ΑΠΔΠΧ 18/2025 - Πλήρες κείμενο
Σύνθεση: Κ. Μενουδάκος (Πρόεδρος), Δ. Βουγιούκας (Εισηγητής), Κ. Λαμπρινουδάκης, Χ. Ανθόπουλος, Χρ. Καλλονιάτης, Γρ. Τσόλιας, Χρ. Παπαθεοδώρου (Μέλη), Φ. Καρβέλα, Γ. Παναγοπούλου (Ειδ. Επιστήμονες, βοηθοί εισηγητή), Ε. Παπαγεωργοπούλου (Γραμματέας)
Διαδικασία αυτεπάγγελτου ελέγχου σε εταιρία τεχνητής νοημοσύνης (ΤΝ), με έδρα στην Κίνα, σχετικά με τις υπηρεσίες ΤΝ της πλατφόρμας DeepSeek που αυτή παρέχει τόσο στο διαδίκτυο όσο και μέσω σχετικής εφαρμογής (web- και app-based) σε υποκείμενα προσωπικών δεδομένων ευρισκόμενα στην Ευρώπη και ειδικότερα στην Ελλάδα. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επισήμανε ότι οι κινεζικές εταιρίες εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ και υποχρεούνται στον ορισμό εκπροσώπου στην Ευρωπαϊκή Ένωση (EΕ), εφόσον παρέχουν υπηρεσίες σε Ευρωπαίους χρήστες, καθώς επίσης και ότι κάθε εθνική εποπτική Αρχή στην ΕΕ έχει δικαιοδοσία να ελέγξει τη συμμόρφωση τέτοιων εταιριών, ακόμη κι αν δεν έχουν φυσική εγκατάσταση εντός της ΕΕ. Η ΑΠΔΠΧ διαπίστωσε ότι η ελεγχόμενη εταιρία παραβίασε την υποχρέωσή της να ορίσει εκπρόσωπο στην EΕ, σύμφωνα με το άρθρο 27 ΓΚΠΔ, διότι, παρόλο που αυτή δεν έχει εγκατάσταση στην ΕΕ, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ· εντούτοις, η εταιρία δεν είχε εκπληρώσει την υποχρέωσή της αυτή· για το λόγο αυτό, η ΑΠΔΠΧ απηύθυνε στην ελεγχόμενη εταιρία, ως υπεύθυνο επεξεργασίας, η οποία παρέχει υπηρεσίες ΤΝ μέσω της πλατφόρμας DeepSeek, να ορίσει γραπτώς εκπρόσωπο στην ΕΕ και να ενημερώσει σχετικά την ΑΠΔΠΧ.
Νομικές διατάξεις: άρθρα 3, 27, 55 Καν. 2016/679
ΑΠΟΦΑΣΗ 18/2025
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Αρχή») συνήλθε, μετά από πρόσκληση του Προέδρου της σε συνεδρίαση, μέσω τηλεδιάσκεψης, την Τρίτη 15.04.2025, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Χρήστος Καλλονιάτης και Γρηγόρης Τσόλιας. Παρέστη επίσης το αναπληρωματικό μέλος Χρήστος Παπαθεοδώρου, σε αναπλήρωση του τακτικού μέλους Σπύρου Βλαχόπουλου, ο οποίος δεν παρέστη, αν και εκλήθη νομίμως εγγράφως, καθώς και το αναπληρωματικό μέλος Δημοσθένης Βουγιούκας, ως εισηγητής χωρίς δικαίωμα ψήφου βάσει του άρθρου 8 παρ. 2 του Κανονισμού Λειτουργίας της Αρχής. Παρούσες, χωρίς δικαίωμα ψήφου, ήταν οι Φωτεινή Καρβέλα και Γεωργία Παναγοπούλου, ειδικοί επιστήμονες, ως βοηθοί εισηγητή, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κατωτέρω:
Στο πλαίσιο άσκησης των αρμοδιοτήτων της να εποπτεύει την εφαρμογή των διατάξεων του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (στο εξής: ΓΚΠΔ), του νόμου 4624/2019 και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων, η Αρχή κίνησε, σύμφωνα με τις διατάξεις των άρθρων 57 παρ. 1 α’, 58 παρ. 1 β’ του ΓΚΠΔ και 13 παρ. 1 η’ και 15 παρ. 1 του ν. 4624/2019, διαδικασία αυτεπάγγελτου ελέγχου στις εταιρίες Hangzhou DeepSeek Artificial Intelligence Co., Ltd. και Beijing DeepSeek Artificial Intelligence Co., Ltd. σχετικά με τις υπηρεσίες Τεχνητής Νοημοσύνης (στο εξής: ΤΝ) της πλατφόρμας DeepSeek που οι ως άνω εταιρείες παρέχουν τόσο στο διαδίκτυο όσο και μέσω σχετικής εφαρμογής (web- και app-based) σε υποκείμενα προσωπικών δεδομένων ευρισκόμενα στην Ευρώπη και ειδικότερα στην Ελλάδα.
Στο πλαίσιο άσκησης του ως άνω ελέγχου, η Αρχή απηύθυνε στις εταιρείες Hangzhou DeepSeek Artificial Intelligence Co., Ltd. και Beijing DeepSeek Artificial Intelligence Co., Ltd. το υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/2025/493 έγγραφο, με το οποίο έθεσε σειρά ερωτημάτων.
Αναλυτικά, η Αρχή υπενθύμισε στους ελεγχόμενους υπευθύνους επεξεργασίας ότι εμπίπτουν στο πεδίο εφαρμογής του ΓΚΠΔ σύμφωνα με το άρθρο 3 παρ. 2 στοιχ. α’ αυτού, διότι ναι μεν δεν είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση (στο εξής: ΕΕ), αλλά στην Κίνα, όμως οι δραστηριότητες επεξεργασίας, τις οποίες πραγματοποιούν, σχετίζονται με την προσφορά υπηρεσιών σε υποκείμενα δεδομένων ευρισκόμενα σε χώρες της ΕΕ, μεταξύ των οποίων και η Ελλάδα, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα, και, συνεπώς, υποχρεούνται να ορίσουν γραπτώς εκπρόσωπο στην ΕΕ, ο οποίος πρέπει να είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία σε σχέση με την προσφορά υπηρεσιών προς αυτά, εκτός αν συντρέχει κάποια από τις εξαιρέσεις που προβλέπονται στην παράγραφο 2 του εν λόγω άρθρου 27.
Με το ίδιο ως άνω έγγραφο, η Αρχή έθεσε σειρά ερωτημάτων στους υπευθύνους επεξεργασίας, μεταξύ των οποίων α) πώς εξασφαλίζουν τη συμμόρφωση με τις βασικές αρχές νομιμότητας της επεξεργασίας των προσωπικών δεδομένων υποκειμένων ευρισκομένων στην Ελλάδα, σύμφωνα με το άρθρο 5 παρ. 1 ΓΚΠΔ, β) σε ποιες δραστηριότητες επεξεργασίας εμπλέκονται αναφορικά με προσωπικά δεδομένα υποκειμένων ευρισκομένων στην Ελλάδα, γ) ποια είναι, σύμφωνα με το άρθρο 6 παρ. 1 ΓΚΠΔ, η εκάστοτε εφαρμοζόμενη νομική βάση κάθε δραστηριότητας επεξεργασίας προσωπικών δεδομένων (και σε περίπτωση επεξεργασίας ειδικών κατηγοριών δεδομένων η εφαρμοζόμενη εξαίρεση κατ’ άρθρο 9 ΓΚΠΔ) υποκειμένων ευρισκομένων στην Ελλάδα, στο πλαίσιο των υποδομών λογισμικού DeepSeek, δ) πώς παρέχεται η επιτασσόμενη από τα άρθρα 13 και 14 ΓΚΠΔ ενημέρωση στα υποκείμενα, ε) πώς εξασφαλίζεται η ικανοποίηση των δικαιωμάτων υποκειμένων των δεδομένων, κατ’ άρθρα 15-22 ΓΚΠΔ, στ) πού βρίσκονται τα κέντρα δεδομένων που χρησιμοποιούν για τη φιλοξενία και παροχή των υποδομών λογισμικού DeepSeek.
Από το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/2025/1603 έγγραφο με το οποίο η εταιρεία Hangzhou DeepSeek Artificial Intelligence Co., Ltd απάντησε στο ερωτηματολόγιο της Αρχής καθώς και από την ισχύουσα πολιτική απορρήτου της πλατφόρμας DeepSeek[1], προέκυψε ότι οι υπηρεσίες ΤΝ της πλατφόρμας DeepSeek παρέχονται πλέον μόνο από την ως άνω εταιρεία. Με το παραπάνω έγγραφο η εταιρεία Hangzhou DeepSeek Artificial Intelligence Co., Ltd υποστήριξε τα εξής: α) Οι υπηρεσίες που αυτή παρέχει μέσω της πλατφόρμας Deepseek βασίζονται σε λογισμικό ανοιχτού κώδικα, με πρόθεση να επιτρέπεται στους προγραμματιστές και τους λάτρεις της ΤΝ σε όλο τον κόσμο να επωφεληθούν από την προηγμένη τεχνολογία ΤΝ, αντί να προσφέρουν προϊόντα και υπηρεσίες σε χρήστες σε οποιαδήποτε συγκεκριμένη χώρα. Με βάση αυτό το σκεπτικό, θεωρεί ότι δεν εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ και γι’ αυτό το λόγο δεν έχει ορίσει εκπρόσωπο εντός της ΕΕ σε αυτό το στάδιο. Ωστόσο, στο ίδιο έγγραφο δήλωσε ότι είναι πρόθυμη να δεχθεί τις συμβουλές και την καθοδήγησή της Αρχής, σχετικά με τυχόν υποχρέωση ορισμού εκπροσώπου στην ΕΕ καθώς και συγκεκριμένων συστάσεων για έναν τέτοιο ορισμό. β) Ως νεοσύστατη κινεζική εταιρεία ΤΝ, η DeepSeek δεν έχει καμία εγκατάσταση στον ΕΟΧ προς το παρόν. γ) H DeepSeek δίνει μεγάλη έμφαση στην προστασία δεδομένων σε όλες τις επιχειρηματικές της διαδικασίες και διασφαλίζει την αποτελεσματική τήρηση των αρχών επεξεργασίας προσωπικών δεδομένων εφαρμόζοντας μια σειρά από μέτρα συμμόρφωσης, εσωτερικές πολιτικές και τεχνικές διασφαλίσεις. δ) Αναφέρει τις αρχές του ΓΚΠΔ, αλλά χωρίς να χρησιμοποιεί τους ορισμούς και τα συγκεκριμένα άρθρα του ΓΚΠΔ. Π.χ. χρησιμοποιεί τον όρο Personal Information Protection Impact Assessment (PIPIA) αντί DPIA, που προέρχεται από τον Κινέζικο Νόμο για την Προστασία Προσωπικών Δεδομένων (China’s Personal Information Protection Law (PIPL)). ε) Απαντά σχετικά με τις εφαρμοζόμενες νομικές βάσεις της επεξεργασίας χωρίς όμως να αναφέρεται σε συγκεκριμένα άρθρα του ΓΚΠΔ. στ) Όσον αφορά στα δικαιώματα των υποκειμένων των δεδομένων αναφέρει τις διατάξεις του ΓΚΠΔ, ζ) Αναφέρει μέτρα ασφάλειας, χωρίς όμως να συνδέει αυτά με τον ΓΚΠΔ, π.χ. δεν αναφέρει την υποχρέωση γνωστοποίησης περιστατικών ασφαλείας, η) Η DeepSeek ιδρύει επί του παρόντος τα δικά της κέντρα δεδομένων στην Κίνα για να φιλοξενήσει και να παρέχει την υποδομή λογισμικού DeepSeek.
Από τη μελέτη της ισχύουσας πολιτικής απορρήτου της πλατφόρμας DeepSeek[2], προέκυψαν τα εξής συνοπτικώς αναφερόμενα: α) Δεν αναφέρεται ο ΓΚΠΔ, β) Δεν αναφέρεται ορισμός εκπροσώπου στην ΕΕ ή τυχόν ύπαρξη εγκατάστασης στην ΕΕ, γ) Η πολιτική δεν είναι διατυπωμένη στα ελληνικά, δ) Παρόλο που παρέχει σχετικές πληροφορίες, η διατύπωση και η λεπτομέρεια είναι λιγότερο σαφείς, γεγονός που μπορεί να επηρεάσει την κατανόηση από τους χρήστες, ε) Δηλώνεται ότι τα δεδομένα αποθηκεύονται στην Κίνα, χωρίς να αναφέρεται η κατοχύρωση επιπλέον νομικών εγγυήσεων, στ) Αναφέρονται δικαιώματα και νομικές βάσεις, χωρίς να κατοχυρώνονται στις σχετικές διατάξεις του ΓΚΠΔ. Αναφέρεται ως υπεύθυνος επεξεργασίας η εταιρεία Hangzhou DeepSeek Artificial Intelligence Co.
Στη συνέχεια η Αρχή, προχώρησε στην εξέταση των στοιχείων του φακέλου, και, αφού άκουσε τον εισηγητή και τις διευκρινίσεις από τις βοηθούς εισηγητή, και κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Από τις διατάξεις των άρθρων 51 και 55 ΓΚΠΔ και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου 4624/2019 και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2. Σύμφωνα με τη διάταξη του άρθρου 3 παρ. 2 στοιχ. α’ ΓΚΠΔ, «ο παρών κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν οι δραστηριότητες επεξεργασίας σχετίζονται με: α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων.».
Συναφώς, η αιτιολογική σκέψη 23 του ΓΚΠΔ προβλέπει, σε σχέση με την υπαγωγή μιας επεξεργασίας στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ, με βάση το κριτήριο της στόχευσης που θέτει το άρθρο 3 παρ. 2 στοιχ. α’, ότι «για να κριθεί εάν ένας τέτοιος υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία (δηλαδή εδρεύων εκτός ΕΕ) προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα των δεδομένων που βρίσκονται στην Ένωση θα πρέπει να εξακριβωθεί αν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία προδήλως αποσκοπεί να παράσχει υπηρεσίες στα υποκείμενα των δεδομένων σε ένα ή περισσότερα κράτη μέλη της Ένωσης. Ενώ η απλή προσβασιμότητα στην ιστοσελίδα του υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία ή ενός μεσάζοντος στην Ένωση ή στη διεύθυνση ηλεκτρονικού ταχυδρομείου και σε άλλα στοιχεία επικοινωνίας ή η χρήση γλώσσας που χρησιμοποιείται συνήθως στην τρίτη χώρα όπου ο υπεύθυνος επεξεργασίας είναι εγκατεστημένος δεν αρκεί για να τεκμηριωθεί τέτοια πρόθεση, παράγοντες όπως η χρήση γλώσσας ή νομίσματος που χρησιμοποιούνται συνήθως σε ένα ή περισσότερα κράτη μέλη, με δυνατότητα παραγγελίας προϊόντων και υπηρεσιών σε αυτήν την άλλη γλώσσα, ή η αναφορά σε πελάτες ή χρήστες που βρίσκονται στην Ένωση μπορούν να καταστήσουν πρόδηλο ότι ο υπεύθυνος επεξεργασίας προτίθεται να προσφέρει αγαθά ή υπηρεσίες σε υποκείμενα των δεδομένων στην Ένωση.»
Οι Κατευθυντήριες Γραμμές 3/2018 του ΕΣΠΔ σχετικά με το εδαφικό πεδίο εφαρμογής του ΓΚΠΔ διευκρινίζουν σχετικά ότι «σε σχέση με τις δραστηριότητες επεξεργασίας που αφορούν την προσφορά υπηρεσιών, η διάταξη [του άρθρου 3 παρ. 2 στοιχ. α’ ΓΚΠΔ] σκοπεί σε δραστηριότητες οι οποίες στοχεύουν, εκ προθέσεως και όχι ακούσια ή συμπτωματικά, πρόσωπα που βρίσκονται στην ΕΕ.»
3. Σύμφωνα με το άρθρο 55 παρ. 1 ΓΚΠΔ, «κάθε εποπτική αρχή είναι αρμόδια να εκτελεί τα καθήκοντα και να ασκεί τις εξουσίες που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό στο έδαφος του κράτους μέλους της.».
Το άρθρο 56 παρ. 1 ΓΚΠΔ ορίζει ότι «με την επιφύλαξη του άρθρου 55, η εποπτική αρχή της κύριας ή της μόνης εγκατάστασης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία είναι αρμόδια να ενεργεί ως επικεφαλής εποπτική αρχή για τις διασυνοριακές πράξεις επεξεργασίας του εν λόγω υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 60.»
Ο μηχανισμός συνεργασίας του ΓΚΠΔ (άρ. 60 επ. ΓΚΠΔ) εφαρμόζεται μόνο σε περίπτωση υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία με μία ή περισσότερες εγκαταστάσεις στην ΕΕ[3]. Ομοίως προβλέπει και η αιτιολογική σκέψη 122 του ΓΚΠΔ, σύμφωνα με την οποία, «Κάθε εποπτική αρχή θα πρέπει να είναι αρμόδια, στο έδαφος του κράτους μέλους στο οποίο υπάγεται, να ασκεί τις εξουσίες και να εκτελεί τα καθήκοντα που της ανατίθενται σύμφωνα με τον παρόντα κανονισμό. Αυτό θα πρέπει να καλύπτει ιδίως την επεξεργασία (….) που διενεργείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, όταν στοχεύει υποκείμενα των δεδομένων που διαμένουν στο έδαφός της.».
Συνεπώς, στην περίπτωση υπευθύνου επεξεργασίας χωρίς εγκατάσταση στην ΕΕ, ο οποίος εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ βάσει του κριτηρίου στόχευσης που τίθεται με τη διάταξη του άρθρου 3 παρ. 2 ΓΚΠΔ, κάθε εθνική εποπτική αρχή είναι αρμόδια να ελέγξει την τήρηση του ΓΚΠΔ από αυτόν στο έδαφος του κράτους μέλους της.
4. Στις περιπτώσεις που εφαρμόζεται το άρθρο 3 παρ. 2 του ΓΚΠΔ, το άρθρο 27 του ΓΚΠΔ προβλέπει ότι ο υπεύθυνος επεξεργασίας υποχρεούται να ορίσει γραπτώς εκπρόσωπο στην ΕΕ, ο οποίος πρέπει να είναι εγκατεστημένος σε ένα από τα κράτη μέλη όπου βρίσκονται τα υποκείμενα των δεδομένων, των οποίων τα δεδομένα υποβάλλονται σε επεξεργασία σε σχέση με προσφορά αγαθών ή υπηρεσιών προς αυτά ή των οποίων η συμπεριφορά παρακολουθείται, εκτός αν συντρέχει κάποια από τις εξαιρέσεις που προβλέπονται στην παράγραφο 2 του εν λόγω άρθρου 27.
Ο εκπρόσωπος, όπως διευκρινίζει η αιτιολογική σκέψη 80, πρέπει να ενεργεί για λογαριασμό του υπευθύνου επεξεργασίας, και σε αυτόν μπορεί να απευθύνεται κάθε εποπτική αρχή. Ο εκπρόσωπος ορίζεται με γραπτή εντολή του υπευθύνου επεξεργασίας να ενεργεί εξ ονόματός του όσον φορά τις υποχρεώσεις του, δυνάμει του ΓΚΠΔ. Οι Κατευθυντήριες Γραμμές 3/2018 του ΕΣΠΔ σχετικά με το εδαφικό πεδίο εφαρμογής του ΓΚΠΔ ορίζουν ότι αυτό συνεπάγεται κυρίως τις υποχρεώσεις που αφορούν την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων, και σε αυτό το πλαίσιο την παροχή της ταυτότητας και των στοιχείων επικοινωνίας του εκπροσώπου στα υποκείμενα των δεδομένων σύμφωνα με τις διατάξεις των άρθρων 13 και 14 ΓΚΠΔ. Παρότι δεν είναι ο ίδιος υπεύθυνος για τη συμμόρφωση προς τα δικαιώματα των υποκειμένων των δεδομένων, ο εκπρόσωπος πρέπει να διευκολύνει την επικοινωνία μεταξύ των υποκειμένων και του εκπροσωπούμενου υπευθύνου επεξεργασίας, ώστε να διασφαλίζεται η αποτελεσματική άσκηση των δικαιωμάτων των υποκειμένων. Όπως διευκρινίζεται στην αιτιολογική σκέψη 80, ο εκπρόσωπος πρέπει επίσης να υπόκειται σε διαδικασίες επιβολής σε περίπτωση μη συμμόρφωσης από τον υπεύθυνο επεξεργασίας. Αυτό σημαίνει στην πράξη ότι πρέπει να διασφαλίζεται η δυνατότητα μιας εποπτικής αρχής να επικοινωνεί με τον εκπρόσωπο για οποιοδήποτε θέμα, το οποίο αφορά τις υποχρεώσεις συμμόρφωσης υπευθύνου επεξεργασίας εγκατεστημένου εκτός της ΕΕ και ότι ο εκπρόσωπος πρέπει να είναι σε θέση να διευκολύνει κάθε ανταλλαγή πληροφοριών ή διαδικασιών μεταξύ της αιτούσας εποπτικής αρχής και του υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία εγκατεστημένου εκτός της ΕΕ.
5. Στην υπό κρίση περίπτωση, όσον αφορά τη συσχέτιση των δραστηριοτήτων επεξεργασίας της DeepSeek με την προσφορά υπηρεσιών σε υποκείμενα δεδομένων ευρισκόμενα στην ΕΕ κρίσιμο ζήτημα είναι αν όντως οι δραστηριότητες επεξεργασίας αφορούν σε υπηρεσίες οι οποίες προσφέρονται εκ προθέσεως και όχι ακούσια και συμπτωματικά σε υποκείμενα που ευρίσκονται στην ΕΕ και, εν προκειμένω, στην Ελλάδα.
Οι υπηρεσίες που προσφέρει η DeepSeek αναμφίβολα απευθύνονται και στοχεύουν σε υποκείμενα ευρισκόμενα στην ΕΕ, δεδομένου ότι η συμπεριφορά εκ μέρους της DeepSeek, ως υπευθύνου επεξεργασίας που καθορίζει τα μέσα και τους σκοπούς της επεξεργασίας, καθιστά πρόδηλη την πρόθεσή της να προσφέρει υπηρεσίες σε υποκείμενα ευρισκόμενα στην ΕΕ και ειδικότερα στην Ελλάδα, καθώς είναι προσβάσιμη και μέσω διαδικτύου αλλά και μέσω των εφαρμογών για κινητές συσκευές σε υποκείμενα ευρισκόμενα στην Ελλάδα. Επίσης οι εφαρμογές είναι διαθέσιμες στην ελληνική γλώσσα.
6. Η εταιρεία Hangzhou DeepSeek Artificial Intelligence Co., Ltd. η οποία παρέχει υπηρεσίες ΤΝ μέσω της πλατφόρμας DeepSeek, εδρεύει στην Κίνα, ενώ δεν διαθέτει καμία εγκατάσταση στην Ε.Ε.
Συνεπώς, στην περίπτωση της ως άνω εταιρείας, η οποία δεν έχει εγκατάσταση στην Ε.Ε., αλλά εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ βάσει του κριτηρίου στόχευσης που τίθεται με τη διάταξη του άρθρου 3 παρ. 2 ΓΚΠΔ, κάθε εθνική εποπτική αρχή είναι αρμόδια να ελέγξει την τήρηση του ΓΚΠΔ από αυτήν στο έδαφος του κράτους μέλους της, όπως προεξετέθη στη σκέψη 3.
7. Κατόπιν των ανωτέρω, από τα στοιχεία του φακέλου, η Αρχή διαπιστώνει εκ μέρους της εταιρείας Hangzhou DeepSeek Artificial Intelligence Co., Ltd. παράβαση της υποχρέωσης ορισμού εκπροσώπου στην ΕΕ. (άρθρο 27 ΓΚΠΔ), διότι, παρόλο που αυτή, αν και δεν έχει εγκατάσταση στην ΕΕ, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, βάσει του άρθρου 3 παρ. 2 στοιχ. β’ και, συνεπώς, υποχρεούται να ορίσει εκπρόσωπο στην ΕΕ σύμφωνα με το άρθρο 27 ΓΚΠΔ, εντούτοις, δεν έχει εκπληρώσει την υποχρέωσή της αυτή.
8. Με βάση τα ανωτέρω, η Αρχή κρίνει ομόφωνα ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τη διαπιστωθείσα παράβαση και ειδικότερα ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να δοθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. δ’ ΓΚΠΔ, εντολή στην εταιρεία Hangzhou DeepSeek Artificial Intelligence Co., Ltd. να ορίσει γραπτώς εκπρόσωπο στην ΕΕ, όπως επιτάσσει η διάταξη του άρθρου 27 ΓΚΠΔ, διότι, παρόλο που εδρεύει στην Κίνα, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ, σύμφωνα με το άρθρο 3 παρ. 1 εδ. α’ αυτού, όπως αναλύθηκε παραπάνω.
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η ΑΡΧΗ
Απευθύνει στην εταιρεία Hangzhou DeepSeek Artificial Intelligence Co., ως υπεύθυνο επεξεργασίας, η οποία παρέχει υπηρεσίες ΤΝ μέσω της πλατφόρμας DeepSeek, με βάση το άρθρο 58 παρ. 2 εδ. δ’ του ΓΚΠΔ εντολή, όπως ορίσει γραπτώς εκπρόσωπο στην ΕΕ, σύμφωνα με τη διάταξη του άρθρου 27 ΓΚΠΔ και ενημερώσει σχετικά την Αρχή.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
[1] https://cdn.deepseek.com/policies/en-US/deepseek-privacy-policy.html (ανάκτηση στις 16.4.2025)
[2] https://cdn.deepseek.com/policies/en-US/deepseek-privacy-policy.html (ανάκτηση στις 16.4.2025)
[3] Βλ. Κατευθυντήριες Γραμμές της ΟΕ του άρ. 29 για τον προσδιορισμό της επικεφαλής αρχής υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, WP 244, file:///C:/Users/Sony/Downloads/wp244_rev_01_en_D8F5C63C-0B05-0150-00FADAD64B767E4E_44102%20(1).pdf
Η Sakkoulas-Online.gr χρησιμοποιεί cookies για την παροχή των υπηρεσιών της, την ανάλυση της επισκεψιμότητας και τη βελτιστοποίηση της εμπειρίας του χρήστη. Με τη χρήση της Sakkoulas-Online.gr αποδέχεστε τη χρήση των cookies. Περισσότερα