Skip to main content

GDPR και υπερβολικά δεδομένα: «ουκ εν τω πολλώ τω ευ»

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 29/03/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Πριν από λίγες ημέρες η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου παρέδωσε στον Πρόεδρο της Δημοκρατίας την Έκθεση του Γραφείου της για το 2019. Η Έκθεση βρίθει ενεργειών του Γραφείου Επιτρόπου με εξαιρετικό ενδιαφέρον για την εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού και ως GDPR, ο οποίος αποτελεί τη σπονδυλική στήλη του προστατευτικού πλαισίου όχι μόνο στην Ελλάδα, αλλά και στην Κύπρο.

Εξ αυτών, επιλέγουμε σήμερα να παρουσιάσουμε εν συντομία τέσσερις υποθέσεις που αφορούν την καταγγελθείσα επεξεργασία υπερβολικών προσωπικών δεδομένων. Εφόσον θεμελιώνεται, πρόκειται για παράνομη πρακτική που παραβιάζει πρωτίστως το άρθρο 5 παρ. 1 περ. γ΄ του GDPR και την προβλεπόμενη σε αυτό αρχή της ελαχιστοποίησης των προσωπικών δεδομένων (αρχή της αναλογικότητας). Σύμφωνα με αυτή, τα προσωπικά δεδομένα που αποτελούν αντικείμενο επεξεργασίας επιβάλλεται να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.

Σημειώνεται ότι, παρά τον παιγνιώδη τίτλο του άρθρου, η αρχή της ελαχιστοποίησης των δεδομένων αφορά όχι μόνο την ποσότητα, αλλά και την ποιότητα των προσωπικών δεδομένων. Έτσι, συνήθως παραβιάζεται όταν συλλέγονται πάρα πολλά δεδομένα, π.χ. ζητείται από υπάλληλο να προσκομίσει ολόκληρο τον ιατρικό φάκελό του για να διαπιστωθεί η ικανότητα της εργασίας του, ενώ είναι προφανές ότι αυτό δεν είναι αναγκαίο για τη σχετική αξιολόγηση. Μολαταύτα, μπορεί να παραβιάζεται και όταν συλλέγονται ελάχιστα δεδομένα, η συλλογή των οποίων αποτελεί δυσανάλογη παρέμβαση στα δικαιώματα και τα συμφέροντα του υποκειμένου, π.χ. η συλλογή ενός μόνο δεδομένου που αφορά συγκεκριμένη πάθηση υποψήφιου εργαζομένου, η οποία θα τον δυσχέραινε μεν στην περίπτωση χειρωνακτικής εργασίας, ουδόλως όμως τον επηρεάζει για την άσκηση διοικητικών καθηκόντων τα οποία αφορά αποκλειστικά η επίμαχη θέση.

Ακολουθεί η συνοπτική ανάπτυξη των τεσσάρων υποθέσεων όπως αντλούνται από την Έκθεση, η οποία είναι διαθέσιμη στην ιστοσελίδα του Γραφείου Επιτρόπου στη διεύθυνση http://www.dataprotection.gov.cy/.

Α. Πρακτική βιβλιοθήκης πανεπιστημίου για κατακράτηση πολιτικής ταυτότητας

Στην εν λόγω υπόθεση καταγγέλθηκε πρακτική βιβλιοθήκης πανεπιστημίου για την κατακράτηση της πολιτικής ταυτότητας επισκέπτη, ο οποίος λάμβανε κάρτα επισκέπτη κατά την είσοδό του, παραδίδοντας την πολιτική ταυτότητά του, ώστε να διασφαλιστεί η επιστροφή της κάρτας επισκέπτη. Μετά το πέρας της επίσκεψής του, ο επισκέπτης επέστρεφε την κάρτα επισκέπτη και λάμβανε πίσω την πολιτική ταυτότητά του. Το Γραφείο Επιτρόπου έκρινε πως το επίμαχο μέτρο ήταν δυσανάλογο και πως θα έπρεπε να υιοθετηθεί άλλος μηχανισμός διασφάλισης της επιστροφής κάρτας επισκέπτη. Σε σύντομο χρονικό διάστημα, η βιβλιοθήκη πανεπιστημίου υιοθέτησε άλλο μηχανισμό και έπαψε την εφαρμογή της επίμαχης πρακτικής.

Β. Πρακτική ασφαλιστικής εταιρείας για προσκόμιση αποτελέσματος εξέτασης προ της καταβολής αποζημίωσης

Στην εν λόγω υπόθεση καταγγέλθηκε η απόρριψη απαίτησης ασφαλισμένης για αποζημίωση γυναικολογικής εξέτασής της (τεστ Παπανικολάου) από ασφαλιστική εταιρεία. Το επιχείρημα της ασφαλιστικής εταιρείας ήταν ότι απαιτείτο η ασφαλισμένη να υποβάλει πρώτα το αποτέλεσμα της εξέτασης στην ασφαλιστική εταιρεία, ώστε να είναι δυνατή η αξιολόγηση της απαίτησής της. Το Γραφείο Επιτρόπου έκρινε πως η ασφαλιστική εταιρεία όφειλε να καταβάλει την αποζημίωση ανεξαρτήτως του αποτελέσματος της επίμαχης εξέτασης, δεδομένου ότι το ασφαλιστήριο συμβόλαιο της ασφαλισμένης αφορούσε εξετάσεις ρουτίνας. Κατόπιν υποβολής αιτήματος παροχής εξηγήσεων από το Γραφείο Επιτρόπου στην ασφαλιστική εταιρεία ως προς το αν υφίστατο νομική βάση για την αξίωση υποβολής του αποτελέσματος της εξέτασης και ως προς το αν κατ’ αυτό τον τρόπο παραβιαζόταν η αρχή της ελαχιστοποίησης, η ασφαλιστική εταιρεία προέβη στην καταβολή της αποζημίωσης στην ασφαλισμένη, χωρίς να χρειασθεί η υποβολή στην εταιρεία του αποτελέσματος της εξέτασης.

Γ. Πρακτική δικηγορικού γραφείου για συμπλήρωση πλήθους στοιχείων σε αίτηση πρόσληψης υποψηφίου

Στην εν λόγω υπόθεση καταγγέλθηκε πρακτική δικηγορικού γραφείου να ζητά από υποψήφιους πρόσληψης, μέσω συμπλήρωσης συγκεκριμένου εντύπου, την παροχή πλήθους προσωπικών δεδομένων τους, μεταξύ άλλων, για την οικογενειακή κατάσταση, τον αριθμό τέκνων, την εθνικότητα, τη θρησκεία, τον αριθμό κοινωνικών ασφαλίσεων, το επάγγελμα πατέρα, το επάγγελμα μητέρας, το επάγγελμα συζύγου/αρραβωνιαστικού, το αν ο υποψήφιος υπηρέτησε στην Εθνική Φρουρά και το αν ο υποψήφιος είναι καπνιστής. Το Γραφείο Επιτρόπου έκρινε ότι τα ως άνω στοιχεία, τα οποία καλείτο να συμπληρώσει ο υποψήφιος πρόσληψης στο επίμαχο έντυπο, ήταν υπερβολικά και αχρείαστα για την αξιολόγηση ενός υποψηφίου προς πρόσληψη, κατά παράβαση της αρχής της ελαχιστοποίησης. Κατόπιν τούτων, το δικηγορικό γραφείο έπαψε να ζητά τα ως άνω στοιχεία από υποψήφιους προς πρόσληψη, μεταβάλλοντας τη μέχρι τότε πρακτική του.

Δ. Πρακτική κινηματογράφου για έγγραφη συγκατάθεση γονέα, ώστε ανήλικος να παρακολουθήσει ακατάλληλη ταινία

Στην εν λόγω υπόθεση καταγγέλθηκε πρακτική κινηματογράφου για υπογραφή από γονέα εντύπου με το όνομα και την ηλικία του τέκνου του, ώστε το τελευταίο να παρακολουθήσει μαζί με τον γονέα ταινία που απευθυνόταν σε ανηλίκους μεγαλύτερης ηλικίας. Στο πλαίσιο εξέτασης της καταγγελίας, το Γραφείο Επιτρόπου ζήτησε την παροχή εξηγήσεων από τον κινηματογράφο. Ο Διευθυντής αυτού απάντησε ότι σύμφωνα με τη νομοθεσία που διέπει την κατάταξη και την προβολή κινηματογραφικών ταινιών, κρίνεται επιβεβλημένη σε περιπτώσεις όπως η επίμαχη η γραπτή γονική συγκατάθεση. Και αυτό, ώστε να διασφαλίζεται, σε περίπτωση ελέγχου ή παραπόνου, η τεκμηρίωση από τον κινηματογράφο ότι ο ανήλικος συνοδευόταν από γονέα ή κηδεμόνα και ότι ο τελευταίος συγκατατέθηκε στην παρουσία του ανηλίκου εντός της κινηματογραφικής αίθουσας. Όπως επισημάνθηκε μάλιστα από τον κινηματογράφο, η εν λόγω πρακτική υιοθετήθηκε κατόπιν κρουσμάτων απόπειρας παρακολούθησης ακατάλληλων ταινιών από ανηλίκους. Κατόπιν τούτων, το Γραφείο Επιτρόπου έκρινε ότι η εν λόγω πρακτική ήταν δικαιολογημένη και ότι δεν συνέτρεχε εν προκειμένω παραβίαση του GDPR.

 

GDPR και «δημοσιογραφία» – Ζουμ στις πρόσφατες εξελίξεις

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 16/03/2021

Αναδημοσίευση: www.analuseto.gr
Ημερομηνία αναδημοσίευσης: 16/03/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Μετά τις πρόσφατες μηνύσεις σε βάρος επωνύμων για σεξουαλικά αδικήματα, τα γεγονότα βίας στην Αθήνα, τις δημόσιες ανακοινώσεις και τις αναρτήσεις βίντεο στο διαδίκτυο, επανέρχεται με ορμητικότητα στο προσκήνιο το ζήτημα της επεξεργασίας προσωπικών δεδομένων στο πλαίσιο άσκησης «δημοσιογραφίας». Η τελευταία για τις ανάγκες του παρόντος ενημερωτικού άρθρου νοείται lato sensu, ώστε να περιλαμβάνει τόσο ενέργειες δημοσιογράφων όσο και ενέργειες πολιτών που επιχειρούν να ενημερώσουν το κοινό για συγκεκριμένα συμβάντα, γι’ αυτό και τίθεται σε εισαγωγικά.

Εν προκειμένω, γεννάται πλέγμα προβληματισμών, οι απαντήσεις στους οποίους δεν είναι μονοσήμαντες. Πέραν μεμονωμένων υποθέσεων, όπου οι παραβάσεις είναι εξόφθαλμες, η κάθε περίπτωση απαιτεί εξατομικευμένη προσέγγιση και ειδικές σταθμίσεις.

Σημειώνεται ότι κατ’ εφαρμογή του άρθρου 85 GDPR, το άρθρο 28 του εφαρμοστικού του GDPR Ν. 4624/2019 περιέχει τις προϋποθέσεις για την επιτρεπτή επεξεργασία προσωπικών δεδομένων για δημοσιογραφικούς σκοπούς.

Χρήσιμη είναι, λοιπόν, η κωδικοποιημένη ενημέρωση για τις ακόλουθες πρόσφατες εξελίξεις που μπορούν να παρέχουν ορισμένες κατευθύνσεις.

Α. Ως προς τους δημοσιογράφους:

1. Στις 26 Φεβρουάριου η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Α.Π.Δ.Π.Χ.) εξέδωσε ανακοίνωση για την αυτούσια ανάρτηση σε ιστοσελίδες απολογητικού υπομνήματος γνωστού σκηνοθέτη – ηθοποιού, εναντίον του οποίου έχουν υποβληθεί μηνύσεις για διάπραξη σεξουαλικών αδικημάτων. Υπό το πρίσμα του δικαίου προστασίας προσωπικών δεδομένων, κατά την Α.Π.Δ.Π.Χ., η αυτούσια δημοσίευση του εν λόγω υπομνήματος προσέβαλε σοβαρά τα ευαίσθητα δεδομένα προσώπων, τα οποία ρητά κατονομάζονταν στο υπόμνημα ή των οποίων θα ήταν δυνατή η ταυτοποίηση. Για τον λόγο αυτό, οι διαχειριστές και υπεύθυνοι των συγκεκριμένων ιστοσελίδων κλήθηκαν να λάβουν τα αναγκαία μέτρα συμμόρφωσης προς τη νομοθεσία. Κατ’ ελάχιστο μάλιστα τους ζητήθηκε να προβούν στη διαγραφή από το κείμενο του υπομνήματος των ονομάτων ή των τυχόν υφιστάμενων στοιχείων ταυτοποίησης συγκεκριμένων προσώπων. Όπως περαιτέρω τονίσθηκε, οι ως άνω είναι υποχρεωμένοι να μην επαναλάβουν στο μέλλον την ίδια ή αντίστοιχη ταυτοποίηση.

2. Στις 3 Μαρτίου το Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Γραφείο Επιτρόπου) δημοσίευσε στην ιστοσελίδα του τις αποφάσεις του για την περίοδο Οκτωβρίου 2020 – Ιανουαρίου 2021. Σε μία εξ αυτών, το Γραφείο Επιτρόπου άσκησε αυτεπαγγέλτως έλεγχο για δημοσίευμα εφημερίδας, το οποίο περιελάμβανε αυτούσια λίστα με προσωπικά δεδομένα πολιτογραφημένων προσώπων. Όπως κρίθηκε, η δημοσιοποίηση πληροφοριών, όπως η ημερομηνία γέννησης των εμπλεκομένων προσώπων και τα ονοματεπώνυμα των μελών της οικογένειάς τους, τα οποία δεν ήταν πολιτικά εκτειθέμενα πρόσωπα, είχε ως αποτέλεσμα την υπέρβαση του μέτρου που έθετε ο επιδιωκόμενος σκοπός του επίμαχου δημοσιεύματος. Κατ’ αυτό τον τρόπο μάλιστα δεν τηρήθηκε η αρχή της ελαχιστοποίησης των δεδομένων, η οποία κατά τον GDPR επιβάλλει τα προσωπικά δεδομένα να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Για τους λόγους αυτούς, η εφημερίδα που αποτέλεσε αντικείμενο του ελέγχου δέχθηκε σχετική προειδοποίηση, ώστε να απέχει στο μέλλον από παρόμοιες δημοσιεύσεις.

3. Στην ίδια ως άνω δέσμη αποφάσεων, περιλαμβάνεται έτερη απόφαση του Γραφείου Επιτρόπου για καταγγελία εναντίον δύο εφημερίδων σχετικά με συγκεκριμένο δημοσίευμα. Το τελευταίο αφορούσε ισχυρισθείσα επίθεση από εκπαιδευτικό σε μαθητή, ο οποίος εκπαιδευτικός όμως, ενέπιπτε στη σφαίρα του δημοσίου προσώπου λόγω άλλης ενασχόλησής του. Το δημοσίευμα δεν ανέφερε το ονοματεπώνυμο του εμπλεκομένου προσώπου, εν τούτοις ο τίτλος του περιελάμβανε πρόσθετα στοιχεία, τα οποία θα μπορούσαν να οδηγήσουν στην ταυτοποίησή του από άτομα του ευρύτερου κοινωνικού περιβάλλοντός του. Αυτό είχε ως αποτέλεσμα, κατόπιν της δημοσίευσης, ο καταγγείλας, η οικογένειά του και ο ευρύτερος κοινωνικός κύκλος του να δεχθούν τηλεφωνικές κλήσεις από οικείους τους, με περαιτέρω συνέπεια τη γέννηση του αισθήματος της προσβολής. Εν προκειμένω, το Γραφείο Επιτρόπου έκρινε ότι το δικαίωμα της ελευθερίας έκφρασης υπερείχε του δικαιώματος προστασίας των προσωπικών δεδομένων. Κατ’ επέκταση δεν διαπιστώθηκε παράβαση.

Β. Ως προς τους πολίτες που επιχειρούν να ενημερώσουν το κοινό για συγκεκριμένα συμβάντα:

1. Στις 14 Ιανουαρίου δημοσιεύθηκε απόφαση (20/01790) της εποπτικής Αρχής της Νορβηγίας η οποία αφορούσε περιστατικό σε παντοπωλείο. Ο υπεύθυνος του καταστήματος κατέγραψε στο προσωπικό κινητό τηλέφωνό του παιδιά, τα οποία θεώρησε ότι διέπρατταν κλοπή, με πρόθεση να τα ταυτοποιήσει. Στη συνέχεια, αυτός απέστειλε την καταγραφή σε τρίτο πρόσωπο. Από αυτό έγινε αλυσιδωτός διαμοιρασμός του αρχείου σε πλήθος άλλων προσώπων, με αποτέλεσμα να καταλήξει και σε εμπλεκόμενο παιδί. Η εποπτική αρχή έκρινε ότι εν προκειμένω η διαβίβαση της καταγραφής σε τρίτα πρόσωπα έγινε χωρίς νομική βάση, δεδομένου ότι δεν ήταν αναγκαία για την επίτευξη του σκοπού της ταυτοποίησης των εμπλεκόμενων προσώπων. Αυτό στο οποίο όφειλε να προβεί το κατάστημα ήταν να γνωστοποιήσει το συμβάν στην αστυνομία και να αναμένει την εκκίνηση ποινικής διαδικασίας, στο πλαίσιο της οποίας θα μπορούσε να ζητηθεί η καταγραφή. Για τους λόγους αυτούς επιβλήθηκε πρόστιμο στο κατάστημα περίπου 40.000 ευρώ.

2. Στις 11 Νοεμβρίου 2020 δημοσιεύθηκε η υπ’ αριθμ. 3485/2020 απόφαση του Πολυμελούς Πρωτοδικείου Αθηνών. Η υπόθεση αφορούσε την ανάρτηση από χρήστη του Facebook στο δημόσιο προφίλ του φωτογραφίας οδηγού οχήματος (στην οποία φαινόταν το πρόσωπό του) και του οχήματός του (στο οποίο φαινόταν ο αριθμός κυκλοφορίας του). Το όχημα είχε κακώς καταλάβει, κατά τον χρήστη του Facebook, μέρος θέσης στάθμευσης αυτοκινήτων που προοριζόταν για άτομα με αναπηρία, η οποία έφερε μάλιστα και τη σχετική ένδειξη, σε ιδιωτικό χώρο στάθμευσης σούπερ μάρκετ. Η ανάρτηση της φωτογραφίας συνοδευόταν από κείμενο του χρήστη του Facebook, στο οποίο αναφερόταν, μεταξύ άλλων, ότι «Με αυτά και με αυτά, ζητώ την Βοήθεια σας να τον μάθει όλη η Αττική – τουλάχιστον. Πάμε λοιπόν! Κοινοποιούμε!!!».
Προ της ανάρτησης, είχε προηγηθεί διαπληκτισμός μεταξύ του χρήστη του Facebook και του οδηγού του οχήματος, με τον πρώτο να λέει, μεταξύ άλλων, στον δεύτερο: « τώρα θα δεις τι θα σου κάνω θα σε φωτογραφίσω και θα σε ανεβάσω στο ίντερνετ». Στη συνέχεια, ο χρήστης του Facebook προέβη στην επίμαχη φωτογράφηση με τη χρήση του κινητού τηλεφώνου του, παρά το ότι ο οδηγός του απαγόρευσε τη φωτογράφηση.
Όπως κρίθηκε, η ως άνω ανάρτηση στο Facebook περιείχε προσωπικά δεδομένα του οδηγού του οχήματος και παραβίαζε το δικαίωμα προστασίας των προσωπικών δεδομένων αυτού. Η ανάρτηση της επίμαχης φωτογραφίας δεν ήταν αναγκαία, ο δε χρήστης του Facebook θα μπορούσε, μεταξύ άλλων, να είχε ακολουθήσει τις νόμιμες διαδικασίες και να υποβάλει καταγγελία στις αρμόδιες αρχές. Επιπροσθέτως, δεν μπορούσε να θεωρηθεί ότι υπερείχε εν προκειμένω το δικαίωμα στην ελευθερίας της έκφρασης και το δικαίωμα της πληροφόρησης έναντι του δικαιώματος προστασίας των προσωπικών δεδομένων. Έτσι, κρίθηκε ότι ο χρήστης του Facebook όφειλε να καταβάλει στον οδηγό του οχήματος ποσό ύψους 15.000 ευρώ για αποκατάσταση της ηθικής βλάβης την οποία ο τελευταίος υπέστη από την εν λόγω παράνομη ανάρτηση στο Facebook.

Γ. Τέλος, σημαντική κρίνεται η ανάκληση στη μνήμη μας της απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης (Δ.Ε.Ε.) στην υπόθεση C-345/17, η οποία δημοσιεύθηκε στις 14 Φεβρουαρίου 2019, για την ερμηνεία της Οδηγίας 95/46/ΕΚ, την προκάτοχο του GDPR. Η υπόθεση αφορούσε πρόσωπο στη Λετονία, το οποίο δημοσιοποίησε στο YouTube βίντεο μαγνητοσκοπηθέν από το ίδιο με ψηφιακή φωτογραφική μηχανή, κατά τη λήψη κατάθεσής του στο πλαίσιο διοικητικής παράβασης στα γραφεία αστυνομικού τμήματος. Το βίντεο έδειχνε αστυνομικούς υπαλλήλους και τη δραστηριότητά τους στο αστυνομικό τμήμα, ενώ ακούγονταν καταγεγραμμένες συνομιλίες και φωνές. Ο εμπλεκόμενος υποστήριξε ότι η ανάρτηση του βίντεο είχε ως σκοπό να επιστήσει την προσοχή της κοινωνίας σε μια πράξη του αστυνομικού σώματος την οποία θεωρούσε παράνομη. Κατά το Δ.Ε.Ε., που εν προκειμένω δεν κλήθηκε να επιλύσει την διαφορά, αλλά να αποφανθεί επί της ερμηνείας του ενωσιακού δικαίου, το εν λόγω περιστατικό ενέπιπτε στο πεδίο εφαρμογής της ενωσιακής νομοθεσίας για τα προσωπικά δεδομένα.

Ως προς το αν συνέτρεχε δημοσιογραφική δραστηριότητα, η οποία ενδεχομένως θα καθιστούσε νόμιμη την επεξεργασία των προσωπικών δεδομένων, το Δ.Ε.Ε. υπογράμμισε ότι η βιντεοσκόπηση αστυνομικών υπαλλήλων εντός αστυνομικού τμήματος, κατά τη λήψη κατάθεσης, και η δημοσιοποίηση του μαγνητοσκοπηθέντος βίντεο σε σχετική ιστοσελίδα μπορούν να συνιστούν επεξεργασία δεδομένων προσωπικού χαρακτήρα αποκλειστικά για δημοσιογραφικούς σκοπούς. Απαιτείται όμως, από το εν λόγω βίντεο να συνάγεται ότι η μαγνητοσκόπηση και η δημοσιοποίηση έχουν ως μόνο σκοπό την ανακοίνωση στο κοινό πληροφοριών, γνωμών ή ιδεών. Το γεγονός ότι αυτός που προέβη στη μαγνητοσκόπηση και δημοσιοποίηση δεν είναι επαγγελματίας δημοσιογράφος, δεν αποκλείει εκ των προτέρων την κατάφαση δημοσιογραφικής δραστηριότητας.

Επισημάνθηκε επίσης πάντως, ότι δεν μπορεί να θεωρηθεί πως κάθε πληροφορία που δημοσιοποιείται στο διαδίκτυο και η οποία αφορά δεδομένα προσωπικού χαρακτήρα είναι δημοσιογραφική δραστηριότητα. Τέλος, υπογραμμίσθηκε ότι για τη στάθμιση μεταξύ του δικαιώματος στον σεβασμό της ιδιωτικής ζωής και του δικαιώματος στην ελευθερία έκφρασης, υπάρχουν ορισμένα βασικά κριτήρια, σύμφωνα με το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (Ε.Δ.Δ.Α.), τα οποία πρέπει να λαμβάνονται υπόψη. Μεταξύ άλλων, αυτά περιλαμβάνουν τη συμβολή σε συζήτηση δημόσιου ενδιαφέροντος, τη φήμη του θιγομένου, το αντικείμενο της γνωστοποιήσεως, τον πρότερο βίο του ενδιαφερομένου, το περιεχόμενο, τη μορφή και τις συνέπειες της δημοσιεύσεως, τον τρόπο και τις περιστάσεις υπό τις οποίες αποκτήθηκαν οι πληροφορίες καθώς και την αλήθειά τους.

 

GDPR: Ημέρα προστασίας δεδομένων – Top 15 προστίμων

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 1/03/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Την 28η Ιανουαρίου εορτάστηκε για 15η φορά η Ευρωπαϊκή Ημέρα Προστασίας Προσωπικών Δεδομένων. Η καθιέρωσή της από το Συμβούλιο Υπουργών του Συμβουλίου της Ευρώπης, ήδη από το 2007, αποσκοπεί στην ενημέρωση και ευαισθητοποίηση των πολιτών για τα οικεία ζητήματα. Με έναυσμα τον εορτασμό της και τον σκοπό που αυτός υπηρετεί, λοιπόν, παρουσιάζονται τα 15 μεγαλύτερα πρόστιμα με αύξουσα σειρά που επιβλήθηκαν σε 15 διαφορετικά κράτη του Ευρωπαϊκού Οικονομικού Χώρου, ήτοι τα κράτη μέλη της Ευρωπαϊκής Ένωσης, τη Νορβηγία, την Ισλανδία και το Λιχτενστάιν, κατά την εφαρμογή του GDPR για το έτος 2020.

Τα πρόστιμα που παρουσιάζονται έχουν αντληθεί από τις σχεδόν 60 αποφάσεις που δημοσιεύθηκαν στην ιστοσελίδα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ) κατά το απελθόν έτος. Αυτές εκδόθηκαν από τις εποπτικές αρχές του Βελγίου, της Γερμανίας, της Δανίας, της Ελλάδας, της Εσθονίας, της Ιρλανδίας, της Ισλανδίας, της Ισπανίας, της Ιταλίας, της Κύπρου, της Λιθουανίας, της Νορβηγίας, της Ολλανδίας, της Ουγγαρίας, της Πολωνίας, της Σουηδίας και της Φινλανδίας. Εντύπωση πάντως προκαλεί η απουσία από την ιστοσελίδα σημαντικών αποφάσεων του συνόλου των εποπτικών αρχών, όπως π.χ. της Γαλλίας, καθώς και αυτή επέβαλε μεγάλα πρόστιμα κατά το 2020.

Υπενθυμίζεται ότι το ΕΣΠΔ αποτελεί όργανο της Ευρωπαϊκής Ένωσης, κατά ρητή πρόβλεψη του GDPR. Αποστολή του πρωτίστως είναι να συμβάλει στη συνεκτική εφαρμογή του Γενικού Κανονισμού Προστασίας Δεδομένων. Τονίζεται επίσης ότι ο GDPR αποτελεί νομοθετικό κείμενο πανευρωπαϊκής εφαρμογής. Γι’ αυτό, παρά τις όποιες διαφοροποιήσεις που εισάγουν εθνικοί νόμοι με ειδικότερα μέτρα εφαρμογής του, οι αποφάσεις επιβολής προστίμων σε άλλα κράτη, στα οποία εφαρμόζεται, αποτελούν χρήσιμο μπούσουλα και για την Ελλάδα.

Δείτε την αντίστοιχη περσινή ανάπτυξη με τίτλο «GDPR: Ημέρα προστασίας δεδομένων – Top 14 προστίμων», που επιτρέπει σχετικές συγκρίσεις.

15. Λιθουανία – πρόστιμο 15.000 ευρώ

Η υπόθεση (Οκτώβριος 2020) αφορούσε υιοθετήσαντα γονέα ο οποίος υπέβαλε αίτηση για την εκπαίδευση του υιοθετηθέντος τέκνου του στη δημοτική αρχή, δηλώνοντας την ηλεκτρονική διεύθυνση του. Στο πληροφοριακό σύστημα της δημοτικής αρχής όμως, στο οποίο η ηλεκτρονική διεύθυνση καταχωρήθηκε, έλαβε χώρα αυτόματη αντικατάστασή της από την ηλεκτρονική διεύθυνσή ενός εκ των βιολογικών γονέων του παιδιού. Αυτό ήταν αποτέλεσμα της διασύνδεσης τού εν λόγω πληροφοριακού συστήματος με άλλο δημόσιο μητρώο και της αυτόματης εναρμόνισής του με το περιεχόμενο του τελευταίου ανά τακτά χρονικά διαστήματα. Κρίθηκε, λοιπόν, εν προκειμένω, ότι παραβιάσθηκε η αρχή της ακρίβειας των προσωπικών δεδομένων, καθώς και η αρχή της ακεραιότητας και εμπιστευτικότητας αυτών.

14. Δανία – πρόστιμο 20.172 ευρώ

Η υπόθεση (Αύγουστος 2020) αφορούσε εταιρεία διαχείρισης ακινήτων η οποία συνέδραμε άλλο νομικό πρόσωπο για την πώληση τριών ιδιοκτησιών. Στο πλαίσιο της συνδρομής της, η εταιρεία διαχείρισης παρείχε υλικό για τις εν λόγω ιδιοκτησίες στα πρόσωπα που διέμεναν σε αυτές, μέσω της χορήγησης σε αυτά 424 USB sticks. Μέρος του διανεμηθέντος υλικού όμως, περιείχε προσωπικά δεδομένα εμπιστευτικού χαρακτήρα, εν αγνοία της εταιρείας διαχείρισης, τα οποία δεν έπρεπε να κοινολογηθούν. Όπως κρίθηκε, το περιστατικό ήταν αποτέλεσμα της μη εφαρμογής κατάλληλων τεχνικών και οργανωτικών μέτρων. Σημειώνεται ότι δεν πρόκειται για οριστικό πρόστιμο, αλλά για πρόταση επιβολής προστίμου, καθώς και ότι δεν προσδιορίστηκε σε ευρώ, αλλά στο εθνικό νόμισμα.

13. Ισλανδία – πρόστιμο 20.643 ευρώ

Η υπόθεση (Μάρτιος 2020) αφορούσε μη κυβερνητική οργάνωση δραστηριοποιούμενη κυρίως στο χώρο της υγείας, η οποία αντιμετώπισε περιστατικό παραβίασης προσωπικών δεδομένων. Το περιστατικό εκδηλώθηκε όταν πρώην εργαζόμενος παρέλαβε κουτιά τα οποία υποτίθεται περιείχαν προσωπικά αντικείμενά του από το χρονικό διάστημα απασχόλησής του στη μη κυβερνητική οργάνωση. Στην πραγματικότητα, όμως, τα κουτιά περιείχαν προσωπικά δεδομένα υγείας 252 πρώην ασθενών, καθώς και τα ονοματεπώνυμα περίπου 3.000 ατόμων οι οποίοι είχαν λάβει υπηρεσίες στήριξης λόγω εξάρτησής τους από το αλκοόλ και εθιστικές ουσίες. Όπως κρίθηκε, το περιστατικό παραβίασης ήταν αποτέλεσμα της μη εφαρμογής κατάλληλων πολιτικών προστασίας προσωπικών δεδομένων, καθώς και κατάλληλων τεχνικών και οργανωτικών μέτρων. Σημειώνεται ότι το πρόστιμο δεν βεβαιώθηκε σε ευρώ, αλλά στο εθνικό νόμισμα.

12. Πολωνία – πρόστιμο 22.134 ευρώ

Η υπόθεση (Σεπτέμβριος 2020) αφορούσε κρατική ιστοσελίδα στην οποία δημοσιεύονται χωρικές πληροφορίες υπό την ευθύνη του General Surveyor της Πολωνίας. Μεταξύ των στοιχείων που δημοσιεύονταν, περιλαμβάνονταν και αριθμοί καταχώρισης ιδιοκτησιών, οι οποίοι είχαν αντληθεί από μητρώα ακινήτων. Για τη δημοσίευση αυτών όμως, δεν υπήρχε η αναγκαία προς τούτο νομική βάση, ήτοι σχετική νομοθετική πρόβλεψη. Όπως κρίθηκε, κατ’ αυτόν τον τρόπο παραβιάστηκε η αρχή της νομιμότητας της επεξεργασίας των προσωπικών δεδομένων. Σημειώνεται ότι το πρόστιμο επιβλήθηκε στον General Surveyor όχι σε ευρώ, αλλά στο εθνικό νόμισμα.

11. Ισπανία – πρόστιμο 75.000 ευρώ

Η υπόθεση (Νοέμβριος 2020) αφορούσε εταιρεία τηλεπικοινωνιών, η οποία προέβη σε έκδοση πλήθους τιμολόγιων σε βάρος προσώπου, ενώ τα τιμολόγια αφορούσαν άλλο, τρίτο πρόσωπο. Ο καταγγείλας, ο οποίος δεν ήταν πελάτης της εταιρείας τηλεπικοινωνιών, επικοινώνησε με την τελευταία στην προσπάθειά του να επιλύσει το πρόβλημα της άνευ λόγου χρέωσής του, δίχως επιτυχία. Όπως κρίθηκε, κατ’ αυτό τον τρόπο παραβιάστηκε η αρχή της νομιμότητας της επεξεργασίας, δεδομένου ότι έλαβε χώρα η επεξεργασία των προσωπικών δεδομένων του καταγγείλαντος χωρίς νομική βάση.

10. Κύπρος – πρόστιμο 82.000 ευρώ

Η υπόθεση (Ιανουάριος 2020) αφορούσε τρεις εταιρείες ομίλου εταιρειών, οι οποίες προέβησαν σε αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων εργαζομένων και την κατάρτιση προφίλ τους, στο πλαίσιο της βαθμολόγησης των απουσιών ασθένειάς τους σύμφωνα με το συντελεστή Bradford. Σημειώνεται ότι η φόρμουλα ή συντελεστής Bradford αποτελεί κλίμακα αξιολόγησης των απουσιών του εργαζομένου και κατ’ επέκταση του ίδιου. Με την εφαρμογή του εν λόγω συντελεστή αποδίδεται μεγαλύτερη αρνητική βαρύτητα στις συχνές, σύντομες και μη προγραμματισμένες απουσίες, καθώς θεωρείται ότι αυτές επηρεάζουν δυσμενέστερα έναν οργανισμό, σε σύγκριση με μεγαλύτερης διάρκειας, μεμονωμένες απουσίες. Όπως κρίθηκε, εν προκειμένω παραβιάστηκε η αρχή της νομιμότητας, δεδομένου ότι δεν υπήρχε νομική βάση για την επεξεργασία. Το έννομο συμφέρον του εργοδότη δεν μπορούσε να αποτελέσει τη δέουσα νομική βάση, ούτε συνέτρεχε νομική βάση επεξεργασίας ειδικών κατηγοριών δεδομένων.

9. Εσθονία – πρόστιμο 100.000 ευρώ

Η υπόθεση (Νοέμβριος 2020) αφορούσε τρεις αλυσίδες φαρμακείων, οι οποίες διέθεταν περιβάλλον e-pharmacy. Σε αυτό ήταν δυνατή για τον εκάστοτε χρήστη η εμφάνιση των τρεχουσών συνταγών άλλου προσώπου, χωρίς τη συναίνεση του τελευταίου, με τη χρήση του προσωπικού αριθμού ταυτοποίησής του. Είναι προφανές ότι εν προκειμένω δεν είχαν ληφθεί τα δέοντα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλιστεί ότι πρόσβαση στις τρέχουσες συνταγές θα είχε μόνο το πρόσωπο το οποίο αφορούσαν, κατά παράβαση της αρχής της ακεραιότητας και εμπιστευτικότητας των προσωπικών δεδομένων.

8. Φινλανδία – πρόστιμο 100.000 ευρώ

Η υπόθεση (Μάιος 2020) αφορούσε μεγάλη εταιρεία παροχής ταχυδρομικών υπηρεσιών. Πλήθος καταγγείλαντες υποστήριξαν ότι έγιναν αποδέκτες προωθητικών ενεργειών από διάφορες εταιρείες, αφού γνωστοποίησαν την αλλαγή της διεύθυνσής τους στην εταιρεία παροχής ταχυδρομικών υπηρεσιών. Όπως καταδείχθηκε από την οικεία έρευνα, η τελευταία δεν είχε ενημερώσει τα υποκείμενα των προσωπικών δεδομένων για τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος εναντίωσης στην κοινολόγηση των προσωπικών δεδομένων τους, κατά τη δήλωση αλλαγής διεύθυνσής τους. Εν προκειμένω κρίθηκε ότι παραβιάστηκε η αρχή της αντικειμενικότητας και διαφάνειας της επεξεργασίας των προσωπικών δεδομένων, με τη μη δέουσα ενημέρωση των υποκειμένων.

7. Νορβηγία – πρόστιμο 276.000 ευρώ

Η υπόθεση (Οκτώβριος 2020) αφορούσε δήμο ο οποίος ήταν υπεύθυνος για τη λειτουργία συστήματος επικοινωνίας μεταξύ σχολείου και κατοικίας, ήτοι συστήματος που παρείχε τη δυνατότητα σε γονείς να επικοινωνούν με το σχολείο των παιδιών τους μέσω portal ή ειδικής εφαρμογής. Η εποπτική αρχή επιλήφθηκε της υπόθεσης κατόπιν γνωστοποίησης περιστατικού παραβίασης σε αυτήν από το δήμο αναφορικά με το εν λόγω σύστημα επικοινωνίας. Όπως κρίθηκε, εν προκειμένω δεν τηρήθηκε η αρχή της ακεραιότητας και της εμπιστευτικότητας, καθώς δεν είχαν ληφθεί τα δέοντα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων. Σημειώνεται ότι το πρόστιμο δεν βεβαιώθηκε σε ευρώ, αλλά στο εθνικό νόμισμα.

6. Ιρλανδία – πρόστιμο 450.000 ευρώ

Η υπόθεση (Δεκέμβριος 2020) αφορούσε το Twitter. Η εποπτική αρχή επιλήφθηκε της υπόθεσης κατόπιν γνωστοποίησης περιστατικού παραβίασης σε αυτήν από το γνωστό μέσο κοινωνικής δικτύωσης. Όπως κρίθηκε, το τελευταίο παραβίασε τις οικείες υποχρεώσεις γνωστοποίησης, καθώς δεν προέβη στις δέουσες ενέργειες έγκαιρα και με την κατάλληλη τεκμηρίωση. Σημειώνεται ότι κατά τα προβλεπόμενα στον GDPR, η γνωστοποίηση σε εποπτική αρχή πρέπει να λάβει χώρα αμελλητί, και αν είναι δυνατόν εντός 72 ωρών, από τη στιγμή που αποκτάται γνώση του γεγονός της παραβίασης, εκτός αν αυτή η παραβίαση δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Πρέπει να συνοδεύεται επίσης από τη δέουσα τεκμηρίωση.

5. Βέλγιο – πρόστιμο 600.000 ευρώ

Η υπόθεση (Ιούλιος 2020) αφορούσε τη Google. Πολίτης αιτήθηκε τη διαγραφή συνδέσμων με αρνητικές πληροφορίες γι’ αυτόν από τα αποτελέσματα της πασίγνωστης μηχανής αναζήτησης, χωρίς όμως το αίτημά του να γίνει δεκτό. Κατόπιν εξέτασης της υπόθεσης από την εποπτική αρχή, αυτή έκρινε ότι ορισμένοι σύνδεσμοι δεν θα έπρεπε να αφαιρεθούν για λόγους δημοσίου συμφέροντος, δεδομένου ότι ο εμπλεκόμενος πολίτης διαδραμάτιζε ρόλο στη δημόσια ζωή. Άλλοι σύνδεσμοι όμως αφορούσαν αβάσιμες και παρωχημένες πληροφορίες που θα μπορούσαν να τον βλάψουν σοβαρά. Οι τελευταίοι θα έπρεπε να είχαν διαγραφεί από τη Google. Περαιτέρω, εντοπίσθηκε πρόβλημα απουσίας διαφάνειας τόσο στη σχετική φόρμα διαγραφής συνδέσμων, όσο και στην απάντηση την οποία έλαβε ο ενδιαφερόμενος πολίτης.

4. Ολλανδία – πρόστιμο 830.000 ευρώ

Η υπόθεση (Αύγουστος 2020) αφορούσε το εθνικό πιστωτικό μητρώο της Ολλανδίας. Κατόπιν καταγγελιών, διαπιστώθηκε ότι οι ενδιαφερόμενοι είχαν πολλές δυσκολίες να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα τους που τηρούνταν στο εν λόγω μητρώο. Μεταξύ άλλων, υποχρεώνονταν στην καταβολή οικείων τελών για να καταστεί αυτή εφικτή σε ψηφιακή μορφή, σε έντυπη δε μορφή η δωρεάν ικανοποίηση του δικαιώματος πρόσβασης ήταν εφικτή μόνο μια φορά το έτος. Όπως έκρινε η εποπτική αρχή, η επιβολή των οικείων χρεώσεων δεν ήταν επιτρεπτή, η δε διαδικασία ικανοποίησης του δικαιώματος πρόσβασης μέσω ταχυδρομείου έπρεπε αφενός να είναι απλή και αφετέρου να ήταν εφικτή η εκ νέου άσκησή του μετά την πάροδο εύλογου χρονικού διαστήματος.

3. Σουηδία – πρόστιμο 7.000.000 ευρώ

Η υπόθεση (Μάρτιος 2020) αφορούσε τη Google. H εποπτική αρχή διερεύνησε ήδη από το 2017 τις πρακτικές που ακολουθούσε ο κολοσσός του διαδικτύου στα αιτήματα διαγραφής συνδέσμων από τα αποτελέσματα της μηχανής αναζήτησής του. Μεταξύ άλλων παραβάσεων, διαπίστωσε ότι όταν η Google διέγραφε ένα αποτέλεσμα από τη μηχανή αναζήτησής της, ειδοποιούσε στη συνέχεια τον κάτοχο της ιστοσελίδας στην οποία ο σύνδεσμος οδηγούσε. Έτσι, ο τελευταίος ενημερωνόταν αφενός για τη διαγραφή του συνδέσμου και αφετέρου για το πρόσωπο που υπέβαλε το αίτημα διαγραφής. Αυτό επέτρεπε στον κάτοχο της ιστοσελίδας να επαναδημοσιεύσει το επίμαχο περιεχόμενο σε νέο σύνδεσμο, ο οποίος εμφανιζόταν εκ νέου στα αποτελέσματα της μηχανής αναζήτησης. Κατ’ αυτόν τον τρόπο η άσκηση του δικαιώματος διαγραφής ουσιαστικά δεν παρήγε αποτελέσματα. Όπως έκρινε η εποπτική αρχή, η εν λόγω ενημέρωση λάμβανε χώρα κατά παράβαση της αρχής της νομιμότητας της επεξεργασίας των προσωπικών δεδομένων, καθώς δεν υπήρχε νομική βάση. Σημειώνεται ότι το πρόστιμο δεν προσδιορίστηκε σε ευρώ, αλλά στο εθνικό νόμισμα.

2. Ιταλία – πρόστιμο 27.802.496 ευρώ

Η υπόθεση (Φεβρουάριος 2020) αφορούσε εταιρεία τηλεπικοινωνιών που προέβη σε παράνομες προωθητικές ενέργειες σε βάρος εκατομμυρίων ατόμων. Η εποπτική αρχή έλαβε εκατοντάδες καταγγελίες κυρίως για μη ζητηθείσες προωθητικές τηλεφωνικές κλήσεις, χωρίς να υπάρχει η συγκατάθεση των αποδεκτών και ενώ πολλοί εξ αυτών ήταν εγγεγραμμένοι στο ειδικό μητρώο μη λήψης προωθητικών κλήσεων. Είναι χαρακτηριστικό ότι σε μία περίπτωση η εταιρεία είχε επικοινωνήσει με ένα πρόσωπο 155 φορές σε διάστημα ενός μηνός. Στη σωρεία των παραβάσεων που διαπιστώθηκαν περιλαμβάνονταν, μεταξύ άλλων, το αναποτελεσματικό σύστημα διαχείρισης περιστατικών παραβίασης, η πλημμελής εφαρμογή της αρχής της προστασίας των δεδομένων ήδη από τον σχεδιασμό και η μη τήρηση της αρχής του περιορισμού της περιόδου αποθήκευσης των προσωπικών δεδομένων.

1. Γερμανία – πρόστιμο 35.258.707 ευρώ

Και την 1η θέση του πρωταθλητή καταλαμβάνει η Γερμανία (εποπτική αρχή Αμβούργου) για την οποία το μεγαλύτερο πρόστιμο δημοσιευθέν στην ιστοσελίδα του ΕΣΠΔ είναι περίπου 35.260.000 ευρώ. Η υπόθεση (Οκτώβριος 2020) αφορούσε πολυεθνική εταιρεία πώλησης ενδυμάτων. Η εταιρεία προέβαινε παρανόμως, σε εκτενές «φακέλωμα» της ιδιωτικής ζωής πολλών εκ των εργαζομένων της στις εγκαταστάσεις της στη Νυρεμβέργη. Μέσω αυτού, μεταξύ άλλων, καταγράφονταν: οι εμπειρίες από τις διακοπές τους, τα προβλήματα υγείας τα οποία τυχόν είχαν κατά τη διάρκεια της άδειάς τους, ενίοτε οι αντίστοιχες ιατρικές διαγνώσεις, πληροφορίες για «αθώες» λεπτομέρειες της ιδιωτικής καθημερινότητάς τους, οι θρησκευτικές πεποιθήσεις και τα οικογενειακά προβλήματά τους. Στη συνέχεια, τα εν λόγω προσωπικά δεδομένα ήταν κατά περίπτωση διαθέσιμα σε δεκάδες ανώτερα στελέχη της εταιρείας. Αξιοποιούνταν δε στη δημιουργία υπαλληλικού προφίλ, το οποίο διαδραμάτιζε ρόλο στην επαγγελματική εξέλιξή τους. Οι παράνομες πρακτικές της εταιρείας έγιναν απροσδόκητα γνωστές κατόπιν τεχνικού σφάλματος στο οικείο πληροφοριακό σύστημα, το οποίο κατέστησε ευρέως προσβάσιμα τα προσωπικά δεδομένα στο εσωτερικό της.

 

GDPR/ePrivacy: 25 καρφιά στο φέρετρο της παράνομης πολιτικής επικοινωνίας

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 19/02/2021

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Η προσέγγιση των αποφάσεων που δημοσιεύθηκαν στην ιστοσελίδα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) για το έτος 2020 χαρακτηρίζεται από ένα εντυπωσιακό εύρημα. Η παράνομη πολιτική επικοινωνία κυριαρχεί. Από τις 50 περίπου αποφάσεις οι οποίες έχουν αναρτηθεί για το απελθόν έτος, οι 25 αφορούν την κατάφαση παράνομων προωθητικών ενεργειών πολιτικού περιεχομένου. Τα δε επιβαλλόμενα πρόστιμα ανέρχονται αθροιστικά περίπου στο ύψος των 60.000 ευρώ, με το ανώτερο εξ αυτών να είναι 4.000 ευρώ.

Υπενθυμίζεται ότι η ΑΠΔΠΧ έχει προβεί στη δημοσίευση δύο κειμένων για τη διευκόλυνση πολιτικών και υποψηφίων ως προς την ορθή εφαρμογή των οικείων κανόνων: α) την Οδηγία 1/2010 σχετικά με την επεξεργασία προσωπικών δεδομένων προς το σκοπό της πολιτικής επικοινωνίας (Δεκέμβριος 2010), β) τις κατευθυντήριες γραμμές για την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα (Μάρτιος 2019). Με τις τελευταίες επιχειρήθηκε η επικαιροποίηση των ρυθμίσεων της προαναφερθείσας Οδηγίας 1/2010, λαμβάνοντας υπόψη τις τροποποιήσεις οι οποίες επήλθαν στον Ν. 3471/2006 (ο οποίος ενσωματώνει στην ελληνική έννομη τάξη την Οδηγία 2002/58/ΕΚ, γνωστή ως ePrivacy Directive), τις νέες τεχνολογικές εξελίξεις και τη θέση σε ισχύ του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR.

Η μελέτη των εν λόγω αποφάσεων έχει εξαιρετικό ενδιαφέρον, καθώς αφορά συμβάντα που έλαβαν χώρα το εκλογικά πολυτάραχο 2019. Το τελευταίο, ως γνωστόν, ήταν μια έντονα εκλογική χρονιά, καθώς τον Μάιο του 2019 έλαβαν χώρα οι αυτοδιοικητικές εκλογές και οι ευρωεκλογές, ενώ τον Ιούλιο του 2019 πραγματοποιήθηκαν οι βουλευτικές εκλογές. Επομένως, οι συνθήκες δεν θα μπορούσαν να είναι ευνοϊκότερες για την τέλεια καταιγίδα πολιτικής επικοινωνίας. Στην πλειοψηφία των περιπτώσεων που απασχόλησαν την εποπτική αρχή, μία καταγγελία ήταν αρκετή για την άμεση κινητοποίησή της. Αξιοσημείωτο είναι ότι δεν δίστασε να προχωρήσει ακόμη και σε αυτεπάγγελτη εξέταση υπόθεσης και σε επιβολή προστίμου, παρά την απόσυρση της σχετικής καταγγελίας.

Οι παραβάσεις που διαπιστώθηκαν από την ΑΠΔΠΧ αφορούν τους πιο συνήθεις τρόπους πολιτικής επικοινωνίας: α) αποστολή φακέλου με συμβατικό ταχυδρομείο, β) πραγματοποίηση τηλεφωνικής κλήσης με ανθρώπινη παρέμβαση, γ) αποστολή σύντομου γραπτού μηνύματος (SMS) και δ) αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου (email). Μεταξύ των ως άνω αποφάσεων ξεχωρίζει η υπόθεση της μαζικής αποστολής φακέλων για πολιτική επικοινωνία οι οποίοι περιείχαν φύλλα τυπωμένα σε ανάγλυφη γραφή (braille), καθώς απευθύνονταν σε άτομα με προβλήματα όρασης.

Ως προς τους ισχυρισμούς των καταγγελθέντων προσώπων, αυτοί καλύπτουν όλο το φάσμα πιθανών ισχυρισμών, από την υποστήριξη της τήρησης του ρυθμιστικού πλαισίου μέχρι την επίκληση του ανθρώπινου ή τεχνικού σφάλματος. Ομοίως ποικίλλει ο επικαλούμενος τρόπος κτήσης των επίμαχων προσωπικών δεδομένων επικοινωνίας: απευθείας από το υποκείμενο, από δημοσίως προσβάσιμες ή ιδιωτικές πηγές και από τρίτους.

Αναφορικά με την ακτινογραφία των παραγόντων τους οποίους λαμβάνει υπόψη η ΑΠΔΠΧ για την επιμέτρηση των οικείων προστίμων, λεκτέα είναι τα εξής. Σε αυτούς, πέραν της τήρησης της νομοθεσίας, η οποία προφανώς πρωταγωνιστεί, σημαντικό ρόλο διαδραματίζει ο βαθμός συνεργασίας που επιδεικνύουν οι καταγγελθέντες κατά την εξέλιξη της διαδικασίας ενώπιον της ΑΠΔΠΧ. Λαμβάνεται υπόψη δηλαδή το αν αυτοί ανταποκρίνονται στα αιτήματά της για παροχή πληροφοριών και αν εν γένει συμμετέχουν σε αυτή με τον τρόπο που αναμένεται. Επιπροσθέτως, θετικά εκτιμάται η λήψη ενεργειών συμμόρφωσης από το πρόσωπο που παραβίασε το ρυθμιστικό πλαίσιο, έστω και κατόπιν τέλεσης της παραβίασης, τη δωδεκάτη ώρα. Κρίσιμο είναι ακόμη αν έχει κατά το παρελθόν επιβληθεί σε βάρος του καταγγελθέντα άλλη διοικητική κύρωση από την εποπτική αρχή.

Δύναται να λεχθεί, λοιπόν, ότι κατόπιν αυτού του πρωτοφανούς μπαράζ αποφάσεων και συνακόλουθων προστίμων, έφθασε το τέλος της παράνομης πολιτικής επικοινωνίας; Δυστυχώς, δεν είμαστε ακόμη τόσο αισιόδοξοι. Σημειώνουμε πάντως πως οι επίμαχες 25 αποφάσεις δεν μπορούν παρά να θεωρηθούν ως 25 καρφιά στο φέρετρο των παράνομων προωθητικών ενεργειών πολιτικού περιεχομένου. Η αναζωπύρωση του ενδιαφέροντος για την προστασία των προσωπικών δεδομένων μετά τη θέση σε εφαρμογή του GDPR και η κινητικότητα των εποπτικών αρχών, που διαρκώς αυξάνεται, νομοτελειακά θα περιορίσουν δραματικά το εξαιρετικά δυσάρεστο για πολλούς εκ των αποδεκτών του φαινόμενο.

Τέλος, για όσους επιθυμούν να έχουν ευρύτερη εποπτεία του οικείου ρυθμιστικού πλαισίου και των ζητημάτων που αναφύονται, πέραν των προαναφερθέντων κειμένων της ΑΠΔΠΧ, αξίζει να μνημονευθούν και οι πολύ πρόσφατες οδηγίες για την αποστολή μηνυμάτων και διενέργεια κλήσεων πολιτικού περιεχομένου / προώθησης υποψηφιοτήτων του Γραφείου Επιτρόπου Προστασία Δεδομένων Προσωπικού Χαρακτήρα Κύπρου (Ιανουάριος 2021).

Ακολουθεί η πολύ συνοπτική απόδοση των 25 επίμαχων αποφάσεων με έμφαση σε επιλεγμένα σημεία. Το πλήρες κείμενό τους είναι δημοσιευμένο στην ιστοσελίδα της ΑΠΔΠΧ, στη διεύθυνση www.dpa.gr.

 

 

Σύνοψη των αποφάσεων

Καρφί 1ο – Απόφαση υπ’ αριθ. 10/2020 (email και SMS)

Το πρώτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής δύο καταγγελιών. Οι προωθητικές ενέργειες έλαβαν χώρα μέσω της αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου (email) κατά την πρώτη καταγγελία και σύντομου γραπτού μηνύματος (SMS) κατά τη δεύτερη καταγγελία. Ειδικά για τη δεύτερη καταγγελία, η καταγγείλασα ζήτησε να μη λαμβάνει εφεξής άλλα SMS, απαντώντας στο επίμαχο μήνυμα. Παρά ταύτα, έλαβε και νέο SMS, χωρίς να υπάρχει δυνατότητα διαγραφής της από τις λίστες των παραληπτών, και χωρίς να αναγράφεται στο SMS ο αριθμός του αποστολέα. Και οι δυο καταγγείλαντες ισχυρίστηκαν ότι δεν είχαν καμία προηγούμενη σχέση με την καταγγελθείσα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για τις καταγγελίες ιδίως ότι: α) ουδέποτε τέθηκε ανάλογο ζήτημα για πολιτική επικοινωνία που πραγματοποίησε στο παρελθόν, β) απέκτησε τα στοιχεία επικοινωνίας των καταγγειλάντων στον προσωπικό κατάλογό της από τη συνδικαλιστική δράση της, τα οποία στοιχεία πάντως είναι δημόσια προσβάσιμα μέσω διαδικτυακής πύλης, γ) ως προς το SMS δεν υπήρχε τεχνική δυνατότητα απαντητικού μηνύματος διαγραφής μηνυμάτων, δ) η ενημερωτική ενέργειά της δεν ήταν ενοχλητική και δεν προκάλεσε ζημία, ε) οι καταγγελίες ήταν ανυπόστατες, διότι δεν έφεραν υπογραφή, στ) οι καταγγελίες έπασχαν από αοριστία, διότι δεν ανέφεραν το κείμενο email ή SMS τα οποία αφορούσαν, ζ) ο καταγγείλας πρέπει πρώτα να προσφύγει στον καταγγελθέντα και μετά στην ΑΠΔΠΧ.

Κατά την ΑΠΔΠΧ, όταν η πολιτική επικοινωνία πραγματοποιείται με τη χρήση ηλεκτρονικών μέσων επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, μέσω δημοσίων δικτύων επικοινωνίας, όπως είναι η περίπτωση μηνυμάτων ηλεκτρονικού ταχυδρομείου (email) και σύντομων γραπτών μηνυμάτων (SMS), η επικοινωνία προϋποθέτει κατά κανόνα, σύμφωνα με το άρθρο 11 παρ. 1 Ν. 3471/2006, την προηγούμενη συγκατάθεση του παραλήπτη. Κατ’ εξαίρεση επιτρέπεται η πολιτική επικοινωνία με χρήση ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση και χωρίς τη συγκατάθεση του παραλήπτη, σύμφωνα με το άρθρο 11 παρ. 3 Ν. 3471/2006, μόνο εφόσον συντρέχουν σωρευτικά οι ακόλουθες προϋποθέσεις: α) τα στοιχεία επικοινωνίας έχουν αποκτηθεί νομίμως στο πλαίσιο προηγούμενης, παρόμοιας επαφής με τον παραλήπτη, ο δε παραλήπτης κατά τη συλλογή των δεδομένων ενημερώθηκε για τη χρήση τους με σκοπό την πολιτική επικοινωνία, του δόθηκε μάλιστα η δυνατότητα να εκφράσει αντίρρηση γι’ αυτήν την χρήση, αλλά δεν την εξέφρασε, β) ο αποστολέας οφείλει να παρέχει στον παραλήπτη τη δυνατότητα να ασκεί το δικαίωμα αντίρρησης με τρόπο εύκολο και σαφή, σε κάθε μήνυμα πολιτικής επικοινωνίας.

Κατά τα ως άνω, λοιπόν, η ΑΠΔΠΧ έκρινε ιδίως ότι: α) οι καταγγελίες εξετάζονται, όταν υποβάλλονται ηλεκτρονικά, χωρίς να απαιτείται να είναι ιδιοχείρως ή ψηφιακά υπογεγραμμένες, β) η καταγγελθείσα είχε τη δυνατότητα να αποκτήσει πρόσβαση στα μηνύματα που αφορούσαν οι καταγγελίες, επομένως δεν ευσταθούσε ο ισχυρισμός περί αοριστίας, γ) δεν αποτελούσε προϋπόθεση για την καταγγελία στην ΑΠΔΠΧ η προηγούμενη άσκηση δικαιώματος ενώπιον της καταγγελθείσας, δ) η καταγγελθείσα δεν είχε εξασφαλίσει την προηγούμενη συγκατάθεση των παραληπτών της πολιτικής επικοινωνίας της ούτε είχε υπάρξει προηγούμενη παρόμοια επαφή, αντίθετα τα στοιχεία επικοινωνίας είχαν αποκτηθεί στο πλαίσιο προηγούμενης συνδικαλιστικής δράσης, η οποία όμως δεν σχετίζεται με τη συγκεκριμένη πολιτική δραστηριότητά της, ε) δεν παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, σε κάθε μήνυμα SMS πολιτικής επικοινωνίας, παρείχετο όμως δικαίωμα εναντίωσης για την περίπτωση αποστολής email, στ) η καταγγελθείσα είχε γνώση  του ισχύοντος νομικού πλαισίου, ζ) η καταγγελθείσα συνεργάστηκε με την ΑΠΔΠΧ, η) δεν είχε επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της καταγγελθείσας επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 2ο – Απόφαση υπ’ αριθ. 11/2020 (email και SMS)

Το δεύτερο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής δύο καταγγελιών. Οι προωθητικές ενέργειες έλαβαν χώρα στη μεν πρώτη καταγγελία μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS), στη δε δεύτερη καταγγελία μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS) και μηνύματος ηλεκτρονικού ταχυδρομείου (email). Αμφότεροι οι καταγγείλαντες ισχυρίστηκαν ότι δεν είχαν καμία προηγούμενη σχέση με τον καταγγελθέντα. Ειδικά η δεύτερη καταγγείλασα ζήτησε μέσω του σχετικού συνδέσμου τη διαγραφή της από τη λίστα αποδεκτών των οικείων emails, παρά ταύτα όμως έλαβε εκ νέου email.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για τις καταγγελίες ιδίως ότι: α) τα στοιχεία επικοινωνίας των καταγγειλάντων ήταν αναρτημένα σε ιστοσελίδα και περιλαμβάνονταν σε έντυπους καταλόγους, β) σε κάθε μήνυμα ηλεκτρονικού ταχυδρομείου παρείχετο η δυνατότητα διαγραφής, γ) αυτός γνώριζε το ισχύον νομικό πλαίσιο για την πολιτική επικοινωνία.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών των SMS και emails ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, β) έλαβε χώρα αποστολή μηνυμάτων πολιτικού περιεχομένου σε παραλήπτες των οποίων οι διευθύνσεις ήταν δημοσιευμένες στο διαδίκτυο, γ) δεν παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, σε κάθε SMS πολιτικής επικοινωνίας, δ) αναφορικά με τα emails, στα οποία φέρεται να υπήρχε σχετική δυνατότητα, η ικανοποίηση του δικαιώματος εναντίωσης δεν ήταν εν προκειμένω αποτελεσματική, ε) ο καταγγελθείς είχε γνώση  του ισχύοντος νομικού πλαισίου, στ) ο καταγγελθείς συνεργάστηκε ικανοποιητικά με τη ΑΠΔΠΧ, ζ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του καταγγελθέντα επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 3ο – Απόφαση υπ’ αριθ. 12/2020 (SMS)

Το τρίτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις ευρωεκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής δύο καταγγελιών. Οι προωθητικές ενέργειες έλαβαν χώρα μέσω της αποστολής σύντομων γραπτών μηνυμάτων (SMS). Και οι δυο καταγγείλαντες ισχυρίστηκαν ότι δεν είχαν καμία προηγούμενη σχέση με τον καταγγελθέντα, καθώς και ότι ήταν αδύνατη η διαγραφή τους από τη λίστα των αποδεκτών των SMS, είτε τηλεφωνικά (πρώτος καταγγείλας) είτε με την αποστολή απαντητικού SMS (δεύτερος καταγγείλας).

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για τις καταγγελίες ιδίως ότι: α) διατηρούσε μεγάλο αρχείο επαφών λόγω της μακροχρόνιας παρουσίας του στην πολιτική ζωή, β) με τηλεφωνική επικοινωνία ήταν δυνατή η διαγραφή από τη λίστα αποδεκτών, αλλά αυτή δεν κατέστη εφικτή εν προκειμένω λόγω ανθρωπίνου σφάλματος.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών των SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, β) δεν παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, σε κάθε SMS πολιτικής επικοινωνίας, γ) ο καταγγελθείς είχε γνώση  του ισχύοντος νομικού πλαισίου, δ) ο καταγγελθείς δεν συνεργάστηκε ικανοποιητικά με τη ΑΠΔΠΧ, ε) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 4.000 ευρώ.

 

Καρφί 4ο – Απόφαση υπ’ αριθ. 13/2020 (SMS)

Το τέταρτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής τεσσάρων καταγγελιών. Οι προωθητικές ενέργειες έλαβαν χώρα μέσω της αποστολής σύντομων γραπτών μηνυμάτων (SMS). Και οι τέσσερις καταγγείλαντες ισχυρίστηκαν ότι δεν είχαν καμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για τις καταγγελίες ιδίως ότι: α) ουδέποτε τέθηκε ανάλογο ζήτημα για την πολιτική επικοινωνία που πραγματοποίησε στο παρελθόν, β) οι καταγγελίες ήταν ανυπόστατες, λόγω του ότι δεν έφεραν ιδιόχειρη ή ηλεκτρονική υπογραφή, γ) οι καταγγείλαντες έπρεπε πρώτα να απευθυνθούν στον ίδιο και κατόπιν στην ΑΠΔΠΧ, δ) η αποστολή των επίμαχων SMS οφειλόταν σε ανθρώπινο λάθος, ε) γνώριζε τη σχετική νομοθεσία για την προστασία των προσωπικών δεδομένων, στ) δεν προκλήθηκε ζημιά στους καταγγείλαντες, ζ) προσπάθησε να άρει τις σχετικές συνέπειες με τη μη αποστολή άλλων μηνυμάτων.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) καταγγελίες που υποβάλλονται ηλεκτρονικά εξετάζονται, χωρίς να είναι απαραίτητο να είναι ιδιοχείρως ή ηλεκτρονικά υπογεγραμμένες, β) δεν αποτελούσε προϋπόθεση για την καταγγελία στην ΑΠΔΠΧ η προηγούμενη άσκηση δικαιώματος ενώπιον του καταγγελθέντα, γ) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών των SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, δ) ο καταγγελθείς δεν συνεργάστηκε με την ΑΠΔΠΧ ως προς την πληροφόρησή της για τον ακριβή αριθμό των παραληπτών των SMS που απέστειλε, παρά το ότι του ζητήθηκε, ε) δεν παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, σε κάθε SMS πολιτικής επικοινωνίας, στ) ο καταγγελθείς είχε γνώση  του ισχύοντος νομικού πλαισίου, ζ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 3.500 ευρώ.

 

Καρφί 5ο – Απόφαση υπ’ αριθ. 14/2020 (email)

Το πέμπτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας δημοτικού συμβούλου στις δημοτικές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου (email). H καταγγείλασα ισχυρίστηκε ότι δεν είχε καμία προηγούμενη σχέση με την καταγγελθείσα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για την καταγγελία ιδίως ότι: α) ουδέποτε στη ζωή της είχε πολιτική δράση ή υπήρξε πολιτικό πρόσωπο, όντας για πρώτη φορά υποψήφια στις δημοτικές εκλογές του Μαΐου 2019, β) τα προσωπικά δεδομένα που χρησιμοποιήθηκαν για την επικοινωνία προέρχονταν από νόμιμες πηγές (επαγγελματικούς καταλόγους, μητρώο επαγγελματικού συλλόγου, στοιχεία επαγγελματικών καρτών, δικόγραφα, βιογραφικά σημειώματα), γ) σκοπός της επικοινωνίας ήταν η ενημέρωση συναδέλφων που ήταν εγγεγραμμένοι στο οικείο μητρώο, δ) τα ηλεκτρονικά μηνύματα στάλθηκαν αποκλειστικά σε συναδέλφους της μέσω ειδικής πλατφόρμας, ε) σε κάθε ηλεκτρονικό μήνυμα που εστάλη υπήρχε η δυνατότητα απεγγραφής από τη λίστα παραληπτών, στ) αν δεν μπορεί ο υποψήφιος να ενημερώνει  για την υποψηφιότητά του, ο υποψήφιος θα στερείται τη δυνατότητα ενάσκησης του δικαιώματος του εκλέγεσθαι και ο πολίτης την ορθή ενάσκηση του δικαιώματος του εκλέγειν.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) δεν είχε ληφθεί προηγούμενη συγκατάθεση των παραληπτών των μηνυμάτων πολιτικής επικοινωνίας, β) τα στοιχεία επικοινωνίας των παραληπτών των μηνυμάτων είχαν αποκτηθεί στο πλαίσιο επαγγελματικής σχέσης η οποία δεν σχετίζεται με την πολιτική δραστηριότητα, γ) παρασχέθηκε στους παραλήπτες το δικαίωμα εναντίωσης, δ) η καταγγελθείσα ανταποκρίθηκε στο αίτημα της καταγείλασας προς ενημέρωση για τα χαρακτηριστικά της επεξεργασίας και την προέλευση των δεδομένων της, έστω και εν μέρει, ε) η καταγγελθείσα συνεργάστηκε με την ΑΠΔΠΧ, στ) δεν είχε επιβληθεί στο παρελθόν διοικητική κύρωση σε βάρος της, ζ) η καταγγελθείσα δεν ήταν πολιτικό πρόσωπο ούτε είχε υπάρξει στο παρελθόν υποψήφια σε εκλογική αναμέτρηση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αυτή αποφάσισε τη σε βάρος της επιβολή της κύρωσης της προειδοποίησης.

 

Καρφί 6ο – Απόφαση υπ’ αριθ. 17/2020 (SMS)

Το έκτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις ευρωεκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Ο καταγγείλας ισχυρίστηκε ότι δεν είχε καμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) η αποστολή των μηνυμάτων έγινε από συνεργάτες του σε λίστα αποδεκτών που τηρούσε σε αρχείο με πολιτικούς φίλους του, λόγω της μακρόχρονης παρουσίας του στην πολιτική, οι οποίοι είχαν συγκατατεθεί για τη λήψη αυτών, β) ο τηλεφωνικός αριθμός του καταγγείλαντος υπήρχε στο εν λόγω αρχείο, αντιστοιχούσε όμως σε άλλο φυσικό πρόσωπο, ενώ ο καταγγελθείς δεν γνώριζε ότι ακολούθως είχε λάβει χώρα αλλαγή του χρήστη του εν λόγω τηλεφωνικού αριθμού, ώστε να ενημερώσει το αρχείο του.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς προσκόμισε στοιχεία που αποδεικνύουν τη λήψη συγκατάθεσης για τον παλαιότερο κάτοχο του τηλεφωνικού αριθμού, β) ο καταγγελθείς δεν προσκόμισε όμως στοιχεία για άλλα πρόσωπα στα οποία απέστειλε μηνύματα πολιτικής επικοινωνίας και δεν παρείχε πληροφορίες για τον ακριβή αριθμό τους, γ) δεν παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, σε κάθε SMS πολιτικής επικοινωνίας, δ) δεν υπήρχε εύκολος τρόπος αναζήτησης στοιχείων του καταγγελθέντα, ώστε να μπορούν να ασκηθούν τα σχετικά προς αυτόν δικαιώματα, ε) ο καταγγελθείς είχε γνώση  του ισχύοντος νομικού πλαισίου, στ) ο καταγγελθείς δεν συνεργάστηκε ικανοποιητικά με τη ΑΠΔΠΧ, αφού δεν απάντησε στην αρχική πρόσκλησή της, ζ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 1.000 ευρώ.

 

Καρφί 7ο – Απόφαση υπ’ αριθ. 19/2020 (SMS)

Το έβδομο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις δημοτικές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής τριών καταγγελιών. Οι προωθητικές ενέργειες έλαβαν χώρα μέσω της αποστολής σύντομων γραπτών μηνυμάτων (SMS). Και οι τρεις καταγγείλασες ισχυρίστηκαν ότι δεν είχαν καμία προηγούμενη σχέση με την καταγγελθείσα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για τις καταγγελίες ιδίως ότι η αποστολή των μηνυμάτων έγινε εκ παραδρομής, λόγω λανθασμένης πληκτρολόγησης τηλεφωνικών αριθμών κατά την καταχώρισή τους στην πλατφόρμα μαζικής αποστολής των SMS που χρησιμοποιήθηκε.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) η καταγγελθείσα δεν προσκόμισε στοιχεία που αποδεικνύουν τη λήψη συγκατάθεσης των παραληπτών SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, β) η καταγγελθείσα δεν προσκόμισε στοιχεία για άλλα πρόσωπα στα οποία απέστειλε μηνύματα πολιτικής επικοινωνίας και δεν παρείχε πληροφορίες για τον ακριβή αριθμό τους, γ) δεν παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, σε κάθε SMS πολιτικής επικοινωνίας, δ) δεν υπήρχε εύκολος τρόπος αναζήτησης των στοιχείων της καταγγελθείσας, ώστε να μπορούν να ασκηθούν τα σχετικά προς αυτόν δικαιώματα, ε) η καταγγελθείσα είχε ή πάντως όφειλε να έχει γνώση  του ισχύοντος νομικού πλαισίου, στ) η καταγγελθείσα συνεργάστηκε ικανοποιητικά με τη ΑΠΔΠΧ, ζ) δεν είχε επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της επιβολή προστίμου ύψους 2.500 ευρώ.

 

Καρφί 8ο – Απόφαση υπ’ αριθ. 24/2020 (τηλεφωνική κλήση)

Το όγδοο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Οι προωθητικές ενέργειες έλαβαν χώρα μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση σε προσωπικό κινητό τηλέφωνο. Ο καταγγείλας ισχυρίστηκε ιδίως ότι: α) ο τηλεφωνικός αριθμός του ήταν καταχωρημένος στο ειδικό μητρώο του άρθρου 11 Ν. 3471/2006 για τη μη πραγματοποίηση μη ζητηθεισών επικοινωνιών, β) η καταγγελθείσα δεν παρείχε καμία πληροφορία για την επεξεργασία των προσωπικών δεδομένων του, γ) δεν έλαβε καμία απάντηση στην επιστολή διαμαρτυρίας και άσκησης δικαιωμάτων πρόσβασης, καθώς και ενημέρωσης, προς την καταγγελθείσα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για την καταγγελία ιδίως ότι : α) οι κλήσεις έγιναν εκ παραδρομής λόγω λάθους, καθώς τα προσωπικά δεδομένα του καταγγείλαντος δεν υπήρχαν στη βάση δεδομένων του γραφείου της, β) οι τηλεφωνικές κλήσεις πραγματοποιήθηκαν από ομάδα εθελοντριών που καλούσαν φίλους και τρίτα πρόσωπα, γ) δεν είχε ζητηθεί το μητρώο του άρθρου 11 Ν. 3471/2006 από κανέναν τηλεπικοινωνιακό πάροχο.

Κατά την ΑΠΔΠΧ, η υποχρέωση ικανοποίησης του δικαιώματος πρόσβασης προβλέπεται στο άρθρο 15 GDPR. Περαιτέρω, για τις τηλεφωνικές κλήσεις πολιτικού περιεχομένου με ανθρώπινη παρέμβαση που πραγματοποιούνται μέσω δημόσιων δικτύων επικοινωνιών, καθώς και τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση που πραγματοποιούνται μέσω υπηρεσιών της κοινωνίας των πληροφοριών, όπως Viber, Whatsapp, Skype, FaceΤime, όταν οι κλήσεις πραγματοποιούνται σε τηλεφωνικούς αριθμούς που ανήκουν σε συνδρομητές του δημοσίου δικτύου επικοινωνιών, αυτές επιτρέπονται και χωρίς συγκατάθεση του καλούμενου, εκτός αν ο καλούμενος έχει προηγουμένως δηλώσει ότι δεν επιθυμεί να δέχεται τέτοιες κλήσεις (σύστημα «opt-out»), σύμφωνα με το άρθρο 11 παρ. 2 Ν. 3471/2006.

Ειδικότερα, σε εφαρμογή του συστήματος του «opt-out», τα φυσικά ή νομικά πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά τη μη πραγματοποίηση τηλεφωνικών διαφημιστικών κλήσεων με ανθρώπινη παρέμβαση, είτε ειδικά, απευθείας στον εκάστοτε διαφημιζόμενο, είτε γενικά, μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του παρόχου υπηρεσιών τηλεπικοινωνίας. Σε αυτή την κατεύθυνση, προβλέπεται η δημιουργία μητρώου «opt-out» σε κάθε πάροχο και ο συνδρομητής μπορεί να δηλώσει ατελώς στον δικό του πάροχο τηλεπικοινωνιακών υπηρεσιών ότι δεν επιθυμεί να λαμβάνει τηλεφωνικές κλήσεις για απευθείας εμπορική προώθηση. Έτσι, για την πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση οι καλούντες πρέπει να λαμβάνουν από όλους τους παρόχους επικαιροποιημένα αντίγραφα των μητρώων του άρθρου 11 Ν. 3471/2006 και να εξασφαλίζουν ότι έχουν διαθέσιμες τις δηλώσεις των συνδρομητών που έχουν πραγματοποιηθεί έως τριάντα ημέρες πριν από την πραγματοποίηση της τηλεφωνικής κλήσης. Περαιτέρω, κατά τη διενέργεια μιας τηλεφωνικής κλήσης ο καλών πρέπει να ενημερώνει για την ταυτότητά του, να μην αποκρύπτει ή παραποιεί τον αριθμό καλούντος και να ενημερώνει τουλάχιστον για τη δυνατότητα άσκησης του δικαιώματος πρόσβασης.

Κατά τα ως άνω, λοιπόν, η ΑΠΔΠΧ έκρινε ιδίως ότι: α) η καταγγελθείσα δεν είχε λάβει, πριν την πραγματοποίηση των τηλεφωνικών κλήσεων, τα μητρώα «opt-out» των τηλεπικοινωνιακών παρόχων, προκειμένου να εξαιρεί από τις προωθητικές τηλεφωνικές ενέργειες εκείνους τους τηλεφωνικούς αριθμούς για τους οποίους δεν είχε ειδική προς τούτο συγκατάθεση, β) η καταγγελθείσα δεν υπέβαλε κανένα στοιχείο το οποίο να καταδεικνύει ότι πραγματοποιούσε τηλεφωνικές κλήσεις μόνο σε αριθμούς για τους οποίους είχε ειδική προς τούτο συγκατάθεση, γ) η καταγγελθείσα δεν παρείχε αναλυτικές πληροφορίες στην ΑΠΔΠΧ για τις ακριβείς διαδικασίες που ακολούθησε στο πλαίσιο της πολιτικής επικοινωνίας, δ) η καταγγελθείσα δεν παρείχε, κατά την πραγματοποίηση των τηλεφωνικών κλήσεων, ενημέρωση στον καλούμενο σχετικά με τη δυνατότητα άσκησης των δικαιωμάτων του, ε) η καταγγελθείσα δεν ικανοποίησε το δικαίωμα πρόσβασης του καταγγείλαντος, στ) δεν έχει επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αυτή αποφάσισε τη σε βάρος της επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 9ο – Απόφαση υπ’ αριθ. 28/2020 (SMS)

Το ένατο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS), σε απάντηση του οποίου η καταγγείλασα, όπως ισχυρίστηκε, ζήτησε με απαντητικό SMS την άμεση διαγραφή των προσωπικών στοιχείων της.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για τις καταγγελίες ιδίως ότι: α) τα στοιχεία της καταγγείλασας αποκτήθηκαν από την ίδια, β) σε όλα τα SMS τα οποία απέστειλε παρέθεσε τον προσωπικό της αριθμό κινητού τηλεφώνου, ώστε οι παραλήπτες να μπορούν να επικοινωνήσουν μαζί της για οποιοδήποτε ζήτημα, γ) κατόπιν της λήψης του αιτήματος διαγραφής της καταγγείλασας, η καταγγελθείσα προχώρησε στην διαγραφή των στοιχείων επικοινωνίας της, δ) η μαζική αποστολή SMS έγινε με τη συνεργασία υπηρεσίας μαζικής αποστολής μηνυμάτων, ε) η μαζική αποστολή SMS έγινε αποκλειστικά σε φίλους, γνωστούς και εν γένει άτομα του κοινωνικού και επαγγελματικού κύκλου της καταγγελθείσας.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας και λαμβάνοντας υπόψη της την υποχρέωση ικανοποίησης του δικαιώματος διαγραφής, όπως προβλέπεται στο άρθρο 17 GDPR, έκρινε ιδίως ότι: α) η καταγγελθείσα δεν προσκόμισε στοιχεία που αποδεικνύουν τη λήψη συγκατάθεσης των παραληπτών SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, εν προκειμένω δε τα προσωπικά δεδομένα της καταγγείλασας συλλέχθηκαν στο πλαίσιο επαγγελματικής σχέσης, η οποία δεν σχετίζεται με πολιτική δραστηριότητα, β) η καταγγελθείσα δεν παρείχε πληροφορίες για τον ακριβή αριθμό των παραληπτών των μηνυμάτων, γ) παρείχετο η δυνατότητα στους παραλήπτες να ασκήσουν το δικαίωμα αντίρρησης, δεδομένου ότι η καταγγελθείσα  παρέθετε τον αριθμό κινητού τηλεφώνου της στα SMS πολιτικής επικοινωνίας, χωρίς όμως να υφίσταται σαφή αναφορά στη δυνατότητα άσκησης του δικαιώματος, δ) η καταγγελθείσα παρέλειψε να ενημερώσει την καταγγείλασα σχετικά με ενέργεια που πραγματοποίησε κατόπιν του αιτήματος διαγραφής το οποίο η τελευταία υπέβαλε, ε) η καταγγελθείσα συνεργάστηκε ικανοποιητικά με τη ΑΠΔΠΧ, στ) δεν είχε επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 10ο – Απόφαση υπ’ αριθ. 29/2020 (συμβατικό ταχυδρομείο)

Το δέκατο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις δημοτικές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα με την αποστολή φακέλου με σταυρωμένα ψηφοδέλτια, μέσω συμβατικού ταχυδρομείου. Η καταγγείλασα ισχυρίστηκε ιδίως ότι: α) απέστειλε email στον καταγγελθέντα, με το οποίο ζήτησε την ενημέρωσή της για την επεξεργασία των προσωπικών δεδομένων της, δεδομένου ότι δεν του είχε χορηγήσει η ίδια τα στοιχεία της, χωρίς όμως να λάβει απάντηση, β) έλαβε χώρα και τηλεφωνική επικοινωνία της με το γραφείο του καταγγελθέντα για να λάβει σχετική ενημέρωση, δεν της δόθηκε όμως καμία απάντηση, γ) η ταχυδρομική διεύθυνση στην οποία της εστάλη ο φάκελος δεν περιλαμβάνεται ούτε στους εκλογικούς καταλόγους ούτε σε κάποιους δημόσια προσβάσιμους τηλεφωνικούς (π.χ. ο κατάλογος του ΟΤΕ) ή επαγγελματικούς καταλόγους (π.χ. ο Χρυσός Οδηγός) ή καταλόγους εμπορικών εκθέσεων, καθώς και σε μητρώα που καθίστανται εκ του νόμου δημόσια προσβάσιμα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για τις καταγγελίες ιδίως ότι: α) δεν γνώριζε με βεβαιότητα με ποιον τρόπο και πότε πραγματοποιήθηκε τόσο η συλλογή των προσωπικών δεδομένων της καταγγείλασας όσο και η σχετική επικοινωνία, καθώς και ποιος ήταν ο αποστολέας, δεδομένου ότι ήταν υποψήφιος δήμαρχος και προωθητικό υλικό απέστειλαν και οι υποψήφιοι δημοτικοί σύμβουλοι, β) η διεύθυνσή του ηλεκτρονικού ταχυδρομείου που δόθηκε στην ΑΠΔΠΧ από την καταγγείλασα και στην οποία τον αναζήτησε αρχικά η ΑΠΔΠΧ ήταν εσφαλμένη, γ) η ορθή διεύθυνση ηλεκτρονικού ταχυδρομείου του ήταν αυτή που γνωστοποίησε με τις εξηγήσεις του στην ΑΠΔΠΧ, δεν επιθυμούσε όμως αυτή να μη γνωστοποιηθεί στην καταγγείλασα.

Κατά την ΑΠΔΠΧ, νομική βάση για την πολιτική επικοινωνία μέσω ταχυδρομείου μπορεί να αποτελέσει η συγκατάθεση των υποκειμένων σύμφωνα με το άρθρο 6 παρ. 1 περ. α΄ GDPR ή το υπέρτερο έννομο συμφέρον αυτού που προβαίνει στην πολιτική επικοινωνία σύμφωνα με το άρθρο 6 παρ. 1 περ. στ΄ GDPR, εφόσον πρόκειται για απλά δεδομένα. Τα τελευταία πρέπει να προέρχονται από νόμιμες πηγές, δηλαδή να έχουν συλλεγεί με νόμιμο τρόπο και η χρήση τους να μην είναι ασυμβίβαστη με το σκοπό της πολιτικής επικοινωνίας. Τέτοιες πηγές είναι οι εξής: α) οι δημόσια προσβάσιμοι κατάλογοι, τηλεφωνικοί (π.χ. ο κατάλογος του ΟΤΕ), επαγγελματικοί κατάλογοι (π.χ. ο Χρυσός Οδηγός), οι κατάλογοι εμπορικών εκθέσεων καθώς και μητρώα που καθίστανται εκ του νόμου δημόσια προσβάσιμα (π.χ. το Γενικό Εμπορικό Μητρώο), β) οι εκλογικοί κατάλογοι υπό προϋποθέσεις. Περαιτέρω, σε κάθε περίπτωση, ο αποστολέας οφείλει πριν από την πραγματοποίηση της πολιτικής επικοινωνίας να συμβουλεύεται το μητρώο του άρθρου 13 παρ. 3 Ν. 2472/1997, το οποίο τηρεί η ΑΠΔΠΧ, και στο οποίο εγγράφονται όσα πρόσωπα δεν επιθυμούν τα στοιχεία τους να αποτελέσουν αντικείμενο επεξεργασίας για διαφημιστικούς σκοπούς μέσω ταχυδρομείο. Τέλος, η υποχρέωση ικανοποίησης του δικαιώματος πρόσβασης προβλέπεται στο άρθρο 16 GDPR.

Κατά τα ως άνω λοιπόν, η ΑΠΔΠΧ έκρινε ιδίως ότι: α) δεν προέκυψε ότι ο φάκελος εστάλη από τον ίδιο τον καταγγελθέντα για την προώθηση της υποψηφιότητάς του και κατ’ επέκταση δεν τεκμηριώνεται παράβαση εκ μέρους του σχετικά με αποστολή μη ζητηθείσας πολιτικής επικοινωνίας, β) ο καταγγελθείς δεν απάντησε στο αίτημα πρόσβασης, το οποίο άσκησε η καταγγείλασα τόσο μέσω ηλεκτρονικού ταχυδρομείου όσο και τηλεφωνικά, γ) ο καταγγελθείς δεν παρείχε στην ΑΠΔΠΧ πληροφορίες αναφορικά με την ενημέρωση που παρείχε στους παραλήπτες για τον τρόπο άσκησης του δικαιώματος πρόσβασης, δ) ο καταγγελθείς δεν παρείχε πληροφορίες στην ΑΠΔΠΧ σχετικά με ενέργειες του για την ενημέρωση των παραληπτών ως προς το μέσο επικοινωνίας μαζί του, δεδομένου ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου αυτού, η οποία υπήρχε ευρέως στο διαδίκτυο, ήταν εσφαλμένη, ε) ο καταγγελθείς συνεργάστηκε με τη ΑΠΔΠΧ, στ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 11ο – Απόφαση υπ’ αριθ. 34/2020 (SMS)

Το ενδέκατο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Οι προωθητικές ενέργειες έλαβαν χώρα μέσω της αποστολής σύντομων γραπτών μηνυμάτων (SMS). Ο καταγγείλας ισχυρίστηκε ότι δεν είχε καμία προηγούμενη σχέση με την καταγγελθείσα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για την καταγγελία ιδίως ότι: α) ήταν και μέλος επαγγελματικού επιμελητηρίου, β) πηγή άντλησης των στοιχείων του καταγγείλαντος ήταν το εν λόγω επιμελητήριο, τα μητρώα του οποίου είχαν καταστεί εκ του νόμου δημόσια προσβάσιμα, γ) πριν την αποστολή οποιουδήποτε μηνύματος αυτή προέβη στον έλεγχο του μητρώου του άρθρου 13 παρ. 3 Ν. 2472/1997 και διαπίστωσε ότι δεν υπήρχε καταχώρηση για τον καταγγείλαντα, δ) στον καταγγείλαντα δόθηκε η δυνατότητα να ασκήσει το δικαίωμα αντίρρησης του με τρόπο εύκολο και σαφή, αφού σε κάθε SMS που έλαβε υπήρξε η επιλογή διαγραφής του από την λίστα παραληπτών, ενέργεια όμως στην οποία αυτός ουδέποτε προέβη.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) η καταγγελθείσα δεν προσκόμισε στοιχεία που αποδεικνύουν τη λήψη συγκατάθεσης του παραλήπτη SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, β) αναφορικά με τον ισχυρισμό της καταγγελθείσας ότι πριν την αποστολή οποιουδήποτε μηνύματος προέβη στον έλεγχο του μητρώου του άρθρου 13 παρ. 3 Ν. 2472/1997, το εν λόγω μητρώο αφορά στην αποστολή έντυπου διαφημιστικού υλικού, και όχι τα ηλεκτρονικά μέσα, γ) η καταγγελθείσα δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, δ) παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, σε κάθε SMS πολιτικής επικοινωνίας, ε) η καταγγελθείσα συνεργάστηκε με την ΑΠΔΠΧ, ζ) δεν είχε επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της επιβολή προστίμου ύψους 2.000 ευρώ.

 

Καρφί 12ο – Απόφαση υπ’ αριθ. 35/2020 (SMS)

Το δωδέκατο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Ο καταγγείλας ισχυρίστηκε ότι δεν είχε καμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) για την ενημέρωση περί της υποψηφιότητάς του στις εκλογές, απέστειλε SMS σε τηλεφωνικούς αριθμούς οικείων του, όπως και στον καταγγείλαντα, με τον οποίο υπήρχε συνεργασία σε επαγγελματικό πλαίσιο και σχέση οικειότητας, β) η αποστολή του συγκεκριμένου SMS δεν έγινε στο πλαίσιο πολιτικής επικοινωνίας, αλλά μιας φιλικής επικοινωνίας, με σκοπό την ενημέρωση για την επικείμενη υποψηφιότητά του στις εκλογές, δηλαδή στο πλαίσιο προσωπικής ή οικιακής δραστηριότητας, γ) ο λόγος για τον οποίο δεν πρόσθεσε στο SMS το οποίο απέστειλε τη δυνατότητα διαγραφής, ήταν γιατί δεν είχε σκοπό να αποστείλει άλλο, οπότε και θεώρησε ότι δεν χρειαζόταν, δοθέντος ότι οι περιορισμοί στον αριθμό των χαρακτήρων ενός SMS είναι αυστηροί.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που αποδεικνύουν τη λήψη συγκατάθεσης του παραλήπτη SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, η οποία να σχετίζεται όμως με τη συγκεκριμένη πολιτική δραστηριότητά του, β) ο καταγγελθείς δεν κατέδειξε ότι ακολούθησε διαδικασίες, αναφορικά με την αποστολή μηνυμάτων για σκοπούς πολιτικής επικοινωνίας, οι οποίες να διασφαλίζουν ότι πληρούνται οι σχετικές προϋποθέσεις νομιμότητας, γ) ο καταγγελθείς δεν προσκόμισε σχετικά στοιχεία για άλλα πρόσωπα στα οποία απέστειλε μηνύματα πολιτικής επικοινωνίας, ούτε παρείχε στην ΑΠΔΠΧ πληροφορία αναφορικά με τον ακριβή αριθμό παραληπτών των μηνυμάτων αυτών,  δ) δεν δόθηκε στον καταγγείλαντα η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, ε) ο καταγγελθείς συνεργάστηκε με την ΑΠΔΠΧ, στ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 2.000 ευρώ.

 

Καρφί 13ο – Απόφαση υπ’ αριθ. 36/2020 (SMS)

Το δέκατο τρίτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Ο καταγγείλας ισχυρίστηκε ότι δεν είχαν καμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) στην προσπάθεια επικοινωνίας και γνωστοποίησης της βουλευτικής του υποψηφιότητας ως ελεύθερος επαγγελματίας αποφάσισε να επιδιώξει την επαφή με ηλεκτρονικά μέσα αποκλειστικά και μόνο με τους συναδέλφους, οι οποίοι κατά το παρελθόν είχαν λάβει πρόσκληση να συμμετέχουν σε ομιλίες, διαλέξεις και δραστηριότητές του, β) το επίμαχο SMS ίσως εστάλη σε χιλιάδες παραλήπτες, γ) ο αριθμός του κινητού τηλεφώνου του καταγγείλαντα αναγράφεται στον ιστότοπο συλλόγου και είχε στο παρελθόν χρησιμοποιηθεί για την αποστολή ενημερωτικών μηνυμάτων, στο πλαίσιο σχετικών εκδηλώσεων στις οποίες ο καταγγείλας είχε συμμετάσχει, δ) σε κάθε μήνυμα αναφερόταν η δυνατότητα διαγραφής με τη χρήση σχετικού συνδέσμου.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που αποδεικνύουν τη λήψη συγκατάθεσης του παραλήπτη μηνυμάτων SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή, η οποία να σχετίζεται όμως με τη συγκεκριμένη πολιτική δραστηριότητά του, β) ο καταγγελθείς δεν κατέδειξε ότι ακολούθησε διαδικασίες, αναφορικά με την αποστολή μηνυμάτων για σκοπούς πολιτικής επικοινωνίας, οι οποίες να διασφαλίζουν ότι πληρούνται οι οικείς προϋποθέσεις νομιμότητας, γ) πραγματοποιήθηκε αποστολή μηνυμάτων πολιτικού περιεχομένου σε παραλήπτες των οποίων τα στοιχεία επικοινωνίας ήταν δημοσιευμένα στο διαδίκτυο, χωρίς να λαμβάνεται υπόψη από τον αποστολέα αν υπάρχει προς τούτο προηγούμενη συγκατάθεση ή προηγούμενη σχέση, δ) ο καταγγελθείς δεν προσκόμισε σχετικά στοιχεία αναφορικά με τον αριθμό των παραληπτών μηνυμάτων πολιτικής επικοινωνίας και τη συχνότητα των μηνυμάτων αυτών, αν και ανέφερε ότι ενδεχομένως ήταν χιλιάδες, ε) δόθηκε στον καταγγείλαντα η δυνατότητα να ασκήσει το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, στ) ο καταγγελθείς συνεργάστηκε με την ΑΠΔΠΧ, ζ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 2.000 ευρώ.

 

Καρφί 14ο – Απόφαση υπ’ αριθ. 37/2020 (SMS)

Το δέκατο τέταρτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Ο καταγγείλας ισχυρίστηκε ότι επικοινώνησε τηλεφωνικά με τον εμπλεκόμενο τηλεφωνικό αριθμό και ότι σε σχετική ερώτησή του, του ανέφεραν ως πηγή του τηλεφωνικού αριθμού του περιφερειακό τμήμα επαγγελματικού οργάνου στο οποίο ήταν παλαιότερα εγγεγραμμένος λόγω της επαγγελματικής του ιδιότητας.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) οι παραλήπτες των SMS που απέστειλε στο πλαίσιο γνωστοποίησης της υποψηφιότητάς του προέκυψαν μετά από επιλογή των επαφών του κινητού τηλεφώνου του, καθώς και από τα αντίστοιχα μηνύματα που είχε στείλει στις προηγούμενες βουλευτικές εκλογές του 2015, β) στο SMS που απέστειλε αναφερόταν το σταθερό τηλέφωνο του γραφείου του, ώστε, σε περίπτωση ενόχλησης, να μπορεί ο παραλήπτης να ζητήσει την εξαίρεση από πιθανή επόμενη αποστολή, γ) ορισμένα από τα στοιχεία του οικείου καταλόγου προέκυψαν από συναδέλφους του καταγγελθέντος, μέλη του επαγγελματικού οργάνου, καθώς προ των εκλογών του 2015 συμμετείχε στην επιτροπή του περιφερειακού τμήματος, δ) στην επικοινωνία με τον καταγγείλαντα αναγνωρίστηκε το λάθος και αυτός εξαιρέθηκε από τον κατάλογο παραληπτών, ε) θεωρεί ότι υπάρχει προηγούμενη επαφή και σχέση με τον καταγγείλαντα, στ) ο καταγγείλας είχε λάβει αντίστοιχο μήνυμα και στις εκλογές του 2015 χωρίς να διαμαρτυρηθεί.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς δεν είχε λάβει συγκατάθεση του παραλήπτη μηνύματος SMS, ούτε είχε υπάρξει προηγούμενη παρόμοια επαφή, η οποία να σχετίζεται όμως με τη συγκεκριμένη πολιτική δραστηριότητά του, β) ο καταγγελθείς δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, γ) δόθηκε στον καταγγείλαντα η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, το οποίο αυτός άσκησε τηλεφωνικά και ο καταγγελθείς ανταποκρίθηκε, δ) ο καταγγελθείς, λόγω ιδιότητας, είχε πλήρη γνώση του ισχύοντος νομικού πλαισίου για την πολιτική επικοινωνία, ε) ο καταγγελθείς συνεργάστηκε με την ΑΠΔΠΧ, στ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, Η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 1.000 ευρώ.

 

Καρφί 15ο – Απόφαση υπ’ αριθ. 38/2020 (email)

Το δέκατο πέμπτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις αυτοδιοικητικές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου (email). Ο καταγγείλας ισχυρίστηκε ότι δεν είχε καμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) τα στοιχεία επικοινωνίας του καταγγείλαντα αποκτήθηκαν νομίμως στο πλαίσιο προηγούμενης επαγγελματικής σχέσης, β) το επίμαχο email απεστάλη εκ παραδρομής, γ) ο καταγγείλας άσκησε αντίρρηση, η οποία ικανοποιήθηκε, με αφαίρεση της ηλεκτρονικής του διεύθυνσης από τη λίστα παραληπτών.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς δεν είχε λάβει τη συγκατάθεση του παραλήπτη του email, ούτε είχε υπάρξει προηγούμενη παρόμοια επαφή, η οποία να σχετίζεται όμως με τη συγκεκριμένη πολιτική δραστηριότητά του, β) ο καταγγελθείς δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, γ) παρείχετο στον παραλήπτη η δυνατότητα να ασκεί το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, το οποίο εν προκειμένω ασκήθηκε και ο καταγγελθείς ανταποκρίθηκε, δ) ο καταγγελθείς συνεργάστηκε εν μέρει ικανοποιητικά με την ΑΠΔΠΧ, ε) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 2.000 ευρώ.

 

Καρφί 16ο – Απόφαση υπ’ αριθ. 39/2020 (SMS)

Το δέκατο έκτο «καρφί» αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις ευρωεκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Η καταγγείλασα ισχυρίστηκε ότι δεν είχε οποιαδήποτε προηγούμενη σχέση με την καταγγελθείσα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για την καταγγελία ιδίως ότι η καταγγείλασα δήλωσε με αποστολή μηνύματος ηλεκτρονικού ταχυδρομείου, το οποίο κοινοποιήθηκε στην καταγγελθείσα, ότι επιθυμεί να αποσύρει την καταγγελία της, καθώς είχε προηγουμένως χορηγήσει την απαιτούμενη συγκατάθεση για σκοπούς πολιτικής επικοινωνίας.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) με την απόσυρση της καταγγελίας αυτή εξετάζει αυτεπάγγελτα μόνο το ζήτημα της γενικής πρακτικής που ακολουθήθηκε για την επικοινωνία πολιτικού χαρακτήρα με ηλεκτρονικά μέσα, β) η καταγγελθείσα δεν απέδειξε ότι είχε λάβει προηγούμενες συγκαταθέσεις των προσώπων στα οποία απέστειλε μηνύματα πολιτικής επικοινωνίας, ενώ δεν παρείχε κανένα στοιχείο για τον τρόπο με τον οποίο περιήλθαν στην κατοχή της οι τηλεφωνικοί αριθμοί στους οποίους εστάλησαν μηνύματα, γ) η καταγγελθείσα δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, δ) παρείχετο στους παραλήπτες η δυνατότητα να ασκούν το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, μέσα στα SMS, ε) η καταγγελθείσα, λόγω ιδιότητας, είχε πλήρη γνώση του ισχύοντος νομικού πλαισίου για την πολιτική επικοινωνία πολιτικού χαρακτήρα, στ) η καταγγελθείσα δεν συνεργάστηκε με την ΑΠΔΠΧ, ζ) δεν είχε επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της επιβολή προστίμου ύψους 2.000 ευρώ.

 

Καρφί 17ο – Απόφαση υπ’ αριθ. 40/2020 (SMS)

Το δέκατο έβδομο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής τεσσάρων σύντομων γραπτών μηνυμάτων (SMS). Ο καταγγείλας ισχυρίστηκε ότι κατόπιν της λήψης του πρώτου SMS προέβη σε επικοινωνία με την καταγγελθείσα τόσο με μήνυμα ηλεκτρονικού ταχυδρομείου όσο και τηλεφωνικά, όπου εξέφρασε τις αντιρρήσεις του. Εν τούτοις, η απάντηση που καταρχάς έλαβε δεν ήταν ικανοποιητική, ενώ στη συνέχεια του στάλθηκε εκ νέου μήνυμα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για την καταγγελία ιδίως ότι: α)  γνώριζε τον καταγγείλαντα στο πλαίσιο συγκεκριμένων καθηκόντων της σε οργανισμό αυτοδιοίκησης στον οποίο είχε εκλεγεί, με τον οποίο είχε ανταλλαγή τηλεφωνικών κλήσεων, SMS και δια ζώσης συνάντηση, ενώ ο τηλεφωνικός αριθμός του της γνωστοποιήθηκε από τον ίδιο, β) ως προς την πρακτική που ακολούθησε για την αποστολή SMS, κοινοποίησε σε φίλους, των οποίων τα στοιχεία είχε αποθηκευμένα στη συσκευή της, ενημέρωση για την υποψηφιότητά της, γ) η αποστολή του επίμαχου SMS ήταν αποτέλεσμα αστοχίας συνεργάτη της, παρά τη ρητή εντολή της να απομονώσει τον αριθμό του καταγγείλαντα από μια μεγάλη λίστα φίλων αποδεκτών.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας και λαμβάνοντας υπόψη της την υποχρέωση ικανοποίησης του δικαιώματος εναντίωσης, όπως προβλέπεται στο άρθρο 21 GDPR, έκρινε ιδίως ότι: α) η καταγγελθείσα δεν απέδειξε ότι είχε λάβει προηγούμενες συγκαταθέσεις των προσώπων στα οποία απέστειλε μηνύματα πολιτικής επικοινωνίας, ούτε είχε υπάρξει προηγούμενη παρόμοια επαφή, η οποία να σχετίζεται όμως με τη συγκεκριμένη πολιτική δραστηριότητά της, β) η καταγγελθείσα δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, γ) δεν παρείχετο στους παραλήπτες η δυνατότητα να ασκούν το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, μέσα στα SMS, ενώ τα δικαιώματα πρόσβασης και εναντίωσης που άσκησε ο καταγγείλας δεν ικανοποιήθηκαν με τον δέοντα τρόπο, δ) η καταγγελθείσα είχε πλήρη γνώση του ισχύοντος νομικού πλαισίου για την πολιτική επικοινωνία πολιτικού χαρακτήρα, ε) η καταγγελθείσα συνεργάστηκε με την ΑΠΔΠΧ, ε) δεν είχε επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της επιβολή προστίμου ύψους 2.000 ευρώ.

 

Καρφί 18ο – Απόφαση υπ’ αριθ. 41/2020 (SMS)

Το δέκατο όγδοο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Η καταγγείλασα ισχυρίστηκε ότι δεν είχε ουδεμία προηγούμενη σχέση με την καταγγελθείσα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η καταγγελθείσα ανέφερε για την καταγγελία ιδίως ότι: α) προέβη σε ενέργειες συμμόρφωσης με το ρυθμιστικό πλαίσιο της προστασίας προσωπικών δεδομένων, β) η καταγγείλασα προχώρησε απευθείας στην καταγγελία ενώπιον της ΑΠΔΠΧ, αντί να απευθυνθεί πρώτα σ αυτήν προκειμένου να ασκήσει δικαίωμά της, γ) δεν γνώριζε την καταγγείλασα και ουδέποτε είχε κάποια προσωπική, επαγγελματική ή πολιτική επαφή μαζί της, δ) δεν γνώριζε πώς εστάλη το εν λόγω SMS στην καταγγείλασα, ενδεχομένως κάποιος από τους εθελοντές, φίλους και συνεργάτες της είχε κάποιου είδους προσωπική επικοινωνία μαζί της από το τηλεφωνικό κέντρο του γραφείο της, ε) η αποστολή του εν λόγω μηνύματος ήταν εσφαλμένη, αποτελώντας ένα μεμονωμένο και ατυχές περιστατικό.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας έκρινε ιδίως ότι: α) αναφορικά με τον ισχυρισμό της καταγγελθείσας ότι η καταγγείλασα έπρεπε πρώτα να προσφύγει στην καταγγελθείσα και μόνο αν δεν είχε ικανοποιηθεί να προσφύγει στην ΑΠΔΠΧ, η παραβίαση έχει ήδη τελεσθεί με την αποστολή του SMS, ανεξαρτήτως της άσκησης ή μη εκ των υστέρων των δικαιωμάτων της καταγγείλασας ενώπιον της καταγγελθείσας, σε κάθε δε περίπτωση δεν αποτελεί προϋπόθεση για την καταγγελία στην ΑΠΔΠΧ, η προηγούμενη άσκηση δικαιώματος ενώπιον του εκάστοτε καταγγελθέντος, β) η καταγγελθείσα δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών SMS, ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή/επικοινωνία μαζί τους, γ) η καταγγελθείσα δεν παρείχε ακριβείς πληροφορίες για την προέλευση των δεδομένων, δ) η καταγγελθείσα δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, ε) παρείχετο στους παραλήπτες SMS η δυνατότητα να ασκούν το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, στ) στο επίμαχο SMS της καταγγελίας δεν παρείχετο η δυνατότητα άσκησης του δικαιώματος εναντίωσης με τρόπο εύκολο και σαφή, ζ) η καταγγελθείσα είχε γνώση του ισχύοντος νομικού πλαισίου για την πολιτική επικοινωνία πολιτικού χαρακτήρα, η) η καταγγελθείσα συνεργάστηκε με την ΑΠΔΠΧ, θ) δεν είχε επιβληθεί σε βάρος της άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της επιβολή προστίμου ύψους 2.000 ευρώ.

 

Καρφί 19ο – Απόφαση υπ’ αριθ. 42/2020 (SMS)

Το δέκατο ένατο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής δύο σύντομων γραπτών μηνυμάτων (SMS). Ο καταγγείλας ισχυρίστηκε ότι δεν είχε ουδεμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) στο πλαίσιο της επαγγελματικής δραστηριότητάς του είχε έλθει σε επαφή προσωπικά με τον καταγγείλαντα,  τα δε στοιχεία επικοινωνίας του τα είχε λάβει από τον ίδιο, β) ο καταγγείλας δεν άσκησε το δικαίωμα αντίρρησης μετά την αποστολή του πρώτου μηνύματος και δεν προέβη σε εγγραφή στο μητρώο του άρθρου 11 Ν. 3471/2006 για τη μη πραγματοποίηση μη ζητηθεισών επικοινωνιών που τηρεί ο πάροχός του, γ) τα δικαιώματα του καταγγείλαντος δεν εθίγησαν ουσιωδώς και σε τέτοιο βαθμό που να δικαιολογείται η καταγγελία, δ) ο καταγγείλας άσκησε το δικαίωμά του καταχρηστικώς.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας έκρινε ιδίως ότι: α) αναφορικά με τον ισχυρισμό του καταγγελθέντος ότι ο καταγγείλας έπρεπε πρώτα να προσφύγει σε αυτόν, η παραβίαση είχε ήδη τελεσθεί με την αποστολή του SMS, ανεξαρτήτως της άσκησης ή μη εκ των υστέρων των δικαιωμάτων του καταγγείλαντος ενώπιον του καταγγελθέντος, σε κάθε δε περίπτωση δεν αποτελεί προϋπόθεση για την καταγγελία στην ΑΠΔΠΧ, η προηγούμενη άσκηση δικαιώματος ενώπιον του εκάστοτε καταγγελθέντος, β) η εγγραφή στο μητρώο του άρθρου 11 Ν. 3471/2006, στην οποία ο καταγγελθείς δήλωσε ότι δεν προέβη ο καταγγείλας, αφορά στην άρνηση του εκάστοτε συνδρομητή να λαμβάνει τηλεφωνήματα για απευθείας εμπορική προώθηση, γ) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών SMS, ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή/επικοινωνία, σε κάθε δε περίπτωση δήλωσε ότι τα προσωπικά στοιχεία του καταγγείλαντα αποκτήθηκαν στο πλαίσιο επαγγελματικής σχέσης η οποία δεν σχετιζόταν με την πολιτική δραστηριότητά του, δ) ο καταγγελθείς δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν,  ε)  στα επίμαχα SMS της καταγγελίας δεν παρείχετο η δυνατότητα άσκησης του δικαιώματος εναντίωσης με τρόπο εύκολο και σαφή, στ) ο καταγγελθείς συνεργάστηκε με την ΑΠΔΠΧ, ζ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 20ο – Απόφαση υπ’ αριθ. 43/2020 (email και SMS)

Το εικοστό καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις περιφερειακές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής δύο καταγγελιών. Οι προωθητικές ενέργειες έλαβαν χώρα στη μεν πρώτη καταγγελία μέσω της αποστολής μηνύματος ηλεκτρονικού ταχυδρομείου (email), στη δε δεύτερη καταγγελία μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Και οι δυο καταγγείλαντες ισχυρίστηκαν ότι δεν είχαν καμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για τις καταγγελίες ιδίως ότι: α) η ενημέρωση για την υποψηφιότητά του έγινε σε όλους αυτούς που στην πολύχρονη επαγγελματική και κοινωνική δραστηριότητα του ήρθαν σε επαφή μαζί του, β) τα στοιχεία που χρησιμοποίησε στην προεκλογική του προσπάθεια προέρχονταν από την προσωπική του ατζέντα και από τις επαγγελματικές κάρτες που του είχαν δοθεί σε πλήθος εκδηλώσεων, γ) ως προς την πρώτη καταγγελία, δεν θυμόταν πού ακριβώς είχε συναντηθεί με την καταγγείλασα, δ) ως προς τη δεύτερη καταγγελία, υπήρξε λάθος κατά την μεταφορά αριθμητικών ψηφίων ως προς ορισμένο νούμερο τηλεφώνου από την ατζέντα του, καθώς δεν έχει καταχωρημένο το όνομα του καταγγείλαντα, ε) κατά την προεκλογική του εκστρατεία έστειλε 500 SMS μέσω πακέτου που αγόρασε από πάροχο, και άγνωστο αριθμό email, ενώ δεν παρείχε στους παραλήπτες τη δυνατότητα να ασκήσουν το δικαίωμα εναντίωσης.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας, έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών των μηνυμάτων πολιτικής επικοινωνίας ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή/επικοινωνία, β) ως προς τη δεύτερη καταγγελία, δεν προσκομίστηκαν αποδεικτικά στοιχεία του επικαλούμενου ανθρώπινου λάθους κατά τη μεταφορά του αριθμού του καταγγείλαντος, π.χ. τα στοιχεία ενός άλλου ατόμου με παρόμοιο αριθμό τηλεφώνου), γ) ο καταγγελθείς δεν παρείχε στην ΑΠΔΠΧ πληροφορία αναφορικά με τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, εκτός από μια αναφορά για ένα πακέτο 500 SMS, δ) δεν δόθηκε στους καταγγείλαντες η δυνατότητα να ασκήσουν το δικαίωμα εναντίωσης, με τρόπο εύκολο και σαφή, ε) ο καταγγελθείς και λόγω επαγγελματικής ιδιότητας είχε πλήρη γνώση  του ισχύοντος νομικού πλαισίου, στ) ο καταγγελθείς συνεργάστηκε ικανοποιητικά με τη ΑΠΔΠΧ, ζ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 21ο – Απόφαση υπ’ αριθ. 44/2020 (SMS)

Το εικοστό πρώτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις ευρωεκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Η καταγγείλασα ισχυρίστηκε ότι δεν είχε ουδεμία προηγούμενη σχέση με τον καταγγελθέντα.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) η λίστα που χρησιμοποίησε για τη μαζική αποστολή SMS του χορηγήθηκε από τρίτον, ενώ του είχε διευκρινιστεί ότι η εν λόγω λίστα είναι «ελεγμένη», β) δεν γνώριζε ότι η αποστολή SMS εμπίπτει στον GDPR.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή/επικοινωνία, ενώ για τη συγκεκριμένη καταγγελία δεν προσκόμισε στοιχεία που να αποδεικνύουν τον ισχυρισμό του περί χορήγησης «ελεγμένη» λίστας από τρίτον, β) ο καταγγελθείς δεν προσδιόρισε στην ΑΠΔΠΧ τον ακριβή αριθμό των μηνυμάτων τα οποία εστάλησαν, γ) δεν δόθηκε στην καταγγείλασα η δυνατότητα άσκησης του δικαιώματος εναντίωσης με τρόπο εύκολο και σαφή, δ) δεν υπήρχε εύκολος τρόπος αναζήτησης στοιχείων του καταγγελθέντα προκειμένου να μπορούν να ασκηθούν προς αυτόν σχετικά δικαιώματα, δεδομένου ότι και η ΑΠΔΠΧ με δυσκολία τα βρήκε, ε) ο καταγγελθέντας δεν συνεργάστηκε ικανοποιητικά με την ΑΠΔΠΧ, αφού δεν απάντησε σε έγγραφό της, ζ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 22ο – Απόφαση υπ’ αριθ. 46/2020 (SMS)

Το εικοστό δεύτερο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις δημοτικές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής πλήθους σύντομων γραπτών μηνυμάτων (SMS). Ο καταγγείλας ισχυρίστηκε ότι δεν είχε ουδεμία προηγούμενη σχέση με τον καταγγελθέντα, ο οποίος ήταν Δήμαρχος. Ισχυρίστηκε επίσης, μεταξύ άλλων, ότι χρειάστηκε να προσπαθήσει τρεις φορές, ώστε να ενημερωθεί τελικά από τον εμπλεκόμενο δήμο, στον οποίο παραπέμφθηκε κατά την πρώτη επικοινωνία του, ότι το τηλέφωνο του θα διαγραφεί από τις οικείες λίστες επικοινωνίας..

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α)  το αρχείο που αξιοποιήθηκε για την ηλεκτρονική επικοινωνία δεν περιλάμβανε οιοδήποτε άλλο στοιχείο πέραν του κινητού τηλεφώνου, με αποτέλεσμα να καθίσταται πρακτικά ανέφικτη η ταυτοποίηση οιουδήποτε προσώπου, β) ο τηλεφωνικός αριθμός του καταγγείλαντος καταχωρήθηκε εκ παραδρομής στο σχετικό αρχείο, ειδικότερα, λόγω ανθρώπινου σφάλματος διενεργήθηκε λάθος διαδοχή στα ψηφία, γ) σε κάθε περίπτωση, μόλις έλαβε γνώση του συμβάντος, πραγματοποιήθηκε επανέλεγχος και διαγράφηκε το τηλέφωνο του καταγγείλαντος.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση των παραληπτών των SMS ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή/επικοινωνία, β) δεν παρείχετο στον παραλήπτη η δυνατότητα να ασκήσει το δικαίωμα εναντίωσης με τρόπο εύκολο και σαφή, σε κάθε SMS πολιτικής επικοινωνίας, γ) εν προκειμένω η ικανοποίηση του δικαιώματος εναντίωσης δεν ήταν αποτελεσματική, αφού υπήρξε άσκηση του δικαιώματος χωρίς αυτό όμως, αρχικά, να ικανοποιηθεί, με αποτέλεσμα να υπάρξει και νέο αίτημα διαγραφής, δ) ο καταγγελθείς συνεργάστηκε με την ΑΠΔΠΧ, ε) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 3.000 ευρώ.

 

Καρφί 23ο – Απόφαση υπ’ αριθ. 52/2020 (συμβατικό ταχυδρομείο)

Το εικοστό τρίτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις περιφερειακές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα με την αποστολή φακέλου μέσω συμβατικού ταχυδρομείου, στο εξωτερικό του οποίου αναγραφόταν ως αποστολέας Περιφερειάρχης, στο δε εσωτερικό του  υπήρχαν φύλλα τυπωμένα σε ανάγλυφη γραφή (braille). Ο καταγγείλας, μέλος συνδέσμου τυφλών, ισχυρίστηκε ότι απέστειλε email στον καταγγελθέντα, με το οποίο ζήτησε την ενημέρωσή του για την πηγή από την οποία πραγματοποιήθηκε η συλλογή των δεδομένων υγείας του, καθώς και για τη νομική βάση επεξεργασίας τους, χωρίς όμως να λάβει απάντηση.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, η εμπλεκόμενη πολιτική παράταξη, δια του επικεφαλής της, ανέφερε για τις καταγγελίες ιδίως ότι: α) ελήφθη η απόφαση εντός της παράταξης να απευθυνθούν σε τυφλούς με φυλλάδιο εκτυπωμένο σε ανάγλυφη γραφή με το σύστημα Μπράιγ, β) μέλος της παράταξης απευθύνθηκε σε οικεία ομοσπονδία τυφλών, η οποία τους χορήγησε τα στοιχεία επικοινωνίας προς αποστολή φυλλαδίων, γ) η εν λόγω ομοσπονδία τους χορήγησε ονοματεπώνυμα και διευθύνσεις εκτυπωμένα σε μορφή αυτοκόλλητων, που δεν είχαν εναντιωθεί στη διαβίβαση των δεδομένων τους για σκοπούς πολιτικής επικοινωνίας με το σύστημα του «opt-out», δ) τα αυτοκόλλητα αυτά επικολλήθηκαν σε φακέλους που περιείχαν το φυλλάδιο με την ανάγλυφη γραφή σε σύστημα Μπράιγ και στη συνέχεια στάλθηκαν σε ενδιαφερόμενους.

Εν συνεχεία, η ΑΠΔΠΧ απηύθυνε πρόσκληση για εξηγήσεις προς την εμπλεκόμενη ομοσπονδία τυφλών η οποία ανέφερε ιδίως ότι: α) έχει μέλη μόνο σωματεία τυφλών και όχι φυσικά πρόσωπα, β) από καμία παράταξη δεν της ζητήθηκαν τα στοιχεία που υποστήριξε ότι έλαβε η εμπλεκόμενη παράταξη.

Κατά την ΑΠΔΠΧ, εν προκειμένω έλαβε χώρα από την επικεφαλής παράταξη επεξεργασία δεδομένων υγείας, ήτοι ειδικής κατηγορίας προσωπικών δεδομένων, καθώς κριτήριο αυτής αποτέλεσε η ύπαρξη προβλημάτων όρασης, με σκοπό την αποστολή πολιτικής επικοινωνίας. Περαιτέρω, νομική βάση για την πολιτική επικοινωνία μέσω συμβατικού ταχυδρομείου μπορεί να αποτελέσει η συγκατάθεση των υποκειμένων κατά το άρθρο 6 παρ. 1 περ. α΄ GDPR ή το υπέρτερο έννομο συμφέρον του υπευθύνου επεξεργασίας κατά το άρθρο 6 παρ. 1 περ. στ΄ GDPR, εφόσον πρόκειται για απλά δεδομένα τα οποία προέρχονται από νόμιμες πηγές, δηλαδή συλλέχθηκαν με νόμιμο τρόπο και η χρήση τους δεν είναι ασυμβίβαστη με το σκοπό της πολιτικής επικοινωνίας. Η επεξεργασία των ειδικών κατηγοριών δεδομένων, όπως τα δεδομένα υγείας, μπορεί να λάβει χώρα μόνο εφόσον συντρέχει νομική βάση του άρθρου 9 παρ. 2 GDPR, στις οποίες περιλαμβάνεται η ρητή συγκατάθεση του υποκειμένου.

Κατά τα ως άνω, λοιπόν, η ΑΠΔΠΧ έκρινε ιδίως ότι: α) ο καταγγείλας oυδέποτε παρέσχε τη ρητή συγκατάθεσή του, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 9 παρ. 2 στοιχ. α΄ GDPR, για την επίμαχη επεξεργασία, ούτε συνέτρεχε εν προκειμένω άλλη νομική βάση, β) η καταγγελθείσα απάντησε στο αίτημα ενημέρωσης του καταγγείλαντα εκπρόθεσμα, κατά παράβαση του χρονικού πλαισίου του άρθρου 14 παρ. 3 GDPR, ήτοι κατόπιν της διαβίβασης της καταγγελίας του τελευταίου σε αυτήν από την ΑΠΔΠΧ.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος της καταγγελθείσας επιβολή προστίμου ύψους 2.000 ευρώ για την παράβαση του άρθρου 9 GDPR και προστίμου ύψους 500 ευρώ για την εκπρόθεσμη ενημέρωση του καταγγείλαντα κατά παράβαση του άρθρου 14 παρ. 3 GDPR.

 

Καρφί 24ο – Απόφαση υπ’ αριθ. 56/2020 (τηλεφωνική κλήση)

Το εικοστό τέταρτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση  υποψηφιότητας στις δημοτικές εκλογές του Μαΐου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Οι προωθητικές ενέργειες έλαβαν χώρα μέσω τηλεφωνικής κλήσης με ανθρώπινη παρέμβαση από φερόμενο Δήμαρχο σε πρόσωπο εγγεγραμμένο στο μητρώο παρόχου του άρθρου 11 Ν. 3471/2006 για τη μη πραγματοποίηση μη ζητηθεισών επικοινωνιών. Ο καταγγείλας ισχυρίστηκε ότι: α) κλήθηκε συγκεκριμένη ημέρα και ώρα με σκοπό την προώθηση προεκλογικής ομιλίας του τότε εν ενεργεία δήμαρχου από εθελοντές του, ενώ αυτός δεν είχε καμία προηγούμενη σχέση με τον καταγγελθέντα, β) σε ερώτησή του για το πού βρήκαν τα στοιχεία του, έλαβε την απάντηση ότι αυτά συλλέχθηκαν από συναλλαγή με δήμο, στον οποίο είναι δημότης, γ) ουδέποτε είχε δώσει τη συγκατάθεσή του για χρήση του αριθμού του με σκοπό την πολιτική επικοινωνία.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο Γενικός Γραμματέας του εμπλεκόμενου δήμου ανέφερε για την καταγγελία ιδίως ότι : α) ο δήμος δεν χρησιμοποιούσε ως μέσο επικοινωνίας το τηλέφωνο, το δε νούμερο που αναφερόταν στην καταγγελία δεν ανήκε στο φάσμα των τηλεφωνικών γραμμών του δήμου, β) όποια στοιχεία συνέλεξε ο δήμος στα πλαίσια των συναλλαγών του με τους πολίτες δεν διατέθηκαν σε κανέναν τρίτο πέραν από τους νόμιμους αποδέκτες, γ) τα προσωπικά δεδομένα που συνέλεξε ο δήμος για την επικοινωνία με τους πολίτες με σκοπό την ενημέρωσή τους δεν χρησιμοποιήθηκαν για κανέναν άλλον σκοπό και δεν δόθηκαν σε κανέναν τρίτο, δ) ουδεμία ανάμειξη είχε ο δήμος.

Κατά την ΑΠΔΠΧ, η πολιτική επικοινωνία που πραγματοποιείται με ανθρώπινη παρέμβαση (κλήσεις), μέσω δημοσίων δικτύων επικοινωνίας, δεν είναι επιτρεπτή, σύμφωνα με το άρθρο 11 παρ. 2 Ν. 3471/2006, όπως ισχύει, εφόσον ο συνδρομητής έχει δηλώσει προς τον φορέα παροχής της διαθέσιμης στο κοινό υπηρεσίας ότι δεν επιθυμεί γενικώς να δέχεται τέτοιες κλήσεις.

Έτσι, η ΑΠΔΠΧ έκρινε ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία από τα οποία να αποδεικνύεται ότι είχε συμβουλευτεί το μητρώο του παρόχου του συνδρομητή ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή/επικοινωνία, β) πραγματοποιήθηκε επικοινωνία πολιτικού περιεχομένου σε αριθμό ο οποίος ήταν δημοσιευμένος στο μητρώο αντιρρήσεων του παρόχου του, γ) ο καταγγελθείς συνεργάστηκε με την ΑΠΔΠΧ, δ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 1.000 ευρώ.

 

Καρφί 25ο – Απόφαση υπ’ αριθ. 58/2020 (SMS)

Το εικοστό πέμπτο καρφί αφορούσε αζήτητη πολιτική επικοινωνία για προώθηση υποψηφιότητας στις βουλευτικές εκλογές του Ιουλίου 2019. Τέθηκε ενώπιον της ΑΠΔΠΧ κατόπιν υποβολής μίας καταγγελίας. Η προωθητική ενέργεια έλαβε χώρα μέσω της αποστολής σύντομου γραπτού μηνύματος (SMS). Η καταγγείλασα ισχυρίστηκε ότι δεν είχε ουδεμία προηγούμενη σχέση με τον καταγγελθέντα, ενώ δεν είχε δυνατότητα αντίρρησης στην επικοινωνία.

Στη σχετική πρόσκληση της ΑΠΔΠΧ, ο καταγγελθείς ανέφερε για την καταγγελία ιδίως ότι: α) η αποστολή του SMS στον τηλεφωνικό αριθμό της καταγγείλασας έγινε λόγω τεχνικού σφάλματος, β) ήταν μεμονωμένη περίπτωση, γ) το πολιτικό του γραφείο μεριμνά για την πιστή τήρηση των κατευθυντήριων γραμμών της ΑΠΔΠΧ.

Η ΑΠΔΠΧ, επαναλαμβάνοντας το προαναφερθέν σκεπτικό της υπ’ αρ. 10/2020 απόφασής της για τη νομιμότητα της πολιτικής επικοινωνίας έκρινε ιδίως ότι: α) ο καταγγελθείς δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι είχε εξασφαλιστεί η απαιτούμενη προηγούμενη συγκατάθεση του παραλήπτη SMS, ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή/επικοινωνία, β) δεν παρείχετο στα επίμαχα μηνύματα πολιτικής επικοινωνίας η δυνατότητα άσκησης δικαιώματος αντίρρησης, καθώς αυτά δεν περιλάμβαναν έγκυρη διεύθυνση στην οποία οι παραλήπτες τους μπορούσαν να ζητήσουν τερματισμό της πολιτικής επικοινωνίας, γ) ο καταγγελθείς συνεργάστηκε με την ΑΠΔΠΧ, δ) δεν είχε επιβληθεί σε βάρος του άλλη διοικητική κύρωση.

Με αυτό το σκεπτικό, η ΑΠΔΠΧ αποφάσισε τη σε βάρος του επιβολή προστίμου ύψους 3.000 ευρώ.

GDPR σφηνάκι: Αποχώρηση εργαζομένου και επαγγελματικό email

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 10/12/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Το αιώνιο πρόβλημα κατά την αποχώρηση εργαζομένου: τι κάνουμε με την επαγγελματική / εταιρική ηλεκτρονική διεύθυνσή του; Ουκ ολίγες φορές οι επιχειρήσεις επιλέγουν να διατηρήσουν την επαγγελματική ηλεκτρονική διεύθυνση για μεγάλο χρονικό διάστημα, παρά την αποχώρηση του εργαζομένου, ώστε να έχουν πρόσβαση σε τυχόν νέα εισερχόμενα μηνύματα. Αναθέτουν μάλιστα τη διαχείρισή της σε έτερο εργαζόμενο ή προωθούν αυτομάτως όλα τα εισερχόμενα μηνύματα σε τρίτη επαγγελματική ηλεκτρονική διεύθυνση της ίδιας επιχείρησης. Είναι νόμιμη η πρακτική αυτή; Η απάντηση είναι εμφατικά όχι κατά την εποπτική αρχή του Βελγίου, η οποία στα τέλη Σεπτεμβρίου επέβαλε σχετικό πρόστιμο ύψους 15.000 ευρώ για παραβιάσεις ιδίως των άρθρων 5 και 6 του GDPR (απόφαση 64/2020).

Η υπόθεση αφορούσε τις εταιρικές ηλεκτρονικές διευθύνσεις αποχωρήσαντος CEO εταιρείας και λοιπών στελεχών της, οι οποίες περιείχαν στοιχεία του ονοματεπώνυμού τους. Η εμπλεκόμενη εταιρεία επέλεξε να μην απενεργοποιήσει τα εν λόγω εταιρικά emails addresses, προωθώντας τα εισερχόμενα σε αυτά μηνύματα σε τρίτη ηλεκτρονική διεύθυνση της εταιρείας, για μεγάλο χρονικό διάστημα. Σύμφωνα με την οικεία απόφαση της εποπτικής αρχής, η ως άνω πρακτική της εμπλεκόμενης εταιρείας ήταν παράνομη, με αποτέλεσμα την επιβολή του προαναφερθέντος προστίμου. Κατά την ίδια απόφαση, ο ορθός χειρισμός επαγγελματικού email address αποχωρούντος εργαζόμενου συνοψίζεται ιδίως στα εξής 5 πρακτικά βήματα: α) ενημέρωση του εργαζομένου που αποχωρεί ότι η επαγγελματική ηλεκτρονική διεύθυνσή του θα μπλοκαριστεί, β) δημιουργία αυτοματοποιημένου απαντητικού μηνύματος για κάθε εισερχόμενο μήνυμα στην επαγγελματική ηλεκτρονική διεύθυνση, πριν αυτή μπλοκαριστεί, που θα ενημερώνει για την αποχώρηση του εργαζομένου και τα νέα στοιχεία επικοινωνίας του, γ) μπλοκάρισμα της επαγγελματικής ηλεκτρονικής διεύθυνσης το αργότερο κατά την ημέρα αποχώρησης του εργαζομένου, δ) διατήρηση του προαναφερθέντος αυτοματοποιημένου απαντητικού μηνύματος για εύλογο χρονικό διάστημα, κατά κανόνα για 1 μήνα, με δυνατότητα παράτασης υπό προϋποθέσεις, ε) διαγραφή της επαγγελματικής ηλεκτρονικής διεύθυνσης.

Τα ως άνω συμπεράσματα της εποπτικής αρχής του Βελγίου μπορούν να φανούν χρήσιμα για τη διαμόρφωση της οικείας εσωτερικής Πολιτικής που θα πρέπει να υφίσταται εντός της εκάστοτε επιχείρησης για το εν λόγω ζήτημα σε συμμόρφωση με τον GDPR.

GDPR και δικηγόροι: 35 σημεία του Σχεδίου Κώδικα Δεοντολογίας

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 23/11/2020

Αναδημοσίευση: www.analuseto.gr
Ημερομηνία αναδημοσίευσης: 23/11/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Στις 5 Οκτωβρίου 2020 τέθηκε σε δημόσια διαβούλευση το Σχέδιο Κώδικα Δεοντολογίας για την επεξεργασία προσωπικών δεδομένων από δικηγόρους, δικηγορικές εταιρείες και δικηγορικούς συλλόγους (Σχέδιο Κώδικα), κατόπιν απόφασης της Συντονιστικής Επιτροπής της Ολομέλειας των Προέδρων των Δικηγορικών Συλλόγων Ελλάδος. Σκοπός του Σχεδίου Κώδικα είναι να προσαρμόσει και να εξειδικεύσει τους κανόνες, τις αρχές και τις υποχρεώσεις που περιλαμβάνονται στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και στον εφαρμοστικό Ν. 4624/2019 στο πλαίσιο της άσκησης του δικηγορικού λειτουργήματος (άρθρο 1 παρ. 1). Η διαβούλευση επί του Σχεδίου Κώδικα ολοκληρώθηκε στις 31 Οκτωβρίου. Τα επόμενα βήματα είναι η λήψη υπόψη των σχολίων της διαβούλευσης (33 σχόλια) και η προώθηση του στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) προς έγκριση, κατά τα προβλεπόμενα στο άρθρο 40 GDPR.

Το Σχέδιο Κώδικα αποτελείται από 32 άρθρα τα οποία διαρθρώνονται σε 6 τμήματα. Παραλείποντας την αναφορά ρυθμίσεων της οικείας νομοθεσίας που περιλαμβάνονται στο κείμενό του, ιδίως του GDPR, καθώς και συνολικά το τμήμα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικηγορικούς συλλόγους (άρθρα 23-28), σταχυολογούμε 35 σημεία, στα οποία εντοπίζεται σημαντικό μέρος της υπεραξίας του Σχεδίου Κώδικα για δικηγόρους και δικηγορικές εταιρείες. Στα εν λόγω σημεία τίθενται σύντομοι τίτλοι για λόγους ευχερούς προσέγγισης που δεν αποτελούν μέρος του Σχεδίου Κώδικα.

Σημειώνεται ότι το παρόν άρθρο έχει αποκλειστικά ενημερωτικό χαρακτήρα και δεν αξιολογεί τις υπό υιοθέτηση ρυθμίσεις.

Α. Γενικές διατάξεις (άρθρα 1-3)

Σημείο 1ο: Οι δικηγόροι / δικηγορικές εταιρείες ως υπεύθυνοι επεξεργασίας

Το Σχέδιο Κώδικα εφαρμόζεται σε δικηγόρους και δικηγορικές εταιρείες που αποτελούν υπεύθυνους επεξεργασίας (άρθρο 3 παρ. 1-2). Δικηγόροι οι οποίοι, ενώ συμμετέχουν σε δικηγορικές εταιρείες, αποδέχονται εντολές αυτοτελώς και διαχειρίζονται υποθέσεις, αποτελούν ως προς αυτές τις υποθέσεις υπεύθυνους επεξεργασίας (άρθρο 3 παρ. 3). Δικηγόροι που τελούν σε σχέση έμμισθης εντολής σύμφωνα με το άρθρο 42 του Κώδικα των Δικηγόρων δεν αποτελούν υπεύθυνους επεξεργασίας αναφορικά με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο και για τους σκοπούς εκτέλεσης της έμμισθης εντολής (άρθρο 3 παρ. 4).

Σημείο 2ο: Επεξεργασία δεδομένων που αφορά το δικηγορικό λειτούργημα

Ως επεξεργασία δεδομένων προσωπικού χαρακτήρα νοείται ιδίως κάθε επεξεργασία που αφορά το δικηγορικό λειτούργημα, όπως αυτό περιγράφεται στο άρθρο 36 του Κώδικα Δικηγόρων. Ενδεικτικώς περιλαμβάνεται η εκπροσώπηση και υπεράσπιση του εντολέα σε κάθε δικαστήριο, αρχή ή υπηρεσία ή εξωδικαστικό θεσμό, η παροχή νομικών συμβουλών και γνωμοδοτήσεων και η συμμετοχή σε θεσμοθετημένα όργανα ελληνικά ή διεθνή (άρθρο 3 παρ.6).

Σημείο 3ο: Επεξεργασία δεδομένων συγκεκριμένων προσώπων

Το Σχέδιο Κώδικα διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορά πρόσωπα που συνδέονται με την παροχή της εκάστοτε νομικής υπηρεσίας, όπως εντολείς, διάδικοι, μάρτυρες, πραγματογνώμονες, τεχνικοί σύμβουλοι, δικηγόροι αντιδίκων, δικαστικοί και εισαγγελικοί λειτουργοί και υπάλληλοι, δικαστικοί επιμελητές συμβολαιογράφοι, υποθηκοφύλακες (άρθρο 3 παρ. 7). Το Σχέδιο Κώδικα δεν εφαρμόζεται σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα των προσώπων που απασχολούνται με σχέση εργασίας ή έργου σε δικηγόρο ή δικηγορική εταιρεία (άρθρο 3 παρ. 9).

Β. Γενικές αρχές προστασίας των προσωπικών δεδομένων (άρθρα 4-9)

Σημείο 4ο: Νομική βάση η εκτέλεση της σύμβασης και ενημέρωση

Ως προς τη νομική βάση της εκτέλεσης σύμβασης, προβλέπεται ρητά ότι η σύμβαση εντολής περιλαμβάνει τους όρους υπό τους οποίους πραγματοποιείται η επεξεργασία και την απαραίτητη ενημέρωση των συμβαλλομένων υποκειμένων των δεδομένων σύμφωνα με τα οριζόμενα στον GDPR (άρθρο 4 παρ. 2).

Σημείο 5ο: Νομική βάση η συμμόρφωση με έννομη υποχρέωση

Ως προς τη νομική βάση της συμμόρφωσης με τις υποχρεώσεις που επιβάλλονται από την εκάστοτε νομοθεσία, αναφέρονται ενδεικτικά η φορολογική νομοθεσία, η νομοθεσία που ρυθμίζει την άσκηση του δικηγορικού λειτουργήματος και η νομοθεσία για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες (άρθρο 4 παρ. 3).

Σημείο 6ο: Νομική βάση το υπέρτερο έννομο συμφέρον

Ως προς τη νομική βάση του υπέρτερου εννόμου συμφέροντος, αναφέρεται ενδεικτικά ότι έννομο συμφέρον νοείται η αναγνώριση, άσκηση και υπεράσπιση δικαιώματος ιδίως ενώπιον δικαστηρίου, διαιτητικού οργάνου, πειθαρχικού οργάνου και μηχανισμού διαμεσολάβησης (άρθρο 4 παρ. 6).

Σημείο 7ο: Νομική βάση η συγκατάθεση

Ως προς τη νομική βάση της συγκατάθεσης, αυτή συνιστάται να παρέχεται κατά κανόνα εγγράφως ή με ηλεκτρονικά μέσα, εφόσον εξασφαλίζεται η ταυτοποίηση του προσώπου που συγκατατίθεται και η αυθεντικότητα / ακεραιότητα του ηλεκτρονικού εγγράφου / δήλωσης (άρθρο 5 παρ. 3). Για την απόδειξη παροχής συγκατάθεσης προβλέπεται η τήρηση αρχείου των δηλώσεων συγκατάθεσης με τρόπο ώστε να προκύπτει αδιαμφισβήτητα και με σαφήνεια η ταυτότητα του προσώπου που συγκατατέθηκε, η ύπαρξη ενημέρωσης πριν από την παροχή της συγκατάθεσης, ο τρόπος λήψης της συγκατάθεσης και ο χρόνος παροχής αυτής (άρθρο 5 παρ. 4).

Σημείο 8ο: Σκοπός επεξεργασίας των προσωπικών δεδομένων

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δικηγόρους και δικηγορικές εταιρείες αποσκοπεί στην υποστήριξη της παροχής των υπηρεσιών / του έργου που αναλαμβάνουν οι δικηγόροι / οι δικηγορικές εταιρείες στο πλαίσιο της εντολής που τους ανατίθεται και εν γένει της άσκησης του δικηγορικού λειτουργήματος (άρθρο 6 παρ. 2).

Σημείο 9ο: Επεξεργασία δεδομένων στο πλαίσιο άλλης δίκης

Οι δικηγόροι/ δικηγορικές εταιρείες δεν επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα που έχουν συλλέξει, επεξεργαστεί ή έχουν στην κατοχή τους στο πλαίσιο και για τους σκοπούς μίας εντολής ή / και της παροχής νομικής υπηρεσίας, για σκοπούς που δεν σχετίζονται με αυτήν, ιδίως στο πλαίσιο άλλης δίκης, εκτός εάν αφορά τον ίδιο εντολέα και αυτός έχει ενημερωθεί σχετικά και έχει δώσει τη συγκατάθεσή του ή τον ίδιο αντίδικο σε συναφή υπόθεση κατά του ίδιου εντολέα ή σε μη συναφή μεταξύ των αυτών αντιδίκων, όπου όμως η χρήση των δεδομένων μπορεί να έχει έννομα αποτελέσματα υπέρ του εντολέα (άρθρο 6 παρ. 3 περ. 5).

Σημείο 10ο: Επαγγελματική προβολή και δεδομένα εντολέων

Δεν επιτρέπεται η αναφορά σε δεδομένα προσωπικού χαρακτήρα υποκειμένων των δεδομένων, ιδίως των εντολέων (πελατών) στο πλαίσιο της επαγγελματικής προβολής δικηγόρων / δικηγορικών εταιρειών, σύμφωνα με τα οριζόμενα στο άρθρο 40 του Κώδικα Δικηγόρων, εκτός εάν τα πρόσωπα, τα οποία αφορούν τα δεδομένα, έχουν δώσει τη ρητή συγκατάθεσή τους, αφού προηγουμένως έχουν ενημερωθεί (άρθρο 6 παρ. 5).

Σημείο 11ο: Ερευνητική ή συγγραφική δραστηριότητα και δεδομένα εντολέων

Δεν επιτρέπεται η αναφορά σε δεδομένα προσωπικού χαρακτήρα υποκειμένων των δεδομένων, όπως εντολέων ή άλλων παραγόντων της διαδικασίας, συμπεριλαμβανομένων δεδομένων που επιτρέπουν την ταυτοποίηση των προσώπων αυτών, στο πλαίσιο της άσκησης ερευνητικής ή συγγραφικής δραστηριότητας των δικηγόρων, εκτός εάν τα υποκείμενα των δεδομένων έχουν δώσει τη ρητή συγκατάθεσή τους, αφού προηγουμένως έχουν ενημερωθεί (άρθρο 6 παρ. 6).

Σημείο 12ο: Χρήση δεδομένων άλλης δικογραφίας

Οι δικηγόροι / δικηγορικές εταιρείες δεσμεύονται να μην χρησιμοποιούν δεδομένα προσωπικού χαρακτήρα που περιέχονται σε έγγραφα, αποδεικτικά στοιχεία κ. α. που αποτελούν μέρος άλλης δικογραφίας, χωρίς την προηγούμενη ενημέρωση και συγκατάθεση των υποκειμένων των δεδομένων (άρθρο 7 παρ. 6).

Σημείο 13ο: Διασφάλιση της ακρίβειας των δεδομένων

Για τη διασφάλιση της ακρίβειας των δεδομένων, εφόσον πρόκειται για δεδομένα προσωπικού χαρακτήρα που αφορούν σε εντολείς των δικηγόρων / δικηγορικών εταιρειών ή προσκομιζόμενα από αυτούς, προβλέπεται ως υποχρεωτική διαδικασία η παροχή σχετικής διαβεβαίωσης εκ μέρους τους για την εν λόγω ακρίβεια (άρθρο 8 παρ. 3).

Σημείο 14ο: Χρόνος τήρησης των δεδομένων

Οι δικηγόροι / οι δικηγορικές εταιρείες επιτρέπεται να διατηρούν τα δεδομένα προσωπικού χαρακτήρα και πέραν του διαστήματος που απαιτείται για την εκπλήρωση του αρχικού σκοπού επεξεργασίας για τους σκοπούς της θεμελίωσης, άσκησης και υποστήριξης νομικών αξιώσεων. Σε κάθε περίπτωση το διάστημα τήρησης δεν θα υπερβαίνει τα είκοσι (20) έτη από το χρονικό σημείο κατά το οποίο οι δικηγόροι / οι δικηγορικές εταιρείες θα έπρεπε να διαγράψουν τα δεδομένα λόγω της εκπλήρωσης του αρχικού σκοπού (άρθρο 9 παρ. 3).

Γ. Δικαιώματα των υποκειμένων των δεδομένων (άρθρα 10-16)

Σημείο 15ο: Ενημέρωση αντιδίκου του εντολέα

Εφόσον πρόκειται για δεδομένα προσωπικού χαρακτήρα που αφορούν αντίδικο του εντολέα του, καμία υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων δεν υφίσταται για δικηγόρο / δικηγορική εταιρεία, υπερισχύουσας της υποχρέωσης πίστης του δικηγόρου προς τον εντολέα του, με την επιφύλαξη της εφαρμογής όσων σχετικώς προβλέπονται στους οικείους δικονομικούς κανόνες (άρθρο 10 παρ. 8 περ. β΄).

Σημείο 16ο: Δικαίωμα πρόσβασης αντιδίκου του εντολέα

Εφόσον πρόκειται για δεδομένα προσωπικού χαρακτήρα που αφορούν αντίδικο του εντολέα του δικηγόρου / δικηγορικής εταιρείας, το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων δεν μπορεί να ικανοποιηθεί, υπερισχύουσας της υποχρέωσης πίστης του δικηγόρου προς τον εντολέα του, με την επιφύλαξη της εφαρμογής όσων σχετικώς προβλέπονται στους οικείους δικονομικούς κανόνες (άρθρο 11 παρ. 9 περ. 2).

Δ. Υποχρεώσεις των δικηγόρων / δικηγορικών εταιρειών (άρθρα 17-22)

Σημείο 17ο: Διενέργεια εκτίμησης αντικτύπου

Ο δικηγόρος / η δικηγορική εταιρεία δεν απαιτείται να διενεργεί εκτίμηση επιπτώσεων / αντικτύπου της επεξεργασίας δεδομένων προσωπικού χαρακτήρα (άρθρο 18 παρ. 1).

Σημείο 18ο: Διενέργεια εκτίμησης αντικτύπου και γνώμη των υποκειμένων των δεδομένων

Εφόσον κριθεί ότι απαιτείται η διενέργεια εκτίμησης αντικτύπου, λόγω της φύσης του λειτουργήματος, των δεσμεύσεων στις οποίες υπόκεινται οι δικηγόροι / οι δικηγορικές εταιρίες και των διαφορετικών κατηγοριών υποκειμένων των δεδομένων, τα δεδομένα των οποίων υπόκεινται σε επεξεργασία από δικηγόρους / δικηγορικές εταιρείες, οι τελευταίοι δεν υποχρεούνται να ζητούν τη γνώμη των υποκειμένων των δεδομένων για τη σχεδιαζόμενη επεξεργασία (άρθρο 18 παρ. 3).

Σημείο 19ο: Ορισμός Υπεύθυνου Προστασίας Δεδομένων

Ο δικηγόρος / η δικηγορική εταιρεία ορίζει Υπεύθυνο Προστασίας Δεδομένων, εφόσον οι βασικές δραστηριότητες του / της συνίστανται σε μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα. Για τον προσδιορισμό της μεγάλης κλίμακας επεξεργασίας πρέπει να λαμβάνονται υπόψη: α) ο αριθμός των εμπλεκομένων υποκειμένων, είτε ως συγκεκριμένος αριθμός είτε ως ποσοστό επί του πληθυσμού, β) ο όγκος και το εύρος των δεδομένων, γ) η διάρκεια ή ο μόνιμος χαρακτήρας της επεξεργασίας και δ) η γεωγραφική έκταση της επεξεργασίας (άρθρο 19 παρ. 1).

Σημείο 20ο: Καθήκοντα Υπεύθυνου Προστασίας Δεδομένων

Ο Υπεύθυνος Προστασίας Δεδομένων έχει, μεταξύ άλλων, τα ακόλουθα καθήκοντα: α) εισηγείται στον δικηγόρο / δικηγορική εταιρεία μέτρα και πολιτικές προστασίας των προσωπικών δεδομένων, β) συνεργάζεται με τον δικηγόρο / τη δικηγορική εταιρεία αναφορικά με την κατανομή εργασιών στο προσωπικό, στο πλαίσιο και στην έκταση που αυτές αφορούν την επεξεργασία προσωπικών δεδομένων, καθώς και την εκπαίδευση και την κατάρτιση του προσωπικού που συμμετέχει στις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, γ) προβαίνει σε ελέγχους αναφορικά με τη συμμόρφωση του δικηγόρου / της δικηγορικής εταιρείας, του προσωπικού, των συνεργατών αυτών καθώς και τυχόν εκτελούντων την επεξεργασία με τον GDPR, την εθνική νομοθεσία και το Σχέδιο Κώδικα, δ) αναλαμβάνει το συντονισμό και διαχείριση των αποκρίσεων σε περιστατικά ασφάλειας που σχετίζονται με δεδομένα προσωπικού χαρακτήρα (π.χ. μη εξουσιοδοτημένη πρόσβαση ή αποκάλυψη), ε) ενημερώνεται για τα αιτήματα των υποκειμένων των δεδομένων που αναφέρονται στην άσκηση των δικαιωμάτων τους και αναλαμβάνει τη διαχείριση της απόκρισης σε αυτά (άρθρο 19 παρ. 2).

Σημείο 21ο: Πρόσβαση Υπεύθυνου Προστασίας Δεδομένων

Ο Υπεύθυνος Προστασίας Δεδομένων έχει πρόσβαση σε όλα τα αρχεία, ηλεκτρονικά και χειρόγραφα και σε όλα τα συστήματα, εφόσον και στο μέτρο που αυτά σχετίζονται με την άσκηση των καθηκόντων του, ως προς την προστασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο και για τους σκοπούς της άσκησης του δικηγορικού λειτουργήματος και των συναφών δραστηριοτήτων (άρθρο 19 παρ. 3).

Σημείο 22ο: Ορισμός Υπεύθυνου Προστασίας Δεδομένων

Ο ορισμός του Υπεύθυνου Προστασίας Δεδομένων γίνεται εγγράφως, με σύμβαση ή με εσωτερική απόφαση. Στη σχετική πράξη ορισμού προσδιορίζεται η θέση, τα καθήκοντα και ο τρόπος άσκησής τους από τον Υπεύθυνο Προστασίας Δεδομένων. Ο ορισμός γίνεται για ορισμένο χρονικό διάστημα και μπορεί να ανανεώνεται (άρθρο 19 παρ. 5).

Σημείο 23ο: Λογοδοσία Υπεύθυνου Προστασίας Δεδομένων

Ο Υπεύθυνος Προστασίας Δεδομένων λογοδοτεί απευθείας στον δικηγόρο / στους διαχειριστές εταίρους της δικηγορικής εταιρείας (άρθρο 19 παρ. 6).

Σημείο 24ο: Υπεύθυνος Προστασίας Δεδομένων και υποχρέωση εχεμύθειας

Ο Υπεύθυνος Προστασίας Δεδομένων δεσμεύεται από υποχρέωση εχεμύθειας, λαμβανομένων υπόψη των δεσμεύσεων από το δικηγορικού απορρήτου, εφόσον ο Υπεύθυνος Προστασίας Δεδομένων είναι δικηγόρος. Οφείλει να μην ανακοινώνει ή αποκαλύπτει σε οποιονδήποτε τρίτο γεγονότα ή πληροφορίες, οι οποίες περιήλθαν σε γνώση του κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτών, όπως και να τηρεί γενικά απόλυτη εμπιστευτικότητα σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με την ισχύουσα νομοθεσία. Οι υποχρεώσεις αυτές υφίστανται και ύστερα από το πέρας του ορισμού του ως υπευθύνου προστασίας δεδομένων. Τυχόν ειδικότερες υποχρεώσεις εχεμύθειας του υπευθύνου προστασίας δεδομένων επιβάλλονται / προβλέπονται στην πράξη ορισμού του (άρθρο 19 παρ. 7).

Σημείο 25ο: Ασκούμενοι δικηγόροι και τήρηση μέτρων ασφαλείας

Οι ασκούμενοι δικηγόροι υποχρεούνται σε τήρηση των μέτρων ασφαλείας, ιδίως αναφορικά με την εμπιστευτικότητα και ακεραιότητα των δεδομένων προσωπικού χαρακτήρα (άρθρο 20 παρ. 3).

Σημείο 26ο: Συνεργάτες και ρήτρες εχεμύθειας

Με την επιφύλαξη του δικηγορικού απορρήτου / των δεσμεύσεων από το δικηγορικό απόρρητο, ο δικηγόρος / η δικηγορική εταιρεία δεσμεύει τους συνεργάτες του / της, ιδίως όσους / ες δεν διαθέτουν την δικηγορική ιδιότητα, με ρήτρες / δεσμεύσεις εμπιστευτικότητας / εχεμύθειας / απορρήτου (άρθρο 20 παρ. 4).

Σημείο 27ο: Λήψη μέτρων φυσικής, οργανωτικής και τεχνικής ασφάλειας

Ο δικηγόρος / η δικηγορική εταιρεία λαμβάνουν μέτρα φυσικής, οργανωτικής και τεχνικής ασφάλειας, ιδίως για την διαβάθμιση και τον έλεγχο της πρόσβασης σε διαδικασίες επεξεργασίας και αρχεία (συστήματα αρχειοθέτησης) που περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα, την ασφαλή τήρηση και διαγραφή / καταστροφή των δεδομένων προσωπικού χαρακτήρα και των υλικών φορέων, στους οποίους αυτά τηρούνται / αποθηκεύονται και την ασφαλή διαβίβαση αυτών (άρθρο 20 παρ. 5).

Σημείο 28ο: Σχέδιο απόκρισης σε περιστατικά παραβίασης

Ο δικηγόρος / η δικηγορική εταιρεία λαμβάνουν όλα τα μέτρα ώστε να είναι εφικτή η έγκαιρη διάγνωση / διαπίστωση τυχόν παραβίασης δεδομένων προσωπικού χαρακτήρα. Ο δικηγόρος / η δικηγορική εταιρεία εκπονούν σχέδιο απόκρισης σε περιστατικά παραβίασης δεδομένων προσωπικού χαρακτήρα (άρθρο 20 παρ. 6).

Σημείο 29ο: Περιστατικό παραβίασης και κίνδυνος

Στην περίπτωση περιστατικού παραβίασης και της υποχρέωσης γνωστοποίησής του, για την εκτίμηση της πιθανότητας επέλευσης του κινδύνου και της σοβαρότητας αυτού του κινδύνου της παραβίασης λαμβάνονται, μεταξύ άλλων, υπόψη: α) η φύση, ο όγκος, καθώς και η κατηγορία των δεδομένων προσωπικού χαρακτήρα, β) η δυνατότητα ταυτοποίησης των υποκειμένων των δεδομένων που θίγονται από την παραβίαση, γ) η σοβαρότητα των επιπτώσεων / συνεπειών της παραβίασης για τα υποκείμενα των δεδομένων, δ) οι ιδιότητες και τα ειδικά χαρακτηριστικά των υποκειμένων αυτών (π.χ. κατηγορούμενοι, μάρτυρες, ανήλικοι) και ο αριθμός αυτών (άρθρο 21 παρ. 3). Κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων τεκμαίρεται ότι μπορεί να προκληθεί στις περιπτώσεις που η παραβίαση των δεδομένων προσωπικού χαρακτήρα μπορεί να προκαλέσει οποιαδήποτε σωματική, υλική ή ηθική βλάβη σε φυσικά πρόσωπα, όπως ενδεικτικά στις ακόλουθες περιπτώσεις: κίνδυνος δημοσιοποίησης των δεδομένων, κίνδυνος για τη ζωή και την ακεραιότητα των υποκειμένων των δεδομένων, υποκλοπή ταυτότητας, προσβολή της τιμής και της προσωπικότητας, σοβαρή οικονομική βλάβη ή βλάβη εννόμων συμφερόντων του υποκειμένου των δεδομένων, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύεται από επαγγελματικό απόρρητο ή άλλο απόρρητο το οποίο προβλέπεται στη νομοθεσία (άρθρο 21 παρ. 4).

Σημείο 30ο: Απόπειρα παραβίασης δεδομένων

Σε περίπτωση απόπειρας παραβίασης δεδομένων προσωπικού χαρακτήρα, δεν δημιουργείται ενδεχόμενο πρόκλησης κινδύνου για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, κατά τούτο, δεν απαιτείται γνωστοποίηση της παραβίασης προς την ΑΠΔΠΧ (άρθρο 21, παρ. 5).

Σημείο 31ο: Γνωστοποίηση περιστατικών παραβίασης και τήρηση εντύπων

Για τις ανάγκες της γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα στην ΑΠΔΠΧ ο δικηγόρος / η δικηγορική εταιρεία τηρεί τα πρότυπα / έντυπα / κατευθύνσεις που υιοθετεί η ΑΠΔΠΧ (άρθρο 21 παρ. 7).

Ε. Εφαρμογή του Σχεδίου Κώδικα (άρθρα 29-32)

Σημείο 32ο: Επιτροπή Εφαρμογής Κώδικα Δεοντολογίας

Ο Δικηγορικός Σύλλογος με απόφαση της Ολομέλειας που λαμβάνεται ύστερα από εισήγηση του Προέδρου ορίζει Επιτροπή Εφαρμογής Κώδικα Δεοντολογίας για την προστασία δεδομένων προσωπικού χαρακτήρα. Αποστολή της εν λόγω Επιτροπής αποτελεί, μεταξύ άλλων, η παρακολούθηση της εφαρμογής του Σχεδίου Κώδικα και η λήψη παραπόνων, αναφορών και καταγγελιών σχετικά με τη μη συμμόρφωση δικηγόρων / δικηγορικών εταιρειών. Ως προς τις καταγγελίες, η Επιτροπή διαβιβάζει αυτές στο αρμόδιο πειθαρχικό όργανο και διατυπώνει γνώμη, εφόσον ζητηθεί (άρθρο 29 παρ. 2).

Σημείο 33ο: Πειθαρχικό παράπτωμα η παραβίαση των ρυθμίσεων

Η παραβίαση των ρυθμίσεων του Σχεδίου Κώδικα συνιστά πειθαρχικό παράπτωμα (άρθρο 30 παρ. 1).

Σημείο 34ο: Εξωδικαστική επίλυση των οικείων διαφορών

Οι φορείς που υπάγονται στο πεδίο εφαρμογής του Σχεδίου Κώδικα επιδιώκουν την εξωδικαστική επίλυση των διαφορών μεταξύ υπευθύνων επεξεργασίας και υποκειμένων των δεδομένων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα με προσφυγή στην ευέλικτη διαδικασία διευθέτησης διαφορών / διαμεσολάβησης του Ν. 4512/2018 (άρθρο 31 παρ. 1).

Σημείο 35ο: Έναρξη εφαρμογής

Ο Κώδικας θα ισχύσει από τη δημοσίευσή του στον επίσημο ιστότοπο της ΑΠΔΠΧ και έκτοτε οι προβλέψεις του δεσμεύουν τα πρόσωπα που υπάγονται στο πεδίο εφαρμογής του (άρθρο 32 παρ. 1).

Κάμερες σε δημόσιους χώρους: Τι αλλαγές φέρνει το νέο Προεδρικό Διάταγμα

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 19/11/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Πριν από 2 σχεδόν μήνες, μια πολύχρονη εκκρεμότητα στο πεδίο της προστασίας προσωπικών δεδομένων στη Χώρα μας έλαβε τέλος. Η ελληνική πολιτεία προχώρησε στην τοποθέτηση της σημαντικότερης ίσως ψηφίδας στο ψηφιδωτό του ρυθμιστικού πλαισίου για τη χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους. Το Προεδρικό Διάταγμα 75/2020, που δημοσιεύθηκε τον Σεπτέμβριο, εκδοθέν κατ’ εξουσιοδότηση του Ν. 3917/2011, αποτελεί είδηση. Είναι χρήσιμο, λοιπόν, για τους πολίτες να έχουν καταρχάς γνώση 10 βασικών σημείων του νέου πλαισίου, το οποίο καθορίζει το πώς, πού και πότε επιτρέπεται αυτοί να επιτηρούνται με συστήματα επιτήρησης, σύμφωνα με τα προαναφερθέντα νομοθετικά κείμενα.

1. Ποιοι είναι δημόσιοι χώροι, όπου μπορεί να γίνει χρήση συστημάτων επιτήρησης;
Ως δημόσιοι χώροι νοούνται: α) οι προοριζόμενοι για κοινή χρήση κατά την κείμενη νομοθεσία και τα σχέδια πόλεων, β) οι ελεύθερα προσβάσιμοι σε απροσδιόριστο αριθμό προσώπων ανοικτοί χώροι, περιφραγμένοι ή μη, που τίθενται σε κοινή χρήση με νόμιμο τρόπο, γ) οι σταθμοί διακίνησης επιβατών με μέσα μαζικής μεταφοράς (άρθρο 14 παρ. 3 Ν. 3917/2011).
Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης περιορίζεται στον συγκεκριμένο δημόσιο χώρο, για τον οποίο κρίνεται απαραίτητη η επιτήρηση, ενώ δεν λαμβάνεται εικόνα από μη δημόσιους χώρους ή εσωτερικό κατοικιών (άρθρο 5 παρ. 2 Π.Δ.75/2020).

2. Ποιος μπορεί να χρησιμοποιεί συστήματα επιτήρησης σε δημόσιους χώρους;
Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης σε δημόσιους χώρους γίνεται μόνο από κρατικές αρχές (άρθρο 14 παρ. 2 Ν. 3917/2011). Αυτές οι δημόσιες αρχές μπορεί να είναι ιδίως η Ελληνική Αστυνομία, το Πυροσβεστικό Σώμα και το Λιμενικό Σώμα – Ελληνική Ακτοφυλακή (άρθρο 4 Π.Δ.75/2020).

3. Για ποιους σκοπούς επιτρέπεται η χρήση συστημάτων επιτήρησης;
Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης σε δημόσιους χώρους επιτρέπεται μόνο για: α) την αποτροπή και καταστολή συγκεκριμένων αξιόποινων πράξεων, όπως εγκλημάτων βίας, εμπορίας ναρκωτικών κ.α., β) τη διαχείριση της κυκλοφορίας, τη ρύθμιση της κυκλοφορίας οχημάτων, καθώς και την πρόληψη και διαχείριση τροχαίων ατυχημάτων (άρθρο 14 παρ. 1 Ν. 3917/2011 και άρθρο 3 Π.Δ.75/2020).

4. Πότε επιτρέπεται η χρήση συστημάτων επιτήρησης;
Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης σε δημόσιους χώρους επιτρέπεται μόνο στο μέτρο που είναι απαραίτητο και όταν οι επιδιωκόμενοι προαναφερθέντες σκοποί δεν μπορούν να επιτευχθούν εξίσου αποτελεσματικά με άλλα ηπιότερα μέσα. Ειδικά για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης για την πρόληψη ή καταστολή εγκλημάτων απαιτείται να συντρέχουν επαρκείς ενδείξεις ότι τελούνται ή πρόκειται να τελεσθούν στο συγκεκριμένο χώρο τα ειδικά προβλεπόμενα αδικήματα (άρθρο 5 παρ. 1 Π.Δ.75/2020). Για τα φορητά συστήματα επιτήρησης προβλέπεται ότι η λειτουργία τους επιτρέπεται μόνο σε περιπτώσεις που υπάρχει άμεσος σοβαρός κίνδυνος τέλεσης των ειδικά προβλεπόμενων αξιόποινων πράξεων (άρθρο 5 παρ. 3 Π.Δ.75/2020).

5. Πώς εγκαθίστανται και τίθενται σε λειτουργία συστήματα επιτήρησης;
Η εγκατάσταση και η λειτουργία συστημάτων επιτήρησης σε δημόσιους χώρους λαμβάνει χώρα ύστερα από αντίστοιχες αποφάσεις της εκάστοτε δημόσιας αρχής. Η απόφαση λειτουργίας του συστήματος επιτήρησης κοινοποιείται με κάθε πρόσφορο μέσο και ιδίως με πινακίδες, καθώς και ανάρτηση σε ιστοσελίδα, στην οποία η εκάστοτε δημόσια αρχή δημοσιεύει τα απαραίτητα για την ενημέρωση στοιχεία (άρθρο 12 παρ. 1 και 2 Π.Δ.75/2020).

6. Τι κάμερες μπορούν να διαθέτουν τα συστήματα επιτήρησης;
Τα συστήματα επιτήρησης μπορούν να διαθέτουν σταθερές, περιστρεφόμενες ή κινητές κάμερες, προσαρμοσμένες σε σταθερές βάσεις ή φορητές, μεταφερόμενες από οχήματα κάθε είδους, δηλαδή εδάφους, θαλάσσης ή αέρος, επανδρωμένα ή μη, ή από φυσικά πρόσωπα (άρθρο 2 Π.Δ.75/2020).

7. Ποιο είναι το χρονικό διάστημα τήρησης των δεδομένων που συλλέγονται με τη χρήση συστημάτων επιτήρησης;
Τα δεδομένα τηρούνται κατά κανόνα για μέγιστο χρονικό διάστημα 15 ημερών από τη συλλογή τους, εκτός αν η διατήρηση είναι απαραίτητη για μεγαλύτερο χρονικό διάστημα με σκοπό τη διερεύνηση αξιόποινων πράξεων (άρθρο 8 παρ. 1 Π.Δ.75/2020).

8. Ποιοι μπορεί να είναι οι αποδέκτες των δεδομένων που συλλέγονται με τη χρήση συστημάτων επιτήρησης;
Αποδέκτες των δεδομένων μπορεί να είναι οι αρμόδιες για κάθε σκοπό δικαστικές, εισαγγελικές ή διοικητικές αρχές. Επίσης υπό προϋποθέσεις, προς το σκοπό απόδειξης αξιόποινης πράξης, τα δεδομένα μπορούν να διαβιβάζονται στο θύμα ή στο φερόμενο δράστη μιας πράξης (άρθρο 9 παρ. 1 Π.Δ.75/2020).

9. Ποια είναι τα δικαιώματα των πολιτών;
Οι πολίτες απολαμβάνουν όλα τα δικαιώματα που προβλέπει ο Γενικός Κανονισμός Προστασίας Δεδομένων, γνωστός ως GDPR, και ο εφαρμοστικός Ν. 4624/2019 (άρθρο 10 παρ. 1 Π.Δ.75/2020), ανάλογα με το ποιες επιμέρους ρυθμίσεις καλούνται σε εφαρμογή. Σε κάθε περίπτωση υπάρχει υποχρέωση ενημέρωσης του κοινού ότι πρόκειται να εισέλθει σε χώρο που εμπίπτει στην εμβέλεια εγκατεστημένων ή φορητών συστημάτων επιτήρησης, ιδίως με ανάρτηση σε εμφανές μέρος ευδιάκριτων πινακίδων (άρθρο 10 παρ. 2 Π.Δ.75/2020).

10. Τι προβλέπεται ειδικά για τη χρήση συστημάτων επιτήρησης σε δημόσιες υπαίθριες συναθροίσεις;
Η εγκατάσταση και λειτουργία συστημάτων επιτήρησης, σταθερών, περιστρεφόμενων ή κινητών, σε χώρους και κατά τη διάρκεια πραγματοποίησης δημόσιας υπαίθριας συνάθροισης, είναι επιτρεπτή υπό προϋποθέσεις, με ειδική αιτιολογημένη απόφαση της εκάστοτε δημόσιας αρχής (άρθρο 6 παρ. 1 Π.Δ.75/2020). Στην περίπτωση αυτή προβλέπεται ταχύτατη καταστροφή των δεδομένων που έχουν συλλεγεί, δηλαδή κατά κανόνα εντός 48 ωρών από τη λήξη της συνάθροισης (άρθρο 6 παρ. 3 Π.Δ.75/2020).

Κλείνοντας, σε συμπλήρωση των ως άνω δέκα σημείων, οι πολίτες οφείλουν να γνωρίζουν ότι το ρυθμιστικό πλαίσιο που διαμορφώνεται μετά τη δημοσίευση του νέου Π.Δ.75/2020, παρά τις όποιες αδυναμίες του, περιέχει σειρά διαδικαστικών και ουσιαστικών εγγυήσεων με βάθος, για τη διασφάλιση του δικαιώματος προστασίας των προσωπικών δεδομένων τους. Ευκταία είναι, λοιπόν, η δημοσίευση από την πολιτεία σχετικού ενημερωτικού κειμένου για τις νέες ρυθμίσεις, με σαφή και απλή διατύπωση, για να γίνει ένα μεγάλο βήμα προς την κατεύθυνση πλήρους ενημέρωσης όλων των ενδιαφερομένων.

GDPR σφηνάκι: To «Μεγάλο Φακέλωμα» εργαζομένων

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 12/10/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Τον τίτλου του βιβλίου «Το Μεγάλο Φακέλωμα» του Έντουαρντ Σνόουντεν φέρει συνειρμικά στη μνήμη πρόσφατη υπόθεση παράνομης επεξεργασίας προσωπικών δεδομένων εργαζομένων. Αφορά ηχηρό πρόστιμο ύψους περίπου 35,3 εκατομμυρίων ευρώ το οποίο επέβαλε πριν από λίγες ημέρες η εποπτική αρχή προστασίας προσωπικών δεδομένων του Αμβούργου σε μεγάλη σουηδική, πολυεθνική εταιρεία πώλησης ενδυμάτων. Η εταιρεία προέβαινε παρανόμως, σε εκτενές «φακέλωμα» της ιδιωτικής ζωής πολλών εκ των εργαζομένων της στις εγκαταστάσεις της στη Νυρεμβέργη. Μέσω αυτού, μεταξύ άλλων, καταγράφονταν: οι εμπειρίες από τις διακοπές τους, τα προβλήματα υγείας τα οποία τυχόν είχαν κατά τη διάρκεια της άδειάς τους, ενίοτε οι αντίστοιχες ιατρικές διαγνώσεις, πληροφορίες για «αθώες» λεπτομέρειες της ιδιωτικής καθημερινότητάς τους, οι θρησκευτικές πεποιθήσεις και τα οικογενειακά προβλήματά τους. Στη συνέχεια, τα εν λόγω προσωπικά δεδομένα ήταν κατά περίπτωση διαθέσιμα σε δεκάδες ανώτερα στελέχη της εταιρείας. Αξιοποιούνταν δε στη δημιουργία υπαλληλικού προφίλ, το οποίο διαδραμάτιζε ρόλο στην επαγγελματική εξέλιξή τους. «Το Μεγάλο Φακέλωμα» έγινε απροσδόκητα γνωστό κατόπιν τεχνικού σφάλματος στο οικείο πληροφοριακό σύστημα της εταιρείας, το οποίο κατέστησε ευρέως προσβάσιμα τα προσωπικά δεδομένα στο εσωτερικό της. Αξίζει να σημειωθεί ότι κατόπιν της αποκάλυψης, η διοίκηση της εταιρείας αποφάσισε να αποζημιώσει όσους εργαζόμενους έθιξε η ως άνω πρακτική λόγω της σοβαρότητας των παραβάσεων. Η υπόθεση έχει εξαιρετικό ενδιαφέρον και για την Ελλάδα, δεδομένου ότι το πρόστιμο επιβλήθηκε στο πλαίσιο του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR, ο οποίος τυγχάνει πανευρωπαϊκής εφαρμογής. Υπενθυμίζεται, άλλωστε, ότι η πρώτη «GDPR-βόμβα» ύψους 150.000 ευρώ «έπεσε» από την ελληνική εποπτική αρχή το καλοκαίρι του 2019, με την επιβολή προστίμου σε εταιρεία παροχής επιχειρηματικών και λογιστικών υπηρεσιών για παράνομη επεξεργασία προσωπικών δεδομένων εργαζομένων της (απόφαση υπ’ αρ. 26/2019). Οι ελληνικές επιχειρήσεις οφείλουν, λοιπόν, να είναι εξαιρετικά προσεκτικές με τα προσωπικά δεδομένα των εργαζομένων τους, ώστε να τελούν πάντοτε σε συμμόρφωση με το οικείο ρυθμιστικό πλαίσιο. Άλλως, επώδυνες συνέπειες καραδοκούν.

 

GDPR σφηνάκι: «Άγρια Δύση» στην πολιτική επικοινωνία

Πρώτη δημοσίευση: www.ethemis.gr
Ημερομηνία πρώτης δημοσίευσης: 02/09/2020

Αναδημοσίευση: εφημερίδα “Εστία”
Ημερομηνία αναδημοσίευσης: 5/09/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Σωρεία παραβάσεων εντοπίζεται στον τομέα της πολιτικής επικοινωνίας μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου (email) και σύντομων γραπτών μηνυμάτων (SMS). Η τήρηση των κανόνων δεν ακολουθείται απαρέγκλιτα, παρά τη διαρκή ενίσχυση του νομοθετικού πλαισίου προστασίας των προσωπικών δεδομένων και την επακόλουθη, αυξημένη ευαισθητοποίηση των πολιτών. Αυτό συμπεραίνεται από τις επτά πρόσφατες αποφάσεις που δημοσίευσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στην ιστοσελίδα της για παραβάσεις στον τομέα της πολιτικής επικοινωνίας. Και οι επτά (υπ’ αριθμ. 10-14/2020, 17/2020 και 19/2020) αφορούν παράνομη διενέργεια πολιτικής επικοινωνίας. Σε όλες τις περιπτώσεις δεν είχε ληφθεί η δέουσα συγκατάθεση από τους παραλήπτες μη ζητηθέντων emails και μηνυμάτων SMS. Οι δε εμπλεκόμενοι ήταν τρεις υποψήφιοι βουλευτές, δύο υποψήφιοι ευρωβουλευτές και δύο υποψήφιοι σε δημοτικές εκλογές! Η ΑΠΔΠΧ, λαμβάνοντας τις σχετικές καταγγελίες, επέβαλε μπαράζ χρηματικών προστίμων συνολικού ύψους 17.000 ευρώ. Υπενθυμίζεται ότι ήδη από πέρυσι η εποπτική αρχή έχει εκδώσει Κατευθυντήριες Οδηγίες για τη σύννομη επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία, επικαιροποιώντας τις ρυθμίσεις της σχετικής Οδηγίας 1/2010. Ας τις έχουν υπόψη τους οι ενδιαφερόμενοι, γιατί ο σκοπός της πολιτικής επικοινωνίας δεν αγιάζει τα μέσα. Ως προς την επεξεργασία προσωπικών δεδομένων υφίστανται συγκεκριμένοι και σαφείς κανόνες, που πρέπει να ακολουθούνται.

 

Τηλεργασία εν καιρώ πανδημίας – Κυβερνοέγκλημα και προσωπικά δεδομένα

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 17/07/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Ι. Γενικά

Η μεγάλη πρόκληση της πανδημίας του κορωνοϊού -COVID19 κατά τη διεθνή ορολογία-, που εξακολουθεί να πλήττει συνολικά την ανθρωπότητα, προκαλεί ραγδαίες αλλαγές στον μέχρι σήμερα τρόπο ζωής μας. Συμπεριφορές και στάσεις δεκαετιών μεταβάλλονται εν μία νυκτί, συχνά απρόσμενα και αιφνίδια, στην προσπάθεια επιτυχούς διαχείρισης της κρίσης. Στον εργασιακό τομέα σημαντική εξέλιξη θεωρείται η μαζική μετάβαση σε ένα νέο μοντέλο οργάνωσης και παροχής της εργασίας, την καλούμενη τηλεργασία. Η τηλεργασία, θεμέλιο της οποίας αποτελεί η χρήση τεχνολογιών πληροφορικής, ιδίως μέσων τηλεπικοινωνίας, ασφαλώς δεν αποτελεί καινοφανές ζήτημα. Για τα ελληνικά δεδομένα όμως, πρωτόγνωρη είναι η ένταση και η έκτασή της κατά την περίοδο την οποία διανύουμε. Η άνευ προηγουμένου διόγκωσή της πολλαπλασιάζει τα κίνητρα του κυβερνοεγκλήματος, καθώς και οι δράστες αυτού εντοπίζουν με μεγαλύτερη ευκολία το θύμα τους. Υπό αυτό το πρίσμα γεννώνται σοβαρά ζητήματα προστασίας προσωπικών δεδομένων τόσο των τηλεργαζόμενων-θυμάτων κυβερνοεγκλημάτων όσο και των προσώπων τα δεδομένα των οποίων εμπλέκονται με τον έναν ή άλλο τρόπο στην τηλεργασία. Πρώτη γραμμή άμυνας σε αυτή τη νέα πραγματικότητα, τις οικείες προκλήσεις και προβληματισμούς, αποτελεί η συνεπής συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων, ιδίως με την υποχρέωση της λήψης των δεόντων μέτρων ασφαλείας από επιχειρήσεις και οργανισμούς.

ΙΙ. Η τηλεργασία

Α. Ορισμός και βασικά χαρακτηριστικά

Ως τηλεργασία ορίζεται η μορφή οργάνωσης ή/και εκτέλεσης εργασίας που χρησιμοποιεί τεχνολογίες πληροφορικής, στο πλαίσιο μιας σύμβασης ή σχέσης εργασίας, όπου μια εργασία, η οποία θα μπορούσε να εκτελεστεί στις εγκαταστάσεις του εργοδότη, εκτελείται, σε τακτική βάση, εκτός αυτής1. Ως τηλεργαζόμενος δε ορίζεται ο εργαζόμενος που εκτελεί τηλεργασία σύμφωνα με τον ως άνω ορισμό2. Η παροχή της τηλεργασίας είναι αδύνατη χωρίς τη χρήση της ψηφιακής τεχνολογίας, γι’ αυτό και αυτή θεωρείται κλειδί για τον ψηφιακό μετασχηματισμό της οικονομίας.

Αναφορικά με τον τόπο της τηλεργασίας, αυτή μπορεί να είναι κατ’ οίκον, όταν παρέχεται από την κατοικία του τηλεργαζόμενου, ή κινητή, όταν παρέχεται από άλλους προσωρινούς χώρους στο πλαίσιο μετακινήσεων αυτού, ή από τηλεκέντρο, όταν παρέχεται από ειδικά οργανωμένους χώρους που απευθύνονται σε τηλεργαζόμενους διαφόρων εταιρειών3. Ολοένα και περισσότερο, η τηλεργασία παρέχεται μέσω σύνδεσης σε εταιρικό δίκτυο, ώστε να καταστεί εφικτή η πρόσβαση σε απαραίτητα εταιρικά αρχεία για τη διεκπεραίωσή της. Με σκοπό την επιτυχή παροχή της μάλιστα επιστρατεύονται και σειρά εφαρμογών τηλεσυνεργασίας, όπως εφαρμογές τηλεδιάσκεψης.

Η εξέταση της έκτασης της τηλεργασίας προ του κορωνοϊού καταδεικνύει το τότε περιορισμένο αυτής. Έτσι, σύμφωνα με έρευνα του 2017, στην Ευρωπαϊκή Ένωση οι τηλεργαζόμενοι αποτελούσαν περίπου το 17% του συνόλου των μισθωτών, με τη Δανία να βρίσκεται στην πρώτη θέση με ποσοστό 37% και την Ελλάδα να βρίσκεται στην προτελευταία θέση με ποσοστό 9%4. Η κατάταξη της Ελλάδας κρινόταν ως αρνητική, αποδιδόμενη στις εν γένει δυσκολίες προσαρμογής της χώρας σε νέες εξελίξεις, την ώρα που η ισχυρή επέκταση της τηλεργασίας ετίθετο ως ζητούμενο λόγω των θετικών χαρακτηριστικών της5.

Το 2020 η τηλεργασία εν μέσω κορωνοϊού εκτοξεύθηκε τόσο στην Ευρωπαϊκή Ένωση όσο και στην Ελλάδα. Σύμφωνα με έρευνα του Aπριλίου του 2020, στο ερώτημα «Αρχίσατε να εργάζεστε από το σπίτι σας ως αποτέλεσμα του κορωνοϊού», στις πρώτες θέσεις καταφατικής απάντησης με ποσοστό άνω του 40% βρίσκονταν με 59% η Φινλανδία, με 53,9% η Ολλανδία, με 46,7% η Δανία, με 43,4% η Ιρλανδία, με 41,8% η Σουηδία, με 41,5% η Αυστρία και με 40,8% η Ιταλία6. Στην Ελλάδα, το ποσοστό ήταν 26%7, εμφανώς μεγαλύτερο των μέχρι τότε μετρηθέντων.

Η τηλεργασία έχει αμοιβαία πλεονεκτήματα τόσο για τους επιχειρήσεις όσο και για τους εργαζόμενους8. Για τις μεν πρώτες, σε αυτά εντάσσονται η αύξηση της παραγωγικότητας, το ελκυστικό προφίλ της για νεότερο προσωπικό, η μείωση δαπανών για την επιχείρηση, η ελάττωση των έκτακτων απουσιών των εργαζομένων9. Για τους δε δεύτερους, σε αυτά εντοπίζονται η μείωση των εξόδων τους, π.χ. μείωση μετακινήσεων, καθώς και ο πιο ισορροπημένος βίος, δεδομένου ότι γίνεται καλύτερη διαχείριση των επαγγελματικών και προσωπικών υποχρεώσεων10. Στα αδύναμα σημεία της τηλεργασίας εντοπίζονται το ενδεχόμενο παράτασης της διάρκειας εργασίας και η αποδυνάμωση της διάκρισης μεταξύ επαγγελματικού και προσωπικού βίου11.

Β. Το ρυθμιστικό πλαίσιο

Η τηλεργασία σε ευρωπαϊκό επίπεδο διέπεται από την Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002. Η εν λόγω Συμφωνία ενσωματώθηκε στο ελληνικό δίκαιο για πρώτη φορά με την Εθνική Γενική Συλλογική Σύμβαση Εργασίας ετών 2006 και 2007 (ΕΓΣΣΕ 2006-2007), ενώ αποτελεί πλέον σταθερά τμήμα όσων τη διαδέχθηκαν. Έτσι, η ΕΓΣΣΕ 2006-2007 στο άρθρο 4 αυτής προβλέπει ότι τα μέρη αποφασίζουν την άμεση εφαρμογή της ευρωπαϊκής συμφωνίας – πλαισίου για την τηλεργασία, που συνήφθη από τη Συνομοσπονδία Ευρωπαϊκών Συνδικάτων (C.E.S.), την Ευρωπαϊκή Εργοδοτική Οργάνωση Επιχειρήσεων Ιδιωτικού Τομέα (UNICE), την Ευρωπαϊκή Οργάνωση Βιοτεχνών Μικρομεσαίων Επιχειρήσεων (UEAPME) και το Ευρωπαϊκό Κέντρο Δημοσίων Επιχειρήσεων (CEEP). Το εν λόγω κείμενο της Συμφωνίας – Πλαίσιο για την Τηλεργασία προσαρτάται μάλιστα στην ΕΓΣΣΕ 2006-2007 ως Προσάρτημα Β, ενώ προβλέπεται ρητά ότι αποτελεί αναπόσπαστο τμήμα της. Με την ως άνω Συμφωνία επιδιώχθηκε η θέσπιση ενός γενικού πλαισίου για την τηλεργασία προς εφαρμογή από τα συμμετέχοντα κράτη12, ιδίως θεσπίστηκαν κατευθυντήριες γραμμές για την εξασφάλιση των δικαιωμάτων των τηλεργαζομένων13. Ειδικότερα, κατά τα προβλεπόμενα σε αυτή, η τηλεργασία έχει οικειοθελή χαρακτήρα14. Ως γενικός κανόνας προβλέπεται ότι ο εργοδότης είναι υπεύθυνος για την παροχή, εγκατάσταση και συντήρηση του εξοπλισμού της τακτικής τηλεργασίας, εκτός αν ο τηλεργαζόμενος χρησιμοποιεί τον δικό του εξοπλισμό15. Στην ίδια κατεύθυνση, αν η τηλεργασία παρέχεται σε τακτική βάση, ο εργοδότης είναι υπεύθυνος για τις δαπάνες που προκαλούνται άμεσα από την τηλεργασία, ιδίως αυτές που σχετίζονται με την επικοινωνία16.

Σε επίπεδο τυπικού νόμου, σχετική πρόβλεψη περιλαμβάνει το άρθρο 5 του Ν. 3846/201017. Ειδικότερα, σύμφωνα με την παρ. 1 αυτού, κατά την κατάρτιση σύμβαση εργασίας για τηλεργασία ο εργοδότης υποχρεούται να παραδώσει εγγράφως εντός διαστήματος οκτώ ημερών στον εργαζόμενο το σύνολο των πληροφοριών που αναφέρονται στην εκτέλεση της εργασίας. Οι πληροφορίες αυτές αφορούν στην ιεραρχική σύνδεση του εργαζόμενου με τους προϊσταμένους του στην επιχείρηση, τα λεπτομερή καθήκοντα του, τον τρόπο υπολογισμού της αμοιβής, τον τρόπο μέτρησης του χρόνου εργασίας, την αποκατάσταση του κόστους που προκαλείται από την παροχή της, όπως τηλεπικοινωνίες, εξοπλισμός και βλάβες συσκευών. Αν στη σύμβαση περιέχεται συμφωνία για τηλε-ετοιμότητα ορίζονται τα χρονικά όριά της και οι προθεσμίες ανταπόκρισης του μισθωτού. Περαιτέρω κατά την παρ. 2 του ως άνω άρθρου, αν κανονική εργασία μετατρέπεται σε τηλεργασία, καθορίζεται στη σχετική συμφωνία μια περίοδος προσαρμογής τριών μηνών, κατά την οποία οποιοδήποτε από τα μέρη, μετά από τήρηση προθεσμίας δεκαπέντε ημερών, μπορεί να θέσει τέλος στην τηλεργασία και ο μισθωτός να επιστρέψει στην εργασία του σε αντίστοιχη θέση με αυτήν που κατείχε. Ως προς το κόστος της τηλεργασίας, κατά την παρ. 3 του ως άνω άρθρου, ο εργοδότης αναλαμβάνει σε κάθε περίπτωση το κόστος που προκαλείται στον μισθωτό από τη μορφή αυτή εργασίας και ειδικότερα των τηλεπικοινωνιών, παρέχει στον μισθωτό τεχνική υποστήριξη για την παροχή της εργασίας του και αναλαμβάνει να αποκαταστήσει τις δαπάνες επισκευής των συσκευών που χρησιμοποιούνται για την εκτέλεσή της ή να τις αντικαταστήσει σε περίπτωση βλάβης. Η εν λόγω υποχρέωση του εργοδότη αφορά και στις συσκευές που ανήκουν στον μισθωτό, εκτός εάν στη σύμβαση ή στη σχέση εργασίας ορίζεται διαφορετικά. Στη σύμβαση ή στη σχέση εργασίας ορίζεται επίσης ο τρόπος χρηματικής αποκατάστασης εκ μέρους του εργοδότη της χρησιμοποίησης του οικιακού χώρου εργασίας του μισθωτού.

Πιο πρόσφατα και εν μέσω πανδημίας, με την από 11.3.2020 Πράξη Νομοθετικού Περιεχόμενου18 προβλέφθηκε στο άρθρο 4 παρ. 2 αυτής η δυνατότητα των εργοδοτών με δική τους απόφαση να εφαρμόσουν σε εργαζόμενους το σύστημα της εξ αποστάσεως εργασίας.

Το ως άνω ρυθμιστικό πλαίσιο της τηλεργασίας κρίνεται σήμερα συνολικά ανεπαρκές, ιδίως κατόπιν της εξαιρετικής διόγκωσης της ως αποτέλεσμα των νέων συνθηκών. Γι’ αυτό τον λόγο συνιστάται η υιοθέτηση ειδικών ρυθμίσεων οι οποίες θα αφορούν, μεταξύ άλλων, τις δαπάνες του εργαζόμενου για τον υλικό εξοπλισμό και την επικοινωνία του, καθώς και την αμοιβή της τηλε-ετοιμότητας, της διαρκούς δηλαδή διαθεσιμότητας του τηλεργαζόμενου19.

ΙΙΙ. Το κυβερνοέγκλημα

Η διόγκωση της τηλεργασίας εν μέσω πανδημίας πρόσφερε στέρεη βάση στην επακόλουθη πρόβλεψη για ανάλογη διόγκωση του κυβερνοεγκλήματος. Και αυτό γιατί η υιοθέτηση μέσων εξ αποστάσεως εργασίας διευρύνει σημαντικά τη δεξαμενή υποψήφιων θυμάτων για τους κυβερνοεγκληματίες. Έτσι, η Europol ήδη τον Μάρτιο του 2020, προέβλεψε σχετικό κίνδυνο λόγω της αύξησης του αριθμού των εργοδοτών που ενεργοποιούν τη δυνατότητα της τηλεργασίας και επιτρέπουν μέσω αυτής την πρόσβαση στα πληροφοριακά συστήματά τους20. Στην ίδια κατεύθυνση, το Συμβούλιο της Ευρώπης, την ίδια περίοδο, υπογράμμισε ότι η μεγαλύτερη έμφαση που δίδεται κατά τη διάρκεια της πανδημίας για εργασιακούς λόγους, μεταξύ άλλων, σε υπολογιστικά συστήματα, κινητές συσκευές και το διαδίκτυο, έχει οδηγήσει τους κυβερνοεγκληματίες να προσπαθούν να το εκμεταλλευθούν σε όφελός τους21.

Ποια μέσα χρησιμοποιούν οι κυβερνοεγκληματίες στο πλαίσιο της εγκληματικής δραστηριότητάς τους σε σχέση με την πανδημία; Πρόκειται ιδίως για: α) εκστρατείες «ηλεκτρονικού ψαρέματος» (phishing) και εγκατάστασης κακόβουλου λογισμικού (malware) μέσω δήθεν γνησίων ιστοσελίδων και εγγράφων που παρέχουν πληροφορίες για την πανδημία, ώστε να επιτυγχάνεται παράνομη πρόσβαση σε προσωπικά δεδομένα, β) εγκατάσταση «κωδικοποιητών αρχείων» (ransomware) σε κινητά τηλέφωνα μέσω της εγκατάστασης ψευδο-εφαρμογών, οι οποίες υποστηρίζουν ότι δήθεν παρέχουν πληροφορίες για την πανδημία, ώστε στη συνέχεια να καθίσταται δυνατή η απόσπαση χρημάτων, και γ) παράνομη απόκτηση πρόσβασης σε εταιρικά δίκτυα μέσω επιθέσεων σε τηλεργαζόμενους22.

Στην Ελλάδα, η περιγραφείσα κατάσταση οδήγησε την Εθνική Αρχή Διαφάνειας στην έκδοση ειδικού Οδηγού προστασίας από τεχνικές εξαπάτησης COVID-1923. Σε αυτόν υπογραμμίζεται ότι η πανδημία δημιουργεί νέες ευκαιρίες για έκνομες ενέργειες, ιδίως απάτες24. Περαιτέρω, επισημαίνεται ότι στις πρακτικές και τα τεχνάσματα των κυβερνοεγκληματιών περιλαμβάνεται η χειραγώγηση και εξαπάτηση μέσω διαδικτύου, τουτέστιν μέσω «κοινωνικής μηχανικής» (social engineering), με τη χρήση «ηλεκτρονικού ψαρέματος» (phishing) και λοιπών μεθόδων, έχουσα ως σκοπό την παράνομη απόκτησης πρόσβασης σε κωδικούς25. Ιδίως στο πλαίσιο των απατών «ηλεκτρονικού ψαρέματος» (phishing), οι κυβερνοεγκληματίες αυτοπαρουσιάζονται ως δήθεν εκπρόσωποι εθνικών και παγκόσμιων υγειονομικών αρχών, π.χ. του Παγκόσμιου Οργανισμού Υγείας και των Κέντρων Ελέγχου και Πρόληψης Νοσημάτων, ώστε να επιτύχουν την εγκατάσταση από τον τηλεργαζόμενο κακόβουλου λογισμικού και στη συνέχεια να αποκτήσουν παράνομη πρόσβαση σε προσωπικά δεδομένα26.

Σε αντίστοιχη ενημέρωση προέβη επίσης η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ) για προσπάθειες εξαπάτησης μέσω διαδικτύου με αφορμή τον κορωνοϊό27. Επισημαίνοντας ότι κατά την περίοδο της πανδημίας έχουν υποβληθεί καταγγελίες πολιτών, ενώ έχουν δημοσιευθεί και ενημερώσεις από την Interpol και τη Europol, για πλήθος διαδικτυακών απατών, που στηρίζονται στην προσπάθεια εκμετάλλευσης της γενικευμένης ανησυχίας για τον κορωνοϊό, η ΔΔΗΕ παρουσίασε βασικά στοιχεία της μεθοδολογίας των κυβερνοεγκληματιών28. Σε αυτή περιλαμβάνεται και το «ηλεκτρονικό ψάρεμα» (phishing), ήτοι η αποστολή απατηλών μηνυμάτων ηλεκτρονικού ταχυδρομείου, τα οποία δήθεν προέρχονται από εθνικές ή παγκόσμιες υγειονομικές αρχές, με συνδέσμους η συνημμένα αρχεία που υποτίθεται ότι αφορούν την πανδημία. Στην πραγματικότητα όμως, τα εν λόγω μηνύματα περιέχουν κακόβουλο λογισμικό (malware), η εγκατάσταση του οποίου καθιστά εφικτή την παράνομη πρόσβαση σε προσωπικά δεδομένα29.

Την ίδια ώρα, πλήθος διεθνών, ευρωπαϊκών και εθνικών οργανισμών έχουν προβεί στην έκδοση οδηγιών για τα απαιτούμενα μέτρα ασφαλείας που πρέπει να λαμβάνουν, μεταξύ άλλων, οι τηλεργαζόμενοι, ώστε να προφυλαχθούν από τους κυβερνοεγκληματίες30. Επιλεκτική παράθεση των σπουδαιότερων εξ αυτών για την Ελλάδα θα γίνει στη συνέχεια του παρόντος πονήματος.

Υπενθυμίζεται ότι κυβερνοεγκλήματα όπως τα ως άνω αποτελούν αξιόποινες πράξεις που καλούν ιδίως σε εφαρμογή το άρθρο 292Β για την παρακώλυση λειτουργίας πληροφοριακών συστημάτων (διωκόμενο αυτεπαγγέλτως), το άρθρο 370 παρ. 2 ΠΚ για την αθέμιτη πρόσβαση σε ηλεκτρονικό μήνυμα ή ηλεκτρονική αλληλογραφία άλλου (διωκόμενο κατ’ έγκληση), το άρθρο 370Β ΠΚ για την παράνομη πρόσβαση σε σύστημα πληροφοριών ή δεδομένων (διωκόμενο κατ’ έγκληση), το άρθρο 370Γ για την παράνομη συμπεριφορά σε σχέση με κρατικά, επιστημονικά, επαγγελματικά απόρρητα ή απόρρητα επιχείρησης του δημόσιου ή ιδιωτικού τομέα (διωκόμενο κατ’ έγκληση) και το άρθρο 386Α για την απάτη με υπολογιστή (διωκόμενο κατά κανόνα κατ’ έγκληση). Ανάλογα με τις περιστάσεις, ενδέχεται επίσης να στοιχειοθετείται εκβίαση κατά το άρθρο 385 ΠΚ.

IV. Η προστασία των προσωπικών δεδομένων

Α. Το ρυθμιστικό πλαίσιο

Η τηλεργασία είναι αναπόσπαστα συνδεδεμένη με την επεξεργασία προσωπικών δεδομένων. Και αυτό γιατί η παροχή της επιβάλλει δεδομένα ιδίως πελατών, προμηθευτών, συνεργατών, αλλά και των ίδιων των τηλεργαζόμενων, να τύχουν επεξεργασίας, ήτοι, μεταξύ άλλων, συλλογής, αποθήκευσης, χρήσης και διαβίβασης εξ αποστάσεως. Έτσι, κατά την τηλεργασία, τα προσωπικά δεδομένα συχνά βρίσκονται σε ένα διαρκές «ταξίδι» από και προς τις εγκαταστάσεις του εκάστοτε οργανισμού ή επιχείρησης. Αυτή η διαδρομή τους όμως τα καθιστά πρωταρχικό στόχο των κυβερνοεγκληματιών, οι οποίοι επιδιώκουν την παράνομη πρόσβαση σε αυτά, ώστε στη συνέχεια να τα χρησιμοποιήσουν περαιτέρω για την εγκληματική δράση τους, π.χ. για παράνομη πρόσβαση σε τραπεζικούς λογαριασμούς, για εκβίαση κ.ο.κ.. Καθίσταται, λοιπόν, εμφανές ότι η τηλεργασία δημιουργεί νέους κινδύνους για την προστασία των προσωπικών δεδομένων λόγω της αυξημένης χρήσης τηλεπικοινωνιών και τη διευρυμένη χρήση ηλεκτρονικών συσκευών, συχνά μάλιστα προσωπικών συσκευών του τηλεργαζομένου.

Υπογραμμίζεται ότι στις περιπτώσεις που ο τηλεργαζόμενος καθίσταται θύμα κυβερνοεγκλήματος παραβιάζεται όχι μόνο η αρχή της εμπιστευτικότητας των προσωπικών δεδομένων, καθώς τρίτος μη εξουσιοδοτημένος καθίσταται κοινωνός τους, αλλά και ενδεχομένως η αρχή της διαθεσιμότητας των προσωπικών δεδομένων, όπως π.χ. με τη χρήση «κωδικοποιητή αρχείων» (ransomware), οπότε καθίσταται αδύνατη η πρόσβαση σε αυτά μέχρι την πληρωμή του τιμήματος που απαιτεί ο κυβερνοεγκληματίας.

Ποιο είναι, λοιπόν, το οικείο ρυθμιστικό πλαίσιο προστασίας προσωπικών δεδομένων και μάλιστα οι υποχρεώσεις οργανισμών και επιχειρήσεων, καθώς και τηλεργαζομένων, ώστε να θωρακιστούν απέναντι στο κυβερνοέγκλημα;

Καταρχάς, ειδική ρύθμιση για τα προσωπικά δεδομένα στο πλαίσιο της τηλεργασίας περιέχει η προαναφερθείσα Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002, όπως ενσωματώθηκε στην ελληνική έννομη τάξη με την ΕΓΣΣΕ 2006-2007. Κατά το άρθρο 5 αυτής, το οποίο φέρει τον τίτλο «Προστασία Δεδομένων», η λήψη των κατάλληλων μέτρων εναπόκειται στον εργοδότη, ιδίως σε σχέση με το λογισμικό, για να εξασφαλίσει την προστασία των δεδομένων που χρησιμοποιούνται και γίνονται αντικείμενο επεξεργασίας από τον τηλεργαζόμενο για επαγγελματικούς λόγους. Έτσι, ο εργοδότης ενημερώνει τον τηλεργαζόμενο για όλες τις ισχύουσες διατάξεις και κανόνες της επιχείρησης που αφορούν την προστασία των δεδομένων, ενώ εναπόκειται στον τηλεργαζόμενο να συμμορφωθεί προς αυτούς τους κανόνες.

Περαιτέρω, για τους οργανισμούς και τις επιχειρήσεις που υιοθετούν την τηλεργασία, αναφορικά με τα προσωπικά δεδομένα που επεξεργάζονται οι τηλεργαζόμενοί τους, σημειώνεται ότι σύμφωνα με το άρθρο 24 παρ. 1 του GDPR31, ο εκάστοτε υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον GDPR. Κατά τα προβλεπόμενα στην παρ. 2 του ως άνω άρθρου, δεν προβλέπονται συγκεκριμένα τεχνικά και οργανωτικά μέτρα, πλην της της εφαρμογής κατάλληλων πολιτικών προστασίας προσωπικών δεδομένων. Όπως προσδιορίζεται όμως στην ως άνω ρύθμιση, η καταλληλότητα και το ειδικότερο περιεχόμενο αυτών των μέτρων καθορίζεται από τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Έτσι, ο υπεύθυνος επεξεργασίας καλείται να επιλέξει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στο πλαίσιο όμως που προδιαγράφει το άρθρο 24 του GDPR. O υπεύθυνος επεξεργασίας υποχρεούται επίσης να τα επανεξετάζει και να τα επικαιροποιεί, όταν κρίνεται απαραίτητο, σύμφωνα με το άρθρο 24 παρ. 1 τελ. εδ. του GDPR.

Στην ίδια κατεύθυνση, σύμφωνα με το άρθρο 32 παρ. 1 του GDPR, ο εκάστοτε υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία οφείλουν να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων για τα προσωπικά δεδομένα. Κατά την παρ. 2 του ως άνω άρθρου, για την εκτίμηση του ενδεδειγμένου επιπέδου ασφαλείας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία η παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία. Σε αντίθεση με το άρθρο 28 του GDPR, εδώ γίνεται εκτενέστερη ενδεικτική απαρίθμηση προτεινόμενων μέτρων, η οποία περιλαμβάνει: α) την ψευδωνυμοποίηση και την κρυπτογράφηση προσωπικών δεδομένων, β) τη δυνατότητα διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, γ) τη δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, δ) τη διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. Ως προς τα λοιπά μέτρα, στην ίδια παράγραφο προβλέπεται ότι τα κατάλληλα τεχνικά και οργανωτικά μέτρα επιλέγονται λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.

Συμπερασματικά, οι οργανισμοί και οι επιχειρήσεις που υιοθετούν την τηλεργασία έχουν την ευθύνη να προβλέπουν και να θέτουν σε εφαρμογή τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλίζεται η ασφάλεια των προσωπικών δεδομένων που επεξεργάζονται οι τηλεργαζόμενοι. Οι τελευταίοι υποχρεούνται με τη σειρά τους να εφαρμόζουν τα οικεία μέτρα απαρέγκλιτα.

Β. Προτεινόμενα μέτρα ασφαλείας

Tον Απρίλιο του 2020 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) δημοσίευσε Κατευθυντήριες Γραμμές για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας32, λόγω της διευρυμένης εφαρμογής της τηλεργασίας από οργανισμούς και επιχειρήσεις. Στόχος αυτών είναι η ευαισθητοποίηση των υπεύθυνων επεξεργασίας, των εκτελούντων την επεξεργασία, των εργαζομένων και του κοινού για τους κινδύνους σε σχέση με την επεξεργασία προσωπικών δεδομένων, αλλά και τις υποχρεώσεις των εμπλεκομένων με αυτήν33. Κατά την ΑΠΔΠΧ, η επιχείρηση που υιοθετεί την τηλεργασία οφείλει: α) να καθορίσει και να υιοθετήσει συγκεκριμένες διαδικασίες συναφείς με την προστασία των προσωπικών δεδομένων για την τηλεργασία και β) να ενημερώσει, να εκπαιδεύσει και να συνδράμει τους εργαζόμενους στην εφαρμογή των ως άνω διαδικασιών34. Στο οικείο κείμενο έμφαση δίδεται επίσης στην αυξημένη βαρύτητα των υποχρεώσεων του εκάστοτε οργανισμού ή επιχείρησης για την προστασία των προσωπικών δεδομένων των τηλεργαζόμενων, λόγω της αυξημένης προσδοκίας τους για προστασία της ιδιωτικής ζωής τους, όπως αυτή πηγάζει από το γεγονός της παροχής της εργασίας στην οικία τους35.

Το περιεχόμενο των προτεινόμενων από την ΑΠΔΠΧ διαδικασιών συγκεκριμενοποιείται ως προς τέσσερις τομείς: α) πρόσβαση στο δίκτυο, β) χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου / ανταλλαγής μηνυμάτων, γ) χρήση τερματικής συσκευής/αποθηκευτικών μέσων, δ) πραγματοποίηση τηλεδιασκέψεων36.

Για την πρόσβαση στο δίκτυο, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η διασφάλιση ότι δεν υπάρχει δυνατότητα μη ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του φορέα, β) ο καθορισμός και περιορισμών των πόρων στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση στο απολύτως απαραίτητο, γ) η σύνδεση σε υπολογιστικά συστήματα της επιχείρησης μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» μόνο μέσω VPN, δ) η χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, όταν ο τηλεργαζόμενος συνδέεται στο διαδίκτυο μέσω ασύρματου δικτύου, ε) η κατά κανόνα αποφυγή αποθήκευσης αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης37.

Για τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η κατά κανόνα αποφυγή χρήσης προσωπικού ηλεκτρονικού ταχυδρομείου για σκοπούς τηλεργασίας, β) η κατά κανόνα αποφυγή χρήσης εφαρμογών ανταλλαγής μηνυμάτων για τους σκοπούς τηλεργασίας, όταν αυτά περιέχουν προσωπικά δεδομένα η διαρροή των οποίων θα δημιουργούσε κινδύνους38.

Για τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η εγκατάσταση στη συσκευή της τηλεργασίας συστήματος εναντίον των ιών (antivirus) και «τείχους προστασίας» (firewall), καθώς και η τακτική ενημέρωσή τους, β) η εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και του λειτουργικού συστήματος στη συσκευή της τηλεργασίας, γ) η χρήση των πλέον πρόσφατων εκδόσεων προγραμμάτων πλοήγησης στο διαδίκτυο, με μη τήρηση ιστορικού ή διαγραφή του μετά το πέρας της τηλεργασίας, δ) ο διαχωρισμός των προσωπικών δεδομένων τα οποία αφορούν την τηλεργασία στη συσκευή της τηλεργασίας, ε) η χρήση διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα, στ) η χρήση διαδικασιών λήψης αντιγράφων ασφαλείας αρχείων με προσωπικά δεδομένα, ζ) το «κλείδωμα» της συσκευής της τηλεργασίας39.

Για την πραγματοποίηση τηλεδιασκέψεων, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η αξιοποίηση πλατφόρμων που υποστηρίζουν υπηρεσίες ασφαλείας, όπως κρυπτογράφηση, β) η προστασία του συνδέσμου της προγραμματισμένης τηλεδιάσκεψης, π.χ. με τη μη δημοσιοποίησή του στο διαδίκτυο, γ) η μελέτη σχετικών όρων χρήσης και προστασίας προσωπικών δεδομένων40.

Πέραν της ΑΠΔΠΧ, άξιες μνείας είναι επίσης οι σχετικές ειδικότερες κατευθύνσεις για λήψη μέτρων ασφαλείας που δημοσιεύθηκαν από το Υπουργείο Ψηφιακής Διακυβέρνησης, καθώς και από τον Σύνδεσμο Επιχειρήσεων και Βιομηχανιών.

Κατά το Υπουργείο Ψηφιακής Διακυβέρνησης, στο έγγραφο υπό τον τίτλο «Συμβουλές για την ασφαλή εργασία από το σπίτι», το οποίο δημοσιεύθηκε τον Μάρτιο41, προτείνονται συνοπτικά ιδίως τα ακόλουθα μέτρα: α) η χρήση εφαρμογών που παρέχουν πλήρη κρυπτογράφηση στην επικοινωνία για την αποστολή ευαίσθητων πληροφοριών, β) η ενεργοποίηση της δυνατότητας σύνδεσης με την ταυτοποίηση δύο βημάτων για κάθε λογαριασμό που ο τηλεργαζόμενος διατηρεί, γ) η ενεργοποίηση στο κινητό τηλέφωνο της λειτουργίας πρόσβασης σε επιγραμμικές (online) υπηρεσίες με χρήση βιομετρικών δεδομένων, δ) η μη διακίνηση διευθύνσεων και οδηγιών μέσω των κοινωνικών δικτύων για τη συμμετοχή σε τηλεδιάσκεψη, ε) η μη χρήση ανοικτών ασύρματων δικτύων, τα οποία είναι περισσότερο ευάλωτα σε κακόβουλες ενέργειες, στ) η χρήση ισχυρών κωδικών πρόσβασης και λογισμικού προστασίας στον οικείο εξοπλισμό.

Κατά τον Σύνδεσμο Επιχειρήσεων και Βιομηχανιών, στο έγγραφο υπό τον τίτλο «Τηλεργασία: Q&A και Οδηγός Εφαρμογής», το οποίο δημοσιεύθηκε τον Μάρτιο42, προτείνονται συνοπτικά ιδίως τα ακόλουθα μέτρα: α) η χρήση «εικονικού ιδιωτικού δικτύου» (Virtual Private Network – VPN), β) ο αυστηρός περιορισμός των υπολογιστών που συνδέονται στα εταιρικά συστήματα, γ) ο έλεγχος πρόσβασης σε απαγορευμένες ιστοσελίδες από τους υπολογιστές της τηλεργασίας, σύμφωνα με την αντίστοιχη πολιτική, δ) η επιβολή περιορισμών στα προγράμματα λογισμικού που εγκαθίστανται στους υπολογιστές της τηλεργασίας, ε) ο περιορισμός στη διακίνηση δεδομένων και τα σχετικά μέσα αποθήκευσης που χρησιμοποιούνται, στ) ο περιορισμός στα πληροφοριακά συστήματα που είναι προσβάσιμα στον τηλεργαζόμενο.

Συνοψίζοντας, ο πυρήνας όλων των ως άνω μέτρων ασφαλείας έγκειται στην εκπόνηση των κατάλληλων διαδικασιών/πολιτικών με παράλληλη υιοθέτηση των κατάλληλων μέτρων, στην ενημέρωση και εκπαίδευση των τηλεργαζομένων περί αυτών και στη συνέχεια στη συστηματική εφαρμογή τους. Κατ’ αυτό τον τρόπο μπορεί πράγματι να εκπληρωθούν ουσιωδώς οι υποχρεώσεις που προβλέπουν τα προαναφερθέντα άρθρα 28 και 32 του GDPR, αλλά και το άρθρο 5 της προαναφερθείσας Ευρωπαϊκής Συμφωνίας Πλαίσιο για την Τηλεργασία του 2002, από οργανισμούς και επιχειρήσεις που υιοθετούν την τηλεργασία, με αποτέλεσμα την επιτυχή απόκρουση κυβερνοεγκληματιών και την προστασία των προσωπικών δεδομένων κατά την τηλεργασία. Επισημαίνεται πάντως ότι, όπως προκύπτει και από το γράμμα των εν λόγω προαναφερθεισών ρυθμίσεων του GDPR, τα εκάστοτε μέτρα ασφαλείας απαιτείται να είναι εξατομικευμένα, σύμφωνα με τα κριτήρια που αυτές θέτουν.

Γ. Εν είδει παρέκβασης: η ηλεκτρονική παρακολούθηση του τηλεργαζόμενου

Εν είδει παρέκβασης από τον κύριο άξονα του παρόντος πονήματος, η τηλεργασία θέτει ένα ακόμη σημαντικό ζήτημα στο πεδίο των προσωπικών δεδομένων, πέραν του μείζονος θέματος της ασφάλειας αυτών λόγω του κυβερνοεγκλήματος. Πρόκειται για το την ηλεκτρονική παρακολούθηση του τηλεργαζόμενου από τον εργοδότη του43. Το εν λόγω ζήτημα τίθεται μετ’ επιτάσεως λόγω των επαναλαμβανόμενων ηλεκτρονικών επικοινωνιών μεταξύ εργαζόμενου και εργοδότη και κατ’ επέκταση λόγω του μεγάλου όγκου προσωπικών δεδομένων του εργαζόμενου τα οποία μπορούν να τύχουν πλέον επεξεργασίας44, είτε εκούσια είτε ακούσια από την πλευρά οργανισμού ή επιχείρησης. Έτσι, προγράμματα που χρησιμοποιούνται, π.χ. για τηλεδιασκέψεις, παρέχουν τη δυνατότητα στον εργοδότη να εγγράψει ψηφιακά την επικοινωνία του με τηλεργαζόμενους, με αποτέλεσμα να δύναται να καταγραφεί η φωνή των τελευταίων, το πρόσωπό τους, η συμπεριφορά τους, αλλά και το οικιακό περιβάλλόν τους, όπως αποτυπώνεται στην κάμερα που χρησιμοποιείται, ή περαιτέρω αυτός να προβεί με ψηφιακό τρόπο σε ανάλυση της προσοχής που επιδεικνύουν στην τηλεδιάσκεψη οι συμμετέχοντες τηλεργαζόμενοι45. Και οι περιπτώσεις αυτές, οι οποίες χρήζουν εξέτασης on a case by case basis, διέπονται σε κάθε περίπτωση από τον GDPR και το οικείο νομοθετικό πλαίσιο, με έμφαση στα άρθρα 5 και 6 του GDPR για τις αρχές επεξεργασίας προσωπικών δεδομένων και τη νομιμότητα της επεξεργασίας. Σε εφαρμογή καλούνται επίσης οι σχετικές Οδηγίες της ΑΠΔΠΧ και της τέως Ομάδας Εργασίας του άρθρου 2946. Εξαιρετικά διαφωτιστική είναι επίσης και η μέχρι σήμερα σχετική νομολογία της ΑΠΔΠΧ47.

Σημειωτέον είναι πάντως ότι σύμφωνα με την παρ. 5.4.1. της Γνώμης 2/2017 της πρώην Ομάδας Εργασίας του άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία48, που τιτλοφορείται «Παρακολούθηση της κατ’οίκον εργασίας και της τηλεργασίας»49, η χρήση λογισμικού που έχει τη δυνατότητα π.χ. καταγραφής της ακολουθίας χαρακτήρων πληκτρολογίου και των κινήσεων του ποντικιού του τηλεργαζόμενου, καταγραφής στιγμιότυπων του τηλεργαζόμενου, καταγραφής των χρησιμοποιούμενων εφαρμογών και του χρόνου χρήσης του τηλεργαζόμενου, καθώς και ενεργοποίησης διαδικτυακών καμερών και συλλογής του μαγνητοσκοπημένου υλικού του τηλεργαζόμενου, οδηγεί σε δυσανάλογη επεξεργασία προσωπικών δεδομένων. Έτσι, κατά την ίδια ως άνω Γνώμη 2/2017 είναι εξαιρετικά απίθανο να έχει ο εργοδότης νομική βάση στο πλαίσιο έννομου συμφέροντος για τέτοιου είδους επεξεργασίες προσωπικών δεδομένων.

Από την πλευρά τους, οι τηλεργαζόμενοι οφείλουν και αυτοί να επιδεικνύουν αυξημένη ευαισθησία για την προστασία των προσωπικών δεδομένων τους κατά την περίοδο της τηλεργασίας, π.χ. να μη χρησιμοποιούν επαγγελματικό εξοπλισμό που έχουν λάβει για τις ανάγκες της τηλεργασίας, π.χ. εταιρικό υπολογιστή, και για προσωπική χρήση, καθώς και να απενεργοποιούν την κάμερα και το μικρόφωνο του υπολογιστή, όταν δεν χρειάζεται να είναι ενεργοποιημένα50.

V. Eπίμετρο

Τον Μάιο η εταιρεία Facebook ανακοίνωσε ότι προτίθεται να υιοθετήσει το καθεστώς της τηλεργασίας σε μόνιμη βάση -τη στιγμή που το προσωπικό της απασχολήθηκε εξ αποστάσεως σε ποσοστό 95% κατά τη διάρκεια της πανδημίας-, προβλέποντας ότι εντός της επόμενης δεκαετίας η τηλεργασία θα αφορά σταθερά τουλάχιστον το ήμισυ των εργαζομένων της51. Σε αυτό το πλαίσιο, το προσωπικό της κλήθηκε να προβεί σε σχετική ενημέρωση της εταιρείας μέχρι την έναρξη του 202152. Κατά τα λεγόμενα του κολοσσού των μέσων κοινωνικής δικτύωσης, οι αποδοχές του εκάστοτε τηλεργαζόμενου θα καθορισθούν λαμβάνοντας υπόψη και το κόστος ζωής της περιοχής στην οποία κατοικεί53. Σε παράταση της τηλεργασίας επίσης προσανατολίζονται -έστω και αν όχι στο ίδιο βάθος χρόνου- και άλλοι τεχνολογικοί γίγαντες, όπως η εταιρεία Google, αλλά και η εταιρεία Amazon54. Αντίστοιχη στάση δε με την εταιρεία Facebook φαίνεται ότι υιοθετεί και η εταιρεία στην οποία ανήκει το Twitter55. Την ίδια ώρα, εν μέσω πανδημίας, στο Ηνωμένο Βασίλειο η αναλογία των επιθέσεων από κυβερνοεγκληματίες κατά των τηλεργαζομένων αυξήθηκε από 12% τον Μάρτιο, προ της λήψης των αυστηρών μέτρων για την αντιμετώπιση της πανδημίας, σε ποσοστό που υπερβαίνει το 60% λίγες εβδομάδες μετά56. Τα ως άνω καταδεικνύουν ότι η τηλεργασία ήλθε για να μείνει, όπως επίσης και η συνακόλουθη αυξημένη δράση των κυβερνοεγκληματιών σε βάρος των τηλεργαζομένων. Πρόκειται για ένα νέο τοπίο στην προστασία των προσωπικών δεδομένων, το οποίο δεν έχει ακόμη πλήρως αποκαλυφθεί. Πρώτο μέλημα οργανισμών, επιχειρήσεων και τηλεργαζομένων είναι η λήψη και εφαρμογή των δεόντων τεχνικών και οργανωτικών μέτρων ασφαλείας, ώστε οι νέες συνθήκες να μην αποτελέσουν ισχυρό πλήγμα στο δικαίωμα προστασίας των προσωπικών δεδομένων. Άλλωστε, η αποτυχία στην προστασία των προσωπικών δεδομένων θα υπονομεύσει μετά βεβαιότητας την όποια προσπάθεια διεύρυνσης της τηλεργασίας, καθώς τα δύο αντικείμενα τελούν σε συμπληρωματική σχέση. Σε δεύτερο χρόνο, εξέτασης χρήζει η υιοθέτηση ενός νέου ολιστικού νομοθετικού πλαισίου για την τηλεργασία στη χώρα μας. Ως προς το τελευταίο, η Κυβέρνηση ανακοίνωσε πρόσφατα σχετικά νομοθετική πρωτοβουλία.
Αναμένεται, λοιπόν, η ψήφιση του σχετικού νόμου και τα νέα ζητήματα που αναπόδραστα αυτή θα θέσει στη σχετική συζήτηση.

__________________________
1 European Foundation for the Improvement of Living and Working Conditions, <https://www.eurofound.europa.eu/observatories/eurwork/industrial-relations-dictionary/telework>, τελευταία πρόσβαση 14.7.2020.
2 ibid.
3 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Special Report για την τηλεργασία, 2.5.2019, σελ. 3, <http://www.sev.org.gr/Uploads/Documents/52083/SR_TELEWORK_final.pdf>, τελευταία πρόσβαση 14.7.2020.
4 ILO και Eurofound, Working anytime, anywhere: the effects on the world of work, 2017, σελ. 15, <https://www.eurofound.europa.eu/publications/report/2017/working-anytime-anywhere-the-effects-on-the-world-of-work>, τελευταία πρόσβαση 14.7.2020.
5 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Special Report για την τηλεργασία, 2.5.2019, σελ. 1, <http://www.sev.org.gr/Uploads/Documents/52083/SR_TELEWORK_final.pdf>, τελευταία πρόσβαση 14.7.2020.
6 Eurofound, Living, working and COVID-19 e-survey, <https://www.eurofound.europa.eu/data/covid-19/working-teleworking>, τελευταία πρόσβαση 14.7.2020.
7 ibid.
8 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Special Report για την τηλεργασία, 2.5.2019, σελ. 2, <http://www.sev.org.gr/Uploads/Documents/52083/SR_TELEWORK_final.pdf>, τελευταία πρόσβαση 14.7.2020.
9 ibid.
10 ibid.
11 Ευρωπαϊκό Κοινοβούλιο, Τι κάνει η Ευρώπη για εμένα; – Τηλεργαζόμενοι, <https://what-europe-does-for-me.eu/el/portal/2/B55>, τελευταία πρόσβαση 14.7.2020.
12 Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002, παρ. 1.
13 Ευρωπαϊκό Κοινοβούλιο, Τι κάνει η Ευρώπη για εμένα; – Τηλεργαζόμενοι, <https://what-europe-does-for-me.eu/el/portal/2/B55>, τελευταία πρόσβαση 14.7.2020.
14 Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002, παρ. 3.
15 ibid.
16 ibid.
17 «Εγγυήσεις για την εργασιακή ασφάλεια και άλλες διατάξεις», ΦΕΚ Α’ 66/11.05.2010.
18 «Κατεπείγοντα μέτρα αντιμετώπισης των αρνητικών συνεπειών της εμφάνισης του κορωνοϊού COVID-19 και της ανάγκης περιορισμού της διάδοσής του «, ΦΕΚ Α’ 55/11-03-2020.
19 Καθηγητής ΑΠΘ: Ανεπαρκές το νομοθετικό πλαίσιο για την τηλεργασία – Γιατί χρειάζεται να υπάρξουν ειδικότερες ρυθμίσεις – Τι αναφέρει ο Δημήτρης Ζερδελής, iefimerida.gr, 18.3.2020, <https://www.iefimerida.gr/ellada/kathigitis-apth-aneparkes-nomothetiko-plaisio-tilergasia>, τελευταία πρόσβαση 14.7.2020.
20 Europol, Press Release, How criminals profit from the COVID-19 pandemic, 27.3.2020, <https://www.europol.europa.eu/newsroom/news/how-criminals-profit-covid-19-pandemic>, τελευταία πρόσβαση 14.7.2020.
21 Συμβούλιο της Ευρώπης, News, Cybercrime and COVID-19, <https://www.coe.int/en/web/cybercrime/-/cybercrime-and-covid-19>, τελευταία πρόσβαση 14.7.2020.
22 ibid.
23 Εθνική Αρχή Διαφάνειας, Οδηγός προστασίας από τεχνικές εξαπάτησης COVID-19, 2020, σελ. 2.
24 ibid.
25 ibid.
26 Εθνική Αρχή Διαφάνειας, Οδηγός προστασίας από τεχνικές εξαπάτησης COVID-19, 2020, σελ. 3.
27 H Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος ενημερώνει τους πολίτες σχετικά με προσπάθειες εξαπάτησης και περιπτώσεις διασποράς ψευδών ειδήσεων, μέσω διαδικτύου, με αφορμή τον κορωνοϊό (COVID-19), 2020, <https://cyberalert.gr/%ce%b7-%ce%b4%ce%b9%ce%b5%cf%8d%ce%b8%cf%85%ce%bd%cf%83%ce%b7-%ce%b4%ce%af%cf%89%ce%be%ce%b7%cf%82-%ce%b7%ce%bb%ce%b5%ce%ba%cf%84%cf%81%ce%bf%ce%bd%ce%b9%ce%ba%ce%bf%cf%8d-%ce%b5%ce%b3%ce%ba%ce%bb/>, τελευταία πρόσβαση 14.7.2020.
28 ibid.
29 ibid.
30 Βλ. αντί πολλών, Commission Nationale de l’Informatique et des Libertés, Les conseils de la CNIL pour mettre en place du télétravail, 12.5.2020, <https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail>, τελευταία πρόσβαση 14.7.2020. Αναμένονται επίσης σχετικές κατευθυντήριες γραμμές από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Βλ. Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Press Release, Twentieth plenary session of the European Data Protection Board – scope of upcoming guidance on data processing in the fight against COVID-19, <https://edpb.europa.eu/news/news/2020/twentieth-plenary-session-european-data-protection-board-scope-upcoming-guidance-data_el>, τελευταία πρόσβαση 14.7.2020.
31 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ, Ε.Ε. L 119/4.5.2016, σελ. 1 επ., γνωστός και ως Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) ή General Data Protection Regulation (GDPR). Ενδεικτική βιβλιογραφία: Ι. Ιγγλεζάκης, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (Κανονισμός 2016/679), 2η εκδ., 2018· B. Σωτηρόπουλος, Υπεύθυνος Προστασίας Δεδομένων, 2η εκδ., Εκδόσεις Σάκκουλα, 2019· Λ. Κανέλλος, The GDPR Handbook, Νομική Βιβλιοθήκη, 2020.
32 Κατευθυντήριες  Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
33 ΑΠΔΠΧ, Δελτίο Τύπου – Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας, 15.4.2020, <http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=65,70,126,25,55,137,17,157>, τελευταία πρόσβαση 14.7.2020.
34 Κατευθυντήριες  Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 1, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
35 ibid.
36 Κατευθυντήριες  Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 1-3, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
37 Κατευθυντήριες  Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 1-2, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
38 Κατευθυντήριες  Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 2, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
39 Κατευθυντήριες  Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 3, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
40 ibid.
41 Υπουργείο Ψηφιακής Διακυβέρνησης, Δελτίο Τύπου – Συμβουλές για την ασφαλή εργασία από το σπίτι, 30.3.2020, <https://mindigital.gr/archives/1291>, τελευταία πρόσβαση 14.7.2020.
42 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Τηλεργασία: Q&A και Οδηγός Εφαρμογής, Μάρτιος 2020, <https://www.sev.org.gr/Uploads/Documents/52761/SEV_Thlergasia%20(1B).pdf>, τελευταία πρόσβαση 14.7.2020.
43 Εν γένει για τη βασική προβληματική, βλ., αντί πολλών, I. Ιγγλεζάκη, Επιτήρηση και παρακολούθηση των ηλεκτρονικών επικοινωνιών στο χώρο εργασίας, ΔiΜΕΕ 1/2005, σελ. 55 επ.,
44 O. Proust και S. Crouzet , The risks of online employee monitoring during the COVID-19 crisis, 14.4.2020, <https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/the-risks-of-online-employee-monitoring-during-the>, τελευταία πρόσβαση 14.7.2020.
45 ibid.
46 Οδηγία 115/2001 ΑΠΔΠΧ για την επεξεργασία δεδομένων των εργαζομένων, <http://www.dpa.gr/pls/portal/url/ITEM/BD66D8402E549E88E040A8C07C242BC7>, τελευταία πρόσβαση 14.7.2020·  Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία, <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169>, τελευταία πρόσβαση 14.7.2020.
47 ΑΠΔΠΧ, Αποφάσεις θεματικής ενότητας «Εργασιακές σχέσεις», <https://www.dpa.gr/portal/page?_pageid=33%2C15453&_dad=portal&_schema=PORTAL&_piref33_15473_33_15453_15453.etos=-1&_piref33_15473_33_15453_15453.arithmosApofasis=&_piref33_15473_33_15453_
15453.thematikiEnotita=
171&_piref33_15473_33_15453_15453.ananeosi=%CE%91%CE%BD%CE%B1%CE%BD%CE%AD%CF%89%CF%83%CE%B7>, τελευταία πρόσβαση 14.7.2020.

48 Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία, <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169>, τελευταία πρόσβαση 14.7.2020.
49 Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία, <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169>, σελ. 19-20, τελευταία πρόσβαση 14.7.2020.
50 O. Proust και S. Crouzet , The risks of online employee monitoring during the COVID-19 crisis, 14.4.2020, <https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/the-risks-of-online-employee-monitoring-during-the>, τελευταία πρόσβαση 14.7.2020.
51 Μονιμοποιεί την τηλεργασία η Facebook, Καθημερινή, 23.5.2020, <https://www.kathimerini.gr/1079540/article/oikonomia/die8nhs-oikonomia/monimopoiei-thn-thlergasia-h-facebook>, τελευταία πρόσβαση 14.7.2020.
52 ibid.
53 ibid.
54 ibid.
55 Facebook και Twitter «σπρώχνουν» τους εργαζόμενους σε μόνιμη τηλεργασία, newmoney.gr, 22.5.2020, <https://www.newmoney.gr/roh/diethni/facebook-ke-twitter-sprochnoun-tous-ergazomenous-se-monimi-tilergasia/>, τελευταία πρόσβαση 14.7.2020.
56 Αυξήθηκαν οι κυβερνοεπιθέσεις κατά εργαζομένων σε τηλεργασία – Εν μέσω lockdown, LiFO, 24.5.2020, <https://www.lifo.gr/now/tech_science/283584/ayksithikan-oi-kyvernoepitheseis-kata-ergazomenon-se-tilergasia-en-meso-lockdown>, τελευταία πρόσβαση 14.7.2020.

Address
  • Ammoudi, Santorini, P. C.  847 02

opening hours
  • Monday

    8:00 a.m. – 11:30 p.m.

  • Tuesday

    8:00 a.m. – 11:00 p.m.

  • Wednesday
    8:00 a.m. – 11:00 p.m.
  • Thursday
    8:00 a.m. – 11:00 p.m.
  • Friday
    8:00 a.m. – 11:00 p.m.
  • Saturday
    8:00 a.m. – 11:00 p.m.
  • Sunday
    8:30 a.m. – 11:00 p.m.
Social Media

© Cool Cave Ice Cream Santorini Ammoudi, all rights reserved. Web Design Web Builders