetz, σελ. 22 επ., 162 επ., τον ίδιο, Die informationelle Selbstbestimmung – Grundbedingung einer verfassungskonformen Informationsordnung, NJW 1984, 402· Α. Γέροντα, Η ηλεκτρονική επεξεργασία των πληροφοριών και η προστασία των θεμελιωδών δικαιωμάτων, ΕλΔνη 1989, σελ. 511· Β. Σκουρή, Ατομικά δικαιώματα και απογραφή του πληθυσμού, Αρμ 1981, σελ. 689 επ.· Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 51 επ.
12. Βλ. Ιγγλεζάκη, Ευαίσθητα προσωπικά δεδομένα, ό.π., σελ. 55.
Σχόλια
Δημοσίευση σχολίου