Αριθμός 171/2019

ΤΟ ΔΙΚΑΣΤΗΡΙΟ ΤΟΥ ΑΡΕΙΟΥ ΠΑΓΟΥ

A2' Πολιτικό Τμήμα

 

ΣΥΓΚΡΟΤΗΘΗΚΕ από τους Δικαστές: Ιωσήφ Τσαλαγανίδη, Προεδρεύοντα Αρεοπαγίτη, Αβροκόμη Θούα, Γεώργιο Αποστολάκη, Θεόδωρο Κανελλόπουλο και Κυριάκο Οικονόμου - Εισηγητή, Αρεοπαγίτες.

ΣΥΝΗΛΘΕ σε δημόσια συνεδρίαση στο Κατάστημά του, στις 8 Οκτωβρίου 2018, με την παρουσία και της γραμματέως Θεοδώρας Παπαδημητρίου, για να δικάσει την υπόθεση μεταξύ:

Της αναιρεσείουσας: ανώνυμης τραπεζικής εταιρείας με την επωνυμία "... A.E." ("... ΑΕ"), με το διακριτικό τίτλο "...", που εδρεύει στην .. και εκπροσωπείται νόμιμα. Εκπροσωπήθηκε από τον πληρεξούσιο δικηγόρο της Αθανάσιο Τσιμπληνίδη.

Του αναιρεσιβλήτου: Κ. Π. του Α., κατοίκου ..., ο οποίος παραστάθηκε αυτοπροσώπως, λόγω της ιδιότητάς του ως δικηγόρος.

Η ένδικη διαφορά άρχισε με την από 14-4-2016 αγωγή του ήδη αναιρεσιβλήτου, που κατατέθηκε στο Ειρηνοδικείο Θεσσαλονίκης. Εκδόθηκαν οι αποφάσεις: 3455/2016 του ίδιου Δικαστηρίου και 3937/2018 του Μονομελούς Πρωτοδικείου Θεσσαλονίκης. Την αναίρεση της τελευταίας απόφασης ζητεί η αναιρεσείουσα με την από 30-3-2018 αίτησή της.

Κατά τη συζήτηση της αίτησης αυτής, που εκφωνήθηκε από το πινάκιο, οι διάδικοι παραστάθηκαν, όπως σημειώνεται πιο πάνω. Ο πληρεξούσιος της αναιρεσείουσας ζήτησε την παραδοχή της αίτησης, ο αυτοπροσώπως παραστάς αναιρεσίβλητος την απόρριψή της, καθένας δε την καταδίκη του αντιδίκου μέρους στη δικαστική δαπάνη.

 

ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

Ο Ν. 2472/1997 ("Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα") εκδόθηκε σε συμμόρφωση αφενός μεν προς την Ευρωπαϊκή Σύμβαση για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα της 28 Ιανουαρίου 1981, που κυρώθηκε από την Ελλάδα με το Ν. 2068/1992, αφετέρου δε προς την 95/46/ΕΚ Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της Ευρωπαϊκής Ένωσης της 24.10.1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Αντικείμενο του ανωτέρω νόμου, κατά τη διάταξη του άρθρου 1 αυτού, είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα προς προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής. Ειδικότερα με τη διάταξη του άρθρου 2 του Νόμου αυτού, όπως αυτή ίσχυε κατά τον επίδικο χρόνο, με τις τροποποιήσεις της ως προς τα στοιχεία (β) και (ε) αυτής με το άρθρο 18 παρ.1 και 2 του Ν. 3471/2006 και υπό τον παράτιτλο "ορισμοί" ορίζεται ότι: "Για τους σκοπούς του παρόντος νόμου νοούνται ως: α) "Δεδομένα προσωπικού χαρακτήρα", κάθε πληροφορία που αναφέρεται στο υποκείμενο των δεδομένων ... β) ..., γ) "Υποκείμενο των δεδομένων", το φυσικό πρόσωπο στο οποίο αναφέρονται τα δεδομένα και του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί, δηλαδή μπορεί να προσδιορισθεί αμέσως ή εμμέσως, ιδίως βάσει αριθμού ταυτότητας ή βάσει ενός ή περισσοτέρων συγκεκριμένων στοιχείων που χαρακτηρίζουν την υπόσταση του από άποψη φυσική, βιολογική, ψυχική, οικονομική, πολιτιστική, πολιτική ή κοινωνική, δ) "Επεξεργασία δεδομένων προσωπικού χαρακτήρα" ("επεξεργασία"), κάθε εργασία ή σειρά εργασιών που πραγματοποιείται από το Δημόσιο ή νομικό πρόσωπο δημοσίου δικαίου ή ιδιωτικού δικαίου ή ένωση προσώπων ή φυσικό πρόσωπο με ή χωρίς τη βοήθεια αυτοματοποιημένων μεθόδων και εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διατήρηση ή αποθήκευση, η τροποποίηση, η εξαγωγή, η χρήση, η διαβίβαση, η διάδοση ή κάθε άλλης μορφής διάθεση, η συσχέτιση ή ο συνδυασμός, η διασύνδεση, η δέσμευση (κλείδωμα), η διαγραφή, η καταστροφή, ε) "Αρχείο δεδομένων προσωπικού χαρακτήρα" ("αρχείο"), κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα, τα οποία είναι προσιτά με γνώμονα συγκεκριμένα κριτήρια, στ) ..., ζ) "Υπεύθυνος επεξεργασίας", οποιοσδήποτε καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός. Όταν ο σκοπός και ο τρόπος της επεξεργασίας καθορίζονται με διατάξεις νόμου ή κανονιστικές διατάξεις εθνικού ή κοινοτικού δικαίου, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια βάσει των οποίων γίνεται η επιλογή του καθορίζονται αντίστοιχα από το εθνικό ή το κοινοτικό δίκαιο, η) "Εκτελών την επεξεργασία", οποιοσδήποτε επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό υπεύθυνου επεξεργασίας, όπως φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, θ) ''Τρίτος'' κάθε φυσικό ή νομικό πρόσωπο, δημόσια αρχή ή υπηρεσία ή οποιοσδήποτε άλλος οργανισμός, εκτός από το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας και τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, εφόσον ενεργούν υπό την άμεση εποπτεία ή για λογαριασμό του υπεύθυνου επεξεργασίας, ι) "Αποδέκτης", το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή υπηρεσία, ή οποιοσδήποτε άλλος οργανισμός, στον οποίο ανακοινώνονται ή μεταδίδονται τα δεδομένα, ανεξαρτήτως αν πρόκειται για τρίτο ή όχι, ια) "Συγκατάθεση" του υποκειμένου των δεδομένων, κάθε ελεύθερη, ρητή και ειδική δήλωση βουλήσεως, που εκφράζεται με τρόπο σαφή και εν πλήρη επιγνώσει και με την οποία το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο "επεξεργασίας" τα δεδομένα προσωπικού χαρακτήρα που το αφορούν. Η ενημέρωση αυτή περιλαμβάνει πληροφόρηση τουλάχιστον για το σκοπό της επεξεργασίας, τα δεδομένα ή τις κατηγορίες δεδομένων, στα οποία αφορά η επεξεργασία, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, καθώς και το όνομα, την επωνυμία και τη διεύθυνση του υπευθύνου επεξεργασίας και του τυχόν εκπροσώπου του. Η συγκατάθεση μπορεί να ανακληθεί, οποτεδήποτε, χωρίς αναδρομικό αποτέλεσμα". Με τη διάταξη του άρθρου 3 παρ. 1 του ιδίου νόμου, ορίζεται ότι "Οι διατάξεις του παρόντος νόμου εφαρμόζονται στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία καθώς και στη μη αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο", ενώ με τη διάταξη του άρθρου 4 αυτού, όπως αυτή τροποποιήθηκε με το άρθρο 20 παρ. 2 του Ν. 3471/2006, ορίζεται ότι: "Τα δεδομένα προσωπικού χαρακτήρα για να τύχουν νόμιμης επεξεργασίας πρέπει: α) Να συλλέγονται κατά τρόπο θεμιτό και νόμιμο για καθορισμένους, σαφείς και νόμιμους σκοπούς και να υφίστανται θεμιτή και νόμιμη επεξεργασία ενόψει των σκοπών αυτών β) Να είναι συναφή, πρόσφορα, και όχι περισσότερα από όσα κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας, γ) να είναι ακριβή και, εφόσον χρειάζεται, να υποβάλλονται σε ενημέρωση, δ) ... (παρ. 1). Η τήρηση των διατάξεων της προηγουμένης παραγράφου βαρύνει τον υπεύθυνο επεξεργασίας ...(παρ. 2)". Με τη διάταξη του άρθρου 5 παρ. 1 και 2 αυτού, όπως το εδ. γ της παρ.2 τροποποιήθηκε με το άρθρο 34 παρ.1 του Ν. 2915/2001, ορίζεται ότι: "Επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του. (παρ. 1). Κατ` εξαίρεση επιτρέπεται η επεξεργασία και χωρίς τη συγκατάθεση, όταν: α) α) Η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης, στην οποία συμβαλλόμενο μέρος είναι υποκείμενο δεδομένων ή για τη λήψη μέτρων κατόπιν αιτήσεως του υποκειμένου κατά το προσυμβατικό στάδιο.... β) ... γ)... δ) ... ε) Η επεξεργασία είναι απολύτως αναγκαία για την ικανοποίηση του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα και υπό τον όρο ότι τούτο υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών (παρ. 2). Με τη διάταξη του άρθρου 10, όπως η παρ.3 αυτού τροποποιήθηκε με το άρθρο 25 του Ν. 3471/2006, ορίζεται ότι: "Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι απόρρητη. Διεξάγεται αποκλειστικά και μόνο από πρόσωπα που τελούν υπό τον έλεγχο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και μόνο κατ' εντολή του (παρ. 1). Για τη διεξαγωγή της επεξεργασίας ο υπεύθυνος επεξεργασίας οφείλει να επιλέγει πρόσωπα με αντίστοιχα επαγγελματικά προσόντα που παρέχουν επαρκείς εγγυήσεις από πλευράς τεχνικών γνώσεων και προσωπικής ακεραιότητας για την τήρηση του απορρήτου (παρ. 2). Ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας ... (παρ. 3). Αν η επεξεργασία διεξάγεται για λογαριασμό του υπεύθυνου από πρόσωπο μη εξαρτώμενο από αυτόν, η σχετική ανάθεση γίνεται υποχρεωτικά εγγράφως. Η ανάθεση προβλέπει υποχρεωτικά ότι ο ενεργών την επεξεργασία τη διεξάγει μόνο κατ' εντολή του υπεύθυνου και ότι οι λοιπές υποχρεώσεις του παρόντος άρθρου βαρύνουν αναλόγως και αυτόν (παρ. 4)". Με τη διάταξη του άρθρου 11 παρ. 1 και 3 αυτού ορίζεται ότι : "Ο υπεύθυνος επεξεργασίας οφείλει, κατά το στάδιο της συλλογής δεδομένων προσωπικού χαρακτήρα, να ενημερώνει με τρόπο πρόσφορο και σαφή το υποκείμενο για τα εξής τουλάχιστον στοιχεία: α) την ταυτότητά του και την ταυτότητα του τυχόν εκπροσώπου του, β) τον σκοπό της επεξεργασίας, γ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων και δ) την ύπαρξη του δικαιώματος πρόσβασης (παρ. 1). Εάν τα δεδομένα ανακοινώνονται σε τρίτους, το υποκείμενο ενημερώνεται για την ανακοίνωση πριν από αυτούς (παρ. 3). Με το άρθρο 12 παρ.1 αυτού ορίζεται ότι: "Καθένας έχει δικαίωμα να γνωρίζει εάν τα δεδομένα προσωπικού χαρακτήρα που τον αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας. Προς τούτο, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να του απαντήσει εγγράφως". Με τη διάταξη του άρθρου 13 παρ.1 εδ. α αυτού ορίζεται ότι το υποκείμενο των δεδομένων έχει το δικαίωμα να προβάλλει οποτεδήποτε αντιρρήσεις για την επεξεργασία δεδομένων που το αφορούν. Σε συνάφεια με τα προαναφερθέντα με τη διάταξη της παραγράφου 4 εδ. α του άρθρου 4 του Ν. 3758/2009 ("Εταιρείες Ενημέρωσης οφειλετών για ληξιπρ. απαιτήσεις Τραπεζών κλπ") "Πριν από κάθε ενέργεια Ενημέρωσης απαιτείται η από τον δανειστή προς τον οφειλέτη επιβεβαίωση των οφειλών με κάθε διαθέσιμο τρόπο και η ταυτοποίηση του οφειλέτη, καθώς και η ενημέρωση του για τη διαβίβαση των δεδομένων του στην Εταιρεία συμφώνως και προς το άρθρο 11 του ν. 2472/1997, ως εκάστοτε αυτός ισχύει". Με τη διάταξη του άρθρου 22 του νόμου αυτού προβλέπονται ποινικές κυρώσεις για τις αναφερόμενες εκεί κατηγορίες συμπεριφορών που κρίνονται αξιόποινες. Τέλος με τη διάταξη του άρθρου 23 παρ. 1 και 2 αυτού ορίζεται ότι: "Φυσικό πρόσωπο ή νομικό πρόσωπο ιδιωτικού δικαίου, που κατά παράβαση του παρόντος νόμου προκαλεί περιουσιακή βλάβη, υποχρεούται σε πλήρη αποζημίωση. Αν προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη υπάρχει και όταν ο υπόχρεος όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη σε άλλον. (παρ. 1). Η κατά το άρθρο 932 ΑΚ χρηματική ικανοποίηση λόγω ηθικής βλάβης για παράβαση του παρόντος νόμου ορίζεται κατ' ελάχιστο στο ποσό των δύο εκατομμυρίων (2.000.000) δραχμών, εκτός αν ζητήθηκε από τον ενάγοντα μικρότερο ποσό ή η παράβαση οφείλεται σε αμέλεια. Η χρηματική αυτή ικανοποίηση επιδικάζεται ανεξαρτήτως από την αιτούμενη αποζημίωση για περιουσιακή

βλάβη (παρ. 2)".

Συνεπώς, σε περίπτωση παραβάσεως των διατάξεων για την προστασία των δεδομένων προσωπικού χαρακτήρα, εφαρμογή έχουν οι διατάξεις του ως άνω άρθρου 23 του Ν. 2472/1997 και του ταυτάριθμου άρθρου της κοινοτικής οδηγίας 95/46/ΕΚ, από τις οποίες, σε συνδυασμό με τις αναλόγως εφαρμοζόμενες διατάξεις των άρθρων 57, 59, 299 και 932 του ΑΚ, συνάγεται ότι, σε περίπτωση που ο υπεύθυνος επεξεργασίας προκαλεί ηθική βλάβη στο υποκείμενο των προσωπικών δεδομένων, η ευθύνη του πρώτου για χρηματική ικανοποίηση του τελευταίου είναι νόθος αντικειμενική και προϋποθέτει: α) συμπεριφορά (πράξη ή παράλειψη) που παραβιάζει τις διατάξεις του Ν. 2472/1977 ή (και) των κατ` εξουσιοδότηση αυτού εκδοθεισών κανονιστικών πράξεων της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, β) ηθική βλάβη, γ) αιτιώδη σύνδεσμο μεταξύ της συμπεριφοράς και της ηθικής βλάβης και δ) υπαιτιότητα, ήτοι γνώση ή υπαίτια άγνοια αφ' ενός των περιστατικών που συνιστούν την παράβαση και αφ' ετέρου της πιθανότητος να επέλθει ηθική βλάβη. Η ύπαρξη υπαιτιότητος τεκμαίρεται, και ως εκ τούτου ο υπεύθυνος επεξεργασίας, προκειμένου να απαλλαγεί από την ευθύνη του, έχει το βάρος να αποδείξει ότι ανυπαιτίως αγνοούσε τα θεμελιωτικά του πταίσματός του πραγματικά γεγονότα, σύμφωνα με την περί τούτου ρητή διάταξη του άρθρου 23 παρ.2 της ως άνω Οδηγίας, η οποία ορίζει ότι ο υπεύθυνος της επεξεργασίας μπορεί να απαλλαγεί της ευθύνης αυτής, εν μέρει ή εν όλω, εάν αποδείξει ότι δεν ευθύνεται για το ζημιογόνο γεγονός (ΑΠ1740/2013, 637/2013). Οι διατάξεις αυτές ερμηνεύονται με βάση α) το σκοπό του Ν. 2472/1997, συνιστάμενο στη διασφάλιση του φιλελεύθερου και δικαιοκρατικού χαρακτήρα της τεχνολογικής αναπτύξεως και στην προστασία του ατόμου από την πληροφορική και ψηφιακή τεχνολογία, η οποία παρέχει θεωρητικώς και πρακτικώς απεριόριστες δυνατότητες συσσωρεύσεως και συσχετισμού πληροφοριών για όλες τις εκφάνσεις της ιδιωτικής και δημοσίας ζωής του ανθρώπου και επιτρέπει την παραγωγή, με βάση τις ιδιότητες του ως πολίτη, εργαζομένου, ασφαλισμένου, καταναλωτή κλπ, μιας ανάγλυφης εικόνας της προσωπικότητός του, η οποία τον καθιστά διαφανή και κατά τούτο ελέγξιμο, αν όχι και χειραγωγήσιμο και β) υπό το φως των διδαγμάτων της κοινής πείρας, ως κανόνων της λογικής και της ανθρώπινης εμπειρίας, συναγομένων επαγωγικώς εκ των επί μέρους εκδηλώσεων της ζωής, της επιστήμης και της τέχνης και χρησιμοποιουμένων προς εξειδίκευση της αορίστου νομικής εννοίας "επεξεργασία δεδομένων προσωπικού χαρακτήρα".

Από τις προπαρατεθείσες διατάξεις προκύπτει ότι, η νομιμότητα της επεξεργασίας των προσωπικών δεδομένων προϋποθέτει, μεταξύ άλλων, α) την ακρίβεια και επικαιροποίηση των δεδομένων, β) την εκ μέρους του υπεύθυνου επεξεργασίας ενημέρωση του υποκειμένου και γ) την συγκατάθεση του υποκειμένου. Η ακρίβεια και η ενημέρωση (επικαιροποίηση) των δεδομένων βαρύνει τον υπεύθυνο επεξεργασίας, ο οποίος κατά τη συλλογή ή και την εν συνεχεία επεξεργασία των δεδομένων, οφείλει με μέτρο την επιμέλεια του μέσου συνετού και επιμελούς ανθρώπου του εν λόγω κύκλου δραστηριότητας να ελέγχει την ακρίβεια τούτων. Εφ' όσον ο υπεύθυνος επεξεργασίας δεν ταυτίζεται με το πρόσωπο που είναι εντεταλμένο να προβεί στην εφαρμογή της, ένα μέρος της ευθύνης για την επεξεργασία μετατίθεται στο πρόσωπο που συνδέεται με τη διεκπεραίωσή της. Έτσι, ενώ ο υπεύθυνος επεξεργασίας καθορίζει το νομικώς σημαντικό πλαίσιο των σκοπών και των μέσων της επεξεργασίας, το πρόσωπο που αναλαμβάνει τη διεκπεραίωση αυτής είναι ο εκτελών την επεξεργασία. Η επεξεργασία δεδομένων για λογαριασμό του υπεύθυνου, δυνατόν να συνιστά εκπλήρωση συμβατικής υποχρεώσεως, όταν μεταξύ του υπευθύνου και του εκτελούντος υπάρχει σύμβαση έργου, αναθέσεως από δημόσια ή δημοτική αρχή ή υπηρεσία, εργασίας, εντολής ή εταιρείας. Στο πρόσωπο του εκτελούντος δυνατόν να συντρέχει και η ιδιότητα του αντιπροσώπου του υπευθύνου. Ο εκτελών την επεξεργασία δεν καθορίζει τους σκοπούς και τους τρόπους της επεξεργασίας, παρά μόνο την διεκπεραιώνει για λογαριασμό του υπευθύνου επεξεργασίας. Γι' αυτό η ιδιότητά του ως εκτελούντος την επεξεργασία διατηρείται εφ' όσον η επεξεργασία στην οποία προβαίνει κινείται εντός του πλαισίου σκοπών και τρόπων που έχουν καθορισθεί από τον υπεύθυνο επεξεργασίας. Δεδομένου ότι οι "εκτελούντες την επεξεργασία" εμπίπτουν στην έννοια του αποδέκτη , για τον οποίο απαιτείται ενημέρωση του υποκειμένου, κατ' άρθρο 11 ν. 2472/1997, πρέπει το υποκείμενο να ενημερωθεί για τη συγκεκριμένη ανάθεση έργου που συνεπάγεται μετάδοση δεδομένων του οφειλέτη από την Τράπεζα στην εκτελούσα την επεξεργασία εταιρεία. Η σύννομη επεξεργασία των προσωπικών δεδομένων προϋποθέτει ότι το υποκείμενο της επεξεργασίας είναι σε θέση να πληροφορείται την τέλεση της επεξεργασίας και να ενημερώνεται σχετικά με τις συνθήκες αλλαγής των δεδομένων. Η ενημέρωση του υποκειμένου για την επεξεργασία των προσωπικών του δεδομένων αποτελεί υποχρέωση του υπευθύνου επεξεργασίας και του τυχόν αποδέκτη τους, αλλά και ταυτοχρόνως δικαίωμα του υποκειμένου, που συνιστά ειδικότερη έκφραση του ευρύτερου δικαιώματός του για πληροφοριακό αυτοκαθορισμό. Παραλλήλως, αποτελεί και την απαιτούμενη λογική προϋπόθεση για την άσκηση των δικαιωμάτων της προσβάσεως και της αντιρρήσεως (άρθρα 12 και 13 ν. 2472/1997). Ως υπεύθυνος της επεξεργασίας νοείται αυτός που την ελέγχει, ήτοι (άρθρο 2 στοιχ. ζ' Ν. 2472/1997). Προς τούτο απαιτείται να εξουσιάζει το αρχείο. Στο πλαίσιο αυτό οι εταιρείες ενημερώσεως οφειλετών, αν και εκτελούσες επεξεργασία για λογαριασμό του κάθε δανειστή, εν τούτοις αναφορικώς με την ιδία χρήση του συνολικού τους αρχείου οφειλετών αντιμετωπίζονται από το ν. 3758/2009 ως υπεύθυνοι επεξεργασίας. Η υποχρέωση της προηγουμένης ενημερώσεως του υποκειμένου βαρύνει τον υπεύθυνο επεξεργασίας, κατά το στάδιο της συλλογής των δεδομένων, ακόμα και αν επιτρέπεται η επεξεργασία χωρίς τη συγκατάθεση του υποκειμένου, στις περιπτώσεις, δηλαδή, που κάμπτεται ο κανόνας της προηγούμενης συγκαταθέσεως για το επιτρεπτό της επεξεργασίας (άρθρο 5§2). Το δικαίωμα ενημερώσεως του υποκειμένου είναι αυτοτελές και ανεξάρτητο από τη δυνατότητά του να συγκατατεθεί για την επεξεργασία των προσωπικών του δεδομένων. Αυτός είναι και ο τελολογικός και συστηματικός σκοπός της υπάρξεως του άρθρου 11, άλλως θα αρκούσε η αναφορά της υποχρεώσεως προς ενημέρωση στο άρθρο 2 στοιχ.ια'.

Κατά τη πρόβλεψη του νόμου η ενημέρωση πρέπει να γίνεται με τρόπο πρόσφορο, που θα διασφαλίζει ότι το υποκείμενο των δεδομένων θα λαμβάνει πράγματι γνώση των στοιχείων που την απαρτίζουν, και σαφή, που θα επιτρέπει στο υποκείμενο των δεδομένων να έχει μια σαφή εικόνα για τα στοιχεία που ορίζει ο νόμος. Επομένως, αόριστες, παραπλανητικές ή γενικόλογες αναφορές της Τράπεζας, ιδίως για το είδος της χρήσεως των συλλεγόμενων δεδομένων ή για τους αποδέκτες αυτών, είτε οι αναφορές αυτές γίνονται εξατομικευμένα είτε περιέχονται σε ΓΟΣ δανειακών συμβάσεων, δεν πληρούν τις προϋποθέσεις του νόμου. Εδώ υπάγεται λ.χ. η γνωστοποίηση, εκ μέρους της Τράπεζας, ότι τα προσωπικά δεδομένα του δανειολήπτη θα χρησιμοποιούνται για την εκτέλεση των σχετικών (δανειακών) συμβάσεων, την προάσπιση των συμφερόντων της Τράπεζας και την εκπλήρωση των υποχρεώσεων της ή θα γίνονται αντικείμενο επεξεργασίας με σκοπό την είσπραξη, για λογαριασμό της τράπεζας, των δόσεων του δανείου, ότι αποδέκτες των δεδομένων θα είναι συνεργαζόμενα με την Τράπεζα νομικά πρόσωπα. Αν η τράπεζα παραλείψει να προβεί σε οποιαδήποτε ενημέρωση του υποκειμένου για τη διαβίβαση των δεδομένων του ή προβαίνει σε ενημέρωση διά του τύπου χωρίς προηγουμένως να έχει λάβει άδεια της Αρχής ή επιλέγει να προβεί στην διά του τύπου ενημέρωση, παρά το γεγονός ότι η εξατομικευμένη γνωστοποίηση της μεταβίβασης στον δανειολήπτη και τους λοιπούς υποχρέους είναι ευχερώς δυνατή, τότε η διαβίβαση των προσωπικών δεδομένων είναι παράνομη. Στην περίπτωση αυτή, η τράπεζα υποχρεούται στην αποκατάσταση της (πλήρους) περιουσιακής ζημίας και της ηθικής βλάβης που προκλήθηκε στον οφειλέτη από την παράνομη ανακοίνωση των δεδομένων του στην εταιρεία ενημερώσεως οφειλετών, σύμφωνα με τα οριζόμενα στο άρθρο 23 παρ. 1,2 του ν. 2472/1997.

Περαιτέρω, κατά τη διάταξη του άρθρου 560 παρ.1 εδ. α του ΚΠολΔ, αναίρεση κατά των αποφάσεων των ειρηνοδικείων, καθώς και κατά των αποφάσεων των πρωτοδικείων που εκδίδονται σε εφέσεις κατά των αποφάσεων των ειρηνοδικείων, επιτρέπεται μόνο, αν παραβιάσθηκε κανόνας του ουσιαστικού δικαίου, στον οποίο περιλαμβάνονται και οι ερμηνευτικοί κανόνες των δικαιοπραξιών, αδιάφορο αν πρόκειται για νόμο ή έθιμο ελληνικό ή ξένο, εσωτερικού ή διεθνούς δικαίου. Ο κανόνας δικαίου παραβιάζεται αν δεν εφαρμοσθεί, ενώ συνέτρεχαν οι πραγματικές προϋποθέσεις για την εφαρμογή του, ή εάν εφαρμοσθεί, ενώ δεν συνέτρεχαν οι προϋποθέσεις αυτές, καθώς και εάν εφαρμοσθεί εσφαλμένα, η δε παραβίαση εκδηλώνεται είτε ως ψευδής ερμηνεία του κανόνα δικαίου, δηλαδή όταν το δικαστήριο της ουσίας προσέδωσε σε αυτόν έννοια διαφορετική από την αληθινή, είτε ως κακή εφαρμογή, ήτοι εσφαλμένη υπαγωγή σ' αυτόν των περιστατικών της ατομικής περίπτωσης που καταλήγει σε εσφαλμένο συμπέρασμα με τη μορφή του διατακτικού (ΟλΑΠ 1/2016, ΟλΑΠ 2/2013, ΟλΑΠ 7/2006). Με τον ανωτέρω λόγο αναιρέσεως ελέγχονται τα σφάλματα του δικαστηρίου της ουσίας κατά την εκτίμηση της νομικής βασιμότητας της αγωγής και των ισχυρισμών (ενστάσεων) των διαδίκων, καθώς και τα νομικά σφάλματα του ανωτέρω δικαστηρίου κατά την έρευνα της ουσίας της διαφοράς. Ελέγχεται, δηλαδή, αν η αγωγή, ένσταση κ.λπ. ορθώς απορρίφθηκε ως μη νόμιμη ή αν, κατά παράβαση ουσιαστικού κανόνα δικαίου, έγινε δεκτή ως νόμιμη ή απορρίφθηκε ή έγινε δεκτή κατ` ουσία (ΑΠ 58/2015). Στην τελευταία δε περίπτωση, η παραβίαση του κανόνα αυτού ελέγχεται από τον Άρειο Πάγο αποκλειστικώς και μόνο με βάση τα πραγματικά περιστατικά που δέχεται το δικαστήριο της ουσίας ότι αποδείχθηκαν ή ότι δεν αποδείχθηκαν (ΑΠ 130/2016).

Εν προκειμένω, με τους πρώτο, δεύτερο, τρίτο και τέταρτο λόγους τής αιτήσεως αναιρέσεως, προσάπτεται στην πληττόμενη απόφαση, κατ' ορθή εκτίμηση, η αιτίαση ότι υπέπεσε σε πλημμέλειες του λόγου αναιρέσεως του αριθμού 1 του άρθρου 560 ΚΠολΔ. Ειδικότερα ότι :1) ψευδώς ερμήνευσε την διάταξη του άρθρου 11 § 1 του Ν. 2472/1997, δεχόμενη ότι η ενημέρωση για τους αποδέκτες των προσωπικών δεδομένων πρέπει να αφορά σε ατομικά προσδιορισμένους αποδέκτες, ενώ η ορθή έννοια της ανωτέρω διατάξεως είναι ότι οι αποδέκτες των προσωπικών δεδομένων ενός δανειολήπτη δύνανται να αναφέρονται και κατά κατηγορίες, καθώς και ότι η έλλειψη ενημερώσεως του αναιρεσιβλήτου για την επεξεργασία των δεδομένων του και ιδίως για την διαβίβασή τους σε αποδέκτη τους, αρκούσε για την θεμελίωση τής κατά το άρθρο 23 § 1 του ίδιου νόμου αιτηθείσας αποκαταστάσεως της ηθικής βλάβης τούτου, 2) εσφαλμένως εφάρμοσε τις διατάξεις των άρθρων 2 περιπτώσεις "θ" και "η" και 11 § 3 του Ν. 2472/1997 και συγκεκριμένως εσφαλμένως υπήγαγε στην έννοια του "τρίτου" την εταιρία ενημερώσεως οφειλετών, στην οποία η τράπεζα διαβίβασε προσωπικά δεδομένα του αναιρεσιβλήτου, προκειμένου να τον οχλήσει για τις καθυστερούμενες δόσεις του δανείου του, και εξ αυτής της πλημμέλειας συνήγαγε την παράλειψη προς ενημέρωση του ειρημένου πριν από την διαβίβαση των δεδομένων του,3) δεν εφάρμοσε τη διάταξη του άρθρου 5 § 2 περίπτωση α' του Ν. 2472/1997, παρόλο που από τα περιστατικά που δέχεται ως αληθή συνάγονταν οι προϋποθέσεις εφαρμογής της και δεν απαιτείτο συναίνεση του δανειολήπτη για την επεξεργασία των προσωπικών του δεδομένων ή τη διαβίβασή τους, εφ' όσον όλα αυτά συνέχονται με την λειτουργία και την εκτέλεσή της συμβάσεως δανείου, 4) ψευδώς ερμήνευσε τη διάταξη του άρθρου 11 § 1 του Ν. 2472/1997, αποδίδοντάς της την έννοια ότι η προβλεπόμενη από την διάταξη αυτή ενημέρωση δεν δύναται να περιέχεται στη σύμβαση που συνάπτει ο δανειολήπτης ή στην αίτηση που υποβάλλει για την χορήγηση ενός δανείου.

Από την επισκόπηση της προσβαλλομένης αποφάσεως του Μονομελοούς Πρωτοδικείου Θεσσαλονίκης, που δίκασε κατ' έφεση (άρθρο 561 παρ. 2 ΚΠολΔ) προκύπτει ότι, το δικαστήριο, εκτιμώντας το σύνολο των αποδεικτικών μέσων, που παραδεκτώς επικαλέσθηκαν και προσκόμισαν οι διάδικοι, δέχθηκε ως προς την ουσία της υποθέσεως, και ειδικότερα ως προς τη θεμελίωση της αδικοπρακτικής ευθύνης της αναιρεσείουσας, τα ακόλουθα:

"...Το έτος 2004 ο ενάγων συνήψε με την εναγομένη τράπεζα σύμβαση καταναλωτικού δανείου ύψους 30.000,000 ευρώ. Λόγω της οικονομικής κρίσης ο ενάγων άρχισε να καθυστερεί την καταβολή των δόσεων του ως άνω δανείου. Τότε η εναγόμενη διαβίβασε στην ανώνυμη εταιρία με την επωνυμία "...", τα προσωπικά του στοιχεία και της ανέθεσε την είσπραξη της οφειλής του προς αυτήν (εναγομένη), χωρίς προηγουμένως η τελευταία να τον ενημερώσει με τρόπο πρόσφορο και σαφή ως όφειλε για την διαβίβαση και την επεξεργασία τους από την ως άνω εταιρία ενημέρωσης οφειλετών. Ειδικότερα, διαβίβασε τα στοιχεία του ονόματος του, τον αριθμό του τηλεφώνου της οικίας του και το ύψος της οφειλής του, στην ανωτέρω εταιρία της οποίας οι υπάλληλοι άρχισαν να του τηλεφωνούν καθημερινά σχεδόν στην οικία του, ενημερώνοντάς τον για το ύψος της οφειλής του και την υποχρέωσή του για την καταβολή της οφειλής του προς την εναγομένη. Η εναγόμενη με τις πρωτόδικες προτάσεις της ισχυρίστηκε ότι κατά τη συλλογή των ως άνω προσωπικών δεδομένων του ενάγοντος για τη σύμβαση του δανείου είχε προβεί σε σχετική ενημέρωση αυτού και δη, κατά τη με αρ. 81643 αίτηση που υπέβαλε και υπέγραψε ο ενάγων προκειμένου να του χορηγηθεί το ανωτέρω δάνειο, στον τίτλο "Ενημέρωση υποκείμενων δεδομένων προσωπικού χαρακτήρα" (βάση του Ν.2472/1997 σε συνδ. με την υπ' αριθμ. 1/1999 κανονιστική πράξη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), αναγράφεται ότι "Η ... ... ΑΕ, έχει ενημερώσει τα φυσικά πρόσωπα που υπογράφουν την παρούσα αίτηση, ότι τα προσωπικά τους δεδομένα που περιλαμβάνονται στην αίτηση αυτή, καθώς και άλλα προσωπικά τους δεδομένα που η Τράπεζα έχει τυχόν συλλέξει με τη συνδρομή τους ή θα δημιουργηθούν μετά την έγκριση του δανείου θα αποτελέσουν αντικείμενο επεξεργασίας από την Τράπεζα ή και από τρίτους που εκτελούν την επεξεργασία κατ' εντολή και για λογαριασμό της". Στη συνέχεια αναφέρεται στην ανωτέρω αίτηση ότι αποδέκτες των δεδομένων είναι και "εταιρίες είσπραξης απαιτήσεων, δικηγόροι, συμβολαιογράφοι και δικαστικοί επιμελητές στα πλαίσια των αρμοδιοτήτων τους". Στη συνέχεια η ανωτέρω αίτηση αναγράφει ότι "τα υποκείμενα των δεδομένων έχουν το δικαίωμα να γνωρίζουν εάν τα δεδομένα προσωπικού χαρακτήρα που τα αφορούν αποτελούν ή αποτέλεσαν αντικείμενο επεξεργασίας καθώς και να προβάλλουν οποτεδήποτε αντιρρήσεις για την επεξεργασία των δεδομένων που τα αφορούν. Ισχυρίζεται λοιπόν η εναγόμενη ότι ο ενάγων της είχε δώσει την ρητή και ανεπιφύλακτη εξουσιοδότηση να τηρεί σε ηλεκτρονικό ή μη αρχείο και να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα, τα οποία δηλώθηκαν στην Τράπεζα με την υποβολή της αίτησης για την χορήγηση του δανείου, τα οποία μπορούν να γνωστοποιούνται προς χρήση από συνεργαζόμενα με την Τράπεζα φυσικά και νομικά πρόσωπα, όπως και δεδομένα που προκύπτουν από τη λειτουργία της παρούσας σύμβασης. Το κείμενο όμως αυτό της προσκομιζόμενης ως άνω σύμβασης, της οποίας το περιεχόμενο είναι σαφές και αναμφίβολο, ουδόλως αποδεικνύεται από την εναγομένη - που έχει το βάρος απόδειξης της ενημέρωσης - ότι αυτή κατά τον παραπάνω χρόνο της συλλογής των δεδομένων είχε ενημερώσει τον ενάγοντα κατά τρόπο σαφή για το σκοπό της επεξεργασίας (διαβίβασης) και για τους αποδέκτες ή τις κατηγορίες των αποδεκτών, όπως απαιτείτο κατ' άρθρο 11 παρ. 1 β, γ. Η εναγόμενη εξάλλου δεν επικαλέσθηκε, ούτε απέδειξε ότι είχε προβεί σε τέτοια ενημέρωση μεταγενέστερα, μετά τη συλλογή των δεδομένων και πριν από τη διαβίβασή τους στην ως άνω εταιρία. Για την ορθή και νόμιμη εφαρμογή των διατάξεων, που αφορούν στην ενημέρωση του ενάγοντος από την εναγομένη τράπεζα και την συγκατάθεση του πρώτου για την επεξεργασία και διαβίβαση σε τρίτους των προσωπικών του στοιχείων, η εναγόμενη τράπεζα ήταν υποχρεωμένη να τον ενημερώσει ειδικώς για την εταιρεία ενημέρωσης οφειλετών, με την οποία συνεργάζεται (επωνυμία, έδρα κλπ.), στην οποία είχαν διαβιβαστεί τα προσωπικά στοιχεία του ενάγοντος και η οποία θα τον καλούσε προς ενημέρωση και διευθέτηση της οφειλής του, γεγονός που δεν απεδείχθη ότι έλαβε χώρα στην προκειμένη περίπτωση. Άλλωστε, ως "συγκατάθεση" υπό την έννοια του Ν. 2472/1997 ορίζεται η ελεύθερη, ρητή και ειδική δήλωση βούλησης, που εκφράζεται με τρόπο σαφή και εν πλήρη επιγνώσει, με την οποία το υποκείμενο των δεδομένων, αφού προηγουμένως ενημερωθεί, δέχεται να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα, που το αφορούν, οι δε τυποποιημένοι σχετικά όροι που απαντώνται σε κάθε σύμβαση και δεν αποτελούν προϊόν διαπραγμάτευσης αλλά προσχώρησης του καταναλωτή ώστε το εκάστοτε αίτημά του για λήψη πίστωσης να τύχει έγκρισης από την τράπεζα, δεν αρκεί προς θεμελίωση της συγκατάθεσης υπό την ανωτέρω έννοια. Εξάλλου, εν προκειμένω, ο ισχυρισμός της εναγόμενης περί επιτρεπτής επεξεργασίας των δεδομένων του ενάγοντος χωρίς τη συγκατάθεσή του, αλυσιτελώς προβάλλεται, καθόσον, ο ενάγων θεμελιώνει την παράνομη επεξεργασία σε παράλειψη ενημέρωσής του εκ μέρους της εναγομένης και όχι σε έλλειψη συγκατάθεσής του. ... Οι προαναφερόμενες παράνομες και υπαίτιες πράξεις και παραλείψεις της εναγόμενης (δια των προστηθέντων οργάνων της) προσέβαλαν την προσωπικότητα του ενάγοντος και προκάλεσαν σ' αυτόν σημαντική ηθική βλάβη, ενώ τα όργανά της, κατά την επεξεργασία (διαβίβαση) των προσωπικών δεδομένων του, χωρίς την προηγούμενη ενημέρωσή του, όφειλαν να γνωρίζουν την πιθανότητα επέλευσης της προαναφερόμενης ηθικής βλάβης. Ενόψει δε του είδους του θιγόμενου αγαθού, του μεγέθους της προσβολής, των συνθηκών τέλεσης αυτής, του βαθμού υπαιτιότητας των οργάνων της εναγομένης και της κοινωνικής και οικονομικής καταστάσεως των διαδίκων η καταβλητέα εύλογη χρηματική ικανοποίηση πρέπει να ορισθεί στο ποσό των 5.869,40 ευρώ (που είναι το ελάχιστο ποσό κατά τον ως άνω νόμο, ήτοι το ισόποσο των 2.000.000 δραχμών) του πέραν αυτού αιτουμένου ποσού απορριπτομένου ως υπερβολικού,...''. Ακολούθως, το Μονομελές Πρωτοδικείο Θεσσαλονίκης, ως δευτεροβάθμιο δικαστήριο, εξέδωσε την προσβαλλομένη απόφασή του, με την οποία, δέχθηκε την έφεση του αναιρεσιβλήτου, εξαφάνισε την απόφαση τού Ειρηνοδικείου Θεσσαλονίκης που είχε απορρίψει την αγωγή του αναιρεσιβλήτου και την δέχθηκε εν μέρει και υποχρέωσε την εναγομ ένη-αναιρεσείουσα να καταβάλει, στον εναγόμενο- αναιρεσίβλητο το ποσό των 5.869,40 ευρώ, νομιμοτόκως από την επίδοση της αγωγής.

Το ανωτέρω Δικαστήριο δέχθηκε, δηλαδή, ότι η εναγομένη-νυν αναιρεσείουσα Τράπεζα, ως υπεύθυνη για την επεξεργασία των προσωπικών δεδομένων του ενάγοντος και ήδη αναιρεσιβλήτου πελάτη της (δανειολήπτη), ανέθεσε την επεξεργασία τούτων στην ειρημένη εταιρεία ενημερώσεως οφειλετών, κατόπιν έγγραφης συμβάσεως, που καταρτίσθηκε μεταξύ τους και ότι στα πλαίσια εκτελέσεως της συμβάσεως αυτής, η εν λόγω εταιρεία προέβη στην επεξεργασία των προσωπικών δεδομένων του ενάγοντος διά της καταχωρίσεως αυτών στο αρχείο της (ηλεκτρονικό υπολογιστή) για τις ανάγκες εκτελέσεως της συμβάσεως και στη χρήση αυτών διά της τηλεφωνικής οχλήσεως προσωπικώς του ενάγοντος προς καταβολή της οφειλής του προς την Τράπεζα, ότι η τελευταία δεν ενημέρωσε με τρόπο πρόσφορο, ως είχε εκ του νόμου υποχρέωση, τον ενάγοντα για το σκοπό της επεξεργασίας (διαβιβάσεως) και για τους αποδέκτες ή τις κατηγορίες των αποδεκτών, όπως απαιτείτο κατ' άρθρο 11 παρ. 1 β, γ. για τη συγκεκριμένη ανάθεση έργου, που συνεπαγόταν μετάδοση δεδομένων του οφειλέτη από την αντιπροσωπευόμενη Τράπεζα στην εκτελούσα την επεξεργασία εταιρεία, εντεύθεν για τις συνθήκες αλλαγή της επεξεργασίας τούτων. Κατά την κρατήσασα στο Δικαστήριο τούτο γνώμη,, υπό τις ως άνω παραδοχές, το Εφετείο ορθώς ερμήνευσε και εφάρμοσε τις ανωτέρω διατάξεις, καθ' όσον υπήγαγε τα αποδειχθέντα πραγματικά περιστατικά στους εφαρμοστέους κανόνες δικαίου. Τούτο δε διότι, τα ανελέγκτως ως άνω δεκτά γενόμενα ως αποδειχθέντα πραγματικά περιστατικά συνιστούν παράνομη μη αυτοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα του αναιρεσιβλήτου και δικαιολογούν την κατ' εφαρμογή της διατάξεως του άρθρου 23 του άνω νόμου επιδίκαση χρηματικής ικανοποιήσεως λόγω πρόκληση ηθικής βλάβης αυτού. Ειδικότερα, δεν αρκούσε, κατά νόμο, το γεγονός ότι η Τράπεζα κατά τον ανωτέρω χρόνο της συλλογής των δεδομένων, βάσει περιληφθέντων όρων στις σχετικές συμβάσεις, είχε ενημερώσει τον ενάγοντα ότι προσωπικά του δεδομένα, που έχει τυχόν συλλέξει με τη συνδρομή του ή θα δημιουργηθούν μετά την έγκριση του δανείου, θα αποτελέσουν αντικείμενο επεξεργασίας από την ίδια (Τράπεζα) ή και από τρίτους που εκτελούν την επεξεργασία κατ' εντολή και για λογαριασμό της, καθώς και ότι για τα δεδομένα που αφορούν την είσπραξη των απαιτήσεων της Τράπεζας σε περίπτωση μη εκπληρώσεως των υποχρεώσεων του στους αποδέκτες των δεδομένων περιλαμβάνονται και οι εταιρίες εισπράξεως απαιτήσεων, αλλά έπρεπε ο ενάγων να ενημερωθεί για τη συγκεκριμένη ανάθεση έργου που συνεπάγεται μετάδοση δεδομένων του από την Τράπεζα στην εκτελούσα την επεξεργασία εταιρεία, εφ' όσον το δικαίωμα ενημερώσεως του υποκειμένου( ενάγοντος) είναι αυτοτελές και ανεξάρτητο από τη δυνατότητά του να συγκατατεθεί για την επεξεργασία των προσωπικών του δεδομένων( αρθρ. 5 παρ.2), συμφώνως και προς τα εκτεθέντα στη μείζονα πρόταση.

Συνεπώς, κατά την κρατήσασα στο Δικαστήριο γνώμη, το δικαστήριο της ουσίας ορθά ερμήνευσε και εφάρμοσε τις προδιαληφθείσες ουσιαστικού δικαίου διατάξεις και οι ανωτέρω λόγοι από το άρθρο 560 αριθμ. 1 ΚΠολΔ είναι αβάσιμοι, εντεύθεν και η κρινομένη αίτηση πρέπει να απορριφθεί ως αβάσιμη. Κατά τη γνώμη όμως δύο μελών του Δικαστηρίου τούτου και συγκεκριμένα του Ιωσήφ Τσαλαγανίδη, Αντιπροέδρου του Αρείου Πάγου και Αβροκόμης Θούα, Αρεοπαγιτου, πρέπει να λεχθούν τα ακόλουθα:

Από τις διατάξεις του άρθρου 2 παρ. ια) και 11 παρ.1 περ.γ' ν.2472/1997, όπως αυτές εκτέθηκαν παραπάνω στη μείζονα σκέψη, προκύπτει ότι η επεξεργασία προσωπικών δεδομένων, που γίνεται στο πλαίσιο μιας σύμβασης, προϋποθέτει ενημέρωση του υποκειμένου των προσωπικών δεδομένων, η οποία μπορεί να γίνει είτε με το έντυπο της αιτήσεως που υποβάλλει το υποκείμενο των δεδομένων, είτε με την ίδια τη σύμβαση. Η ενημέρωση αυτή περιλαμβάνει, μεταξύ άλλων, και τους αποδέκτες των δεδομένων του, οι οποίοι μπορεί να καθορίζοτναι και κατά κατηγορίες. Από τη διατύπωση της ως άνω διατάξεως προκύπτει ότι οι αποδέκτες των δεδομένων είναι δυνατό να καθορισθο'ν όχι μόνο ατομικά αλλά και κατά κατηγορίες, ενώ το υποκείμενο των δεδομένων ενημερώνεται ήδη από τη συλλογή τους για το ποιοι είναι δυνατό να καταστούν αποδέκτες αυτών, ώστε να μη χρειάζεται νέα ενημέρωσή του κάθε φορά που γίνεται διαβίβαση των δεδομένων στους αποδέκτες. Η ρύθμιση αυτή και δικαιολογημένη είναι και δεν υφίσταται από το γράμμα και το πνεύμα του νόμου, αφού αρκεί να ενημερωθεί το υποκείμενο, ποιες κατηγορίες είναι δυνατό να γίνουν αποδέκτες των δεδομένων του. Διαφορετικά, υπό την αντίθετη εκδοχή, θα όφειλε ο υπεύθυνος επεξεργασίας να γνωστοποιεί στο υποκείμενο όχι μόνο την εταιρεία είσπραξης των απαιτήσεων, στην οποία ανέθεσε την είσπραξη της οφειλής του, αλλά και τον πληρεξούσιο δικηγόρο, στον οποίο ανέθεσε τη δικαστική επιδίωξη της απαιτήσεώς του, και το δικαστικό επιμελητή, στον οποίο χορήγησε την εντολή για την αναγκαστική εκτέλεση του σχετικού εκτελεστού τίτλου. Στη προκειμένη περίπτωση, υπό τις ανωτέρω παραδοχές, το δικαστήριο της ουσίας, που δέχθηκε ότι η εναγομένη Τράπεζα, ως υπεύθυνη επεξεργασίας όφειλε να ενημερώσει τον ενάγοντα για τη χρήση των προσωπικών του δεδομένων από την ενεργούσα για λογαριασμό αυτής (Τράπεζας) προαναφερομένη εταιρεία ενημέρωσης οφειλετών, εσφαλμένα υπήγαγε τα πραγματικά περιστατικά που δέχθηκε ως αποδειχθέντα στον ουσιαστικό κανόνα του άρθρου 11 παρ.1 γ' ν. 2472/1997. Τούτο δε διότι, η διαβίβαση των στοιχείων επικοινωνίας του αναιρεσίβλητου οφειλέτη της Τράπεζας, καθώς και των στοιχείων για τις οφειλόμενες- ληξιπρόθεσμες δόσεις του δανείου του, δεν προϋπέθετε την προηγούμενη ενημέρωσή του, αφού η ως άνω αναφερομένη εταιρεία ενημέρωσης οφειλετών εκτελούσε επεξεργασία για λογαριασμό της Τράπεζας, ως αποδέκτης των δεδομένων του οφειλέτη και αυτός είχε ενημερωθεί, ήδη από τη σύναψη της σύμβασης χορήγησης πίστωσης, ότι μια τέτοια εταιρεία θα καθίστατο αποδέκτης των παραπάνω δεδομένων του, σε περίπτωση καθυστέρησης πληρωμής των δόσεων του δανείου. Κατόπιν τούτων, κατά τη μειοψηφούσα γνώμη, ο μοναδικός λόγος αναιρέσεως, ως προς όλα τα μέρη του, με τον οποίο η αναιρεσείουσα προσάπτει στο δικαστήριο της ουσίας την από το άρθρο 560 αρ. 1 ΚΠολΔ πλημμέλεια, τυγχάνει βάσιμος και θα έπρεπε να αναιρεθεί η προσβαλλόμενη απόφαση.

Μετά ταύτα, εφόσον η παρούσα απόφαση ελήφθη με διαφορά μιας ψήφου, πρέπει να παραπεμφθεί ο μοναδικός λόγος της αιτήσεως αναιρέσεως ως προς όλα τα μέρη του στην Τακτική Ολομέλεια του παρόντος Δικαστηρίου, σύμφωνα με τη διάταξη του άρθρου 563 παρ.2 εδ.β' του ΚπολΔ, όπως ορίζεται ειδικότερα στο διατακτικό.

 

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Παραπέμπει στην Τακτική Ολομέλεια του Αρείου Πάγου το αναφερόμενο στο σκεπτικό και στο μοναδικό λόγο τής αιτήσεως αναιρέσεως ζήτημα ως προς όλα τα μέρη αυτού, και δη εάν η δανείστρια Τράπεζα, ως υπεύθυνη επεξεργασίας προσωπικών δεδομένων, γενομένης στο πλαίσιο μιας συμβάσεως, οφείλει να ενημερώνει ειδικώς τον οφειλέτη για τη διάθεση αυτών των δεδομένων του στην εκάστοτε συγκεκριμένη εταιρεία ενημέρωσης οφειλετών, ή αρκεί, κατά νόμο, το γεγονός ότι η Τράπεζα κατά τον χρόνο της συλλογής των δεδομένων, βάσει περιληφθέντων όρων στη σχετική σύμβαση, είχε ενημερώσει τον οφειλέτη ότι τα προσωπικά του δεδομένα, θα αποτελέσουν αντικείμενο επεξεργασίας από την ίδια (Τράπεζα) ή και από εκείνους που εκτελούν την επεξεργασία κατ' εντολή και για λογαριασμό της, ως αποδέκτες των δεδομένων, στους οποίους περιλαμβάνονται και οι εταιρίες εισπράξεως απαιτήσεων.

ΚΡΙΘΗΚΕ, αποφασίσθηκε στην Αθήνα, στις 27 Νοεμβρίου 2018.

ΔΗΜΟΣΙΕΥΘΗΚΕ σε δημόσια συνεδρίαση στο ακροατήριό του, στην Αθήνα, στις 6 Φεβρουαρίρου 2019.

 

Ο ΑΝΤΙΠΡΟΕΔΡΟΣ

 

Η ΓΡΑΜΜΑΤΕΑΣ