Σύμφωνα με το άρθρο 4 στοιχ. 7 ΓΚΠΔ, ως υπεύθυνος επεξεργασίας προσωπικών δεδομένων νοείται: “το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή,η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους”.
Σύμφωνα, δε, με τις Κατευθυντήριες γραμμές 07/2020 του ΕΣΠΔ αναφορικά με τις έννοιες του υπεύθυνου της επεξεργασίας και του εκτελούντος την επεξεργασία, στις περιπτώσεις όπου ο νόμος καθορίζει μια υποχρέωση ή επιβάλλει σε κάποιον φορέα το καθήκον να συλλέγει και να επεξεργάζεται συγκεκριμένα δεδομένα, ο σκοπός της επεξεργασίας συχνά καθορίζεται από τη νομοθεσία και ο υπεύθυνος επεξεργασίας ορίζεται κατά κανόνα από το νόμο για την επίτευξη αυτού του σκοπού. Η νομοθεσία μπορεί επίσης να επιβάλει σε δημόσιες ή ιδιωτικές οντότητες την υποχρέωση να διατηρούν ή να παρέχουν συγκεκριμένα δεδομένα. Οι εν λόγω οντότητες θεωρούνται κατά κανόνα υπεύθυνοι επεξεργασίας αναφορικά με την επεξεργασία που κρίνεται απαραίτητη για την εκπλήρωση της συγκεκριμένης υποχρέωσης.
Με βάση τα ανωτέρω προκύπτει ότι τα βιβλία, που υποχρεωτικά και εκ του νόμου τηρούνται από νομικά πρόσωπα, όπως οι σύλλογοι ή τα σωματεία, τα καθιστούν υπεύθυνους επεξεργασίας. Σύμφωνα,μάλιστα, με το άρθρο 5 παρ. 2 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 του άρθρου 5. Όπως, άλλωστε, έχει κρίνει η Αρχή, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό μέγεθος του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Επιπλέον, δε, ο υπεύθυνος της επεξεργασίας βαρύνεται με το επιπλέον καθήκον να αποδεικνύει ο ίδιος και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ.
Στο ανωτέρω πλαίσιο και δυνάμει του άρθρου 12 παρ. 1 ΓΚΠΔ ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα. Ο υπεύθυνος επεξεργασίας, δε, θα πρέπει να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων.
Σύμφωνα, λοιπόν, με τις κατευθυντήριες γραμμές 1/2022 του ΕΣΠΔ αναφορικά με το δικαίωμα πρόσβασης, ο κύριος τρόπος παροχής πρόσβασης στα δεδομένα προς το υποκείμενο είναι η παροχή αντιγράφου των δεδομένων του, η υποχρέωση όμως παροχής αντιγράφου των δεδομένων δε θα πρέπει να εκλαμβάνεται ως ένα επιπρόσθετο δικαίωμα του υποκειμένου, αλλά ως τρόπος παροχής πρόσβασης στα δεδομένα του. Ταυτόχρονα, η υποχρέωση παροχής αντιγράφου των δεδομένων δε διευρύνει το σκοπό του δικαιώματος πρόσβασης, καθώς αφορά μόνο την αντιγραφή των δεδομένων που υφίσταται επεξεργασία και όχι απαραιτήτως την αναπαραγωγή πρωτότυπων εγγράφων, καθώς η υποχρέωση παροχής αντιγράφου εξυπηρετεί το σκοπό του δικαιώματος πρόσβασης να παρέχει τη δυνατότητα στο υποκείμενο των δεδομένων να λαμβάνει γνώση και να επαληθεύει τη νομιμότητα της επεξεργασίας.
Για το λόγο αυτό, σε ορισμένες περιστάσεις, ενδέχεται να υφίστανται άλλοι κατάλληλοι τρόποι για την ικανοποίηση του δικαιώματος πρόσβασης, και ο υπεύθυνος επεξεργασίας μπορεί να εξασφαλίζει το δικαίωμα πρόσβασης του υποκειμένου, μέσω άλλων εναλλακτικών, για παράδειγμα μέσω προφορικής πληροφόρησης, μέσω μελέτης των αρχείων, μέσω επί τόπου ή απομακρυσμένης πρόσβασης, χωρίς δυνατότητα λήψης. Κι αυτό γιατί το δικαίωμα λήψης αντιγράφου των δεδομένων δεν νοείται πάντα ως δικαίωμα του υποκειμένου να λαμβάνει αντίγραφο των εγγράφων που περιέχουν τα δεδομένα του, αλλά ως δικαίωμα να λαμβάνει ακριβές αντίγραφο των δεδομένων του που υφίστανται επεξεργασία σε αυτά τα έγγραφα.
Επιπλέον, για την ορθή και πλήρη τήρηση των διατάξεων του άρθρου 12 ΓΚΠΔ αναφορικά με το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας έχει υποχρέωση να απαντήσει αιτιολογημένα στο αίτημα πρόσβασης του υποκειμένου, ακόμα και αρνητικά! Παράλληλα η άρνηση ικανοποίησης του ασκηθέντος δικαιώματος πρόσβασης θα πρέπει να λαμβάνει χώρα εγγράφως, με αναλυτική παράθεση και επαρκή τεκμηρίωση των σχετικών λόγων απόρριψης εκ μέρους του υπεύθυνου επεξεργασίας, προκειμένου να πληρούνται η προϋπόθεση διαφανούς ενημέρωσης, κατ’ άρθρο 12 παρ. 1 ΓΚΠΔ. Τέλος, όπως έχει κριθεί από την Αρχή, σε περίπτωση που η παροχή αντιγράφου δύναται να επηρεάσει δυσμενώς τα δικαιώματα και τις ελευθερίες άλλων προσώπων κατά το άρθρο 15 παρ. 4 ΓΚΠΔ, δύναται να θεωρηθεί αναγκαία η εξειδίκευση του αιτήματος πρόσβασης, προκειμένου ο υπεύθυνος επεξεργασίας να είναι σε θέση να εξετάσει, στο πλαίσιο της αρχής της λογοδοσίας, αν τίθεται ζήτημα δυσμενούς επίδρασης στα δικαιώματα και στις ελευθερίες των άλλων, και συνεπώς αν συντρέχει νόμιμο λόγος μη χορήγησης των δεδομένων αυτών.
