Την 1η Μαρτίου 2024, ένας μεγάλος αριθμός χρηστών σε ιστοσελίδες κοινωνικής δικτύωσης άρχισε να διαμαρτύρεται για email που έλαβαν από την κ. Άννα – Μισέλ Ασημακοπούλου, μέλος του Ευρωπαϊκού Κοινοβουλίου, με το οποίο τους καλεί να εγγραφούν σε newsletter.
Το ενδιαφέρον εντοπίζεται στο γεγονός ότι, σύμφωνα με τους διαμαρτυρόμενους, οι ίδιοι δεν έδωσαν ποτέ τις διευθύνσεις ηλεκτρονικού ταχυδρομείου τους (email) στην Ευρωβουλευτή. Αντιθέτως, ορισμένοι ισχυρίστηκαν ότι τα συγκεκριμένα email, στα οποία έλαβαν την εν λόγω επικοινωνία, τα είχαν κοινοποιήσει αποκλειστικά στον κατάλογο των εκλογέων εξωτερικού, που τηρεί το Υπουργείο Εσωτερικών (εφεξής «ΥΠΕΣ»). Αξίζει δε να αναφερθεί ότι κατά μια περίεργη σύμπτωση, το ΥΠΕΣ λίγες ώρες μετά την αποστολή της προαναφερθείσας επικοινωνίας από την κ. Ασημακοπούλου, έστειλε και εκείνο email στους εκλογείς εξωτερικού. Η ίδια η Ευρωβουλευτής δεν παρείχε πληροφορίες ως προς την πηγή των στοιχείων επικοινωνίας στα οποία απέστειλε email, ο Γενικός Γραμματέας του ΥΠΕΣ δεν παρέδωσε πουθενά στοιχεία επικοινωνίας εκλογέων εξωτερικού ενώ και η Υπουργός ανακοίνωσε τη διενέργεια εσωτερικού ελέγχου «προκειμένου να επιβεβαιωθεί η επάρκεια της ασφάλειας των διαδικασιών προστασίας δεδομένων προσωπικού χαρακτήρα σε ό,τι αφορά τους εκλογικούς καταλόγους του 2023 και ευρύτερα».
Η ιστορία αυτή φέρνει ορισμένα ζητήματα στην επιφάνεια, των οποίων η διευκρίνιση θα διευκολύνει τον αναγνώστη να θυμηθεί τι ισχύει για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της πολιτικής επικοινωνίας.
Συνιστά η αποστολή email, επεξεργασία σε προσωπικά δεδομένα;
Σύμφωνα με το άρθρο 4 στοιχ. 1’ του Κανονισμού (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»), ως προσωπικό δεδομένο ορίζεται οποιαδήποτε πληροφορία «που αφορά ταυτοποιημένο ή ταυτοποιήσιμο», άμεσα ή έμμεσα, με τη χρήση οποιουδήποτε αναγνωριστικού στοιχείου ταυτότητας, εν ζωή φυσικό πρόσωπο (το οποίο ονομάζεται «υποκείμενο των δεδομένων»). Αντιστοίχως, «επεξεργασία», σύμφωνα με το άρθρο 4 στοιχ. 2’ του ΓΚΠΔ, ορίζεται κάθε πράξη ή σειρά πράξεων που διενεργείται σε προσωπικά δεδομένα.
Βάσει των ανωτέρω, τα email στα οποία περιλαμβάνεται το ονοματεπώνυμο του χρήστη -είτε ολόκληρα είτε τα αρχικά (λ.χ. stergioskonstantinou@ymail.com ή sk@ymail.gr) – συνιστούν προσωπικά δεδομένα. Συνεπώς, η αποστολή μηνυμάτων σε αυτά τα email με σκοπό την πολιτική επικοινωνία, αποτελεί επεξεργασία προσωπικών δεδομένων. Εξαίρεση μπορεί να αποτελούν διευθύνσεις όπως λ.χ. info@office.gr.
Το 2022, με την απόφαση 1343-5/2022, το Συμβούλιο της Επικρατείας έβγαλε την πολιτική επικοινωνία από το πεδίο εφαρμογής του ν.3471/2006
Τι σημαίνει «πολιτική επικοινωνία»;
Σύμφωνα με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ») στις Κατευθυντήριες Γραμμές 1/2023 , «[π]ολιτική είναι η επικοινωνία που πραγματοποιείται από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης σε οποιαδήποτε χρονική περίοδο, προεκλογική ή μη, για την προώθηση πολιτικών ιδεών, προγραμμάτων δράσης ή άλλων δραστηριοτήτων με σκοπό την υποστήριξή τους και τη διαμόρφωση πολιτικής συμπεριφοράς. Η πολιτική επικοινωνία μπορεί να πραγματοποιείται με ποικίλους τρόπους, όπως με την άμεση παρουσίαση των πολιτικών ιδεών ή με τη συμπερίληψή τους σε ενημερωτικό δελτίο, με την πρόσκληση ανάγνωσής τους σε ιστοσελίδα ή με την πρόσκληση συμμετοχής σε κάποια εκδήλωση ή δραστηριότητα».
Ποιο είναι το ρυθμιστικό πλαίσιο για την επεξεργασία προσωπικών δεδομένων στο πλαίσιο πολιτικής επικοινωνίας;
Μέχρι και το 2022, εφαρμογής τύγχανε, ως lex specialis, ο ν.3471/2006, ο οποίος ρύθμιζε την αζήτητη επικοινωνία για σκοπούς «απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς» (ο οποίος εφαρμόζονταν και σε νομικά πρόσωπα) σε συνδυασμό με τις εν ισχύι γενικές προβλέψεις του εκάστοτε ισχύοντος ρυθμιστικού πλαισίου (αρχικά ο ν.2472/1997, αργότερα ο ΓΚΠΔ και ο ν.4624/2019).
Εντούτοις, το 2022 με την απόφαση 1343-5/2022, το Συμβούλιο της Επικρατείας (εφεξής «ΣτΕ») έβγαλε την πολιτική επικοινωνία από το πεδίο εφαρμογής του ν.3471/2006, καθώς αυτή διενεργείται στο πλαίσιο του γενικού δικαιώματος συμμετοχής στην πολιτική ζωή της χώρας, του δικαιώματος των πολιτών στην πληροφόρηση και της εκπλήρωσης της συνταγματικής αποστολής των πολιτικών κομμάτων. Αυτό δεν σημαίνει ότι η πολιτική επικοινωνία διενεργείται αρρύθμιστα, αντιθέτως πρέπει να γίνεται με πλήρη εναρμόνιση με το πρωτογενές και παράγωγο ενωσιακό δίκαιο καθώς και με το Άρθρο 9Α Σ.
Συνεπώς, εφαρμογής τυγχάνει ο ΓΚΠΔ και ο ν.4624/2019, όπως ισχύει, τον οποίο αποκρυσταλλώνουν για τις επεξεργασίες που διενεργούνται στο πλαίσιο πολιτικής επικοινωνίας, οι υπ’ αριθμ. 1/2023 Κατευθυντήριες Γραμμές της ΑΠΔΠΧ.
Πως έπρεπε να διενεργηθεί η πολιτική επικοινωνία από πλευράς της κ. Ασημακοπούλου βάσει του υφιστάμενου ρυθμιστικού πλαισίου;
Βάσει του υφιστάμενου ρυθμιστικού πλαισίου, η πολιτική επικοινωνία μπορεί να διενεργηθεί είτε βάσει της έγκυρης συγκατάθεσης του αποδέκτη, η οποία πρέπει να αποδεικνύεται, είτε βάσει υπέρτερου εννόμου συμφέροντος που εκάστοτε ισχύει και έναντι του συμφέροντος αυτού δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των αποδεκτών, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες τους βάσει της σχέσης τους με τον πομπό της επικοινωνίας. Εντούτοις, υπάρχουν υποχρεώσεις που πρέπει να τηρούνται ασχέτως νόμιμης βάσης επεξεργασίας. Μια από τις πιο χαρακτηριστικές υποχρεώσεις είναι αυτή της διαφάνειας. Συγκεκριμένα, θα πρέπει στους αποδέκτες να παρέχεται η πληροφόρηση που το άρθρο 13 & 14 ΓΚΠΔ ορίζει όπως λ.χ. για τυχόν αποδέκτες των δεδομένων τους, τον χρόνο τήρησης καθώς και -σε περίπτωση που τα δεδομένα τους χορηγήθηκαν από διαφορετική πηγή- πλήρης και σαφείς πληροφορίες για την πηγή αυτή.
Συνεπώς, θα έπρεπε η αποστολή της επικοινωνίας από την κ. Ασημακοπούλου να συνοδεύεται από ένα ενημερωτικό σημείωμα, στο οποίο θα παρέχονταν όλες οι κανονιστικά προβλεπόμενες πληροφορίες συμπεριλαμβανομένων αυτών που αφορούν την πηγή των δεδομένων τους. Αντιθέτως, στην προκείμενη περίπτωση, όπως και σε πολλές άλλες αντίστοιχες, η επικοινωνία φαίνεται να συνοδεύθηκε από ένα γενικό κείμενο όρων χρήσης, το οποίο δεν πληρούσε τις προαναφερόμενες προϋποθέσεις.
To ΔΕΕ, σε πρόσφατη απόφασή του, ορίζει ότι «ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων αυτών από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του κανονισμού, μπορεί αφ’ εαυτού να αποτελέσει «μη υλική ζημία».
Τι σημαίνει η μη τήρηση των κανόνων πολιτικής επικοινωνίας;
Όταν κάποιος διενεργεί πολιτική επικοινωνία χωρίς την τήρηση του ως άνω ρυθμιστικού πλαισίου για την προστασία προσωπικών δεδομένων, τότε είναι έκθετος:
1. Στην επιβολή διοικητικού προστίμου από την ΑΠΔΠΧ, σε περίπτωση που η τελευταία διαπιστώσει παραβίαση. Σημειώνεται ότι, με ανακοίνωσή της, η ΑΠΔΠΧ προχώρησε σε αυτεπάγγελτο έλεγχο του θέματος.
2. Σε ποινική δίωξη, δυνάμει του άρθρου 38 του ν.4624/2019, όπως ισχύει. Σημειώνεται ότι η Εισαγγελία Πρωτοδικών της Αθήνας διέταξε προκαταρκτική εξέταση προκειμένου να διερευνηθεί η παραβίαση του ρυθμιστικού πλαισίου προστασίας δεδομένων από ποινικής πλευράς.
3. Σε αξίωση αποκατάστασης τυχόν προκληθείσας ζημίας ή ηθικής βλάβης που μπορεί η επικοινωνία να προκάλεσε (άρθρο 82 ΓΚΠΔ). Αξίζει να σημειωθεί σε αυτό το σημείο, ότι το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ») σε πρόσφατη απόφασή του ορίζει ότι «ο φόβος υποκειμένου δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων αυτών από τρίτους, ο οποίος προκλήθηκε στο πρόσωπο αυτό κατόπιν παράβασης του κανονισμού, μπορεί αφ’ εαυτού να αποτελέσει «μη υλική ζημία».
Τι γίνεται στην περίπτωση που οι πληροφορίες διέρρευσαν από το Υπουργείο Εσωτερικών;
Εάν τα στοιχεία επικοινωνίας είχαν διαρρεύσει από το ΥΠΕΣ, αυτό σημαίνει ότι στο τελευταίο έλαβε χώρα παραβίαση εμπιστευτικότητας προσωπικών δεδομένων. Στην περίπτωση αυτή, το ΥΠΕΣ θα πρέπει, εντός 72 ωρών από τη στιγμή που έλαβε γνώση του περιστατικού, να το γνωστοποιήσει στην ΑΠΔΠΧ και -λόγω της φύσης του περιστατικού- να το ανακοινώσει στα υποκείμενα των δεδομένων. Σε περίπτωση που διαπιστωθεί παραβίαση από την ΑΠΔΠΧ, το ΥΠΕΣ θα είναι έκθετο σε διοικητικές κυρώσεις, οι οποίες μπορεί να φτάσουν τα πάρα πολύ υψηλά πρόστιμα, ήτοι 10.000.000 ή 20.000.000 ευρώ.
* Ο κ. Στέργιος Κωνσταντίνου είναι Δικηγόρος – Ειδικός στο δίκαιο προστασίας προσωπικών δεδομένων, Διανοητικής Ιδιοκτησίας & ΤΠΕ, Co – Chair στο Ελληνικό KnowledgeNet Chapter της IAPP | CIPP/E, CIPM, FIP, Πολιτικός Επιστήμονας.