ΝΣΚ 46/2019 Εάν υπό το υφιστάμενο νομοθετικό καθεστώς επιτρέπεται η δημοσίευση Δημόσιας Ανακοίνωσης στην ιστοσελίδα της Ε.Λ.Τ.Ε., η οποία θα αναφέρει επιβληθείσες πειθαρχικές κυρώσεις, καθώς και τα ονόματα των Ορκωτών Ελεγκτών Λογιστών τους οποίους αφορού

ΝΣΚ 46/2019 Εάν υπό το υφιστάμενο νομοθετικό καθεστώς επιτρέπεται η δημοσίευση Δημόσιας Ανακοίνωσης στην ιστοσελίδα της Ε.Λ.Τ.Ε., η οποία θα αναφέρει επιβληθείσες πειθαρχικές κυρώσεις, καθώς και τα ονόματα των Ορκωτών Ελεγκτών Λογιστών τους οποίους αφορού

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΥΠΟΥΡΓΟΣ ΟΙΚΟΝΟΜΙΚΩΝ
ΝΟΜΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΟΥ ΚΡΑΤΟΥΣ

Αριθμός Γνωμοδότησης 46/2019

ΤΟ ΝΟΜΙΚΟ ΣΥΜΒΟΥΛΙΟ ΤΟΥ ΚΡΑΤΟΥΣ
(Τμήμα Β) Συνεδρίαση της 12ης Φεβρουαρίου 2019

Σύνθεση
Πρόεδρος: Στέφανος Δέτσης, Αντιπρόεδρος ΝΣΚ.
Μέλη: Θεόδωρος Ψυχογυιός, Δημήτριος Χανής, Αλέξανδρος Ροϊλός, Αδαμαντία Καπετανάκη, Ελένη Πασαμιχάλη, Χριστίνα Διβάνη, Διονύσιος Χειμώνας, Παναγιώτα-Ελευθερία Δασκαλέα-Ασημακοπούλου, Νομικοί Σύμβουλοι του Κράτους
Εισηγήτρια: Αδαμαντία Καπετανάκη, Νομικός Σύμβουλος του Κράτους
Αριθμός Ερωτήματος: Το έγγραφο με αριθμό πρωτ. 2709 οικ./30-10-2018 της Επιτροπής Λογιστικής Τυποποίησης & Ελέγχων (Ε.Λ.Τ.Ε.).
Περίληψη ερωτήματος: Ερωτάται αν υπό το υφιστάμενο νομοθετικό καθεστώς είναι δυνατή, σύννομη και επιτρεπτή η δημοσίευση Δημόσιας Ανακοίνωσης στην ιστοσελίδα της ΕΛΤΕ, η οποία θα αναφέρει επιβληθείσες κυρώσεις, καθώς και τα ονόματα των Ορκωτών Ελεγκτών Λογιστών (άρθρο 35 παρ. 11 του ν. 4449/2017).

Στο πιο πάνω ερώτημα, το Νομικό Συμβούλιο του Κράτους (Τμήμα Β') γνωμοδότησε ως εξής:

Ιστορικό

1. Στην με αριθμό 10/27.09.2018 συνεδρίαση του Πειθαρχικού Συμβουλίου (Π.Σ.) της ΕΛΤΕ αποφασίστηκε, μεταξύ άλλων, η επιβολή χρηματικής ποινής σε ορκωτούς ελεγκτές λογιστές και η σύνταξη Δημόσιας Ανακοίνωσης που θα αναρτηθεί στην ιστοσελίδα της ΕΛΤΕ, σύμφωνα με το άρθρο 35 παρ. 11 του ν. 4449/2017. Στην ταυτάριθμη Απόφαση του Π.Σ. της ΕΛΤΕ αναγράφεται, ότι η Δημόσια Ανακοίνωση θα αναφέρει τις επιβληθείσες κυρώσεις, καθώς και τα ονόματα των ορκωτών ελεγκτών λογιστών με την επιφύλαξη ότι πριν την έκδοση της Δημόσιας Ανακοίνωσης η ΕΛΤΕ θα ζητήσει νομική άποψη σχετικά με την δημοσίευση ή μη του ονόματος του ορκωτού ελεγκτή λογιστή λόγω του νέου νομοθετικού πλαισίου περί προστασίας των προσωπικών δεδομένων (GDPR).
Ενδεικτικά, σύμφωνα με το σχετικό έγγραφο που συνοδεύει το ερώτημα (υπ' αριθμό 10/2018 πρακτικό συνεδρίασης του πειθαρχικού συμβουλίου της ΕΛΤΕ) σχετικά με την παραπομπή ορκωτού ελεγκτή λογιστή (ΟΕΛ) σε πειθαρχική διαδικασία για τον έλεγχο που διενεργήθηκε στις οικονομικές καταστάσεις ΑΒΕΕ, αποφασίστηκε κατά πλειοψηφία η επιβολή στον συγκεκριμένο ΟΕΛ χρηματικής ποινής ύψους 3.000 ευρώ, ενώ οι σύμβουλοι, που μειοψήφησαν, πρότειναν την επιβολή της πειθαρχικής ποινής της επίπληξης.
 
Κατόπιν τούτων ερωτάται εάν υπό το ως ανωτέρω αναφερόμενο υφιστάμενο νομοθετικό καθεστώς είναι δυνατή, σύννομη και επιτρεπτή η δημοσίευση Δημόσιας Ανακοίνωσης στην ιστοσελίδα της ΕΛΤΕ, η οποία θα αναφέρει τις επιβληθείσες κυρώσεις, καθώς και τα ονόματα των Ορκωτών Ελεγκτών Λογιστών.

ΝΟΜΟΘΕΤΙΚΟ ΠΛΑΙΣΙΟ

2. Στο άρθρο 1 (παρ.1-2, ως ισχύουν) του ν. 3148/03 «Επιτροπή Λογιστικής Τυποποίησης Ελέγχων, Ιδρύματα ηλεκτρονικού χρήματος, προστασία ευρώ, επιχειρήσεις διαμεσολάβησης μεταφοράς κεφαλαίων» (Α' 136) ορίζεται ότι:
«1. Συνιστάται νομικό πρόσωπο δημοσίου δικαίου με την επωνυμία "Επιτροπή Λογιστικής Τυποποίησης και Ελέγχων" (Ε.Α.Τ.Ε.) με έδρα την Αθήνα και σκοπό την ενίσχυση της διαφάνειας λειτουργίας των επιχειρήσεων με την εφαρμογή λογιστικής τυποποίησης και τη διασφάλιση της ποιότητας των λογιστικών ελέγχων.
Η Ε.Λ. Τ. Ε. λειτουργεί αποκλειστικά χάριν του δημόσιου συμφέροντος, έχει διοικητική και οικονομική αυτοτέλεια και απολαύει λειτουργικής ανεξαρτησίας.
2. Η ΕΛ.Τ.Ε. εποπτεύεται από τον Υπουργό Οικονομικών......»

3. Στο άρθρο 35 (παρ.10-11) του ν. 4449/2017 «Υποχρεωτικός έλεγχος των ετήσιων και των ενοποιημένων χρηματοοικονομικών καταστάσεων, δημόσια εποπτεία επί του ελεγκτικού έργου και λοιπές διατάξεις» (Α'7) ορίζεται ότι:
10. Κατά της απόφασης του πειθαρχικού οργάνου με την οποία επιβάλλεται πειθαρχική κύρωση, χωρεί προσφυγή ουσίας ενώπιον του Διοικητικού Εφετείου. Το Δ.Σ. της Ε.Λ. Τ.Ε. επιβάλλει τις εξής διοικητικές κυρώσεις και διοικητικά μέτρα: α) σύσταση, β) έγγραφη επίπληξη, γ) δημόσια δήλωση που αναφέρει το υπαίτιο πρόσωπο και τη φύση της παράβασης και δημοσιοποιείται στο διαδικτυακό τόπο της Ε.Λ.Τ.Ε., δ) δήλωση ότι η έκθεση ελέγχου δεν πληροί τις απαιτήσεις του άρθρου 32 ή του άρθρου 10 του Κανονισμού 537/2014) ε) χρηματικό πρόστιμο έως πενήντα χιλιάδες (50.000) ευρώ. Σε περίπτωση υποτροπής, το Διοικητικό Συμβούλιο μπορεί να επιβάλλει πρόστιμο ύψους έως εκατό χιλιάδες (100.000) ευρώ, στ) προσωρινή απαγόρευση διενέργειας υποχρεωτικών ελέγχων επί των ατομικών ή ενοποιημένων οικονομικών καταστάσεων των οντοτήτων δημοσίου συμφέροντος, για χρονικό διάστημα από έναν (1) έως δώδεκα (12) μήνες, ζ) προσωρινή αφαίρεση της επαγγελματικής άδειας για χρονικό διάστημα μέχρι τρία (3) έτη, η) οριστική αφαίρεση της επαγγελματικής άδειας και διαγραφή του ορκωτού ελεγκτή λογιστή από το Δημόσιο Μητρώο καθώς και δημοσιοποίηση της απόφασης αυτής στο διαδικτυακό τόπο της Ε.Λ.Τ.Ε..
Για τον προσδιορισμό του είδους και του ύψους των κυρώσεων λαμβάνονται υπόψη, ιδίως:
α) η βαρύτητα και διάρκεια της παράβασης, β) ο βαθμός ευθύνης του υπαίτιου προσώπου, γ) η οικονομική δύναμη του υπαίτιου προσώπου, για παράδειγμα όπως φαίνεται από τον συνολικό κύκλο εργασιών της υπαίτιας επιχείρησης ή το ετήσιο εισόδημα του υπαίτιου προσώπου, εφόσον το εν λόγω πρόσωπο είναι φυσικό πρόσωπο, δ) το ύψος των κερδών που αποκομίσθηκαν ή των ζημιών που αποφεύχθηκαν από το υπαίτιο πρόσωπο, εφόσον μπορούν να προσδιορισθούν, ε) ζημιές τρίτων που προκλήθηκαν από την παράβαση στο βαθμό που μπορεί να προσδιοριστούν, στ) ο βαθμός συνεργασίας του υπαίτιου προσώπου με την Ε.Λ. Τ.Ε., ζ) προηγούμενες παραβάσεις του υπαίτιου προσώπου.
11. Κάθε απόφαση του Δ.Σ. της Ε.Λ.Τ.Ε. με την οποία επιβάλλεται κύρωση μπορεί να δημοσιοποιείται, μετά την εκπνοή της προθεσμίας για την άσκηση προσφυγής κατ' αυτής ή μετά την απόρριψη της προσφυγής που ασκήθηκε εφόσον αυτό επιβάλλεται για την προστασία του δημοσίου συμφέροντος. Η δημοσιοποίηση περιλαμβάνει την ταυτότητα του φυσικού ή νομικού προσώπου σε βάρος του οποίου επιβλήθηκε η κύρωση, το είδος της κύρωσης, καθώς και το είδος της παράβασης που διαπράχθηκε.
Κατ εξαίρεση, οι κυρώσεις δημοσιοποιούνται ανωνύμως, ιδίως: α) αν η κύρωση επιβάλλεται σε φυσικό πρόσωπο, αν η δημοσιοποίηση των δεδομένων προσωπικού χαρακτήρα θεωρείται δυσανάλογη σύμφωνα με την υποχρεωτική προηγούμενη εκτίμηση της αναλογικότητας της εν λόγω δημοσιοποίησης, β) όταν η δημοσιοποίηση είναι ικανή να θέσει σε κίνδυνο τη σταθερότητα των χρηματοπιστωτικών αγορών ή μια διεξαγόμενη ποινική έρευνα, γ) όταν η δημοσιοποίηση είναι ικανή να προκαλέσει δυσανάλογα μεγάλη ζημία στα νομικά ή φυσικά πρόσωπα σε βάρος των οποίων επιβλήθηκε η προς δημοσιοποίηση κύρωση.
Κάθε δημοσιοποίηση των κυρώσεων πραγματοποιείται, αμελλητί και παραμένει στον επίσημο διαδικτυακό τόπο της Ε.Λ.Τ. Ε. για περίοδο πέντε (5) ετών. Η δημοσιοποίηση των κυρώσεων και μέτρων δεν πρέπει να παραβιάζει τα θεμελιώδη δικαιώματα που αναφέρονται στον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, ιδίως το δικαίωμα του σεβασμού της ιδιωτικής και οικογενειακής ζωής και το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο αυτό, είναι δυνατόν να αποφασίζεται σε ειδικές περιπτώσεις από το Διοικητικό Συμβούλιο της Ε.Λ.Τ.Ε. ότι η δημοσιοποίηση ακόμα και σοβαρών πειθαρχικών παραπτωμάτων και ποινών δεν πρέπει να περιέχει δεδομένα προσωπικού χαρακτήρα.

4. Στον Κανονισμό (EE) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), και ειδικότερα στα άρθρα 4 (με στοιχ. 1-2,7,12 και 21), 6 (παρ. 1,3), 35, 36 (παρ.1), 51 (παρ.1), 55 (παρ. 1-2), 82 (παρ. 1-2), 86 και 94 ορίζεται ότι:
Άρθρο 4
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)' το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης,     
2) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση,......., η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης,
7) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
8) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας,
12) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία, 21) «εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρθρο 51,
Άρθρο 5
Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα
1. Τα δεδομένα προσωπικού χαρακτήρα: 
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς' η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»),
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας («ακρίβεια»),
ε) διατηρούνται υπό μορφή που επιτρέπει την ταυτοποίηση των υποκειμένων των δεδομένων μόνο για το διάστημα που απαιτείται για τους σκοπούς της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα' τα δεδομένα προσωπικού χαρακτήρα μπορούν να αποθηκεύονται για μεγαλύτερα διαστήματα, εφόσον τα δεδομένα προσωπικού χαρακτήρα θα υποβάλλονται σε επεξεργασία μόνο για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς, σύμφωνα με το άρθρο 89 παράγραφος 1 και εφόσον εφαρμόζονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα που απαιτεί ο παρών κανονισμός για τη διασφάλιση των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων («περιορισμός της περιόδου αποθήκευσης»),
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων Την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»).
Άρθρο 6
Νομιμότητα της επεξεργασίας
1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:    
......................
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.
Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.
3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:
α) το δίκαιο της Ένωσης, ή
β) το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας. Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος
κανονισμού,.......Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.
Άρθρο 35 (παρ. 1-2)
Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων
1. Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα     
2. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
Άρθρο 36
Προηγούμενη διαβούλευση
1. Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη της εποπτικής αρχής πριν από την επεξεργασία, όταν η δυνάμει του άρθρου 35 εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων υποδεικνύει ότι η επεξεργασία θα προκαλούσε υψηλό κίνδυνο ελλείψει μέτρων μετριασμού του κινδύνου από τον υπεύθυνο επεξεργασίας.
Άρθρο 37
Ορισμός του υπευθύνου προστασίας δεδομένων
1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:
α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια    
5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.
6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.
Άρθρο 51
Εποπτική αρχή
1. Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση («εποπτική αρχή»). Άρθρο 94
Κατάργηση της οδηγίας 95/46/ΕΚ
1. Η οδηγία 95/46/ΕΚ καταργείται από τις 25 Μαΐου 2018.
2. Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό    
Άρθρο 99
Έναρξη ισχύος και εφαρμογή
1. Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
2. Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Ερμηνεία και εφαρμογή διατάξεων

Από τις προαναφερόμενες διατάξεις, ερμηνευόμενες αυτοτελώς, αλλά και σε συνδυασμό μεταξύ τους, ενόψει και όλου του νομικού πλαισίου εντός του οποίου εντάσσονται, του σκοπού που εξυπηρετούν και την υπαγωγή σ' αυτές των πραγματικών περιστατικών που τέθηκαν υπόψη του Τμήματος από την ερωτώσα υπηρεσία, συνάγονται τα ακόλουθα:

5. Ο Κανονισμός 679/2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (ΓΚΠΔ), με τον οποίο δημιουργείται ένα πιο αυστηρό θεσμικό πλαίσιο για την επεξεργασία και προστασία των προσωπικών δεδομένων, έχει άμεση εφαρμογή από τις 25 Μαΐου 2018 σε όλα τα Κράτη-Μέλη της EE, σε αντικατάσταση της Οδηγίας 95/46, η οποία ενσωματώθηκε στη χώρα με το ν. 2472/1997 και, κατά συνέπεια, και των αντιθέτως ή διαφορετικώς οριζουσών διατάξεων αυτού.
Με τον ισχύοντα πλέον Κανονισμό κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας που τα αφορούν και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση (η κατ' άρθρο 51 παρ. 1 «εποπτική αρχή»).
Κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της (κατ' άρθρο 55 παρ.1), ενώ κάθε φορέας, είτε ως υπεύθυνος επεξεργασίας είτε ως εκτελών την επεξεργασία, οφείλει να συμμορφωθεί πλήρως προς το σύνολο των υποχρεώσεων, που απορρέουν από τις διατάξεις του κανονισμού, προκειμένου να εξασφαλιστεί ο σεβασμός του ατόμου-υποκειμένου δεδομένων προσωπικού χαρακτήρα, να έχει δε τη δυνατότητα σε περίπτωση ελέγχου να αποδεικνύει ότι οι ενέργειές του ως προς την επεξεργασία κλπ είναι απόλυτα σύμφωνες με τις διατάξεις του Κανονισμού.
 
6. Ως επεξεργασία, κατά τον κανονισμό, νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η κοινολόγηση με διαβίβαση, η διάδοση κλπ.
Μεταξύ των περιπτώσεων (προϋποθέσεων), κατά τις οποίες η επεξεργασία επιτρέπεται, είναι η γενόμενη προκειμένου ο υπεύθυνος επεξεργασίας να συμμορφωθεί με υποχρέωσή του που απορρέει από το νόμο, ή να εκπληρώσει καθήκον του που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του ανατέθηκε.
Εφόσον, όμως, διαπιστωθεί ότι από τη διενέργεια επεξεργασιών ενδέχεται να προκύψει υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τα οριζόμενα στο άρθρο 35.
Εισάγεται δηλαδή η υποχρέωση του υπεύθυνου επεξεργασίας προς διενέργεια (της λεγόμενης) εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων σε συγκεκριμένες κατηγορίες επεξεργασιών. Δηλαδή, ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να διενεργήσει κατά τα ανωτέρω πριν από κάθε φορά που ένα είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων (ιδίως με τη χρήση νέων τεχνολογιών) και να συνεκτιμά τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας αυτής (άρθρο 35 παρ.1).
Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων, δύναται δε να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία αυτή η εκτίμηση δεν απαιτείται (άρθρο 35 παρ. 4-5).
Σε όλες τις περιπτώσεις το βάρος αποδείξεως ως προς την τήρηση των αρχών κλπ του Κανονισμού φέρουν οι υπεύθυνοι επεξεργασίας κλπ και όχι πλέον η Αρχή Προστασίας Προσωπικών Δεδομένων που τους ελέγχει (άρθρο 5 παρ.2), ο δε ορισμός υπευθύνου προστασίας των προσωπικών δεδομένων είναι υποχρεωτικός, μεταξύ άλλων, στις περιπτώσεις κατά τις οποίες η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα (εκτός από δικαστήρια).

7. Περαιτέρω, τα δικαιώματα του υποκειμένου της επεξεργασίας επιτρέπεται βάσει διατάξεων του ενωσιακού ή εθνικού δικαίου να περιοριστούν στις περιπτώσεις κατά τις οποίες, χωρίς να θίγεται ο πυρήνας των θεμελιωδών δικαιωμάτων και ελευθεριών του, ο περιορισμός αυτός είναι όχι μόνο αναγκαίος αλλά και αναλογικός, προκειμένου να διασφαλιστεί άλλος σημαντικός στόχος γενικού δημόσιου συμφέροντος της Ένωσης ή κράτους-μέλους, ιδίως σημαντικού οικονομικού ή χρηματοοικονομικού συμφέροντος, συμπεριλαμβανομένων των νομισματικών, δημοσιονομικών και φορολογικών θεμάτων (άρθρο 23).
Συναφώς, η διάταξη του άρθρου 86 (του Καν.) επιτρέπει, προκειμένου να εκπληρωθεί καθήκον προς όφελος του δημοσίου συμφέροντος, την πρόσβαση του κοινού σε επίσημα έγγραφα δημόσιας αρχής ή ιδιωτικού φορέα με την κοινοποίηση δεδομένων που αναφέρονται σ' αυτά.
Σε περίπτωση που παραβιαστούν δικαιώματα προστασίας προσωπικών δεδομένων όποιος υποστεί (λόγω της παραβιάσεως αυτής) ζημία δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία (άρθρο 82 Καν.).

8. Από το Σύνταγμα, το οποίο στο άρθρο 9Α αναφέρεται στην προστασία των προσωπικών δεδομένων, δεν προκύπτει in abstracto επικράτηση του ενός ατομικού δικαιώματος επί του άλλου. Ως εκ τούτου, πρέπει να γίνεται μία in concreto οριοθέτηση των πεδίων εφαρμογής των συγκρουόμενων δικαιωμάτων, σύμφωνα με τις αρχές της ad hoc σταθμίσεως των αντιτιθέμενων συμφερόντων και της πρακτικής αρμονίας. Ταυτόχρονα, θα πρέπει να εφαρμόζεται και η αρχή της αναλογικότητας (άρθρο 25 παρ. 1 Συντ.) με τέτοιον τρόπο, ώστε τα προστατευόμενα αγαθά να διατηρήσουν την κανονιστική τους εμβέλεια.

9. Υπό το κράτος ισχύος του ν. 2472/1997 έχει γίνει δεκτό ότι η δημοσίευση δεδομένων στο διαδίκτυο συνιστά επεξεργασία υπό την έννοια του άρθρου 2 στοιχ. δ' του νόμου και, μάλιστα, εν όλω ή εν μέρει αυτοματοποιημένη κατά την έννοια του άρθρου 3 παρ. 1 του ίδιου νόμου. Και αυτό, διότι, όπως έχει κρίνει και το ΔΕΚ, «η αναγραφή στοιχείων σε ιστοσελίδα του διαδικτύου προϋποθέτει, σύμφωνα με τις εφαρμοζόμενες σήμερα τεχνικές και μηχανογραφικές διαδικασίες, την εκτέλεση μιας εργασίας τοποθετήσεως της σελίδας αυτής σε ένα διακομιστή του διαδικτύου (server), καθώς και τις αναγκαίες εργασίες για να μπορούν να έχουν πρόσβαση στη σελίδα αυτή τα πρόσωπα που συνδέονται με το διαδίκτυο. Οι εργασίες αυτές πραγματοποιούνται, τουλάχιστον εν μέρει, κατά τρόπο αυτοματοποιημένο». Συνεπώς, καταλήγει το ΔΕΚ, «η εργασία, που συνίσταται στην αναφορά, επί ιστοσελίδας του διαδικτύου, σε διάφορα πρόσωπα και στον προσδιορισμό τους είτε με το όνομά τους είτε με άλλα μέσα συνιστά αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 3 παρ. 1 της Οδηγίας 95/46» Περαιτέρω, στο άρθρο 4 του νόμου τίθενται οι γενικές προϋποθέσεις για τη νομιμότητα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, μεταξύ των οποίων είναι η αρχή του σκοπού και της αναλογικότητας. Ειδικότερα, η επεξεργασία προσωπικών δεδομένων επιτρέπεται, και χωρίς τη συγκατάθεση, κατά το άρθρο 5 παρ. 2 ε' (του ν. 2472/1997), δηλαδή όταν συντρέχει υπέρτερο έννομο συμφέρον του υπευθύνου της επεξεργασίας ή τρίτου. Ως τέτοιο έννομο συμφέρον νοείται και το δικαίωμα της πληροφορήσεως (άρθρα 14 παρ.1-2 και 5Α Συντ.), τόσο του πληροφορείν όσο και του πληροφορείσθαι (Επιτροπή Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 7/2017, με τις εκεί παραπομπές)
Επίσης, και στον ν. 2472/1997 (άρ. 4 παρ.1) προβλέπονται οι θεμελιώδεις αρχές, που πρέπει να τηρούνται σε κάθε επεξεργασία προσωπικών δεδομένων. Ειδικότερα, προβλέπεται η τήρηση της αρχής του σκοπού και της αναλογικότητας, υπό την έννοια ότι κάθε επεξεργασία λαμβάνει χώρα για έναν σκοπό, ο οποίος είναι καθορισμένος, σαφής και νόμιμος και παράλληλα τα δεδομένα, που τυγχάνουν επεξεργασίας, είναι συναφή, πρόσφορα και όχι περισσότερα από όσα απαιτούνται ενόψει του συγκεκριμένου σκοπού της επεξεργασίας. Περαιτέρω, η επεξεργασία των «απλών» προσωπικών δεδομένων διέπεται από τη διάταξη του άρθρου (5 παρ.1) του νόμου, σύμφωνα με την οποία η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεση του, εκτός εάν συντρέχει κάποια από τις εξαιρετικές βάσεις (παρ.2) νομιμότητας της επεξεργασίας του ίδιου άρθρου (Επιτροπή Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα 13/2011). Συναφώς έχει κριθεί, ότι όταν ο υπεύθυνος επεξεργασίας επιδιώκει την ικανοποίηση εννόμου συμφέροντος, που αφενός υπερέχει προφανώς των δικαιωμάτων και συμφερόντων των προσώπων, στα οποία αναφέρονται τα δεδομένα και δεν θίγονται οι θεμελιώδεις ελευθερίες αυτών και αφετέρου η επεξεργασία είναι αναγκαία προς τούτο, τότε αυτή κατ' εξαίρεση επιτρέπεται (ΑΠ 252/2018).
 
10. Η Ε.Λ.Τ.Ε. (νπδδ) λειτουργεί αποκλειστικά χάριν του δημόσιου συμφέροντος με σκοπό την ενίσχυση της διαφάνειας λειτουργίας των επιχειρήσεων με την εφαρμογή λογιστικής τυποποίησης και τη διασφάλιση της ποιότητας των λογιστικών ελέγχων και, κατά συνέπεια, οφείλει να προβεί σε όλες τις νόμιμες ενέργειες για τον ορισμό των υπευθύνων για την προστασία των προσωπικών δεδομένων, που σχετίζονται με τις δραστηριότητές της, δηλαδή τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τον υπεύθυνο προστασίας (ΝΣΚ 7/2019).
Στην προκειμένη περίπτωση, επιβλήθηκε πειθαρχική ποινή σε ορκωτό ελεγκτή λογιστή από το αρμόδιο όργανο της ΕΛΤΕ λόγω παραβάσεως διατάξεων σχετιζομένων με τον υποχρεωτικό έλεγχο των ετήσιων και ενοποιημένων χρηματοοικονομικών καταστάσεων που διενήργησε αυτός.
Η απόφαση για την ανάρτηση στο διαδίκτυο και σε συγκεκριμένη ιστοσελίδα της πειθαρχικής αποφάσεως επαφίεται στην διακριτική ευχέρεια της ΕΛΤΕ. Όταν αποφασίζεται η ανάρτηση πειθαρχικής αποφάσεως (συμπεριλαμβανομένου του ονόματος του τιμωρηθέντος), αυτή επιτρέπεται να αναρτηθεί, εφόσον συντρέχουν λόγοι υπέρτερου εννόμου συμφέροντος του δικαιώματος του υποκειμένου προστασίας των προσωπικών του δεδομένων λαμβανομένης υπόψη και της αρχής της αναλογικότητας. Ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τους λόγους αυτούς ενώπιον της εποπτικής αρχής σε μεταγενέστερο έλεγχο. Ειδικότερα, πρέπει να λαμβάνεται υπόψη το είδος της παράβασης και η επήρειά της στα χρηματοοικονομικά αποτελέσματα του ελέγχου, ο σκοπός που επιδιώκεται και η ανάγκη να ενημερωθεί όποιος δραστηριοποιείται στον οικείο χρηματοοικονομικό χώρο. Η πειθαρχική ποινή που επιβάλλεται δίνει ένα μέτρο της βαρύτητας της παραβάσεως και της προθέσεως του τιμωρηθέντος, το οποίο επίσης πρέπει να σταθμιστεί προκειμένου να αποφασιστεί η ανάρτηση-κοινοποίηση της πειθαρχικής αποφάσεως, και εάν η μη ανάρτηση συνιστά (λαμβανομένων υπόψη των προαναφερθέντων) παράβαση καθήκοντος από τον υπεύθυνο προς τούτο. Ενδεικτικώς αναφέρεται, ότι το άρθρο 10 του κανονισμού ορίζει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα, που αφορούν ποινικές καταδίκες και αδικήματα, διενεργείται, μεταξύ άλλων, εάν η επεξεργασία επιτρέπεται από το δίκαιο κράτους μέλους, το οποίο προβλέπει επαρκείς εγγυήσεις για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
Επομένως, βάσει των διατάξεων του ισχύοντος Κανονισμού και με δεδομένο ότι το αρμόδιο όργανο της ΕΛΤΕ αποφάσισε, κατά την άσκηση της διακριτικής του ευχέρειας, να γίνει η αναφορά του ονόματος του πειθαρχικά τιμωρηθέντος ΟΕΛ κατά την ανάρτηση της πειθαρχικής του αποφάσεως σε συγκεκριμένη ιστοσελίδα του διαδικτύου, αυτή συνιστά επεξεργασία κατά την έννοια του νόμου και επιτρέπεται, εφόσον με γνώμονα την αρχή της αναλογικότητας δικαιολογείται από τη βαρύτητα της παραβάσεως που διέπραξε, τις συνέπειες, τις οποίες αυτή συνεπάγεται (λχ στην εθνική οικονομία, στους δραστηριοποιούμενους στον χρηματοοικονομικό κύκλο, κλπ), και τελικά εξυπηρετείται υπέρτερο έννομο συμφέρον έναντι των προσωπικών δεδομένων του υποκειμένου της επεξεργασίας. Η απόφαση αυτή λαμβάνεται από τον υπεύθυνο της επεξεργασίας, με την καθοδήγηση του υπευθύνου προστασίας δεδομένων, αφού προηγουμένως σταθμίσει τα ανωτέρω, εκτιμήσει δηλαδή τις επιπτώσεις, σε περίπτωση δε αμφιβολίας έχει την δυνατότητα κατ' άρθρο 36 του Κανονισμού να απευθυνθεί στην εποπτική αρχή και να ζητήσει τη γνώμη της, εφόσον ο αντίκτυπος της επεξεργασίας θα προκαλούσε υψηλό κίνδυνο.

Απάντηση

11. Σύμφωνα με τα προεκτεθέντα, στο ερώτημα που υποβλήθηκε, το Νομικό Συμβούλιο του Κράτους (Τμήμα Β') γνωμοδοτεί, ομόφωνα, ως εξής: Η ΕΛΤΕ δύναται να δημοσιοποιήσει τις πειθαρχικές κυρώσεις και τα ονόματα των πειθαρχικώς τιμωρηθέντων Ορκωτών Ελεγκτών Λογιστών, μόνον εφόσον κριθεί από τους αποκλειστικώς αρμόδιους προς τούτο (υπεύθυνο προστασίας του συγκεκριμένου φορέα κλπ, οι οποίοι έχουν τη δυνατότητα να ζητήσουν προηγουμένως και την άποψη της εποπτικής αρχής), ότι συντρέχουν λόγοι υπέρτερου εννόμου συμφέροντος για τη δημοσίευση αυτή σε σχέση με το δικαίωμα καθενός εκ των ανωτέρω ΟΕΛ, ως υποκειμένου προστασίας των προσωπικών του δεδομένων.

ΘΕΩΡΗΘΗΚΕ

Αθήνα, 12-3-2019

Ο Πρόεδρος
Στέφανος Δέτσης
Αντιπρόεδρος ΝΣΚ
 
Η εισηγήτρια
Αδαμαντία Καπετανάκη
Νομικός Σύμβουλος του ΚράτουςΠηγή: Taxheaven