Email αποδήμων: Ακύρωση του προστίμου 40.000 ευρώ στη Νέα Δημοκρατία (ΣτΕ Ολ. 658/2025)
Πλημμελής η αιτιολογία ως προς το γιατί η Νέα Δημοκρατία θεωρήθηκε υπεύθυνος επεξεργασίας και γιατί τα ληφθέντα τεχνικά και οργανωτικά μέτρα ήταν ανεπαρκή
Δεκτή έγινε από την Ολομέλεια του Συμβουλίου της Επικρατείας η αίτηση ακύρωσης που άσκησε το πολιτικό κόμμα Νέα Δημοκρατία κατά της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με αίτημα την ακύρωση της απόφασης 38/2024 ΑΠΔΠΧ, κατά το μέρος που επιβλήθηκαν στη Ν.Δ. διοικητικές κυρώσεις και διορθωτικά μέτρα λόγω παραβάσεων της νομοθεσίας περί επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
Η απόφαση 38/2024 ΑΠΔΠΧ αποτελεί την τρίτη απόφαση της Αρχής για την υπόθεση της συλλογής και χρήσης προσωπικών δεδομένων αποδήμων προς τον σκοπό της πολιτικής επικοινωνίας. Είχαν προηγηθεί οι αποφάσεις 16/2024 ΑΠΔΠΧ, με την οποία επιβλήθηκαν διοικητικά πρόστιμα στην υποψήφια Ευρωβουλευτή και το Υπουργείο Εσωτερικών, και 22/2024 ΑΠΔΠΧ, με την οποία είχε αποφασιστεί η αναβολή έκδοσης απόφασης για τα λοιπά εμπλεκόμενα φυσικά πρόσωπα και το κόμμα της Νέας Δημοκρατίας.
Εν τέλει, με την προσβληθείσα απόφαση 38/2024, η Αρχή Προστασίας Δεδομένων διαπίστωσε ομόφωνα την παραβίαση από τη Νέα Δημοκρατία των άρθρων 25 παρ.1 και 32 ΓΚΠΔ, για την οποία επέβαλε διοικητικό πρόστιμο ύψους 30.000 ευρώ και έδωσε εντολή διαγραφής δεδομένων των εκλογέων εξωτερικού. Περαιτέρω, η Αρχή διαπίστωσε κατά πλειοψηφία την παραβίαση των άρθρων 5 παρ. 1 α’, β’ και 6 παρ. 1 ΓΚΠΔ, για την οποία επέβαλε διοικητικό πρόστιμο ύψους 10.000 ευρώ.
Τα πρόστιμα και διορθωτικά μέτρα αυτά ακυρώθηκαν από την Ολομέλεια του ΣτΕ, με το Δικαστήριο να κρίνει πως αμφότερες οι κρίσεις της Αρχής είχαν αιτιολογηθεί πλημμελώς. Ειδικότερα:
- Ως προς το πρόστιμο των 10.000 ευρώ για παράνομη επεξεργασία δεδομένων, το Δικαστήριο έκρινε ότι:
«10. Επειδή, όπως προκύπτει από την προσβαλλόμενη απόφαση, η ΑΠΔΠΧ καταλόγισε στο αιτούν πολιτικό κόμμα ευθύνη, ως «υπεύθυνο επεξεργασίας», και επέβαλε πρόστιμο 10.000 ευρώ και υποχρέωση διαγραφής δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία του επίμαχου ηλεκτρονικού αρχείου εκλογέων εξωτερικού από τον Ν.Θ., τέως Γραμματέα Αποδήμων της Ν.Δ., αφού δέχθηκε ότι η επεξεργασία έγινε «στο πλαίσιο εκπλήρωσης των αρμοδιοτήτων και των καθηκόντων που του είχαν ανατεθεί και εξυπηρετούσε σκοπούς του κόμματος (δημογραφική στατιστική ανάλυση εκλογικού αποτελέσματος Ιουνίου 2023 προς εξαγωγή πολιτικών συμπερασμάτων) [και] επομένως έγινε για λογαριασμό της Νέας Δημοκρατίας, ως υπευθύνου επεξεργασίας».
Κρίσιμο στοιχείο για τον καταλογισμό της πιο πάνω ευθύνης, αναγόμενο στην αντικειμενική υπόσταση της κατά το άρθρο 83 (παρ. 5) του ΓΚΠΔ σχετικής παραβάσεως, αποτέλεσε, κατά τα προκύπτοντα από την προσβαλλόμενη απόφαση, η προσκομισθείσα από τον Ν.Θ. με το από 26.9.2024 υπόμνημα (υποβληθέν στην Αρχή στις 27.9.2024 με αρ. πρωτ. Γ/ΕΙΣ/7447/27.9.2024) «απεικόνιση οθόνης (WhatsApp Image) στην οποία φαίνεται πίνακας από αρχείο excel με τίτλο "Diaspora - Election Results June 2023 - Detailed", ο οποίος περιλαμβάνει τις στήλες "City", "ND" (σημ.: ποσοστό), "Women %", "Median Age"...». Και τούτο για τον λόγο ότι στον ανωτέρω πίνακα αναφέρονται στοιχεία φύλου και ηλικίας των εκλογέων, τα οποία, κατά τους ισχυρισμούς του Ν.Θ., μπορούσαν να αντληθούν και αντλήθηκαν από τον επίμαχο ειδικό εκλογικό κατάλογο εξωτερικού.
Από την εν λόγω, ωστόσο, απεικόνιση οθόνης (που αποτελεί στοιχείο του φακέλου), στην οποία εμφανίζεται ως ημερομηνία η «2024-09-26...» ‒ ήτοι η ίδια με την ημερομηνία (26.9.2024) του υπομνήματος του Ν.Θ. και προηγούμενη κατά μία ημέρα της υποβολής του στην ΑΠΔΠΧ ‒ δεν προκύπτει ούτε ο χρόνος δημιουργίας (από τον Ν.Θ.) του εικονιζόμενου πίνακα ούτε αν και πότε ο πίνακας διαβιβάσθηκε, με οποιονδήποτε τρόπο, στη Ν.Δ. ούτε αν παρελήφθη από τον διευθυντή του κόμματος Ι.Σ. ή άλλο στέλεχός της.
Εξ άλλου, παρότι οι σχετικοί με την ως άνω επεξεργασία δεδομένων προσωπικού χαρακτήρα ισχυρισμοί του Ν.Θ. θεωρήθηκαν κρίσιμοι από την ΑΠΔΠΧ για τον καταλογισμό ευθύνης στο αιτούν πολιτικό κόμμα, δεν προκύπτει ειδικότερη αξιολόγησή τους ως προς το αν και με ποιόν τρόπο δεδομένα προσωπικού χαρακτήρα εκλογέων που αφορούν το φύλο ή την ηλικία και περιλαμβάνονται σε εκλογικό κατάλογο συσχετίζονται πράγματι με «στατιστική ανάλυση» γνωστών εκλογικών αποτελεσμάτων.
Πέραν των ανωτέρω, ο Ν.Θ. προσκόμισε την προαναφερθείσα απεικόνιση οθόνης («WhatsApp Image») με υπόμνημα που υπέβαλε στην ΑΠΔΠΧ στις 27.9.2024 εκπροθέσμως, δεδομένου ότι η προθεσμία για υποβολή υπομνημάτων που είχε τεθεί μετά από τη διενεργηθείσα στις 17.9.2024 ακρόαση ενώπιον της Αρχής έληγε στις 26.9.2024, όπως προκύπτει από το σχετικό «Ακριβές Απόσπασμα Πρακτικών Συνεδρίασης Ολομέλειας (17-09-2024)» της ΑΠΔΠΧ. Παρότι δε η Αρχή θεώρησε ως κρίσιμο στοιχείο την εν λόγω απεικόνιση και το περιεχόμενό της για τον καταλογισμό ευθύνης στην αιτούσα Ν.Δ., δεν της έθεσε υπόψη, όπως όφειλε, το στοιχείο αυτό και δεν ζήτησε τις απόψεις της ως προς το αν και υπό ποιες συνθήκες ο εικονιζόμενος πίνακας αναλύσεως εκλογικών αποτελεσμάτων αποτέλεσε προϊόν επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά την εσωτερική λειτουργία του αιτούντος πολιτικού κόμματος.
Υπό τα ανωτέρω δεδομένα, δεν αιτιολογείται κατά τρόπο ανεπίδεκτο αμφιβολιών η κρίσιμη, κατά την προσβαλλόμενη απόφαση, παραδοχή ότι, στο πλαίσιο των εσωτερικών κομματικών λειτουργιών και της δραστηριότητας των συγκεκριμένων στελεχών της Ν.Δ., έλαβε χώρα η επίμαχη επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Εξ άλλου, ούτε από την προσβαλλόμενη απόφαση ούτε από τα στοιχεία του φακέλου παρέχεται οποιαδήποτε ένδειξη ως προς τους λόγους για τους οποίους η Ν.Δ. θεωρήθηκε «υπεύθυνος επεξεργασίας» σε σχέση με τη συγκεκριμένη επεξεργασία, υπό την έννοια ότι καθόρισε ή ενθάρρυνε ή έστω συγκατατέθηκε στη χρήση, ως μέσου επεξεργασίας, ενός παράνομου ψηφιακού αρχείου, προερχομένου από διαρροή εκ του ΥΠ.ΕΣ., παρά το γεγονός ότι κατείχε νομίμως τον ειδικό εκλογικό κατάλογο εξωτερικού, κατόπιν χορηγήσεώς του από το ΥΠ.ΕΣ., και διέθετε όλα τα σχετικά δεδομένα (πόλη, φύλο, ηλικία εκλογέων) που φέρονται ότι αξιοποιήθηκαν κατά την επίμαχη επεξεργασία (πρβλ. προτάσεις του Γενικού Εισαγγελέα του Δ.Ε.Ε. M. S. της 6.2.2025, Russmedia Digital και Inform Media Press, C-492/23, σημεία 105 και 107). Συνεπώς, η προσβαλλόμενη απόφαση της ΑΠΔΠΧ, κατά το μέρος που επιβάλλει στο αιτούν πολιτικό κόμμα, με την ιδιότητα του «υπευθύνου επεξεργασίας», πρόστιμο 10.000 ευρώ για επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία αφορούσε «δημογραφική στατιστική ανάλυση εκλογικού αποτελέσματος Ιουνίου 2023 προς εξαγωγή πολιτικών συμπερασμάτων» (παραβίαση των άρθρων 5 παρ. 1 στοιχ. α΄ και β΄ και 6 παρ. 1 του ΓΚΠΔ), και περαιτέρω δίδει στη Ν.Δ. την εντολή να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού που έχει στην κατοχή της μέσω των σχετικών επεξεργασιών, αιτιολογείται πλημμελώς και πρέπει να ακυρωθεί κατά τον βασίμως προβαλλόμενο σχετικό λόγο ακυρώσεως.»
- Ως προς το πρόστιμο των 30.000 ευρώ για τη μη λήψη μέτρων ασφάλειας δεδομένων, το Δικαστήριο έκρινε ότι:
«13. Επειδή, συμφώνως προς τα εκτεθέντα στη μείζονα σκέψη (αρ. 11), η κρίση της ΑΠΔΠΧ περί ανεπάρκειας των τεχνικών και οργανωτικών μέτρων που έλαβε η Ν.Δ., εξ αιτίας της οποίας της επιβλήθηκε πρόστιμο 30.000 ευρώ και η υποχρέωση να θεραπεύσει τις διαπιστωθείσες ελλείψεις, αιτιολογείται πλημμελώς για τους εξής λόγους:
(A) Το αιτούν πολιτικό κόμμα επικαλέσθηκε ενώπιον της Αρχής, όπως αναλυτικώς εκτέθηκε στην προηγούμενη σκέψη, τα μέτρα τεχνικής και οργανωτικής φύσεως που είχε λάβει και που αφορούσαν i) τον σχεδιασμό και τον περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα μόνο στα απαραίτητα για τον εκάστοτε σκοπό επεξεργασίας δεδομένα (άρθρο 25 παρ. 1 και 2 του ΓΚΠΔ), και ii) την ασφάλεια της επεξεργασίας έναντι κινδύνων και τη συναφή εποπτεία των χρηστών (άρθρο 32 παρ. 1 και 4 του ΓΚΠΔ), ήτοι μέτρα σχετικά με: α) τον καθορισμό συγκεκριμένων αποδεκτών και κατηγοριών δεδομένων (ιδίως δεδομένων στελεχών, μελών και φίλων του κόμματος) που υπόκεινται σε επεξεργασία, β) τον περιορισμό της πρόσβασης στα πληροφοριακά συστήματα της Ν.Δ. μόνο σε συγκεκριμένα πρόσωπα/εξουσιοδοτημένους χρήστες και διοικητικές μονάδες (Διεύθυνση Πληροφορικής) του κόμματος, γ) τη χρήση ασφαλών συνδέσεων (VLAN/VPN), δ) τον αποκλεισμό της πρόσβασης στις βάσεις δεδομένων άλλων διοικητικών μονάδων του κόμματος, ε) την απαγόρευση μεταφοράς δεδομένων σε ιδιωτικές συσκευές χωρίς προηγούμενη άδεια της Διεύθυνσης Πληροφορικής, στ) τη συστηματική καταγραφή των επικοινωνιών και των συμβάντων ασφαλείας, ζ) τη χρήση αυτοματοποιημένων ειδοποιήσεων για σχετικές παραβάσεις, η) τις εκπαιδευτικές δράσεις για τα στελέχη του κόμματος κ.ά..
Εν τούτοις, η Αρχή δεν αξιολόγησε ειδικώς τη φύση και το περιεχόμενο των μέτρων αυτών με βάση τα προαναφερθέντα κριτήρια καταλληλότητας ούτε αν και σε ποιο βαθμό ήταν ικανά να μετριάσουν – και πάντως όχι να εξαλείψουν – τους κινδύνους για τα δεδομένα προσωπικού χαρακτήρα, την ευθύνη για την επεξεργασία των οποίων είχε η Ν.Δ..
(Β) Τόσο από το περιεχόμενο της «Πολιτικής για την Κυβερνοασφάλεια» της Ν.Δ., όσο και από τα λοιπά στοιχεία και δεδομένα που επικαλέσθηκε η Ν.Δ. ενώπιον της ΑΠΔΠΧ, προκύπτει ότι οι Γραμματείες του κόμματος ουδόλως εξαιρέθηκαν από οποιοδήποτε εκ των τεχνικών και οργανωτικών μέτρων (συστάσεων, απαγορεύσεων, εκπαιδευτικών δράσεων) που ελήφθησαν από το αιτούν πολιτικό κόμμα.
Ως εκ τούτου, η παραδοχή της ΑΠΔΠΧ ότι τα τεχνικά και οργανωτικά μέτρα που έλαβε η Ν.Δ. «δεν περιλαμβάνουν τις δραστηριότητες επεξεργασίας των Γραμματειών της», χωρίς ειδικότερη εξέταση και αξιολόγηση των ισχυρισμών της Ν.Δ. αναφορικώς με τον καθολικό και χωρίς εξαιρέσεις ως προς τους αποδέκτες τους χαρακτήρα των ληφθέντων μέτρων, είναι ομοίως πλημμελώς αιτιολογημένη.
(Γ) Η Αρχή δέχθηκε ότι οι «πολιτικές [της Ν.Δ.] σε σχέση με τα δεδομένα και τις προσωπικές συσκευές (BYOD) είναι ελλιπείς και περιορίζονται στο εσωτερικό δίκτυό της ... διότι, όπως προέκυψε από το φάκελο της υπόθεσης, σημαντικό τμήμα των δραστηριοτήτων εκτελείται από προσωπικές συσκευές στελεχών του κόμματος, για τις οποίες δεν υφίσταται καμία πρόβλεψη σε σχέση με τον έλεγχο των προσωπικών δεδομένων που ίσως τυγχάνουν επεξεργασίας σε αυτές». Περαιτέρω δε ότι «προκύπτει παράβαση ... γιατί από τον σχεδιασμό η [Ν.Δ.] άφησε χωρίς ουσιαστική εποπτεία ή καθοδήγηση όργανα του κόμματος και προσωπικό, τα οποία ... επεξεργάζονται προσωπικά δεδομένα».
Δεν αξιολογήθηκε, ωστόσο, η κρίσιμη για το ανωτέρω ζήτημα, ρητή και επιτακτική σύσταση της «Πολιτικής για την Κυβερνοασφάλεια» της Ν.Δ. προς όλους τους «Νόμιμους Χρήστες» των πληροφοριακών συστημάτων και υλικοτεχνικών υποδομών του κόμματος να αποφεύγουν τη μεταφορά οποιωνδήποτε προσωπικών δεδομένων σε άλλες συσκευές ή λογαριασμούς εκτός των πληροφοριακών συστημάτων της Ν.Δ., παρά μόνο αν είναι απολύτως απαραίτητο και τούτο «απαραιτήτως» με προηγούμενη έγγραφη έγκριση της Διευθύνσεως Πληροφορικής του κόμματος, τούτο δε σε συνδυασμό και προς τον ισχυρισμό του αιτούντος πολιτικού κόμματος ότι ουδεμία σχετική παραβίαση δεδομένων προσωπικού χαρακτήρα διαπιστώθηκε.
(Δ) Η προσβαλλόμενη απόφαση αναφέρεται σε παντελή έλλειψη προβλέψεως σε σχέση με τον έλεγχο προσωπικών δεδομένων που «ίσως» τυγχάνουν επεξεργασίας κατά την εκτέλεση δραστηριοτήτων με τη χρήση προσωπικών συσκευών στελεχών του κόμματος.
Η πιο πάνω, ωστόσο, διαπίστωση [πέραν του ότι δεν αποσαφηνίζει ούτε αν και με ποιους όρους ένας τέτοιος έλεγχος θα μπορούσε, ενδεχομένως, να επεκτείνεται και σε ιδιωτικές επικοινωνίες κομματικών στελεχών ή να αποκλείεται, εφόσον πρόκειται για ιδιωτικές επικοινωνίες, ούτε υπό ποιες προϋποθέσεις θα διασφαλιζόταν η μη αντίθεση των σχετικών ελέγχων προς το απολύτως απαραβίαστο των επικοινωνιών κατά το άρθρο 19 παρ. 1 σε συνδυασμό με το άρθρο 25 παρ. 1 εδ. τρίτο του Συντάγματος] πάντως δεν προσδιορίζει α) ούτε σε ποια προσωπικά δεδομένα αναφέρεται, για την επεξεργασία των οποίων είναι υπεύθυνη η Ν.Δ., ώστε να υποχρεούται κατά το άρθρο 32 παρ. 4 του ΓΚΠΔ να λαμβάνει ειδικότερα μέτρα ελέγχου των προσώπων που ενεργούν υπό την εποπτεία της, β) ούτε αν τα ληφθέντα τεχνικά μέτρα περιορισμού και ελέγχου (προληπτικού και κατασταλτικού) της πρόσβασης των χρηστών στα πληροφοριακά της συστήματα, όπως το αιτούν πολιτικό κόμμα τα εξέθεσε ενώπιον της Αρχής, ήταν ικανά να μετριάσουν τους κινδύνους για τα ανωτέρω δεδομένα, ακόμη και σε περίπτωση χρήσεως προσωπικών συσκευών από τα στελέχη της.
(Ε) Από την ειδικότερη διαπίστωση της Αρχής, κατά την οποία «δεν αποδείχθηκε ότι στην πράξη οι Γραμματείς του κόμματος υπογράφουν κείμενο σύμβασης εμπιστευτικότητας ... αφού δεν προσκομίστηκε στην Αρχή από καμία πλευρά υπογεγραμμένη αντίστοιχη σύμβαση εμπιστευτικότητας μεταξύ του κόμματος και του [Ν.Θ.] ή/και του [Α.Κ.]», δεν προκύπτει, πάντως, ότι η μη υπογραφή συμβάσεως εμπιστευτικότητας αίρει την ισχύ και τη δεσμευτικότητα των ληφθέντων τεχνικών και οργανωτικών μέτρων για τους Γραμματείς και τα λοιπά υπόχρεα πρόσωπα (στελέχη του κόμματος κ.λπ.). Ως εκ τούτου, μόνη η μη υπογραφή συμβάσεως εμπιστευτικότητας δεν δικαιολογεί τον συνολικό χαρακτηρισμό των εν λόγω μέτρων ως ανεπαρκών ή ακατάλληλων για τη διαφύλαξη της νομιμότητας και ασφάλειας της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
(ΣΤ) Οι παραδοχές, τέλος, ορισμένων εκ των μελών της ΑΠΔΠΧ, κατά τις οποίες: (αα) η έλλειψη πολιτικής προστασίας δεδομένων, αλλά και η απουσία πρακτικών κανόνων ελέγχου, διευκόλυναν τη διαπιστωθείσα μη νόμιμη συλλογή, εσωτερική διακίνηση και τήρηση του επίμαχου αρχείου από τον τ. Γραμματέα Αποδήμων, αλλά και τη χρήση του για τον αρχικό σκοπό του αρχείου (στατιστική ανάλυση εκλογικών αποτελεσμάτων)· και (ββ) η Ν.Δ., ακόμη και μετά τη γνώση του ελεγχόμενου περιστατικού, αλλά και τη διαπίστωση ότι στην εν λόγω «παράνομη διακίνηση» προσωπικών δεδομένων είχαν εμπλακεί δύο όργανα του κόμματος, δεν προχώρησε σε ενδελεχή διερεύνηση των συνθηκών υπό τις οποίες έλαβε χώρα η επίμαχη επεξεργασία δεδομένων από πρόσωπα που ενεργούσαν υπό την εποπτεία της και δεν προέβη σε κατάλληλες ενέργειες, προκειμένου να εξετασθεί η πιθανή ανάγκη λήψεως περαιτέρω μέτρων, δεν συνιστούν νόμιμη και επαρκή αιτιολογία της προσβαλλόμενης αποφάσεως.
Και τούτο διότι, αφενός μεν, σύμφωνα με όσα εκτέθηκαν στη μείζονα σκέψη (αρ. 11), μόνη η διαπίστωση ορισμένης παραβιάσεως δεδομένων προσωπικού χαρακτήρα δεν αρκεί για τη στοιχειοθέτηση της ανεπάρκειας των ληφθέντων μέτρων· αφετέρου δε, οι προαναφερόμενες παραδοχές, οι οποίες προϋποθέτουν ότι έλαβε χώρα η πιο πάνω επεξεργασία στο εσωτερικό της Ν.Δ., έχουν κλονισθεί κατόπιν όσων έγιναν δεκτά ανωτέρω (σκέψη 10). Συνεπώς, κατά τα βασίμως προβαλλόμενα με τον σχετικό λόγο ακυρώσεως, η προσβαλλόμενη απόφαση πρέπει να ακυρωθεί κατά το μέρος που επιβάλλει στο αιτούν πολιτικό κόμμα πρόστιμο 30.000 ευρώ για παράβαση των άρθρων 25 παρ. 1 και 32 του ΓΚΠΔ, καθώς και τη συναφή υποχρέωση να θεραπεύσει τις διαπιστωθείσες ελλείψεις στις διαδικασίες για την προστασία προσωπικών δεδομένων.»
Το πλήρες κείμενο της απόφασης ΣτΕ (Ολ.) 658/2025 είναι διαθέσιμο στον ιστότοπο του Δικαστηρίου.
