Professional Documents
Culture Documents
Gri 2021 29849
Gri 2021 29849
Εξεταστική Επιτροπή
Θα ήθελα επίσης να ευχαριστήσω τους γονείς μου καθώς και τους γονείς της
συζύγου μου, που φρόντιζαν ανιδιοτελώς να με στηρίξουν ψυχικά και συναισθηματικά
αλλά και να λύνουν οποιοδήποτε καθημερινό μου πρόβλημα, ώστε η ενέργειά μου να
διοχετεύεται ακέραια στις σπουδές μου.
Υπάρχει όμως ένα ακόμη άτομο στο οποίο θέλω να εκφράσω την βαθιά μου
αγάπη και τις ταπεινές μου ευχαριστίες. Το άτομο αυτό κάθε μέρα βρίσκεται δίπλα μου
και με βοηθά να γίνω καλύτερος άνθρωπος. Το άτομο αυτό είναι ο στυλοβάτης σε κάθε
βήμα της ζωής μου. Αυτό το άτομο είναι η σύζυγός μου. Ξένια μου και αυτό το πτυχίο
ανήκει σε εσένα! Σε ευχαριστώ για την κάθε μία μέρα που δίνεις το παρών στην ζωή
μου και για την απύθμενη υπομονή σου!
2
Περίληψη
3
Abstract
4
Περιεχόμενα
1. Εισαγωγή ................................................................................................................... 8
5
5. Υποχρεώσεις ΥΕ και ΕτΕ ....................................................................................... 31
7.3 Σχολιασμός....................................................................................................... 43
6
7.4 Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του Άρθρου 29 ................... 47
8.3 Σχολιασμός....................................................................................................... 69
9. Συμπεράσματα ........................................................................................................ 74
7
1. Εισαγωγή
8
ψηφιακής μνήμης»3 καταγράφονται στο διαδίκτυο, συχνά χωρίς την γνώση των
χρηστών4, μεταξύ άλλων, οι απόψεις και αλληλεπιδράσεις των χρηστών των
κοινωνικών δικτύων5, οι αναζητήσεις πληροφοριών σε μηχανές αναζητήσεις 6, οι
προτιμήσεις και καταναλωτικές συνήθειες7, τα δεδομένα γεωγραφικής θέσης και το
ιστορικό πλοήγησης8.
Επιπρόσθετα, μέσω του διαδικτύου όλες οι εκφάνσεις της ζωής του ατόμου,
μεταξύ άλλων, οι κοινωνικές αλληλεπιδράσεις, οι οικονομικές συναλλαγές, τα πολιτικά
φρονήματα, ο διάλογος, οι θρησκευτικές πεποιθήσεις, η σεξουαλική ζωή, η
επικοινωνία, η εργασιακή κατάσταση, η υγεία, η οικογενειακή κατάσταση, οι
αναμνήσεις και η συναισθηματική κατάσταση, αντικαθίστανται σταδιακά από ψηφιακά
αντίγραφα με αποτέλεσμα να διαβρώνεται μία από τις σημαντικότερες ικανότητές του.
Η ικανότητά του να ξεχνά και να συγχωρεί.
Από τα ανωτέρω γίνεται εύκολα αντιληπτό, ότι στο πλαίσιο αυτό της απόλυτης
ψηφιακής μνήμης, που χαρακτηρίζεται από τη διαρκή καταγραφή, ψηφιοποίηση και
επιτήρηση των πληροφοριών, ακόμη και ένα ασήμαντο αρνητικό γεγονός που συνέβη
στο παρελθόν ενός ατόμου, μπορεί να συνδεθεί τόσο αναπόσπαστα με αυτό, με
αποτέλεσμα να το χαρακτηρίζει καθ’ όλη τη διάρκεια της ζωής του. Με την
πληροφορία να αποτελεί την βασική πρώτη ύλη του διαδικτύου και των συναφών
τεχνολογιών, η προστασία των δεδομένων προσωπικού χαρακτήρα και η δυνατότητα
άσκησης ελέγχου επί αυτών, είναι σήμερα περισσότερο αναγκαία από κάθε άλλη φορά,
καθώς πλέον ο κανόνας που επικρατεί είναι η διαρκής μνήμη και όχι λήθη, με ότι αυτό
συνεπάγεται για το άτομο και την κοινωνία9.
3
Βλ Ι. Ιγγλεζάκης, Το δικαίωμα στην ψηφιακή λήθη και οι περιορισμοί του, 2014, σελ. 1.
4
Βλ. ό.π., σελ. 3.
5
Βλ. ό.π., σελ. 3.
6
Βλ. Sanchez-Rola, I., Dell'Amico, M., Kotzias, P., Balzarotti, D., Bilge, L., Vervier, P.A. & Santos, I., Can I
Opt Out Yet? GDPR and the Global Illusion of Cookie Control, 2019, σελ. 2.
7
Βλ. ό.π., σελ. 2.
8
Βλ. Englehardt, S., & Narayanan, A., Online tracking: A 1-million-site measurement and analysis, 2016,
σελ. 2.
9
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 10.
9
2. Επισκόπηση Κανονισμού (ΕΕ) 2016/679
2.1 Ιστορικό
Το γερμανικό κρατίδιο της Έσσης (Essen) κατέχει ιστορικά την πρωτιά στην
θέσπιση ρυθμιστικού πλαισίου, όσον αφορά τα δεδομένα προσωπικού χαρακτήρα,
εκδίδοντας τον πρώτο παγκοσμίως νόμο για την προστασία τους το 1970, ο οποίος
ίσχυε μόνο στο συγκεκριμένο κρατίδιο12. Το 1973, η Σουηδία εξέδωσε τον πρώτο
παγκοσμίως εθνικό νόμο για την προστασία των δεδομένων προσωπικού χαρακτήρα13.
Ακολούθησαν οι εθνικές νομοθεσίες της Ομοσπονδιακής Δημοκρατίας της Γερμανίας
(1976), της Αυστρίας, της Γαλλίας (1977), της Δανίας και της Νορβηγίας (1978)14. Η
τακτική θέσπισης νομοθετημάτων για την προστασία δεδομένων προσωπικού
χαρακτήρα συνεχίστηκε από την Μεγάλη Βρετανία (1984), την Ιρλανδία (1988), την
Ολλανδία (1988), το Βέλγιο (1988) και το Λουξεμβούργο (1988)15.
Ακολούθως, το 1995 και ενώ ένας ικανός αριθμός κρατών μελών είχε ήδη
θεσπίσει εθνική νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα, η
ανάγκη για εναρμόνιση των νομοθεσιών αυτών17 οδήγησε την έκδοση της Οδηγίας
10
Βλ. άρθρο 7 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
11
Βλ. άρθρο 12 της Οικουμενικής Διακήρυξης για τα Ανθρώπινα Δικαιώματα.
12
Βλ. Εγχειρίδιο σχετικά με την ευρωπαϊκή νομοθεσία για την προστασία των προσωπικών δεδομένων,
Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, 2019, σελ. 22.
13
Βλ. ό.π., σελ. 35.
14
Βλ. Ι. Ιγγλεζάκης, Δίκαιο της Πληροφορικής, 2008, σελ. 221.
15
Βλ. Εγχειρίδιο, ό.π., σελ. 35.
16
Βλ. ό.π., σελ. 29.
17
Βλ. ό.π., σελ. 35.
10
95/46/EK18 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου
1995, για την «Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων
προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών».
Στην Ελλάδα με αφορμή την επιθυμία για εναρμόνιση με την εν λόγω οδηγία
ψηφίστηκε, δύο χρόνια αργότερα, ο νόμος 2472/199719 για την «Προστασία του ατόμου
από την επεξεργασία δεδομένων προσωπικού χαρακτήρα».
18
Βλ. L 281 https://eur-lex.europa.eu/legal-
content/EL/TXT/?uri=uriserv:OJ.L_.1995.281.01.0031.01.ELL&toc=OJ:L:1995:281:TOC
19
Διαθέσιμο: https://www.dpa.gr/portal/page?_pageid=33,19052&_dad=portal&_schema=PORTAL#1
20
Διαθέσιμο: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/181
21
Βλ. Εγχειρίδιο, ό.π., σελ. 36.
22
Εκτός των διατάξεων που αναφέρονται ρητά στο άρθρο 84 του νόμου 4624/2019.
23
Διαθέσιμο: https://www.lawspot.gr/nomikes-plirofories/nomothesia/nomos-4624-2019
24
Βλ. άρθρο 1 του νομού 4624/2019.
11
Χαρακτήρα, τη λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679 και την
ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/68025 του Ευρωπαϊκού
Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την «Προστασία των
φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από
αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης
ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη
κυκλοφορία των δεδομένων αυτών».
25
Βλ. L 119/89 https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32016L0680&from=EN
26
Βλ. Ι. Ιγγλεζάκης, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (Κανονισμός 2016/679),
Εισαγωγή στο νέο νομικό πλαίσιο προστασίας προσωπικών δεδομένων, 2018, σελ. 15.
27
Βλ. ό.π., σελ. 24.
28
Βλ. ό.π., σελ. 16.
29
Βλ. Εγχειρίδιο, ό.π., σελ. 37.
30
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 16.
31
Βλ. ό.π., σελ. 11.
32
Βλ. Εγχειρίδιο, ό.π., σελ. 37.
12
προστασίας των δεδομένων εξ’ ορισμού (Data Protection by Default) και την
προσέγγιση με βάση την επικινδυνότητα33.
Από τον Κανονισμό (ΕΕ) 2016/679, αντλούμε εννέα (9) σημαντικές τομές
αναφορικά με την προστασία των δεδομένων προσωπικού χαρακτήρα:
• Ισχυρή πρόβλεψη για την διασφάλιση της ελεύθερης ροής των προσωπικών
δεδομένων35.
13
τροποποιώντας σημαντικά το σχήμα της διαφύλαξης αυτών στο πλαίσιο των
οικονομικών και κοινωνικών προκλήσεων της ψηφιακής εποχής και παράλληλα
δημιούργησε την ανάγκη για μία ολιστική αναπροσαρμογή των κανόνων, των μεθόδων
και των διαδικασιών προστασίας των δεδομένων προσωπικού χαρακτήρα τόσο από τις
δημόσιες αρχές ή υπηρεσίες, όσο και από τις ιδιωτικές εταιρίες, επιχειρήσεις και
οργανισμούς, εντός και εκτός της ΕΕ.
14
3. Ανάλυση βασικών εννοιών
3.1 Ιδιωτικότητα
Το 1890, οι Brandeis και Warren στο άρθρο με τίτλο «The right to privacy»46
χρησιμοποίησαν τη φράση «Tο δικαίωμα να μένεις μόνος» (The right to be left alone),
σε μία πρώτη προσπάθεια να περιγράψουν το δικαίωμα του ατόμου στην ιδιωτικότητα.
To 1980, η Ruth Gavison προσδιόρισε τρία κυρίαρχα δομικά στοιχεία στη φύση της
ιδιωτικότητας, τη μυστικότητα (secrecy), την ανωνυμία (anonymity) και τη μοναξιά
(solitude)47. Ο Edward Bloustein έθεσε το δικαίωμα του ατόμου στην ιδιωτικότητα ως
απαραίτητη προϋπόθεση για την ανθρώπινη αξιοπρέπεια 48, ενώ ο James Rachels ως
αναγκαία προϋπόθεση για την ανάπτυξη της διαφορετικότητας και του νοήματος στις
43
Βλ. Εγχειρίδιο, ό.π., σελ. 21.
44
Βλ. ό.π., σελ. 20.
45
Βλ. A. F. Westin, Social and political dimensions of privacy, Journal of social issues, 59(2), 431-453.
46
Διαθέσιμο: http://groups.csail.mit.edu/mac/classes/6.805/articles/privacy/Privacy_brand_warr2.html
47
Διαθέσιμο: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2060957
48
Διαθέσιμο: http://courses.ischool.berkeley.edu/i205/s10/readings/week11/bloustein-privacy.pdf
15
ανθρώπινες διαπροσωπικές σχέσεις49. Με την πάροδο του χρόνου, η κλασική αντίληψη
της ιδιωτικότητας εμπλουτίστηκε σημαντικά με επιμέρους δικαιώματα, όπως η
ελαχιστοποίηση των παρεμβάσεων, το δικαίωμα στο απόρρητο και το δικαίωμα στην
ανωνυμία.
49
Διαθέσιμο: http://people.brandeis.edu/~teuber/Rachels_on_Privacy.pdf
50
Διαθέσιμο: https://www.ohchr.org/EN/UDHR/Documents/UDHR_Translations/grk.pdf
51
Διαθέσιμο:
https://www.unric.org/el/index.php?option=com_content&view=article&id=26230&Itemid=33
52
Διαθέσιμο: https://www.europarl.europa.eu/charter/pdf/text_en.pdf
53
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 40.
54
«Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική
ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη
συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών
δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την
υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο
προσανατολισμό.»
55
Διαθέσιμο: http://www.et.gr/images/stories/eidika_themata/a_111_1975.pdf
56
Διαθέσιμο: https://synagonism.net/law/gr/s.1986.html
16
δεδομένων προσωπικού χαρακτήρα57. Το δικαίωμα προστασίας των δεδομένων
προσωπικού χαρακτήρα κατοχυρώθηκε με το άρθρο 9Α στην αναθεώρηση του
Ελληνικού Συντάγματος του 2001, το οποίο ορίζει ότι καθένας έχει δικαίωμα
προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των
προσωπικών του δεδομένων58. Στις αναθεωρήσεις του Ελληνικού Συντάγματος του
200859 και 201960 το εν λόγω άρθρο παρέμεινε αμετάβλητο.
57
Βλ. Ι. Ιγγλεζάκης, Το δικαίωμα στην ψηφιακή λήθη, σελ. 25.
58
Διαθέσιμο: https://www.refworld.org/cgi-
bin/texis/vtx/rwmain/opendocpdf.pdf?reldoc=y&docid=4c57b98d2
59
Διαθέσιμο: https://www.hellenicparliament.gr/UserFiles/8c3e9046-78fb-48f4-bd82-
bbba28ca1ef5/SYNTAGMA.pdf
60
Διαθέσιμο: https://www.hellenicparliament.gr/Vouli-ton-Ellinon/To-Politevma/Syntagma/article-9a/
61
Βλ. αποφάσεις 53/2000 και 32/2005 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
62
Βλ. άρθρο 4 του Κανονισμού (ΕΕ) 2016/679.
17
συγκέντρωσης και του συνδυασμού διαφορετικών αλλά συμπληρωματικών
πληροφοριών.
63
Βλ. αιτιολογική σκέψη αρ. 30 του Κανονισμού (ΕΕ) 2016/679.
64
Βλ. Ι. Ιγγλεζάκης, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων, σελ. 41.
65
Βλ. Εγχειρίδιο, ό.π., σελ. 114.
66
Βλ. άρθρο 9 του Κανονισμού (ΕΕ) 2019/679.
67
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 49.
68
Βλ. ό.π., σελ. 48.
69
Βλ. Εγχειρίδιο, ό.π., σελ. 106.
70
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 43.
18
σε επεξεργασία. Στόχος του Κανονισμού (ΕΕ) 2016/679 δεν είναι να προστατεύσει τα
δεδομένα αλλά το φυσικό πρόσωπο φορέα των δεδομένων αυτών. Θα πρέπει επίσης να
σημειώσουμε ότι σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 προστατεύονται μόνο τα
(ζώντα) φυσικά πρόσωπα και όχι τα νομικά πρόσωπα όπως για παράδειγμα σωματεία,
εταιρίες και επιχειρήσεις71.
3.4 Επεξεργασία
71
Βλ. αιτιολογικές σκέψεις αρ. 14 και 27 του Κανονισμού (ΕΕ) 2016/679.
72
Βλ. άρθρο 4 του Κανονισμού (ΕΕ) 2016/679.
73
Βλ. Εγχειρίδιο, ό.π., σελ. 127.
74
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 53.
75
Βλ. ό.π., σελ. 53.
76
Βλ. ό.π., σελ. 50.
77
Βλ. άρθρο 4 του Κανονισμού (ΕΕ) 2016/679.
19
συνέπεια αυτού του γεγονότος φέρει και την συνολική την ευθύνη αυτής,
συμπεριλαμβανομένης της νομικής. Επιπρόσθετα, σημειώνουμε ότι ο σκοπός της
επεξεργασίας αναφέρεται στο ειδικό συμφέρον που υπηρετείται με την επεξεργασία,
ενώ ο τρόπος αναφέρεται στις μεθόδους και τα μέσα που χρησιμοποιούνται κατά την
διάρκειά της, για παράδειγμα μέσω του διαδικτύου ή το ανθρώπινο δυναμικό
αντίστοιχα78.
78
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 54.
79
Βλ. Γνώμη 1/2010 σχετικά µε τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος
την επεξεργασία», σελ. 19.
80
Βλ. άρθρο 4 του Κανονισμού (ΕΕ) 2016/679.
81
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 56.
82
Βλ. Βλ. ό.π., σελ. 56.
20
Επιπρόσθετα, ενδέχεται ο ίδιος ο υπεύθυνος επεξεργασίας να εκτελεί την
επεξεργασία των δεδομένων προσωπικού χαρακτήρα με ιδία μέσα, οπότε και ο ρόλος
του εκτελούντος την επεξεργασία απαλείφεται, αλλά και εκτελών την επεξεργασία να
αποκτά τον ρόλο και τις ευθύνες του υπεύθυνου επεξεργασίας, όταν επεξεργάζεται τα
δεδομένα προσωπικού χαρακτήρα για δικούς του σκοπούς83.
Καθώς, σύμφωνα με την Ομάδα Εργασίας του Άρθρου 29, η ίδια οντότητα
μπορεί να ενεργεί ταυτόχρονα ως εκτελών την επεξεργασία για ορισμένες εργασίες
επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ως υπεύθυνος της επεξεργασίας
για άλλες84, κρίνεται απαραίτητο για λόγους διαφάνειας και σαφήνειας, οι λεπτομέρειες
της σχέσης ανάμεσά τους, να καταγράφονται με κάθε λεπτομέρεια και ευκρίνεια σε μία
γραπτή σύμβαση85. Σε μία τέτοια σύμβαση θα πρέπει να αναφέρεται, μεταξύ άλλων, η
φύση, το αντικείμενο, η διάρκεια και σαφώς ο σκοπός της επεξεργασίας, οι κατηγορίες
υποκειμένων των δεδομένων και το είδος των δεδομένων προσωπικού χαρακτήρα.
3.7 Συγκατάθεση
83
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 57.
84
Βλ. Γνώμη 1/2010, ό.π., σελ. 30.
85
Βλ. Εγχειρίδιο, ό.π., σελ. 140.
86
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 57.
87
Βλ. άρθρο 4 του Κανονισμού (ΕΕ) 2016/679.
88
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ.58.
21
• Ελεύθερη. Το υποκείμενο τον δεδομένων δεν θα πρέπει να αισθάνεται ότι
εξαναγκάζεται να συγκατατεθεί ή ακόμη και ότι ενδέχεται να υποστεί
δυσάρεστες αρνητικές συνέπειες εάν δεν το πράξει89.
89
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 70.
90
Βλ. ό.π., σελ. 72.
91
Βλ. ό.π., σελ. 73.
92
Βλ. αιτιολογική σκέψη αρ. 32 του Κανονισμού (ΕΕ) 2016/679.
93
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 74.
22
4. Δικαιώματα του υποκείμενου των δεδομένων
Όπως αναφέρθηκε και στην Ενότητα 2.2, ο Κανονισμός (ΕΕ) 2016/679 ενισχύει
τα παλαιά δικαιώματα του υποκειμένου των δεδομένων και εισάγει νέα δικαιώματα,
όπως το δικαίωμα στην φορητότητα και το δικαίωμα στη λήθη94.
94
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 11.
95
Βλ. άρθρα 13 έως 22 του Κανονισμού (ΕΕ) 2016/679.
96
Βλ. αιτιολογική σκέψη αρ. 58 του Κανονισμού 2016/679.
97
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 94.
98
Βλ. άρθρο 13 του Κανονισμού (ΕΕ) 2016/679.
99
Βλ. άρθρο 14 του Κανονισμού (ΕΕ) 2016/679.
100
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 100.
23
δεδομένων 101. Επιπρόσθετα, στην περίπτωση που τα δεδομένα προσωπικού χαρακτήρα
δεν συλλέχθηκαν απευθείας από το υποκείμενο των δεδομένων, ο υπεύθυνος
επεξεργασίας οφείλει να το ενημερώσει σχετικά με την πηγή προέλευσης αυτών102.
101
Βλ. άρθρο 14 παράγραφο 3 και άρθρο 14 παράγραφο 4 του Κανονισμού (ΕΕ) 2016/679.
102
Βλ. άρθρο 14 παράγραφο 2 του Κανονισμού (ΕΕ) 2016/679.
103
Βλ. άρθρο 14 παράγραφο 5 του Κανονισμού (ΕΕ) 2016/679.
104
Διαθέσιμο: https://fra.europa.eu/el/eu-charter/article/8-prostasia-ton-dedomenon-prosopikoy-
haraktira
105
Βλ. άρθρο 15 παράγραφο 1 του Κανονισμού (ΕΕ) 2016/679.
24
επεξεργασίας τους, τις κατηγορίες τους, τους αποδέκτες τους, το χρονικό διάστημα το
οποίο θα διατηρηθούν και την πηγή προέλευσής τους106. Επίσης, ο υπεύθυνος
επεξεργασίας έχει την υποχρέωση να παράσχει, χωρίς κόστος, αντίγραφο των
δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, υπό την
προϋπόθεση ότι δεν επηρεάζονται δυσμενώς δικαιώματα και ελευθερίες τρίτων107.
106
Βλ. άρθρο 15 παράγραφο 1 του Κανονισμού (ΕΕ) 2016/679.
107
Βλ. άρθρο 15 παραγράφους 3 και 4 του Κανονισμού (ΕΕ) 2016/679.
108
Βλ. άρθρο 16 του Κανονισμού (ΕΕ) 2016/679.
109
«Τα δεδομένα προσωπικού χαρακτήρα είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται·
πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων
προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας
(ακρίβεια)»
110
Διαθέσιμο: https://fra.europa.eu/el/eu-charter/article/8-prostasia-ton-dedomenon-prosopikoy-
haraktira
111
Βλ. άρθρο 19 του Κανονισμού (ΕΕ) 2016/679.
112
Βλ. άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
25
συνεπώς δεν μπορεί να τα αναπαραγάγει. Πρόκειται για το δικαίωμα ενός φυσικού
προσώπου να μπορεί, υπό προϋποθέσεις, να διαγράψει από το διαδίκτυο πληροφορίες
που αφενός δεν επιθυμεί να είναι διαθέσιμες και αφετέρου δεν είναι χρήσιμες ή
κρίσιμες για την ενημέρωση του κοινωνικού συνόλου.
Οι προϋποθέσεις, υπό τις οποίες ένα φυσικό πρόσωπο δύναται να αιτηθεί την
διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν, είναι οι εξής113:
113
Βλ. άρθρο 19 του Κανονισμού (ΕΕ) 2016/679.
114
Βλ. αιτιολογική σκέψη αρ. 65 του Κανονισμού (ΕΕ) 2016/679.
26
Επιπρόσθετα, ο Κανονισμός (ΕΕ) 2016/679 υποχρεώνει τον υπεύθυνο
επεξεργασίας να ανακοινώσει, όταν είναι δυνατό ή δεν συνεπάγεται δυσανάλογη
προσπάθεια από μέρους του, κάθε διαγραφή σε κάθε αποδέκτη στον οποίο
γνωστοποιήθηκαν τα επηρεαζόμενα δεδομένα προσωπικού χαρακτήρα115.
27
υπόκειται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος δημοσίου
συμφέροντος ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο
επεξεργασίας123. Τέλος, το δικαίωμα στη φορητότητα δεν θα πρέπει να επηρεάζει
δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων124 και να θίγει την άσκηση των
υπολοίπων δικαιωμάτων του υποκειμένου των δεδομένων, τα οποία ασκούνται
ανεξάρτητα125.
123
Βλ. άρθρο 6 παράγραφο 1 του Κανονισμού (ΕΕ) 2016/679.
124
Βλ. άρθρο 20 παράγραφο 4 του Κανονισμού (ΕΕ) 2016/679.
125
Βλ. Εγχειρίδιο, ό.π., σελ. 287.
126
Βλ. άρθρο 18 παράγραφο 1 του Κανονισμού (ΕΕ) 2016/679.
127
Βλ. άρθρο 18 παράγραφο 3 του Κανονισμού (ΕΕ) 2016/679.
128
Βλ. αιτιολογική σκέψη αρ. 67 του Κανονισμού (ΕΕ) 2016/679.
129
Βλ. άρθρα 21 και 22 του Κανονισμού (ΕΕ) 2016/679.
28
Το δικαίωμα εναντίωσης προβλέπει ότι το υποκείμενο των δεδομένων έχει την
δυνατότητα να εγείρει αντιρρήσεις, ανά πάσα στιγμή, για λόγους που σχετίζονται με
την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα
που το αφορούν, όταν η νομική βάση για την επεξεργασία είναι η εκτέλεση καθήκοντος
για λόγους δημόσιου συμφέροντος από τον υπεύθυνο επεξεργασίας ή όταν η
επεξεργασία βασίζεται στα έννομα συμφέροντα του υπευθύνου επεξεργασίας 130.
Φυσικά, κάθε αίτημα εναντίωσης για να ικανοποιηθεί θα πρέπει να είναι επαρκώς
αιτιολογημένο, ώστε να διαπιστώνεται η τήρηση των προϋποθέσεων του άρθρου131.
130
Βλ. άρθρο 21 του Κανονισμού (ΕΕ) 2016/679.
131
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 106.
132
Βλ. ό.π., σελ. 106.
133
Βλ. Εγχειρίδιο, ό.π., σελ. 289.
134
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 106.
135
Βλ. Εγχειρίδιο, ό.π., σελ. 289.
29
αξιολογούνται προσωπικές πτυχές που το αφορούν και η οποία παράγει έννομα
αποτελέσματα ή έχει παρόμοιες σημαντικές συνέπειες στη ζωή του136.
136
Βλ. άρθρο 22 παράγραφο 1 του Κανονισμού (ΕΕ) 2016/679.
137
Βλ. αιτιολογική σκέψη αρ. 71 και άρθρο 4 παράγραφο 4 του Κανονισμού (ΕΕ) 2016/679.
138
Βλ. άρθρο 22 παράγραφο 2 του Κανονισμού (ΕΕ) 2016/679.
30
5. Υποχρεώσεις ΥΕ και ΕτΕ
Όπως αναφέρθηκε και στην Ενότητα 2.2, ο Κανονισμός (ΕΕ) 2016/679 εισάγει
μία σειρά νέων υποχρεώσεων για τον υπεύθυνο επεξεργασίας αλλά και για τον εκτελών
την επεξεργασία.
5.1 Λογοδοσία
139
Βλ. άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
140
Βλ. άρθρο 24 του Κανονισμού (ΕΕ) 2016/679.
141
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 120.
142
Βλ. άρθρο 25 του Κανονισμού (ΕΕ) 2016/679.
143
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 121.
144
Βλ. άρθρο 25 του Κανονισμού (ΕΕ) 2016/679.
145
Βλ. άρθρο 5 παράγραφο 1.γ του Κανονισμού (ΕΕ) 2016/679.
31
αδυναμία πρόσβασης σε αυτά από αόριστο αριθμό φυσικών προσώπων, χωρίς την
παρέμβαση του υποκειμένου των δεδομένων146.
146
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 126.
147
Βλ. άρθρο 30 του Κανονισμού (ΕΕ) 2016/679.
148
Βλ. αιτιολογική σκέψη αρ. 82 του Κανονισμού (ΕΕ) 2016/679.
149
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 135 και 136.
150
Βλ. άρθρο 32 του Κανονισμού (ΕΕ) 2016/679.
151
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 143.
152
Βλ. ό.π., σελ. 143.
153
Βλ. ό.π., σελ. 144.
154
Βλ. άρθρο 33 του Κανονισμού (ΕΕ) 2016/679.
32
όταν η παραβίαση ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις
ελευθερίες του155. Ο εκτελών την επεξεργασία έχει την υποχρέωση να ενημερώσει
άμεσα τον υπεύθυνο επεξεργασίας όταν αντιληφθεί οποιαδήποτε παραβίαση δεδομένων
προσωπικού χαρακτήρα156. Η γνωστοποίηση και ανακοίνωση παραβίασης δεδομένων
προσωπικού χαρακτήρα εντάσσεται στο ίδιο πλαίσιο με τα μέτρα ασφαλείας και έχει ως
στόχο να προστατεύσει την ιδιωτικότητα του φυσικού προσώπου και όχι να
διασφαλίσει το απόρρητο των πληροφοριών157.
155
Βλ. άρθρο 34 του Κανονισμού (ΕΕ) 2016/679.
156
Βλ. άρθρο 33 του Κανονισμού (ΕΕ) 2016/679.
157
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 151.
158
Βλ. άρθρο 35 του Κανονισμού (ΕΕ) 2016/679.
159
Βλ. άρθρο 36 του Κανονισμού (ΕΕ) 2016/679.
160
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 170.
161
Βλ. άρθρο 37 του Κανονισμού (ΕΕ) 2016/679.
162
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 191.
33
Κανονισμό (ΕΕ) 2016/679, η παροχή συμβουλών για την εκτίμηση των επιπτώσεων
στην προστασία δεδομένων, η παρακολούθηση της συμμόρφωσης με τον Κανονισμό
(ΕΕ) 2016/679 και η συνεργασία καθώς και η συνεχής επικοινωνία με την εκάστοτε
εποπτική αρχή163. Η εισαγωγή του θεσμού του υπεύθυνου προστασίας δεδομένων,
υποχρεώνει στην ουσία τον υπεύθυνο επεξεργασίας και τον εκτελών την επεξεργασία,
να δημιουργήσουν ένα ανεξάρτητο εσωτερικό σύστημα ελέγχου και συμμόρφωσης με
τις διατάξεις του Κανονισμού (ΕΕ) 2016/679164.
163
Βλ. άρθρο 39 του Κανονισμού (ΕΕ) 2016/679.
164
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 187.
34
6. Αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήρα
Η αρχή του περιορισμού του σκοπού ορίζει ότι κάθε επεξεργασία δεδομένων
προσωπικού χαρακτήρα πρέπει να εκτελείται για συγκεκριμένο, σαφώς οριοθετημένο,
νόμιμο σκοπό και μόνο για πρόσθετους, συγκεκριμένους σκοπούς οι οποίοι είναι
συνεπείς με τον αρχικό171. Η εν λόγω αρχή συγκαταλέγεται στις θεμελιώδεις αρχές του
165
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 63.
166
Βλ. στοιχείο α, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
167
Βλ. άρθρα 6, 7 και 8 του Κανονισμού (ΕΕ) 2016/679.
168
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 64.
169
Βλ. Εγχειρίδιο, ό.π., σελ. 151.
170
Βλ. ό.π., σελ. 153.
171
Βλ. στοιχείο β, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
35
Κανονισμού (ΕΕ) 2016/679, καθώς η νομιμότητα της επεξεργασίας εξαρτάται και
κρίνεται από τον σκοπό αυτής172. Επιπρόσθετα, ένας σαφώς οριοθετημένος,
διατυπωμένος σε απλή και σαφή γλώσσα σκοπός, ο οποίος γνωστοποιείται στο
υποκείμενο των δεδομένων το αργότερο κατά την χρονική στιγμή της συλλογής των
δεδομένων, εξασφαλίζει στο υποκείμενο των δεδομένων την δυνατότητα άσκησης
ελέγχου επί αυτών και κατά συνέπεια την αποτελεσματική άσκηση των δικαιωμάτων
του173.
6.4 Ακρίβεια
172
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 64.
173
Βλ. Εγχειρίδιο, ό.π., σελ. 156.
174
Βλ. στοιχείο γ, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679
175
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 65.
176
Βλ. στοιχείο δ, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
177
Βλ. στοιχείο δ, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
36
προσωπικού χαρακτήρα αποτελεί καθήκον του υπευθύνου επεξεργασίας και δεν
απαιτείται δράση από το υποκείμενο των δεδομένων για την υλοποίησή της178.
178
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 66.
179
Βλ. στοιχείο ε, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
180
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 66.
181
Βλ. στοιχείο ε, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
182
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 66.
183
Βλ. στοιχείο στ, παράγραφος 1, άρθρο 5 του Κανονισμού (ΕΕ) 2016/679.
184
Βλ. Εγχειρίδιο, ό.π., σελ. 167.
37
σκοπούς της επεξεργασίας 185, ώστε να καθορίζουν, κατά περίπτωση, τα κατάλληλα
τεχνικά ή οργανωτικά μέτρα που εγγυώνται την ενδεδειγμένη ασφάλεια των δεδομένων
προσωπικού χαρακτήρα186.
6.7 Λογοδοσία
185
Βλ. άρθρο 32 παράγραφο 1 του Κανονισμού (ΕΕ) 2016/679.
186
Βλ. Εγχειρίδιο, ό.π., σελ. 167.
187
Βλ. άρθρο 5 παράγραφο 2 του Κανονισμού (ΕΕ) 2016/679.
188
Βλ. άρθρο 24 του Κανονισμού (ΕΕ) 2016/679.
189
Βλ. Εγχειρίδιο, ό.π., σελ. 171.
190
Βλ. Γνώμη 3/2010 σχετικά µε την αρχή της λογοδοσίας, σελ. 6.
38
7. Υπόθεση Google Spain κατά Costeja González
7.1 Ιστορικό
Απόφαση σταθμός, για την αναγνώριση του δικαιώματος στη λήθη, αποτέλεσε η
απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Google Spain SL και Google Inc.
κατά Agencia Española de Protección de Datos (AEPD) και Mario Costeja González
(εν συντομία Google Spain κατά Costeja Gonzalez)191. Στις 5 Μαρτίου 2010, ένας
Ισπανός πολίτης, ο Mario Costeja Gonzalez, υπέβαλε στην Ισπανική Αρχή Προστασίας
Προσωπικών Δεδομένων (AEPD) καταγγελία κατά της ισπανικής εταιρίας La
Vanguardia Ediciones SL, που εκδίδει καθημερινή εφημερίδα μεγάλης κυκλοφορίας
στην Ισπανία, καθώς και κατά της Google Spain και της Google Inc. Ο Mario Costeja
Gonzalez υποστήριξε ότι οποιοσδήποτε χρήστης του διαδικτύου εισήγαγε το
ονοματεπώνυμό του στη μηχανή αναζήτησης της Google, θα λάμβανε ως αποτέλεσμα
έναν ικανό αριθμό συνδέσμων προς δύο σελίδες της ισπανικής εφημερίδας,
δημοσιευμένες τον Ιανουάριο και τον Μάρτιο 1998. Στις εν λόγω σελίδες
περιλαμβανόταν ανακοίνωση, με το ονοματεπώνυμό του, για πλειστηριασμούς
ακινήτων κατόπιν κατασχέσεως που του είχε επιβληθεί, λόγω κοινωνικοασφαλιστικών
οφειλών.
191
Διαθέσιμο:
http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5639e83654048422da6e7
de91090c87bb.e34KaxiLc3eQc40LaxqMbN4PaNeTe0?text=&docid=152065&pageIndex=0&doclang=EL&
mode=lst&dir=&occ=first&part=1&cid=1660135
39
Στις 30 Ιουλίου 2010, η Ισπανική Αρχή Προστασίας Προσωπικών Δεδομένων
απέρριψε το αίτημα ως προς την ισπανική εφημερίδα, εκτιμώντας ότι η δημοσίευση
των επίμαχων πληροφοριών ήταν από νομικής άποψης δικαιολογημένη, δεδομένου ότι
πραγματοποιήθηκε με εντολή του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων
και είχε ως στόχο να δώσει τη μεγαλύτερη δυνατή δημοσιότητα στη διαδικασία του
πλειστηριασμού, ώστε να συγκεντρωθεί ο μεγαλύτερος δυνατός αριθμός
ενδιαφερομένων.
Αντιθέτως, έκανε δεκτό το αίτημα ως προς την Google Spain και την Google
Inc. Η Ισπανική Αρχή Προστασίας Προσωπικών Δεδομένων έκρινε σχετικά ότι οι
φορείς εκμετάλλευσης των μηχανών αναζήτησης εμπίπτουν στη νομοθεσία περί
προστασίας των δεδομένων προσωπικού χαρακτήρα, δεδομένου ότι πραγματοποιούν
επεξεργασία δεδομένων για την οποία φέρουν πλήρη ευθύνη και ότι ασκούν
δραστηριότητες ενδιάμεσου στην κοινωνία της πληροφορίας. Επιπρόσθετα, η Ισπανική
Αρχή Προστασίας Προσωπικών Δεδομένων εκτίμησε ότι έχει την εξουσία να επιβάλλει
την υποχρεωτική απόσυρση των δεδομένων αυτών και την απαγόρευση πρόσβασης των
φορέων εκμετάλλευσης των μηχανών αναζήτησης σε ορισμένα δεδομένα, εφόσον
κρίνει ότι ο γεωγραφικός εντοπισμός τους ή η διάδοσή τους ενδέχεται να θίγουν το
θεμελιώδες δικαίωμα της προστασίας των δεδομένων προσωπικού χαρακτήρα καθώς
και την αξιοπρέπεια του επηρεαζόμενου φυσικού προσώπου στην ευρύτερη έννοια της,
στην οποία περιλαμβάνεται και η απλή επιθυμία του ενδιαφερόμενου φυσικού
προσώπου να μην γνωστοποιούνται τα δεδομένα προσωπικού χαρακτήρα που το
αφορούν του σε τρίτους. Επιπλέον, η Ισπανική Αρχή Προστασίας Προσωπικών
Δεδομένων έκρινε ότι η υποχρέωση αυτή μπορεί να βαρύνει απευθείας τους φορείς
εκμετάλλευσης των μηχανών αναζήτησης, χωρίς να είναι απαραίτητη η απόσυρση των
δεδομένων προσωπικού χαρακτήρα από τον εκάστοτε ιστότοπο εντός του οποίου
περιλαμβάνονται, ιδίως όταν η διατήρηση των πληροφοριών αυτών είναι από νομικής
άποψης δικαιολογημένη. Δεδομένων των ανωτέρω, η Ισπανική Αρχή Προστασίας
Προσωπικών Δεδομένων ζήτησε τόσο από την Google Spain όσο και από την Google
Inc., να λάβουν όλα τα απαραίτητα μέτρα, ώστε να διαγραφούν από το ευρετήριό τους
τα επίμαχα δεδομένα.
Ακολούθως, οι Google Spain και Google Inc. προσέβαλαν την απόφαση της
Ισπανικής Αρχής Προστασίας Προσωπικών Δεδομένων ενώπιον του Audiencia
Nacional (Ανώτερο Ισπανικό Δικαστήριο), ζητώντας την ακύρωσή της. Το Ανώτερο
40
Ισπανικό Δικαστήριο αποφάσισε να συνεκδικάσει τις δύο υποθέσεις. Στο πλαίσιο αυτό,
το Ανώτερο Ισπανικό Δικαστήριο απευθύνθηκε στο Δικαστήριο της ΕΈ, θέτοντας του
μία σειρά από προδικαστικά ερωτήματα, με κύριο ζήτημα το κατά πόσο οι διατάξεις
της Οδηγίας 95/46/EK μπορούσαν να αποτελέσουν νόμιμη βάση για την αξίωση
αφαίρεσης των αποτελεσμάτων.
192
Βλ. διατακτικό 1 της υπόθεσης C‑131/12.
193
Βλ. σκέψεις 26,27,28,29,30 και 31 της υπόθεσης C‑131/12.
194
Βλ. Ι. Ιγγλεζάκης, Τhe Right To Be Forgotten in the Google Spain Case (case C-131/12): A Clear Victory
for Data Protection or an Obstacle for the Internet?, σελ. 6.
195
Βλ. διατακτικό 1 της υπόθεσης C‑131/12.
196
Βλ. σκέψεις 32,33,34,35,36 και 37 της υπόθεσης C‑131/12.
197
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 8.
198
Βλ. στοιχείο α, παράγραφος 1, άρθρο 4 της Οδηγίας 95/46/ΕΚ.
41
επεξεργασία δεδομένων προσωπικού χαρακτήρα, πραγματοποιείται στο πλαίσιο των
δραστηριοτήτων της εγκατάστασης αυτής και κατά συνέπεια ότι η Google Inc.
υπόκειται στην Οδηγία 95/46/EK199200.
199
Βλ. σκέψεις 49, 60 και διατακτικό 2 της υπόθεσης C‑131/12.
200
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 8.
201
Βλ. σκέψεις 68, 69, 80, 81 87, 88 και διατακτικό 3 της υπόθεσης C‑131/12.
202
Βλ. σκέψεις 88 και διατακτικό 3 της υπόθεσης C‑131/12.
203
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 9.
204
Βλ. σκέψη 93 και διατακτικό 4 της υπόθεσης C‑131/12.
205
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 10.
206
Βλ. σκέψεις 92, 93, 94, 96, 98 και διατακτικό 4 της υπόθεσης C‑131/12.
42
αρκετά ώστε να περιορίσουν τα δικαιώματα του υποκειμένου των δεδομένων και
ιδιαίτερα το δικαίωμά του στην ιδιωτική ζωή207.
7.3 Σχολιασμός
207
Βλ. σκέψεις 97, 99 και διατακτικό 4 της υπόθεσης C‑131/12.
208
Βλ. άρθρο 12 της Οδηγίας 95/46/ΕΚ.
209
Βλ. άρθρο 14 της Οδηγίας 95/46/ΕΚ.
210
Βλ. διατακτικό 3 της υπόθεσης C‑131/12.
211
Βλ. A. Rallo, The right to be forgotten on the Internet: Google v Spain, 2018, σελ. 188.
212
Βλ. Επικαιροποίηση της γνώμης 8/2010 για το εφαρμοστέο δίκαιο υπό το πρίσμα της απόφασης του
ΔΕΕ στην υπόθεση Google Spain, σελ. 8.
213
Βλ. σκέψη 28 της υπόθεσης C‑131/12.
214
Βλ. σκέψη 29 της υπόθεσης C‑131/12.
215
Βλ. σκέψη 31 της υπόθεσης C‑131/12.
43
εργασιών μίας μηχανής αναζήτησης να χαρακτηριστεί ως ενδιάμεση παροχή
υπηρεσιών216.
Ιδιαίτερη μνεία πρέπει να γίνει και στο γεγονός ότι με την εν λόγω απόφαση, το
Δικαστήριο της ΕΕ επέκτεινε την έννοια της εδαφικότητας που κατοχυρώνεται στην
Οδηγία 95/46/ΕΚ217, καθώς υπογράμμισε ότι η επεξεργασία δεδομένων προσωπικού
χαρακτήρα από μία μηχανή αναζήτησης, η οποία εκτελείται από εταιρεία εκτός της ΕΕ,
αλλά η οποία διατηρεί υποκατάστημα ή θυγατρική σε κράτος μέλος της ΕΕ, αποτελεί
επεξεργασία που πραγματοποιείται στο πλαίσιο των δραστηριοτήτων της
εγκαταστάσεως αυτής, όταν η τελευταία έχει σκοπό να προωθήσει και να πουλήσει
στους κατοίκους του συγκεκριμένου κράτους μέλους, διαφημιστικό χώρο ο οποίος
συντελεί στην κερδοφορία της μηχανής αναζήτησης218. Αναφορικά με την επέκταση
της έννοιας της εδαφικότητας, η Ομάδα Εργασίας του Άρθρου 29 σημειώνει ότι η
απόφαση του Δικαστηρίου της ΕΕ καθιστά σαφές πλέον, ότι το πεδίο εφαρμογής της
τρέχουσας νομοθεσίας της ΕΕ περιλαμβάνει και την επεξεργασία που διενεργείται από
οντότητες εκτός ΕΕ με «συναφή» εγκατάσταση, οι δραστηριότητες των οποίων στην
ΕΕ είναι «αδιάσπαστα συνδεδεμένες» με οικονομικές αποδόσεις που προήλθαν από
δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα219.
216
Βλ. A. Rallo, ό.π., σελ. 191.
217
Βλ. στοιχείο α, παράγραφος 1, άρθρο 4 της Οδηγίας 95/46/ΕΚ.
218
Βλ. σκέψη 60 και διατακτικό 2 της υπόθεσης C‑131/12.
219
Βλ. Επικαιροποίηση γνώμης 8/2010, ό.π., σελ. 9.
220
Βλ. σκέψεις 81, 97, 99 και διατακτικό 4 της υπόθεσης C‑131/12.
221
Βλ. A. Rallo, ό.π., σελ. 194.
222
Βλ. σκέψη 81 της υπόθεσης C‑131/12.
223
Βλ. σκέψη 85 της υπόθεσης C‑131/12.
44
το δικαίωμά του στην ιδιωτική ζωή, υπερέχουν έναντι των καθαρά εμπορικών και
οικονομικών συμφερόντων των φορέων εκμετάλλευσης των μηχανών αναζήτησης.
224
Βλ. άρθρο 7 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
225
Βλ. άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
226
Διαθέσιμο: https://www.europarl.europa.eu/charter/pdf/text_el.pdf
227
Βλ. άρθρο 11 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
228
Βλ. σκέψη 81 της υπόθεσης C‑131/12.
229
Βλ. σκέψη 81 και διατακτικό 4 της υπόθεσης C‑131/12.
230
Βλ. σκέψη 85 της υπόθεσης C‑131/12.
45
αναζήτησης231. Επιπρόσθετα, το Δικαστήριο της ΕΕ, αναγνωρίζει ότι η δραστηριότητα
των μηχανών αναζήτησης συμπληρώνει τη δραστηριότητα των εκδοτών
ιστοσελίδων232, αλλά υπογραμμίζει ότι η αυτοματοποιημένη, διαρκής και συστηματική
συλλογή, οργάνωση και καθολική διάθεση πληροφοριών από τις μηχανές αναζήτησης,
καθιστά ιδιαίτερα εύκολη την δημιουργία λεπτομερών προφίλ των υποκειμένων των
δεδομένων233. Αντίθετα, θεωρεί ότι αυτό είναι κάτι το οποίο δεν μπορεί να γίνει από
μία μεμονωμένη ιστοσελίδα234. Επιπλέον, τονίζει ότι η δραστηριότητα των μηχανών
αναζήτησης ενισχύει δραματικά235 την καθολική διάδοση των δεδομένων, σε αντίθεση
με την δραστηριότητα των εκδοτών μεμονωμένων ιστοσελίδων236. Κατά την ίδια
λογική, υπογραμμίζει ότι η δημοσίευση δεδομένων σε μία μεμονωμένη ιστοσελίδα, έχει
πολύ μικρότερες συνέπειες για το δικαίωμα του σεβασμού της προσωπικής ζωής και
την προστασία των προσωπικών δεδομένων ενός ατόμου, από την αντίστοιχη
δημοσίευση σε μία μηχανή αναζήτησης 237. Από τα ανωτέρω διαπιστώνουμε, ότι εκ
μέρους του Δικαστηρίου της ΕΕ υπάρχει μία ιδιαίτερη στόχευση του «αγγελιοφόρου»
έναντι της πηγής.
Τέλος, ιδιαίτερη αναφορά αξίζει να γίνει και στο γεγονός ότι, με την εν λόγω
απόφαση το Δικαστήριο της ΕΕ τόνισε πως ακόμη και η αρχικά σύννομη επεξεργασία
μη ανακριβών δεδομένων προσωπικού χαρακτήρα δύναται, κατά τη διάρκεια του
χρόνου, να καταστεί ασυμβίβαστη με την Οδηγία 95/46/EK, όταν τα εν λόγω δεδομένα
πάψουν πλέον να είναι αναγκαία για τους σκοπούς για τους οποίους συνελέγησαν ή
υποβλήθηκαν σε επεξεργασία238. Επιπρόσθετα, το Δικαστήριο της ΕΕ σημειώνει ότι οι
φορείς εκμετάλλευσης των μηχανών αναζήτησης οφείλουν να προχωρούν στη
διαγραφή των συνδέσμων από τον κατάλογο των αποτελεσμάτων, ο οποίος προκύπτει
κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο του υποκειμένου
των δεδομένων, όταν τα δεδομένα που περιέχονται σε αυτούς καθίστανται ακατάλληλα,
µη συναφή ή υπερβολικά σε σχέση µε τον σκοπό της αρχικής επεξεργασίας τους ή σε
σχέση με το χρόνο που έχει παρέλθει από αυτήν239. Από τα ανωτέρω διαπιστώνουμε,
231
Βλ. Φ. Παναγοπούλου, ό.π., σελ. 716.
232
Βλ. σκέψη 35 της υπόθεσης C‑131/12.
233
Βλ. σκέψεις 37 και 80 της υπόθεσης C‑131/12.
234
Βλ. σκέψη 80 της υπόθεσης C‑131/12.
235
Βλ. A. Rallo, ό.π., σελ. 193.
236
Βλ. σκέψεις 36 και 80 της υπόθεσης C‑131/12.
237
Βλ. σκέψεις 86 και 87 της υπόθεσης C‑131/12.
238
Βλ. σκέψη 93 της υπόθεσης C‑131/12.
239
Βλ. σκέψη 94 της υπόθεσης C‑131/12.
46
ότι το Δικαστήριο της ΕΕ αποδίδει ιδιαίτερη βαρύτητα στον παράγοντα του χρόνου,
καθώς τονίζει ότι η ποιότητα των δεδομένων προσωπικού χαρακτήρα επηρεάζεται από
την παρέλευσή του240, με αποτέλεσμα να κρίνεται θεμιτή η διαγραφή αυτών, χωρίς
επιπρόσθετη αιτίαση241.
240
Βλ. A. Rallo, ό.π., σελ. 197.
241
Βλ. σκέψη 96 της υπόθεσης C‑131/12.
242
Βλ. άρθρο 29 της Οδηγίας 95/46/ΕΚ.
243
Βλ. άρθρο 68 του Κανονισμού (ΕΕ) 2016/679.
244
Βλ. άρθρο 29 της Οδηγίας 95/46/ΕΚ.
245
Βλ. άρθρο 29 της Οδηγίας 95/46/ΕΚ.
246
Βλ. άρθρο 30 της Οδηγίας 95/46/ΕΚ.
247
Διαθέσιμο: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=667236
248
Δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής.
249
Δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα.
47
Στις ανωτέρω Κατευθυντήριες Γραμμές, η Ομάδα Εργασίας του Άρθρου 29
κατέγραψε ένα κατάλογο κοινών κριτηρίων αξιολόγησης250, για τον χειρισμό των
προσφυγών των υποκειμένων των δεδομένων από τις Αρχές Προστασίας Δεδομένων
των κρατών μελών, σε περίπτωση που οι φορείς εκμετάλλευσης των μηχανών
αναζήτησης απορρίψουν αξιώσεις διαγραφής συνδέσμων, προς ιστότοπους τρίτων, από
τον κατάλογο αποτελεσμάτων, ο οποίος εμφανίζεται κατόπιν αναζήτησης που έχει
διενεργηθεί με βάση το ονοματεπώνυμο των υποκειμένων των δεδομένων251.
Σημειώνουμε ότι, ο κατάλογος αυτός των κοινών κριτηρίων αξιολόγησης δεν είναι
εξαντλητικός. Αντιθέτως, η Ομάδα Εργασίας του Άρθρου 29, υπογραμμίζει πως
αποτελεί ένα ευέλικτο πλαίσιο μέσα στο το οποίο οι Αρχές Προστασίας Δεδομένων των
κρατών μελών μπορούν να κινηθούν κατά τη διαδικασία λήψης αποφάσεων, αλλά και
το οποίο μπορούν από κοινού να ενισχύσουν και να εμπλουτίσουν αξιοποιώντας την
εμπειρία που θα αποκομίσουν με την πάροδο του χρόνου252. Τα κοινά κριτήρια
αξιολόγησης που κατέγραψε η Ομάδα Εργασίας του Άρθρου 29 είναι, υπό μορφή
ερωτήσεων, τα εξής253:
250
Βλ. Κατευθυντήριες γραμμές σχετικά με την εφαρμογή της απόφασης του Δικαστηρίου της ΕΕ στην
υπόθεση C-131/12, «Google Spain SL και Google Inc. κατά Agencia Española de Protección de Datos
(AEPD) και Mario Costeja González», σελ. 16.
251
Βλ. ό.π., σελ. 15.
252
Βλ. ό.π., σελ. 15.
253
Βλ. ό.π., σελ. 17 έως 25.
48
o Συνδέεται το αποτέλεσμα της αναζήτησης με πληροφορίες που
φέρεται να συνιστούν ρητορική μίσους/συκοφαντική δυσφήμηση
ή ανάλογα αδικήματα στον τομέα της εκφράσεως κατά του
καταγγέλλοντος;
Ιδιαίτερη μνεία πρέπει να γίνει και στο γεγονός ότι, ενώ η απόφαση του
Δικαστηρίου της ΕΕ αναφέρεται αποκλειστικά στις μηχανές αναζήτησης, εντούτοις στις
εν λόγω Κατευθυντήριες Γραμμές, η Ομάδα Εργασίας του Άρθρου 29 δεν αποκλείει
την επέκτασή της και σε άλλους ενδιάμεσους φορείς254. Επιπλέον, τονίζει ότι κανένα
254
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 10.
49
από τα ανωτέρω κριτήρια δεν έχει αυτό καθαυτό καθοριστικό χαρακτήρα και συνεπώς
για τη λήψη μίας απόφασης πρέπει να ληφθούν υπόψη περισσότερα του ενός 255.
Επιπρόσθετα, υπογραμμίζει ότι κατά την αξιολόγηση των αιτημάτων των υποκειμένων
των δεδομένων, το θεμελιώδες δικαίωμα των ατόμων στην ελευθερία της έκφρασης και
στην πρόσβαση σε πληροφορίες, θα πρέπει να λαμβάνεται σοβαρά υπόψη256. Τέλος,
ιδιαίτερη αναφορά αξίζει να γίνει και στο γεγονός ότι, η Ομάδα Εργασίας του Άρθρου
29 εκτιμά πως ο αντίκτυπος της διαγραφής συνδέσμων από τον κατάλογο των
αποτελεσμάτων των μηχανών αναζήτησης, στα δικαιώματα των ατόμων στην
ελευθερία της έκφρασης και στην πρόσβαση σε πληροφορίες, θα είναι αρκετά
περιορισμένος257.
Η Google Inc. έκανε δεκτό το αίτημα διαγραφής των συνδέσμων για τις
αναρτήσεις που αφορούσαν την συμμετοχή του προσφεύγοντα στη Στοά της Ρώμης.
Αντίθετα, απέρριψε το αίτημα διαγραφής για τις αναρτήσεις που συσχέτιζαν τον
προσφεύγοντα µε σκάνδαλα και φαινόμενα διαφθοράς, κακοδιαχείρισης και
διασπάθισης του δημοσίου χρήματος κατά τη διάρκεια της θητείας του, θεωρώντας ότι
οι επίμαχες δημοσιεύσεις αφορούσαν ζητήματα μεγάλου ενδιαφέροντος για την κοινή
γνώμη, τα οποία μάλιστα άπτονταν της επαγγελματικής συμπεριφοράς του και ότι οι
πληροφορίες ήταν σχετικές και επίκαιρες.
255
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 15.
256
Βλ. ό.π., σελ. 15.
257
Βλ. ό.π., σελ. 2.
258
Διαθέσιμο: https://www.dpa.gr/portal/page?_pageid=33,15453&_dad=portal&_schema=PORTAL
50
H Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υπογράμμισε, ότι η
δυσφήμηση συνδέεται µε το κύρος και τη φήμη ενός ατόμου και όχι µε το δικαίωμά του
στην ιδιωτική ζωή, ότι δεν υπάρχει σχετική δικαστική απόφαση που να χαρακτηρίζει το
περιεχόμενο των δημοσιευμάτων ως αναληθές ή ανακριβές ή πλαστό και ότι ο
προσφεύγων αποτελεί πρόσωπο µε σημαντικό ρόλο στη δημόσια ζωή. Ως λογική
συνέχεια των εν λόγω επισημάνσεων, έκρινε ότι η αρνητική απάντηση που δόθηκε από
την Google Inc., στο αίτημά του περί κατάργησης των συνδέσμων που τον συσχέτιζαν
µε σκάνδαλα και φαινόμενα διαφθοράς, κακοδιαχείρισης και διασπάθισης του
δημοσίου χρήματος, είναι νόμιμα αιτιολογημένη.
Η Google Inc. απάντησε αρνητικά στο αίτημα για την κατάργηση του
συνδέσμου που οδηγούσε στην επίμαχη ανάρτηση, θεωρώντας ότι υπερείχε το
ενδιαφέρον της κοινής γνώμης σε σύγκριση με την επαγγελματική ζωή του
προσφεύγοντος. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με
επιστολή της προς την Google Inc., διαβίβασε δικαστική απόφαση με την οποία σε
δεύτερο βαθμό μεταβαλλόταν η πρωτόδικη απόφαση και παράλληλα υπογράμμιζε ότι η
επίμαχη ιστοσελίδα έχει προ πολλού καταστεί ανενεργή, καθιστώντας αδύνατη την
επικοινωνία με τον διαχειριστή της. Η Google Inc., στην απάντησή της, ενέμεινε στην
αρχική απόφαση της μη διαγραφής του συνδέσμου, λαμβάνοντας υπόψη την πρόσφατη
ηλικία των δεδομένων, το επάγγελμα του προσφεύγοντος ως ιατρού και τη σοβαρότητα
του εγκλήματος για το οποίο καταδικάστηκε.
51
καταδικαστική απόφαση ακυρώθηκε με την απόφαση του Εφετείου και ότι η
επικοινωνία με τον διαχειριστή της ιστοσελίδας είναι αδύνατη, ώστε να ζητηθεί η
διαγραφή ή τροποποίησή της. Ως λογική συνέχεια των εν λόγω επισημάνσεων,
αξιολόγησε υπέρτερη τη βλάβη που υφίσταται το υποκείμενο των δεδομένων και έκρινε
ότι η αρνητική απάντηση που δόθηκε από την Google Inc. δεν είναι νόμιμα
αιτιολογημένη.
Αρχικά, η Google Inc. απάντησε αρνητικά στο αίτημα για την κατάργηση των
συνδέσμων που οδηγούσαν στις επίμαχες ιστοσελίδες, θεωρώντας ότι οι επίμαχες
αναρτήσεις αφορούσαν διαφορετικό πρόσωπο και όχι την προσφεύγουσα και ότι κατά
συνέπεια δεν προκύπτει παραβίαση των δικαιωμάτων της. Η Αρχή Προστασίας
Δεδομένων Προσωπικού Χαρακτήρα, με επιστολή της προς την Google Inc., διαβίβασε
την υπό κρίση προσφυγή και παράλληλα ζήτησε από την Google Inc. να τεκμηριώσει
με ακρίβεια τον τρόπο με τον οποίο κατέληξε στο συμπέρασμα ότι οι επίμαχες
αναρτήσεις αφορούν σε διαφορετικό πρόσωπο και όχι στην προσφεύγουσα. Η Google
Inc., στην απάντησή της, αναθεώρησε τη θέση της και έκανε δεκτό το αίτημα
διαγραφής των συνδέσμων, καθιστώντας την προσφυγή άνευ αντικειμένου.
260
Διαθέσιμο: https://www.dpa.gr/portal/page?_pageid=33,15453&_dad=portal&_schema=PORTAL
52
Στην περίπτωση της απόφασης υπό αριθμό 25/2019261 το αίτημα του
προσφεύγοντα αφορούσε την άρνηση διαγραφής από την Google Inc., έπειτα από μία
σειρά αιτημάτων του, πληθώρας συνδέσμων που εμφανίζονταν στα αποτελέσματα
αναζήτησης µε βάση το ονοματεπώνυμό του. Οι εν λόγω σύνδεσμοι, παρέπεμπαν
αρχικά σε δημοσιεύσεις εφημερίδων και στην συνέχεια σε πληθώρα ιστοσελίδων, όπου
οι ίδιες πληροφορίες εμφανίζονταν αυτούσιες ή με μικρές παραλλαγές. Ο προσφεύγων
υποστήριξε πως τα δημοσιεύματα ήταν αναληθή και συκοφαντικά, ότι έθιγαν την
υπόληψη και την αξιοπιστία του και ότι δεν ήταν πλέον επίκαιρα.
Η Google Inc. απάντησε αρνητικά στο αίτημα για την κατάργηση των
συνδέσμων που οδηγούσαν στις επίμαχες αναρτήσεις θεωρώντας, μεταξύ άλλων, ότι η
επαγγελματική δραστηριότητα του προσφεύγοντος διαδραμάτιζε σημαντικό ρόλο στον
δημόσιο βίο.
261
Διαθέσιμο: https://www.dpa.gr/portal/page?_pageid=33,15453&_dad=portal&_schema=PORTAL
262
Βλ. Φ. Παναγοπούλου, ό.π., σελ. 720.
53
Gonzalez και των Κατευθυντήριων Γραμμών που εξέδωσε η Ομάδα Εργασίας του
Άρθρου 29 για την εφαρμογή της εν λόγω απόφασης.
263
Βλ. παράγραφο 1, άρθρο 68 του Κανονισμού (ΕΕ) 2016/679.
264
Βλ. παράγραφο 1, άρθρο 70 του Κανονισμού (ΕΕ) 2016/679.
265
Διαθέσιμο: https://europa.eu/european-union/about-eu/institutions-bodies/european-data-
protection-board_el
266
Βλ. άρθρο 69 του Κανονισμού (ΕΕ) 2016/679.
267
Βλ. παράγραφο 3, άρθρο 68 του Κανονισμού (ΕΕ) 2016/679.
268
Βλ. παράγραφο 1, άρθρο 70 του Κανονισμού (ΕΕ) 2016/679.
269
Διαθέσιμο:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterp
ublicconsultation_en.pdf
54
δικαιώματος στη λήθη, αναφορικά με τις μηχανές αναζήτησης. Σύμφωνα με το
Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, οι λόγοι βάσει των οποίων το
υποκείμενο των δεδομένων δύναται να αξιώσει τη διαγραφή συνδέσμων είναι οι
εξής270:
Όσον αφορά τον χειρισμό των προσφυγών των υποκειμένων των δεδομένων
από τις Αρχές Προστασίας Δεδομένων των κρατών μελών, σε περίπτωση που οι φορείς
εκμετάλλευσης των μηχανών αναζήτησης απορρίψουν αξιώσεις διαγραφής συνδέσμων,
το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων τονίζει ότι οι Αρχές Προστασίας
Δεδομένων, θα πρέπει να λάβουν υπόψη τη φύση του περιεχομένου του αρχικού
ιστοτόπου, προκειμένου να καθορίσουν εάν ο αντίστοιχος σύνδεσμος πρέπει να
καταργηθεί ή όχι277.
270
Βλ. Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under
the GDPR, σελ. 6.
271
Βλ. στοιχείο α, παράγραφος 1, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
272
Βλ. στοιχείο β, παράγραφος 1, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
273
Βλ. στοιχείο γ, παράγραφος 1, άρθρο 17 και άρθρα 21, 22 (ΕΕ) του Κανονισμού 2016/679.
274
Βλ. στοιχείο δ, παράγραφος 1, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
275
Βλ. στοιχείο ε, παράγραφος 1, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
276
Βλ. στοιχείο στ, παράγραφος 1, άρθρο 17 και παράγραφος 1, άρθρο 8 του Κανονισμού (ΕΕ)
2016/679.
277
Βλ. Guidelines 5/2019, ό.π., σελ. 6, παράγραφος 17.
55
Ιδιαίτερη μνεία πρέπει να γίνει στο γεγονός ότι, ενώ θεωρητικά το υποκείμενο
των δεδομένων δύναται να υποβάλλει ένα αίτημα διαγραφής με την αιτιολογία της
ανάκλησης της συγκατάθεσης προς τον φορέα εκμετάλλευσης της μηχανής
αναζήτησης, εντούτοις στις εν λόγω Κατευθυντήριες Γραμμές, το Ευρωπαϊκό
Συμβούλιο Προστασίας Δεδομένων επισημαίνει ότι το γεγονός αυτό εμφανίζει μικρές
πιθανότητες να συμβεί, καθώς σε αυτή την περίπτωση ο υπεύθυνος επεξεργασίας στον
οποίο έχει παράσχει το υποκείμενο των δεδομένων την συγκατάθεσή του είναι ο
αρχικός εκδότης της ιστοσελίδας και όχι ο φορέας εκμετάλλευσης της μηχανής
αναζήτησης278. Επιπλέον, τονίζει ότι σε περίπτωση που το υποκείμενο των δεδομένων
αποσύρει τη συγκατάθεσή του για τη χρήση των δεδομένων του από μία συγκεκριμένη
ιστοσελίδα, ο αρχικός εκδότης αυτής οφείλει να ενημερώσει ανάλογα τους φορείς
εκμεταλλεύσεις των μηχανών αναζήτησης, ώστε να ικανοποιηθεί το αίτημα διαγραφής
βάσει πλέον του δικαιώματος της εναντίωσης279.
278
Βλ. Guidelines 5/2019, ό.π., σελ. 7, παράγραφος 24.
279
Βλ. ό.π., σελ. 7, παράγραφος 25.
280
Βλ. άρθρο 14 της Οδηγίας 95/46/ΕΚ.
281
Βλ. άρθρο 21 του Κανονισμού (ΕΕ) 2016/679.
282
Βλ. Guidelines 5/2019, ό.π., σελ. 8, παράγραφος 27.
283
Βλ. ό.π., σελ. 8, παράγραφος 28.
56
απόρριψη ενός αιτήματος διαγραφής συνδέσμων284. Ως λογική συνέχεια των ανωτέρω
επισημάνσεων, ορίζει ότι κατά τον χειρισμό των προσφυγών των υποκειμένων των
δεδομένων από τις Αρχές Προστασίας Δεδομένων, θα πρέπει κάθε φορά πλέον να
αναζητείται μία δίκαιη στάθμιση ανάμεσα στην ιδιαίτερη κατάστασή του υποκειμένου
των δεδομένων και στους επιτακτικούς και νόμιμους λόγους των φορέων
εκμετάλλευσης των μηχανών αναζήτησης285, βάσει των κριτηρίων αξιολόγησης που
κατέγραψε η Ομάδα Εργασίας του Άρθρου 29 στις Κατευθυντήριες Γραμμές που
εξέδωσε για την εφαρμογή της απόφασης του Δικαστηρίου της ΕΕ στην υπόθεση
Google Spain κατά Costeja Gonzalez286.
Παρακάτω, όσον αφόρα την περίπτωση που ένα υποκείμενο των δεδομένων
υποβάλλει ένα αίτημα διαγραφής συνδέσμων με την αιτιολογία ότι τα δεδομένα
προσωπικού χαρακτήρα που το αφορούν έχουν συλλεχθεί σε σχέση με την προσφορά
υπηρεσιών της κοινωνίας των πληροφοριών σε ανήλικο, το Ευρωπαϊκό Συμβούλιο
Προστασίας Δεδομένων διευκρινίζει ότι η παιδική ηλικία αποτελεί ιδιαίτερη
κατάστασή του υποκειμένου των δεδομένων287, υπενθυμίζει ότι ο Κανονισμός (ΕΕ)
2016/679 παρέχει ιδιαίτερη προστασία στα παιδιά288 και ως λογική συνέχεια αυτών των
επισημάνσεων, ορίζει ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης οφείλουν
σε κάθε περίπτωση να κάνουν δεκτά τα εν λόγω αιτήματα διαγραφής 289.
• Την άσκηση του δικαιώματος ελευθερίας της έκφρασης και του δικαιώματος
στην ενημέρωση291.
284
Βλ. Guidelines 5/2019, ό.π., σελ. 8, παράγραφος 30.
285
Βλ. ό.π., σελ. 8, παράγραφος 30.
286
Βλ. ό.π., σελ. 9, παράγραφος 31.
287
Βλ. ό.π., σελ. 10, παράγραφος 41.
288
Βλ. αιτιολογική σκέψη αρ. 38 και άρθρο 19 του Κανονισμού (ΕΕ) 2016/679.
289
Βλ. Guidelines 5/2019, ό.π., σελ. 10, παράγραφος 41.
290
Βλ. ό.π., σελ. 11, παράγραφος 42.
291
Βλ. στοιχείο α, παράγραφος 3, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
292
Βλ. στοιχείο β, παράγραφος 3, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
57
• Λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας 293.
Ιδιαίτερη μνεία πρέπει να γίνει στο γεγονός ότι, ενώ θεωρητικά ενδέχεται η
νομοθεσία ενός κράτους μέλους να καθορίζει την υποχρέωση δημοσίευσης αποφάσεων
ή εγγράφων που περιέχουν δεδομένα προσωπικού χαρακτήρα από τους φορείς
εκμετάλλευσης μηχανών αναζήτησης301, εντούτοις στις εν λόγω Κατευθυντήριες
Γραμμές, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων επισημαίνει ότι το γεγονός
αυτό εμφανίζει μικρές πιθανότητες να συμβεί302, καθώς ως επί το πλείστον αυτοί που
παράγουν και δημοσιεύουν πρωτογενείς πληροφορίες είναι οι εκδότες μεμονωμένων
293
Βλ. στοιχείο γ, παράγραφος 3, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
294
Βλ. στοιχείο δ, παράγραφος 3, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
295
Βλ. στοιχείο ε, παράγραφος 3, άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
296
Βλ. Guidelines 5/2019, ό.π., σελ. 11, παράγραφος 46.
297
Βλ. ό.π., σελ. 12, παράγραφος 48.
298
Βλ. ό.π., σελ. 12, παράγραφος 50.
299
Βλ. ό.π., σελ. 12, παράγραφος 52.
300
Βλ. ό.π., σελ. 13, παράγραφος 54.
301
Βλ. ό.π., σελ. 13, παράγραφος 59.
302
Βλ. ό.π., σελ. 13, παράγραφος 57.
58
ιστοσελίδων και όχι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης 303. Κατά
συνέπεια, υπογραμμίζει ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης δεν
μπορούν, κατά κανόνα, να επικαλεστούν την ύπαρξη νομικής υποχρέωσης, ως βάσιμο
λόγο για την απόρριψη αξιώσεων διαγραφής συνδέσμων 304. Επιπλέον, τονίζει ότι
ακόμη και όταν η δημοσίευση των πληροφοριών από εκδότες μεμονωμένων
ιστοσελίδων είναι από νομικής άποψης δικαιολογημένη, το γεγονός αυτό δεν
συνεπάγεται απαραίτητα και την απόρριψη των αντίστοιχων αξιώσεων διαγραφής
συνδέσμων από τους φορείς εκμετάλλευσης των μηχανών αναζήτησης 305. Αντιθέτως, η
πιθανή νομική υποχρέωση δημοσίευσης αποφάσεων ή εγγράφων που περιέχουν
δεδομένα προσωπικού χαρακτήρα από εκδότες μεμονωμένων ιστοσελίδων, θα πρέπει
να λαμβάνεται υπόψη κατά τον καθορισμό της ζητούμενης ισορροπίας μεταξύ των
δικαιωμάτων των υποκειμένων των δεδομένων και του ενδιαφέροντος των χρηστών του
διαδικτύου να έχουν πρόσβαση στις πληροφορίες306.
303
Βλ. Guidelines 5/2019, ό.π., σελ. 13, παράγραφος 56.
304
Βλ. ό.π., σελ. 13, παράγραφος 61.
305
Βλ. ό.π., σελ. 14, παράγραφος 64.
306
Βλ. ό.π., σελ. 14, παράγραφος 62.
307
Βλ. ό.π., σελ. 15 και 16, παράγραφοι 76 και 83 αντίστοιχα.
308
Βλ. ό.π., σελ. 15 και 16, παράγραφοι 75 και 82 αντίστοιχα.
59
αντικειμενικά από τους φορείς εκμετάλλευσης των μηχανών αναζήτησης, χωρίς να
απαιτείται η συσχέτιση μεταξύ του ονόματος του υποκειμένου των δεδομένων και των
αποτελεσμάτων αναζήτησης309. Επιπλέον, τονίζει ότι η πιθανότητα η διαγραφή των
συνδέσμων να επηρεάσει σημαντικά την επίτευξη των επιστημονικών ή ιστορικών ή
ερευνητικών ή στατιστικών σκοπών που επιδιώκουν οι χρήστες των μηχανών
αναζήτησης, δεν συνεπάγεται την απόρριψη των αντίστοιχων αξιώσεων διαγραφής
συνδέσμων των υποκειμένων των δεδομένων310. Τέλος, υπογραμμίζει ότι οι φορείς
εκμετάλλευσης των μηχανών αναζήτησης θα πρέπει να είναι σε θέση να αποδείξουν ότι
η κατάργηση των συνδέσμων από την λίστα των αποτελεσμάτων αποτελεί σοβαρό
εμπόδιο ή αποτρέπει παντελώς την επίτευξη των επιστημονικών ή ιστορικών ή
ερευνητικών ή στατιστικών σκοπών311.
7.7 Αντίλογος
309
Βλ. Guidelines 5/2019, ό.π., σελ. 16, παράγραφος 81.
310
Βλ. ό.π., σελ. 16, παράγραφος 80.
311
Βλ. ό.π., σελ. 16, παράγραφος 79.
312
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 11.
313
Βλ. Guidelines 5/2019, ό.π., σελ. 10, παράγραφος 18.
60
εύκολη την δημιουργία λεπτομερών προφίλ των υποκειμένων των δεδομένων.
Αντίθετα, τόνισε ότι η δημιουργία λεπτομερών προφίλ των υποκειμένων των
δεδομένων, δεν μπορεί να επιτευχτεί ακόμη και με την συνδυαστική αξιοποίηση ενός
ικανού αριθμού εσωτερικών μηχανών αναζήτησης μεμονωμένων ιστοσελίδων.
314
Βλ. Φ. Παναγοπούλου, ό.π., σελ. 725.
315
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 11.
316
Βλ. Φ. Παναγοπούλου, ό.π., σελ. 725.
317
Βλ. διατακτικό 4 της υπόθεσης C‑131/12.
61
αποκτήσει πρόσβαση στην πληροφορία318. Συναφώς, η Ομάδα Εργασίας του Άρθρου
29, στις Κατευθυντήριες Γραμμές που εξέδωσε για την εφαρμογή της εν λόγω
απόφασης, επισημαίνει ότι για την επίτευξη της δίκαιης εξισορρόπησης θα πρέπει,
μεταξύ άλλων, να εξεταστεί και ο ρόλος που διαδραματίζει το επηρεαζόμενο φυσικό
πρόσωπο στην δημόσια ζωή καθώς και η πιθανότητα αυτό να αποτελεί δημόσιο
πρόσωπο319.
318
Βλ. σκέψη 81 της υπόθεσης C‑131/12.
319
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 17 έως 25.
320
«Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται αποκλειστικώς για
δημοσιογραφικούς σκοπούς ή στο πλαίσιο καλλιτεχνικής ή λογοτεχνικής έκφρασης, τα κράτη μέλη
προβλέπουν τις εξαιρέσεις ή παρεκκλίσεις από τις διατάξεις του παρόντος κεφαλαίου, του κεφαλαίου
IV και του κεφαλαίου VI μόνο στο βαθμό που είναι αναγκαίες ώστε το δικαίωμα της ιδιωτικής ζωής να
συμβιβάζεται με τους κανόνες που διέπουν την ελευθερία έκφρασης.»
321
«Τα κράτη μέλη διά νόμου συμβιβάζουν το δικαίωμα στην προστασία των δεδομένων προσωπικού
χαρακτήρα δυνάμει του παρόντος κανονισμού με το δικαίωμα στην ελευθερία της έκφρασης και
πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για
σκοπούς πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης.»
322
Βλ. σκέψη 85 της υπόθεσης C‑131/12.
323
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 2.
62
του κοινωνικού συνόλου να αποκτήσει πρόσβαση στην πληροφορία 324. Επιπρόσθετα
πρέπει να σημειώσουμε ότι, πέρα από το δικαίωμα της ελευθερίας της έκφρασης και το
δικαίωμα της ενημέρωσης, λόγοι δημοσίου συμφέροντος, επιστημονικοί, ιστορικοί,
στατιστικοί και νομικές αξιώσεις ή υποχρεώσεις δύναται να οριοθετήσουν το δικαίωμα
στη διαγραφή325.
324
Βλ. Φ. Παναγοπούλου, ό.π., σελ. 714.
325
Βλ. άρθρα 17 και 85 του Κανονισμού (ΕΕ) 2016/679.
326
Βλ. στοιχείο α, παράγραφος 1, άρθρο 4 της Οδηγίας 95/46/ΕΚ.
327
Βλ. Φ. Παναγοπούλου, ό.π., σελ. 725.
328
Βλ. σκέψη 38 της υπόθεσης C‑131/12.
329
Βλ. Κατευθυντήριες γραμμές, ό.π., σελ. 11.
63
αιτήματος διαγράφης αρχικά τάχθηκε η Google Inc., επιχειρηματολογώντας ότι το
δικαίωμα στην ιδιωτική ζωή και το δικαίωμα στην ελευθερία της έκφρασης είναι εξίσου
θεμελιώδη και ότι είναι κοινή λογική ότι μία χώρα δεν θα πρέπει να έχει το δικαίωμα να
επιβάλλει τους κανόνες της στους πολίτες μίας άλλης 330. Επιπρόσθετα, ενάντια στην
καθιέρωση ενός καθολικού αιτήματος διαγράφης τάχθηκε η επιτροπή Ρεπόρτερ για την
Ελευθερία του Τύπου, επιχειρηματολογώντας ότι οι αρχές μίας χώρας δεν θα πρέπει να
έχουν το δικαίωμα να επιβάλλουν τα συμφέροντά τους σε χρήστες του διαδικτύου
άλλων χωρών331. Στην ίδια κατεύθυνση κινήθηκε τόσο το Ίδρυμα Wikimedia332, όσο
και η Επιτροπή του Άρθρου 19 της Διεθνούς Διακηρύξεως για τα Δικαιώματα του
Ατόμου333.
330
Βλ. P. Fleischer, Reflecting on the Right to be Forgotten, 2016.
331
Διαθέσιμο: https://www.rcfp.org/briefs-comments/google-v-cnil/
332
Διαθέσιμο: https://diff.wikimedia.org/2016/10/19/petition-right-to-be-forgotten/
333
Διαθέσιμο: https://www.article19.org/resources/frances-highest-court-must-respect-free-speech-in-
right-to-be-forgotten-case/
334
Βλ. Ι. Ιγγλεζάκης, ό.π., σελ. 13.
335
Διαθέσιμο: https://www.theguardian.com/media/2016/sep/20/how-italian-courts-used-the-right-to-
be-forgotten-to-put-an-expiry-date-on-news
64
Αποφάσεις, όπως αυτή του Ανώτατου Ιταλικού Δικαστηρίου, οφείλονται στα
θολά κριτήρια του πότε κατά τη διάρκεια του χρόνου µία πληροφορία παύει να είναι
κατάλληλη ή συναφής µε τον σκοπό της επεξεργασίας και ενδέχεται, υπό συνθήκες, να
πλήξουν επιπρόσθετα καίρια το δικαίωμα του κοινού για πρόσβαση στην πληροφόρηση
και στην αλήθεια.
Ένα άλλο ζήτημα που προκύπτει, είναι αυτό της οικονομικής και διοικητικής
επιβάρυνσης των φορέων εκμετάλλευσης των μηχανών αναζήτησης, στην
αντιμετώπιση των αιτήσεων διαγραφής των συνδέσμων από τους χρήστες του
διαδικτύου. Ως παράδειγμα εστιάζουμε στην Google Inc., η οποία φέρεται να είχε λάβει
περισσότερα από 70.000 αιτήματα μέχρι τον Ιούνιο του 2014, ακολουθούμενα από
30.000 αιτήματα μέχρι τον Ιούλιο του 2014, 40.000 αιτήματα μέχρι τον Σεπτέμβριο του
2014, 150.000 αιτήματα εντός του 2015, 120.000 αιτήματα εντός του 2016, 160.000
αιτήματα εντός του 2017, 200.000 αιτήματα εντός του 2018, 180.000 αιτήματα εντός
του 2019 και 110.000 αιτήματα έως τον Οκτώβριο του 2020. Τα αιτήματα αυτά
αντιστοιχούσαν σε συνολικά 3.851.479 συνδέσμους. Συνολικά έως και σήμερα η
Google Inc. φέρεται να έχει προχωρήσει στην διαγραφή 1.552.437 συνδέσμων, οι
οποίοι αντιστοιχούν στο 46,6% των συνολικών αιτήσεων336. Δεδομένου του τεράστιου
όγκου των αιτήσεων αυτών, τόσο το κόστος της απαραίτητης υλικοτεχνικής υποδομής,
όσο και η ανάγκη για επιπλέον προσωπικό, για την εξέταση των αιτήσεων, θα
επιβαρύνουν σημαντικά τους προϋπολογισμούς των φορέων εκμετάλλευσης των
μηχανών αναζήτησης.
336
Διαθέσιμο: https://transparencyreport.google.com/eu-privacy/overview
337
Βλ. Ponemon Institute, The true cost of compliance with data protection regulations, 2017, σελ. 4.
338
Βλ. L. Christensen, & F. Etro, European data protection: Impact of the EU data-protection regulation,
2013.
65
8. Υπόθεση Google LLC κατά CNIL
8.1 Ιστορικό
Ορόσημο, για την έκταση του εδαφικού πεδίου εφαρμογής του δικαιώματος στη
λήθη, αποτέλεσε η απόφαση του Δικαστηρίου της ΕΕ στην υπόθεση Google LLC
(διάδοχος της Google Inc.), κατά Commission Nationale de l’Informatique et des
Libertés (CNIL) (εν συντομία Google LLC κατά CNIL)339. Στις 21 Μαΐου 2015, η
Εθνική Επιτροπή Πληροφορικής και Ελευθεριών της Γαλλίας (CNIL) απέστειλε
προειδοποίηση στην Google LLC, καλώντας την, στην περίπτωση που ικανοποιεί
αιτήματα φυσικών προσώπων για τη διαγραφή συνδέσμων από τον κατάλογο των
αποτελεσμάτων, ο οποίος προκύπτει κατόπιν αναζήτησης που έχει διενεργηθεί με βάση
το ονοματεπώνυμό τους, να διαγράφει τους συνδέσμους αυτούς σε παγκόσμια κλίμακα
και όχι μόνο εντός του ευρωπαϊκού πλαισίου.
339
Διαθέσιμο:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=EL&
mode=req&dir=&occ=first&part=1&cid=243387
66
Ενώπιον του Συμβούλιου της Επικρατείας, η Εθνική Επιτροπή Πληροφορικής
και Ελευθεριών της Γαλλίας υποστήριξε ότι οι χρήστες του διαδικτύου που κατοικούν
στη Γαλλία εξακολουθούν να έχουν πρόσβαση σε άλλες εκδόσεις της μηχανής
αναζήτησης εκτός της ΕΕ, για παράδειγμα στην google.com. Επομένως, τόνισε ότι η
κατάργηση των συνδέσμων που σχετίζονται με ένα φυσικό πρόσωπο που κατοικεί στη
Γαλλία, μόνο από τη γαλλική έκδοση της μηχανής αναζήτησης ή ακόμη και από όλες
τις εκδόσεις των κρατών μελών της ΕΕ, δεν επαρκεί για την προστασία των
δικαιωμάτων του, παραβιάζοντας με αυτό τον τρόπο την Οδηγία 95/46/ΕΚ.
Η Google LLC από την πλευρά της υποστήριξε, ενώπιον του Συμβούλιου της
Επικρατείας, ότι η Εθνική Επιτροπή Πληροφορικής και Ελευθεριών της Γαλλίας
ερμήνευσε εσφαλμένα τις διατάξεις της Οδηγίας 95/46/ΕΚ, ότι το δικαίωμα της
διαγραφής των συνδέσμων δεν συνεπάγεται απαραίτητα την απάλειψη τους σε
παγκόσμια κλίμακα, ότι η Εθνική Επιτροπή Πληροφορικής και Ελευθεριών της
Γαλλίας παραβίασε τις αναγνωρισμένες από το δημόσιο διεθνές δίκαιο αρχές της
αβροφροσύνης και της μη επέμβασης 340 και τέλος ότι έθιξε δυσανάλογα τις ελευθερίες
έκφρασης, πληροφόρησης και επικοινωνίας καθώς και την ελευθερία του Τύπου341.
Αρχικά, το Δικαστήριο της ΕΕ τόνισε πως σε ένα ικανό αριθμό κρατών εκτός
της ΕΕ, είτε δεν υφίσταται το δικαίωμα της διαγραφής των συνδέσμων, είτε
340
Βλ. άρθρο 2 παράγραφος 7 του Χάρτη των Ηνωμένων Εθνών.
341
Βλ. άρθρο 11 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
67
ακολουθούνται διαφορετικά κριτήρια αξιολόγησης ως προς το δικαίωμα αυτό342,
υπενθύμισε ότι το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα
δεν είναι απόλυτο343 και υπογράμμισε ότι η επιθυμητή στάθμιση ανάμεσα στην
ιδιωτική ζωή του ατόμου και στο συμφέρον του κοινωνικού συνόλου να αποκτήσει
πρόσβαση στην πληροφορία ενδέχεται να διαφέρει ουσιωδώς ανά τον κόσμο344.
Συνεχίζοντας, το Δικαστήριο της ΕΕ διατύπωσε το επιχείρημα πως ουδόλως προκύπτει
από τις διατάξεις της Οδηγίας 95/46/EK 345 και του Κανονισμού (ΕΕ) 2016/679346, ότι ο
νομοθέτης της ΕΕ έχει προβεί σε αντίστοιχη στάθμιση όσον αφορά το δικαίωμα της
διαγραφής των συνδέσμων εκτός της ΕΕ, ότι επέλεξε να επεκτείνει το πεδίο εφαρμογής
των διατάξεων πέραν του εδάφους των κρατών μελών και ότι θέλησε να επιβάλει στους
φορείς εκμετάλλευσης των μηχανών αναζήτησης την υποχρέωση διαγραφής των
συνδέσμων σε παγκόσμια κλίμακα347. Βασιζόμενο σε αυτό το επιχείρημα, το
Δικαστήριο της ΕΕ έκρινε ότι οι φορείς εκμετάλλευσης των μηχανών αναζήτησης δεν
υποχρεούνται, βάσει της νομοθεσίας της ΕΕ, να καταργήσουν τους επίμαχους
συνδέσμους σε παγκόσμια κλίμακα348.
342
Βλ. σκέψη 59 της υπόθεσης C‑507/17.
343
Βλ. σκέψη 60 της υπόθεσης C‑507/17.
344
Βλ. σκέψη 60 της υπόθεσης C‑507/17.
345
Βλ. άρθρα 12 και 14 της Οδηγίας 95/46/ΕΚ.
346
Βλ. άρθρο 17 του Κανονισμού (ΕΕ) 2016/679.
347
Βλ. σκέψη 62 της υπόθεσης C‑507/17.
348
Βλ. σκέψεις 64, 65 και διατακτικό της υπόθεσης C‑507/17.
349
Βλ. σκέψη 66 της υπόθεσης C‑507/17.
350
Βλ. σκέψεις 66, 73 και διατακτικό της υπόθεσης C‑507/17.
68
Τέλος, το Δικαστήριο της ΕΕ έκρινε, χωρίς να αναφερθεί άμεσα στην τεχνική
του «γεωγραφικού αποκλεισμού», ότι οι φορείς εκμετάλλευσης των μηχανών
αναζήτησης οφείλουν να λαμβάνουν επιπρόσθετα επαρκώς αποτελεσματικά μέτρα, που
θα αποτρέπουν ή τουλάχιστον θα αποθαρρύνουν έντονα τους χρήστες του διαδικτύου
που κατοικούν στη ΕΕ, να έχουν πρόσβαση στους επίμαχους συνδέσμους μέσω άλλων
εκδοχών των μηχανών αναζήτησης εκτός της ΕΕ, για παράδειγμα την google.com351.
8.3 Σχολιασμός
351
Βλ. σκέψη 70 και διατακτικό της υπόθεσης C‑507/17.
352
Βλ. M. Zalnieriute, Google LLC v. Commission nationale de l'informatique et des libertés (CNIL), 2020,
σελ. 8.
353
Βλ. M. Samonte, Google v. CNIL: The Territorial Scope of the Right to Be Forgotten Under EU Law,
2019, σελ. 844.
354
Βλ. ό.π., σελ. 840.
69
συνδέσμων σε παγκόσμια κλίμακα, εντούτοις ούτε και την απαγορεύει 355. Κατά
συνεπεία, τόνισε ότι οι Αρχές των κρατών μελών διατηρούν την αρμοδιότητά τους να
προχωρούν, υπό το πρίσμα των εθνικών προτύπων προστασίας των θεμελιωδών
δικαιωμάτων, σε στάθμιση ανάμεσα στην ιδιωτική ζωή του ατόμου και στο συμφέρον
του κοινωνικού συνόλου να αποκτήσει πρόσβαση στην πληροφορία και κατόπιν αυτής,
να υποχρεώνουν, όταν ενδείκνυται, τους φορείς εκμετάλλευσης των μηχανών
αναζήτησης να διαγράφουν τους επίμαχους συνδέσμους σε παγκόσμια κλίμακα 356.
355
Βλ. σκέψη 72 της υπόθεσης C‑507/17.
356
Βλ. σκέψη 72 της υπόθεσης C‑507/17.
357
Βλ. M. Zalnieriute, ό.π., σελ. 10.
358
Βλ. σκέψη 54 της υπόθεσης C‑507/17.
359
Βλ. M. Samonte, ό.π., σελ. 845.
70
κατάλογο των αποτελεσμάτων, ο οποίος προκύπτει κατόπιν αναζήτησης που έχει
διενεργηθεί με βάση το ονοματεπώνυμό του, τότε ο εκάστοτε φορέας εκμετάλλευσης
των μηχανών αναζήτησης που ικανοποιεί το αίτημα, οφείλει να διαγράψει τους
επίμαχους συνδέσμους μόνο από τις εκδοχές των μηχανών αναζήτησης που
αντιστοιχούν στο σύνολο των κρατών μελών της ΕΕ.
Όμως, ακόμη και μετά την διαγραφή των επίμαχων συνδέσμων από τις
προαναφερθείσες εκδοχές των μηχανών αναζήτησης, αυτοί θα εξακολουθούν να είναι
προσβάσιμοι από οποιονδήποτε τόσο εκτός της ΕΕ όσο και εντός της ΕΕ, μέσω
ποικίλων μεθόδων. Μία απλή μέθοδος, δεδομένης της παγκόσμιας εμβέλειας του
διαδικτύου, είναι ένας χρήστης του, που κατοικεί εκτός των γεωγραφικών ορίων της
ΕΕ, να πραγματοποιήσει μία αναζήτηση αξιοποιώντας την εκδοχή της μηχανής
αναζήτησης που αντιστοιχεί στην χώρα του. Μία άλλη μέθοδος, δεδομένης της
ευκολίας πρόσβασης σε νέες γνώσεις που παρέχει το διαδίκτυο και οι υπηρεσίες του,
είναι ένας χρήστης του, που κατοικεί εντός των γεωγραφικών ορίων της ΕΕ, να
πραγματοποιήσει μία αναζήτηση αξιοποιώντας ένα εικονικό ιδιωτικό δίκτυο (Virtual
Private Network - VPN), παρακάμπτοντας με αυτό τον τρόπο μέτρα περιορισμού όπως
ο γεωγραφικός αποκλεισμός.
360
Βλ. σκέψη 57 της υπόθεσης C‑507/17.
361
Βλ. σκέψη 55 της υπόθεσης C‑507/17.
362
Βλ. σκέψη 72 της υπόθεσης C‑507/17.
71
προστασίας των προσωπικών δεδομένων δεν μπορεί να επιτευχθεί πλήρως βάσει του
ισχύοντος νομικού πλαισίου363.
Μία άλλη σημαντική πτυχή της απόφασης, που ενδέχεται να έχει ευρύτερη
επίπτωση στα γεωγραφικά όρια εφαρμογής του συνόλου των διατάξεων του
Κανονισμού (ΕΕ) 2016/679, είναι η διαπίστωση του Δικαστηρίου της ΕΕ πως ουδόλως
προκύπτει από το άρθρο 17 του Κανονισμού (ΕΕ) 2016/679 καθώς και τα άρθρα 12 και
14 της Οδηγίας 95/46/ΕΚ, ότι ο νομοθέτης της ΕΕ επέλεξε να επεκτείνει το πεδίο
εφαρμογής του δικαιώματος στη διαγραφή των συνδέσμων πέραν του εδάφους των
κρατών μελών της ΕΕ. Στην περίπτωση αυτή, το Δικαστήριο της ΕΕ τόνισε την
απουσία συγκεκριμένης διάταξης στην ισχύουσα ενωσιακή νομοθεσία που θα επέτρεπε
την εφαρμογή του δικαιώματος στην διαγραφή των συνδέσμων πέραν των
γεωγραφικών ορίων της ΕΕ. Στην εν λόγω επιχειρηματολογία, φαίνεται ότι το
Δικαστήριο της ΕΕ δεν έλαβε υπόψη την πρόθεση του νομοθέτη της ΕΕ να εκχωρήσει
μια γενική έξω-εδαφική εφαρμογή στον Κανονισμό (ΕΕ) 2016/679, όπως
αποδεικνύεται από τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 περί του εδαφικού
πεδίου εφαρμογής του364.
363
Βλ. M. Samonte, ό.π., σελ. 846.
364
Βλ. M. Zalnieriute, ό.π., σελ. 10.
365
Βλ. αιτιολογική σκέψη αρ. 7 του Κανονισμού (ΕΕ) 2019/679.
72
δύναται να διαφέρει ουσιωδώς ακόμη και εντός των κρατών μελών της ΕΕ 366.
Συναφώς, το Δικαστήριο της ΕΕ επιβεβαίωσε ότι οι Αρχές των κρατών μελών,
σύμφωνα με το άρθρο 9 της Οδηγίας 95/46/ΕΚ αλλά και με το άρθρο 85 του
Κανονισμού (ΕΕ) 2016/679, διατηρούν την αρμοδιότητά τους, υπό το πρίσμα των
εθνικών προτύπων προστασίας των θεμελιωδών δικαιωμάτων, να προβλέπουν τις
απαραίτητες εξαιρέσεις και παρεκκλίσεις όσον αφορά την επεξεργασία των δεδομένων
προσωπικού χαρακτήρα για δημοσιογραφικούς σκοπούς ή για σκοπούς
πανεπιστημιακής, καλλιτεχνικής ή λογοτεχνικής έκφρασης 367.
366
Βλ. σκέψη 67 της υπόθεσης C‑507/17.
367
Βλ. σκέψη 67 της υπόθεσης C‑507/17.
368
Βλ. σκέψη 63 της υπόθεσης C‑507/17.
369
Βλ. άρθρα 61, 62, 63, 64 και 65 του Κανονισμού (ΕΕ) 2019/679.
370
Βλ. M. Samonte, ό.π., σελ. 849.
73
9. Συμπεράσματα
371
Βλ. Ι. Ιγγλεζάκης, Το δικαίωμα στην ψηφιακή λήθη, σελ. 211.
372
Βλ. Μ. Jones, Ctrl + Z: The Right to be Forgotten, 2016, σελ. 190.
373
Βλ. ό.π., σελ. 191.
374
Βλ. ό.π., σελ. 192.
74
διαδικτύου και αντίστοιχα οι νέες υπηρεσίες του ψηφιακού κόσμου δεν έχουν ως
αποκλειστικό στόχο να καταστρατηγήσουν την προστασία της ιδιωτικής ζωής.
Στην εποχή της ραγδαίας ανάπτυξης της επιστήμης της πληροφορικής και της
άμεσης ενσωμάτωσης των νέων υπηρεσιών του ψηφιακού κόσμου στην καθημερινή
ζωή του ατόμου, η ορθή αντίδραση στις νέες συνθήκες που διαμορφώνονται δεν θα
πρέπει να είναι ο φόβος ή/και η αποχή, καθώς είναι γενικά παραδεκτό πως η ανάλυση
δεδομένων μπορεί να οδηγήσει σε σημαντικές νέες καινοτόμες ιδέες που θα ωφελήσουν
όχι μόνο τα άτομα αλλά και την κοινωνία στο σύνολό της. Αυτό λοιπόν που
χρειάζονται όλα τα εμπλεκόμενα μέρη είναι κίνητρα και κανόνες για τη συμμετοχή
τους στη διαχείριση των δεδομένων. Ακόμη και ο τίτλος του Κανονισμού (ΕΕ)
2016/679 είναι από μόνος του ικανό στοιχείο για την κατανόηση πως σε κάθε
περίπτωση και οι κανόνες έχουν τεθεί για την προστασία των ατόμων έναντι της
επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και τα κίνητρα έχουν δοθεί για
την ελεύθερη κυκλοφορία των δεδομένων αυτών.
Επιπρόσθετα, η αναγνώριση του δικαιώματος στη λήθη μέσα από την απόφαση
του Δικαστηρίου της ΕΕ στην υπόθεση Google Spain κατά Costeja Gonzalez και η
επακόλουθη θεμελίωση του από τον Κανονισμό (ΕΕ) 2016/679, ενδυνάμωσε την
εμπιστοσύνη των ατόμων στην χρήση του διαδικτύου και των συναφών τεχνολογιών,
καθώς ενίσχυσε το νομοθετικό πλαίσιο για την προστασία των δεδομένων προσωπικού
χαρακτήρα και εξασφάλισε στα υποκείμενα των δεδομένων την δυνατότητα άσκησης
ελέγχου επί αυτών. Καταλήγοντας, εν είδη συμπεράσματος, μπορούμε να πούμε ότι
στον θαυμαστό νέο κόσμο της τεχνολογίας και της εξέλιξης, όπου η πληροφορία
αποτελεί την βασική πρώτη ύλη του διαδικτύου και οι βάσεις δεδομένων του
προσδίδουν την δυνατότητα της αέναης επιστροφής της μνήμης, το δικαίωμα στην
λήθη δίνει σε κάθε άτομο την δυνατότητα να αναπτύξει ελεύθερα τη προσωπικότητά
του, απαλλαγμένο από πληροφορίες που δεν έχουν κάποια ουσιαστική χρησιμότητα για
το κοινό.
75
10. Βιβλιογραφία – Αρθρογραφία – Λοιπές πηγές
Ελληνική Βιβλιογραφία
Ξενόγλωσση Βιβλιογραφία
Jones, Μ. (2016). Ctrl + Z: The Right to be Forgotten. New York: New York
University Press.
Rallo, A. (2018). The right to be forgotten on the Internet: Google v Spain. Washington:
Ελληνική Αρθρογραφία
Ιγγλεζάκης, Ι. Δ. (2018). Το δικαίωμα στη λήθη: Ένα νέο ψηφιακό δικαίωμα για τον
https://www.lawspot.gr/nomika-blogs/ioannis_igglezakis/dikaioma-sti-lithi-ena-
neo-psifiako-dikaioma-gia-ton-kyvernohoro.
https://www.lawspot.gr/nomika-blogs/vasilis_karkatzoynis/dikaioma-sti-lithi-3-
simantikes-apofaseis-tis-apdph-gia-tin.
76
Καρκατζούνης, Β., Ζιάκας, Ε., Κανέλλος, Γ., & Κουρόγιωργας, Γ. (2019). Δικαίωμα
στη λήθη: Νέα απόφαση της ΑΠΔΠΧ για την κατάργηση συνδέσμων από τη
https://www.lawspot.gr/nomika-nea/dikaioma-sti-lithi-nea-apofasi-tis-apdph-
gia-tin-katargisi-syndesmon-apo-ti-google.
https://www.academia.edu/32443506/H_εξέλιξη_του_δικαιώματος_στη_λήθη_π
ερί_λήθης_της_λήθης_Εφημερίδα_Διοικητικού_Δικαίου_2016_σ_714_728.
Ξενόγλωσση Αρθρογραφία
Prosser. New York University Law Review, 39, 962-1007. Retrieved from:
http://courses.ischool.berkeley.edu/i205/s10/readings/week11/bloustein-
privacy.pdf.
Christensen, L., & Etro, F. (2013). European data protection: Impact of the EU data-
https://voxeu.org/article/european-data-protection-impact-eu-data-protection-
regulation.
https://www.ftc.gov/es/system/files/documents/public_comments/2016/10/0004
5-129154.pdf.
77
Fleischer, P. (2016). Reflecting on the Right to be Forgotten. Retrieved from:
https://blog.google/around-the-globe/google-europe/reflecting-right-be-
forgotten/.
Gavison, R. E. (1980). Privacy and the Limits of Law. The Yale Law Journal, 3(89),
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2060957.
Iglezakis, Ι. (2014). The Right to Be Forgotten in the Google Spain Case (Case C-
131/12): A Clear Victory for Data Protection or an Obstacle for the Internet.
Matthews, A. (2016). How Italian courts used the right to be forgotten to put an expiry
https://www.theguardian.com/media/2016/sep/20/how-italian-courts-used-the-
right-to-be-forgotten-to-put-an-expiry-date-on-news.
Ponemon Institute (2017). The true cost of compliance with data protection regulations.
Retrieved from:
https://dynamic.globalscape.com/files/Whitepaper-The-True-Cost-of-
Compliance-with-Data-Protection-Regulations.pdf.
Rachels, J. (1975). Why privacy is important. Philosophy & Public Affairs. Retrieved
from: http://people.brandeis.edu/~teuber/Rachels_on_Privacy.pdf.
78
https://www.europeanpapers.eu/en/europeanforum/google-v-cnil-territorial-
scope-of-right-to-be-forgotten-under-eu-law#_ftn4.
Sanchez-Rola, I., Dell'Amico, M., Kotzias, P., Balzarotti, D., Bilge, L., Vervier, P.A., &
Santos, I. (2019). Can I Opt Out Yet? GDPR and the Global Illusion of Cookie
http://www.eurecom.fr/fr/publication/5941/download/sec-publi-5941.pdf.
Warren, S. D., & Brandeis, L. D. (1890). The Right to Privacy. Harvard Law Review,
https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf.
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.455.4866&rep=rep1&
type=pdf.
Retrieved from:
https://www.researchgate.net/profile/Monika_Zalnieriute/publication/33853898
9_Google_LLC_v_Commission_Nationale_de_l'informatique_et_des_Libertes_
CNIL/links/5e2208b4a6fdcc1015716e40/Google-LLC-v-Commission-
Nationale-de-linformatique-et-des-Libertes-CNIL.pdf.
Νομοθετικά Κείμενα
79
Κανονισμός (ΕΕ) 2016/679, L 119/1 (Ευρωπαικό Κοινοβούλιο και Συμβούλιο 27
https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A32016R0679.
https://www.dpa.gr/portal/page?_pageid=33,19052&_dad=portal&_schema=PO
RTAL#1.
https://www.lawspot.gr/nomikes-plirofories/nomothesia/nomos-4624-2019.
https://eur-lex.europa.eu/legal-
content/EL/TXT/?uri=uriserv:OJ.L_.1995.281.01.0031.01.ELL&toc=OJ:L:1995
:281:TOC.
https://eur-lex.europa.eu/legal-
content/EL/TXT/PDF/?uri=CELEX:32016L0680&from=EN
Ανακτήθηκε από:
https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=celex:12016P/TXT.
80
Οργανισμός Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (2019). Εγχειρίδιο
https://www.echr.coe.int/Documents/Handbook_data_protection_ELL.pdf.
https://unric.org/el/χαρτησ-οηε/.
from:
https://www.unric.org/el/index.php?option=com_content&view=article&id=262
30&Itemid=33.
Γνώμη σχετικά µε τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος
https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2010/wp169_el.pdf.
Γνώμη σχετικά µε την αρχή της λογοδοσίας, 3 (Ομάδα Εργασίας του Άρθρου 29 για
https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2010/wp173_el.pdf.
Επικαιροποίηση της γνώμης 8/2010 για το εφαρμοστέο δίκαιο υπό το πρίσμα της
απόφασης του ΔΕΕ στην υπόθεση Google Spain (Ομάδα Εργασίας του Άρθρου
81
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=640614.
Κατευθυντήριες γραμμές σχετικά με την εφαρμογή της απόφασης του Δικαστηριου της
ΕΕ στην υπόθεση C-131/12, «Google Spain SL και Google Inc. κατά Agencia
225 (Ομάδα Εργασίας του Άρθρου 29 για την Προστασία Δεδομένων 2014).
Ανακτήθηκε από:
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=667236.
Google Spain SL και Google Inc. κατά Agencia Española de Protección de Datos
http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d5639
e83654048422da6e7de91090c87bb.e34KaxiLc3eQc40LaxqMbN4PaNeTe0?text
=&docid=152065&pageIndex=0&doclang=EL&mode=lst&dir=&occ=first&par
t=1&cid=1660135.
Ανακτήθηκε από:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageI
ndex=0&doclang=EL&mode=req&dir=&occ=first&part=1&cid=243387.
Guidelines on the criteria of the Right to be Forgotten in the search engines cases under
the GDPR, 5/2019 (European Data Protection Board 2019). Retrieved from:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201905_rtbfse
archengines_afterpublicconsultation_en.pdf.
82
Προσφυγή κατά της άρνησης του φορέα εκμετάλλευσης της μηχανής αναζήτησης
από:
https://www.dpa.gr/portal/page?_pageid=33%2C15453&_dad=portal&_schema
=PORTAL&_piref33_15473_33_15453_15453.etos=2016&_piref33_15473_33
_15453_15453.arithmosApofasis=82&_piref33_15473_33_15453_15453.thema
tikiEnotita=-1&_piref33_15473_33_15453_15453.ananeosi.
Προσφυγή κατά της άρνησης του φορέα εκμετάλλευσης της μηχανής αναζήτησης
από:
https://www.dpa.gr/portal/page?_pageid=33%2C15453&_dad=portal&_schema
=PORTAL&_piref33_15473_33_15453_15453.etos=2016&_piref33_15473_33
_15453_15453.arithmosApofasis=83&_piref33_15473_33_15453_15453.thema
tikiEnotita=-1&_piref33_15473_33_15453_15453.ananeosi.
Προσφυγή κατά της άρνησης του φορέα εκμετάλλευσης της μηχανής αναζήτησης
από:
https://www.dpa.gr/portal/page?_pageid=33%2C15453&_dad=portal&_schema
=PORTAL&_piref33_15473_33_15453_15453.etos=2016&_piref33_15473_33
83
_15453_15453.arithmosApofasis=84&_piref33_15473_33_15453_15453.thema
tikiEnotita=-1&_piref33_15473_33_15453_15453.ananeosi.
Προσφυγή κατά της άρνησης του φορέα εκμετάλλευσης της μηχανής αναζήτησης
από:
https://www.dpa.gr/portal/page?_pageid=33%2C15453&_dad=portal&_schema
=PORTAL&_piref33_15473_33_15453_15453.etos=2019&_piref33_15473_33
_15453_15453.arithmosApofasis=25&_piref33_15473_33_15453_15453.thema
tikiEnotita=-1&_piref33_15473_33_15453_15453.ananeos.
84