Νομικό Συμβούλιο του Κράτους: Υποχρεωτικός ο ορισμός Υπεύθυνου Προστασίας Δεδομένων και η ενημέρωση των υποκειμένων πριν τη διαβίβαση απλών δεδομένων προσωπικού χαρακτήρα 28.477 συνταξιούχων

Νομικό Συμβούλιο του Κράτους

Δημοσιεύθηκε η υπ΄ αρίθμ 7/2019 γνωμοδότηση του ΣΤ' Τμήματος του ΝΣΚ όπου για πρώτη φορά γίνεται αναφορά στις διατάξεις του ΓΚΠΔ καθώς και της υποχρέωσης και των δυο εμπλεκόμενων Φορέων (Διεύθυνση Συντάξεων και Ασφάλισης του Τομέα Μηχανικών και Εργοληπτών Δημοσίων Έργων - ΕΦΚΑ και ΕΣΤΑΜΕΔΕ) να ορίσουν ΥΠΔ.

Συγκεκριμένα το έγγραφο του Διοικητή του ΕΦΚΑ (αρ. Πρωτ. 1141847/2018) αφορούσε στο εάν είναι επιτρεπτή η χορήγηση από τον Ε.Φ.Κ.Α. στην Ένωση Συνταξιούχων Ταμείου Ασφάλισης Μηχανικών και Εργοληπτών Δημοσίων Έργων (ΕΣΤΑΜΕΔΕ) αναλυτικής κατάστασης όλων των συνταξιούχων μηχανικών από την οποία να προκύπτει το ονοματεπώνυμό τους, ο αριθμός μητρώου, η διεύθυνση κατοικίας, ο αριθμός τηλεφώνου και το ηλεκτρονικό ταχυδρομείο.

Ο σκοπός της διαβίβασης των προσωπικών δεδομένων των μελών του ΕΣΤΑΜΕΔΕ από τον ΕΦΚΑ ήταν η επικοινωνία με τα μέλη και η ενημέρωση αυτών γενικά για τις δράσεις της Ένωσης και ειδικότερα για τη συμμετοχή τους σε επωφελή ασφαλιστικά προγράμματα υγείας. Το σύνολο των δεδομένων αφορούσε σε 28.477 ενεργές εγγραφές, απλών δεδομένων προσωπικού χαρακτήρα.

Αξίζει να σημειωθεί ότι, πέραν του Νόμου 2472/1997 για την προστασία δεδομένων προσωπικού χαρακτήρα, το Νομικό Συμβούλιο του Κράτους έλαβε υπόψη του και το Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) ενώ της γνωμοδότησης είχε προηγηθεί απάντηση της ΑΠΔΠΧ αναφέρουσα ότι από την έναρξη εφαρμογής του ΓΚΠΔ  δεν έχουν εφαρμογή οι διατάξεις του άρθρου 7 του ν.2472/1997 κατά το μέρος που προβλέπουν τη χορήγηση αδείας και ως εκ τούτου η Αρχή δεν έχει πλέον αρμοδιότητα χορήγησης των αδειών στις περιπτώσεις που προβλέπονται στο εν λόγω άρθρο.

Σύμφωνα με τη 10η σκέψη της γνωμοδότησης, μεταξύ του δικαιώματος πρόσβασης στα διοικητικά έγγραφα (διαφάνειας) και αυτού της προστασίας των δεδομένων προσωπικού χαρακτήρα δεν υφίσταται ιεραρχική σχέση.  Η  επιβεβαιώνεται από το άρ. 86 ΓΚΠΔ το οποίο προβλέπει την εναρμόνιση των δύο έννομων αγαθών και παραπέμπει στην εθνική έννομη τάξη, προβλέποντας ότι πρέπει να συμβιβάζεται η πρόσβαση του κοινού σε επίσημα έγγραφα με το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δυνάμει του ΓΚΠΔ σύμφωνα με όσα ορίζει το Δίκαιο του κάθε κράτους μέλους.

Το μητρώο αυτό αποτελεί με την ευρεία έννοια του όρου δημόσιο έγγραφο και τα στοιχεία που περιέχει και αιτείται η ΕΣΤΑΜΕΔΕ αποτελούν απλά προσωπικά δεδομένα ταυτοποίησης των υποκειμένων. Ως απλά δεδομένα προσωπικού χαρακτήρα, δεν απαιτούν προηγούμενη διαβούλευση, εκτίμηση αντικτύπου και τις λοιπές ασφαλιστικές δικλείδες που θέτει ο ΓΚΠΔ. (σκ. 20)
Μεταξύ άλλων στη γνωμοδότηση γίνεται αναφορά στη νομική βάση (έννομο συμφέρον) της επεξεργασίας των δεδομένων. Η  διαχείριση του γενικού μητρώου των συνταξιούχων του Ταμείου ως και των ειδικών μητρώων, αναλόγως του είδους της σύνταξης και της ειδικότητας των συνταξιούχων, το οποίο τηρείται σε ηλεκτρονική βάση και περιλαμβάνει μεταξύ άλλων, στοιχεία ταυτοποίησης των συνταξιούχων, συγκαταλέγεται μεταξύ των αρμοδιοτήτων της Διεύθυνσης Συντάξεων και Ασφάλισης του Τομέα Μηχανικών και Εργοληπτών Δημοσίων Έργων.

Σύμφωνα με το καταστατικό της  ΕΣΤΑΜΕΔΕ σκοπός της είναι η ανάπτυξη της αλληλεγγύης μεταξύ των μελών της και η βελτίωση της θέσης αυτών ως συνταξιούχων.

Σε σχέση με το ερώτημα του ΕΦΚΑ, το Νομικό Συμβούλιο του Κράτους γνωμοδότησε ομόφωνα ότι ο Υπεύθυνος Επεξεργασίας Δεδομένων (Διεύθυνση Συντάξεων και Ασφάλισης του Τομέα Μηχανικών και Εργοληπτών Δημοσίων Έργων) οφείλει να διαβιβάσει στην αιτούσα τα αιτούμενα στοιχεία, αφού προηγηθούν, αφενός, ορισμός Υπευθύνου Προστασίας Δεδομένων και από τα δύο μέρη, αφετέρου, ενημέρωση των υποκειμένων των δεδομένων για τον σκοπό της επεξεργασίας αυτών, ληφθούν δε τα απαραίτητα κατά το νόμο τεχνικά και οργανωτικά μέτρα διασφάλισης της ασφάλειας της επεξεργασίας.

Επομένως, η Διεύθυνση Συντάξεων και Ασφάλισης του ΤΣΜΕΔΕ-Υπεύθυνος Επεξεργασίας, ο οποίος φέρει το βάρος απόδειξης συμμόρφωσης με τις διατάξεις του ΓΚΠΔ (λογοδοσία), οφείλει να διαβιβάσει τα αιτούμενα και μόνο αναγκαία στοιχεία, σε ηλεκτρονική μορφή όπως προτίθεται, αφού προηγουμένως και τα δύο μέρη, Υπηρεσία και ΕΣΤΑΜΕΔΕ λάβουν κατάλληλα τεχνικά και οργανωτικά μέτρα για την διασφάλιση της επεξεργασίας, διορίζοντας και η ΕΣΤΑΜΕΔΕ Υπεύθυνο Προστασίας Δεδομένων και αφού προηγηθεί ενημέρωση των υποκειμένων για το σκοπό της επεξεργασίας.