ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ Απόφ.ΑΠΔΠΧ 16/2024 Επιβολή προστίμου και εντολή συμμόρφωσης σε Ευρωβουλευτή και σε Υπουργείο κατόπιν διαρροής αρχείου προσωπικών δεδομένων αποδήμων

Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Η υπόθεση αφορούσε την καταγγελία 236 Ελλήνων του εξωτερικού κατά Ευρωβουλευτή για ανεπιθύμητη πολιτική επικοινωνία μέσω e-mail, τα οποία είχαν χρησιμοποιηθεί για την εγγραφή τους στους ειδικούς εκλογικούς καταλόγους εξωτερικού το έτος 2023 μέσω της πλατφόρμας του Υπουργείου. Επιπλέον, υπήρξαν 66 καταγγελίες κατά του Υπουργείου για παραβίαση των προσωπικών τους δεδομένων λόγω της εικαζόμενης διαρροής της διεύθυνσης e-mail τους προς την Ευρωβουλευτή. Η Αρχή Προστασίας Δεδομένων, μετά από έρευνα και ακρόαση των εμπλεκομένων, κατέληξε στο συμπέρασμα ότι η Ευρωβουλευτής είχε παραβιάσει τον ΓΚΠΔ, χρησιμοποιώντας τα e-mails των εκλογέων για πολιτική επικοινωνία χωρίς τη συγκατάθεσή τους και χωρίς να έχει ενημερώσει τα υποκείμενα για την επεξεργασία των δεδομένων τους. Επιπρόσθετα, το Υπουργείο κρίθηκε υπεύθυνο για την διαρροή των δεδομένων, καθώς δεν είχε λάβει τα απαραίτητα μέτρα για να διασφαλίσει την εμπιστευτικότητα και την ασφάλεια των δεδομένων προσωπικού χαρακτήρα. Η Αρχή επέβαλε κυρώσεις στην Ευρωβουλευτή και στο Υπουργείο, λαμβάνοντας υπόψη τη σοβαρότητα της παράβασης, τον αριθμό των επηρεαζόμενων ατόμων και την ανάγκη για αποτροπή παρόμοιων παραβάσεων στο μέλλον.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΑΠΟΦΑΣΗ 16/2024
Αθήνα, 27 Μαΐου 2024
Αριθμ. Πρωτ. 1484
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε συνεδρίαση στην έδρα της, στις 17-05-2024, στις 18-05-2024 και στις 27-05-2024, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Στη συνεδρίαση παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, τα τακτικά μέλη Χαράλαμπος Ανθόπουλος, Σπυρίδων Βλαχόπουλος και Κωνσταντίνος Λαμπρινουδάκης, ως εισηγητές, και τα τακτικά μέλη Αικατερίνη Ηλιάδου, Χρήστος Καλλονιάτης, και Γρηγόριος Τσόλιας. Παρόντες, χωρίς δικαίωμα ψήφου, ήταν οι ειδικοί επιστήμονες - ελεγκτές, Γεωργία Παναγοπούλου, Γεώργιος Ρουσόπουλος και Χάρις Συμεωνίδου, ως βοηθοί εισηγητών και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων της Αρχής, ως γραμματέας.
Η Αρχή έλαβε υπόψη τα παρακάτω:
I. ΙΣΤΟΡΙΚΟ
Στην Αρχή υποβλήθηκαν από την 01-03-2024 μέχρι την 16-04-2024 236 καταγγελίες και αιτήματα Ελλήνων του εξωτερικού κατά της Ευρωβουλευτή ... για αζήτητη πολιτική επικοινωνία μέσω e-mail στην προσωπική τους ηλεκτρονική διεύθυνση, την οποία όλοι οι καταγγέλλοντες είχαν χρησιμοποιήσει για την εγγραφή τους στους ειδικούς εκλογικούς καταλόγους εξωτερικού το έτος 2023 μέσω της πλατφόρμας του Υπουργείου ... apodimoi.gov.gr. Το ηλεκτρονικό μήνυμα της καταγγελλόμενης, με τίτλο «100 ημέρες πριν από τις Ευρωεκλογές», είχε σταλεί την ίδια ημέρα και σε μεγάλη χρονική εγγύτητα με ενημερωτικό μήνυμα του Υπουργείου ... προς τους Έλληνες του εξωτερικού σχετικά με την επιστολική ψήφο. Αρκετοί καταγγέλλοντες ανέφεραν, προσκομίζοντας σχετική αποτύπωση οθόνης (screenshot), ότι κατά την προσπάθεια απεγγραφής τους από τη λίστα αποδεκτών του μηνύματος εμφανιζόταν η πληροφορία ότι η λίστα είχε την ονομασία «ΑΠΟΔΗΜΟΙ». Σε ορισμένες περιπτώσεις οι καταγγέλλοντες ανέφεραν ότι η διεύθυνση e-mail στην οποία είχαν λάβει το μήνυμα της Ευρωβουλευτή χρησιμοποιείται αποκλειστικά για τις επικοινωνίες τους με το Ελληνικό Δημόσιο. Παράλληλα, το ίδιο διάστημα υποβλήθηκαν στην Αρχή 66 καταγγελίες Ελλήνων του εξωτερικού κατά του Υπουργείου ... για παραβίαση των προσωπικών τους δεδομένων, λόγω της εικαζόμενης διαρροής της διεύθυνσης e-mail τους από το Υπουργείο προς την προαναφερόμενη Ευρωβουλευτή.
Ι.Α ΠΕΡΙΓΡΑΦΗ ΕΝΕΡΓΕΙΩΝ ΚΑΙ ΕΥΡΗΜΑΤΩΝ
Σε συνέχεια του μεγάλου αριθμού καταγγελιών και ερωτημάτων που υπεβλήθησαν και έχοντας λάβει γνώση σχετικών διαμαρτυριών που δημοσιεύτηκαν στον τύπο και στα μέσα κοινωνικής δικτύωσης, η Αρχή απέστειλε το με αρ. πρωτ. .../04-01-2024 έγγραφο στην κ. ... . Με το έγγραφό της η Αρχή ενημέρωσε την Ευρωβουλευτή ότι ασκεί τις εξουσίες έρευνας που διαθέτει δυνάμει του άρθρου 58 ΓΚΠΔ και του άρθρου 13 παρ. 1 στοιχ. η’ του ν. 4624/2019 και την κάλεσε να απαντήσει εντός 10 ημερών από τη λήψη του, στα ακόλουθα ερωτήματα, προσκομίζοντας και τα σχετικά έγγραφα: α) Ποια ήταν η πηγή των διευθύνσεων ηλεκτρονικού ταχυδρομείου που ανήκουν στην λίστα παραληπτών του μηνύματος με τίτλο «100 ημέρες πριν από τις Ευρωεκλογές», και ποια η πηγή ειδικότερα για την λίστα ηλεκτρονικών διευθύνσεων με την ονομασία «ΑΠΟΔΗΜΟΙ», η οποία αναφέρεται κατά την προσπάθεια απεγγραφής των καταγγελλόντων, β) Ποια ήταν η νομική βάση επεξεργασίας των ηλεκτρονικών διευθύνσεων των παραληπτών του εν θέματι μηνύματος, γ) Με ποιο τρόπο ενημερώθηκαν τα υποκείμενα των δεδομένων για την κατά τα ανωτέρω επεξεργασία των δεδομένων τους, σύμφωνα με την αρχή της διαφάνειας της επεξεργασίας, δ) Να προσκομιστούν πλήρη και ακριβή στοιχεία (αποδεικτικά αποστολής, λίστες αποδεκτών κ.ό.κ.) από τα οποία προκύπτει ο συνολικός αριθμός των αποδεκτών του παραπάνω μηνύματος καθώς και ο αριθμός των ηλεκτρονικών διευθύνσεων της λίστας «ΑΠΟΔΗΜΟΙ».
Την ίδια μέρα η Αρχή απέστειλε το με αρ. πρωτ. .../04-03-2024 έγγραφο προς το Υπουργείο Εσωτερικών, ενημερώνοντας ότι έχει υποβληθεί πλήθος καταγγελιών που αφορούν την αποστολή μηνύματος πολιτικής επικοινωνίας σε εγγεγραμμένους στους ειδικούς εκλογικούς καταλόγους του εξωτερικού. Με το έγγραφο κάλεσε το Υπουργείο εντός δέκα (10) ημερών από τη λήψη του εγγράφου να απαντήσει σε ποιους αποδέκτες έχει χορηγήσει αντίτυπα εκλογικών καταλόγων εξωτερικού κατά το τελευταίο έτος, διευκρινίζοντας ποια στοιχεία περιλαμβάνονται στους εκλογικούς καταλόγους που έχουν χορηγηθεί, και παρέχοντας κάθε σχετικό στοιχείο τεκμηρίωσης, συμπεριλαμβανομένων των συναφών αιτημάτων.
Στη συνέχεια η Αρχή απέστειλε και το .../11-03-2024 έγγραφο προς το Υπουργείο Εσωτερικών, με το οποίο ζήτησε συμπληρωματικά να υποβάλει μέχρι την Πέμπτη 14-03-2024 και τα εξής στοιχεία: Τη λίστα αποδεκτών, τον τρόπο άντλησής της από τα συστήματα του Υπουργείου, την πλατφόρμα μέσω της οποίας έγινε η αποστολή, τα στοιχεία τυχόν εκτελούντος την επεξεργασία για λογαριασμό του Υπουργείου, τα αρχεία καταγραφής και κάθε σχετική τεκμηρίωση που αφορούν: α) Την αποστολή επιστολής προς τις Ελληνίδες και τους Έλληνες που ζουν στο εξωτερικό, στις 20 Φεβρουαρίου 2024, με αρ. πρωτ. 273, που αναφέρεται σε σχετικό δελτίο τύπου του Υπουργείου, β) Την αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου από τη διεύθυνση ... στις 1 Μαρτίου 2024 στους εγγεγραμμένους στους ειδικούς εκλογικούς καταλόγους του εξωτερικού, με ενημερωτικό περιεχόμενο σχετικά με την επιστολική ψήφο.
Η κ. ... με το με αρ. πρωτ. .../12-03-2024 έγγραφο αιτήθηκε παράταση προθεσμίας για την υποβολή των απόψεών της μέχρι την 26-03-2024. Η Αρχή απάντησε στο αίτημα με το με αρ. πρωτ. .../13-03-2024 έγγραφο με το οποίο την ενημέρωσε ότι ως νέα προθεσμία για την απάντησή της ορίζεται η Πέμπτη 21-03-2024 και ώρα 2 μ.μ. και επισήμανε ότι δεν είναι δυνατόν να χορηγηθεί περαιτέρω αναβολή. Στο ίδιο έγγραφο τονίστηκε ότι είναι επιθυμητή η αποστολή στην αρχικώς ταχθείσα προθεσμία, δηλαδή στις 15-3-2024, της πλήρους λίστας αποδεκτών με το όνομα «ΑΠΟΔΗΜΟΙ» στους οποίους εστάλη το ηλεκτρονικό μήνυμα την 01-03-2024.
Το Υπουργείο ..., με το με αρ. πρωτ. .../12-03-2024 έγγραφο απάντησε στο με αρ. πρωτ. .../04-03-2024 έγγραφο της Αρχής. Στο έγγραφο αυτό, το Υπουργείο αναφέρει, μεταξύ άλλων τα εξής: Α) Σχετικά με το νομικό πλαίσιο για τα στοιχεία που περιλαμβάνονται τους εκλογικούς καταλόγους: 1. Σύμφωνα με τις κείμενες διατάξεις στο άρθρο 3 του ν.4648/2019 (ΦΕΚ 205/τ.Α/2019) ορίζεται ότι οι εκλογικοί κατάλογοι εξωτερικού που καταρτίζονται, φέρουν τον τίτλο «Ειδικός Εκλογικός Κατάλογος Εξωτερικού» και περιέχουν τα ακόλουθα: α) τον αύξοντα αριθμό, β) τον Ειδικό Εκλογικό Αριθμό, γ) το επώνυμο, δ) το όνομα, ε) το όνομα του πατέρα, στ) το όνομα της μητέρας, ζ) το όνομα συζύγου και το επώνυμο πατέρα (εφόσον πρόκειται για έγγαμη γυναίκα που φέρει το επώνυμο του συζύγου), η) την ημερομηνία και τον χρόνο γέννησης, θ) τον βασικό εκλογικό κατάλογο (βασική εκλογική περιφέρεια) όπου είναι εγγεγραμμένος (νομός, δήμος, εκλογικό διαμέρισμα), ι) την πλήρη διεύθυνση διαμονής, ια) τη διεύθυνση ηλεκτρονικού ταχυδρομείου, ιβ) τα τηλέφωνα επικοινωνίας. 2. Σύμφωνα με το άρθρο 3 του ν.4648/2019, οι διατάξεις του άρθρου 23 του π.δ. 26/2012 εφαρμόζονται αναλόγως και για τους ειδικούς εκλογικούς καταλόγους εξωτερικού, με την επιφύλαξη των στοιχείων ια) και ιβ), δηλαδή τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τα τηλέφωνα επικοινωνίας των εκλογέων. Διευκρινίζεται με βάση τα ανωτέρω ότι, τα αντίτυπα των εκλογικών καταλόγων εξωτερικού που διατίθενται στους δικαιούχους, δεν περιλαμβάνουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τα τηλέφωνα επικοινωνίας των εκλογέων. Β) Σχετικά με τις ενέργειες της Διεύθυνσης Εκλογών και της Διεύθυνσης Ηλεκτρονικής Διακυβέρνησης σχετικά με τη χορήγηση αντιγράφων εκλογικών καταλόγων, το Υπουργείο ανέφερε ότι σύμφωνα με το άρθρο 53 του ν. 4648/2019, η διάθεση αντιτύπων εκλογικών καταλόγων πραγματοποιείται ως εξής: Μία (1) πλήρη σειρά των εκλογικών καταλόγων σε ψηφιακά μέσα χωρίς καταβολή αντιτίμου, καθώς και μία (1) σειρά αντιτύπων δημοσιευμάτων του Υπουργείου Εσωτερικών εκλογικού περιεχομένου δικαιούνται τα κόμματα που εκπροσωπούνται στη Βουλή ή το Ευρωπαϊκό Κοινοβούλιο. Επίσης τα παραπάνω είδη δικαιούνται κατά την προεκλογική περίοδο και τα αναγνωρισμένα κόμματα, σύμφωνα με τον Κανονισμό της Βουλής, καθώς και αυτά που καταρτίζουν συνδυασμούς στα 2/3 των εκλογικών περιφερειών του Κράτους, βασικών και ετεροδημοτών. Αντίτυπα εκλογικών καταλόγων μπορούν να διατίθενται κατά την προεκλογική περίοδο με την καταβολή αντιτίμου υπέρ του Δημοσίου, που ορίζεται από τον Υπουργό Εσωτερικών σε βουλευτές, ευρωβουλευτές, υποψηφίους βουλευτές ή υποψηφίους στις περιφερειακές και δημοτικές και κοινοτικές εκλογές, και μόνο για τις εκλογικές περιφέρειες, τις περιφέρειες ή τους δήμους όπου έχουν εκλεγεί, όπως προκύπτει βάσει των σχετικών αποφάσεων ανακήρυξής τους ή θα είναι υποψήφιοι σύμφωνα με έγγραφη δήλωσή τους. Γ) Όσον αφορά τη διάθεση εκλογικών καταλόγων του 2023: Κατά τις προεκλογικές περιόδους Μαΐου – Ιουνίου 2023 κανένα φυσικό πρόσωπο με την ιδιότητα του υποψηφίου δεν αιτήθηκε αντίτυπο ειδικών εκλογικών καταλόγων εξωτερικού του 2023. Τα πολιτικά κόμματα που παρέλαβαν δια των εκπροσώπων τους μετά τις 09-05-2023 από τη Διεύθυνση Ηλεκτρονικής Διακυβέρνησης εκλογικούς καταλόγους με την Α’ Αναθεώρηση 2023 συμπεριλαμβανομένων των εκλογικών τμημάτων, παρέλαβαν και αρχείο με τους ειδικούς εκλογικούς καταλόγους εξωτερικού. Παρατίθεται πίνακας με τις αιτήσεις πολιτικών κομμάτων, πίνακας με τα αποδεικτικά παραλαβής έως και 13-6-2023 καθώς και απόσπασμα ειδικού εκλογικού καταλόγου εξωτερικού, που τα κόμματα έλαβαν (σε αυτό δεν περιλαμβάνονται τα e-mails).
Το Υπουργείο ..., με το με αρ. πρωτ. .../15-03-2024 έγγραφό του απάντησε στο με αρ. πρωτ. .../11-03-2024 έγγραφο της Αρχής με την αποστολή δύο CD με τον κατάλογο των ηλεκτρονικών διευθύνσεων και των μηνυμάτων ηλεκτρονικού ταχυδρομείου, που στάλθηκαν στις 29-02-2024 και 01-03-2024. Στο έγγραφο αυτό αναφέρονται μεταξύ άλλων τα ακόλουθα: Για λογαριασμό του Υπουργείου ..., εξουσιοδοτημένο στέλεχος του αναδόχου του έργου (...) του Ολοκληρωμένου Συστήματος Υποστήριξης Εκλογικών Διαδικασιών (ΟΣΥΕΔ) (αρ. σύμβασης 2/2024) προέβη στις εξής ενέργειες: α) Σύμφωνα με το Νόμο 5083/2024 (άρθρο 37 παρ. 2), οι αιτήσεις εκείνων των πολιτών από τη βάση δεδομένων των Ελλήνων του εξωτερικού 2023 που είχαν εγκριθεί από το Υπουργείο Εσωτερικών έως 30/6/2023, μετέπεσαν στη βάση δεδομένων των αιτήσεων επιστολικής ψήφου. Εξαιρέθηκαν οι εκλογείς εξωτερικού του 2023, οι οποίοι ήδη είχαν εγγραφεί στην πλατφόρμα της επιστολικής (η οποία λειτουργούσε έως 19/2/2024), καθώς δεν υφίστατο ανάγκη μετάπτωσης. β) Δημιούργησε με κατάλληλα ερωτήματα (queries) στη βάση, τα αρχεία αποδεκτών (3 αρχεία) όπως αναφέρονται πιο κάτω αναλυτικά. γ) Τέλος, εξήγαγε και αντέγραψε τα ανωτέρω αρχεία, σε τοπικό φάκελο, σε server του ΟΣΥΕΔ, που φιλοξενείται στο κυβερνητικό cloud και πρόσβαση σε αυτό έχουν μόνο εξουσιοδοτημένα από την υπηρεσία στελέχη. Για τη λειτουργία και την ασφάλεια του κυβερνητικού cloud αρμόδια είναι η ΓΓΠΣ&ΨΔ. Τα κριτήρια με βάση τα οποία έγιναν τα ερωτήματα (queries) στη βάση δεδομένων αφορούσαν α) Έλληνες εκλογείς που υπέβαλαν αίτηση στην πλατφόρμα αιτήσεων εκλογέων εξωτερικού 2023 και ταυτοποιήθηκαν με κωδικούς taxisnet (αρχείο 26.685 e-mails στις 15:53-27/2/2024), β) Έλληνες εκλογείς που υπέβαλαν αίτηση στην πλατφόρμα αιτήσεων εκλογέων εξωτερικού 2023, μέσω Διπλωματικής Αρχής και διέθεταν ΑΦΜ (αρχείο 198 e-mails στις 15:51 – 27/2/2024), γ) Έλληνες εκλογείς που υπέβαλαν αίτηση στην πλατφόρμα αιτήσεων εκλογέων εξωτερικού 2023, μέσω Διπλωματικής Αρχής και δεν διέθεταν ΑΦΜ (αρχείο με 22 e-mails 15:43-27/2/2024). Η αποστολή των μηνυμάτων πραγματοποιήθηκε με τη χρήση προγραμμάτων της Microsoft (Microsoft Office Word και Outlook). Τα αρχεία αποδεκτών μεταφόρτωσε από το server του ΟΣΥΕΔ, στον προσωπικό υπηρεσιακό υπολογιστή (16:48-27/2/2024), ο αρμόδιος Προϊστάμενος του Τμήματος Διαχείρισης Δεδομένων και Διαλειτουργικότητας και ακολούθως εστάλησαν στις 29-02-2024 12:15 μμ, στα αρμόδια στελέχη του Υπουργείου για τις ρυθμίσεις του μηνύματος (e-mail) αποστολής, τη διεκπεραίωση μαζικής αποστολής των μηνυμάτων (e-mail), την αποστολή μηνυμάτων κειμένου (sms) σε μεταγενέστερη φάση και στους προϊστάμενους της συναρμόδιας Διεύθυνσης Εκλογών, εξ ονόματος της οποίας πραγματοποιήθηκε η αποστολή των τριών μηνυμάτων, καθώς και στην ιεραρχία μέχρι το επίπεδο του Γενικού Διευθυντή Εσωτερικών και Ηλεκτρονικής Διακυβέρνησης. Παρατίθεται ο πίνακας με τα ονόματα και τις θέσεις των αποδεκτών. Στη συνέχεια τα μηνύματα εστάλησαν στους αποδέκτες των κατηγοριών β και γ στις 29/2/2024 (και ώρα 14:22 και 14:10 αντίστοιχα), και στους αποδέκτες της κατηγορίας α στην 1/3/2024, σταδιακά (σε 5 ομάδες των 5.000 περίπου) από ώρα 08:25 έως 14:54. Διευκρινίστηκε ότι στα εν λόγω αρχεία δεν πραγματοποιήθηκε κάποια ιδιαίτερη επεξεργασία, πλην κάποιων ενδεικτικών οπτικών ελέγχων ανά κατηγορία αποδεκτών και της απαλοιφής όλων των λοιπών στοιχείων, πλην του e-mail. Μετά τη μεταφόρτωση του αρχείου και την αποστολή του με e-mail, ελήφθησαν τα συνήθη μέτρα ασφάλειας που προβλέπονται από την πολιτική ασφάλειας, και εφαρμόζονται από όλο το προσωπικό του Υπουργείου (ενημερωμένο antivirus, κλείδωμα η/υ με ισχυρό κωδικό, τακτική αλλαγή κωδικού, τακτικοί έλεγχοι στο δίκτυο, κτλ). Τα αρχεία παραμένουν και δεν έχουν διαγραφεί, για επόμενη χρήση στο άμεσο μέλλον και θα διαγραφούν μετά την ολοκλήρωση της εκλογικής διαδικασίας. Τέλος, σχετικά με το ερώτημα για την αποστολή επιστολής προς τις Ελληνίδες και τους Έλληνες που ζουν στο εξωτερικό, στις 20 Φεβρουαρίου 2024, με αρ. πρωτ.: 273, από το Υπουργείο επισημαίνεται ότι οι παραλήπτες των ενημερωτικών e-mails ήταν e-mails ομογενειακών οργανώσεων, οι οποίες αριθμούν σε 2.103, και περιλαμβάνονται στον κατάλογο ομογενειακών οργανώσεων που περιήλθε στο Υπουργείο Εσωτερικών από τον αρμόδιο Γενικό Γραμματέα Αποδήμου Ελληνισμού και Δημόσιας Διπλωματίας του Υπουργείου Εξωτερικών. Τα στοιχεία επικοινωνίας ομογενειακών οργανώσεων, οι επιστολές και τα ηλεκτρονικά μηνύματα υπεβλήθησαν από το γραφείου της Υπουργού, που είχε τη σχετική αρμοδιότητα.
Στις 15-03-2024 η κ. ... απέστειλε στην Αρχή τα στοιχεία για τη λίστα αποδεκτών «ΑΠΟΔΗΜΟΙ» στους οποίους εστάλη το ηλεκτρονικό μήνυμα με τίτλο «100 ημέρες πριν από τις Ευρωεκλογές» την 01-03-2024. Τα υποβληθέντα στοιχεία περιλαμβάνουν μία εξαγωγή από την πλατφόρμα που χρησιμοποιήθηκε (Μailchimp), σε τρία αρχεία μορφής csv, με ονόματα αρχείων cleaned_members_export_e92c94dedb.csv, subscribed_members_export_e92c94dedb.csv,unsubscribed_members_export_e92c94dedb .csv. Οι στήλες των αρχείων που είναι συμπληρωμένες για όλες τις εγγραφές και αφορούν προσωπικά δεδομένα των παραληπτών είναι: E-mail, Όνομα/First name, Επίθετο / Last name, TAGS. Τα TAGS έχουν τη μορφή «ΑΠΟΔΗΜΟΙ, ΧΩΡΑ» (π.χ. «ΑΠΟΔΗΜΟΙ», «ΒΕΛΓΙΟ»). Η Αρχή εξέτασε τα στοιχεία αυτά, δηλαδή τη λίστα των e-mails που υπέβαλε η κ. ... και τη συνέκρινε με τις λίστες αποδεκτών των e-mails του Υπουργείου ... . Ο συνολικός αριθμός διευθύνσεων e-mail στις λίστες της κ. ... ήταν: 25.538, εκ των οποίων βρέθηκαν και στις λίστες αποδεκτών e-mails του Υπουργείου οι 23.392. Το σύνολο των e-mails στη λίστα του Υπουργείου ... ήταν 26.905. Από την εξέταση των πρώτων αυτών στοιχείων που υπέβαλε η κ. ... προέκυψε ότι τηρούνταν ονοματεπώνυμα και στοιχεία της χώρας κατοικίας των αποδεκτών, ενώ παράλληλα υπήρχε αρκετά μεγάλος αριθμός κοινών e-mails με τις λίστες παραληπτών του από 01-03-2024 ενημερωτικού e-mail του Υπουργείου ..., χωρίς όμως οι λίστες αυτές να ταυτίζονται πλήρως.
Στις 15-03-2024 δημοσιοποιήθηκε η παραίτηση του Γενικού Γραμματέα ... (τ. Γ.Γ. Εσωτερικών και Οργάνωσης) του Υπουργείου ... καθώς και του Γραμματέα ... της ..., οι οποίοι φέρονται εμπλεκόμενοι στη διαρροή προσωπικών δεδομένων που σχετίζεται με την υπόθεση, σε συνέχεια σχετικών ανακοινώσεων από την Κυβέρνηση, και ως αποτέλεσμα σχετικής έρευνας που διεξήχθη. Δεν υπήρξε ειδική ενημέρωση της Αρχής, η Αρχή έλαβε γνώση των εξελίξεων αυτών μέσω των ΜΜΕ.
Στις 18-03-2024 υπεβλήθη στην Αρχή η με αρ. πρωτ .../18-3-2024 Γνωστοποίηση Περιστατικού Παραβίασης Προσωπικών Δεδομένων από το Υπουργείο ... . Στην εν λόγω γνωστοποίηση ως χρόνος έναρξης και λήξης του περιστατικού αναφέρεται ότι διερευνάται και ότι είναι κατά προσέγγιση ο Μάιος 2023. Ως χρόνος που έλαβε γνώση του περιστατικού ο φορέας αναφέρεται η 15/3/2024, 14:00, και ως τρόπος με τον οποίο έλαβε γνώση του περιστατικού, τα ΜΜΕ. Στο είδος των δεδομένων αναφέρεται ονοματεπώνυμο και διεύθυνση ηλεκτρονικού ταχυδρομείου. Αναφέρει ότι είναι σε εξέλιξη η έρευνα από την υπηρεσία εσωτερικού ελέγχου του Υπουργείου, δεν είναι γνωστός ο αριθμός των υποκειμένων (μόνο ως μέγιστο μπορεί να θεωρηθεί το 26.905, που αναφέρεται και στις λίστες που προσκόμισε το Υπουργείο στην Αρχή με το με αρ. πρωτ. .../15-03-2024 έγγραφο) και ότι δεν έχουν ενημερωθεί ακόμη τα υποκείμενα, αφού η εσωτερική έρευνα δεν έχει ολοκληρωθεί.
Με δεδομένη την εν λόγω γνωστοποίηση, τα στοιχεία από την εξέταση των λιστών της κ. ... και του Υπουργείου ..., αλλά και τις δημόσιες ανακοινώσεις των παραιτήσεων, εκδόθηκε η με αρ. πρωτ. .../19-03-2024 εντολή ελέγχου του Προέδρου της Αρχής με ελεγχόμενο φορέα το Υπουργείο Εσωτερικών, προκειμένου να δοθούν διευκρινίσεις και απαντήσεις και να ευρεθούν σχετικά στοιχεία. Ο επιτόπιος έλεγχος διεξήχθη στις 20-03-2024, στα γραφεία του Υπουργείου ..., ..., Αθήνα. Εκ μέρους του Υπουργείου, παρέστησαν οι: Α, Β, οι Γ και Δ, Ε, ΣΤ, Ζ, Η, Θ, Ι. Η ομάδα ελέγχου της Αρχής αποτελούνταν από τους Κωσταντίνο Λαμπρινουδάκη, τακτικό μέλος, και τις Γεωργία Παναγοπούλου και Χάρις Συμεωνίδου, ελέγκτριες.
Ακολουθήθηκε το πλάνο επιτόπιου ελέγχου, το οποίο περιλάμβανε ερωτήσεις σχετικές με το περιεχόμενο της υποβληθείσας γνωστοποίησης περιστατικού παραβίασης αλλά και αναζήτηση στοιχείων σε συνέχεια των υποβληθέντων εγγράφων από το Υπουργείο και των συμπερασμάτων που είχαν προκύψει. Βάσει της γνωστοποίησης περιστατικού ερωτήθηκαν οι παριστάμενοι σχετικά με το τι είναι γνωστό για το περιστατικό, τον χρόνο και τον τρόπο που αυτό συνέβη, καθώς και το πώς έλαβε γνώση το Υπουργείο. Η απάντηση που δόθηκε ήταν ότι οι υπάλληλοι του Υπουργείου πληροφορήθηκαν για τη διαρροή από τα ΜΜΕ, ακολούθως διακινήθηκε η ίδια πληροφορία από το Γραφείο της Υπουργού, οπότε μετά την παραδοχή του περιστατικού υπέβαλαν, ως οφείλουν, την Γνωστοποίηση στην Αρχή, κατόπιν σχετικής υπόδειξης του Υπεύθυνου Προστασίας Δεδομένων, ενώ βρίσκεται σε εξέλιξη η σχετική έρευνα από τη Μονάδα Εσωτερικού Ελέγχου. Κατά τον έλεγχο περιγράφηκε ο τρόπος με τον οποίο γίνονταν η εξέταση των αιτήσεων εγγραφής των αποδήμων στους ειδικούς εκλογικούς καταλόγους εξωτερικού για τις βουλευτικές εκλογές του έτους 2023, από εντεταλμένους υπαλλήλους, μέσω του συστήματος ΟΣΥΕΔ, προκειμένου να ελεγχθεί η τήρηση των νόμιμων προϋποθέσεων και να αποφασιστεί η έγκριση ή η απόρριψη των αιτήσεων. Αναφέρθηκε ο τρόπος απόδοσης των ρόλων στο σύστημα και οι διασφαλίσεις που αποτρέπουν την μαζική εξαγωγή στοιχείων (ανάθεση ελέγχου συγκεκριμένων υποθέσεων σε υπαλλήλους, μόνο εντεταλμένα πρόσωπα μπορούν να εκτελέσουν ερωτήματα με τα οποία εξάγεται αρχείο με μαζικά δεδομένα των εκλογέων). Κατά τον έλεγχο αναζητήθηκαν στοιχεία που τεκμηριώνουν το συμπέρασμα που ανακοινώθηκε δημόσια από το Υπουργείο, αλλά δεν υπεβλήθη κάποιο στοιχείο και δεν δόθηκε συγκεκριμένη απάντηση. Επιφυλάχτηκαν οι παριστάμενοι να ενημερώσουν σχετικά την Αρχή όταν εκδοθεί το πόρισμα της Μονάδας Εσωτερικού Ελέγχου.
Η ομάδα ελέγχου έλαβε ως πειστήριο τον κατάλογο εκλογέων εξωτερικού που αντλήθηκε στις 27-02-2024 με σκοπό την αποστολή ενημερωτικού e-mail από το Υπουργείο. Ο κατάλογος περιλάμβανε το σύνολο των στοιχείων των εκλογέων που εξήχθησαν. Επιβεβαιώθηκε ότι σε αυτόν τον κατάλογο δεν περιλαμβάνονται τα στοιχεία όσων είχαν κάνει αίτηση για επιστολική ψήφο μέχρι τη μέρα εξαγωγής (σύνολο 2.027). Τα στοιχεία που περιείχαν οι λίστες ήταν τα εξής: Αρ. ΑΙΤΗΣΗΣ, ΕΠΩΝΥΜΟ, ΕΠΩΝΥΜΟ Β, ΟΝΟΜΑ, ΟΝΟΜΑ Β, ΟΝ. ΠΑΤΕΡΑ, ΟΝ. ΜΗΤΕΡΑΣ, ΑΦΜ, ΓΕΝΝΗΣΗ ΕΙΔ. ΕΚΛΟΓ. ΑΡΙΘΜΟΣ, ΑΡ. ΔΗΜΟΤΟΛ, E-mail, ΚΙΝΗΤΟ, ΠΕΡΙΟΧΗ, ΠΟΛΗ, ΟΔΟΣ, ΑΡΙΘΜΟΣ, ΤΚ, ΧΩΡΑ, ΑΡ. ΠΡΩΤΟΚ, ΗΜ/ΝΙΑ ΠΡΩΤ, EKD_ID, DhmosId, TotalId. Συγκεκριμένα, ελήφθησαν ως πειστήρια τα : Π1) Αρχείο που προέκυψε από την εξαγωγή δεδομένων πολιτών από τη βάση δεδομένων κατοίκων εξωτερικού, στις 27 Φεβρουαρίου 2024 (αιτήσεις μέσω Ελληνικής Διπλωματικής Αρχής, οι οποίοι δεν διέθεταν ΑΦΜ): EmigrantVoters_noAFM.xlsx, Π2) Αρχείο που προέκυψε από την εξαγωγή δεδομένων πολιτών από τη βάση δεδομένων κατοίκων εξωτερικού, στις 27 Φεβρουαρίου 2024 (αιτήσεις μέσω Ελληνικής Διπλωματικής Αρχής, χωρίς ταυτοποίηση μέσω κωδικών Taxis): MigratedEmigrantfromDA_20240227.xlsx, Π3) Αρχείο που προέκυψε από την εξαγωγή πολιτών από τη βάση δεδομένων κατοίκων εξωτερικού, στις 27 Φεβρουαρίου 2024 (αιτήσεις που ταυτοποιήθηκαν μέσω κωδικών Taxis): MigratedEmigrantVoters_20240227.xlsx.
Οι παραλήπτες του e-mail που διακινήθηκε εσωτερικά στο Υπουργείο ... με επισυναπτόμενα τα συγκεκριμένα αρχεία μορφής excel, ήταν οι εννέα υπάλληλοι (αναφέρονται το με αρ. πρωτ. .../15-03-2024 έγγραφο του Υπουργείου), οι οποίοι είχαν σχετικά καθήκοντα και σχετίζονταν ιεραρχικά με το αντικείμενο. Διευκρινίστηκε ότι η άντληση των στοιχείων έγινε κατόπιν σχετικών εντολών στον ανάδοχο, οι επικοινωνίες και οι σχετικές εντολές ζητήθηκαν και παρελήφθησαν ως πειστήριο του ελέγχου Π6).
Κατά τον έλεγχο εξετάστηκε εάν ανάλογες εξαγωγές δεδομένων από τον εκλογικό κατάλογο αποδήμων (δηλαδή μαζικές, που να περιλαμβάνουν και τα e-mails των εκλογέων) έχουν πραγματοποιηθεί και για ποιον σκοπό τον τελευταίο χρόνο, και υπεβλήθησαν τα αντίστοιχα στοιχεία. Δηλαδή, ελήφθησαν ως πειστήρια τα αρχεία μορφής xls: Π4), Αρχείο που προέκυψε από την εξαγωγή δεδομένων πολιτών από τη βάση δεδομένων κατοίκων εξωτερικού, στις 24 Μαΐου 2023 (αιτήσεις εγγραφής εγκεκριμένες μέχρι και 24 Μαΐου 2023): Απόδημοι_αιτήσεις_εγγραφής_εγκεκριμένες_240520233_που_υποβλήθηκαν_μέχρι_και_1 7052023.xlsx, Π5) Αρχείο που προέκυψε από την εξαγωγή δεδομένων πολιτών από τη βάση δεδομένων κατοίκων εξωτερικού, στις 8 Ιουνίου 2023 : «Απόδημοι ανά Τμήμα για Κληρώσεις Εφορευττικών - Βουλ Εκλ Ιουν 2023.xlsx». Οι εξαγωγές του Μαΐου και του Ιουνίου 2023 έγιναν από αρμόδιο υπάλληλο του Υπουργείου αφού ο ανάδοχος είχε στείλει στον υπάλληλο τεχνικές οδηγίες σχετικά με το περιεχόμενο του ερωτήματος (query) στη βάση δεδομένων προς το σκοπό αυτό. Οι σχετικές επικοινωνίες ελήφθησαν ως πειστήριο, Π6). Μήνυμα ηλεκτρονικού ταχυδρομείου από τον ελεγχόμενο φορέα προς την Αρχή στο οποίο αναφέρονται οι αποδέκτες των αρχείων Π4, Π5 και στο οποίο επισυνάπτεται σχετική αλληλογραφία τεχνικής φύσεως για την εξαγωγή: αρ. πρωτ. .../22-03-2024. Οι επικοινωνίες με τον ανάδοχο συμπληρώθηκαν και με το με αρ. πρωτ. .../27-03-2024 έγγραφο του Υπουργείου. Η παραλαβή των πειστηρίων από τον επιτόπιο έλεγχο καταγράφηκε στο με αρ. πρωτ. .../20-02-2024 Πρωτόκολλο Παραλαβής Πειστηρίων. Όσο αφορά τον τρόπο καταγραφής των προσβάσεων για άντληση τέτοιων στοιχείων, τα αρχεία καταγραφής της βάσης δεδομένων και της εφαρμογής δεν καταγράφουν ενέργειες του χρήστη αλλά μόνο την είσοδο και την έξοδο από το σύστημα. Προς επιβεβαίωση και πιο αναλυτικά σχετικά με τα αρχεία καταγραφής, εστάλη το με αρ. πρωτ. .../01-04-2024 έγγραφο από το Υπουργείο, το οποίο προωθεί στοιχεία που αναφέρει ο ανάδοχος.
Από την εξέταση των στοιχείων που προέκυψαν από τον έλεγχο στο Υπουργείο ... και τις επόμενες επικοινωνίες, προέκυψαν τα εξής ευρήματα και συμπεράσματα: Ο συνολικός αριθμός e-mails που υπήρχαν στη λίστα παραληπτών της καμπάνιας της κ. ... ήταν 25.538. Ο αριθμός των εγγεγραμμένων στους εκλογικούς καταλόγους αποδήμων για τις εκλογές του Ιουνίου 2023 ήταν 25.610 (όπως προκύπτει από την άντληση των στοιχείων αυτών στις 08-06-2023 με σκοπό να σταλεί ενημερωτικό e-mail από το Υπουργείο, αλλά και από τα επίσημα στοιχεία των εγγεγραμμένων στην εκλογική περιφέρεια εξωτερικού https:/...). Στην λίστα με τους 25.610 εκλογείς περιλαμβάνονται 25.572 διαφορετικά e-mails. Από τα 25.538 e-mails της λίστας «ΑΠΟΔΗΜΟΙ» της κ. ..., τα 25.462 βρίσκονται στους εκλογικούς καταλόγους αποδήμων για τις εκλογές του Ιουνίου 2023: (δηλαδή μόνο 76 διευθύνσεις e-mail υπάρχουν στην λίστα «ΑΠΟΔΗΜΟΙ» της Ευρωβουλευτή χωρίς να αντιστοιχούν σε e-mail της λίστας του Υπουργείου). Ενώ από τα 25.572 διαφορετικά e-mails που βρίσκονται στους εκλογικούς καταλόγους αποδήμων του Υπουργείου ... για τις εκλογές του Ιουνίου 2023, τα 25.462 βρίσκονται και στη λίστα της κ. ... . Δηλαδή, λείπουν μόνο 110 διευθύνσεις e-mail, οι οποίες, ενώ υπάρχουν στους παραπάνω εκλογικούς καταλόγους δεν βρίσκονται στη λίστα «ΑΠΟΔΗΜΟΙ» της κ. ... . Από τις 110 αυτές διευθύνσεις, φαίνεται ότι οι 91 ανήκουν σε πολίτες από την Τουρκία, χώρα που η κ. ... δεν έχει στη λίστα της, 9 έχουν λάθη στο e-mail (άκυρα), και 7 λείπουν για άγνωστο λόγο. Ως συμπέρασμα προκύπτει ότι η κ. ... είχε ως παραλήπτες του e-mail της πρακτικά το σύνολο των e-mails όσων πολιτών περιλαμβάνονταν στους εκλογικούς καταλόγους αποδήμων για τις εκλογές του Ιουνίου 2023, και για αυτούς ανέβασε στην πλατφόρμα MailChimp μέσω της οποίας αποστέλλονται τα e-mails, το ονοματεπώνυμό τους, το e-mail τους, και την χώρα στην οποία ψηφίζουν.
Η κ. ... υπέβαλε στην Αρχή το με αρ. πρωτ. .../21-03-2024 υπόμνημα, στο οποίο αναφέρει μεταξύ άλλων, για την συγκεκριμένη αποστολή: Σε ό,τι αφορά ειδικά την επίμαχη λίστα «ΑΠΟΔΗΜΟΙ», αυτή περιήλθε στα χέρια της τμηματικά, στα τέλη Ιανουαρίου 2024, από τη Διεύθυνση Πληροφορικής της ..., η οποία έδωσε στοιχεία μόνο για τα κομματικά στελέχη, και την παρέπεμψε στη Γραμματεία Αποδήμων για πιθανές επικαιροποιήσεις των στοιχείων των στελεχών. Ο Γραμματέας Αποδήμων ..., έστειλε, μέσω της εφαρμογής WhatsApp, ένα αρχείο σε μορφή excel με 25.000 περίπου ονοματεπώνυμα, με πατρώνυμο, μητρώνυμο, ημερομηνία γέννησης, αριθμό τηλεφώνου, χώρα, πόλη, ταχυδρομικές και ηλεκτρονικές διευθύνσεις αποδήμων εκλογέων από 35 χώρες. Μόλις παρέλαβε την ψηφιακή λίστα από τον κ. ..., η Ευρωβουλευτής την προώθησε αμέσως στο πολιτικό της γραφείο προς μεταφόρτωση (export) μόνο των διευθύνσεων e-mail στην ψηφιακή πλατφόρμα MailChimp, ώστε να περιληφθούν στους αποδέκτες της προγραμματισμένης για την 1η Μαρτίου 2024 ενημερωτικής εκστρατείας της με τίτλο «...» με θέμα την επιστολική ψήφο. Η εν λόγω καμπάνια περιλάμβανε τη μαζική αποστολή newsletter στους απόδημους Έλληνες, ακριβώς 100 ημέρες πριν από τις ευρωεκλογές της 9ης Ιουνίου 2024.
Προς διερεύνηση του παραπάνω περιγραφόμενου τρόπου προέλευσης των δεδομένων, η Αρχή απέστειλε στη ... το με αρ. πρωτ. .../22-03-2024 έγγραφο, με το οποίο την κάλεσε μέχρι την Παρασκευή 29-03-2024 να εκθέσει τις απόψεις της, διευκρινίζοντας ιδίως τα εξής: α) ποια είναι η πηγή προέλευσης από την οποία έχει συλλέξει το κόμμα την λίστα Αποδήμων στην οποία αναφέρεται η κ. ..., με ποιο τρόπο και σε ποια χρονική στιγμή, β) ποια είναι η νομική βάση για την επεξεργασία των δεδομένων επικοινωνίας των Αποδήμων από το κόμμα, γ) με ποιο τρόπο εκπληρώνει την υποχρέωση ενημέρωσης των υποκειμένων σύμφωνα με τα άρθρα 12-14 ΓΚΠΔ και δ) σε ποιους αποδέκτες έχουν κοινοποιηθεί μέχρι σήμερα τα εν λόγω προσωπικά δεδομένα.
Επίσης, η Αρχή έστειλε το με αρ. πρωτ. .../26-03-2024 έγγραφο για διευκρινίσεις στην κ. ..., με το οποίο της ζήτησε να προσκομίσει α) Το αναφερόμενο στην παράγραφο «6. Πηγή άντλησης δεδομένων λίστας Αποδήμων» του υπομνήματός της αρχείο, σε μορφή excel, που παρέλαβε μέσω της εφαρμογής WhatsApp από τον κ. ... , β) Στοιχεία που να τεκμηριώνουν τις επικοινωνίες που αναφέρονται στην ίδια παράγραφο, δηλαδή τον τρόπο και το περιεχόμενο της αίτησής της στη Διεύθυνση Πληροφορικής της Νέας Δημοκρατίας καθώς και τον τρόπο και το περιεχόμενο της παραπομπής στη Γραμματεία Αποδήμων του κόμματος.
Η κ. ..., σε απάντηση του με αρ πρωτ. .../26-3-2024 εγγράφου, υπέβαλε με τα με αρ. πρωτ. .../27-03-2024 και .../27-03-2024 έγγραφά της, την πλήρη λίστα "Απόδημοι 2023" που είχε λάβει μέσω WhatsApp, σε κρυπτογραφημένη μορφή, και την αιτηθείσα τεκμηρίωση της από 22-01-2024 ηλεκτρονικής αλληλογραφίας της με τη Διεύθυνση Πληροφορικής της ... (κ. Κ ), η οποία της απέστειλε το επισυναπτόμενο, μη ενημερωμένο αρχείο, (Προέδρων κομματικών οργανώσεων, μελών ή φίλων ΔΕΕΠ -ΔΗΜΤΟ ... εξωτερικού), με παραπομπή της στη Γραμματεία Αποδήμων του κόμματος για την πιθανότητα ύπαρξης επικαιροποιημένης λίστας, από όπου στη συνέχεια, όπως ανέφερε, ο πρώην γραμματέας Αποδήμων Ελλήνων κ. ... της απέστειλε με WhatsApp τη λίστα Αποδήμων 2023, η οποία ενσωματώθηκε στο συνολικό αρχείο αποδεκτών του επίμαχου μηνύματος. Επισυνάπτονται οι σχετικές επικοινωνίες με τη Διεύθυνση Πληροφορικής της ..., από τις οποίες προκύπτει ότι το από 22- 01-2024 αίτημα της Ευρωβουλευτή αφορούσε να της χορηγηθούν «τα επικαιροποιημένα στοιχεία (τηλέφωνα, e-mail) των Προέδρων ΔΕΕΠ (ΝΟΔΕ) ... Εξωτερικού καθώς και τα επικαιροποιημένα στοιχεία (τηλέφωνα, e-mail) των Προέδρων και των μελών των Τ.Ο. ... εξωτερικού», ενώ με την απάντησή του ο κ. Κ της ανέφερε ότι στο επισυναπτόμενο αρχείο «οι λίστες ενδέχεται να μην είναι πλήρως ενημερωμένες. Για αυτό το λόγο θα ήταν καλό να επικοινωνήσετε και με τη Γραμματεία της Διασποράς ώστε να γίνει έλεγχος, για τυχόν μη επικαιροποιημένα δεδομένα».
Η σύγκριση του αρχείου που προσκόμισε η κ. ..., δηλαδή του αρχείου που κατά δήλωσή της απέστειλε μέσω WhatsApp ο κ. ..., με το αρχείο Π5 του Υπουργείου ... έδειξε ότι πρόκειται για το ίδιο αρχείο, το οποίο περιλαμβάνει τα ακόλουθα πεδία: Χώρα Ψηφοφορίας, Πόλη Ψηφοφορίας, Τμήμα, Χώρα Προέλευσης, Πόλη Προέλευσης, ΑΑ Εκλογέα στον Κατάλογο, Fylo, Eponymo, Onoma, on_pat, on_mht, on_syz, epon_pat, hmer_gen, HomeAddress, Street, StreetNumber, Region, PostCode, E-mail.
Στη συνέχεια υπεβλήθη με το με αρ. πρωτ. .../01-04-2024 έγγραφο η απάντηση της ... στην Αρχή, η οποία συνοψίζεται ως εξής: Η Διεύθυνση Πληροφορικής τηρεί και διαχειρίζεται αποκλειστικά λίστες εγγεγραμμένων Μελών στο Κόμμα, στις οποίες συμπεριλαμβάνονται Κομματικά Στελέχη εντός και εκτός Επικράτειας, όπως είναι και οι Πρόεδροι Διοικούσας Επιτροπής Εκλογικής Περιφέρειας (εφεξής ΔΕΕΠ), πρώην Νομαρχιακή Διοικούσα Επιτροπή (ΝΟΔΕ) και Δημοτικής Τοπικής Οργάνωσης (εφεξής ΔΗΜ.ΤΟ) ή Τοπικής Οργάνωσης (εφεξής Τ.Ο.) εξωτερικού. Η Ευρωβουλευτής ... ζήτησε από τη Διεύθυνση Πληροφορικής τα επικαιροποιημένα στοιχεία (τηλέφωνα, ε-e-mail) των Προέδρων ΔΕΕΠ (ΝΟΔΕ) ... εξωτερικού, καθώς και τα επικαιροποιημένα στοιχεία (τηλέφωνα, e-mail) των Προέδρων και των μελών των Τ.Ο. ... εξωτερικού μέσω μηνύματος ηλεκτρονικού ταχυδρομείου στις 22 Ιανουαρίου 2024 ώρα 13:41. Σε σχέση με απόδημους εκλογείς η ... ανέφερε ότι τηρεί, είτε το αρχείο Μελών της, στο οποίο περιλαμβάνονται και απόδημοι εκλογείς, είτε το αρχείο Πολιτών Εγγεγραμμένων στους Εκλογικούς Καταλόγους, χωρίς στοιχεία επικοινωνίας, όπως κάθε φορά της κοινοποιείται από το Υπουργείο Εσωτερικών. Στο πρώτο αρχείο, αυτό των Μελών της, περιλαμβάνονται (μεταξύ των Αποδεκτών Τρόπων Επικοινωνίας) τυχόν ηλεκτρονικές διευθύνσεις. Στο δεύτερο αρχείο, του Υπουργείου Εσωτερικών, όχι. Συνεπώς, αρχείο αποδήμων εκλογέων με τις ηλεκτρονικές διευθύνσεις τους σε καμία περίπτωση δεν τηρείται από τη ... . Σύμφωνα με την ίδια απάντηση, η Γραμματεία Αποδήμων δεν τηρεί, ούτε νομιμοποιείται να τηρεί, κανένα από τα παραπάνω δύο αρχεία, δηλαδή ούτε το αρχείο Μελών του κόμματος ούτε το αρχείο Πολιτών Εγγεγραμμένων στους Εκλογικούς Καταλόγους. Αντιθέτως, η Γραμματεία Αποδήμων τηρεί αποκλειστικά μόνο αρχείο Μελών του Κόμματος που έχουν διοικητική ή άλλη λειτουργική σχέση με αυτήν, εντός των προβλεπόμενων στο ά. 1 του Κανονισμού Λειτουργίας Κομματικών Οργανώσεων Αποδήμου Ελληνισμού σε συνδυασμό με το ά. 32 παρ. 3 του ισχύοντος Καταστατικού του κόμματος, δηλαδή των στελεχών των κομματικών οργανώσεων εξωτερικού. Σε σχέση με τον υπόμνημα της Ευρωβουλευτού και τα ερωτήματα της Αρχής Προστασίας Δεδομένων επισημαίνεται επιγραμματικά ότι η ... δεν τηρεί Λίστα Αποδήμων σύμφωνα με τον ισχυρισμό της Ευρωβουλευτού, συνεπώς οι απαντήσεις στις υπό (α) έως (δ) ερωτήσεις της Αρχής Προστασίας Δεδομένων (βλ. ανωτέρω έγγραφο .../22-03-2024) είναι αρνητικές. Η Διεύθυνση Πληροφορικής τηρεί, μεταξύ άλλων, αρχεία Μελών της ..., καθώς και Πολιτών Εγγεγραμμένων στους Εκλογικούς Καταλόγους του Υπουργείου ... χωρίς στοιχεία επικοινωνίας, σύμφωνα με τη Γενική Πολιτική και το Καταστατικό, και είναι η μόνη αρμόδια για τη διαβίβαση τους σε Πολιτευτές του Κόμματος. Η Γραμματεία Αποδήμων τηρεί αποκλειστικά και μόνο αρχείο των Μελών εκείνων του Κόμματος που ταυτόχρονα διατηρούν και διοικητική ή λειτουργική σχέση με τις οργανώσεις εξωτερικού. Επισυνάπτεται σχετική ηλεκτρονική αλληλογραφία από 22/-01-2024. Διαπιστώνεται ότι η αλληλογραφία ταυτίζεται με την αντίστοιχη που έχει υποβληθεί στην Αρχή και από την κ. ... με το με αρ. πρωτ. .../27-03-2024 έγγραφό της.
Η Αρχή στη συνέχεια απέστειλε το με αρ. πρωτ. .../01-04-2024 έγγραφο στον κ. ... , τ. Γραμματέα Αποδήμων της ..., με το οποίο τον κάλεσε μέχρι την Πέμπτη 4/4/2024 να εκθέσει τις απόψεις του για τον ισχυρισμό της κ. ..., διευκρινίζοντας ιδίως τα εξής: α) ποιο ήταν το ακριβές αίτημα της ανωτέρω Ευρωβουλευτή προς την Γραμματεία Αποδήμων, β) ποια είναι η πηγή από την οποία περιήλθε στην κατοχή του Γραμματέα Αποδήμων το προαναφερόμενο αρχείο excel που περιείχε προσωπικά δεδομένα Αποδήμων, με ποιον τρόπο και σε ποια χρονική στιγμή, γ) αν προβλέπεται η τήρηση της ανωτέρω λίστας Αποδήμων από τη Γραμματεία Αποδήμων της ... και δ) σε ποιους αποδέκτες έχουν κοινοποιηθεί μέχρι σήμερα τα εν λόγω προσωπικά δεδομένα. Κλήθηκε επίσης να προσκομίσει κάθε διαθέσιμο στοιχείο τεκμηρίωσης των απαντήσεών του και ιδίως κάθε επικοινωνία (e-mails, WhatsApp κ.α.) που σχετίζεται με τη διακίνηση του εν λόγω αρχείου.
Με το με αρ. πρωτ. .../05-04-2024 έγγραφο ο τ. Γραμματέας Αποδήμων της ... απάντησε στην Αρχή ότι η κ. ... έλαβε νομίμως από τον ίδιο, μετά από αίτημά της, την 20-01-2024 μέσω WhatsApp, τους ειδικούς εκλογικούς καταλόγους εξωτερικού, με την θεσμική της ιδιότητα ως Εκπρόσωπος Τύπου της ... στο Ευρωκοινοβούλιο και όχι ως Ευρωβουλευτής. Αναφέρει ότι τους ειδικούς εκλογικούς καταλόγους τους κατείχε νομίμως και νομίμως είχαν περιέλθει στην κατοχή του μέσω WhatsApp, κατά την προεκλογική περίοδο του Ιουνίου του 2023, καθώς ήταν ορισμένος εκπρόσωπος της ... στην Eιδική Διακομματική Επιτροπή του άρθρου 2 παρ. 6 του Ν. 4648/2019 για την ψήφο των εκλογέων εξωτερικού, όπου είχε κύρια αρμοδιότητα την εξέταση ενστάσεων εκλογέων εξωτερικού. Πηγή των εκλογικών καταλόγων, όσο είναι σε θέση να γνωρίζει, αποτελεί το Υπουργείο ..., καθώς είναι υπόχρεο της τήρησης αυτών. Με τα με αρ. πρωτ. .../09-04-2024 και .../09-04-2024 συμπληρωματικά έγγραφα ο τ. Γραμματέας Αποδήμων της ... υπέβαλε screenshots από την εφαρμογή WhatsApp τα οποία δείχνουν το πότε και πώς έλαβε από κάποιο πρόσωπο και πώς απέστειλε το αρχείο στην κ. ... . Από τα στοιχεία αυτά προκύπτει ότι η λήψη του αρχείου με όνομα «Απόδημοι ανά Τμήμα – Βουλ Εκλ Ιουν 2023.xlsx» έγινε με προωθημένο μήνυμα στις 23-06-2023 και η προώθησή του από τον κ. ... στην κ. ... έγινε στις 20- 01-2024. Επιπλέον ο τ. Γραμματέας Αποδήμων της ... διευκρίνισε ότι το Υπουργείο Εσωτερικών, είναι η αποκλειστική πηγή των ειδικών εκλογικών καταλόγων και ότι οι συγκεκριμένοι αυτούσιοι εκλογικοί κατάλογοι με τα συμπεριλαμβανόμενα σε αυτούς δεδομένα δεν έχουν υποστεί επεξεργασία από τον ίδιο και δεν έχουν αποσταλεί σε άλλο πρόσωπο πλην της κ. ... .
Επίσης, η Αρχή απέστειλε το με αρ. πρωτ. .../01-04-2024 έγγραφο προς την Γενική Γραμματεία Πρωθυπουργού, με το οποίο την κάλεσε μέχρι την Πέμπτη 04-04-2024 να συνδράμει στο έργο της Αρχής με την παροχή του συνόλου των στοιχείων που διαθέτει από την δική της έρευνα, την οποία έχει ανακοινώσει δημοσίως. Η Αρχή δεν έλαβε απάντηση.
Στη συνέχεια, η Αρχή, αφού έλαβε τα στοιχεία επικοινωνίας του τ. Γ.Γ. ... του Υπουργείου ..., κ. ... από το Υπουργείο ... (με το με αρ. πρωτ. .../08-04-2024 έγγραφο), του απέστειλε το με αρ. πρωτ. .../08-04-2024 έγγραφο με το οποίο τον κάλεσε να εκθέσει στην Αρχή τις απόψεις του μέχρι τις 10-4-2024, παρέχοντας όλες τις πληροφορίες που έχει στη διάθεσή του και προσκομίζοντας κάθε διαθέσιμο στοιχείο τεκμηρίωσης, δεδομένου ότι έχει ανακοινωθεί δημοσίως ότι παραιτήθηκε αναλαμβάνοντας την ευθύνη της διαρροής των δεδομένων από πλευράς του Υπουργείου Εσωτερικών.
Ο κ. ... απάντησε με τα με αρ. πρωτ. .../11-04-2024, .../11-04-2024, .../11-04-2024 έγγραφα. Ισχυρίζεται ότι με την παραίτησή του ανέλαβε μόνο την πολιτική ευθύνη, ότι δεν γνωρίζει κάποιο στοιχείο για τη διαρροή και ότι δεν έχει στοιχεία ούτε για εμπλοκή συνεργάτη του. Επισύναψε την επιστολή παραίτησής του καθώς και τις απαντήσεις του κατά τη διαδικασία εσωτερικού ελέγχου του Υπουργείου.
Η Αρχή, δυνάμει της με αρ. πρωτ. .../05-04-2024 εντολής ελέγχου με ελεγχόμενο φορέα το Υπουργείο ... προχώρησε σε νέο επιτόπιο έλεγχο στις 8/4/2024, στα γραφεία του Υπουργείου ..., ..., Αθήνα. Εκ μέρους του Υπουργείου, παρέστησαν οι: Β, , Λ, Ε, ΣΤ, Ζ, Μ , Ν και Ξ,…. Η ομάδα ελέγχου της Αρχής αποτελούνταν από τους Κωσταντίνο Λαμπρινουδάκη, τακτικό μέλος, και τους Γεωργία Παναγοπούλου, Χάρις Συμεωνίδου, Γεώργιο Ρουσόπουλο, ελεγκτές.
Ακολουθήθηκε το πλάνο επιτόπιου ελέγχου, το οποίο περιλάμβανε αναζήτηση στοιχείων σχετικά με τους καταλόγους που διακινήθηκαν σε σχέση με τις εργασίες της Ειδικής Διακομματικής Επιτροπής αλλά και αναζήτηση των επικοινωνιών που αφορούν τη λίστα αποδήμων που διέρρευσε, καθώς και αναζήτηση στοιχείων τεκμηρίωσης των σχετικών πολιτικών προστασίας δεδομένων και ασφάλειας. Οι ηλεκτρονικές επικοινωνίες με τις οποίες διακινήθηκε στο Υπουργείο το αρχείο “Απόδημοι ανά Τμήμα για Κληρώσεις Εφορευττικών - Βουλ Εκλ Ιουν 2023.xlsx” στις 8/6/2023 και στις 9/6/2023 υπεβλήθησαν με το με αρ. πρωτ. .../09-04-2024 έγγραφο. Επίσης υπεβλήθησαν τα πρακτικά όλων των συνεδριάσεων της Διακομματικής Επιτροπής με το με αρ. πρωτ. .../09-04-2024 έγγραφο. Τόσο από τη συζήτηση κατά τον έλεγχο όσο και βάσει των υποβληθέντων πρακτικών των συνεδριάσεων της Eιδικής Διακομματικής Επιτροπής προέκυψε ότι ο εκλογικός κατάλογος των εκλογέων εξωτερικού δεν διακινήθηκε στο πλαίσιο άσκησης των αρμοδιοτήτων της Επιτροπής, η τελευταία συνεδρίαση της οποίας πραγματοποιήθηκε στις 30-05-2023. Η εξέταση των ενστάσεων αλλά και ο δειγματοληπτικός έλεγχος που περιλαμβάνονταν στα καθήκοντα της Επιτροπής πραγματοποιήθηκαν χωρίς την εξέταση του συνόλου του εκλογικού καταλόγου. Κατά τη συζήτηση αναφέρθηκε ότι στοιχεία εκλογικών καταλόγων έχουν κατά καιρούς ζητηθεί και εξαχθεί από τις βάσεις δεδομένων κατόπιν σχετικής εντολής του Γενικού Γραμματέα Εσωτερικών και Οργάνωσης. Επίσης στο πλαίσιο του ελέγχου ζητήθηκε να σταλεί από το Υπουργείο στην Αρχή τεκμηρίωση σχετικά με την καταγραφή ενεργειών στο ΟΣΥΕΔ, αφού έχει δηλωθεί ότι καταγράφονται σημαντικά γεγονότα που από προεπιλογή έχει επιλέξει ο SQLserver, όπως είναι τα backups, deadlock victim processes και βλάβες καθώς και οι αποτυχημένες προσπάθειες εισόδου. Σε ό,τι αφορά τις επιτυχημένες προσπάθειες εισόδου αυτές καταγράφονται στα logs του firewall που προστατεύουν το σύστημα ΟΣΥΕΔ και τηρούνται στην ΓΓΠΣΔΔ. Επίσης ζητήθηκαν οι πολιτικές και σχέδια ασφάλειας που αφορούν το ΟΣΥΕΔ και τα σχετικά με τις εκλογές συστήματα καθώς και πολιτικές προστασίας δεδομένων, τυχόν εκτίμηση αντικτύπου, καθώς και τα αρχεία δραστηριοτήτων του Υπουργείου που αφορούν το ΟΣΥΕΔ και τα σχετικά με τις εκλογές συστήματα. Επιπλέον ζητήθηκαν τα σχετικά με την υλοποίηση του άρθρου 8 της ΚΥΑ 12284/2024 (ΦΕΚ 1037/Β/12-02-2024) (επεξεργασία δεδομένων προσωπικού χαρακτήρα – επιστολική ψήφος), καθώς και οι ισχύουσες συμβάσεις με εκτελούντες την επεξεργασία για το ΟΣΥΕΔ, για τα σχετικά με τις εκλογές συστήματα. Το Υπουργείο με τα με αρ. πρωτ. .../09-04-2024, .../09-04-2024 και .../09-04-2024 έγγραφά του υπέβαλε στην Αρχή τα σχετικά έγγραφα.
Η Αρχή, δυνάμει της με αρ. πρωτ. .../05-04-2024 εντολής ελέγχου του Προέδρου της με ελεγχόμενο φορέα το Υπουργείο ... προχώρησε σε νέο επιτόπιο έλεγχο στις 10-04-2024, στα γραφεία του Υπουργείου ..., ..., Αθήνα. Εκ μέρους του Υπουργείου, παρέστησαν οι: Ε, Δ και η Ο. Η ομάδα ελέγχου της Αρχής αποτελούνταν από τους Κωσταντίνο Λαμπρινουδάκη, τακτικό μέλος, και τους Γεωργία Παναγοπούλου, Χάρις Συμεωνίδου, ελέγκτριες.
Ακολουθήθηκε το πλάνο επιτόπιου ελέγχου, το οποίο περιλάμβανε την αναζήτηση διευκρινίσεων και επιβεβαίωσης σε σχέση με το περιεχόμενο που παρελήφθη από τα κόμματα με CD στις 13-6-2023, σύμφωνα με την αρχική με αρ. πρωτ. .../12-03-2024 απάντηση του Υπουργείου ... και ειδικά το περιεχόμενο του xls αρχείου με τα δεδομένα εκλογέων του εξωτερικού. Το κλιμάκιο ελέγχου, με επιτόπια έρευνα στον ΗΥ της αρμόδιας υπαλλήλου διαπίστωσε ότι η λίστα που χορηγήθηκε στα κόμματα με CD δεν περιείχε τα e-mails ή άλλα επιπλέον μη προβλεπόμενα προσωπικά δεδομένα των εκλογέων εξωτερικού. Η λίστα εξάγεται αυτόματα μέσα από την εφαρμογή του ΟΣΥΕΔ για να συμπεριληφθεί στους καταλόγους που δίνεται στα κόμματα με την προβλεπόμενη διαδικασία. Ελέγχθηκαν και τα μεταδεδομένα του αρχείου και διαπιστώθηκε ότι το αρχείο δεν είχε υποστεί τροποποίηση.
Η Αρχή, στις 11-04-2024, δυνάμει της με αρ. πρωτ. .../05-04-2024 εντολής ελέγχου του Προέδρου της, πραγματοποίησε επιτόπιο έλεγχο στα Γραφεία του κόμματος ..., ..., Μοσχάτο. Η ομάδα ελέγχου της Αρχής αποτελούνταν από τους Κωσταντίνο Λαμπρινουδάκη, τακτικό μέλος, και τους Γεωργία Παναγοπούλου, Χάρις Συμεωνίδου, Γεώργιο Ρουσόπουλο, ελεγκτές. Εκ μέρους της ..., παρέστησαν οι: Π, Ρ, Σ, Τ και Υ .
Ακολουθήθηκε το πλάνο επιτόπιου ελέγχου, που περιλάμβανε την αναζήτηση στοιχείων από την εσωτερική έρευνα στη ... από την οποία προέκυψε η ευθύνη του Γραμματέα Αποδήμων και τον τρόπο με τον οποίο επιβεβαιώθηκαν οι πληροφορίες που ανακοινώθηκαν δημόσια. Επίσης την περιγραφή του ρόλου και των καθηκόντων της Γραμματείας Διασποράς / Αποδήμων του κόμματος και αν σε αυτά περιλαμβάνεται η τήρηση αρχείων προσωπικών δεδομένων. Ζητήθηκε το σχετικό απόσπασμα του αρχείου δραστηριοτήτων του κόμματος, το οποίο υπεβλήθη με το με αρ. πρωτ. .../16-04-2024 Έγγραφο. Η ... δεν είχε κάποιο στοιχείο να προσκομίσει σε σχέση με την ευθύνη του Γραμματέα Αποδήμων. Στο πλαίσιο του ελέγχου υπεβλήθη στην Αρχή η επιστολή παραίτησής του στην οποία δηλώνει ότι είναι αθώος και παραιτείται επειδή του ζητήθηκε. Σύμφωνα με τις απαντήσεις που δόθηκαν στην Αρχή κατά τον έλεγχο, οι αρμοδιότητες της Γραμματείας Αποδήμων περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων στελεχών του κόμματος με ρόλο στις Οργανώσεις εξωτερικού. Λόγω αυτής της αρμοδιότητας έγινε και η παραπομπή της κ. ... στον Γραμματέα Αποδήμων, κατά την επικοινωνία της με τη Διεύθυνση Πληροφορικής στις 22-01-2024, προκειμένου να της δώσει τυχόν πιο πρόσφατα ενημερωμένα στοιχεία των στελεχών αυτών. Στο σύστημα CRM (περιλαμβάνει τη βάση δεδομένων) της ... τηρούνται τα στοιχεία μελών του κόμματος, όπως αυτά διασταυρώνονται από τους επίσημους εκλογικούς καταλόγους. Δεν υπάρχουν σε αυτούς τα e-mail εκλογέων, όπως διαπιστώθηκε κατά τον έλεγχο. Στην βάση αυτή έχουν πρόσβαση μόνο συγκεκριμένα στελέχη της Διεύθυνσης Πληροφορικής. Ερευνήθηκε επίσης το mailbox του παραιτηθέντος Γραμματέα Αποδήμων (diaspora@....gr και ονομαστικό@....gr), μέσα από τον e-mail server: η τελευταία πρόσβαση σε αυτό πραγματοποιήθηκε στις 24-01-2024 και ο αριθμός των e-mail ήταν ελάχιστος, γεγονός από το οποίο φαίνεται να προκύπτει ότι οι λογαριασμοί αυτοί δεν χρησιμοποιούνταν συχνά. Αναζητήθηκαν τυχόν επικοινωνίες με την κ. ... αλλά και με το Υπουργείο ... και δεν βρέθηκε κάτι σχετικό με την υπόθεση. Ερευνήθηκαν επίσης τα mailbox support@....gr, …@....gr για τυχόν επιπλέον επικοινωνίες με την κ. ..., με αρνητικά αποτελέσματα.
Αναφορικά με το περιεχόμενο της τηλεφωνικής επικοινωνίας με την κ. ... που αναφέρεται στο e-mail που επισυνάπτεται στο υπόμνημα της ..., κατά τον έλεγχο διευκρινίστηκε ότι η κ. .... ρώτησε πώς μπορεί να έχει περισσότερα στοιχεία διευθύνσεων e-mail, λόγω του ότι στη λίστα στελεχών που της έστειλαν δεν ήταν συμπληρωμένα πολλά από τα e-mails. Έτσι την παρέπεμψαν στον Γραμματέα Αποδήμων, για τυχόν επικαιροποιημένα στοιχεία. Η συνομιλία έγινε με τον κ. Σ.
Τα αρχεία καταγραφής στον e-mail server της ... τηρούνται, μέσω εκτελούντα, για διάστημα 60 ημερών.
Ο Γραμματέας Αποδήμων συνδεόταν στο δίκτυο της ... μέσω του δικού του φορητού υπολογιστή σε δίκτυο με περιορισμένη πρόσβαση. Πέρα από το e-mail του δεν είχε πρόσβαση σε άλλα συστήματα της ... . Η πρακτική αυτή είναι σύμφωνη με την συνολικά εφαρμοζόμενη πολιτική ορθής χρήσης ιδιωτικών συσκευών (“Bring your own device" – BYOD), η οποία περιλαμβάνεται στην «Πολιτική για την κυβερνοασφάλεια», η οποία υποβλήθηκε με το με αρ. πρωτ. .../16-04-2024 έγγραφο.
Κατά τη συζήτηση τονίστηκε από τους εκπροσώπους της ... ότι, δεδομένου ότι η φερόμενη αποστολή της λίστας από τον παραιτηθέντα Γραμματέα Αποδήμων στην Ευρωβουλευτή έγινε μέσω WhatsApp και ότι η λίστα αυτή δεν τηρείται από τη ..., και δεδομένου ότι ο Γραμματέας Αποδήμων είχε την αποκλειστική ευθύνη του φορητού του υπολογιστή και των δεδομένων που αποθηκεύονται σε αυτόν, δεν προκύπτει καμία ευθύνη της ... ως προς την τήρηση της λίστας που απεστάλη στην κ. ... .
Σε σχετική ερώτηση αναφέρθηκε ότι δεν ζητήθηκε από τον παραιτηθέντα Γραμματέα Αποδήμων η επιστροφή αρχείων, δεν ελέγχθηκε ο φορητός υπολογιστής του για τυχόν αρχεία που ανήκουν στη ... και δεν ζητήθηκε κάποια διαγραφή/καταστροφή αρχείων με προσωπικά δεδομένα. Στον φορητό υπολογιστή του πιθανότατα είχαν αποθηκευτεί τα επικαιροποιημένα αρχεία των στελεχών οργανώσεων αποδήμων, αλλά αυτά τα αρχεία δεν είναι πια διαθέσιμα στη ... . Το γεγονός αυτός φαίνεται ότι δεν έχει καταχωρηθεί ως περιστατικό παραβίασης προσωπικών δεδομένων.
Με το .../08-04-2024 έγγραφο, η Αρχή διαβίβασε στην κ. ... 230 καταγγελίες και αιτήματα πολιτών που είχαν υποβληθεί το διάστημα από 01-03-2024 μέχρι 28-03-2024 και αφορούν την αποστολή ηλεκτρονικού μηνύματος με θέμα «100 μέρες πριν από τις Ευρωεκλογές» στις 01-03-2024, για τις απόψεις της. Με το .../12-04-2024 απαντητικό της έγγραφο, η κ. ... ανέφερε ότι έχει απαντήσει σε όσους από τους καταγγέλλοντες είχαν ήδη επικοινωνήσει μαζί της με σχετικό e-mail διαμαρτυρίας και παρέθεσε το κείμενο της εν λόγω απάντησης, το οποίο ανέφερε ότι μπορεί να προωθηθεί από την Αρχή κατά την κρίση της στους λοιπούς καταγγέλλοντες.
Επιπλέον, με το .../11-04-2024 έγγραφο, η Αρχή ζήτησε από την κ. ... να προσκομιστεί το πρωτότυπο αρχείο excel που έλαβε από τον τ. Γραμματέα Αποδήμων της ... μέσω WhatsApp, προκειμένου να ελεγχθούν τα μεταδεδομένα του, με τον τρόπο που της υποδείχθηκε.
Η κ. ... υπέβαλε το αρχείο με το με αρ. πρωτ. .../16-04-2023 έγγραφο. Από τον έλεγχο των μεταδεδομένων του προκύπτει ότι η ημερομηνία δημιουργίας (08/06/2023) και ο συντάκτης ταυτίζονται με τα στοιχεία του αρχείου «Απόδημοι ανά Τμήμα για Κληρώσεις Εφορευττικών - Βουλ Εκλ Ιουν 2023.xlsx» (Π5)). Το αρχείο έχει ως τελευταία ημερομηνία τροποποίησης την 22/01/2024 και ώρα 10:25, από τον χρήστη “...”.
Με το .../08-04-2024 έγγραφο, η Αρχή διαβίβασε στο Υπουργείο ... 54 καταγγελίες και αιτήματα πολιτών που είχαν υποβληθεί το διάστημα από 1/3/2024 μέχρι 29/3/2024 και αφορούν την διαρροή στοιχείων που περιλαμβάνονται στους ειδικούς εκλογικούς καταλόγους εξωτερικού, για τις απόψεις του.
Παράλληλα, με το .../16-04-2024 έγγραφό του, το Υπουργείο προώθησε στην Αρχή το από 19-04-2023 ηλεκτρονικό μήνυμα που εντοπίστηκε κατά τον εσωτερικό έλεγχο και αφορά την εσωτερική διακίνηση αρχείου excel με τα πλήρη στοιχεία 22.817 αποδήμων έως και 10-04-2023, το οποίο, όπως αναφέρεται από το Υπουργείο, είχε εξαχθεί χωρίς τη δημιουργία ερωτήματος («ήταν το σύνολο της βάσης ανεξαρτήτως κριτηρίου). Σύμφωνα με το εν λόγω μήνυμα, στο αρχείο δεν περιλαμβάνεται ως στοιχείο το τηλέφωνο των αποδήμων.
Τέλος, αναφορικά με τον τρόπο ικανοποίησης ασκηθέντων δικαιωμάτων του ΓΚΠΔ, σημειώνεται ότι: Από τις αρχές Απριλίου 2024, υπεβλήθησαν στην Αρχή ορισμένες καταγγελίες αποδήμων για παραβίαση δικαιώματος πρόσβασης ή/και διαγραφής από την ανωτέρω Ευρωβουλευτή, δεδομένου ότι στα σχετικά τους αιτήματα η κ. ... είχε απαντήσει με αναφορά στο είδος των δεδομένων που περιλαμβάνονταν στη λίστα που ήρθε στην κατοχή της χωρίς τη χορήγηση αντιγράφου των δεδομένων που αφορούν τον εκάστοτε αιτούντα ως υποκείμενο δεδομένων.
Με το .../16-04-2024 συμπληρωματικό έγγραφο καταγγελίας κατά του Υπουργείου ... κοινοποιήθηκε στην Αρχή η από 11/4/2024 απάντηση του Υπουργείου σε αίτημα πρόσβασης που είχε υποβληθεί από τον καταγγέλλοντα στις 14/3/2024 προς τη Διεύθυνση Εκλογών του Υπουργείου ... . Από την απάντηση αυτή προκύπτει ότι παρέχεται γενική ενημέρωση αναφορικά με την επεξεργασία δεδομένων που πραγματοποιεί το Υπουργείο στο πλαίσιο κατάρτισης των εκλογικών καταλόγων και για τον σκοπό της οργάνωσης της άσκησης του δικαιώματος του εκλέγειν, χωρίς να χορηγείται αντίγραφο των συγκεκριμένων δεδομένων που τηρεί το Υπουργείο και αφορούν τον αιτούντα.
Ι.Β ΚΛΗΣΗ ΣΕ ΑΚΡΟΑΣΗ - ΥΠΟΜΝΗΜΑΤΑ
Σε συνέχεια των ανωτέρω, η Αρχή με τις .../22-04-2024, .../22-04-2024, .../22-04-2024, .../22-04-2024 και .../22-04-2024 κλήσεις αντίστοιχα, κάλεσε τους εμπλεκόμενους: ..., Υπουργείο ..., ..., ... και ... σε ακρόαση ενώπιον της Ολομέλειας της Αρχής στην έδρα της στις 29/4/2024, προκειμένου να εκθέσουν τις απόψεις τους για την υπόθεση, γνωστοποιώντας τους ταυτόχρονα την ανωτέρω πλήρη περιγραφή ενεργειών και ευρημάτων της Αρχής. Κατά τη συνεδρίαση παρέστησαν οι παρακάτω αναφερόμενοι, οι οποίοι είχαν γνωστοποιηθεί από τους κληθέντες στην Αρχή:
1) Η ..., με τον πληρεξούσιο δικηγόρο της, Λεωνίδα Κανέλλο (Α.Μ. …)
2) Εκ μέρους της ..., οι Δικηγόροι Παναγιώτα Μοσχανδρέου (Α.Μ. …) και Βασίλειος Γακόπουλος (Α.Μ. …) και ο Ιωάννης Παπαϊωάννου, Αναπληρωτής Διευθυντής Πληροφορικής
3) Ο ..., με τους πληρεξούσιους δικηγόρους του, Λεωνίδα Κοτσαλή (Α.Μ. …), Αλέξη Στεφανάκη (Α.Μ. …), Βασίλειο Ψύχα (Α.Μ. …), Ρούσσα Τσουκαλά (Α.Μ. …), Κωνσταντίνο Κοτσαλή (Α.Μ. …) και Αθανάσιο Θεοδωρόπουλο (Α.Μ. …)
4) Εκ μέρους του ..., η πληρεξούσια δικηγόρος του, Πολυξένη Μποβολή (Α.Μ. …)
5) O ..., Προϊστάμενος Γενικής Διεύθυνσης Εσωτερικών και Ηλεκτρονικής Διακυβέρνησης του Υπουργείου ..., ο ... Προϊστάμενος Διεύθυνσης Εκλογών του Υπουργείου ..., ο ... Προϊστάμενος Διεύθυνσης Ηλεκτρονικής Διακυβέρνησης του Υπουργείου ..., η ... Προϊστάμενη Διεύθυνσης Μονάδας Εσωτερικού Ελέγχου του Υπουργείου ..., ο ..., Υπεύθυνος Προστασίας Δεδομένων στο Υπουργείο ... και ο ..., Πάρεδρος Νομικού Συμβουλίου του Κράτους στο Υπουργείο ... .
Κατά την έναρξη της συνεδρίασης ο ... υπέβαλε αίτημα αναβολής της συνεδρίασης, προκειμένου να λάβει γνώση του από 26/4/2024 Πορίσματος της Μονάδας Εσωτερικού Ελέγχου του Υπουργείου ..., το οποίο είχε διαβιβασθεί στην Αρχή (με αρ. πρωτ. .../26-04-2024), υποστηρίζοντας ότι όλα τα τμήματα της υπόθεσης είναι αλληλένδετα και η πρόσβαση στο Πόρισμα είναι απαραίτητη για την υπεράσπισή του. Το ίδιο αίτημα υποβλήθηκε εκ μέρους του ... και από τον ..., οι οποίοι επίσης αιτήθηκαν πρόσβαση στο Πόρισμα από την Αρχή. Η κ. ... αντιτάχθηκε στο αίτημα αναβολής, υποστηρίζοντας ότι το Πόρισμα του Υπουργείου δεν είναι σχετικό με την υπόθεση, ενώ η Προϊσταμένη της Μονάδας Εσωτερικού Ελέγχου, κ. ..., επεσήμανε ότι τα πορίσματα του Εσωτερικού Ελέγχου κοινοποιούνται κατά το νόμο μόνο στον Υπουργό ..., στο Ελεγκτικό Συνέδριο και στην Εθνική Αρχή Διαφάνειας. Κατόπιν σύντομης διακοπής, η Αρχή, απέρριψε τα ανωτέρω αιτήματα αναβολής και πρόσβασης στο Πόρισμα της Μονάδας Εσωτερικού Ελέγχου του Υπουργείου, που υποβλήθηκαν από τον ... και τον ... διότι, σύμφωνα με το άρθρο 26 του Κανονισμού Λειτουργίας της Μονάδας Εσωτερικού Ελέγχου του Υπουργείου .... (Υ.Α. ... ΦΕΚ β’ .../7.11.2022), στο οποίο ορίζεται ότι «1. Τα αποτελέσματα του Ελέγχου (έκθεση ελέγχου) υποβάλλονται εγγράφως στον Υπουργό και γνωστοποιούνται στον Προϊστάμενο της εμπλεκόμενης οργανικής μονάδας στην οποία αφορά το διενεργούμενο έργο. 2. Οι Εκθέσεις κοινοποιούνται αμελλητί στο Ελεγκτικό Συνέδριο σύμφωνα με την παρ. 3 του άρθρου 71 του ν. 4820/2021 και γνωστοποιούνται στην Εθνική Αρχή Διαφάνειας σύμφωνα με το άρθρο 83 του ν. 4622/2019 και του άρθρου 30 της υπ’ αρ. οικ. 11699/2020 απόφασης Ε.Α.Δ. (Β’ 1991/2020). Οι Εκθέσεις μπορούν να γνωστοποιούνται, πέραν των προαναφερθέντων και σε άλλες υπηρεσίες, ή σε άλλους φορείς εκτός του Υπουργείου, μόνο ύστερα από έγκριση του Υπουργού Εσωτερικών», οι ενδιαφερόμενοι για να αποκτήσουν πρόσβαση σε αυτό θα πρέπει να απευθύνουν το αίτημά τους στο Υπουργείο Εσωτερικών, ενώ η διαδικασία ακρόασης λαμβάνει χώρα επί τη βάσει της ανωτέρω Περιγραφής ενεργειών και ευρημάτων της Αρχής, η οποία έχει ήδη γνωστοποιηθεί στους κληθέντες με την κλήση τους σε ακρόαση, και όχι επί του ως άνω Πορίσματος του Υπουργείου Εσωτερικών. Εξάλλου, η Αρχή απέρριψε το ανωτέρω αίτημα του ..., ο οποίος δεν έχει κληθεί για να εξεταστεί ως υπεύθυνος επεξεργασίας ή ως εκτελών την επεξεργασία, προεχόντως διότι δεν υποβλήθηκε με την ιδιότητα εκπροσώπου του Υπουργείου Εσωτερικών, το οποίο κλήθηκε στην ακρόαση, αλλά ατομικά.
Κατά τη συνεδρίαση, η κ. ... επανέλαβε τους ισχυρισμούς που είχε προβάλει με το με αρ. πρωτ. .../21-03-2024 υπόμνημά της, τονίζοντας ότι συμμορφώνεται με τον ΓΚΠΔ όσον αφορά την πολιτική επικοινωνία και ότι λόγω της πολυετούς δράσης της από το έτος 2007 έχει διαμορφώσει ένα αρχείο φίλων και αποδεκτών του newsletter της, αποτελούμενο από περίπου 45.000 αποδέκτες. Όσον αφορά το αρχείο που έλαβε από τον τ. Γραμματέα Αποδήμων της ..., κ. ..., η κ. ... διευκρίνισε ότι, έχοντας πληροφορηθεί για τη θεσμοθέτηση της επιστολικής ψήφου, αποφάσισε να απευθυνθεί στο κόμμα της ... ζητώντας στοιχεία αποδήμων μελών του κόμματος και στο πλαίσιο αυτό, η υπάλληλος του γραφείου της, Φ, επικοινώνησε τηλεφωνικά στις 18 ή στις 19/1/2024 με τη Διεύθυνση Πληροφορικής της ... . Στην εν λόγω τηλεφωνική επικοινωνία ο κ. Κ από τη Διεύθυνση Πληροφορικής της ... ανέφερε ότι το αίτημά της θα πρέπει να υποβληθεί και εγγράφως και θα απαντηθεί, πράγμα που έγινε τη Δευτέρα 22/1/2024, ενώ ταυτόχρονα την παρέπεμψε στον Γραμματέα Αποδήμων για πιθανώς επικαιροποιημένα στοιχεία. Στο μεταξύ για λόγους επιτάχυνσης της διαδικασίας, δεδομένου ότι γνώριζε τον κ. ... από το 2018 και είχαν συνεργαστεί στο παρελθόν, θεώρησε πιο απλό να επικοινωνήσει απευθείας μαζί του, κάτι που έκανε, και συναντήθηκε μαζί του στις 20/1/2024 στην Αθήνα προκειμένου να συζητήσουν και για την καμπάνια της εν όψει των Ευρωεκλογών. Το απόγευμα της ίδιας ημέρας, ο κ. ... της διαβίβασε το αρχείο excel μέσω WhatsApp.
Ο κ. ..., κατά την ακρόαση τόνισε ότι αυτό που του ζητήθηκε από την κ. ... ήταν οι εκλογικοί κατάλογοι εξωτερικού και ο σκοπός της, όπως του δηλώθηκε, ήταν να εξετάσει από άποψη στρατηγικής ποιες χώρες θα επισκεπτόταν στο πλαίσιο της προεκλογικής της καμπάνιας αλλά και να βοηθήσει τους Έλληνες του εξωτερικού να εγγραφούν στην επιστολική ψήφο. Επισήμανε ότι η κ. ... είχε οριστεί εκπρόσωπος τύπου της Ευρωομάδας της ... . Ανέφερε ότι από τις 20/1/2024 και μετά η κ. ... δεν επικοινώνησε ξανά μαζί του. Αναφορικά με τους εκλογικούς καταλόγους διευκρίνισε ότι δεν τους είχε λάβει από το Υπουργείο ... αλλά τους είχε ζητήσει και λάβει στις 23/6/2023, από «αρμόδιο κομματικό στέλεχος της ... για τους εκλογικούς καταλόγους», το οποίο δεν κατονόμασε αλλά επιφυλάχθηκε να κατονομάσει με το υπόμνημά του, διευκρινίζοντας όμως ότι πρόκειται για «στέλεχος του Διαγραμματειακού, το οποίο είχε απόλυτη αρμοδιότητα να έχει πρόσβαση στους εκλογικούς καταλόγους που τηρούσε το κόμμα». Ο λόγος που ζήτησε τους καταλόγους μία ημέρα πριν ανοίξουν οι κάλπες του εξωτερικού ήταν για να είναι δυνατή η δημογραφική ανάλυση του εκλογικού σώματος (κατά φύλο/ηλικία/πόλη), δεδομένου ότι στο εξωτερικό δεν γίνονται exit polls, ενώ δεν γνώριζε ότι περιλαμβανόταν η διεύθυνση e-mail των εκλογέων στο αρχείο αυτό. Επομένως υποστήριξε ότι ο ρόλος του ήταν διεκπεραιωτικός, διότι αρχικά έλαβε από τις αρμόδιες υπηρεσίες της ... τους εκλογικούς καταλόγους εξωτερικού, τους οποίους θεωρούσε ότι νομίμως κατείχε το κόμμα και ο ίδιος ήταν αποδέκτης ως Όργανο αυτού, λόγω των καθηκόντων της θέσης του, ως Γραμματέα Αποδήμων και βάσει του Καταστατικού του κόμματος. Εξάλλου, είχε οριστεί και μέλος της Ειδικής Διακομματικής Επιτροπής του άρθρου 2 παρ. 6 του Ν. 4648/2019. Στη συνέχεια, χωρίς να προβεί σε καμία άλλη επεξεργασία, προώθησε τους εκλογικούς καταλόγους εξωτερικού σε μια έμπειρη νομικό, Ευρωβουλευτή και εκπρόσωπο της Ευρωομάδας της ..., την οποία είχε γνωρίσει ως ψηφιακή τομεάρχη του κόμματος και τη θεωρούσε ειδική σε ζητήματα προστασίας δεδομένων. Αναφορικά με τον τρόπο επικοινωνίας (WhatsApp), ο κ. ... διευκρίνισε ότι η Πολιτική της ... δεν απαγορεύει τη χρήση των μέσων αυτών μεταξύ των στελεχών του κόμματος, παρά μόνο στις επικοινωνίες τους με τρίτους. Απαντώντας σε σχετική ερώτηση μέλους της Αρχής, απάντησε ότι είχε την απόλυτη βεβαιότητα ότι το αρχείο που είχε λάβει ήταν οι εκλογικοί κατάλογοι εξωτερικού και ότι ήταν οι μόνοι που έλαβε εν όψει των βουλευτικών εκλογών της 25/6/2023, ενώ είχε λάβει και τμήμα των καταλόγων πριν τις βουλευτικές εκλογές της 21/5/2023, προς διευκόλυνση των εκλογέων που θα βρίσκονταν στη Λιθουανία ενόψει αθλητικού γεγονότος. Ανέφερε ότι ο ρόλος του, ως Γραμματέα Αποδήμων, ήταν να βοηθήσει το κόμμα στις σχέσεις του με τους αποδήμους και στο πλαίσιο αυτό είχε στείλει πολλές φορές τα στοιχεία των μελών που εγγράφονταν στο κόμμα σε εκδηλώσεις στο εξωτερικό ή μέσω της ιστοσελίδας ....gr, διαβίβαζε τα έντυπα συγκαταθέσεων και πριν τις βουλευτικές εκλογές του 2023 παρείχε υποστήριξη από το προσωπικό κινητό του τηλέφωνο και e-mail σε ομογενείς που επιθυμούσαν να εγγραφούν για να ψηφίσουν. Ο λόγος για τον οποίο του ζητήθηκε η παραίτησή του ήταν, όπως ανέφερε, για να προστατευθεί η επιστολική ψήφος.
Η ..., διά των εκπροσώπων της, επανέλαβε τους αναφερόμενους στο .../01-04-2024 έγγραφο υπόμνημά της ισχυρισμούς, ενώ επιφυλάχθηκε όσον αφορά την αναφερόμενη από την κ. ... τηλεφωνική επικοινωνία με τη Διεύθυνση Πληροφορικής πριν τις 22/1/2024. Απαντώντας σε σχετική ερώτηση, διευκρινίστηκε εκ μέρους της ... ότι αν ο κ. ... είχε ζητήσει από το κόμμα τον κατάλογο αποδήμων θα είχε λάβει αρνητική απάντηση, διότι ο εκλογικός κατάλογος που τηρεί το κόμμα δεν διαβιβάζεται, αλλά χρησιμοποιείται μόνο για την επικαιροποίηση των στοιχείων των μελών του κόμματος. Από τη ... διευκρινίστηκε επίσης ότι δεν είχαν δοθεί ειδικές οδηγίες στον Γραμματέα Αποδήμων όσον αφορά την επεξεργασία προσωπικών δεδομένων, αλλά ότι ισχύει η Πολιτική του κόμματος. Σε ερώτηση σχετικά με το πώς γίνεται η ενημέρωση των Οργάνων του για την επεξεργασία δεδομένων και αν υπάρχουν σχετικές συμβάσεις, η δικηγόρος της ... επιφυλάχθηκε να απαντήσει με το υπόμνημα.
Ο ..., διά της πληρεξουσίας δικηγόρου του, δήλωσε ότι δεν γνωρίζει κανένα στοιχείο σε σχέση με τη φερόμενη διαρροή του αρχείου αποδήμων από το Υπουργείο ... .
Ο παριστάμενος Πάρεδρος Ν.Σ.Κ. δήλωσε κατά τη συνεδρίαση ότι δεν έχει εντολή εκπροσώπησης του Υπουργείου και πρότεινε να απευθυνθούν ερωτήσεις στην επίσης παρισταμένη Προϊσταμένη της Μονάδας Εσωτερικού Ελέγχου. Κατόπιν σύντομης διακοπής, η Αρχή, αφού έλαβε υπόψη το άρθρο 7 του ν. 4795/2021, σύμφωνα με το οποίο «1. Η λειτουργία του εσωτερικού ελέγχου είναι ανεξάρτητη. Η λειτουργική ανεξαρτησία διασφαλίζεται με την οργανωτική υπαγωγή της Μονάδας Εσωτερικού Ελέγχου απευθείας, στον επικεφαλής του φορέα, καθώς και με τη σύσταση και λειτουργία της Επιτροπής Ελέγχου. 2. Οι Εσωτερικοί Ελεγκτές δεν εμπλέκονται καθ’ οιονδήποτε τρόπο στη διοίκηση του φορέα ούτε αναλαμβάνουν επιχειρησιακά καθήκοντα που σχετίζονται με αυτή», αποφάσισε ότι η θέση της Προϊσταμένης της ΜΕΕ δεν της επιτρέπει να εκπροσωπεί το Υπουργείο ... ως υπεύθυνο επεξεργασίας ενώπιον της Αρχής. Ως εκ τούτου δεν απευθύνθηκαν ερωτήσεις στην ανωτέρω ως εκπρόσωπο του Υπουργείου
Μετά την ολοκλήρωση της συνεδρίασης, όλοι οι κληθέντες έλαβαν προθεσμία για κατάθεση υπομνήματος και κατέθεσαν εμπροθέσμως: α) η ... το .../10-05-2024 υπόμνημα, β) το Υπουργείο ... το .../13-05-2024 υπόμνημα, γ) η ... το .../13-05-2024 υπόμνημα, δ) ο ... το .../13-05-2024 υπόμνημα και ε) ο ... το .../13-05-2024 υπόμνημα.
Η ..., με το .../10-05-2024 υπόμνημά της, αρχικά τονίζει ότι η έκβαση της υπόθεσης είναι πολύ σημαντική για την ίδια, αφού όχι μόνο έχει στοιχίσει τη βέβαιη επανεκλογή της στο Ευρωκοινοβούλιο αλλά δημιούργησε πολλές αντιδικίες σε πολιτικό και ποινικό επίπεδο και σε γενικές γραμμές επαναλαμβάνει τους ισχυρισμούς που προέβαλε κατά την ακρόαση, διευκρινίζοντας ιδίως τα εξής:
- Ότι στράφηκε σε κομματικές πηγές προκειμένου να υποστηρίξει την επικοινωνιακή της εκστρατεία για τις Ευρωεκλογές και έτσι στις 18/1/2024 είχε τηλεφωνική επικοινωνία με τη Διεύθυνση Πληροφορικής της ..., στο πλαίσιο της οποίας παραπέμφθηκε προφορικά στον Γραμματέα Αποδήμων ήδη πριν την επίσημη επικοινωνία της μέσω e-mail στις 22/1/2024.
- Ότι κατόπιν των προφορικών οδηγιών της Διεύθυνσης Πληροφορικής της ... επικοινώνησε τηλεφωνικά και στη συνέχεια δια ζώσης με τον κ. ..., όπου, κατά τη διάρκεια γεύματος εργασίας το Σάββατο 20 Ιανουαρίου 2024 στην Αθήνα, του εξέθεσε το περιεχόμενο της επικοινωνίας του πολιτικού γραφείου της με το κόμμα, καθώς και την πρόθεσή της να επικοινωνήσει με τους αποδήμους Έλληνες για την επιστολική ψήφο, προβάλλοντας και την υποψηφιότητά της για τις Ευρωεκλογές του Ιουνίου 2024, ο δε Γραμματέας Αποδήμων την πληροφόρησε ότι διαθέτει εμπλουτισμένα, ασφαλή και ενημερωμένα στοιχεία επικοινωνίας με αποδήμους, τα οποία είχε συλλέξει νομίμως στο πλαίσιο της κομματικής θέσης και του θεσμικού του ρόλου. Ειδικότερα, της υπενθύμισε ότι κατά την προεκλογική περίοδο του Ιουνίου 2023, ήταν ορισμένος επίσημα ως εκπρόσωπος της ... στην Ειδική Διακομματική Επιτροπή για την ψήφο των εκλογέων εξωτερικού με αρμοδιότητα την εξέταση ενστάσεων υποψηφίων. Παράλληλα, όπως προκύπτει και από σχετικό δελτίο τύπου της ..., ήταν επιφορτισμένος να δέχεται κλήσεις στο κινητό του τηλέφωνο, μαζί με άλλα 5 κομματικά στελέχη, που λειτουργούσαν ένα άτυπο «τηλεφωνικό κέντρο» της ..., με σκοπό την ενημέρωση, καθοδήγηση και διευκόλυνση των εκλογέων εξωτερικού να συγκεντρώσουν τα αναγκαία δικαιολογητικά, ώστε να εγγραφούν στους ειδικούς εκλογικούς καταλόγους του Υπουργείου ... για το έτος 2023. Μέσω της δράσης του αυτής, είχε συγκεντρώσει πλήρη στοιχεία επικοινωνίας των ενδιαφερόμενων, όπως ονοματεπώνυμα, πατρώνυμα, χώρα, πόλη και διευθύνσεις κατοικίας, τηλέφωνα και e-mails, τα οποία προσφέρθηκε ευχαρίστως να στείλει στην κ. ... προς αξιοποίηση στην ενημερωτική της καμπάνια ως Ευρωβουλευτή.
- Ότι κατά τη συνάντησή τους του ζήτησε τα στοιχεία επικοινωνίας των αποδήμων, για να ξέρει σε ποιες χώρες υπήρχε μεγαλύτερη συγκέντρωση αποδήμων Ελλήνων, ώστε να ταξιδέψει κατά προτεραιότητα σε αυτές, προβάλλοντας την υποψηφιότητά της για τις Ευρωεκλογές.
- Ότι δεν είχε κανένα λόγο να αμφισβητήσει την καλή του πρόθεση ούτε τα λεγόμενά του, αφού γνώριζε τη δράση του και το γεγονός ότι η θεσμική θέση του ως Γραμματέα Διασποράς της ... περιλάμβανε τακτικές επαφές με ομογενειακές οργανώσεις Ελλήνων (άνω των 2.100 ανά τον κόσμο με βάση επίσημα στοιχεία), συχνά ταξίδια και παραμονή του για αρκετές ημέρες κάθε μήνα στο εξωτερικό, για οργάνωση εκδηλώσεων προβολής του κόμματος στον Ελληνισμό της Διασποράς. Επιπλέον αναφέρει ότι εάν είχε την παραμικρή υποψία ότι τα στοιχεία αυτά δεν είναι νομικά ασφαλή και «πιστοποιημένα» κατά GDPR, δεν είχε κανένα λόγο να τα χρησιμοποιήσει, διακινδυνεύοντας τη βέβαιη επανεκλογή της.
- Ότι ο κ. ... της απέστειλε το αρχείο μέσω WhatsApp, όπως δήλωσε κατά την ακρόαση, στο πλαίσιο της υφιστάμενης σχέσης εμπιστοσύνης και της κομματικής τους επικοινωνίας, ένεκα της ιδιότητάς της ως ευρωβουλευτή και εκπροσώπου τύπου της ... στο Ευρωκοινοβούλιο. Η κ. ... επεσήμανε ότι είναι εκπρόσωπος τύπου της Ευρωομάδας της ..., χωρίς η ιδιότητα αυτή να της προσδίδει περισσότερα δικαιώματα από άλλους υποψηφίους, καθώς και ότι η εκ μέρους της λήψη του αρχείου στις 20.1.2024, ήτοι πριν από την επίσημη απάντηση της Διεύθυνσης Πληροφορικής του κόμματος στις 22.1.2024, είναι απολύτως αδιάφορη, αφού οποτεδήποτε και να τα ελάμβανε, το έκανε βάσει κομματικών οδηγιών και από πηγή που αρμοδίως της υποδείχθηκε.
- Ότι η χρήση από τα κομματικά στελέχη προσωπικών συσκευών και εφαρμογών, τύπου WhatsApp, προβλέπεται ρητά από την πολιτική του κόμματος για την κυβερνοασφάλεια, σύμφωνα με τις οδηγίες ασφάλειας («Bring Your Own Device – BYOD), συνεπώς το από 22.1.2024 απαντητικό ηλεκτρονικό μήνυμα της Διεύθυνσης Πληροφορικής της ... προς το γραφείο της με σύσταση να απευθυνθεί στη Γραμματεία Διασποράς, καθιστά αβάσιμους τους ισχυρισμούς της ..., ότι μόνη αρμόδια υπηρεσία για αποστολή στοιχείων είναι η Διεύθυνση Πληροφορικής του Κόμματος και μοναδικό μέσο μετάδοσης πληροφοριών το ηλεκτρονικό ταχυδρομείο, αφού αν ίσχυε κάτι τέτοιο, η Διεύθυνση Πληροφορικής θα ζητούσε η ίδια τα επικαιροποιημένα στοιχεία από τον Γραμματέα Αποδήμων, ώστε να της τα παραδώσει πλήρη, μέσω της επίσημης οδού και δεν θα την παρέπεμπε «αναρμοδίως» σε αυτόν.
- Όσον αφορά τη νομιμότητα της πολιτικής επικοινωνίας της μέσω e-mail με όλους τους Έλληνες του εξωτερικού, η κ. ... επαναλαμβάνει τους αναφερόμενους στο αρχικό της υπόμνημα ισχυρισμούς, τονίζοντας ότι δεν υπάρχει ειδική κανονιστική ρύθμιση για την πολιτική επικοινωνία και ότι το σχετικό κενό δεν καλύπτεται από τις Κατευθυντήριες Γραμμές 1/2023 της Αρχής, και ότι εν προκειμένω ευλόγως θεώρησε ότι έχει υπέρτερο έννομο συμφέρον προς ενημέρωση αγνώστων εκλογέων για την επιστολική ψήφο, αφού δεν ήταν σε θέση να γνωρίζει ποιες ήταν οι «θεμιτές προσδοκίες» των άγνωστων αποδεκτών του μηνύματος και θεώρησε ότι δεν θα θιγούν από ένα μοναδικό ενημερωτικό και όχι εμπορικό μήνυμα από μία προβεβλημένη πολιτικό, καθώς επίσης και ότι η χρήση του e-mail των αποδήμων εξυπηρετεί παράλληλα το δημόσιο συμφέρον για ευρεία συμμετοχή στην εκλογική διαδικασία και για εκλογή των καταλληλότερων υποψηφίων στην Ευρωβουλή, σκοπό απολύτως συμβατό με τον αρχικό σκοπό συλλογής των δεδομένων και συνεπώς, ότι κατά την άποψή της, η επεξεργασία στην οποία προέβη δεν ήταν παράνομη.
- Τέλος, επικαλούμενη σχετική νομολογία του ΔΕΕ και άλλων εποπτικών Αρχών της ΕΕ, αναφέρει ότι τυχόν επιβολή κύρωσης προστίμου σε βάρος της θα ανοίξει νέο γύρο αθέμιτης πολιτικής και οικονομικής εκμετάλλευσης της υπόθεσης και ζητεί την σύντομη έκδοση απόφασης χωρίς επιβολή κυρώσεων.
Ο ..., με το .../13-05-2024 υπόμνημά του, αρχικά επικαλείται την απόφαση 26/2006 της Αρχής και υποστηρίζει ότι οι εκλογικοί κατάλογοι δεν χρησιμοποιούνται αποκλειστικά κατά την εκλογική περίοδο αλλά είναι αναγκαίοι για την απρόσκοπτη δημοκρατική λειτουργία των κομμάτων, τα οποία εξ ορισμού έχουν έννομο συμφέρον να ζητούν τους εκλογικούς καταλόγους ανεξαρτήτως χρονικής στιγμής, προκειμένου να είναι σε θέση να εκπληρώνουν τους συνταγματικά κατοχυρωμένους σκοπούς τους, και για το λόγο αυτό δύνανται να τους χρησιμοποιούν, όπως ειδικότερα ορίζεται στην Πολιτική Απορρήτου του κάθε κόμματος. Ως ενδεικτικοί σκοποί αναφέρονται, η ανάλυση δημοσκοπικών ευρημάτων (τα οποία χρησιμοποιούνται ως κατευθυντήριες γραμμές για την εκλογική ποσόστωση, η οποία υπάρχει σε κάθε εκλογική περιφέρεια), η εγγραφή νέων μελών στους κομματικούς καταλόγους και γενικά η πολιτική επικοινωνία κάθε κόμματος στις εκλογικές περιφέρειες. Επισημαίνει επίσης ότι το άρθρο 23 του ΠΔ 26/2012 ρυθμίζει αποκλειστικά και μόνο τον τρόπο επικοινωνίας των υποψηφίων και των κομμάτων σε προεκλογική περίοδο και όχι σε μη προεκλογική περίοδο, δηλαδή δεν ρυθμίζει το άρθρο αυτό τον τρόπο διαρκούς ενημέρωσης των πολιτών για τις πολιτικές θέσεις και δράσεις του κόμματος.
Περαιτέρω, ο κ. ... υποστηρίζει ότι τόσο το κόμμα όσο και ο ίδιος, ως Γραμματέας Αποδήμων και άρα Όργανο του Κόμματος από το έτος 2019, είχε πλήρη νομιμοποίηση να έχει πρόσβαση στους ειδικούς εκλογικούς καταλόγους εκλογέων εξωτερικού. Προς το σκοπό αυτό επικαλείται: α) τον Κανονισμό Λειτουργίας οργανώσεων του απόδημου Ελληνισμού της ..., ο οποίος επικαιροποιήθηκε από την Πολιτική Επιτροπή της ... τον Νοέμβριο του 2022, σύμφωνα με τον οποίο, στην αρμοδιότητα της Γραμματείας Ελληνισμού της Διασποράς ανήκει, μεταξύ άλλων, και «η προετοιμασία και η υποστήριξη της συμμετοχής των Εκλογέων του Εξωτερικού στις Εθνικές Εκλογές και τις Ευρωεκλογές», η οποία συνεπάγεται αρμοδιότητά του ως Επικεφαλής της Γραμματείας Αποδήμων της ..., που δεν περιοριζόταν στα μέλη του Κόμματος, αλλά στο σύνολο των Εκλογέων του Εξωτερικού, β) την Πολιτική Απορρήτου της ..., το άρθρο 6.1 της οποίας αναφέρει ότι «Η ... κατά κανόνα δεν κοινοποιεί ούτε διαβιβάζει Προσωπικά Δεδομένα σε τρίτους. Αποδέκτες των Προσωπικών σας Δεδομένων, εκτός αν ορίζεται διαφορετικά στην αντίστοιχη Πολιτική Επεξεργασίας, είναι τα Όργανα του Κόμματος, ως αρμόδια για την οργάνωση, την διαχείριση, τη λειτουργία του και εκπλήρωση του σκοπού που απορρέει από το Καταστατικό της ...» και γ) το άρθρο 33 του Καταστατικού του κόμματος, σύμφωνα με το οποίο «οι Γραμματείες είναι Όργανα της Κεντρικής Διοίκησης του Κόμματος, με αρμοδιότητα την οργανωτική και λειτουργική ανάπτυξη, κατεύθυνση και συντονισμό των τομέων δράσης τους». Με βάση τα ανωτέρω, υποστηρίζει ότι δεν αποτελεί αυτοτελώς υπεύθυνο επεξεργασίας, ότι υπεύθυνος επεξεργασίας είναι αποκλειστικά η ..., η οποία, ως κόμμα, καθορίζει τους σκοπούς και τα μέσα επεξεργασίας, ούτε εξάλλου αποτελεί εκτελούντα την επεξεργασία, αλλά εσωτερικό όργανο του κόμματος. Αναφέρει ότι ως εκ της θέσεώς του ως κομματικού Οργάνου, είχε νομίμως πρόσβαση στα δεδομένα των εκλογικών καταλόγων και γι’ αυτό δεν μπορεί να θεωρηθεί τρίτος ως προς τα δεδομένα που περιέχονται σε αυτούς. Αντίθετα, πάντοτε ως εκ της θέσεώς του, θεωρείται πρόσωπο το οποίο, υπό την άμεση εποπτεία της ..., ως υπευθύνου επεξεργασίας, ήταν εξουσιοδοτημένο να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στους εκλογικούς καταλόγους.
Αναφορικά με τη χρήση της εφαρμογής WhatsApp, τονίζει και πάλι ότι η επικοινωνία με τρίτους, θεωρείται προσωπική επικοινωνία εφόσον δεν γίνεται μέσω των domains του κόμματος (e-mail σε @....gr). Όμως, η επικοινωνία του, μέσω της εφαρμογής WhatsApp, που αφορούσε τους εκλογικούς καταλόγους, έγινε μόνο με κομματικά Όργανα. Συνεπώς, κανένας εκ των δύο δεν θεωρείται τρίτος και η επικοινωνία θεωρείται απόλυτα εσωκομματική, όπου σύμφωνα με την Πολιτική Απορρήτου της ... δεν ορίζεται κανένα πλαίσιο ή περιορισμός στον τρόπο επικοινωνίας. Για το λόγο αυτό δεν του προκάλεσε εντύπωση η αποστολή τους μέσω WhatsApp από το αρμόδιο κομματικό στέλεχος, αλλά ούτε η κ. ... εξέφρασε κάποια επιφύλαξη ως προς τον τρόπο επικοινωνίας μαζί του. Σε ό,τι αφορά την παραλαβή των εκλογικών καταλόγων, ο κ. ... αναφέρει ότι πράγματι είχε ζητήσει, ως όφειλε, από το «αρμόδιο κομματικό στέλεχος» τους Εκλογικούς Καταλόγους των Αποδήμων προκειμένου να προβεί η Γραμματεία Αποδήμων του Κόμματος, σε ανάλυση του εκλογικού αποτελέσματος εκ των υστέρων (ειδικότερη μορφή της πολιτικής επικοινωνίας). Έλαβε τους ειδικούς εκλογικούς καταλόγους στις 23 Ιουνίου 17.05 μ.μ, ελάχιστες ώρες πριν ανοίξουν οι κάλπες στο εξωτερικό (24 Ιουνίου 00.00 ώρα Ελλάδος) και ενώ ήδη υπήρχε νόμιμη απαγόρευση πολιτικής επικοινωνίας. Οι εκλογικοί κατάλογοι του απεστάλησαν, ως αρχείο excel και με το πέρας των εκλογών και την δημοσιοποίηση των αποτελεσμάτων, χρησιμοποιήθηκαν μόνο το φύλο, η ηλικία και η πόλη από τη Γραμματεία Διασποράς, προκειμένου να γνωρίζει η ... πώς ψήφισαν οι πολίτες ανάλογα με τα ως άνω συγκριτικά στοιχεία διότι στο εξωτερικό δεν πραγματοποιούνται δημοσκοπήσεις την ημέρα των εκλογών (exit polls) και συνεπώς θα ήταν ανέφικτη η εξαγωγή ουσιαστικών πολιτικών συμπερασμάτων, σε μια ιστορική αλλά και πρωτόγνωρη δημοκρατική διαδικασία. Με το υπόμνημα προσκομίζεται το μήνυμα μέσω του οποίου ο κ. ... έλαβε το σχετικό excel, από κάποιον αριθμό ελληνικού κινητού τηλεφώνου, του οποίου έχει αποκρύψει 5 ψηφία από τα 6 τελευταία, ενώ εμφανή είναι το προτελευταίο και μικρά τμήματα κάποιων άλλων ψηφίων. Ο κ. ... ισχυρίζεται ότι το εμφανές προτελευταίο ψηφίο δεν αντιστοιχεί, εξ όσων γνωρίζει, σε συνεργάτες του τέως Γενικού Γραμματέα του Υπουργείου ..., στους οποίους διακινήθηκαν οι ειδικοί εκλογικοί κατάλογοι από την Διεύθυνση Εκλογών, σύμφωνα με το από 26/4/2024 Δελτίο Τύπου του Υπουργείου ... .
Όσον αφορά τη διαβίβαση του παραπάνω αρχείου στην κ. ..., ο κ. ... αναφέρει τα εξής: Στο πλαίσιο της προώθησης της επιστολικής ψήφου στους απόδημους Έλληνες, τόσο η ..., όσο και ειδικότερα η Γραμματεία Αποδήμων, είχαν σχεδιάσει πολιτικές δράσεις σε χώρες και πόλεις του εξωτερικού με έντονο το ελληνικό στοιχείο, προκειμένου να οργανώσουν εκδηλώσεις, με στόχο την ενημέρωση και την ενεργοποίηση των αποδήμων Ελλήνων σχετικά με την Επιστολική Ψήφο. Εξάλλου ο Γραμματέας Αποδήμων είχε διοργανώσει και άλλες ανάλογες εκδηλώσεις με στελέχη της κυβέρνησης και του κόμματος χωρίς να χρησιμοποιήσει οποιοδήποτε στοιχείο των εκλογικών καταλόγων, παρότι ήταν στην κατοχή του από τις 23/6/2023. Παράλληλα, στο πλαίσιο της πολιτικής επιλογής της ... για την προώθηση της επιστολικής ψήφου, η κα ..., ως εκπρόσωπος Τύπου της Ευρωομάδας της ... (δηλαδή ως κομματικό όργανο, αφού ο εκπρόσωπος Τύπου της Ευρωομάδας, ορίζεται απευθείας με απόφαση του προέδρου του κόμματος, ήτοι αποτελεί κομματικό όργανο), αποφάσισε με δική της πρωτοβουλία να συνδράμει στην προσπάθεια αυτή. Στο πλαίσιο της καμπάνιας για την προώθηση της επιστολικής ψήφου στους απόδημους Έλληνες, η κ. ... προσέγγισε τον κ. ... και του ζήτησε να συναντηθούν και να ανταλλάξουν απόψεις επί του ζητήματος στις 20/1/2023. Όπως τονίζει ο τ. Γραμματέας Αποδήμων, σκοπός της συνάντησης ήταν η πολιτική επικοινωνία του Κόμματος, όπως ειδικότερα προβλέπεται στην Γενική Πολιτική Απορρήτου, για την προώθηση της επιστολικής ψήφου, η οποία θα ψηφιζόταν λίγες ημέρες αργότερα. Στη συνάντηση, η κ. ... του ζήτησε τους ειδικούς εκλογικούς καταλόγους, με σκοπό να εξάγει πολιτικά συμπεράσματα, με βάση δημογραφικά στοιχεία των εκλογέων εξωτερικού, ώστε να προωθήσει την επιστολική ψήφο και στο πλαίσιο αυτό, ο κ. ... της χορήγησε τους ειδικούς εκλογικούς καταλόγους, λίγες ώρες αργότερα. Επισημαίνει ότι δεν μπορούσε να φανταστεί ότι οι εν λόγω κατάλογοι θα γίνονταν αντικείμενο άλλης επεξεργασίας πέρα από τον σκοπό που η κ. ... του είχε αναφέρει, με δεδομένη την άριστη γνώση του ΓΚΠΔ από πλευράς της, αλλά και ότι δεν θα μπορούσε να αρνηθεί λόγω του θεσμικού της ρόλου (Εκπρόσωπος Τύπου της Ευρωομάδας της ... στο Ευρωκοινοβούλιο), καθώς η νομοθεσία αναφέρει ρητά ότι οι εκπρόσωποι των Κομμάτων στη Βουλή και στο Ευρωκοινοβούλιο, μπορούν να έχουν πρόσβαση στους εκλογικούς καταλόγους, ενώ η κα ... επανειλημμένα είχε λάβει θεσμικά (σε μη προεκλογική περίοδο) τους εκλογικούς καταλόγους από το Υπουργείο ... όπως και δήλωσε ενώπιον της Αρχής στις 29/4/2024. Τέλος, ο κ. ... υποστηρίζει ότι ουδέποτε τους απασχόλησε νωρίτερα η ύπαρξη των διευθύνσεων e-mail εντός των ειδικών εκλογικών καταλόγων εξωτερικού αφού ήταν η πρώτη φορά που συμπεριλήφθηκαν e-mails σε εκλογικούς καταλόγους, βάσει του άρθρου 3 του Ν. 4648/2019, το οποίο στην παρ. 2 όριζε απλώς μια επιφύλαξη χωρίς ειδικότερη πρόβλεψη (σε αντίθεση με τη ρητή απαγόρευση που περιλαμβάνεται πλέον στο άρθρο 7 παρ. 2 του Ν.5083/2024 για την επιστολική ψήφο) επομένως, το ζήτημα των e-mails στους εκλογικούς καταλόγους, για τα κομματικά Όργανα ήταν κάτι πρωτόγνωρο. Δηλώνει ότι ως ..., αλλά και προσωπικά, δεν τον ενδιέφερε να αναζητήσει κανένα προσωπικό στοιχείο επικοινωνίας των προσώπων (πχ δηλωθείσα διεύθυνση διαμονής), καθώς δεν υπήρχε σκοπός να προχωρήσει η ... σε απευθείας πολιτική επικοινωνία μαζί τους, ούτε καν μέσω ταχυδρομικής αποστολής αφού κάτι τέτοιο επιτρέπεται μόνο στην προεκλογική περίοδο και ο σκοπός χρήσης τους εν προκειμένω ήταν η ανάλυση των εκλογικών αποτελεσμάτων.
Συμπληρωματικά, ο κ. ... με το με αρ. πρωτ. .../22-05-2024 έγγραφο προσκόμισε ένορκη βεβαίωσή του ως προς τον τρόπο περιέλευσης σε αυτόν των εκλογικών καταλόγων.
Η ..., με το .../13-05-2024 υπόμνημά της αναφέρεται κατά λέξη στο από 29/3/2024 έγγραφο απόψεών της, επισημαίνοντας ιδίως τα προβλεπόμενα στο Καταστατικό της και στην δημοσιευμένη Πολιτική Επεξεργασίας προσωπικών δεδομένων του κόμματος και διευκρινίζοντας ότι τα τεχνικά μέτρα που εφαρμόζει αποκλείουν την εγγραφή και διατήρηση αρχείου στη βάση δεδομένων του κόμματος, από οποιονδήποτε Γραμματέα. Οι αναφερόμενοι ως αποδέκτες δεδομένων (του άρθρου 43) δεν τηρούν αρχείο μελών, αλλά μπορούν μόνο, για την άσκηση των καθηκόντων του τομέα τους να λαμβάνουν, κατόπιν αιτήματος προς τη Διεύθυνση Πληροφορικής, ως τη μόνη αρμόδια τήρησης, επεξεργασίας και διαβίβασης δεδομένων των μελών, είτε το αρχείο μελών συνολικά είτε μέρος αυτού για συγκεκριμένο σκοπό. Η ... διαχωρίζει με έμφαση την έννοια των μελών από αυτή των κομματικών στελεχών και τονίζει ότι η Διεύθυνση Πληροφορικής απέστειλε, κατόπιν τηλεφωνικής επικοινωνίας (22/1/2024) μεταξύ του κ. Σ, από τη Διεύθυνση Πληροφορικής της ..., και της συνεργάτιδας του γραφείου της κ. ..., την ίδια ημέρα αρχείο κομματικών στελεχών εξωτερικού και την παρέπεμψε στη Γραμματεία Διασποράς, η οποία τηρεί επίσης αρχείο στελεχών εξωτερικού, για πιθανές επικαιροποιήσεις των στοιχείων αυτών, με τα οποία ο Γραμματέας Διασποράς εκ της θέσεώς του είχε διοικητική ή άλλη λειτουργική σχέση. Αναφορικά με το αρχείο που έλαβε ο κ. ...μέσω WhatsApp στις 23/6/2023, η ... υποστηρίζει ότι η διακίνησή του έγινε εν αγνοία και χωρίς την παραμικρή εμπλοκή του κόμματος και ότι μετά την παραίτησή του δεν του ζητήθηκε από το κόμμα η διαγραφή ή καταστροφή αρχείων προσωπικών δεδομένων, καθώς δεν ήταν γνωστό τι περιλάμβανε αυτό το αρχείο και για να μην εμποδιστεί η έρευνα των αρμόδιων Αρχών. Όσον αφορά την ύπαρξη περιστατικού παραβίασης, η ... υποστηρίζει ότι δεν συνέβη τέτοιο περιστατικό, αφ’ ενός μεν διότι τα στοιχεία των κομματικών στελεχών εξωτερικού είναι ήδη διαθέσιμα δημοσίως στο διαδίκτυο, συνεπώς δεν τέθηκε σε κίνδυνο δικαίωμα ή ελευθερία τους, ενώ εξάλλου σύμφωνα με την Πολιτική Επεξεργασίας δεδομένων του κόμματος, ο παραιτηθείς Γραμματέας οφείλει να έχει παύσει τη χρήση τους, αφ’ ετέρου δε διότι η διακινούμενη μέσω WhatsApp λίστα αποδήμων που έτυχαν επεξεργασίας από την Ευρωβουλευτή και τον π. Γραμματέα, δεν ήταν ποτέ διαθέσιμα στη ..., ούτε αυτή θα μπορούσε να βρίσκεται σε καθεστώς πλήρους και αδιαμφισβήτητης γνώσης του κινδύνου στον οποίο τυχόν βρίσκονται τα υποκείμενα, ώστε να στοιχειοθετείται υποχρέωση γνωστοποίησης προς την Αρχή. Εξάλλου, όπως αναφέρει, δεν ήταν αντικειμενικά εφικτός ο συσχετισμός των δύο αρχείων (κομματικών στελεχών εξωτερικού και λίστας αποδήμων) ούτε το κόμμα διέθετε όλες τις κρίσιμες πληροφορίες για το σκοπό της διερεύνησης του περιστατικού.
Ο ..., με το .../13-05-2024 υπόμνημά του υπενθυμίζει τις αρμοδιότητες της Γενικής Γραμματείας της οποίας διετέλεσε προϊστάμενος, στο πλαίσιο των οποίων είχε συνεργασία με άλλες υπηρεσίες του Υπουργείου σχετικά με ζητήματα εκλογικής φύσεως, τονίζοντας ότι εφόσον κρινόταν απαραίτητο ετύγχαναν νομότυπης επεξεργασίας από τους αρμόδιους φορείς για συγκεκριμένους σκοπούς, όπως π.χ. για τον καθορισμό των εκλογικών τμημάτων και την αποστολή του εκλογικού υλικού, συγκεντρωτικά και στατιστικής φύσεως εκλογικά στοιχεία, χωρίς προσωπικά δεδομένα εκλογικών καταλόγων, στα οποία είχε αποκλειστική αρμοδιότητα πρόσβασης η Διεύθυνση Εκλογών. Τέλος, επαναλαμβάνει ότι ο ίδιος δεν είχε ποτέ στην κατοχή του αρχεία και δη στοιχεία τηλεφώνου και e-mail των Ελλήνων εκλογέων ούτε έδωσε ποτέ εντολή να διαβιβαστούν κατά παράβαση, συνεπώς αγνοεί αν υπήρξε ποτέ διαβίβαση εκλογικών καταλόγων αναρμοδίως.
Το Υπουργείο ..., με το .../13-05-2024 υπόμνημα αναφέρει μεταξύ άλλων τα εξής: Η κρίσιμη διαβίβαση των στοιχείων των εκλογέων που είναι εγγεγραμμένοι στους εκλογικούς καταλόγους του 2023 (συμπεριλαμβανομένων διευθύνσεων ηλεκτρονικού ταχυδρομείου) πραγματοποιήθηκε από τον κ. ... ο οποίος τα έστειλε στην Ευρωβουλευτή κα ... . Δεν υπάρχει στοιχείο του φακέλου της υπόθεσης που να συνδέει, σε κύκλο προσώπων, την ερευνώμενη επεξεργασία με το Υπουργείο ... ούτε και προκύπτει οποιαδήποτε σχετική απόδειξη μη σύννομης διαβίβασης των εν λόγω προσωπικών δεδομένων από εκπρόσωπο του Υπουργείου εκτός αυτού. Σύμφωνα με τα ανωτέρω, το Υπουργείο ... είχε προβεί μόνον στις απαραίτητες στο πλαίσιο των αρμοδιοτήτων του νόμιμες επεξεργασίες των στοιχείων των εκλογέων για λόγους ενημέρωσής τους. Από τα μέχρι τώρα στοιχεία δεν έχει αποδειχθεί η σύνδεση συγκεκριμένου προσώπου, το οποίο ενεργούσε υπό την εποπτεία του Υπουργείου ... με τις υπό κρίση επεξεργασίες. Από την τυχόν διακίνηση των κρίσιμων δεδομένων από τρίτα πρόσωπα, δεν δύναται να θεμελιωθεί άνευ ετέρου ευθύνη του Υπουργείου για παραβίαση των υποχρεώσεων με τις οποίες βαρύνεται ως υπεύθυνος επεξεργασίας. Με άλλα λόγια, η παραβίαση της σχετικής νομοθεσίας δεν μπορεί να αποδοθεί στο Υπουργείο ... ως υπεύθυνου επεξεργασίας, αφού τα e-mails δεν απεδείχθη μέχρι σήμερα ότι περιήλθαν στην Ευρωβουλευτή από το Υπουργείο ... .
Σε κάθε περίπτωση, ακόμη και αν μπορούσε να θεωρηθεί υπάρχουσα η ευθύνη του Υπουργείου, πάντως αμβλύνεται σημαντικά λόγω του γεγονότος ότι το Υπουργείο, ως υπεύθυνος επεξεργασίας είχε λάβει κάθε αναγκαίο μέτρο προκειμένου να αποτραπεί η τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση στα κρίσιμα δεδομένα προσωπικού χαρακτήρα. Επίσης, είναι απαραίτητο να αναφερθεί ότι από την πρώτη στιγμή που προέκυψε το ζήτημα: α) Το Υπουργείο ... προέβη σε ανακοίνωση ενδεχόμενου περιστατικού παραβίασης προσωπικών δεδομένων προς την Αρχή την 18/3/2024 μέσω της πλατφόρμας της Αρχής, εντός 72 ωρών από σχετική δημοσιοποίηση στα ΜΜΕ, β)Το Υπουργείο ... συνεργάστηκε πλήρως και αποτελεσματικά με την Αρχή και τα κλιμάκια αυτής που διερεύνησαν την υπόθεση, γ) Το Υπουργείο ... έδωσε απαντήσεις σε όλα τα ερωτήματα - αιτήματα των υποκειμένων των δεδομένων στην βάση του άρθρου 15 του ΓΚΠΔ και μέχρι σήμερα έχουν ικανοποιηθεί 125 αιτήματα και συγκεκριμένα έχει χορηγηθεί πρόσβαση των υποκειμένων στα δεδομένα τους υπό την προϋπόθεση προηγούμενης ταυτοποίησης των υποκειμένων. Έχει δε ενεργοποιηθεί η πλατφόρμα των απόδημων εκλογέων για απευθείας πρόσβαση αυτών στα στοιχεία που τηρούνται από τον Υπεύθυνο Επεξεργασίας κατ' εφαρμογή της εκλογικής νομοθεσίας και οι ενδιαφερόμενοι έχουν ήδη ενημερωθεί εγγράφως από το Υπουργείο ... για τη δυνατότητα αυτή.
Επίσης κατά τον σχηματισμό της κρίσης της Αρχής για την επιβολή ή μη και σε ποιο ύψος τυχόν διοικητικής κύρωσης, είναι απαραίτητο να ληφθούν επίσης υπόψη τα μέτρα ασφαλείας που ήταν σε ισχύ κατά τον χρόνο που προηγήθηκε της κρίσιμης επεξεργασίας / διακίνησης των προσωπικών δεδομένων Ελλήνων εκλογέων του εξωτερικού:
Το Υπουργείο ... είχε αναθέσει την εκπόνηση μελέτης ασφαλείας του συστήματος στην ανάδοχο εταιρεία ... . Μεταξύ άλλων προβλεπόταν η χρήση δικτυακού εξοπλισμού που προσφέρει το Ενιαίο Κυβερνητικό Νέφος «G–Cloud» της Γενικής Γραμματείας Πληροφοριακών Συστημάτων. Είχε εκπονηθεί μελέτη ασφαλείας για το Ολοκληρωμένο Σύστημα Υποστήριξης Εκλογικών Διαδικασιών (ΟΣΥΕΔ). Το σχέδιο ασφαλείας που χρησιμοποιήθηκε βασιζόταν στο διεθνές πρότυπο ISO/IEC27001. Το Τμήμα Εκλογών διενεργούσε τον έλεγχο των αιτήσεων των εκλογέων εξωτερικού μόνον στην πλατφόρμα της Διεύθυνσης Ηλεκτρονικής Διακυβέρνησης (ΟΣΥΕΔ). Στο σύστημα αυτό δεν μπορούσε να εισέλθει μη εξουσιοδοτημένος χρήστης. Συμπληρωματικά αναφέρεται ότι κατά το χρονικό διάστημα που προηγήθηκε των εκλογών Μαΐου - Ιουνίου 2023 πραγματοποιήθηκαν έλεγχοι ασφαλείας στο σύστημα τόσο από την Εθνική Υπηρεσία Πληροφοριών όσο και από την Διεύθυνση Κυβερνοάμυνας του Γενικού Επιτελείου Εθνικής Άμυνας. Επίσης, κατ' εφαρμογή της νομοθεσίας (άρθρο 3 παρ. 2 του ν. 4648/2019), τα αντίγραφα εκλογικών καταλόγων που δίδονταν σε βουλευτές δεν περιείχαν διευθύνσεις e-mail και τηλέφωνα κατοίκων του εξωτερικού.
Από τα ανωτέρω συνάγεται ότι το Υπουργείο ... επέδειξε την δέουσα επιμέλεια και, συμμορφούμενο προς τις υποχρεώσεις του, έλαβε κάθε αναγκαίο τεχνικό και οργανωτικό μέτρο. Σε κάθε περίπτωση, σε όλα τα συστήματα τα τεχνικά και οργανωτικά μέτρα επιδέχονται διαρκών βελτιώσεων και το Υπουργείο ... λαμβάνει υπ' όψιν τόσο τις παρατηρήσεις του ΥΠΔ όσο και τις υποδείξεις της Αρχής ενώ καταβάλλει προσπάθειες για διαρκή βελτίωση και ενίσχυση των εν λόγω μέτρων.
Είναι όμως αναγκαίο να αναφερθεί ότι στη συγκεκριμένη υπόθεση η κρίσιμη διακίνηση των δεδομένων δεν αποδίδεται ούτε αποδείχθηκε ότι οφείλεται στην αδυναμία της πολιτικής ασφαλείας και των μέτρων προστασίας των συστημάτων του Υπουργείου ... . Αντιθέτως, πρωταγωνιστικό και δη αποκλειστικό ρόλο φαίνεται να έχει διαδραματίσει ο ανθρώπινος παράγοντας.
Το Υπουργείο ... διαθέτει διαδικασίες για την ταχύτατη αντιμετώπιση και διαχείριση φερόμενων περιστατικών παραβίασης. Στο πλαίσιο αυτό και με γνώμονα την αποτελεσματική διασφάλιση των δικαιωμάτων των υποκειμένων την επόμενη κιόλας ημέρα από τη δημοσιοποίηση των εν λόγω καταγγελιών διατάχθηκε έρευνα από την ηγεσία του Υπουργείου. Ειδικότερα,
α. Την επόμενη εργάσιμη μέρα, μετά από τις πρώτες καταγγελίες, διετάχθη με την .../4.3.2024 κοινή απόφαση της Υπουργού και του Αναπληρωτή Υπουργού ...η διενέργεια εσωτερικού ελέγχου για την επιβεβαίωση της επάρκειας και της ασφάλειας των διαδικασιών προστασίας δεδομένων προσωπικού/χαρακτήρα σε σχέση με τους εκλογικούς καταλόγους 2023 και ευρύτερα,
β. Ο έλεγχος ολοκληρώθηκε μετά από διεξοδική έρευνα (εξετάσθηκε μεγάλος αριθμός υπαλλήλων (28) και συνελέγησαν στοιχεία), η οποία ολοκληρώθηκε σε σύντομο διάστημα (45 ημερών) και κατέδειξε ένα ικανό επίπεδο ασφάλειας. Διατυπώνονται επιπροσθέτως προτάσεις βελτίωσης του επιπέδου ασφαλείας, αφού ληφθούν υπόψη οι παρατηρήσεις του ΥΠΔ και οι συστάσεις της Αρχής.
γ. Επιπροσθέτως, σημειώνεται ότι το πόρισμα (που υπεβλήθη 26.4.2024 με το ΕΜΠ 425 έγγραφο της Προϊσταμένης της Διεύθυνσης της Μονάδας Εσωτερικού Ελέγχου) καταλήγει σε συστάσεις για διεξαγωγή ΕΔΕ, η οποία διετάχθη την ίδια ημέρα δηλ. από 26.4.2024 (Κοινή Απόφαση Υπουργού ... και Αναπληρωτή Υπουργού ... .../26.4.2024 - Παράρτημα 1).
δ. Με την .../19.3.2024 έγγραφη εντολή της Υπουργού ... (Παράρτημα 2) σφραγίστηκαν οι χώροι των γραφείων του τέως Γενικού Γραμματέα ... ... με τη λήψη όλων των αναγκαίων διασφαλιστικών και προστατευτικών μέτρων (κλείδωμα γραφείων και υπολογιστών, απενεργοποίηση κατάργηση κωδικών) για τα ηλεκτρονικά και έγχαρτα αρχεία του Γραφείου ώστε να μπορέσει η Αρχή να διεξαγάγει απερίσπαστη την έρευνά της και να μην τεθούν σε κίνδυνο τα αποτελέσματα της διεξαχθείσας έρευνας με την διασφάλιση όλων των εγγυήσεων αδιατάρακτης και αδιάβλητης διεξαγωγής των σχετικών ελέγχων.
ε. Με την ΕΜΠ ΠΡΩΤ: .../26.4.2024 κοινή απόφαση της Υπουργού ... και του Αναπληρωτή Υπουργού ... (Παράρτημα 3) προς την Υπηρεσιακή Γραμματέα του Υπουργείου αποφασίστηκε η υλοποίηση εμπειρογνωμοσύνης προκειμένου να εξεταστούν οι υφιστάμενες πολιτικές ασφαλείας και να αποτυπωθούν προτάσεις για την περαιτέρω βελτίωση των συστημάτων ασφαλείας και των διαδικασιών προστασίας δεδομένων προσωπικού χαρακτήρα που αφορούν στην εκλογική διαδικασία. Σκοπός είναι η εισαγωγή ενεργειών για την περαιτέρω ενίσχυση των διαδικασιών με έμφαση στη Διεύθυνση Εκλογών, καθώς και για τη βελτιστοποίηση, όπου απαιτείται, των ειδικών πολιτικών χειρισμού περιστατικών για την τήρηση των διαδικασιών (καταγραφή της υφιστάμενης κατάστασης σε ό,τι αφορά στο κανονιστικό πλαίσιο περί προστασίας προσωπικών δεδομένων («Gap analysis»), υλοποίηση μελέτης για τη διατύπωση προτάσεων σε ότι αφορά στα τυχόν ευρήματα που θα ανακύψουν από την Εκτίμηση Απόκλισης («Roadmap») και η βελτιστοποίηση υφιστάμενων διαδικασιών (αρχείο δραστηριοτήτων επεξεργασίας, πολιτικές προστασίας προσωπικών δεδομένων, πολιτικές ιστοσελίδων, πολιτικές προγραμμάτων cookies, πολιτικές ασφάλειας πληροφοριακών συστημάτων)).
στ. Με εντολή της Υπουργού ... ζητήθηκε η υποχρεωτική επιμόρφωση όλων των υπαλλήλων του Υπουργείου Εσωτερικών σε ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα σε συνεργασία με το ΕΚΔΔΑ και τον ΥΠΔ. Ειδικότερα, με το από .../1.5.2024 έγγραφο της Υπουργού ... (Παράρτημα 4) προς τον Αντιπρόεδρο του ΕΚΚΔΑ ζητείται στο πλαίσιο της βελτιστοποίησης της ενημέρωσης, εκπαίδευσης και ευαισθητοποίησης στελεχών του Υπουργείου ... για θέματα που αφορούν στην εφαρμογή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων, να προχωρήσει ο σχεδιασμός και η υλοποίηση νέων εξειδικευμένων σεμιναρίων σε συνεργασία με το Ινστιτούτο Επιμόρφωσης (ΙΝΕΠ) του ΕΚΔΔΑ, καθώς και τον Υπεύθυνο Προστασίας Δεδομένων του Υπουργείου ... .
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε τους εισηγητές και τις διευκρινίσεις από τους βοηθούς εισηγητών, μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
Α ΕΦΑΡΜΟΣΤΕΕΣ ΔΙΑΤΑΞΕΙΣ
1. Από τις διατάξεις των άρθρων 51 και 55 ΓΚΠΔ και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ), του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. α’, στ΄ και η’ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ και η’ του νόμου 4624/2019 προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί των καταγγελιών που έχουν υποβληθεί στην Αρχή για παράνομη επεξεργασία προσωπικών δεδομένων, να ελέγξει αυτεπαγγέλτως την πιθανή διαρροή προσωπικών δεδομένων και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Ως «επεξεργασία» προσωπικών δεδομένων σύμφωνα με το άρθρο 4 αρ. 2) ΓΚΠΔ νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
3. Ως «υπεύθυνος επεξεργασίας», σύμφωνα με το άρθρο 4 αρ. 7) ΓΚΠΔ ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ως «εκτελών την επεξεργασία» (άρθ. 4 αρ. 8 ΓΚΠΔ) το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας, ενώ ως «τρίτος» (άρθ. 4 αρ. 10) ΓΚΠΔ) νοείται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα. Περαιτέρω, σύμφωνα με το άρθρο 29 ΓΚΠΔ «Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους». Κατά συνέπεια, σε περίπτωση επεξεργασίας προσωπικών δεδομένων από φυσικό πρόσωπο για λογαριασμό του υπευθύνου επεξεργασίας, δηλαδή κατά την άσκηση των καθηκόντων του στο πλαίσιο των δραστηριοτήτων και των επιδιωκόμενων σκοπών του υπεύθυνου επεξεργασίας, οι ενέργειες του φυσικού προσώπου αποδίδονται στο νομικό πρόσωπο. Όπως επισημαίνεται στις Κατευθυντήριες Γραμμές 07/2020 του ΕΣΠΔ σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ - Έκδοση 2.0 (7 Ιουλίου 2021)«Καταρχήν, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που εκτελείται από υπαλλήλους στο πεδίο των δραστηριοτήτων ενός οργανισμού μπορεί να θεωρηθεί ότι εκτελείται υπό τον έλεγχο του εν λόγω οργανισμού (αφού οι υπάλληλοι που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στο πλαίσιο ενός οργανισμού δεν θεωρούνται εν γένει «υπεύθυνοι επεξεργασίας» ή «εκτελούντες την επεξεργασία», αλλά «πρόσωπα που ενεργούν υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία» κατά την έννοια του άρθρου 29 του ΓΚΠΔ). Σε εξαιρετικές περιστάσεις, ωστόσο, ενδέχεται κάποιος υπάλληλος να αποφασίσει τη χρήση δεδομένων προσωπικού χαρακτήρα για ίδιους σκοπούς και, ως εκ τούτου, να υπερβεί παρανόμως τις εκχωρηθείσες στο πρόσωπό του αρμοδιότητες. (π.χ. για να ιδρύσει δική του εταιρεία ή για παρόμοιο σκοπό). Κατά συνέπεια, ως υπεύθυνος επεξεργασίας ο οργανισμός έχει καθήκον να εξασφαλίσει ότι εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένης της κατάρτισης και της ενημέρωσης των υπαλλήλων, τα οποία θα διασφαλίζουν τη συμμόρφωση προς τον ΓΚΠΔ.» (§19). Στο ίδιο κείμενο Κατευθυντηρίων Οδηγιών του ΕΣΠΔ διευκρινίζονται επίσης τα εξής: «Στην πράξη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία συμμετέχουν περισσότεροι παράγοντες μπορεί να κατατμηθεί σε περισσότερες μικρότερες δραστηριότητες επεξεργασίας για τις οποίες θα μπορούσε να θεωρηθεί ότι κάθε παράγοντας καθορίζει τον σκοπό και τον τρόπο επεξεργασίας αυτοτελώς. Εξάλλου, μια αλληλουχία ή μια σειρά πράξεων επεξεργασίας στην οποία συμμετέχουν περισσότεροι παράγοντες μπορεί επίσης να πραγματοποιηθεί για τον ίδιο σκοπό/τους ίδιους σκοπούς, οπότε είναι πιθανό η επεξεργασία να περιλαμβάνει έναν ή περισσότερους από κοινού υπευθύνους επεξεργασίας. Με άλλα λόγια, στο «μικροεπίπεδο» είναι πιθανό οι διάφορες επιμέρους πράξεις επεξεργασίας να εμφανιστούν ως αποσυνδεδεμένες η μια από την άλλη, δίδοντας την εντύπωση ότι κάθε επιμέρους πράξη ενδέχεται να εξυπηρετεί διαφορετικό σκοπό. Ωστόσο, επιβάλλεται να ελεγχθεί ενδελεχώς εάν στο «μακροεπίπεδο» οι εν λόγω πράξεις επεξεργασίας δεν θα πρέπει να θεωρηθούν ως «σειρά πράξεων» για την επιδίωξη κοινού σκοπού με τη χρήση από κοινού καθορισμένων μέσων. (§43). Όποιος αποφασίζει να υποβάλει σε επεξεργασία δεδομένα πρέπει να εξετάζει εάν η εν λόγω επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα και, εάν αυτό συμβαίνει, ποιες υποχρεώσεις υπέχει σύμφωνα με τον ΓΚΠΔ. Ένας παράγοντας θεωρείται «υπεύθυνος επεξεργασίας» ακόμη και αν δεν στοχεύει εκουσίως στα δεδομένα προσωπικού χαρακτήρα αυτά καθεαυτά ή έχει εσφαλμένα εκτιμήσει ότι δεν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα» (§44). Το ΕΣΠΔ διευκρίνισε, τέλος, ότι δεν συνιστά προϋπόθεση απόδοσης της ιδιότητας του υπευθύνου επεξεργασίας η δυνατότητα πρόσβασής του στο σύστημα αρχειοθέτησης, ούτε βεβαίως η «κατοχή» του συστήματος αρχειοθέτησης ή η εποπτεία σε αυτό, αρκεί να καθορίζει ο ίδιος τον σκοπό επεξεργασίας ακόμη και σε «ξένα» αρχεία: «Ο υπεύθυνος επεξεργασίας δεν είναι αναγκαίο να έχει πράγματι πρόσβαση στα δεδομένα που υποβάλλονται σε επεξεργασία. Όποιος αναθέτει δραστηριότητες επεξεργασίας σε εξωτερικό πάροχο ασκώντας κρίσιμη επιρροή σχετικά με τον σκοπό και τα (ουσιώδη) μέσα της επεξεργασίας (π.χ. προσαρμόζοντας παραμέτρους της υπηρεσίας κατά τρόπον ώστε να ασκεί επιρροή ως προς την επιλογή των προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα υπόκεινται σε επεξεργασία) θεωρείται υπεύθυνος επεξεργασίας, ακόμη και αν δεν έχει καμία πραγματική πρόσβαση στα δεδομένα» (§45). Όπως, άλλωστε, έχει κριθεί από το ΔΕΕ, κάθε φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει για τους δικούς του σκοπούς την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των στόχων και του τρόπου της επεξεργασίας μπορεί να θεωρηθεί ως υπεύθυνος επεξεργασίας. Ο νομοθέτης της Ένωσης δεν προέβη, για τη στοιχειοθέτηση της ευθύνης βάσει του ΓΚΠΔ, σε διάκριση μεταξύ φυσικών και νομικών προσώπων, καθόσον η ευθύνη αυτή εξαρτάται μόνον από την προϋπόθεση τα εν λόγω πρόσωπα, μόνα ή από κοινού με άλλα, να καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επομένως, κάθε πρόσωπο που πληροί την προϋπόθεση αυτή, –ανεξαρτήτως του αν πρόκειται για φυσικό ή νομικό πρόσωπο, για δημόσια αρχή, υπηρεσία ή άλλον φορέα– ευθύνεται, μεταξύ άλλων, για κάθε παράβαση για την οποία γίνεται λόγος στο άρθρο 83 παρ. 4 και 6, η οποία διαπράττεται από το ίδιο ή για λογαριασμό του, ενώ η επιβολή κύρωσης σε νομικό πρόσωπο ως υπεύθυνο επεξεργασίας, δεν εξαρτάται από την προηγούμενη διαπίστωση ότι η παράβαση διαπράχθηκε από ταυτοποιημένο φυσικό πρόσωπο.Όπως έχει κριθεί από το ΔΕΕ, για την απαλλαγή του υπεύθυνου επεξεργασίας νομικού προσώπου από την ευθύνη αποζημίωσης κατ’ άρθρο 82 ΓΚΠΔ, δεν αρκεί ο ισχυρισμός ότι η επίμαχη ζημία προκλήθηκε από σφάλμα προσώπου που ενεργεί υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του ΓΚΠΔ. Ειδικότερα, το άρθρο 32 παρ. 4 ΓΚΠΔ, σχετικά με την ασφάλεια της επεξεργασίας, προβλέπει ότι ο υπεύθυνος επεξεργασίας λαμβάνει μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του και έχει πρόσβαση σε τέτοια δεδομένα τα επεξεργάζεται μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή κράτους μέλους. Δεδομένου ότι οι υπάλληλοι του υπευθύνου επεξεργασίας νομικού προσώπου ενεργούν υπό την εποπτεία του, εναπόκειται στον εν λόγω υπεύθυνο να διασφαλίζει ότι οι οδηγίες του εφαρμόζονται σωστά από αυτούς και ως εκ τούτου, το νομικό πρόσωπο δεν μπορεί να απαλλαγεί από την ευθύνη του, προβάλλοντας απλώς αμέλεια ή παράλειψη υπαλλήλου του.Εξάλλου και η Αρχή έχει δεχθεί ότι ένα φυσικό πρόσωπο – υπάλληλος του υπευθύνου επεξεργασίας – μπορεί να θεωρηθεί υπεύθυνος επεξεργασίας, αν χρησιμοποιεί δεδομένα για δικούς του στόχους εκτός του πεδίου και του δυνητικού ελέγχου των δραστηριοτήτων του νομικού προσώπου.
4. Τα πολιτικά κόμματα αποτελούν ενώσεις προσώπων, οι οποίες, σύμφωνα με την παρ. 6 του άρθρου 29 ν. 3023/2002 αποκτούν με την ίδρυσή τους νομική προσωπικότητα για την εκπλήρωση της συνταγματικής αποστολής τους.
5. Με το άρθρο 5 παρ. 1 του ΓΚΠΔ τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Σύμφωνα με την παρ. 1 α), δ) και στ) του άρθρου αυτού, «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»), […] στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)». Σύμφωνα με την Αιτιολογική Σκέψη 39 του ΓΚΠΔ «Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. […] Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα (…)». Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που ορίζεται ρητώς στην δεύτερη παράγραφο του ιδίου άρθρου και συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθ. 5 παρ. 1.
6. Όπως έχει γίνεται παγίως δεκτό από το ΕΣΠΔ, οι αρχές της αντικειμενικότητας, της νομιμότητας και της διαφάνειας της επεξεργασίας, που κατοχυρώνονται στο άρθρο 5 παρ. 1 στ. α) του ΓΚΠΔ, είναι τρεις διακριτές αλλά εγγενώς συνδεδεμένες και αλληλεξαρτώμενες αρχές, τις οποίες πρέπει να σέβεται κάθε υπεύθυνος επεξεργασίας κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ο σύνδεσμος μεταξύ των τριών αρχών είναι προφανής από μια σειρά από αιτιολογικές σκέψεις (39, 42, 60, 71) και διατάξεις (άρθρα 6 παρ. 2, 6 παρ. 3 β), 13 παρ. 2, 14 παρ. 2 και 40 παρ. 2 στοιχ. α’) του ΓΚΠΔ. Η αντικειμενικότητα είναι μια θεμελιώδης αρχή σύμφωνα με την οποία τα δεδομένα προσωπικού χαρακτήρα δεν πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που είναι αδικαιολόγητα επιζήμιος, εισάγει αθέμιτα διακρίσεις ή είναι απρόβλεπτος ή παραπλανητικός για το υποκείμενο των δεδομένων. Μεταξύ άλλων, η αρχή αυτή περιλαμβάνει την αναγνώριση των θεμιτών προσδοκιών των υποκειμένων των δεδομένων όσον αφορά πιθανές αρνητικές συνέπειες που ενδέχεται να επιφέρει η επεξεργασία σε αυτούς και την εξέταση της σχέσης και των πιθανών επιπτώσεων της ανισότητας μεταξύ αυτών και του υπεύθυνου επεξεργασίας. Ειδικότερα, κάποια δεδομένα προσωπικού χαρακτήρα αναμένεται ότι θα παραμένουν ιδιωτικά ή θα υποβάλλονται σε επεξεργασία μόνο με ορισμένους τρόπους και η επεξεργασία τους δεν θα πρέπει να προκαλεί έκπληξη στο υποκείμενο των δεδομένων.Περαιτέρω η επεξεργασία είναι σύννομη (αρχή της νομιμότητας) μόνο εάν και εφόσον στηρίζεται σε μία από τις αναφερόμενες στο άρθρο 6 παρ. 1 ΓΚΠΔ νομικές βάσεις. Αναφορικά, ιδίως, με τη νομική βάση του υπέρτερου έννομου συμφέροντος (άρθρο 6 παρ. 1. στ) ΓΚΠΔ), στην Αιτιολογική Σκέψη 47 του Κανονισμού επισημαίνονται τα εξής: «Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του». Εξάλλου, με την παρ. 4 του άρθρου 6 ΓΚΠΔ, ορίζεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς της αρχικής συλλογής, λαμβάνοντας υπόψη τα κριτήρια που αναφέρονται στη διάταξη αυτή και ιδίως, το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα και τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους. Παράλληλα, από την Αιτιολογική Σκέψη 50 του ΓΚΠΔ καθίσταται σαφές ότι η πλήρωση όλων των απαιτήσεων νομιμότητας της αρχικής επεξεργασίας είναι αναγκαία προϋπόθεση που πρέπει να ελέγχεται από τον υπεύθυνο επεξεργασίας πριν εξεταστεί η συμβατότητα του περαιτέρω σκοπού επεξεργασίας με τον αρχικό. Όσον αφορά την τήρηση της αρχής της διαφάνειας, τα άρθρα 13 και 14 ΓΚΠΔ ορίζουν συγκεκριμένα τις πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων από τον υπεύθυνο επεξεργασίας, τόσο στην περίπτωση που τα δεδομένα συλλέγονται από το υποκείμενο (άρθρο 13) όσο και στην περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο (άρθρο 14). Σύμφωνα με το άρθρο 14 παρ. 1 και 2 ΓΚΠΔ, «1. Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες: α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας, β) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, δ) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, ενδεχομένως (…). 2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις εξής πληροφορίες που είναι αναγκαίες για τη διασφάλιση θεμιτής και διαφανούς επεξεργασίας όσον αφορά το υποκείμενο των δεδομένων: α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα, β) εάν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο στ), τα έννομα συμφέροντα που επιδιώκονται από τον υπεύθυνο επεξεργασίας ή από τρίτο, γ) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορά το υποκείμενο των δεδομένων και δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, (…), ε) το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή, στ) την πηγή από την οποία προέρχονται τα δεδομένα προσωπικού χαρακτήρα και, ανάλογα με την περίπτωση, εάν τα δεδομένα προήλθαν από πηγές στις οποίες έχει πρόσβαση το κοινό,(…) ». Σύμφωνα με την παρ. 3 του ιδίου άρθρου «Ο υπεύθυνος επεξεργασίας παρέχει τις πληροφορίες που αναφέρονται στις παραγράφους 1 και 2: α) εντός εύλογης προθεσμίας από τη συλλογή των δεδομένων προσωπικού χαρακτήρα, αλλά το αργότερο εντός ενός μηνός, λαμβάνοντας υπόψη τις ειδικές συνθήκες υπό τις οποίες τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, β) εάν τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για επικοινωνία με το υποκείμενο των δεδομένων, το αργότερο κατά την πρώτη επικοινωνία με το εν λόγω υποκείμενο των δεδομένων, ή γ) εάν προβλέπεται γνωστοποίηση σε άλλον αποδέκτη, το αργότερο όταν τα δεδομένα προσωπικού χαρακτήρα γνωστοποιούνται για πρώτη φορά». Επιπλέον, σύμφωνα με την παρ. 4 του ιδίου άρθρου, «Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί περαιτέρω τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν, ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την εν λόγω περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες τυχόν αναγκαίες πληροφορίες, όπως αναφέρεται στην παράγραφο 2».
7. Ο υπεύθυνος επεξεργασίας οφείλει να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22 (άρθρο 12 παρ. 2 ΓΚΠΔ), μεταξύ των οποίων περιλαμβάνονται το κατ’ άρθρο 15 ΓΚΠΔ δικαίωμα πρόσβασης και το κατ’ άρθρο 17 ΓΚΠΔ δικαίωμα διαγραφής, υπό τις εκεί αναφερόμενες προϋποθέσεις, καθώς και να ενεργεί σε κάθε περίπτωση κατόπιν αιτήματος του υποκειμένου βάσει των άρθρων 15-22 ΓΚΠΔ, ενημερώνοντας το υποκείμενο εντός μηνός από την υποβολή του αιτήματος (άρθρο 12 παρ. 3 ΓΚΠΔ), ενώ εάν έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει αίτημα κατά τα άρθρα 15 έως 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων (άρθρο 12 παρ. 6 ΓΚΠΔ). Σύμφωνα δε με την παρ. 3 του άρθρου 15 ΓΚΠΔ «Ο υπεύθυνος επεξεργασίας παρέχει αντίγραφο των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Για επιπλέον αντίγραφα που ενδέχεται να ζητηθούν από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει την καταβολή εύλογου τέλους για διοικητικά έξοδα. Εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως».
8. Σύμφωνα με το άρθρο 30 παρ. 1, 3 και 4 ΓΚΠΔ «1. Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες: α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων, β) τους σκοπούς της επεξεργασίας, γ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα, δ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς, ε) όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων, στ) όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων, ζ) όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1. 3. Τα αρχεία που αναφέρονται στις παραγράφους 1 και 2 υφίστανται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή. 4. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία θέτουν το αρχείο στη διάθεση της εποπτικής αρχής κατόπιν αιτήματος».
9. Σύμφωνα με τις διατάξεις των παρ. 1 και 2 του άρθρου 32 ΓΚΠΔ για την ασφάλεια της επεξεργασίας, «1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, […] 2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία». Επίσης, σύμφωνα με το άρθρο 25, παρ. 1 «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.» Περαιτέρω η διάταξη του άρθρου 24 παρ. 1 ΓΚΠΔ ορίζει τα εξής: «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο».
10. Ως πολιτική επικοινωνία νοείται η επικοινωνία που πραγματοποιείται από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης σε οποιαδήποτε χρονική περίοδο, προεκλογική ή μη, για την προώθηση πολιτικών ιδεών, προγραμμάτων δράσης ή άλλων δραστηριοτήτων με σκοπό την υποστήριξή τους και τη διαμόρφωση πολιτικής συμπεριφοράς. Σε συνέχεια των αποφάσεων υπ’ αρ. 1343-5/2022 του Συμβουλίου της Επικρατείας, με τις οποίες κρίθηκε ότι η δραστηριότητα της πολιτικής επικοινωνίας, ως μη έχουσα σκοπό την εμπορική προώθηση, δεν εμπίπτει στο Ν. 3471/2006, η Αρχή επανεξέτασε, στο πλαίσιο της αρμοδιότητάς της, τα ζητήματα νομιμότητας που ανακύπτουν σε σχέση με την πολιτική επικοινωνία ώστε να καθοριστεί το πλαίσιο της νόμιμης επεξεργασίας προσωπικών δεδομένων για το σκοπό αυτό με βάση τις διατάξεις του ΓΚΠΔ, και με την Απόφαση 9/2023αποφάσισε την έκδοση των Κατευθυντήριων Γραμμών 1/2023 για την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα. Με τις εν λόγω Κατευθυντήριες Γραμμές (αναφερόμενες στη συνέχεια ως «ΚΓ 1/2023») διευκρινίζονται, μεταξύ άλλων, τα εξής: Σύμφωνα με την δημοκρατική αρχή, η δραστηριότητα της πολιτικής επικοινωνίας προστατεύεται από το Σύνταγμα, ιδίως στο πλαίσιο του γενικού δικαιώματος συμμετοχής στην πολιτική ζωή της χώρας (άρθρο 5 παρ. 1 Συντ.), του δικαιώματος των πολιτών στην πληροφόρηση (άρθρο 5Α παρ. 1 Συντ.), και της εκπλήρωσης της συνταγματικής αποστολής των πολιτικών κομμάτων (άρθρο 29 παρ. 1 Συντ.). Ωστόσο, όταν χρησιμοποιούνται μέθοδοι που προϋποθέτουν ή συνίστανται στην επεξεργασία προσωπικών δεδομένων, όπως ονοματεπωνύμων, ταχυδρομικών διευθύνσεων, τηλεφωνικών αριθμών, διευθύνσεων ηλεκτρονικού ταχυδρομείου φυσικών προσώπων, κ.ά., η πολιτική επικοινωνία απαιτείται να γίνεται κατά τρόπο ώστε να διασφαλίζεται σεβασμός του άρθρου 9Α Συντ. και της εθνικής και ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων (ad hoc ΣτΕ 1343-5/2022, σκ. 14). Στις ανωτέρω περιπτώσεις, οι φορείς και τα πρόσωπα που πραγματοποιούν πολιτική επικοινωνία καθίστανται υπεύθυνοι επεξεργασίας, σύμφωνα με τον ορισμό του άρθρου 4 παρ. 7 του ΓΚΠΔ, στο μέτρο κατά το οποίο ορίζουν τον σκοπό και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Για παράδειγμα, όταν ο βουλευτής ή ο υποψήφιος βουλευτής λαμβάνει δεδομένα από το πολιτικό κόμμα στο οποίο συμμετέχει και τα επεξεργάζεται για προσωπική του πολιτική επικοινωνία, καθίσταται ο ίδιος υπεύθυνος επεξεργασίας. Με την ιδιότητα αυτή, σύμφωνα με τη θεμελιώδη στον ΓΚΠΔ αρχή της λογοδοσίας (άρθρο 5 παρ. 2), τα παραπάνω πρόσωπα πρέπει να είναι σε θέση να αποδεικνύουν την τήρηση των βασικών αρχών επεξεργασίας δεδομένων, όπως αυτές προβλέπονται στο άρθρο 5 παρ. 1 ΓΚΠΔ. Όσον αφορά τη νομική βάση επεξεργασίας προσωπικών δεδομένων στην περίπτωση της πολιτικής επικοινωνίας, με τις ΚΓ 1/2023 διευκρινίστηκε ότι η εν λόγω επεξεργασία μπορεί να βασίζεται είτε στην προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων (άρθρο 6,παρ. 1, εδ.α’ ΓΚΠΔ) είτε σε υπέρτερο έννομο συμφέρον που εκάστοτε συντρέχει (άρθρο 6 παρ. 1, εδ. στ’ ΓΚΠΔ). Ειδικότερα, η πολιτική επικοινωνία μπορεί να στηρίζεται στη νομική βάση του υπέρτερου εννόμου συμφέροντος του υπευθύνου επεξεργασίας, εφόσον αποδεικνύεται ότι η επεξεργασία είναι απαραίτητη για την ικανοποίηση του έννομου συμφέροντος του υπευθύνου επεξεργασίας για την προώθηση των πολιτικών του θέσεων, και έναντι του συμφέροντος αυτού δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες τους βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας (Βλ. Αιτ. Σκ. 47 ΓΚΠΔ). Η επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία επιτρέπεται επίσης βάσει του άρθρου 6 παρ. 4 ΓΚΠΔ, εφόσον ο σκοπός της πολιτικής επικοινωνίας κριθεί ως συμβατός με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά από τον υπεύθυνο επεξεργασίας. Για να εξακριβωθεί εάν ο σκοπός της πολιτικής επικοινωνίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, εφόσον πληρούνται όλες οι απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει υπόψη, μεταξύ άλλων:
• Τυχόν σχέση μεταξύ των αρχικών σκοπών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας·
• το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους·
• τη φύση των δεδομένων προσωπικού χαρακτήρα·
• τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων·
• και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας (Βλ. Αιτ. Σκ. 50 ΓΚΠΔ).
Με τις ΚΓ 1/2023 επισημαίνεται επίσης ότι σε περίπτωση συλλογής δεδομένων προς χρήση για τον σκοπό της πολιτικής επικοινωνίας με νομική βάση το υπέρτερο έννομο συμφέρον (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), σύμφωνα με την αρχή της λογοδοσίας κατ’ άρθρο 5 παρ. 2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να τεκμηριώσει επαρκώς τη στάθμιση, την οποία οφείλει να έχει πραγματοποιήσει πριν την έναρξη της επεξεργασίας, και βάσει της οποίας αξιολόγησε ότι έναντι των συμφερόντων του δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων - αποδεκτών της πολιτικής επικοινωνίας. Ομοίως, στην περίπτωση περαιτέρω χρήσης των δεδομένων για τον σκοπό της πολιτικής επικοινωνίας, ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να τεκμηριώσει τη συνδρομή των κριτηρίων της παραγράφου 4 του άρθρου 6 ΓΚΠΔ για τη συμβατότητα του σκοπού. Στις ΚΓ 1/2023 παρατίθενται ενδεικτικά παραδείγματα περιπτώσεων, στις οποίες δεν επιτρέπεται να χρησιμοποιηθούν τα προσωπικά δεδομένα για τον σκοπό της πολιτικής επικοινωνίας, καθώς και περιπτώσεων, στις οποίες μπορεί, κατ’ εκτίμηση των συγκεκριμένων περιστάσεων, να τεκμηριωθεί η νομιμότητα της επεξεργασίας προσωπικών δεδομένων για τον σκοπό της πολιτικής επικοινωνίας. Από τα παραδείγματα των τελευταίων αυτών περιπτώσεων προκύπτει ότι η συλλογή των δεδομένων από νόμιμη πηγή αποτελεί σε κάθε περίπτωση αναγκαία προϋπόθεση θεμιτής επεξεργασίας.
Τέλος, με τις ΚΓ 1/2023 υπενθυμίζονται οι πληροφορίες που πρέπει να παρέχονται σε κάθε ηλεκτρονική επικοινωνία προς τον σκοπό της πολιτικής επικοινωνίας, μεταξύ των οποίων περιλαμβάνεται και η πηγή από την οποία έχουν συλλεγεί τα στοιχεία επικοινωνίας του υποκειμένου, εφόσον αυτή δεν είναι το ίδιο το υποκείμενο (άρθρο 14 παρ. 2 στ), ενώ τονίζεται ότι σε περίπτωση άσκησης του δικαιώματος εναντίωσης, ο υπεύθυνος επεξεργασίας κατ’ αρχήν οφείλει να μην υποβάλλει πλέον τα δεδομένα του υποκειμένου σε επεξεργασία για τον σκοπό της πολιτικής επικοινωνίας (άρθρο 21 παρ. 1 εδ. β’ ΓΚΠΔ).
11. Αναφορικά με τη διάθεση στοιχείων εκλογικού καταλόγου σε κόμματα και υποψηφίους, το άρθρο 23 του Π.Δ. 26/2012 ορίζει τα εξής: «1. Μία (1) πλήρη σειρά των εκλογικών καταλόγων σε ψηφιακά μέσα χωρίς καταβολή αντιτίμου, καθώς και μία (1) σειρά αντιτύπων δημοσιευμάτων του Υπουργείου Εσωτερικών εκλογικού περιεχομένου δικαιούνται τα κόμματα που εκπροσωπούνται στη Βουλή ή το Ευρωπαϊκό Κοινοβούλιο. Επίσης τα παραπάνω είδη δικαιούνται κατά την προεκλογική περίοδο και τα αναγνωρισμένα κόμματα, σύμφωνα με τον Κανονισμό της Βουλής, καθώς και αυτά που καταρτίζουν συνδυασμούς στα 2/3 των εκλογικών περιφερειών του Κράτους, βασικών και ετεροδημοτών. 2. Αντίτυπα εκλογικών καταλόγων μπορούν να διατίθενται κατά την προεκλογική περίοδο με την καταβολή αντιτίμου υπέρ του Δημοσίου, που ορίζεται από τον Υπουργό Εσωτερικών σε βουλευτές, ευρωβουλευτές, υποψηφίους βουλευτές ή υποψηφίους στις περιφερειακές και δημοτικές και κοινοτικές εκλογές, και μόνο για τις εκλογικές περιφέρειες, τις περιφέρειες ή τους δήμους όπου έχουν εκλεγεί, όπως προκύπτει βάσει των σχετικών αποφάσεων ανακήρυξής τους ή θα είναι υποψήφιοι σύμφωνα με έγγραφη δήλωσή τους. 3. Οι δικαιούχοι οφείλουν να καταστρέψουν τα ηλεκτρονικά μέσα, τα οποία περιέχουν τους εκλογικούς καταλόγους εντός τριμήνου από την ολοκλήρωση της διενέργειας των εκλογικών αναμετρήσεων σύμφωνα με έγγραφη δήλωσή τους. 4. Οι όροι και οι προϋποθέσεις διάθεσης εκλογικών καταλόγων και άλλων δημοσιευμάτων σε άλλα πρόσωπα και φορείς καθορίζονται με απόφαση του Υπουργού Εσωτερικών. 5. Τα ανωτέρω στοιχεία διατίθενται στους δικαιούχους μόνο σε ηλεκτρονικά μέσα, δεν μεταβιβάζονται σε αυτούς με ηλεκτρονικό τρόπο και χρησιμοποιούνται μόνον από εκείνον στον οποίο χορηγούνται αποκλειστικά και μόνο για εκλογική χρήση. 6. Η παραχώρηση σε οποιονδήποτε άλλο ή η χρησιμοποίησή τους από οιονδήποτε άλλον ή για σκοπό μη εκλογικό απαγορεύεται. 7. Οι παραβάτες τιμωρούνται με τις ποινές της παραγράφου 4 του άρθρου 117.» Από τις ανωτέρω διατάξεις συνάγεται ότι δικαιούχοι ηλεκτρονικών αντιτύπων των εκλογικών καταλόγων είναι, μεταξύ άλλων, τα κόμματα που εκπροσωπούνται στη Βουλή ή το Ευρωπαϊκό Κοινοβούλιο, καθώς και οι ευρωβουλευτές μόνο κατά την προεκλογική περίοδο, ότι οι εκλογικοί κατάλογοι επιτρέπεται να χορηγούνται μόνο σε μέσο αποθήκευσης (CD) ενώ απαγορεύεται η ηλεκτρονική διακίνησή τους με άλλο τρόπο, και τέλος ότι κάθε δικαιούχος οφείλει να καταστρέψει τα ηλεκτρονικά μέσα που περιέχουν τους εκλογικούς καταλόγους εντός τριμήνου από τη διενέργεια των εκλογών.
12. Περαιτέρω, σύμφωνα με την παρ. 9 του άρθρου 3 του Ν. 4648/20019 («Διευκόλυνση άσκησης εκλογικού δικαιώματος εκλογέων που βρίσκονται εκτός Ελληνικής Επικράτειας και τροποποίηση εκλογικής διαδικασίας», ΦΕΚ A' 205/16.12.2019), η Διεύθυνση Εκλογών του Υπουργείου Εσωτερικών καταρτίζει και τηρεί τους ειδικούς εκλογικούς καταλόγους εξωτερικού. Στο άρθρο 3 του Ν. 4648/2019 ορίζεται το περιεχόμενο των ειδικών εκλογικών καταλόγων εξωτερικού ως ακολούθως: «1. Οι ειδικοί εκλογικοί κατάλογοι εξωτερικού που καταρτίζονται, φέρουν τον τίτλο «Ειδικός Εκλογικός Κατάλογος Εξωτερικού» και περιέχουν τα ακόλουθα: α) τον αύξοντα αριθμό, β) τον Ειδικό Εκλογικό Αριθμό, γ) το επώνυμο, δ) το όνομα, ε) το όνομα του πατέρα, στ) το όνομα της μητέρας, ζ) το όνομα συζύγου και το επώνυμο πατέρα (εφόσον πρόκειται για έγγαμη γυναίκα που φέρει το επώνυμο του συζύγου), η) την ημερομηνία και τον χρόνο γέννησης, θ)τον βασικό εκλογικό κατάλογο (βασική εκλογική περιφέρεια) όπου είναι εγγεγραμμένος (νομός, δήμος, εκλογικό διαμέρισμα), ι) την πλήρη διεύθυνση διαμονής, ια) τη διεύθυνση ηλεκτρονικού ταχυδρομείου, ιβ) τα τηλέφωνα επικοινωνίας», ενώ σύμφωνα με την παρ. 2 του ιδίου άρθρου «2. Οι διατάξεις του άρθρου 23 του π.δ. 26/2012 εφαρμόζονται αναλόγως και για τους ειδικούς εκλογικούς καταλόγους εξωτερικού, με την επιφύλαξη των στοιχείων ια) και ιβ) της ανωτέρου παραγράφου». Από τις ανωτέρω διατάξεις προκύπτει σαφώς ότι τα στοιχεία ηλεκτρονικής επικοινωνίας (διεύθυνση e-mail και τηλέφωνο επικοινωνίας) εξαιρούνται από τη διάθεση των εκλογικών καταλόγων στους δικαιούχους του άρθρου 23 του Π.Δ. 26/2012. Η εγγραφή των εκτός Επικράτειας Ελλήνων εκλογέων στους ειδικούς εκλογικούς καταλόγους εξωτερικού γίνεται μέσω ειδικής εφαρμογής που λειτουργεί στην ιστοσελίδα του Υπουργείου Εσωτερικών με ευθύνη του Υπουργείου, στην οποία η πρόσβαση γίνεται με χρήση των διαπιστευτηρίων εισόδου σε εφαρμογές της ΑΑΔΕ, σύμφωνα με τις διατάξεις του άρθρου 4 παρ. 1 και 2 του Ν. 4648/2019. Οι διαδικασίες εγγραφής, μεταβολής και αναστολής ή διαγραφής της αίτησης εγγραφής στους ειδικούς εκλογικούς καταλόγους εξωτερικού καθορίζονται με Υπουργική Απόφαση κατ’ εξουσιοδότηση της παρ. 7 του άρθρου 4, ενώ σύμφωνα με το άρθρο 5 του ιδίου νόμου, το Υπουργείο Εσωτερικών επικαιροποιεί τους εν λόγω καταλόγους με βάση τυχόν μεταβολές που επέρχονται στους εκλογείς και ενσωματώνει τις επιβεβαιωμένες αιτήσεις εγγραφής και τις τυχόν μεταβολές επ’ αυτών στην επόμενη αναθεώρηση των βασικών εκλογικών καταλόγων. Η παρ. 6 του άρθρου 2 του Ν. 4648/2019, όπως ίσχυε μέχρι την κατάργησή της με το άρθρο 1 παρ. 4 του Ν.5044/2023 (ΦΕΚ Α 135/28.7.2023) προέβλεπε τη σύσταση Ειδικής Διακομματικής Επιτροπής για την εξέταση ενστάσεων εκλογέων επί απορριπτικών αποφάσεων εγγραφής στους εκλογικούς καταλόγους ως εξής: «Με απόφαση του Υπουργού Εσωτερικών, η οποία δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως, συγκροτείται Ειδική Διακομματική Επιτροπή, στην οποία μετέχουν ο παραπάνω Υπουργός ή ο οριζόμενος από αυτόν, ως Πρόεδρος, και ένας εκπρόσωπος κάθε κόμματος ή συνασπισμού που εκπροσωπείται στη Βουλή ή εκπροσωπείτο στη Βουλή που διαλύθηκε. Όλα τα μέλη ορίζονται με τους αναπληρωτές τους. Εισηγητής ορίζεται εκπρόσωπος της Ανεξάρτητης Αρχής του Συνηγόρου του Πολίτη, χωρίς δικαίωμα ψήφου. Έργο της Επιτροπής, η οποία έχει αποφασιστική αρμοδιότητα, είναι η εξέταση ενστάσεων επί απορριπτικών αποφάσεων εγγραφής στους ειδικούς εκλογικούς καταλόγους του παρόντος, για τις οποίες δεν ακολουθήθηκε η διαδικασία της παραγράφου 5, ο έλεγχος συγκεκριμένων αιτήσεων κατόπιν αιτήματος μέλους ή μελών της Επιτροπής, καθώς και ο δειγματοληπτικός έλεγχος των αιτήσεων που έγιναν αποδεκτές κατά την παράγραφο 3. Αν ένα ή περισσότερα κόμματα ή συνδυασμοί κομμάτων δεν υποδείξουν εκπρόσωπο εντός δύο (2) ημερών από τη λήψη του ερωτήματος, η Επιτροπή συγκροτείται νομίμως χωρίς τη συμμετοχή τους».
13. Ως παραβίαση δεδομένων προσωπικού χαρακτήρα (άρθρο 4 αρ. 12 ΓΚΠΔ) νοείται «η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που διαβιβάσθηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία». Σύμφωνα με τις από 06-02-2018 Κατευθυντήριες Γραμμές 18/2018 της Ομάδας Εργασίας του άρθρου 29 της Οδηγίας 95/46/ΕΚ (νυν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων) για την Γνωστοποίηση παραβίασης προσωπικών δεδομένων (“Guidelines on Personal data breach notification under Regulation 2016/679” WP 250 rev. 1) ένας από τους τύπους παραβίασης προσωπικών δεδομένων είναι αυτός που κατηγοριοποιείται με βάση την αρχή ασφαλείας της «εμπιστευτικότητας», όταν διαπιστώνεται πρόσβαση άνευ δικαιώματος σε προσωπικά δεδομένα (“confidentiality breach”). Μια παραβίαση μπορεί δυνητικά να έχει διάφορες σημαντικές δυσμενείς συνέπειες στα πρόσωπα, οι οποίες μπορούν να οδηγήσουν σε σωματική, υλική ή ηθική βλάβη. Στον ΓΚΠΔ επεξηγείται ότι αυτή η βλάβη μπορεί να περιλαμβάνει απώλεια του ελέγχου επί των δεδομένων προσωπικού χαρακτήρα τους, περιορισμό των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης και απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο κλπ. (βλ. και αιτ. σκέψεις 85 και 75). Τα περιστατικά παραβίασης δεδομένων πρέπει να γνωστοποιούνται στην Αρχή εντός 72 ωρών από τη στιγμή που έλαβε γνώση τους ο υπεύθυνος επεξεργασίας, σύμφωνα με το άρθρο 33 παρ. 1 ΓΚΠΔ: «1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος την παραβίαση των δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή που είναι αρμόδια σύμφωνα με το άρθρο 55, εκτός εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όταν η γνωστοποίηση στην εποπτική αρχή δεν πραγματοποιείται εντός 72 ωρών, συνοδεύεται από αιτιολόγηση για την καθυστέρηση». Η γνωστοποίηση πρέπει να έχει το ελάχιστο περιεχόμενο που αναφέρεται στην παρ. 3 του άρθρου 33 ΓΚΠΔ, ενώ σύμφωνα με την παρ. 5 του ιδίου άρθρου «Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, που συνίστανται στα πραγματικά περιστατικά που αφορούν την παραβίαση δεδομένων προσωπικού χαρακτήρα, τις συνέπειες και τα ληφθέντα διορθωτικά μέτρα. Η εν λόγω τεκμηρίωση επιτρέπει στην εποπτική αρχή να επαληθεύει τη συμμόρφωση προς το παρόν άρθρο». Εφόσον δεν είναι δυνατόν να παρασχεθούν όλες οι απαιτούμενες πληροφορίες ταυτόχρονα, η παρ. 4 του άρθρου 33 ΓΚΠΔ ορίζει ότι μπορούν να παρέχονται στην Αρχή «σταδιακά, χωρίς αδικαιολόγητη καθυστέρηση». Όσον αφορά το χρόνο λήψης γνώσης του περιστατικού από τον Υπεύθυνο Επεξεργασίας, στις ως άνω ΚΓ της ΟΕ29 (wp 250) αναφέρονται τα εξής: «Όπως αναφέρεται λεπτομερώς παραπάνω, ο ΓΚΠΔ απαιτεί, σε περίπτωση παραβίασης, ο υπεύθυνος επεξεργασίας να γνωστοποιεί την παραβίαση αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που αποκτά γνώση του γεγονότος. Αυτό μπορεί να εγείρει το ερώτημα πότε ένας υπεύθυνος επεξεργασίας μπορεί να θεωρείται ότι αποκτά «γνώση» μιας παραβίασης. Η ΟΕ29 θεωρεί ότι ένας υπεύθυνος επεξεργασίας θα πρέπει να θεωρείται ότι έχει αποκτ[ήσει] «γνώση» όταν ο εν λόγω υπεύθυνος επεξεργασίας έχει εύλογο βαθμό βεβαιότητας ότι έχει προκύψει περιστατικό ασφάλειας το οποίο έχει ως αποτέλεσμα να τεθούν σε κίνδυνο τα δεδομένα προσωπικού χαρακτήρα. Ωστόσο, όπως προαναφέρθηκε, ο ΓΚΠΔ απαιτεί από τον υπεύθυνο επεξεργασίας να εφαρμόζει όλα τα κατάλληλα μέτρα τεχνικής προστασίας και οργανωτικά μέτρα για τον άμεσο εντοπισμό κάθε παραβίασης και την άμεση ενημέρωση της εποπτικής αρχής και των υποκειμένων των δεδομένων. Αναφέρει επίσης ότι θα πρέπει να διαπιστώνεται ότι η γνωστοποίηση πραγματοποιήθηκε χωρίς αδικαιολόγητη καθυστέρηση, λαμβανομένων υπόψη ιδίως της φύσης και της σοβαρότητας της παραβίασης δεδομένων, καθώς και των συνεπειών και των δυσμενών αποτελεσμάτων της για το υποκείμενο των δεδομένων. Κατ’ αυτόν τον τρόπο, ο υπεύθυνος επεξεργασίας υπόκειται στην υποχρέωση να εξασφαλίζει ότι θα αποκτά «γνώση» οποιωνδήποτε παραβιάσεων εγκαίρως ώστε να μπορεί να προβεί στις κατάλληλες ενέργειες. Το ακριβές χρονικό σημείο όπου ένας υπεύθυνος επεξεργασίας μπορεί να θεωρείται ότι αποκτά «γνώση» μιας συγκεκριμένης παραβίασης θα εξαρτάται από τις περιστάσεις της συγκεκριμένης παραβίασης. Σε ορισμένες περιπτώσεις, θα προκύπτει με σχετική σαφήνεια από την αρχή ότι έχει διαπραχθεί παραβίαση, ενώ, σε άλλες, ενδέχεται να χρειάζεται κάποιος χρόνος για να διαπιστωθεί εάν τα δεδομένα προσωπικού χαρακτήρα έχουν τεθεί σε κίνδυνο. Ωστόσο, η έμφαση θα πρέπει να δίνεται στην έγκαιρη ανάληψη δράσης για τη διερεύνηση ενός περιστατικού, ώστε να διαπιστωθεί κατά πόσο τα δεδομένα προσωπικού χαρακτήρα έχουν παραβιαστεί και, σε τέτοια περίπτωση, να λαμβάνονται διορθωτικά μέτρα και να γίνεται γνωστοποίηση, εάν απαιτείται». Εξάλλου, η παραβίαση πρέπει να ανακοινώνεται και στο υποκείμενο των δεδομένων, κατά περίπτωση και σύμφωνα με τα οριζόμενα στο άρθρο 34 παρ. 1 και 2 ΓΚΠΔ: «1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας ανακοινώνει αμελλητί την παραβίαση των δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων. 2. Στην ανακοίνωση στο υποκείμενο των δεδομένων η οποία αναφέρεται στην παράγραφο 1 του παρόντος άρθρου περιγράφεται με σαφήνεια η φύση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 παράγραφος 3 στοιχεία β), γ) και δ)». Κατά την αξιολόγηση του κινδύνου, θα πρέπει, σύμφωνα με τις αιτιολογικές σκέψεις 75 και 76 ΓΚΠΔ να λαμβάνεται υπόψη η πιθανότητα και η σοβαρότητα για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και ο κίνδυνος να αξιολογείται βάσει αντικειμενικής εκτίμησης. Σύμφωνα με τις Κατευθυντήριες Γραμμές 18/2018 της ΟΕ 29, κατά την αξιολόγηση του κινδύνου για τα πρόσωπα ως αποτέλεσμα μιας παραβίασης, ο υπεύθυνος επεξεργασίας θα πρέπει να εξετάζει τις ειδικές περιστάσεις της παραβίασης, συμπεριλαμβανομένων της σοβαρότητας του πιθανού αντικτύπου και της πιθανότητας να προκύψει, λαμβάνοντας υπόψη μια σειρά από κριτήρια: το είδος της παραβίασης, τη φύση, την ευαισθησία και τον όγκο των δεδομένων, την ευκολία ταυτοποίησης των προσώπων, τη σοβαρότητα των συνεπειών για τα πρόσωπα, τα ειδικά χαρακτηριστικά του προσώπου, τα ειδικά χαρακτηριστικά του υπευθύνου επεξεργασίας και τον αριθμό των επηρεαζόμενων προσώπων (wp 250 rev.01, σελ.28-31). Συνεπώς, από το άρθρο 33 ΓΚΠΔ δεν απορρέει μόνο η υποχρέωση υποβολής γνωστοποίησης των περιστατικών παραβίασης στην εποπτική Αρχή αλλά επιπλέον η υποχρέωση προς ενεργή διερεύνηση κάθε πιθανού περιστατικού, εφόσον ο υπεύθυνος επεξεργασίας λάβει γνώση των σχετικών ενδείξεων. Εξάλλου, από την παρ. 3 του άρθρου 33 ΓΚΠΔ, στην οποία ορίζονται τα στοιχεία που πρέπει να περιέχονται κατ’ ελάχιστον στη γνωστοποίηση, προκύπτει η υποχρέωση του υπευθύνου επεξεργασίας να διερευνήσει άμεσα τις πληροφορίες αναφέρονται στη διάταξη αυτή, ώστε να είναι σε θέση να τις συμπεριλάβει στη γνωστοποίηση προς την Αρχή (φύση της παραβίασης, κατηγορίες και αριθμός επηρεαζόμενων υποκειμένων, αριθμός επηρεαζόμενων αρχείων, ενδεχόμενες συνέπειες της παραβίασης, ληφθέντα ή προτεινόμενα προς λήψη μέτρα για την αντιμετώπιση της παραβίασης, μέτρα για την άμβλυνση των ενδεχόμενων δυσμενών συνεπειών της), καθώς και να αξιολογήσει τον κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου, ώστε να αποφασίσει εάν απαιτείται γνωστοποίηση και προς αυτό κατ’ άρθρο 34 ΓΚΠΔ, ενώ από την παρ. 5 του άρθρου 33 ΓΚΠΔ προκύπτει ρητά η υποχρέωση τήρησης τεκμηρίωσης για όλες τις παραπάνω διαδικασίες (βλ. και απόφαση ΑΠΔ 35/2023).
Β ΔΙΑΠΙΣΤΩΣΕΙΣ - ΥΠΑΓΩΓΗ
1. ...
Για την αξιολόγηση της νομιμότητας των πράξεων επεξεργασίας προσωπικών δεδομένων απόδημων εκλογέων, στις οποίες προέβη η ... το διάστημα από 20/1/2024 έως 1/3/2024, δηλαδή τη συλλογή των προσωπικών δεδομένων αποδήμων, συμπεριλαμβανομένων στοιχείων ηλεκτρονικής επικοινωνίας, τη δημιουργία νέου αρχείου προς μεταφόρτωση στην υπηρεσία MailChimp, που περιλάμβανε το όνομα, τη χώρα και το e-mail των εκλογέων και η χρήση της ηλεκτρονικής διεύθυνσης (e-mail) των αποδήμων και την αποστολή πολιτικής επικοινωνίας, λαμβάνονται υπόψη οι εξής διαπιστώσεις από την έρευνα:
α) Σκοπός επεξεργασίας ήταν η πολιτική επικοινωνία προς προώθηση της επιστολικής ψήφου, ως έργου της κυβέρνησης αλλά και της υποψηφιότητας της Ευρωβουλευτή στις επερχόμενες Ευρωεκλογές του Ιουνίου 2024, μέσω της προεκλογικής καμπάνιας της με τίτλο «100 ημέρες πριν από τις Ευρωεκλογές». Η Ευρωβουλευτής, ως υποψήφια των επερχόμενων εκλογών, καθόρισε τον σκοπό και τα μέσα της επεξεργασίας, επομένως αποτελεί τον υπεύθυνο επεξεργασίας με την έννοια του άρθρου 4 αρ. 7 ΓΚΠΔ.
β) Το αρχείο excel με τίτλο «Απόδημοι ανά Τμήμα για Κληρώσεις Εφορευττικών - Βουλ Εκλ Ιουν 2023.xlsx» (sic) εξήχθη στις 8/6/2023 από τη βάση του Υπουργείου ... για νόμιμο σκοπό (βλέπε (γ) παρακάτω).
γ) Το εν λόγω αρχείο περιλάμβανε και τις διευθύνσεις e-mail των εκλογέων, με σκοπό αφ’ ενός μεν την ενημέρωσή τους από τις κατά τόπους Πρεσβείες στην περίπτωση που θα κληρώνονταν ως μέλη εφορευτικής επιτροπής, αφ’ ετέρου δε τη μαζική ενημέρωσή τους από το Υπουργείο Εσωτερικών για τη δυνατότητα ακύρωσης ή αναστολής της εγγραφής τους στον ειδικό εκλογικό κατάλογο εξωτερικού, για την περίπτωση που επιθυμούσαν να ψηφίσουν στην Ελλάδα (όπου είναι εγγεγραμμένοι στον βασικό εκλογικό κατάλογο).
δ) Οι Ευρωβουλευτές ανήκουν στα πρόσωπα που δικαιούνται να αποκτούν αντίγραφα εκλογικών καταλόγων υπό τις προϋποθέσεις του άρθρου 23 του ΠΔ 26/2012, δηλαδή μόνο κατά την προεκλογική περίοδο, από το Υπουργείο Εσωτερικών κατόπιν σχετικής αίτησής τους, μόνο σε μέσο αποθήκευσης (CD) απαγορευομένης ρητά της ηλεκτρονικής διακίνησης των εκλογικών καταλόγων με άλλο τρόπο, και οφείλουν να καταστρέφουν τα εν λόγω ηλεκτρονικά μέσα εντός τριμήνου από τη διενέργεια των εκλογών.
ε) Σύμφωνα με το άρθρο 3 του Ν. 4648/2019, τα αντίτυπα των εκλογικών καταλόγων εξωτερικού που διατίθενται στους δικαιούχους του άρθρου 23 του ΠΔ 26/2012, δεν περιλαμβάνουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τα τηλέφωνα επικοινωνίας των εκλογέων.
στ) Τα μέσα αποθήκευσης (CD) που χορηγήθηκαν από το Υπουργείο Εσωτερικών στα πολιτικά κόμματα εν όψει των βουλευτικών εκλογών του Μαΐου και του Ιουνίου 2023 δεν περιλάμβαναν τις διευθύνσεις e-mail ούτε τα τηλέφωνα επικοινωνίας των εκλογέων εξωτερικού, ενώ κανένα φυσικό πρόσωπο με την ιδιότητα του υποψηφίου δεν αιτήθηκε αντίτυπο ειδικών εκλογικών καταλόγων εξωτερικού του 2023.
ζ) Το αρχείο που έλαβε η ... από τον τ. Γραμματέα Αποδήμων της ..., κ. ... στις 20/1/2024 μέσω WhatsApp είναι το αρχείο «Απόδημοι ανά Τμήμα για Κληρώσεις Εφορευττικών - Βουλ Εκλ Ιουν 2023.xlsx» (sic) του Υπουργείου ..., (όπως έχει προκύψει τόσο από το περιεχόμενο όσο και από τα μεταδεδομένα του) χωρίς να έχει τεκμηριωθεί ο ισχυρισμός ότι είχε πραγματοποιηθεί σχετική τηλεφωνική επικοινωνία της με το κόμμα στις 18-1-2024.
η) Η ανωτέρω Ευρωβουλευτής, ως υπεύθυνος επεξεργασίας, δεν παρείχε την κατά το άρθρο 14 ΓΚΠΔ πλήρη ενημέρωση προς τα υποκείμενα των δεδομένων εντός μηνός από τη συλλογή των δεδομένων, ούτε με το ηλεκτρονικό μήνυμα (e-mail) με το οποίο ήλθε σε επικοινωνία μαζί τους την 1/3/2024.
Με βάση τις ανωτέρω διαπιστώσεις, η συλλογή των προσωπικών δεδομένων αποδήμων, συμπεριλαμβανομένων στοιχείων ηλεκτρονικής επικοινωνίας, εκ μέρους της κ. ..., από τον τ. Γραμματέα Αποδήμων της ..., σε χρόνο εκτός προεκλογικής περιόδου, με ηλεκτρονικό τρόπο (εφαρμογή WhatsApp), αποτελεί αθέμιτη, μη αντικειμενική και μη σύννομη επεξεργασία: Δεδομένου ότι η εν λόγω επεξεργασία (συλλογή) έγινε κατά παράβαση μιας σειράς διατάξεων της εκλογικής νομοθεσίας, δεν θα μπορούσε να είναι ευλόγως αναμενόμενο για τα υποκείμενα (εκλογείς εξωτερικού) ότι τα προσωπικά τους δεδομένα που τηρεί το Υπουργείο ... για τον σκοπό της άσκησης του εκλογικού τους δικαιώματος, συμπεριλαμβανομένων των στοιχείων ηλεκτρονικής επικοινωνίας τους, θα βρίσκονταν στην κατοχή μιας Ευρωβουλευτή και θα χρησιμοποιούνταν για το σκοπό της πολιτικής επικοινωνίας μέσω e-mail. Για τον ίδιο λόγο, και οι περαιτέρω επιμέρους πράξεις επεξεργασίας προς τον ίδιο σκοπό, δηλαδή η δημιουργία νέου αρχείου προς μεταφόρτωση στην υπηρεσία MailChimp, που περιλάμβανε το όνομα, τη χώρα και το e-mail των εκλογέων και η χρήση της ηλεκτρονικής διεύθυνσης (e-mail) των αποδήμων για την αποστολή πολιτικής επικοινωνίας είναι επίσης αθέμιτη και παράνομη. Εξάλλου, η ως άνω επεξεργασία δεδομένων εκλογέων εξωτερικού δεν μπορεί να στηριχθεί στη νομική βάση του υπέρτερου έννομου συμφέροντος (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), αφού, λαμβάνοντας υπόψη τις παραπάνω περιστάσεις, το δικαίωμα των απόδημων εκλογέων στην προστασία των προσωπικών τους δεδομένων υπερέχει καταφανώς του εννόμου συμφέροντος της Ευρωβουλευτή να επικοινωνήσει μαζί τους ατομικά προς διάδοση των πολιτικών της δράσεων και ιδεών. Επιπλέον, δεν παρασχέθηκε κατάλληλη και σύμφωνη με τον ΓΚΠΔ (άρθρο 14) ενημέρωση των υποκειμένων, ιδίως για την πηγή προέλευσης των δεδομένων τους, με αποτέλεσμα να παραβιάζεται και η αρχή της διαφάνειας της επεξεργασίας. Ως εκ τούτου, η επεξεργασία δεδομένων αποδήμων στην οποία προέβη η κ. ... το διάστημα από 20/1/2024 έως και 1/3/2024 παραβίασε τις θεμελιώδεις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, κατά το άρθρο 5 παρ. 1 α’ ΓΚΠΔ.
Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να δοθεί εντολή διαγραφής δεδομένων προσωπικού χαρακτήρα, και να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς. Περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, την παράγραφο 5 εδ. α) του ίδιου άρθρου που έχει εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03-10-2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253) και τις Κατευθυντήριες γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων στο πλαίσιο του Γενικού Κανονισμού, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης, με βάση τα οποία η βαρύτητα της παράβασης κρίνεται μεσαία, και λαμβάνοντας υπόψη ιδίως:
o ότι η φύση της παράβασης αφορά βασική αρχή του ΓΚΠΔ,
o ότι ο σκοπός της επεξεργασίας είναι θεμιτός και από την επεξεργασία δεν προκύπτουν άμεσα σοβαρές συνέπειες για τα υποκείμενα των δεδομένων,
o ότι η επεξεργασία δεν βρίσκεται στις βασικές δραστηριότητες του υπεύθυνου επεξεργασίας,
o ότι αποτελεί μια μεμονωμένη δραστηριότητα της υπευθύνου επεξεργασίας, η οποία δεν αποτελεί επιχείρηση σύμφωνα με τα άρθρα 101 και 102 ΣΛΕΕ,
o τον μεγάλο αριθμό των επηρεαζόμενων υποκειμένων (25.610) οι οποίοι μάλιστα είναι το σύνολο των εγγεγραμμένων ψηφοφόρων εξωτερικού,
o ότι οι κατηγορίες των προσωπικών δεδομένων που αφορά η επεξεργασία, δεν ενέχουν υψηλό κίνδυνο (άρθρα 9-10 ΓΚΠΔ, επικοινωνίες, θέση, οικονομικά κ.α.), ενώ από αυτά δεν μπορεί να προκληθεί άμεση ζημία ή δυσχέρεια.
o την αναστάτωση και την ανησυχία που προκλήθηκε στα υποκείμενα των δεδομένων σχετικά με τη διαρροή και την παράνομη χρήση των προσωπικών τους δεδομένων, όπως προκύπτει από το πλήθος και το περιεχόμενο των καταγγελιών που υποβλήθηκαν στην Αρχή.
o το γεγονός ότι η παράβαση προκλήθηκε από βαριά αμέλεια της Ευρωβουλευτή, η οποία, λόγω της θέσης και της πολυετούς εμπειρίας της όφειλε να γνωρίζει ότι δεν δικαιούται να έχει στην κατοχή της το συγκεκριμένο αρχείο. Επιπλέον, όφειλε να έχει λάβει υπόψη τις ΚΓ 1/2023 της Αρχής για την πολιτική επικοινωνία, από τις οποίες προκύπτει σαφώς ότι αυτονόητη προϋπόθεση για τη νομιμότητα κάθε σχετικής επεξεργασίας είναι η αρχική συλλογή των δεδομένων από νόμιμη πηγή (βλ. σελ. 6-7: σε κάθε ενδεικτικό παράδειγμα που παρατίθεται αναφέρεται ρητά ότι ο υποψήφιος πρέπει να έχει «νομίμως συλλέξει» τα δεδομένα)
Όσον αφορά τον τρόπο ικανοποίησης των ασκηθέντων δικαιωμάτων πρόσβασης των υποκειμένων, από τα υποβληθέντα στην Αρχή στοιχεία, δεν προκύπτει παραβίαση του δικαιώματος, δεδομένου ότι η κ. ... παρείχε τις προβλεπόμενες από το άρθρο 15.1 πληροφορίες.
2. Υπουργείο ...
Για την αξιολόγηση της νομιμότητας των πράξεων επεξεργασίας προσωπικών δεδομένων απόδημων εκλογέων, στις οποίες προέβη το Υπουργείο ..., λαμβάνονται υπόψη οι εξής διαπιστώσεις:
α) Το Υπουργείο ... αποτελεί τον υπεύθυνο επεξεργασίας για την επεξεργασία προσωπικών δεδομένων των Ελλήνων πολιτών εκλογέων για το σκοπό της διεξαγωγής της εκλογικής διαδικασίας. Μάλιστα, σύμφωνα με το ν. 4648/2019, το Υπουργείο ... είναι ο υπεύθυνος επεξεργασίας για την επεξεργασία προσωπικών δεδομένων για την άσκηση εκλογικού δικαιώματος εκλογέων που βρίσκονται εκτός Ελληνικής Επικράτειας.
β) Σύμφωνα με τις κείμενες διατάξεις, όπως δέχεται και το Υπουργείο ... στο με αρ. πρωτ. .../12-03-2024 έγγραφο, τα στοιχεία ηλεκτρονικής επικοινωνίας (διεύθυνση e-mail και τηλέφωνο επικοινωνίας) των εγγεγραμμένων στους εκλογικούς καταλόγους εξωτερικού δεν περιλαμβάνονται στα αντίτυπα των εκλογικών καταλόγων εξωτερικού που διατίθενται στους δικαιούχους, σύμφωνα με το άρθρο 23 του Π.Δ. 26/2012. Αναφέρει επίσης το Υπουργείο στο έγγραφό του ότι κατά τις προεκλογικές περιόδους Μαΐου – Ιουνίου 2023 κανένα φυσικό πρόσωπο με την ιδιότητα του υποψηφίου δεν αιτήθηκε αντίτυπο ειδικών εκλογικών καταλόγων εξωτερικού του 2023 και τα πολιτικά κόμματα που παρέλαβαν δια των εκπροσώπων εκλογικούς καταλόγους με την Α’ Αναθεώρηση 2023 συμπεριλαμβανομένων των εκλογικών τμημάτων, παρέλαβαν και αρχείο με τους ειδικούς εκλογικούς καταλόγους εξωτερικού. Από την επιτόπια έρευνα της Αρχής επιβεβαιώθηκε ότι τα αρχεία αυτά δεν περιλάμβαναν διευθύνσεις ηλεκτρονικού ταχυδρομείου των εκλογέων.
γ) Από την έρευνα της Αρχής προέκυψε ότι αρχείο μορφής MS excel που εξήχθη στις 8/6/2023 από το σύστημα ΟΣΥΕΔ με σκοπό την διεξαγωγή κληρώσεων εφορευτικών επιτροπών των τμημάτων αποδήμων, και περιείχε δεδομένα των εγγεγραμμένων στους ειδικούς εκλογικούς καταλόγους εξωτερικού για τις επικείμενες βουλευτικές εκλογές της 25/6/2023 βρέθηκε εκτός Υπουργείου Εσωτερικών, στην κατοχή τρίτων προσώπων. Το αρχείο περιείχε στοιχεία 25.610 πολιτών, δηλαδή του συνόλου των εγγεγραμμένων στους εκλογικούς καταλόγους αποδήμων για τις εκλογές του Ιουνίου 2023, και περιλάμβανε τα ακόλουθα πεδία: Χώρα Ψηφοφορίας, Πόλη Ψηφοφορίας, Τμήμα, Χώρα Προέλευσης, Πόλη Προέλευσης, ΑΑ Εκλογέα στον Κατάλογο, Fylo, Eponymo, Onoma, on_pat, on_mht, on_syz, epon_pat, hmer_gen, HomeAddress, Street, StreetNumber, Region, PostCode, E-mail. Στις 23/6/2023 το αρχείο αυτό απεστάλη στον Γραμματέα Αποδήμων της Νέας Δημοκρατίας, όπως προκύπτει από το μήνυμα στην εφαρμογή WhatsApp που προσκόμισε ο ίδιος. Όπως επίσης προκύπτει από μήνυμα στην εφαρμογή WhatsApp που προσκόμισε ο κ. ..., το ίδιο αρχείο απεστάλη από τον τελευταίο στις 20/1/2024 στην Ευρωβουλευτή κυρία ... η οποία και επεξεργάστηκε τα στοιχεία για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου στους πολίτες που περιλαμβάνονταν σε αυτό την 1/3/2024.
δ) Δυνατότητα μαζικής εξαγωγής δεδομένων από το σύστημα ΟΣΥΕΔ είχαν μόνο ειδικά εντεταλμένα πρόσωπα, μέσω εκτέλεσης ερωτημάτων στη βάση δεδομένων. Σχετικά με τα στοιχεία των εκλογέων του εξωτερικού, διαπιστώθηκε ότι έχουν γίνει μαζικές εξαγωγές για το σκοπό της αποστολής ηλεκτρονικής επικοινωνίας εκ μέρους του Υπουργείου σχετικά με την εκλογική διαδικασία καθώς και για τις ανάγκες της κλήρωσης των εφορευτικών επιτροπών μέσω των πρεσβειών, σύμφωνα με το ν. 4648/2019.
ε) Για τους προαναφερόμενους σκοπούς έγινε διακίνηση των αρχείων .xls με τα στοιχεία των εκλογικών καταλόγων, προς τους αρμόδιους υπαλλήλους, είτε προς ενέργεια είτε προς ενημέρωσή τους, μέσω ηλεκτρονικού ταχυδρομείου και χωρίς να έχει ληφθεί κάποιο ειδικό μέτρο ασφάλειας. Ως εκ τούτου κάθε ένας από τους αποδέκτες είχε τη δυνατότητα για τοπική αποθήκευση, εξαγωγή σε αποσπώμενο μέσο ή και διαβίβαση του αρχείου μέσω εφαρμογών ανταλλαγής μηνυμάτων.
στ) Στοιχεία εκλογικών καταλόγων είχαν κατά καιρούς ζητηθεί και εξαχθεί από τις βάσεις δεδομένων κατόπιν σχετικής εντολής του παραιτηθέντος Γενικού Γραμματέα του Υπουργείου είτε σε γραπτή είτε σε προφορική μορφή, χωρίς να προσδιορίζεται ο ακριβής σκοπός, συμπέρασμα που προκύπτει τόσο από τις απαντήσεις των στελεχών του Υπουργείου κατά τον επιτόπιο έλεγχο όσο και από το προσκομισθέν μήνυμα ηλεκτρονικού ταχυδρομείου που περιλαμβάνεται στο με αρ. πρωτ .../16-04-2024 έγγραφο του Υπουργείου.
ζ) Υπήρχε δυνατότητα μαζικής εξαγωγής του συνόλου των δεδομένων των εκλογικών καταλόγων εξωτερικού, χωρίς καταγραφή και χωρίς κάποιο περιορισμό ή οριοθέτηση του πότε, ποιος και για ποιο σκοπό μπορεί να την αιτηθεί. Τα αρχεία .xls παράγονταν και διακινούνταν εσωτερικά στο Υπουργείο είτε λόγω υπηρεσιακής ανάγκης είτε κατόπιν αιτήματος του παραιτηθέντος Γενικού Γραμματέα του Υπουργείου. Αντίστοιχη εσωτερική διακίνησης τέτοιων αρχείων είχε γίνει και στο παρελθόν. Συνεπώς, δεν μπορεί να αποκλειστεί η πιθανότητα να έχουν διαβιβαστεί στο παρελθόν, ή και πιο πρόσφατα, εκλογικοί κατάλογοι με e-mail, σε αποδέκτες εκτός Υπουργείου, χωρίς όμως να είναι δυνατή η αναζήτηση στοιχείων για την τεκμηρίωση μιας τέτοιας διαρροής. Το ζήτημα αυτό υφίσταται από το χρονικό σημείο που δημιουργήθηκαν οι ειδικοί εκλογικοί κατάλογοι ψηφοφόρων εξωτερικού. Σύμφωνα με όσα αναφέρονται από το Γραμματέα Αποδήμων της ... και δεν αμφισβητήθηκαν κατά την ακροαματική διαδικασία ή τα υπομνήματα, πιθανολογείται ότι είχαν διαβιβαστεί κάποια σχετικά στοιχεία επικοινωνίας προς τη Γραμματεία Αποδήμων της ..., έμμεσα ή άμεσα, για συγκεκριμένο σκοπό και για περιορισμένο εύρος, αυτό της διευκόλυνσης της εγγραφής των αποδήμων στους εκλογικούς καταλόγους εξωτερικού, όπως ιδίως αναφέρεται στην περίπτωση των ψηφοφόρων που βρέθηκαν στην Λιθουανία στις 21 Μαΐου 2023, για να παρακολουθήσουν σημαντικό αγώνα μπάσκετ.
η) Όσο αφορά τον τρόπο καταγραφής των προσβάσεων για άντληση μαζικών δεδομένων από το ΟΣΥΕΔ, τα αρχεία καταγραφής της βάσης δεδομένων και της εφαρμογής δεν τηρούν πληροφορίες για τις ενέργειες του χρήστη αλλά αποκλειστικά και μόνο για την είσοδο και την έξοδο του από το σύστημα. Η πληροφορία αυτή δεν είναι ιδιαίτερα χρήσιμη καθώς κάποιος χρήστης μπορεί να χρησιμοποιήσει το σύστημα για πολλαπλούς διαφορετικούς λόγους. Καταγράφονται επίσης σημαντικά γεγονότα με βάση τις προεπιλεγμένες ρυθμίσεις του λογισμικού (SQLserver) καθώς και οι αποτυχημένες προσπάθειες εισόδου. Τα τηρούμενα αρχεία καταγραφής δεν περιλαμβάνουν όμως τις ενέργειες του εκάστοτε χρήστη στη βάση δεδομένων, οπότε δεν μπορεί εκ των υστέρων να αναζητηθεί ποιος και πότε εκτέλεσε κάποιο ερώτημα στη βάση δεδομένων. Από τη μελέτη ασφαλείας (στο με αρ. πρωτ. .../09-04-2024 έγγραφο του Υπουργείου) προκύπτει ότι θα μπορούσε να έχει ενεργοποιηθεί η καταγραφή audit trails στο ΟΣΥΕΔ (το audit trail είναι ένα τεκμηριωμένο αρχείο που καταγράφει τους χρήστες ενός υπολογιστικού συστήματος και τις λειτουργίες που αυτοί έχουν εκτελέσει σε μια δεδομένη χρονική περίοδο).
θ) Η μελέτη ασφάλειας του αναδόχου του ΟΣΥΕΔ που προσκομίστηκε με το με αρ. πρωτ. .../09-04-2024 έγγραφο του Υπουργείου περιλαμβάνει και προτείνει διαδικασίες πάνω στις οποίες θα βασιστεί η Πολιτική Ασφάλειας και το Σχέδιο Ασφάλειας του Φορέα του ΟΣΥΕΔ (δηλαδή του Υπουργείου ...) και δεν αποτελεί την εγκεκριμένη Πολιτική και Σχέδιο Ασφάλειας του φορέα από το οποίο να προκύπτει η τεκμηρίωση της υλοποίησης των προτάσεων της Μελέτης.
ι) Στην σύμβαση για την παροχή υπηρεσιών ανάπτυξης Ολοκληρωμένου Συστήματος Υποστήριξης Εκλογικών Διαδικασιών που προσκομίστηκε με το με αρ. πρωτ. .../09-04-2024 έγγραφο, στο κεφάλαιο «1.3 Υποσύστημα για ΥΠΕΣ» περιλαμβάνεται ως ζητούμενη λειτουργία του υποσυστήματος η προσωπική ενημέρωση του πολίτη μέσω ηλεκτρονικού μηνύματος, για τον ακριβή χώρο άσκησης του εκλογικού του δικαιώματος τουλάχιστον 7 ημέρες πριν την διεξαγωγή των εκλογών. Η υλοποίηση της διαδικασίας αυτής αναφέρεται ότι θα γίνει με μηχανισμό επικοινωνίας και ενημέρωσης των ενδιαφερομένων εκλογέων και φορέων μέσω ηλεκτρονικών μηνυμάτων. Προέκυψε ότι δεν είχε υλοποιηθεί μηχανισμός στην εφαρμογή μέσω του οποίου θα μπορούσε να υποστηρίζεται η λειτουργικότητα της ενημέρωσης των εκλογέων εξωτερικού χωρίς να υπάρχει ανάγκη μαζικής εξαγωγής αρχείων.
ια) Σχετικά με τη διαχείριση του περιστατικού παραβίασης: Στις 18-03-2024 υπεβλήθη στην Αρχή η με αρ. πρωτ. .../18-3-2024 Γνωστοποίηση Περιστατικού Παραβίασης Προσωπικών Δεδομένων από το Υπουργείο ..., με τα ακόλουθα στοιχεία: Ως χρόνος έναρξης και λήξης του περιστατικού αναφέρεται ότι διερευνάται και ότι είναι κατά προσέγγιση ο Μάιος 2023. Ως χρόνος που έλαβε γνώση του περιστατικού ο φορέας αναφέρεται η 15/3/2024, 14:00, και ως τρόπος με τον οποίο έλαβε γνώση του περιστατικού, τα ΜΜΕ. Στο είδος των δεδομένων αναφερόταν το ονοματεπώνυμο και η διεύθυνση ηλεκτρονικού ταχυδρομείου. Επίσης αναφερόταν ότι είναι σε εξέλιξη η έρευνα από την υπηρεσία εσωτερικού ελέγχου του Υπουργείου, ότι δεν είναι γνωστός ο αριθμός των υποκειμένων (μόνο ως μέγιστο μπορεί να θεωρηθεί το 26.905, που αναφέρεται και στις λίστες που προσκόμισε το Υπουργείο στην Αρχή με το με αρ. πρωτ. .../15-03-2024 έγγραφο) και ότι δεν έχουν ενημερωθεί ακόμη τα υποκείμενα των δεδομένων, αφού η εσωτερική έρευνα δεν έχει ολοκληρωθεί.
ιβ) Αναφερόμενη στην επίμαχη υπόθεση, σε συνέντευξή της, στις 16/3/2024 η Υπουργός ... εξήγησε ότι η διαρροή «έλαβε χώρα τη χρονική περίοδο μεταξύ των δύο εκλογικών αναμετρήσεων των βουλευτικών εκλογών που διεξήχθησαν τον Μάιο και τον Ιούνιο του 2023, όταν το υπουργείο ... ήταν υπό υπηρεσιακή ηγεσία. Κατά την περίοδο αυτή, συνεργάτης του, τότε υπεύθυνου για τις εκλογές, γενικού γραμματέα ..., εξήγαγε ηλεκτρονικές διευθύνσεις αποδήμων στον γραμματέα Απόδημου Ελληνισμού της ..., ... . Εν συνεχεία εκείνος τις μεταβίβασε στην κα ....»
ιγ) Επίσης δεν προκύπτει ότι από το Υπουργείο ... έγινε εξαντλητική έρευνα και αναζήτηση πληροφοριών προκειμένου να διευκολυνθεί ο προσδιορισμός του χρόνου και του αντικειμένου της παράνομης διαβίβασης στοιχείων των εκλογικών καταλόγων. Στις ερωτήσεις της Αρχής κατά τους επιτόπιους ελέγχους δεν δόθηκε κάποια σχετική πληροφορία ούτε παρέστη εξουσιοδοτημένος νόμιμος εκπρόσωπος του Υπουργείου. Συνεπώς, δεν παρουσιάζεται κάποιο στοιχείο που να τεκμηριώνει το γεγονός και το χρόνο της διαρροής των δεδομένων από το Υπουργείο με τελικό αποδέκτη τον Γραμματέα Αποδήμων της ... ή άλλον, εκτός Υπουργείου παραλήπτη. Η εντολή για εσωτερικό έλεγχο αφορούσε την επάρκεια των μέτρων ασφάλειας και προστασίας δεδομένων, χωρίς να αναφέρεται στον προσδιορισμό του συγκεκριμένου συμβάντος, των συνθηκών και του τρόπου διαρροής. Περαιτέρω, ουσιαστικά δεν διενεργήθηκε άλλη διερεύνηση από το Υπουργείο, ούτε τεχνική έρευνα σε σχέση με τη διαρροή, ενώ ήταν σαφές ότι η γνωστοποίηση περιστατικού που κατατέθηκε ήταν σε αρχικό στάδιο και από αυτή έλλειπαν σειρά στοιχείων, για τα οποία σε κανένα στάδιο μετά την υποβολή της γνωστοποίησης το Υπουργείο δεν απέδειξε ότι προχώρησε σε διερευνητικές ενέργειες για τη συμπλήρωση της γνωστοποίησης.
ιδ) Προσκομίστηκαν τα αρχεία δραστηριοτήτων που αφορούν το σύστημα ΟΣΥΕΔ (αρ. πρωτ. .../09-04-2024). Στα αρχεία αναφέρονται ως εκτελούντες οι υπάλληλοι του Υπουργείου, ενώ δεν περιλαμβάνεται η εκτελούσα την επεξεργασία ανάδοχος εταιρεία, η οποία μάλιστα έχει αναφερθεί στην υποβληθείσα γνωστοποίηση περιστατικού παραβίασης δεδομένων. Επίσης δεν περιλαμβάνεται επαρκής αναφορά σε μέτρα ασφάλειας, δεν προσδιορίζεται ο χρόνος τήρησης των δεδομένων και γίνεται αναφορά σε γενική νομοθεσία και όχι ειδική αναφορά στη συγκεκριμένη εκλογική νομοθεσία.
Α. Από τα ανωτέρω σημεία α), β), γ) προκύπτει ότι αρχείο με προσωπικά δεδομένα του συνόλου των εγγεγραμμένων εκλογέων εξωτερικού για τις εκλογές του Ιουνίου 2023, για το οποίο το Υπουργείο Εσωτερικών είναι υπεύθυνος επεξεργασίας, και για το οποίο η ισχύουσα νομοθεσία δεν προβλέπει καμία απολύτως περίπτωση διαβίβασης του εκτός Υπουργείου, διακινήθηκε εκτός του Υπουργείου. Αν και δεν έγινε δυνατό να διαπιστωθεί με ποιο τρόπο έγινε η εν λόγω διαβίβαση, το γεγονός αυτό αποτελεί αδιαμφισβήτητα περιστατικό παραβίασης της εμπιστευτικότητας προσωπικών δεδομένων και άρα παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ορισμό του άρθρου 4 περ. 12 του ΓΚΠΔ, καθώς είναι βέβαιο ότι τα υφιστάμενα μέτρα παραβιάστηκαν και υπήρξε άνευ άδειας κοινολόγηση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, τα οποία μάλιστα στη συνέχεια υποβλήθηκαν σε περαιτέρω επεξεργασία.
Β. Από τα ανωτέρω σημεία δ) έως ζ) προκύπτει ότι οι πολιτικές και διαδικασίες που ακολουθεί το Υπουργείο για τη μαζική εξαγωγή και εσωτερική διακίνηση δεδομένων εκλογέων του εξωτερικού δεν περιείχαν ειδικές προβλέψεις (ειδικά μέτρα ασφάλειας κατά τη διακίνηση των αρχείων) και περιορισμούς (αναφορικά με τους αποδέκτες των αρχείων), αλλά ούτε προβλέψεις για την καταγραφή και τεκμηρίωση των ενεργειών καθώς και την έγκριση του σκοπού εξαγωγής. Περαιτέρω, οι σχεδιασμένες διαδικασίες δεν περιλαμβάνουν κανένα μέτρο για τον περιορισμό κινδύνου που προκαλείται από τον ανθρώπινο παράγοντα (ο οποίος σύμφωνα και με το Υπουργείο απεδείχθη καταλυτικός και καθοριστικός). Να σημειωθεί ότι ο κίνδυνος από τον ανθρώπινο παράγοντα αναφέρεται από τα στοιχεία των αρχών ως ένας βασικός παράγοντας από τον οποίο προκαλούνται περιστατικά παραβίασης προσωπικών δεδομένων ενώ είχε επισημανθεί ειδικά από την Αρχή ήδη από το 2018. Επίσης προέκυψε ότι τα εφαρμοζόμενα μέτρα δεν επανεξετάστηκαν για τις ειδικές ανάγκες επεξεργασίας των καταλόγων εκλογέων εξωτερικού.
Γ. Από τα ανωτέρω σημεία η) έως ι) εντοπίζονται ελλείψεις στις διαδικασίες και πολιτικές για την προστασία των δεδομένων (όπως αναφέρονται στο πλαίσιο της λογοδοσίας στο άρθρο 24 του ΓΚΠΔ), δηλαδή ο υπεύθυνος επεξεργασίας δεν εφάρμοσε αποτελεσματικά κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας τα κατάλληλα τεχνικά μέτρα καταγραφής ενεργειών των χρηστών οργανωτικά μέτρα, για την εφαρμογή αρχών προστασίας των δεδομένων, όπως προβλέπεται στο άρθρο 25, παρ. 1 για την προστασία δεδομένων ήδη από το σχεδιασμό.
Δ. Από τα ανωτέρω ια), ιβ), ιγ) προκύπτει ότι δεν περιλαμβάνονται στην υποβληθείσα Γνωστοποίηση Περιστατικού Παραβίασης Προσωπικών Δεδομένων πληροφορίες που ανακοινώθηκαν δημόσια και είχαν αναφερθεί σε συνέντευξη της Υπουργού προ της υποβολής της γνωστοποίησης, ενώ δεν περιλαμβάνονται στην υποβληθείσα Γνωστοποίηση Περιστατικού Παραβίασης Προσωπικών Δεδομένων, παρότι είχαν αναφερθεί σε συνέντευξη της Υπουργού προ της υποβολής της γνωστοποίησης. Με τον χειρισμό αυτό του περιστατικού δεν εκπλήρωσε τις υποχρεώσεις του άρθρου 33 παρ. 3, 4 και 5 του ΓΚΠΔ σχετικά με τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή.
Ε. Από το ανωτέρω σημείο ιδ) παρατηρούνται ελλείψεις και ανακρίβειες στο περιεχόμενο των τηρούμενων αρχείων δραστηριοτήτων που αφορούν το σύστημα ΟΣΥΕΔ, όπως απαιτούνται από άρθρο 30 του ΓΚΠΔ.
Ως εκ τούτου, προκύπτει ότι το Υπουργείο Εσωτερικών παραβίασε i. τα άρθρα 5 παρ. 1 εδ. στ και το άρθρο 32 του ΓΚΠΔ, όπως αναλύεται στα ανωτέρω σημεία Α και Β, ii. το άρθρο 25.1 του ΓΚΠΔ, όπως αναλύεται στο σημείο Γ, iii. το άρθρα 33παρ. 3, 4 και 5 του ΓΚΠΔ, όπως αναλύεται στο σημείο Δ και iv. το άρθρο 30 του ΓΚΠΔ όπως αναλύεται στο σημείο Ε.
Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς. Περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 39 παρ. 2 του ν. 4624/2019 που έχει εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03-10-2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253) και τις Κατευθυντήριες γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων στο πλαίσιο του Γενικού Κανονισμού, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης, με βάση τα οποία η βαρύτητα της παράβασης κρίνεται μεγάλη, και λαμβάνοντας υπόψη ιδίως:
o ότι η φύση των παραβάσεων αφορά τις υποχρεώσεις λογοδοσίας και λήψης τεχνικών μέτρων καταγραφής ενεργειών των χρηστών και οργανωτικών μέτρων του υπεύθυνου επεξεργασίας,
o η επεξεργασία αφορά τις κύριες δραστηριότητες του υπεύθυνου επεξεργασίας που είναι αρμόδιο για την οργάνωση και τη διενέργεια της εκλογικής διαδικασίας, η οποία δεν πρέπει να τίθεται σε αμφισβήτηση ούτε να κλονίζεται η εμπιστοσύνη των πολιτών σε αυτή,
o από τις παραβάσεις δεν προκύπτουν άμεσα σοβαρές συνέπειες για τα υποκείμενα των δεδομένων,
o ότι η διαβίβαση του συγκεκριμένου αρχείου ήταν μεν μια μεμονωμένη ενέργεια, αλλά σε σχέση με τις εφαρμοζόμενες πολιτικές και τεχνικά μέτρα καταγραφής ενεργειών των χρηστών οι παραβάσεις αφορούν την επεξεργασία προσωπικών δεδομένων που περιλαμβάνονται στους εκλογικούς καταλόγους,
o η παράβαση που αφορά στις πολιτικές και τα εφαρμοζόμενα μέτρα ασφάλειας (άρθρα 25 και 32) αφορά μεγάλο χρονικό διάστημα, ήτοι τουλάχιστον από την παράδοση των μελετών του συστήματος ΟΣΥΕΔ,
o τον μεγάλο αριθμό των υποκειμένων τα οποία με βεβαιότητα έθιξε η παράβαση (25.610) και τα οποία είναι μάλιστα το σύνολο των εγγεγραμμένων ψηφοφόρων εξωτερικού,
o Οι κατηγορίες των προσωπικών δεδομένων που αφορά η επεξεργασία, δεν ενέχουν υψηλό κίνδυνο (άρθρα 9-10 ΓΚΠΔ, επικοινωνίες, θέση, οικονομικά κ.α.)
o την αναστάτωση και την ανησυχία που προκλήθηκε στα υποκείμενα σχετικά με τη διαρροή και την παράνομη χρήση των προσωπικών τους δεδομένων, καθώς και συνέπειες στο αίσθημα εμπιστοσύνης τους στο Κράτος για τη διαφύλαξη των προσωπικών τους δεδομένων, όπως προκύπτει από το πλήθος και το περιεχόμενο των καταγγελιών που υποβλήθηκαν στην Αρχή,
o Το γεγονός ότι η παράβαση προκλήθηκε από αμέλεια του υπεύθυνου επεξεργασίας, ο οποίος παρέβη το καθήκον επιμέλειας χωρίς δόλο.
o Το γεγονός ότι το Υπουργείο, έστω και μετά το περιστατικό, αλλά πριν από την ακρόαση στην Αρχή, έλαβε συγκεκριμένα μέτρα προς τη σωστή κατεύθυνση, όπως η υλοποίηση εμπειρογνωμοσύνης και ενέργειες για την υποχρεωτική επιμόρφωση του προσωπικού του.
3. Ως προς την ... και τον κ. ..., η Αρχή αναβάλλει την έκδοση απόφασης, δεδομένου ότι ο τελευταίος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωση ως νεότερο στοιχείο, το οποίο μπορεί να ληφθεί υπόψη από την Αρχή στο πλαίσιο του αυτεπάγγελτου ελέγχου και από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών.
ΙΙΙ. ΔΙΑΤΑΚΤΙΚΟ
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η ΑΡΧΗ
Α. Για τις παραβάσεις των άρθρων 5 παρ. 1 α’ σε συνδυασμό με άρθρο 6 παρ. 1 και άρθρο 14 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β1 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ ΓΚΠΔ στην ..., ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους σαράντα χιλιάδων (40.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 εδ. ζ’ του ΓΚΠΔ στην ..., ως υπεύθυνο επεξεργασίας, να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού.
Β. Για τις παραβάσεις των άρθρων 5 παρ. 1 εδ. στ και 32 του ΓΚΠΔ, του άρθρου 25, παρ. 1, του άρθρου 33 παρ. 3,4,5 του ΓΚΠΔ, καθώς και του άρθρου 30 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β4 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ ΄ ΓΚΠΔ στο Υπουργείο ..., ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους τετρακοσίων χιλιάδων (400.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. δ΄ ΓΚΠΔ, στο Υπουργείο ..., ως υπεύθυνο επεξεργασίας, όπως προβεί στις ακόλουθες ενέργειες:
Με αφορμή το περιστατικό αυτό, θα πρέπει το Υπουργείο να καταγράψει σε εγκεκριμένες πολιτικές, να ελέγξει και να αναθεωρήσει τις διαδικασίες και τα μέτρα που εφαρμόζει σχετικά με την προστασία προσωπικών δεδομένων κατά την επεξεργασία προσωπικών δεδομένων των εκλογέων, συμπεριλαμβανομένων όσων στοιχείων τηρούνται στο σύστημα ΟΣΥΕΔ αλλά και σε όποιο άλλο σχετιζόμενο σύστημα. Με τις παραπάνω ενέργειες πρέπει να διασφαλίζονται οι αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ και ιδίως η εμπιστευτικότητα σε όλη τη διαδικασία εκλογών και να προβλεφθεί διαδικασία περιοδικής αξιολόγησης των μέτρων.
Το Υπουργείο πρέπει εντός τριών μηνών από την κοινοποίηση της παρούσας, να συντάξει σχετικό χρονοδιάγραμμα, στο οποίο θα προσδιορίζονται οι διαδικασίες για την κατάρτιση, την υλοποίηση, την επίβλεψη και την επικαιροποίηση των ανωτέρω και ο χρόνος εκτέλεσής τους, να γνωστοποιήσει αμελλητί στην Αρχή το χρονοδιάγραμμα, και να την ενημερώνει ανά τρίμηνο για την εφαρμογή του.
Ως ειδικότερα μέτρα για την αποφυγή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων θα πρέπει να προβλεφθούν και εφαρμοστούν αμελλητί τα εξής:
1. Συστηματική ανάλυση του θεσμικού πλαισίου της διενέργειας των εκλογών, προσδιορισμός των διαδικασιών που προϋποθέτουν επεξεργασία προσωπικών δεδομένων, καταγραφή για κάθε διαδικασία των ροών των προσωπικών δεδομένων και των αποδεκτών κάθε είδους δεδομένων.
Στο πλαίσιο της ανάλυσης, θα πρέπει να ελαχιστοποιηθεί η δυνατότητα εκτέλεσης ενεργειών σε σύνολα δεδομένων από φυσικά πρόσωπα (π.χ. υπαλλήλους) ώστε να παραμείνουν οι απόλυτα αναγκαίες. Διαδικασίες οι οποίες είναι επαναλαμβανόμενες πρέπει να εκτελούνται με την ελάχιστη ανθρώπινη παρέμβαση και χωρίς εξαγωγή δεδομένων. Ειδικότερα προτείνονται:
α) Όλες οι λειτουργίες που απαιτούν μαζική επεξεργασία προσωπικών δεδομένων εκλογέων, και ειδικά δεδομένων επικοινωνίας, να ενσωματωθούν στις εφαρμογές, ώστε οι σύμφωνες με το νόμο επεξεργασίες να πραγματοποιούνται μέσα από το περιβάλλον της εφαρμογής (π.χ αποστολή ενημερωτικών μηνυμάτων στους εκλογείς), με πλήρη καταγραφή ενεργειών.
β) Να εξετασθεί η δυνατότητα χρήσης λογισμικού DLP, ειδικά για τις μονάδες του Υπουργείου που εμπλέκονται σε εξαγωγές αρχείων.
γ) Απαγόρευση διακίνησης μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ή άλλου τρόπου εσωτερικής επικοινωνίας αρχείων που περιέχουν προσωπικά δεδομένα εκλογέων. Κατ’ εξαίρεση, εφόσον είναι πραγματικά αναγκαίο, τέτοια διακίνηση μπορεί να γίνει μόνο σε κρυπτογραφημένη μορφή. Στο κάθε μήνυμα θα πρέπει να αναγράφεται ο σκοπός επεξεργασίας και ο σκοπός διακίνησης καθώς και να προκύπτει ο χρόνος τήρησης του αρχείου. Ο κωδικός να γνωστοποιείται με διαφορετικό μέσο. Η διακίνηση αυτή πρέπει να έχει εγκριθεί από αρμόδιο υψηλόβαθμο υπηρεσιακό στέλεχος και η σχετική έγκριση να τηρείται σε αρχείο (audit trail) για επαρκές χρονικό διάστημα.
δ) Αναθεώρηση της διαδικασίας καταγραφής ενεργειών τύπου ερωτημάτων (SELECT) σε πίνακες της βάσης δεδομένων του ΟΣΥΕΔ ή σε άλλα συστήματα που επεξεργάζονται προσωπικά δεδομένα και λήψη μέτρων για τον αυτοματοποιημένο, προληπτικό, έλεγχο των αρχείων καταγραφής
2. Πολιτική και Σχέδιο ασφάλειας – λοιπά οργανωτικά μέτρα Με δεδομένο ότι στην Αρχή δεν κατατέθηκε εγκεκριμένη πολιτική ασφάλειας (ή επιμέρους σχέδια ασφάλειας), το Υπουργείο οφείλει να επικαιροποιήσει την Πολιτική Ασφάλειας που εφαρμόζει και τα συνοδευτικά αυτής επιμέρους σχέδια ασφάλειας τα οποία αφορούν επεξεργασία προσωπικών δεδομένων εκλογέων ώστε:
α) Να περιλαμβάνονται τα συστήματα διαχείρισης των δεδομένων των εκλογέων και να αποφασιστεί ποιοι από τους προτεινόμενους κανόνες θα υλοποιηθούν (ή να καταγραφεί ποιοι έχουν υλοποιηθεί).
β) Να περιλαμβάνονται κατάλληλες προβλέψεις για ενημέρωση των συμβάσεων με εκτελούντες την επεξεργασία για τις αλλαγές που θα προκύψουν.
γ) Τεκμηρίωση, αναθεώρηση και επικαιροποίηση της διαδικασίας χειρισμού περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα, με έμφαση στο περιεχόμενο της γνωστοποίησης στην Αρχή, της ενημέρωσης των υποκειμένων, και των κατάλληλων διαδικασιών και οργάνων για την εσωτερική διερεύνηση.
δ) Έλεγχος από ανεξάρτητο οργανισμό ή φορέα, σε τακτική βάση τουλάχιστον ετησίως, της ασφάλειας των συστημάτων και διαδικασιών, συμπεριλαμβανομένης της αποτίμησης των εφαρμοζόμενων μέτρων ασφάλειας.
ε) Ο περιοδικός έλεγχος από το Υπουργείο, τουλάχιστον ετησίως, των τυχόν εκτελούντων την επεξεργασία ως προς τη λήψη των κατάλληλων μέτρων ασφάλειας.
3. Μέτρα ενημέρωσης και ευαισθητοποίησης του προσωπικού Να σχεδιαστεί πρόγραμμα δράσεων ευαισθητοποίησης και εκπαίδευσης τόσο της ηγεσίας όσο και στελεχών κάθε επιπέδου και υπαλλήλων του Υπουργείου για ζητήματα προστασίας προσωπικών δεδομένων, και ειδικά για τις υποχρεώσεις του υπευθύνου επεξεργασίας, τον τρόπο συνεργασίας με την Αρχή και το ρόλο του ΥΠΔ. Οι δράσεις του προγράμματος θα πρέπει να προβλέπουν δραστηριότητες που κρατούν σε εγρήγορση το προσωπικό του Υπουργείου.
Γ. Αναβάλλει την έκδοση απόφασης ως προς τη ... και τον ..., κατά τα ανωτέρω αναφερόμενα.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα