Αντικείμενο του Ν. 2472/97 είναι η θέσπιση προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής. Ως δεδομένα προσωπικού χαρακτήρα νοούνται κάθε είδους πληροφορίες που αναφέρονται στο υποκείμενο των δεδομένων. Ως υπεύθυνος επεξεργασίας νοείται οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και ως αποδέκτης νοείται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα.

Τα δεδομένα προσωπικού χαρακτήρα, για να τύχουν νόμιμης επεξεργασίας, πρέπει (άρθρο 4): α) να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών, β) να είναι συναφή και πρόσφορα και όχι περισσότερα από όσα κάθε φορά απαιτούνται ενόψει των σκοπών της επεξεργασίας (αρχή αναλογικότητας) και γ) να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση.

‘Οροι και προϋποθέσεις

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται, μόνο όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του. Κατ’ εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων, όταν α) η επεξεργασία είναι αναγκαία για την εκτέλεση της σύμβασης, στην οποία συμβαλλόμενο μέρος είναι υποκείμενο δεδομένων, ή για τη λήψη μέτρων κατόπιν αιτήσεως του υποκειμένου κατά το προσυμβατικό στάδιο και β) η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι, στους οποίους ανακοινώνονται τα δεδομένα, και υπό τον όρο ότι τούτο (έννoμo συμφέρον) υπερέχει προφανώς των δικαιωμάτων και των συμφερόντων των προσώπων, στα οποία αναφέρονται τα δεδομένα, και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών (άρθρο 5).

Ο υπεύθυνος επεξεργασίας υποχρεούται να γνωστοποιήσει εγγράφως στην Aρχή Προστασίας Προσωπικών Δεδομένων τη σύσταση και λειτουργία αρχείου ή την έναρξη της επεξεργασίας, καταθέτοντας συγχρόνως δήλωση με τα στοιχεία που αναφέρονται στην παρ. 2 του άρθρου 6, και να γνωστοποιεί εγγράφως και χωρίς καθυστέρηση κάθε μεταβολή των στοιχείων αυτών.
Σημειώνουμε ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα στις χώρες της ΕΕ είναι ελεύθερη, και ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη.

Ο υπεύθυνος επεξεργασίας οφείλει κατά το στάδιο της συλλογής των δεδομένων προσωπικού χαρακτήρα να ενημερώνει με τρόπο πρόσφορο και σαφή το υποκείμενο των δεδομένων για τα εξής, τουλάχιστον, στοιχεία: α) την ταυτότητά του, β) τον σκοπό της επεξεργασίας, γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων και δ) την ύπαρξη του δικαιώματος πρόσβασης. Εάν για τη συλλογή των δεδομένων προσωπικού χαρακτήρα ο υπεύθυνος επεξεργασίας ζητεί τη συνδρομή του υποκειμένου των δεδομένων, οφείλει να το ενημερώσει ειδικώς και εγγράφως για τα (προαναφερόμενα) στοιχεία, καθώς και για τα δικαιώματά του (ενημέρωσης, πρόσβασης και αντίρρησης), βάσει των άρθρων 11 έως 13. Εάν τα δεδομένα ανακοινώνονται σε τρίτους, το υποκείμενο των δεδομένων ενημερώνεται για την ανακοίνωσή τους πριν από αυτούς.

Με το άρθρο 12 καθιερώνεται το δικαίωμα του υποκειμένου για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που το αφορούν, ενώ προβλέπεται και ο τρόπος άσκησής του με υποβολή σχετικής αίτησης πληροφόρησης προς τον υπεύθυνο επεξεργασίας. Με το άρθρο 13 θεσπίζεται το δικαίωμα αντίρρησης του υποκειμένου για την επεξεργασία των δεδομένων του, με την υποβολή σχετικής αίτησης προς τον υπεύθυνο επεξεργασίας για συγκεκριμένη ενέργεια, όπως διόρθωση, μη διαβίβαση, διαγραφή κλπ (όταν η επεξεργασία των δεδομένων δεν είναι νόμιμη).

Επίσης, προβλέπεται το δικαίωμα κάθε φυσικού προσώπου να δηλώσει στην Αρχή Προστασίας Προσωπικών Δεδομένων ότι δεν επιθυμεί τα δεδομένα του να αποτελέσουν αντικείμενο επεξεργασίας από οποιονδήποτε για λόγους προώθησης πωλήσεων αγαθών ή παροχής υπηρεσιών από απόσταση, καθώς και η τήρηση από την Αρχή σχετικού μητρώου, το οποίο οφείλουν οι υπεύθυνοι επεξεργασίας να συμβουλεύονται πριν από κάθε επεξεργασία και να διαγράφουν τα αναφερόμενα σε αυτό πρόσωπα από το αρχείο τους. Στο άρθρο 22 προβλέπονται ποινικές κυρώσεις για όποιον χωρίς δικαίωμα επεμβαίνει σε αρχείο δεδομένων προσωπικού χαρακτήρα ή ανακοινώνει ή καθιστά προσιτά τέτοια δεδομένα σε μη δικαιούμενα πρόσωπα (παρ. 4).

Περιορισμοί

Στο άρθρο 23 παρ. 1 ορίζεται ότι φυσικό ή νομικό πρόσωπο ιδιωτικού δικαίου, που κατά παράβαση του Ν. 2472/97 προκαλεί περιουσιακή βλάβη, υποχρεούται σε πλήρη αποζημίωση. Αν προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη υπάρχει και, όταν ο υπόχρεος όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη σε άλλον. Στη δε παρ. 2 ορίζεται ότι η κατά το άρθρο 932 ΑΚ χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του Ν. 2472/97 ορίζεται κατ’ ελάχιστο στο ποσό των 2.000.000 δρχ (5.870,1€), εκτός αν ζητήθηκε από τον ενάγοντα μικρότερο ποσό ή η παράβαση οφείλεται σε αμέλεια. Τέλος, στο άρθρο 24 παρ. 3 ορίζεται ότι, για αρχεία που λειτουργούν και επεξεργασίες που εκτελούνται κατά την έναρξη ισχύος του Ν. 2472/97, οι υπεύθυνοι επεξεργασίας οφείλουν να προβούν στην κατά την παρ. 1 του άρθρου 11 ενημέρωση των υποκειμένων μέσα σε έξι μήνες από την έναρξη λειτουργίας της Αρχής. Η ενημέρωση, εφόσον αφορά σε μεγάλο αριθμό υποκειμένων, μπορεί να γίνει και δια του τύπου. Στην περίπτωση αυτή τις λεπτομέρειες καθορίζει η Αρχή.

Ο Ν. 2472/1997 απαγορεύει την επεξεργασία των προσωπικών δεδομένων προσώπου, στα οποία περιλαμβάνονται και όσα προέρχονται από γενικά προσιτές πηγές όταν αυτή γίνεται α) χωρίς προηγούμενη έγγραφη γνωστοποίηση προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της συλλογής, αρχειοθέτησης και γενικά της επεξεργασίας των προσωπικών δεδομένων από όλους τους υπεύθυνους επεξεργασίας, β) χωρίς προηγούμενη άδεια της Αρχής, εάν πρόκειται για επεξεργασία ευαίσθητων προσωπικών δεδομένων, στα οποία δεν περιλαμβάνονται οι οικονομικές πληροφορίες, γ) χωρίς τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, εκτός από τις ρητά προβλεπόμενες εξαιρέσεις και δ) χωρίς την προηγούμενη ενημέρωση του υποκειμένου των δεδομένων, δικαίωμα που προστατεύεται αυτοτελώς, αλλά αποτελεί και προϋπόθεση για την αποτελεσματική άσκηση των δικαιωμάτων πρόσβασης και αντίρρησης του υποκειμένου των δεδομένων.

Συμπερασματικά

Οι περιπτώσεις θεμιτής επεξεργασίας προσωπικών δεδομένων χωρίς τη συγκατάθεση του υποκειμένου αυτών δεν προϋποθέτουν -κατ’ ανάγκην- αίτηση για συγκατάθεση του υποκειμένου και άρνηση αυτού, αλλά ενεργοποιούνται και ισχύουν, εφόσον συντρέχουν οι προϋποθέσεις τους.

Ειδικότερα, η σύνθεση αρχείου και επεξεργασία προσωπικών δεδομένων που αποσκοπεί στον έλεγχο της πιστοληπτικής ικανότητας και γίνεται από εταιρείες ή άλλους υπεύθυνους επεξεργασίας, που έχουν εκπληρώσει τις προβλεπόμενες από τον Ν. 2472/97 υποχρεώσεις τους (γνωστοποίηση αρχείου κλπ), είναι νόμιμη και χωρίς τη συγκατάθεση του υποκειμένου, σύμφωνα με τη διάταξη του άρθρου 5 παρ. 2 περ. ε του Ν. 2472/97, επειδή:

  • η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή οι τρίτοι αποδέκτες των δεδομένων, για την άσκηση δηλαδή του δικαιώματος οικονομικής ελευθερίας με βάση ακριβείς και επίκαιρες πληροφορίες, που εξασφαλίζουν την εμπορική πίστη, την αξιοπιστία και την ασφάλεια των συναλλαγών και 
  • το σχετικό έννομο συμφέρον του υπεύθυνου επεξεργασίας ή των τρίτων υπερέχει προφανώς από τα συμφέροντα του υποκειμένου σχετικά με τη μη δημοσιοποίηση οικονομικών στοιχείων του, και πάντως από τη δημοσιοποίηση τέτοιων στοιχείων δεν θίγονται θεμελιώδεις ελευθερίες αυτού.

Το άρθρο δημοσιεύεται στο τεύχος 372 του περιοδικού «σελφ σέρβις» (εκδόσεις Comcenter).