Gri 2021 29849

ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ
ΔΙΑΤΜΗΜΑΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ ΣΠΟΥΔΩΝ
«ΔΙΟΙΚΗΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ & ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ»
ΤΜΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΚΩΝ ΕΠΙΣΤΗΜΩΝ
Το δικαίωμα στη λήθη
Διπλωματική Εργασία του
Αστέριου Μπέλλου (Α.Ε.Μ. 57)
Εξεταστική Επιτροπή
Επιβλέπων: κ. Ιωάννης Ιγγλεζάκης
Μέλη: κ. Νικόλαος Βασιλειάδης
Μέλη: κα. Κυριακή Κοσμίδου
ΘΕΣΣΑΛΟΝΙΚΗ, ΙΑΝΟΥΑΡΙΟΣ 2021

Ευχαριστίες
Με την ολοκλήρωση της παρούσας διπλωματικής εργασίας θα ήθελα να

ευχαριστήσω όλους όσους συνέβαλλαν στην επιτυχή διεκπεραίωση αυτής της
προσπάθειας.
Αρχικά, θα ήθελα να ευχαριστήσω τον επιβλέποντα καθηγητή μου κύριο

Ιωάννη Ιγγλεζάκη, για την εμπιστοσύνη που µου έδειξε για την ανάθεση πτυχιακής
εργασίας, καθώς και για την πολύτιμη καθοδήγηση και τον χρόνο που αφιέρωσε για την
ολοκλήρωσή της.
Θα ήθελα επίσης να ευχαριστήσω τους γονείς μου καθώς και τους γονείς της
συζύγου μου, που φρόντιζαν ανιδιοτελώς να με στηρίξουν ψυχικά και συναισθηματικά
αλλά και να λύνουν οποιοδήποτε καθημερινό μου πρόβλημα, ώστε η ενέργειά μου να
διοχετεύεται ακέραια στις σπουδές μου.
Επιπρόσθετα, θα ήθελα να ευχαριστήσω τους αγαπημένους φίλους και τα άτομα

του εργασιακού μου περιβάλλοντος, που με υπομονή στεκόταν δίπλα μου όλο αυτό το
διάστημα.
Υπάρχει όμως ένα ακόμη άτομο στο οποίο θέλω να εκφράσω την βαθιά μου
αγάπη και τις ταπεινές μου ευχαριστίες. Το άτομο αυτό κάθε μέρα βρίσκεται δίπλα μου
και με βοηθά να γίνω καλύτερος άνθρωπος. Το άτομο αυτό είναι ο στυλοβάτης σε κάθε
βήμα της ζωής μου. Αυτό το άτομο είναι η σύζυγός μου. Ξένια μου και αυτό το πτυχίο
ανήκει σε εσένα! Σε ευχαριστώ για την κάθε μία μέρα που δίνεις το παρών στην ζωή
μου και για την απύθμενη υπομονή σου!
2
Περίληψη
Η ραγδαία ανάπτυξη των τεχνολογιών της πληροφορίας και των

τηλεπικοινωνιών είχε ως αποτέλεσμα την άρση των ποσοτικών και των χρονικών
περιορισμών της μνήμης του ανθρώπινου νου. Σε αντίθεση με τον ανθρώπινο
εγκέφαλο, το διαδίκτυο χαρακτηρίζεται από την ικανότητα της αέναης επιστροφής
της μνήμης. Η ακέραια διατήρηση των πληροφοριών στο διαδίκτυο, σε συνδυασμό
με την διαρκή ικανότητα αναζήτησης, ανάκλησης και επεξεργασίας τους, στερεί από
τους ανθρώπους την δυνατότητα να ξεχάσουν το παρελθόν τους και να
επαναπροσδιορίσουν το παρόν και το μέλλον τους.
Η παρούσα διπλωματική εργασία αποτυπώνει συνοπτικά τις βασικές έννοιες

και αρχές του Κανονισμού (ΕΕ) 2016/679, τα δικαιώματα και τις υποχρεώσεις που
πηγάζουν από αυτόν, εξετάζει τον τρόπο με τον όποιο το Δικαστήριο της ΕΕ
διαμόρφωσε, στοιχειοθέτησε και τελικά αναγνώρισε το δικαίωμα στην λήθη και
τέλος διερευνά τα όρια μίας δίκαιης στάθμισης ανάμεσα στην ιδιωτική ζωή του
ατόμου και στο συμφέρον του κοινωνικού συνόλου να αποκτήσει πρόσβαση στην
πληροφορία.
3
Abstract
The rapid development of information and telecommunication technologies

has resulted in the removal of the quantitative and temporal constraints of the
memory of the human mind. Unlike the human brain, the internet is characterized by
the ability to continuously retrieve memory. The complete preservation of
information on the internet, combined with the constant ability to search, recover
and process it, deprives people of the ability to forget their past and redefine their
present and future.
This dissertation summarizes the basic concepts and principles of Regulation

(EU) 2016/679, the rights and obligations arising from it, examines the way in which
the EU Court has formulated, substantiated and finally recognized the right to be
forgotten and finally explores the limits of a fair balance between the privacy of the
individual and the interest of society as a whole to gain access to information.
4
Περιεχόμενα
1. Εισαγωγή ................................................................................................................... 8
2. Επισκόπηση Κανονισμού (ΕΕ) 2016/679 ............................................................... 10
2.1 Ιστορικό ........................................................................................................... 10
2.2 Κύρια σημεία ................................................................................................... 12
3. Ανάλυση βασικών εννοιών ..................................................................................... 15
3.1 Ιδιωτικότητα ..................................................................................................... 15
3.2 Δεδομένα προσωπικού χαρακτήρα .................................................................. 17
3.3 Υποκείμενο των δεδομένων ............................................................................. 18
3.4 Επεξεργασία ..................................................................................................... 19
3.5 Υπεύθυνος Επεξεργασίας (ΥΕ) ....................................................................... 19
3.6 Εκτελών την Επεξεργασία (ΕτΕ) ..................................................................... 20
3.7 Συγκατάθεση .................................................................................................... 21
4. Δικαιώματα του υποκείμενου των δεδομένων ........................................................ 23
4.1 Δικαίωμα πληροφόρησης ................................................................................. 23
4.2 Δικαίωμα πρόσβασης ....................................................................................... 24
4.3 Δικαίωμα διόρθωσης ........................................................................................ 25
4.4 Δικαίωμα διαγραφής (Δικαίωμα στη λήθη) ..................................................... 25
4.5 Δικαίωμα στη φορητότητα των δεδομένων ..................................................... 27
4.6 Δικαίωμα περιορισμού της επεξεργασίας ........................................................ 28
4.7 Δικαίωμα εναντίωσης ...................................................................................... 28
5
5. Υποχρεώσεις ΥΕ και ΕτΕ ....................................................................................... 31
5.1 Λογοδοσία ........................................................................................................ 31
5.2 Προστασία των δεδομένων από τον σχεδιασμό............................................... 31
5.3 Προστασία των δεδομένων εξ’ ορισμού .......................................................... 31
5.4 Αρχεία δραστηριοτήτων επεξεργασίας ............................................................ 32
5.5 Μέτρα ασφαλείας ............................................................................................. 32
5.6 Γνωστοποίηση και ανακοίνωση παραβίασης δεδομένων ................................ 32
5.7 Εκτίμηση αντικτύπου στην προστασία δεδομένων ......................................... 33
5.8 Υπεύθυνος προστασίας δεδομένων ................................................................. 33
6. Αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήρα ...................................... 35
6.1 Νομιμότητα, αντικειμενικότητα και διαφάνεια ............................................... 35
6.2 Περιορισμός του σκοπού ................................................................................. 35
6.3 Ελαχιστοποίηση των δεδομένων...................................................................... 36
6.4 Ακρίβεια ........................................................................................................... 36
6.5 Περιορισμός της περιόδου αποθήκευσης......................................................... 37
6.6 Ακεραιότητα και εμπιστευτικότητα ................................................................. 37
6.7 Λογοδοσία ........................................................................................................ 38
7. Υπόθεση Google Spain κατά Costeja González ..................................................... 39
7.1 Ιστορικό ........................................................................................................... 39
7.2 Απόφαση Δικαστηρίου της ΕΕ ........................................................................ 41
7.3 Σχολιασμός....................................................................................................... 43
6
7.4 Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του Άρθρου 29 ................... 47
7.5 Αποφάσεις ΑΠΔΠΧ ......................................................................................... 50
7.6 Κατευθυντήριες Γραμμές του ΕΣΠΔ ............................................................... 54
7.7 Αντίλογος ......................................................................................................... 60
8. Υπόθεση Google LLC κατά CNIL.......................................................................... 66
8.1 Ιστορικό ........................................................................................................... 66
8.2 Απόφαση Δικαστηρίου της ΕΕ ........................................................................ 67
8.3 Σχολιασμός....................................................................................................... 69
9. Συμπεράσματα ........................................................................................................ 74
10. Βιβλιογραφία – Αρθρογραφία – Λοιπές πηγές ..................................................... 76
7
1. Εισαγωγή
Τα τελευταία χρόνια οι καταιγιστικές εξελίξεις στους χώρους της πληροφορικής

και των τηλεπικοινωνιών οδήγησαν στην αλματώδη διεύρυνση του διαδικτύου μέσω
της ραγδαίας εξάπλωσης των δικτύων. Το διαδίκτυο είναι ένα κολοσσιαίο πλέον
δίκτυο, αποτελούμενο από εκατοντάδες χιλιάδες επιμέρους δίκτυα υπολογιστών, που
καλύπτει το μεγαλύτερο μέρος της υφηλίου. Ο αριθμός των χρηστών του έχει
ξεπεράσει τα τέσσερα δισεκατομμύρια1. Οι χρήστες του μπορούν εύκολα και γρήγορα
πλέον να περιηγηθούν σε µία τεράστια βάση πληροφοριών και δεδομένων, να
αποστείλουν και να λάβουν αρχεία, να κάνουν χρήση της ηλεκτρονικής αλληλογραφίας
και γενικά να χρησιμοποιήσουν ένα πλήθος πολυάριθμων υπηρεσιών του συμμετοχικού
διαδικτύου ή Web 2.0, που έχουν στη διάθεση τους. Το διαδίκτυο επιδρά άμεσα στην
ζωή, την επικοινωνία και την εργασία των χρηστών του, διαμορφώνει την συμπεριφορά
τους και επηρεάζει τις επιλογές τους.
Το διαδίκτυο είναι ένα κόσμος με πρώτη ύλη, θα μπορούσε να πει κανείς, τα

δεδομένα και για την ακρίβεια τα επεξεργασμένα δεδομένα, δηλαδή τις πληροφορίες
που παράγονται και διακινούνται από τους χρήστες του σε καθημερινή βάση. Η
προσθήκη κειμένων, εικόνων, ήχων και βίντεο, η αποστολή μηνυμάτων, η χρήση των
μηχανών αναζήτησης, η αγορά προϊόντων και η κατανάλωση ειδήσεων, γεννούν
πληθώρα πληροφοριών έτοιμες να συλλεχθούν, να αναλυθούν, να υποστούν
επεξεργασία, να αποθηκευτούν και να διαμοιραστούν.
Όμως, όπως συμβαίνει με όλα τα σύγχρονα τεχνολογικά επιτεύγματα, έτσι και

το διαδίκτυο έχει και την σκοτεινή του πλευρά. Σχεδόν κάθε δραστηριότητα των
χρηστών του παράγει αυτοματοποιημένα ένα ψηφιακό ίχνος. Ενώ η ζωή στον
πραγματικό κόσμο μπορεί σε μεγάλο βαθμό να παραμείνει ασφαλής εντός της ιδιωτικής
σφαίρας, δίχως να αφήνει μόνιμα ίχνη, προστατευμένη από αδιάκριτα βλέμματα κι
όσους θέλουν να την εκμεταλλευτούν 2, στον ψηφιακό κόσμο του διαδικτύου, των
συνδεδεμένων συσκευών και του διαδικτύου των πραγμάτων δεν συμβαίνει το ίδιο.
Η ακριβής και τέλεια διατήρηση των πληροφοριών στο διαδίκτυο, σε

συνδυασμό με την διαρκή ικανότητα αναζήτησης, ανάκλησης, επεξεργασίας και
διάθεσής τους καθιστά εξαιρετικά δυσχερή την προσπάθεια του ατόμου να ζει και να
πράττει χωρίς να αφήνει ανιχνεύσιμα «αποτυπώματα». Στην εποχή της «απόλυτης
1
Διαθέσιμο: https://www.internetworldstats.com/stats.htm
2
Διαθέσιμο: https://www.new-media.gr/blog/33
8
ψηφιακής μνήμης»3 καταγράφονται στο διαδίκτυο, συχνά χωρίς την γνώση των
χρηστών4, μεταξύ άλλων, οι απόψεις και αλληλεπιδράσεις των χρηστών των
κοινωνικών δικτύων5, οι αναζητήσεις πληροφοριών σε μηχανές αναζητήσεις 6, οι
προτιμήσεις και καταναλωτικές συνήθειες7, τα δεδομένα γεωγραφικής θέσης και το
ιστορικό πλοήγησης8.
Επιπρόσθετα, μέσω του διαδικτύου όλες οι εκφάνσεις της ζωής του ατόμου,
μεταξύ άλλων, οι κοινωνικές αλληλεπιδράσεις, οι οικονομικές συναλλαγές, τα πολιτικά
φρονήματα, ο διάλογος, οι θρησκευτικές πεποιθήσεις, η σεξουαλική ζωή, η
επικοινωνία, η εργασιακή κατάσταση, η υγεία, η οικογενειακή κατάσταση, οι
αναμνήσεις και η συναισθηματική κατάσταση, αντικαθίστανται σταδιακά από ψηφιακά
αντίγραφα με αποτέλεσμα να διαβρώνεται μία από τις σημαντικότερες ικανότητές του.
Η ικανότητά του να ξεχνά και να συγχωρεί.
Από τα ανωτέρω γίνεται εύκολα αντιληπτό, ότι στο πλαίσιο αυτό της απόλυτης
ψηφιακής μνήμης, που χαρακτηρίζεται από τη διαρκή καταγραφή, ψηφιοποίηση και
επιτήρηση των πληροφοριών, ακόμη και ένα ασήμαντο αρνητικό γεγονός που συνέβη
στο παρελθόν ενός ατόμου, μπορεί να συνδεθεί τόσο αναπόσπαστα με αυτό, με
αποτέλεσμα να το χαρακτηρίζει καθ’ όλη τη διάρκεια της ζωής του. Με την
πληροφορία να αποτελεί την βασική πρώτη ύλη του διαδικτύου και των συναφών
τεχνολογιών, η προστασία των δεδομένων προσωπικού χαρακτήρα και η δυνατότητα
άσκησης ελέγχου επί αυτών, είναι σήμερα περισσότερο αναγκαία από κάθε άλλη φορά,
καθώς πλέον ο κανόνας που επικρατεί είναι η διαρκής μνήμη και όχι λήθη, με ότι αυτό
συνεπάγεται για το άτομο και την κοινωνία9.
3
Βλ Ι. Ιγγλεζάκης, Το δικαίωμα στην ψηφιακή λήθη και οι περιορισμοί του, 2014, σελ. 1.
4
Βλ. ό.π., σελ. 3.
5
6
Βλ. Sanchez-Rola, I., Dell'Amico, M., Kotzias, P., Balzarotti, D., Bilge, L., Vervier, P.A. & Santos, I., Can I
Opt Out Yet? GDPR and the Global Illusion of Cookie Control, 2019, σελ. 2.
7
8
Βλ. Englehardt, S., & Narayanan, A., Online tracking: A 1-million-site measurement and analysis, 2016,
σελ. 2.
9
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 10.
9
2. Επισκόπηση Κανονισμού (ΕΕ) 2016/679
2.1 Ιστορικό
Ο υψηλός ρυθμός ανάπτυξης των ηλεκτρονικών υπολογιστών, του διαδικτύου

και της τεχνολογίας της πληροφορίας που έλαβε χώρα από τα μέσα της δεκαετίας του
1960 και έπειτα, οδήγησε στην εισαγωγή νέων κινδύνων σχετικά με το δικαίωμα στην
προστασία της ιδιωτικής σφαίρας του ατόμου 1011. Συνεπώς, προέκυψε η ανάγκη
δημιουργίας ενός νέου εξειδικευμένου ρυθμιστικού πλαισίου αναφορικά με την
συλλογή και την χρήση των προσωπικών πληροφοριών.
Το γερμανικό κρατίδιο της Έσσης (Essen) κατέχει ιστορικά την πρωτιά στην
θέσπιση ρυθμιστικού πλαισίου, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα,
εκδίδοντας τον πρώτο παγκοσμίως νόμο για την προστασία τους το 1970, ο οποίος
ίσχυε μόνο στο συγκεκριμένο κρατίδιο12. Το 1973, η Σουηδία εξέδωσε τον πρώτο
παγκοσμίως εθνικό νόμο για την προστασία των δεδομένων προσωπικού χαρακτήρα13.
Ακολούθησαν οι εθνικές νομοθεσίες της Ομοσπονδιακής Δημοκρατίας της Γερμανίας
(1976), της Αυστρίας, της Γαλλίας (1977), της Δανίας και της Νορβηγίας (1978)14. Η
τακτική θέσπισης νομοθετημάτων για την προστασία δεδομένων προσωπικού
χαρακτήρα συνεχίστηκε από την Μεγάλη Βρετανία (1984), την Ιρλανδία (1988), την
Ολλανδία (1988), το Βέλγιο (1988) και το Λουξεμβούργο (1988)15.
Σε ευρωπαϊκό επίπεδο, το πρώτο νομικά δεσμευτικό κείμενο για την προστασία

των δεδομένων προσωπικού χαρακτήρα, υπήρξε η Ευρωπαϊκή Σύμβαση 108/1981 του
Συμβουλίου της Ευρώπης, της 28ης Ιανουαρίου 1981, για την «Προστασία του ατόμου
από την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα» 16.
Ακολούθως, το 1995 και ενώ ένας ικανός αριθμός κρατών μελών είχε ήδη
θεσπίσει εθνική νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα, η
ανάγκη για εναρμόνιση των νομοθεσιών αυτών17 οδήγησε την έκδοση της Οδηγίας
10
Βλ. άρθρο 7 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
11
Βλ. άρθρο 12 της Οικουμενικής Διακήρυξης για τα Ανθρώπινα Δικαιώματα.
12
Βλ. Εγχειρίδιο σχετικά με την ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών δεδομένων,
Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, 2019, σελ. 22.
13
Βλ. ό.π., σελ. 35.
14
Βλ. Ι. Ιγγλεζάκης, Δίκαιο της Πληροφορικής, 2008, σελ. 221.
15
Βλ. Εγχειρίδιο, ό.π., σελ. 35.
16
Βλ. ό.π., σελ. 29.
17
Βλ. ό.π., σελ. 35.
10
95/46/EK18 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου
1995, για την «Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών».
Στην Ελλάδα με αφορμή την επιθυμία για εναρμόνιση με την εν λόγω οδηγία
ψηφίστηκε, δύο χρόνια αργότερα, ο νόμος 2472/199719 για την «Προστασία του ατόμου
από την επεξεργασία δεδομένων προσωπικού χαρακτήρα».
Το 2001, με πρόσθετο πρωτόκολλο στην Ευρωπαϊκή Σύμβαση 108/1981,

θεσπίστηκαν διατάξεις αναφορικά με την κίνηση δεδομένων προς μη συμβαλλόμενες
τρίτες χώρες και την υποχρεωτική σύσταση εθνικών εποπτικών αρχών προστασίας
δεδομένων προσωπικού χαρακτήρα20.
Παρότι η Οδηγία 95/46/EK είχε ως στόχο να ικανοποιήσει την ανάγκη

εναρμόνισης των εθνικών νομοθεσιών, στην πράξη μεταφέρθηκε με διαφορετικό κάθε
φορά τρόπο στην έννομη τάξη των κρατών μελών21. Το γεγονός αυτό, σε συνδυασμό με
τις ραγδαίες αλλαγές στην τεχνολογία των πληροφοριών που έλαβαν χώρα από τα μέσα
της δεκαετίας του 1990 και έπειτα, οδήγησε στην απαίτηση μεταρρύθμισης της
ευρωπαϊκής νομοθεσίας αναφορικά με την προστασία δεδομένων προσωπικού
χαρακτήρα. Στις 14 Απριλίου 2016, έπειτα από πολυετείς συζητήσεις και
διαβουλεύσεις, ψηφίσθηκε ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού
Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την «Προστασία των
φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα
και για την ελεύθερη κυκλοφορία των δεδομένων αυτών», Γενικός Κανονισμός για την
Προστασία Δεδομένων (ΓΚΠΔ), ο οποίος δημοσιεύτηκε στην Επίσημη Εφημερίδα της
Ευρωπαϊκής Ένωσης στις 4 Μαΐου το 2016 και τέθηκε σε εφαρμογή στις 25 Μαΐου
2018.
Αντίστοιχα, στην Ελλάδα ο νόμος 2472/1997 καταργήθηκε22 από τον νόμο

4624/201923 με σκοπό24 την αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη
συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού
18
Βλ. L 281 https://eur-lex.europa.eu/legal-
content/EL/TXT/?uri=uriserv:OJ.L_.1995.281.01.0031.01.ELL&toc=OJ:L:1995:281:TOC
19
Διαθέσιμο: https://www.dpa.gr/portal/page?_pageid=33,19052&_dad=portal&_schema=PORTAL#1
20
Διαθέσιμο: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/181
21
22
Εκτός των διατάξεων που αναφέρονται ρητά στο άρθρο 84 του νόμου 4624/2019.
23
Διαθέσιμο: https://www.lawspot.gr/nomikes-plirofories/nomothesia/nomos-4624-2019
24
Βλ. άρθρο 1 του νομού 4624/2019.
11
Χαρακτήρα, τη λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679 και την
ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/68025 του Ευρωπαϊκού
Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την «Προστασία των
φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από
αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης
ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη
κυκλοφορία των δεδομένων αυτών».
2.2 Κύρια σημεία
Αρχικά, θα πρέπει να σημειώσουμε ότι σε αντίθεση με την Οδηγία 95/46/EK, ο

Κανονισμός (ΕΕ) 2016/679 έχει άμεση ισχύ σε κάθε κράτος μέλος, είναι δεσμευτικός
ως προς όλα τα μέρη του 26 και αποσκοπεί στην πλήρη εναρμόνιση της προστασίας των
δεδομένων προσωπικού χαρακτήρα σε όλα τα κράτη μέλη της ΕΕ, στην παροχή
αυξημένου επιπέδου προστασίας φυσικών προσώπων και τέλος στην απρόσκοπτη ροή
των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ27. Ο Κανονισμός (ΕΕ) 2016/679
έχει άμεσο αποτέλεσμα, ανεξάρτητο από το εθνικό δίκαιο των κρατών μελών, γεγονός
που αποτελεί μία σημαντική έκφραση της υπεροχής του δικαίου της ΕΕ έναντι του
εθνικού δικαίου αυτών28, καθώς με την έκδοσή του τα κράτη μέλη οφείλουν να
ευθυγραμμίσουν πλήρως το ισχύον εθνικό τους δίκαιο για την προστασία των
δεδομένων προσωπικού χαρακτήρα με τον αυτόν29 και δεν μπορούν να τον
καταστήσουν ανενεργό με την έκδοση αντίθετης νομοθετικής πράξης 30.
Οι μεταβολές που απορρέουν από την εφαρμογή του Κανονισμού (ΕΕ)

2016/679 περιλαμβάνουν, μεταξύ άλλων, την ανάπτυξη των παλαιών αλλά και την
θέσπιση νέων δικαιωμάτων του υποκειμένου των δεδομένων31, σημαντικές αλλαγές
στον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, την θέσπιση νέων
υποχρεώσεων για τους υπευθύνους επεξεργασίας 32, την επιβολή της προστασίας των
δεδομένων από τον σχεδιασμό (Data Protection by Design), την επιβολή της
25
Βλ. L 119/89 https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32016L0680&from=EN
26
Βλ. Ι. Ιγγλεζάκης, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (Κανονισμός 2016/679),
Εισαγωγή στο νέο νομικό πλαίσιο προστασίας προσωπικών δεδομένων, 2018, σελ. 15.
27
Βλ. ό.π., σελ. 24.
28
Βλ. ό.π., σελ. 16.
29
30
31
Βλ. ό.π., σελ. 11.
32
12
προστασίας των δεδομένων εξ’ ορισμού (Data Protection by Default) και την
προσέγγιση με βάση την επικινδυνότητα33.
Από τον Κανονισμό (ΕΕ) 2016/679, αντλούμε εννέα (9) σημαντικές τομές
αναφορικά με την προστασία των δεδομένων προσωπικού χαρακτήρα:
• Υψηλή ευαισθητοποίηση αναφορικά με την προστασία προσωπικών

δεδομένων φυσικών προσώπων34.
• Ισχυρή πρόβλεψη για την διασφάλιση της ελεύθερης ροής των προσωπικών
δεδομένων35.
• Ενίσχυση των αρμοδιοτήτων των τοπικών Αρχών Προστασίας Προσωπικών

Δεδομένων αναφορικά με την συμμόρφωση των οργανισμών 36.
• Έγκαιρη και τάχιστη αντιμετώπιση των παραβιάσεων των προσωπικών

δεδομένων37.
• Εναρμόνιση και εφαρμογή σε όλους τους οργανισμούς που επεξεργάζονται

δεδομένα κατοίκων της ΕΕ38.
• Υποχρέωση των οργανισμών να αποδεικνύουν και να τεκμηριώνουν τη

εφαρμογή του κανονισμού39.
• Αυστηρότερο σύστημα ποινών και δυνατότητα επιβολής ποινικών

κυρώσεων από τα κράτη μέλη40.
• Ενίσχυση της υποχρέωσης λογοδοσίας41.
• Εκτέλεση εκτίμησης αντικτύπου στην προστασία δεδομένων, σε

περιπτώσεις επεξεργασίας δεδομένων υψηλού κινδύνου (Data Protection
Impact Assessment)42.
Εν κατακλείδι, η έκδοση του Κανονισμού (ΕΕ) 2016/679 εκσυγχρόνισε τη

νομοθεσία της ΕΕ για την προστασία των δεδομένων προσωπικού χαρακτήρα,
33
34
Βλ. αιτιολογικές σκέψεις αρ. 1, 2 και άρθρο 1 του Κανονισμού (ΕΕ) 2016/679.
35
36
Βλ. αιτιολογική σκέψη αρ. 129 και άρθρο 58 του Κανονισμού (ΕΕ) 2016/679.
37
38
Βλ. αιτιολογικές σκέψεις αρ. 22, 23, 24 και άρθρο 3 του Κανονισμού (ΕΕ) 2016/679.
39
40
Βλ. αιτιολογικές σκέψεις αρ. 148, 149, 152 και άρθρο 83 του Κανονισμού (ΕΕ) 2016/679.
41
42
13
τροποποιώντας σημαντικά το σχήμα της διαφύλαξης αυτών στο πλαίσιο των
οικονομικών και κοινωνικών προκλήσεων της ψηφιακής εποχής και παράλληλα
δημιούργησε την ανάγκη για μία ολιστική αναπροσαρμογή των κανόνων, των μεθόδων
και των διαδικασιών προστασίας των δεδομένων προσωπικού χαρακτήρα τόσο από τις
δημόσιες αρχές ή υπηρεσίες, όσο και από τις ιδιωτικές εταιρίες, επιχειρήσεις και
οργανισμούς, εντός και εκτός της ΕΕ.
14
3. Ανάλυση βασικών εννοιών
3.1 Ιδιωτικότητα
Πρώτου προχωρήσουμε στην παρουσίαση των κυριότερων ορισμών που

περιέχονται στο άρθρο 4 του Κανονισμού (ΕΕ) 2016/679, κρίνεται σκόπιμο να
πραγματοποιήσουμε μία αναφορά στην έννοια της ιδιωτικότητας. Αξίζει να σημειωθεί
ότι το δικαίωμα φυσικού προσώπου σε προστασία σε σχέση με την επεξεργασία
δεδομένων προσωπικού χαρακτήρα και το δικαίωμα στον σεβασμό της ιδιωτικής ζωής,
παρότι συνδέονται είναι δύο διακριτά δικαιώματα43, καθώς και ότι το πρώτο δομήθηκε,
βάσει του άρθρου 8 της Ευρωπαϊκής Σύμβασης Δικαιωμάτων του Ανθρώπου, με
εφαλτήριο το δεύτερο44.
Η ιδιωτικότητα ως κοινωνικό και ηθικό ζήτημα έχει απασχολήσει επί σειρά

ετών ακαδημαϊκούς και εμπειρογνώμονες σε ολόκληρο τον κόσμο. Ο Alan Westin,
ένας από τους πρωτεργάτες του πεδίου της σχετικής έρευνας, έχει δηλώσει ότι κανένας
ορισμός της ιδιωτικότητας δεν είναι ικανός, καθώς τα θέματα της ιδιωτικότητας
εξαρτώνται πάντα από τη συσχέτιση και την αλληλεπίδραση των αξιών, των
συμφερόντων και της εξουσίας45. Η άποψη αυτή αποκαλύπτει με σαφήνεια το γεγονός
ότι η έννοια της ιδιωτικότητας μεταβάλλεται και συνεχώς εξελίσσεται, καθώς είναι
εγγενώς συνυφασμένη με το κοινωνικοπολιτικό και πολιτισμικό πλαίσιο στο οποίο
ορίζεται.
Το 1890, οι Brandeis και Warren στο άρθρο με τίτλο «The right to privacy»46
χρησιμοποίησαν τη φράση «Tο δικαίωμα να μένεις μόνος» (The right to be left alone),
σε μία πρώτη προσπάθεια να περιγράψουν το δικαίωμα του ατόμου στην ιδιωτικότητα.
To 1980, η Ruth Gavison προσδιόρισε τρία κυρίαρχα δομικά στοιχεία στη φύση της
ιδιωτικότητας, τη μυστικότητα (secrecy), την ανωνυμία (anonymity) και τη μοναξιά
(solitude)47. Ο Edward Bloustein έθεσε το δικαίωμα του ατόμου στην ιδιωτικότητα ως
απαραίτητη προϋπόθεση για την ανθρώπινη αξιοπρέπεια 48, ενώ ο James Rachels ως
αναγκαία προϋπόθεση για την ανάπτυξη της διαφορετικότητας και του νοήματος στις
43
44
Βλ. ό.π., σελ. 20.
45
Βλ. A. F. Westin, Social and political dimensions of privacy, Journal of social issues, 59(2), 431-453.
46
Διαθέσιμο: http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html
47
Διαθέσιμο: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2060957
48
Διαθέσιμο: http://courses.ischool.berkeley.edu/i205/s10/readings/week11/bloustein-privacy.pdf
15
ανθρώπινες διαπροσωπικές σχέσεις49. Με την πάροδο του χρόνου, η κλασική αντίληψη
της ιδιωτικότητας εμπλουτίστηκε σημαντικά με επιμέρους δικαιώματα, όπως η
ελαχιστοποίηση των παρεμβάσεων, το δικαίωμα στο απόρρητο και το δικαίωμα στην
ανωνυμία.
Η προστασία της ιδιωτικότητας του ατόμου αναγνωρίστηκε ως θεμελιώδες

ανθρώπινο δικαίωμα στη Διακήρυξη των Ανθρωπίνων Δικαιωμάτων των Ηνωμένων
Εθνών50, στη Διεθνή Σύμβαση για τα Πολιτικά Δικαιώματα 51, εντάχθηκε στα
Θεμελιώδη Δικαιώματα των πολιτών της Ευρωπαϊκής Ένωσης52 και σε σειρά άλλων
διεθνών κειμένων και συμβάσεων. Σύμφωνα με το Ευρωπαϊκό Δικαστήριο
Δικαιωμάτων του Ανθρώπου, η ιδιωτική ζωή δεν περιορίζεται σε έναν «εσωτερικό
κύκλο» (ή αλλιώς στενή προσωπική σφαίρα), οπού το άτομο ζει την προσωπική του
ζωή, όπως επιθυμεί, αλλά εκτείνεται και στις υπόλοιπες δραστηριότητες του ατόμου,
όπως είναι ιδίως η εργασιακή ή επαγγελματική 53. Επιπρόσθετα, θα πρέπει να
σημειώσουμε ότι στον πυρήνα της ιδιωτικής ζωής εμπίπτουν φυσικά και οι ειδικές
κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 του
Κανονισμού (ΕΕ) 2016/67954.
Σε εθνικό επίπεδο, η προστασία του δικαιώματος στην ιδιωτική ζωή

κατοχυρώθηκε με το άρθρο 9 του Ελληνικού Συντάγματος του 1975, το οποίο ορίζει ότι
ιδιωτική και οικογενειακή ζωή του ατόμου είναι απαραβίαστη55. Στην αναθεώρηση του
Ελληνικού Συντάγματος του 1986 το εν λόγω άρθρο παρέμεινε αμετάβλητο 56. Η
σημαντική πρόοδος που συντελέστηκε στην τεχνολογία των πληροφοριών από τα μέσα
της δεκαετίας του 1990 και έπειτα, οδήγησε στην ανάγκη προστασίας της ιδιωτικής
πληροφορικής σφαίρας μέσω της παροχής της δυνατότητας αυτοδιάθεσης των
49
Διαθέσιμο: http://people.brandeis.edu/~teuber/Rachels_on_Privacy.pdf
50
Διαθέσιμο: https://www.ohchr.org/EN/UDHR/Documents/UDHR_Translations/grk.pdf
51
Διαθέσιμο:
https://www.unric.org/el/index.php?option=com_content&view=article&id=26230&Itemid=33
52
Διαθέσιμο: https://www.europarl.europa.eu/charter/pdf/text_en.pdf
53
54
«Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική
ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη
συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών
δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την
υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο
προσανατολισμό.»
55
Διαθέσιμο: http://www.et.gr/images/stories/eidika_themata/a_111_1975.pdf
56
Διαθέσιμο: https://synagonism.net/law/gr/s.1986.html
16
δεδομένων προσωπικού χαρακτήρα57. Το δικαίωμα προστασίας των δεδομένων
προσωπικού χαρακτήρα κατοχυρώθηκε με το άρθρο 9Α στην αναθεώρηση του
Ελληνικού Συντάγματος του 2001, το οποίο ορίζει ότι καθένας έχει δικαίωμα
προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των
προσωπικών του δεδομένων58. Στις αναθεωρήσεις του Ελληνικού Συντάγματος του
200859 και 201960 το εν λόγω άρθρο παρέμεινε αμετάβλητο.
Τέλος, αξίζει να σημειώσουμε πως η Αρχή Προστασίας Δεδομένων

Προσωπικού Χαρακτήρα έχει αποφανθεί ότι η έννοια της ιδιωτικής ή οικογενειακής
ζωής είναι στενότερη της έννοιας των προσωπικών δεδομένων, αντιπαρατάσσεται δε
στη δημόσια ζωή και αφορά μία γενικά παραδεκτή, σύμφωνα με τις κρατούσες
κοινωνικές αντιλήψεις, σφαίρα του απορρήτου του ατόμου, όπως είναι, για παράδειγμα,
η ερωτική του ζωή, τα σωματικά ελαττώματα ή προβλήματα της υγείας του και οι
ενδοοικογενειακές έριδες61.
3.2 Δεδομένα προσωπικού χαρακτήρα
Τα δεδομένα προσωπικού χαρακτήρα, στο άρθρο 4 του Κανονισμού (ΕΕ)

2016/679, ορίζονται ως «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο
φυσικό πρόσωπο («υποκείμενο των δεδομένων»)˙ το ταυτοποιήσιμο φυσικό πρόσωπο
είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως
μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό
ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή
περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική,
ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού
προσώπου»62.
Συνεπώς, τα δεδομένα προσωπικού χαρακτήρα, είναι κάθε είδους πληροφορία

που αφορά ένα φυσικό πρόσωπο του οποίου η ταυτότητα είτε είναι καταφανώς σαφής,
είτε είναι δυνατόν να εξακριβωθεί με τη διενέργεια περαιτέρω έρευνας, μέσω της
57
Βλ. Ι. Ιγγλεζάκης, Το δικαίωμα στην ψηφιακή λήθη, σελ. 25.
58
Διαθέσιμο: https://www.refworld.org/cgi-
bin/texis/vtx/rwmain/opendocpdf.pdf?reldoc=y&docid=4c57b98d2
59
Διαθέσιμο: https://www.hellenicparliament.gr/UserFiles/8c3e9046-78fb-48f4-bd82-
bbba28ca1ef5/SYNTAGMA.pdf
60
Διαθέσιμο: https://www.hellenicparliament.gr/Vouli-ton-Ellinon/To-Politevma/Syntagma/article-9a/
61
Βλ. αποφάσεις 53/2000 και 32/2005 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
62
Βλ. άρθρο 4 του Κανονισμού (ΕΕ) 2016/679.
17
συγκέντρωσης και του συνδυασμού διαφορετικών αλλά συμπληρωματικών
πληροφοριών.
Το εύρος των δεδομένων προσωπικού χαρακτήρα είναι ιδιαίτερα μεγάλο, ώστε

να καλύπτει όλες τις δυνατότητες εξακρίβωσης της ταυτότητας και περιλαμβάνει
ενδεικτικά, μεταξύ άλλων, το ονοματεπώνυμο, τον αριθμό και τα υπόλοιπα στοιχεία της
αστυνομικής ταυτότητας, την διεύθυνση κατοικίας, τα δεδομένα τοποθεσίας, τις
διευθύνσεις του διαδικτυακού πρωτοκόλλου IP63, τα αναγνωριστικά συσκευών, τον
αριθμό τηλεφώνου, τον αριθμό κοινωνικής ασφάλισης, τον αριθμό φορολογικού
μητρώου64, τον αριθμό κυκλοφορίας οχήματος65, τα αναγνωριστικά Cookies, τις RFID
ετικέτες, τις φωτογραφίες και τα βίντεο.
Αξίζει να σημειωθεί ότι ιδιαίτερη αναφορά πραγματοποιείται στις ειδικές

κατηγορίες δεδομένων προσωπικού χαρακτήρα66, στις οποίες περιλαμβάνονται, μεταξύ
άλλων, η εθνικότητα, τα δεδομένα υγείας, η φυλετική προέλευση, τα γενετικά δεδομένα
(κληρονομικά ή επίκτητα γενετικά χαρακτηριστικά, ανάλυση DNA και RNA), τα
βιομετρικά δεδομένα (δακτυλικά αποτυπώματα, ίριδα ματιών, ψηφιακές φωτογραφίες
προσώπου), η συμμετοχή σε συνδικαλιστικές οργανώσεις 67, τα πολιτικά φρονήματα, η
σεξουαλική ζωή ή ο γενετήσιος προσανατολισμός και οι θρησκευτικές πεποιθήσεις,
συμπεριλαμβανομένων των φιλοσοφικών πεποιθήσεων68.
Σε αντίθεση με τα ανωτέρω, τα ανώνυμα δεδομένα, όπως για παράδειγμα μία

ανώνυμη έρευνα αγοράς69, οι πληροφορίες που σχετίζονται με ομάδες προσώπων, όπως
για παράδειγμα η φοροδοτική ικανότητα των δικηγόρων, η δευτερευούσης σημασίας
έμμεση αναφορά σε ένα φυσικό πρόσωπο, όπως για παράδειγμα η αναφορά του
θεράποντος ιατρού στον ιατρικό φάκελο ενός ασθενούς, δεν αποτελούν κατά κανόνα
δεδομένα προσωπικού χαρακτήρα70.
3.3 Υποκείμενο των δεδομένων
Υποκείμενο των δεδομένων, είναι το φυσικό πρόσωπο στο οποίο αναφέρονται

τα εκάστοτε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα τα οποία υποβάλλονται
63
Βλ. αιτιολογική σκέψη αρ. 30 του Κανονισμού (ΕΕ) 2016/679.
64
Βλ. Ι. Ιγγλεζάκης, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, σελ. 41.
65
66
67
68
Βλ. ό.π., σελ. 48.
69
70
18
σε επεξεργασία. Στόχος του Κανονισμού (ΕΕ) 2016/679 δεν είναι να προστατεύσει τα
δεδομένα αλλά το φυσικό πρόσωπο φορέα των δεδομένων αυτών. Θα πρέπει επίσης να
σημειώσουμε ότι σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 προστατεύονται μόνο τα
(ζώντα) φυσικά πρόσωπα και όχι τα νομικά πρόσωπα όπως για παράδειγμα σωματεία,
εταιρίες και επιχειρήσεις71.
3.4 Επεξεργασία
Επεξεργασία είναι κάθε εργασία ή σειρά εργασιών που διενεργείται με ή χωρίς

την βοήθεια αυτοματοποιημένων μεθόδων, σε δεδομένα προσωπικού χαρακτήρα ή σε
σύνολα αυτών72.
Οι αυτοματοποιημένες μέθοδοι αναφέρονται στην επεξεργασία δεδομένων

προσωπικού χαρακτήρα με την χρήση, για παράδειγμα, προσωπικού ηλεκτρονικού
υπολογιστή, κινητής συσκευής ή δρομολογητή73. Η μη αυτοματοποιημένη επεξεργασία
αναφέρεται στα χειροκίνητα συστήματα αρχειοθέτησης, δηλαδή στα ειδικά
διαρθρωμένα έντυπα αρχεία τα οποία είναι προσπελάσιμα βάσει ορισμένων
κριτηρίων74. Αξίζει να σημειωθεί ότι για την στοιχειοθέτηση ενός συστήματος
αρχειοθέτησης απαραίτητη προϋπόθεση είναι η ύπαρξη δύο ή περισσοτέρων κριτηρίων
αναζήτησης75.
Ο ορισμός είναι ιδιαίτερα ευρύς και περιλαμβάνει μία πληθώρα εργασιών.

Ενδεικτικά αναφέρουμε την συλλογή, την οργάνωση, την αποθήκευση, την μεταβολή,
την ανάκτηση, την διαβίβαση, την αναζήτηση, την διάθεση, την καταχώρηση, την
συσχέτιση, την διαγραφή και την καταστροφή δεδομένων προσωπικού χαρακτήρα76.
3.5 Υπεύθυνος Επεξεργασίας (ΥΕ)
Υπεύθυνος Επεξεργασίας (ΥΕ) είναι το φυσικό ή νομικό πρόσωπο, η δημόσια

αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός που καθορίζει, με απόφασή του,
τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα 77. Με
απλούστερα λόγια, ο υπεύθυνος επεξεργασίας είναι αυτός που οφείλει να ασκεί τον
πλήρη έλεγχο κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και ως
71
Βλ. αιτιολογικές σκέψεις αρ. 14 και 27 του Κανονισμού (ΕΕ) 2016/679.
72
73
74
75
Βλ. ό.π., σελ. 53.
76
Βλ. ό.π., σελ. 50.
77
19
συνέπεια αυτού του γεγονότος φέρει και την συνολική την ευθύνη αυτής,
συμπεριλαμβανομένης της νομικής. Επιπρόσθετα, σημειώνουμε ότι ο σκοπός της
επεξεργασίας αναφέρεται στο ειδικό συμφέρον που υπηρετείται με την επεξεργασία,
ενώ ο τρόπος αναφέρεται στις μεθόδους και τα μέσα που χρησιμοποιούνται κατά την
διάρκειά της, για παράδειγμα μέσω του διαδικτύου ή το ανθρώπινο δυναμικό
αντίστοιχα78.
Σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 η ιδιότητα του υπεύθυνου

επεξεργασίας δύναται να αποδοθεί σε φυσικό πρόσωπο, εντούτοις η Ομάδα Εργασίας
του Άρθρου 29 τονίζει ότι είναι προτιμότερο να θεωρείται υπεύθυνος της επεξεργασίας
η εταιρεία ή ο φορέας, παρά ένα συγκεκριμένο πρόσωπο εντός της εταιρείας ή του
φορέα79. Ως παράδειγμα, αναφέρουμε ότι ο υπεύθυνος επεξεργασίας για την κατάρτιση
και την ενημέρωση του καταλόγου των συνεργαζόμενων φαρμακοποιών σε μία
συγκεκριμένη περιοχή, είναι η εταιρεία που πωλεί το φαρμακευτικό υλικό και όχι ο
διευθυντής πωλήσεων αυτής. Επίσης, αξίζει να αναφερθεί ότι ένας ιδιώτης ο οποίος
τηρεί τα ιατρικά αρχεία των μελών της οικογένειάς του, δεν αποτελεί υπεύθυνο
επεξεργασίας, καθώς η δραστηριότητα αυτή θα μπορούσε να χαρακτηριστεί αμιγώς
οικιακή.
3.6 Εκτελών την Επεξεργασία (ΕτΕ)
Εκτελών την Επεξεργασία80 (ΕτΕ) είναι οποιοσδήποτε αναλαμβάνει την

διεκπεραίωση81 της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για
λογαριασμό του υπεύθυνου επεξεργασίας, ακολουθώντας τις αυστηρές εντολές του.
Μπορεί να είναι φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε
άλλος οργανισμός.
Προκειμένου σε ένα φυσικό ή νομικό πρόσωπο να αποδοθεί η ιδιότητα του

εκτελούντος την επεξεργασία, θα πρέπει να συντρέχουν δύο βασικές προϋποθέσεις.
Αρχικά είναι αναγκαίο να αποτελεί χωριστή νομική οντότητα από τον υπεύθυνο
επεξεργασίας και επιπρόσθετα θα πρέπει να επεξεργάζεται τα δεδομένα προσωπικού
χαρακτήρα αποκλειστικά για λογαριασμό του υπεύθυνου επεξεργασίας82.
78
79
Βλ. Γνώμη 1/2010 σχετικά µε τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος
την επεξεργασία», σελ. 19.
80
81
82
Βλ. Βλ. ό.π., σελ. 56.
20
Επιπρόσθετα, ενδέχεται ο ίδιος ο υπεύθυνος επεξεργασίας να εκτελεί την
επεξεργασία των δεδομένων προσωπικού χαρακτήρα με ιδία μέσα, οπότε και ο ρόλος
του εκτελούντος την επεξεργασία απαλείφεται, αλλά και εκτελών την επεξεργασία να
αποκτά τον ρόλο και τις ευθύνες του υπεύθυνου επεξεργασίας, όταν επεξεργάζεται τα
δεδομένα προσωπικού χαρακτήρα για δικούς του σκοπούς83.
Καθώς, σύμφωνα με την Ομάδα Εργασίας του Άρθρου 29, η ίδια οντότητα
μπορεί να ενεργεί ταυτόχρονα ως εκτελών την επεξεργασία για ορισμένες εργασίες
επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ως υπεύθυνος της επεξεργασίας
για άλλες84, κρίνεται απαραίτητο για λόγους διαφάνειας και σαφήνειας, οι λεπτομέρειες
της σχέσης ανάμεσά τους, να καταγράφονται με κάθε λεπτομέρεια και ευκρίνεια σε μία
γραπτή σύμβαση85. Σε μία τέτοια σύμβαση θα πρέπει να αναφέρεται, μεταξύ άλλων, η
φύση, το αντικείμενο, η διάρκεια και σαφώς ο σκοπός της επεξεργασίας, οι κατηγορίες
υποκειμένων των δεδομένων και το είδος των δεδομένων προσωπικού χαρακτήρα.
Ως παράδειγμα, αναφέρουμε ότι οι λογιστές που προσφέρουν υπηρεσίες σε

μικρές επιχειρήσεις και ιδιώτες αποτελούν υπευθύνους επεξεργασίας, εντούτοις όταν
δρουν ως υπεργολάβοι για λογαριασμό μίας εταιρίας, κάτω από την καθοδήγηση του
εξωτερικού λογιστή αυτής, αποκτούν την ιδιότητα του εκτελούντος την επεξεργασία86.
3.7 Συγκατάθεση
Η συγκατάθεση ορίζεται ως «κάθε ένδειξη βουλήσεως, ελεύθερη, ειδική, ρητή

και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι
συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο
επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν» 87. Με αυτήν, το
υποκείμενο των δεδομένων δηλώνει ότι συμφωνεί, τα δεδομένα προσωπικού
χαρακτήρα που το αφορούν, να αποτελέσουν αντικείμενο επεξεργασίας88.
Στον ορισμό της συγκατάθεσης εντοπίζουμε τέσσερις (4) σημαντικές

προϋποθέσεις, οι οποίες θα πρέπει να πληρούνται συσωρευτικά, προκειμένου αυτή να
θεωρηθεί έγκυρη:
83
84
Βλ. Γνώμη 1/2010, ό.π., σελ. 30.
85
86
87
88
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ.58.
21
• Ελεύθερη. Το υποκείμενο τον δεδομένων δεν θα πρέπει να αισθάνεται ότι
εξαναγκάζεται να συγκατατεθεί ή ακόμη και ότι ενδέχεται να υποστεί
δυσάρεστες αρνητικές συνέπειες εάν δεν το πράξει89.
• Ειδική. Ο υπεύθυνος επεξεργασίας οφείλει να αποσαφηνίζει με ακρίβεια στο

υποκείμενο των δεδομένων τον σκοπό της επεξεργασίας και να διαχωρίζει
με σαφήνεια τις πληροφορίες που αφορούν την εξασφάλιση της
συγκατάθεσης από πληροφορίες που σχετίζονται με άλλα θέματα90.
• Εν πλήρει επιγνώσει. Το υποκείμενο των δεδομένων θα πρέπει, κατ’

ελάχιστον, να λαμβάνει πληροφόρηση αναφορικά με την ταυτότητα του
υπευθύνου επεξεργασίας, τον σκοπό αυτής, το είδος των δεδομένων που θα
συλλεχθούν, την ενδεχόμενη πιθανότητα αυτοματοποιημένης λήψης
αποφάσεων και το δικαίωμα ανάκλησης της συγκατάθεσης σε κάθε
στιγμή91.
• Ρητή δήλωση βούλησης. Πρέπει να παρέχεται με σαφή θετική ενέργεια, η

οποία να συνιστά ελεύθερη, συγκεκριμένη, εν πλήρει επιγνώσει και
αδιαμφισβήτητη ένδειξη της συμφωνίας του υποκειμένου των δεδομένων
για την επεξεργασία των δεδομένων που το αφορούν92. Η πράξη αυτή
μπορεί να είναι για παράδειγμα μία γραπτή δήλωση που μπορεί να
καταγράφεται με ηλεκτρονικά μέσα ή προφορική δήλωση που
ηχογραφείται93.
89
90
Βλ. ό.π., σελ. 72.
91
Βλ. ό.π., σελ. 73.
92
93
22
4. Δικαιώματα του υποκείμενου των δεδομένων
Όπως αναφέρθηκε και στην Ενότητα 2.2, ο Κανονισμός (ΕΕ) 2016/679 ενισχύει
τα παλαιά δικαιώματα του υποκειμένου των δεδομένων και εισάγει νέα δικαιώματα,
όπως το δικαίωμα στην φορητότητα και το δικαίωμα στη λήθη94.
4.1 Δικαίωμα πληροφόρησης
Στο άρθρο 12 του Κανονισμού (ΕΕ) 2016/679, καθορίζεται η υποχρέωση της

ενημέρωσης και της παροχής πληροφοριών, με ακρίβεια και σαφήνεια, από τον
υπεύθυνο επεξεργασίας προς το υποκείμενο των δεδομένων, για τη συλλογή και χρήση
(επεξεργασία) των δεδομένων προσωπικού χαρακτήρα που το αφορούν, προκειμένου
να καταστεί δυνατή αλλά και να διευκολυνθεί η άσκηση του συνόλου των δικαιωμάτων
του95. Το δικαίωμα της πληροφόρησης πηγάζει από την αρχή της διαφάνειας.
Αναλυτικότερα, σύμφωνα με την αρχή της διαφάνειας, η ενημέρωση πρέπει να είναι
συνοπτική, διαφανής, κατανοητή, εύκολα προσβάσιμη και διατυπωμένη σε απλή και
σαφή γλώσσα96, ιδίως όταν πρόκειται για πληροφορίες που απευθύνονται σε παιδιά97.
Η υποχρέωση της πληροφόρησης υφίσταται, είτε τα δεδομένα προσωπικού

χαρακτήρα συλλέγονται από το ίδιο το υποκείμενο των δεδομένων98, είτε από άλλες
πηγές99. Η ενημέρωση και στις δύο περιπτώσεις θα πρέπει να περιλαμβάνει
υποχρεωτικά, μεταξύ άλλων, την ταυτότητα και τα στοιχεία επικοινωνίας του
υπευθύνου επεξεργασίας, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας
δεδομένων, τον σκοπό και τη νομική βάση της επεξεργασίας, το έννομο συμφέρον που
επιδιώκει να ικανοποιήσει ο υπεύθυνος επεξεργασίας, τους ενδεχόμενους αποδέκτες ή
κατηγορίες αποδεκτών των δεδομένων και την πρόθεση του υπεύθυνου επεξεργασίας
να διαβιβάσει τα δεδομένα σε τρίτη χώρα ή διεθνή οργανισμό100.
Επίσης, θα πρέπει να τονίσουμε ότι ο Κανονισμός (ΕΕ) 2016/679 ορίζει ρητά

την υποχρέωση της ενημέρωσης, στην περίπτωση που τα δεδομένα χρησιμοποιηθούν
για διαφορετικό σκοπό από εκείνον που δηλώθηκε αρχικά στο υποκείμενο των
94
95
Βλ. άρθρα 13 έως 22 του Κανονισμού (ΕΕ) 2016/679.
96
Βλ. αιτιολογική σκέψη αρ. 58 του Κανονισμού 2016/679.
97
98
99
100
23
δεδομένων 101. Επιπρόσθετα, στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα
δεν συλλέχθηκαν απευθείας από το υποκείμενο των δεδομένων, ο υπεύθυνος
επεξεργασίας οφείλει να το ενημερώσει σχετικά με την πηγή προέλευσης αυτών102.
Η έγκαιρη, σαφής και διαφανής πληροφόρηση, είναι βαρύνουσας σημασίας για

το υποκείμενο των δεδομένων, καθώς χωρίς την γνώση ότι τα προσωπικά του δεδομένα
τίθενται σε επεξεργασία δεν είναι σε θέση να ασκήσει έλεγχο επί αυτών. Έτσι, η
πληροφόρηση, ήδη κατά τη φάση της συλλογής των δεδομένων προσωπικού
χαρακτήρα, δίνει στο υποκείμενο αυτών την ευκαιρία, αρχικά να εκτιμήσει την
κατάσταση και στην συνέχεια να τροποποιήσει κατάλληλα την συμπεριφορά του, ώστε
να ασκήσει τα δικαιώματά του.
Η ενημέρωση όμως δεν είναι απόλυτο δικαίωμα103. Ο υπεύθυνος επεξεργασίας

απαλλάσσεται από την υποχρέωση της πληροφόρησης, για παράδειγμα, όταν το
υποκείμενο των δεδομένων διαθέτει ήδη όλες τις σχετικές πληροφορίες ή όταν η
παροχή των πληροφοριών είναι αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια
από μέρους του και αφορά, μεταξύ άλλων, επεξεργασία για σκοπούς επιστημονικούς
και ιστορικής ή στατιστικής έρευνας.
4.2 Δικαίωμα πρόσβασης
Στο άρθρο 15 του Κανονισμού (ΕΕ) 2016/679, εισάγεται το δικαίωμα του

φυσικού προσώπου στη πρόσβαση των δεδομένων που το αφορούν. Αξίζει να
σημειωθεί ότι το δικαίωμα της πρόσβασης, περιγράφεται ως βασικό δομικό στοιχείο
του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα και στο
άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΈ104. Με το θεμελιώδες αυτό
δικαίωμα, το υποκείμενο των δεδομένων απόκτα αφενός την γνώση ότι τα προσωπικά
του δεδομένα τίθενται σε επεξεργασία και αφετέρου την δυνατότητα να επαληθεύσει
την νομιμότητα της επεξεργασίας105.
Επιπρόσθετα από την επιβεβαίωση για το αν τα δεδομένα που αφορούν το

εκάστοτε φυσικό πρόσωπο υποβάλλονται σε επεξεργασία, ο υπεύθυνος επεξεργασίας
έχει την υποχρέωση να το πληροφορήσει, μεταξύ άλλων, για τον σκοπό της
101
Βλ. άρθρο 14 παράγραφο 3 και άρθρο 14 παράγραφο 4 του Κανονισμού (ΕΕ) 2016/679.
102
Βλ. άρθρο 14 παράγραφο 2 του Κανονισμού (ΕΕ) 2016/679.
103
104
Διαθέσιμο: https://fra.europa.eu/el/eu-charter/article/8-prostasia-ton-dedomenon-prosopikoy-
haraktira
105
24
επεξεργασίας τους, τις κατηγορίες τους, τους αποδέκτες τους, το χρονικό διάστημα το
οποίο θα διατηρηθούν και την πηγή προέλευσής τους106. Επίσης, ο υπεύθυνος
επεξεργασίας έχει την υποχρέωση να παράσχει, χωρίς κόστος, αντίγραφο των
δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, υπό την
προϋπόθεση ότι δεν επηρεάζονται δυσμενώς δικαιώματα και ελευθερίες τρίτων107.
4.3 Δικαίωμα διόρθωσης
Στο άρθρο 16 του Κανονισμού (ΕΕ) 2016/679, προβλέπεται η δυνατότητα του

υποκειμένου των δεδομένων να απαιτήσει από τον υπεύθυνο επεξεργασίας την
διόρθωση ανακριβών ή τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα
που το αφορούν, καθώς και η υποχρέωση του τελευταίου προβεί άμεσα στην εκδήλωση
των ανάλογων ενεργειών χωρίς αδικαιολόγητη ή υπερβολική καθυστέρηση108. Το
δικαίωμα της διόρθωσης πηγάζει από την αρχή της ακρίβειας 109 και περιγράφεται ως
βασικό δομικό στοιχείο του δικαιώματος στην προστασία των δεδομένων προσωπικού
χαρακτήρα και στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΈ110.
Επιπλέον, ο Κανονισμός (ΕΕ) 2016/679 υποχρεώνει τον υπεύθυνο επεξεργασίας να
ανακοινώσει, όταν είναι εφικτό ή δεν συνεπάγεται δυσανάλογη προσπάθεια από μέρους
του, κάθε διόρθωση σε κάθε αποδέκτη στον οποίο γνωστοποιήθηκαν τα επηρεαζόμενα
δεδομένα προσωπικού χαρακτήρα111.
4.4 Δικαίωμα διαγραφής (Δικαίωμα στη λήθη)
Στο άρθρο 17 του Κανονισμού (ΕΕ) 2016/679 εισάγεται η δυνατότητα, υπό

προϋποθέσεις, του υποκειμένου των δεδομένων να ζητήσει από τον υπεύθυνο
επεξεργασίας τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν και
η υποχρέωση του τελευταίου προβεί άμεσα στην υλοποίηση της απαίτησης χωρίς
αδικαιολόγητη ή υπερβολική καθυστέρηση112. Με την πράξη της διαγραφής ο
υπεύθυνος επεξεργασίας ενός αρχείου δεν έχει πλέον πρόσβαση στα δεδομένα του και
106
107
Βλ. άρθρο 15 παραγράφους 3 και 4 του Κανονισμού (ΕΕ) 2016/679.
108
109
«Τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται·
πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων
προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας
(ακρίβεια)»
110
Διαθέσιμο: https://fra.europa.eu/el/eu-charter/article/8-prostasia-ton-dedomenon-prosopikoy-
haraktira
111
112
25
συνεπώς δεν μπορεί να τα αναπαραγάγει. Πρόκειται για το δικαίωμα ενός φυσικού
προσώπου να μπορεί, υπό προϋποθέσεις, να διαγράψει από το διαδίκτυο πληροφορίες
που αφενός δεν επιθυμεί να είναι διαθέσιμες και αφετέρου δεν είναι χρήσιμες ή
κρίσιμες για την ενημέρωση του κοινωνικού συνόλου.
Οι προϋποθέσεις, υπό τις οποίες ένα φυσικό πρόσωπο δύναται να αιτηθεί την
διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν, είναι οι εξής113:
• Τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα για τους

σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε
επεξεργασία.
• Το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεσή του επί της οποίας

βασίζεται η επεξεργασία, οπότε τα δεδομένα πρέπει να διαγραφούν εφόσον
δεν υπάρχει άλλη νομική βάση για την επεξεργασία.
• Το υποκείμενο των δεδομένων αντιτάσσεται στην επεξεργασία και δεν

υφίστανται επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία.
• Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πραγματοποιήθηκε

παράνομα.
• Τα δεδομένα προσωπικού χαρακτήρα είναι αναγκαίο να διαγραφούν στο

πλαίσιο τήρησης νομικής υποχρέωσης, βάσει του ενωσιακού δικαίου ή του
δικαίου κράτους μέλους, στην οποία υπόκειται ο υπεύθυνος επεξεργασίας.
• Τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί στο πλαίσιο της

παροχής υπηρεσιών της κοινωνίας των πληροφοριών σε παιδιά.
Κρίνεται σκόπιμο να αναφερθεί ότι ο Κανονισμός (ΕΕ) 2016/679 παρέχει

ιδιαίτερη προστασία στα παιδιά, καθώς διατρέχουν τον κίνδυνο, μη έχοντας πλήρη
επίγνωση των κινδύνων και μη αναλογιζόμενα τις συνέπειες που ενέχει η επεξεργασία,
να αποκαλύψουν προσωπικά τους δεδομένα, κυρίως στο διαδίκτυο, τα οποία
ενδεχομένως αργότερα να επηρεάσουν αρνητικά σε μεγάλο βαθμό την οικογενειακή
και την επαγγελματική τους ζωή, αλλά πιθανός ακόμη και τις διαπροσωπικές τους
σχέσεις114.
113
114
26
Επιπρόσθετα, ο Κανονισμός (ΕΕ) 2016/679 υποχρεώνει τον υπεύθυνο
επεξεργασίας να ανακοινώσει, όταν είναι δυνατό ή δεν συνεπάγεται δυσανάλογη
προσπάθεια από μέρους του, κάθε διαγραφή σε κάθε αποδέκτη στον οποίο
γνωστοποιήθηκαν τα επηρεαζόμενα δεδομένα προσωπικού χαρακτήρα115.
Το δικαίωμα διαγραφής, όπως και το δικαίωμα πληροφόρησης, δεν είναι

απόλυτο δικαίωμα116. Το όριο του δικαιώματος της διαγραφής αναζητείται στην
ελευθερία του πληροφορείν και πληροφορείσθαι και εν γένει στην ελευθερία της
έκφρασης117, καθώς η πράξη της διαγραφής δεν θα πρέπει να θίγει το συμφέρον του
κοινωνικού συνόλου να αποκτήσει πρόσβαση στην πληροφορία. Πέρα από το δικαίωμα
της ελευθερίας της έκφρασης και το δικαίωμα της ενημέρωσης, λόγοι δημοσίου
συμφέροντος, επιστημονικοί, ιστορικοί, στατιστικοί και νομικές αξιώσεις ή
υποχρεώσεις ενδέχεται να ακυρώσουν μία αίτηση διαγραφής118.
4.5 Δικαίωμα στη φορητότητα των δεδομένων
Με το άρθρο 20 ο Κανονισμός (ΕΕ) 2016/679, παρέχει στα υποκείμενα των

δεδομένων το δικαίωμα στη φορητότητα, δηλαδή στη λήψη και ακολούθως στη
διαβίβαση των δεδομένων προσωπικού χαρακτήρα που τα αφορούν από έναν πάροχο
υπηρεσιών σε κάποιον άλλο119. Το δικαίωμα στη φορητότητα προσφέρει στα
υποκείμενα των δεδομένων έναν εύκολο τρόπο να διαχειρίζονται τα ίδια τα δεδομένα
που τα αφορούν120 και αυξάνει την ικανότητά τους να διακινούν, να αντιγράφουν ή να
μεταφέρουν εύκολα δεδομένα προσωπικού χαρακτήρα από ένα περιβάλλον
πληροφορικής σε άλλο121.
Σημειώνεται ότι το δικαίωμα στη φορητότητα ισχύει μόνο όταν το υποκείμενο

των δεδομένων παρέχει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν με τη
συγκατάθεσή του ή εάν η επεξεργασία τους είναι αναγκαία για την εκτέλεση
σύμβασης122. Δεν ισχύει, συνεπώς, όταν η επεξεργασία είναι απαραίτητη για άλλους
σκοπούς, όπως για παράδειγμα όταν η επεξεργασία των δεδομένων προσωπικού
χαρακτήρα είναι αναγκαία για τη συμμόρφωση με νομική υποχρέωση στην οποία
115
116
117
Βλ. Φ. Παναγοπούλου, H εξέλιξη του δικαιώματος στη λήθη, Εφημερίδα Διοικητικού Δικαίου,
2016,Τευχος 6, σελ. 714.
118
119
120
121
122
27
υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος δημοσίου
συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο
επεξεργασίας123. Τέλος, το δικαίωμα στη φορητότητα δεν θα πρέπει να επηρεάζει
δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων124 και να θίγει την άσκηση των
υπολοίπων δικαιωμάτων του υποκειμένου των δεδομένων, τα οποία ασκούνται
ανεξάρτητα125.
4.6 Δικαίωμα περιορισμού της επεξεργασίας
Στο άρθρο 18 του Κανονισμού (ΕΕ) 2016/679, αναφέρεται το δικαίωμα του

υποκειμένου των δεδομένων να ζητήσει τον περιορισμό της επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα που τo αφορούν όταν, μεταξύ άλλων,
αμφισβητείται η ακρίβεια αυτών ή πραγματοποιείται παράνομη επεξεργασία αυτών ή
εκκρεμεί απόφαση όσον αφορά το κατά πόσον οι νόμιμοι λόγοι του υπευθύνου
επεξεργασίας υπερισχύουν έναντι των λόγων του υποκειμένου των δεδομένων 126. Όταν
το υποκείμενο των δεδομένων έχει εξασφαλίσει τον περιορισμό της επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα που το αφορούν, ο υπεύθυνος επεξεργασίας
οφείλει, σε κάθε περίπτωση, να το ενημερώσει πριν από την άρση του περιορισμού127.
Ενδεικτικά, οι τεχνικές που ο υπεύθυνος επεξεργασίας μπορεί να αξιοποιήσει,

με σκοπό να περιορίσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα,
περιλαμβάνουν την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε άλλο
σύστημα επεξεργασίας, την προσωρινή μετακίνηση των επιλεγμένων δεδομένων σε
άλλο σύστημα επεξεργασίας και την προσωρινή αφαίρεση δημοσιευμένων δεδομένων
από ιστοσελίδα128.
4.7 Δικαίωμα εναντίωσης
Στα άρθρα 21 και 22 του Κανονισμού (ΕΕ) 2016/679, κατοχυρώνεται το

δικαίωμα εναντίωσης και το δικαίωμα εναντίωσης σε αυτοματοποιημένη ατομική λήψη
αποφάσεων129.
123
124
125
126
127
128
129
Βλ. άρθρα 21 και 22 του Κανονισμού (ΕΕ) 2016/679.
28
Το δικαίωμα εναντίωσης προβλέπει ότι το υποκείμενο των δεδομένων έχει την
δυνατότητα να εγείρει αντιρρήσεις, ανά πάσα στιγμή, για λόγους που σχετίζονται με
την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα
που το αφορούν, όταν η νομική βάση για την επεξεργασία είναι η εκτέλεση καθήκοντος
για λόγους δημόσιου συμφέροντος από τον υπεύθυνο επεξεργασίας ή όταν η
επεξεργασία βασίζεται στα έννομα συμφέροντα του υπευθύνου επεξεργασίας 130.
Φυσικά, κάθε αίτημα εναντίωσης για να ικανοποιηθεί θα πρέπει να είναι επαρκώς
αιτιολογημένο, ώστε να διαπιστώνεται η τήρηση των προϋποθέσεων του άρθρου131.
Το δικαίωμα εναντίωσης δεν είναι απόλυτο δικαίωμα. Ο υπεύθυνος

επεξεργασίας ενδέχεται να ακυρώσει μία αίτηση εναντίωσης, εάν καταδείξει
επιτακτικούς και νόμιμους λόγους για την επεξεργασία, οι οποίοι υπερισχύουν των
συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή
για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων. Σαφώς ο υπεύθυνος
επεξεργασίας φέρει την ευθύνη της απόδειξης ότι συντρέχουν οι ανωτέρω λόγοι132.
Σημειώνουμε ότι ιδιαίτερη αντιμετώπιση επιφυλάσσει ο Κανονισμός (ΕΕ)

2016/679, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε
επεξεργασία για σκοπούς απευθείας εμπορικής προώθησης, επιστημονικής ή ιστορικής
έρευνας καθώς και για στατιστικούς σκοπούς.
Το δικαίωμα της εναντίωσης αποσκοπεί στην εξεύρεση της κατάλληλης

ισορροπίας, ανάμεσα στο δικαίωμα της προστασίας των δεδομένων προσωπικού
χαρακτήρα του υποκειμένου των δεδομένων και στο νόμιμο δικαίωμα των τρίτων της
επεξεργασίας των δεδομένων του133. Το αποτέλεσμα της επιτυχούς εναντίωσης είναι ότι
ο υπεύθυνος επεξεργασίας δεν επιτρέπεται πλέον να επεξεργάζεται τα επίμαχα
δεδομένα134. Ωστόσο, οι πράξεις επεξεργασίας που έχουν εκτελεστεί επί των δεδομένων
αυτών παραμένουν νόμιμες135.
Το δικαίωμα εναντίωσης σε αυτοματοποιημένη λήψη αποφάσεων, εξασφαλίζει

ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση, η
οποία έχει ληφθεί αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, με την οποία
130
131
132
Βλ. ό.π., σελ. 106.
133
134
135
29
αξιολογούνται προσωπικές πτυχές που το αφορούν και η οποία παράγει έννομα
αποτελέσματα ή έχει παρόμοιες σημαντικές συνέπειες στη ζωή του136.
Επιπλέον, η επεξεργασία που οδηγεί στη λήψη αποφάσεων με

αυτοματοποιημένα μέσα περιλαμβάνει και την «κατάρτιση προφίλ», η οποία
συνίσταται σε οποιαδήποτε μορφή αυτοματοποιημένης αξιολόγησης των προσωπικών
πτυχών του ατόμου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν τις
επιδόσεις στην εργασία του, την οικονομική του κατάσταση, την υγεία, τις προσωπικές
προτιμήσεις, την αξιοπιστία, τη συμπεριφορά καθώς και τη θέση ή τις κινήσεις του
υποκειμένου των δεδομένων, στον βαθμό που η απόφαση παράγει νομικά
αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο
τρόπο137.
Η αυτοματοποιημένη λήψη αποφάσεων ενδέχεται να κριθεί αποδεκτή εάν είναι

αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υπευθύνου
επεξεργασίας δεδομένων και του υποκειμένου των δεδομένων ή εάν το υποκείμενο των
δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του ή εάν επιτρέπεται από το δίκαιο της
ΕΕ ή το εθνικό δίκαιο του εκάστοτε κράτους μέλους138.
136
137
Βλ. αιτιολογική σκέψη αρ. 71 και άρθρο 4 παράγραφο 4 του Κανονισμού (ΕΕ) 2016/679.
138
30
5. Υποχρεώσεις ΥΕ και ΕτΕ
Όπως αναφέρθηκε και στην Ενότητα 2.2, ο Κανονισμός (ΕΕ) 2016/679 εισάγει
μία σειρά νέων υποχρεώσεων για τον υπεύθυνο επεξεργασίας αλλά και για τον εκτελών
την επεξεργασία.
5.1 Λογοδοσία
Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση139 να αποδεικνύει την

συμμόρφωση με τον Κανονισμό (ΕΕ) 2016/679. Επίσης, έχει την υποχρέωση της
ανάληψης ευθύνης σε σχέση με τις αρχές, τα μέτρα και τις πολιτικές που εφαρμόζονται
στην επεξεργασία δεδομένων προσωπικού χαρακτήρα140. Σημειώνουμε ότι οι αρχές, τα
μέτρα και οι πολιτικές που εφαρμόζονται από τον υπεύθυνο επεξεργασίας, στην
επεξεργασία δεδομένων προσωπικού χαρακτήρα, οφείλουν να ακολουθούν μία
κινδυνοκεντρική προσέγγιση141.
5.2 Προστασία των δεδομένων από τον σχεδιασμό
Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση142 να λαμβάνει πάντα υπόψη

τους εγγενείς κινδύνους των τεχνολογιών που αναπτύσσει και αξιοποιεί, ώστε εξαρχής
να εφαρμόσει όλα τα κατάλληλα απαραίτητα μετρά για τον μετριασμό ή την εξάλειψη
των κινδύνων αυτών. Η εισαγωγή της αρχής της προστασίας των δεδομένων ήδη από
τον σχεδιασμό, στοχεύει στην εκ προοιμίου υιοθέτηση των αρχών της προστασίας των
δεδομένων και έχει ως σκοπό τον περιορισμό των κινδύνων μέσω της προληπτικής
διαμόρφωσης της τεχνολογίας 143.
5.3 Προστασία των δεδομένων εξ’ ορισμού
Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση144 να χρησιμοποιεί το

ελάχιστο145 δυνατό εύρος δεδομένων προσωπικού χαρακτήρα, υποβάλλοντάς τα στον
ελάχιστο δυνατό βαθμό επεξεργασίας, για το ελάχιστο δυνατό χρονικό διάστημα,
προκειμένου να εξυπηρετήσει τον εκάστοτε σκοπό, εξασφαλίζοντας ταυτόχρονα την
139
140
141
142
143
144
145
Βλ. άρθρο 5 παράγραφο 1.γ του Κανονισμού (ΕΕ) 2016/679.
31
αδυναμία πρόσβασης σε αυτά από αόριστο αριθμό φυσικών προσώπων, χωρίς την
παρέμβαση του υποκειμένου των δεδομένων146.
5.4 Αρχεία δραστηριοτήτων επεξεργασίας
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία έχουν την

υποχρέωση147 να τηρούν, γραπτώς ή σε ηλεκτρονική μορφή, μητρώο των
δραστηριοτήτων επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, για τα οποία
είναι υπεύθυνοι148. Η υποχρέωση αυτή εντάσσεται στο πλαίσιο της αρχής της
λογοδοσίας και της συμμόρφωσης με τον Κανονισμό (ΕΕ) 2016/79, αναδεικνύει την
υποχρέωση ετοιμότητας προς έλεγχο και στοχεύει στην υψηλή ευαισθητοποίηση των
επιχειρήσεων και των δημόσιων φορέων αναφορικά με την προστασία των δεδομένων
προσωπικού χαρακτήρα149.
5.5 Μέτρα ασφαλείας

υποχρέωση να υιοθετούν τις κατάλληλες μεθόδους και να εφαρμόζουν τα απαραίτητα
μέτρα 150
, ώστε να διασφαλίζεται ανάλογο προς τους κινδύνους επίπεδο ασφαλείας,
κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα151. Οι διατάξεις του
Κανονισμού (ΕΕ) 2019/679 σε συνδυασμό με τα μέτρα ασφαλείας, δημιουργούν ένα
ολιστικό πλαίσιο νομιμοποίησης και προστασίας της επεξεργασίας, από τους κινδύνους
που ελλοχεύουν για τα δεδομένα προσωπικού χαρακτήρα κατά την επεξεργασία
τους152. Τονίζουμε ότι στόχος του άρθρου 32 του Κανονισμού (ΕΕ) 2016/679 δεν είναι
να προστατεύσει τα δεδομένα καθαυτά, αλλά να θεμελιώσει την ασφάλεια στην πράξη
της επεξεργασίας153.
5.6 Γνωστοποίηση και ανακοίνωση παραβίασης δεδομένων
Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να ενημερώσει άμεσα την

εποπτική αρχή σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα 154
.
Επίσης, έχει την υποχρέωση να ενημερώσει άμεσα και το υποκείμενο των δεδομένων
146
147
148
149
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 135 και 136.
150
151
152
Βλ. ό.π., σελ. 143.
153
Βλ. ό.π., σελ. 144.
154
32
όταν η παραβίαση ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις
ελευθερίες του155. Ο εκτελών την επεξεργασία έχει την υποχρέωση να ενημερώσει
άμεσα τον υπεύθυνο επεξεργασίας όταν αντιληφθεί οποιαδήποτε παραβίαση δεδομένων
προσωπικού χαρακτήρα156. Η γνωστοποίηση και ανακοίνωση παραβίασης δεδομένων
προσωπικού χαρακτήρα εντάσσεται στο ίδιο πλαίσιο με τα μέτρα ασφαλείας και έχει ως
στόχο να προστατεύσει την ιδιωτικότητα του φυσικού προσώπου και όχι να
διασφαλίσει το απόρρητο των πληροφοριών157.
5.7 Εκτίμηση αντικτύπου στην προστασία δεδομένων
Ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διενεργεί προληπτικά, πριν

την έναρξη της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, εκτίμηση
αντικτύπου αναφορικά με τους κινδύνους που ενδέχεται να προκύψουν για τα
δικαιώματα και την ελευθερία των υποκειμένων των δεδομένων, όταν αυτοί είναι
ιδιαίτερα αυξημένοι158. Επίσης, έχει την υποχρέωση, πριν την έναρξη της επεξεργασίας,
να υποβάλει την εκτίμηση αντικτύπου στην εποπτική αρχή προς έλεγχο και στην
συνέχεια να ενσωματώσει σε αυτή πιθανές οδηγίες, διορθώσεις και συμβουλές της
εποπτικής αρχής159. Η υποχρέωση της διενέργειας εκτίμησης αντικτύπου εντάσσεται
στο πλαίσιο της αρχής της λογοδοσίας και αποσκοπεί στην αντιμετώπιση των κινδύνων
που ενδέχεται να προκύψουν για τα δεδομένα προσωπικού χαρακτήρα κατά την πράξη
της επεξεργασίας160.
5.8 Υπεύθυνος προστασίας δεδομένων

υποχρέωση να ορίσουν υπεύθυνο προστασίας δεδομένων, όταν η επεξεργασία
διενεργείται από δημόσιο φορέα ή σε περίπτωση επεξεργασίας δεδομένων σε μεγάλη
κλίμακα ή/και σε υψηλό κίνδυνο 161
. Η επιλογή του πρέπει να γίνεται με βάση τα
επαγγελματικά του προσόντα, λαμβάνοντας επιπλέον υπόψη την εμπειρία που διαθέτει
στη νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα162. Στα καθήκοντά
του, μεταξύ άλλων, περιλαμβάνονται η παροχή εξειδικευμένης υποστήριξης στον
155
156
157
158
159
160
161
162
33
Κανονισμό (ΕΕ) 2016/679, η παροχή συμβουλών για την εκτίμηση των επιπτώσεων
στην προστασία δεδομένων, η παρακολούθηση της συμμόρφωσης με τον Κανονισμό
(ΕΕ) 2016/679 και η συνεργασία καθώς και η συνεχής επικοινωνία με την εκάστοτε
εποπτική αρχή163. Η εισαγωγή του θεσμού του υπεύθυνου προστασίας δεδομένων,
υποχρεώνει στην ουσία τον υπεύθυνο επεξεργασίας και τον εκτελών την επεξεργασία,
να δημιουργήσουν ένα ανεξάρτητο εσωτερικό σύστημα ελέγχου και συμμόρφωσης με
τις διατάξεις του Κανονισμού (ΕΕ) 2016/679164.
163
164
34
6. Αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήρα
Στο άρθρο 5 του Κανονισμού (ΕΕ) 2016/679, θεμελιώνονται οι αρχές που

διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω αρχές
είναι ισότιμες, συσωρευτικές και όχι διαζευκτικές165 και αποτελούν τη βάση για τις
λεπτομερέστερες διατάξεις που περιέχονται στα επόμενα άρθρα του κανονισμού.
6.1 Νομιμότητα, αντικειμενικότητα και διαφάνεια
Η αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας ορίζει ότι τα

δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε σύννομη και θεμιτή επεξεργασία,
με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων 166.
Η αρχή της σύννομης επεξεργασίας βασίζεται στη συγκατάθεση του

υποκειμένου των δεδομένων ή σε άλλους νόμιμους λόγους, οι οποίοι προβλέπονται στη
νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα167.
Η αρχή της θεμιτής επεξεργασίας διέπει τη σχέση μεταξύ του υπευθύνου

επεξεργασίας και του υποκειμένου των δεδομένων 168. Σημαίνει πως ο υπεύθυνος
επεξεργασίας οφείλει να ενημερώνει το υποκείμενο των δεδομένων, ότι επεξεργάζεται
τα δεδομένα που το αφορούν, με νόμιμο και διαφανή τρόπο και όχι μυστικά, ώστε αυτό
να έχει πλήρη επίγνωση των κινδύνων που ελλοχεύουν169.
Η αρχή της διαφάνειας θεσπίζει την υποχρέωση του υπευθύνου επεξεργασίας να

λαμβάνει κατάλληλα μέτρα, ώστε να τηρεί ενήμερα τα υποκείμενα των δεδομένων
αναφορικά με τον σκοπό και τον τρόπο χρήσης των δεδομένων προσωπικού χαρακτήρα
που τα αφορούν170.
6.2 Περιορισμός του σκοπού
Η αρχή του περιορισμού του σκοπού ορίζει ότι κάθε επεξεργασία δεδομένων
προσωπικού χαρακτήρα πρέπει να εκτελείται για συγκεκριμένο, σαφώς οριοθετημένο,
νόμιμο σκοπό και μόνο για πρόσθετους, συγκεκριμένους σκοπούς οι οποίοι είναι
συνεπείς με τον αρχικό171. Η εν λόγω αρχή συγκαταλέγεται στις θεμελιώδεις αρχές του
165
166
Βλ. στοιχείο α, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
167
Βλ. άρθρα 6, 7 και 8 του Κανονισμού (ΕΕ) 2016/679.
168
169
170
Βλ. ό.π., σελ. 153.
171
Βλ. στοιχείο β, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
35
Κανονισμού (ΕΕ) 2016/679, καθώς η νομιμότητα της επεξεργασίας εξαρτάται και
κρίνεται από τον σκοπό αυτής172. Επιπρόσθετα, ένας σαφώς οριοθετημένος,
διατυπωμένος σε απλή και σαφή γλώσσα σκοπός, ο οποίος γνωστοποιείται στο
υποκείμενο των δεδομένων το αργότερο κατά την χρονική στιγμή της συλλογής των
δεδομένων, εξασφαλίζει στο υποκείμενο των δεδομένων την δυνατότητα άσκησης
ελέγχου επί αυτών και κατά συνέπεια την αποτελεσματική άσκηση των δικαιωμάτων
του173.
6.3 Ελαχιστοποίηση των δεδομένων
Η αρχή της ελαχιστοποίησης των δεδομένων περιγράφεται στο στοιχείο γ, της

παραγράφου 1, του άρθρου 5, του Κανονισμού (ΕΕ) 2019/679 και ορίζει ότι174:
• Στην πράξη της επεξεργασίας υποβάλλονται, αποκλειστικά και μόνο, τα

δεδομένα προσωπικού χαρακτήρα που είναι αναγκαία για την επίτευξη του
νόμιμου σκοπού αυτής.
• Η συλλογή των δεδομένων προσωπικού χαρακτήρα θα πρέπει να

περιορίζεται, αποκλειστικά και μόνο, σε δεδομένα που είναι συναφή με τον
δεδηλωμένο σκοπό που επιδιώκεται με την πράξη της επεξεργασίας.
Με την εν λόγω αρχή, κατοχυρώνεται η ανάγκη της αναλογικότητας των

δεδομένων προσωπικού χαρακτήρα που συλλέγονται και αξιοποιούνται, σε σχέση με
τον νόμιμο σκοπό που επιδιώκεται με την πράξη της επεξεργασίας175.
6.4 Ακρίβεια
Η αρχή της ακρίβειας ορίζει ότι τα ανακριβή δεδομένα προσωπικού χαρακτήρα

πρέπει να διαγράφονται ή να διορθώνονται άμεσα, χωρίς αδικαιολόγητη ή υπερβολική
καθυστέρηση176. Επιπρόσθετα, αναφέρει ότι για την διασφάλιση της ακρίβειας των
δεδομένων προσωπικού χαρακτήρα, είναι αναγκαίος ο τακτικός έλεγχός τους καθώς και
η συχνή επικαιροποίησή τους177. Η διασφάλιση της ακρίβειας των δεδομένων
172
173
174
Βλ. στοιχείο γ, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679
175
176
Βλ. στοιχείο δ, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
177
36
προσωπικού χαρακτήρα αποτελεί καθήκον του υπευθύνου επεξεργασίας και δεν
απαιτείται δράση από το υποκείμενο των δεδομένων για την υλοποίησή της178.
6.5 Περιορισμός της περιόδου αποθήκευσης
Η αρχή του περιορισμού της περιόδου αποθήκευσης ορίζει ότι τα δεδομένα

προσωπικού χαρακτήρα πρέπει να διαγράφονται ή να ανωνυμοποιούνται όταν οι
σκοποί για τους οποίους συλλέχθηκαν έχουν εκπληρωθεί179. Για τον σκοπό αυτό, ο
υπεύθυνος επεξεργασίας οφείλει, λαμβάνοντας πάντα υπόψη και τους σκοπούς της
επεξεργασίας, να θέσει τα όρια αναφορικά με την αποθήκευση των δεδομένων, ώστε να
διασφαλίζεται ότι αυτά δεν διατηρούνται για χρονικό διάστημα μεγαλύτερο από όσο
είναι πραγματικά αναγκαίο180.
Σημειώνουμε ότι η εν λόγω αρχή, εφαρμόζεται μόνο σε δεδομένα προσωπικού

χαρακτήρα που διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των
υποκειμένων τους181, καθώς και ότι ο χρονικός περιορισμός της αποθήκευσης δύναται
να επεκταθεί, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς
σκοπούς, εφόσον αυτό είναι απαραίτητο για το δημόσιο συμφέρον 182.
6.6 Ακεραιότητα και εμπιστευτικότητα
Η αρχή της ακεραιότητας και εμπιστευτικότητας επιβάλλει να εφαρμόζονται

κατάλληλα τεχνικά ή οργανωτικά μέτρα, κατά την πράξη της επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα, ώστε να εξασφαλίζεται η προστασία αυτών από,
μεταξύ άλλων, μη εξουσιοδοτημένη ή παράνομη πρόσβαση και τυχαία απώλεια,
καταστροφή ή φθορά183.
Η ακεραιότητα και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα

είναι θεμελιώδεις για την αποφυγή αρνητικών συνεπειών για το υποκείμενο αυτών 184.
Συνεπώς, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία οφείλουν να
λαμβάνουν πάντα υπόψη, τις τελευταίες εξελίξεις των τεχνολογιών που αναπτύσσουν
και αξιοποιούν, τις πιθανότητες εμφάνισης των διάφορων κινδύνων και τον αντίκτυπο
αυτών στα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, το πλαίσιο και τους
178
179
Βλ. στοιχείο ε, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
180
181
182
183
Βλ. στοιχείο στ, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
184
37
σκοπούς της επεξεργασίας 185, ώστε να καθορίζουν, κατά περίπτωση, τα κατάλληλα
τεχνικά ή οργανωτικά μέτρα που εγγυώνται την ενδεδειγμένη ασφάλεια των δεδομένων
6.7 Λογοδοσία
Η αρχή της λογοδοσίας επιβάλλει στον υπεύθυνο επεξεργασίας την υποχρέωση

να αποδεικνύει την συμμόρφωση με τον Κανονισμό (ΕΕ) 2016/679187 καθώς και την
υποχρέωση της ανάληψης ευθύνης σε σχέση με τις αρχές, τα μέτρα και τις πολιτικές
που εφαρμόζονται στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα188.
Ουσιαστικά, η εν λόγω αρχή επιβάλλει στους υπευθύνους επεξεργασίας αλλά και στους
εκτελούντες την επεξεργασία (αρχεία δραστηριοτήτων επεξεργασίας, μέτρα ασφαλείας,
διορισμός υπευθύνου προστασίας δεδομένων κ.α.) να εφαρμόζουν, ενεργώς και
αδιάλειπτα189, κατάλληλες μεθόδους και μέτρα, ώστε να διασφαλίζεται ανάλογο προς
τους κινδύνους επίπεδο ασφαλείας στις δραστηριότητες επεξεργασίας 190.
185
186
187
188
189
190
Βλ. Γνώμη 3/2010 σχετικά µε την αρχή της λογοδοσίας, σελ. 6.
38
7. Υπόθεση Google Spain κατά Costeja González
Απόφαση σταθμός, για την αναγνώριση του δικαιώματος στη λήθη, αποτέλεσε η
απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Google Spain SL και Google Inc.
κατά Agencia Española de Protección de Datos (AEPD) και Mario Costeja González
(εν συντομία Google Spain κατά Costeja Gonzalez)191. Στις 5 Μαρτίου 2010, ένας
Ισπανός πολίτης, ο Mario Costeja Gonzalez, υπέβαλε στην Ισπανική Αρχή Προστασίας
Προσωπικών Δεδομένων (AEPD) καταγγελία κατά της ισπανικής εταιρίας La
Vanguardia Ediciones SL, που εκδίδει καθημερινή εφημερίδα μεγάλης κυκλοφορίας
στην Ισπανία, καθώς και κατά της Google Spain και της Google Inc. Ο Mario Costeja
Gonzalez υποστήριξε ότι οποιοσδήποτε χρήστης του διαδικτύου εισήγαγε το
ονοματεπώνυμό του στη μηχανή αναζήτησης της Google, θα λάμβανε ως αποτέλεσμα
έναν ικανό αριθμό συνδέσμων προς δύο σελίδες της ισπανικής εφημερίδας,
δημοσιευμένες τον Ιανουάριο και τον Μάρτιο 1998. Στις εν λόγω σελίδες
περιλαμβανόταν ανακοίνωση, με το ονοματεπώνυμό του, για πλειστηριασμούς
ακινήτων κατόπιν κατασχέσεως που του είχε επιβληθεί, λόγω κοινωνικοασφαλιστικών
οφειλών.
Με την καταγγελία αυτή, ο Mario Costeja Gonzalez ζητούσε, αφενός να

υποχρεωθεί η ισπανική εφημερίδα La Vanguardia να αποσύρει ή να τροποποιήσει τις
επίμαχες σελίδες, ώστε να μην εμφανίζονται πλέον τα σχετικά με αυτόν δεδομένα
προσωπικού χαρακτήρα, ή να χρησιμοποιήσει ορισμένα από τα εργαλεία που
προσφέρουν οι μηχανές αναζήτησης, προκειμένου να προστατευθούν τα δεδομένα
αυτά. Αφετέρου, ο καταγγέλλων ζητούσε να υποχρεωθεί η Google Spain ή η Google
Inc. να διαγράψει ή να αποκρύψει τα προσωπικά δεδομένα του, ώστε να μην
εμφανίζονται πλέον στα αποτελέσματα αναζήτησης και σε συνδέσμους της ισπανικής
εφημερίδας. Στο πλαίσιο αυτό, ο Mario Costeja Gonzalez επεσήμανε ότι η διαδικασία
κατασχέσεως που είχε κινηθεί εναντίον του, είχε ολοκληρωθεί και διευθετηθεί οριστικά
πολλά χρόνια πριν και ότι οποιαδήποτε αναφορά σε αυτή ήταν πλέον περιττή και άνευ
ουσίας.
191
Διαθέσιμο:
http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5639e83654048422da6e7
de91090c87bb.e34KaxiLc3eQc40LaxqMbN4PaNeTe0?text=&docid=152065&pageIndex=0&doclang=EL&
mode=lst&dir=&occ=first&part=1&cid=1660135
39
Στις 30 Ιουλίου 2010, η Ισπανική Αρχή Προστασίας Προσωπικών Δεδομένων
απέρριψε το αίτημα ως προς την ισπανική εφημερίδα, εκτιμώντας ότι η δημοσίευση
των επίμαχων πληροφοριών ήταν από νομικής άποψης δικαιολογημένη, δεδομένου ότι
πραγματοποιήθηκε με εντολή του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων
και είχε ως στόχο να δώσει τη μεγαλύτερη δυνατή δημοσιότητα στη διαδικασία του
πλειστηριασμού, ώστε να συγκεντρωθεί ο μεγαλύτερος δυνατός αριθμός
ενδιαφερομένων.
Αντιθέτως, έκανε δεκτό το αίτημα ως προς την Google Spain και την Google
Inc. Η Ισπανική Αρχή Προστασίας Προσωπικών Δεδομένων έκρινε σχετικά ότι οι
φορείς εκμετάλλευσης των μηχανών αναζήτησης εμπίπτουν στη νομοθεσία περί
προστασίας των δεδομένων προσωπικού χαρακτήρα, δεδομένου ότι πραγματοποιούν
επεξεργασία δεδομένων για την οποία φέρουν πλήρη ευθύνη και ότι ασκούν
δραστηριότητες ενδιάμεσου στην κοινωνία της πληροφορίας. Επιπρόσθετα, η Ισπανική
Αρχή Προστασίας Προσωπικών Δεδομένων εκτίμησε ότι έχει την εξουσία να επιβάλλει
την υποχρεωτική απόσυρση των δεδομένων αυτών και την απαγόρευση πρόσβασης των
φορέων εκμετάλλευσης των μηχανών αναζήτησης σε ορισμένα δεδομένα, εφόσον
κρίνει ότι ο γεωγραφικός εντοπισμός τους ή η διάδοσή τους ενδέχεται να θίγουν το
θεμελιώδες δικαίωμα της προστασίας των δεδομένων προσωπικού χαρακτήρα καθώς
και την αξιοπρέπεια του επηρεαζόμενου φυσικού προσώπου στην ευρύτερη έννοια της,
στην οποία περιλαμβάνεται και η απλή επιθυμία του ενδιαφερόμενου φυσικού
προσώπου να μην γνωστοποιούνται τα δεδομένα προσωπικού χαρακτήρα που το
αφορούν του σε τρίτους. Επιπλέον, η Ισπανική Αρχή Προστασίας Προσωπικών
Δεδομένων έκρινε ότι η υποχρέωση αυτή μπορεί να βαρύνει απευθείας τους φορείς
εκμετάλλευσης των μηχανών αναζήτησης, χωρίς να είναι απαραίτητη η απόσυρση των
δεδομένων προσωπικού χαρακτήρα από τον εκάστοτε ιστότοπο εντός του οποίου
περιλαμβάνονται, ιδίως όταν η διατήρηση των πληροφοριών αυτών είναι από νομικής
άποψης δικαιολογημένη. Δεδομένων των ανωτέρω, η Ισπανική Αρχή Προστασίας
Προσωπικών Δεδομένων ζήτησε τόσο από την Google Spain όσο και από την Google
Inc., να λάβουν όλα τα απαραίτητα μέτρα, ώστε να διαγραφούν από το ευρετήριό τους
τα επίμαχα δεδομένα.
Ακολούθως, οι Google Spain και Google Inc. προσέβαλαν την απόφαση της
Ισπανικής Αρχής Προστασίας Προσωπικών Δεδομένων ενώπιον του Audiencia
Nacional (Ανώτερο Ισπανικό Δικαστήριο), ζητώντας την ακύρωσή της. Το Ανώτερο
40
Ισπανικό Δικαστήριο αποφάσισε να συνεκδικάσει τις δύο υποθέσεις. Στο πλαίσιο αυτό,
το Ανώτερο Ισπανικό Δικαστήριο απευθύνθηκε στο Δικαστήριο της ΕΈ, θέτοντας του
μία σειρά από προδικαστικά ερωτήματα, με κύριο ζήτημα το κατά πόσο οι διατάξεις
της Οδηγίας 95/46/EK μπορούσαν να αποτελέσουν νόμιμη βάση για την αξίωση
αφαίρεσης των αποτελεσμάτων.
7.2 Απόφαση Δικαστηρίου της ΕΕ
Αρχικά, το Δικαστήριο της ΕΕ έκρινε ότι οι εργασίες μίας μηχανής αναζήτησης,

η οποία προβάλλει αποτελέσματα αναζήτησης σε απάντηση αιτημάτων από χρήστες για
αναζήτηση πληροφοριών για κάποιο πρόσωπο βάσει του ονόματός του, συνιστούν
επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 2,
στοιχείο β, της Οδηγίας 95/46/ΕΚ 192
. Αναλυτικότερα, το Δικαστήριο της ΕΕ
διαπίστωσε ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης προβαίνουν σε
αυτοματοποιημένη, διαρκή και συστηματική συλλογή, οργάνωση, αποθήκευση,
ανάκτηση, διαβίβαση, αναζήτηση, διάθεση και καταχώρηση αναρτημένων δεδομένων
και πληροφοριών από το διαδίκτυο, μεταξύ των οποίων και δεδομένων προσωπικού
χαρακτήρα193194.
Επιπρόσθετα, το Δικαστήριο της ΕΕ έκρινε ότι οι φορείς εκμετάλλευσης των

μηχανών αναζήτησης πρέπει να θεωρούνται υπεύθυνοι της εν λόγω επεξεργασίας195.
Αναλυτικότερα, το Δικαστήριο της ΕΕ διατύπωσε το επιχείρημα ότι οι φορείς
εκμετάλλευσης των μηχανών αναζήτησης καθορίζουν, με απόφασή τους, τον σκοπό και
τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και συνεπώς φέρουν
και την συνολική την ευθύνη της εν λόγω δραστηριότητας, συμπεριλαμβανομένης της
νομικής196197.
Ακολούθως, το Δικαστήριο της ΕΕ διατύπωσε το επιχείρημα ότι η Google Spain

αποτελεί θυγατρική της Google Inc. επί του ισπανικού εδάφους και κατά συνέπεια
εγκατάσταση αυτής σε έδαφος κράτους μέλους κατά την έννοια της Οδηγίας
95/46/EK198. Βασιζόμενο σε αυτό το επιχείρημα, το Δικαστήριο της ΕΕ έκρινε ότι η
192
Βλ. διατακτικό 1 της υπόθεσης C‑131/12.
193
Βλ. σκέψεις 26,27,28,29,30 και 31 της υπόθεσης C‑131/12.
194
Βλ. Ι. Ιγγλεζάκης, Τhe Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear Victory
for Data Protection or an Obstacle for the Internet?, σελ. 6.
195
196
Βλ. σκέψεις 32,33,34,35,36 και 37 της υπόθεσης C‑131/12.
197
198
Βλ. στοιχείο α, παράγραφος 1, άρθρο 4 της Οδηγίας 95/46/ΕΚ.
41
επεξεργασία δεδομένων προσωπικού χαρακτήρα, πραγματοποιείται στο πλαίσιο των
δραστηριοτήτων της εγκατάστασης αυτής και κατά συνέπεια ότι η Google Inc.
υπόκειται στην Οδηγία 95/46/EK199200.
Επιπλέον, το Δικαστήριο της ΕΕ έκρινε ότι ο υπεύθυνος επεξεργασίας

υποχρεούται, υπό ορισμένες προϋποθέσεις, να διαγράφει συνδέσμους, προς ιστότοπους
τρίτων, από τον κατάλογο αποτελεσμάτων, ο οποίος εμφανίζεται κατόπιν αναζήτησης
που έχει διενεργηθεί με βάση το ονοματεπώνυμο ενός φυσικού προσώπου, προκειμένου
να προστατευθούν τα δικαιώματά του201. Το Δικαστήριο της ΕΕ διευκρίνισε ότι η
υποχρέωση αυτή των φορέων εκμετάλλευσης των μηχανών αναζήτησης παραμένει
αναλλοίωτη και στην περίπτωση που οι πληροφορίες δεν έχουν διαγραφεί από τους
ιστότοπους τρίτων, ακόμη και όταν η δημοσίευση των επίμαχων πληροφοριών είναι
από νομικής άποψης δικαιολογημένη202203.
Περαιτέρω, το Δικαστήριο της ΕΕ διατύπωσε το επιχείρημα ότι ακόμη και η

αρχικά νόμιμη επεξεργασία μη ανακριβών δεδομένων μπορεί, κατά τη διάρκεια του
χρόνου, να καταστεί ασυμβίβαστη με την Οδηγία95/46/EK, σε περίπτωση που τα εν
λόγω δεδομένα πάψουν να είναι απαραίτητα για τους σκοπούς για τους οποίους
συνελέγησαν ή υπέστησαν επεξεργασία204205. Βασιζόμενο σε αυτό το επιχείρημα, το
Δικαστήριο της ΕΕ έκρινε ότι το υποκείμενο των δεδομένων δύναται να αξιώσει τη
διαγραφή των δεδομένων που το αφορούν, από τον κατάλογο των αποτελεσμάτων, ο
οποίος προκύπτει κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο
του, όταν αυτά καθίστανται ακατάλληλα, µη συναφή ή υπερβολικά σε σχέση µε τον
σκοπό της αρχικής επεξεργασίας τους ή σε σχέση με το χρόνο που έχει παρέλθει από
αυτήν206.
Τέλος, το Δικαστήριο της ΕΕ διευκρίνισε ότι τα οικονομικά συμφέροντα των

φορέων εκμετάλλευσης των μηχανών αναζήτησης, δεν είναι σε καμία περίπτωση
199
Βλ. σκέψεις 49, 60 και διατακτικό 2 της υπόθεσης C‑131/12.
200
201
Βλ. σκέψεις 68, 69, 80, 81 87, 88 και διατακτικό 3 της υπόθεσης C‑131/12.
202
Βλ. σκέψεις 88 και διατακτικό 3 της υπόθεσης C‑131/12.
203
204
Βλ. σκέψη 93 και διατακτικό 4 της υπόθεσης C‑131/12.
205
206
Βλ. σκέψεις 92, 93, 94, 96, 98 και διατακτικό 4 της υπόθεσης C‑131/12.
42
αρκετά ώστε να περιορίσουν τα δικαιώματα του υποκειμένου των δεδομένων και
ιδιαίτερα το δικαίωμά του στην ιδιωτική ζωή207.
7.3 Σχολιασμός
Η απόφαση του Δικαστηρίου της ΕΕ άγγιξε νομικούς, πολιτικούς,

δημοσιογράφους και επιχειρηματίες, τόσο εντός όσο και εκτός της ΕΕ, εκ των οποίων
πολλοί την εκθείασαν και πολλοί την κατέκριναν, ενώ όλοι συμφώνησαν ότι άφησε
πολλά κενά και αναπάντητα ερωτήματα όσον αφορά την εφαρμογή της. Το σίγουρο
είναι ότι το Δικαστήριο της ΕΕ τάραξε τα νερά, καθώς βασιζόμενο στο δικαίωμα
πρόσβασης208 και στο δικαίωμα αντίταξης209 της Οδηγίας 95/46/ΕΚ διαμόρφωσε,
στοιχειοθέτησε και τελικά αναγνώρισε το δικαίωμα στην λήθη210, το οποίο στην
συνέχεια ο Κανονισμός (ΕΕ) 2016/679 θεμελίωσε ως λογική συνέχεια της εν λόγω
απόφασης. Η απόφαση του Δικαστηρίου της ΕΕ αποτελεί ένα σημαντικό ορόσημο για
την εξέλιξη του διαδικτύου, καθώς δεν αναδιαμορφώνει απλώς τα δικαιώματα των
χρηστών του, αλλά οδηγεί στην ανάγκη ανασχεδιασμού 211 των πλέον δημοφιλών
υπηρεσιών του212.
Αναμφισβήτητα σημαντικός, είναι και ο ρητός χαρακτηρισμός, από το

Δικαστήριο της ΕΕ, των εργασιών μίας μηχανής αναζήτησης, η οποία προβάλλει
αποτελέσματα αναζήτησης σε απάντηση αιτημάτων από χρήστες για αναζήτηση
πληροφοριών για κάποιο πρόσωπο βάσει του ονόματός του, ως επεξεργασία δεδομένων
προσωπικού χαρακτήρα. Αναλυτικότερα, το Δικαστήριο της ΕΕ υπογράμμισε πως, το
γεγονός ότι ο φορέας εκμετάλλευσης της μηχανής αναζήτησης προβαίνει στις ίδιες
ακριβώς πράξεις επί του συνόλου των αναρτημένων δεδομένων και πληροφοριών στο
διαδίκτυο213, το γεγονός ότι τα δεδομένα είναι ήδη δημοσιευμένα σε αυτό και δεν
τροποποιούνται από τη μηχανή αναζήτησης214 και το γεγονός ότι οι πράξεις επί των
δεδομένων δεν προϋποθέτουν την τροποποίηση τους215, δεν επαρκούν ώστε η φύση των
207
Βλ. σκέψεις 97, 99 και διατακτικό 4 της υπόθεσης C‑131/12.
208
Βλ. άρθρο 12 της Οδηγίας 95/46/ΕΚ.
209
210
211
Βλ. A. Rallo, The right to be forgotten on the Internet: Google v Spain, 2018, σελ. 188.
212
Βλ. Επικαιροποίηση της γνώμης 8/2010 για το εφαρμοστέο δίκαιο υπό το πρίσμα της απόφασης του
ΔΕΕ στην υπόθεση Google Spain, σελ. 8.
213
Βλ. σκέψη 28 της υπόθεσης C‑131/12.
214
215
43
εργασιών μίας μηχανής αναζήτησης να χαρακτηριστεί ως ενδιάμεση παροχή
υπηρεσιών216.
Ιδιαίτερη μνεία πρέπει να γίνει και στο γεγονός ότι με την εν λόγω απόφαση, το
Δικαστήριο της ΕΕ επέκτεινε την έννοια της εδαφικότητας που κατοχυρώνεται στην
Οδηγία 95/46/ΕΚ217, καθώς υπογράμμισε ότι η επεξεργασία δεδομένων προσωπικού
χαρακτήρα από μία μηχανή αναζήτησης, η οποία εκτελείται από εταιρεία εκτός της ΕΕ,
αλλά η οποία διατηρεί υποκατάστημα ή θυγατρική σε κράτος μέλος της ΕΕ, αποτελεί
επεξεργασία που πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της
εγκαταστάσεως αυτής, όταν η τελευταία έχει σκοπό να προωθήσει και να πουλήσει
στους κατοίκους του συγκεκριμένου κράτους μέλους, διαφημιστικό χώρο ο οποίος
συντελεί στην κερδοφορία της μηχανής αναζήτησης218. Αναφορικά με την επέκταση
της έννοιας της εδαφικότητας, η Ομάδα Εργασίας του Άρθρου 29 σημειώνει ότι η
απόφαση του Δικαστηρίου της ΕΕ καθιστά σαφές πλέον, ότι το πεδίο εφαρμογής της
τρέχουσας νομοθεσίας της ΕΕ περιλαμβάνει και την επεξεργασία που διενεργείται από
οντότητες εκτός ΕΕ με «συναφή» εγκατάσταση, οι δραστηριότητες των οποίων στην
ΕΕ είναι «αδιάσπαστα συνδεδεμένες» με οικονομικές αποδόσεις που προήλθαν από
δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα219.
Αναφορικά με την έκταση του δικαιώματος, το Δικαστήριο της ΕΕ έθεσε τα

θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων, πρωταρχικά υπερέχοντα του
οικονομικού συμφέροντος του φορέα εκμετάλλευσης της μηχανής αναζήτησης 220
.
Αναλυτικότερα, το Δικαστήριο της ΕΕ υπογράμμισε ότι οι φορείς εκμετάλλευσης των
μηχανών αναζήτησης, προχωρούν στην επεξεργασία δεδομένων προσωπικού
χαρακτήρα, με αποκλειστικό στόχο το οικονομικό όφελος που πηγάζει από την εν λόγω
δραστηριότητα221. Ως εκ τούτου, οι φορείς εκμετάλλευσης των μηχανών αναζήτησης
δεν μπορούν να στηρίξουν τις δραστηριότητές τους στο θεμελιώδες δικαίωμα της
πληροφόρησης του κοινού222 και επιπρόσθετα δεν μπορούν να ισχυριστούν ότι
αποτελούν ειδησεογραφικό οργανισμό223. Διαπιστώνουμε λοιπόν, ότι το Δικαστήριο
της ΕΕ ορίζει ρητά πως τα δικαιώματα του υποκειμένου των δεδομένων και ιδιαίτερα
216
Βλ. A. Rallo, ό.π., σελ. 191.
217
218
219
Βλ. Επικαιροποίηση γνώμης 8/2010, ό.π., σελ. 9.
220
Βλ. σκέψεις 81, 97, 99 και διατακτικό 4 της υπόθεσης C‑131/12.
221
222
223
44
το δικαίωμά του στην ιδιωτική ζωή, υπερέχουν έναντι των καθαρά εμπορικών και
οικονομικών συμφερόντων των φορέων εκμετάλλευσης των μηχανών αναζήτησης.
Αξιοσημείωτο είναι και το γεγονός ότι, ενώ το Δικαστήριο της ΕΕ αιτιολογεί

μεγάλο μέρος της απόφασης του βασιζόμενο στο δικαίωμα του σεβασμού της ιδιωτικής
και οικογενειακής ζωής224 και στο δικαίωμα της προστασίας των δεδομένων
προσωπικού χαρακτήρα225 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής
Ένωσης226, εντούτοις δεν κάνει ρητή αναφορά στο δικαίωμα της ελευθερίας της
έκφρασης και της πληροφόρησης227. Επιπρόσθετα, στην απόφαση του Δικαστηρίου της
ΕΕ γίνεται αναφορά στην αναζήτηση μίας «δίκαιης εξισορρόπησης» ανάμεσα στο
δικαίωμα του κοινού για πρόσβαση σε πληροφορίες και στα θεμελιώδη δικαιώματα του
υποκειμένου των δεδομένων των άρθρων 7 και 8 του Χάρτη των Θεμελιωδών
Δικαιωμάτων της Ευρωπαϊκής Ένωσης228. Συνεχίζοντας, το Δικαστήριο της ΕΕ τονίζει
ότι ακόμη και στο πλαίσιο της αναζήτησης μίας «δίκαιης εξισορρόπησης», τα
προστατευόμενα δικαιώματα του υποκειμένου των δεδομένων, πρωταρχικά υπερέχουν
έναντι του προαναφερθέντος δικαιώματος των χρηστών του διαδικτύου229. Από τα
ανωτέρω διαπιστώνουμε, ότι εκ μέρους του Δικαστηρίου της ΕΕ αποδίδεται μία κατά
βάση ιδιότυπη προτεραιότητα στα δικαιώματα του υποκειμένου των δεδομένων έναντι
του έννομου συμφέροντος του κοινού για πληροφόρηση.
Ιδιαίτερα σημαντική κρίνεται και η διάκριση του Δικαστηρίου της ΕΕ ανάμεσα

στις μεμονωμένες ιστοσελίδες και στις μηχανές αναζήτησης. Αναλυτικότερα, το
Δικαστήριο της ΕΕ αναγνωρίζει την πιθανότητα, η επεξεργασία από έναν εκδότη μίας
μεμονωμένης ιστοσελίδας να πραγματοποιείται «αποκλειστικώς για δημοσιογραφικούς
σκοπούς», αποκλείοντας ταυτόχρονα το ενδεχόμενο αυτό για τους φορείς
εκμετάλλευσης των μηχανών αναζήτησης230. Βάσει της διάκρισης αυτής, τα
υποκείμενα των δεδομένων δεν υποχρεούνται να ασκήσουν τα δικαιώματά τους προς
τον αρχικό ιστότοπο, όπου περιέχονται τα σχετικά με αυτά δεδομένα προσωπικού
χαρακτήρα, ώστε να μπορούν να τα ασκήσουν κατόπιν και έναντι των μηχανών
224
225
226
Διαθέσιμο: https://www.europarl.europa.eu/charter/pdf/text_el.pdf
227
228
229
230
45
αναζήτησης231. Επιπρόσθετα, το Δικαστήριο της ΕΕ, αναγνωρίζει ότι η δραστηριότητα
των μηχανών αναζήτησης συμπληρώνει τη δραστηριότητα των εκδοτών
ιστοσελίδων232, αλλά υπογραμμίζει ότι η αυτοματοποιημένη, διαρκής και συστηματική
συλλογή, οργάνωση και καθολική διάθεση πληροφοριών από τις μηχανές αναζήτησης,
καθιστά ιδιαίτερα εύκολη την δημιουργία λεπτομερών προφίλ των υποκειμένων των
δεδομένων233. Αντίθετα, θεωρεί ότι αυτό είναι κάτι το οποίο δεν μπορεί να γίνει από
μία μεμονωμένη ιστοσελίδα234. Επιπλέον, τονίζει ότι η δραστηριότητα των μηχανών
αναζήτησης ενισχύει δραματικά235 την καθολική διάδοση των δεδομένων, σε αντίθεση
με την δραστηριότητα των εκδοτών μεμονωμένων ιστοσελίδων236. Κατά την ίδια
λογική, υπογραμμίζει ότι η δημοσίευση δεδομένων σε μία μεμονωμένη ιστοσελίδα, έχει
πολύ μικρότερες συνέπειες για το δικαίωμα του σεβασμού της προσωπικής ζωής και
την προστασία των προσωπικών δεδομένων ενός ατόμου, από την αντίστοιχη
δημοσίευση σε μία μηχανή αναζήτησης 237. Από τα ανωτέρω διαπιστώνουμε, ότι εκ
μέρους του Δικαστηρίου της ΕΕ υπάρχει μία ιδιαίτερη στόχευση του «αγγελιοφόρου»
έναντι της πηγής.
Τέλος, ιδιαίτερη αναφορά αξίζει να γίνει και στο γεγονός ότι, με την εν λόγω
απόφαση το Δικαστήριο της ΕΕ τόνισε πως ακόμη και η αρχικά σύννομη επεξεργασία
μη ανακριβών δεδομένων προσωπικού χαρακτήρα δύναται, κατά τη διάρκεια του
χρόνου, να καταστεί ασυμβίβαστη με την Οδηγία 95/46/EK, όταν τα εν λόγω δεδομένα
πάψουν πλέον να είναι αναγκαία για τους σκοπούς για τους οποίους συνελέγησαν ή
υποβλήθηκαν σε επεξεργασία238. Επιπρόσθετα, το Δικαστήριο της ΕΕ σημειώνει ότι οι
φορείς εκμετάλλευσης των μηχανών αναζήτησης οφείλουν να προχωρούν στη
διαγραφή των συνδέσμων από τον κατάλογο των αποτελεσμάτων, ο οποίος προκύπτει
κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο του υποκειμένου
των δεδομένων, όταν τα δεδομένα που περιέχονται σε αυτούς καθίστανται ακατάλληλα,
µη συναφή ή υπερβολικά σε σχέση µε τον σκοπό της αρχικής επεξεργασίας τους ή σε
σχέση με το χρόνο που έχει παρέλθει από αυτήν239. Από τα ανωτέρω διαπιστώνουμε,
231
Βλ. Φ. Παναγοπούλου, ό.π., σελ. 716.
232
233
Βλ. σκέψεις 37 και 80 της υπόθεσης C‑131/12.
234
235
236
237
238
239
46
ότι το Δικαστήριο της ΕΕ αποδίδει ιδιαίτερη βαρύτητα στον παράγοντα του χρόνου,
καθώς τονίζει ότι η ποιότητα των δεδομένων προσωπικού χαρακτήρα επηρεάζεται από
την παρέλευσή του240, με αποτέλεσμα να κρίνεται θεμιτή η διαγραφή αυτών, χωρίς
επιπρόσθετη αιτίαση241.
7.4 Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του Άρθρου 29
Η Ομάδα Εργασίας του Άρθρου 29 συστάθηκε με την Οδηγία 95/46/ΕΚ242 και

αποτελούσε την ανεξάρτητη ευρωπαϊκή ομάδα εργασίας που χειριζόταν θέματα σχετικά
με την προστασία των δεδομένων προσωπικού χαρακτήρα. Στις 25 Μαΐου 2018,
ημερομηνία έναρξη ισχύος του Κανονισμού (ΕΕ) 2016/679, αντικαταστάθηκε από το
Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων243. Η Ομάδα Εργασίας του Άρθρου 29
είχε συμβουλευτικό χαρακτήρα ως προς την Ευρωπαϊκή Επιτροπή, όντας ανεξάρτητη
από αυτήν244. Απαρτιζόταν από έναν εκπρόσωπο των Αρχών Προστασίας Δεδομένων
κάθε κράτους μέλους245, εξέταζε θέματα ιδιαίτερης βαρύτητας ή θέματα που
παρουσίαζαν ειδικότερο ενδιαφέρον σχετικά με την προστασία των δεδομένων
προσωπικού χαρακτήρα και εξέδιδε γνωμοδοτήσεις καθώς και κατευθυντήριες
οδηγίες246.
Αναφορικά με την απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Google

Spain κατά Costeja Gonzalez, η Ομάδα Εργασίας του Άρθρου 29 διαμόρφωσε, στις
Κατευθυντήριες Γραμμές που εξέδωσε για την εφαρμογή της εν λόγω απόφασης 247, ένα
προτεινόμενο ευέλικτο πλαίσιο για την επίτευξη της «δίκαιης εξισορρόπησης» ανάμεσα
στο δικαίωμα του κοινού για πρόσβαση σε πληροφορίες και στα θεμελιώδη δικαιώματα
του υποκειμένου των δεδομένων των άρθρων 7248 και 8249 του Χάρτη των Θεμελιωδών
Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
240
241
242
243
244
245
246
247
Διαθέσιμο: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=667236
248
Δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής.
249
Δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.
47
Στις ανωτέρω Κατευθυντήριες Γραμμές, η Ομάδα Εργασίας του Άρθρου 29
κατέγραψε ένα κατάλογο κοινών κριτηρίων αξιολόγησης250, για τον χειρισμό των
προσφυγών των υποκειμένων των δεδομένων από τις Αρχές Προστασίας Δεδομένων
των κρατών μελών, σε περίπτωση που οι φορείς εκμετάλλευσης των μηχανών
αναζήτησης απορρίψουν αξιώσεις διαγραφής συνδέσμων, προς ιστότοπους τρίτων, από
τον κατάλογο αποτελεσμάτων, ο οποίος εμφανίζεται κατόπιν αναζήτησης που έχει
διενεργηθεί με βάση το ονοματεπώνυμο των υποκειμένων των δεδομένων251.
Σημειώνουμε ότι, ο κατάλογος αυτός των κοινών κριτηρίων αξιολόγησης δεν είναι
εξαντλητικός. Αντιθέτως, η Ομάδα Εργασίας του Άρθρου 29, υπογραμμίζει πως
αποτελεί ένα ευέλικτο πλαίσιο μέσα στο το οποίο οι Αρχές Προστασίας Δεδομένων των
κρατών μελών μπορούν να κινηθούν κατά τη διαδικασία λήψης αποφάσεων, αλλά και
το οποίο μπορούν από κοινού να ενισχύσουν και να εμπλουτίσουν αξιοποιώντας την
εμπειρία που θα αποκομίσουν με την πάροδο του χρόνου252. Τα κοινά κριτήρια
αξιολόγησης που κατέγραψε η Ομάδα Εργασίας του Άρθρου 29 είναι, υπό μορφή
ερωτήσεων, τα εξής253:
• Αφορά το αποτέλεσμα της αναζήτησης φυσικό πρόσωπο;
• Εμφανίζεται το αποτέλεσμα της αναζήτησης βάσει του ονοματεπώνυμου του

υποκειμένου των δεδομένων;
• Το επηρεαζόμενο φυσικό πρόσωπο διαδραματίζει κάποιο ρόλο στην

δημόσια ζωή;
• Είναι το υποκείμενο των δεδομένων δημόσιο πρόσωπο;
• Είναι το επηρεαζόμενο φυσικό πρόσωπο ανήλικος;
• Τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή;
• Είναι τα δεδομένα προσωπικού χαρακτήρα συναφή κι όχι περισσότερα από

όσα χρειάζονται;
o Αφορούν τα δεδομένα προσωπικού χαρακτήρα την

επαγγελματική ζωή του υποκειμένου των δεδομένων;
250
Βλ. Κατευθυντήριες γραμμές σχετικά με την εφαρμογή της απόφασης του Δικαστηρίου της ΕΕ στην
υπόθεση C-131/12, «Google Spain SL και Google Inc. κατά Agencia Española de Protección de Datos
(AEPD) και Mario Costeja González», σελ. 16.
251
Βλ. ό.π., σελ. 15.
252
Βλ. ό.π., σελ. 15.
253
Βλ. ό.π., σελ. 17 έως 25.
48
o Συνδέεται το αποτέλεσμα της αναζήτησης με πληροφορίες που
φέρεται να συνιστούν ρητορική μίσους/συκοφαντική δυσφήμηση
ή ανάλογα αδικήματα στον τομέα της εκφράσεως κατά του
καταγγέλλοντος;
o Τα δεδομένα προσωπικού χαρακτήρα αντικατοπτρίζουν

προσωπική γνώμη ή φαίνεται να είναι επιβεβαιωμένο γεγονός;
• Αποτελούν τα δεδομένα, ευαίσθητα δεδομένα προσωπικού χαρακτήρα;
• Τα δεδομένα προσωπικού χαρακτήρα είναι επικαιροποιημένα;
• Τα δεδομένα προσωπικού χαρακτήρα διατίθενται για χρονικό διάστημα

μεγαλύτερο από όσο απαιτείται για τον επιδιωκόμενο σκοπό;
• Η δημοσιοποίηση των δεδομένων προσωπικού χαρακτήρα επιφέρει

δυσανάλογες αρνητικές επιπτώσεις για την ιδιωτική ζωή του υποκειμένου
των δεδομένων;
• Το αποτέλεσμα της αναζήτησης συνδέεται με πληροφορίες που θέτουν το

υποκείμενο των δεδομένων σε κίνδυνο;
• Ποιο είναι το πλαίσιο μέσα στο οποίο δημοσιεύτηκαν τα δεδομένα;
o Δημοσιοποιήθηκαν τα δεδομένα αυτά εκουσίως από το

υποκείμενο των δεδομένων;
o Θα μπορούσε να υπάρξει εύλογη προσδοκία από το υποκείμενο

ότι τα δεδομένα θα δημοσιοποιηθούν;
• Το αρχικό κείμενο έχει δημοσιευθεί στο πλαίσιο δημοσιογραφικών σκοπών;
• Έχει ο εκδότης των δεδομένων το δικαίωμα ή την υποχρέωση να καθιστά τα

δεδομένα διαθέσιμα στο κοινό;
• Αφορούν τα δεδομένα ποινικό αδίκημα;
Ιδιαίτερη μνεία πρέπει να γίνει και στο γεγονός ότι, ενώ η απόφαση του
Δικαστηρίου της ΕΕ αναφέρεται αποκλειστικά στις μηχανές αναζήτησης, εντούτοις στις
εν λόγω Κατευθυντήριες Γραμμές, η Ομάδα Εργασίας του Άρθρου 29 δεν αποκλείει
την επέκτασή της και σε άλλους ενδιάμεσους φορείς254. Επιπλέον, τονίζει ότι κανένα
254
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 10.
49
από τα ανωτέρω κριτήρια δεν έχει αυτό καθαυτό καθοριστικό χαρακτήρα και συνεπώς
για τη λήψη μίας απόφασης πρέπει να ληφθούν υπόψη περισσότερα του ενός 255.
Επιπρόσθετα, υπογραμμίζει ότι κατά την αξιολόγηση των αιτημάτων των υποκειμένων
των δεδομένων, το θεμελιώδες δικαίωμα των ατόμων στην ελευθερία της έκφρασης και
στην πρόσβαση σε πληροφορίες, θα πρέπει να λαμβάνεται σοβαρά υπόψη256. Τέλος,
ιδιαίτερη αναφορά αξίζει να γίνει και στο γεγονός ότι, η Ομάδα Εργασίας του Άρθρου
29 εκτιμά πως ο αντίκτυπος της διαγραφής συνδέσμων από τον κατάλογο των
αποτελεσμάτων των μηχανών αναζήτησης, στα δικαιώματα των ατόμων στην
ελευθερία της έκφρασης και στην πρόσβαση σε πληροφορίες, θα είναι αρκετά
περιορισμένος257.
7.5 Αποφάσεις ΑΠΔΠΧ
Στην περίπτωση της απόφασης υπό αριθμό 82/2016258, το αίτημα του

προσφεύγοντα αφορούσε την άρνηση διαγραφής από την Google Inc., έπειτα από εφτά
διαφορετικά αιτήματά του, δεκαοχτώ συνδέσμων που εμφανίζονταν στα αποτελέσματα
αναζήτησης µε βάση το ονοματεπώνυμό του. Αναλυτικότερα, ορισμένοι σύνδεσμοι
οδηγούσαν σε αναρτήσεις που συσχέτιζαν τον προσφεύγοντα µε σκάνδαλα και
φαινόμενα διαφθοράς, κακοδιαχείρισης και διασπάθισης του δημοσίου χρήματος, κατά
τη διάρκεια της θητείας του ως Διευθύνων Σύμβουλος της Ελληνικής Αεροπορικής
Βιομηχανίας, ενώ κάποιο άλλοι σύνδεσμοι οδηγούσαν σε αναρτήσεις που αφορούσαν
την συμμετοχή του προσφεύγοντα στη Στοά της Ρώμης. Ο προσφεύγων υποστήριξε ότι
τα δημοσιεύματα ήταν αναληθή ή ανακριβή και ότι έθιγαν την προσωπικότητά του και
το τεκμήριο αθωότητάς του.
Η Google Inc. έκανε δεκτό το αίτημα διαγραφής των συνδέσμων για τις
αναρτήσεις που αφορούσαν την συμμετοχή του προσφεύγοντα στη Στοά της Ρώμης.
Αντίθετα, απέρριψε το αίτημα διαγραφής για τις αναρτήσεις που συσχέτιζαν τον
προσφεύγοντα µε σκάνδαλα και φαινόμενα διαφθοράς, κακοδιαχείρισης και
διασπάθισης του δημοσίου χρήματος κατά τη διάρκεια της θητείας του, θεωρώντας ότι
οι επίμαχες δημοσιεύσεις αφορούσαν ζητήματα μεγάλου ενδιαφέροντος για την κοινή
γνώμη, τα οποία μάλιστα άπτονταν της επαγγελματικής συμπεριφοράς του και ότι οι
πληροφορίες ήταν σχετικές και επίκαιρες.
255
256
Βλ. ό.π., σελ. 15.
257
258
Διαθέσιμο: https://www.dpa.gr/portal/page?_pageid=33,15453&_dad=portal&_schema=PORTAL
50
H Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υπογράμμισε, ότι η
δυσφήμηση συνδέεται µε το κύρος και τη φήμη ενός ατόμου και όχι µε το δικαίωμά του
στην ιδιωτική ζωή, ότι δεν υπάρχει σχετική δικαστική απόφαση που να χαρακτηρίζει το
περιεχόμενο των δημοσιευμάτων ως αναληθές ή ανακριβές ή πλαστό και ότι ο
προσφεύγων αποτελεί πρόσωπο µε σημαντικό ρόλο στη δημόσια ζωή. Ως λογική
συνέχεια των εν λόγω επισημάνσεων, έκρινε ότι η αρνητική απάντηση που δόθηκε από
την Google Inc., στο αίτημά του περί κατάργησης των συνδέσμων που τον συσχέτιζαν
µε σκάνδαλα και φαινόμενα διαφθοράς, κακοδιαχείρισης και διασπάθισης του
δημοσίου χρήματος, είναι νόμιμα αιτιολογημένη.
Στην περίπτωση της απόφασης υπό αριθμό 83/2016259, το αίτημα του

προσφεύγοντα αφορούσε την άρνηση διαγραφής από την Google Inc., έπειτα από
αίτημά του, ενός συνδέσμου που εμφανίζονταν στα αποτελέσματα αναζήτησης µε βάση
το ονοματεπώνυμό του. Ο εν λόγω σύνδεσμος οδηγούσε σε ανάρτηση που αφορούσε
την ποινική του καταδίκη για το έγκλημα της απόπειρας μεσολάβησης σε παράνομη
υιοθεσία ανηλίκου και την επιβληθείσα πρωτοδίκως ποινή κάθειρξης έξι ετών με
αναστολή και αφαίρεσης διπλώματος για ένα χρόνο. Ο προσφεύγων υποστήριξε, ότι τα
δημοσιεύματα αφορούσαν ευαίσθητα προσωπικά του δεδομένα, ότι ήταν αναληθή, ότι
δεν ήταν πλέον επίκαιρα και ότι είναι αδύνατη η επικοινωνία με τον διαχειριστή της
ιστοσελίδας.
Η Google Inc. απάντησε αρνητικά στο αίτημα για την κατάργηση του
συνδέσμου που οδηγούσε στην επίμαχη ανάρτηση, θεωρώντας ότι υπερείχε το
ενδιαφέρον της κοινής γνώμης σε σύγκριση με την επαγγελματική ζωή του
προσφεύγοντος. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με
επιστολή της προς την Google Inc., διαβίβασε δικαστική απόφαση με την οποία σε
δεύτερο βαθμό μεταβαλλόταν η πρωτόδικη απόφαση και παράλληλα υπογράμμιζε ότι η
επίμαχη ιστοσελίδα έχει προ πολλού καταστεί ανενεργή, καθιστώντας αδύνατη την
επικοινωνία με τον διαχειριστή της. Η Google Inc., στην απάντησή της, ενέμεινε στην
αρχική απόφαση της μη διαγραφής του συνδέσμου, λαμβάνοντας υπόψη την πρόσφατη
ηλικία των δεδομένων, το επάγγελμα του προσφεύγοντος ως ιατρού και τη σοβαρότητα
του εγκλήματος για το οποίο καταδικάστηκε.
H Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υπογράμμισε ότι η

επίμαχη δημοσίευση έχει πλέον καταστεί ανακριβής, καθώς η πρωτόδικη
259
51
καταδικαστική απόφαση ακυρώθηκε με την απόφαση του Εφετείου και ότι η
επικοινωνία με τον διαχειριστή της ιστοσελίδας είναι αδύνατη, ώστε να ζητηθεί η
διαγραφή ή τροποποίησή της. Ως λογική συνέχεια των εν λόγω επισημάνσεων,
αξιολόγησε υπέρτερη τη βλάβη που υφίσταται το υποκείμενο των δεδομένων και έκρινε
ότι η αρνητική απάντηση που δόθηκε από την Google Inc. δεν είναι νόμιμα
αιτιολογημένη.
Στην περίπτωση της απόφασης υπό αριθμό 84/2016260 το αίτημα της

προσφεύγουσας αφορούσε την άρνηση διαγραφής από την Google Inc., έπειτα από
αίτημά της, τεσσάρων συνδέσμων που εμφανίζονταν στα αποτελέσματα αναζήτησης µε
βάση το ονοματεπώνυμο της. Οι εν λόγω σύνδεσμοι συσχέτιζαν το πρόσωπό της,
χρησιμοποιώντας το ονοματεπώνυμο της ως τίτλο-επιγραφή, µε αναρτήσεις
πορνογραφικού περιεχομένου σε πορνογραφικές ιστοσελίδες. Η προσφεύγουσα
υποστήριξε, ότι οι επίμαχες αναρτήσεις ήταν άσχετες προς αυτήν, ότι έθιγαν την
προσωπικότητά της και ότι είχε προβεί σε σχετική καταγγελία αυτών ενώπιων των
διωκτικών αρχών.
Αρχικά, η Google Inc. απάντησε αρνητικά στο αίτημα για την κατάργηση των
συνδέσμων που οδηγούσαν στις επίμαχες ιστοσελίδες, θεωρώντας ότι οι επίμαχες
αναρτήσεις αφορούσαν διαφορετικό πρόσωπο και όχι την προσφεύγουσα και ότι κατά
συνέπεια δεν προκύπτει παραβίαση των δικαιωμάτων της. Η Αρχή Προστασίας
Δεδομένων Προσωπικού Χαρακτήρα, με επιστολή της προς την Google Inc., διαβίβασε
την υπό κρίση προσφυγή και παράλληλα ζήτησε από την Google Inc. να τεκμηριώσει
με ακρίβεια τον τρόπο με τον οποίο κατέληξε στο συμπέρασμα ότι οι επίμαχες
αναρτήσεις αφορούν σε διαφορετικό πρόσωπο και όχι στην προσφεύγουσα. Η Google
Inc., στην απάντησή της, αναθεώρησε τη θέση της και έκανε δεκτό το αίτημα
διαγραφής των συνδέσμων, καθιστώντας την προσφυγή άνευ αντικειμένου.
Σχετικά με τους επιπρόσθετους συνδέσμους αντίστοιχου περιεχομένου που

υπέδειξε η προσφεύγουσα, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
επεσήμανε ότι πρέπει πρώτα να υποβληθεί νέα αίτηση διαγραφής στην Google Inc. µε
αναφορά στους συγκεκριμένους συνδέσμους και ανάλογη ειδική αιτιολόγηση του
αιτήματος, για να μπορεί να υποβληθεί παραδεκτώς προσφυγή στην Αρχή Προστασίας
Δεδομένων Προσωπικού Χαρακτήρα επί αρνητικής τυχόν απάντησης της εταιρείας.
260
52
Στην περίπτωση της απόφασης υπό αριθμό 25/2019261 το αίτημα του
προσφεύγοντα αφορούσε την άρνηση διαγραφής από την Google Inc., έπειτα από μία
σειρά αιτημάτων του, πληθώρας συνδέσμων που εμφανίζονταν στα αποτελέσματα
αναζήτησης µε βάση το ονοματεπώνυμό του. Οι εν λόγω σύνδεσμοι, παρέπεμπαν
αρχικά σε δημοσιεύσεις εφημερίδων και στην συνέχεια σε πληθώρα ιστοσελίδων, όπου
οι ίδιες πληροφορίες εμφανίζονταν αυτούσιες ή με μικρές παραλλαγές. Ο προσφεύγων
υποστήριξε πως τα δημοσιεύματα ήταν αναληθή και συκοφαντικά, ότι έθιγαν την
υπόληψη και την αξιοπιστία του και ότι δεν ήταν πλέον επίκαιρα.
Η Google Inc. απάντησε αρνητικά στο αίτημα για την κατάργηση των
συνδέσμων που οδηγούσαν στις επίμαχες αναρτήσεις θεωρώντας, μεταξύ άλλων, ότι η
επαγγελματική δραστηριότητα του προσφεύγοντος διαδραμάτιζε σημαντικό ρόλο στον
δημόσιο βίο.
H Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υπογράμμισε ότι ο

προσφεύγων δεν είναι δημόσιο πρόσωπο, αλλά πρόσωπο που έχει κάποιο ρόλο στη
δημόσια ζωή λόγω της επαγγελματικής του δραστηριότητας και ότι κάποιες εκ των
πληροφοριών που εμπεριέχονταν στις επίμαχες ιστοσελίδες ήταν ανακριβείς, με
συνέπεια να παρεμβαίνουν σημαντικά στο δικαίωμα του στην ιδιωτική ζωή. Ως λογική
συνέχεια των εν λόγω επισημάνσεων, έκρινε ότι η αρνητική απάντηση που δόθηκε από
την Google Inc., δεν είναι νόμιμα αιτιολογημένη για ορισμένες περιπτώσεις
συνδέσμων.
Από τις τέσσερις ανωτέρω αποφάσεις διαπιστώνουμε, ότι η Αρχή Προστασίας

Δεδομένων Προσωπικού Χαρακτήρα αναγνωρίζει, υπό προϋποθέσεις, το δικαίωμα
διαγραφής συνδέσμων, προς ιστότοπους τρίτων, από τον κατάλογο αποτελεσμάτων, ο
οποίος εμφανίζεται κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το
ονοματεπώνυμο ενός φυσικού προσώπου, προκειμένου να προστατευθούν τα
δικαιώματά του262.
Επιπρόσθετα, διαπιστώνουμε ότι είναι έκδηλη η προσπάθεια της Αρχή

Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, να αναζητεί μία δίκαιη στάθμιση
ανάμεσα στην ιδιωτική ζωή του υποκειμένου των δεδομένων και στο συμφέρον του
κοινωνικού συνόλου να αποκτήσει πρόσβαση στην πληροφορία, ως λογική συνέχεια
της απόφασης του Δικαστηρίου της ΕΕ στην υπόθεση Google Spain κατά Costeja
261
262
53
Gonzalez και των Κατευθυντήριων Γραμμών που εξέδωσε η Ομάδα Εργασίας του
Άρθρου 29 για την εφαρμογή της εν λόγω απόφασης.
7.6 Κατευθυντήριες Γραμμές του ΕΣΠΔ
Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων συστάθηκε με τον

Κανονισμό (ΕΕ) 2016/679263. Αποτελεί το ανεξάρτητο ευρωπαϊκό όργανο, που έχει ως
στόχο να διασφαλίσει τη συνεκτική εφαρμογή της ενωσιακής νομοθεσίας για την
προστασία των δεδομένων προσωπικού χαρακτήρα στις χώρες της ΕΕ264, καθώς και
στη Νορβηγία, το Λιχτενστάιν και την Ισλανδία 265. Το Ευρωπαϊκό Συμβούλιο
Προστασίας Δεδομένων έχει συμβουλευτικό χαρακτήρα ως προς την Ευρωπαϊκή
Επιτροπή, όντας ανεξάρτητο από αυτήν266. Απαρτίζεται από τον Ευρωπαίο Επόπτη
Προστασίας Δεδομένων και από έναν εκπρόσωπο των Αρχών Προστασίας Δεδομένων
κάθε κράτους μέλους 267
. Εξετάζει θέματα ιδιαίτερης βαρύτητας ή θέματα που
παρουσιάζουν ειδικότερο ενδιαφέρον σχετικά με την προστασία των δεδομένων
προσωπικού χαρακτήρα και εκδίδει κατευθυντήριες γραμμές, συστάσεις και βέλτιστες
πρακτικές268.
Αναφορικά με την απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Google

Spain κατά Costeja Gonzalez, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων
κατέγραψε, στις Κατευθυντήριες Γραμμές που εξέδωσε στις 7 Ιουλίου 2020269, μία
λίστα κριτηρίων, βάσει των οποίων το υποκείμενο των δεδομένων δύναται να αξιώσει
τη διαγραφή συνδέσμων, προς ιστότοπους τρίτων, από έναν κατάλογο αποτελεσμάτων,
ο οποίος εμφανίζεται κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το
ονοματεπώνυμό του. Επιπρόσθετα, κατέγραψε και μία λίστα κριτηρίων, βάσει των
οποίων οι φορείς εκμετάλλευσης των μηχανών αναζήτησης μπορούν να απορρίψουν τις
αξιώσεις διαγραφής συνδέσμων των υποκείμενων των δεδομένων. Στόχος του
Ευρωπαϊκού Συμβούλιου Προστασίας Δεδομένων, με τις εν λόγω Κατευθυντήριες
Γραμμές, είναι να ερμηνεύει και να εξειδικεύσει το πλαίσιο εφαρμογής του
263
Βλ. παράγραφο 1, άρθρο 68 του Κανονισμού (ΕΕ) 2016/679.
264
265
Διαθέσιμο: https://europa.eu/european-union/about-eu/institutions-bodies/european-data-
protection-board_el
266
267
268
269
Διαθέσιμο:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterp
ublicconsultation_en.pdf
54
δικαιώματος στη λήθη, αναφορικά με τις μηχανές αναζήτησης. Σύμφωνα με το
Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, οι λόγοι βάσει των οποίων το
υποκείμενο των δεδομένων δύναται να αξιώσει τη διαγραφή συνδέσμων είναι οι
εξής270:
• Τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση

με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ' άλλο
τρόπο σε επεξεργασία271.
• Το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση στην οποία

βασίζεται η επεξεργασία272.
• Το υποκείμενο των δεδομένων ασκεί το δικαίωμα της εναντίωσης273.
• Τα δεδομένα προσωπικού χαρακτήρα έχουν υποστεί επεξεργασία

παράνομα274.
• Τα δεδομένα προσωπικού χαρακτήρα πρέπει να διαγραφούν, ώστε να

τηρηθεί νομική υποχρέωση στην οποία υπόκειται ο υπεύθυνος
επεξεργασίας275.
• Τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί σε σχέση με την

προσφορά υπηρεσιών της κοινωνίας των πληροφοριών σε ανήλικο 276.
Όσον αφορά τον χειρισμό των προσφυγών των υποκειμένων των δεδομένων
από τις Αρχές Προστασίας Δεδομένων των κρατών μελών, σε περίπτωση που οι φορείς
εκμετάλλευσης των μηχανών αναζήτησης απορρίψουν αξιώσεις διαγραφής συνδέσμων,
το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων τονίζει ότι οι Αρχές Προστασίας
Δεδομένων, θα πρέπει να λάβουν υπόψη τη φύση του περιεχομένου του αρχικού
ιστοτόπου, προκειμένου να καθορίσουν εάν ο αντίστοιχος σύνδεσμος πρέπει να
καταργηθεί ή όχι277.
270
Βλ. Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under
the GDPR, σελ. 6.
271
272
273
Βλ. στοιχείο γ, παράγραφος 1, άρθρο 17 και άρθρα 21, 22 (ΕΕ) του Κανονισμού 2016/679.
274
275
276
Βλ. στοιχείο στ, παράγραφος 1, άρθρο 17 και παράγραφος 1, άρθρο 8 του Κανονισμού (ΕΕ)
2016/679.
277
Βλ. Guidelines 5/2019, ό.π., σελ. 6, παράγραφος 17.
55
Ιδιαίτερη μνεία πρέπει να γίνει στο γεγονός ότι, ενώ θεωρητικά το υποκείμενο
των δεδομένων δύναται να υποβάλλει ένα αίτημα διαγραφής με την αιτιολογία της
ανάκλησης της συγκατάθεσης προς τον φορέα εκμετάλλευσης της μηχανής
αναζήτησης, εντούτοις στις εν λόγω Κατευθυντήριες Γραμμές, το Ευρωπαϊκό
Συμβούλιο Προστασίας Δεδομένων επισημαίνει ότι το γεγονός αυτό εμφανίζει μικρές
πιθανότητες να συμβεί, καθώς σε αυτή την περίπτωση ο υπεύθυνος επεξεργασίας στον
οποίο έχει παράσχει το υποκείμενο των δεδομένων την συγκατάθεσή του είναι ο
αρχικός εκδότης της ιστοσελίδας και όχι ο φορέας εκμετάλλευσης της μηχανής
αναζήτησης278. Επιπλέον, τονίζει ότι σε περίπτωση που το υποκείμενο των δεδομένων
αποσύρει τη συγκατάθεσή του για τη χρήση των δεδομένων του από μία συγκεκριμένη
ιστοσελίδα, ο αρχικός εκδότης αυτής οφείλει να ενημερώσει ανάλογα τους φορείς
εκμεταλλεύσεις των μηχανών αναζήτησης, ώστε να ικανοποιηθεί το αίτημα διαγραφής
βάσει πλέον του δικαιώματος της εναντίωσης279.
Αναμφισβήτητα σημαντικές, είναι και οι διευκρινήσεις που παρέχει το

Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, αναφορικά με τη διαγραφή των
συνδέσμων βάσει του δικαιώματος της εναντίωσης. Αναλυτικότερα, το Ευρωπαϊκό
Συμβούλιο Προστασίας Δεδομένων υπενθυμίζει ότι, ενώ σύμφωνα με την Οδηγία
95/46/ΕΚ το υποκείμενο των δεδομένων έχει το δικαίωμα να αντιτάσσεται ανά πάσα
στιγμή, για επιτακτικούς και νόμιμους λόγους σχετικούς με την προσωπική του
κατάσταση, στην επεξεργασία των δεδομένων που το αφορούν280, εντούτοις σύμφωνα
με τον Κανονισμό (ΕΕ) 2016/679 έχει το δικαίωμα να αντιτάσσεται, ανά πάσα στιγμή
και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία
δεδομένων προσωπικού χαρακτήρα που το αφορούν281. Βάσει της μεταβολής που
πραγματοποιήθηκε στην διατύπωση του δικαιώματος της εναντίωσης, υπογραμμίζει ότι
παρέχονται ισχυρότερες πλέον διασφαλίσεις στο υποκείμενο των δεδομένων282,
διευρύνοντας τους λόγους για τους οποίους δύναται να αξιώσει τη διαγραφή
συνδέσμων283, για παράδειγμα όταν τα αποτελέσματα της αναζήτησης υπονομεύουν
την φήμη του, ενώ ταυτόχρονα επιβάλλει στον υπεύθυνο επεξεργασίας την υποχρέωση
να καταδεικνύει επιτακτικούς και νόμιμους λόγους, προκειμένου να στοιχειοθετηθεί η
278
279
Βλ. ό.π., σελ. 7, παράγραφος 25.
280
281
282
283
56
απόρριψη ενός αιτήματος διαγραφής συνδέσμων284. Ως λογική συνέχεια των ανωτέρω
επισημάνσεων, ορίζει ότι κατά τον χειρισμό των προσφυγών των υποκειμένων των
δεδομένων από τις Αρχές Προστασίας Δεδομένων, θα πρέπει κάθε φορά πλέον να
αναζητείται μία δίκαιη στάθμιση ανάμεσα στην ιδιαίτερη κατάστασή του υποκειμένου
των δεδομένων και στους επιτακτικούς και νόμιμους λόγους των φορέων
εκμετάλλευσης των μηχανών αναζήτησης285, βάσει των κριτηρίων αξιολόγησης που
κατέγραψε η Ομάδα Εργασίας του Άρθρου 29 στις Κατευθυντήριες Γραμμές που
εξέδωσε για την εφαρμογή της απόφασης του Δικαστηρίου της ΕΕ στην υπόθεση
Google Spain κατά Costeja Gonzalez286.
Παρακάτω, όσον αφόρα την περίπτωση που ένα υποκείμενο των δεδομένων
υποβάλλει ένα αίτημα διαγραφής συνδέσμων με την αιτιολογία ότι τα δεδομένα
προσωπικού χαρακτήρα που το αφορούν έχουν συλλεχθεί σε σχέση με την προσφορά
υπηρεσιών της κοινωνίας των πληροφοριών σε ανήλικο, το Ευρωπαϊκό Συμβούλιο
Προστασίας Δεδομένων διευκρινίζει ότι η παιδική ηλικία αποτελεί ιδιαίτερη
κατάστασή του υποκειμένου των δεδομένων287, υπενθυμίζει ότι ο Κανονισμός (ΕΕ)
2016/679 παρέχει ιδιαίτερη προστασία στα παιδιά288 και ως λογική συνέχεια αυτών των
επισημάνσεων, ορίζει ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης οφείλουν
σε κάθε περίπτωση να κάνουν δεκτά τα εν λόγω αιτήματα διαγραφής 289.
Σύμφωνα με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, οι φορείς

εκμετάλλευσης των μηχανών αναζήτησης μπορούν να απορρίψουν τις αξιώσεις
διαγραφής των υποκείμενων των δεδομένων, όταν η πράξη της επεξεργασίας
δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για290:
• Την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος
στην ενημέρωση291.
• Την τήρηση νομικής υποχρέωσης στην οποία υπόκειται ο υπεύθυνος

επεξεργασίας292.
284
285
286
287
288
289
290
291
292
57
• Λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας 293.
• Σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, σκοπούς επιστημονικής

ή ιστορικής έρευνας ή για στατιστικούς σκοπούς294.
• Τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων295.
Αρχικά, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων υπενθυμίζει ότι η

αυτοματοποιημένη, διαρκής και συστηματική συλλογή, οργάνωση και καθολική
διάθεση πληροφοριών από τις μηχανές αναζήτησης, θίγει σε σημαντικό βαθμό το
δικαίωμα του υποκειμένου των δεδομένων στην προστασία της ιδιωτικής και
οικογενειακής ζωής καθώς και το δικαίωμά του στη προστασία των δεδομένων
προσωπικού χαρακτήρα296. Ακολούθως, σημειώνει ότι, ενώ τα δικαιώματα του
υποκειμένου των δεδομένων πρωταρχικά υπερέχουν έναντι του έννομου συμφέροντος
του κοινού για πληροφόρηση297 και ότι ενώ οι φορείς εκμετάλλευσης των μηχανών
αναζήτησης δεν μπορούν να ισχυριστούν ότι αποτελούν ειδησεογραφικό οργανισμό298,
εντούτοις το δικαίωμα του υποκειμένου των δεδομένων στη διαγραφή των συνδέσμων
δεν είναι απόλυτο299. Ως λογική συνέχεια των εν λόγω επισημάνσεων, υπογραμμίζει ότι
οι φορείς εκμετάλλευσης των μηχανών αναζήτησης μπορούν να αρνηθούν τη διαγραφή
των συνδέσμων, όταν είναι σε θέση να αποδείξουν ότι η συμπερίληψή τους στη λίστα
των αποτελεσμάτων είναι απολύτως απαραίτητη για την προστασία του δικαιώματος
της πληροφόρησης των χρηστών του διαδικτύου300.
Ιδιαίτερη μνεία πρέπει να γίνει στο γεγονός ότι, ενώ θεωρητικά ενδέχεται η
νομοθεσία ενός κράτους μέλους να καθορίζει την υποχρέωση δημοσίευσης αποφάσεων
ή εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα από τους φορείς
εκμετάλλευσης μηχανών αναζήτησης301, εντούτοις στις εν λόγω Κατευθυντήριες
Γραμμές, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων επισημαίνει ότι το γεγονός
αυτό εμφανίζει μικρές πιθανότητες να συμβεί302, καθώς ως επί το πλείστον αυτοί που
παράγουν και δημοσιεύουν πρωτογενείς πληροφορίες είναι οι εκδότες μεμονωμένων
293
Βλ. στοιχείο γ, παράγραφος 3, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
294
295
296
297
298
299
300
301
302
58
ιστοσελίδων και όχι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης 303. Κατά
συνέπεια, υπογραμμίζει ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης δεν
μπορούν, κατά κανόνα, να επικαλεστούν την ύπαρξη νομικής υποχρέωσης, ως βάσιμο
λόγο για την απόρριψη αξιώσεων διαγραφής συνδέσμων 304. Επιπλέον, τονίζει ότι
ακόμη και όταν η δημοσίευση των πληροφοριών από εκδότες μεμονωμένων
ιστοσελίδων είναι από νομικής άποψης δικαιολογημένη, το γεγονός αυτό δεν
συνεπάγεται απαραίτητα και την απόρριψη των αντίστοιχων αξιώσεων διαγραφής
συνδέσμων από τους φορείς εκμετάλλευσης των μηχανών αναζήτησης 305. Αντιθέτως, η
πιθανή νομική υποχρέωση δημοσίευσης αποφάσεων ή εγγράφων που περιέχουν
δεδομένα προσωπικού χαρακτήρα από εκδότες μεμονωμένων ιστοσελίδων, θα πρέπει
να λαμβάνεται υπόψη κατά τον καθορισμό της ζητούμενης ισορροπίας μεταξύ των
δικαιωμάτων των υποκειμένων των δεδομένων και του ενδιαφέροντος των χρηστών του
διαδικτύου να έχουν πρόσβαση στις πληροφορίες306.
Παρακάτω, όσον αφόρα τις περιπτώσεις που οι φορείς εκμετάλλευσης των

μηχανών αναζήτησης απορρίψουν ένα ή περισσότερα αίτημα διαγραφής με την
αιτιολογία ότι η πράξη της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι
απαραίτητη για λόγους σχετικούς με την προστασία της δημόσιας υγείας ή για τη
θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, το Ευρωπαϊκό Συμβούλιο
Προστασίας Δεδομένων τονίζει ότι ακόμη και μετά την διαγραφή των επίμαχων
συνδέσμων, οι επίμαχες πληροφορίες θα εξακολουθούν να παραμένουν προσβάσιμες
μέσω της χρήσης διαφορετικών όρων αναζήτησης 307. Ως λογική συνέχεια της εν λόγω
επισήμανσης, υπογραμμίζει ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης δεν
μπορούν να αρνηθούν τη διαγραφή των συνδέσμων βάσει των ανωτέρω αιτιολογιών308.
Όσον αφορά την περίπτωση που οι φορείς εκμετάλλευσης των μηχανών

αναζήτησης απορρίψουν ένα ή περισσότερα αίτημα διαγραφής με την αιτιολογία ότι η
πράξη της επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι απαραίτητη για
σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή για σκοπούς επιστημονικής και
ιστορικής έρευνας ή για στατιστικούς σκοπούς, το Ευρωπαϊκό Συμβούλιο Προστασίας
Δεδομένων σημειώνει ότι αυτοί οι σκοποί αυτοί είναι τεχνικά δυνατό να επιτευχθούν
303
304
305
306
307
Βλ. ό.π., σελ. 15 και 16, παράγραφοι 76 και 83 αντίστοιχα.
308
Βλ. ό.π., σελ. 15 και 16, παράγραφοι 75 και 82 αντίστοιχα.
59
αντικειμενικά από τους φορείς εκμετάλλευσης των μηχανών αναζήτησης, χωρίς να
απαιτείται η συσχέτιση μεταξύ του ονόματος του υποκειμένου των δεδομένων και των
αποτελεσμάτων αναζήτησης309. Επιπλέον, τονίζει ότι η πιθανότητα η διαγραφή των
συνδέσμων να επηρεάσει σημαντικά την επίτευξη των επιστημονικών ή ιστορικών ή
ερευνητικών ή στατιστικών σκοπών που επιδιώκουν οι χρήστες των μηχανών
αναζήτησης, δεν συνεπάγεται την απόρριψη των αντίστοιχων αξιώσεων διαγραφής
συνδέσμων των υποκειμένων των δεδομένων310. Τέλος, υπογραμμίζει ότι οι φορείς
εκμετάλλευσης των μηχανών αναζήτησης θα πρέπει να είναι σε θέση να αποδείξουν ότι
η κατάργηση των συνδέσμων από την λίστα των αποτελεσμάτων αποτελεί σοβαρό
εμπόδιο ή αποτρέπει παντελώς την επίτευξη των επιστημονικών ή ιστορικών ή
ερευνητικών ή στατιστικών σκοπών311.
7.7 Αντίλογος
Από πρακτική άποψη, η απόφαση του Δικαστηρίου της ΕΕ ερευνά και

αντιμετωπίζει μία μόνο πτυχή312 του δικαιώματος στη διαγραφή, όπως αυτό
θεμελιώθηκε από το άρθρο 17 του Κανονισμού (ΕΕ) 2016/679. Αναλυτικότερα, όπως
έχει αναφερθεί ήδη, ορίζει ρητά ότι τα υποκείμενα των δεδομένων έχουν το δικαίωμα
να ζητούν και υπό προϋποθέσεις να εξασφαλίζουν, τη διαγραφή συνδέσμων προς
ιστοσελίδες που έχουν δημοσιεύσει τρίτοι και οι οποίες περιέχουν πληροφορίες που
συνδέονται με αυτά, από τον κατάλογο των αποτελεσμάτων που εμφανίζονται κατόπιν
αναζήτησης που γίνεται με βάση το ονοματεπώνυμό τους. Με απλούστερα λόγια, το
ανωτέρω δικαίωμα συνίσταται αποκλειστικά και μόνο στην απαλοιφή αποτελεσμάτων
από τις μηχανές αναζήτησης στο διαδίκτυο.
Συμπληρωματικά, η Ομάδα Εργασίας του Άρθρου 29, στις Κατευθυντήριες

Γραμμές που εξέδωσε για την εφαρμογή της εν λόγω απόφασης, διευκρίνισε ότι το
δικαίωμα στη διαγραφή δεν επηρεάζει, κατά κανόνα, τις μηχανές αναζήτησης με
περιορισμένο πεδίο δράσης313, δηλαδή τις μηχανές αναζήτησης που περιλαμβάνονται
σε μεμονωμένες ιστοσελίδες. Αναλυτικότερα, υπογράμμισε ότι η αυτοματοποιημένη,
διαρκής και συστηματική συλλογή, οργάνωση και καθολική διάθεση πληροφοριών από
τις εξωτερικές μηχανές αναζήτησης ή μηχανές γενικής αναζήτησης, καθιστά ιδιαίτερα
309
310
311
312
313
60
εύκολη την δημιουργία λεπτομερών προφίλ των υποκειμένων των δεδομένων.
Αντίθετα, τόνισε ότι η δημιουργία λεπτομερών προφίλ των υποκειμένων των
δεδομένων, δεν μπορεί να επιτευχτεί ακόμη και με την συνδυαστική αξιοποίηση ενός
ικανού αριθμού εσωτερικών μηχανών αναζήτησης μεμονωμένων ιστοσελίδων.
Επιπρόσθετα, θα πρέπει να σημειώσουμε ότι η απόφαση του Δικαστηρίου της

ΕΕ δεν επιβάλλει περιορισμούς στους εκδότες των μεμονωμένων ιστοσελίδων, αλλά
μόνο στους φορείς εκμετάλλευσης των μηχανών αναζήτησης 314
και σε καμία
περίπτωση δεν υπονοεί ότι απαιτείται η πλήρης διαγραφή μεμονωμένων ιστοσελίδων
από τα ευρετήρια των τελευταίων315. Υπό αυτήν την έννοια, ακόμη και μετά την
διαγραφή των συνδέσμων προς ιστοσελίδες που έχουν δημοσιεύσει τρίτοι από τα
αποτελέσματα των μηχανών αναζήτησης, οι μεμονωμένες ιστοσελίδες θα
εξακολουθούν να είναι προσβάσιμες εάν λάβει χώρα αναζήτηση με την χρήση άλλων
όρων316, όπως για παράδειγμα η ημερομηνία έκδοσης μίας εφημερίδας.
Το δικαίωμα στη λήθη όπως διαμορφώθηκε, στοιχειοθετήθηκε και τελικά

αναγνωρίστηκε μέσα από την απόφαση του Δικαστηρίου της ΕΕ, αποτέλεσε το µήλο
της έριδος ανάμεσα στους υποστηρικτές της υπεροχής του δικαιώματος στην ελευθερία
της έκφρασης και της πληροφόρησης και στους υποστηρικτές της θεωρίας ότι, το
δικαίωμα στη λήθη και το δικαίωμα στην ιδιωτικότητα είναι ισοδύναμα. Το Δικαστήριο
της ΕΕ με την απόφασή του φαίνεται να επιλύει την σύγκρουση αυτή αποδίδοντας,
όπως αναφέραμε και στην Ενότητα 7.3, κατά βάση μία ιδιότυπη προτεραιότητα στα
δικαιώματα του υποκειμένου των δεδομένων έναντι του έννομου συμφέροντος του
κοινού για πληροφόρηση. Η προτεραιότητα που αποδίδεται στα δικαιώματα του
υποκειμένου των δεδομένων δεν σημαίνει, όμως, ότι σε κάθε περίπτωση η ορθή
στάθμιση πρέπει να περιορίζεται μόνο στη διαγραφή από τις μηχανές αναζήτησης.
Αναμφισβήτητα η προστασία των δικαιωμάτων του υποκειμένου των

δεδομένων είναι μείζονος σημασίας, δεν μπορεί όμως σε καμία περίπτωση να είναι
απόλυτη. Το Δικαστήριο της ΕΕ έκρινε πως το δικαίωμα και η υποχρέωση διαγραφής
των δεδομένων προσωπικού χαρακτήρα στο διαδίκτυο δεν ισχύει πάντοτε 317 και
υπογράμμισε ότι πρέπει να αναζητείται μία δίκαιη στάθμιση ανάμεσα στην ιδιωτική
ζωή του υποκειμένου των δεδομένων και στο συμφέρον του κοινωνικού συνόλου να
314
315
316
317
61
αποκτήσει πρόσβαση στην πληροφορία318. Συναφώς, η Ομάδα Εργασίας του Άρθρου
29, στις Κατευθυντήριες Γραμμές που εξέδωσε για την εφαρμογή της εν λόγω
απόφασης, επισημαίνει ότι για την επίτευξη της δίκαιης εξισορρόπησης θα πρέπει,
μεταξύ άλλων, να εξεταστεί και ο ρόλος που διαδραματίζει το επηρεαζόμενο φυσικό
πρόσωπο στην δημόσια ζωή καθώς και η πιθανότητα αυτό να αποτελεί δημόσιο
πρόσωπο319.
Η σχέση μεταξύ της προστασίας των δεδομένων προσωπικού χαρακτήρα και

της ελευθερίας της έκφρασης περιγράφεται τόσο στο άρθρο 9320 της Οδηγίας 95/46/ΕΚ,
όσο και στο άρθρο 85321 του Κανονισμού (ΕΕ) 2016/679, όπου και κατοχυρώνεται η
νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα για
δημοσιογραφικούς σκοπούς ή για σκοπούς πανεπιστημιακής, καλλιτεχνικής ή
λογοτεχνικής έκφρασης. Συναφώς, όπως έχει αναφερθεί ήδη, το Δικαστήριο της ΕΕ
στην απόφασή του αναγνώρισε την πιθανότητα η επεξεργασία από έναν εκδότη μίας
μεμονωμένης ιστοσελίδας να πραγματοποιείται αποκλειστικώς για δημοσιογραφικούς
σκοπούς, αποκλείοντας ταυτόχρονα το ενδεχόμενο αυτό για τους φορείς
εκμετάλλευσης των μηχανών αναζήτησης322. Ως λογική συνέχεια, η Ομάδα Εργασίας
του Άρθρου 29, στις Κατευθυντήριες Γραμμές που εξέδωσε για την εφαρμογή της εν
λόγω απόφασης, επισημαίνει ότι το δικαίωμα στη διαγραφή επηρεάζει μόνο τα
αποτελέσματα μίας αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο ενός
φυσικού προσώπου και ότι δεν απαιτείται σε καμία περίπτωση να διαγράφεται
οποιαδήποτε πληροφορία από την αρχική πηγή προέλευσης323.
Από τα ανωτέρω διαπιστώνουμε, ότι το δικαίωμα στην ελευθερία της έκφρασης

αλληλεπιδρά δυναμικά με το δικαίωμα στη διαγραφή και ότι το οριοθετεί σε σημαντικό
βαθμό, υπό την έννοια ότι η πράξη της διαγραφής δεν θα πρέπει να θίγει το συμφέρον
318
319
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 17 έως 25.
320
«Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται αποκλειστικώς για
δημοσιογραφικούς σκοπούς ή στο πλαίσιο καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη
προβλέπουν τις εξαιρέσεις ή παρεκκλίσεις από τις διατάξεις του παρόντος κεφαλαίου, του κεφαλαίου
IV και του κεφαλαίου VI μόνο στο βαθμό που είναι αναγκαίες ώστε το δικαίωμα της ιδιωτικής ζωής να
συμβιβάζεται με τους κανόνες που διέπουν την ελευθερία έκφρασης.»
321
«Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού
χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και
πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για
σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.»
322
323
62
του κοινωνικού συνόλου να αποκτήσει πρόσβαση στην πληροφορία 324. Επιπρόσθετα
πρέπει να σημειώσουμε ότι, πέρα από το δικαίωμα της ελευθερίας της έκφρασης και το
δικαίωμα της ενημέρωσης, λόγοι δημοσίου συμφέροντος, επιστημονικοί, ιστορικοί,
στατιστικοί και νομικές αξιώσεις ή υποχρεώσεις δύναται να οριοθετήσουν το δικαίωμα
στη διαγραφή325.
Σημαντικά ερωτήματα ανακύπτουν και ως προς τον τρόπο ερμηνείας της

απόφασης του Δικαστηρίου της ΕΕ αναφορικά με την επέκταση της έννοιας της
εδαφικότητας που κατοχυρώνεται στην Οδηγία 95/46/ΕΚ326. Το πρώτο ερώτημα που
ανακύπτει είναι, εάν οι αξιώσεις διαγραφής συνδέσμων των υποκείμενων των
δεδομένων μπορούν να οδηγήσουν στη διαγραφή όλων των συνδέσμων παγκοσμίως και
όχι μόνο εντός του ευρωπαϊκού πλαισίου327.
Το Δικαστήριο της ΕΕ έκρινε ότι ο φορέας εκμετάλλευσης μίας μηχανής

αναζήτησης, ως πρόσωπο που καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα, οφείλει να διασφαλίζει, στο πλαίσιο των ευθυνών,
των ικανοτήτων και των δυνατοτήτων του, την συμμόρφωση με την Οδηγία 95/46/ΕΚ,
ώστε τα υποκείμενα των δεδομένων να προστατεύονται αποτελεσματικά από τον
αντίκτυπο της καθολικής διάδοσης και προσβασιμότητας των δεδομένων προσωπικού
χαρακτήρα που παρέχουν οι μηχανές αναζήτησης 328. Συναφώς, η Ομάδα Εργασίας του
Άρθρου 29, στις Κατευθυντήριες Γραμμές που εξέδωσε για την εφαρμογή της εν λόγω
απόφασης, επισημαίνει ότι οι αποφάσεις διαγραφής συνδέσμων θα πρέπει να
εφαρμόζονται κατά τέτοιο τρόπο ώστε να εξασφαλίζεται η αποτελεσματική και πλήρης
προστασία του υποκειμένου των δεδομένων και να μην είναι εύκολο να
καταστρατηγηθεί το δίκαιο της ΕΕ. Ως λογική συνέχεια των εν λόγω επισημάνσεων,
καταλήγει στο συμπέρασμα ότι η διαγραφή των συνδέσμων πρέπει να οδηγεί στη
διαγραφή όλων των συνδέσμων παγκοσμίως και όχι μόνο εντός του ευρωπαϊκού
πλαισίου329.
Υπό το πρίσμα ενός καθολικού αιτήματος διαγράφης των συνδέσμων, το

δεύτερο ερώτημα που ανακύπτει είναι, εάν η νομοθεσία της ΕΕ μπορεί να εφαρμοστεί
πέραν των γεωγραφικών ορίων της. Ενάντια στην καθιέρωση ενός καθολικού
324
325
Βλ. άρθρα 17 και 85 του Κανονισμού (ΕΕ) 2016/679.
326
327
328
329
63
αιτήματος διαγράφης αρχικά τάχθηκε η Google Inc., επιχειρηματολογώντας ότι το
δικαίωμα στην ιδιωτική ζωή και το δικαίωμα στην ελευθερία της έκφρασης είναι εξίσου
θεμελιώδη και ότι είναι κοινή λογική ότι μία χώρα δεν θα πρέπει να έχει το δικαίωμα να
επιβάλλει τους κανόνες της στους πολίτες μίας άλλης 330. Επιπρόσθετα, ενάντια στην
καθιέρωση ενός καθολικού αιτήματος διαγράφης τάχθηκε η επιτροπή Ρεπόρτερ για την
Ελευθερία του Τύπου, επιχειρηματολογώντας ότι οι αρχές μίας χώρας δεν θα πρέπει να
έχουν το δικαίωμα να επιβάλλουν τα συμφέροντά τους σε χρήστες του διαδικτύου
άλλων χωρών331. Στην ίδια κατεύθυνση κινήθηκε τόσο το Ίδρυμα Wikimedia332, όσο
και η Επιτροπή του Άρθρου 19 της Διεθνούς Διακηρύξεως για τα Δικαιώματα του
Ατόμου333.
Προφανώς, η κατάργηση τυχόν συνδέσμων προς ιστότοπους από τη λίστα

αποτελεσμάτων των μηχανών αναζήτησης δεν συνιστά λογοκρισία, εάν διατάσσεται
από δικαστήριο ή διοικητική αρχή βάσει νόμιμων λόγων προστασίας της ιδιωτικής
ζωής334. Ωστόσο, ενώ το δικαίωμα στη λήθη έπρεπε να οδηγεί σε ενέργειες αφαίρεσης
αποτελεσμάτων από τις μηχανές αναζήτησης, εντούτοις ενδέχεται να οδηγήσει στην
αφαίρεση του περιεχομένου από την αρχική πηγή προάγοντας με αυτόν τον τρόπο μία
ιδιότυπη μορφή ψηφιακής λογοκρισίας.
Χαρακτηριστικό παράδειγμα αποτελεί η απόφαση335 του Ανώτατου Ιταλικού

Δικαστηρίου με την οποία έκρινε πως ένα άρθρο σε ειδησεογραφική ιστοσελίδα είχε
«λήξει» δυο χρόνια μετά την ανάρτησή του. Το Ανώτατο Ιταλικό Δικαστήριο εστίασε
στη διαθεσιμότητα του άρθρου μέσω της μηχανής αναζήτησης και συμπέρανε πως η
διαδικτυακή δημοσιογραφία χρήζει διαφορετικής μεταχείρισης, χωρίς να εξετάσει το
εναλλακτικό μέσο προστασίας της επιβολής του δικαιώματος στη λήθη στη μηχανή
αναζήτησης. Σε αντίθεση δηλαδή με την απόφαση του Δικαστηρίου της ΕΕ, στην
οποία, όπως αναφέραμε και στην Ενότητα 7.3, υπάρχει μία ιδιαίτερη στόχευση του
«αγγελιοφόρου» έναντι της πηγής, το Ανώτατο Ιταλικό Δικαστηρίου επέλεξε να
«τιμωρήσει» την πηγή και όχι τον «αγγελιοφόρο».
330
Βλ. P. Fleischer, Reflecting on the Right to be Forgotten, 2016.
331
Διαθέσιμο: https://www.rcfp.org/briefs-comments/google-v-cnil/
332
Διαθέσιμο: https://diff.wikimedia.org/2016/10/19/petition-right-to-be-forgotten/
333
Διαθέσιμο: https://www.article19.org/resources/frances-highest-court-must-respect-free-speech-in-
right-to-be-forgotten-case/
334
335
Διαθέσιμο: https://www.theguardian.com/media/2016/sep/20/how-italian-courts-used-the-right-to-
be-forgotten-to-put-an-expiry-date-on-news
64
Αποφάσεις, όπως αυτή του Ανώτατου Ιταλικού Δικαστηρίου, οφείλονται στα
θολά κριτήρια του πότε κατά τη διάρκεια του χρόνου µία πληροφορία παύει να είναι
κατάλληλη ή συναφής µε τον σκοπό της επεξεργασίας και ενδέχεται, υπό συνθήκες, να
πλήξουν επιπρόσθετα καίρια το δικαίωμα του κοινού για πρόσβαση στην πληροφόρηση
και στην αλήθεια.
Ένα άλλο ζήτημα που προκύπτει, είναι αυτό της οικονομικής και διοικητικής
επιβάρυνσης των φορέων εκμετάλλευσης των μηχανών αναζήτησης, στην
αντιμετώπιση των αιτήσεων διαγραφής των συνδέσμων από τους χρήστες του
διαδικτύου. Ως παράδειγμα εστιάζουμε στην Google Inc., η οποία φέρεται να είχε λάβει
περισσότερα από 70.000 αιτήματα μέχρι τον Ιούνιο του 2014, ακολουθούμενα από
30.000 αιτήματα μέχρι τον Ιούλιο του 2014, 40.000 αιτήματα μέχρι τον Σεπτέμβριο του
2014, 150.000 αιτήματα εντός του 2015, 120.000 αιτήματα εντός του 2016, 160.000
αιτήματα εντός του 2017, 200.000 αιτήματα εντός του 2018, 180.000 αιτήματα εντός
του 2019 και 110.000 αιτήματα έως τον Οκτώβριο του 2020. Τα αιτήματα αυτά
αντιστοιχούσαν σε συνολικά 3.851.479 συνδέσμους. Συνολικά έως και σήμερα η
Google Inc. φέρεται να έχει προχωρήσει στην διαγραφή 1.552.437 συνδέσμων, οι
οποίοι αντιστοιχούν στο 46,6% των συνολικών αιτήσεων336. Δεδομένου του τεράστιου
όγκου των αιτήσεων αυτών, τόσο το κόστος της απαραίτητης υλικοτεχνικής υποδομής,
όσο και η ανάγκη για επιπλέον προσωπικό, για την εξέταση των αιτήσεων, θα
επιβαρύνουν σημαντικά τους προϋπολογισμούς των φορέων εκμετάλλευσης των
μηχανών αναζήτησης.
Συμπληρωματικά αξίζει να αναφέρουμε πως η παγκόσμια νομοθεσία για την

προστασία δεδομένων προσωπικού χαρακτήρα εκτιμάται ότι κοστίζει στους
πολυεθνικούς οργανισμούς κατά μέσο όρο 5,5 εκατομμύρια δολάρια ετησίως ανά
οργανισμό337, ενώ εκτιμάται ότι οι μικρές και μεσαίες επιχειρήσεις εντός της ΕΕ πρέπει
αυξήσουν από 16% ως 40% τους προϋπολογισμούς τους προκειμένου να
εναρμονιστούν με την ευρωπαϊκή νομοθεσία για την προστασία δεδομένων
336
Διαθέσιμο: https://transparencyreport.google.com/eu-privacy/overview
337
Βλ. Ponemon Institute, The true cost of compliance with data protection regulations, 2017, σελ. 4.
338
Βλ. L. Christensen, & F. Etro, European data protection: Impact of the EU data-protection regulation,
2013.
65
8. Υπόθεση Google LLC κατά CNIL
Ορόσημο, για την έκταση του εδαφικού πεδίου εφαρμογής του δικαιώματος στη
λήθη, αποτέλεσε η απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Google LLC
(διάδοχος της Google Inc.), κατά Commission Nationale de l’Informatique et des
Libertés (CNIL) (εν συντομία Google LLC κατά CNIL)339. Στις 21 Μαΐου 2015, η
Εθνική Επιτροπή Πληροφορικής και Ελευθεριών της Γαλλίας (CNIL) απέστειλε
προειδοποίηση στην Google LLC, καλώντας την, στην περίπτωση που ικανοποιεί
αιτήματα φυσικών προσώπων για τη διαγραφή συνδέσμων από τον κατάλογο των
αποτελεσμάτων, ο οποίος προκύπτει κατόπιν αναζήτησης που έχει διενεργηθεί με βάση
το ονοματεπώνυμό τους, να διαγράφει τους συνδέσμους αυτούς σε παγκόσμια κλίμακα
και όχι μόνο εντός του ευρωπαϊκού πλαισίου.
Η Google LLC δεν συμμορφώθηκε προς την προειδοποίηση αυτή και

περιορίστηκε στην διαγραφή των επίμαχων συνδέσμων μόνο από τα αποτελέσματα που
εμφανίζονται κατόπιν αναζητήσεων που πραγματοποιούνται μέσω των ευρωπαϊκών
ιστοτόπων της, ενδεικτικά google.fr, google.gr, google.es και google.de. Επιπρόσθετα,
μετά την λήξη της προθεσμίας για συμμόρφωση, υπέβαλε συμπληρωματική πρόταση
εφαρμογής του λεγόμενου «γεωγραφικού αποκλεισμού», ενός μέτρου που εμποδίζει
την πρόσβαση, από μία διεύθυνση ΙΡ που αποδεικνύεται με τεκμήρια ότι βρίσκεται στο
κράτος κατοικίας του επηρεαζόμενου φυσικού προσώπου, στους επίμαχους συνδέσμους
που εμφανίζονται κατόπιν αναζήτησης με βάση το ονοματεπώνυμό του, ανεξαρτήτως
της επιμέρους έκδοσης της μηχανής αναζήτησης την οποία χρησιμοποίησε ο χρήστης
του διαδικτύου.
Η Εθνική Επιτροπή Πληροφορικής και Ελευθεριών της Γαλλίας έκρινε

ανεπαρκή το παραπάνω μέτρο και στις 10 Μαρτίου 206, μετά την λήξη της προθεσμίας
για συμμόρφωση, επέβαλε στην Google LLC πρόστιμο ύψους 100.000 ευρώ.
Ακολούθως, η Google LLC προσέβαλε την απόφαση της Εθνικής Επιτροπής
Πληροφορικής και Ελευθεριών της Γαλλίας ενώπιον του Conseil d’État (Συμβούλιο της
Επικρατείας), ζητώντας την ακύρωσή της.
339
Διαθέσιμο:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=EL&
mode=req&dir=&occ=first&part=1&cid=243387
66
Ενώπιον του Συμβούλιου της Επικρατείας, η Εθνική Επιτροπή Πληροφορικής
και Ελευθεριών της Γαλλίας υποστήριξε ότι οι χρήστες του διαδικτύου που κατοικούν
στη Γαλλία εξακολουθούν να έχουν πρόσβαση σε άλλες εκδόσεις της μηχανής
αναζήτησης εκτός της ΕΕ, για παράδειγμα στην google.com. Επομένως, τόνισε ότι η
κατάργηση των συνδέσμων που σχετίζονται με ένα φυσικό πρόσωπο που κατοικεί στη
Γαλλία, μόνο από τη γαλλική έκδοση της μηχανής αναζήτησης ή ακόμη και από όλες
τις εκδόσεις των κρατών μελών της ΕΕ, δεν επαρκεί για την προστασία των
δικαιωμάτων του, παραβιάζοντας με αυτό τον τρόπο την Οδηγία 95/46/ΕΚ.
Η Google LLC από την πλευρά της υποστήριξε, ενώπιον του Συμβούλιου της
Επικρατείας, ότι η Εθνική Επιτροπή Πληροφορικής και Ελευθεριών της Γαλλίας
ερμήνευσε εσφαλμένα τις διατάξεις της Οδηγίας 95/46/ΕΚ, ότι το δικαίωμα της
διαγραφής των συνδέσμων δεν συνεπάγεται απαραίτητα την απάλειψη τους σε
παγκόσμια κλίμακα, ότι η Εθνική Επιτροπή Πληροφορικής και Ελευθεριών της
Γαλλίας παραβίασε τις αναγνωρισμένες από το δημόσιο διεθνές δίκαιο αρχές της
αβροφροσύνης και της μη επέμβασης 340 και τέλος ότι έθιξε δυσανάλογα τις ελευθερίες
έκφρασης, πληροφόρησης και επικοινωνίας καθώς και την ελευθερία του Τύπου341.
Το Συμβούλιο της Επικρατείας διαπίστωσε ότι η επιχειρηματολογία αυτή θέτει

πληθώρα σοβαρών ερμηνευτικών ζητημάτων σχετικά με την Οδηγία 95/46/ΕΚ. Στο
πλαίσιο αυτό υπέβαλε μία σειρά από προδικαστικά ερωτήματα στο Δικαστήριο της ΕΈ,
ζητώντας να διευκρινιστεί αν οι διατάξεις της Οδηγίας 95/46/EK έχουν την έννοια ότι ο
φορέας εκμετάλλευσης μηχανής αναζήτησης, όταν ικανοποιεί αιτήματα φυσικών
προσώπων για τη διαγραφή συνδέσμων από τον κατάλογο των αποτελεσμάτων,
υποχρεούται να διαγράφει τους επίμαχους συνδέσμους σε παγκόσμια κλίμακα ή αν,
αντιθέτως, υποχρεούται να τους διαγράφει μόνον ως προς τις εκδοχές της που
αντιστοιχούν στο σύνολο των κρατών μελών της ΕΕ, ή και μόνον ως προς αυτήν που
αντιστοιχεί στο κράτος μέλος κατοικίας του φορέα του δικαιώματος διαγραφής
συνδέσμων.
8.2 Απόφαση Δικαστηρίου της ΕΕ
Αρχικά, το Δικαστήριο της ΕΕ τόνισε πως σε ένα ικανό αριθμό κρατών εκτός
της ΕΕ, είτε δεν υφίσταται το δικαίωμα της διαγραφής των συνδέσμων, είτε
340
Βλ. άρθρο 2 παράγραφος 7 του Χάρτη των Ηνωμένων Εθνών.
341
67
ακολουθούνται διαφορετικά κριτήρια αξιολόγησης ως προς το δικαίωμα αυτό342,
υπενθύμισε ότι το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα
δεν είναι απόλυτο343 και υπογράμμισε ότι η επιθυμητή στάθμιση ανάμεσα στην
ιδιωτική ζωή του ατόμου και στο συμφέρον του κοινωνικού συνόλου να αποκτήσει
πρόσβαση στην πληροφορία ενδέχεται να διαφέρει ουσιωδώς ανά τον κόσμο344.
Συνεχίζοντας, το Δικαστήριο της ΕΕ διατύπωσε το επιχείρημα πως ουδόλως προκύπτει
από τις διατάξεις της Οδηγίας 95/46/EK 345 και του Κανονισμού (ΕΕ) 2016/679346, ότι ο
νομοθέτης της ΕΕ έχει προβεί σε αντίστοιχη στάθμιση όσον αφορά το δικαίωμα της
διαγραφής των συνδέσμων εκτός της ΕΕ, ότι επέλεξε να επεκτείνει το πεδίο εφαρμογής
των διατάξεων πέραν του εδάφους των κρατών μελών και ότι θέλησε να επιβάλει στους
φορείς εκμετάλλευσης των μηχανών αναζήτησης την υποχρέωση διαγραφής των
συνδέσμων σε παγκόσμια κλίμακα347. Βασιζόμενο σε αυτό το επιχείρημα, το
Δικαστήριο της ΕΕ έκρινε ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης δεν
υποχρεούνται, βάσει της νομοθεσίας της ΕΕ, να καταργήσουν τους επίμαχους
συνδέσμους σε παγκόσμια κλίμακα348.
Ακολούθως, το Δικαστήριο της ΕΕ υπενθύμισε ότι ο Κανονισμός (ΕΕ)

2016/679 έχει άμεση ισχύ σε κάθε κράτος μέλος της ΕΕ και ότι αποσκοπεί στην πλήρη
εναρμόνιση της προστασίας των δεδομένων προσωπικού χαρακτήρα σε όλα τα κράτη
μέλη της ΕΕ, στην παροχή αυξημένου επιπέδου προστασίας φυσικών προσώπων και
τέλος στην απρόσκοπτη ροή των δεδομένων προσωπικού χαρακτήρα εντός της ΕΕ 349.
Ως λογική συνέχεια των εν λόγω επισημάνσεων, το Δικαστήριο της ΕΕ έκρινε ότι οι
φορείς εκμετάλλευσης μηχανών αναζήτησης οφείλουν, βάσει της νομοθεσίας της ΕΕ,
να διαγράφουν τους επίμαχους συνδέσμους από όλες τις εκδοχές των μηχανών
αναζήτησης που αντιστοιχούν στο σύνολο των κρατών μελών της ΕΕ, ανεξάρτητα από
το κράτος μέλος κατοικίας του φορέα του δικαιώματος της διαγραφής των συνδέσμων
350
.
342
343
344
345
Βλ. άρθρα 12 και 14 της Οδηγίας 95/46/ΕΚ.
346
347
348
Βλ. σκέψεις 64, 65 και διατακτικό της υπόθεσης C‑507/17.
349
350
Βλ. σκέψεις 66, 73 και διατακτικό της υπόθεσης C‑507/17.
68
Τέλος, το Δικαστήριο της ΕΕ έκρινε, χωρίς να αναφερθεί άμεσα στην τεχνική
του «γεωγραφικού αποκλεισμού», ότι οι φορείς εκμετάλλευσης των μηχανών
αναζήτησης οφείλουν να λαμβάνουν επιπρόσθετα επαρκώς αποτελεσματικά μέτρα, που
θα αποτρέπουν ή τουλάχιστον θα αποθαρρύνουν έντονα τους χρήστες του διαδικτύου
που κατοικούν στη ΕΕ, να έχουν πρόσβαση στους επίμαχους συνδέσμους μέσω άλλων
εκδοχών των μηχανών αναζήτησης εκτός της ΕΕ, για παράδειγμα την google.com351.
8.3 Σχολιασμός
Η υπόθεση Google LLC κατά CNIL προσέλκυσε ιδιαίτερα τα φώτα της

δημοσιότητας, καθώς σε αυτή το κορυφαίο δικαιοδοτικό όργανο της ΕΕ κλήθηκε να
αποσαφηνίσει τα γεωγραφικά όρια εφαρμογής του δικαιώματος στη λήθη,
επηρεάζοντας για ακόμη μία φορά την εξέλιξη του διαδικτύου και των υπηρεσιών
του352. Πρακτικά, το Δικαστήριο της ΕΕ βρέθηκε αντιμέτωπο με το δίλημμα, είτε να
υποστηρίξει μία παγκόσμια εφαρμογή του δικαιώματος στην διαγραφή, ώστε να
διασφαλιστεί η πλήρης προστασία των θεμελιωδών δικαιωμάτων των υποκειμένων των
δεδομένων, ακολουθώντας με αυτό τον τρόπο μία πιθανά υπερβολική προσέγγιση,
επεμβαίνοντας στην κυριαρχία τρίτων κρατών αναφορικά με την εξισορρόπηση των
θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων, είτε να αποφανθεί κατά
μίας εφαρμογής έξω από τα γεωγραφικά όρια της ΕΕ, αποφεύγοντας με αυτό τον τρόπο
μία πιθανά υπερβολική προσέγγιση και, αντίθετα, να υποστηρίξει μια περιφερειακή
εφαρμογή του δικαιώματος στην διαγραφή στο πλαίσιο της ΕΕ, που θα εγγυάται στους
ευρωπαίους πολίτες την προστασία των προσωπικών τους δεδομένων, αν και
περιορισμένων, εντός της αυτής353.
Το Δικαστήριο της ΕΕ έκρινε, όπως έχει αναφερθεί ήδη, ότι οι φορείς

εκμετάλλευσης μηχανών αναζήτησης δεν υποχρεούνται, βάσει της υπάρχουσας
νομοθεσίας της ΕΕ, να καταργήσουν τους επίμαχους συνδέσμους σε παγκόσμια
κλίμακα. Ωστόσο, σε μία προσπάθεια μετριασμού των συνεπειών της μη παγκόσμιας
εφαρμογής του δικαιώματος στην διαγραφή354, υπογράμμισε ότι ενώ η ενωσιακή
νομοθεσία δεν επιβάλλει, στο παρόν στάδιο εξελίξεως, την διαγραφή των επίμαχων
351
Βλ. σκέψη 70 και διατακτικό της υπόθεσης C‑507/17.
352
Βλ. M. Zalnieriute, Google LLC v. Commission nationale de l'informatique et des libertés (CNIL), 2020,
σελ. 8.
353
Βλ. M. Samonte, Google v. CNIL: The Territorial Scope of the Right to Be Forgotten Under EU Law,
2019, σελ. 844.
354
Βλ. ό.π., σελ. 840.
69
συνδέσμων σε παγκόσμια κλίμακα, εντούτοις ούτε και την απαγορεύει 355. Κατά
συνεπεία, τόνισε ότι οι Αρχές των κρατών μελών διατηρούν την αρμοδιότητά τους να
προχωρούν, υπό το πρίσμα των εθνικών προτύπων προστασίας των θεμελιωδών
δικαιωμάτων, σε στάθμιση ανάμεσα στην ιδιωτική ζωή του ατόμου και στο συμφέρον
του κοινωνικού συνόλου να αποκτήσει πρόσβαση στην πληροφορία και κατόπιν αυτής,
να υποχρεώνουν, όταν ενδείκνυται, τους φορείς εκμετάλλευσης των μηχανών
αναζήτησης να διαγράφουν τους επίμαχους συνδέσμους σε παγκόσμια κλίμακα 356.
Η επιχειρηματολογία αυτή αποτελεί μία λεπτή προσέγγιση για τη νομιμοποίηση

μίας παγκόσμιας εφαρμογής του δικαιώματος στη διαγραφή των συνδέσμων,
αποδυναμώνοντας σε ικανό βαθμό την φαινομενική νίκη της Google LLC και των
υποστηρικτών της υπεροχής του δικαιώματος στην ελευθερία της έκφρασης και της
πληροφόρησης. Αναλυτικότερα, με την χρήση της έκφρασης «στο παρόν στάδιο
εξελίξεως» στην απόφασή του, το Δικαστήριο της ΕΕ αναγνωρίζει την πιθανότητα το
Κοινοβούλιο της ΕΕ να αποφασίσει μελλοντικά να επεκτείνει τα γεωγραφικά όρια
εφαρμογής του δικαιώματος στη λήθη και εκτός της ΕΕ, πιθανώς με μία τροποποίηση
του Κανονισμού 2016/679357. Επιπρόσθετα, αξίζει να σημειωθεί ότι, ενώ με την
απόφασή του, το Δικαστήριο της ΕΕ απέρριψε κάθε ενδεχόμενο μίας παγκόσμιας
εφαρμογής του δικαιώματος στην διαγραφή των συνδέσμων βάσει της Οδηγίας
95/46/ΕΚ και του Κανονισμού (ΕΕ) 2016/679, εντούτοις δεν απέκλεισε το ενδεχόμενο
μίας παγκόσμιας εφαρμογής του εν λόγω δικαιώματος βάσει των εθνικών προτύπων
προστασίας των θεμελιωδών δικαιωμάτων.
Αξιοσημείωτο είναι και το γεγονός ότι, ενώ το Δικαστήριο της ΕΕ υπενθυμίζει

ότι ο σκοπός της Οδηγίας 95/46/EK και του Κανονισμού (ΕΕ) 2016/679 είναι η
διασφάλιση υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα σε
ολόκληρη την ΕΕ358, εντούτοις με τον ρητό περιορισμό του δικαιώματος της διαγραφής
των συνδέσμων αποκλειστικά εντός των γεωγραφικών ορίων της ΕΕ, ενδέχεται να έχει
επηρεάσει σε σημαντικό βαθμό τον αντίκτυπο και την πλήρη προστασία του
δικαιώματος αυτού359. Σύμφωνα με την απόφαση του Δικαστηρίου της ΕΕ, εάν ένα
φυσικό πρόσωπο που κατοικεί στην ΕΕ αιτηθεί τη διαγραφή συνδέσμων από τον
355
356
357
Βλ. M. Zalnieriute, ό.π., σελ. 10.
358
359
Βλ. M. Samonte, ό.π., σελ. 845.
70
κατάλογο των αποτελεσμάτων, ο οποίος προκύπτει κατόπιν αναζήτησης που έχει
διενεργηθεί με βάση το ονοματεπώνυμό του, τότε ο εκάστοτε φορέας εκμετάλλευσης
των μηχανών αναζήτησης που ικανοποιεί το αίτημα, οφείλει να διαγράψει τους
επίμαχους συνδέσμους μόνο από τις εκδοχές των μηχανών αναζήτησης που
αντιστοιχούν στο σύνολο των κρατών μελών της ΕΕ.
Όμως, ακόμη και μετά την διαγραφή των επίμαχων συνδέσμων από τις
προαναφερθείσες εκδοχές των μηχανών αναζήτησης, αυτοί θα εξακολουθούν να είναι
προσβάσιμοι από οποιονδήποτε τόσο εκτός της ΕΕ όσο και εντός της ΕΕ, μέσω
ποικίλων μεθόδων. Μία απλή μέθοδος, δεδομένης της παγκόσμιας εμβέλειας του
διαδικτύου, είναι ένας χρήστης του, που κατοικεί εκτός των γεωγραφικών ορίων της
ΕΕ, να πραγματοποιήσει μία αναζήτηση αξιοποιώντας την εκδοχή της μηχανής
αναζήτησης που αντιστοιχεί στην χώρα του. Μία άλλη μέθοδος, δεδομένης της
ευκολίας πρόσβασης σε νέες γνώσεις που παρέχει το διαδίκτυο και οι υπηρεσίες του,
είναι ένας χρήστης του, που κατοικεί εντός των γεωγραφικών ορίων της ΕΕ, να
πραγματοποιήσει μία αναζήτηση αξιοποιώντας ένα εικονικό ιδιωτικό δίκτυο (Virtual
Private Network - VPN), παρακάμπτοντας με αυτό τον τρόπο μέτρα περιορισμού όπως
ο γεωγραφικός αποκλεισμός.
Επιπλέον, ακόμη και εάν οι φορείς εκμετάλλευσης των μηχανών αναζήτησης

καταφέρουν να εφαρμόσουν επαρκώς αποτελεσματικά μέτρα, που θα εμποδίζουν τους
χρήστες του διαδικτύου που κατοικούν στη ΕΕ να έχουν πρόσβαση στους επίμαχους
συνδέσμους, η πρόσβαση των χρηστών του διαδικτύου που κατοικούν εκτός των
γεωγραφικών ορίων της ΕΕ στους επίμαχους συνδέσμους δεν δύναται να περιοριστεί,
με αποτέλεσμα την ύπαρξη άμεσων και ουσιωδών επιπτώσεων για τα υποκείμενα των
δεδομένων που κατοικούν εντός αυτής360. Ως λογική συνέχεια των εν λόγω
επισημάνσεων, το Δικαστήριο της ΕΕ σημείωσε ότι η διαγραφή των συνδέσμων σε
παγκόσμια κλίμακα δύναται να εξασφαλίσει υψηλού επιπέδου προστασία των
δεδομένων προσωπικού χαρακτήρα361, υπογράμμισε ότι οι Αρχές των κρατών μελών
διατηρούν το δικαίωμα να υποχρεώνουν, όταν ενδείκνυται, τους φορείς εκμετάλλευσης
των μηχανών αναζήτησης να διαγράφουν τους συνδέσμους σε παγκόσμια κλίμακα 362
και εμμέσως αναγνώρισε ότι στόχος της ΕΕ για τη διασφάλιση υψηλού επιπέδου
360
361
362
71
προστασίας των προσωπικών δεδομένων δεν μπορεί να επιτευχθεί πλήρως βάσει του
ισχύοντος νομικού πλαισίου363.
Μία άλλη σημαντική πτυχή της απόφασης, που ενδέχεται να έχει ευρύτερη
επίπτωση στα γεωγραφικά όρια εφαρμογής του συνόλου των διατάξεων του
Κανονισμού (ΕΕ) 2016/679, είναι η διαπίστωση του Δικαστηρίου της ΕΕ πως ουδόλως
προκύπτει από το άρθρο 17 του Κανονισμού (ΕΕ) 2016/679 καθώς και τα άρθρα 12 και
14 της Οδηγίας 95/46/ΕΚ, ότι ο νομοθέτης της ΕΕ επέλεξε να επεκτείνει το πεδίο
εφαρμογής του δικαιώματος στη διαγραφή των συνδέσμων πέραν του εδάφους των
κρατών μελών της ΕΕ. Στην περίπτωση αυτή, το Δικαστήριο της ΕΕ τόνισε την
απουσία συγκεκριμένης διάταξης στην ισχύουσα ενωσιακή νομοθεσία που θα επέτρεπε
την εφαρμογή του δικαιώματος στην διαγραφή των συνδέσμων πέραν των
γεωγραφικών ορίων της ΕΕ. Στην εν λόγω επιχειρηματολογία, φαίνεται ότι το
Δικαστήριο της ΕΕ δεν έλαβε υπόψη την πρόθεση του νομοθέτη της ΕΕ να εκχωρήσει
μια γενική έξω-εδαφική εφαρμογή στον Κανονισμό (ΕΕ) 2016/679, όπως
αποδεικνύεται από τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 περί του εδαφικού
πεδίου εφαρμογής του364.
Μολονότι η προσπάθεια του Δικαστηρίου της ΕΕ να θεσπίσει ένα συνεκτικό

κανονιστικό πρότυπο, μέσω μίας περιφερειακής εφαρμογής του δικαιώματος στην
διαγραφή στο πλαίσιο της ΕΕ, είχε ως στόχο τη διασφάλιση ενός υψηλού επιπέδου
προστασίας των δεδομένων προσωπικού χαρακτήρα εντός αυτής, το Δικαστήριο της ΕΕ
ενδέχεται να έχει αναπτύξει ακούσια νομολογία, που θα μπορούσε να υπονομεύσει τον
στόχο του Κανονισμού (ΕΕ) 2016/679 για εναρμόνιση των εθνικών νομοθεσιών
αναφορικά με την προστασία των δεδομένων προσωπικού χαρακτήρα σε όλα τα κράτη
μέλη της ΕΕ365.
Το ενδεχόμενο κατακερματισμού του επιπέδου προστασίας των θεμελιωδών

δικαιωμάτων των υποκειμένων των δεδομένων, ιδίως του δικαιώματος στην διαγραφή
των συνδέσμων, αναγνωρίστηκε από το Δικαστήριο της ΕΕ στην απόφασή του, όταν
έκρινε ότι το αποτέλεσμα της στάθμισης, ανάμεσα στην ιδιωτική ζωή του ατόμου και
στο συμφέρον του κοινωνικού συνόλου να αποκτήσει πρόσβαση στην πληροφορία,
363
364
Βλ. M. Zalnieriute, ό.π., σελ. 10.
365
72
δύναται να διαφέρει ουσιωδώς ακόμη και εντός των κρατών μελών της ΕΕ 366.
Συναφώς, το Δικαστήριο της ΕΕ επιβεβαίωσε ότι οι Αρχές των κρατών μελών,
σύμφωνα με το άρθρο 9 της Οδηγίας 95/46/ΕΚ αλλά και με το άρθρο 85 του
Κανονισμού (ΕΕ) 2016/679, διατηρούν την αρμοδιότητά τους, υπό το πρίσμα των
εθνικών προτύπων προστασίας των θεμελιωδών δικαιωμάτων, να προβλέπουν τις
απαραίτητες εξαιρέσεις και παρεκκλίσεις όσον αφορά την επεξεργασία των δεδομένων
προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς ή για σκοπούς
πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης 367.
Τέλος, το ενδεχόμενο κατακερματισμού του επιπέδου προστασίας των

θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων ενισχύεται και από την
επισήμανση του Δικαστηρίου της ΕΕ ότι, ενώ το δίκαιο της ΕΕ προβλέπει τα
απαραίτητα μέσα και μηχανισμούς συνεργασίας όσον αφορά το πεδίο εφαρμογής της
διαγραφής συνδέσμων εντός της ΈΕ, εντούτοις δεν προβλέπει τους αντίστοιχους
μηχανισμούς και μέσα όσον αφορά το πεδίο εφαρμογής της διαγραφής συνδέσμων
εκτός της ΈΕ368. Η επισήμανση αυτή θα μπορούσε εύλογα να ερμηνευθεί πως σημαίνει,
ότι μία Αρχή Προστασίας Δεδομένων ενός κράτους μέλους που υποχρεώνει τους
φορείς εκμετάλλευσης των μηχανών αναζήτησης να διαγράψουν συνδέσμους σε
παγκόσμια κλίμακα, δεν χρειάζεται να συντονίζεται με τις Αρχές Προστασίας
Δεδομένων των υπολοίπων κρατών μελών, δεδομένου ότι η ενωσιακή νομοθεσία δεν
επιβάλλει, στο παρόν στάδιο εξελίξεως, την διαγραφή των επίμαχων συνδέσμων σε
παγκόσμια κλίμακα και, ως εκ τούτου, δεν διέπεται από τις διατάξεις του Κανονισμού
2016/679369 περί συνεργασίας των Εποπτικών Αρχών των κρατών μελών370.
366
367
368
369
Βλ. άρθρα 61, 62, 63, 64 και 65 του Κανονισμού (ΕΕ) 2019/679.
370
73
9. Συμπεράσματα
Η προστασία της ιδιωτικότητας στον ψηφιακό κόσμο του διαδικτύου, των

συνδεδεμένων συσκευών και του διαδικτύου των πραγμάτων, από αδιάκριτα βλέμματα
κι όσους θέλουν να την εκμεταλλευτούν, αποτελεί αδιαμφισβήτητα ένα κεντρικό
διακύβευμα στον 21ο αιώνα371. Ωστόσο, όπως συμβαίνει με όλα τα σύγχρονα
τεχνολογικά επιτεύγματα, οι θετικές και αρνητικές εκφάνσεις του διαδικτύου και των
καινοτόμων υπηρεσιών του, εξαρτώνται από τον τρόπο αξιοποίησης και χρήσης
τους372.
Η ακριβής και τέλεια διατήρηση των πληροφοριών στο διαδίκτυο, σε

συνδυασμό με την διαρκή ικανότητα αναζήτησης, ανάκλησης, επεξεργασίας και
διάθεσής τους, στερεί από τους ανθρώπους τη δυνατότητα να ξεχάσουν το παρελθόν
τους και να επαναπροσδιορίσουν το παρόν και το μέλλον τους. Από την άλλη
πλευρά, η επίκληση του δικαιώματος στην ελευθερία της έκφρασης και της
πληροφόρησης δεν μπορεί να λειτούργει ως πρόσχημα για την αυτοματοποιημένη,
διαρκή και συστηματική συλλογή, οργάνωση και καθολική διάθεση πληροφοριών από
τις μηχανές αναζήτησης. Επιπρόσθετα, οι δραστηριότητες των μηχανών αναζήτησης
δεν θα πρέπει να οδηγούν στη δημιουργία μίας αποσπασματικής εικόνας του ατόμου,
να θίγουν την προσωπικότητά του ή την αξιοπιστία του και να προάγουν φαινόμενα
στιγματισμού. Από την άλλη όμως, το δικαίωμα στη λήθη δεν θα πρέπει σε καμία
περίπτωση να αποτελέσει μία νέα ιδιότυπη μορφή ψηφιακής λογοκρισίας.
Συμπληρωματικά, θα πρέπει επίσης να σημειώσουμε ότι οι καινοτόμες

υπηρεσίες του ψηφιακού κόσμου αποτελούν πολύτιμους πόρους επικοινωνίας και
πληροφόρησης και ότι δεν θα πρέπει να αντιμετωπίζονται ως ένα απλό συνεχές
ιστορικό αρχείο373.
Από τα ανωτέρω γίνεται εύκολα αντιληπτό, ότι το δίλημμα «υπεροχή του

δικαιώματος στην ελευθερία της έκφρασης και της πληροφόρησης ή υπεροχή του
δικαιώματος στη λήθη και κατ’ επέκταση και του δικαιώματος στην ιδιωτικότητα» δεν
είναι απολύτως αληθές374, καθώς η ευρωπαϊκή νομοθεσία περί προστασίας δεδομένων
προσωπικού χαρακτήρα δεν αποτελεί εμπόδιο για την εξέλιξη και την ανάπτυξη του
371
Βλ. Ι. Ιγγλεζάκης, Το δικαίωμα στην ψηφιακή λήθη, σελ. 211.
372
Βλ. Μ. Jones, Ctrl + Z: The Right to be Forgotten, 2016, σελ. 190.
373
Βλ. ό.π., σελ. 191.
374
Βλ. ό.π., σελ. 192.
74
διαδικτύου και αντίστοιχα οι νέες υπηρεσίες του ψηφιακού κόσμου δεν έχουν ως
αποκλειστικό στόχο να καταστρατηγήσουν την προστασία της ιδιωτικής ζωής.
Στην εποχή της ραγδαίας ανάπτυξης της επιστήμης της πληροφορικής και της
άμεσης ενσωμάτωσης των νέων υπηρεσιών του ψηφιακού κόσμου στην καθημερινή
ζωή του ατόμου, η ορθή αντίδραση στις νέες συνθήκες που διαμορφώνονται δεν θα
πρέπει να είναι ο φόβος ή/και η αποχή, καθώς είναι γενικά παραδεκτό πως η ανάλυση
δεδομένων μπορεί να οδηγήσει σε σημαντικές νέες καινοτόμες ιδέες που θα ωφελήσουν
όχι μόνο τα άτομα αλλά και την κοινωνία στο σύνολό της. Αυτό λοιπόν που
χρειάζονται όλα τα εμπλεκόμενα μέρη είναι κίνητρα και κανόνες για τη συμμετοχή
τους στη διαχείριση των δεδομένων. Ακόμη και ο τίτλος του Κανονισμού (ΕΕ)
2016/679 είναι από μόνος του ικανό στοιχείο για την κατανόηση πως σε κάθε
περίπτωση και οι κανόνες έχουν τεθεί για την προστασία των ατόμων έναντι της
επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και τα κίνητρα έχουν δοθεί για
την ελεύθερη κυκλοφορία των δεδομένων αυτών.
Επιπρόσθετα, η αναγνώριση του δικαιώματος στη λήθη μέσα από την απόφαση
του Δικαστηρίου της ΕΕ στην υπόθεση Google Spain κατά Costeja Gonzalez και η
επακόλουθη θεμελίωση του από τον Κανονισμό (ΕΕ) 2016/679, ενδυνάμωσε την
εμπιστοσύνη των ατόμων στην χρήση του διαδικτύου και των συναφών τεχνολογιών,
καθώς ενίσχυσε το νομοθετικό πλαίσιο για την προστασία των δεδομένων προσωπικού
χαρακτήρα και εξασφάλισε στα υποκείμενα των δεδομένων την δυνατότητα άσκησης
ελέγχου επί αυτών. Καταλήγοντας, εν είδη συμπεράσματος, μπορούμε να πούμε ότι
στον θαυμαστό νέο κόσμο της τεχνολογίας και της εξέλιξης, όπου η πληροφορία
αποτελεί την βασική πρώτη ύλη του διαδικτύου και οι βάσεις δεδομένων του
προσδίδουν την δυνατότητα της αέναης επιστροφής της μνήμης, το δικαίωμα στην
λήθη δίνει σε κάθε άτομο την δυνατότητα να αναπτύξει ελεύθερα τη προσωπικότητά
του, απαλλαγμένο από πληροφορίες που δεν έχουν κάποια ουσιαστική χρησιμότητα για
το κοινό.
75
10. Βιβλιογραφία – Αρθρογραφία – Λοιπές πηγές
Ελληνική Βιβλιογραφία
Ιγγλεζάκης, Ι. Δ. (2008). Δίκαιο της Πληροφορικής. Θεσσαλονίκη: Εκδόσεις Σάκκουλα.
Ιγγλεζάκης, Ι. Δ. (2014). Το δικαίωμα στην ψηφιακή λήθη και οι περιορισμοί του.
Θεσσαλονίκη: Εκδόσεις Σάκκουλα.
Ιγγλεζάκης, Ι. Δ. (2018). Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων
(Κανονισμός 2016/679): Εισαγωγή στο νέο νομικό πλαίσιο προστασίας
προσωπικών δεδομένων. Αθήνα: Interactive Books.
Ξενόγλωσση Βιβλιογραφία
Jones, Μ. (2016). Ctrl + Z: The Right to be Forgotten. New York: New York
University Press.
Rallo, A. (2018). The right to be forgotten on the Internet: Google v Spain. Washington:
Electronic Privacy Information Center.
Ελληνική Αρθρογραφία
Ιγγλεζάκης, Ι. Δ. (2018). Το δικαίωμα στη λήθη: Ένα νέο ψηφιακό δικαίωμα για τον
Κυβερνοχώρο. Ανακτήθηκε από:
https://www.lawspot.gr/nomika-blogs/ioannis_igglezakis/dikaioma-sti-lithi-ena-
neo-psifiako-dikaioma-gia-ton-kyvernohoro.
Καρκατζούνης, Β. (2017). Δικαίωμα στη λήθη: Τρείς σημαντικές αποφάσεις της
ΑΠΔΠΧ για την εφαρμογή του στην Ελλάδα. Ανακτήθηκε από:
https://www.lawspot.gr/nomika-blogs/vasilis_karkatzoynis/dikaioma-sti-lithi-3-
simantikes-apofaseis-tis-apdph-gia-tin.
76
Καρκατζούνης, Β., Ζιάκας, Ε., Κανέλλος, Γ., & Κουρόγιωργας, Γ. (2019). Δικαίωμα
στη λήθη: Νέα απόφαση της ΑΠΔΠΧ για την κατάργηση συνδέσμων από τη
Google. Ανακτήθηκε από:
https://www.lawspot.gr/nomika-nea/dikaioma-sti-lithi-nea-apofasi-tis-apdph-
gia-tin-katargisi-syndesmon-apo-ti-google.
Παναγοπούλου, Φ. (2016). H εξέλιξη του δικαιώματος στη λήθη. Εφημερίδα
Διοικητικού Δικαίου, Τεύχος 6, 714-728. Ανακτήθηκε από:
https://www.academia.edu/32443506/H_εξέλιξη_του_δικαιώματος_στη_λήθη_π
ερί_λήθης_της_λήθης_Εφημερίδα_Διοικητικού_Δικαίου_2016_σ_714_728.
Ξενόγλωσση Αρθρογραφία
Bloustein, E. J. (1964). Privacy as an Aspect of Human Dignity: An Answer to Dean
Prosser. New York University Law Review, 39, 962-1007. Retrieved from:
http://courses.ischool.berkeley.edu/i205/s10/readings/week11/bloustein-
privacy.pdf.
Christensen, L., & Etro, F. (2013). European data protection: Impact of the EU data-
protection regulation. Retrieved from:
https://voxeu.org/article/european-data-protection-impact-eu-data-protection-
regulation.
Englehardt, S., & Narayanan, A. (2016). Online tracking: A 1-million-site measurement
and analysis. In Proceedings of the 2016 ACM SIGSAC conference on computer
and communications security, 1388-1401. Retrieved from:
https://www.ftc.gov/es/system/files/documents/public_comments/2016/10/0004
5-129154.pdf.
77
Fleischer, P. (2016). Reflecting on the Right to be Forgotten. Retrieved from:
https://blog.google/around-the-globe/google-europe/reflecting-right-be-
forgotten/.
Gavison, R. E. (1980). Privacy and the Limits of Law. The Yale Law Journal, 3(89),
421-471. Retrieved from:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2060957.
Iglezakis, Ι. (2014). The Right to Be Forgotten in the Google Spain Case (Case C-
131/12): A Clear Victory for Data Protection or an Obstacle for the Internet.
Retrieved from: https://ssrn.com/abstract=2472323.
Matthews, A. (2016). How Italian courts used the right to be forgotten to put an expiry
date on news. The Guardian. Retrieved from:
https://www.theguardian.com/media/2016/sep/20/how-italian-courts-used-the-
right-to-be-forgotten-to-put-an-expiry-date-on-news.
Ponemon Institute (2017). The true cost of compliance with data protection regulations.
Retrieved from:
https://dynamic.globalscape.com/files/Whitepaper-The-True-Cost-of-
Compliance-with-Data-Protection-Regulations.pdf.
Rachels, J. (1975). Why privacy is important. Philosophy & Public Affairs. Retrieved
from: http://people.brandeis.edu/~teuber/Rachels_on_Privacy.pdf.
Samonte, M. (2019). Google v. CNIL: The Territorial Scope of the Right to Be
Forgotten Under EU Law. European papers: a journal on law and integration,
4(3), 839-851. Retrieved from:
78
https://www.europeanpapers.eu/en/europeanforum/google-v-cnil-territorial-
scope-of-right-to-be-forgotten-under-eu-law#_ftn4.
Sanchez-Rola, I., Dell'Amico, M., Kotzias, P., Balzarotti, D., Bilge, L., Vervier, P.A., &
Santos, I. (2019). Can I Opt Out Yet? GDPR and the Global Illusion of Cookie
Control. In Proceedings of the 2019 ACM Asia Conference on Computer and
Communications Security, 340-351. Retrieved from:
http://www.eurecom.fr/fr/publication/5941/download/sec-publi-5941.pdf.
Warren, S. D., & Brandeis, L. D. (1890). The Right to Privacy. Harvard Law Review,
4(5), 193-220. Retrieved from:
https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf.
Westin, A. F. (2003). Social and political dimensions of privacy. Journal of social
issues, 59(2), 431-453. Retrieved from:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.455.4866&rep=rep1&
type=pdf.
Zalnieriute, M. (2020). Google LLC v. Commission nationale de l'informatique et des
libertés (CNIL). American Journal of International Law, 114(2), 261-267.
Retrieved from:
https://www.researchgate.net/profile/Monika_Zalnieriute/publication/33853898
9_Google_LLC_v_Commission_Nationale_de_l'informatique_et_des_Libertes_
CNIL/links/5e2208b4a6fdcc1015716e40/Google-LLC-v-Commission-
Nationale-de-linformatique-et-des-Libertes-CNIL.pdf.
Νομοθετικά Κείμενα
79
Κανονισμός (ΕΕ) 2016/679, L 119/1 (Ευρωπαικό Κοινοβούλιο και Συμβούλιο 27
Απριλίου 2016). Ανακτήθηκε από:
https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A32016R0679.
Νόμος 2472/1997. Ανακτήθηκε από:
https://www.dpa.gr/portal/page?_pageid=33,19052&_dad=portal&_schema=PO
RTAL#1.
Νόμος 4624/2019. Ανακτήθηκε από:
https://www.lawspot.gr/nomikes-plirofories/nomothesia/nomos-4624-2019.
Οδηγία 95/46/ΕΚ, L 281/31 (Ευρωπαϊκό Κοινοβούλιο και Συμβούλιο 24 Οκτωβρίου
1995). Ανακτήθηκε από:
https://eur-lex.europa.eu/legal-
content/EL/TXT/?uri=uriserv:OJ.L_.1995.281.01.0031.01.ELL&toc=OJ:L:1995
:281:TOC.
Οδηγία (EE) 2016/680, L 119/89 (Ευρωπαικό Κοινοβούλιο και Συμβούλιο 27 Απριλίου
2016). Ανακτήθηκε από:
https://eur-lex.europa.eu/legal-
content/EL/TXT/PDF/?uri=CELEX:32016L0680&from=EN
Διακηρήξεις – Χάρτες – Εγχειρίδια
Ευρωπαική Ένωση (2000). Χάρτης θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης.
Ανακτήθηκε από:
https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex:12016P/TXT.
80
Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (2019). Εγχειρίδιο
σχετικά με την ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών
δεδομένων. Ανακτήθηκε από:
https://www.echr.coe.int/Documents/Handbook_data_protection_ELL.pdf.
UN General Assembly (1945). Charter of the United Nations. Retrieved from:
https://unric.org/el/χαρτησ-οηε/.
UN General Assembly (1948). Universal Declaration of Human Rights. Retrieved
from:
https://www.unric.org/el/index.php?option=com_content&view=article&id=262
30&Itemid=33.
Αποφάσεις – Γνωμοδοτήσεις -Κατευθυντήριες Γραμμές
Γνώμη σχετικά µε τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος
την επεξεργασία», 1 (Ομάδα Εργασίας του Άρθρου 29 για την Προστασία
Δεδομένων 2010). Ανακτήθηκε από:
https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2010/wp169_el.pdf.
Γνώμη σχετικά µε την αρχή της λογοδοσίας, 3 (Ομάδα Εργασίας του Άρθρου 29 για
την Προστασία Δεδομένων 2010). Ανακτήθηκε από:
https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2010/wp173_el.pdf.
Επικαιροποίηση της γνώμης 8/2010 για το εφαρμοστέο δίκαιο υπό το πρίσμα της
απόφασης του ΔΕΕ στην υπόθεση Google Spain (Ομάδα Εργασίας του Άρθρου
29 για την Προστασία Δεδομένων 2015). Ανακτήθηκε από:
81
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=640614.
Κατευθυντήριες γραμμές σχετικά με την εφαρμογή της απόφασης του Δικαστηριου της
ΕΕ στην υπόθεση C-131/12, «Google Spain SL και Google Inc. κατά Agencia
Española de Protección de Datos (AEPD) και Mario Costeja González», WP
225 (Ομάδα Εργασίας του Άρθρου 29 για την Προστασία Δεδομένων 2014).
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=667236.
Google Spain SL και Google Inc. κατά Agencia Española de Protección de Datos
(AEPD) και Mario Costeja González, C-131/12 (Δικαστήριο Ευρωπαικής
Ένωσης 13 Μαίου 2014). Ανακτήθηκε από:
http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5639
e83654048422da6e7de91090c87bb.e34KaxiLc3eQc40LaxqMbN4PaNeTe0?text
=&docid=152065&pageIndex=0&doclang=EL&mode=lst&dir=&occ=first&par
t=1&cid=1660135.
Google LLC κατά Agencia Commission nationale de l’informatique et des libertés
(CNIL), C-507/17 (Δικαστήριο Ευρωπαικής Ένωσης 24 Σεπτεμβρίου 2019).
http://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageI
ndex=0&doclang=EL&mode=req&dir=&occ=first&part=1&cid=243387.
Guidelines on the criteria of the Right to be Forgotten in the search engines cases under
the GDPR, 5/2019 (European Data Protection Board 2019). Retrieved from:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201905_rtbfse
archengines_afterpublicconsultation_en.pdf.
82
Προσφυγή κατά της άρνησης του φορέα εκμετάλλευσης της μηχανής αναζήτησης
Google Web Search να ικανοποιήσει αίτημα κατάργησης συνδέσμων (links) από
τα αποτελέσματα αναζήτησης με βάση το ονοματεπώνυμο του προσφεύγοντος,
82 (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 2016). Ανακτήθηκε
από:
https://www.dpa.gr/portal/page?_pageid=33%2C15453&_dad=portal&_schema
=PORTAL&_piref33_15473_33_15453_15453.etos=2016&_piref33_15473_33
_15453_15453.arithmosApofasis=82&_piref33_15473_33_15453_15453.thema
tikiEnotita=-1&_piref33_15473_33_15453_15453.ananeosi.
Google Web Search να ικανοποιήσει αίτημα κατάργησης συνδέσμου (link) από
τα αποτελέσματα αναζήτησης με βάση το ονοματεπώνυμο του προσφεύγοντος,
από:
Google Web Search να ικανοποιήσει αίτημα κατάργησης συνδέσμων (links) από
τα αποτελέσματα αναζήτησης με βάση το ονοματεπώνυμο της προσφεύγουσας,
από:
83
Google να ικανοποιήσει αίτημα κατάργησης συνδέσμου (link) από τα
αποτελέσματα αναζήτησης με βάση το ονοματεπώνυμο του προσφεύγοντα, 25
(Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 2019). Ανακτήθηκε
από:
tikiEnotita=-1&_piref33_15473_33_15453_15453.ananeos.
84

Gri 2021 29849

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gri 2021 29849

Uploaded by

Copyright:

Available Formats

ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ

ΔΙΑΤΜΗΜΑΤΙΚΟ ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ ΣΠΟΥΔΩΝ

«ΔΙΟΙΚΗΣΗ ΕΠΙΧΕΙΡΗΣΕΩΝ & ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ»

ΤΜΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΚΩΝ ΕΠΙΣΤΗΜΩΝ

Το δικαίωμα στη λήθη

Διπλωματική Εργασία του

Αστέριου Μπέλλου (Α.Ε.Μ. 57)

Επιβλέπων: κ. Ιωάννης Ιγγλεζάκης

Μέλη: κ. Νικόλαος Βασιλειάδης

Μέλη: κα. Κυριακή Κοσμίδου

ΘΕΣΣΑΛΟΝΙΚΗ, ΙΑΝΟΥΑΡΙΟΣ 2021

Με την ολοκλήρωση της παρούσας διπλωματικής εργασίας θα ήθελα να

Αρχικά, θα ήθελα να ευχαριστήσω τον επιβλέποντα καθηγητή μου κύριο

Επιπρόσθετα, θα ήθελα να ευχαριστήσω τους αγαπημένους φίλους και τα άτομα

Η ραγδαία ανάπτυξη των τεχνολογιών της πληροφορίας και των

Η παρούσα διπλωματική εργασία αποτυπώνει συνοπτικά τις βασικές έννοιες

The rapid development of information and telecommunication technologies

This dissertation summarizes the basic concepts and principles of Regulation

2. Επισκόπηση Κανονισμού (ΕΕ) 2016/679 ............................................................... 10

2.1 Ιστορικό ........................................................................................................... 10

2.2 Κύρια σημεία ................................................................................................... 12

3. Ανάλυση βασικών εννοιών ..................................................................................... 15

3.1 Ιδιωτικότητα ..................................................................................................... 15

3.2 Δεδομένα προσωπικού χαρακτήρα .................................................................. 17

3.3 Υποκείμενο των δεδομένων ............................................................................. 18

3.4 Επεξεργασία ..................................................................................................... 19

3.5 Υπεύθυνος Επεξεργασίας (ΥΕ) ....................................................................... 19

3.6 Εκτελών την Επεξεργασία (ΕτΕ) ..................................................................... 20

3.7 Συγκατάθεση .................................................................................................... 21

4. Δικαιώματα του υποκείμενου των δεδομένων ........................................................ 23

4.1 Δικαίωμα πληροφόρησης ................................................................................. 23

4.2 Δικαίωμα πρόσβασης ....................................................................................... 24

4.3 Δικαίωμα διόρθωσης ........................................................................................ 25

4.4 Δικαίωμα διαγραφής (Δικαίωμα στη λήθη) ..................................................... 25

4.5 Δικαίωμα στη φορητότητα των δεδομένων ..................................................... 27

4.6 Δικαίωμα περιορισμού της επεξεργασίας ........................................................ 28

4.7 Δικαίωμα εναντίωσης ...................................................................................... 28

5.1 Λογοδοσία ........................................................................................................ 31

5.2 Προστασία των δεδομένων από τον σχεδιασμό............................................... 31

5.3 Προστασία των δεδομένων εξ’ ορισμού .......................................................... 31

5.4 Αρχεία δραστηριοτήτων επεξεργασίας ............................................................ 32

5.5 Μέτρα ασφαλείας ............................................................................................. 32

5.6 Γνωστοποίηση και ανακοίνωση παραβίασης δεδομένων ................................ 32

5.7 Εκτίμηση αντικτύπου στην προστασία δεδομένων ......................................... 33

5.8 Υπεύθυνος προστασίας δεδομένων ................................................................. 33

6. Αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήρα ...................................... 35

6.1 Νομιμότητα, αντικειμενικότητα και διαφάνεια ............................................... 35

6.2 Περιορισμός του σκοπού ................................................................................. 35

6.3 Ελαχιστοποίηση των δεδομένων...................................................................... 36

6.4 Ακρίβεια ........................................................................................................... 36

6.5 Περιορισμός της περιόδου αποθήκευσης......................................................... 37

6.6 Ακεραιότητα και εμπιστευτικότητα ................................................................. 37

6.7 Λογοδοσία ........................................................................................................ 38

7. Υπόθεση Google Spain κατά Costeja González ..................................................... 39

7.1 Ιστορικό ........................................................................................................... 39

7.2 Απόφαση Δικαστηρίου της ΕΕ ........................................................................ 41

7.5 Αποφάσεις ΑΠΔΠΧ ......................................................................................... 50

7.6 Κατευθυντήριες Γραμμές του ΕΣΠΔ ............................................................... 54

7.7 Αντίλογος ......................................................................................................... 60

8. Υπόθεση Google LLC κατά CNIL.......................................................................... 66

8.1 Ιστορικό ........................................................................................................... 66

8.2 Απόφαση Δικαστηρίου της ΕΕ ........................................................................ 67

10. Βιβλιογραφία – Αρθρογραφία – Λοιπές πηγές ..................................................... 76