Προσωπικά Δεδομένα & Μέσα Κοινωνικής Δικτύωσης με αφορμή την υπ’ αριθμ. 620/2022 ΕφΘεσσ. Το ‘’έγκλημα χρήσης’’  της παραγράφου 2 του άρθρου 38 του Ν. 4624/2019.

Είναι ευρέως γνωστό πως τα μέσα κοινωνικής δικτύωσης διαδραματίζουν σημαίνοντα – αν όχι τον βασικότερο- ρόλο στις καθημερινές μας επικοινωνίες, καθώς ολοένα και περισσότερα άτομα, ακόμη και μεγαλύτερων ηλικιών, επιλέγουν κάποια από τις διασημότερες πλατφόρμες (messenger-Facebook, Instagram κλπ) για την ανάπτυξη συνομιλιών, την ανταλλαγή απόψεων και ιδεών, ακόμη και για την έκθεση της καθημερινότητάς τους μέσω βίντεο, φωτογραφιών ή και ηχητικών μηνυμάτων. Η νέα αυτή μορφή επικοινωνίας ωστόσο, διακρίνεται από το έντονο ψηφιακό της αποτύπωμα (digital footprint) το οποίο και την καθιστά ιδιαιτέρως ευάλωτη σε διάφορες μορφές επεξεργασίας, κυρίως μέσω της διάδοσής προσωπικών δεδομένων, που συνήθως- αν όχι πάντοτε- περιέχουν οι συνομιλίες αυτές, σε τρίτα πρόσωπα χωρίς την συναίνεση του υποκειμένου τους. Οι υπηρεσίες που παρέχονται από τις ανωτέρω πλατφόρμες κοινωνικής δικτύωσης, συνιστούν υπηρεσίες που παρέχονται από την Κοινωνία της Πληροφορίας[1] και κατά τούτο διακρίνονται από τις υπηρεσίες τηλεπικοινωνιών με την μεταφορά σημάτων σε δίκτυα από παρόχους όπως η Cosmote, Vodafone κλπ, καθώς στις μεν πρώτες, για την προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται πλέον ο Κανονισμός 2016/679 Ε.Ε (Γενικός Κανονισμός Προστασίας Δεδομένων- ΓΚΠΔ), ενώ στις δεύτερες εφαρμόζεται ο Ν. 3471/2006.

Σύμφωνα με την διάταξη της παραγράφου 1 του άρθρου 38 του Ν. 4624/2019 [2]

«1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.»

Για την πλήρωση της αντικειμενικής υπόστασης του βασικού αδικήματος της παρ. 1α του άρθρου 38 Ν. 4624/2019 απαιτείται η χωρίς δικαίωμα επέμβαση επί συστήματος αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα και η μέσω της επέμβασης αυτής λήψη γνώσης του περιεχομένου των δεδομένων. Ειδικότερα, η τέλεση του αδικήματος προϋποθέτει: α) την ύπαρξη “συστήματος αρχειοθέτησης” που να περιέχει προσωπικά δεδομένα, κατ` αναλογία του “αρχείου” που προέβλεπε η νομοτυπική μορφή του προϊσχύσαντος Ν. 2472/1997, β) την επέμβαση σε αυτό, γ) την ανυπαρξία δικαιώματος και δ) την με την επέμβαση αυτή γνώση από τον δράστη του περιεχομένου των δεδομένων. Η επέμβαση προϋποθέτει θετική ενέργεια, η οποία να έχει ως συνέπεια τη λήψη γνώσης του περιεχομένου των δεδομένων, με οποιοδήποτε τρόπο, ακόμα δηλαδή και με τους αναφερόμενους στο εδάφιο β` τρόπους επεξεργασίας, ήτοι με την αντιγραφή, αφαίρεση, αλλοίωση, βλάβη, συλλογή, καταχώρηση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή, μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, συσχέτιση, συνδυασμό, περιορισμό, διαγραφή ή καταστροφή. Τέτοια ενέργεια αποτελεί, σύμφωνα και με τα αναφερόμενα στην αιτιολογική έκθεση του Ν. 4624/2019, η χωρίς δικαίωμα “εισβολή-εισχώρηση” απ` έξω σε συστήματα αρχειοθέτησης. Είναι αυτονόητο όμως, ότι για τη στοιχειοθέτηση του αδικήματος απαιτείται η αυθαίρετη εισβολή σε σύστημα αρχειοθέτησης, καθώς μόνο η περαιτέρω χρησιμοποίηση του προϊόντος αυτής της εισβολής – επέμβασης δύναται να στοιχειοθετήσει αντικειμενικά την κατά νόμο έννοιά της, οπότε, αν δεν λάβει χώρα τέτοια “εισβολή” ή “είσοδος” και ο δράστης τυχόν γνώριζε τα δεδομένα αυτά από μόνος του ή χωρίς αυθαίρετη έρευνα, παρέμβαση ή διείσδυση, τότε δεν πληρούται η νομοτυπική μορφή του αδικήματος. Αρκεί δε, η επέμβαση αυτή να έχει ως υλικό αντικείμενό της ένα σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και ο υπαίτιος να μην έχει δικαίωμα επεξεργασίας των δεδομένων αυτών, ήτοι τα δεδομένα να αφορούν σε τρίτο φυσικό πρόσωπο και να μην εμπίπτει ο δράστης σε μία από τις εξαιρέσεις των άρθρων 21-36 του Ν. 4624/2019 και του Κανονισμού 2016/679 Ε.Ε., ώστε να μην έχει εκ του νόμου δικαίωμα  επεξεργασίας και λήψης γνώσης των δεδομένων.

Ποια όμως η νομική προστασία του υποκειμένου των δεδομένων που χωρίς τη συναίνεσή του, έχουν τύχει επεξεργασίας, δίχως να λάβει χώρα παράνομη επέμβαση σε αρχείο δεδομένων; Όταν δηλαδή το άτομο που τελεί την επεξεργασία, έλαβε νόμιμα γνώση των δεδομένων αυτών, με την λήψη για παράδειγμα ενός γραπτού μηνύματος στην συσκευή του μέσω της πλατφόρμας κοινωνικής δικτύωσης ‘’Messenger’’; Την απάντηση σε αυτό το ερώτημα δίδει η ίδια η παράγραφος 2 του άρθρου 38 του Ν. 4624/2019 σύμφωνα με την οποία ‘’ 2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.’’

  Η προβλεπόμενη στην παράγραφο 2 του άρθρου 38 Ν. 4624/2019 πράξη συνιστά “έγκλημα χρήσης” (βλ. Αιτιολ. Έκθεση), αποτελεί δε ήπια διακεκριμένη μορφή τέλεσης του αδικήματος, απειλούμενη με ποινή φυλάκισης μέχρι πέντε (5) ετών. Για την πλήρωση της αντικειμενικής υπόστασης του αδικήματος της εν λόγω μορφής απαιτείται: α) η ύπαρξη “συστήματος αρχειοθέτησης” που περιέχει προσωπικά δεδομένα, β) η μη ύπαρξη δικαιώματος επεξεργασίας τους, γ) η αναφερόμενη στο α` εδάφιο της πρώτης παραγράφου μορφή επενέργειας σε αυτά και δ) η επιπρόσθετη συμπεριφορά του δράστη, που τίθεται διαζευκτικά, συνισταμένη στη χρησιμοποίηση, μετάδοση, διάδοση, κοινολόγηση με διαβίβαση, διάθεση, ανακοίνωση των δεδομένων προσωπικού χαρακτήρα σε μη δικαιούμενα πρόσωπα ή όταν ο δράστης καθιστά προσιτά ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών[3].

Βάσει λοιπόν όλων των ανωτέρω, το αδίκημα του άρθρου 38 του Ν. 4624/2019  έχει δύο μορφές, ήτοι την μορφή της άνευ δικαιώματος επέμβασης σε αρχείο δεδομένων της περίπτωσης α’ της παραγράφου 1 του ως άνω άρθρου και την μορφή της άνευ δικαιώματος επεξεργασίας (αντιγραφής, αφαίρεσης, αλλοίωσης, βλάβης, συλλογής, καταχώρησης, οργάνωσης, διάρθρωσης, αποθήκευσης, προσαρμογής, μεταβολής, ανάκτησης, αναζήτησης πληροφοριών, συσχέτισης, συνδυασμού, περιορισμού, διαγραφής ή καταστροφής των δεδομένων αυτών) αρχείου δεδομένων, ακόμη και αν αυτή η επεξεργασία δεν συνιστά αυτή καθ’ εαυτή επέμβαση σε αρχείο δεδομένων. Στην παρ.2 του άνω άρθρου 38 του Ν. 4624/2019, τυποποιείται ένα ξεχωριστό έγκλημα βλάβης, αλλά μεγαλύτερης απαξίας της ιδιωτικότητας. Συγκεκριμένα τυποποιούνται πράξεις επεξεργασίας προσωπικών δεδομένων που εντάχθηκαν ή πρόκειται να ενταχθούν σε υπάρχον σύστημα αρχειοθέτησης με τη μορφή της διάθεσης/κοινοποίησης σε μη δικαιούμενα πρόσωπα ως ένα « έγκλημα χρήσης» των ίδιων δεδομένων, υπό την έννοια της αξιοποίησης των παραπάνω πληροφοριών με τη διάθεσή τους σε μη δικαιούμενα πρόσωπα. Στην πραγματικότητα, η άνω προϋπόθεση λειτουργεί, όπως η αντίστοιχη στο έγκλημα «χρήσης» του προϊόντος τηλεφωνικής υποκλοπής στο άρθρο 370 παρ.3 ΠΚ. Θα μπορούσε λοιπόν κάποιος να έχει συλλέξει νομίμως και να έχει στην κατοχή του δεδομένα σε σύστημα αρχειοθέτησης , αλλά είτε να τα επεξεργάζεται παράνομα εντός της σφαίρας εξουσίας του, είτε να τα διαθέτει σε τρίτους παρανόμως, δηλαδή χωρίς νόμιμη βάση επιτρεπτής επεξεργασίας σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 (Γενικός Κανονισμός Για την Προστασία Δεδομένων- ΓΚΠΔ).[4]

Συνεπώς, η αντικειμενική υπόσταση της δεύτερης μορφής του αδικήματος της παραγράφου 1 του άρθρου 38 του ως άνω νόμου πληρούται, ακόμη και αν δεν έχει λάβει χώρα επέμβαση χωρίς δικαίωμα, αρκεί δηλαδή η επεξεργασία υπό την μορφή της αντιγραφής, αφαίρεσης, αλλοίωσης, βλάβης, συλλογής, καταχώρησης, οργάνωσης, διάρθρωσης, αποθήκευσης, προσαρμογής, μεταβολής, ανάκτησης, αναζήτησης πληροφοριών, συσχέτισης, συνδυασμού, περιορισμού, διαγραφής ή καταστροφής των δεδομένων του αρχείου αυτού, ακόμη και αν ο τελών την επεξεργασία έλαβε γνώση χωρίς επέμβαση σε αρχείο, αρκεί η περαιτέρω επεξεργασία να λαμβάνει χώρα χωρίς την συγκατάθεση του υποκειμένου των δεδομένων και για λόγο διαφορετικό από τον οποίο αυτά συλλέχθηκαν. Εξάλλου, κάθε φορά που κάποιος αλλάζει παράνομα το σκοπό επεξεργασίας δεδομένων που είτε κατέχει νόμιμα, είτε παράνομα, η πράξη του αυτή θεωρείται όχι μόνο ως «παράνομη επεξεργασία», αλλά και ως «επέμβαση» σε σύστημα αρχειοθέτησης κατά το άρθρο 38 παρ.1 Ν. 4624/2019 [5].

Σύμφωνα με την υπ’ αριθμ. 620/2022 ΕφΘεσς, η τήρηση ηλεκτρονικού αρχείου συνομιλίας στις ανωτέρω πλατφόρμες κοινωνικής δικτύωσης, δεν εμπίπτει στις διατάξεις του κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός Για την Προστασία Δεδομένων- ΓΚΠΔ), διότι αφορά αποκλειστικά προσωπική-οικιακή δραστηριότητα και επομένως υπάγεται στις εξαιρέσεις της διάταξης της παραγράφου 2 περ. γ’ του άρθρου 2 του Ν. 4624/2019. Όταν όμως λάβει χώρα διάδοση του αρχείου αυτού σε τρίτα, μη δικαιούμενα να λάβουν γνώση άτομα, εκφεύγει η επεξεργασία δεδομένων από το πεδίο της οικιακής-προσωπικής δραστηριότητας και ο τελών την επεξεργασία καθίσταται πλέον υπεύθυνος επεξεργασίας και οφείλει να συμμορφωθεί με τις διατάξεις του Γ.Κ.Π.Δ. Άλλωστε, στην Αιτιολογική Έκθεση του Ν. 4624/2019 αναφέρεται ότι “χωρίς δικαίωμα ενεργεί ο δράστης των αδικημάτων των παραγράφων 1, 2, 3 όταν τελεί τις παραπάνω πράξεις χωρίς να υφίσταται σχετική διάταξη νόμου που να του το επιτρέπει ή ενεργεί καθ` υπέρβαση άλλης νομικής πράξης (λχ. εσωτερικού  κανονισμού λειτουργίας, σύμβασης κ.ο.κ.). Κατά τον τρόπο αυτόν, καλύπτονται νομοθετικά και οι περιπτώσεις παράνομης  επεξεργασίας δεδομένων τα οποία νομίμως έχει στην κατοχή του ο δράστης – αυτουργός του αδικήματος (λχ. λόγω συγκατάθεσης του  υποκειμένου τους ή λόγω επεξεργασίας αυτών για άλλον σκοπό), αλλά τα επεξεργάζεται για διαφορετικό σκοπό από αυτόν που  συναίνεσε το υποκείμενό τους ή εν αγνοία του τελευταίου.[6]  Όσον αφορά την υποκειμενική υπόσταση του ανωτέρω εγκλήματος της παραγράφου 2 του άρθρου 38 του Ν. 4624/2019, αυτό τελείται μόνο εκ δόλου, έστω και ενδεχόμενου, ενώ οι διατάξεις του Ν. 4624/2019 που ισχύει από 29 Αυγούστου 2019, με τον οποίο καταργήθηκε ο νόμος 2472/1997 (άρθρο 84 Ν. 4624/2019 με την επιφύλαξη των σ` αυτό αναφερομένων διατάξεων, περιέχουν ευμενέστερη για τον κατηγορούμενο μεταχείριση, όπως προκύπτει από την απλή επισκόπηση των διατάξεων των αρθ. 22 παρ.4 Ν. 2472/1997 και 38 παρ.1 και 2 του Ν. 4624/2019, αφού με το άρθρο 38 παρ. 1 του τελευταίου νόμου για την βασική μορφή του αδικήματος προβλέπεται ποινή φυλάκισης μέχρι ενός έτους, ενώ με το άρθρο 38 παρ. 2 του ιδίου νόμου, προβλέπεται μόνο ποινή φυλάκισης και όχι και χρηματική ποινή . Εκτός τούτου, το έγκλημα που προβλεπόταν από το αρθ. 22 του Ν. 2472/97 τιμωρούνταν και στην εξ αμελείας τέλεσή του, ενώ στο νέο νόμο 4624/19 δεν προβλέπεται έγκλημα και τιμωρία σε εξ αμελείας τέλεση.

Σύμφωνα λοιπόν με την διάταξη του άρθρου 25 του ν. 4624/2019 επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί , εφόσον είναι απαραίτητη μεταξύ άλλων , { περ. γ) για τη θεμελίωση , άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά. Εξάλλου και κατά τη διάταξη του άρθρου 5 και 7 του ν. 2472/1997 που ίσχυε, «κατ` εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση, όταν, ε) Η επεξεργασία είναι απολύτως αναγκαία για ικανοποίηση του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι, στους οποίους ανακοινώνονται τα δεδομένα και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών”. Κατά πάγια νομολογία, «τέτοια περίπτωση συνδρομής υπέρτερου εννόμου συμφέροντος συνιστά, ιδίως, η περίπτωση κατά την οποία τα στοιχεία που ζητούνται είναι αναγκαία για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου.  Πέραν όμως της συμμόρφωσης του εκάστοτε υπευθύνου επεξεργασίας προς την ανωτέρω διάταξη του αρ. 25 του Ν. 4624/2019, θα πρέπει αυτός να εφαρμόσει και τις επιταγές της αρχής της αναλογικότητας, καθώς προϋπόθεση  για τη νόμιμη εφαρμογή της παραπάνω διάταξης είναι ότι τα δεδομένα, των οποίων ζητείται η χορήγηση ή για τα οποία πρόκειται η χρήση, πρέπει να είναι απολύτως αναγκαία και πρόσφορα για την αναγνώριση, άσκηση ή υπεράσπιση δικαιώματος ενώπιον δικαστηρίου (αρχή της αναγκαιότητας) και δη ενόψει της συγκεκριμένης δίκης που εκκρεμεί. Περαιτέρω δε, η κατ’ εξαίρεση επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως αναλύθηκε ανωτέρω, πέραν του γεγονότος ότι πρέπει να είναι απολύτως αναγκαία για την υπεράσπιση υπέρτερου εννόμου συμφέροντος του υπευθύνου επεξεργασίας ή τρίτων ατόμων στα οποία αυτός διέδωσε τα εν λόγω δεδομένα, θα πρέπει η επεξεργασία αυτή προκειμένου να είναι επιτρεπτή, να είναι σε απόλυτη ευθυγράμμιση με τις επιταγές της αρχής της αναλογικότητας. Δηλαδή να μην υπάρχει άλλο ηπιότερο μέσο για την υπεράσπιση του εν λόγω υπέρτερου εννόμου συμφέροντος.

[1] Ο ορισμός των υπηρεσιών της Κοινωνίας της Πληροφορίας όπως προβλεπόταν από το πδ 39/2001 ήταν ο εξής : «οποιαδήποτε υπηρεσία της κοινωνίας των πληροφοριών, ήτοι κάθε υπηρεσία που συνήθως παρέχεται έναντι αμοιβής, με ηλεκτρονικά μέσα εξ αποστάσεως και κατόπιν προσωπικής επιλογής ενός αποδέκτη υπηρεσιών».

[2] ‘’Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679’’

[3] ΑΠ 686/2021 ΤΝΠ NOMOS.

[4] ( Γ. Νούσκαλης Ποινική Δικαιοσύνη 2022 σελ. 354)

[5] ΑΠ 505/2020 ΤΝΠ ΝΟΜΟΣ”, Γ. Νούσκαλης Ποινική Δικαιοσύνη 2022 σελ. 353.

[6] ΑΠ 686/2021 ΤΝΠ NOMOS, ΕφΑΙΓΑΙΟΥ 25/2022 ΤΝΠ NOMOS.