Απόφαση 21 - 1236/2021 - Αρχή Προστασίας Δεδομένων: Πρόστιμο σε Δημοτικό Οργανισμό Προσχολικής Αγωγής και Κοινωνικής Αλληλεγγύης για παράνομη επεξεργασία και μη ικανοποίηση δικαιώματος διαγραφής

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνεδρίασε σε σύνθεση Τμήματος στην έδρα της την 15.7.2020 και ώρα 10.00 π.μ. μετά από πρόσκληση του Προέδρου της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας.

Παρέστησαν, ο Αναπληρωτής Πρόεδρος, Γεώργιος Μπατζαλέξης, κωλυομένου του Προέδρου της Αρχής, Κωνσταντίνου Μενουδάκου, και τα αναπληρωματικά μέλη, Ευάγγελος Παπακωνσταντίνου, ως εισηγητής και Γρηγόριος Τσόλιας σε αντικατάσταση των τακτικών μελών, Κωνσταντίνου Λαμπρινουδάκη και Χαράλαμπου Ανθόπουλου, οι οποίοι, αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος.

Παρούσες χωρίς δικαίωμα ψήφου ήταν η Μαρία Αλικάκου, νομικός ειδικός επιστήμονας, ως βοηθός εισηγήτρια, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας.

Η Αρχή έλαβε υπόψη της τα παρακάτω:

Με την με αριθμ. Γ/ΕΙΣ/4519/26.6.2019 προσφυγή του ο Α καταγγέλλει τον Δημοτικό
Οργανισμό Προσχολικής Αγωγής και Κοινωνικής Αλληλεγγύης (εφεξής ΔΟΠΑΚΑ), ο οποίος
είναι Νομικό Πρόσωπο Δημοσίου Δικαίου του Δήμου Ταύρου Μοσχάτου για παράνομη
επεξεργασία προσωπικών του δεδομένων και δη ανάρτηση στο Πρόγραμμα Διαύγεια της με
αριθμ. … απόφασης του διοικητικού συμβουλίου με ΑΔΑ: …, η οποία φέρει τίτλο «…» και
αφορά στο πρόσωπό του. Η εν λόγω απόφαση αποτελεί απόσπασμα πρακτικού της από …
συνεδρίασης του διοικητικού συμβουλίου του ΔΟΠΑΚΑ, κατά την οποία συζητήθηκαν
ζητήματα που αφορούν στην εργασία του προσφεύγοντος, τα οποία αποτυπώνονται
ευθαρσώς στο ως άνω απόσπασμα δημοσιοποιώντας με τον τρόπο αυτό ο ΔΟΠΑΚΑ
προσωπικά δεδομένα του προσφεύγοντος.
Ειδικότερα, ο καταγγέλλων αναφέρει στην υπό κρίση προσφυγή του ότι η επίμαχη απόφαση
πέραν του ότι παρανόμως αναρτήθηκε στο «Πρόγραμμα Διαύγεια», τον θίγει σοβαρά καθώς
περιέχει δικά του προσωπικά δεδομένα, τα οποία αναφέρονται στη συμπεριφορά του ως
εργαζόμενου και τα οποία θεωρεί εντελώς συκοφαντικά. Ειδικότερα, οι πληροφορίες που
τον αφορούν συνίστανται στα αρχικά του ονόματός του (…), επάγγελμα και θέση εργασίας,
ημερομηνία πρόσληψης (…) και σχέση εργασίας με τον ΔΟΠΑΚΑ, καθώς και τοποθεσία
εργασίας.
Περαιτέρω, ο καταγγέλλων αναφέρει ότι με την αριθμ. πρωτ. … αίτησή του προς τον ΔΟΠΑΚΑ
ζήτησε να προβεί ο ΔΟΠΑΚΑ άμεσα στην ανάκληση αυτής. Κατά τους ισχυρισμούς του
καταγγέλλοντος, η εν λόγω ανάρτηση είναι παράνομη και αντιβαίνει στις αρχές του ΓΚΠΔ,
ενώ ανάγεται αποκλειστικά σε εκδικητικούς λόγους εκ μέρους του ΔΟΠΑΚΑ και τούτο διότι,
κατά τους ισχυρισμούς του καταγγέλλοντος, ο τελευταίος είχε προβεί κατά του ΔΟΠΑΚΑ και
σε άλλες καταγγελίες ενώπιον δημοσίων αρχών. Στην ως άνω αίτηση ο ΔΟΠΑΚΑ, δεν
απάντησε ποτέ. Κατόπιν τούτου, ο προσφεύγων παραδεκτώς υπέβαλε την υπό εξέταση
καταγγελία στην Αρχή.
Η Αρχή, στο πλαίσιο εξέτασης της εν λόγω καταγγελίας, με το με αριθμ. πρωτ. Γ/ΕΞ/4519-
1/09.9.2019 έγγραφό της, ζήτησε διευκρινίσεις από τον ΔΟΠΑΚΑ αναφορικά με τα ως άνω
καταγγελλόμενα. Ο ΔΟΠΑΚΑ απάντησε με το με αριθμ. πρωτ. … (αριθμ. πρωτ. Αρχής
Γ/ΕΙΣ/6672/04.10.2019) έγγραφό του, σύμφωνα με το οποίο ισχυρίστηκε ότι η υπό εξέταση
καταγγελία είναι αβάσιμη, και θα έπρεπε να τεθεί στο αρχείο, για το λόγο ότι δεν ετίθετο
ζήτημα επεξεργασίας προσωπικών δεδομένων και τούτο διότι, κατά τους ισχυρισμούς του, η
αναρτηθείσα πράξη δεν περιείχε προσωπικά δεδομένα του καταγγέλλοντος. Ο ΔΟΠΑΚΑ δεν
απάντησε, ωστόσο, αναφορικά με τη μη ικανοποίηση δικαιώματος διαγραφής.
Ακολούθως, η Αρχή με τα υπ’ αρ. πρωτ. Γ/ΕΞ/3846/04.6.2020 και Γ/ΕΞ/3847/04.6.2020
έγγραφα κάλεσε τον ελεγχόμενο ΔΟΠΑΚΑ και τον προσφεύγοντα, αντίστοιχα, όπως
παρουσιαστούν στη συνεδρίαση του Τμήματος της Αρχής στις 17.6.2020 προκειμένου να
συζητηθεί η υπό εξέταση καταγγελία. Κατόπιν σχετικού αιτήματος του ΔΟΠΑΚΑ, η
συνεδρίαση αναβλήθηκε και έλαβε χώρα στις 19.6.2020. Κατά την εν λόγω συνεδρίαση
παρέστησαν ο προσφεύγων Α και από την πλευρά του ελεγχόμενου ΔΟΠΑΚΑ, η Β, Πρόεδρος
… του Δήμου Μοσχάτου – Ταύρου και η Ευγενία Παπαθεοδώρου, πληρεξούσια δικηγόρος
του ίδιου Δήμου. Κατά τη συνεδρίαση οι παριστάμενοι, αφού εξέφρασαν προφορικά τις
απόψεις τους, ζήτησαν και έλαβαν προθεσμία για την υποβολή εγγράφων υπομνημάτων ως
την 29.6.2020, τα οποία και υπέβαλαν εμπρόθεσμα, με τις με αρ. πρωτ. ΑΠΔΠΧ
Γ/ΕΙΣ/4450/26.6.2020), όσον αφορά τον καταγγελλόμενο ΔΟΠΑΚΑ και αρ. πρωτ. ΑΠΔΠΧ
Γ/ΕΙΣ/4509/26.6.2020, όσον αφορά τον καταγγέλλοντα, Α, αιτήσεις τους.
Ο καταγγέλλων κατά την ως άνω ακρόαση, αλλά και με το υπόμνημά του προς την Αρχή
ενημέρωσε ότι ο ΔΟΠΑΚΑ δεν έχει προβεί ακόμη σε ανάκληση της επίμαχης ανάρτησης,
τονίζοντας ότι εξαιτίας αυτής έχει θιγεί σοβαρά, τόσο σε προσωπικό, όσο και σε
επαγγελματικό επίπεδο. Αναφορικά ειδικότερα με τον ισχυρισμό του ΔΟΠΑΚΑ ότι δεν είναι
δυνατή η ταυτοποίησή του μέσα από την επίμαχη ανάρτηση ο καταγγέλλων πρόσθεσε ότι η
ταυτοποίησή του είναι απόλυτα εφικτή από τον επιπλέον λόγο ότι στη δημοτική κοινότητα
Ταύρου, όπου βρίσκεται ο … που εργάζεται, πληροφορία που αναφέρεται και στην επίμαχη
αναρτηθείσα πράξη, βρίσκονται συνολικά μόνο … …, εκ των οποίων μόνον στον ένα ο …
εργάζεται με … (στον άλλο … ο … είναι …).
Ο ΔΟΠΑΚΑ κατά την ως άνω ακρόαση, αλλά και με το υπόμνημά του προς την Αρχή,
υποστήριξε, μεταξύ άλλων, ότι η επίμαχη ανάρτηση είναι νόμιμη για τους ακόλουθους
λόγους:
α) δεν περιέχει προσωπικά δεδομένα του προσφεύγοντος, καθώς το επίμαχο έγγραφο έχει
ανωνυμοποιηθεί καθώς γίνεται χρήση μόνο των αρχικών του ονόματος του προσφεύγοντος
και από τις λοιπές πληροφορίες που περιέχονται σε αυτό δεν είναι εφικτή η ταυτοποίηση
του προσφεύγοντος ούτε με έμμεσο τρόπο, β) προβλέπεται στο αρ. 2 παρ. 4 περ. 22΄ του Ν.
3861/2010, σύμφωνα με το οποίο είναι υποχρεωτική η ανάρτηση ατομικών διοικητικών
πράξεων, η δημοσίευση των οποίων προβλέπεται από ειδική διάταξη νόμου και κατά την
έννοια αυτή αποτελούσε νομική υποχρέωση του ΔΟΠΑΚΑ σύμφωνα με το άρθρο 6 παρ. 1 γ΄
και, τέλος, επικουρικά γ) βασίζεται στο αρ. 6 παρ. 1 στ΄ ΓΚΠΔ, για το λόγο ότι, σύμφωνα με
τους ισχυρισμούς του ΔΟΠΑΚΑ, η επίμαχη ανάρτηση σκοπό είχε την προστασία έννομου
συμφέροντός του, το οποίο συνίστατο «στη διαφύλαξη της εύρυθμης λειτουργίας και του
κύρους του, ώστε να μπορεί να ανταποκρίνεται με επάρκεια στα καθήκοντά του.».
Η Αρχή, από την ακροαματική διαδικασία, από τα στοιχεία του φακέλου της υπόθεσης,
καθώς και από τα υπομνήματα που υποβλήθηκαν στην Αρχή, αφού άκουσε τον εισηγητή και
τη βοηθό εισηγήτρια, η οποία αποχώρησε μετά τη συζήτηση της υπόθεσης και πριν από τη
διάσκεψη και τη λήψη απόφασης, κατόπιν διεξοδικής συζήτησης,
ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισµού Προστασίας
∆εδοµένων (Κανονισµού 2016/679) και του άρθρου 9 του νόµου 4624/2019 (ΦΕΚ Α΄ 137)
προκύπτει ότι η Αρχή έχει αρµοδιότητα να εποπτεύει την εφαρµογή των διατάξεων του ΓΚΠ∆,
του νόµου αυτού και άλλων ρυθµίσεων που αφορούν την προστασία του ατόµου από την
επεξεργασία προσωπικών δεδοµένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ.1
στοιχ. στ΄ του ΓΚΠ∆ και 13 παρ. 1 στοιχ. ζ΄ του Ν.4624/2019 προκύπτει ότι η Αρχή έχει
αρµοδιότητα να επιληφθεί της καταγγελίας του Α κατά του ΔΟΠΑΚΑ Δήμου Μοσχάτου -
Ταύρου για παράνομη επεξεργασία και µη ικανοποίηση του δικαιώµατος διαγραφής
αναφορικά με δεδοµένα προσωπικού χαρακτήρα που τον αφορούν και να ασκήσει,
αντίστοιχα, τις εξουσίες που της απονέµονται από τις διατάξεις των άρθρων 58 του ΓΚΠ∆ και
15 του Ν. 4624/2019.
2. Επειδή, σύμφωνα με το άρθρο 4 στοιχ. 1) ΓΚΠΔ ως προσωπικά δεδομένα ορίζονται «κάθε
πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο («υποκείμενο των
δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα
μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο
ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό
αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη
σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική
ταυτότητα του εν λόγω φυσικού προσώπου». Περαιτέρω, στην αιτιολογική σκέψη 26 του
ΓΚΠ∆ υπογραµµίζεται ότι: «Οι αρχές της προστασίας δεδοµένων θα πρέπει να εφαρµόζονται
σε κάθε πληροφορία η οποία αφορά ταυτοποιηµένο ή ταυτοποιήσιµο φυσικό πρόσωπο. […]
Οι αρχές της προστασίας δεδοµένων δεν θα πρέπει συνεπώς να εφαρµόζονται σε ανώνυµες
πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιηµένο ή
ταυτοποιήσιµο φυσικό πρόσωπο ή σε δεδοµένα προσωπικού χαρακτήρα που έχουν καταστεί
ανώνυµα κατά τρόπο ώστε η ταυτότητα του υποκειµένου των δεδοµένων να µην µπορεί ή να
µην µπορεί πλέον να εξακριβωθεί.».
3. Επειδή, το άρθρο 5 ΓΚΠΔ καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία
δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, ορίζεται στην παράγραφο 1 ότι τα
δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων, :«α) υποβάλλονται σε σύννομη και θεμιτή
επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα,
αντικειμενικότητα, διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους
σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους
σκοπούς αυτούς (…), γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους
σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των
δεδομένων») (…)».
Περαιτέρω, με τη διάταξη του άρθρου 5 παρ. 2 του ΓΚΠΔ προβλέπεται ειδικότερα η αρχή της
λογοδοσίας, σύμφωνα με την οποία ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει
να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που
καθιερώνονται στην ως άνω αναφερόμενη παράγραφο 1 του άρθρου 5. Η εν λόγω αρχή
αποτελεί κεντρικό μέγεθος του νέου μοντέλου συμμόρφωσης που εισήγαγε ο ΓΚΠΔ, στο
πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν
γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων
να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον, ο υπεύθυνος
επεξεργασίας, σύμφωνα με την εν λόγω αρχή, επιβαρύνεται με το περαιτέρω καθήκον να
αποδεικνύει από μόνος του και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του
άρθρου 5 παρ. 1 ΓΚΠΔ, τόσο προς το υποκείμενο των δεδομένων, όσο και, ιδίως, ενώπιον
των εποπτικών αρχών προστασίας δεδομένων.
4. Επειδή, σύμφωνα με το άρθρο 6 παρ. 1 ΓΚΠΔ η επεξεργασία «απλών» προσωπικών
δεδομένων είναι σύννομη «μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες
προϋποθέσεις: [στοιχ. α) – στ)]». Επειδή, μεταξύ των περιπτώσεων, κατά τις οποίες
επιτρέπεται η επεξεργασία είναι και όταν «γ) η επεξεργασία είναι απαραίτητη για τη
συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας», καθώς και όταν «ε) η
επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το
δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο
επεξεργασίας». Ενώ, αναφορικά με το στοιχείο στ), σύμφωνα με το οποίο η επεξεργασία
επιτρέπεται, όταν «είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που
επιδιώκει ο υπεύθυνος επεξεργασίας […]», το δεύτερο εδάφιο της ίδιας ως άνω παραγράφου
ορίζει ότι «το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που
διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.». Συνεπώς, η
επεξεργασία που διενεργείται από δημόσιες αρχές δεν δύναται να έχει ως νομιμοποιητική
βάση την ικανοποίηση των εννόμων συμφερόντων τους, ως υπευθύνων επεξεργασίας.
Περαιτέρω, σύμφωνα με το άρθρο 5 του Ν. 4624/2019 «Οι δημόσιοι φορείς επιτρέπεται να
επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για
την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση
δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.».
Από τον συνδυασμό των ως άνω διατάξεων προκύπτει ότι, ειδικότερα για την επεξεργασία
προσωπικών δεδομένων από δημόσιους φορείς, προβλέπεται μοναδική νομική βάση για την
νομιμότητα της επεξεργασίας αυτή που συνίσταται στην υποχρέωση για εκπλήρωση
καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας
εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Ωστόσο, η Αρχή με τη
Γνωμοδότησή της 1/2020 παρατήρησε σχετικά με την εν λόγω διάταξη, μεταξύ άλλων, ότι :
[…] με το άρθρο 5 του νόμου επαναλαμβάνεται η νομική βάση του άρθρου 6 παρ. 1 εδ. ε’
ΓΚΠΔ, δεν εισάγεται νέα ή επικουρική νομική βάση στο εθνικό δίκαιο, ούτε αποκλείεται η
εφαρμογή των νομικών βάσεων του άρθρου 6 παρ. 1 ΓΚΠΔ. Ερμηνευόμενη με την έννοια
αυτή, η διάταξη του άρθρου 5 του ν. 4624/2019 δεν έρχεται σε αντίθεση με τον ΓΚΠΔ,
παραβιάζει όμως τον κανόνα του ενωσιακού δικαίου, κατά τον οποίο δεν επιτρέπεται
επανάληψη διατάξεων ΓΚΠΔ σε εθνικό νομοθέτημα. Συνεπώς, η επεξεργασία, όταν αυτή
διενεργείται από δημόσιους φορείς είναι σύννομη κι όταν αυτή είναι απαραίτητη για την
εκπλήρωση νόμιμης υποχρέωσης, σύμφωνα με το ως άνω αναφερόμενο άρθρο 6 περ. γ΄
ΓΚΠΔ.
5. Επειδή, αναφορικά με την άσκηση των δικαιωμάτων, μεταξύ των οποίων και του
δικαιώματος διαγραφής, το άρθρο 12 παρ. 3 και 4 του ΓΚΠΔ προβλέπει ότι: «3. Ο υπεύθυνος
επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ενέργεια που
πραγματοποιείται κατόπιν αιτήματος δυνάμει των άρθρων 15 έως 22 χωρίς καθυστέρηση και
σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η εν λόγω προθεσμία
μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της
πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας
ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την
παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης. (…)». 4. Εάν ο
υπεύθυνος επεξεργασίας δεν ενεργήσει επί του αιτήματος του υποκειμένου των δεδομένων,
ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων, χωρίς καθυστέρηση
και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους
οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και
άσκησης δικαστικής προσφυγής. […]».
Περαιτέρω, σύμφωνα με το άρθρο 17 παρ. 1 στοιχ. δ΄ ΓΚΠΔ «1. Το υποκείμενο των
δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή
δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και
ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα
χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους: α) […] δ)
τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα […]».
Ακολούθως, η διάταξη της παραγράφου 3 του ίδιου άρθρου προβλέπει παρεκκλίσεις από το
δικαίωμα διαγραφής, ορίζοντας, μεταξύ άλλων: « 3. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται
στον βαθμό που η επεξεργασία είναι απαραίτητη: (…) β) για την τήρηση νομικής υποχρέωσης
που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους
στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που
εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει
ανατεθεί στον υπεύθυνο της επεξεργασίας, (…).»
6.Επειδή, σύμφωνα με το άρθρο 1 του Ν. 3861/20101 («Ενίσχυση της διαφάνειας: Ανάρτηση
νόμων-πράξεων στο διαδίκτυο – «ΔΙΑΥΓΕΙΑ») «Αντικείμενο του παρόντος νόμου είναι η
εισαγωγή της υποχρέωσης ανάρτησης των νόμων, των προεδρικών διαταγμάτων, και των
πράξεων που εκδίδουν τα αναφερόμενα στο άρθρο 2 πρόσωπα και όργανα στο Διαδίκτυο και
η δημιουργία των προϋποθέσεων και διαδικασιών για τη διασφάλιση ευρύτατης
δημοσιότητας αυτών.». Περαιτέρω, στο άρθρο 2 παρ. 4 του ίδιου νόμου αναφέρονται οι
αναρτητέες πράξεις στο «Πρόγραμμα Διαύγεια».
Η ανάρτηση στο εν λόγω Πρόγραμμα εξυπηρετεί τη διαφάνεια στο δημόσιο και ευρύτερο
δημόσιο τομέα (βλ. σχετικά και την με αρ. 1/2010 Γνωμοδότηση της Αρχής)2 και δεν
απαγορεύεται, καταρχήν, από τη νομοθεσία περί προσωπικών δεδομένων, εφόσον οι εν
λόγω πράξεις δεν περιλαμβάνουν ειδικές κατηγορίες δεδομένων («ευαίσθητα δεδομένα»).
Ειδικότερα, σύµφωνα µε το άρθρο 5 του Ν. 3861/2010, η ανάρτηση των πράξεων που
αναφέρονται στο άρθρο 2 του αυτού νόµου στο ∆ιαδίκτυο και δη στην πλατφόρμα
«Προγράμματος Διαύγεια», καθώς και η οργάνωση της αναζήτησης πληροφοριών
πραγµατοποιείται µε την επιφύλαξη των κανόνων για την προστασία του ατόµου από την
επεξεργασία δεδοµένων προσωπικού χαρακτήρα.
Περαιτέρω, σύμφωνα με το άρθρο 2 παρ. 4 περ. 22 του ίδιου νόμου «4. Στο διαδίκτυο
αναρτώνται: 1) […] 22) ατομικές διοικητικές πράξεις, η δημοσίευση των οποίων προβλέπεται
από ειδική διάταξη νόμου.». Ειδικότερα, αναφορικά με την ανάρτηση των εν λόγω πράξεων
στο «Πρόγραμμα Διαύγεια» επισημαίνεται ότι «οι ατομικές διοικητικές πράξεις αναρτώνται
στο Πρόγραμμα Διαύγεια μόνον στις περιπτώσεις που δημοσιεύονται σύμφωνα με ειδική
διάταξη νόμου είτε στην Εφημερίδα της Κυβέρνησης είτε στον ημερήσιο τύπο, είτε στην
ιστοσελίδα ή στο κατάστημα του φορέα. Ειδικότερα: Σύμφωνα με την παρ. 4 άρθρου 6 της
Υπουργικής Απόφασης υπ' αριθ. ΕΞ 604/2012 (Γ.Υφ.) ΔΙΣΚΠΟ/Φ.1/οικ. 10885/2012 (ΦΕΚ Β΄
1476), "στην κατηγορία «λοιπές ατομικές διοικητικές πράξεις» εντάσσονται μόνον οι ατομικές
διοικητικές πράξεις, οι οποίες δημοσιεύονται σύμφωνα με ειδική διάταξη νόμου είτε στην
Εφημερίδα της Κυβέρνησης είτε στον ημερήσιο τύπο, είτε στην ιστοσελίδα ή στο κατάστημα
του φορέα." Εάν οι ατομικές διοικητικές πράξεις δημοσιεύονται υποχρεωτικά είτε αυτούσιες
είτε σε περίληψη με κάποιον από τους προαναφερθέντες τρόπους, τότε υφίσταται
υποχρέωση του φορέα να τις αναρτήσει στο πρόγραμμα διαύγεια. Σε κάθε άλλη περίπτωση
δεν υφίσταται υποχρέωση ανάρτησης των ατομικών διοικητικών πράξεων περίπτωσης 22
παρ. 4 άρθρου 2 Ν. 3861/2010.»3
.
7. Επειδή, από τα στοιχεία του φακέλου προκύπτει ότι, στην υπό κρίση υπόθεση, η επίμαχη
πράξη περιέχει προσωπικά δεδομένα του καταγγέλλοντος κατά τα ανωτέρω αναφερόμενα.
Ειδικότερα, παρόλο που δεν αναφέρεται ρητώς το όνομά του στην επίμαχη πράξη, η
αναφορά στα αρχικά του ονόματός του σε συνδυασμό με τις υπόλοιπες ειδικές
συμπληρωματικές πληροφορίες συντελεί στον προσδιορισμό της ταυτότητας του
καταγγέλλοντος καθιστώντας τον με τον τρόπο αυτό ταυτοποιήσιμο φυσικό πρόσωπο
(«υποκείμενο των δεδομένων»), κατά την ως άνω έννοια του άρθρου 4 στοιχ. 1) ΓΚΠΔ. Αυτό
έχει ως άμεσο επακόλουθο, όπως έχει αναλυθεί ανωτέρω, την υποχρεωτική εφαρμογή κατά
την επίμαχη ανάρτηση των αρχών προστασίας του άρθρου 5 ΓΚΠΔ.
Όπως αναφέρει και η Ομάδα Εργασίας του Άρθρου 29 (εφεξής ΟΕ Α29), το φυσικό πρόσωπο
είναι άτοµο «του οποίου η ταυτότητα µπορεί να εξακριβωθεί», ακόμα κι αν η ταυτότητά του
δεν είναι ακόµη γνωστή, βάσει αναγνωριστικών στοιχείων4
. Ειδικότερα η αναγνώριση της
ταυτότητας ενός προσώπου «επιτυγχάνεται κανονικά µε βάση συγκεκριµένες πληροφορίες
που καλούνται «στοιχεία αναγνώρισης» και που είναι σε µια ιδιαιτέρως προνοµιακή και
στενή σχέση µε το συγκεκριµένο άτοµο. Παραδείγµατα τέτοιων πληροφοριών είναι διάφορα
εξωτερικά γνωρίσµατα της εµφάνισης του εν λόγω προσώπου, όπως το ύψος, το χρώµα των
µαλλιών, η ένδυση, κλπ ή κάποια ιδιότητα του προσώπου που δεν µπορεί να γίνει αµέσως
αντιληπτή, όπως επάγγελµα, αξίωµα, όνοµα κλπ». Η ΟΕ Α29 συνεχίζει αναφέροντας ότι ο
προσδιορισμός της ταυτότητας ενός προσώπου είναι δυνατόν να γίνει «άμεσα από το όνοµα
ή έµµεσα από έναν αριθµό τηλεφώνου, αριθµό κυκλοφορίας αυτοκινήτου, αριθµό
κοινωνικής ασφάλισης, αριθµό διαβατηρίου ή από ένα συνδυασµό σηµαντικών κριτηρίων
που επιτρέπουν την αναγνώρισή του περιορίζοντας το εύρος της οµάδας στην οποία ανήκει
(ηλικία, επάγγελµα, τόπος διαµονής, κλπ.)", ενώ «η ”εξακρίβωση ταυτότητας” δεν σημαίνει
μόνο την πιθανότητα ανάκτησης του ονόματος ή/και της διεύθυνσης ενός προσώπου, αλλά
περιλαμβάνει, επίσης, τη δυνητική ταυτοποίηση μέσω του εντοπισμού, της συνδετικότητας
και της εξαγωγής συμπερασμάτων».5
Η αναφορά, συνεπώς, των αρχικών του ονόματος του καταγγέλλοντος σε συνδυασμό με τις
υπόλοιπες πληροφορίες που αναγράφονται στην επίμαχη αναρτηθείσα πράξη και
αναφέρονται στην επαγγελματική του ιδιότητα, αποτελούν αναγνωριστικά χαρακτηριστικά
κατά τα προδιαλαμβανόμενα που συντελούν στον άμεσο προσδιορισμό της ταυτότητάς του,
με αποτέλεσμα ο καταγγέλλων να καθίσταται γνωστός σε τρίτους, προερχόμενους τόσο από
το επαγγελματικό του περιβάλλον (στενό και ευρύτερο), ήτοι συναδέλφους, αλλά και … που
… στον … που εργάζεται, όσο και από το κοινωνικό του περιβάλλον, ήτοι συγγενείς, φίλους
και γνωστούς. Λόγω δε της ελεύθερης προσβασιμότητας στο εν λόγω Πρόγραμμα,
απεριόριστος επιπλέον αριθμός ατόμων – χρηστών δύναται να ταυτοποιήσει το πρόσωπο
του καταγγέλλοντος μέσα από την επίμαχη ανάρτηση.
Αναφορικά, εξάλλου, με τον ισχυρισμό, του ΔΟΠΑΚΑ ότι η επίμαχη πράξη έχει υποστεί
ανωνυμοποίηση, με αποτέλεσμα να μην μπορεί να προσδιορισθεί ούτε έμμεσα η ταυτότητα
του καταγγέλλοντος για το λόγο ότι δεν αναφέρεται ρητώς το όνομά του, είναι αβάσιμος,
διότι κατ’ αρχάς, πέραν των ανωτέρω, για την ταυτοποίηση ενός προσώπου δεν απαιτείται η
ύπαρξη του ονόματός του. Αντιθέτως, και μόνη η δημοσιοποίηση λοιπών ειδικών
πληροφοριών, εκτός του ονόματος, αρκεί για να προσδιορισθεί η ταυτότητα του προσώπου,
σύμφωνα με την ανωτέρω αναφερόμενη Γνώμη 4/2007 της ΟΑ 29. Περαιτέρω, ο εν λόγω
ισχυρισμός είναι αβάσιμος και για τον επιπρόσθετο λόγο ότι η ανωνυμοποίηση αποτελεί
τεχνική, με την οποία καθίσταται ανέφικτη η εξακρίβωση πλέον της ταυτότητας του
προσώπου, στο οποίο αναφέρονται οι πληροφορίες. Τα δεδομένα, συνεπώς, πρέπει να είναι
τέτοιας μορφής, ώστε να μην είναι δυνατή η εξακρίβωση της ταυτότητας του προσώπου, στο
οποίο αναφέρονται με «όλα» τα «πιθανά» και «εύλογα» μέσα6
, κάτι που, όπως
διαπιστώνεται, δεν ισχύει στην υπό κρίση υπόθεση. Σημαντικό παράγοντα αποτελεί ο μη
αντιστρέψιμος χαρακτήρας της επεξεργασίας. Συνεπώς, η τεχνική της ανωνυμοποίησης θα
πρέπει να συνεπάγεται την πλήρη απομάκρυνση από τη δυνατότητα ταυτοποίησης του
υποκειμένου7
.
Εξάλλου, σύμφωνα και με την ανωτέρω αναφερόμενη αιτιολογική σκέψη 26 του προοιμίου
του ΓΚΠΔ ανώνυμα, ουσιαστικά, θεωρούνται «τα δεδομένα που έχουν καταστεί ανώνυμα,
κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην
μπορεί πλέον να εξακριβωθεί.».
Επιπροσθέτως, ο ισχυρισμός του ΔΟΠΑΚΑ ότι η επίμαχη ανάρτηση δεν περιέχει προσωπικά
δεδομένα του καταγγέλλοντος έρχεται και σε αντίθεση με τον επικουρικά επικαλούμενο
ισχυρισμό του ότι προέβη στην επίμαχη ανάρτηση για την υποστήριξη των εννόμων
συμφερόντων του, σύμφωνα με το άρθρο 6 παρ. 1 στ΄ ΓΚΠΔ, τα οποία συνίστανται στην
εύρυθμη και ομαλή λειτουργία της υπηρεσίας που θα συνεπαγόταν η ονομαστική
δημοσίευση στο «Πρόγραμμα Διαύγεια» πληροφοριών που αφορούσαν στην εργασιακή
συμπεριφορά του καταγγέλλοντος (αναφορικά με την επίκληση ως νομιμοποιητικού λόγου
την υποστήριξη εννόμων συμφερόντων βλ. αναλυτικά κατωτέρω).
Κατά συνέπεια, ο ισχυρισμός του ΔΟΠΑΚΑ ότι η προσφυγή είναι αβάσιμη, για το λόγο ότι δεν
περιέχονται προσωπικά δεδομένα του προσφεύγοντος στην αναρτημένη πράξη κρίνεται
απορριπτέος για τους ανωτέρω εκτεθειμένους λόγους.
Επειδή, περαιτέρω αναφορικά με την νομιμότητα της επίμαχης ανάρτησης ο ελεγχόμενος
ΔΟΠΑΚΑ υποστηρίζει ότι αυτή βασίστηκε, κατά κύριο λόγο, στο αρ. 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ
και επικουρικά στο άρθρο 6 παρ. 1 στοιχ. στ΄ του ίδιου κανονισμού. Ειδικότερα, ο ΔΟΠΑΚΑ
υποστηρίζει ότι η επίμαχη ανάρτηση είναι νόμιμη και τούτο διότι είχε υποχρέωση να προβεί
σε αυτή βάσει νομοθετικής πρόβλεψης και ειδικότερα, βάσει της διάταξης του αρ. 2 παρ. 4
περ. 22) του Ν. 3861/2010. Συνεπώς, κατά τους ισχυρισμούς του ΔΟΠΑΚΑ η εν λόγω
ανάρτηση ήταν σύμφωνη με τον ΓΚΠΔ και, ειδικότερα, με την ως άνω αναφερόμενη διάταξη
του άρ. 6 παρ. 1 περ. γ΄, σύμφωνα με την οποία η επεξεργασία είναι νόμιμη, όταν είναι
απαραίτητη για την εκπλήρωση νομικής υποχρέωσης, η οποία εν προκειμένω συνίστατο στην
ως άνω εκ του άρθρου 2 παρ.4 περ. 22) Ν. 3681/2010 υποχρέωση. Ωστόσο, η εν λόγω διάταξη
ορίζει ότι η ανάρτηση ατομικής διοικητικής πράξης είναι υποχρεωτική, εφόσον η δημοσίευση
αυτής προβλέπεται σε ειδικότερη διάταξη νόμου. Ο ΔΟΠΑΚΑ, ως υπεύθυνος επεξεργασίας,
δεν επικαλέστηκε τέτοια ειδικότερη διάταξη νόμου, με αποτέλεσμα να μην τεκμηριώνει
εντέλει την νομιμότητα της υπό κρίση ανάρτησης, στο πλαίσιο, ιδίως, της αρχής λογοδοσίας,
σύμφωνα με την οποία, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης για την
νομιμότητα της επεξεργασίας που διενεργεί ή έχει διενεργήσει. Κατόπιν τούτου, η επίμαχη
ανάρτηση αντιβαίνει στις αρχές προστασίας δεδομένων με αποτέλεσμα ο ΔΟΠΑΚΑ να
παραβιάζει τα άρθρα 5 και 6 παρ. 1 γ) ΓΚΠΔ.
Επειδή, περαιτέρω, ο ΔΟΠΑΚΑ προβάλλει ως επικουρικό λόγο νομιμοποίησης της επίμαχης
ανάρτησης την υποστήριξη των εννόμων συμφερόντων του, όπως αυτά αναλυτικά
προσδιορίζονται ανωτέρω. Ωστόσο, η εν λόγω νομιμοποιητική βάση δεν δύναται να γίνει
δεκτή και τούτο διότι οι όροι και οι προϋποθέσεις για την ανάρτηση πράξεων στο
«Πρόγραμμα Διαύγεια» προβλέπονται ρητώς και αποκλειστικώς στην οικεία νομοθεσία,
όπως αναφέρεται ανωτέρω, στην οποία δεν περιλαμβάνεται η δυνατότητα ανάρτησης
πράξεων στο εν λόγω Πρόγραμμα για την ικανοποίηση ιδίων εννόμων συμφερόντων. Κάτι
τέτοιο, εξάλλου, θα καταστρατηγούσε τον σκοπό του εν λόγω Προγράμματος και θα
καθιστούσε ανεξέλεγκτη την επεξεργασία προσωπικών δεδομένων, μιας και αυτή θα
βασιζόταν στην εκάστοτε κρίση των φορέων κατά την αξιολόγηση των ιδίων εννόμων
συμφερόντων τους. Πέραν τούτων, ο ως άνω ισχυρισμός τυγχάνει απορριπτέος και για τον
επιπρόσθετο λόγο που αναφέρεται ρητώς στο άρθρο 6 παρ. 1 εδ. 2 ΓΚΠΔ, σύμφωνα με το
οποίο η επεξεργασία από δημόσιες αρχές κατά την άσκηση των δημόσιων καθηκόντων τους
δεν μπορεί να γίνεται με σκοπό την εξυπηρέτηση δικών τους εννόμων συμφερόντων. Στο ίδιο
μήκος κύματος κυμαίνονται και οι Κατευθυντήριες Γραμμές της ΟΕ Α29 αναφορικά με το
έννομο συμφέρον του υπευθύνου επεξεργασίας, στις οποίες διευκρινίζεται ότι το
«συμφέρον» καταρχάς πρέπει να είναι νόμιμο, δηλαδή αποδεκτό, από το ενωσιακό δίκαιο ή
το δίκαιο κράτους μέλους8
. Ως γενικός κανόνας το «συμφέρον» που ερείδεται στο δίκαιο,
είτε είναι νομοθετικό μέτρο, είτε κανόνας ή νομική αρχή, μπορεί να θεωρηθεί «έννομο»
συμφέρον. Συνεπώς, ακόμη κι αν δεν προβλέπεται ρητώς στον νόμο, το συμφέρον μπορεί να
θεωρηθεί «έννομο», αν αναγνωρίζεται ως τέτοιο από το νομικό σύστημα,
συμπεριλαμβανομένων των νομικών αρχών. Περαιτέρω, ενώ για μια επεξεργασία δεν
απαιτείται να υπάρχει νομική υποχρέωση, το επιδιωκόμενο συμφέρον δεν μπορεί να
έρχεται σε αντίθεση με τον νόμο. Σύμφωνα και με την αιτιολογική σκέψη 47 του ΓΚΠΔ
αναφορικά με τη δυνατότητα των δημοσίων αρχών να επικαλεστούν ως νομιμοποιητική
βάση για την επεξεργασία που διενεργούν την εξυπηρέτηση εννόμων συμφερόντων τους,
διευκρινίζεται ότι: «δεδομένου ότι εναπόκειται στον νομοθέτη να παρέχει διά νόμου τη
νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δημόσιες
αρχές, ο συγκεκριμένος νομικός λόγος δεν θα πρέπει να εφαρμόζεται στην επεξεργασία από
τις δημόσιες αρχές κατά την εκπλήρωση των καθηκόντων τους.». Συνεπώς, ο ΓΚΠΔ εξαιρεί
την πιθανότητα χρήσης από τις δημόσιες αρχές της εν λόγω νομικής βάσης για την διενέργεια
επεξεργασίας κατά την άσκηση των καθηκόντων τους, ενώ τονίζει τη σημασία της γενικής
αρχής ότι οι δημόσιες αρχές, κατά κύριο λόγο, θα πρέπει να διενεργούν την επεξεργασία
δεδομένων κατά την άσκηση των καθηκόντων τους, μόνο εφόσον έχουν την απαραίτητη
εξουσιοδότηση από τον νόμο.
Επειδή, τέλος, ο ΔΟΠΑΚΑ δεν προέβη στην ικανοποίηση του αιτήματος διαγραφής, το οποίο
υπέβαλε ο καταγγέλλων με την με αριθμ. πρωτ. … αίτησή του. Συγκεκριμένα, ο ΔΟΠΑΚΑ δεν
απάντησε στο σχετικό αίτημα του προσφεύγοντος, ως όφειλε βάσει του άρθρου 12 παρ. 3
και 4 ΓΚΠΔ, αλλά ούτε προχώρησε στην ικανοποίηση αυτού μέσω της ανάκλησης της ως άνω
αναφερόμενης πράξης από το «Πρόγραμμα Διαύγεια», σύμφωνα με το άρθρο 17 παρ. 1
στοιχ. γ΄ ΓΚΠΔ, αλλά αντιθέτως διατήρησε την εν λόγω ανάρτηση χωρίς να προβάλει νόμιμο
λόγο για τη διατήρηση αυτής στο εν λόγω Πρόγραμμα. Ειδικότερα, κατά τα ανωτέρω
αναφερόμενα, ο ΔΟΠΑΚΑ όφειλε άμεσα να ικανοποιήσει το αίτημα του καταγγέλλοντος για
ανάκληση της επίμαχης πράξης από το «Πρόγραμμα Διαύγεια», για το λόγο ότι αυτή δεν ήταν
σύμφωνη με τις ως άνω αναφερόμενες διατάξεις του ΓΚΠΔ.
Κατ’ ακολουθία των ανωτέρω, η Αρχή κρίνει ότι ο ΔΟΠΑΚΑ διενεργώντας την κατά τα
ανωτέρω παράνομη ανάρτηση στο «Πρόγραμμα Διαύγεια» προσωπικών δεδομένων του
καταγγέλλοντος, Α, και μη ικανοποιώντας το δικαίωμα του τελευταίου για διαγραφή των εν
λόγω δεδομένων, προέβη σε παραβίαση των ως άνω αναφερόμενων διατάξεων και δη, σε
παράνομη επεξεργασία, σύμφωνα με τα άρθρα 5 και 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ και μη
ικανοποίηση δικαιώματος διαγραφής, σύμφωνα με το άρθρο 17 παρ. 1 στοιχ. δ΄ του ιδίου
Κανονισμού.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:
Α) επιβάλλει τα κατωτέρω αποτελεσματικά, αναλογικά και αποτρεπτικά διοικητικά
χρηµατικά πρόστιµα που αρµόζουν στις συγκεκριµένες περιπτώσεις, σύµφωνα µε τις
ειδικότερες περιστάσεις αυτών, τα οποία έχουν ως εξής:
1. Για την παραβίαση του άρθρου 6 παρ. 1 στοιχ. γ΄ ΓΚΠΔ, το διοικητικό χρηματικό
πρόστιμο ύψους επτά χιλιάδων (7.000,00) ευρώ
2. Για την παραβίαση των άρθρων 12 παρ. 3 και 4 και 17 παρ.1 στοιχ. δ΄ ΓΚΠΔ, το
διοικητικό χρηματικό πρόστιμο ύψους τριών χιλιάδων (3.000,00) ευρώ, και
Β) δίνει εντολή στον Δημοτικό Οργανισμό Προσχολικής Αγωγής και Κοινωνικής Αλληλεγγύης
Δήμου Ταύρου Μοσχάτου να προχωρήσει στη διαγραφή (ανάκληση) από το «Πρόγραμμα
Διαύγεια» της επίμαχης πράξης που αναφέρεται στο ιστορικό της παρούσας.
1 Με τον Ν. 4727/2020 (άρθρο 108) «ανοιχτά δεδομένα» (βλ. Κεφάλαιο ΙΑ΄ Ψηφιακή Διαφάνεια -
Πρόγραμμα ΔΙΑΥΓΕΙΑ, αρ. 75-83) καταργήθηκαν οι διατάξεις των άρθρων 1 έως και 6, 8, 10Α και 10Β
του Ν. 3861/2010. Επειδή, ωστόσο, η επίμαχη ανάρτηση, καθώς και το αίτημα ανάκλησης, έλαβε χώρα
πριν από την ως άνω κατάργηση, στην υπό κρίση υπόθεση λαμβάνονται υπόψη οι διατάξεις του
Ν.3861/2010, που, άλλωστε και ο ίδιος ο ΔΟΠΑΚΑ επικαλείται. Σε κάθε περίπτωση, αναφορικά με τις
αναρτητέες πράξεις μετά την κατάργηση των ως άνω διατάξεων, αυτές προβλέπονται στο άρθρο 76
του Ν. 4727/2020.
2 Διαθέσιμη στην ιστοσελίδα της Αρχής www.dpa.gr.
3 Για περισσότερες πληροφορίες βλ. ιστοσελίδα του «Προγράμματος Διαύγεια» και ειδικότερα τον
ακόλουθο σύνδεσμο: https://diavgeia.gov.gr/faq/post 4 Βλ Γνώμη 04/2007 ΟΕ Α29 για τον ορισμό των προσωπικών δεδομένων, εκδόθηκε στις 20 Ιουνίου
2007, 01248/07/EN WP 136, σελ 12 επ.
5 Ο. π.
6 Θα πρέπει να υπενθυμιστεί εν προκειμένω ότι η ανωνυμοποίηση ορίζεται επίσης σε διεθνή πρότυπα,
όπως στο πρότυπο ISO 29100, ως η διαδικασία με την οποία αναγνωρίσιμα προσωπικά δεδομένα
(personally identifiable information (PII)) υποβάλλονται σε μη αναστρέψιμη τροποποίηση κατά τρόπο
ώστε να μην είναι πλέον δυνατή η εξακρίβωση της ταυτότητας, άμεσα ή έμμεσα, του υποκειμένου των
δεδομένων, είτε αποκλειστικά και μόνο από τον υπεύθυνο επεξεργασίας των αναγνωρίσιμων
προσωπικών δεδομένων (PII) είτε σε συνεργασία με οποιοδήποτε άλλον τρίτο» (ISO 29100:2011). 7 Για περισσότερες πληροφορίες αναφορικά με τις τεχνικές ανωνυμοποίησης, βλ Γνώμη 5/2014 ΟΕ
Α29 σχετικά με τις τεχνικές ανωνυμοποίησης, 0829/14/EL WP216, εκδόθηκε στις 10 Απριλίου 2014.
8 Γνώμη 6/2014 για τον ορισμό του έννομου συμφέροντος του Υπευθύνου Επεξεργασίας, Ομάδα
Εργασίας άρθρου 29, εκδόθηκε στις 9 Απριλίου 2014, 844/14/EN WP 217.
17/05/2021
Ο αναπληρωτής Πρόεδρος

Γεώργιος Μπατζαλέξης

Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου