ΥΠΟΣΤΗΡΙΞΕ
ΑΝΑΦΟΡΕΣ
Θοδωρής Χονδρόγιαννος 27 • 05 • 2024

ΑΠΔ: Παραβίαση προσωπικών δεδομένων από την ευρωβουλεύτρια Ασημακοπούλου και το ΥΠΕΣ

Θοδωρής Χονδρόγιαννος
ΑΠΔ: Παραβίαση προσωπικών δεδομένων από την ευρωβουλεύτρια Ασημακοπούλου και το ΥΠΕΣ
27 • 05 • 2024

Στις 27 Μαΐου 2024, η Αρχή Προστασίας Δεδομένων (ΑΠΔ) επέβαλε πρόστιμο σε βάρος της ευρωβουλεύτριας Άννας Μισέλ Ασημακοπούλου (40.000 ευρώ) και του υπουργείου Εσωτερικών (400.000 ευρώ) για παραβίαση του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) κατά την επεξεργασία προσωπικών δεδομένων απόδημων εκλογέων. Η ΑΠΔ ζήτησε τη διαγραφή των σχετικών δεδομένων από την ευρωβουλεύτρια και τη λήψη μέτρων εκ μέρους του υπουργείου, προς αποφυγήν ανάλογων παραβιάσεων στο μέλλον.

Στις 27 Μαΐου 2024, η Αρχή Προστασίας Δεδομένων (ΑΠΔ) εξέδωσε πολυσέλιδη απόφαση με την οποία διαπίστωσε ότι η ευρωβουλεύτρια της ΝΔ Άννα Μισέλ Ασημακοπούλου και το υπουργείο Εσωτερικών παραβίασαν σειρά διατάξεων του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ) κατά την επεξεργασία προσωπικών δεδομένων απόδημων εκλογέων.

Η ΑΠΔ επέβαλε πρόστιμο σε βάρος τόσο της κ. Ασημακοπούλου (40.000 ευρώ) όσο και του υπουργείου Εσωτερικών (400.000 ευρώ), δίνοντας παράλληλα εντολή για τη διαγραφή των σχετικών δεδομένων από την ευρωβουλεύτρια και την υιοθέτηση προστατευτικών μέτρων από το υπουργείο, προς αποφυγήν ανάλογων παραβιάσεων στο μέλλον.

Ας δούμε αναλυτικά τις παραβιάσεις που διαπίστωσε η ΑΠΔ εκ μέρους της ευρωβουλεύτριας Ασημακοπούλου και του υπουργείου Εσωτερικών. 

Όσον αφορά την κ. Ασημακοπούλου, η ευρωβουλεύτρια ελέγχθηκε από την ανεξάρτητη Αρχή για τη νομιμότητα σειράς πράξεών της κατά την επεξεργασία των προσωπικών δεδομένων των αποδήμων: τη συλλογή των προσωπικών δεδομένων τους, τη συμπερίληψή τους στην πλατφόρμα αποστολής μέιλ MailChimp και, τελικά, την αποστολή μέιλ με τίτλο «100 ημέρες πριν από τις Ευρωεκλογές», την 1η Μαρτίου 2024. 

Από τις έρευνες της ΑΠΔ προέκυψε ότι στις 8 Ιουνίου 2023 εξήχθη από τη βάση του υπουργείου Εσωτερικών αρχείο excel που έφερε τίτλο «Απόδημοι ανά Τμήμα για Κληρώσεις Εφορευττικών – Βουλ Εκλ Ιουν 2023.xlsx» και περιελάμβανε στοιχεία επικοινωνίας των απόδημων εκλογέων (επισημαίνουμε ότι το ορθογραφικό λάθος στον τίτλο του αρχείου οφείλεται στο πρωτότυπο). 

Η εξαγωγή του αρχείου από τη βάση του υπουργείου Εσωτερικών, καθώς και η συμπερίληψη των ηλεκτρονικών διευθύνσεων των αποδήμων σε αυτό, αφορούσε καταρχάς νόμιμο σκοπό: αφενός τη δυνατότητα ενημέρωσης των εκλογέων από τις κατά τόπους ελληνικές πρεσβείες σε περίπτωση κλήρωσής τους ως μελών εφορευτικής επιτροπής, αφετέρου την ενημέρωσή τους από το υπουργείο Εσωτερικών για τη διαδικασία ακύρωσης ή αναστολής της εγγραφής τους στον ειδικό εκλογικό κατάλογο εξωτερικού, εφόσον τελικά επιθυμούσαν να ψηφίσουν στην Ελλάδα (όπου είναι εγγεγραμμένοι στον βασικό εκλογικό κατάλογο).

Ακόμη, τα μέλη της Ευρωβουλής, όπως η κ. Ασημακοπούλου, έχουν δικαίωμα απόκτησης αντιγράφων εκλογικών καταλόγων, σύμφωνα όμως με τους όρους του άρθρου 23 του ΠΔ 26/2012 (ΦΕΚ Α’57/15.3.2012). Κατ’ αυτό το άρθρο, η απόκτηση των αντιγράφων μπορεί να γίνει μέσω του υπουργείου Εσωτερικών μόνο κατά τη διάρκεια της προεκλογικής περιόδου, κατόπιν σχετικής αίτησης του ευρωβουλευτή ή της ευρωβουλεύτριας, και μόνο σε μέσο αποθήκευσης (CD), απαγορευομένης ρητά της ηλεκτρονικής διακίνησης των εκλογικών καταλόγων με άλλον τρόπο. Ακόμη, προβλέπεται ότι τα μέλη του Ευρωκοινοβουλίου οφείλουν να καταστρέφουν τα στοιχεία που έχουν λάβει στο πρώτο τρίμηνο από τη διενέργεια των εκλογών, ενώ σύμφωνα με το άρθρο 3 του ν. 4648/2019 (ΦΕΚ A’ 205/16.12.2019), τα αντίτυπα των εκλογικών καταλόγων εξωτερικού που διατίθενται στους δικαιούχους του άρθρου 23 του ΠΔ 26/2012 δεν περιλαμβάνουν τα μέιλ και τα τηλέφωνα επικοινωνίας των εκλογέων.

Ως εκ τούτου, τα στοιχεία που χορηγήθηκαν με CD από το υπουργείο Εσωτερικών στα πολιτικά κόμματα για τις εκλογές του Μαΐου και του Ιουνίου του 2023 δεν περιελάμβαναν μέιλ και τηλέφωνα των εκλογέων. Επίσης, είναι αξιοσημείωτο ότι κανένα φυσικό πρόσωπο με την ιδιότητα του υποψηφίου ατόμου δεν αιτήθηκε αντίτυπο ειδικών εκλογικών καταλόγων εξωτερικού του 2023.

Σ’ αντίθεση με τις παραπάνω νομοθετικές προβλέψεις, στις 20 Ιανουαρίου 2024 η κ. Ασημακοπούλου έλαβε το προαναφερθέν αρχείο του υπουργείου Εσωτερικών μέσω της εφαρμογής WhatsApp από τον τέως γραμματέα Αποδήμων της ΝΔ Νίκο Θεοδωρόπουλο, ο οποίος και παραιτήθηκε από το αξίωμά του μετά το ξέσπασμα του σκανδάλου. Από την ημερομηνία προκύπτει ότι η αποστολή του αρχείου έγινε εκτός προεκλογικής περιόδου και όχι με μέσο αποθήκευσης CD, αλλά με ηλεκτρονικό τρόπο. Ακόμη, το αρχείο περιείχε τα μέιλ και τα τηλέφωνα των αποδήμων, στοιχεία που εξαιρούνται από τη χορήγηση στους δικαιούχους αντιτύπων εκλογικών καταλόγων. 

Λαμβάνοντας υπόψη το νομοθετικό πλαίσιο και τα πραγματικά περιστατικά, η ΑΠΔ διαπίστωσε ότι η κ. Ασημακοπούλου, ως υπεύθυνη επεξεργασίας προσωπικών δεδομένων στην εξεταζόμενη περίπτωση, παραβίασε σειρά διατάξεων του ΓΚΠΔ και, πιο συγκεκριμένα, το άρθρο 5 παρ. 1 α’ σε συνδυασμό με τα άρθρα 6 παρ. 1 και 14 του ΓΚΠΔ.

Στο σχετικό χωρίο της απόφασής της η ΑΠΔ σημειώνει: «Η συλλογή των προσωπικών δεδομένων αποδήμων, συμπεριλαμβανομένων στοιχείων ηλεκτρονικής επικοινωνίας, εκ μέρους της κ. Ασημακοπούλου, από τον τ. Γραμματέα Αποδήμων της ΝΔ, σε χρόνο εκτός προεκλογικής περιόδου, με ηλεκτρονικό τρόπο (εφαρμογή WhatsApp), αποτελεί αθέμιτη, μη αντικειμενική και μη σύννομη επεξεργασία:

Δεδομένου ότι η εν λόγω επεξεργασία (συλλογή) έγινε κατά παράβαση μιας σειράς διατάξεων της εκλογικής νομοθεσίας, δεν θα μπορούσε να είναι ευλόγως αναμενόμενο για τα υποκείμενα (εκλογείς εξωτερικού) ότι τα προσωπικά τους δεδομένα που τηρεί το Υπουργείο Εσωτερικών για τον σκοπό της άσκησης του εκλογικού τους δικαιώματος, συμπεριλαμβανομένων των στοιχείων ηλεκτρονικής επικοινωνίας τους, θα βρίσκονταν στην κατοχή μιας Ευρωβουλευτή και θα χρησιμοποιούνταν για το σκοπό της πολιτικής επικοινωνίας μέσω e-mail.

Για τον ίδιο λόγο, και οι περαιτέρω επιμέρους πράξεις επεξεργασίας προς τον ίδιο σκοπό, δηλαδή η δημιουργία νέου αρχείου προς μεταφόρτωση στην υπηρεσία MailChimp, που περιλάμβανε το όνομα, τη χώρα και το e-mail των εκλογέων και η χρήση της ηλεκτρονικής διεύθυνσης (e-mail) των αποδήμων για την αποστολή πολιτικής επικοινωνίας είναι επίσης αθέμιτη και παράνομη. Εξάλλου, η ως άνω επεξεργασία δεδομένων εκλογέων εξωτερικού δεν μπορεί να στηριχθεί στη νομική βάση του υπέρτερου έννομου συμφέροντος (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), αφού, λαμβάνοντας υπόψη τις παραπάνω περιστάσεις, το δικαίωμα των απόδημων εκλογέων στην προστασία των προσωπικών τους δεδομένων υπερέχει καταφανώς του εννόμου συμφέροντος της Ευρωβουλευτή να επικοινωνήσει μαζί τους ατομικά προς διάδοση των πολιτικών της δράσεων και ιδεών.

Επιπλέον, δεν παρασχέθηκε κατάλληλη και σύμφωνη με τον ΓΚΠΔ (άρθρο 14) ενημέρωση των υποκειμένων, ιδίως για την πηγή προέλευσης των δεδομένων τους, με αποτέλεσμα να παραβιάζεται και η αρχή της διαφάνειας της επεξεργασίας. Ως εκ τούτου, η επεξεργασία δεδομένων αποδήμων στην οποία προέβη η κ. Ασημακοπούλου το διάστημα από 20/1/2024 έως και 1/3/2024 παραβίασε τις θεμελιώδεις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, κατά το άρθρο 5 παρ. 1 α’ ΓΚΠΔ».

Με βάση τις παραπάνω διαπιστώσεις, η ΑΠΔ επέβαλε στην κ. Ασημακοπούλου πρόστιμο 40.000 και της έδωσε εντολή να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού.

Σχετικά με τις παραβιάσεις εκ μέρους του υπουργείου Εσωτερικών, η ΑΠΔ σημείωσε ότι η διαρροή του υπηρεσιακού αρχείου του με τα προσωπικά δεδομένα των αποδήμων, συμπεριλαμβανομένων των μέιλ και των τηλεφωνικών αριθμών τους, αποτελεί περιστατικό παραβίασης της εμπιστευτικότητας προσωπικών δεδομένων και άρα παραβίαση δεδομένων προσωπικού χαρακτήρα, καθώς το εν λόγω αρχείο προοριζόταν «αποκλειστικά για εσωτερική χρήση».

Ακόμη, κατά τον έλεγχό της η ανεξάρτητη Αρχή εντόπισε ελλείψεις στις διαδικασίες και τις εφαρμοζόμενες πολιτικές προστασίας των δεδομένων, πλημμέλειες στη διερεύνηση του συγκεκριμένου περιστατικού, καθώς και μη τεκμηριωμένες ανακοινώσεις των συνθηκών υπό τις οποίες έλαβε χώρα, ενώ παράλληλα διαπιστώθηκαν «ελλείψεις και ανακρίβειες στο περιεχόμενο των σχετικών τηρούμενων αρχείων δραστηριοτήτων».

Για τις παραπάνω πλημμέλειες, που παραβιάζουν τα άρθρα 5, 25, 30, 32 και 33 του ΓΚΠΔ, η ΑΠΔ επέβαλε στο υπουργείο Εσωτερικών πρόστιμο 400.000 ευρώ και του έδωσε εντολή συμμόρφωσης με τον ΓΚΠΔ και υιοθέτησης μέτρων για την προστασία των προσωπικών δεδομένων.

Πού εντοπίζεται το πρόβλημα με το Κράτος Δικαίου;

Σε ένα Κράτος Δικαίου οι δημόσιες Αρχές και η κυβέρνηση οφείλουν να συμμορφώνονται στη νομοθεσία για την προστασία των προσωπικών δεδομένων των πολιτών. Ωστόσο, στην εξεταζόμενη περίπτωση η ευρωβουλεύτρια Άννα Μισέλ Ασημακοπούλου και το υπουργείο Εσωτερικών παραβίασαν σωρεία διατάξεων του Γενικού Κανονισμού για την Προστασία Δεδομένων (το άρθρο 5 παρ. 1 α’ σε συνδυασμό με τα άρθρα 6 παρ. 1 και 14 του ΓΚΠΔ, καθώς και τα άρθρα 5, 25, 30, 32 και 33 του ΓΚΠΔ) κατά την επεξεργασία προσωπικών δεδομένων των αποδήμων.

Θοδωρής Χονδρόγιαννος
Περισσοτερα
Αν έχεις εντοπίσει παραβίαση του Κράτους Δικαίου, κάνε κι εσύ αναφορά!
ΕΠΩΝΥΜΗ ΑΝΑΦΟΡΑ ΜΕΣΩ ΦΟΡΜΑΣ ΣΤΟ GOVWATCH
ΑΝΩΝΥΜΗ ΑΝΑΦΟΡΑ ΜΕΣΩ ΤΟΥ ΕΡΓΑΛΕΙΟΥ GLOBALEAKS
Υποστήριξε το έργο του govwatch
ΚΑΝΕ ΔΩΡΕΑ