Το νώτατο Δικαστήριο θέτει ένα σημαντικό προηγούμενο σχετικά με το πότε αρχίζουν να εφαρμόζονται οι κανονισμοί προστασίας δεδομένων σε αιτήματα πληροφοριών που απευθύνονται σε φυσικά πρόσωπα από εταιρείες ή δημόσιες υπηρεσίες. Η απόφαση ξεκαθαρίζει ότι η υποχρέωση συμμόρφωσης με τον GDPR ξεκινά από τη στιγμή που ζητούνται τα δεδομένα, ακόμη κι αν αυτά τελικά δεν παραδοθούν ποτέ.
Η υπόθεση που οδήγησε στην απόφαση
Η υπόθεση αφορά έναν εργαζόμενο σε σωφρονιστικό ίδρυμα, ο οποίος είχε ζητήσει αρκετές ολιγοήμερες άδειες. Η υπηρεσία του απαίτησε να προσκομίσει ιατρικές βεβαιώσεις για την ασθένειά του, που να περιλαμβάνουν πληροφορίες για τη διάγνωση και τη θεραπεία.
Ο υπάλληλος αρνήθηκε να καταθέσει τα συγκεκριμένα στοιχεία και προχώρησε σε καταγγελία προς την Αρχή Προστασίας Δεδομένων.
Ανατροπή της κρίσης του Εθνικού Δικαστηρίου
Μετά την καταγγελία, η Αρχή άνοιξε φάκελο για τις Σωφρονιστικές Υπηρεσίες, που υπάγονται στο Υπουργείο Εσωτερικών, και διαπίστωσε παραβίαση του κανονισμού προστασίας δεδομένων. Ωστόσο, το Εθνικό Δικαστήριο είχε αρχικά δικαιώσει τη Νομική Υπηρεσία του Κράτους, θεωρώντας ότι αφού δεν υπήρξε τελικά συλλογή δεδομένων, δεν υπήρξε επεξεργασία και άρα δεν εφαρμόζεται ο GDPR.
Το Ανώτατο Δικαστήριο ανέτρεψε αυτή τη λογική, αποδεχόμενο την αίτηση αναίρεσης και επισημαίνοντας ότι η απλή αίτηση προσωπικών δεδομένων, όταν γίνεται στο πλαίσιο οργανωμένης διαδικασίας επεξεργασίας, συνιστά ήδη επεξεργασία δεδομένων. Από εκείνη τη στιγμή, υπογραμμίζεται, πρέπει να τηρούνται όλες οι αρχές του ευρωπαϊκού κανονισμού.
Το όριο βρίσκεται στην αναγκαιότητα των δεδομένων
Το Δικαστήριο εστιάζει στην αρχή της ελαχιστοποίησης των δεδομένων, όπως προβλέπεται στο άρθρο 5 παράγραφος 1 στοιχείο γ του GDPR. Η αρχή αυτή απαιτεί τα δεδομένα που ζητούνται να είναι κατάλληλα, συναφή και περιορισμένα μόνο σε όσα είναι απολύτως αναγκαία για τον σκοπό που επιδιώκεται.
Στη συγκεκριμένη περίπτωση, το Δικαστήριο έκρινε ότι η διοίκηση υπερέβη το αναγκαίο μέτρο, ζητώντας στοιχεία για τη διάγνωση και τη θεραπεία, ενώ είχαν ήδη προσκομιστεί επαρκείς ιατρικές βεβαιώσεις που αποδείκνυαν την απουσία του εργαζομένου.
Για τους δικαστές, η απαίτηση αυτών των πληροφοριών σήμαινε πρόσβαση σε ιδιαίτερα ευαίσθητα δεδομένα χωρίς επαρκή και αναλογική αιτιολόγηση.
Η απόφαση διευκρινίζει ότι ο έλεγχος της απουσιολογίας και η καταπολέμηση της απάτης αποτελούν θεμιτούς στόχους. Παράλληλα, αναγνωρίζει ότι αυτοί οι στόχοι μπορούν να δικαιολογήσουν αιτήματα για δεδομένα υγείας, μόνο όμως εφόσον αποδεικνύεται ότι είναι κατάλληλα και απολύτως αναγκαία για τον συγκεκριμένο σκοπό.
Επιπτώσεις για επιχειρήσεις και δημόσιες υπηρεσίες
Στην ανάλυσή του, το Ανώτατο Δικαστήριο τονίζει ότι σε περιπτώσεις ολιγοήμερων απουσιών λόγω ασθένειας, δεν είναι απαραίτητο για τον εργοδότη να γνωρίζει τη διάγνωση ή τη θεραπεία. Μάλιστα, επισημαίνει ότι τέτοια πρόσβαση δεν είναι ούτε κατάλληλη, ούτε συναφής, ούτε αναλογική σε αυτές τις περιπτώσεις.
Η γενική αρχή που προκύπτει από την απόφαση είναι ξεκάθαρη: ο υπεύθυνος επεξεργασίας υποχρεούται να συμμορφώνεται με τον GDPR από τη στιγμή που ζητά προσωπικά δεδομένα, ανεξάρτητα από το αν αυτά τελικά θα παρασχεθούν ή θα συλλεχθούν.
Μια απόφαση με ευρύτερη σημασία
Η εμβέλεια της απόφασης ξεπερνά τη συγκεκριμένη υπόθεση και επηρεάζει τόσο τις επιχειρήσεις όσο και τη δημόσια διοίκηση. Όλοι οι οργανισμοί καλούνται πλέον να επανεξετάσουν τον τρόπο με τον οποίο διατυπώνουν αιτήματα πληροφοριών, είτε πρόκειται για διαδικασίες ανθρώπινου δυναμικού, είτε για φόρμες, είτε για διαδικασίες απόκτησης πελατών.
Η απόφαση, που δημοσιοποιήθηκε στις 29 Απριλίου 2026, ενισχύει ένα σαφές μήνυμα: η προστασία των προσωπικών δεδομένων δεν ξεκινά όταν η πληροφορία αποθηκεύεται, αλλά από τη στιγμή που ζητείται.
Πληροφορίες από ADP
