ΑΠΟΦΑΣΗ 38/2024
Αθήνα, 22-10-2024
Αριθ. Πρωτ.: 2887
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε σε συνεδρίαση την 08/10/2024, μετά από πρόσκληση του Προέδρου της, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος, και τα τακτικά μέλη της Αρχής, Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, ως εισηγητές, Αικατερίνη Ηλιάδου, Χρήστος Καλλονιάτης, Γρηγόριος Τσόλιας, και το αναπληρωματικό μέλος, Νικόλαος Λίβος, σε αναπλήρωση του τακτικού μέλους, Χαράλαμπου Ανθόπουλου, ο οποίος, αν και κλήθηκε νομίμως, δεν παρέστη. Παρoύσες, χωρίς δικαίωμα ψήφου ήταν οι Γ. Παναγοπούλου και Χ. Συμεωνίδου, ελέγκτριες της Αρχής, ως βοηθοί εισηγήτριες και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα παρακάτω:
Σύμφωνα με την απόφαση 16/2024 της Αρχής, η συλλογή των προσωπικών δεδομένων αποδήμων, συμπεριλαμβανομένων στοιχείων ηλεκτρονικής επικοινωνίας, εκ μέρους της ..., από τον τ. Γραμματέα Αποδήμων της ..., σε χρόνο εκτός προεκλογικής περιόδου, με ηλεκτρονικό τρόπο (εφαρμογή ...), αποτελεί αθέμιτη, μη αντικειμενική και μη σύννομη επεξεργασία: Δεδομένου ότι η εν λόγω επεξεργασία (συλλογή) έγινε κατά παράβαση μιας σειράς διατάξεων της εκλογικής νομοθεσίας, δεν θα μπορούσε να είναι ευλόγως αναμενόμενο για τα υποκείμενα (εκλογείς εξωτερικού) ότι τα προσωπικά τους δεδομένα, που τηρεί το Υπουργείο Εσωτερικών για τον σκοπό της άσκησης του εκλογικού τους δικαιώματος, συμπεριλαμβανομένων των στοιχείων ηλεκτρονικής επικοινωνίας τους, θα βρίσκονταν στην κατοχή μιας Ευρωβουλευτή και θα χρησιμοποιούνταν για το σκοπό της πολιτικής επικοινωνίας μέσω e-mail. Για τον ίδιο λόγο, και οι περαιτέρω επιμέρους πράξεις επεξεργασίας προς τον ίδιο σκοπό, δηλαδή η δημιουργία νέου αρχείου προς μεταφόρτωση στην υπηρεσία ..., που περιλάμβανε το όνομα, τη χώρα και το e-mail των εκλογέων και η χρήση της ηλεκτρονικής διεύθυνσης (email) των αποδήμων για την αποστολή πολιτικής επικοινωνίας είναι επίσης αθέμιτη και παράνομη. Εξάλλου, η ως άνω επεξεργασία δεδομένων εκλογέων εξωτερικού δεν μπορεί να στηριχθεί στη νομική βάση του υπέρτερου έννομου συμφέροντος (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), αφού, λαμβάνοντας υπόψη τις παραπάνω περιστάσεις, το δικαίωμα των απόδημων εκλογέων στην προστασία των προσωπικών τους δεδομένων υπερέχει καταφανώς του εννόμου συμφέροντος της Ευρωβουλευτή να επικοινωνήσει μαζί τους ατομικά προς διάδοση των πολιτικών της δράσεων και ιδεών. Επιπλέον, δεν παρασχέθηκε κατάλληλη και σύμφωνη με τον ΓΚΠΔ (άρθρο 14) ενημέρωση των υποκειμένων, ιδίως για την πηγή προέλευσης των δεδομένων τους, με αποτέλεσμα να παραβιάζεται και η αρχή της διαφάνειας της επεξεργασίας. Ως εκ τούτου, η επεξεργασία δεδομένων αποδήμων στην οποία προέβη η ... κατά το χρονικό διάστημα από 20/1/2024 έως και 1/3/2024 παραβίασε τις θεμελιώδεις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, κατά το άρθρο 5 παρ. 1 α’ ΓΚΠΔ.
Με την ίδια απόφασή της, η Αρχή έκρινε ότι το αρχείο με προσωπικά δεδομένα του συνόλου των εγγεγραμμένων εκλογέων εξωτερικού για τις εκλογές του Ιουνίου 2023, για το οποίο το Υπουργείο Εσωτερικών είναι υπεύθυνος επεξεργασίας, και για το οποίο η ισχύουσα νομοθεσία δεν προβλέπει καμία απολύτως περίπτωση διαβίβασής του εκτός Υπουργείου, διακινήθηκε εκτός του Υπουργείου. Αν και δεν έγινε δυνατό να διαπιστωθεί με ποιο τρόπο έγινε η εν λόγω διαβίβαση, το γεγονός αυτό αποτελεί αδιαμφισβήτητα περιστατικό παραβίασης της εμπιστευτικότητας προσωπικών δεδομένων και άρα παραβίαση δεδομένων προσωπικού χαρακτήρα, σύμφωνα με τον ορισμό του άρθρου 4 περ. 12 του ΓΚΠΔ, καθώς είναι βέβαιο ότι τα υφιστάμενα μέτρα παραβιάστηκαν και υπήρξε άνευ άδειας κοινολόγηση δεδομένων προσωπικού χαρακτήρα, τα οποία μάλιστα στη συνέχεια υποβλήθηκαν σε περαιτέρω επεξεργασία. Eπίσης, οι πολιτικές και διαδικασίες που ακολουθεί το Υπουργείο για τη μαζική εξαγωγή και εσωτερική διακίνηση δεδομένων εκλογέων του εξωτερικού δεν περιείχαν ειδικές προβλέψεις (ειδικά μέτρα ασφάλειας κατά τη διακίνηση των αρχείων) και περιορισμούς (αναφορικά με τους αποδέκτες των αρχείων), αλλά ούτε προβλέψεις για την καταγραφή και τεκμηρίωση των ενεργειών καθώς και την έγκριση του σκοπού εξαγωγής. Περαιτέρω, οι σχεδιασμένες διαδικασίες δεν περιλαμβάνουν κανένα μέτρο για τον περιορισμό κινδύνου που προκαλείται από τον ανθρώπινο παράγοντα (ο οποίος σύμφωνα και με το Υπουργείο απεδείχθη καταλυτικός και καθοριστικός). Να σημειωθεί ότι ο κίνδυνος από τον ανθρώπινο παράγοντα αναφέρεται από τα στοιχεία των αρχών ως ένας βασικός παράγοντας από τον οποίο προκαλούνται περιστατικά παραβίασης προσωπικών δεδομένων, ενώ είχε επισημανθεί ειδικά από την Αρχή ήδη από το 2018. Επίσης προέκυψε ότι τα εφαρμοζόμενα μέτρα δεν επανεξετάστηκαν για τις ειδικές ανάγκες επεξεργασίας των καταλόγων εκλογέων εξωτερικού. Επιπρόσθετα, εντοπίστηκαν ελλείψεις στις διαδικασίες και πολιτικές για την προστασία των δεδομένων (όπως αναφέρονται στο πλαίσιο της λογοδοσίας στο άρθρο 24 του ΓΚΠΔ), δηλαδή ο υπεύθυνος επεξεργασίας δεν εφάρμοσε αποτελεσματικά κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας τα κατάλληλα τεχνικά μέτρα καταγραφής ενεργειών των χρηστών αλλά ούτε οργανωτικά μέτρα, για την εφαρμογή αρχών προστασίας των δεδομένων, όπως προβλέπεται στο άρθρο 25, παρ. 1 για την προστασία δεδομένων ήδη από το σχεδιασμό. Επιπρόσθετα, προέκυψε ότι στην υποβληθείσα Γνωστοποίηση Περιστατικού Παραβίασης Προσωπικών Δεδομένων δεν περιλήφθηκαν πληροφορίες που ανακοινώθηκαν δημόσια και είχαν αναφερθεί σε συνέντευξη της Υπουργού προ της υποβολής της γνωστοποίησης. Με τον χειρισμό αυτό του περιστατικού το Υπουργείο δεν εκπλήρωσε τις υποχρεώσεις του άρθρου 33 παρ. 3, 4 και 5 του ΓΚΠΔ σχετικά με τη γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην εποπτική αρχή. Τέλος, παρατηρήθηκαν ελλείψεις και ανακρίβειες στο περιεχόμενο των τηρούμενων αρχείων δραστηριοτήτων που αφορούν το Ολοκληρωμένο Σύστημα Υποστήριξης Εκλογικών Διαδικασιών (ΟΣΥΕΔ), όπως απαιτούνται από το άρθρο 30 του ΓΚΠΔ. Ως εκ τούτου, προέκυψε ότι το Υπουργείο Εσωτερικών παραβίασε i. τα άρθρα 5 παρ. 1 εδ. στ και το άρθρο 32 του ΓΚΠΔ, ii. το άρθρο 25.1 του ΓΚΠΔ, iii. το άρθρο 33 παρ. 3, 4 και 5 του ΓΚΠΔ, και iv. το άρθρο 30 του ΓΚΠΔ.
Ως προς την ... και τον ..., η Αρχή ανέβαλε την έκδοση απόφασης, δεδομένου ότι ο τελευταίος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωση ως νεότερο στοιχείο, το οποίο μπορούσε να ληφθεί υπόψη από την Αρχή στο πλαίσιο του αυτεπάγγελτου ελέγχου και από το περιεχόμενο του οποίου προέκυψε η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών. Στη συνέχεια, στο πλαίσιο εξέτασης της υπόθεσης σε σχέση με την ενδεχόμενη ευθύνη του πολιτικού κόμματος «...» (...), του πρώην Γραμματέα Αποδήμων του ίδιου κόμματος, ... και τυχόν άλλων προσώπων, με την Απόφαση 22/2024 της Ολομέλειας της Αρχής αποφασίστηκε να τεθούν υπόψη των υπολοίπων μερών τα νεότερα στοιχεία που είχε προσκομίσει ο ..., να κληθούν εκ νέου σε ακρόαση η ..., ο ..., ο ... και ο ... και να κληθούν αυτοπροσώπως προς παροχή διευκρινίσεων η Α και ο Β, ενώ παράλληλα διατάχθηκε να αποστείλουν τόσο η ... όσο και ο ..., προ της ακρόασης, αντίγραφο του πρωτότυπου εγγράφου Σύμβασης Εμπιστευτικότητας και τήρησης Απορρήτου (Non-Disclosure Agreement) που έχουν υπογράψει.
Κατόπιν των ανωτέρω, με τις με αριθ. πρωτ. ..., ..., ..., ..., ..., .../28-08-2024 κλήσεις, η Αρχή κάλεσε τη ... και τους Β, ..., ..., ... και Α, σε ακρόαση ενώπιον της Ολομέλειας στην έδρα της Αρχής στις 17/9/2024 και ώρα 10:00 π.μ. Με τα ίδια έγγραφα, η Αρχή διαβίβασε στη ... και στους ... και ... τα συμπληρωματικά έγγραφα υπ’ αρ. πρωτ. .../31-07-2024, .../02-08-2024, .../02-08-2024, .../02-08-2024, .../02-08-2024 και .../02-08-2024 που είχε προσκομίσει ο ..., όπως περιγράφονται στην απόφαση 22/2024 της Αρχής.
Κατά την ακρόαση της 17/9/2024 παρέστησαν οι παρακάτω αναφερόμενοι:
1) Εκ μέρους της ..., οι Δικηγόροι Παναγιώτα Μοσχανδρέου (Α.Μ. ΔΣΑ …) και Βασίλειος Γακόπουλος (Α.Μ. ΔΣΘ …) και ο ..., Αναπληρωτής Διευθυντής Πληροφορικής.
2) Ο ..., με τους πληρεξούσιους δικηγόρους του, Λεωνίδα Κοτσαλή (Α.Μ. ΔΣΑ …), Αλέξη Στεφανάκη (Α.Μ. ΔΣΑ …), Βασίλειο Ψύχα (Α.Μ. ΔΣΑ …), Ρούσσα Τσουκαλά (Α.Μ. ΔΣΑ …) και Κωνσταντίνο Κοτσαλή (Α.Μ. ΔΣΑ …).
3) Εκ μέρους του ... οι πληρεξούσιες δικηγόροι του Ιωάννα Σακέτου (Α.Μ. ΔΣΑ …) και Ιωάννα Λαγουμίδου (Α.Μ. ΔΣΑ …).
4) Εκ μέρους του ..., η πληρεξούσια δικηγόρος του, Πολυξένη Μποβολή (Α.Μ. ΔΣΑ …).
5) Εκ μέρους του Β οι πληρεξούσιοι δικηγόροι Παναγιώτα Μοσχανδρέου (Α.Μ. ΔΣΑ …) και Βασίλειος Γακόπουλος (Α.Μ. ΔΣΘ …),
6) Η Α, της οποίας την Υπεύθυνη Δήλωση επικαλέσθηκε ο ... (.../31-07-2024 έγγραφό του - βλ. απόφαση 22/2024).
Κατά τη συνεδρίαση τα μέρη ανέπτυξαν τους ισχυρισμούς τους, έλαβαν δε προθεσμία για υπόμνημα μέχρι την Πέμπτη 26/9/2024, υπέβαλαν δε ο ... το .../26-09-2024 υπόμνημα, η ... το .../26-09-2024 υπόμνημα με τα συνημμένα σε αυτό σχετικά, ο Β το .../26-09-2024 υπόμνημα και ο ... το .../27-09-2024 υπόμνημα με τα συνημμένα σε αυτό έγγραφα. Ειδικότερα, από τους ανωτέρω υποστηρίχθηκαν τα εξής:
Η Α κατά τη συζήτηση ερωτήθηκε σχετικά με το περιεχόμενο της από 31/7/2024 υπεύθυνης δήλωσής της, την οποία προσκόμισε στην Αρχή ο ... με το .../31-07-2024 έγγραφό του (βλ. απόφαση 22/2024). Η Α ενέμεινε στην υπεύθυνη δήλωσή της, όταν δε ρωτήθηκε ποιο ή ποια πρόσωπα από το κόμμα της ... έδωσαν εντολή στον ... για τη διαβίβαση των εκλογικών καταλόγων στην ..., επιφυλάχθηκε να τα αναφέρει εγγράφως εντός της προθεσμίας, που θα της χορηγούσε η Αρχή. Ωστόσο, σχετικό έγγραφο δεν υποβλήθηκε στην Αρχή.
Ο Β υποστήριξε ότι οι προσκομισθείσες από τον ... ως .../02-08-2024 απεικονίσεις οθόνης είναι μέρος των αποτελεσμάτων εκλογών στις χώρες που αναφέρονται, αφορούν δηλαδή επικοινωνία σχετικά με εκλογικά αποτελέσματα εξωτερικού, τα οποία λαμβάνονται από τους εκλογικούς αντιπροσώπους του κόμματος, ενώ η εν λόγω επικοινωνία εμπίπτει στο πλαίσιο αρμοδιοτήτων τόσο του ιδίου ως … όσο και του ... ως (τότε) Γραμματέα Διασποράς, και δεν συνδέεται, όπως αναφέρει, με την υπό κρίση υπόθεση. Τόνισε περαιτέρω ότι ο ίδιος δεν είχε γνώση ότι ο ... κατείχε εκλογικούς καταλόγους και αναφέρει ότι η κατοχή εκλογικών καταλόγων δεν συνδέεται αιτιωδώς με την αποτύπωση εκλογικών αποτελεσμάτων ούτε αποδίδει στην αποτύπωση αυτή κάποια προστιθέμενη αξία, όπως υποστήριξε ο ..., αφού οι στατιστικές αναλύσεις που πραγματοποιήθηκαν και οι πίνακες που καταρτίστηκαν δεν απαιτούσαν την κατοχή εκλογικών καταλόγων και δεν περιείχαν πληροφορίες σχετικά με την ηλικία και το φύλο των εκλογέων. Για τον λόγο αυτό, ο Β υποστήριξε ότι η παραλαβή των πινάκων αυτών εκ μέρους του δεν συνιστά αποδοχή ότι ο αποστολέας τους κατείχε εκλογικούς καταλόγους και αναφέρει ότι από την προσκόμισή τους δεν προκύπτει οποιαδήποτε εντολή του προς τον ... ούτε προκύπτει ότι ο τελευταίος ενήργησε για σκοπούς του κόμματος. Όσον αφορά την αποστολή του αρχείου μέσω ... στην ..., τόνισε ότι ο ίδιος αγνοούσε την ύπαρξη του αρχείου, ότι η διαβίβαση του δεν έγινε κατόπιν εντολής του και ότι το αρχείο προωθήθηκε εν αγνοία της ... και του ιδίου, …, και επανέλαβε ότι δεν στοιχειοθετείται ευθύνη δική του ή της ... για τη διαρροή του επίμαχου αρχείου και για την αζήτητη επικοινωνία της ... με τους εκλογείς εξωτερικού μέσω e-mail.
Ο ... επανέλαβε τα αναφερόμενα στο από 25/7/2024 υπόμνημά του (βλ. απόφαση 22/2024), υποστηρίζοντας ότι από τα νέα στοιχεία που προσκόμισε ο ... δεν εισφέρθηκε κανένα νέο δεδομένο σχετικά με την εμπλοκή του και ότι επομένως δεν προκύπτει τυχόν επεξεργασία αρχείου από τον ίδιο, ενώ, όσον αφορά την προώθηση του επίμαχου αρχείου τύπου excel στον ..., επαναλαμβάνει ότι δεν έκανε επεξεργασία, δεν είχε καθορίσει ούτε τον σκοπό ούτε τα τεχνικά και οργανωτικά μέτρα για τη διενέργεια της επεξεργασίας αυτής, συνεπώς δεν μπορεί να θεωρηθεί υπεύθυνος επεξεργασίας, σύμφωνα με τον ΓΚΠΔ.
Η ... παρέπεμψε στις προηγούμενες γραπτές και προφορικές αναφορές της, καθώς και σε όλα τα προσκομισθέντα στοιχεία, που αφορούν, αφ’ ενός την εν γένει νομοθεσία, τη δομή, οργάνωση, λειτουργία και τις διαδικασίες του κόμματος, συμπεριλαμβανομένων των αρμοδιοτήτων των οργάνων του και της δημοσιευμένης πολιτικής προστασίας προσωπικών δεδομένων του κόμματος, και αφ’ ετέρου όλα τα τεχνικά και οργανωτικά μέτρα που λαμβάνει ως υπεύθυνος επεξεργασίας, την τεκμηρίωσή τους, την πολιτική της για την Κυβερνοασφάλεια και τα μέτρα εσωτερικής συμμόρφωσης, από την εφαρμογή των οποίων, όπως ανέφερε, δεν έχει διαπιστωθεί ούτε καταγγελθεί καμία παραβίαση. Αναφορικά με την πληροφόρηση των στελεχών του κόμματος για την προστασία προσωπικών δεδομένων, η ... επικαλέσθηκε τα σεμινάρια επιμόρφωσης που διεξήχθησαν από τον Υπεύθυνο Προστασίας Δεδομένων της (ΥΠΔ) και τις συναφείς προσκλήσεις προς όλους τις συνεργάτες (στις 5/4/2021), προς τη Γραμματεία Διασποράς (στις 28/2/2022) και προς τους Γραμματείς για ενημέρωση από τον ΥΠΔ στις 15/6/2022, επισήμανε δε ότι ο ... έχει ακολουθήσει την προβλεπόμενη διαδικασία προκειμένου να ζητήσει στοιχεία μελών 15 φορές από τη Δ/νση Πληροφορικής του κόμματος και συμμετείχε σε συνεργασία με τον ΥΠΔ του κόμματος στην επικαιροποίηση του Κανονισμού Οργανώσεων Εξωτερικού αναφορικά με τα προσωπικά δεδομένα. Όσον αφορά την υπό εξέταση επεξεργασία προσωπικών δεδομένων, η ... υποστήριξε ότι καθένα φυσικό πρόσωπο, ανεξαρτήτως του αν έχει και κομματικές αρμοδιότητες και ιδιότητες είναι αυτόνομη προσωπικότητα, συνεπώς πράξεις ή παραλείψεις του καταρχήν και εφόσον δεν αποδεικνύεται το αντίθετο, λαμβάνουν χώρα χωρίς τη γνώση ή την εντολή του κόμματος και ότι τόσο η ..., ως πολιτευόμενη με το κόμμα, όσο και ο ..., ως στέλεχος του κόμματος και ως έχων άριστη σχέση μαζί της θα μπορούσαν δυνητικά να ενεργήσουν για δικούς τους σκοπούς. Η ... ανέφερε επίσης ότι δεν υπάρχει υπογεγραμμένη σύμβαση εμπιστευτικότητας με τον ..., γεγονός άσχετο με την υπό κρίση υπόθεση διότι, όπως υποστήριξε, δεν υπάρχει αιτιώδης συνάφεια μεταξύ έλλειψης σύμβασης και παράνομης επεξεργασίας, όπως η προώθηση του επίμαχου αρχείου, αφού τυχόν σύμβαση εμπιστευτικότητας θα αφορούσε το αρχείο μελών του κόμματος, δεν θα κάλυπτε σε καμία περίπτωση παρανόμως αποκτηθέν αρχείο, ενώ ο Γραμματέας έχει ούτως ή άλλως υποχρέωση τήρησης των όρων του ΓΚΠΔ, ανεξάρτητα από την ύπαρξη σύμβασης. Περαιτέρω, η ... υποστήριξε ότι δεν έδωσε ποτέ εντολή στον ... μέσω στελέχους ή οργάνου της, για εξυπηρέτηση της ... και δη μέσω ... για τον σκοπό της προβολής της επιστολικής ψήφου. Σχολιάζοντας τα επιπλέον προσκομισθέντα στοιχεία από τον ..., η ... ανέφερε ότι πρόκειται αφ’ ενός μεν για προσωπικές τοποθετήσεις και εκτιμήσεις του ιδίου και της Α, αφ’ ετέρου για στοιχεία άσχετα με την υπόθεση. Συγκεκριμένα, αναφορικά με τις υπ’ αρ. πρωτ. .../02-08-2024 απεικονίσεις οθόνης (επικοινωνίες και αποστολές αρχείων μέσω ... μεταξύ ... και Β) η ... ανέφερε ότι αποτελούν απλές απεικονίσεις εκλογικών αποτελεσμάτων εξωτερικού, η αποτύπωση και καταγραφή των οποίων εμπίπτει στις αρμοδιότητες του Γραμματέα Διασποράς, ότι δεν σχετίζονται με την τήρηση εκλογικών καταλόγων καθώς περιέχουν μόνο αποτελέσματα ανά χώρα και πόλη και όχι στατιστικά σχετικά με την ηλικία και το φύλο, ούτε η ύπαρξη των διευθύνσεων e-mail τους προσέδιδε κάποια προστιθέμενη αξία. Προσκομίζει δε προς απόδειξη το περιεχόμενο του αρχείου excel “Diaspora – Election Results 21_5_23.xls” που απεικονίζεται, όπως αναφέρει, στις προσκομισθείσες συνομιλίες μέσω ... μεταξύ ... και Β, σε χρόνο προ της λήψης του επίμαχου αρχείου του Υπουργείου Εσωτερικών. Ως εκ τούτου, υποστήριξε ότι τα νέα προσκομισθέντα στοιχεία δεν συνδέονται με την έννοια της εντολής από πλευράς του κόμματος ως υπευθύνου επεξεργασίας και δεν έχουν σχέση με την υπόθεση, επομένως δεν μπορεί να αποδοθεί σε αυτήν η σχετική ευθύνη για το ζήτημα της διαρροής του επίμαχου αρχείου ούτε για την αζήτητη επικοινωνία μέσω e-mail.
Ο ..., τόσο προφορικά κατά την ακρόαση όσο και με το υπόμνημά του επανέλαβε ότι όλες οι ενέργειές του στο πλαίσιο της υπόθεσης ήταν ενδοκομματικές, μόνο με στελέχη του κόμματος, προς εξυπηρέτηση στόχων του κόμματος και στηρίζονταν σε δομημένες και ιεραρχικές σχέσεις. Τονίζει ότι αυτό που ζήτησε και έλαβε ήταν οι εκλογικοί κατάλογοι και όχι κάποια λίστα αποδήμων ή λίστα με e-mail, και ότι η ... είχε αποφασιστεί από το κόμμα να συνδράμει με την κομματική της ιδιότητα και ως κομματικό όργανο στην προώθηση της επιστολικής ψήφου. Όσον αφορά τον ισχυρισμό της ... σε σχέση με τα αρχεία που έλαβε ο …, ο ... προσκόμισε επιπλέον αποδεικτικά στοιχεία σχετικά με τις λεπτομερείς στατιστικές αναλύσεις στις οποίες, όπως αναφέρει, προβαίνει το κόμμα μετά από κάθε εκλογική αναμέτρηση, με βάση την πόλη, το φύλο και την ηλικία των εκλογέων. Σχετικά προσκόμισε απεικόνιση οθόνης (...) στην οποία φαίνεται πίνακας από αρχείο excel με τίτλο “Diaspora – Election Results June 2023 – Detailed”, ο οποίος περιλαμβάνει τις στήλες “City”, “...” (σημ.: ποσοστό), “Women %”, “Median Age”. Περαιτέρω, προς απόδειξη του ότι, αντίθετα με τον ισχυρισμό της ..., είναι ευρέως διαδεδομένη πρακτική η διακίνηση αρχείων με προσωπικά δεδομένα μέσω προσωπικών διευθύνσεων e-mail και μέσω ... των στελεχών του κόμματος, επικαλείται το σχετ. 2 του από 26/7/2024 υπομνήματος της ... όπου ζητείται η αποστολή προσωπικών δεδομένων σε προσωπική διεύθυνση (...@gmail.com) και προσκομίζει σχετικές συνομιλίες του με τον πληρεξούσιο δικηγόρο του κόμματος μέσω ... που περιλαμβάνουν την αποστολή (στις 20/11/2021) αρχείου excel με τίτλο “ΠΕ Απόδημοι.xlsx” με προσωπικά δεδομένα και στοιχεία επικοινωνίας μελών οργανώσεων απόδημου ελληνισμού. Επιπλέον ανέφερε ότι τα αρχεία που διέθεταν οι εργαζόμενοι της Γραμματείας Αποδήμων (diaspora@...), και τα οποία είχαν λάβει κατόπιν αιτήματος της Γραμματείας προς εξυπηρέτηση της ορθής λειτουργίας της, δεν ταυτίζονται με τα αρχεία που τηρούσε ο ίδιος, ούτε με τη διεύθυνση που του είχε παραχωρήσει το κόμμα (...). Όπως δε υποστήριξε, οι κεντρικές υπηρεσίες του κόμματος γνώριζαν ότι διέθετε πρόσβαση σε συγκεκριμένα αρχεία με στοιχεία επικοινωνίας μελών και στελεχών, τα οποία κατά την ανάληψη των καθηκόντων του … του ζητήθηκε να του τα αποστείλει μέσω ... και μέσω ..., μετά την έναρξη της έρευνας της Αρχής, και στη συνέχεια να τα καταστρέψει. Προς απόδειξη, προσκόμισε συνομιλίες του με τον Γ (…) μέσω ... στις 21 και 22/4/2024 στις οποίες ο τελευταίος φαίνεται να τον ευχαριστεί για την αποστολή αρχείων excel, να του ζητά να του στείλει και άλλα και να του ζητά διευκρινίσεις για το άνοιγμα των αρχείων που έχει στείλει μέσω ... . Επομένως, ο ... υποστήριξε ότι οι κεντρικές υπηρεσίες και εν γένει το κόμμα αφενός συστηματικά χρησιμοποιούσαν για μεταφορά αρχείων με προσωπικά δεδομένα μεταξύ των στελεχών την εφαρμογή ... και αφετέρου γνώριζαν ότι οι Γραμματείς διαθέτουν οι ίδιοι πρόσβαση για λογαριασμό του κόμματος σε συγκεκριμένα αρχεία. Επισήμανε δε ότι και ο Διευθυντής Πληροφορικής της ... για την επικαιροποίηση, από την Γραμματεία Αποδήμων, των στοιχείων επικοινωνίας στελεχών, κοινοποίησε το προσκομιζόμενο από 19/11/2023 μήνυμα ηλεκτρονικού ταχυδρομείου μόνο στο προσωπικό email του (…@gmail.com) και όχι στο ... . Όσον αφορά τα σεμινάρια επιμόρφωσης που διεξήχθησαν από τον Υπεύθυνο Προστασίας Δεδομένων (ΥΠΔ) της ..., ο ... αρνήθηκε ότι τα έχει παρακολουθήσει. Αναφορικά με τη λήψη των εκλογικών καταλόγων από τον ..., τονίζει ότι και στο παρελθόν του είχε αποστείλει τον κατάλογο της Λιθουανίας, χωρίς ο ίδιος να γνωρίζει από πού διέθετε αυτούς τους καταλόγους για λογαριασμό του κόμματος. Επιπλέον, υποστηρίζει ότι καμία Γραμματεία δεν έχει ακολουθήσει ποτέ την «προβλεπόμενη διαδικασία» για τη χορήγηση εκλογικών καταλόγων. Τέλος, ζήτησε την απαλλαγή του με το σκεπτικό ότι δεν αποτελεί αυτοτελώς υπεύθυνο επεξεργασίας αλλά κομματικό όργανο βάσει Καταστατικού, το οποίο ήταν εξουσιοδοτημένο να επεξεργάζεται τα δεδομένα που περιέχονται στους εκλογικούς καταλόγους, τους οποίους εξάλλου de facto διαχειριζόταν το κομματικό στέλεχος που του τους έστειλε (ο ...), ελλείψει μάλιστα σαφώς κατανεμημένων αρμοδιοτήτων εκ του καταστατικού ή άλλου εγγράφου.
Σημειώνεται ότι από κανένα μέρος δεν προσκομίστηκε η αναφερόμενη στο διατακτικό της απόφασης 22/2024 σύμβαση εμπιστευτικότητας. Η ... υποστήριξε ότι τέτοια σύμβαση δεν υπάρχει, ενώ ο ... υποστήριξε ότι υπέγραψε τέτοια σύμβαση το 2018 στα γραφεία του κόμματος, χωρίς όμως να κρατήσει αντίγραφο.
Η Αρχή, μετά από εξέταση όλων των στοιχείων του φακέλου και αφού άκουσε τους εισηγητές και τις βοηθούς εισηγήτριες, μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1. Από τις διατάξεις των άρθρων 51 και 55 ΓΚΠΔ και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ), του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ. 1 στοιχ. α’, στ΄ και η’ του ΓΚΠΔ και 13 παρ. 1 στοιχ. ζ΄ και η’ του νόμου 4624/2019 προκύπτει ότι η Αρχή έχει αρμοδιότητα να επιληφθεί των καταγγελιών που έχουν υποβληθεί στην Αρχή για παράνομη επεξεργασία προσωπικών δεδομένων, να ελέγξει αυτεπαγγέλτως τη διακίνηση του αρχείου που διέρρευσε παράνομα από το Υπουργείο Εσωτερικών σύμφωνα με την απόφαση 16/2024 της Αρχής, και να ασκήσει, αντίστοιχα, τις εξουσίες που της απονέμονται από τις διατάξεις των άρθρων 58 του ΓΚΠΔ και 15 του νόμου 4624/2019.
2. Ως «επεξεργασία» προσωπικών δεδομένων σύμφωνα με το άρθρο 4 αρ. 2) ΓΚΠΔ νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή.
3. Ως «υπεύθυνος επεξεργασίας» (άρθρο 4 αρ. 7 ΓΚΠΔ) ορίζεται το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ως «εκτελών την επεξεργασία» (άρθρο 4 αρ. 8 ΓΚΠΔ) το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου της επεξεργασίας, ενώ ως «τρίτος» (άρθρο 4 αρ. 10) ΓΚΠΔ) νοείται οποιοδήποτε φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία ή φορέας, με εξαίρεση το υποκείμενο των δεδομένων, τον υπεύθυνο επεξεργασίας, τον εκτελούντα την επεξεργασία και τα πρόσωπα τα οποία, υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα. Περαιτέρω, σύμφωνα με το άρθρο 29 ΓΚΠΔ «Ο εκτελών την επεξεργασία και κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα εν λόγω δεδομένα μόνον κατ' εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους». Κατά συνέπεια, σε περίπτωση επεξεργασίας προσωπικών δεδομένων από φυσικό πρόσωπο για λογαριασμό του υπευθύνου επεξεργασίας, δηλαδή κατά την άσκηση των καθηκόντων του στο πλαίσιο των δραστηριοτήτων και των επιδιωκόμενων σκοπών του υπεύθυνου επεξεργασίας, οι ενέργειες του φυσικού προσώπου αποδίδονται στο νομικό πρόσωπο. Όπως επισημαίνεται στις Κατευθυντήριες Γραμμές 07/2020 του ΕΣΠΔ σχετικά με τις έννοιες του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στον ΓΚΠΔ - Έκδοση 2.0 (7 Ιουλίου 2021) «στην πράξη αυτός που ενεργεί ως υπεύθυνος επεξεργασίας με την έννοια του ΓΚΠΔ είναι ο οργανισμός ως αυτοτελής νομική οντότητα και όχι κάποιο φυσικό πρόσωπο εντός του οργανισμού του υπευθύνου επεξεργασίας (όπως π.χ. ο Γενικός Διευθυντής, ένας υπάλληλος ή ένα μέλος της Διοίκησης)» (§ 17). «Καταρχήν, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που εκτελείται από υπαλλήλους στο πεδίο των δραστηριοτήτων ενός οργανισμού μπορεί να θεωρηθεί ότι εκτελείται υπό τον έλεγχο του εν λόγω οργανισμού (αφού οι υπάλληλοι που έχουν πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στο πλαίσιο ενός οργανισμού δεν θεωρούνται εν γένει «υπεύθυνοι επεξεργασίας» ή «εκτελούντες την επεξεργασία», αλλά «πρόσωπα που ενεργούν υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία» κατά την έννοια του άρθρου 29 του ΓΚΠΔ). Σε εξαιρετικές περιστάσεις, ωστόσο, ενδέχεται κάποιος υπάλληλος να αποφασίσει τη χρήση δεδομένων προσωπικού χαρακτήρα για ίδιους σκοπούς και, ως εκ τούτου, να υπερβεί παρανόμως τις εκχωρηθείσες στο πρόσωπό του αρμοδιότητες. (π.χ. για να ιδρύσει δική του εταιρεία ή για παρόμοιο σκοπό). Κατά συνέπεια, ως υπεύθυνος επεξεργασίας ο οργανισμός έχει καθήκον να εξασφαλίσει ότι εφαρμόζονται κατάλληλα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένης της κατάρτισης και της ενημέρωσης των υπαλλήλων, τα οποία θα διασφαλίζουν τη συμμόρφωση προς τον ΓΚΠΔ.» (§19). Άλλωστε, «εάν ο υπεύθυνος επεξεργασίας εκτελεί πράξεις επεξεργασίας χρησιμοποιώντας δικούς του πόρους, για παράδειγμα μέσω του προσωπικού του, δεν καθίσταται εκτελών την επεξεργασία. Οι υπάλληλοι και τα άλλα πρόσωπα που ενεργούν υπό την άμεση εποπτεία του υπευθύνου επεξεργασίας, όπως το προσωρινά απασχολούμενο προσωπικό, δεν πρέπει να θεωρούνται εκτελούντες την επεξεργασία, καθώς επεξεργάζονται προσωπικά δεδομένα ως τμήματα της οντότητας του υπεύθυνου επεξεργασίας. Σύμφωνα με το άρθρο 29, δεσμεύονται επίσης από τις οδηγίες του υπεύθυνου επεξεργασίας» (§ 76). Στο ίδιο κείμενο Κατευθυντηρίων Οδηγιών του ΕΣΠΔ διευκρινίζονται επίσης τα εξής: «Στην πράξη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα στην οποία συμμετέχουν περισσότεροι παράγοντες μπορεί να κατατμηθεί σε περισσότερες μικρότερες δραστηριότητες επεξεργασίας για τις οποίες θα μπορούσε να θεωρηθεί ότι κάθε παράγοντας καθορίζει τον σκοπό και τον τρόπο επεξεργασίας αυτοτελώς. Εξάλλου, μια αλληλουχία ή μια σειρά πράξεων επεξεργασίας στην οποία συμμετέχουν περισσότεροι παράγοντες μπορεί επίσης να πραγματοποιηθεί για τον ίδιο σκοπό/τους ίδιους σκοπούς, οπότε είναι πιθανό η επεξεργασία να περιλαμβάνει έναν ή περισσότερους από κοινού υπευθύνους επεξεργασίας. Με άλλα λόγια, στο «μικροεπίπεδο» είναι πιθανό οι διάφορες επιμέρους πράξεις επεξεργασίας να εμφανιστούν ως αποσυνδεδεμένες η μια από την άλλη, δίδοντας την εντύπωση ότι κάθε επιμέρους πράξη ενδέχεται να εξυπηρετεί διαφορετικό σκοπό. Ωστόσο, επιβάλλεται να ελεγχθεί ενδελεχώς εάν στο «μακροεπίπεδο» οι εν λόγω πράξεις επεξεργασίας δεν θα πρέπει να θεωρηθούν ως «σειρά πράξεων» για την επιδίωξη κοινού σκοπού με τη χρήση από κοινού καθορισμένων μέσων. (§43). Όποιος αποφασίζει να υποβάλει σε επεξεργασία δεδομένα πρέπει να εξετάζει εάν η εν λόγω επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα και, εάν αυτό συμβαίνει, ποιες υποχρεώσεις υπέχει σύμφωνα με τον ΓΚΠΔ. Ένας παράγοντας θεωρείται «υπεύθυνος επεξεργασίας» ακόμη και αν δεν στοχεύει εκουσίως στα δεδομένα προσωπικού χαρακτήρα αυτά καθεαυτά ή έχει εσφαλμένα εκτιμήσει ότι δεν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα» (§44). Όπως, άλλωστε, έχει κριθεί από το ΔΕΕ, κάθε φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει για τους δικούς του σκοπούς την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των στόχων και του τρόπου της επεξεργασίας μπορεί να θεωρηθεί ως υπεύθυνος επεξεργασίας. Η ύπαρξη νομικής προσωπικότητας δεν αποτελεί προϋπόθεση για να χαρακτηριστεί ένας φορέας υπεύθυνος επεξεργασίας.Ο νομοθέτης της Ένωσης δεν προέβη, για τη στοιχειοθέτηση της ευθύνης βάσει του ΓΚΠΔ, σε διάκριση μεταξύ φυσικών και νομικών προσώπων, καθόσον η ευθύνη αυτή εξαρτάται μόνον από την προϋπόθεση τα εν λόγω πρόσωπα, μόνα ή από κοινού με άλλα, να καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επομένως, κάθε πρόσωπο που πληροί την προϋπόθεση αυτή, –ανεξαρτήτως του αν πρόκειται για φυσικό ή νομικό πρόσωπο, για δημόσια αρχή, υπηρεσία ή άλλον φορέα, με ή χωρίς νομική προσωπικότητα– ευθύνεται, μεταξύ άλλων, για κάθε παράβαση για την οποία γίνεται λόγος στο άρθρο 83 παρ. 4 και 6, η οποία διαπράττεται από το ίδιο ή για λογαριασμό του. Εξάλλου, για την απαλλαγή του υπεύθυνου επεξεργασίας νομικού προσώπου από την ευθύνη αποζημίωσης κατ’ άρθρο 82 ΓΚΠΔ, δεν αρκεί ο ισχυρισμός ότι η επίμαχη ζημία προκλήθηκε από σφάλμα προσώπου που ενεργεί υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του ΓΚΠΔ. Ειδικότερα, το άρθρο 32 παρ. 4 ΓΚΠΔ, σχετικά με την ασφάλεια της επεξεργασίας, προβλέπει ότι ο υπεύθυνος επεξεργασίας λαμβάνει μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του και έχει πρόσβαση σε τέτοια δεδομένα τα επεξεργάζεται μόνον κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή κράτους μέλους. Δεδομένου ότι οι υπάλληλοι του υπευθύνου επεξεργασίας νομικού προσώπου ενεργούν υπό την εποπτεία του, εναπόκειται στον εν λόγω υπεύθυνο να διασφαλίζει ότι οι οδηγίες του εφαρμόζονται σωστά από αυτούς και ως εκ τούτου, το νομικό πρόσωπο δεν μπορεί να απαλλαγεί από την ευθύνη του, προβάλλοντας απλώς αμέλεια ή παράλειψη υπαλλήλου του.Η Αρχή έχει δεχθεί ότι ένα φυσικό πρόσωπο – υπάλληλος του υπευθύνου επεξεργασίας – μπορεί να θεωρηθεί υπεύθυνος επεξεργασίας, αν χρησιμοποιεί δεδομένα για δικούς του στόχους εκτός του πεδίου και του δυνητικού ελέγχου των δραστηριοτήτων του νομικού προσώπου.
4. Τα πολιτικά κόμματα αποτελούν ενώσεις προσώπων, οι οποίες, σύμφωνα με την παρ. 6 του άρθρου 29 ν. 3023/2002 αποκτούν με την ίδρυσή τους νομική προσωπικότητα για την εκπλήρωση της συνταγματικής αποστολής τους.
5. Με το άρθρο 5 παρ. 1 του ΓΚΠΔ τίθενται οι αρχές που πρέπει να διέπουν μια επεξεργασία. Σύμφωνα με την παρ. 1 α), β) και στ) του άρθρου αυτού, «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς· η περαιτέρω επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς δεν θεωρείται ασύμβατη με τους αρχικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 («περιορισμός του σκοπού»), […]
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)». Σύμφωνα με την Αιτιολογική Σκέψη 39 του ΓΚΠΔ «Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. […] Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υφίστανται επεξεργασία κατά τρόπο που να διασφαλίζει την ενδεδειγμένη προστασία και εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και για να αποτρέπεται κάθε ανεξουσιοδότητη πρόσβαση σε αυτά τα δεδομένα προσωπικού χαρακτήρα (…)». Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που ορίζεται ρητώς στην δεύτερη παράγραφο του ιδίου άρθρου και συνιστά ακρογωνιαίο λίθο του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας «φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθ. 5 παρ. 1.
6. Μια επεξεργασία είναι σύννομη (αρχή της νομιμότητας) μόνον εάν και εφόσον στηρίζεται σε μία από τις αναφερόμενες στο άρθρο 6 παρ. 1 ΓΚΠΔ νομικές βάσεις. Αναφορικά, ιδίως, με τη νομική βάση του υπέρτερου έννομου συμφέροντος (άρθρο 6 παρ. 1. στ) ΓΚΠΔ), στην Αιτιολογική Σκέψη 47 του Κανονισμού επισημαίνονται τα εξής: «Τα έννομα συμφέροντα του υπευθύνου επεξεργασίας, περιλαμβανομένων εκείνων ενός υπευθύνου επεξεργασίας στον οποίο μπορούν να κοινολογηθούν τα δεδομένα προσωπικού χαρακτήρα ή τρίτων, μπορεί να παρέχουν τη νομική βάση για την επεξεργασία, υπό τον όρο ότι δεν υπερισχύουν των συμφερόντων ή των θεμελιωδών δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες των υποκειμένων των δεδομένων βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. Τέτοιο έννομο συμφέρον θα μπορούσε λόγου χάρη να υπάρχει όταν υφίσταται σχετική και κατάλληλη σχέση μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, όπως αν το υποκείμενο των δεδομένων είναι πελάτης του υπευθύνου επεξεργασίας ή βρίσκεται στην υπηρεσία του. Εν πάση περιπτώσει η ύπαρξη έννομου συμφέροντος θα χρειαζόταν προσεκτική αξιολόγηση, μεταξύ άλλων ως προς το κατά πόσον το υποκείμενο των δεδομένων, κατά τη χρονική στιγμή και στο πλαίσιο της συλλογής των δεδομένων προσωπικού χαρακτήρα, μπορεί εύλογα να αναμένει ότι για τον σκοπό αυτό μπορεί να πραγματοποιηθεί επεξεργασία. Ειδικότερα, τα συμφέροντα και τα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων θα μπορούσαν να υπερισχύουν των συμφερόντων του υπευθύνου επεξεργασίας, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία σε περιπτώσεις κατά τις οποίες το υποκείμενο των δεδομένων δεν αναμένει ευλόγως περαιτέρω επεξεργασία των δεδομένων του». Εξάλλου, με την παρ. 4 του άρθρου 6 ΓΚΠΔ, ορίζεται ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς της αρχικής συλλογής, λαμβάνοντας υπόψη τα κριτήρια που αναφέρονται στη διάταξη αυτή και ιδίως, το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα και τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους. Παράλληλα, από την Αιτιολογική Σκέψη 50 του ΓΚΠΔ καθίσταται σαφές ότι η πλήρωση όλων των απαιτήσεων νομιμότητας της αρχικής επεξεργασίας είναι αναγκαία προϋπόθεση που πρέπει να ελέγχεται από τον υπεύθυνο επεξεργασίας πριν εξεταστεί η συμβατότητα του περαιτέρω σκοπού επεξεργασίας με τον αρχικό.
7. Σύμφωνα με τις διατάξεις των παρ. 1 και 2 του άρθρου 32 ΓΚΠΔ για την ασφάλεια της επεξεργασίας, «1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, […] 2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ' άλλο τρόπο σε επεξεργασία». Επίσης, σύμφωνα με το άρθρο 25, παρ. 1 «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.» Περαιτέρω η διάταξη του άρθρου 24 παρ. 1 ΓΚΠΔ ορίζει τα εξής: «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο».
8. Περαιτέρω, το άρθρο 23 του ΠΔ 26/2012 «(ΦΕΚ Α' 57/15.03.2012), όπως αντικαταστάθηκε με το άρθρο 53 του Ν. 4648/2019 ΦΕΚ A' 205/16.12.2019), προβλέπει τα εξής: « 1. Μία (1) πλήρη σειρά των εκλογικών καταλόγων σε ψηφιακά μέσα χωρίς καταβολή αντιτίμου, καθώς και μία (1) σειρά αντιτύπων δημοσιευμάτων του Υπουργείου Εσωτερικών εκλογικού περιεχομένου δικαιούνται τα κόμματα που εκπροσωπούνται στη Βουλή ή το Ευρωπαϊκό Κοινοβούλιο. Επίσης τα παραπάνω είδη δικαιούνται κατά την προεκλογική περίοδο και τα αναγνωρισμένα κόμματα, σύμφωνα με τον Κανονισμό της Βουλής, καθώς και αυτά που καταρτίζουν συνδυασμούς στα 2/3 των εκλογικών περιφερειών του Κράτους, βασικών και ετεροδημοτών. 2. Αντίτυπα εκλογικών καταλόγων μπορούν να διατίθενται κατά την προεκλογική περίοδο με την καταβολή αντιτίμου υπέρ του Δημοσίου, που ορίζεται από τον Υπουργό Εσωτερικών σε βουλευτές, ευρωβουλευτές, υποψηφίους βουλευτές ή υποψηφίους στις περιφερειακές και δημοτικές και κοινοτικές εκλογές, και μόνο για τις εκλογικές περιφέρειες, τις περιφέρειες ή τους δήμους όπου έχουν εκλεγεί, όπως προκύπτει βάσει των σχετικών αποφάσεων ανακήρυξής τους ή θα είναι υποψήφιοι σύμφωνα με έγγραφη δήλωσή τους. 3. Οι δικαιούχοι οφείλουν να καταστρέψουν τα ηλεκτρονικά μέσα, τα οποία περιέχουν τους εκλογικούς καταλόγους εντός τριμήνου από την ολοκλήρωση της διενέργειας των εκλογικών αναμετρήσεων σύμφωνα με έγγραφη δήλωσή τους. 4. Οι όροι και οι προϋποθέσεις διάθεσης εκλογικών καταλόγων και άλλων δημοσιευμάτων σε άλλα πρόσωπα και φορείς καθορίζονται με απόφαση του Υπουργού Εσωτερικών. 5…». Όσον αφορά ειδικά τους εκλογείς εξωτερικού, σύμφωνα με το άρθρο 3 του προαναφερόμενου Ν. 4648/2019, οι ειδικοί εκλογικοί κατάλογοι εξωτερικού καταρτίζονται και τηρούνται από τη Διεύθυνση Εκλογών του Υπουργείου Εσωτερικών και περιέχουν τα εξής: «(…) α) τον αύξοντα αριθμό, β) τον Ειδικό Εκλογικό Αριθμό, γ) το επώνυμο, δ) το όνομα, ε) το όνομα του πατέρα, στ) το όνομα της μητέρας, ζ) το όνομα συζύγου και το επώνυμο πατέρα (εφόσον πρόκειται για έγγαμη γυναίκα που φέρει το επώνυμο του συζύγου), η) την ημερομηνία και τον χρόνο γέννησης, θ)τον βασικό εκλογικό κατάλογο (βασική εκλογική περιφέρεια) όπου είναι εγγεγραμμένος (νομός, δήμος, εκλογικό διαμέρισμα), ι) την πλήρη διεύθυνση διαμονής, ια) τη διεύθυνση ηλεκτρονικού ταχυδρομείου, ιβ) τα τηλέφωνα επικοινωνίας». Σύμφωνα με την παρ. 2 του ιδίου άρθρου « Οι διατάξεις του άρθρου 23 του π.δ. 26/2012 εφαρμόζονται αναλόγως και για τους ειδικούς εκλογικούς καταλόγους εξωτερικού, με την επιφύλαξη των στοιχείων ια) και ιβ) της ανωτέρου παραγράφου». Από τις ανωτέρω διατάξεις προκύπτει σαφώς ότι τα στοιχεία ηλεκτρονικής επικοινωνίας (διεύθυνση e-mail και τηλέφωνο επικοινωνίας) εξαιρούνται από τη διάθεση των εκλογικών καταλόγων στους δικαιούχους του άρθρου 23 του Π.Δ. 26/2012.
9. Εν προκειμένω, από την εξέταση της υπόθεσης και λαμβάνοντας υπόψη το σύνολο των στοιχείων του φακέλου, προέκυψαν οι εξής διαπιστώσεις:
α) Όπως αποδείχθηκε, το αρχείο των εκλογικών καταλόγων εκλογέων εξωτερικού για τις εκλογές Ιουνίου 2023 εστάλη μέσω ... στις 23/6/2023 και ώρα 17:05 μ.μ. από τον τότε Οργανωτικό Γραμματέα Αυτοδιοίκησης και Διαχείρισης Κρίσεων της .... ... στον τότε Γραμματέα Διασποράς της ... ... . Ανάλογη διαβίβαση αρχείου προσωπικών δεδομένων υποστηρίχθηκε από τον ... ότι είχε λάβει χώρα με το ίδιο μέσο μεταξύ των ιδίων προσώπων στις 26/5/2023 όταν εστάλη αρχείο excel με τίτλο «Εκλογείς 21ης Μαΐου 2023 στη Λιθουανία.xlsx». Προς απόδειξη τούτου προσκομίσθηκε το έγγραφο .../17-07-2024. Δεν προέκυψε ωστόσο το ακριβές περιεχόμενο αυτού του αρχείου, αν δηλαδή περιείχε παρόμοιες κατηγορίες δεδομένων.
β) Κατά τον ανωτέρω χρόνο και τα δύο ανωτέρω πρόσωπα ήταν όργανα του κόμματος της ... (βλ. άρθρο 33 του Καταστατικού της, σύμφωνα με το οποίο «Οι Γραμματείες είναι Όργανα της Κεντρικής Διοίκησης του Κόμματος, με αρμοδιότητα την οργανωτική και λειτουργική ανάπτυξη, κατεύθυνση και συντονισμό των τομέων δράσης του»).
γ) Στις αρμοδιότητες της Γραμματείας Αποδήμων της ... περιλαμβάνονται η «προετοιμασία και η υποστήριξη της συμμετοχής των Εκλογέων του Εξωτερικού στις Εθνικές Εκλογές και τις Ευρωεκλογές» αλλά και «κάθε άλλο θέμα που ενδιαφέρει το Κόμμα, είναι σημαντικό για το Κόμμα, και έχει σχέση με τους Απόδημους Έλληνες, όπως και κάθε άλλο θέμα που αφορά τον Οικουμενικό Ελληνισμό, τα συμφέροντά του και τα εθνικά συμφέροντα, σύμφωνα με τις κατευθύνσεις της Κεντρικής Διοίκησης του Κόμματος», όπως αναφέρεται στον Κανονισμό Λειτουργίας Οργανώσεων Αποδήμου Ελληνισμού. Εξάλλου, όπως αναφέρεται στην ιστοσελίδα του κόμματος, «Η Γραμματεία Ελλήνων της Διασποράς, αξιοποιώντας τις βέλτιστες διεθνείς πρακτικές, επιδιώκει να χτίσει γέφυρες επικοινωνίας και συνεργασίας με τους Έλληνες του εξωτερικού, προκειμένου όσοι το επιθυμούν να επιστρέψουν στην Ελλάδα και όσοι παραμείνουν εκτός της χώρας να μπορούν να στηρίζουν την πατρίδα μας σε όλα τα επίπεδα, να συνεργάζονται μεταξύ τους αλλά και να υποστηρίζονται από τη μητρόπολη στις δικές τους προσπάθειες. Η Γραμματεία αποτελεί μετεξέλιξη της Γραμματείας Οικουμενικού Ελληνισμού» (https://...).
δ) Αντικείμενο της Γραμματείας Αυτοδιοίκησης και Διαχείρισης Κρίσεων της ... αποτελεί, σύμφωνα με την ιστοσελίδα της, «η ανάλυση και επεξεργασία των πολιτικών για τα θέματα της Αυτοδιοίκησης. Η αξιοποίηση της γνώσης των μελών για την υποστήριξη των οργάνων του κόμματος στα θέματα τοπικής και περιφερειακής αυτοδιοίκησης. Η επεξεργασία πολιτικών προτάσεων για τα θέματα της Αυτοδιοίκησης. Στο σύνολο των επαφών και συναντήσεων με τα στελέχη της τοπικής αυτοδιοίκησης καταγράφηκαν οι απόψεις τόσο στο θέμα της νέας Διοικητικής Μεταρρύθμισης όσο και στα υπόλοιπα θέματα που αφορούν την Αυτοδιοίκηση Α και Β βαθμού. Η Γραμματεία Αυτοδιοίκησης πραγματοποιεί σειρά δράσεων με σκοπό την καταγραφή και ανάδειξη των θεμάτων, που απασχολούν την αυτοδιοίκηση πανελλαδικά. Ταυτόχρονα στηρίζει τους εκπροσώπους στα συλλογικά όργανα για την ενίσχυση της διοικητικής αυτοτέλειας και της οικονομικής αυτοδυναμίας της αυτοδιοίκησης» (https://...).
ε) Από τη ... είχαν δοθεί μεν γενικές πληροφορίες για την εφαρμογή του ΓΚΠΔ και για την τήρηση εμπιστευτικότητας έναντι τρίτων, ωστόσο δεν αποδείχθηκε ότι είχαν δοθεί προς τους ανωτέρω Γραμματείς ειδικότερες οδηγίες σε σχέση με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο άσκησης των κατά τα ανωτέρω ευρέως διατυπωμένων αρμοδιοτήτων τους. Περαιτέρω, δεν αποδείχθηκε ότι στην πράξη οι Γραμματείς του κόμματος υπογράφουν κείμενο σύμβασης εμπιστευτικότητας όπως αυτό που προσκόμισε η ... σε μορφή προτύπου (σχετ. 6 του .../26-07-2024 υπομνήματός της), αφού δεν προσκομίστηκε στην Αρχή από καμία πλευρά υπογεγραμμένη αντίστοιχη σύμβαση εμπιστευτικότητας μεταξύ του κόμματος και του ... ή/και του ... .
στ) Ο τ. Γ.Γ. του ΥΠΕΣ ... αρνείται τον ισχυρισμό του ... σχετικά με την τηλεφωνική τους επικοινωνία και την αποστολή του αρχείου από συνεργάτη του γραφείου του, ο ισχυρισμός δε αυτός δεν επιβεβαιώνεται από κάποιο άλλο στοιχείο της υπόθεσης.
ζ) Ο χρόνος αποστολής των ανωτέρω αρχείων excel και συγκεκριμένα, του αρχείου με τίτλο «Εκλογείς 21ης Μαΐου 2023 στη Λιθουανία.xlsx» στις 26/5/2023 και του αρχείου με τίτλο «Απόδημοι ανά Τμήμα – Βουλ Εκλ Ιουν 2023.xlsx» στις 23/6/2023, σε συνδυασμό με τα προσκομιζόμενα στοιχεία, ανταποκρίνεται στους επικαλούμενους (από τον τ. Γραμματέα Αποδήμων της ...) σκοπούς επεξεργασίας, δηλαδή: Α) για το αρχείο της Λιθουανίας τον Μάιο ο σκοπός ήταν να επικοινωνήσουν με τους πολίτες για να απεγγραφούν από τη Λιθουανία ώστε να ψηφίσουν στην Ελλάδα και Β) για το αρχείο που απεστάλη στις 23/6/2023 ο σκοπός ήταν στατιστική επεξεργασία των αποτελεσμάτων. Εξάλλου, με το .../29-07-2024 υπόμνημά του ο ... προσκόμισε αποτύπωση οθόνης από συνομιλία μέσω ... σε ομάδα της ..., από την οποία προκύπτει ότι στις 24/6/2023 απέστειλε αρχείο με τίτλο «ΕΚΛΟΓΕΣ ΣΥΓΚΡΙΤΙΚΑ ΕΝΔΙΑΜΕΣΟ.pdf», το οποίο, σύμφωνα με όσα αναφέρει, περιλάμβανε τη στατιστική ανάλυση της συμμετοχής των εκλογέων εξωτερικού, ενώ με το .../27-09-2024 υπόμνημά του προσκόμισε απεικόνιση οθόνης (...) στην οποία φαίνεται πίνακας από αρχείο excel με τίτλο “Diaspora – Election Results June 2023 – Detailed”, ο οποίος περιλαμβάνει τις στήλες “City”, “...” (σημ.: ποσοστό), “Women %”, “Median Age” και σχετικές συνομιλίες του με τον …, Β. Ταυτόχρονα, η ... προσκόμισε με το .../26-09-2024 υπόμνημά της το περιεχόμενο του αρχείου “Diaspora – Election Results 21_5_23.xls” που απεικονίζεται, όπως αναφέρει, στις προσκομισθείσες συνομιλίες μέσω ... μεταξύ ... και Β, γεγονός που καταδεικνύει ότι πράγματι ο ... πραγματοποιούσε στο πλαίσιο των αρμοδιοτήτων του στατιστικές αναλύσεις του εκλογικού αποτελέσματος και τις έστελνε στον … .
η) Διαπιστώθηκε, εξάλλου, έλλειψη σαφών οδηγιών προς τα Όργανα ως προς τις ακριβείς αρμοδιότητές τους και τον τρόπο με τον οποίο οφείλουν να εκπληρώνουν τα καθήκοντά τους, με αποτέλεσμα να χρησιμοποιηθεί εν τοις πράγμασι το υπό κρίση παρανόμως εξαχθέν από το Υπουργείο Εσωτερικών αρχείο προσωπικών δεδομένων, για σκοπούς λεπτομερούς στατιστικής ανάλυσης του εκλογικού αποτελέσματος της ... ανά πόλη, ηλικία και φύλο. Διαπιστώθηκε επίσης ότι για μεγάλο χρονικό διάστημα τρία ανώτερα στελέχη του κόμματος (..., ..., ...) επεξεργάζονταν, σε διαφορετικά χρονικά σημεία ο καθένας, τους επίμαχους εκλογικούς καταλόγους.
θ) Η πολιτική του κόμματος σε σχέση με τη χρήση των επίσημων μέσων επικοινωνίας (email σε ...) αφορά μόνο τις επικοινωνίες με τρίτους και δεν αποκλείει τη χρήση του μέσου (εφαρμογή ...) που χρησιμοποιήθηκε εν προκειμένω μεταξύ οργάνων και στελεχών για σκοπούς του κόμματος. Εξάλλου, όπως προκύπτει από τα στοιχεία που προσκόμισε ο τ. Γραμματέας Αποδήμων, η εφαρμογή ... χρησιμοποιείται ευρέως για τις επικοινωνίες εντός του κόμματος αλλά και για την αποστολή αρχείων (βλ. .../29-07-2024 και σχετικά του .../27-09-2024 υπομνήματος). Από τα παραπάνω στοιχεία συνάγεται ότι ο συγκεκριμένος τρόπος επικοινωνίας και ανταλλαγής πληροφοριών αποτελεί συνήθη πρακτική που ακολουθείται ακόμα και για την αποστολή αρχείων που περιλαμβάνουν προσωπικά δεδομένα.
10. Με βάση τα ανωτέρω η Αρχή έκρινε ως εξής:
α. Ως προς τον ...:
Η Αρχή έκρινε κατά πλειοψηφία ότι ο ... διαβίβασε στον ... και συνεπώς επεξεργάστηκε, μη σύννομο κατάλογο εκλογέων εξωτερικού, ο οποίος περιείχε τα e-mails και τα τηλέφωνα επικοινωνίας των εκλογέων εξωτερικού. Η εν λόγω επεξεργασία, έγινε κατά παράβαση των διατάξεων που προβλέπουν τη νόμιμη διαδικασία παράδοσης εκλογικών καταλόγων στα πολιτικά κόμματα κατά την προεκλογική περίοδο, επομένως έλαβε χώρα κατά παράβαση της βασικής αρχής της νομιμότητας, (άρθρο 5 παρ. 1 α’ σε συνδυασμό με 6 παρ. 1 ΓΚΠΔ). Ο ... είναι Υπεύθυνος Επεξεργασίας, διότι η ιδιότητά του εντός της ... (Γραμματέας Αυτοδιοίκησης και Διαχείρισης Κρίσεων) δεν έχει σχέση με τους καταλόγους εκλογέων εξωτερικού που υπάγονται σε άλλη Γραμματεία του κόμματος (Αποδήμων). Εξάλλου, δεν αποδείχθηκε ότι η διαβίβαση του εν λόγω καταλόγου από τον ... στον ... έγινε κατόπιν εντολής κομματικού στελέχους. Με βάση τα ανωτέρω και λαμβανομένου ιδίως υπόψη την έλλειψη αρμοδιότητας του ... για επεξεργασία των καταλόγων εκλογέων εξωτερικού, θα πρέπει να θεωρηθεί, όσον αφορά τη συγκεκριμένη επεξεργασία διαβίβασης του εκλογικού καταλόγου στον ..., αυτοτελώς και προσωπικώς ως Υπεύθυνος Επεξεργασίας.
Κατά την γνώμη δυο (2) μελών και συγκεκριμένα των ... και ... υφίστανται αμφιβολίες σχετικά με το εάν ο ... ενήργησε αυτοτελώς ως Υπεύθυνος Επεξεργασίας για δικό του λογαριασμό ή για λογαριασμό της ..., σύμφωνα με τα αναλυτικώς διαλαμβανόμενα κατωτέρω.
β. Ως προς τη ...:
αα. Η Αρχή διαπίστωσε ομόφωνα ότι τα τεχνικά και οργανωτικά μέτρα που έχει λάβει η ... ως Υπεύθυνη Επεξεργασίας προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ (πολιτικές) δεν περιλαμβάνουν τις δραστηριότητες επεξεργασίας των Γραμματειών της. Αν και η οργάνωση του κόμματος είναι συγκεκριμένη με βάση το καταστατικό της, οι πολιτικές σε σχέση με τα δεδομένα και τις προσωπικές συσκευές (BYOD) είναι ελλιπείς και περιορίζονται στο εσωτερικό δίκτυό της. Και τούτο διότι, όπως προέκυψε από το φάκελο της υπόθεσης, σημαντικό τμήμα των δραστηριοτήτων εκτελείται από προσωπικές συσκευές στελεχών του κόμματος, για τις οποίες δεν υφίσταται καμία πρόβλεψη σε σχέση με τον έλεγχο των προσωπικών δεδομένων που ίσως τυγχάνουν επεξεργασίας σε αυτές.
Ως εκ τούτου προκύπτει παράβαση του άρθρου 25 παρ.1 του ΓΚΠΔ, γιατί από τον σχεδιασμό, η ... άφησε χωρίς ουσιαστική εποπτεία ή καθοδήγηση όργανα του κόμματος και προσωπικό, τα οποία είναι γνωστό ότι επεξεργάζονται προσωπικά δεδομένα. Αυτό είναι μια αστοχία από τον σχεδιασμό, καθώς έγινε κατ’ επιλογή του Υπευθύνου Επεξεργασίας.
Περαιτέρω, κατά τη γνώμη του Προέδρου και των μελών Σπύρου Βλαχόπουλου, Κων/νου Λαμπρινουδάκη, Αικατερίνης Ηλιάδου και Χρήστου Καλλονιάτη, η έλλειψη πολιτικής προστασίας δεδομένων αλλά και η απουσία πρακτικών κανόνων ελέγχου, διευκόλυναν την διαπιστωθείσα εν προκειμένω μη νόμιμη συλλογή, εσωτερική διακίνηση και τήρηση του επίμαχου αρχείου από τον τ. Γραμματέα Αποδήμων αλλά και στη χρήση αυτού για τον αρχικό σκοπό του αρχείου (στατιστικά κατά τις εκλογές Ιουνίου 2023). Κατά την γνώμη των ιδίων, διαπιστώθηκε επίσης ότι μετά τη γνώση του υπό έλεγχο περιστατικού από τη ..., αλλά και μετά τη διαπίστωση ότι στην εν λόγω παράνομη διακίνηση έχουν εμπλακεί δύο όργανα του κόμματος, το κόμμα δεν προχώρησε σε ενδελεχή διερεύνηση των συνθηκών υπό τις οποίες έλαβε χώρα παράνομη επεξεργασία δεδομένων από πρόσωπα που ενεργούν υπό την εποπτεία της, σύμφωνα με το άρθρο 29 ΓΚΠΔ, και δεν προέβη σε κατάλληλες ενέργειες προκειμένου να εξεταστεί η πιθανή ανάγκη λήψης περαιτέρω μέτρων ώστε να αποτραπεί ο κίνδυνος παράνομης επεξεργασίας προσωπικών δεδομένων στο μέλλον. Ο έλεγχος στον ηλεκτρονικό υπολογιστή της Γραμματείας εντός των εγκαταστάσεων της ... δεν επαρκεί, αφού ήταν γνωστό ότι τηρούνταν στοιχεία σε προσωπικές συσκευές.
ββ. Περαιτέρω, η Αρχή έκρινε κατά πλειοψηφία ότι η ... πρέπει να θεωρηθεί ως Υπεύθυνη Επεξεργασίας για την επεξεργασία του αρχείου εκλογέων εξωτερικού από τον τ. Γραμματέα Αποδήμων της ... . Η επεξεργασία αυτή έγινε στο πλαίσιο εκπλήρωσης των αρμοδιοτήτων και των καθηκόντων που του είχαν ανατεθεί και εξυπηρετούσε σκοπούς του κόμματος (δημογραφική στατιστική ανάλυση εκλογικού αποτελέσματος Ιουνίου 2023 προς εξαγωγή πολιτικών συμπερασμάτων), επομένως έγινε για λογαριασμό της ..., ως υπευθύνου επεξεργασίας. Η εν λόγω επεξεργασία, έγινε κατά παράβαση των διατάξεων που προβλέπουν τη νόμιμη διαδικασία παράδοσης εκλογικών καταλόγων στα πολιτικά κόμματα κατά την προεκλογική περίοδο, επομένως έλαβε χώρα κατά παράβαση της βασικής αρχής της νομιμότητας, (άρθρο 5 παρ. 1 α’ σε συνδυασμό με 6 παρ. 1 ΓΚΠΔ).
Κατά την γνώμη δυο (2) μελών και συγκεκριμένα των Γρηγορίου Τσόλια και Νικολάου Λίβου υφίστανται αμφιβολίες σχετικά με το εάν η ... απέκτησε την ιδιότητα της Υπευθύνου Επεξεργασίας σχετικά με την από μέρους του ... κατοχή και επεξεργασία του επίμαχου παράνομου αρχείου για στατιστικούς σκοπούς, σύμφωνα με τα αναλυτικώς διαλαμβανόμενα κατωτέρω.
γ. Ως προς τον ...:
Ο ... διατήρησε στην κατοχή του το αρχείο εκλογέων εξωτερικού για αρκετούς μήνες (Ιούνιος 2023 έως Ιανουάριο 2024) και μετά την άσκηση των αρμοδιοτήτων του που αφορούσαν τη δημογραφική και τη στατιστική ανάλυση εκλογικού αποτελέσματος προς εξαγωγή πολιτικών συμπερασμάτων. Δεν αμφισβητείται δε ότι είναι το πρόσωπο που διαβίβασε το εν λόγω αρχείο στην ..., χωρίς να προκύπτει όμως ότι τούτο έγινε κατόπιν κομματικής εντολής και χωρίς να προκύπτει συγκεκριμένη κομματική ιδιότητα της ... (πέρα από αυτή της μίας εκ των ευρωβουλευτών της ...) που να δικαιολογεί την αποστολή του αρχείου σε αυτήν. Οι αόριστοι ισχυρισμοί περί κομματικής εντολής δεν συνοδεύτηκαν από την αναφορά συγκεκριμένου ονόματος. Υπό τα δεδομένα αυτά, η Αρχή κρίνει κατά πλειοψηφία ότι ο ... έδρασε αυτοτελώς ως υπεύθυνος επεξεργασίας κατά το μέρος που αφορά την αποστολή του αρχείου εκλογέων εξωτερικού στην ... .
Κατά την γνώμη δύο (2) μελών και συγκεκριμένα των Γρηγορίου Τσόλια και Νικολάου Λίβου υφίστανται αμφιβολίες σχετικά με το εάν η από μέρους του ... διαβίβαση του επίμαχου παράνομου αρχείου στην ... έλαβε χώρα για λογαριασμό της ... ή εάν ο πρώτος ενήργησε αυτοτελώς ως υπεύθυνος επεξεργασίας για δικό του λογαριασμό, σύμφωνα με τα αναλυτικώς διαλαμβανόμενα κατωτέρω.
11. Κατά την γνώμη δύο (2) μελών και συγκεκριμένα των Γρηγορίου Τσόλια και Νικολάου Λίβου υφίστανται αμφιβολίες ως προς το ποιο από τα ελεγχόμενα φυσικά ή το νομικό πρόσωπο απέκτησαν την ιδιότητα του Υπευθύνου Επεξεργασίας ανά στάδιο επεξεργασίας του επίμαχου αρχείου ώστε να είναι δυνατή η απόδοση ευθύνης για την συμμόρφωση ή μη προς τους ισχύοντες κανόνες προστασίας δεδομένων.
11.α. Ειδικότερα, σύμφωνα με την γνώμη του μέλους Γρηγορίου Τσόλια, παρά το ότι διαπιστώθηκε ότι το επίμαχο αρχείο διακινήθηκε παράνομα, δεν αποδείχθηκε κατά αναμφισβήτητο τρόπο, εφαρμοζομένης της αρχής in dubio pro reo κατ’ άρ. 48 παρ.1 ΧΘΔΕΕκαι άρ. 6 παρ. 2 ΕΣΔΑ, ποιο από τα ελεγχόμενα φυσικά ή και νομικό πρόσωπο καθόρισαν τον σκοπό επεξεργασίας των προσωπικών δεδομένων που περιλαμβάνονταν στο επίμαχο παράνομο αρχείο. Κατ’ αποτέλεσμα, καθίσταται αδύνατος ο προσδιορισμός του Υπευθύνου Επεξεργασίας και συνακόλουθα καθίσταται αδύνατη η απόδοση ευθύνης για την συμμόρφωση ή μη προς τους διάφορους κανόνες προστασίας δεδομένων. Ο προσδιορισμός του Υπευθύνου Επεξεργασίας λαμβάνει χώρα με πραγματολογικά κριτήρια ή με τον καθορισμό του απευθείας από τη νομοθεσία. Στην πρώτη περίπτωση το συστατικό στοιχείο της έννοιας του Υπευθύνου Επεξεργασίας αναφέρεται στην επιρροή που ασκεί στην επεξεργασία με την άσκηση αρμοδιοτήτων λήψης αποφάσεων για ορισμένα κρίσιμα στοιχεία της επεξεργασίας και ιδίως συναφές κριτήριο αποτελεί ο προσδιορισμός του προσώπου που αποφάσισε ότι μια επεξεργασία θα έπρεπε να εκτελεστεί προς επίτευξη ενός συγκεκριμένου σκοπού.
Από την διαδικασία και τα στοιχεία του φακέλου προέκυψε αναμφίβολα ότι το επίμαχο αρχείο παρανόμως εξήχθη από το Υπουργείο Εσωτερικών και από άγνωστο πρόσωπο απεστάλη στον ..., από τον τελευταίο στον ... και από τον τελευταίο στην ... . Από το σύνολο των ανωτέρω προκύπτει ότι η διακίνηση του εν λόγω επίμαχου αρχείου παραβίασε τους κανόνες προστασίας των προσωπικών δεδομένων και πρέπει να αναζητηθεί και προσδιορισθεί ένας ή περισσότεροι Υπεύθυνοι Επεξεργασίας κατά τα ανωτέρω.
Η Αρχή με την υπ’ άρ. 16/2024 ομόφωνη απόφασή της έχει ήδη διαπιστώσει μια σειρά παραβιάσεων της νομοθεσίας για την προστασία των προσωπικών δεδομένων σχετικών με την διαρροή του επίμαχου αρχείου από το Υπουργείο Εσωτερικών και εν συνεχεία με την αποστολή ηλεκτρονικής επικοινωνίας προς εκλογείς του απόδημου Ελληνισμού από την ... . Αντίθετα, η Αρχή με την υπ’ άρ. 22/24 ομόφωνη απόφασή της ανέβαλε την έκδοση απόφασης επί της ουσίας της υπόθεσης προκειμένου να προσκομισθούν κρείσσονες αποδείξεις εν όψει των αντικρουόμενων ισχυρισμών των ελεγχομένων καθώς και των νέων στοιχείων που προσκόμισε ο ... . Παρά την εκ νέου διεξαγωγή της ακρόασης των ελεγχομένων και την υποβολή νέων υπομνημάτων δεν αποδείχθηκε κατά τρόπο αναμφίβολο εάν Υπεύθυνος Επεξεργασίας υπήρξε η ... ή αντιθέτως κάποιο ή κάποια από τα ελεγχόμενο φυσικά πρόσωπα αυτοτελώς.
Ειδικότερα:
Ο ..., ο οποίος αναμφίβολα κατείχε το επίμαχο παράνομο αρχείο, το οποίο διαβίβασε στον ... ισχυρίσθηκε ότι έλαβε το τελευταίο από τον ..., μέσω συνεργάτη του, προκειμένου να προωθηθεί προς τον ... .
Η βασιμότητα του ισχυρισμού αυτού παρά το ότι δεν επιβεβαιώθηκε από έτερο αποδεικτικό μέσο, πλην των λεγομένων του ..., εν τούτοις δεν μπορεί να αποκλεισθεί δοθέντος ότι το επίμαχο αρχείο διακινήθηκε εντός του Υπουργείου Εσωτερικών και τελικά διέρρευσε από άγνωστο πρόσωπο, όπως δέχθηκε ομόφωνα η Αρχή με την υπ’ άρ. 16/2024 απόφαση της. Ως εκ τούτου, δεν αποδείχθηκε αναμφίβολα ότι το επίμαχο αρχείο απεστάλη από τον ... ή κατ’ εντολή του από συνεργάτη του στον ... .
Η ... δεν δικαιούται εκ του νόμου να έχει στην κατοχή της το επίμαχο παράνομο αρχείο, στο οποίο περιλαμβάνονται επιπλέον τα τηλέφωνα επικοινωνίας και οι ηλεκτρονικές διευθύνσεις επικοινωνίας εκλογέων εξωτερικού, δοθέντος ότι το τελευταίο προορίζεται αποκλειστικά για χρήση από τις κατά τόπους Πρεσβείες και το Υπουργείο Εσωτερικών. Ούτε όμως αποδείχθηκε ότι η ... το έλαβε μέσω των κομματικών καναλιών επικοινωνίας και ότι το είχε στα συστήματα αρχειοθέτησης της. Αντιθέτως, από το υπ’ αριθμ. .../12-03-2024 έγγραφο του Υπουργείου Εσωτερικών προκύπτει ότι η ... είχε ζητήσει και είχε λάβει, όπως και τα λοιπά κόμματα, CD με αντίτυπα εκλογικών καταλόγων στις 13.6.2023, στην προβλεπόμενη νόμιμη μορφή, χωρίς δηλαδή να συμπεριλαμβάνονται στοιχεία ηλεκτρονικής επικοινωνίας των εκλογέων. Έτσι, διαπιστώθηκε από την Αρχή με την υπ’ άρ. 16/2024 ομόφωνη απόφασή της ότι τα εκλογικά αρχεία που χορηγήθηκαν από το Υπουργείο Εσωτερικών στα πολιτικά κόμματα εν όψει των βουλευτικών εκλογών του Μάιου και του Ιουνίου 2023 «δεν περιλάμβαναν τις διευθύνσεις e-mail ούτε τα τηλέφωνα επικοινωνίας των εκλογέων εξωτερικού, ενώ κανένα φυσικό πρόσωπο με την ιδιότητα του υποψηφίου δεν αιτήθηκε αντίτυπο ειδικών εκλογικών καταλόγων εξωτερικού του 2023».
Αντιθέτως, ο ... υποστηρίζει ότι η ... κατείχε το επίμαχο παράνομο αρχείο και ότι αυτός το έλαβε μέσω ... από την τελευταία η οποία αποτελεί τον Υπεύθυνο Επεξεργασίας, διά του ..., προκειμένου να προβεί σε διενέργεια στατιστικών αναλύσεων ενεργώντας για λογαριασμό της προς επίτευξη των επιδιωκομένων σκοπών της με βάση τα μέσα που η ίδια του παρείχε (επίμαχο παράνομο αρχείο).
Παρά το ότι αποδείχθηκε ότι η ... δεν κατείχεστα συστήματά της το επίμαχο παράνομο αρχείο, επειδή εξάλλου κάτι τέτοιο απαγορευόταν κατά τα προεκτεθέντα, δεν μπορεί να αποκλεισθεί το ενδεχόμενο η τελευταία να το κατείχε ανεπισήμως και παρανόμως λαμβάνοντας υπόψη ότι το κομματικό στέλεχος της ... αδιαμφισβήτητα το κατείχε και το προώθησε στον ... . Στην τελευταία όμως περίπτωση δεν διαπιστώθηκε εάν ο ... ενήργησε αυτοτελώς για λογαριασμό του ή για λογαριασμό της ... . Επιπλέον, δεν έχει αποδειχθεί από ποιο πρόσωπο παρέλαβε ο ... το επίμαχο παράνομο αρχείο προκειμένου να εξετασθεί και να διαπιστωθεί από την Αρχή εάν ο τελευταίος το απέκτησε εν τέλει για λογαριασμό της ... ή μη, ώστε συνακόλουθα να διαπιστωθεί εάν ο ... το παρέλαβε προκειμένου να προβεί σε επεξεργασία προσωπικών δεδομένων για στατιστικούς σκοπούς για λογαριασμό της ... ή για δικούς του σκοπούς. Επομένως, η ιδιότητα του ... ως κομματικού στελέχους δεν επαρκεί προκειμένου να διαπιστωθεί αναμφίβολα ότι η από μέρους του απόκτηση, κατοχή και διαβίβαση του επίμαχου παράνομου αρχείου έλαβε χώρα κατόπιν εντολής και για λογαριασμό της ... και όχι αυτοτελώς για δικό του λογαριασμό. Οι ανωτέρω αμφιβολίες επιτείνονται και από το γεγονός ότι, όπως προεκτέθηκε, η ... είχε ζητήσει και είχε λάβει στις 13.6.2023 από το Υπουργείο Εσωτερικών το νόμιμο αρχείο στο οποίο δεν περιλαμβάνονταν τα στοιχεία ηλεκτρονικής επικοινωνίας των εκλογέων εξωτερικού και το οποίο ήταν κατάλληλο και πρόσφορο για την εξαγωγή στατιστικών αποτελεσμάτων, χωρίς να υφίσταται ανάγκη επεξεργασίας του επίμαχου παράνομου αρχείου για την επίτευξη του σκοπού αυτού.
Περαιτέρω, ως προς την διαβίβαση του επίμαχου αρχείου από τον ... προς την ..., το οποίο εξάλλου ο πρώτος κατείχε επί σχεδόν εξάμηνο, υποστηρίζει ο ίδιος ότι η πράξη αυτή έλαβε χώρα κατόπιν εντολής κομματικού στελέχους, το οποίο όμως δεν κατονόμασε προκειμένου να εξετασθεί περαιτέρω από την Αρχή αφενός η αξιοπιστία και βασιμότητα του εν λόγω ισχυρισμού, αφετέρου, εάν το κομματικό αυτό στέλεχος ενεργούσε αυτοτελώς και αυτοβούλως ή κατόπιν κεντρικής κομματικής απόφασης. Επιπλέον, [η] Α, η οποία είχε απευθύνει υπεύθυνη δήλωση προς την Αρχή, κατά την ακρόαση διευκρίνισε το περιεχόμενο της, υποστηρίζοντας ότι τελικά δεν έχει προσωπική γνώση των προσωπικών στοιχείων αλλά ούτε και του γεγονότος ότι κομματικό στέλεχος «έδωσε εντολή» στον ... να διαβιβάσει το επίμαχο αρχείο στην ... .
Σε κάθε περίπτωση, ακόμη και εάν υποτεθεί ότι ένα κομματικό στέλεχος «έδωσε εντολή»στον ... να διαβιβάσει το επίμαχο αρχείο στην ... δεν προκύπτει εάν η «εντολή» αυτή υπήρξε προσωπική επιλογή του κομματικού στελέχους εν αγνοία της ... ή κεντρική επιλογή της τελευταίας την οποία υλοποίησε το στέλεχος στο πλαίσιο ανατεθειμένης καταστατικής
αρμοδιότητας.
Σημειωτέον δε, ότι η επεξεργασία προσωπικών δεδομένων για τους επικαλούμενους από τον ... στατιστικούς λόγους δεν προϋπέθετε την κατοχή του επίμαχου παράνομου αρχείου που διέρρευσε από το Υπουργείο Εσωτερικών και το οποίο περιελάμβανε τα στοιχεία τηλεφωνικής επικοινωνίας και ηλεκτρονικής αλληλογραφίας των εκλογέων. Αντιθέτως, ο ίδιος σκοπός επεξεργασίας θα μπορούσε να επιτευχθεί ομοίως με την χρήση του νόμιμου αρχείου που έλαβε η ... από το Υπουργείο Εσωτερικών στις 13.6.2023 κατά τα προεκτεθέντα.
Σε κάθε δε περίπτωση, η από μέρους ενός φυσικού προσώπου που έχει την ιδιότητα του κομματικού στελέχους, επεξεργασία προσωπικών δεδομένων, στην έννοια της οποίας εμπίπτει και η κατοχή και η διαβίβαση αρχείου, δεν δημιουργεί στο πεδίο εφαρμογής του υπ’ άρ. 679/2016 Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) αντικειμενική ευθύνη του πολιτικού κόμματος στο οποίο συμμετέχει και δεν αρκεί ώστε «εξ αντανακλάσεως» να αποκτήσει το τελευταίο την ιδιότητα του Υπευθύνου Επεξεργασίας.
Από το σύνολο των ανωτέρω δεν μπορεί αναμφίβολα να διαπιστωθεί εάν τα ελεγχόμενα φυσικά πρόσωπα που κατείχαν και επεξεργάστηκαν το επίμαχο παράνομο αρχείο, δηλαδή οι ... και ... ενήργησαν για λογαριασμό της ... κατ’ εντολή της τελευταίας ή αυτοτελώς για δικούς τους προσωπικούς λόγους καθιστώντας με τον τρόπο αυτό αδύνατο τον προσδιορισμό του Υπευθύνου Επεξεργασίας για την διαπίστωση διοικητικής παράβασης και θα πρέπει κατ’ εφαρμογή της αρχής in dubio pro reo να απαλλαγούν όλα τα ελεγχόμενα φυσικά και νομικό πρόσωπο.
11.β. Ειδικότερα, σύμφωνα με την γνώμη του μέλους Νικολάου Λίβου, κατά τον ορισμό του άρθρου 4, στοιχείο 7 ΓΚΠΔ : «7) «υπεύθυνος επεξεργασίας»: [είναι] το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».
Συγκροτητικό στοιχείο της έννοιας του υπευθύνου επεξεργασίας κατά τον ως άνω ορισμό είναι να «καθορίζει» ένα φυσικό ή νομικό πρόσωπο τον σκοπό και τον τρόπο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα.
Το ερώτημα που αναφύεται εν προκειμένω είναι με ποιον τρόπο «καθορίζεται» αυτός ο σκοπός και ο τρόπος επεξεργασίας και πώς αποδεικνύεται εκάστοτε ότι συντρέχει ο εν λόγω καθορισμός.
Τούτος μπορεί πρώτα απ’ όλα να ορίζεται ex lege από το δίκαιο της Ε.Έ. ή από το δίκαιο κράτους μέλους. Πράγματι, κατά την προπαρατεθείσα διάταξη, τούτο θα συμβαίνει όταν στο δίκαιο της Ένωσης ή στο δίκαιο κράτους μέλους καθορίζονται οι σκοποί και ο τρόπος της επεξεργασίας δεδομένων προσωπικού χαρακτήρα υπέρ ενός ή περισσοτέρων φυσικών ή νομικών προσώπων, οπότε αυτά ορίζονται διά του νόμου ως υπεύθυνοι επεξεργασίας.
Όταν οι σκοποί και ο τρόπος επεξεργασίας δεν ορίζονται ρητώς σε νομική διάταξη, είναι δυνατόν ο καθορισμός τους να λαμβάνει χώρα ατύπως ή και σιωπηρώς. Πράγματι, σύμφωνα με το πνεύμα που διέπει τον ΓΚΠΔ και την ανάγκη για την ευρύτερη δυνατή προστασία των προσωπικών δεδομένων, δεν είναι ανάγκη ο εν λόγω καθορισμός να προβλέπεται ρητά ή να ενδύεται κάποιον νομικό τύπο. Τούτο μπορεί λ.χ. να συμβαίνει όταν ο υπό συζήτηση «καθορισμός» ενεργείται αυτόνομα, συννόμως και για λογαριασμό κάποιου φυσικού ή νομικού προσώπου, το οποίο και τον αποδέχεται, τον αναμένει ή τον εντάσσει de facto στις υπηρεσίες που προσφέρει ή στην λειτουργία του.
Αν μάλιστα πρόκειται για νομικό πρόσωπο, τότε η επεξεργασία προσωπικών δεδομένων αποδίδεται σε αυτό ως υπεύθυνο επεξεργασίας, όταν το φυσικό πρόσωπο που την ενεργεί πράττει για λογαριασμό του νομικού προσώπου και εφόσον τούτο συμβαίνει κατά την άσκηση των καθηκόντων τού φυσικού προσώπου, στο πλαίσιο των δραστηριοτήτων του νομικού προσώπου και προς εκπλήρωση των επιδιωκόμενων σκοπών αυτού.
Κατά το ΔΕΕ (υπόθεση C-25/17 της 10ης Ιουλίου 2018, σκέψεις 66-68) η έννοια του υπευθύνου επεξεργασίας πρέπει να ερμηνεύεται διασταλτικά, αφού με τον τρόπο αυτό επιτυγχάνεται η αποτελεσματική και πλήρης προστασία των προσώπων στα οποία αναφέρονται τα δεδομένα. Για τον λόγο αυτό δεν πρέπει να θεωρείται «ότι ο καθορισμός των στόχων και του τρόπου επεξεργασίας πρέπει να γίνεται με γραπτές κατευθυντήριες γραμμές ή εντολές εκ μέρους του υπευθύνου της επεξεργασίας». Είναι μάλιστα δυνατόν να θεωρηθεί ως υπεύθυνος επεξεργασίας ένα φυσικό ή νομικό πρόσωπο, αν απλώς «επηρεάζει» για τους δικούς του σκοπούς την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και κατ’ αυτόν τον τρόπο «μετέχει» στον καθορισμό των στόχων και του τρόπου της επεξεργασίας.
Από τις προηγηθείσες σκέψεις προκύπτει ότι ακόμα και όταν ο καθορισμός των στόχων και του τρόπου επεξεργασίας δεν προκύπτει με σαφήνεια από τα πράγματα, είναι παρ’ όλα αυτά δυνατόν να «αποδίδεται» ή να «καταλογίζεται» σε κάποιο φυσικό ή νομικό πρόσωπο η ιδιότητα του υπευθύνου επεξεργασίας, εφόσον αυτό «μετέχει» κατά κάποιον τρόπο στον υπό συζήτηση καθορισμό. Τούτο ασφαλώς διευκολύνει την αποτελεσματική και πλήρη προστασία των προσώπων στα οποία αναφέρονται τα δεδομένα.
Δεν πρέπει ωστόσο να παραβλέπεται ότι η απόδοση της ιδιότητας του υπευθύνου επεξεργασίας επάγεται νομικές συνέπειες, οι οποίες μπορεί, υπό συγκεκριμένες περιστάσεις, να είναι επαχθείς για το φυσικό ή το νομικό πρόσωπο. Τούτο ασφαλώς δεν πρέπει να καταλήγει σε περιορισμό της υπό του ΓΚΠΔ παρεχόμενης προστασίας στα προσωπικά δεδομένα (in dubio pro libertate). Επιβάλλει όμως να μην εγείρονται εύλογες αμφιβολίες ως προς το γεγονός αυτό καθαυτό του καθορισμού και να μη προκαλείται εντεύθεν ανασφάλεια δικαίου.
Τέτοιες αμφιβολίες ανακύπτουν όταν συνάγεται από ενδείξεις ότι συντρέχει σε συγκεκριμένη περίπτωση «καθορισμός του σκοπού και του τρόπου επεξεργασίας», επειδή λ.χ. ένα φυσικό ή ένα νομικό πρόσωπο που δεν προκύπτει με σαφήνεια ότι «μετέχει» στον καθορισμό των στόχων και του τρόπου της συγκεκριμένης επεξεργασίας, απλώς ωφελείται εν τοις πράγμασιν από αυτήν.
Ακόμα περισσότερες αμφιβολίες εγείρονται όταν ο επίμαχος καθορισμός δεν ενεργείται συννόμως αλλά κατά παράβασιν τεθειμένων κανόνων δικαίου. Και αν μεν τούτο συμβαίνει στο πλαίσιο λειτουργίας ενός νομικού προσώπου από πρόσωπο που φέρει την ιδιότητα του «υπαλλήλου» του, τότε το νομικό πρόσωπο λογίζεται αντικειμενικά ως υπεύθυνος επεξεργασίας, αν ο «υπάλληλος» ενήργησε κατ’ εντολήν είτε υπό την εποπτεία του νομικού προσώπου.
Στις περιπτώσεις μάλιστα που οι μη σύννομες ενέργειες του υπαλλήλου προξένησαν υλική ή ηθική ζημία σε άλλον (άρθρο 82 ΓΚΠΔ) ένα νομικό πρόσωπο μπορεί κατά το ΔΕΕ (απόφαση ΔΕΕ C-741/21, σκέψη 52) να ευθύνεται ακόμα και όταν αποδεικνύει ότι κάποιο από τα πρόσωπα που ενεργούσαν υπό την εποπτεία του παρέβη την υποχρέωσή του να ακολουθεί τις οδηγίες που του είχαν δοθεί.
Είναι ωστόσο αμφίβολο αν αυτή η αντικειμενική αστική ευθύνη για παραβάσεις του ΓΚΠΔ μπορεί να επεκταθεί και να τύχει εφαρμογής και στο πεδίο του διοικητικού δικαίου. Πράγματι, όπως προκύπτει από το στοιχείο β΄ της παραγράφου 2 του άρθρου 83 ΓΚΠΔ, για την στοιχειοθέτηση ευθύνης για διοικητικό αδίκημα που αφορά παραβάσεις του ΓΚΠΔ απαιτείται να συντρέχει δόλος ή τουλάχιστον αμέλεια (εννοείται εδώ: του υπευθύνου επεξεργασίας).
Εάν ως εκ τούτου υπεύθυνος επεξεργασίας είναι νομικό πρόσωπο, τότε για την στοιχειοθέτηση ευθύνης για διοικητικό αδίκημα αφορών τον ΓΚΠΔ θα πρέπει να αποδεικνύεται ή τουλάχιστον πέραν πάσης ευλόγου αμφιβολίας να γίνεται δεκτό ότι τα διευθυντικά στελέχη του νομικού προσώπου με δόλο ή από αμέλεια μετέσχον στον μη σύννομο καθορισμό του τρόπου και των στόχων της συγκεκριμένης επεξεργασίας. Στην προκειμένη περίπτωση και καθ’ όσον αφορά την ευθύνη του κόμματος της ... :
α) δεν αποδείχτηκε ή δεν τεκμηριώθηκε πέραν πάσης ευλόγου αμφιβολίας ποιο διευθυντικό στέλεχος του κόμματος «καθόρισε» έστω ατύπως και σιωπηρώς τον σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων των αναφερομένων στους εκλογικούς καταλόγους Ελλήνων του εξωτερικού,
β) ακόμα και αν ήθελε κανείς δεχτεί ότι από την πράξη της ... μπορούσε να αποκτήσει εκλογικά πλεονεκτήματα το κόμμα της ..., δεν είναι θεμιτό, εξ αυτού του υποθετικού γεγονότος των εκλογικών πλεονεκτημάτων, να καταλογίσει στο κόμμα της ... ότι στην προκειμένη περίπτωση ενήργησε ως «υπεύθυνος επεξεργασίας»,
γ) τούτο δεν μπορεί ακόμα περισσότερο να γίνει δεκτό, επειδή η μέσω περισσοτέρων e-mail διακίνηση των εκλογικών καταλόγων με τα επίμαχα προσωπικά δεδομένα ήταν αναμφισβήτητα πράξη αντιβαίνουσα τον ΓΚΠΔ και δεν έλαβε χώρα «για λογαριασμό» (ΔΕΕ C-807/21, της 05.12.2023, σκέψη 44) του κόμματος της ... ,
δ) σύμφωνα και με τις Κατευθυντήριες Γραμμές 07/2020 του ΕΣΠΔ, για να αποδοθεί η ιδιότητα του υπευθύνου επεξεργασίας στο νομικό πρόσωπο, θα πρέπει τα πρόσωπα που παραβαίνουν τον ΓΚΠΔ να είναι «υπάλληλοι» αυτού, δηλαδή θα πρέπει κατά την άσκηση των καθηκόντων τους να μην ενεργούν ανεξάρτητα και αυτοτελώς, αλλά ως όργανα και στο πλαίσιο επίτευξης του σκοπού επεξεργασίας του εργοδότη τους ως υπευθύνου επεξεργασίας, ο οποίος άλλωστε αποφασίζει για τον σκοπό και τα μέσα της επεξεργασίας.
Στην υπό κρίσιν περίπτωση τα φυσικά πρόσωπα που διακίνησαν παρανόμως τους εκλογικούς καταλόγους με τα επίμαχα προσωπικά δεδομένα δεν μπορούν με οποιαδήποτε διασταλτική ερμηνεία του όρου να λογιστούν ως «υπάλληλοι» του κόμματος της ...,
ε) τέλος, δεν μπορεί κατά τρόπον μη επιδεχόμενο εύλογη αμφισβήτηση να γίνει δεκτό ότι τον σκοπό και τον τρόπο επεξεργασίας τον «καθόρισε» το κόμμα της ... και όχι λ.χ. ένα υποσύνολο στελεχών της που επεδίωκαν με την πράξη τους να ωφελήσουν πρωτίστως την ... και δευτερευόντως την ... .
Κατά τούτο και κατ’ εφαρμογήν της αρχής in dubio pro reo η οποία είναι γενική αρχή του κράτους δικαίου και λόγω της ενότητας της εννόμου τάξεως πρέπει να γίνεται δεκτή και στο διοικητικό δίκαιο όταν πρόκειται να επιβληθούν επαχθή διοικητικά μέτρα σε βάρος των διοικουμένων, έχω την γνώμη ότι λόγω των αμφιβολιών αυτών δεν πρέπει να χαρακτηριστούν τα κρινόμενα φυσικά πρόσωπα και το νομικό πρόσωπο της ... ως υπεύθυνοι επεξεργασίας στην προκειμένη περίπτωση και ότι επομένως δεν πρέπει να επιβληθούν σε αυτά οι προβλεπόμενες στο άρθρο 83 ΓΚΠΔ διοικητικές κυρώσεις για παράβαση του ΓΚΠΔ
12. Κατόπιν των ανωτέρω:
Η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά το άρθρο 58 παρ. 2 του ΓΚΠΔ διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την τιμωρία της παράνομης συμπεριφοράς. Περαιτέρω η Αρχή, έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου που ορίζονται στο άρθρο 83 παρ. 2 του ΓΚΠΔ, την παράγραφο 5 εδ. α) του ίδιου άρθρου που έχει εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03-10-2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253) και τις Κατευθυντήριες γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων στο πλαίσιο του Γενικού Κανονισμού, καθώς και τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης και τη βαρύτητα των παραβάσεων, λαμβάνοντας ιδίως υπόψη: αφενός
• ότι οι παραβάσεις αφορούν στις βασικές αρχές του ΓΚΠΔ,
• τον μεγάλο αριθμό των επηρεαζόμενων υποκειμένων (25.610) τα οποία κατ’ ελάχιστο έθιξε η παράβαση, τα οποία μάλιστα είναι το σύνολο των εγγεγραμμένων ψηφοφόρων εξωτερικού,
• ότι οι εφαρμοζόμενες ελλιπείς πολιτικές και μέτρα δημιουργούν κινδύνους και για άλλες δραστηριότητες του υπεύθυνου επεξεργασίας,
και αφετέρου:
• ότι οι κατηγορίες των προσωπικών δεδομένων, τα οποία αφορά η επεξεργασία, δεν αποτελούν δεδομένα που ενέχουν υψηλό κίνδυνο (άρθρα 9-10 ΓΚΠΔ, επικοινωνίες, θέση, οικονομικά κ.α.), ενώ από αυτά δεν μπορεί να προκληθεί άμεση ζημία ή δυσχέρεια και
• ότι από την επεξεργασία δεν προκύπτουν άμεσα σοβαρές συνέπειες για τα υποκείμενα των δεδομένων,
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
Α. Επιβάλλει στον ..., κατά πλειοψηφία, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ πρόστιμο δέκα χιλιάδων (10.000) ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και άρθρο 6 παρ. 1 του ΓΚΠΔ, όπως αναλύεται στο σκεπτικό της παρούσης.
Β. Επιβάλλει στη ..., ομοφώνως, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ, χρηματικό πρόστιμο ύψους τριάντα χιλιάδων (30.000) ευρώ για τις παραβιάσεις των άρθρων 25 παρ. 1 και 32 του ΓΚΠΔ, όπως αναλύονται στο σκεπτικό της παρούσης. Δίνει επίσης εντολή, κατ’ άρθρο 58 παρ. 2 εδ. ζ’ του ΓΚΠΔ στην ..., ως υπεύθυνο επεξεργασίας, να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού που έχει στην κατοχή της μέσω των περιγραφόμενων στο σκεπτικό παράνομων επεξεργασιών και να θεραπεύσει τις ελλείψεις στις διαδικασίες για την προστασία προσωπικών δεδομένων, όπως περιγράφονται στο σκεπτικό και να διασφαλίσει την τήρησή τους από τα κομματικά της στελέχη.
Γ. Επιβάλλει στη ..., κατά πλειοψηφία, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ πρόστιμο δέκα χιλιάδων (10.000) ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και 6 παρ. 1 του ΓΚΠΔ, όπως αναλύεται στο σκεπτικό της παρούσης.
Δ. Επιβάλλει στον ..., κατά πλειοψηφία, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ πρόστιμο δέκα χιλιάδων (10.000) ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και άρθρο 6 παρ. 1 ΓΚΠΔ, όπως αναλύεται στο σκεπτικό της παρούσης.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου