ΑΠΔΠΧ: Πρόστιμο 40.000 ευρώ σε Ευρωβουλευτή και 400.000 ευρώ στο Υπουργείο Εσωτερικών για διαρροή αρχείου προσωπικών δεδομένων αποδήμων
Έπειτα από καταγγελίες και αιτήματα Ελλήνων του εξωτερικού κατά της Ευρωβουλευτή Άννας Μισέλ Ασημακοπούλου για αζήτητη πολιτική επικοινωνία μέσω e-mail στην προσωπική τους ηλεκτρονική διεύθυνση
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
Σε επιβολή προστίμου και εντολή συμμόρφωσης σε Ευρωβουλευτή και στο Υπουργείο Εσωτερικών κατόπιν διαρροής αρχείου προσωπικών δεδομένων αποδήμων προχώρησε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Απόφαση 16/2024).
Η Αρχή επέβαλε στο Υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, διοικητικό χρηματικό πρόστιμο συνολικού ύψους 400.000 ευρώ για παραβάσεις των άρθρων 5, 25, 30, 32 και 33 του ΓΚΠΔ και έδωσε εντολή να προβεί σε ενέργειες που αφορούν τη συμμόρφωση των τηρούμενων μέτρων και διαδικασιών με τον ΓΚΠΔ, σε συγκεκριμένο χρονοδιάγραμμα.
Η Αρχή επισημαίνει ότι οι διαπιστωθείσες παραβάσεις δεν σχετίζονται με τη διαδικασία διενέργειας της ψηφοφορίας.
Η Αρχή επέβαλε στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας, διοικητικό χρηματικό πρόστιμο συνολικού ύψους 40.000 ευρώ για παραβάσεις των άρθρων 5, 6 και 14 του ΓΚΠΔ και έδωσε εντολή διαγραφής των εν λόγω δεδομένων.
Ως προς τη Νέα Δημοκρατία και τον κ. Θεοδωρόπουλο, η Αρχή ανέβαλε την έκδοση απόφασης, δεδομένου ότι ο τελευταίος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωσή του ως προς τον τρόπο περιέλευσης σε αυτόν των εκλογικών καταλόγων, ως νεότερο κρίσιμο στοιχείο, από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών.
Αναλυτικά το δελτίο τύπου της ΑΠΔΠΧ αναφέρει:
Η Αρχή Προστασίας Δεδομένων έλαβε μεγάλο πλήθος καταγγελιών σχετικά με αζήτητη πολιτική επικοινωνία μέσω e-mail που εστάλη την 1/3/2024, με τίτλο «100 ημέρες πριν από τις Ευρωεκλογές», από την Ευρωβουλευτή Άννα Μισέλ Ασημακοπούλου. Κατόπιν αυτών η Αρχή διερεύνησε αυτεπάγγελτα την υπόθεση, ασκώντας τις εξουσίες έρευνας που διαθέτει άμεσα και ελέγχοντας τους εμπλεκόμενους φορείς.
Κατόπιν σειράς επιτόπιων ελέγχων και λήψης πειστηρίων και στοιχείων στο πλαίσιο του ελέγχου, διαπιστώθηκε ότι αρχείο με προσωπικά δεδομένα του συνόλου των εγγεγραμμένων εκλογέων εξωτερικού για τις εκλογές του Ιουνίου 2023, για το οποίο το Υπουργείο Εσωτερικών είναι υπεύθυνος επεξεργασίας, και για το οποίο η ισχύουσα νομοθεσία δεν προβλέπει καμία απολύτως περίπτωση διαβίβασής του σε αποδέκτες εκτός Υπουργείου, διακινήθηκε εκτός του Υπουργείου. Το εν λόγω αρχείο περιείχε, πέραν των γνωστών στοιχείων των εκλογικών καταλόγων, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τα τηλέφωνα επικοινωνίας των εκλογέων εξωτερικού, στοιχεία τα οποία εξαιρούνται από τη χορήγηση στους δικαιούχους αντιτύπων εκλογικών καταλόγων.
Το εν λόγω αρχείο δημιουργήθηκε στις 8 Ιουνίου 2023 για εσωτερική χρήση στο Υπουργείο Εσωτερικών σε σχέση με σκοπό που αφορά την εκλογική διαδικασία. Συμπεραίνεται ότι η διαρροή του συγκεκριμένου αρχείου συνέβη μεταξύ 8 και 23 Ιουνίου 2023, καθώς αποδείχθηκε ότι στις 23 Ιουνίου 2023 το αρχείο διαβιβάστηκε στον τότε Γραμματέα Αποδήμων της Νέας Δημοκρατίας, Νίκο Θεοδωρόπουλο, από αποστολέα του οποίου δεν έχει προσδιοριστεί μέχρι σήμερα η ταυτότητα και η ιδιότητα, προκειμένου, σύμφωνα με τους ισχυρισμούς του, να το χρησιμοποιήσει για την ανάλυση των αποτελεσμάτων των εκλογών.
Στις 20 Ιανουαρίου 2024 το εν λόγω αρχείο εστάλη στην κ. Ασημακοπούλου από τον κ. Θεοδωρόπουλο. Η κ. Ασημακοπούλου στη συνέχεια επεξεργάστηκε το προερχόμενο από το Υπουργείο Εσωτερικών αρχείο με σκοπό την αποστολή e-mail σε όλους τους εκλογείς που περιέχονταν σε αυτό. Το ηλεκτρονικό μήνυμα της κ. Ασημακοπούλου δεν περιλάμβανε τις απαιτούμενες από το άρθρο 14 ΓΚΠΔ πληροφορίες προς ενημέρωση των αποδεκτών του, ιδίως για την πηγή προέλευσης των προσωπικών τους δεδομένων.
Όσον αφορά στο Υπουργείο Εσωτερικών, η διαρροή αρχείου που προορίζεται αποκλειστικά για εσωτερική χρήση αποτελεί περιστατικό παραβίασης της εμπιστευτικότητας προσωπικών δεδομένων και άρα παραβίαση δεδομένων προσωπικού χαρακτήρα. Κατά τον έλεγχο που διενήργησε η Αρχή στο Υπουργείο Εσωτερικών εντοπίστηκαν ελλείψεις στις διαδικασίες και τις εφαρμοζόμενες πολιτικές προστασίας των δεδομένων, πλημμέλειες στη διερεύνηση του περιστατικού καθώς και μη τεκμηριωμένες ανακοινώσεις των συνθηκών του περιστατικού. Τέλος, διαπιστώθηκαν ελλείψεις και ανακρίβειες στο περιεχόμενο των σχετικών τηρούμενων αρχείων δραστηριοτήτων.
Όσον αφορά στην κ. Ασημακοπούλου, η Αρχή διαπίστωσε ότι η συλλογή προσωπικών δεδομένων αποδήμων ψηφοφόρων, συμπεριλαμβανομένων των στοιχείων ηλεκτρονικής επικοινωνίας και η χρήση τους για την αποστολή μηνύματος πολιτικής επικοινωνίας έγινε κατά παράβαση της βασικής αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, καθώς έγινε κατά παράβαση μιας σειράς διατάξεων της εκλογικής νομοθεσίας και επιπλέον δεν θα μπορούσε να είναι ευλόγως αναμενόμενη για τα υποκείμενα των δεδομένων (εκλογείς εξωτερικού).
Μεταξύ άλλων η απόφαση αναφέρει:
Ως προς την Ευρωβουλευτή:
Με βάση τις ανωτέρω διαπιστώσεις, η συλλογή των προσωπικών δεδομένων αποδήμων, συμπεριλαμβανομένων στοιχείων ηλεκτρονικής επικοινωνίας, εκ μέρους της κ. Ασημακοπούλου, από τον τ. Γραμματέα Αποδήμων της ΝΔ, σε χρόνο εκτός προεκλογικής περιόδου, με ηλεκτρονικό τρόπο (εφαρμογή WhatsApp), αποτελεί αθέμιτη, μη αντικειμενική και μη σύννομη επεξεργασία: Δεδομένου ότι η εν λόγω επεξεργασία (συλλογή) έγινε κατά παράβαση μιας σειράς διατάξεων της εκλογικής νομοθεσίας, δεν θα μπορούσε να είναι ευλόγως αναμενόμενο για τα υποκείμενα (εκλογείς εξωτερικού) ότι τα προσωπικά τους δεδομένα που τηρεί το Υπουργείο Εσωτερικών για τον σκοπό της άσκησης του εκλογικού τους δικαιώματος, συμπεριλαμβανομένων των στοιχείων ηλεκτρονικής επικοινωνίας τους, θα βρίσκονταν στην κατοχή μιας Ευρωβουλευτή και θα χρησιμοποιούνταν για το σκοπό της πολιτικής επικοινωνίας μέσω e-mail.
Για τον ίδιο λόγο, και οι περαιτέρω επιμέρους πράξεις επεξεργασίας προς τον ίδιο σκοπό, δηλαδή η δημιουργία νέου αρχείου προς μεταφόρτωση στην υπηρεσία MailChimp, που περιλάμβανε το όνομα, τη χώρα και το e-mail των εκλογέων και η χρήση της ηλεκτρονικής διεύθυνσης (e-mail)των αποδήμων για την αποστολή πολιτικής επικοινωνίας είναι επίσης αθέμιτη και παράνομη.
Εξάλλου, η ως άνω επεξεργασία δεδομένων εκλογέων εξωτερικού δεν μπορεί να στηριχθεί στη νομική βάση του υπέρτερου έννομου συμφέροντος (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), αφού, λαμβάνοντας υπόψη τις παραπάνω περιστάσεις, το δικαίωμα των απόδημων εκλογέων στην προστασία των προσωπικών τους δεδομένων υπερέχει καταφανώς του εννόμου συμφέροντος της Ευρωβουλευτή να επικοινωνήσει μαζί τους ατομικά προς διάδοση των πολιτικών της δράσεων και ιδεών.
Επιπλέον, δεν παρασχέθηκε κατάλληλη και σύμφωνη με τον ΓΚΠΔ (άρθρο 14) ενημέρωση των υποκειμένων, ιδίως για την πηγή προέλευσης των δεδομένων τους, με αποτέλεσμα να παραβιάζεται και η αρχή της διαφάνειας της επεξεργασίας. Ως εκ τούτου, η επεξεργασία δεδομένων αποδήμων στην οποία προέβη η κ. Ασημακοπούλου το διάστημα από 20/1/2024 έως και 1/3/2024 παραβίασε τις θεμελιώδεις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, κατά το άρθρο 5 παρ. 1 α’ ΓΚΠΔ.
Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να δοθεί εντολή διαγραφής δεδομένων προσωπικού χαρακτήρα, και να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς
Ως προς το Υπουργείο Εσωτερικών
Α. Από τα ανωτέρω σημεία α), β), γ) προκύπτει ότι αρχείο με προσωπικά δεδομένα του συνόλου των εγγεγραμμένων εκλογέων εξωτερικού για τις εκλογές του Ιουνίου 2023, για το οποίο το Υπουργείο Εσωτερικών είναι υπεύθυνος επεξεργασίας, και για το οποίο η ισχύουσα νομοθεσία δεν προβλέπει καμία απολύτως περίπτωση διαβίβασης του εκτός Υπουργείου, διακινήθηκε εκτός του Υπουργείου. Αν και δεν έγινε δυνατό να διαπιστωθεί με ποιο τρόπο έγινε η εν λόγω διαβίβαση, το γεγονός αυτό αποτελεί αδιαμφισβήτητα περιστατικό παραβίασης της εμπιστευτικότητας προσωπικών δεδομένων και άρα παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ορισμό του άρθρου 4 περ. 12 του ΓΚΠΔ, καθώς είναι βέβαιο ότι τα υφιστάμενα μέτρα παραβιάστηκαν και υπήρξε άνευ άδειας κοινολόγηση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, τα οποία μάλιστα στη συνέχεια υποβλήθηκαν σε περαιτέρω επεξεργασία.
Β. Από τα ανωτέρω σημεία δ) έως ζ) προκύπτει ότι οι πολιτικές και διαδικασίες που ακολουθεί το Υπουργείο για τη μαζική εξαγωγή και εσωτερική διακίνηση δεδομένων εκλογέων του εξωτερικού δεν περιείχαν ειδικές προβλέψεις (ειδικά μέτρα ασφάλειας κατά τη διακίνηση των αρχείων) και περιορισμούς (αναφορικά με τους αποδέκτες των αρχείων), αλλά ούτε προβλέψεις για την καταγραφή και τεκμηρίωση των ενεργειών καθώς και την έγκριση του σκοπού εξαγωγής. Περαιτέρω, οι σχεδιασμένες διαδικασίες δεν περιλαμβάνουν κανένα μέτρο για τον περιορισμό κινδύνου που προκαλείται από τον ανθρώπινο παράγοντα (ο οποίος σύμφωνα και με το Υπουργείο απεδείχθη καταλυτικός και καθοριστικός). Να σημειωθεί ότι ο κίνδυνος από τον ανθρώπινο παράγοντα αναφέρεται από τα στοιχεία των αρχών ως ένας βασικός παράγοντας από τον οποίο προκαλούνται περιστατικά παραβίασης προσωπικών δεδομένων ενώ είχε επισημανθεί ειδικά από την Αρχή ήδη από το 2018. Επίσης προέκυψε ότι τα εφαρμοζόμενα μέτρα δεν επανεξετάστηκαν για τις ειδικές ανάγκες επεξεργασίας των καταλόγων εκλογέων εξωτερικού.
Γ. Από τα ανωτέρω σημεία η) έως ι) εντοπίζονται ελλείψεις στις διαδικασίες και πολιτικές για την προστασία των δεδομένων (όπως αναφέρονται στο πλαίσιο της λογοδοσίας στο άρθρο 24 του ΓΚΠΔ), δηλαδή ο υπεύθυνος επεξεργασίας δεν εφάρμοσε αποτελεσματικά κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας τα κατάλληλα τεχνικά μέτρα καταγραφής ενεργειών των χρηστών οργανωτικά μέτρα, για την εφαρμογή αρχών προστασίας των δεδομένων, όπως προβλέπεται στο άρθρο 25, παρ. 1 για την προστασία δεδομένων ήδη από το σχεδιασμό.
Δ. Από τα ανωτέρω ια), ιβ), ιγ) προκύπτει ότι δεν περιλαμβάνονται στην υποβληθείσα Γνωστοποίηση Περιστατικού Παραβίασης Προσωπικών Δεδομένων πληροφορίες που ανακοινώθηκαν δημόσια και είχαν αναφερθεί σε συνέντευξη της Υπουργού προ της υποβολής της γνωστοποίησης, ενώ δεν περιλαμβάνονται στην υποβληθείσα Γνωστοποίηση Περιστατικού Παραβίασης Προσωπικών Δεδομένων, παρότι είχαν αναφερθεί σε συνέντευξη της Υπουργού προ της υποβολής της γνωστοποίησης. Με τον χειρισμό αυτό του περιστατικού δεν εκπλήρωσε τις υποχρεώσεις του άρθρου 33 παρ. 3, 4 και 5 του ΓΚΠΔ σχετικά με τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή.
Ε. Από το ανωτέρω σημείο ιδ) παρατηρούνται ελλείψεις και ανακρίβειες στο περιεχόμενο των τηρούμενων αρχείων δραστηριοτήτων που αφορούν το σύστημα ΟΣΥΕΔ, όπως απαιτούνται από άρθρο 30 του ΓΚΠΔ.
Ως προς την Νέα Δημοκρατία και τον κ. Θεοδωρόπουλο, η Αρχή αναβάλλει την έκδοση απόφασης, δεδομένου ότι ο τελευταίος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωση ως νεότερο στοιχείο, το οποίο μπορεί να ληφθεί υπόψη από την Αρχή στο πλαίσιο του αυτεπάγγελτου ελέγχου και από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών
Δείτε αναλυτικά την απόφαση.
