0
x

Σύνδεση

Δεν έχετε λογαριασμό; Εγγραφείτε
Μενού

Απόφαση Α.Π.Δ.Π.Χ. 875/2004 - ΦΕΚ Β-684/11-5-2004

Προϋποθέσεις τήρησης αρχείου από την ΤΕΙΡΕΣΙΑΣ Α.Ε.

Η ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
(Συνεδρίαση της 22.4.2004)

Έχοντας υπόψη:
1.Τις διατάξεις του Ν. 2472/1997 «Νόμος περί προστασίας του ατόμου από την επεξεργασία προσωπικών δεδομένων».
2.Τις διατάξεις του Π.Δ. 207/1998 «Οργάνωση και λειτουργία της Γ ραμματείας της ΑΠΡΟΔ και σύσταση οργανικών θέσεων»
3.Το γεγονός ότι η 109/31.3.1999 απόφαση της Αρχής, δεν έχει δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως, η Αρχή επαναλαμβάνει σήμερα τη λήψη αποφάσεως, αποφασίζουμε:
1.Ο σκοπός της επεξεργασίας είναι η ελαχιστοποίηση των κινδύνων από τη σύναψη πιστωτικών συμβάσεων με αφερέγγυους πελάτες και εν γένει από τη δημιουργία επισφαλών απαιτήσεων και τελικά η προστασία της εμπορικής πίστης και η εξυγίανση των οικονομικών συναλλαγών. Η επεξεργασία είναι πράγματι «απολύτως αναγκαία» για την ικανοποίηση του σκοπού αυτού, ενώ η προστασία της εμπορικής πίστης, στη σύγκριση με τα συμφέροντα των υποκειμένων των δεδομένων, μπορεί να θεωρηθεί ότι «υπερέχει προφανώς», υπό την έννοια του άρθρου 5 παρ.
2εδ. ε'. Συνεπώς, η επεξεργασία επιτρέπεται και χωρίς τη συγκατάθεση του υποκειμένου, αφού βέβαια αυτό ενημερωθεί (άρθρα 11 παρ. 1 και 24 παρ. 3 του Ν. 2472/1997).
2.Από τα δεδομένα που υποβάλλονται σε επεξεργασία πρέπει να απαλειφθούν εκείνα που αφορούν αγορές και πωλήσεις ακινήτων, ως μη συμβιβαζόμενα προς την αρχή της αναλογικότητας, κατά την οποία τα δεδομένα «δεν πρέπει να είναι περισσότερα από όσα κάθε φορά απαιτείται εν όψει του σκοπού της επεξεργασίας» (άρθρο 4 παρ. 1 εδ. β του Νόμου). Η διατήρηση τέτοιων στοιχείων προκαταβολικά, για απροσδιόριστο αριθμό προσώπων που δεν τα συνδέει (και ίσως δεν θα τα συνδέσει ποτέ) καμιά σχέση με τις τράπεζες υπερακοντίζει τους σκοπούς του αρχείου. Η επέμβαση στην ιδιωτική σφαίρα όλων αυτών των προσώπων είναι εντονότερη επιβάρυνση των συμφερόντων τους από ό,τι η επιβάρυνση μιας τράπεζας να φροντίζει σε κάθε συγκεκριμένη περίπτωση, πριν π.χ. συνάψει μια πιστωτική σύμβαση με ένα πελάτη της, να ζητεί ενημέρωση για την ακίνητη περιουσία του, αν αποδίδει σημασία σ’ αυτό και πέρα από τις ασφάλειες που του ζητεί. Τ ο ότι τα δεδομένα αυτά προέρχονται από γενικά προσιτές πηγές δεν σημαίνει ότι δεν είναι προσωπικά δεδομένα, υποκείμενα στο καθεστώς του Ν. 2472/1997.
Προσιτά είναι, κατά την έως τώρα νομοθεσία, ακόμη και ευαίσθητα δεδομένα (π.χ. το θρήσκευμα που σημειώνεται στα ληξιαρχικά βιβλία, βιβλία δημόσια κατά το Νόμο), που όμως εφεξής, κατά τροποποίηση της έως τώρα νομοθεσίας, υπόκεινται στους περιορισμούς επεξεργασίας ευαίσθητων δεδομένων του Ν. 2472/1997. Εξάλλου, η υποκατάσταση ενός ιδιωτικού αρχείου, όπως εδώ αυτού της «Τειρεσίας Α.Ε.», στη θέση ενός δημόσιου αρχείου (όπως των βιβλίων υποθηκών και μεταγραφών) ή άλλου αρχείου εξυπηρετούντος ευρύτερους σκοπούς, είναι αντίθετη με την αρχή της προσφορότητας της επεξεργασίας για την εξυπηρέτηση του επιδιωκόμενου σκοπού, δηλ. εδώ της προστασίας του τραπεζικού συστήματος από αφερέγγυους πελάτες (πρβλ. γνωμοδότηση του ΝΣΚ 689/1995). Η διαφάνεια ως προς την ακίνητη περιουσία των πολιτών είναι ένας σκοπός που θα μπορούσε να ενδιαφέρει το δημόσιο, π.χ. για φορολογικούς λόγους, και όχι, άνευ ετέρου, επιμέρους ιδιωτικούς φορείς.
Αντίθετα, η προκαταβολική συλλογή αρνητικών, για τη φερεγγυότητα των υποκειμένων, στοιχείων μπορεί να θεωρηθεί ότι ανταποκρίνεται στο παραπάνω αίτημα της προσφορότητας.
3.Για τα λοιπά δεδομένα πρέπει να παρατηρηθεί ότι είναι απαραίτητο και σύμφωνο με τις αρχές της προσφορότητας και της αναλογικότητας που καθιερώνει ο Νόμος να γίνεται αξιολόγηση και διαβάθμισή τους, ανάλογα με τη βαρύτητά τους. Ασήμαντες παραβάσεις, που π.χ. αφορούν μικροποσά, δεν πρέπει καν να συλλέγονται, οι δε παραβάσεις μέσης βαρύτητας να διατηρούνται στο αρχείο επί μικρότερο χρονικό διάστημα από την προβλεπόμενη 10ετία. Η ΤΕΙΡΕΣΙΑΣ Α.Ε. καλείται να ετοιμάσει το ταχύτερο δυνατόν και γνωστοποιήσει στην Αρχή σχέδιο διαβάθμισης των δεδομένων που τηρεί, ώστε να κριθεί αν τηρούνται οι παραπάνω νόμιμες προϋποθέσεις.
4.Αποδέκτες των δεδομένων, σύμφωνα με τον σκοπό της επεξεργασίας, δικαιολογείται να είναι μόνο οι τράπεζες, τα χρηματοπιστωτικά ιδρύματα και οι εταιρείες διαχείρισης πιστωτικών καρτών, καθώς και φορείς του δημόσιου τομέα, όχι τρίτοι μετέχοντες στις οικονομικές συναλλαγές και ακόμη λιγότερο μη μετέχοντες. Ήδη η «Τ ειρεσίας Α.Ε.» γνωστοποίησε στην Αρχή, ότι το Δ.Σ. της αποφάσισε να περιορίσει μόνο στους παραπάνω νομιμοποιούμενους, κατά τον σκοπό της επεξεργασίας, αποδέκτες τη διακίνηση των δεδομένων. Είναι αυτονόητο ότι μόνον οι παραπάνω αποδέκτες προσωπικών δεδομένων έχουν το δικαίωμα χρησιμοποίησης τους. Η περαιτέρω επεξεργασία τους (διαβίβαση σε τρίτους κ.λ.π) από αυτούς είναι απολύτως απαγορευτική.
5.Η «Τειρεσίας Α.Ε.» οφείλει να συμμορφωθεί με την κατά το άρθρο 24 παρ. 3 σε συνδυασμό με το άρθρο 11 παρ. 1 του Νόμου υποχρέωση ενημέρωσης του υποκειμένου, μεταξύ άλλων και για τους αποδέκτες των δεδομένων, δηλαδή, κατά το άρθρο 2 στοιχ. ι' του Νόμου, τους τρίτους στους οποίους ανακοινώνονται ή μεταδίδονται τα δεδομένα (τρίτοι είναι κατά το άρθρο 2 στοιχ. θ', όλοι πλην του υποκειμένου των δεδομένων, του υπευθύνου επεξεργασίας και των εκτελούντων την επεξεργασία, όπως περιγράφονται στη διάταξη) ή και μη τρίτους (έτσι η διάταξη του άρθρου 2 στοιχ. ι', in fine). Μη τρίτοι που πρέπει να ενημερωθούν μπορεί να είναι π.χ. τα ίδια τα υποκείμενα των δεδομένων (που μπορεί να μην είναι η πηγή της συλλογής των δεδομένων, που όμως έτσι κι αλλιώς πρέπει να ενημερωθούν ως υποκείμενα) ή οι εκτελούντες την επεξεργασία που τυχόν δεν έχουν γνώση των δεδομένων. Τρίτοι είναι και οι μέτοχοι της «Τειρεσίας Α.Ε.», αφού δεν ταυτίζονται με το νομικό πρόσωπο της Α.Ε. και δεν περιλαμβάνονται στις τρεις κατηγορίες των μη τρίτων κατά το άρθρο στοιχ. θ' του Νόμου.
Ως αποδέκτες κατά την παρ. 1 του άρθρου 11 νοούνται τα πρόσωπα προς τα οποία προβλέπεται κατά το στάδιο της συλλογής να ανακοινώνονται τα δεδομένα. Η διάταξη δεν εννοεί υποχρέωση ενημέρωσης για τη συγκεκριμένη ανακοίνωση στην οποία ο υπεύθυνος της επεξεργασίας προβαίνει κάθε φορά που του ζητείται πληροφορία από τον αποδέκτη. Η προσθήκη εκ των υστέρων (μετά τη συλλογή) νέων αποδεκτών ή νέας κατηγορίας αποδεκτών θα πρέπει, σύμφωνα με τον σκοπό του Νόμου, να υπαχθεί επίσης στη ρύθμιση της παρ. 1 του άρθρου 11 και να υποχρεώνει τον υπεύθυνο επεξεργασίας για ενημέρωση του υποκειμένου. Τούτο προκύπτει και από τη διάταξη της παρ. 3 του άρθρου 11. Αν και αυτή η ενημέρωση αφορά «μεγάλο αριθμό υποκειμένων», θα πρέπει πάλι να εφαρμοσθεί ανάλογα η διάταξη του άρθρου 24 παρ. 3, που, μολονότι μεταβατική διάταξη, αποτυπώνει ευρύτερο και πάγιο νομοθετικό πνεύμα (όταν ακριβώς πρόκειται για «μεγάλο αριθμό υποκειμένων»).
Τυχόν ερμηνεία της παρ. 3 του άρθρου 11 ότι απαιτεί και την in concreto ανακοίνωση όταν πρόκειται να δοθεί μια πληροφορία προς τους τρίτους θα υπερέβαινε τον σκοπό της διάταξης. Οι τρίτοι αυτοί είναι αποδέκτες υπό την έννοια της παρ. 1του άρθρου 11, για τους οποίους πρέπει να είναι ήδη ενημερωμένο το υποκείμενο. Η άντληση πληροφοριών από τους τρίτους αποδέκτες μπορεί να γίνεται μαζικά ή ακόμη μπορεί οι τρίτοι να έχουν αυτόματη πρόσβαση (με δική τους πρωτοβουλία και χωρίς ενέργειες του υπευθύνου επεξεργασίας) στο αρχείο, π.χ. να αντλούν τα δεδομένα με την On Line διαδικασία, όπως συμβαίνει στην εξεταζόμενη περίπτωση. Θα πρέπει βέβαια ο υπεύθυνος επεξεργασίας να έχει ενημερώσει το υποκείμενο γι’ αυτόν τον τρόπο άντλησης των δεδομένων από τους αποδέκτες. Επίσης, θα πρέπει κατά τον Ν. 2472/1997, ο αποδέκτης, ως ασκών και αυτός επεξεργασία προσωπικών δεδομένων, να ενημερώνει το υποκείμενο για τα δεδομένα που άντλησε και χρη σιμοποιεί στις συναλλαγές μαζί του, ώστε να του παρέχει τη δυνατότητα να αντιμετωπίσει τη χρήση αυτή, ενδεχομένως να αμυνθεί κλπ.
Η παρ. 3 του άρθρου 11 είναι ασαφής διάταξη, στη συσχέτισή της με την παρ. 1 του ίδιου άρθρου, και ατυχής. Πρέπει, δια της εις άτοπον απαγωγής, να ερμηνευθεί ως απλώς διευκρινιστική και συμπληρωτική της παρ. 1, υπό την έννοια ότι, και αν η ενημέρωση του υποκειμένου για τους αποδέκτεςτρίτους δεν είχε γίνει κατά τον χρόνο της συλλογής ή αν προστίθενται νέοι αποδέκτεςτρίτοι, πάντως, η ενημέρωση του υποκειμένου πρέπει να γίνει πριν από την ανακοίνωση στους αποδέκτεςτρίτους. Στην παρ.
3ο νομοθέτης είχε περισσότερο κατά νου την περίπτωση όπου η συλλογή των δεδομένων δεν γίνεται απευθείας από το υποκείμενο και αυτό θα ενημερωθεί αργότερα ή την περίπτωση όπου κατά τη συλλογή η ανακοίνωση στον τρίτο δεν είχε προβλεφθεί. Αυτές είναι οι περιπτώσεις που κατά το άρθρο 11 της κοινοτικής Οδηγίας 95/46 ΕΚ «Γ ια την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών» (βλ. και τις σκέψεις 39 και 40 του προοιμίου της Οδηγίας) επιβάλλουν την ενημέρωση του υποκειμένου «το αργότερο κατά την πρώτη ανακοίνωση των δεδομένων στον τρίτο», πρόβλεψη από την οποία προφανώς επηρεάσθηκε ο Έλληνας νομοθέτης κατά τη διατύπωση της παρ. 3, χωρίς όμως να τη συσχετίσει επαρκώς με την παρ. 1 (πρβλ. άρθρο 10 της Οδηγίας).
6.Η προβλεπόμενη διαγραφή των δεδομένων μετά δεκαετία πρέπει να διορθωθεί. Η δεκαετία δικαιολογείται μόνο για τις βαρύτερες περιπτώσεις. Βλ. και παραπάνω υπό 3 όπως ήδη ειπώθηκε . Ο υπεύθυνος επεξεργασίας πρέπει να επεξεργασθεί μια διαβάθμισηταξινόμηση των δεδομένων κατά κατηγορίες και, ανάλογα με τη βαρύτητά τους, να υπαγάγει κάθε κατηγορία σε διαφορετική διάρκεια διατήρησης στο Αρχείο και να γνωστοποιήσει τη νέα ρύθμιση στην Αρχή.
7.Για τα θέματα ασφάλειας (κτιρίου όπου φυλάσσεται το Αρχείο, προγραμμάτων και δεδομένων, μηχανογραφικών εφαρμογών κλπ.) η Αρχή επιφυλάσσεται να προβεί στον απαραίτητο έλεγχο.
8.Η συνεργασία της «Τειρεσίας Α.Ε.» με την ΚΕΠΥΟ αποτελεί διασύνδεση και πρέπει να εφαρμοσθούν οι διατάξεις του άρθρου 8 του Ν. 2472/1997.
Κατά τα λοιπά παραπέμπουμε στους γενικούς κανόνες που θέσπισε η Αρχή προς τήρηση από τους υπεύθυνους επεξεργασίας κατά τη γνωστοποίηση την οποία υποβάλλουν στην Αρχή, σύμφωνα με το άρθρο 6 του Ν. 2472/1997, και προς συμμόρφωσή τους στα άρθρα 4 και 5 του ίδιου Νόμου. Ιδιαιτέρως πάντως πρέπει εδώ να τονισθεί ότι η υπεύθυνη της επεξεργασίας εταιρία πρέπει να τηρεί τα στοιχεία του Νόμου με αυστηρότητα διότι και ο έλεγχος θα είναι εξαιρετικά αυστηρός.
Είναι αυτονόητο ότι τα δυσμενή με το υποκείμενο προσωπικά δεδομένα που διαβιβάζονται κάθε φορά στον αποδέκτη πρέπει να είναι ακριβή και ενημερωμένα μέχρι το χρόνο της διαβίβασης. Η ακρίβεια και ενημέρωση των στοιχείων αποτελεί βάρος του υπεύθυνου της επεξεργασίας και σε καμιά περίπτωση του υποκειμένου το οποίο σε αντίθετη περίπτωση διατηρεί τα δικαιώματα που του παρέχονται από το Ν. 2472/1997 αλλά και από τις γενικές διατάξεις για την προστασία της προσωπικότητας.
Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.
Αθήνα, 26 Απριλίου 2004
O Αναπληρωτής Πρόεδρος
ΧΡΗΣΤΟΣ ΠΑΛΗΟΚΩΣΤΑΣ
 

 

Απόφαση Α.Π.Δ.Π.Χ. 875/2004 - ΦΕΚ Β-684/11-5-2004

Προϋποθέσεις τήρησης αρχείου από την ΤΕΙΡΕΣΙΑΣ Α.Ε.

23 Προβολές, προστέθηκε 21 Μαϊου 2014 20:41

Τελευταία ενημέρωση
Έχει διαβαστεί 944 φορές
Ετικέτες: αποφάσεις 2004 875/2004 8752004 δεδομενα προσωπικου χαρακτηρα προϋποθέσεις τήρησης αρχείου από την τειρεσιασ αε
Προηγούμενο άρθρο
Απόφαση Α.Π.Δ.Π.Χ. 877/26/2004 - ΦΕΚ 684/Β/11-5-2004
Επόμενο άρθρο
Κανονιστική Πράξη Α.Π.Δ.Π.Χ.: 122/1957/2001 - ΦΕΚ 1345/Β/17-10-2001

Τελευταία Νέα

e-nomothesia alpha ecommerce Payment-Methods

Do NOT follow this link or you will be banned!