Η ποινική προστασία των προσωπικών δεδομένων κατά τον νόμο 4624/2019

Περιεχόμενα

1.Εισαγωγικό Σημείωμα

2. Οι πηγές του δικαίου προστασίας των δεδομένων προσωπικού χαρακτήρα
3. Το σύστημα προστασίας του ΓΚΠΔ και ν. 4624/2019 – Θεμελιώδεις έννοιες και πεδίο εφαρμογής

3.1 Το σχήμα κανόνας-εξαίρεση

3.2 Θεμελιώδεις έννοιες του ν. 4624/2019

3.3 Πεδίο εφαρμογής του ν. 624/2019

3.4 Θεμελιώδεις αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήρα

4. Ποινικές κυρώσεις του ν. 4624/2019

4.1 Το άρθρο 38 του ν. 4624/2019

4.2 Το προστατευόμενο έννομο αγαθό στα εγκλήματα του άρθρου 38

4.3 Παθών εκ του εγκλήματος

4.4 Τα βασικά εγκλήματα του άρθρου 38

4.4.1 Το έγκλημα της παραγράφου 1

4.4.2 Το έγκλημα της παραγράφου 2

4.5 Οι διακεκριμένες μορφές εγκλημάτων του άρθρου38

4.5.1 Το έγκλημα της παραγράφου 3

4.5.2 Το έγκλημα της παραγράφου 4

4.5.3 Το έγκλημα της παραγράφου 5

5. Ζητήματα συρροής
6. Δικονομικά ζητήματα
7. Η εφαρμογή του ν. 4624/2019 στην ποινική δίκη

Βιβλιογραφία

1.Εισαγωγικό σημείωμα

Αντικείμενο του παρόντος άρθρου είναι η παρουσίαση της ποινικής προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα όπως αυτή προβλέπεται στον νόμο 4624/2019 και ιδίως στις διατάξεις του άρθρου 38 αυτού. Σκοπός του ανωτέρω νόμου είναι η λήψη μέτρων για την εφαρμογή των επιταγών του Κανονισμού (ΕΕ) 679/2016 (γνωστού και ως ΓΚΠΔ ή GDPR), καθώς και η  η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680. Ο νόμος 4624/2019 αναδιαμόρφωσε το πλαίσιο προστασίας είχε εισαγάγει ο καταργηθείς νόμος 2472/1997, ο οποίος ενσωμάτωσε στην ελληνική έννομη τάξη τις διατάξεις της Οδηγίας 95/46/ΕΚ. Στις βασικές θεματικές του άρθρου θα αναλυθούν οι θεμελιώδεις έννοιες του Ν 4624/2019 και οι αλλαγές στη νομοθεσία μετά τον ΓΚΠΔ και την Οδηγία 680/2016, τα βασικά εγκλήματα και οι διακεκριμένες μορφές τους όπως τυποποιούνται στο αρ. 38 του ν. 4624/2019, ζητήματα συρροής, δικονομικά ζητήματα, καθώς και η εφαρμογή του Ν 4624/2019 στην ποινική δίκη. Η ανάγκη προστασίας των προσωπικών δεδομένων απορρέει όχι μόνο από την ευθεία σύνδεσή τους με τον πυρήνα της προσωπικότητας εκάστου ατόμου^[1] αλλά σχετίζεται και με το μεγάλο ενδιαφέρον, κυρίως οικονομικό που έχει αποκτήσει η συλλογή και επεξεργασία των δεδομένων προσωπικού χαρακτήρα από δημόσιους και ιδιωτικούς φορείς, καθώς και τον ρόλο που διαδραματίζουν στη  λειτουργία του σύγχρονου εμπορίου και της οικονομίας εν γένει^[2].

2.Οι πηγές του δικαίου προστασίας των δεδομένων προσωπικού χαρακτήρα

Η προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ανήκει στα θεμελιώδη δικαιώματα. Στην ευρωπαϊκή έννομη τάξη το δικαίωμα στην προστασία των προσωπικών δεδομένων θεσπίζεται σε κείμενα του πρωτογενούς ενωσιακού δικαίου και συγκεκριμένα στο άρθρο 16 παρ. 1 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), καθώς και στο στο άρθρο 8 παρ. 1 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης που ορίζουν ότι “κάθε πρόσωπο έχει δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν”. Επίσης, το εν θέματι δικαίωμα θεμελιούται και επί του άρθρου 8 της ΕΣΔΑ που επιβάλλει τον σεβασμό της ιδιωτικής και οικογενειακής ζωής και κατοικίας και της αλληλογραφίας^[3]. Επίσης αξίζει να αναφερθεί η επονομαζόμενη σύμβαση 108 του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη  επεξεργασία των προσωπικών πληροφοριών, η οποία ήταν και παραμένει η μόνη διεθνής πράξη (αν εξαιρέσουμε την Ευρωπαϊκή Ένωση η οποία τείνει πλέον προς συμπολιτεία) στο τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, καθώς έχει ήδη υπογραφεί από χώρες εκτός του Συμβουλίου της Ευρώπης και παραμένει ανοικτή προς υπογραφή. Εξάλλου, κυρώθηκε από τη χώρα μας με τον Ν.2068/1992 και πρόσφατα με το Ν.5169/25 κυρώθηκε και το πρόσθετο από 10/10/2018 τροποποιητικό πρωτόκολλο της σύμβασης[4]

Σε εφαρμογή της ανωτέρω επιταγής που απορρέει από διατάξεις του πρωτογενούς ευρωπαϊκού δικαίου θεσπίστηκε ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων^[5]), καθώς και η Οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου^[6]. Αξίζει δε να σημειωθεί ότι το δικαίωμα των φυσικών προσώπων στην προστασία έναντι της επεξεργασίας των προσωπικών τους δεδομένων ερείδεται αυτοτελώς και στο άρθρο 9α του Συντάγματος^[7], το οποίο εισήχθη με την αναθεώρηση του 2001 και ορίζει ότι: “Καθένας έχει δικαίωμα προστασίας από τη συλλογή, επεξεργασία και χρήση, ιδίως με ηλεκτρονικά μέσα, των προσωπικών του δεδομένων, όπως νόμος ορίζει. Η προστασία των προσωπικών δεδομένων διασφαλίζεται από ανεξάρτητη αρχή, που συγκροτείται και λειτουργεί, όπως νόμος ορίζει.”.

Συναφώς προς τις ειρημένες διατάξεις θεσπίστηκε ο νόμος 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016», ο οποίος αντικατέστησε τον νόμο 2472/1997^[8], που είχε ενσωματώσει στην ελληνική έννομη τάξη τις ρυθμίσεις της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Σκοποί του νόμου 4624/2019, όπως πανηγυρικά διατυπώνεται^[9] στο άρθρο 1 είναι:

α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,

β) η λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ),

γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.

Η εποπτεία της εφαρμογής των διατάξεων του ν. 4624/2019, καθώς και του ΓΚΠΔ, όπως και κάθε άλλης ρύθμισης που αφορά την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ελληνική Επικράτεια ασκείται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), που αποτελεί ανεξάρτητη δημόσια αρχή κατά το άρθρο 9Α του Συντάγματος και εδρεύει στην Αθήνα (βλ. άρθρο 9 του νόμου)

Εξ επόψεως ποινικού δικαίου ο ν. 4624/2019 παρουσιάζει ενδιαφέρον, διότι η παραβίαση των διατάξεών του, εκτός από διοικητικές κυρώσεις^[10] επισύρει, κατά περίπτωση, και ποινικές τοιαύτες. Η δυνατότητα του εθνικού νομοθέτη να θεσπίσει ποινικές κυρώσεις για την παραβίαση των διατάξεων του ΓΚΠΔ ευρίσκει έδραση στο άρθρο 84 του Κανονισμού, με το οποίο επιβάλλεται στα κράτη μέλη η υποχρέωση “να θεσπίζουν κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρθρου 83”. Από την ανωτέρω διατύπωση και ιδίως από τη φράση “αλλες κυρώσεις” συνάγεται ότι η ποινική προστασία των προσωπικών δεδομένων επαφίεται στη διακριτική ευχέρεια των εθνικών νομοθετών και προκρίνεται ιδίως για τις περιπτώσεις παραβάσεων που δεν τιμωρούνται με πρόστιμο κατά το άρθρο 83 ΓΚΠΔ^[11]. Εν προκειμένω, τίθεται το ζήτημα αν η διακριτική αυτή ευχέρεια εξικνείται έως του σημείου να μπορεί να επιφυλαχθεί ποινική αντιμετώπιση για το σύνολο των υποχρεώσεων που θεσπίζει ο ΓΚΠΔ. Σχετικώς έχει υποστηριχθεί η άποψη ότι ο εθνικός νομοθέτης θα πρέπει κατ’ αρχήν να περιοριστεί στην θέσπιση κυρώσεων για τις βαρύτερες προσβολές της ιδιωτικότητας από την επεξεργασία προσωπικών δεδομένων, με την εξαίρεση της περίπτωσης που πιθανολογείται εκτεταμένη προσβολή της ιδιωτικότητος του πληροφοριακού αυτοκαθορισμού και προκύπτει αδυναμία πρόληψης της ανωτέρω προσβολής με μόνη την επιβολή διοικητικών κυρώσεων^[12].

Οι ποινικές κυρώσεις διαλαμβάνονται στο άρθρο 38 του νόμου 4624/2019^[13]. Προτού όμως υπεισέλθουμε στην ανάλυση των ποινικού χαρακτήρα διατάξεων, προϋποτίθεται ο προσδιορισμός του περιεχομένου των θεμελιωδών εννοιών του ν. 4624/2019 καθώς και η οριοθέτηση του πεδίου εφαρμογής του.

3.Το σύστημα προστασίας του ΓΚΠΔ και ν. 4624/2019 – Θεμελιώδεις έννοιες και πεδίο εφαρμογής.

3.1 Το σχήμα κανόνας-εξαίρεση

Το σύστημα προστασίας του ΓΚΠΔ και του ν. 4624/2019 δομείται υπό το σχήμα κανόνας-εξαίρεση. Κατά κανόνα, η επεξεργασία των προσωπικών δεδομένων είναι παράνομη, εκτός αν βασίζεται σε κάποια από τις νομικές βάσεις που προβλέπονται περιοριστικά στο άρ. 6 παρ. 1 του ΓΚΠΔ για τα απλά προσωπικά δεδομένα και στο άρ. 9 παρ. 2 ΓΚΠΔ για τις “ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα”. Αντίστοιχο σχήμα ίσχυε και υπό τον ν. 2472/1997, υποστηρίζεται, ωστόσο ότι το νέο νομοθετικό καθεστώς έχει επιφέρει αντιστροφή του υποδείγματος αυτού, ώστε η εξαίρεση να έχει καταστεί πλέον κανόνας, ώστε ενώ υπό το πρότερο νομοθετικό καθεστώς ο κανόνας ήταν η προστασία των προσωπικών δεδομένων από την επεξεργασία τους και μόνο κατ’ εξαίρεσιν μπορούσε αυτή να επιτραπεί, εφεξής (και υπό την πίεση σύγχρονων κοινωνικοοικονομικών συνθηκών) κανόνας είναι μάλλον η δυνατότητα των δημοσίων και ιδιωτικών φορέων να προβαίνουν σε επεξεργασία των δεδομένων των φυσικών προσώπων στα οποία επιτρέπεται εν είδει αντισταθμίσματος η συμμετοχή στα σύγχρονα οικονομικά και κοινωνικά δίκτυα^[14].

3.2 Θεμελιώδεις έννοιες του ν. 4624/2019

Οι περισσότερες από τις θεμελιώδεις έννοιες του νόμου 4624/2019 λαμβάνονται απευθείας από τον ΓΚΠΔ (προς τον οποίο άλλωστε τελεί σε νοηματική και λειτουργική ενότητα), ενώ άλλες έννοιες ορίζονται στον ίδιον τον νόμο 4624/2019. Με τον όρο «δεδομένα προσωπικού χαρακτήρα» στο σύστημα προστασίας του εν λόγω νόμου (και του ΓΚΠΔ) νοείται: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Το πρόσωπο αυτό καλείται «υποκείμενο των δεδομένων»· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου (βλ. άρ. 4 στοιχ. 1 ΓΚΠΔ και άρ. 44 στοιχ. α του ν. 4624/2019).

Ως «επεξεργασία» των δεδομένων νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή (βλ. άρ. 4 στοιχ. 2 ΓΚΠΔ, και άρ. 44 στοιχ. β του ν. 4624/2019).

Ο όρος «σύστημα αρχειοθέτησης» που (όπως θα δούμε στη συνέχεια) είναι ουσιώδης για την ερμηνεία των ποινικών διατάξεων του άρθρου 38 αναφέρεται σε κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση (βλ. άρ. 4 στοιχ. 3 ΓΚΠΔ), ενώ εξίσου σημαντική είναι και η έννοια της «συγκατάθεσης» του υποκειμένου των δεδομένων. Ως τέτοια νοείται κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν (βλ. άρ. 4 στοιχ. 3 ΓΚΠΔ, και άρ. 44 στοιχ. στ του ν. 4624/2019).

Ως «υπεύθυνος επεξεργασίας» ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους  (βλ. άρ. 4 στοιχ. 7 ΓΚΠΔ).

3.3 Πεδίο εφαρμογής του ν. 4624/2019.

Το πεδίο εφαρμογής του ν. 624/2019 οριοθετείται στα άρθρα 2 και 3 αυτού ως εξής:

Το ουσιαστικό πεδίο εφαρμογής του νόμου 4624/2019 καθορίζεται στο άρθρο 2 σύμφωνα με το οποίο: “Οι διατάξεις του παρόντος εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων Προσωπικού Χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης από:

α) δημόσιους φορείς ή

β) ιδιωτικούς φορείς, εκτός και εάν η επεξεργασία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας”.

Σύμφωνα δε με τον ορισμό του άρ. 4 του ν. 4624/2019, με τον όρο «δημόσιος φορέας» νοούνται οι δημόσιες αρχές, οι ανεξάρτητες και ρυθμιστικές διοικητικές αρχές, τα νομικά πρόσωπα δημοσίου δικαίου, οι οργανισμοί τοπικής αυτοδιοίκησης πρώτου και δεύτερου βαθμού και τα νομικά πρόσωπα και οι επιχειρήσεις αυτών, οι κρατικές ή δημόσιες επιχειρήσεις και οργανισμοί, τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται κατά 50% τουλάχιστον του ετήσιου προϋπολογισμού τους ή η διοίκησή τους ορίζεται από αυτό, ενώ ο όρος «ιδιωτικός φορέας» αναφέρεται  στο φυσικό ή νομικό πρόσωπο ή η ένωση προσώπων χωρίς νομική προσωπικότητα, που δεν εμπίπτει στην ως άνω έννοια του «δημόσιου φορέα».

Επ’ αυτού πρέπει να παρατηρήσουμε κατ’ αρχάς ότι το ουσιαστικό πεδίο εφαρμογής  περιλαμβάνει, όπως και στο ισχύσαν δίκαιο (βλ. άρθρο 1 του ν. 2472/19972) ενιαία τόσο δημόσιους όσο και ιδιωτικούς φορείς. Έπειτα, ως “προσωπική ή οικιακή δραστηριότητα” νοείται εκείνη που αναφέρεται στο ιδιωτικό πεδίο δράσης ενός προσώπου ή μιας οικογένειας, δηλαδή εκείνη που δεν εμπίπτει στην επαγγελματική δραστηριότητα και δεν έχει ως σκοπό ή αποτέλεσμα τη συστηματική διαβίβαση ή τη διάδοση δεδομένων σε τρίτους, όπως λ.χ. η αλληλογραφία, η τήρηση αρχείου διευθύνσεων ή κοινωνική δικτύωση ή και επιγραμμική δραστηριότητα που ασκείται στο πλαίσιο τέτοιων επεξεργασιών^[15]. Όπως ωστόσο γίνεται αντιληπτό αν τα οικιακώς επεξεργαζόμενα δεδομένα διαβιβασθούν σε τρίτους άσχετους με την «οικία», τότε και η ποινική προστασία ενεργοποιείται πλήρως.

Ο νόμος καλύπτει και τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές. Οι πράξεις όμως αυτές, όταν διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων, για λόγους διασφάλισης της δικαστικής ανεξαρτησίας και της διάκρισης των εξουσιών, εξαιρούνται, κατά ρητή πρόβλεψη των άρθρων 55 του ΓΚΠΔ και 45 της Οδηγίας 680/2016, από την εποπτική αρμοδιότητα της Αρχής. Η εξαίρεση αυτή για λόγους σαφήνειας και κατανόησης επαναλήφθηκε και στο άρθρο 10 παράγραφος 5 καθώς και στο δεύτερο εδάφιο της παραγράφου 1 του άρθρου 58^[16].

Σύμφωνα με το άρθρο 3: Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς. Στους ιδιωτικούς φορείς εφαρμόζονται, εφόσον:

α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εντός της Ελληνικής Επικράτειας,

β) τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της Ελληνικής Επικράτειας, ή εφόσον

γ) μολονότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει εγκατάσταση σε κράτος μέλος της Ευρωπαϊκής Ένωσης ή σε άλλο συμβαλλόμενο κράτος του Ευρωπαϊκού Οικονομικού Χώρου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.

3.4. Θεμελιώδεις αρχές επεξεργασίας δεδομένων προσωπικού χαρακτήρα

Είναι ίσως σημαντικό για την εφαρμογή των ποινικών διατάξεων να ειπωθούν λίγα λόγια για τις αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων, καθώς πλην του εγκλήματος του άρθρου16 παρ.4 του Ν. 4624/19, που είναι ιδιαίτερο και μπορεί να τελεστεί μόνο από το πρόεδρο και τα μέλη της ΑΠΔΠΧ, τα βασικά εγκλήματα του νόμου που θα παρουσιαστούν παρακάτω είναι κοινά και μπορούν να τελεσθούν από οποιονδήποτε, ιδίως από τους ίδιους τους υπεύθυνους επεξεργασίας. Σύμφωνα λοιπόν με την αρχή της νομιμότητας (άρθρο 5 ΓΚΠΔ), τα δεδομένα πρέπει να υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων. Έτσι μπορεί η επεξεργασία να είναι σύννομη εάν στηρίζεται σε κάποια από τις βάσεις που προβλέπει το άρθρο 6 ΓΚΠΔ ήτοι :

Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.

Ωστόσο αλλαγή της νομικής βάσης κατά τη διάρκεια της επεξεργασίας δεν είναι καταρχήν δυνατή αλλά πρέπει να λαμβάνει χώρα πριν την έναρξη της επεξεργασίας. Ένα καλό παράδειγμα αποτελεί η περίπτωση της εταιρίας PWC που έκρινε απόφαση 26/2019 της ΑΠΔΠΧ. Στην περίπτωση αυτή η Αρχή έκρινε ότι δεν ήταν σύννομη η συμπεριφορά της εταιρίας, ή οποία ενώ λάμβανε τα δεδομένα από τους εργαζόμενους, ενημερώνοντας τους μόνο για τη βάση της συγκατάθεσης τελικώς τα χρησιμοποιούσε για τη εκτέλεση της μεταξύ τους εργασιακής σύμβασης ενώ τέθηκαν και ζητήματα για το ελεύθερο της σύγκατάθεσης . Άλλες αρχές οι οποίες είναι δυνατόν να καταστήσουν την επεξεργασία, χωρίς δικαίωμα και να την καταστήσουν ποινικά αξιόμεμπτη είναι η αρχή της αντικειμενικότητας ή θεμιτής επεξεργασίας (όχι παραπλάνηση του υποκειμένου αλλά επεξεργασία κατά τρόπο που εύλογα προσδοκά), η αρχή του περιορισμού του σκοπού, η αρχή της ελαχιστοποίησης των δεδομένων, η αρχή της ακρίβειας, η αρχή του περιορισμού της περιόδου αποθήκευσης, η αρχή της λογοδοσίας.

Αναφορικά με την παραπάνω περίπτωση στ) περίπτωση του  υπέρτερου έννομου συμφέροντος, στα πλαίσια δικαστικών αγώνων κρίθηκε (Συμβ. Εφ. Αθηνών 984/2001, ΠοινΧρ. 2003,56 επ) ότι δεν αποτελεί χωρίς δικαίωμα η προσκόμιση από τον κατηγορούμενο του κατετμημένου αποφυλακιστηρίου του μηνυτή  του, από όπου προκύπτει ότι είχε καταδικασθεί για κακουργηματικές και πλημμεληματικές πράξεις, προς έλεγχο της αξιοπιστίας του. Όταν όμως η δημοσιοποίηση των δεδομένων δεν γίνεται σε δικαστικές Αρχές πχ του δράστη που αφού έλαβε από τις Αρχές σειρά καταδικαστικών αποφάσεων του μηνυτή του, με τη δικαιολογία της υπεράσπισης του, τελικώς τις κοινοποίησε σε άλλες Αρχές, τότε ο δράστης ενεργεί χωρίς δικαίωμα (ΑΠ 1381/2009, ΠοινΧρ 2010, σελ.390 επ.)[17] . Επίσης, το δικαίωμα πληροφόρησης του κοινού (βλ. και άρθρο 28 Ν.4624/19) δε μπορεί να φθάνει στην δημοσιοποίηση ειδικών κατηγοριών δεδομένων που αφορούν την άσχετη με το δημόσιο βίο ερωτική ζωή μητροπολίτη, περίπτωση που έκρινε η ΑΠ 499/2013(ΝΟΜΟΣ).

4. Οι ποινικές κυρώσεις του ν. 4624/2019

4.1 Το άρθρο 38 του ν. 4624/2019

Τα βασικά εγκλήματα παραβίασης των προστατευτικών διατάξεων για την επεξεργασία των προσωπικών δεδομένων τυποποιούνται στις παραγράφους 1 και 2 του άρθρου 38, ενώ προβλέπονται και διακεκριμένες μορφές των εγκλημάτων αυτών (παράγραφοι 3 έως 5). Εξ αυτών, τα βασικά εγκλήματα καθώς και το απλό διακεκριμένο έγκλημα της παραγράφου 3 τιμωρούνται σε βαθμό πλημμελήματος και μόνο όταν τελούνται με δόλο, έστω και ενδεχόμενο, ενώ στην παράγραφο 4 θεσπίζεται ένα κακούργημα υπερχειλούς υποκειμενικής υπόστασης (έγκλημα σκοπού). Οι παράγραφοι 3 και 4 τυποποιούν διακεκριμένα εγκλήματα βλάβης, αφορώντα η μεν πρώτη εξ αυτών το έγκλημα της παραγράφου 2 η δε δεύτερη τα εγκλήματα των παραγράφων 1 έως 3. Η παράγραφος 5 τυποποιεί διακεκριμένο έγκλημα διακινδύνευσης. Σε αντίθεση με το άρθρο 22 παρ. 5 του ν. 2472/1997, το άρθρο 38 δεν ποινικοποιεί συμπεριφορά που διέπεται υποκειμενικά από αμέλεια, ωστόσο τέτοιες πράξεις μπορούν να επισύρουν διοικητικές κυρώσεις κατά τα οριζόμενα στον νόμο 4624/2019 και τον ΓΚΠΔ^[18].

Ειδικότερα, το άρθρο 38 ορίζει τα εξης:

1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
6. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.

4.2 Το προστατευόμενο έννομο αγαθό στα εγκλήματα του άρθρου 38

Ένα βασικό ζήτημα που προκύπτει κατά την ανάλυση των διατάξεων του άρθρου 38 είναι η εξεύρεση του προστατευομένου εννόμου αγαθού. Από τη φρασεολογία που χρησιμοποιείται στο σχετικό χωρίο της αιτιολογικής έκθεση του νόμου 4624/2019 μπορεί να εννοηθεί ότι προστατευόμενο αγαθό είναι τα δεδομένα προσωπικού χαρακτήρα καθεαυτά^[19], δηλαδή, όπως έχει παρατηρηθεί, ο νομοθέτης φαίνεται να έχει ανάγει σε προστατευόμενο έννομο αγαθό αυτό τούτο το υλικό αντικείμενο του εγκλήματος^[20]. Παρόμοια και στο άρθρο 1 παρ. 2 του ΓΚΠΔ ορίζεται ότι “ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα”.

Η θέση της νομολογίας των ποινικών δικαστηρίων υπό την ισχύ του άρθρου 22 του ν. 2472/1997 ήταν ότι προστατευόμενο έννομο αγαθό ήταν η ιδιωτική ζωή του υποκειμένου των δεδομένων^[21].

Στη θεωρία έχει υποστηριχθεί η άποψη ότι προστατευόμενο έννομο αγαθό του άρθρου 38 του ν. 4624/2019 (καθώς και των λοιπών ποινικών διατάξεων που προστατεύουν τα προσωπικά δεδομένα είναι το δικαίωμα στην πληροφοριακή αυτοδιάθεση (ή κατ’ άλλη ορολογία στον πληροφοριακό αυτοκαθορισμό). Το εν λόγω δικαίωμα, που αποτελεί νομολογιακή κατασκευή του γερμανικού Ομοσπονδιακού Συνταγματικού Δικαστηρίου στην απόφασή του για τον νόμο απογραφής του  πληθυσμού του έτους 1983, έχει ως πυρήνα τη δυνατότητα του υποκειμένου των δεδομένων να προστατευθεί από την επεξεργασία των πληροφοριών που το αφορούν, να λάβει γνώση της υπό εκτέλεση επεξεργασίας και να επηρεάσει την επεξεργασία αυτήν ασκώντας τα δικαιώματα που η νομοθεσία τού αναγνωρίζει (χωρίς τούτο να σημαίνει ότι θεσπίζεται ιδιοκτησιακό δικαίωμα επί των δεδομένων υπέρ του υποκειμένου). Στο προστατευτικό πεδίο του δικαιώματος στην πληροφοριακή αυτοδιάθεση υπάγεται κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο και όχι μόνο όσες χαρακτηρίζονται ως ευαίσθητες ή αφορούν τον απαραβίαστο πυρήνα της ιδιωτικής ζωής^[22].

Ένα επιχείρημα υπέρ της άποψης που θεωρεί ως προστατευόμενο έννομο αγαθό το δικαίωμα στην πληροφοριακή αυτοδιάθεση ερείδονται  στην σχετικότητα της έννοιας της ιδιωτικής ζωής του ατόμου, η οποία δημιουργεί ανασφάλεια δικαίου, καθότι δεν έχει καταστεί σαφές ποιά στοιχεία και δεδομένα εμπίπτουν στον πυρήνα της ιδιωτικής ζωής. . Έπειτα, δεδομένου ότι ο νόμος 4624/2019 και ο ΓΚΠΔ προστατεύουν τόσο τις ειδικές κατηγορίες προσωπικών δεδομένων όσο και απλά δεδομένα, όπως το ονοματεπώνυμο, η διεύθυνση κατοικίας, τα δεδομένα γεωεντοπισμού ή τα στοιχεία ταυτότητας η αποδοχή της άποψης περί πληροφοριακής αυτοδιάθεσης θα συμπεριλάβει κατ’ αποτέλεσμα στο προστατευτικό της πεδίο όχι μόνο τα κρυφά προσωπικά δεδομένα και πληροφορίες που προέρχονται από τον πυρήνα της ιδιωτικής ζωής, αλλά και προσωπικά δεδομένα που είναι ευρύτερα γνωστά^[23]. Επισημαίνεται επίσης ότι, εν αντιθέσει προς την έννοια της ιδιωτικής ζωής, η έννοια της πληροφοριακής αυτοδιάθεσης θέτει στο επίκεντρο της ποινικής προστασίας όχι απλώς τα δεδομένα καθαυτά, (τα οποία άλλωστε ως στοιχεία υπολογιστικών/πληροφοριακών συστημάτων προστατεύονται ήδη από τις διατάξεις των άρθρων  370Β και 370Γ ΠΚ), αλλά τη σύνδεση των δεδομένων με συγκεκριμένο φυσικό πρόσωπο και τον κίνδυνο που απορρέει από τη συσσώρευση γνώσης για το πρόσωπο και την αθέμιτη πρόσβαση στη γνώση αυτή, ενώ παράλληλα αναγνωρίζει και τη δυνατότητα διάθεσης του εννόμου αγαθού μέσω της συγκατάθεσής του υποκειμένου ή ακόμα και τη δυνατότητα αυτοπροσβολής του εννόμου αγαθού δια της δημοσιοποιήσεως των προσωπικών δεδομένων^[24].

4.3. Παθών εκ του εγκλήματος

Παθόν εκ του εγκλήματος είναι το υποκείμενο των προσωπικών δεδομένων. Εάν με την πράξη θίγονται τα προσωπικά δεδομένα περισσοτέρων ατόμων, παθόν είναι κάθε άτομο του οποίου η ταυτότητα προκύπτει άμεσα ή έμμεσα από τη χωρίς δικαίωμα επενέργεια του δράστη επί των προσωπικών του δεδομένων ενώ άμεσα ζημιωθείς μπορεί να είναι και το φυσικό πρόσωπο που ταυτοποιείται εμμέσως, λ.χ. δια της επεξεργασίας των πινακίδων του αυτοκινήτου ή του τηλεφωνικού αριθμού του^[25], ενώ τρίτα πρόσωπα που θίγονται έμμεσα από τις παραβάσεις δεν θεμελιώνουν αξίωση για χρηματική ικανοποίηση λόγω ηθικής βλάβης^[26].

4.4 Τα βασικά εγκλήματα

4.4.1 Το έγκλημα της παραγράφου 1

Το έγκλημα που περιγράφεται στην παράγραφο 1 του ν. 4624/2019^[27] είναι έγκλημα βλάβης της ιδιωτικότητας, τελούμενο με δύο τρόπους:

Ο πρώτος τρόπος τέλεσης έγκειται στην με οποιονδήποτε τρόπο χωρίς δικαίωμα επέμβαση-εισχώρηση-εισβολή από έξω σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα και (σωρευτικά) στην δια της πράξεως αυτής λήψη γνώσης των δεδομένων αυτών^[28]. Ως “χωρίς δικαίωμα επέμβαση”, όμως λογίζεται και η καθ’ οιονδήποτε τρόπο παράνομη επεξεργασία των προσωπικών δεδομένων τρίτου, όπως λ.χ. με αντιγραφή, αποθήκευση, συλλογή και όχι μόνο η συνήθης εισχώρηση στο σύστημα αρχειοθέτησης^[29]. Έτσι, η “επέμβαση” σε σύστημα αρχειοθέτησης στοιχειοθετείται και όταν κάποιος παρανόμως αλλάζει τον σκοπό επεξεργασίας δεδομένων τα οποία έστω και νόμιμα κατέχει^[30].  Σημειωτέον ότι η νέα διάταξη σε αντίθεση με την καταργηθείσα αντίστοιχη διάταξη του ν. 2472/1997 απαιτεί πλέον ρητά η πράξη επέμβασης στο σύστημα αρχειοθέτησης να έχει ως αποτέλεσμα την λήψη γνώσης των δεδομένων που περιέχονται σε αυτό (“επεμβαίνει … και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών”)^[31]. Έτσι, αν δεν επέλθει η λήψη γνώσης το έγκλημα σταματά στο στάδιο της απόπειρας^[32].

Ο δεύτερος τρόπος τέλεσης καλύπτει ορισμένες μορφές της επεξεργασίας^[33] των δεδομένων από τον δράστη και συγκεκριμένα τις πράξεις της χωρίς δικαίωμα αντιγραφής, αφαίρεσης, αλλοίωσης, βλάβης, συλλογής, καταχώρησης, οργάνωσης, διάρθρωσης, αποθήκευσης, προσαρμογής, μεταβολής, ανάκτησης, αναζήτησης πληροφοριών, συσχέτισης, συνδυασμού, περιορισμού, διαγραφής ή καταστροφής των δεδομένων. Φυσικά, δεν αποκλείεται με τη διενέργεια μίας εκ των ανωτέρω πράξεων να ο δράστης να λαμβάνει εν ταυτώ και γνώση των δεδομένων^[34].

Ο όρος χωρίς δικαίωμα εισάγει στην αντικειμενική υπόσταση του εγκλήματος ένα ειδικό στοιχείο του αδίκου^[35]. Ο δράστης δρα χωρίς δικαίωμα όταν ελλείπει κάποια νομική βάση επεξεργασίας των προσωπικών δεδομένων, από εκείνες που ορίζονται κατά τρόπο περιοριστικό στο άρθρο 6 παρ.1 ΓΚΠΔ για τα απλά προσωπικά δεδομένα και στο άρθρο 9 παρ. 2 ΓΚΠΔ για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα και συμπληρώνονται από τα άρθρα 21 έως 30 του ν. 4624/2019.

4.4.2 Το έγκλημα της παραγράφου 2 του άρθρου 38

Στην παρ. 2 του άρθρου 38 ποινικοποιείται μια συμπεριφορά μεγαλύτερης απαξίας σε σχέση με το έγκλημα της πρώτης παραγράφου, όπως προκύπτει από την μεγαλύτερη επαπειλούμενη ποινή (φυλάκιση αντί φυλακίσεως έως 1 έτος). Η συμπεριφορά αυτή έγκειται στην διάθεση σε τρίτα μη δικαιούμενα πρόσωπα των δεδομένων τα οποία περιήλθαν στη κατοχή του δράστη με την πράξη της επέμβασης-εισχώρησης σε σύστημα αρχειοθέτησης, δηλαδή με την πράξη που περιγράφεται στην περίπτωση α΄ της πρώτης παραγράφου. Η πράξη αυτή συνιστά κατά μίαν έννοια “χρήση” των δεδομένων τα οποία απέκτησε ο δράστης^[36], η δε μείζων αυτή απαξία δικαιολογείται από τον αυξημένο κίνδυνο που διατρέχουν τα προσωπικά δεδομένα από τις ευρείες δυνατότητες διάθεσης και διαβίβασής τους, τις οποίες παρέχουν τα σύγχρονα τεχνικά μέσα.

Εν προκειμένω αναφύεται ένα ζήτημα συρροής μεταξύ του εν λόγω εγκλήματος και εκείνου της περίπτωσης α΄ της πρώτης παραγράφου, το οποίο επιλύεται με την απορρόφηση του εγκλήματος της παρ. 1 περ. β΄ από εκείνο της παρ. 2, καθότι προβλέπει βαρύτερη επαπειλούμενη ποινή^[37].

4.5 Οι διακεκριμένες μορφές εγκλημάτων του άρθρου 38

4.5.1 Το έγκλημα της παραγράφου 3

Η παράγραφος 3 τυποποιεί μια διακεκριμένη μορφή του εγκλήματος της παρ. 2, η οποία θεμελιούται όταν η πράξη του άρθρου 2 έχει ως αντικείμενο προσωπικά δεδομένα που συγκαταλέγονται στα προσωπικά δεδομένα ειδικών κατηγοριών του άρθρου 9 παρ. 1 ΓΚΠΔ (όρος ο οποίος αντιστοιχεί στα “ευαίσθητα” προσωπικά δεδομένα του ν. 2472/1997^[38]), δηλαδή δεδομένα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα ή δεδομένα που αφορούν την υγεία ή τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό. Το ίδιο ισχύει και όταν η πράξη έχει ως αντικείμενο δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 ΓΚΠΔ.

4.5.2 Το έγκλημα της παραγράφου 4

Σύμφωνα με την παρ. 4 “με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ”. Η ανωτέρω διάταξη τυποποιεί διακεκριμένο έγκλημα κακουργηματικής μορφής των πράξεων  των παραγράφων 1 έως 3 του άρθρου 38, παρόμοιο με εκείνο της παρ. 6 του άρθρου 22 του καταργηθέντος ν. 2472/1997^[39].

Μία βασική διαφορά που επέφερε η νέα διάταξη για την κατάφαση του κακουργήματος είναι η θέσπιση ενός κατωτάτου ορίου το στο  σκοπούμενο περιουσιακό όφελος, ζημία ή βλάβη το οποίο πρέπει να υπερβαίνει το ποσό των 120.000 ευρώ, σε αντίθεση με την καταργηθείσα διάταξη του άρ. 22 όπου για την κατάφαση του κακουργήματος αρκούσε απλώς η ύπαρξη σκοπού προσπορισμού παράνομου περιουσιακού οφέλους υπέρ του δράστη ή τρίτου ή η ύπαρξη σκοπού βλάβης τρίτου. Επίσης, καταργήθηκε η χρηματική ποινική (τουλάχιστον 2 εκατ. έως 10 εκατ. δρχ) η οποία επεβάλλετο σωρευτικά με την κάθειρξη έως 10 ετών, η οποία παρέμεινε στο ίδιο εύρος.

Ένα επί μέρους ζήτημα που τίθεται είναι αν η σκοπούμενη βλάβη πρέπει οπωσδήποτε να είναι περιουσιακής φύσεως ή δύναται να είναι και ηθικής τοιαύτης, όπως απεφάνθη σε σχετική του απόφαση ο ΑΠ^[40]. Η θέση αυτή του Ανωτάτου Ακυρωτικού έχει αμφισβητηθεί εντόνως στη θεωρία με το επιχείρημα ότι μη περιουσιακή βλάβη του θύματος υπάρχει ούτως ή άλλος σε κάθε περίπτωση παραβίασης προσωπικών δεδομένων, εφόσον ο δράστης καλύπτει την πράξη του τουλάχιστον με ενδεχόμενο δόλο, και άρα η αυξημένη απαξία της πράξης της παρ. 4 δεν μπορεί παρά να έγκειται στη περιουσιακή βλάβη, ενώ προς τούτο συντείνει η διατύπωση “ή να προκαλέσει περιουσιακή ζημία σε άλλον” που δεν υπήρχε στην αντίστοιχη διάταξη του άρ. 22 παρ. 6 του ν. 2472/1997 και συνιστά προσθήκη του ν. 4624/2019. Πρέπει δε να υπομνησθεί ότι η άποψη περί της αποκλειστικά περιουσιακής φύσεως του οφέλους ή βλάβης ή ζημίας έχει κρατήσει στη θεωρία ως προς την ερμηνεία της λεκτικά και λειτουργικά αντίστοιχης διατύπωσης “σκόπευε να βλάψει άλλον” που χρησιμοποιείται στη διάταξη περί κακουργηματικής πλαστογραφίας του άρ. 216 παρ. 3^[41], όπου μάλιστα τίθεται το ίδιο ποσοτικό όριο για την κατάφαση του κακουργήματος (όφελος ή βλάβη άνω των 120.000 ευρώ). Η άποψη αυτή θεωρείται ότι παρίσταται ως συστηματικά συνεπέστερη και για τον λόγο ότι με την αποδοχή της αποφεύγεται η παραβίαση της αρχής της αναλογικότητας, που θα συνίστατο στην τιμώρηση με την ίδια ποινή πράξεων διαφορετικής απαξίας, στη μία περίπτωση θα απαιτείτο το σκοπούμενο όφελος ή ζημία να υπερβαίνει το ποσό των 120.000 ευρώ, ενώ στην περίπτωση της ηθικής βλάβης θα αρκούσε αυτός τούτος ο σκοπός πρόκλησης ηθικής βλάβης^[42].

4.5.3 Το έγκλημα της παραγράφου 5

Σύμφωνα με την παράγραφο 5 του άρθρου 38 “εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ”. Με την ανωτέρω διάταξη τυποποιείται μια ιδιαίτερη διακεκριμένη μορφή κακουργήματος πράξεων που περιγράφονται στα άρθρα 1 έως 3. Πρόκειται για έγκλημα συγκεκριμένης διακινδύνευσης για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια τιμωρούμενο με κάθειρξη 5 έως 20 και χρηματική ποινή 300.000 ευρώ. Αξίζει να σημειωθεί ότι και υπό τον ν. 2472/1997 προβλέπετο αντίστοιχο έγκλημα στην παρ. 7 του άρθρου 22, τιμωρούμενο με κάθειρξη, όμως η σωρευτικά επιβαλλόμενη χρηματική ποινή ήταν αναλογικά μικρότερη (5 έως 10 εκατομμύρια δραχμές).

5. Ζητήματα συρροής

Αληθινή είναι η συρροή των εγκλημάτων του άρθρου 38 με τις πράξεις των άρθρων 370 έως 370Ε και 292Α έως 292Ε ΠΚ, λόγω ετερότητας εννόμου αγαθού, αφού το προστατευόμενο έννομο αγαθό στο αρ. 38, δηλαδή η πληροφοριακή αυτοδιάθεση κατά την ορθότερη άποψη (ή ο ιδιωτικός βίος κατ’ άλλη άποψη(, διακρίνεται από το απόρρητο των επικοινωνιών/αλληλογραφίας, καθώς την ασφάλεια των πληροφοριακών-τηλεπικοινωνιακών συστημάτων^[43].

Αληθινή έχει κριθεί λόγω ετερότητας των προστατευομένων εννόμων αγαθών και η συρροή των πράξεων του καταργηθέντος 2472/1997 και της απάτης με υπολογιστή^[44] και της κοινής απάτης^[45] ή της πλαστογραφίας όταν τελούνται με την χωρίς δικαίωμα επεξεργασία δεδομένων μαγνητικής κάρτας ΑΤΜ^[46].

Αληθινά συρρέει η πλημμεληματική πράξη της βασικής μορφής της “εκδικητικής πορνογραφίας” στο άρ. 346 παρ.1 ΠΚ με το κακούργημα του άρ. 38 παρ. 4 του ν. 4624/2019, στην περίπτωση της επεξεργασίας προσωπικών δεδομένων με σκοπό βλάβης τρίτου, διότι η πράξη του 346 παρ. 1 ΠΚ θίγει πέρα από την ελευθερία και την τιμή του θύματος, όταν κάποιος χωρίς δικαίωμα κοινολογεί σε τρίτο πρόσωπο ή αναρτά σε κοινή θέα, πραγματική αλλοιωμένη ή σχεδιασμένη εικόνα ή κάθε είδους οπτικό ή οπτικοακουστικό υλικό, στο οποίο αποτυπώνεται μη δημόσια πράξη άλλου που αφορά στη γενετήσια ζωή του. Συνεπώς, όταν η ίδια πράξη συνιστά και προσβολή προσωπικών δεδομένων κατά το άρ. 38 ν. 4624/2019 προκύπτει ετερότητα εννόμων αγαθών, πλην όμως η αληθινή συρροή θα αφορά τη βασική μορφή της εκδικητικής πορνογραφίας, ώστε να μην υπα΄ρχει διπλή αξιολόγηση του μεγέθους προσβολής που αφορά τον ιδιωτικό βίο^[47]

Φαινομενική, τέλος, είναι η συρροή των πράξεων του άρ. 38 παρ. 1-3 με το κακούργημα του άρ. 11 παρ. 1 ν. 3917/2011. Η πράξη της χωρίς δικαίωμα επεξεργασίας δεδομένων θέσης και κίνησης κατά του άρθρου 11 του ως άνω νόμου απορροφά την πράξη της επέμβασης/επεξεργασίας/διάθεσης δεδομένων σε σύστημα αρχειοθέτησης προσωπικών δεδομένων, η οποία λειτουργεί ως αναγκαίο μέσο για την πράξη του άρθρου 11, και έτσι ιδωμένη δεν καταλήγει να αξιολογείται διπλά^[48].

6. Δικονομικά ζητήματα

Όλα τα εγκλήματα του άρ. 38 του ν. 4624/2019 είναι αυτεπαγγέλτως διωκόμενα.

Προς υποστήριξη της κατηγορίας μπορεί να παρασταθεί και ο υπεύθυνος επεξεργασίας, εφόσον δεν είναι δράστης του εγκλήματος^[49].

Η κατηγορία για πράξη του άρθρου 38 του ν. 4624/2019 μπορεί παραδεκτώς να μεταβληθεί σε κατηγορία για έγκλημα κατά της τιμής εάν δεν συντρέχουν οι όροι της επέμβασης σε σύστημα αρχειοθέτησης ή ή επεξεργασία κριθεί νόμιμη ή εάν συντρέχει περίπτωση εξαίρεσης από την εφαρμογή του ΓΚΠΔ, όπως στην επί φυσικού προσώπου που ενεργεί στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας^[50].

Tα εγκλήματα των παραγράφων 1,2 και 3 του άρθρου 38 δικάζονται από το Μονομελές Πλημμελειοδικείο^[51], ενώ, σύμφωνα με ρητή πρόβλεψη της παρ. 6 του ως άνω άρθρου τα κακουργήματα, τουτέστιν τα εγκλήματα των παραγράφων 4 και 5 δικάζονται από το Τριμελές Εφετείο Κακουργημάτων.

Σύμφωνα με το άρ. 15 παρ. 2 εδ. β΄ του ν. 4624/2019 ο Πρόεδρος της ΑΠΔΠΧ, τα μέλη της και οι προς τούτο ειδικά εντεταλμένοι υπάλληλοι της Γραμματείας, είναι ειδικοί ανακριτικοί υπάλληλοι και έχουν όλα τα δικαιώματα που προβλέπει σχετικά ο Κώδικας Ποινικής Δικονομίας. Μπορούν να διενεργούν προανάκριση και χωρίς εισαγγελική παραγγελία, όταν πρόκειται για αυτόφωρο κακούργημα ή πλημμέλημα ή υπάρχει κίνδυνος από την αναβολή. Ως κίνδυνος από την αναβολή νοείται ο κίνδυνος αποδεικτικών μέσων^[52]. Τα νωτέρω πρόσωπα (Πρόεδρος της ΑΠΔΠΧ, μέλη αυτής και ειδικά εντεταλμένοι υπάλληλοι) έχουν τη δυνατότητα να επιβάλλουν κατάσχεση σε ψηφιακά δεδομένα κατά τις διατάξεις του άρθρου 265 ΚΠΔ.

Ο αντεισαγγελέας του ΑΠ μπορεί να παραγγείλει στον αρμόδιο εισαγγελέα την οριστική αποχή από την ποινική δίωξη που αφορά αδικήματα του άρθρου 38 παρ. 1-3 του ν. 4624/2019, εάν αυτή στρέφεται κατά μάρτυρα δημοσίου συμφέροντος σύμφωνα με το άρ. 47 παρ. 1. Η δυνατότητα αυτή προκύπτει από το συνδυασμό των άρθρων 47 παρ. 2 ΚΠΔ όπου προβλέπεται η σχετική δυνατότητα, του αντεισαγγελέα, σε συνδυασμό με τη διάταξη του άρ. 83 παρ. 1 του ν. 4624/2019 που ορίζει ότι όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του ν. 4623/2019^[53].

Ο κατηγορούμενος για τα εγκλήματα του άρθρου 38 του ν. 4624/2019 μπορεί να ζητήσει την έναρξη διαδικασίας ποινικής διαπραγμάτευσης κατά το άρθρο 303 ΚΠΔ^[54].

7. Η εφαρμογή του ν. 4624/2019 στην ποινική δίκη

Ο νόμος 4624/2019 για την προστασία των προσωπικών δεδομένων εφαρμόζεται και στην ποινική προδικασία και δίκη κατά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές. Οι σχετικές διατάξεις διαλαμβάνονται στο Δ΄ Κεφάλαιο του ως άνω νόμου που ενσωματώνει στην εθνική νομοθεσία τις ρυθμίσεις της Οδηγίας 680/2016. Ειδικότερα, τα άρθρα 43 επ. του νόμου ρυθμίζουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (άρ. 43 παρ. 1 ν. 4624/2019). Η επεξεργασία που πραγματοποιείται από τις αρμόδιες αρχές για σκοπούς άλλους από αυτούς που προβλέπονται στην παρ. 1 του άρ. 43 υπόκειται στις διατάξεις του ΓΚΠΔ όπου αυτές εφαρμόζονται και των κεφαλαίων Α έως Γ του ν. 4624/2019 (άρ. 43 παρ. 3). Όπως μάλιστα διευκρινίζεται ρητώς στο άρθρο 81 του ως άνω νόμου το άρθρο 38 εφαρμόζεται και στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις από αρμόδιες αρχές για τους σκοπούς του άρθρου 43.

Ως αρμόδια αρχή νοείται: α) κάθε δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους ή β) κάθε άλλος, δημόσιος ή ιδιωτικός, οργανισμός ή φορέας στον οποίο ανατίθενται ρόλος δημόσιας αρχής και η εκτέλεση δημοσίων εξουσιών για τους σκοπούς της πρόληψης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (άρ. 44 περ. ιδ).

          Η επεξεργασία των δεδομένων από τις αρμόδιες αρχές για τους σκοπούς του άρ. 43 του ν. 4624/2019 πρέπει να υπακούει σε ορισμένες γενικές αρχές. Ειδικότερα, σύμφωνα με το άρ. 45 του ως νόμου, που ενσωματώνει το άρ. 4 της Οδηγίας, τα δεδομένα προσωπικού χαρακτήρα πρέπει να: α) υποβάλλονται σε σύννομη και δίκαιη επεξεργασία· β) συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·γ) είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία·δ) είναι ακριβή και, όταν απαιτείται, επικαιροποιούνται, λαμβάνονται όλα τα εύλογα μέτρα που προβλέπονται από τις κείμενες διατάξεις, τα οποία διασφαλίζουν τη χωρίς καθυστέρηση διαγραφή ή διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, λαμβανομένων υπόψη των σκοπών της επεξεργασίας·ε) διατηρούνται σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία·στ) υποβάλλονται σε επεξεργασία, κατά τρόπο που να εγγυάται τη δέουσα ασφάλειά τους, μεταξύ άλλων την προστασία από μη εγκεκριμένη ή παράνομη επεξεργασία ή τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων. Η τήρηση των ανωτέρω αρχών κατά την επεξεργασία των δεδομένων βαρύνει τον υπεύθυνο επεξεργασίας, ο οποίος φέρει και το βάρος αποδείξεως της τήρησής τους (άρ. 45 παρ. 2).

Σύμφωνα δε με το άρ. 45Α, η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν βασίζεται στον νόμο ή στο δίκαιο της ΕΕ και είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται από τις αρμόδιες αρχές για τους σκοπούς που προβλέπονται στο άρθρο 43.       Ιδιαίτερες, πιο αυστηρές προϋποθέσεις τίθενται όταν η επεξεργασία αφορά δεδομένα ειδικών κατηγοριών, δηλαδή δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου ή δεδομένων που αφορούν στην υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό. Η επεξεργασία των δεδομένων αυτών επιτρέπεται μόνο όταν είναι απολύτως αναγκαία για την επίτευξη των σκοπών του άρθρου 43 και εφόσον: α) προβλέπεται ρητά από τον νόμο ή το δίκαιο της Ένωσης και β) επιβάλλεται για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ή γ) η επεξεργασία αυτή αφορά σε δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων.

Στα άρθρα 53 έως 59 του ν. 4624/2019 θεσπίζονται τα δικαιώματα του υποκειμένου των δεδομένων. Πιο συγκεκριμένα:

• Δικαίωμα ενημέρωσης: το άρθρο 53 επιβάλλει την υποχρέωση στον υπεύθυνο επεξεργασίας να παρέχει γενικές και ευχερώς προσβάσιμες στο κοινό πληροφορίες σε απλή και κατανοητή γλώσσα και μέσω του διαδικτυακού τόπου της αρμόδιας αρχής αναφορικά με:α) τους σκοπούς της επεξεργασίας, β) το δικαίωμα του υποκειμένου να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση, διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας, γ) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και του ΥΠΔ, δ) το δικαίωμα υποβολής καταγγελίας στην Αρχή, και ε) τα στοιχεία επικοινωνίας της Αρχής. Το δε άρθρο 54 προβλέπει ότι σε ειδικές περιπτώσεις και ιδίως όταν η συλλογή των δεδομένων του υποκειμένου πραγματοποιήθηκε υπό συνθήκες μυστικότητας, και προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του, το υποκείμενο θα πρέπει, επιπλέον των πληροφοριών του άρθρου 53, τουλάχιστον να ενημερώνεται για: α) τη νομική βάση της επεξεργασίας· β) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου· γ) τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν· δ) όταν είναι απαραίτητο, να του παρέχονται επιπλέον πληροφορίες, ιδίως όταν τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν εν αγνοία του.
• Δικαίωμα πρόσβασης: Το άρθρο 55 επιβάλλει στον υπεύθυνο επεξεργασίας να ενημερώνει το υποκείμενο των δεδομένων κατόπιν αιτήσεώς του για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το υποκείμενο των δεδομένων ενημερώνεται, επίσης, για: α) τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τις κατηγορίες στις οποίες ανήκουν, β) τις διαθέσιμες πληροφορίες σχετικά με την προέλευση των δεδομένων, γ) τους σκοπούς και τη νομική βάση για την επεξεργασία,δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινοποιήθηκαν τα δεδομένα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς, ε) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου, στ) τη δυνατότητα άσκησης του δικαιώματος διόρθωσης ή διαγραφής ή περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ζ) το δικαίωμα κατ’ εφαρμογή του άρθρου 58 να υποβάλει καταγγελία στην Αρχή και η) τα στοιχεία επικοινωνίας της Αρχής.
• Δικαίωμα διόρθωσης και διαγραφής: Οι παράγραφοι 1 και 2 του άρθρου 56 θεσπίζουν υπέρ του υποκειμένου των δεδομένων το δικαίωμα διόρθωσης και διαγραφής καθορίζοντας τις προϋποθέσεις και τα όρια άσκησής του. Σύμφωνα με την παρ. 1, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη χωρίς καθυστέρηση διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Ειδικότερα, στην περίπτωση δηλώσεων ή αποφάσεων, το ζήτημα της ακρίβειας δεν έχει σημασία για το περιεχόμενο της δήλωσης ή της απόφασης. Εάν η ακρίβεια ή η ανακρίβεια των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να διαπιστωθεί, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία αντί να διαγράψει τα δεδομένα. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν προβεί ξανά στον περιορισμό. Το υποκείμενο των δεδομένων μπορεί επίσης να ζητήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, εάν αυτό, λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, είναι εύλογο. Σύμφωνα με την παράγραφο 2 το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά χωρίς καθυστέρηση από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν, όταν η επεξεργασία τους παραβιάζει τις διατάξεις του παρόντος Κεφαλαίου, η γνώση των δεδομένων αυτών δεν είναι πλέον απαραίτητη για την εκτέλεση καθηκόντων ή τα δεδομένα αυτά πρέπει να έχουν διαγραφεί, προκειμένου ο υπεύθυνος επεξεργασίας να εκπληρώσει νόμιμη υποχρέωσή του.

Ο τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων περιγράφεται στο άρθρο 57 του ν. 4624/2019. Ειδικά όμως στο πλαίσιο  ποινικής έρευνας και διαδικασίας, τα δικαιώματα ενημέρωσης για την επεξεργασία, πρόσβασης, διόρθωσης ή διαγραφής και περιορισμού των δεδομένων προσωπικού χαρακτήρα, κατά τις διατάξεις των άρθρων 54 έως και 56, ασκούνται σύμφωνα με όσα ορίζουν οι διατάξεις του Κώδικα Ποινικής Δικονομίας, ειδικές δικονομικές διατάξεις και ο Κώδικας Οργανισμού Δικαστηρίων και Κατάστασης Δικαστικών Λειτουργών (ΚΟΔΚΔΛ), όπως κάθε φορά ισχύουν (άρθρο 59).

Βιβλιογραφία

-Γανιάρης, σε Παύλου Σ./Σάμιου Θ., Ειδικοί Ποινικοί Νόμοι – Δεδομένα Προσωπικού Χαρακτήρα, 2020

-Λιμνιώτης-Ρουσόπουλος σε εκπαιδευτικό υλικό με τίτλο προγράμματος Γενικός Κανονισμός Προστασίας Δεδομένων: Οι υποχρεώσεις της Δημόσιας Διοίκησης, εκδδα, Συντονιστής Παπαμιχαήλ Γ. ,Συγγραφείς Λιμνιώτης Κ., Ρουσόπουλος Γ.,2014-2018

-Νούσκαλης, σε Σατλάνη/Μαργαρίτη/Ναζίρη Ειδικοί Ποινικοί Νόμοι, 2024 σελ. 590. Γανιάρης, σε Παύλου Σ./Σάμιου Θ. , Ειδικοί Ποινικοί Νόμοι – Δεδομένα Προσωπικού Χαρακτήρα, 2020

-Μαυρίδης, Το δικαίωμα στην προστασία δεδομένων προσωπικού χαρακτήρα,2024

^[1] Κατά τον Μαυρίδη, Το δικαίωμα στην προστασία δεδομένων προσωπικού χαρακτήρα, σελ. 4 το δικαίωμα στην προστασία των προσωπικών δεδομένων συνιστά εξέλιξη του δικαιώματος στην προστασία της προσωπικότητας

^[2] Βλ. αιτιολογικές σκέψεις υπ’ αριθμόν 5 έως 7 του Κανονισμού (ΕΕ) 2016/679.

^[3] ‘1. Παν πρόσωπον δικαιούται εις τον σεβασμόν της ιδιωτικής και οικογενειακής ζωής του, της κατοικίας του και της αλληλογραφίας του.2. Δεν επιτρέπεται να υπάρξη επέμβασις δημοσίας αρχής εν τη ασκήσει του δικαιώματος τούτου, εκτός εάν η επέμβασις αύτη προβλέπεται υπό του νόμου και αποτελεί μέτρον το οποίον, εις μίαν δημοκρατικήν κοινωνίαν, είναι αναγκαίον δια την εθνικήν ασφάλειαν, την δημοσίαν ασφάλειαν, την οικονομικήν ευημερίαν της χώρας, την προάσπισιν της τάξεως και την πρόληψιν ποινικών παραβάσεων, την προστασίαν της υγείας ή της ηθικής, ή την προστασίαν των δικαιωμάτων και ελευθεριών άλλων”.

[4] Βλ.  Λιμνιώτης, Ρουσόπουλος,σελ.13,14

^[5] Εφεξής ΓΚΠΔ.

^[6]Συναφής με την προστασία των προσωπικών δεδομένων είναι και η Οδηγία (EE) 2016/681 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.

^[7] Μαυρίδης, σελ. 6.

^[8] Σύμφωνα με το άρ. 83 παρ. 1 του νέου νόμου ορίζει σχετικώς ότι: “Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του παρόντος.

^[9] Όπως επισημαίνεται στην αιτιολογική έκθεση του νόμου, η κατ΄εξαίρεσιν περιγραφή του σκοπού του νομοθετήματος σε ρητή διάταξη έγινε προκειμένου να αποτελέσει γενική κατευθυντήρια οδηγία για την ερμηνεία και να υποβοηθηθεί στο έργο του ο ερμηνευτής και εφαρμοστής των διατάξεων αυτών.

^[10] Για τις διοικητικές κυρώσεις βλ. άρθρο 39 του ν. 4624/2019 σε συνδ. εμ το άρθρο 83 του ΓΚΠΔ.

^[11] Νούσκαλης, σε Σατλάνη/Μαργαρίτη/Ναζίρη Ειδικοί Ποινικοί Νόμοι, 2024 σελ. 590. Γανιάρης, σε Παύλου Σ./Σάμιου Θ. , Ειδικοί Ποινικοί Νόμοι – Δεδομένα Προσωπικού Χαρακτήρα, 2020, σελ. 4. Η άποψη αυτή εδράζεται και στην αιτιολογική σκέψη υπ’ αριθμόν 149 εδ. ά του ΓΚΠΔ, σύμφωνα με την οποία: “Τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν τους κανόνες περί ποινικών κυρώσεων για παραβάσεις του παρόντος κανονισμού, μεταξύ άλλων για παραβάσεις των εθνικών κανόνων που θεσπίζονται κατ’ εφαρμογή και εντός των ορίων του παρόντος κανονισμού”.

^[12]Νούσκαλης, σελ. 590. Γανιάρης, σελ. 590-591.

^[13] Το άρθρο 38 αποτελεί τη βασική ποινική διάταξη του δικαίου των προσωπικών δεδομένων. Το δε αδίκημα του άρθρου 16 παρ. 4 του ν. 4624/2019 αφορά μόνο τον Πρόεδρο και τα μέλη της ΑΠΔΠΧ. Άλλες ποινικές διατάξεις που τιμωρούν τη χωρίς δικαίωμα επεξεργασία των προσωπικών δεδομένων και συγκεκριμένα τα άρθρα 15 ν. 3471/2006, 18 ν. 3850/2010, 11 ν. 3917/2011, 83 και 84 ν. 4600/2019 δεν καταργούνται, θα πρέπει, ωστόσο να ερμηνεύονται σύμφωνα με τις ρυθμίσεις του ΓΚΠΔ, έτσι Γανιάρης, σελ. 5.

^[14]Νούσκαλης, σελ. 590. Προς την ίδια κατεύθυνση και ο Μαυρίδης, σελ. 26, ο οποίος παρατηρεί ότι: ο ν. 4624/2019 εισήγαγε διατάξεις στις οποίες εμφαίνεται η βούληση του Έλληνα νομοθέτη, στα ζητήματα που ο ΓΚΠΔ του καταλείπει διακριτική ευχέρεια, να δίνει προβάδισμα στο δικαίωμα πρόσβασης στην πληροφορία και στο δικαίωμα της οικονομικής ελευθερίας, υπαναχωρώντας από το status προστασίας που είχε θέσει με τον προϊσχύσαντα ν. 2472/1997 ως προς την προστασία των προσωπικών δεδομένων. Η βασιμότητα του προβληματισμού αυτού διαφαίνεται ιδίως σε περιπτώσεις όπως εκείνη της διάταξης του άρ. 6 παρ. 1 περ. στ που επιτρέπει την επεξεργασία των δεδομένων εάν αυτή είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.

^[15] Βλ. σελ. 4 της Αιτιολογικής Έκθεσης στο σχέδιο νόμου «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του  Συμβουλίου της 27ης Απριλίου 2016», που ψηφίσθηκε ως νόμος 4624/2019. (Εφεξής θα αναφέρεται χάριν συντομίας ως Αιτιολογική Έκθεση του ν. 4624/2019).

^[16]  Βλ. Αιτιολογική Έκθεση του ν. 4624/2019, σελ. 4-5.

[17] Γανιάρης, σελ.31,32

^[18] Νούσκαλης, σελ. 600. Σε τυχόν εκκρεμείς υποθέσεις για τα εγκλήματα που προβλέπονταν στο άρ. 22 παρ. 5 του ν. 2472/1997  αν θα εφαρμοστεί το άρθρο 2 ΠΚ, Γανιάρης, σελ. 52.

^[19] Βλ. Αιτιολογική Έκθεση του ν. 4624/2019 υπό άρθρο 38, σελ. 28. “Η βασική μορφή του εγκλήματος της παραγράφου 1 καλύπτει τόσο τη “διακινδύνευση” του εννόμου αγαθού των δεδομένων προσωπικού χαρακτήρα όσο και τη βλάβη του”.

^[20] Γανιάρης, σελ. 10.

^[21]ΑΠ 499/2013 (Ποιν.), ΠοινΧρ 2014,38, σύμφωνα με την οποία; “Κατά το άρθρο 1 του Ν. 2472/1997, όπως αυτός μετά τις τροποποιήσεις του με το Νόμο 3474/2006 αντικείμενο του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής”.

^[22] Γανιάρης, σελ. 11 με εκτενή ανάλυση και περαιτέρω παραπομπές.

^[23] Έτσι Γανιάρης, σελ. 12. Παρόμοια και ο Νούσκαλης, σε Σατλάνη/Μαργαρίτη/Ναζίρη Ειδικοί Ποινικοί Νόμοι σελ. 591, ο οποίος θεωρεί ότι ο ΓΚΠΔ αποσκοπεί στην προστασία τόσο του απορρήτου του ιδιωτικού βίου όσο και της “κοινωνικής” ιδιωτικότητας. Υπέρ της προστασίας μόνο του απορρήτου του ιδιωτικού βίου η ΣυμβΠλημμΣαμ 34/2001, ΠοινΔικ 2002, 881.

^[24] Έτσι Γανιάρης, σελ. 12

^[25]  Έτσι Γανιάρης, σελ. 18.

^[26] ΑΠ (Πολ.) 1257/2005, ΝΟΜΟΣ, ΜΕφΑθ 664/2023, ΝΟΜΟΣ

^[27] Πρόκειται για έγκλημα κοινό Γανιάρης, σελ. 14-15.

^[28] Βλ. αιτιολογική έκθεση του νόμου σελ. 28. Όπως παρατηρεί ο Νούσκαλης, σελ. 595, η στην περ. α της παρ. 1 περιγραφόμενη συμπεριφορά αντιστοιχεί στο περιεχόμενο της έννοιας της “παραβίασης δεδομένων προσωπικού χαρακτήρα” του  άρ. 4 περ. 12 ΓΚΠΔ.

^[29] Βλ. Νούσκαλη, σελ. 595.

^[30] Νούσκαλης, σελ. 595, με αναφορά στην ΑΠ 686/2021, ΠοινΔικ 2/2022, 247, που εδέχθη ότι συνιστά επέμβαση και λήψη γνώσης η ανάρτηση από τον δράστη νομίμως μαγνητοσκοπημένου υλικού (βίντεο) με την ερωτική ζωή τρίτου (του θύματος) χωρίς συγκατάθεση σε διαδικτυακή ιστοσελίδα.

^[31] Πρόκειται για την παρ. 4 του άρθρου 22 που όριζε ότι:“Όποιος χωρίς δικαίωμα επεμβαίνει με οποιονδήποτε τρόπο σε αρχείο δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών …”

^[32] Βλ. Νούσκαλη, σελ. 597 και Γανιάρη σελ. 39

^[33] Βλ. άρ. 4 περ. 2 του ΓΚΠΔ.

^[34]  ΑΠ 686/2021, Νούσκαλης, σελ. 597.

^[35] Γανιάρης σελ. 28. Για “όρο ύπαρξης του τελικού αδίκου” κάνει λόγο ο Νούσκαλης, σελ. 590.

^[36] Έτσι η ΑΠ 686/2021: Η προβλεπόμενη στην παράγραφο 2 του άρθρου 38 Ν.4624/2019 πράξη συνιστά “έγκλημα χρήσης”, καθώς και η Αιτιολογική έκθεση του νόμου 4624/2019, σελ. 29), στην οποία παραπέμπει και η ανωτέρω απόφαση του ΑΠ.

^[37] Νούσκαλης σελ. 598. Σημειωτέον ότι κατά την ΑΠ 686/2021, το έγκλημα της παραγράφου 2 συνιστά “ήπια διακεκριμένη μορφή” του εγκλήματος της παρ. 1. Αυτό δεν είναι απολύτως ακριβές, καθότι, όπως επισημαίνει ο Νούσκαλης οπ.π., δεν περιλαμβάνονται στην παρ. 2 του άρ. 38 οι πράξεις επεξεργασίας του β΄ εδαφίου της πρώτης παραγράφου.

^[38] Νούσκαλης σελ. 598.

^[39] Σύμφωνα με την οποία “Αν ο υπαίτιος των πράξεων των παρ. 1 έως 5 του παρόντος άρθρου είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος, ή να βλάψει τρίτον, επιβάλλεται κάθειρξη έως δέκα (10) ετών και χρηματική ποινή τουλάχιστον δύο εκατομμυρίων (2.000.000) δραχμών έως δέκα εκατομμυρίων (10.000.000) δραχμών”.

^[40] Βλ. ΑΠ 686/2021 οπ.π. σύμφωνα με την οποία “συντρέχει κακουργηματικής μορφής παράβαση του άρθρου 38 παρ. 4 του Ν. 4624/2019, όταν συνυπάρχει στο πρόσωπο του δράστη το πρόσθετο στοιχείο του σκοπού πρόκλησης βλάβης τρίτου από την παραβίαση προσωπικών δεδομένων, μη περιουσιακής, αλλά ηθικής τοιαύτης. Αυτό είναι απόλυτα σύμφωνο με τον σκοπό του νομοθέτη ο οποίος υπογράμμισε στην Αιτιολογική έκθεση σχετικά με το άρθρο 38 παρ. 4 την αντεγκληματοπολιτικά αναγκαία πρόβλεψη μιας τέτοιας διάταξης, επισύρουσας για το δράστη στο πρόσωπο του οποίου συντρέχει πέραν του στοιχείου του δόλου τελέσεως του αδικήματος αυτού και το πρόσθετο στοιχείο του σκοπού πορισμού οφέλους ή πρόκλησης ζημίας άνω των 120.000 ευρώ ή πρόκλησης βλάβης χωρίς πρόβλεψη ποσοτικού ορίου, διακρίνοντας με σαφήνεια την έννοια της περιουσιακής ζημίας από την έννοια της βλάβης του υποκειμένου των δεδομένων, την οποία δεν περιόρισε ποσοτικά.”

^[41] Σύμφωνα με το άρ. 216 παρ. 3 ΠΚ: Αν ο υπαίτιος των πράξεων των παρ. 1 και 2 σκόπευε να προσπορίσει στον εαυτό του ή σε άλλον περιουσιακό όφελος βλάπτοντας τρίτον ή σκόπευε να βλάψει άλλον, τιμωρείται:α) εάν το συνολικό όφελος ή η συνολική ζημία είναι ιδιαίτερα μεγάλη, με φυλάκιση τουλάχιστον τριών (3) μηνών και χρηματική ποινή, β) εάν το συνολικό όφελος ή η συνολική ζημία υπερβαίνει τις εκατόν είκοσι χιλιάδες (120.000) ευρώ, με κάθειρξη έως δέκα (10) έτη και χρηματική ποινή.

^[42]Βλ. εκτενώς  Νούσκαλης σελ. 598-599.

^[43]  Νούσκαλης, σελ. 601-602.

^[44]ΕφΑιγ 3/2018, ΝΟΜΟΣ

^[45] ΕφΘεσσ 2322/2010, ΝΟΜΟΣ

^[46] ΕφΑιγ 5/2018, ΝΟΜΟΣ

^[47] Νούσκαλης, σελ. 602 με περαιτέρω παραπομπές.

^[48]   Νούσκαλης, σελ. 601-602.

^[49] Νούσκαλης, σελ. 602.

^[50]  Νούσκαλης, σελ. 602.

^[51] Σημειωτέον ότι πριν από την τροποποίηση του άρθρου 115 παρ. 1 ΚΠΔ δια του νόμου 5090/2024 οι πράξεις των παρ. 2 και 3 υπήγοντο στην καθ’ ύλην αρμοδιότητα του Τριμελούς Πλημμελειοδικείου.

^[52] Γανιάρης, σελ. 53.

^[53] Γανιάρης, σελ. 53.

^[54] Γανιάρης, σελ. 53.