Τον Οκτώβριο του 2020, έξι εκπαιδευτικοί προσέφυγαν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής ΑΠΔΠΧ) αναφορικά με την εξ αποστάσεως (ηλεκτρονική) ψηφοφορία για την ανάδειξη των αιρετών εκπροσώπων των εκπαιδευτικών στα Υπηρεσιακά Συμβούλια Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης.
Η εν λόγω ψηφοφορία διεξήχθη δυνάμει της υπ’ αριθμ Φ.350/51/139940/Ε3 (ΦΕΚ Β 4537/14.10.2020) «Διαδικασία ηλεκτρονικής ψηφοφορίας για την εκλογή αιρετών εκπροσώπων στα Υπηρεσιακά Συμβούλια των εκπαιδευτικών Πρωτοβάθμιας και Δευτεροβάθμιας Εκπαίδευσης καθώς και των μελών Ειδικού Εκπαιδευτικού Προσωπικού (ΕΕΠ) και Ειδικού Βοηθητικού Προσωπικού (ΕΒΠ)» (εφεξής αναφερόμενη ως υπουργική απόφαση) και δυνάμει του Π.Δ. 1/2003 (ΦΕΚΑ΄ 1/3-1-2003) «Σύνθεση, συγκρότηση και Λειτουργία των υπηρεσιακών συμβουλίων πρωτοβάθμιας και δευτεροβάθμιας εκπαίδευσης και ειδικής αγωγής, αρμοδιότητες αυτών, όροι, προϋποθέσεις και διαδικασία εκλογής των αιρετών τακτικών και αναπληρωματικών μελών των συμβουλίων αυτών» ως τροποποιήθηκε από το ν.4728/2020 (ΦΕΚ A’ 186/29.09.2020) «Επείγουσες ρυθμίσεις για την αντιμετώπιση των καταστροφικών συνεπειών από την πορεία του μεσογειακού κυκλώνα «Ιανός», περαιτέρω μέτρα για την αντιμετώπιση των συνεχιζόμενων συνεπειών της πανδημίας του κορωνοϊού COVID-19 και άλλες κατεπείγουσες διατάξεις»
Στην καταγγελία τους έθεσαν ζητήματα αναφορικά με τη νομιμότητα της εν λόγω επεξεργασίας προσωπικών δεδομένων, τη μη διατύπωση γνώμης της Αρχής κατά τη σχετική νομοθέτηση, την ποιότητα της σχετικής νομοθέτησης, τις οργανωτικές ελλείψεις του Υπευθύνου Επεξεργασίας, την συνεπαγόμενη υπονόμευση της εκλογικής διαδικασίας, την επικινδυνότητα αυτής (σε σχέση με την πιθανότητα αποκάλυψης του περιεχομένου της ψήφου ή τη δυνατότητα επηρεασμού/επιτήρησης κατά την ψηφοφορία), τη μη διενέργεια Εκτίμησης Αντικτύπου Προστασίας Δεδομένων (ΕΑΠΔ) εκ μέρους του υπευθύνου ή της εκτελούσας την επεξεργασία, τον εσφαλμένο καθορισμό ρόλων επεξεργασίας στην υπουργική απόφαση, την παραβίαση των συστάσεων CM/Rec (2017) του Συμβουλίου της Ευρώπης κ.ά. . Αιτήθηκαν δε την έκδοση προσωρινής διαταγής με περιεχόμενο την απαγόρευση της σχετικής επεξεργασίας.
Η Αρχή με την υπ’ αριθμ 1/2020 απέρριψε το αίτημα έκδοσης προσωρινής διαταγής, υπό τις εξής σκέψεις:
- Δεν πιθανολογήθηκε η ύπαρξη σημαντικού κινδύνου. Σύμφωνα με την Αρχή, συλλογή και επεξεργασία δεδομένων συντρέχει ούτως ή άλλως και στη φυσική ψηφοφορία.
- Η χρησιμοποιούμενη μέθοδος (σύστημα ΖΕΥΣ) φαίνεται να ακολουθεί διεθνή πρότυπα, ενώ έχει χρησιμοποιηθεί στο παρελθόν.
- Η μη διενέργειά ΕΑΠΔ δεν αποτελεί λόγο απαγόρευσης της επεξεργασίας, καθώς παράβαση του άρθρου 35 του ΓΚΠΔ δεν συνεπάγεται παράβαση των αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ούτε οδηγεί καθαυτή σε ανεπανόρθωτο πλήγμα κάποιου από τα δικαιώματα των υποκειμένων των δεδομένων.
- Τα δεδομένα που τυγχάνουν επεξεργασίας δεν είναι ευαίσθητα, καθώς η διαδικασία ανάδειξης αιρετών εκπροσώπων στα υπηρεσιακά συμβούλια δεν αποτελεί διαδικασία εκλογής συνδικαλιστικού οργάνου και οι αρμοδιότητες των συμβουλίων αυτών αφορούν θέματα υπηρεσιακής κατάστασης του προσωπικού.
Η Αρχή, με την υπ’ αριθμ 44/2022 απόφασή της επανέλαβε κατ’ ουσία τις ανωτέρω κρίσεις και επιπλέον πρόσθεσε τις εξής:
- Διαπίστωσε εσφαλμένο χαρακτηρισμό ρόλων επεξεργασίας (οι εφορευτικές επιτροπές δεν συνιστούν από κοινού υπεύθυνο επεξεργασίας με το Υπουργείο, όπως είχαν επισημάνει άλλωστε και οι καταγγέλλοντες)
- Έκρινε ότι ήταν απαραίτητη η προγενέστερη διενέργεια ΕΑΠΔ (συστηματική επεξεργασία μεγάλης κλίμακας με χρήση υπηρεσίας ηλεκτρονικής διακυβέρνησης)
- Η μη διενέργεια ΕΑΠΔ δε θέτει ζήτημα αναλογικότητας και αναγκαιότητας ή διασφάλισης του απορρήτου της επεξεργασίας. Επεσήμανε ότι η εν λόγω επεξεργασία δεν συνιστά καινοτόμο εφαρμογή, αλλά ακολουθεί ευρέως αποδεκτά διεθνή πρότυπα και η χρήση της έχει δοκιμαστεί επαρκώς.
- Δε συντρέχει παραβίαση της αρχής της αναγκαιότητας, διότι κατά το χρόνο λήψης του μέτρου είχαν τεθεί μέτρα περιορισμού της μετακίνησης και είχε ανασταλεί η λειτουργία των σχολείων.
Αναφορικά με τον τρόπο εξέτασης της υπόθεσης
Αρχικά, αξίζει να διαπιστωθεί ότι οι εν συνόλω κρίσεις της Αρχής, διατυπώθηκαν άνευ διενέργειας τεχνικού ελέγχου επί του συστήματος ΖΕΥΣ το οποίο χρησιμοποιήθηκε στη συγκεκριμένη ψηφοφορία. Η Αρχή διατύπωσε κρίσεις και παρατηρήσεις με πιθανολόγηση, αξιολογώντας μόνο ελάχιστα έγγραφα (καταγγελία, έγγραφο παροχής διευκρινίσεων του Υπουργείου, νομοθεσία).
Ωστόσο, τα χαρακτηριστικά της επίμαχης επεξεργασίας ήταν (και παραμένουν) ιδιαίτερα, αξίωναν δε την ενδελεχή διερεύνησή της. Η εν λόγω ψηφοφορία αφορά ένα σώμα δημοσίων υπαλλήλων (εκπαιδευτικοί) σε καθολικό βαθμό, με παραδοσιακά υψηλά ποσοστά συμμετοχής καθώς και μεγάλο αριθμό εκλογέων[1]. Αποκλειστικά και μόνο αυτά τα χαρακτηριστικά όσο και η για πρώτη φορά χρήση αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων στη συγκεκριμένη διαδικασία, επέτασσε κατ’ αρχήν (αλλά όχι μόνο) τη διενέργεια τεχνικού ελέγχου εκ μέρους της Αρχής στο εν λόγω σύστημα. Η εν λόγω αρμοδιότητα προβλέπεται άλλωστε στο αρ.13 παρ.1 περίπτωση “ή” του ν.4624/2019 καθώς και στο αρ.57 παρ.1 περίπτωση “ή” του ΓΚΠΔ 679/2016/ΕΕ.
Σε κάθε περίπτωση, εφόσον η έλλειψη διαθέσιμων πόρων[2] καθιστούσε χρονικά αδύνατη τη διενέργεια τεχνικού ελέγχου κατά την αρχική φάση εξέτασης της υπόθεσης[3], παρέμεναν τρεις ακόμη πρόσφορες επιλογές που θα μπορούσε να αξιοποιήσει η Αρχή:
α) το αίτημα διενέργειας μελέτης ΕΑΠΔ εκ μέρους του υπευθύνου επεξεργασίας για την εν λόγω επεξεργασία προκειμένου αυτή να αξιολογηθεί από την Αρχή
β) το αίτημα πληροφόρησης για τα ειδικότερα τεχνικά χαρακτηριστικά λειτουργίας του συστήματος απευθείας από την εκτελούσα την επεξεργασία
γ) το αίτημα ενημέρωσης για την εν λόγω επεξεργασία από τον Υπεύθυνο Προστασίας Δεδομένων του Υπουργείου Παιδείας
Κατά τον χρόνο υποβολής της καταγγελίας και έκδοσης της απόφασης επί του αιτήματος προσωρινής διαταγής, η Αρχή δεν προέβη σε καμία ενέργεια εκ των ανωτέρω. Την ίδια, ωστόσο, αξιοσημείωτη στάση διατήρησε και για το επόμενο χρονικό διάστημα μέχρι την έκδοση της απόφασης, που ανήλθε συνολικά σε 22 μήνες. Η Αρχή δηλαδή φαίνεται να βασίστηκε στους ισχυρισμούς του υπευθύνου επεξεργασίας (δίχως να ζητήσει καν τις απόψεις της εκτελούσας την επεξεργασία), ο οποίος ωστόσο διατηρεί βεβαρυμμένο ιστορικό αναφορικά με παραβιάσεις της νομοθεσίας προστασίας δεδομένων[4]. Στο πλαίσιο, δε, των κριτηρίων του αρ.83 ΓΚΠΔ, όπου μεταξύ άλλων λαμβάνεται υπόψη κάθε σχετική προηγούμενη παραβίαση, η Αρχή όφειλε να επιδείξει υψηλό βαθμό εγρήγορσης απέναντι στον συγκεκριμένο υπεύθυνο επεξεργασίας. Δυστυχώς, τίποτε από τα ανωτέρω δε συνέβη.
Αναφορικά με τη μη διενέργεια μελέτης ΕΑΠΔ
Περαιτέρω, η κρίση της Αρχής ότι η μη διενέργειά ΕΑΠΔ δεν αποτελεί λόγο απαγόρευσης της επεξεργασίας, καθώς παράβαση του άρθρου 35 του ΓΚΠΔ δεν συνεπάγεται παράβαση των αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προκαλεί σοβαρό προβληματισμό και αντιφάσκει προς την προηγούμενη νομολογία της.
Όταν απαιτείται[5] η διενέργεια ΕΑΠΔ, αυτή δεν συνιστά μια παρεπόμενη ή δευτερεύουσας τάξης υποχρέωση του υπευθύνου επεξεργασίας. Συνιστά μέτρο απόδειξης για την τήρηση της αρχής της ασφάλειας[6], της λογοδοσίας[7] καθώς και διαδικασία εμπέδωσης και απόδειξης της συμμόρφωσης[8]. Δηλαδή εντάσσεται οργανικά στην υποχρέωση τήρησης των βασικών αρχών επεξεργασίας του αρ.5 ΓΚΠΔ, η οποία συνιστά κριτήριο για τη νομιμότητά της[9]. Η μελέτη ΕΑΠΔ αποσκοπεί μεταξύ άλλων στην αξιολόγηση και διαχείριση των κινδύνων που συνεπάγεται η επεξεργασία για τα υποκείμενα των δεδομένων και την επιλογή των κατάλληλων μέτρων ασφαλείας (ή και άλλων). Σε περίπτωση που ο εναπομένων κίνδυνος που προκύπτει από αυτή δεν είναι αποδεκτός, ο υπεύθυνος επεξεργασίας υποχρεούται να διαβουλευθεί με την εποπτική αρχή πριν την έναρξη της επεξεργασίας ή και να λάβει έγκριση από αυτή. Συνεπώς, η παραβίαση των διατάξεων για την ΕΑΠΔ συνδέεται ευθέως με την ίδια τη νομιμότητα και το επιτρεπτό της επεξεργασίας.
Η ανωτέρω θέση υποστηρίζεται και από την υπ’ αριθμ 44/2019 απόφαση της Αρχής, στην οποία μεταξύ άλλων έκρινε ότι:
Ο ΓΚΠΔ επιτάσσει την υποβολή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη τύχει επεξεργασίας σύμφωνα προς τις αρχές του άρθρου 5 παρ. 1 α’ έως και ε’ «κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια» (άρθρο 5 παρ. 1 εδ. στ’) ώστε σε περίπτωση κατά την οποία πληρούνται οι λοιπές αρχές πλην εκείνης της ασφάλειας, να καθίσταται εν τέλει παράνομη η επεξεργασία. Αντίστοιχα, εάν εξαρχής η σκοπούμενη επεξεργασία πρόκειται να λάβει χώρα κατά τρόπο που δεν εγγυάται την ενδεδειγμένη ασφάλεια, παρέλκει η εξέταση της πλήρωσης των αρχών που προβλέπονται από τα εδάφια α’ έως ε’ της παρ. 1 του άρθρου 5 ΓΚΠΔ, καθώς θα πρόκειται περί μη ασφαλούς και άρα παράνομης επεξεργασίας.
[….] το γεγονός ότι η προϋπόθεση της ασφαλούς επεξεργασίας κατ’ αρ. 5 παρ. 1 εδ. στ’ ΓΚΠΔ έχει πλέον αναχθεί σε βασική αρχή της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα ώστε, ακόμη και εάν τηρηθούν οι λοιπές αρχές επεξεργασίας να καθίσταται συνολικά παράνομη η επεξεργασία σε περίπτωση κατά την οποία ο υπεύθυνος επεξεργασίας δεν εγγυάται την ενδεδειγμένη ασφάλεια.
Από τα παραπάνω προκύπτει ότι η σχετική κρίση της Αρχής, συνιστά σοβαρή απόκλιση από το γράμμα όσο και το πνεύμα του ΓΚΠΔ, ενώ παράλληλα προκαλεί σύγχυση στους υπευθύνους επεξεργασίας αναφορικά με την εκπλήρωση των σχετικών υποχρεώσεών τους. Η Αρχή δηλαδή φαίνεται να κάνει αποδεκτή την έναρξη μιας επεξεργασίας στην οποία (αναγνωρίζει ότι) απαιτείται μελέτη ΕΑΠΔ, προτού καν αυτή διενεργηθεί. Πέραν των προαναφερθέντων, η συγκεκριμένη κρίση έρχεται σε ευθεία αντίθεση και με την αρχή της λογοδοσίας[10] όσο και της προσέγγισης με βάση τον κίνδυνο (risk based approach) η οποία διατρέχει παραδοσιακά το δίκαιο προστασίας δεδομένων και ειδικά τον ΓΚΠΔ. Προκαλεί απορία πως ενώ μια επεξεργασία προσωπικών δεδομένων στερείται της απόδειξης πλήρωσης της αρχής της λογοδοσίας (η οποία συνιστά ένα από τα κριτήρια νομιμότητάς της), καταλήγει να κρίνεται ως νόμιμη και μάλιστα χωρίς εξέταση περαιτέρω στοιχείων.
Επιπλέον, η συγκεκριμένη κρίση της Αρχής φαίνεται σχεδόν να προεξοφλεί το αποτέλεσμα της ΕΑΠΔ που θα διενεργηθεί από τον υπεύθυνο επεξεργασίας μεταγενέστερα. Δηλαδή, αποδέχεται εκ των προτέρων ότι δεν υφίστανται κίνδυνοι για την προστασία των προσωπικών δεδομένων ή για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Με τον τρόπο αυτό καταργεί την απαιτούμενη αντικειμενικότητα, η οποία πρέπει να χαρακτηρίζει τη διενέργεια της ΕΑΠΔ. Η σχετική κρίση δυστυχώς, δε στηρίζεται σε επαληθευμένα ή επαληθεύσιμα στοιχεία.
Αναφορικά με τα χαρακτηριστικά της επεξεργασίας
Η Αρχή, επιχειρώντας να αιτιολογήσει το θεμιτό της συγκεκριμένης επεξεργασίας, υποστηρίζει ότι επεξεργασία προσωπικών δεδομένων λαμβάνει χώρα και στην ψηφοφορία που διενεργείται με τον παραδοσιακό τρόπο. Τούτο είναι απολύτως ακριβές και δεν θα μπορούσε άλλωστε να ισχύει το αντίθετο (για παράδειγμα αναφορικά με το ζήτημα της ταυτοποίησης των εκλογέων). Το ζήτημα που αναφύεται ωστόσο είναι η έκταση της επεξεργασίας σε κάθε μια από τις δυο περιπτώσεις.
Στην παραδοσιακή ψηφοφορία, η ψήφος του εκλογέα συνιστά πληροφορία, η οποία ακολουθεί μια ιδιότυπη πορεία: κατά τη στιγμή που ο εκλογέας, ευρισκόμενος εντός του παραβάν, επιλέγει τον/τους υποψήφιο/ους στο ψηφοδέλτιο, η ψήφος του συνιστά προσωπικό δεδομένο. Ωστόσο, τη στιγμή που τοποθετεί τον κλειστό φάκελο με την ψήφο του στην κάλπη, αυτή καθίσταται όχι ανωνυμοποιημένο, αλλά πλήρως ανώνυμο δεδομένο. Και τούτο διότι δεν μπορεί με κανένα τρόπο να αποδοθεί στον εκλογέα ή αυτός να ταυτοποιηθεί δι’ αυτής[11]. Είναι γνωστό ότι επί του ψηφοδελτίου δεν υφίσταται κανένα στοιχείο που θα μπορούσε έστω εν δυνάμει να προσδιορίσει την ταυτότητα του εκλογέα.
Στην εξ αποστάσεως ψηφοφορία, η ψήφος του εκλογέα δεν συνιστά[12] ανώνυμο δεδομένο, αλλά προσωπικό δεδομένο το οποίο ανωνυμοποιείται μέσω χρήσης κρυπτογραφικού αλγόριθμου. Η διαφορά είναι θεμελιώδους σημασίας. Το απόρρητο και η εγκυρότητα της εκλογικής διαδικασίας, καταλήγει να κρίνεται από τους εν γένει όρους της κρυπτογράφησης (όσο και της αποκρυπτογράφησης) όσο και των λοιπών οργανωτικών και τεχνικών μέτρων της επεξεργασίας[13].
Μια ακόμα σημαντική διαφορά μεταξύ των δύο διαδικασιών είναι ότι στην περίπτωση της ηλεκτρονικής ψηφοφορίας η διαδικασία της κρυπτογράφησης όσο και της διαβίβασης της ψήφου, δε λαμβάνει δημόσιο χαρακτήρα, δε δύναται να εποπτευθεί κατά άμεσο τρόπο και δεν υπόκειται σε όρους ευχερούς λογοδοσίας[14]. Δεν υπόκειται καν σε όρους δημόσιας ορατότητας. Συνεπώς, οι όροι νόμιμης διεξαγωγής μιας εκλογικής διαδικασίας επαφίενται αποκλειστικά στις τεχνικές προδιαγραφές και προεπιλογές του συστήματος καθώς και στον τρόπο λειτουργίας – χειρισμού του από τους εκάστοτε συναρμόδιους, κατά τρόπο που μόνο ένας εξειδικευμένος επιστήμονας της πληροφορικής θα μπορούσε να αντιληφθεί και μάλιστα κατόπιν ενδελεχούς έρευνας και δοκιμών. Τα παραπάνω συνιστούν μια ακόμη απόδειξη ότι η διενέργεια τεχνικού ελέγχου εκ μέρους της Αρχής όσο και η διενέργεια μελέτης ΕΑΠΔ ήταν στοιχειώδη προαπαιτούμενα διενέργειας της συγκεκριμένης επεξεργασίας.
Περαιτέρω, στη διαδικασία της ηλεκτρονικής ψηφοφορίας παρουσιάζονται επιπλέον αντικειμενικοί κίνδυνοι. Ο προσωπικός υπολογιστής μέσω του οποίου υποβάλλεται και αποστέλλεται η ψήφος συνιστά μη ελεγχόμενο περιβάλλον υπό δύο διαστάσεις: αφενός μεν δε μπορεί να αποκλειστεί η παρουσία τρίτων προσώπων οι οποίοι θα επιτηρήσουν, εξαναγκάσουν ή επηρεάσουν τον εκλογέα σε συγκεκριμένη εκλογική επιλογή, αφετέρου ο προσωπικός υπολογιστής του εκλογέα δεν συγκεντρώνει εχέγγυα ασφαλούς λειτουργίας. Είναι πιθανή η εν αγνοία του χρήστη λειτουργία κακόβουλου λογισμικού[15], το οποίο να παρακολουθεί τον υπολογιστή ή το εν γένει χρησιμοποιούμενο τερματικό του. Κυρίως, δεν υπάρχει κανένας οργανωτικός ή τεχνικός τρόπος επιβεβαίωσης ότι δε συμβαίνει κάτι τέτοιο. Ανεπίτρεπτα πλην όμως αντικειμενικά, μετατίθεται στον εκλογέα ένα μέρος της ευθύνης διασφάλισης του απορρήτου χαρακτήρα της ψήφου και ταυτόχρονα δεν υφίστανται τα αναγκαία εργαλεία ή οι διαδικασίες που δυνητικά θα του επέτρεπαν να τον διασφαλίσει.
Παράλληλα υπάρχουν και άλλες κινδυνώδεις παράμετροι οι οποίοι δεν εντοπίστηκαν. Συνοπτικά μόνο αναφέρουμε την περίπτωση κυβερνοεπιθέσεων οι οποίες θα αποτρέψουν μέρος των χρηστών να ψηφίσουν, την υψηλού επιπέδου τεχνική δυσκολία να εξασφαλιστεί ταυτόχρονα τόσο η ταυτοποίηση του εκλογέα-χρήστη όσο και η μυστικότητα της ψήφου, την επίδραση της ηλεκτρονικής ψηφοφορίας ως διαδικασίας στο περιεχόμενο της ψήφου[16] [17], την επίδραση του φόβου της αποκάλυψης της ψήφου σε σχέση με το περιεχόμενό της, την αναγκαιότητα ύπαρξης σύνδεσης στο διαδίκτυο κ.ά.[18].
Οι παράμετροι αυτοί δεν εξετάστηκαν καίτοι προβλήθηκαν κατά τρόπο ορισμένο από τους καταγγέλλοντες. Προκαλεί απορία η κατάφαση στη διεξαγωγή μιας τόσο ευαίσθητης επεξεργασίας, τη στιγμή που δεν παρασχέθηκαν επαρκή και ικανά στοιχεία για τον εντοπισμό και μετριασμό των αντικειμενικά υφιστάμενων κινδύνων.
Ας μας επιτραπεί να υποστηρίξουμε ότι τα ανωτέρω χαρακτηριστικά της ηλεκτρονικής ψηφοφορίας, συνιστούν μείζονα υποβάθμιση της εκλογικής διαδικασίας και του ίδιου του δικαιώματος της ψήφου. Θα πρέπει να ληφθεί υπόψη ότι σε αντίθεση με τα ισχύοντα στην ηλεκτρονική ψηφοφορία, η δημοσιότητα των εν γένει εκλογικών διαδικασιών, δεν συνιστά απλώς και μόνο ένα παραδοσιακό χαρακτηριστικό της. Συνιστά ταυτόχρονα όρο που διασφαλίζει την εγκυρότητά της, καθώς όλη η διαδικασία εκτυλίσσεται μπροστά στα μάτια πλείστων και αγνώστων ανθρώπων μεταξύ τους, είτε φέρουν συγκεκριμένο ρόλο εκ της εκλογικής νομοθεσίας (δικαστικός αντιπρόσωπος, εφορευτική επιτροπή, εκλογικός αντιπρόσωπος, εκλογέας) είτε είναι τρίτοι. Το διακριτό των καθηκόντων και δικαιωμάτων τους, η επιμέρους ύπαρξη θεμιτά αντιμαχόμενων συμφερόντων (των εκλογικών αντιπροσώπων) και η ταυτόχρονη παρουσία όλων των ανωτέρω κατά τη διάρκεια της διαδικασίας, συνιστούν αναμφίβολα υψηλές εγγυήσεις για την τήρηση του αδιάβλητου χαρακτήρα της διαδικασίας και την επαλήθευση της ορθής διεξαγωγής της. Οι εγγυήσεις αυτές δε δύνανται να εξασφαλισθούν στην ηλεκτρονική ψηφοφορία[19].
Οι ανωτέρω ανησυχίες δεν ελήφθησαν υπόψη ούτε από τον υπεύθυνο επεξεργασίας (εφόσον δε διενήργησε μελέτη ΕΑΠΔ δυσχερώς θα μπορούσε να τις εντοπίσει) ούτε από την Αρχή, η οποία έσπευσε να κρίνει ότι δεν αλλοιώνεται και δεν υπονομεύεται η εκλογική διαδικασία.
Αναφορικά με τον χαρακτήρα της ψήφου
Η Αρχή, τόσο στην υπ’ αριθμ 1/2020 όσο και στην υπ’ αριθμ 44/2022 απόφασή της, έκρινε ότι η συγκεκριμένη ψήφος δε συνιστά ευαίσθητο δεδομένο, διότι οι αρμοδιότητες των εκλεγόμενων συμβουλίων είναι υπηρεσιακές και δε συνιστούν διαδικασία εκλογής συνδικαλιστικού οργάνου.
Ωστόσο, η προσεκτική εξέταση της υπουργικής απόφασης όσο και των χαρακτηριστικών της ίδιας της εκλογικής διαδικασίας, οδηγούν σε αντίθετα συμπεράσματα.
Οι εκλογές αυτές δεν διενεργούνται με ενιαίο ψηφοδέλτιο, αλλά αναγνωρίζεται και καθορίζεται η ύπαρξη εκλογικών συνδυασμών, καθώς και των δικαιωμάτων τους σε αυτές[20]. Οι συνδυασμοί αποτυπώνουν συγκεκριμένες (γενικές ή ειδικές) πολιτικές απόψεις και η ψήφος των εκλογέων σε υποψήφιο του συνδυασμού υποδηλώνει ταυτόχρονα και πολιτική όσο και προσωπική επιλογή. Η πραγματικότητα αυτή συνιστά δημοκρατική κατάκτηση. Ασχέτως του μη συνδικαλιστικού χαρακτήρα των εν λόγω οργάνων, ουδείς δύναται να παραγνωρίσει ότι οι εκλογές αυτές με τα ανωτέρω χαρακτηριστικά και ιδίως με την ύπαρξη εκλογικών συνδυασμών με διακριτές και εμφανείς πολιτικές απόψεις, αποτυπώνουν πολιτικούς συσχετισμούς και απόψεις εντός του εκπαιδευτικού κλάδου και όχι απλώς υπηρεσιακές προτιμήσεις. Τα ίδια δε τα υποκείμενα των δεδομένων, ως οργανώνονται μέσω των αναγνωρισμένων συνδικαλιστικών τους οργάνων ανά εκπαιδευτική βαθμίδα (ΟΛΜΕ, ΔΟΕ) και τις συνδικαλιστικές παρατάξεις εντός αυτών, αποδέχονται εμπράκτως την πραγματικότητα αυτή.
Φαίνεται δηλαδή ότι αγνοήθηκε η σημαντική παράμετρος του πλαισίου (context) της επεξεργασίας, το οποίο πρέπει να λαμβάνεται υπόψη για τον καθορισμό της φύσης των δεδομένων[21], των κινδύνων που αναφύονται, των αναγκαίων μέτρων προστασίας τους[22] κ.ά. Είναι γεγονός ότι στοιχεία όπως τα ανωτέρω θα πρέπει να προσεγγίζονται κατά τρόπο όχι φορμαλιστικό, αλλά λειτουργικό, συνεξετάζοντας το ευρύτερο πλαίσιο εντός των οποίων αναπτύσσονται[23]. Απαραίτητη γι’ αυτό, ωστόσο, είναι η συστηματική προετοιμασία και προσέγγιση των συνολικών όρων μιας επεξεργασίας, οι οποίοι αποκαλύπτονται μέσω της διενέργειας και παρακολούθησης μιας μελέτης ΕΑΠΔ. Στη συγκεκριμένη δηλαδή περίπτωση φαίνεται ότι η παράλειψη διενέργειάς της, οδήγησε σε βεβιασμένες, τυπολατρικές και στενές κρίσεις, οι οποίες υποβάθμισαν την πραγματική διάσταση της συγκεκριμένης επεξεργασίας προσωπικών δεδομένων.
Αναφορικά με την παρελθούσα χρήση του συστήματος ψηφοφορίας
Δεδομένης της πρότερης χρήσης του συστήματος ψηφοφορίας ΖΕΥΣ σε άλλες εκλογικές διαδικασίες και βασιζόμενη ρητά σε αυτό, η Αρχή εκτίμησε ότι η λειτουργία του δεν εγκυμονεί κινδύνους για την προστασία του απορρήτου της ψήφου όσο και εν γένει των προσωπικών δεδομένων των φυσικών προσώπων. Επιπλέον έκρινε ότι δεν συνιστά καινοτόμο εφαρμογή, αλλά ακολουθεί ευρέως αποδεκτά διεθνή πρότυπα και η χρήση της έχει δοκιμαστεί επαρκώς.
Η συγκεκριμένη κρίση παρίσταται κατ’ αρχήν λογική. Ωστόσο, προσεκτικότερη εξέτασή της, φανερώνει μη ενδελεχή αξιολόγηση των πραγματικών περιστατικών.
Πράγματι, το σύστημα ΖΕΥΣ έχει χρησιμοποιηθεί και σε άλλες εκλογικές διαδικασίες[24]. Το δεδομένο αυτό κατ’ αρχήν ορθώς συνεκτιμάται από την Αρχή στην κρίση της σε σχέση με την αξιοπιστία του.
Πλην όμως δεν σημαίνει ότι:
α) το σύστημα ΖΕΥΣ ελέγχθηκε από την Αρχή ή από ανεξάρτητη ομάδα εμπειρογνωμόνων (πριν, κατά τη διάρκεια ή μετά το πέρας των εκλογών)
β) το σύστημα ΖΕΥΣ στερείται πιθανών κινδύνων, σφαλμάτων ή ελλείψεων αναφορικά με την προστασία του απορρήτου της ψήφου και εν γένει της ιδιωτικότητας
Αναφορικά με τα ανωτέρω, ούτε η Αρχή πρόβαλλε σχετικό ισχυρισμό. Εφόσον όμως δεν έχουν διενεργηθεί σχετικές εκτιμήσεις και έλεγχοι (με την αναγκαία συμμετοχή μάλιστα διαβούλευση με τα υποκείμενα των δεδομένων), το γεγονός της παρελθούσας χρήσης του συστήματος ΖΕΥΣ δεν επάγεται καμία βεβαιότητα σε σχέση με τα τεθέντα διακυβεύματα.
Περαιτέρω, η κρίση περί του ότι το σύστημα ΖΕΥΣ δε συνιστά καινοτόμο εφαρμογή, χρήζει ειδικότερης αξιολόγησης. Σύμφωνα με την ΟΕ 29[25] η καινοτόμος χρήση ή εφαρμογή νέων τεχνολογικών ή οργανωτικών λύσεων συνιστά κριτήριο αναφορικά με τη διενέργεια μελέτης ΕΑΠΔ. Ο ΓΚΠΔ διακρίνει έμμεσα τις νέες τεχνολογίες ως αυτές που υπερβαίνουν τα υφιστάμενα επίπεδα τεχνολογικής γνώση, δηλαδή φαίνεται να ακολουθεί μια εννοιολογική προσέγγιση. Ωστόσο, η ΟΕ 29 ακολουθεί πιο λειτουργική προσέγγιση[26] στη βάση των επιπτώσεων στα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Ακόμα και αν ένα σύστημα έχει εφαρμοσθεί σε μια συγκεκριμένη περίπτωση, η χρήση του σε μια επεξεργασία με διαφορετικά χαρακτηριστικά, δε σημαίνει ότι θα παράξει ακριβώς τους ίδιους κινδύνους ή θα έχει τις ίδιες ακριβώς επιπτώσεις. Η μεταβολή του συγκείμενου (context) μιας επεξεργασίας δεδομένων[27], μεταβάλλει ριζικώς το είδος των κινδύνων και τελικά τις πιθανές επιπτώσεις. Η αξιολόγηση των κινδύνων δε μπορεί να γίνεται με όρους σύγκρισης με άλλες επεξεργασίες στις οποίες χρησιμοποιήθηκε ένα σύστημα, αλλά θα πρέπει να εξειδικεύεται ad hoc.
Συνεπώς, η παρελθούσα χρήση του συγκεκριμένου (ή οποιουδήποτε άλλου) συστήματος διά του οποίου λαμβάνει χώρα επεξεργασία προσωπικών δεδομένων, δύναται να λαμβάνεται υπόψη υπό την προϋπόθεση ότι αυτό έχει τύχει αντικειμενικής τεχνικής έρευνας και αξιολόγησης όσο και ανάλυσης επιπτώσεων. Σε αντίθετη περίπτωση, είναι πιθανή η κατάφαση σε επεξεργασίες δεδομένων μέσω χρησιμοποιηθέντων συστημάτων, των οποίων η λειτουργία εγκυμονεί άγνωστους και μηδέποτε εντοπισμένους κινδύνους.
Αντί επιλόγου
Η Αρχή στη συγκεκριμένη απόφαση φαίνεται να υιοθέτησε μια απομακρυσμένη προσέγγιση, αποφεύγοντας να εισέλθει στις ειδικότερες τεχνικές εκφάνσεις του χρησιμοποιηθέντος συστήματος, όσο και στους πραγματικούς κινδύνους και συνέπειες για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Στην απόφασή της αυτή, δυστυχώς υπερκέρασε θεμελιώδεις διατάξεις του ΓΚΠΔ, ανεχόμενη παραβιάσεις εκ μέρους του υπευθύνου επεξεργασίας, δίχως μάλιστα να επιβάλλει καμία ουσιώδη και αποτρεπτική κύρωση. Η απόφαση αυτή δημιουργεί αρνητικό προηγούμενο αναφορικά με τους όρους εκπλήρωσης βασικών υποχρεώσεων που απορρέουν από τον ΓΚΠΔ και απομειώνει το απαιτούμενο επίπεδο προστασίας των φυσικών προσώπων, ιδίως όταν εισάγονται νέες τεχνολογικές εφαρμογές στην επεξεργασία προσωπικών δεδομένων. Εγγράφεται δε σε μια σειρά ιδιαίτερα ελαστικών αποφάσεων αναφορικά με τους δημοσίους φορείς που λειτουργούν από τη θέση του υπευθύνου επεξεργασίας.
Τέλος, αξίζει ιδιαίτερη αναφορά η συμμετοχή των εκπαιδευτικών σε αυτές τις πρώτες ηλεκτρονικές εκλογές. Το ποσοστό συμμετοχής ανήλθε κατά μέσο όρο από 5% έως 8% και αυτονόητα δεν παρήγαγε ένα ισχυρό νομιμοποιητικό αποτέλεσμα, ιδίως αν λάβει υπόψη κανείς το παραδοσιακά υψηλότατο ποσοστό συμμετοχής στις συγκεκριμένες εκλογές των προηγουμένων ετών. Οι εκπαιδευτικοί έδειξαν έμπρακτα και κατά τρόπο αναμφισβήτητο τη δικαιολογημένη δυσπιστία τους στη διαδικασία της ηλεκτρονικής ψηφοφορίας. Το στοιχείο αυτό θα πρέπει να διερευνηθεί και να ληφθεί δεόντως υπόψη σε οποιοδήποτε ανάλογο μελλοντικό εγχείρημα.
Δημήτρης Φάκας
Δικηγόρος Αθηνών
Υποσημειώσεις
[1] Στις αντίστοιχες εκλογές του 2018 το ποσοστό συμμετοχής ανήλθε σε 89%, ενώ ο αριθμός των ψηφισάντων έφτασε περί τις 116.000. Το ποσοστό συμμετοχής στην ηλεκτρονική ψηφοφορία του 2020 ανήλθε σε 7,5% και ο αριθμός των ψηφισάντων ήταν μόλις 13.000.
[2] Την οποία δεν επικαλέστηκε η Αρχή, ωστόσο αναγνωρίζεται καθολικά και είναι δυστυχώς διαχρονική.
[3] Από την υποβολή της καταγγελίας μέχρι την έκδοση της απόφασης επί του αιτήματος προσωρινής διαταγής.
[4] Ενδεικτικά: 85/2017, 27/2019, 28/2019 κλπ.
[5] Σύμφωνα με τις διατάξεις του ΓΚΠΔ και την υπ’ αριθμ 65/2018 απόφαση της Αρχής.
[6] Αρ.5 παρ.1 περίπτωση στ’ ΓΚΠΔ
[7] Αρ.5 παρ.2 ΓΚΠΔ
[8] Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισμού 2016/679. WP 248 αναθ. 01 σελ.5.
[9] Σε αυτό συγκλίνει και η αιτιολογική σκέψη 84 του ΓΚΠΔ: Το αποτέλεσμα της εκτίμησης θα πρέπει να λαμβάνεται υπόψη όταν καθορίζεται ποια μέτρα ενδείκνυται να ληφθούν, ώστε να αποδειχθεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα είναι σύμφωνη με τον παρόντα κανονισμό.
[10] Αρ.5 παρ.2 ΓΚΠΔ
[11] Εκτός βέβαια των περιπτώσεων όπου ο εκλογέας έχει προβεί σε σημειώσεις ή παρεμβάσεις επί του φακέλου ή του ψηφοδελτίου, οι οποίες δυνητικά θα μπορούσαν να οδηγήσουν στην ταυτοποίησή του. Στις περιπτώσεις αυτές η ψήφος, ανεξαρτήτως της τυχόν ταυτοποίησης του εκλογέα, ακυρώνεται.
[12] Και δε δύναται να συνιστά.
[13] Αλλά όχι μόνο από αυτή. Βλ. κατωτέρω.
[14] Οι διασφαλίσεις που ισχύουν σε μια κανονική ψηφοφορία (ορατότητα, δημοσιότητα, διαφάνεια, λογοδοσία, εποπτεία μέσω των εκλογικών αντιπροσώπων με δυνατότητα άμεσης άσκησης ενστάσεων και παρατηρήσεων), κυριολεκτικά εξαφανίζονται, άλλως υποβιβάζονται σε τέτοιο βαθμό που πρακτικά δεν ασκούνται. Είναι πρακτικά αδύνατο ένα μέλος εφορευτικής επιτροπής ή ένας εκλογικός αντιπρόσωπος να αντιληφθεί την ύπαρξη σφαλμάτων στην εξ αποστάσεως ψηφοφορία και να ασκήσει τα οριζόμενα στο νόμο δικαιώματα.
[15] Ή άλλων κενών ασφαλείας π.χ. στο δίκτυο.
[16] Παράμετρο για την οποία δεν υπάρχουν καν επαρκή ερευνητικά δεδομένα. Για παράδειγμα δεν γνωρίζουμε αν η ηλεκτρονική ψηφοφορία ευνοεί τη συμμετοχή συγκεκριμένων κατηγοριών εκλογέων και αποθαρρύνει τη συμμετοχή άλλων.
[17] Η ίδια η αρχή της υπερσύνδεσης, που αποτελεί τη βάση των διαδραστικών μέσων, αντικειμενοποιεί τη διαδικασία του συνειρμού, που θεωρείται συχνά κεντρικής σημασίας για την ανθρώπινη σκέψη. Οι νοητικές διεργασίες του αναστοχασμού, της επίλυσης προβλημάτων, της ανάκλησης και του συνειρμού εξωτερικεύονται, εξομοιώνονται με την επιλογή ενός συνδέσμου, με τη μετακίνηση σε μια νέα σελίδα, με την επιλογή μιας νέας εικόνας ή μιας νέας σκηνής…Με λίγα λόγια καλούμαστε να ακολουθήσουμε συσχετισμούς που έχουν τη δική τους αντικειμενική ύπαρξη και οι οποίοι έχουν προγραμματιστεί εκ των προτέρων…καλούμαστε να θεωρήσουμε τη δομή του νου κάποιου άλλου ως δομή του δικού μας νου…Αν οι θεατές του κινηματογράφου, άντρες ή γυναίκες, ποθούσαν και προσπαθούσαν να μιμηθούν το σώμα ενός σταρ του κινηματογράφου, οι χρήστες του υπολογιστή καλούνται να ακολουθήσουν τη νοητική τροχιά του σχεδιαστή των νέων μέσων. Λεβ Μάνοβιτς, Η Γλώσσα των Νέων Μέσων, ΑΣΚΤ, 2001, σελ. 118, 119
[18] Βλ. ενδεικτικά Clara Faulí, Katherine Stewart, Federica Porcu, Jirka Taylor, Alexandra Theben, Ben Baruch, Frans Folkvord, Fook Nederveen, Axelle Devaux and Francisco Lupiáñez-Villanueva, 2018. Study on the benefits and drawbacks of remote voting solutions. European Commission, σελ.26, διάθεσιμο στο: https://ec.europa.eu/info/sites/default/files/remote_voting_main_findings.pdf
[19] Για παράδειγμα, θα ήταν ενδιαφέρον να εξεταστεί ο αριθμός των ενστάσεων που υποβάλλονται στις αναλογικώς διενεργούμενες εκλογικές διαδικασίες και ο αριθμός των ενστάσεων που έχουν υποβληθεί σε ηλεκτρονικώς διεξαχθείσες εκλογές και κυρίως ο τρόπος εντοπισμού των τυχόν παραβιάσεων της εκλογικής νομοθεσίας.
[20] Βλ.αρ.4 παρ.3 Φ.350/51/139940/Ε3 (ΦΕΚ Β 4537/14.10.2020): Η καταχώριση των ψηφοδελτίων στο σύστημα «ΖΕΥΣ» πραγματοποιείται: α. ανά συνδυασμό, εισάγοντας το όνομα αυτού ή, αν πρόκειται για ανεξάρτητο υποψήφιο, το όνομα του υποψηφίου και β. αλφαβητικά εντός κάθε συνδυασμού, εισάγοντας αλφαβητικά το ονοματεπώνυμο και το πατρώνυμο καθενός από τα υποψήφια αιρετά μέλη.
Επίσης αρ.5 παρ.1 εδ.β’ Φ.350/51/139940/Ε3 (ΦΕΚ Β 4537/14.10.2020): Μέσω των ανωτέρω κωδικών πρόσβασης, ο εκάστοτε Διαχειριστής αποκτά πρόσβαση στο σύστημα «ΖΕΥΣ» και καταχωρίζει τα απαραίτητα στοιχεία για τη διεξαγωγή της ηλεκτρονικής ψηφοφορίας, ήτοι: α) τον τύπο, την έναρξη/λήξη, τον τίτλο και την περιγραφή της ψηφοφορίας, β) τα ονοματεπώνυμα, τις διευθύνσεις ηλεκτρονικού ταχυδρομείου (“email”) και τα τηλέφωνα επικοινωνίας των μελών της αρμοδίας κατά περίπτωση Εφορευτικής Επιτροπής, γ) τους συνδυασμούς και τα ονοματεπώνυμα και τα πατρώνυμα των υποψηφίων κάθε κάλπης, δ) το ονοματεπώνυμο, το πατρώνυμο, τη διεύθυνση ηλεκτρονικού ταχυδρομείου (“email”) και τον μοναδικό κωδικό εκλογέα των εκλογέων, όπως αυτά προκύπτουν από τους κατά τα ανωτέρω καταρτισθέντες πίνακες εκλογέων.
Επίσης αρ.6 παρ.2 Φ.350/51/139940/Ε3 (ΦΕΚ Β 4537/14.10.2020): Κάθε συνδυασμός ή ανεξάρτητος υποψήφιος μπορεί να απευθυνθεί στην Εφορευτική Επιτροπή, το αργότερο δύο (2) ημέρες πριν από την ψηφοφορία, εκδηλώνοντας εγγράφως τη βούλησή του, να παραστεί διά εκπροσώπου, αντιπροσώπου ή αυτοπροσώπως, στον χώρο που θα γίνει η εξαγωγή των αποτελεσμάτων και η καταμέτρηση των ψήφων.
[21] Ενδεικτικά: Αιτιολογική Σκέψη 51 ΓΚΠΔ, WP29 Advice paper on special categories of data (“sensitive data”) [2011],
[22] Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισμού 2016/679. WP 248 αναθ. 01, σελ.8,16,17 κλπ
[23] Την προσέγγιση αυτή ακολουθούν τόσο τα έγγραφα (κατευθυντήριες οδηγίες, γνώμες κλπ) που έχει εκδώσει η ΟΕ29, όσο και πλέον το ΕΣΠΔ.
[24] Ενδεικτικά: εκλογές για την ανάδειξη Πρυτάνεων, Αντιπρυτάνεων και Συμβουλίων Διοίκησης σε Πανεπιστήμια
[25] Κατευθυντήριες γραμμές για την εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) και καθορισμός του κατά πόσον η επεξεργασία «ενδέχεται να επιφέρει υψηλό κίνδυνο» για τους σκοπούς του κανονισμού 2016/679. WP 248 rev.01 σελ.12
[26] Επιπλέον, η χρήση μιας τέτοιας τεχνολογίας μπορεί να περιλαμβάνει νέες μορφές συλλογής και χρήσης δεδομένων, πιθανώς με υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Πράγματι, οι προσωπικές και κοινωνικές επιπτώσεις από τη χρήση μιας νέας τεχνολογίας ενδέχεται να είναι άγνωστες. WP 248 rev.01 σελ.13
[27] Διαφορετικά υποκείμενα δεδομένων, διαφορετικό κοινωνικό ή επαγγελματικό πεδίο στο οποίο αυτά υπάγονται, διαφορετικά διακυβεύματα κλπ.