Συλλογή και πώληση προσωπικών δεδομένων, ως νέα παράνομη επιχειρηματική δραστηριότητα, τελούμενη και μέσω διαδικτύου σε εποχές κρίσης.

ΑΝΑΣΤΑΣΙΟΣ Χ. ΠΑΠΑΘΑΝΑΣΙΟΥ /
ΦΩΤΕΙΝΗ Π. ΔΗΜΟΠΟΥΛΟΥ

Συλλογή και πώληση

προσωπικών δεδομένων, ως νέα

παράνομη επιχειρηματική δραστηριότητα, τελούμενη και μέσω διαδικτύου

σε εποχές κρίσης.

Μελέτη – παρουσίαση περιπτώσεων

Αναστασιος Χ. Παπαθανασιου* /

Φωτεινη Π. Δημοπουλου**

Περίληψη (Abstract)***

Η προστασία των προσωπικών δεδομένων, απλών και ευαίσθητων, εμφανίζεται διαρκώς στο προσκήνιο της νομικής σκέψης, κυρίως λόγω της αλματώδους και ραγδαίας εξέλιξης της τεχνολογίας, της ανάπτυξης της πληροφορικής και της ευρύτατης χρήσης του Διαδικτύου σε κάθε έκφανση της ανθρώπινης ύπαρξης. Παράλληλα, η εμπορευματοποίηση των ατομικών δικαιωμάτων βρίσκεται στο απόγειό της στη σημερινή εποχή της κρίσης που διανύουμε.

Το απαραβίαστο της ιδιωτικής σφαίρας του ατόμου του Σ 9, η προστασία των προσωπικών δεδομένων του Σ 9Α από τη συλλογή, επεξεργασία και χρήση, κυρίως μέσω των ηλεκτρονικών μέσων, και η ποινική διάταξη του άρθρου 22 § 6 του νόμου 2472/1997 συνθέτουν το νομικό πλαίσιο του προς εξέταση θέματος.

Η παρουσίαση – ανάπτυξη του θέματος θα κινηθεί σε δύο άξονες:

Ο πρώτος περιλαμβάνει συνοπτική ανάλυση του νομικού πλαισίου και των πιθανών προβλημάτων που ανακύπτουν. Επίσης, θα γίνει αναφορά στο δικαίωμα στον «πληροφοριακό αυτοκαθορισμό», στο «δικαίωμα στην ησυχία» αλλά και στο πρωτοεμφανιζόμενο «δικαίωμα στην ψηφιακή λήθη» (‘the right to be forgotten’).

Ο δεύτερος άξονας πραγματεύεται περιπτώσεις, συλλογής και πώλησης προσωπικών δεδομένων, ως νέα παράνομη επιχειρηματική δραστηριότητα, τελούμενη και μέσω διαδικτύου, που απασχόλησαν την Ελληνική Αστυνομία και ειδικότερα την Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, την Ελληνική Δικαιοσύνη αλλά και την Α.Π.Δ.Π.Χ.. Επίσης, θα παρουσιαστούν συνοπτικά και χαρακτηριστικές περιπτώσεις που αντιμετώπισε το Ε.Δ.Δ.Α. και το Δ.Ε.Κ. (νυν Δ.Ε.Ε.).

1. Εισαγωγή

Σε παλαιότερες εποχές, ήταν πολύ δύσκολο να μαντέψει κανείς σε ποιο βαθμό –όχι χρόνο με το χρόνο, αλλά κυριολεκτικά μέρα με τη μέρα– τα ηλεκτρονικά μέσα θα άλλαζαν ριζικά την καθημερινή ζωή και ειδικότερα, σε ό,τι μας αφορά, την αντίληψη για τα προσωπικά δεδομένα ως στοιχείου της ιδιωτικότητας και της τελευταίας ως κεντρικής παραμέτρου στη στάθμιση ελευθερίας και ασφάλειας.

Άλλοτε, ήταν πολύ πιο εύκολο να υπερασπίζεται κανείς την ιδιωτικότητά του, το «δικαίωμα να σε αφήνουν μόνο». Τότε, η νομική προστασία δεν αντιμετώπιζε τις τωρινές τεχνολογικές δυνατότητες παραβίασης του προσωπικού χώρου, ακόμη και όταν αυτός συνέπιπτε με δημόσιο χώρο^[1].

Σήμερα αυτός ο χώρος είναι «άχωρος», στενόχωρος και εικονικός, αφού αποτελείται όχι μόνον από τον φυσικό τόπο στον οποίο βρισκόμαστε, αλλά και από προσωπικές πληροφορίες, ψηφιακές ή ψηφιοποιήσιμες, δεκτικές συλλογής, αρχειοθέτησης και, γενικά, επεξεργασίας σε πραγματικό χρόνο οπουδήποτε.

Στο Διαδίκτυο διαπιστώνεται κυκλοφορία προσωπικών δεδομένων σε μεγάλη έκταση, αφού ακόμα και η απλή περιήγηση δεν παραμένει ανώνυμη για το χρήστη. Συνεπώς, με κάθε «επίσκεψη» αποκαλύπτονται εν γνώσει του ή μη πληροφορίες, οι οποίες μπορεί να χρησιμοποιηθούν ποικιλοτρόπως και οι οποίες, ακόμα και όταν δεν συνιστούν προσωπικά δεδομένα, αλλά αναφέρονται σε τεχνικά (κατ’ αρχήν) στοιχεία, όπως είναι π.χ. η διεύθυνση ηλεκτρονικού ταχυδρομείου, είναι δυνατόν να χρησιμεύσουν στο να αποκαλυφθεί η ταυτότητά του^[2]

Το δικαίωμα κάθε ατόμου στην ελευθερία και την προσωπική ασφάλεια συνυπάρχει και συμπλέκεται σε αδιάσπαστο τρίπτυχο με το δικαίωμα στη ζωή, που καθιέρωσε η Οικουμενική Διακήρυξη των Δικαιωμάτων του Ανθρώπου, εδώ και 60 χρόνια. Πρόσφατα το ζεύγμα των εκ πρώτης όψεως ανταγωνιστικών αξιών της ελευθερίας και της ασφάλειας ως συνυφασμένων δικαιωμάτων εμφανίζεται με ρηματική λιτότητα (αν και όχι με κανονιστική πληρότητα) στην πρώτη διάταξη του κεφαλαίου 2 (Ελευθερίες) του Χάρτη Θεμελιωδών Δικαιωμάτων [ΧΘΔ] της Ε.Ε., εκείνη του άρθρου 6: «Κάθε πρόσωπο έχει δικαίωμα στην ελευθερία και την ασφάλεια·» Διάταξη που αντιστοιχεί με το πρώτο εδάφιο της πρώτης παραγράφου του άρθρου 5 της ΕΣΔΑ. Ακολουθώντας πάλι το δρόμο που χάραξε η Οικουμενική Διακήρυξη (άρθρο 12), το δικαίωμα στην ελευθερία και την ασφάλεια συμπληρώνεται στον Χάρτη από εκείνο του σεβασμού της ιδιωτικής και οικογενειακής ζωής (άρθρο 7) που καλύπτει την κατοικία και τις επικοινωνίες κάθε προσώπου –διάταξη ομοταγής εκείνης του άρθρου 8 ΕΣΔΑ, με τη διαφορά ότι η αλληλογραφία (το κατεξοχήν μέσο επικοινωνίας του 20ού αιώνα) επεκτείνεται σήμερα σε κάθε μορφής επικοινωνία– και, στη συνέχεια, επακολουθεί η, άγνωστη στους συντάκτες της Οικουμενικής Διακήρυξης και της ΕΣΔΑ, προστασία των δεδομένων προσωπικού χαρακτήρα (άρθρο 8 ΧΘΔ), όπου η μεγαλύτερη κανονιστική ανάπτυξη είναι εμφανής στις παραγράφους 2 και 3 της διάταξης.

2. Εθνικό Κανονιστικό Πλαίσιο

Η συλλογή και πώληση προσωπικών δεδομένων, μέσω διαδικτύου, οριοθετείται από ένα πλέγμα διατάξεων, οι οποίες ανευρίσκονται εντός του Συντάγματος και των κοινών νόμων όσο και από τις αποφάσεις, που εκδίδει κατά καιρούς η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής Αρχή ή Α.Π.Δ.Π.Χ.).

Συγκεκριμένα, στο άρθρο 9^Α του Συντάγματος προστατεύονται κατά τρόπο απόλυτο τα προσωπικά δεδομένα των φυσικών προσώπων από τη συλλογή, επεξεργασία και χρήση τους, ιδίως με ηλεκτρονικά μέσα, άρα και μέσω διαδικτύου. Το άρθρο αυτό, που εισήχθη με την τελευταία τροποποίηση του Συντάγματος το 2001, διείδε τον κυρίαρχο ρόλο, που θα διαδραμάτιζε μελλοντικά το διαδίκτυο στη διακίνηση των προσωπικών δεδομένων. Σήμερα, άλλωστε, τα βασικά μέσα προσβολής των προσωπικών δεδομένων στηρίζονται στο διαδίκτυο λόγω της μαζικής αναπαραγωγής και διακίνησης.

Επιπλέον, ο ν. 2472/1997 για την «προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα» και ο ν. 2471/2006 για την «προστασία των προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών», ο οποίος αντικατέστησε τον προϊσχύσαντα ν. 2774/1999, χαράσσουν το ειδικότερο πλαίσιο προστασίας και συγκεκριμενοποιούν τη γενική διάταξη υπερνομοθετικής ισχύος του άρθρου 9Α του Συντάγματος.

Ο ν. 2472/1997 μετέφερε στην ελληνική έννομη τάξη τις ρυθμίσεις της οδηγίας 95/46/ΕΚ θεσπίζοντας τις προϋποθέσεις της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Σκοπός του είναι, άλλωστε, η προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής τους ζωής. Σύμφωνα με αυτόν, δεδομένα προσωπικού χαρακτήρα είναι κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων· Ως υποκείμενο των δεδομένων ορίζεται κάθε φυσικό πρόσωπο, η ταυτότητα του οποίου είναι προσδιορισμένη ή μπορεί να προσδιοριστεί. Δεν λογίζονται ως δεδομένα προσωπικού χαρακτήρα τα στατιστικής φύσεως συγκεντρωτικά στοιχεία, από τα οποία δεν μπορούν πλέον να προσδιοριστούν τα υποκείμενα. Η παράβαση του νόμου επισύρει κατά περίπτωση διοικητικές[3], αστικές[4] και ποινικές κυρώσεις[5]. Οι τελευταίες θα μας απασχολήσουν εκτενέστερα.

Με βάση το άρθρο 22 του ν. 2472/1997 ανάγεται σε έγκλημα πλημμεληματικού χαρακτήρα η διατήρηση αρχείου χωρίς άδεια ή κατά παράβαση των όρων και προϋποθέσεων της άδειας της Αρχής, ενώ η παράγραφος 4 αυτού περιλαμβάνει έναν ευρύ κατάλογο πράξεων επέμβασης, διακίνησης και χρήσης προσωπικών δεδομένων, που κρίνονται άξιες ποινικού κολασμού. Η παράγραφος 6, επιπλέον, προβλέπει την διακεκριμένη μορφή των προηγουμένων αδικημάτων, εφόσον υπάρχει σκοπός προσπορισμού παρανόμου περιουσιακού οφέλους στον δράστη των πράξεων των προηγούμενων άρθρων ή σε τρίτο πρόσωπο[6].

Ο ν. 3471/2006, από τη άλλη πλευρά, εξειδικεύει την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών, προβλέποντας στο άρθρο 15 ποινικές κυρώσεις ανάλογες με αυτές του ν. 2472/1997. Η βασική μορφή των συναφών αδικημάτων προβλέπεται στην παράγραφο 1, ενώ στην παράγραφο 3 ο σκοπός προσπορισμού παρανόμου περιουσιακού οφέλους ή βλάβης τρίτου ανάγει τα προηγούμενα αδικήματα σε κακουργήματα, προβλέποντας την διακεκριμένη μορφή τους.

Ιδιαίτερο ενδιαφέρον για το υπό εξέταση ζήτημα παρουσιάζει και η απόφαση 26/2004[7] της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα που αναφέρεται στην «νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της άμεσης εμπορίας ή διαφήμισης και της διαπίστωσης πιστοληπτικής ικανότητας». Με βάση την εν λόγω απόφαση, θεωρείται νόμιμη η συλλογή δεδομένων για σκοπούς ευθείας διαφήμισης και απ’ ευθείας προώθησης πωλήσεων προϊόντων ή υπηρεσιών σύμφωνα με το άρθρο 4 παράγραφος 1 εδάφιο α του ν. 2472/1997 είτε γίνεται εξ επαγγέλματος είτε όχι[8], υπό τις εξής προϋποθέσεις:

α) Το υποκείμενο έδωσε τη συγκατάθεσή[9] του, σύμφωνα με τα άρθρα 2 εδάφιο ια) και 5 παράγραφος 1 ν. 2472/97.

β) Η επεξεργασία είναι νόμιμη κατ’ εξαίρεση, σύμφωνα με το άρθρο 5 παράγραφος 2 εδάφιο ε), παρότι το υποκείμενο δεν έχει δώσει την συγκατάθεσή του, διότι:

1. είναι απολύτως αναγκαία για την ικανοποίηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας
2. το έννομο συμφέρον αυτού υπερέχει προφανώς του συμφέροντος του υποκειμένου, ενόψει του ότι τα συμφέροντα των υποκειμένων των δεδομένων, των οποίων επιτρέπεται η επεξεργασία, δεν θίγονται ουσιωδώς, δηλαδή δεν θίγονται σε τέτοιο βαθμό, ώστε να δικαιολογείται η απαγόρευση των εν θέματι δραστηριοτήτων και
3. πάντως δεν θίγονται οι θεμελιώδεις ελευθερίες του υποκειμένου.

3. Έλεγχοι εταιρειών εμπορίας προσωπικών δεδομένων από την Α.Π.Δ.Χ.

Από το τελευταίο τρίμηνο του 2012 διεξάγονται σε ετήσια βάση έλεγχοι από την Α.Π.Δ.Π.Χ.[10] σε εταιρίες με αντικείμενο δραστηριότητας την κατάρτιση και πώληση καταλόγων με προσωπικά δεδομένα φυσικών προσώπων. Οι επιχειρήσεις αυτές δρουν υπό νομιμοφανείς όρους, περιεχόμενους σε συμβάσεις συνεργασίας που υπογράφουν με τους πελάτες τους και δίνουν την εντύπωση νόμιμης επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Οι πηγές προέλευσης των δεδομένων αυτών είναι είτε δημόσια προσβάσιμοι κατάλογοι[11] είτε μη δημόσια προσβάσιμες πηγές[12]. Στόχος των ελέγχων ήταν τόσο οι εταιρείες που εμπορεύθηκαν τα δεδομένα αλλά και οι εταιρείες ή οι επαγγελματίες που τα αγόρασαν, με σκοπό να τα χρησιμοποιήσουν για «στοχευμένες» προωθητικές ή διαφημιστικές ενέργειες, από τις οποίες προέκυψαν στοιχεία είτε ως επιβεβαιωμένες αγορές είτε ως εκδήλωση ενδιαφέροντος.

Ο πρώτος έλεγχος, που διενεργήθηκε το Νοέμβριο του 2012 έφερε στο φως στοιχεία παράνομης επεξεργασίας μη δημόσιων ηλεκτρονικών αρχείων που τηρούνται από δημόσιες υπηρεσίες, οργανισμούς και φορείς του ιδιωτικού τομέα. Μετά την εξέταση των πρώτων πειστηρίων τα στοιχεία διαβιβάστηκαν στις αρμόδιες αρχές για διερεύνηση. Το πρώτο βήμα ήταν η πραγματοποίηση συστάσεων για τη λήψη αυξημένων μέτρων ασφαλείας από τις εν λόγω εταιρίες. Σε ένα δεύτερο στάδιο, η περαιτέρω διερεύνηση των περιστατικών προσέκρουε σε μία πρακτική δυσκολία. Τα δεδομένα που βρέθηκαν στις εταιρίες, οι οποίες τα χρησιμοποιούσαν για εμπορικό σκοπό, ήταν κατά κύριο λόγο σε επεξεργασμένη μορφή, με αποτέλεσμα τη δυσχέρεια εντοπισμού της ακριβούς προέλευσης τους, ειδικά όταν διακινούνταν νόμιμα μεταξύ των αρμοδίων υπηρεσιών και φορέων.

Αποτέλεσμα των ελέγχων ήταν να επιβληθούν πρόστιμα συνολικού ύψους 243.500€ σε 15 εταιρίες ή φυσικά πρόσωπα, ενώ η Αρχή απηύθυνε προειδοποιήσεις για την εμπορία των προσωπικών δεδομένων[13] και τη χρήση αυτών[14]. Μάλιστα σε δύο περιπτώσεις, οι ελεγχόμενοι δεν αποτέλεσαν τον υπεύθυνο επεξεργασίας αν και έλαβαν δεδομένα[15] ενώ για δύο άλλες περιπτώσεις η Αρχή διαβίβασε, βάσει του άρθρου 22 παράγραφος 11 ν. 2472/1997 την απόφασή της και τα στοιχεία του φακέλου στον αρμόδιο εισαγγελέα για διερεύνηση ποινικών ευθυνών.

Χαρακτηριστική είναι η περίπτωση της Γενικής Γραμματείας Πληροφοριακών Συστημάτων (εφεξής Γ.Γ.Π.Σ.), που απασχόλησε την Α.Π.Δ.Π.Χ. στην υπ’ αριθμ. 98/2013 απόφασή της. Η Αρχή διαπίστωσε τη ανυπαρξία κατάλληλων μέτρων ασφαλείας, που είχε ως αποτέλεσμα την παραβίαση προσωπικών και ειδικότερα οικονομικών δεδομένων, για τα έτη 2000-2012 τουλάχιστον. Επιβλήθηκε πρόστιμο 150.000€ ενώ η Γ.Γ.Π.Σ. διατάχθηκε να λάβει συγκεκριμένα μέτρα και να ενημερώνει την Αρχή για την πορεία υλοποίησής τους. Υπεβλήθη, συναφώς, αίτηση θεραπείας, η οποία όμως απερρίφθη με την υπ’ αρ. 117/2014 απόφαση της Αρχής.

Από τους ελέγχους αυτούς συνάγεται ότι η Αρχή αναγνωρίζει την απευθείας προώθηση προϊόντων ή υπηρεσιών ως νόμιμη δραστηριότητα. Η επεξεργασία, όμως, των προσωπικών δεδομένων θα πρέπει να γίνεται όπως ορίζει η υπ’ αρ. 26/2004 απόφαση-οδηγία, που προαναφέρθηκε, για τη «νόμιμη επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της άμεσης εμπορίας ή διαφήμισης και της διαπίστωσης πιστοληπτικής ικανότητας». Προστατευτική για το υποκείμενο λειτουργία, εν προκειμένω, επιτελεί το δικαίωμα αντίρρησης, που αποτελεί επιλογή τόσο του ενωσιακού[16] όσο και του εθνικού[17] νομοθέτη.

Επομένως, η συλλογή και χρήση των προσωπικών δεδομένων για το σκοπό απευθείας προώθησης προϊόντων ή υπηρεσιών επιτρέπεται είτε με τη συγκατάθεση του υποκειμένου των δεδομένων είτε χωρίς τη συγκατάθεσή του, όταν τα δεδομένα συλλέγονται από δημόσιους καταλόγους[18], όταν το υποκείμενο δημοσιοποίησε τα δεδομένα του για συναφείς σκοπούς και τέλος βάσει της πελατειακής σχέσης ή συναλλακτικής επαφής. Στην περίπτωση αυτή, μπορούν να περιλαμβάνουν μόνο το όνομα, την ταχυδρομική διεύθυνση, το επάγγελμα και το τηλέφωνο[19]. Πάντως, τα κριτήρια εύρεσης των δεδομένων πρέπει να είναι τέτοια ώστε να προκύπτουν από δημόσια προσβάσιμες πηγές.

4. 4. Μελέτη – παρουσίαση υποθέσεων παράνομης συλλογής και πώλησης προσωπικών δεδομένων που εξιχνίασε η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας.

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας, η οποία είναι αρμόδια για τη συνεχή έρευνα του διαδικτύου και των άλλων μέσων ηλεκτρονικής επικοινωνίας και ψηφιακής αποθήκευσης για την ανακάλυψη, διερεύνηση, εξιχνίαση και δίωξη των εγκληματικών πράξεων που διαπράττονται σ’ αυτά ή μέσω αυτών, σε ολόκληρη τη Χώρα, έχει να επιδείξει τα τελευταία χρόνια, σημαντικά και αξιόλογα αποτελέσματα στην εξιχνίαση υποθέσεων που αφορούν παράνομη συλλογής και πώλησης προσωπικών δεδομένων, μέσω διαδικτύου.

Σημαντική είναι η υπόθεση που εξιχνιάστηκε από την Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος στα τέλη του έτους 2012 όπου εντοπίστηκε και συνελήφθη 35χρονος ημεδαπός, που κατείχε ψηφιακά αρχεία προσωπικών δεδομένων για πάνω από 9.000.000 πολίτες.[20]

Ειδικότερα, η διερεύνηση της συγκεκριμένης υπόθεσης ξεκίνησε μετά από κατάλληλη αξιοποίηση καταγγελιών – πληροφοριών, σύμφωνα με τις οποίες άγνωστο άτομο φέρονταν κατέχει παράνομα, σε ψηφιακή μορφή, μεγάλο αριθμό αρχείων δεδομένων προσωπικού χαρακτήρα, ενώ ήταν πιθανόν παράλληλα να τα εμπορεύεται.

Άμεσα, τα καταγγελλόμενα τέθηκαν υπόψη της Εισαγγελίας Πρωτοδικών Αθηνών, προαγγέλθηκε στην Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος η διενέργεια προκαταρκτικής εξέτασης και έρευνας προς διακρίβωση των καταγγελλομένων, στο πλαίσιο της οποίας εξειδικευμένοι Αξιωματικοί της Διεύθυνσης Δίωξης Ηλεκτρονικού Εγκλήματος, αφού πραγματοποίησαν διαδικτυακή και αστυνομική έρευνα, κατάφεραν να εντοπίσουν τα ψηφιακά ίχνη του εμπλεκόμενου στην υπόθεση ατόμου, που όπως αποδείχτηκε αργότερα ήταν ένας 35χρονος ημεδαπός.

Με βάση τα στοιχεία που πρόεκυψαν, κλιμάκιο αστυνομικών της Υπηρεσίας Δίωξης Ηλεκτρονικού Εγκλήματος, πραγματοποίησε αυθημερόν έρευνα στο σπίτι του υπόπτου παρουσία Εισαγγελικού Λειτουργού, κατά τη διάρκεια της οποίας κατασχέθηκαν ένας (1) εξωτερικός σκληρός δίσκος χωρητικότητας 320 GB και τρεις (3) εσωτερικοί σκληροί δίσκοι άλλης χωρητικότητας

Από την επιτόπια αυτοψία και ψηφιακή έρευνα στα συγκεκριμένα ηλεκτρονικά αποθηκευτικά μέσα, εντοπίστηκαν σε ψηφιακή μορφή αρχεία δεδομένων προσωπικού χαρακτήρα, με καταχωρήσεις για πάνω από 9.000.000 εγγραφές και συγκεκριμένα καταστάσεις με στοιχεία ταυτότητάς, Α.Φ.Μ, αριθμούς κυκλοφορίας οχημάτων, καθώς και διευθύνσεις κατοικιών των αναγραφομένων.

Σε βάρος του 35χρονου, σχηματίστηκε δικογραφία κακουργηματικού χαρακτήρα για παράβαση της νομοθεσίας περί προσωπικών δεδομένων και οδηγήθηκε στον κ. Εισαγγελέα Πλημμελειοδικών Αθηνών.

Αυτό που αποτέλεσε αντικείμενο ενδελεχούς έρευνας τόσο από τις αρμόδιες προανακριτικές αρχές αλλά και από τις εισαγγελικές και ανακριτικές αρχές όπου παραπέμφθηκε ο συλληφθείς, ήταν η διερεύνηση της προέλευσης των αρχείων αυτών, η διαχείριση τους καθώς και η τυχόν εμπορευματοποίηση και παραχώρησής τους, σε τρίτους, έναντι χρηματικής αμοιβής.

Έτερη συναφής υπόθεση που εξιχνίασε η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος είναι αυτή της εταιρείας στην Δάφνη Αττικής, αρχές του έτους 2013 που κατείχε μεγάλο όγκο προσωπικών δεδομένων φυσικών και νομικών προσώπων.

Αναλυτικότερα, η διερεύνηση της συγκεκριμένης υπόθεσης ξεκίνησε ύστερα από έρευνα της Δίωξης Ηλεκτρονικού Εγκλήματος, σχετικά με την ύπαρξη εταιρείας, η οποία συγκεντρώνει, επεξεργάζεται και στη συνέχεια διαθέτει έναντι αμοιβής, φορολογικά στοιχεία και δεδομένα φυσικών και νομικών προσώπων.

Στο πλαίσιο της διερεύνησης της υπόθεσης, εκδόθηκε σχετική παραγγελία του Εισαγγελέα Πρωτοδικών Αθηνών, για τη διενέργεια προκαταρτικής εξέτασης και ύστερα από ψηφιακή και αστυνομική διερεύνηση, εντοπίστηκε η συγκεκριμένη εταιρεία στην περιοχή της Δάφνης Αττικής.

Στη συνέχεια πραγματοποιήθηκε από την Δίωξη αστυνομική επιχείρηση και έρευνα στα γραφεία της εταιρείας, με την συνδρομή κλιμακίου της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Από την επιτόπια αυτοψία, αλλά και από την ειδική τεχνική έρευνα που πραγματοποίησαν εξειδικευμένα στελέχη της Δίωξης Ηλεκτρονικού Εγκλήματος και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπιστώθηκε, ότι σε διακομιστές, υπήρχε βάση δεδομένων φυσικών και νομικών προσώπων. Συγκεκριμένα, σε τρεις (3) διακομιστές της (servers) της εταιρείας, εντοπίστηκε ψηφιακή βάση δεδομένων (σε ξεχωριστούς πίνακες) με πάνω από 67 εκατομμύρια εγγραφές φυσικών και νομικών προσώπων και καταχωρήσεις δεδομένων προσωπικού χαρακτήρα, όπως ονοματεπώνυμα, διευθύνσεις κατοικίας, στοιχεία οχημάτων και ιδιοκτητών, αριθμοί τηλεφώνων, φορολογικά στοιχεία (π.χ. Α.Φ.Μ.) κ.ά.

Σχηματίστηκε δικογραφία κακουργηματικού χαρακτήρα για παράβαση της νομοθεσίας περί προσωπικών δεδομένων σε βάρος του Πρόεδρου και Διευθύνοντα Σύμβουλου της εταιρείας, σε βάρος του υπεύθυνου Πληροφορικής, ενώ συνελήφθη με την αυτόφωρη διαδικασία ο Γενικός Διευθυντής της εταιρείας,

5. Σκοτεινό Διαδικτύο (Dark Net) και Προσωπικά δεδομένα

Το σκοτεινό Διαδίκτυο αποτελεί ένα γιγάντιο μέρος του Διαδικτύου που δεν είναι προσβάσιμο μέσω των γνωστών μηχανών αναζήτησης. Το περιεχόμενο του σκοτεινού διαδικτύου αναφέρεται και ως ο κρυφός ή αόρατος ιστός, όπου προσφέρεται πρόσφορο έδαφος για την ανάπτυξη νέων μορφών εγκληματικότητας, ειδικά σε εποχές κρίσης και αυτό γιατί είναι δύσκολο να ανιχνευτούν και να διωχθούν οι δράστες, λόγω της ανωνυμίας που αυτό προσφέρει.

Στο «σκοτεινό Διαδίκτυο» έχει αναπτυχθεί και μια ολοκληρωμένη «υπόγεια οικονομία», όπου καθένας μπορεί να αγοράζει και να πουλά κάθε είδους εγκληματικά προϊόντα και υπηρεσίες, όπως ναρκωτικά, όπλα, κλαπέντα στοιχεία για πραγματοποίηση πληρωμών ακόμη και κακοποίηση παιδιών και μισθωμένες δολοφονίες.

Έτσι λοιπόν το Darknet, όπως αλλιώς ονομάζεται το Deep Web, αποτελεί ένα ασφαλές καταφύγιο για παράνομο εμπόριο, ενώ δημιουργεί παράλληλα ένα προστατευμένο περιβάλλον, ώστε να διακινούνται και να ανταλλάσσονται και κάθε είδους προσωπικά δεδομένα, έναντι φυσικά και του κατάλληλου οικονομικού ανταλλάγματος.

Τα χαρακτηριστικά του Darknet αποτελούν μια σειρά από προκλήσεις-προβλήματα για τις αρχές επιβολής του νόμου. Το πρώτο είναι αυτό της ανίχνευσης. Το δεύτερο και ίσως το πιο σημαντικό θέμα είναι αυτό της απόδοσης. Η ανα-δρομολόγηση της κίνησης στο Διαδίκτυο μέσω διάφορων κόμβων και η απόκρυψη της πηγής καθιστούν δύσκολο να εντοπιστεί τη συσκευή -πηγή που χρησιμοποιείται για την επικοινωνία. Τελευταίο αλλά όχι λιγότερο σημαντικό, οι τεχνικές που χρησιμοποιούνται για να ενισχύσουν την ανωνυμία και να μειώσουν τις δυνατότητες εντοπισμού είναι όλο και πιο εξελιγμένες. Αυτό ισχύει ιδιαίτερα για τη χρήση της πλέον εξελιγμένης κρυπτογράφησης που είναι πολύ δύσκολο να σπάσει[21].

6. Η «Ψηφιακή Λήθη»

Το βασικό ερώτημα, που ανακύπτει, είναι πως η συλλογή και πώληση προσωπικών δεδομένων ως επιχειρηματική δραστηριότητα, τελουμένη μέσω διαδικτύου, μπορεί να αναχαιτισθεί μέσω της άσκησης των νομίμων δικαιωμάτων των υποκειμένων, στα οποία αφορούν τα προσωπικά δεδομένα. Η πρωτοεμφανισθείσα περίπτωση της «ψηφιακής λήθης» δίνει μία ενδιαφέρουσα απάντηση στο ερώτημα αυτό.

Η κατοχύρωση του δικαιώματος στην ψηφιακή λήθη ακολούθησε ανάστροφη πορεία απ’ ότι γίνεται συνήθως με την αναγνώριση και θεμελίωση των δικαιωμάτων. Έτσι, παρά το γεγονός ότι ο κανονισμός που το προβλέπει εξακολουθεί να είναι ακόμα σε επίπεδο πρότασης[22], το δικαστήριο της Ευρωπαϊκής Ένωσης, στην πολύ πρόσφατη απόφασή του C-131/12^[23], το αναγνώρισε ρητά. Συγκεκριμένα, προέβλεψε την υποχρέωση του φορέα εκμετάλλευσης μηχανής αναζήτησης να απαλείφει από τον κατάλογο αποτελεσμάτων, ο οποίος εμφανίζεται κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο ενός προσώπου, συνδέσμους προς δημοσιευμένες από τρίτους ιστοσελίδες, που περιέχουν πληροφορίες σχετικές με το πρόσωπο αυτό.

Τα πραγματικά περιστατικά στην υπόθεση C-131/12 παρουσιάστηκαν στο δικαστήριο ως εξής: Το 2010, ο M. Costeja González, ισπανικής ιθαγένειας, υπέβαλε στην Agencia Española de Protección de Datos (ισπανική αρχή προστασίας δεδομένων, AEPD) καταγγελία κατά της La Vanguardia Ediciones SL (εταιρίας που εκδίδει καθημερινή εφημερίδα μεγάλης κυκλοφορίας στην Ισπανία, ιδίως στην περιφέρεια της Καταλονίας) καθώς και κατά της Google Spain και της Google Inc. Ο M. Costeja González υποστήριξε ότι όταν το ονοματεπώνυμό του εισαγόταν από χρήστη του διαδικτύου στη μηχανή αναζήτησης της Google (Google Search), εμφανίζονταν σύνδεσμοι προς δύο σελίδες της εφημερίδας La Vanguardia δημοσιευμένες τον Ιανουάριο και τον Μάρτιο του 1998 (δώδεκα χρόνων πριν). Στις σελίδες αυτές περιλαμβανόταν ανακοίνωση για πλειστηριασμούς ακινήτων κατόπιν κατάσχεσης που είχε επιβληθεί στον M. Costeja González λόγω κοινωνικοασφαλιστικών οφειλών.

Με την καταγγελία αυτή, ο M. Costeja González ζήτησε, αφενός, να υποχρεωθεί η La Vanguardia να αποσύρει ή να τροποποιήσει τις επίμαχες σελίδες (ώστε να μην εμφανίζονται πλέον τα προσωπικά δεδομένα του) ή να χρησιμοποιήσει ορισμένα εργαλεία που προσφέρουν οι μηχανές αναζήτησης προκειμένου να προστατευθούν τα δεδομένα αυτά. Αφετέρου, ο M. Costeja González ζήτησε να υποχρεωθεί η Google Spain ή η Google Inc. να διαγράψει ή να αποκρύψει τα προσωπικά δεδομένα του ώστε να μην εμφανίζονται πλέον στα αποτελέσματα αναζήτησης και σε συνδέσμους της La Vanguardia. Στο πλαίσιο αυτό, ο M. Costeja González επισήμανε ότι η διαδικασία κατάσχεσης που είχε κινηθεί εναντίον του είχε ολοκληρωθεί και διευθετηθεί από μακρού και ότι οποιαδήποτε μνεία της διαδικασίας αυτής ήταν πλέον άνευ ουσίας.

Η AEPD απέρριψε το πρώτο αίτημα, υποστηρίζοντας πως η δημοσίευση ήταν δικαιολογημένη από νομικής άποψης, εφόσον πραγματοποιήθηκε κατ’ εντολή του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων. Ωστόσο, δέχθηκε το δεύτερο αίτημα που αφορούσε τη Google. Στο σκεπτικό μάλιστα αναφέρεται ότι οι φορείς εκμετάλλευσης μηχανών αναζήτησης υπόκεινται στη νομοθεσία περί προσωπικών δεδομένων, γιατί προβαίνουν σε επεξεργασία αυτών. Η υποχρέωση διαγραφής τους βαρύνει απευθείας τους φορείς αυτούς, χωρίς να απαιτείται διαγραφή των δεδομένων ή πληροφοριών από τον ιστότοπο εντός του οποίου περιλαμβάνονται, και μάλιστα όταν η διατήρηση των πληροφοριών αυτών στον εν λόγω ιστότοπο έχει ως δικαιολογητικό της έρεισμα ορισμένη διάταξη νόμου.

Η Google Spain SL και η Google Inc. προσέβαλαν την απόφαση αυτή και το εθνικό δικαστήριο εστίασε στο εξής ζήτημα, για το οποίο απηύθυνε προδικαστικό ερώτημα στο ΔΕΕ: Ποιες είναι οι υποχρεώσεις των φορέων εκμετάλλευσης μηχανών αναζήτησης σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα προσώπων, τα οποία δεν επιθυμούν τον γεωγραφικό εντοπισμό, την ευρετηρίαση και την επ’ αόριστο διάθεση στους χρήστες του διαδικτύου ορισμένων πληροφοριών, που έχουν δημοσιευθεί σε ιστοτόπους τρίτων και περιλαμβάνουν τα προσωπικά δεδομένα τους, βάσει των οποίων καθίσταται δυνατός ο συσχετισμός των εν λόγω πληροφοριών με τα πρόσωπα αυτά.

Το ΔΕΕ έκρινε ως εξής: Ο φορέας εκμετάλλευσης μηχανής αναζήτησης υποχρεούται να απαλείφει από τον κατάλογο αποτελεσμάτων, ο οποίος εμφανίζεται κατόπιν αναζήτησης που έχει διενεργηθεί με βάση το ονοματεπώνυμο ενός προσώπου, συνδέσμους προς δημοσιευμένες από τρίτους ιστοσελίδες, που περιέχουν πληροφορίες σχετικές με το πρόσωπο αυτό. Ίδια υποχρέωση ισχύει και στην περίπτωση, κατά την οποία το ονοματεπώνυμο αυτό ή οι πληροφορίες δεν έχουν διαγραφεί προηγουμένως ή ταυτοχρόνως από τις ως άνω ιστοσελίδες. Η υποχρέωση δε αυτή διατηρείται και όταν αυτή καθαυτή η δημοσίευση των επίμαχων πληροφοριών στις εν λόγω ιστοσελίδες είναι νόμιμη.

Ωστόσο, σε κάθε περίπτωση πρέπει να εξετάζεται εάν το υποκείμενο των δεδομένων έχει δικαίωμα να πάψει η σχετική με το πρόσωπό του πληροφορία, να συνδέεται επί του παρόντος, με το ονοματεπώνυμό του μέσω του καταλόγου αποτελεσμάτων, χωρίς πάντως η αναγνώριση του δικαιώματος αυτού να προϋποθέτει ότι η εμφάνιση της επίμαχης πληροφορίας στον κατάλογο αποτελεσμάτων προκαλεί βλάβη στο υποκείμενο των δεδομένων.

Το δικαστήριο διατυπώνει, τέλος, την άποψη ότι τα δικαιώματα των άρ. 7 και 8 του Χ.Θ.Δ. υπερέχουν όχι μόνο του οικονομικού συμφέροντος του φορέα εκμετάλλευσης της μηχανής αναζήτησης, αλλά και του συμφέροντος του κοινού να αποκτήσει πρόσβαση στην πληροφορία αυτή, στο πλαίσιο αναζήτησης με βάση το ονοματεπώνυμο του εν λόγω υποκειμένου. Αυτό δεν ισχύει, όταν για ειδικούς λόγους, όπως ο ρόλος που διαδραματίζει το εν λόγω υποκείμενο στον δημόσιο βίο, προκύπτει ότι η επέμβαση στα θεμελιώδη δικαιώματα του υποκειμένου δικαιολογείται από το υπέρτερο συμφέρον του κοινού για πρόσβαση στην επίμαχη πληροφορία συνεπεία της εμφάνισής της στον προαναφερθέντα κατάλογο.

Η απόφαση αυτή αναμφισβήτητα αποτελεί σταθμό τόσο στη νομολογία του ΔΕΕ όσο –πρωταρχικώς- στην κατοχύρωση του δικαιώματος στην ψηφιακή λήθη. Ο αντίλογος επί αυτής διατυπώθηκε κυρίως στη Βρετανία και εστιάζει στην ύπαρξη λογοκρισίας «από την πίσω πόρτα» , στο επιχειρούμενο «Photoshop» των ανθρώπων στις ζωές τους και στην απόπειρα επεξεργασίας της υστεροφημίας τους.

Πάντως, μέσα σε έξι μήνες από τη δημοσίευσή της, 144.954 χρήστες ζήτησαν τη διαγραφή δεδομένων που τους αφορούν από τη Google (εκ των οποίων 17.000 μόνο το πρώτο δίμηνο^[24]), που αντιστοιχούν σε 497.695 ιστοτόπους^[25]. Η Google για το λόγο αυτό έχει δημιουργήσει ειδική πλατφόρμα^[26]. Συνολικά πραγματοποιούνται περίπου 1.000 αιτήσεις την ημέρα, από τις οποίες σε ποσοστό 42% γίνονται δεκτές και 58% απορρίπτονται.

Να σημειώσουμε, εν κατακλείδι, πως η απόφαση έχει ισχύ μόνο στο πλαίσιο της Ε.Ε. Συνεπώς, εάν η μηχανή αναζήτησης δεχθεί να πραγματοποιήσει την εξαφάνιση, αυτή επέρχεται μόνο στα αποτελέσματα αναζήτησης που προκύπτουν από παρόχους διαδικτύου εντός της Ε.Ε.

Επίλογος και προτάσεις αντεγκληματικής πολιτικής

Οι ραγδαίες τεχνολογικές εξελίξεις, η ανάπτυξη της πληροφορικής, η ευρύτατη χρήση του Διαδικτύου και η εμφάνιση του «σκοτεινού» διαδικτύου, τα τελευταία χρόνια δημιουργούν νέες προκλήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα, ενώ παράλληλα η κλίμακα της ανταλλαγής και της συλλογής δεδομένων έχει αυξηθεί σε μεγάλο βαθμό.

Σε συνδυασμό με την τρέχουσα οικονομική κρίση, παρατηρείται η ανάπτυξη και μιας νέας παράνομης επιχειρηματικής δραστηριότητα, τελούμενης και μέσω διαδικτύου αυτή της παράνομης συλλογής και πώλησης προσωπικών δεδομένων, η οποία αναμφίβολα, συνιστά μία εξαιρετικά σοβαρή απειλή, τόσο για τα φυσικά ή τα νομικά πρόσωπα αλλά και για τις επιχειρήσεις, ακόμη και για την ίδια την Χώρα.

Ένα σημαντικό λοιπόν βήμα για την πάταξη αυτού του φαινομένου είναι η ανάγκη να επιδιωχθεί κατά προτεραιότητα μία κοινή εγκληματική πολιτική και ένα ενιαίο πλέγμα κανόνων, με ισχύ στο σύνολο της ΕΕ που θα στοχεύει στην την προστασία προσωπικών δεδομένων και στην αυστηροποίηση της νομοθεσίας σε περιπτώσεις εκμετάλλευσης με οποιονδήποτε τρόπο ή την εμπορευματοποίηση αυτών με σκοπό τον προσπορισμό παράνομου περιουσιακού οφέλους.

Έτσι λοιπόν σημαντικά βήματα που πρέπει να γίνουν από την πλευρά του Κράτους, στην κατεύθυνση της αντεγκληματικής πολιτικής είναι:

• Άμεση ψήφιση της «Πρότασης Κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία αυτών», από τα κράτη-μέλη, που προβλέπει ρητά το δικαίωμα στην ψηφιακή λήθη και θα εφαρμοστεί ευθέως και αμέσως στην ελληνική έννομη τάξη.
• Εντονότερη ευαισθητοποίηση και ενημέρωση του κοινού μέσα από ημερίδες, διαφημίσεις κλπ. από τους αρμόδιους φορείς, σε θέματα προστασίας προσωπικών δεδομένων και κυρίως ως προς το ζήτημα της δημοσιοποίησης δεδομένων οικεία βουλήσει, αγνοώντας τους κινδύνους.
• Λήψη αυξημένων μέτρων προστασίας και ασφαλείας από τους νομίμους κατόχους και υπευθύνους επεξεργασίας αρχείων προσωπικών δεδομένων με άδεια της Αρχής, ώστε να περιοριστούν οι διαρροές ή υποκλοπές δεδομένων από τα αρχεία αυτά.
• Επιτακτική ανάγκη για αυστηροποίηση της νομοθεσίας σε περιπτώσεις εκμετάλλευσης προσωπικών δεδομένων με οποιονδήποτε τρόπο και εμπορευματοποίηση τους με σκοπό τον προσπορισμό παράνομου περιουσιακού οφέλους
• Ενιαίο πλέγμα κανόνωνσχετικά με την προστασία προσωπικών δεδομένων, με ισχύ στο σύνολο της ΕΕ και Ενιαία εθνική αρχή προστασίας δεδομένων σε ΕΕ.
• Ενίσχυση της ανεξάρτητης εθνικήςαρχής προστασίας δεδομένων, ούτως ώστε να μπορεί να επιβάλλει καλύτερα την τήρηση της νομοθεσίας στην εθνική έννομη τάξη και να έχει μεγαλύτερη εξουσία να επιβάλλει πρόστιμα, σε επιχειρήσεις που παραβιάζουν τη νομοθεσία περί προστασίας δεδομένων.
• Επέκταση της δυνατότητας εφαρμογής των ειδικών ανακριτικών πράξεων που διαλαμβάνονται στο άρθρο 253Α του ΚΠΔ, προκειμένου οι αρμόδιες αρχές για τη διερεύνηση και τη δίωξη αδικημάτων που αφορούν τη παράνομη συλλογή και πώληση προσωπικών δεδομένων να έχουν στη διάθεσή τους καταλληλότερα επιβοηθητικά ερευνητικά εργαλεία, προκειμένου να αντιμετωπίζονται αποτελεσματικότερα και ταχύτερα τα εγκλήματα, κακουργηματικής μορφής, παραβίασης προσωπικών δεδομένων. Η επιλογή αυτή προτάσσεται, κυρίως για τις περιπτώσεις που οι πράξεις αυτές λαμβάνουν χώρα στο σκοτεινό διαδίκτυο, λαμβανομένης υπόψη της τεχνικής κυρίως δυσκολίας ανίχνευσης και εντοπισμού των δραστών καθώς και λόγω της ανωνυμίας που αυτό προσφέρει.

* Αστυνόμος Α΄, Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας. Πτυχιούχος και κάτοχος Μ.Δ.Ε στην Πληροφορική. Υποψήφιος Μ.Δ.Ε. Ποινικού Δικαίου – Ποινικής Δικονομίας και Εγκληματολογίας.

** Δικηγόρος Αθηνών. Μ.Δ.Ε. Αστικού Δικαίου. Υποψήφια Μ.Δ.Ε. Ποινικού Δικαίου – Ποινικής Δικονομίας και Εγκληματολογίας.

*** Η παρούσα εργασία παρουσιάστηκε στο Εγκληματολογικό Συνέδριο προς τιμήν του Καθηγητή Νέστορα Κουράκη με κεντρικό θέμα: «Κρίση, Έγκλημα και Σύστημα Ποινικής Καταστολής», Αθήνα, 2-4.4.2015.

1. Βλ. και Μαντζούφα Π., Συνταγματική προστασία των δικαιωμάτων στην κοινωνία της διακινδύνευσης, ΤοΣ 1998, σ. 275 επ.
2. Ιγγλεζάκης Ι., Η προστασία των προσωπικών δεδομένων στο Διαδίκτυο (Internet). Ρυθμίσεις εθνικού και κοινοτικού δικαίου, Επισκόπηση Εμπορικού Δικαίου, 2002, σ. 679.
3. Άρθρο 21: προειδοποίηση, πρόστιμο, προσωρινή-οριστική ανάκληση άδειας, καταστροφή αρχείου.
4. Άρθρο 23: αποζημίωση, χρηματική ικανοποίηση σε περίπτωση περιουσιακής – ηθικής βλάβης.
5. Άρθρο 22: ευρεία ποινικοποίηση των παραβάσεων του νόμου.
6. Χριστοδούλου Κ., Δίκαιο προσωπικών δεδομένων, Νομική Βιβλιοθήκη, 2013, σ. 122.
7. Βλ. την απόφαση σε: http://www.dpa.gr/ .
8. Δηλαδή με σκοπό την προώθηση ή διαφήμιση ιδίων προϊόντων ή υπηρεσιών.
9. Η συγκατάθεση είναι απαραίτητη στις περιπτώσεις της έρευνας καταναλωτικής συμπεριφοράς με σκοπό την άμεση ή έμμεση διαφήμιση προϊόντων ή την παροχή υπηρεσιών.
10. Βλ. τα σχετικά ενημερωτικά δελτία και τις ετήσιες εκθέσεις της αρχής σε http://www.dpa.gr/ .
11. Π.χ. περιοχής κατοικίας ή επαγγέλματος.
12. Π.χ. εισόδημα, κατοχή ακινήτων, οικογενειακή κατάσταση.
13. Α.Π.Δ.Π.Χ. 114/2013 και 100/2014 σε http://www.dpa.gr/ .
14. Α.Π.Δ.Π.Χ. 86/2013, 109/2013, 102/2014, 104-106/2014, 108-115/2014 σε http://www.dpa.gr/ .
15. Α.Π.Δ.Π.Χ. 101/2014 και 107/2014 σε http://www.dpa.gr/ .
16. Οδηγία 95/46/ ΕΚ άρθρο 14 εδάφιο α’ στοιχείο α’ .
17. Ν. 2472/97 άρθρο 12§1.
18. Τηλεφωνικούς – εμπορικούς καταλόγους, νέο Γ.Ε.ΜΗ.
19. Υπό τις προϋποθέσεις του άρθρου 11 παράγραφοι 1 και 2 ν. 3471/2006.
20. http://www.astynomia.gr/
21. Europol, 2014, The Internet Organized Crime Threat Assessment (iOCTA), Διαθέσιμο: https://www.europol.europa.eu/sites/default/files/publications/europol_ iocta_web.pdf
22. «Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία αυτών», άρθρο 17 παράγραφος 1 :

‘Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δικαιούται να απαιτήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν και τη μη περαιτέρω διάδοση των εν λόγω δεδομένων, ιδίως σε σχέση με δεδομένα προσωπικού χαρακτήρα τα οποία διατέθηκαν από το συγκεκριμένο πρόσωπο κατά την παιδική του ηλικία, εάν συντρέχει ένας από τους ακόλουθους λόγους:

α) τα δεδομένα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν άλλως πως σε επεξεργασία.

β) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αποσύρει τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 §1 στοιχείο α΄ ή εάν το χρονικό διάστημα αποθήκευσης για το οποίο παρασχέθηκε συγκατάθεση έληξε, και εάν δεν υπάρχει άλλος νομικός λόγος για την επεξεργασία των δεδομένων.

γ) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα αντιτάσσεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 19.

δ) η επεξεργασία των δεδομένων δεν είναι σύμφωνη προς τον παρόντα κανονισμό για άλλους λόγους.‘

23. Google Spain Sl/Google Inc. v. Agencia Espanola de Proteccion de Datos (AEPD) / Mario Costeja Gonzalez.
24. Από τον αριθμό αυτό 14.100 αιτήσεις προέρχονται από τη Γαλλία, 12.700 από τη Γερμανία και 8.500 από τη Βρετανία.
25. http://money.cnn.com/2014/10/10/technology/google-forgotten/ .
26. https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl= el .