Μία πολύ ενδιαφέρουσα απόφαση για την ενάσκηση των δικαιώματα των φυσικών προσώπων όσον αφορά τα προσωπικά τους δεδομένα, εξέδωσε το Ανώτατο Δικαστήριο του Βελγίου. Με την απόφαση αυτή έκρινε πως ένα υποκείμενο δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στην αρμόδια Εποπτική Αρχή Προστασίας Δεδομένων για κάποια πρακτική επεξεργασίας προσωπικών δεδομένων που παραβιάζει τις διατάξεις του GDPR, ακόμα κι εάν τα προσωπικά δεδομένα του δεν επεξεργάστηκαν ποτέ.
Στην υπό εξέταση υπόθεση, μία Εταιρεία ζήτησε από τους πελάτες της να παρέχουν την ταυτότητά τους (“identity card”) ηλεκτρονικά προκειμένου αυτή να «διαβαστεί» από το λογισμικό της Εταιρείας, με σκοπό οι πελάτες της να αποκτήσουν μια κάρτα επιβράβευσης και να επωφεληθούν από εκπτώσεις στις αγορές τους. Σημειώνεται δε πως δεν παρεχόταν στους πελάτες η δυνατότητα να παρέχουν τα προσωπικά τους δεδομένα με εναλλακτικά μέσα, για παράδειγμα παρέχοντας μόνο τα απολύτως απαραίτητα δεδομένα τους σε έντυπη μορφή ή μέσω email.
Έτσι, ένας πελάτης της Εταιρείας υπέβαλε καταγγελία για την πρακτική αυτή της τελευταίας στην Βελγική Αρχή Προστασίας Δεδομένων (Belgian Data Protection Authority). Ο πελάτης είχε αρνηθεί να παράσχει στην Εταιρεία την ταυτότητά του, ενώ επίσης αρνήθηκε να συγκατατεθεί στην εν λόγω επεξεργασία δεδομένων. Ως εκ τούτου, δεν μπόρεσε να εκδώσει την κάρτα επιβράβευσης.
Κατά την εξέταση της καταγγελίας, η Βελγική Αρχή διαπίστωσε ότι η πρακτική αυτή πράγματι παραβίαζε την αρχή της ελαχιστοποίησης των δεδομένων του άρθρου 5 του GDPR, σύμφωνα με την οποία οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να περιορίζεται σε ό,τι είναι απαραίτητο για την επίτευξη των σχετικών σκοπών. Ωστόσο, παλαιότερα, το δευτεροβάθμιο Δικαστήριο του Βελγίου είχε αποφανθεί ότι δεν θα μπορούσε να αποδειχθεί παραβίαση προσωπικών δεδομένων, με το σκεπτικό ότι ο πελάτης δεν είχε προσκομίσει καν τα προσωπικά του δεδομένων, εδώ την ταυτότητά του, και ως εκ τούτου δεν είχε πραγματοποιηθεί επεξεργασία των προσωπικών του δεδομένων.
Το Ανώτατο Δικαστήριο του Βελγίου ωστόσο δεν ακολούθησε την αιτιολόγηση του δευτεροβάθμιου. Αντιθέτως, τόνισε ότι μία παραβίαση προσωπικών δεδομένων μπορεί να επέλθει ακόμα κι όταν ο Υπεύθυνος Επεξεργασίας απαιτεί από τα υποκείμενα των δεδομένων να χορηγήσουν τα προσωπικά τους δεδομένα με σκοπό αυτά να επεξεργαστούν με τρόπο αντίθετο με τις απαιτήσεις προστασίας του GDPR, προκειμένου να επωφεληθούν από μία υπηρεσία. Συνεπώς, όταν η Αρχή Προστασίας Δεδομένων κρίνει ότι μια πρακτική οδηγεί σε παραβίαση δεδομένων, μπορεί να λάβει διορθωτικά μέτρα και –όπου ενδείκνυται– να επιβάλει διοικητικό πρόστιμο, ακόμη και αν τα προσωπικά δεδομένα του καταγγέλλοντα δεν υποβλήθηκαν ποτέ σε πραγματική επεξεργασία.
Η απόφαση αυτή φαίνεται να ακολουθεί τη συνολική λογική και το πνεύμα του GDPR, ο οποίος δεν επιδιώκει μόνο την προστασία των προσωπικών δεδομένων, αλλά και τη δημιουργία ενός σταθερού νομικού πλαισίου εντός του οποίου τα υποκείμενα των δεδομένων διαθέτουν τον έλεγχο των προσωπικών τους δεδομένων, χωρίς δυσάρεστες συνέπειες.