Η Απόφαση 16/2024 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ») αποτελεί μια απόφαση – σταθμό σε ό,τι αφορά την επεξεργασία προσωπικών δεδομένων για σκοπούς πολιτικής επικοινωνίας.
Η απόφαση αυτή εξετάζει τις καταγγελίες για αζήτητη πολιτική επικοινωνία μέσω ηλεκτρονικών μηνυμάτων από την Ευρωβουλευτή Άννα Μισέλ Ασημακοπούλου προς Έλληνες εκλογείς του εξωτερικού, οι οποίοι είχαν χρησιμοποιήσει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους (email) για εγγραφή στους ειδικούς εκλογικούς καταλόγους εξωτερικού μέσω της πλατφόρμας του Υπουργείου Εσωτερικών (εφεξής «ΥΠΕΣ»). Επιπλέον εξετάζει καταγγελίες εκλογέων του εξωτερικού για διαρροή των προσωπικών τους δεδομένων από το ΥΠΕΣ.
1. Ιστορικό και Ενέργειες
1.1. Ιστορικό
Η υπόθεση ξεκίνησε με την υποβολή 236 καταγγελιών από Έλληνες του εξωτερικού που έλαβαν αζήτητη ηλεκτρονική επικοινωνία[1] από την κ. Ασημακοπούλου. Οι καταγγελίες υποβλήθηκαν μεταξύ 1 Μαρτίου και 16 Απριλίου 2024 και αφορούσαν τη χρήση των προσωπικών τους email, τα οποία είχαν καταχωρηθεί στους ειδικούς εκλογικούς καταλόγους εκλογέων εξωτερικού το 2023 μέσω της πλατφόρμας του ΥΠΕΣ, apodimoi.gov.gr. Παράλληλα, υποβλήθηκαν 66 καταγγελίες κατά του Υπουργείου Εσωτερικών για παραβίαση των προσωπικών δεδομένων λόγω διαρροής των email προς την Ευρωβουλευτή. Κοινό σημείο στις περισσότερες καταγγελίες, αποτελούσε το γεγονός ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου των αποδεκτών είχαν διαμορφωθεί και χρησιμοποιηθεί αποκλειστικά για τους εκλογικούς καταλόγους εξωτερικού.
1.2. Ενέργειες της ΑΠΔΠΧ
Η ΑΠΔΠΧ ξεκίνησε τη διερεύνηση αποστέλλοντας σειρά εγγράφων στην κ. Ασημακοπούλου, στο Υπουργείο Εσωτερικών, στη Νέα Δημοκρατία καθώς και σε λοιπά εμπλεκόμενα πρόσωπα ζητώντας λεπτομέρειες σχετικά με τις πηγές των διευθύνσεων email, τη νόμιμη βάση της επεξεργασίας καθώς και τις πληροφορίες που είχαν παρασχεθεί στα υποκείμενα των δεδομένων, έγγραφα όπως πολιτικές και διαδικασίες του ΥΠΕΣ, τεχνικά και οργανωτικά μέτρα που εφαρμόζοταν στο τελευταίο για τη διασφάλιση των προσωπικών δεδομένων που το ΥΠΕΣ τηρούσε και περαιτέρω επεξεργαζόταν κ.α.. Παράλληλα, η ΑΠΔΠΧ διεξήγαγε επιτόπιους ελέγχους στα γραφεία του ΥΠΕΣ καθώς και στα γραφεία της Νέας Δημοκρατίας προκειμένου να εξεταστούν σχετικά στοιχεία και έγγραφα της εν λόγω υπόθεσης.
1.3. Ευρήματα της έρευνας
Η κ. Ασημακοπούλου απέστειλε μαζικά email σε 25.538 διευθύνσεις οι οποίες περιλαμβάνονταν σε μια λίστα με τίτλο «ΑΠΟΔΗΜΟΙ». Ενδιαφέρον παρουσιάζει ότι από το σύνολο των διευθύνσεων, οι 25.462 υπήρχαν στους εκλογικούς καταλόγους αποδήμων για τις εκλογές του Ιουνίου 2023 του ΥΠΕΣ.
Σύμφωνα με τα στοιχεία που υπέβαλε η Ευρωβουλευτής, προέκυψε ότι η λίστα «ΑΠΟΔΗΜΟΙ» περιλάμβανε δεδομένα που της παρασχέθηκαν από τον Γραμματέα Αποδήμων της Νέας Δημοκρατίας, κ. Νίκου Θεοδωρόπουλου.
Η Νέα Δημοκρατία και ο κ. Θεοδωρόπουλος επιβεβαίωσαν τη διακίνηση των εκλογικών καταλόγων μέσω της εφαρμογής «WhatsApp», αναφέροντας ότι τα στοιχεία προήλθαν από το Υπουργείο Εσωτερικών. Ο τελευταίος δε ισχυρίστηκε ότι προχώρησε στην εν λόγω διακίνηση έλαβε χώρα δυνάμει του ν.4648/2019 (ΦΕΚ 205/τ.Α/2019).
Νομική διάσταση
Η εν λόγω απόφαση, αποτελεί την πρώτη σχετικά με την αζήτητη πολιτική επικοινωνία, η οποία βασίζεται αποκλειστικά στον Κανονισμό (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ») μετά από σειρά αποφάσεων του ΣτΕ[2], οι οποίες έβγαλαν τον εν λόγω τύπο επικοινωνίας από το ουσιαστικό πεδίο εφαρμογής του άρθρου 11 του ν.3471/2006 (εμπορική και διαφημιστική προώθηση). Ειδικότερα, η απόφαση βασίζεται στις Κατευθυντήριες Γραμμές 1/2023 της ΑΠΔΠΧ, οι οποίες αποκρυσταλλώνουν τις ειδικές υποχρεώσεις του ΓΚΠΔ σχετικά με την επεξεργασία προσωπικών δεδομένων για σκοπούς πολιτικής επικοινωνίας.
Παράλληλα, η Απόφαση σχετίζεται και με παραβίαση δεδομένων εκ μέρους του Υπουργείου και ειδικότερα εξετάζει τις υποχρεώσεις λογοδοσίας του τελευταίου.
Ως εκ τούτου, πέραν των διατάξεων που παρέχουν στην ΑΠΔΠΧ την αρμοδιότητα για τον έλεγχο της εν λόγω υπόθεσης, η ΑΠΔΠΧ προχώρησε σε έρευνα τήρησης, μεταξύ άλλων, της αρχής Νομιμότητας, Αντικειμενικότητας και Διαφάνειας[3], της αρχής του σκοπού[4], της εμπιστευτικότητας και ακαιρεότητας[5] καθώς και των άρθρων που αποκρυσταλλώνουν την εν λόγω αρχή καθώς και την αρχή λογοδοσίας[6]. Την έρευνα αυτή καθώς και τις αντίστοιχες ενέργειες της κατεύθυνε στους εμπλεκόμενους υπευθύνους επεξεργασίας, ήτοι στην κα. Ασημακοπούλου, στο ΥΠΕΣ αλλά και στη Νέας Δημοκρατίας. Καθώς η ΑΠΔΠΧ, ανέβαλε την έκδοση απόφασης σε ό,τι αφορά τη Νέα Δημοκρατία και τον κ. Θεοδωρόπουλο, η νομική ανάλυση αυτού του σκέλους θα γίνει με την έκδοση της εν λόγω απόφασης.
Σε ό,τι αφορά την κα. Ασημακοπούλου και το ΥΠΕΣ, τα βασικά σημεία της ανάλυσης περιλαμβάνουν:
2. Σχετικά με την κα. Ασημακοπούλου:
2.1. Παραβίαση της Αρχής της Νομιμότητας, Αντικειμενικότητας και Διαφάνειας
Αρχικά αξίζει να σημειωθεί ότι η ΑΠΔΠΧ, σε πλήρη σύμπνοια με πράξεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, εξετάζει τις αρχές της νομιμότητας, αντικειμενικότητας και διαφάνειας, διακριτά λαμβανομένου υπόψη ότι αποτελούν «εγγενώς συνδεδεμένες και αλληλεξαρτώμενες αρχές[7].
Αντικειμενικότητα
Ιδιαίτερο ενδιαφέρον παρουσιάζει η ανάλυση της ΑΠΔΠΧ στην αρχή της «Αντικειμενικότητας», η οποία έρχεται ως συνέχεια σε πράξεων του ΕΣΠΔ[8], και βάσει της οποίας, οι δραστηριότητες επεξεργασίας, που διενεργεί ένας υπεύθυνος επεξεργασίας, δεν πρέπει να είναι επιζήμιες, απρόβλεπτες, παραπλανητικές ή να δημιουργεί διακρίσεις μεταξύ των υποκειμένων. Στο πλαίσιο αυτό, εντάσσεται στην αρχή της αντικειμενικότητας, η αξιολόγηση της κάθετης σχέσης μεταξύ υπευθύνου επεξεργασίας και υποκειμένων των δεδομένων. Παράλληλα, στην ίδια αρχή, η ΑΠΔΠΧ εντάσσει και την «εύλογη προσδοκία», έννοια κρίσιμη κατά την αξιολόγηση του εννόμου συμφέροντος του υπευθύνου επεξεργασίας και βάσει της οποίας οι δραστηριότητες επεξεργασίας που διενεργεί ο υπεύθυνος επεξεργασίας δεν πρέπει «να δημιουργούν έκπληξη»[9] στο υποκείμενο των δεδομένων. Σε αντίστοιχο πνεύμα είχε κινηθεί και το ΔΕΕ σε πρόσφατη απόφασή του, βάσει της οποίας ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων του, κατόπιν παράβασης του ΓΚΠΔ, μπορεί αφ’ εαυτού να αποτελέσει «μη υλική ζημία»[10].
Διαφάνεια – Ενημέρωση υποκειμένων των δεδομένων
Κατά τον ΓΚΠΔ, όταν η πηγή των προσωπικών δεδομένων είναι διαφορετική από τα υποκείμενά τους, τότε τα τελευταία θα πρέπει με κατανοητό και συνοπτικό τρόπο[11], να λαμβάνουν μια σειρά πληροφοριών στις οποίες συμπεριλαμβάνονται[12]:
α. η προέλευση των δεδομένων τους,
β. τυχόν περαιτέρω αποδέκτες,
γ. χρόνος τήρησης
δ. δικαιώματα που έχουν, στα οποία συμπεριλαμβάνεται και το δικαίωμα εναντίωσης.
Εν προκειμένω, οι παραλήπτες των μηνυμάτων ως ενημέρωση είχαν μόνο έναν υπερσύνδεσμο, ο οποίος οδηγούσε σε ένα γενικό κείμενο το οποίο ενημέρωνε για τους όρους χρήσης και για τα προσωπικά δεδομένα και τα ανωτέρω και καμία πληροφόρηση δεν παρέχονταν για την συγκεκριμένη δραστηριότητα επεξεργασίας, δηλαδή την προμήθεια των δεδομένων τους από τον κ. Θεοδωρόπουλο. Ως εκ τούτου, οι αποδέκτες των δεδομένων δεν είχαν ενημερωθεί προσηκόντως και επαρκώς για την επεξεργασία των δεδομένων τους, σύμφωνα με τα προβλεπόμενα στα άρθρα 12 και 14 ΓΚΠΔ και συνεπώς η κα. Ασημακοπούλου παραβίασε τις υποχρεώσεις διαφάνειάς για τις δραστηριότητες επεξεργασίας που διενεργεί. Αξίζει να σημειωθεί ότι η έλλειψη προσήκουσας και έγκαιρης ενημέρωσης από πλευράς της κας. Ασημακοπούλου, έπαιξε καθοριστικό ρόλο στον προσδιορισμό της εύλογης προσδοκίας τους και αντιστοίχως στην στάθμιση του εννόμου συμφέροντος της.
Νομιμότητα
Η πολιτική επικοινωνία, ως επεξεργασία προσωπικών δεδομένων, δύναται να διενεργείται υπό την προϋπόθεση ότι στηρίζεται είτε στην συγκατάθεση (άρθρο 6 παρ. 1 στοιχ. α’ ΓΚΠΔ) του αποδέκτη της επικοινωνίας είτε στο υπέρτερο έννομο συμφέρον του υποψηφίου (άρθρο 6 παρ. 1 στοιχ. στ’ ΓΚΠΔ), για την αξιολόγηση του οποίου, όπως εξηγείται κατωτέρω, κρίσιμο ρόλο παίζει η εύλογη προσδοκία του υποκειμένου των δεδομένων. Τέλος, εάν τα προσωπικά δεδομένα είχαν συλλεγεί αρχικά για άλλον σκοπό, θα πρέπει να εξετάζεται η συμβατότητα του αρχικού σκοπού με τον επιγενόμενο[13].
Αρχικά, δεν προκύπτει από πουθενά να υπήρξε έγκυρη[14] (ή να υπήρξε γενικά) συγκατάθεση από τα υποκείμενα των δεδομένων για τη χρήση τους για πολιτική επικοινωνία.
Η Ευρωβουλευτής, ισχυρίστηκε ότι η επικοινωνία βασίστηκε στο υπέρτερο έννομο συμφέρον της, ως υποψήφια, για την ενημέρωση αγνώστων εκλογέων για την επιστολική ψήφο. Επιπλέον, υποστήριξε το θεμιτό και νόμιμο χαρακτήρα των δραστηριοτήτων επεξεργασίας που διενεργεί, στο ότι δεν ήταν σε θέση να γνωρίζει ποιες ήταν οι «θεμιτές προσδοκίες» τους και ότι σε κάθε περίπτωση δεν θίγονται από μια ενημερωτική και όχι εμπορική επικοινωνία. Επιπλέον, η κα. Ασημακοπούλου, υπερθεμάτισε το γεγονός πως η χρήση του e-mail των αποδήμων εξυπηρετεί παράλληλα με το έννομο συμφέρον της και το δημόσιο συμφέρον στο πλαίσιο ενίσχυσης της ευρείας συμμετοχής των ψηφοφόρων στην εκλογική διαδικασία και για εκλογή των καταλληλότερων υποψηφίων στην Ευρωβουλή, σκοπό απολύτως συμβατό, σύμφωνα με εκείνη, με τον αρχικό σκοπό συλλογής των δεδομένων.
Η ΑΠΔΠΧ έκρινε ότι η αποστολή προσωπικών δεδομένων εκλογέων εξωτερικού μέσω μιας εφαρμογής OTT, σε μη προεκλογική περίοδο, συνιστά επεξεργασία που παραβιάζει την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας καθώς τόσο η συλλογή (αποστολής των δεδομένων μέσω WhatsApp) καθώς και όλες οι επιγενόμενες δραστηριότητες επεξεργασίας, ήτοι δημιουργία αρχείου και αποστολή email, δεν εντάσσονταν στην εύλογη προσδοκία των αποδεκτών, οι οποίοι είχαν παράσχει τα προσωπικά τους δεδομένα για τον σκοπό της άσκησης του εκλογικού τους δικαιώματος. Σε αυτό συνηγόρησε και η έλλειψη ενημέρωσης από πλευράς της Ευρωβουλευτού. Ως εκ τούτου, κρίθηκε ότι το δικαίωμα ιδιωτικότητας κα προστασίας προσωπικών δ0εδομένων υπερτερεί του εννόμου συμφέροντος της Ευρωβουλευτού και η δραστηριότητα επεξεργασίας κρίθηκε ως παράνομη.
1.4. Απόφαση
Για τις ως άνω παραβιάσεις, η ΑΠΔΠΧ επέβαλε στην κα. Ασημακοπούλου διοικητικό πρόστιμο ύψους 40.000 € και τη διέταξη να προχωρήσει σε διαγραφή του αρχείου που δημιούργησε.
3. Σχετικά με το ΥΠΕΣ
Το ΥΠΕΣ, βάσει του ν.4648/2019, όπως ισχύει, ενεργεί ως Υπεύθυνος Επεξεργασίας σε ό,τι αφορά την άσκηση εκλογικού δικαιώματος από τους εκλογείς του εξωτερικού. Συνεπώς, είναι το ΥΠΕΣ ήταν υπεύθυνο για την επεξεργασία των δεδομένων των εκλογέων του εξωτερικού όπως αρχείο με στοιχεία ταυτοποίησης (ονοματεπώνυμα, πατρώνυμα, μητρώνυμα, φύλο), επικοινωνίας (email, τηλέφωνα, διευθύνσεις), δεδομένα εκλογών (χώρα/πόλη ψηφοφορίας, τμήμα κλπ). Ως Υπεύθυνο Επεξεργασίας, το ΥΠΕΣ έφερε τις υποχρεώσεις εφαρμογής τεχνικών και οργανωτικών μέτρων τα οποία διασφαλίζουν την ακεραιότητα και εμπιστευτικότητα των δεδομένων αυτών[15]. Αυτά τα τεχνικά και οργανωτικά μέτρα, θα πρέπει να αποτυπώνονται σε διαδικασίες και πολιτικές, τις οποίες υιοθετεί ο Υπεύθυνος Επεξεργασίας[16].
Εν προκειμένω, υπήρχε η δυνατότητα εξαγωγής του συνόλου των τηρουμένων δεδομένων χωρίς την ύπαρξη καταγραφής (πέραν της εισόδου και της εξόδου του χρήστη), ενώ υπήρχε η σχετική δυνατότητα καθώς και εφαρμογής αυστηρών κανόνων ως προς το πότε και γιατί μπορεί να γίνει η εξαγωγή κλπ. Τα αρχεία που προέκυπταν από την εν λόγω εξαγωγή, διαμοιράστηκαν στους επιμέρους αρμόδιους υπαλλήλους, χωρίς την εφαρμογή οποιουδήποτε μέτρου, με αποτέλεσμα να είναι δυνατή η (με δόλο ή χωρίς) παραβίαση της εμπιστευτικότητας[17].
Δεδομένου ότι τα ως άνω δεδομένα, για τα οποία το ΥΠΕΣ ενεργούσε ως Υπεύθυνος Επεξεργασίας, βρέθηκαν στην κατοχή τρίτων συνιστά παραβίαση εμπιστευτικότητας δεδομένων. Το εν λόγω περιστατικό έλαβε χώρα λόγω έλλειψης κατάλληλων τεχνικών και οργανωτικών μέτρων εκ μέρους του Υπευθύνου Επεξεργασίας. Παράλληλα, για την εν λόγω παραβίαση, το ΥΠΕΣ, δεν ανέφερε όσα υποχρεούτο βάσει της παραγράφου 3 ΓΚΠΔ. Και οι 2 ως άνω ελλείψεις οφείλονταν στο γεγονός ότι το ΥΠΕΣ δεν εφάρμοζε τα κατάλληλα τεχνικά και οργανωτικά μέτρα και τις κατάλληλες πολιτικές και διαδικασίες προκειμένου να διασφαλίσει τα προσωπικά δεδομένα που τηρούσε καθώς και να αντιληφθεί περιστατικά παραβίασης. Αξίζει να αναφερθεί ότι το ΥΠΕΣ παραβίασε και την υποχρέωση αναφοράς περιστατικού παραβίασης εντός 72 ωρών[18], κάτι που η ΑΠΔΠΧ φαίνεται να το ενέταξε στη συνολικότερη απουσία πολιτικών και διαδικασιών.
Έχει δε ενδιαφέρον, ότι η ΑΠΔΠΧ προχώρησε σε αξιολόγηση του αρχείου δραστηριοτήτων του ΥΠΕΣ και διαπίστωσε την πλημμελή και ανακριβή του διαμόρφωση (λ.χ. οι υπάλλληλοι αναφέρθηκαν ως εκτελούντες την επεξεργασία, ενώ η ανάδοχος εταιρεία που είχε αναλάβει την υλοποίηση της πλατφόρμας δεν αναφέρονταν καθόλου).
Απορίας άξιο είναι το πως το ΥΠΕΣ δεν προχώρησε σε διενέργεια Εκτίμησης Αντίκτυπου Προστασίας Δεδομένων καθώς επίσης και ότι η ΑΠΔΠΧ δεν ενέταξε στις εντοπιζόμενες παραβιάσεις, την μη διενέργεια ΕΑΠΔ.
Για όλα τα ανωτέρω, η ΑΠΔΠΧ προχώρησε στην επιβολή διοικητικού προστίμου της τάξεως των €400.000 ευρώ και στην εντολή πραγματοποίησης συγκεκριμένων ενεργειών συμμόρφωησης.
4. Αντί επιλόγου
Αρχικά αναμένεται με ιδιαίτερο ενδιαφέρον το δεύτερο σκέλος της απόφασης της ΑΠΔΠΧ σε σχέση με το εν λόγω περιστατικό, το οποίο αφορά τη Νέα Δημοκρατία και τον κ. Θεοδωρόπουλο. Στο σχολιασμό εκείνης της απόφασης θα επισημανθούν και συγκεκριμένα επιμέρους στοιχεία που αφορούν τις δραστηριότητες επεξεργασίας που διενήργησαν τα μέρη αυτά.
Ωστόσο, με την απόφαση αυτή προκύπτουν ορισμένα ενδιαφέροντα συμπεράσματα σε ό,τι αφορά την πολιτική επικοινωνία εν γένει καθώς και τις υποχρεώσεις συμμόρφωσης φορέων του δημοσίου και του ιδιωτικού τομέα.
Ειδικότερα,
Α. Όλα πλέον εξετάζονται: Ενώ στο παρελθόν, η ΑΠΔΠΧ, κατά την εξέταση μιας υπόθεσης περιορίζοταν στην εξέταση των προϋποθέσεων του άρθρου 11 του ν.3471/2006, πλέον κατά την εξέταση υποθέσεων πολιτικής επικοινωνίας, πλέον εξετάζει εκτενώς ζητήματα σημαντικά, όπως είναι αυτό της διαφάνειας, προκειμένου να αξιολογήσει το έννομο συμφέρον. Αυτό μπορεί να επηρεάσει σημαντικά, στο μέλλον, τις αποφάσεις που θα σχετίζονται με πολιτική επικοινωνία καθώς αυστηροποιεί σημαντικά το εξεταζόμενο πλαίσιο.
Β. Τα διοικητικά πρόστιμα για ζητήματα πολιτικής επικοινωνίας, δεν έχουν πλέον όριο: Πριν και τις προαναφερόμενες αποφάσεις του ΣτΕ, οι πλειονότητα (αν όχι όλες) οι αποφάσεις της ΑΠΔΠΧ κινούνταν μεταξύ της επίπληξης και (μέγιστο) το ποσό των 5.000 € (μέσος όρος των προστίμων έφτανε τα 2.000 €). Η υπό εξέταση απόφαση αποτελεί μια ένδειξη ότι πλέον η ΑΠΔΠΧ φεύγει από αυτά τα «όρια» και πλέον, σε έναν υποψήφιο για αζήτητη πολιτική επικοινωνία μπορεί να επιβληθεί παρά πολύ υψηλό πρόστιμο.
Γ. Οι πολιτικές και διαδικασίες δεν πρέπει να είναι απλά έγγραφα που μπαίνουν στο συρτάρι: Παρατηρείται εντόνως σε πολλούς φορείς του δημοσίου και ιδιωτικού τομέα να προχωρούν σε ένα έργο συμμόρφωσης με το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο περί προστασίας δεδομένων με διάφορες ενέργειες συμπεριλαμβανομένης της διαμόρφωσης πολιτικής για την επεξεργασία δεδομένων εντός του φορέα, εντούτοις, οι πολιτικές αυτές μένουν κενό γράμμα. Απαιτείται η ενεργή συμμετοχή διοίκησης και στελεχών για τη διασφάλιση τήρησης του ΓΚΠΔ. Παράλληλα, στην περίπτωση ορισμού Υπευθύνου Προστασίας Δεδομένων («ΥΠΔ» ή «DPO»), η επάρκειά του προσώπου αυτού μπορεί να παίξει καθοριστικό ρόλο στη συνεχόμενη συμμόρφωση του Υπευθύνου Επεξεργασίας. Γι’ αυτό είναι και σημαντικό να ενισχύεται ο ρόλος του ΥΠΔ εντός ενός οργανισμού και σε αυτό κομβικό ρόλο παίζει η διοίκηση και η εν γένει κουλτούρα σε ό, τι αφορά ζητήματα ιδιωτικότητας και προστασίας προσωπικών δεδομένων.
Δ. Η απλή συμπλήρωση και τήρηση αρχείου δραστηριοτήτων δεν αρκεί: Η εν λόγω απόφαση αποτελεί μια υπενθύμιση ότι εργαλεία λογοδοσίας, όπως είναι τα αρχεία δραστηριοτήτων αποτελούν δυναμικά αρχεία τα οποία πρέπει να αποτυπώνουν προσηκόντως και επαρκώς τις δραστηριότητες επεξεργασίας εντός ενός οργανισμού. Η απλή ύπαρξη ενός πίνακα ή ενός excel χωρίς να αποτυπώνονται οι απαραίτητες και σωστές πληροφορίες, δεν μπορούν να διασφαλίσουν τη συμμόρφωση ενός φορέα.
Στέργιος Κωνσταντίνου
Δικηγόρος, Advanced LLM (IP & ICT Law)
CIPP/E, CIPM, FIP
Υποσημειώσεις:
[1] «Η επικοινωνία μέσω ηλεκτρονικών μέσων περιλαμβάνει: α) Σύντομα γραπτά μηνύματα (SMS) και μηνύματα πολυμέσων (MMS) (β) Μηνύματα ηλεκτρονικού ταχυδρομείου (e-mail) (γ) Ηλεκτρονικά μηνύματα που αποστέλλονται μέσω εφαρμογών ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών» π.χ Viber, Whatsapp, Skype, Facebook Messenger, FaceΤime, κτλ (δ) Επικοινωνία μέσω τηλεομοιοτυπίας (φαξ) (ε) Αυτόματες τηλεφωνικές κλήσεις, κατά τις οποίες με την αποδοχή της κλήσης ακούγεται μαγνητοφωνημένο μήνυμα (στ) Φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή μέσω υπηρεσιών «της κοινωνίας των πληροφοριών» π.χ Viber, Whatsapp, Skype, FaceΤime, κτλ.», Βλ. ΑΠΔΠΧ, Κατευθυντήριες Γραμμές 1/2023, σελ. 9
[2] βλ. ΣτΕ 1343, 1344, 1345/2022
[3] Άρθρο 5 παρ. 1 στοιχ. α’ ΓΚΠΔ
[4] Άρθρο 5 παρ. 1 στοιχ. β’ ΓΚΠΔ
[5] Άρθρο 5 παρ. 1 στοιχ. στ’ ΓΚΠΔ
[6] Άρθρο 5 παρ. 2 ΓΚΠΔ
[7] Βλ. Απόφαση 16/2024, σκέψη 6, σελ.41
[8] Βλ. ΕΣΠΔ, Δεσμευτική Απόφαση 5/2022, 05/12/2022
[9] Βλ. Απόφαση 16/2024, σκέψη 6, σελ.41
[10] Βλ. ΔΕΕ, C‑340/21, ECLI:EU:C:2023:986, 14.12.2023
[11] Άρθρο 12 ΓΚΠΔ
[12] Άρθρο 14 ΓΚΠΔ
[13] Άρθρο 6 παρ. 4 ΓΚΠΔ
[14] Άρθρο 4 στοιχ. 11 & άρθρο 7 ΓΚΠΔ σε συνδυασμό με τις «Κατευθυντήριες γραμμές 5/2020 σχετικά με τη συγκατάθεση βάσει του κανονισμού 2016/679», έκδοση 1.1., 4/5/2020 του ΕΣΠΔ
[15] Άρθρο 5 παρ. 1 στοιχ. στ’ ΓΚΠΔ & άρθρο 32 ΓΚΠΔ
[16] Άρθρο 24 ΓΚΠΔ
[17] Άρθρο 4 στοιχ. 12 ΓΚΠΔ
[18] Άρθρο 33 παρ. 1 ΓΚΠΔ