Παράνομη διαγραφή δεδομένων μετά από άσκηση αιτήματος πρόσβασης

Μια πολύ ενδιαφέρουσα απόφαση δημοσίευσε το Διοικητικό Πρωτοδικείο του Ντύσελντορφ στη Γερμανία σχετικά με τη διαγραφή δεδομένων που τηρούνται για εμπορική προώθηση και τη σχέση της με το δικαίωμα πρόσβασης.

Η υπόθεση ξεκίνησε μετά από καταγγελία που υποβλήθηκε τον Σεπτέμβριο του 2022 στην εποπτική αρχή. Στις 26 Αυγούστου 2022 ο καταγγέλλων έλαβε διαφημιστικό email στην προσωπική του διεύθυνση ηλεκτρονικού ταχυδρομείου, με αποστολέα την καταγγελθείσα εταιρεία. Την ίδια ημέρα υπέβαλε αίτημα πρόσβασης κατ’ άρθρο 15 ΓΚΠΔ, ζητώντας, μεταξύ άλλων, να πληροφορηθεί πού βρήκαν τα προσωπικά δεδομένα του. Μετά από υπενθύμιση εκ μέρους του, η εταιρεία εν τέλει τού απέστειλε στις 29 Σεπτεμβρίου 2022 ένα έγγραφο 15 σελίδων με χαρακτήρα Πολιτικής Απορρήτου, το οποίο χαρακτήρισε ως απάντηση στο αίτημα πρόσβασης. Παράλληλα, ο καταγγέλλων ενημερώθηκε ότι τα δεδομένα του είχαν διαγραφεί και δεν είχαν διαβιβαστεί σε τρίτους.

Ο καταγγέλλων δεν ικανοποιήθηκε από την ανταπόκριση αυτή και για το λόγο αυτό προσέφυγε στην αρμόδια εποπτική αρχή. Αυτό που κατήγγειλε ήταν ότι το αίτημά του δεν όχι μόνο δεν είχε ικανοποιηθεί, αλλά είχε οδηγήσει και στη διαγραφή των δεδομένων του, την οποία όμως αυτός ουδέποτε είχε ζητήσει.

Ερωτηθείσα σχετικώς από την εποπτική αρχή, η εταιρεία υποστήριξε ότι είχε ήδη ικανοποιήσει το αίτημα πρόσβασης και ότι, μετά τη διαγραφή, δεν επεξεργαζόταν πλέον δεδομένα του καταγγέλλοντος, ώστε να μπορεί να παράσχει περαιτέρω πληροφορίες.

Με απόφαση της 6ης Αυγούστου 2024, η εποπτική αρχή απηύθυνε επίπληξη στην εταιρεία δυνάμει του άρθρου 58 παρ. 2 στοιχ. β ́ ΓΚΠΔ, κρίνοντας ότι η διαγραφή των δεδομένων ήταν παράνομη. Σύμφωνα με το σκεπτικό της, δεν είχε υποβληθεί αίτημα διαγραφής, ούτε συνέτρεχε λόγος υποχρεωτικής διαγραφής κατά το άρθρο 17 ΓΚΠΔ, έτσι ώστε να δικαιολογείται η ενέργεια αυτή της καταγγελλόμενης. Παράλληλα, η διαγραφή, σε χρονικό σημείο κατά το οποίο εκκρεμούσε αίτημα πρόσβασης, περιόρισε το δικαίωμα του υποκειμένου να λάβει πλήρη ενημέρωση και να ελέγξει τη νομιμότητα της επεξεργασίας.

Η εταιρεία προσέφυγε κατά της πράξης της αρχής ενώπιον του αρμοδίου διοικητικού δικαστηρίου, υποστηρίζοντας ότι επεξεργαζόταν τα δεδομένα αποκλειστικά για σκοπούς ηλεκτρονικού μάρκετινγκ και ότι, εφόσον ο αποδέκτης κατέστησε σαφές ότι δεν επιθυμούσε διαφημιστικά μηνύματα, ο σκοπός της επεξεργασίας εξέλιπε. Κατά την άποψή της, δεν μπορούσε να υποχρεωθεί να διατηρεί δεδομένα χωρίς υφιστάμενο σκοπό και χωρίς να τηρείται η αρχή της ακρίβειας των δεδομένων.

Το σκεπτικό του δικαστηρίου

Το δικαστήριο έκρινε ότι η προσφυγή ασκήθηκε παραδεκτώς, πλην όμως ήταν αβάσιμη. Σύμφωνα με την απόφασή του:

«Η προσφεύγουσα παραβίασε τον Γενικό Κανονισμό Προστασίας Δεδομένων, διότι, μετά την υποβολή του αιτήματος πρόσβασης, δεν συνέχισε την αποθήκευση των δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος. Η διαγραφή των δεδομένων, παρά την υποχρέωση της προσφεύγουσας να παράσχει πληροφορίες, ήταν παράνομη.

Η διαγραφή δεδομένων συνιστά πράξη επεξεργασίας κατά την έννοια του άρθρου 4 σημείο 2 ΓΚΠΔ. Η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα κατά το άρθρο 4 σημείο 1 ΓΚΠΔ, δηλαδή δεδομένα που αφορούν ταυτοποιημένο φυσικό πρόσωπο, ήτοι τον καταγγέλλοντα.

Η προσφεύγουσα επεξεργάστηκε τα δεδομένα, ως υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 58 παρ. 2 στοιχ. β ́ σε συνδυασμό με το άρθρο 4 σημείο 7 ΓΚΠΔ. Είναι αυτή που πραγματοποίησε τόσο την αποστολή των διαφημιστικών emails όσο και τη διαγραφή των δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος. Ως υπεύθυνος επεξεργασίας, η προσφεύγουσα οφείλει, σύμφωνα με το άρθρο 5 παρ. 2 ΓΚΠΔ σε συνδυασμό με το άρθρο 5 παρ. 1 στοιχ. α ́ ΓΚΠΔ, να διασφαλίζει ότι η επεξεργασία είναι νόμιμη.

Η νομιμότητα της επεξεργασίας ρυθμίζεται στο άρθρο 6 ΓΚΠΔ. Ο κατάλογος των περιπτώσεων που απαριθμούνται εκεί, στις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί νόμιμη, είναι εξαντλητικός και περιοριστικός, έτσι ώστε μια επεξεργασία πρέπει να μπορεί να υπαχθεί σε μία από τις περιπτώσεις του άρθρου 6 παρ. 1 ΓΚΠΔ για να θεωρηθεί νόμιμη.

Συνεπώς, η διαγραφή των δεδομένων προσωπικού χαρακτήρα ήταν παράνομη, διότι για την εν λόγω πράξη επεξεργασίας δεν πληρούτο καμία από τις προϋποθέσεις του άρθρου 6 παρ. 1 ΓΚΠΔ. Εν προκειμένω, λαμβάνονται υπόψιν αποκλειστικά οι περιπτώσεις του άρθρου 6 παρ. 1α ́ και γ ́ ΓΚΠΔ. Η επεξεργασία υπό τη μορφή της διαγραφής δεν ήταν αναγκαία ούτε για την εκτέλεση σύμβασης (στοιχ. β ́) ούτε για την προστασία ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου (στοιχ. δ ́). Η προσφεύγουσα δεν ασκεί επίσης καθήκον που εκτελείται προς το δημόσιο συμφέρον, ούτε ασκεί δημόσια εξουσία που της έχει ανατεθεί (στοιχ. ε ́). Τέλος, δεν υπάρχουν ενδείξεις ότι η διαγραφή θα μπορούσε να ήταν αναγκαία για τη διαφύλαξη έννομων συμφερόντων της προσφεύγουσας (στοιχ. στ ́).

Συγκατάθεση του υποκειμένου των δεδομένων για την επεξεργασία υπό τη μορφή της διαγραφής των δεδομένων προσωπικού χαρακτήρα του κατά το άρθρο 6 παρ. 1α’ ΓΚΠΔ δεν υφίσταται. Το έγγραφο της 26ης Αυγούστου 2022, το οποίο ρητώς χαρακτηρίζεται ως αίτημα παροχής πληροφοριών, προδήλως δεν μπορεί να εκληφθεί ως συγκατάθεση για τη διαγραφή των δεδομένων του. Το ίδιο ισχύει και για την υπενθύμιση του αιτήματος πρόσβασης της 26ης Σεπτεμβρίου 2022.

Η διαγραφή δεν ήταν αναγκαία ούτε για την εκπλήρωση έννομης υποχρέωσης της προσφεύγουσας (άρθρο 6 παρ. 1γ’ ΓΚΠΔ). Αίτημα διαγραφής δεν είχε υποβληθεί από τον καταγγέλλοντα, ούτε συνέτρεχε κάποιος από τους λόγους που, κατά το άρθρο 17 παρ. 1 ΓΚΠΔ, επιβάλλουν στον υπεύθυνο επεξεργασίας την άμεση διαγραφή δεδομένων προσωπικού χαρακτήρα.

Τα δεδομένα προσωπικού χαρακτήρα εξακολουθούσαν να είναι αναγκαία για τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν σε επεξεργασία με άλλον τρόπο (άρθρο 17 παρ. 1 στοιχ. α ́ ΓΚΠΔ). Από την αρχή της ελαχιστοποίησης των δεδομένων κατά το άρθρο 5 παρ. 1 στοιχ. γ ́ ΓΚΠΔ, στην οποία – όπως και στις λοιπές αρχές του άρθρου 5 ΓΚΠΔ – πρέπει να συμμορφώνεται κάθε επεξεργασία δεδομένων, η προσφεύγουσα δεν μπορεί να αντλήσει επιχείρημα υπέρ της.

Ο αρχικός σκοπός της επεξεργασίας, ήτοι η αποστολή διαφημιστικών emails, πιθανότατα δεν είχε καν εκλείψει. Ο καταγγέλλων υπέβαλε απλώς αίτημα παροχής πληροφοριών και, σε αντίθεση με όσα ισχυρίζεται η προσφεύγουσα, σε κανένα σημείο δεν εξέφρασε ότι δεν επιθυμεί πλέον διαφημιστικά μηνύματα. Με βάση τη φερόμενη συγκατάθεση του καταγγέλλοντος για τη χρήση και επεξεργασία των προσωπικών του δεδομένων για διαφημιστικούς σκοπούς μέσω email, η προσφεύγουσα μπορούσε, αντιθέτως, να θεωρήσει ότι επιτρεπόταν να συνεχίσει την αποστολή διαφημιστικών emails. Το γεγονός αυτό καταδεικνύει ότι πρόκειται για ισχυρισμό που προβάλλεται προσχηματικώς.

Ανεξαρτήτως αυτού, μετά την υποβολή του αιτήματος πρόσβασης, η επεξεργασία ήταν αναγκαία για τον σκοπό της εκπλήρωσης της υποχρέωσης παροχής πληροφοριών. Κατά τον χρόνο της διαγραφής, το αίτημα πρόσβασης του καταγγέλλοντος δεν είχε ακόμη ικανοποιηθεί.

Η εκπλήρωση της υποχρέωσης που απορρέει από το άρθρο 12 παρ. 1 έως 3 ΓΚΠΔ προϋποθέτει τη συνέχιση της επεξεργασίας υπό τη μορφή της αποθήκευσης των δεδομένων προσωπικού χαρακτήρα, μέχρι την ικανοποίηση του αιτήματος πρόσβασης. Οι πληροφορίες κατά το άρθρο 15 ΓΚΠΔ, για παράδειγμα σχετικά με τους σκοπούς επεξεργασίας ή τις κατηγορίες των επεξεργαζόμενων δεδομένων προσωπικού χαρακτήρα, μπορούν να διαβιβαστούν μόνο εφόσον ο υπεύθυνος επεξεργασίας εξακολουθεί να διαθέτει τα δεδομένα προσωπικού χαρακτήρα. Υπάρχουν ισχυρά επιχειρήματα υπέρ της άποψης ότι τα δεδομένα προσωπικού χαρακτήρα, στα οποία αφορά το αίτημα πρόσβασης, πρέπει να αποθηκεύονται τουλάχιστον μέχρι το υποκείμενο των δεδομένων να έχει την ευκαιρία να ελέγξει τη νομιμότητα της επεξεργασίας (βλ. αιτιολογική σκέψη 63 ΓΚΠΔ). Το πόσο χρονικό διάστημα πρέπει να αποθηκεύονται τα δεδομένα για την ικανοποίηση αιτήματος πρόσβασης δεν χρειάζεται να κριθεί εν προκειμένω. Τούτο διότι, σε κάθε περίπτωση, η εκπλήρωση της υποχρέωσης ενημέρωσης του υπευθύνου επεξεργασίας και, συνακόλουθα, η παύση του σκοπού της επεξεργασίας επέρχονται το νωρίτερο αφού παρασχεθούν στον αιτούντα οι ζητηθείσες πληροφορίες πλήρως και εντός της προβλεπόμενης προθεσμίας (άρθρο 12 παρ. 1 και παρ. 3 εδ. 1 ΓΚΠΔ). Εν προκειμένω, η προσφεύγουσα είχε ήδη διαγράψει τα δεδομένα πριν αποσταλεί στον καταγγέλλοντα η απάντηση. Με την αποστολή της αποκαλούμενης «απάντησης προστασίας δεδομένων» είχε ήδη επιβεβαιώσει τη διαγραφή των δεδομένων από τη βάση της.

Περαιτέρω, ο καταγγέλλων δεν άσκησε εναντίωση κατά της επεξεργασίας (άρθρο 17 παρ. 1 στοιχ. γ ́ ΓΚΠΔ), ακόμη και αν η προσφεύγουσα χαρακτηρίζει τα αιτήματά του ως αιτήματα εναντίωσης. Το έγγραφο της 26ης Αυγούστου 2022, το οποίο αποτελείται αποκλειστικά από συγκεκριμένα ερωτήματα, καθώς και η υπενθύμιση του αιτήματος πρόσβασης της 26ης Σεπτεμβρίου 2022, δεν περιέχουν καμία ένδειξη ότι ο καταγγέλλων δεν επιθυμεί πλέον διαφημιστικά emails ή ότι αντιτίθεται στην επεξεργασία.

Οι λοιποί λόγοι του άρθρου 17 παρ.1 ΓΚΠΔ επίσης δεν μπορούν να τύχουν εφαρμογής. Δεν υφίσταται καμία ένδειξη για ανάκληση της συγκατάθεσης (άρθρο 17 παρ. 1 στοιχ. β ́ ΓΚΠΔ), ενώ κατά την άποψη της ίδιας της προσφεύγουσας, τα δεδομένα δεν είχαν υποστεί παράνομη επεξεργασία (άρθρο 17 παρ. 1 στοιχ. δ ́ ΓΚΠΔ). Αντιθέτως, όπως προκύπτει από την «απάντηση προστασίας δεδομένων», η προσφεύγουσα στηρίχθηκε σε φερόμενη συγκατάθεση του καταγγέλλοντος για την επεξεργασία των προσωπικών του δεδομένων. Νομική υποχρέωση κατά το άρθρο 17 παρ. 1 στοιχ. ε ́ ΓΚΠΔ δεν προκύπτει, ούτε τα δεδομένα συλλέχθηκαν σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών κατά το άρθρο 8 παρ. 1 (άρθρο 17 παρ. 1 στοιχ. στ ́ ΓΚΠΔ).

Τέλος, η προσφεύγουσα δεν μπορεί να στηρίξει τη διαγραφή των δεδομένων προσωπικού χαρακτήρα του καταγγέλλοντος στο άρθρο 5 παρ. 1 στοιχ. δ ́ ΓΚΠΔ και σε δήθεν ανακρίβεια των δεδομένων. Τα δεδομένα προσωπικού χαρακτήρα του καταγγέλλοντος ήταν, αντιθέτως, ουσιαστικά ακριβή, τόσο σε σχέση με διαφημιστικούς σκοπούς, όσο και σε σχέση με τον σκοπό της παροχής πληροφοριών. Ο ισχυρισμός της προσφεύγουσας ότι συνήγαγε από τα δύο αιτήματα που προηγήθηκαν της διαγραφής ότι τα δεδομένα δεν θα μπορούσαν να προέρχονται από το ίδιο το υποκείμενο, δεν γίνεται κατανοητός και προδήλως προβάλλεται προσχηματικώς.»

Εν ολίγοις, το δικαστήριο, όπως και η εποπτική αρχή προηγουμένως, εγκλώβισε την καταγγελλόμενη – προσφεύγουσα στον ισχυρισμό της ότι η αρχική επεξεργασία των δεδομένων του καταγγέλλοντος υπήρξε νόμιμη και βασιζόταν στη συγκατάθεσή του. Εφόσον αυτή υπήρξε νόμιμη, η προσφεύγουσα θα έπρεπε να συνεχίσει την επεξεργασία των δεδομένων του και όχι να σπεύσει να τα διαγράψει αμέσως μετά τη λήψη του ερωτήματος για την προέλευσή τους. Το ίδιο άλλωστε είχε προβάλει και ο καταγγέλλων, ο οποίος είχε καταφανώς αποφύγει να αναφερθεί στη νομιμότητα της επεξεργασίας των δεδομένων του.

Με βάση το σκεπτικό αυτό, το δικαστήριο έκρινε ότι η εποπτική αρχή άσκησε νομίμως τη διακριτική της ευχέρεια, επιλέγοντας το ηπιότερο μέτρο του άρθρου 58 παρ. 2 ΓΚΠΔ, ήτοι την επίπληξη, η οποία δεν συνεπάγεται άμεση οικονομική επιβάρυνση.

Κατόπιν τούτων, η προσφυγή απορρίφθηκε και τα δικαστικά έξοδα επιβλήθηκαν στην προσφεύγουσα εταιρεία.