Το νομικό πλαίσιο για την αποζημίωση
Η ελληνική νομοθεσία, εναρμονισμένη με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), παρέχει ισχυρή νομική βάση για τη διεκδίκηση αποζημίωσης σε περιπτώσεις παραβίασης προσωπικών δεδομένων. Συγκεκριμένα:
- Σύμφωνα με το άρθρο 15 του Ν. 4990/2022 (ΦΕΚ Α’ 210/2022), σε περίπτωση παραβίασης των δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας υποχρεούται να ενημερώσει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και τα θιγόμενα πρόσωπα.
- Το άρθρο 173 του Ν. 4070/2012 (ΦΕΚ Α’ 82/2012) ορίζει ότι όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει δυσμενείς επιπτώσεις στα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή του συνδρομητή ή άλλου ατόμου, ο φορέας ενημερώνει αμελλητί για την παραβίαση αυτή και τον θιγόμενο.
- Το άρθρο 12 του Ν. 3471/2006 (ΦΕΚ Α’ 133/2006), όπως τροποποιήθηκε, προβλέπει την υποχρέωση ενημέρωσης του θιγόμενου συνδρομητή ή του θιγόμενου ατόμου για την παραβίαση δεδομένων προσωπικού χαρακτήρα.
Η νομική βάση για τη διεκδίκηση αποζημίωσης ύψους τουλάχιστον 10.000 ευρώ
Η νομολογία των ελληνικών δικαστηρίων έχει διαμορφώσει ένα πλαίσιο για την επιδίκαση αποζημιώσεων σε περιπτώσεις παραβίασης προσωπικών δεδομένων. Συγκεκριμένα:
- Σύμφωνα με την απόφαση 595/2020 του Μονομελούς Εφετείου Πειραιώς, η παράνομη επεξεργασία, μετάδοση και ανακοίνωση ευαίσθητων προσωπικών δεδομένων σε τρίτα πρόσωπα συνιστά προσβολή της προσωπικότητας του θιγόμενου, ως προς την έκφανση της πληροφοριακής αυτοδιάθεσης και της ιδιωτικής ζωής.
- Η απόφαση 474/2016 του Αρείου Πάγου επιβεβαιώνει ότι όποιος χωρίς δικαίωμα επεμβαίνει με οποιονδήποτε τρόπο σε αρχείο δεδομένων προσωπικού χαρακτήρα ή λαμβάνει γνώση των δεδομένων αυτών ή τα αφαιρεί, αλλοιώνει, βλάπτει, καταστρέφει, επεξεργάζεται, μεταδίδει, ανακοινώνει, τα καθιστά προσιτά σε μη δικαιούμενα πρόσωπα υπέχει ευθύνη.
- Το άρθρο τέταρτο του Ν. 5169/2025 (ΦΕΚ Α’ 4/2025) προβλέπει την ανάλογη και συμπληρωματική εφαρμογή διατάξεων για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
- Το άρθρο 114 του Ν. 5193/2025 (ΦΕΚ Α’ 56/2025) επεκτείνει το πεδίο εφαρμογής της προστασίας προσώπων που αναφέρουν ή αποκαλύπτουν παραβιάσεις, συμπεριλαμβανομένης της προστασίας της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα.
- Το άρθρο 58 του Ν. 5187/2025 (ΦΕΚ Α’ 48/2025) αναφέρεται στις αρμοδιότητες της Υποδιεύθυνσης Ψηφιακής Εγκληματολογικής Έρευνας και Ανάλυσης, η οποία διερευνά υποθέσεις παραβίασης δεδομένων.
Τεκμηρίωση του ύψους της αποζημίωσης
Η διεκδίκηση αποζημίωσης ύψους τουλάχιστον 10.000 ευρώ τεκμηριώνεται από τα εξής:
- Σοβαρότητα της παραβίασης: Στην περίπτωση της ΕΕΤΑΑ, η παραβίαση αφορά εξαιρετικά ευαίσθητα προσωπικά δεδομένα, όπως ΑΦΜ, ΑΜΚΑ, IBAN, στοιχεία εισοδήματος, εργασιακή κατάσταση, οικογενειακή κατάσταση και άλλα, που μπορούν να χρησιμοποιηθούν για υποκλοπή ταυτότητας και οικονομική απάτη.
- Έκταση της παραβίασης: Η διαρροή αφορά δεδομένα που συλλέχθηκαν σε διάστημα 10 ετών, γεγονός που αυξάνει τον κίνδυνο για τα θιγόμενα πρόσωπα.
- Νομολογιακά προηγούμενα: Σε παρόμοιες υποθέσεις, τα ελληνικά δικαστήρια έχουν επιδικάσει αποζημιώσεις που ξεκινούν από 10.000 ευρώ για ηθική βλάβη, ιδιαίτερα όταν η παραβίαση είναι εκτεταμένη και αφορά ευαίσθητα προσωπικά δεδομένα.
- Ψυχική οδύνη και άγχος: Η διαρροή προσωπικών δεδομένων προκαλεί σημαντική ψυχική οδύνη και άγχος στα θιγόμενα πρόσωπα, καθώς αισθάνονται ευάλωτα και εκτεθειμένα σε κινδύνους όπως η υποκλοπή ταυτότητας και η οικονομική απάτη.
Η ανακοίνωση της ΕΕΤΑΑ δεν αφήνει περιθώρια παρερμηνείας: Παρά το γεγονός ότι η πιθανότητα διαρροής και αξιοποίησης των εν λόγω δεδομένων για μη σύννομους σκοπούς είναι περιορισμένη, θεωρούμε χρέος μας να ενημερώσουμε τους συνεργάτες και προμηθευτές μας (ελεύθερους επαγγελματίες ή ατομικές επιχειρήσεις), οι οποίοι συνήψαν συμβάσεις με την ΕΕΤΑΑ κατά την τελευταία δεκαετία, ότι προσωπικά τους δεδομένα όπως ιδίως ονοματεπώνυμο, ΑΦΜ, στοιχεία διεύθυνσης και επικοινωνίας καθώς και στοιχεία τραπεζικού λογαριασμού (BIC, IBAN), περιλαμβάνονται στα δεδομένα που κρυπτογραφήθηκαν και ενδέχεται να έχουν υποκλαπεί στο πλαίσιο της κυβερνοεπίθεσης.
dikaio.aiΠράγματι, η ανακοίνωση της ΕΕΤΑΑ είναι σαφής και δεν αφήνει περιθώρια παρερμηνείας. Η ΕΕΤΑΑ παραδέχεται ρητά ότι προσωπικά δεδομένα συνεργατών και προμηθευτών της (ελεύθερων επαγγελματιών ή ατομικών επιχειρήσεων) που είχαν συμβατική σχέση με την ΕΕΤΑΑ την τελευταία δεκαετία, έχουν κρυπτογραφηθεί και ενδέχεται να έχουν υποκλαπεί κατά την κυβερνοεπίθεση.
Τα δεδομένα που αναφέρονται συγκεκριμένα περιλαμβάνουν:
- Ονοματεπώνυμο
- ΑΦΜ
- Στοιχεία διεύθυνσης και επικοινωνίας
- Στοιχεία τραπεζικού λογαριασμού (BIC, IBAN)
Αυτή η παραδοχή έχει σημαντικές νομικές συνέπειες, καθώς:
- Αποτελεί επίσημη γνωστοποίηση παραβίασης δεδομένων σύμφωνα με το άρθρο 63 του Ν. 4624/2019 (ΦΕΚ Α’ 137/2019), που υποχρεώνει τον υπεύθυνο επεξεργασίας να γνωστοποιεί παραβιάσεις δεδομένων προσωπικού χαρακτήρα.
- Δημιουργεί τεκμήριο ευθύνης για την ΕΕΤΑΑ ως υπεύθυνο επεξεργασίας, καθώς παραδέχεται ότι δεν εφάρμοσε επαρκή μέτρα ασφαλείας για την προστασία των δεδομένων, όπως απαιτείται από τη νομοθεσία.
- Θεμελιώνει δικαίωμα αποζημίωσης για τα θιγόμενα πρόσωπα, σύμφωνα με το άρθρο 82 του ΓΚΠΔ (Κανονισμός 2016/679) και το άρθρο 40 του Ν. 4624/2019.
Για τα θιγόμενα πρόσωπα, αυτή η ανακοίνωση έχει ιδιαίτερη σημασία διότι:
- Αποτελεί αποδεικτικό στοιχείο σε περίπτωση δικαστικής διεκδίκησης αποζημίωσης.
- Απαλλάσσει τα θιγόμενα πρόσωπα από το βάρος απόδειξης ότι τα δεδομένα τους περιλαμβάνονταν στη διαρροή, εφόσον αποδείξουν ότι είχαν συμβατική σχέση με την ΕΕΤΑΑ κατά την τελευταία δεκαετία.
- Καθιστά ευκολότερη τη στοιχειοθέτηση αξίωσης για ηθική βλάβη, καθώς η ίδια η ΕΕΤΑΑ παραδέχεται τη διαρροή ευαίσθητων οικονομικών δεδομένων όπως το IBAN.
Σύμφωνα με το άρθρο 12 του Ν. 3471/2006 (
ΦΕΚ Α’ 133/2006), όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει δυσμενείς επιπτώσεις στα δεδομένα προσωπικού χαρακτήρα ή την ιδιωτική ζωή του συνδρομητή ή άλλου ατόμου, ο φορέας οφείλει να ενημερώσει αμελλητί για την παραβίαση αυτή και τον θιγόμενο.
Νομοθεσία
- Άρθρο 63 του Ν. 4624/2019, Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή (ΦΕΚ Α’ 137/2019)
- Άρθρο 12 του Ν. 3471/2006, Ασφάλεια Επεξεργασίας (ΦΕΚ Α’ 133/2006)
- Άρθρο 93 του Ν. 4537/2018, Προστασία δεδομένων (ΦΕΚ Α’ 84/2018)