Απέρριψε το Συμβούλιο της Επικρατείας την αίτηση ακύρωσης του Υπουργού Οικονομικών, που είχε υποβληθεί τον Ιανουάριο του 2014, κατά απόφασης της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα , που είχε εκδοθεί το 2013 και αφορούσε σε πρόστιμο ύψους 150.000 ευρώ (σ.σ. το ανώτατο τότε προβλεπόμενο ποσό ) που είχε επιβληθεί για τη διαρροή προσωπικών δεδομένων σχεδόν του συνόλου των φορολογουμένων.
Ειδικότερα, σύμφωνα με την απόφαση υπ’ αριθμ. 339/2019 του ΣτΕ, «η κρίση της Αρχής σχετικά με την επιβολή του ανώτατου προβλεπόμενου στον νόμο προστίμου παρίσταται νομίμως και επαρκώς αιτιολογημένη και δεν προκύπτει παράβαση της αρχής της αναλογικότητας». Και τούτο «εν όψει της έκτασης της μη εξουσιοδοτημένης πρόσβασης και παράνομης επεξεργασίας προσωπικών φορολογικών στοιχείων που διαπιστώθηκε, του όγκου των προσωπικών δεδομένων και της μεγάλης χρονικής περιόδου, που αφορούσε η παραβίαση, της φύσης των δεδομένων, ορισμένα εκ των οποίων υπάγονται στην κατηγορία των ευαίσθητων προσωπικών δεδομένων, καλύπτονται δε, από το φορολογικό απόρρητο, καθώς επίσης και της σημασίας των εν λόγω δεδομένων για τα υποκείμενα αυτών, αλλά και της σημασίας της διαφύλαξης του φορολογικού απορρήτου χάριν της διασφάλισης της εμπιστοσύνης των πολιτών στη φορολογική αρχή, προς αποτροπή ενεργειών που κατατείνουν στην απόκρυψη φορολογητέας φορολογικής ύλης» (σκέψη 11).
Αξίζει να σημειωθεί ότι, ανεξάρτητα από την απόφαση του ΣτΕ, η Αρχή διαπίστωσε σε νεότερο έλεγχό της κατά το έτος 2016 ότι η φορολογική διοίκηση είχε προχωρήσει σε ικανοποιητικές ενέργειες συμμόρφωσης με τις συστάσεις της Αρχής .
Με αφορμή την έκδοση της ανωτέρω απόφασης του ΣτΕ, η Αρχή επισημαίνει ότι ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) που έχει τεθεί σε ισχύ από τις 25/5/2018, προτάσσει την «αρχή της διαφάνειας». Και προσθέτει ότι το νέο νομοθετικό πλαίσιο κινείται « με απώτερο στόχο την προστασία των δικαιωμάτων των πολιτών-υποκείμενων των δεδομένων» και « ο Γενικός Κανονισμός έχει αυξήσει τις υποχρεώσεις των «υπευθύνων επεξεργασίας» (εταιρειών, οργανισμών) ως προς την ασφάλεια της επεξεργασίας, δεδομένου ότι σε αυτούς ανατίθεται η γενικότερη ευθύνη για τον καθορισμό των κατάλληλων για τον σκοπό αυτό τεχνικών και οργανωτικών μέτρων. Συγχρόνως, ο Κανονισμός θεσπίζει για πρώτη φορά ρητά αυτοτελή υποχρέωση και των «εκτελούντων την επεξεργασία» για λήψη μέτρων ασφάλειας και εισάγει υποχρεώσεις για τον χειρισμό και τη γνωστοποίηση περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα».