Το Δικαστήριο της Ευρωπαϊκής Ένωσης στο πλαίσιο της υπόθεσης C-741/21, εξέτασε μεταξύ άλλων, το εάν ένας υπεύθυνος επεξεργασίας δεδομένων δύναται να απαλλαγεί από την ευθύνη για αποκατάσταση ζημίας επικαλούμενος ότι η παραβίαση του Κανονισμού (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») οφείλεται σε αμέλεια υπαλλήλου του.
Ιστορικό υπόθεσης
Η εταιρεία juris επεξεργάζεται δεδομένα πελατών τόσο στο πλαίσιο της υπηρεσίας βάσης δεδομένων νομικών πληροφοριών που παρέχει όσο και στο πλαίσιο εμπορικής προώθησης των υπηρεσιών της. Ο GB ήταν δικηγόρος και πελάτης της juris και προχώρησε σε ανάκληση τυχόν συγκατάθεσης που παρείχε για τις προωθητικές ενέργειες, με εξαίρεση τη λήψη newsletter.
Εντούτοις, έγινε λήπτης διαφημιστικών εντύπων στην επαγγελματική του διεύθυνση, με αποτέλεσμα να αξιώσει αποζημίωση για τη βλάβη που υπέστη από την παράνομη επεξεργασία των δεδομένων του.
Η juris ισχυρίστηκε, μεταξύ άλλων, ότι είχε θέσει σε εφαρμογή ένα σύστημα διαχείρισης των αιτημάτων εναντίωσης στην εμπορική προώθηση και ότι ο λόγος για τον οποίον δεν είχε λάβει εγκαίρως υπόψη την εναντίωση του GB ήταν είτε ότι κάποιος από τους συνεργάτες/ υπαλλήλους της δεν τήρησε τις οδηγίες που είχε λάβει.
Το Πρωτοδικείο του Saarbrücken της Γερμανίας προχώρησε σε μια σειρά προδικαστικών ερωτημάτων, στα οποία συμπεριλαμβάνονταν και το εάν είναι επαρκές για την απαλλαγή του υπεύθυνου επεξεργασίας δεδομένων από ευθύνη για αποκατάσταση ζημίας το επιχείρημα ότι η παραβίαση οφείλεται σε σφάλμα προσώπου το οποίο ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία κατά την έννοια του άρθρου 29 του ΓΚΠΔ.
Τι είπε το ΔΕΕ;
Καταρχήν, κάθε υπεύθυνος επεξεργασίας, για τις δραστηριότητες επεξεργασίας που διενεργεί, φέρει διοικητική καθώς και αστική ευθύνη1. Η ευθύνη αυτή εκτείνεται και τα πρόσωπα τα οποία ενεργούν δραστηριότητες επεξεργασίας υπό την εποπτεία και με τις οδηγίες και εντολές του, όπως οι υπάλληλοι του, οι προστηθέντες του ή γενικά οι συνεργάτες του2. Εν γένει, στην παράγραφο 3 του άρθρου 82 ΓΚΠΔ, προβλέπεται ότι ένας Υπεύθυνος Επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη του για ζημίες εάν αποδείξει ότι δεν φέρει ευθύνη για το γενεσιουργό γεγονός της ζημίας.
Ωστόσο, ένας Υπεύθυνος Επεξεργασίας πρέπει να διασφαλίζει ότι έχει διαμορφώσει και εφαρμόζει πολιτικές και διαδικασίες, ώστε οι δραστηριότητες επεξεργασίας που διενεργούν τα πρόσωπα που τελούν υπό την εποπτεία του, να πραγματοποιούνται αποκλειστικά στο πλαίσιο που θέτει αυτός και βάσει των οδηγιών του3.
Ένα σφάλμα λοιπόν υπαλλήλου (ενός προσώπου δηλαδή που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας), σημαίνει ότι ο Υπεύθυνος Επεξεργασίας δεν ενήργησε σωστά ως προς την διασφάλιση της σωστής εφαρμογής των πολιτικών και διαδικασιών που έχει υιοθετήσει. Ως εκ τούτου, το γεγονός και μόνο της παροχής οδηγιών στους υπαλλήλους δεν αρκεί για να απαλλαγεί ο εργοδότης από την ευθύνη του, στην περίπτωση κατά την οποία οι τελευταίοι δεν την ακολούθησαν και ως εκ τούτου επήλθε η παράβαση του ΓΚΠΔ, που οδήγησε στο ζημιογόνο γεγονός.
Συνεπώς, οι εργοδότες/υπεύθυνοι επεξεργασίας δεν μπορούν να απαλλαγούν από την ευθύνη απλώς επικαλούμενοι αμέλεια εκ μέρους ενός από τους υπαλλήλους τους. Ο εργοδότης θα μπορέσει να απαλλαγεί από τυχόν αστική ευθύνη μόνο αποδεικνύοντας ότι δεν υπάρχει αιτιώδης συνάφεια μεταξύ της τυχόν παραβίασης του ΓΚΠΔ και της ζημίας που υπέστη το υποκείμενο των δεδομένων.
Προκύπτει σαφώς, λοιπόν ότι η συμμόρφωση με τη νομοθεσία προστασίας προσωπικών δεδομένων δεν διασφαλίζεται με την τυπική και μόνο υιοθέτηση πολιτικών και διαδικασιών, οι οποίες παραμένουν ανεφάρμοστες και δεν επικοινωνούνται στους υπαλλήλους.
Αντιθέτως, είναι απαραίτητο, να διαμορφωθεί μια κουλτούρα σύννομης επεξεργασίας προσωπικών δεδομένων εντός των επιχειρήσεων η οποία θα επικοινωνείται στους υπαλλήλους και στους συνεργάτες του εργοδότη, ενώ θα παρακολουθείται τακτικά η εφαρμογή της. Άρα είναι, πρωτεύουσας σημασίας τόσο η διαμόρφωση πολιτικών και διαδικασιών προσαρμοσμένων στις ανάγκες ενός συγκεκριμένου Υπεύθυνου Επεξεργασίας όσο και η εκπαίδευση και ευαισθητοποίηση των εργαζομένων τόσο στις γενικές αρχές της προστασίας δεδομένων αλλά και κυρίως στις πολιτικές και διαδικασίες αυτές.
*Η φωτογραφία έχει δημιουργηθεί με το εργελείο Τεχνητής Νοημοσύνης DALL-E
Το Δικαστήριο της Ευρωπαϊκής Ένωσης στο πλαίσιο της υπόθεσης C-741/21, εξέτασε μεταξύ άλλων, το εάν ένας υπεύθυνος επεξεργασίας δεδομένων δύναται να απαλλαγεί από την ευθύνη για αποκατάσταση ζημίας επικαλούμενος ότι η παραβίαση του Κανονισμού (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») οφείλεται σε αμέλεια υπαλλήλου του.
Ιστορικό υπόθεσης
Η εταιρεία juris επεξεργάζεται δεδομένα πελατών τόσο στο πλαίσιο της υπηρεσίας βάσης δεδομένων νομικών πληροφοριών που παρέχει όσο και στο πλαίσιο εμπορικής προώθησης των υπηρεσιών της. Ο GB ήταν δικηγόρος και πελάτης της juris και προχώρησε σε ανάκληση τυχόν συγκατάθεσης που παρείχε για τις προωθητικές ενέργειες, με εξαίρεση τη λήψη newsletter.
Εντούτοις, έγινε λήπτης διαφημιστικών εντύπων στην επαγγελματική του διεύθυνση, με αποτέλεσμα να αξιώσει αποζημίωση για τη βλάβη που υπέστη από την παράνομη επεξεργασία των δεδομένων του.
Η juris ισχυρίστηκε, μεταξύ άλλων, ότι είχε θέσει σε εφαρμογή ένα σύστημα διαχείρισης των αιτημάτων εναντίωσης στην εμπορική προώθηση και ότι ο λόγος για τον οποίον δεν είχε λάβει εγκαίρως υπόψη την εναντίωση του GB ήταν είτε ότι κάποιος από τους συνεργάτες/ υπαλλήλους της δεν τήρησε τις οδηγίες που είχε λάβει.
Το Πρωτοδικείο του Saarbrücken της Γερμανίας προχώρησε σε μια σειρά προδικαστικών ερωτημάτων, στα οποία συμπεριλαμβάνονταν και το εάν είναι επαρκές για την απαλλαγή του υπεύθυνου επεξεργασίας δεδομένων από ευθύνη για αποκατάσταση ζημίας το επιχείρημα ότι η παραβίαση οφείλεται σε σφάλμα προσώπου το οποίο ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία κατά την έννοια του άρθρου 29 του ΓΚΠΔ.
Τι είπε το ΔΕΕ;
Καταρχήν, κάθε υπεύθυνος επεξεργασίας, για τις δραστηριότητες επεξεργασίας που διενεργεί, φέρει διοικητική καθώς και αστική ευθύνη1. Η ευθύνη αυτή εκτείνεται και τα πρόσωπα τα οποία ενεργούν δραστηριότητες επεξεργασίας υπό την εποπτεία και με τις οδηγίες και εντολές του, όπως οι υπάλληλοι του, οι προστηθέντες του ή γενικά οι συνεργάτες του2. Εν γένει, στην παράγραφο 3 του άρθρου 82 ΓΚΠΔ, προβλέπεται ότι ένας Υπεύθυνος Επεξεργασίας μπορεί να απαλλαγεί από την ευθύνη του για ζημίες εάν αποδείξει ότι δεν φέρει ευθύνη για το γενεσιουργό γεγονός της ζημίας.
Ωστόσο, ένας Υπεύθυνος Επεξεργασίας πρέπει να διασφαλίζει ότι έχει διαμορφώσει και εφαρμόζει πολιτικές και διαδικασίες, ώστε οι δραστηριότητες επεξεργασίας που διενεργούν τα πρόσωπα που τελούν υπό την εποπτεία του, να πραγματοποιούνται αποκλειστικά στο πλαίσιο που θέτει αυτός και βάσει των οδηγιών του3.
Ένα σφάλμα λοιπόν υπαλλήλου (ενός προσώπου δηλαδή που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας), σημαίνει ότι ο Υπεύθυνος Επεξεργασίας δεν ενήργησε σωστά ως προς την διασφάλιση της σωστής εφαρμογής των πολιτικών και διαδικασιών που έχει υιοθετήσει. Ως εκ τούτου, το γεγονός και μόνο της παροχής οδηγιών στους υπαλλήλους δεν αρκεί για να απαλλαγεί ο εργοδότης από την ευθύνη του, στην περίπτωση κατά την οποία οι τελευταίοι δεν την ακολούθησαν και ως εκ τούτου επήλθε η παράβαση του ΓΚΠΔ, που οδήγησε στο ζημιογόνο γεγονός.
Συνεπώς, οι εργοδότες/υπεύθυνοι επεξεργασίας δεν μπορούν να απαλλαγούν από την ευθύνη απλώς επικαλούμενοι αμέλεια εκ μέρους ενός από τους υπαλλήλους τους. Ο εργοδότης θα μπορέσει να απαλλαγεί από τυχόν αστική ευθύνη μόνο αποδεικνύοντας ότι δεν υπάρχει αιτιώδης συνάφεια μεταξύ της τυχόν παραβίασης του ΓΚΠΔ και της ζημίας που υπέστη το υποκείμενο των δεδομένων.
Προκύπτει σαφώς, λοιπόν ότι η συμμόρφωση με τη νομοθεσία προστασίας προσωπικών δεδομένων δεν διασφαλίζεται με την τυπική και μόνο υιοθέτηση πολιτικών και διαδικασιών, οι οποίες παραμένουν ανεφάρμοστες και δεν επικοινωνούνται στους υπαλλήλους.
Αντιθέτως, είναι απαραίτητο, να διαμορφωθεί μια κουλτούρα σύννομης επεξεργασίας προσωπικών δεδομένων εντός των επιχειρήσεων η οποία θα επικοινωνείται στους υπαλλήλους και στους συνεργάτες του εργοδότη, ενώ θα παρακολουθείται τακτικά η εφαρμογή της. Άρα είναι, πρωτεύουσας σημασίας τόσο η διαμόρφωση πολιτικών και διαδικασιών προσαρμοσμένων στις ανάγκες ενός συγκεκριμένου Υπεύθυνου Επεξεργασίας όσο και η εκπαίδευση και ευαισθητοποίηση των εργαζομένων τόσο στις γενικές αρχές της προστασίας δεδομένων αλλά και κυρίως στις πολιτικές και διαδικασίες αυτές.
*Η φωτογραφία έχει δημιουργηθεί με το εργελείο Τεχνητής Νοημοσύνης DALL-E