Το Δικαστήριο της Ευρωπαϊκής Ένωσης με απόφαση που εξέδωσε χθες στην υπόθεση C-33/22 | Österreichische Datenschutzbehörde έκρινε την υποχρέωση των εξεταστικών (κοινοβουλευτικών) επιτροπών να τηρούν τις επιταγές του GDPR εφόσον δεν τίθεται ζήτημα διαφύλαξης της εθνικής ασφάλειας.
Ιστορικό
Το Αυστριακό Κοινοβούλιο συνέστησε εξεταστική επιτροπή προκειμένου να διερευνήσει αν ενδεχομένως υπάρχουν πολιτικές παρεμβάσεις στην ομοσπονδιακή υπηρεσία για την προστασία του Συντάγματος και την καταπολέμηση της τρομοκρατίας.
Η εν λόγω επιτροπή εξέτασε μάρτυρα στο πλαίσιο ακρόασης η οποία αναμεταδόθηκε από τα μέσα μαζικής ενημέρωσης. Τα πρακτικά της ακρόασης αναρτήθηκαν στον ιστότοπο του αυστριακού Κοινοβουλίου. Το πλήρες όνομα του μάρτυρα αναγραφόταν στα πρακτικά, παρά το αίτημά του για ανωνυμοποίηση.
Εκτιμώντας ότι η μνεία του ονόματός του ήταν αντίθετη προς τον ΓΚΠΔ, ο μάρτυρας υπέβαλε καταγγελία ενώπιον της αυστριακής αρχής προστασίας δεδομένων προσωπικού χαρακτήρα. Διευκρίνισε ότι, στο πλαίσιο των καθηκόντων του, είχε διεισδύσει μυστικά στην αστυνομική μονάδα για την καταπολέμηση της εγκληματικότητας στον δημόσιο βίο. Η αρχή προστασίας δεδομένων απέρριψε την καταγγελία με το σκεπτικό ότι η αρχή της διάκρισης των εξουσιών δεν επιτρέπει στην αυστριακή αρχή προστασίας δεδομένων, η οποία υπάγεται στην εκτελεστική εξουσία, να προβεί σε έλεγχο της τήρησης του ΓΚΠΔ από την εξεταστική επιτροπή, η οποία υπάγεται στη νομοθετική εξουσία. Ο μάρτυρας αμφισβήτησε το σκεπτικό αυτό ενώπιον των αυστριακών δικαστηρίων.
Το αυστριακό διοικητικό δικαστήριο ζήτησε από το Δικαστήριο να διευκρινίσει αν η εξεταστική επιτροπή, η οποία υπάγεται στη νομοθετική εξουσία και διεξάγει έρευνα αφορώσα την εθνική ασφάλεια, υπόκειται στον ΓΚΠΔ και στον έλεγχο της αρχής προστασίας δεδομένων.
Απόφαση ΔΕΕ
Το Δικαστήριο αποφαίνεται ότι μια εξεταστική επιτροπή συσταθείσα από το κοινοβούλιο κράτους μέλους στο πλαίσιο της άσκησης της εξουσίας ελέγχου επί της εκτελεστικής εξουσίας πρέπει, κατ’ αρχήν, και αυτή να τηρεί τον ΓΚΠΔ.
Εξ άλλου, όπως χαρακτηριστικά σημειώθηκε, «δεν μπορεί να θεωρηθεί ότι μια δραστηριότητα δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης και, ως εκ τούτου, εκφεύγει της εφαρμογής του κανονισμού αυτού απλώς και μόνον επειδή επιτελείται από εξεταστική επιτροπή συσταθείσα από το κοινοβούλιο κράτους μέλους στο πλαίσιο της άσκησης της εξουσίας ελέγχου της εκτελεστικής εξουσίας».
Είναι αληθές ότι ο ΓΚΠΔ δεν έχει εφαρμογή στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από τις κρατικές αρχές στο πλαίσιο δραστηριότητας η οποία αποσκοπεί στη διαφύλαξη της εθνικής ασφάλειας. Παρά ταύτα, με την επιφύλαξη της επαλήθευσης από το αυστριακό διοικητικό δικαστήριο, δεν προκύπτει ότι η επίμαχη έρευνα αποσκοπεί, αυτή καθεαυτήν, στη διαφύλαξη της εθνικής ασφάλειας. Συγκεκριμένα, αντικείμενο της εν λόγω εξεταστικής επιτροπής ήταν η διερεύνηση της ενδεχόμενης ύπαρξης πολιτικών παρεμβάσεων σε αρχή υπαγόμενη στην εκτελεστική εξουσία, η οποία ήταν επιφορτισμένη με την προστασία του Συντάγματος και την καταπολέμηση της τρομοκρατίας.
Η εθνική ασφάλεια μπορεί βεβαίως να δικαιολογήσει περιορισμό, μέσω νομοθετικών μέτρων, των υποχρεώσεων και των δικαιωμάτων που απορρέουν από τον ΓΚΠΔ. Δεν προκύπτει, ωστόσο, από τη δικογραφία ότι η επίμαχη εξεταστική επιτροπή υποστήριξε ότι η δημοσιοποίηση του ονόματος του μάρτυρα ήταν αναγκαία για τη διαφύλαξη της εθνικής ασφάλειας και ότι στηριζόταν σε νομοθετικό μέτρο. Εναπόκειται, όμως, στο αυστριακό διοικητικό δικαστήριο να προβεί στις απαραίτητες προς τούτο εξακριβώσεις.
Στη συνέχεια το Δικαστήριο τόνισε ότι όταν ένα κράτος μέλος έχει επιλέξει να συστήσει μία και μόνη εποπτική αρχή, χωρίς ωστόσο να της αναθέσει την αρμοδιότητα παρακολούθησης της εφαρμογής του ΓΚΠΔ από εξεταστική επιτροπή συσταθείσα από το κοινοβούλιο του εν λόγω κράτους μέλους στο πλαίσιο της άσκησης της εξουσίας ελέγχου επί εκτελεστικής εξουσίας, οι διατάξεις του ΓΚΠΔ απονέμουν απευθείας στην εποπτική αρχή την αρμοδιότητα να επιλαμβάνεται καταγγελιών σχετικών με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργεί η εξεταστική επιτροπή.
Έτσι, λοιπόν, δεδομένου ότι η Αυστρία επέλεξε να συστήσει μία και μόνη εποπτική αρχή κατά την έννοια του ΓΚΠΔ, ήτοι την αρχή προστασίας δεδομένων, η αρχή αυτή είναι κατ’ αρχήν αρμόδια και για τον έλεγχο της τήρησης του ΓΚΠΔ από εξεταστική επιτροπή όπως η επίμαχη εν προκειμένω, και τούτο ανεξαρτήτως της αρχής της διάκρισης των εξουσιών.
Δείτε την απόφαση στη Qualex: ΔΕΕ υπόθ. C-33/22
Δείτε τη σχετική Έκδοση: Οδηγός Εφαρμογής GDPR
Δείτε τη σχετική Αρθρογραφία στη Qualex: Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) – Νομική διάσταση και πρακτική εφαρμογή