ΑΠΔΠΧ: Πρόστιμα 40.000 ευρώ στη Νέα Δημοκρατία και 10.000 ευρώ σε δύο στελέχη της για μη νόμιμη χρήση αρχείων εκλογικών καταλόγων και έλλειψη μέτρων προστασίας δεδομένων (απόφαση 38/2024)

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε συνολικό πρόστιμο 40.000 ευρώ στο πολιτικό κόμμα της Νέας Δημοκρατίας, καθώς και πρόστιμο 10.000 ευρώ σε καθένα από τα δύο στελέχη του κόμματος, για μη νόμιμη χρήση αρχείων εκλογικών καταλόγων εκλογέων εξωτερικού και έλλειψη μέτρων προστασίας δεδομένων (απόφαση 38/2024).

Πιο αναλυτικά, η Αρχή διαπίστωσε, μεταξύ άλλων, ότι το εν λόγω αρχείο των εκλογικών καταλόγων εκλογέων εξωτερικού για τις εκλογές Ιουνίου 2023 εστάλη μέσω WhatsApp από τον τότε Οργανωτικό Γραμματέα Αυτοδιοίκησης και Διαχείρισης Κρίσεων της Νέας Δημοκρατίας, Μένιο Κορομηλά, στον τότε Γραμματέα Διασποράς της Νέας Δημοκρατίας, Νίκο Θεοδωρόπουλο.

Ανάλογη διαβίβαση αρχείου προσωπικών δεδομένων υποστηρίχθηκε ότι είχε λάβει χώρα με το ίδιο μέσο μεταξύ των ιδίων προσώπων για τις εκλογές της 21ης Μαΐου 2023.  

Διαπίστωσε, επίσης ότι από τη Νέα Δημοκρατία είχαν δοθεί μεν γενικές πληροφορίες για την εφαρμογή του ΓΚΠΔ και για την τήρηση εμπιστευτικότητας έναντι τρίτων, ωστόσο δεν αποδείχθηκε ότι είχαν δοθεί προς τους ανωτέρω Γραμματείς ειδικότερες οδηγίες σε σχέση με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο άσκησης των αρμοδιοτήτων τους. Περαιτέρω, δεν αποδείχθηκε ότι στην πράξη οι Γραμματείς του κόμματος υπογράφουν κείμενο σύμβασης εμπιστευτικότητας, όπως αυτό που προσκόμισε η Νέα Δημοκρατία σε μορφή προτύπου, αφού δεν προσκομίστηκε στην Αρχή από καμία πλευρά υπογεγραμμένη αντίστοιχη σύμβαση εμπιστευτικότητας μεταξύ του κόμματος και των ανωτέρω προσώπων.

Διαπιστώθηκε, εξάλλου, έλλειψη σαφών οδηγιών προς τα Όργανα ως προς τις ακριβείς αρμοδιότητές τους και τον τρόπο με τον οποίο οφείλουν να εκπληρώνουν τα καθήκοντά τους, με αποτέλεσμα να χρησιμοποιηθεί εν τοις πράγμασι το υπό κρίση παρανόμως εξαχθέν από το Υπουργείο Εσωτερικών αρχείο προσωπικών δεδομένων, για σκοπούς λεπτομερούς στατιστικής ανάλυσης του εκλογικού αποτελέσματος της Νέας Δημοκρατίας ανά πόλη, ηλικία και φύλο. Διαπιστώθηκε, επίσης, ότι για μεγάλο χρονικό διάστημα τρία ανώτερα στελέχη του κόμματος επεξεργάζονταν, σε διαφορετικά χρονικά  σημεία ο καθένας, τους επίμαχους εκλογικούς καταλόγους. 

Ως προς τον τότε Οργανωτικό Γραμματέα Αυτοδιοίκησης και Διαχείρισης Κρίσεων, η Αρχή έκρινε κατά πλειοψηφία ότι διαβίβασε στον τότε Γραμματέα Διασποράς, συνεπώς, επεξεργάστηκε κατάλογο εκλογέων εξωτερικού, ο οποίος περιείχε τα e-mails και τα τηλέφωνα επικοινωνίας των εκλογέων εξωτερικού. Η εν λόγω επεξεργασία έγινε κατά παράβαση των διατάξεων που προβλέπουν τη νόμιμη διαδικασία παράδοσης εκλογικών καταλόγων στα πολιτικά κόμματα κατά την προεκλογική περίοδο, επομένως έλαβε χώρα κατά παράβαση της βασικής αρχής της νομιμότητας, (άρθρο 5 παρ. 1 α’ σε συνδυασμό με 6 παρ. 1 ΓΚΠΔ). 

Έκρινε, επίσης, πως ο Μένιος Κορομηλάς είναι Υπεύθυνος Επεξεργασίας, διότι η ιδιότητά του εντός της Νέας Δημοκρατίας (Γραμματέας Αυτοδιοίκησης και Διαχείρισης Κρίσεων) δεν έχει σχέση με τους καταλόγους εκλογέων εξωτερικού που υπάγονται σε άλλη Γραμματεία του κόμματος (Αποδήμων). Εξάλλου, δεν αποδείχθηκε ότι η διαβίβαση του εν λόγω καταλόγου από τον Μένιο Κορομηλά στον Νίκο Θεοδωρόπουλο έγινε κατόπιν εντολής κομματικού στελέχους. Με βάση τα ανωτέρω και λαμβανομένου ιδίως υπόψη την έλλειψη αρμοδιότητας του Μένιου Κορομηλά για επεξεργασία των καταλόγων εκλογέων εξωτερικού, θα πρέπει να θεωρηθεί, όσον αφορά τη συγκεκριμένη επεξεργασία διαβίβασης του εκλογικού καταλόγου στον Νίκο Θεοδωρόπουλο, αυτοτελώς και προσωπικώς ως Υπεύθυνος Επεξεργασίας. 

Ακολούθως, η Αρχή έκρινε ότι τα τεχνικά και οργανωτικά μέτρα που έχει λάβει η Νέα Δημοκρατία ως Υπεύθυνη Επεξεργασίας προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ (πολιτικές) δεν περιλαμβάνουν τις δραστηριότητες επεξεργασίας των Γραμματειών της. Αν και η οργάνωση του κόμματος είναι συγκεκριμένη με βάση το καταστατικό της, οι πολιτικές σε σχέση με τα δεδομένα και τις προσωπικές συσκευές (BYOD) είναι ελλιπείς και περιορίζονται στο εσωτερικό δίκτυό της. Και τούτο διότι, όπως προέκυψε από το φάκελο της υπόθεσης, σημαντικό τμήμα των δραστηριοτήτων εκτελείται από προσωπικές συσκευές στελεχών του κόμματος, για τις οποίες δεν υφίσταται καμία πρόβλεψη σε σχέση με τον έλεγχο των προσωπικών δεδομένων που ίσως τυγχάνουν επεξεργασίας σε αυτές. 

Ως εκ τούτου  προκύπτει παράβαση του άρθρου 25 παρ.1 του ΓΚΠΔ, γιατί από τον σχεδιασμό, η Νέα Δημοκρατία άφησε χωρίς ουσιαστική εποπτεία ή καθοδήγηση όργανα του κόμματος και προσωπικό, τα οποία είναι γνωστό ότι επεξεργάζονται προσωπικά δεδομένα. Αυτό είναι μια αστοχία από τον σχεδιασμό, καθώς έγινε κατ’ επιλογή του Υπευθύνου Επεξεργασίας.

Περαιτέρω, η Αρχή έκρινε κατά πλειοψηφία ότι η Νέα Δημοκρατία πρέπει να θεωρηθεί ως Υπεύθυνη Επεξεργασίας για την επεξεργασία του αρχείου εκλογέων εξωτερικού από τον τ. Γραμματέα Αποδήμων της Νέας Δημοκρατίας. Η επεξεργασία αυτή έγινε στο πλαίσιο εκπλήρωσης των αρμοδιοτήτων και των καθηκόντων που του είχαν ανατεθεί και εξυπηρετούσε σκοπούς του κόμματος (δημογραφική στατιστική ανάλυση εκλογικού αποτελέσματος Ιουνίου 2023 προς εξαγωγή πολιτικών συμπερασμάτων), επομένως έγινε για λογαριασμό της Νέας Δημοκρατίας, ως υπευθύνου επεξεργασίας. Η εν λόγω επεξεργασία, έγινε κατά παράβαση των διατάξεων που προβλέπουν τη νόμιμη διαδικασία παράδοσης εκλογικών καταλόγων στα πολιτικά κόμματα κατά την προεκλογική περίοδο, επομένως έλαβε χώρα κατά παράβαση της βασικής αρχής της νομιμότητας, (άρθρο 5 παρ. 1 α’ σε συνδυασμό με 6 παρ. 1 ΓΚΠΔ).

Τέλος, όσον αφορά τον Νίκο Θεοδωρόπουλο, κρίθηκε πως αυτός διατήρησε στην κατοχή του το αρχείο εκλογέων εξωτερικού για αρκετούς μήνες (Ιούνιος 2023 έως Ιανουάριο 2024) και μετά την άσκηση των αρμοδιοτήτων του που αφορούσαν τη δημογραφική και τη στατιστική ανάλυση εκλογικού αποτελέσματος προς εξαγωγή πολιτικών συμπερασμάτων. Δεν αμφισβητείται δε ότι είναι το πρόσωπο που διαβίβασε το εν λόγω αρχείο στην Άννα Μισέλ Ασημακοπούλου, χωρίς να προκύπτει όμως ότι τούτο έγινε κατόπιν κομματικής εντολής και χωρίς να προκύπτει συγκεκριμένη κομματική ιδιότητα της Άννας Μισέλ Ασημακοπούλου (πέρα από αυτή της μίας εκ των ευρωβουλευτών της Νέας Δημοκρατίας) που να δικαιολογεί την αποστολή του αρχείου σε αυτήν. Οι ισχυρισμοί περί κομματικής εντολής κρίθηκαν από την Αρχή αόριστοι, καθώς δεν συνοδεύτηκαν από την αναφορά συγκεκριμένου ονόματος.

Υπό τα δεδομένα αυτά, η Αρχή έκρινε κατά πλειοψηφία ότι ο Νίκος Θεοδωρόπουλος έδρασε αυτοτελώς ως υπεύθυνος επεξεργασίας κατά το μέρος που αφορά την αποστολή του αρχείου εκλογέων εξωτερικού στην Άννα Μισέλ Ασημακοπούλου.   

Κατόπιν των ανωτέρω, η Αρχή επέβαλε τις εξής διοικητικές κυρώσεις:

Α. Επέβαλε στον Μένιο Κορομηλά πρόστιμο 10.000 ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και άρθρο 6 παρ. 1 του ΓΚΠΔ.

Β. Επέβαλε στη Νέα Δημοκρατία χρηματικό πρόστιμο ύψους 30.000 ευρώ για τις παραβιάσεις των άρθρων 25 παρ. 1 και 32 του ΓΚΠΔ. Έδωσε, επίσης, εντολή, κατ’ άρθρο 58 παρ. 2 εδ. ζ’ του ΓΚΠΔ στην Νέα Δημοκρατία, ως υπεύθυνο επεξεργασίας, να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού που έχει στην κατοχή της μέσω των περιγραφόμενων στο σκεπτικό παράνομων επεξεργασιών και να θεραπεύσει τις ελλείψεις στις διαδικασίες για την προστασία προσωπικών δεδομένων, όπως περιγράφονται στο σκεπτικό και να διασφαλίσει την τήρησή τους από τα κομματικά της στελέχη.

Γ. Επέβαλε στη Νέα Δημοκρατία πρόστιμο 10.000 ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και 6 παρ. 1 του ΓΚΠΔ.

Δ. Τέλος, επέβαλε στον Νίκο Θεοδωρόπουλο πρόστιμο 10.000 ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και άρθρο 6 παρ. 1 ΓΚΠΔ.

Δείτε αναλυτικά την απόφαση της Αρχής στο dpa.gr.