Ανεπιθύμητη επικοινωνία από υποψήφιο σε εκλογές

Επιμέλεια: Δημήτρης Βέρρας - Σπύρος Τάσσης

Την 21η Ιουνίου 2022 δημοσιεύτηκαν τρεις αποφάσεις του Συμβουλίου της Επικρατείας (ΣτΕ 1343-1344-1345/2022) με τις οποίες ακυρώθηκαν αντίστοιχες αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ 13-11-10/2020) για υποθέσεις πολιτικής επικοινωνίας. Οι αποφάσεις αυτές του ΣτΕ υπήρξαν καθοριστικές για τους όρους άσκησης της πολιτικής επικοινωνίας και ενώ αρχικά θεωρήθηκαν ως μία πιο ευρεία ερμηνεία της ευχέρειας χρήσης προσωπικών δεδομένων επικοινωνίας των ψηφοφόρων για την επικοινωνία των πολιτικών με αυτούς, στην πραγματικότητα το Δικαστήριο νομολόγησε την πλήρη εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, χωρίς τις διαφοροποιήσεις του ν. 3471/2006 (Οδηγία 58/2002).

Ως πολιτική επικοινωνία, σύμφωνα με την Αρχή Προστασίας Δεδομένων,[1] ορίζεται «η επικοινωνία που πραγματοποιείται από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης σε οποιαδήποτε χρονική περίοδο, προεκλογική ή μη, για την προώθηση πολιτικών ιδεών, προγραμμάτων δράσης ή άλλων δραστηριοτήτων με σκοπό την υποστήριξή τους και τη διαμόρφωση πολιτικής συμπεριφοράς. Η πολιτική επικοινωνία μπορεί να πραγματοποιείται με ποικίλους τρόπους, όπως με την άμεση παρουσίαση των πολιτικών ιδεών ή με τη συμπερίληψή τους σε ενημερωτικό δελτίο, με την πρόσκληση ανάγνωσής τους σε ιστοσελίδα ή με την πρόσκληση συμμετοχής σε κάποια εκδήλωση ή δραστηριότητα».

Ο ορισμός της πολιτικής επικοινωνίας είναι ευρύς, τόσο ως προς τον χρόνο κατά τον οποίο ασκείται η επικοινωνία, όσο και ως προς τα πρόσωπα (ή τους φορείς) που δικαιούνται να την πραγματοποιήσουν. Στα πρόσωπα αυτά ρητώς περιλαμβάνονται και οι ευρωβουλευτές ή οι υποψήφιοι για τις εκλογές της Ευρωβουλής, που μπορούν να επικοινωνούν με τους πολίτες ακόμη και εκτός προεκλογικής περιόδου. Ως προς τα μέσα πραγματοποίησής της, η πολιτική επικοινωνία στις περισσότερες των περιπτώσεων ασκείται με την αποστολή ενημερωτικών μηνυμάτων μέσω SMS ή email.

Τι έκρινε το ΣτΕ στις τρεις αποφάσεις του 2022

Το Συμβούλιο της Επικρατείας αμφισβήτησε την ερμηνεία και πάγια προσέγγιση της Αρχής Προστασίας Δεδομένων πως η πολιτική επικοινωνία είναι μια ιδιαίτερη μορφή εμπορικής επικοινωνίας, ως εκ τούτου πρέπει να πραγματοποιείται υπό τους όρους του άρθρου 11 του Ν.3471/2006.

Το ανώτατο δικαστήριο έκρινε πως η επικοινωνία του υποψήφιου βουλευτή με τους εκλογείς της περιφέρειάς του δεν μπορεί να περιορίζεται χωρίς ειδική ρύθμιση, καθώς άλλωστε είναι απαραίτητη για τη λειτουργία του δημοκρατικού πολιτεύματος. Το άρθρο 11 του Ν.3471/2006, που εφαρμοζόταν από την ΑΠΔΠΧ, δεν θεωρήθηκε τέτοια ειδική ρύθμιση, αφού αφορά σαφώς την εμπορική προώθηση προϊόντων και υπηρεσιών για διαφημιστικούς σκοπούς, και μάλιστα στην βάση προηγούμενης ή δημιουργούμενης συναλλακτικής σχέσης, κάτι το οποίο δεν προσιδιάζει στην επικοινωνία ενός υποψηφίου βουλευτή.

Αυτό που έκανε ουσιαστικά το ΣτΕ είναι πως αποσύνδεσε την πολιτική επικοινωνία από τις απαιτήσεις της ηλεκτρονικής επικοινωνίας του Ν.3471/2006, καταργώντας τις ευχέρειες του lex specialis και αφήνοντας τη ρύθμισή της αποκλειστικά στις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων, όπως άλλωστε ρητώς και το ίδιο επεσήμανε: «Η ερμηνεία αυτή δεν θίγει την προστασία των προσωπικών δεδομένων των εμπλεκομένων φυσικών προσώπων, […] δεδομένου ότι εξακολουθούν να τυγχάνουν εφαρμογής οι γενικές διατάξεις του ΓΚΠΔ, βάσει των οποίων δύναται να κριθεί η νομιμότητα κάθε επεξεργασίας».

Η απόφαση αυτή οδήγησε στην ακύρωση των τριών αποφάσεων της ΑΠΔΠΧ που είχαν προσβληθεί και συμπαρέσυρε πολλές άλλες αποφάσεις της, οι οποίες λίγο μετά ανακλήθηκαν από την Αρχή.[2]

Παράλληλα όμως, η κρίση αυτή μόνον απλούστερα δεν έκανε τα πράγματα για τους υποψηφίους, κι αυτό διότι, με το προηγούμενο ερμηνευτικό και εφαρμοστικό καθεστώς, η Αρχή Προστασίας Δεδομένων στις περισσότερες περιπτώσεις εξέταζε μόνο τους όρους νομιμότητας της επικοινωνίας και όχι της συλλογής και επεξεργασίας δεδομένων.[3] Μεταθέτοντας το ζήτημα αποκλειστικά στον ΓΚΠΔ, το ΣτΕ ήρε κάθε ερμηνευτική δυσκολία για τον πλήρη έλεγχο της συμμόρφωσής τους με τον Γενικό Κανονισμό, αντί μιας απλής διαπίστωσης για παραβίαση των διατάξεων περί επικοινωνίας.

Παράλληλα, άνοιξε τον δρόμο για την άσκηση των δικαιωμάτων του ΓΚΠΔ, αλλά και τον έλεγχο των φορέων που έχουν ενδεχομένως δώσει τα δεδομένα στον υποψήφιο.

Τί ισχύει μετά τις αποφάσεις του ΣτΕ

Στο σημείο αυτό χρειάζεται να γίνει μια απολύτως αναγκαία διευκρίνιση ως προς το τι ακριβώς συνιστά πολιτική επικοινωνία και ποιες είναι οι προϋποθέσεις για τη νόμιμη άσκησή της, ειδικά μετά τις, ως άνω, αποφάσεις του ΣτΕ.

Καταρχήν, πολιτική επικοινωνία είναι, όπως δηλώνεται και από την ονομασία της, μια επικοινωνία που στις πιο συχνές εφαρμογές της πραγματοποιείται «με χρήση ηλεκτρονικών μέσων επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, μέσω δημοσίων δικτύων επικοινωνίας» για να μεταφέρει ένα μήνυμα πολιτικού περιεχομένου. Όπως γινόταν, μέχρι την έκδοση των αποφάσεων του ΣτΕ, παγίως δεκτό, τα χαρακτηριστικά αυτά καταρχήν εμπλέκουν την Οδηγία 58/2002 (e-Privacy) και τον εθνικό εφαρμοστικό της νόμο 3471/2006, που ρυθμίζουν την προστασία προσωπικών δεδομένων και ιδιωτικότητας ειδικά (lex specialis) στο τομέα των ηλεκτρονικών επικοινωνιών και θέτουν προϋποθέσεις για τη νόμιμη άσκηση της επικοινωνίας. Η διαφωνία του Συμβουλίου της Επικρατείας με την Αρχή Προστασίας Δεδομένων αφορούσε αποκλειστικά το ζήτημα αυτό, δηλαδή το αν και με ποιες προϋποθέσεις εφαρμόζονται οι διατάξεις του νόμου 3471/2006 στην πολιτική επικοινωνία.

Ο χαρακτήρας μίας επικοινωνίας ως πολιτικής δεν μειώνει την υποχρέωση του πολιτικού, ως υπευθύνου επεξεργασίας, να τηρεί τις απαιτήσεις νομιμότητας στην συλλογή και επεξεργασία των προσωπικών δεδομένων επικοινωνίας των πολιτών, όπως ο αριθμός τηλεφώνου, η διεύθυνση ηλεκτρονικού ταχυδρομείου, η ταχυδρομική διεύθυνση, ενδεχομένως δε και των στοιχείων του προσώπου το οποίο αφορούν οι πληροφορίες αυτές.[4] Σε κάθε περίπτωση, πρέπει να καθίσταται σαφές πως η επεξεργασία των προσωπικών δεδομένων προηγείται της αποστολής του ενημερωτικού email ή SMS, αφού πριν την αποστολή αυτή, κάποιος έχει συλλέξει, ταξινομήσει και αποθηκεύσει σε αρχείο τις σχετικές πληροφορίες. Επί του ζητήματος αυτού, το ΣτΕ και η ΑΠΔΠΧ δεν έχουν καμία διαφωνία: η πολιτική επικοινωνία προϋποθέτει τη συλλογή και επεξεργασία προσωπικών δεδομένων.[5]

Για να το θέσουμε πιο απλά, η πολιτική επικοινωνία αποτελείται από δύο διαφορετικές νομικές καταστάσεις και εμπίπτει σε δύο διαφορετικά νομοθετήματα. Ως επεξεργασία που αφορά την επικοινωνία ενέπιπτε, μέχρι τις αποφάσεις του ΣτΕ, στον Ν.3471/2006, που ρυθμίζει τις προϋποθέσεις που μπορεί αυτή να είναι επιτρεπτή, αλλά ως γενική επεξεργασία προσωπικών δεδομένων εμπίπτει στον ΓΚΠΔ, με το πρόσωπο για λογαριασμό του οποίου αυτή πραγματοποιείται να φέρει όλες τις υποχρεώσεις που τίθενται για τον υπεύθυνο επεξεργασίας. Αυτό σημαίνει πως ο αποστολέας μηνύματος πολιτικής επικοινωνίας δεν μπορεί να επικαλείται τα μέτρα που έχει λάβει για τον περιορισμό της «ενόχλησης», από την επικοινωνία καθεαυτή, προκειμένου να αποδείξει το σύννομο των ενεργειών του, καθώς το ζήτημα πλέον κρίνεται αποκλειστικά στο πεδίο της νομοθεσίας για την προστασία των προσωπικών δεδομένων, οι απαιτήσεις της οποίας είναι πολύ περισσότερες και σαφώς πιο σύνθετες. Κι αυτό, διότι, τον Γενικό Κανονισμό Προστασίας Δεδομένων δεν τον ενδιαφέρει μόνο το αν ικανοποιείται το δικαίωμα εναντίωσης, περιορισμού ή διαγραφής της επεξεργασίας, αλλά αν πληρούνται εξαρχής οι αρχές επεξεργασίας που τίθενται προς προστασία των φυσικών προσώπων και υποκειμένων των δεδομένων ήδη από την συλλογή τους.

Έτσι, ο υπεύθυνος επεξεργασίας θα κληθεί να λογοδοτήσει (αρχές της λογοδοσίας και της διαφάνειας) για το πώς έλαβε γνώση των συγκεκριμένων δεδομένων, αν έχει υπάρξει κατάλληλη ενημέρωση για την παρούσα επεξεργασία, αν υπάρχει τυχόν τρίτο πρόσωπο που χειρίζεται τις λίστες επικοινωνίας (εκτελών την επεξεργασία) και αν εφαρμόζει επαρκές σύστημα εποπτείας του και πώς ικανοποιεί τα δικαιώματα πρόσβασης και ενημέρωσης των υποκειμένων.

Περαιτέρω, ο Γενικός Κανονισμός Προστασίας Δεδομένων δεν θέτει υποχρεώσεις μόνο στο πρόσωπο που έκανε την επικοινωνία, όπως προβλέπεται στην νομοθεσία για τις ηλεκτρονικές επικοινωνίες, αλλά, κυρίως, για το πώς συνέλεξε και επεξεργάστηκε προσωπικά δεδομένα, αλλά και στο πρόσωπο (φυσικό ή νομικό) που του διαβίβασε τα δεδομένα αυτά, διότι επεξεργασία δεδομένων συνιστά και μόνη η ενέργεια της διαβίβασης των δεδομένων. Ως εκ τούτου, τυχόν παράνομη διαβίβαση/κοινολόγηση/διαβίβαση δεν δημιουργεί πρόβλημα μόνο σε αυτόν που τα συνέλεξε παρανόμως, αλλά και σε αυτόν που του τα διαβίβασε χωρίς έγκυρη νομική βάση, όπως για παράδειγμα όταν ένας συνυποψήφιος που τα δίνει σε συνυποψήφιο του ή ένας πολιτιστικός σύλλογος που κάλεσε τον υποψήφιο για ομιλία και του κοινοποίησε τα στοιχεία επικοινωνίας των μελών του ή ένας επαγγελματικός σύλλογος που δίνει πρόσβαση στα email των μελών του γιατί διάκειται φιλικά σε συγκεκριμένο υποψήφιο.

Επίσης σημαντικό είναι να αποσαφηνιστεί και τούτο: Το δικαίωμα στην προστασία των προσωπικών δεδομένων δεν είναι ένα απόλυτο δικαίωμα και δεν μπορεί να λειτουργεί εις βάρος άλλων δικαιωμάτων κατά τρόπο μη αναλογικό. Ομοίως, η λήψη συγκατάθεσης για την επεξεργασία δεδομένων δεν είναι η μόνη ουσιαστική προϋπόθεση για την νόμιμη επεξεργασία τους (όπως και η ύπαρξη συγκατάθεσης δεν νομιμοποιεί την παράνομη επεξεργασία).[6] Ο ΓΚΠΔ παρέχει 6 έννομες βάσεις για την επεξεργασία προσωπικών δεδομένων και η συγκατάθεση είναι μόνο μία από αυτές.[7] Όπως παγίως μάλιστα γίνεται δεκτό, στην επικοινωνία συχνά χρησιμοποιείται ως βάση το έννομο συμφέρον του προσώπου που επικοινωνεί το μήνυμα του.[8]

Το δικαίωμα στην προστασία των προσωπικών δεδομένων, από την άλλη, είναι πρωτίστως το δικαίωμα του ελέγχου ως προς τους όρους και διαδικασίες της επεξεργασίας των προσωπικών δεδομένων. Το υποκείμενο των δεδομένων έχει το δικαίωμα να απευθυνθεί σε αυτόν που τηρεί τα δεδομένα του και να ζητήσει συγκεκριμένες πληροφορίες, προκειμένου να είναι σε θέση να ελέγξει/επιβεβαιώσει τη νομιμότητα αυτή, άλλως να ασκήσει περαιτέρω τα δικαιώματά του.

Υπό το πλαίσιο αυτό, ο πολίτης που δέχεται το «ανεπιθύμητο» email/SMS ορθότερο είναι να μη σπεύδει να καταγγείλει τη λήψη αυτή στην αρμόδια αρχή προστασίας δεδομένων, πριν θέσει τα ζητήματα αυτά στον υπεύθυνο επεξεργασίας, αφού η συλλογή και επεξεργασία των δεδομένων ενδέχεται να είναι νόμιμη.

Η Αρχή Προστασίας Δεδομένων έχει μάλιστα θέσει συγκεκριμένα παραδείγματα, στα οποία η συλλογή προσωπικών δεδομένων μπορεί να κριθεί νόμιμη:[9]

• Εάν ο υποψήφιος έχει νομίμως συλλέξει στοιχεία επικοινωνίας στο πλαίσιο προηγούμενης συμμετοχής του υποκειμένου σε κάποια εκδήλωση ή δράση του υπευθύνου επεξεργασίας, ανεξαρτήτως του πολιτικού χαρακτήρα της

• Εάν ο υποψήφιος έχει αποκτήσει τα στοιχεία αυτά στο πλαίσιο προσωπικής επαγγελματικής του σχέσης με τους πολίτες (π.χ. χρήση του αρχείου πελατών από υποψήφιο βουλευτή - δικηγόρο)

• Εάν ο υποψήφιος αποτελεί μέλος κόμματος και έχει αποκτήσει νομίμως από το κόμμα του τα στοιχεία άλλων μελών ή «φίλων» του κόμματος. Προς τον σκοπό ενίσχυσης της διαφάνειας συνιστάται να περιλαμβάνεται σχετική πρόβλεψη στο Καταστατικό του κόμματος.

• Εάν ο υποψήφιος ανήκει σε κάποιο σύλλογο ή σωματείο και έχει αποκτήσει νομίμως τα στοιχεία των μελών του. Προς τον σκοπό ενίσχυσης της διαφάνειας συνιστάται να περιλαμβάνεται σχετική πρόβλεψη στο Καταστατικό του συλλόγου ή σωματείου.

• Η σχέση φίλου ή ακολούθου στο προφίλ υποψηφίου σε μέσα κοινωνικής δικτύωσης, ενδέχεται να δικαιολογεί την αποστολή προσωπικών μηνυμάτων πολιτικού περιεχομένου δια του ιδίου μέσου κοινωνικής δικτύωσης

Με βάση τα ανωτέρω λοιπόν, ο πολίτης, που απορεί ή και αγανακτεί με τη λήψη του μηνύματος και την αποκάλυψη της διάθεσης των στοιχείων επικοινωνίας του, καλό θα είναι προηγουμένως να απευθυνθεί στον υποψήφιο που υπογράφει το μήνυμα και να ασκήσει το δικαίωμα πρόσβασης του άρθρου 15 ΓΚΠΔ.

Τα δικαιώματα του πολίτη/υποκειμένου

Ο Γενικός Κανονισμός Προστασίας Δεδομένων αναγνωρίζει μια σειρά δικαιωμάτων στα υποκείμενα των δεδομένων, κρισιμότερα εκ των οποίων εν προκειμένω είναι το δικαίωμα πρόσβασης, τα δικαιώματα εναντίωσης (αντίρρησης), περιορισμού της επεξεργασίας και διαγραφής, καθώς και το δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή.

Το δικαίωμα πρόσβασης είναι το δικαίωμα του υποκειμένου να ζητήσει πληροφορίες για την επεξεργασία των προσωπικών δεδομένων του, ούτως ώστε να ελέγξει το κατά πόσον αυτή είναι νόμιμη. Το δικαίωμα ασκείται με αποστολή σχετικού αιτήματος προς τον υποψήφιο[10] που έστειλε την επικοινωνία[11] και αφορά, μεταξύ άλλων, το είδος και τις κατηγορίες των δεδομένων, την προέλευση τους και τους τυχόν αποδέκτες.[12]

Παράλληλα, όταν ο πολίτης υποψιάζεται πως η διαρροή των δεδομένων του προς τον υποψήφιο έχει γίνει από συγκεκριμένο φορέα, όπως πχ. έναν επαγγελματικό σύλλογο που γνώριζε τον προσωπικό του τηλεφωνικό αριθμό ή μια δημόσια αρχή στην οποία είχε αποκλειστικώς υποβάλει το επαγγελματικό του email, δύναται να υποβάλει αίτημα πρόσβασης και προς τον φορέα αυτόν, ζητώντας ενημέρωση ως προς τα στοιχεία των αποδεκτών. Το άρθρο 15 παρ.1γ’ ΓΚΠΔ προβλέπει πως μεταξύ των πληροφοριών που οφείλει ο υπεύθυνος επεξεργασίας να δώσει είναι και τα στοιχεία των αποδεκτών ή οι κατηγορίες αποδεκτών των δεδομένων, ενώ όπως έχει κριθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης,[13] όταν η διαβίβαση έχει τελεστεί, η ενημέρωση περιλαμβάνει τα στοιχεία του κάθε αποδέκτη.

Με το παράλληλο αυτό σύστημα αιτημάτων, ο πολίτης μπορεί να θέσει προ των ευθυνών του και τον φορέα που υποψιάζεται πως έχει παρανόμως διαβιβάσει τα δεδομένα του, αντλώντας έτσι χρήσιμη πληροφόρηση την οποία μπορεί να αντιπαραβάλει προς αυτήν που θα λάβει από τον υποψήφιο και τον ίδιο τον υποψήφιο που παρανόμως δημιούργησε αρχείο δεδομένων.

Αμφότεροι οι φορείς οφείλουν να απαντήσουν επί του αιτήματος που θα λάβουν εντός 30 ημερών, με δικαίωμα να παρατείνουν - ενημερώνοντας σχετικά – την προθεσμία αυτή για δύο μήνες «λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων».

Στην περίπτωση όπου οι τριάντα ημέρες παρέλθουν άπρακτες ή όταν η απάντηση δεν είναι πλήρης ή/και ικανοποιητική, ο πολίτης έχει το δικαίωμα να απευθυνθεί στην αρμόδια αρχή προστασίας δεδομένων, καταγγέλλοντας τόσο τον υποψήφιο που τα συνέλεξε, όσο και τον φορέα που ενδεχομένως του τα διαβίβασε.

Παράλληλα, ακόμη και αν η επεξεργασία των δεδομένων του είναι νόμιμη, ο πολίτης μπορεί να ασκήσει προς τον υποψήφιο αίτημα εναντίωσης και διαγραφής. Η διαγραφή αυτή είναι ευρύτερη από την απλή διακοπή ενημερωτικών μηνυμάτων και συνίσταται στην πλήρη διαγραφή των προσωπικών δεδομένων του από τα αρχεία του υποψηφίου. Μπορεί να στηρίζεται στην ανάκληση της συγκατάθεσης, εφόσον ο υποψήφιος θεμελιώνει εκεί την επεξεργασία των δεδομένων, ή στην εναντίωση του πολίτη υποκειμένου, αν η νομική βάση είναι το έννομο συμφέρον του υποψηφίου.[14]

Περαιτέρω, αν το υποκείμενο των δεδομένων δεν ικανοποιηθεί από τις απαντήσεις, τότε μπορεί να προσφύγει στην ΑΠΔΠΧ ή άλλη εθνική εποπτική αρχή προς έλεγχο της νομιμότητας της επεξεργασίας. Αρμόδια εθνική εποπτική αρχή είναι, καταρχήν, η εποπτική αρχή του τόπου κύριας εγκατάστασης του υπευθύνου επεξεργασίας, όπου στην περίπτωση ενός υποψηφίου θα είναι συνήθως η διεύθυνση του πολιτικού του γραφείου. Είναι προφανές πως εξαιρετικά δύσκολα θα μπορούσε η αρμόδια αρχή να είναι άλλη από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τους Έλληνες υποψηφίους. Πάντως, το άρθρο 77 ΓΚΠΔ, ορίζει ότι, ανεξάρτητα από το ποια εθνική αρχή είναι αρμόδια, το υποκείμενο των δεδομένων μπορεί να υποβάλλει καταγγελία σε εποπτική αρχή του ΓΚΠΔ, «ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης». Σε οποιαδήποτε χώρα της Ένωσης και αν υποβληθεί η καταγγελία, αυτή θα διαβιβαστεί στην αρμόδια ελληνική αρχή, με την ενεργοποίηση του μηχανισμού μιας στάσης του Γενικού Κανονισμού.

Σημαντικό είναι, πάντως, να γνωρίζουμε ότι οι καταγγελίες αυτές δεν υποβάλλονται προς την Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ή τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS).

Photo from Pexels by cottonbro studio

 

[1] ΑΠΔΠΧ, Κατευθυντήριες Γραμμές 1/2023, Επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα

[2] Με την απόφαση ΑΠΔΠΧ 63/2022, η Αρχή ανακάλεσε τριάντα (30) αποφάσεις των ετών 2019-2022, επισημαίνοντας πως με τις αποφάσεις αυτές είχαν επιβληθεί «κυρώσεις ερειδόμενες στη διάταξη του άρθρου 11 ν.3471/2006 και όχι στις διατάξεις του ΓΚΠΔ που εξακολουθεί να εφαρμόζεται για την αξιολόγηση της νομιμότητας κάθε επεξεργασίας».

[3] Είναι χαρακτηριστικό το πως υπήρξαν περιπτώσεις (ενδ. ΑΠΔΠΧ 14/2020, 28/2020) στις οποίες οι καταγγελλόμενοι επικαλέστηκαν το έννομο συμφέρον τους για την επεξεργασία των δεδομένων, με την Αρχή να εξετάζει μόνο τους όρους συγκατάθεσης για την πραγματοποίηση της επικοινωνίας.

[4] Επισημαίνεται πως ο υποψήφιος που αποστέλλει το ενημερωτικό sms/email δεν χρειάζεται να γνωρίζει τα στοιχεία του κατόχου του τηλεφωνικού αριθμού/ηλεκτρονικής διεύθυνσης, προκειμένου τα στοιχεία επικοινωνίας αυτά να θεωρούνται προσωπικά δεδομένα.

[5] Ως εκ τούτου, επιχειρήματα ως προς τη δυνατότητα του παραλήπτη να αρνηθεί ή να διακόψει την ηλεκτρονική επικοινωνία δεν απαλλάσσουν τον υποψήφιο από τις υποχρεώσεις που φέρει βάσει του ΓΚΠΔ.

[6] Κατά τούτο, απόψεις που κατατίθενται στον δημόσιο διάλογο σχετικά με επικοινωνία που είναι παράνομη λόγω απουσίας συγκατάθεσης των αποδεκτών παραβλέπουν τη θεμελιώδη προϋπόθεση νομιμότητας αυτή.

[7] Όπως παρατηρεί η Αρχή, ο υπεύθυνος επεξεργασίας δεν υποχρεούται μόνο να επιλέξει την κατάλληλη νομική βάση μεταξύ των προβλεπομένων στο άρθρο 6 παρ.1 ΓΚΠΔ, αλλά και «να είναι σε θέση να αποδείξει στο πλαίσιο της εσωτερικής συμμόρφωσης την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ, περιλαμβανομένης αυτονοήτως και της τεκμηρίωσης επί τη βάσει της οποίας κατέληξε στην οικεία νομική βάση». (Κατευθυντήριες Γραμμές 1/2023)

[8] Το έννομο συμφέρον του υποψηφίου για την επεξεργασία δεδομένων προς τον σκοπό της πολιτικής επικοινωνίας αναλύεται και από την Αρχή Προστασίας Δεδομένων στις Κατευθυντήριες Γραμμές 1/2023, τις οποίες εξέδωσε μετά τις αποφάσεις του Συμβουλίου της Επικρατείας.

[9] Η Αρχή κάνει λόγο για δυνατότητα «τεκμηρίωσης της νομιμότητας», υπενθυμίζοντας έτσι πως η υπαγωγή σε μια από αυτές τις περιπτώσεις δεν απαλλάσσει τον υποψήφιο από το να αποδείξει τη νομιμότητα αυτή.

[10] Διευκρινίζεται πως το αίτημα πρόσβασης ασκείται πάντοτε προς τον υπεύθυνο επεξεργασίας, εν προκειμένω τον αποστολέα του μηνύματος και ποτέ προς την Αρχή Προστασίας Δεδομένων.

[11] Μεταξύ άλλων, απευθείας μέσα από το μήνυμα ή με παραπομπή σε υπερσύνδεσμο.

[12] Στην περίπτωση όπου τα δεδομένα δεν έχουν συλλεγεί άμεσα από τον ίδιο τον πολίτη αλλά από τρίτο μέρος, το υποκείμενο των δεδομένων θα έπρεπε να ενημερωθεί κατά τη στιγμή της πρώτης επικοινωνίας και σε κάθε περίπτωση το αργότερο εντός ενός μήνα από τον χρόνο της συλλογής των δεδομένων, γεγονός που σημαίνει πως ένα μήνυμα που έρχεται χωρίς σχετική ενημέρωση αποκαλύπτει ενδεχόμενη ήδη τελεσθείσα παραβίαση του άρθρου 14 ΓΚΠΔ, άρα και παραβίαση της αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας του άρθρου 5 παρ.1α ΓΚΠΔ.

[13] ΔΕΕ C 154/21 (Österreichische Post), σκ. 31-48

[14] Επισημαίνεται πως η άμεση ανταπόκριση του υποψηφίου στο αίτημα για διαγραφή των δεδομένων δεν αίρει τις ευθύνες του για τυχόν παράνομη συλλογή και επεξεργασία δεδομένων, ούτε και θεραπεύει τυχόν παραβάσεις διατάξεων του ΓΚΠΔ που έχουν προηγηθεί, ωστόσο λαμβάνεται υπόψιν ελαφρυντικώς από την Αρχή στο πλαίσιο επιμέτρησης των διοικητικών κυρώσεων.