Παρασκευή, Ιουνίου 21, 2019

GDPR συμμόρφωση και πολιτική επικοινωνία υποψηφίων με ψηφοφόρους

Η άμεση πολιτική επικοινωνία με τους ψηφοφόρους αποτελεί ένα άκρως διαδεδομένο φαινόμενο, αναπόσπαστο στοιχείο της προεκλογικής περιόδου. Στις περιπτώσεις που αυτή η επικοινωνία γίνεται με χρήση των προσωπικών δεδομένων των ψηφοφόρων, όπως είναι η χρήση των αριθμών των κινητών τηλεφώνων τους, η χρηση των διευθύνσεων των ηλεκτρονικών ταχυδρομείων τους, αλλά και η χρήση των ταχυδρομικών διευθύνσεών τους, υπάρχουν συγκεκριμένοι κανόνες που πρέπει να ακολουθούνται.

Aρχικά, πρέπει να σημειώσουμε ότι όλοι οι κανόνες που ισχύουν για το direct marketing, δηλαδή για την εμπορική προώθηση προϊόντων ή αγαθών ισχύουν και για το πολιτικό marketing, όπως έχει ήδη κριθεί και από τα βρετανικά δικαστήρια. Είναι κοινό μυστικό εξάλλου ότι τα SMS δεν τα στέλνει ένα προς ένα ο ίδιος ο υποψήφιος ή το γραφείο του, αλλά, στις περισσότερες των περιπτώσεων, είναι μια αγορασμένη από αυτόν υπηρεσία, την οποία φέρει εις πέρας ένα γραφείο σχεδιασμού πολιτικής επικοινωνίας. Επομένως, η επικοινωνία που επιδιώκει ο υποψήφιος για να προωθήσει την υποψηφιότητά του είναι direct marketing παρόλο που συνδέεται με μια πολιτειακή διαδικασία, όπως οι εκλογές για την ανάδειξη των μελών του κοινοβουλίου.

Τι είπε η Ε.Ε. για την εφαρμογή του GDPR στις πολιτικές καμπάνιες;

Πολύ πρόσφατα, στις 13.3.2019 το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε την Δήλωση 2/2019 σχετικά με την χρήση δεδομένων προσωπικού χαρακτήρα κατά την διάρκεια πολιτικών εκστρατειών (βλ. εδώ). Το Ε.Σ.Π.Δ. είναι η πλατφόρμα εκπροσώπων των αρχών προστασίας δεδομένων της Ε.Ε. που ιδρύθηκε με τον GDPR. Η πρώτη επισήμανση του Ε.Σ.Π.Δ. είναι ότι τα προσωπικά δεδομένα που αποκαλύπτουν πολιτικές πεποιθήσεις (π.χ. το μητρώο μελών ενός κόμματος) είναι ειδική κατηγορία δεδομένων ("ευαίσθητα δεδομένα"), επομένως για την χρήση του από μεμονωμένους υποψήφιους χρειάζεται ρητή συγκατάθεση των ατόμων. Δεν είναι το ίδιο με προσωπικά δεδομένα του γενικού πληθυσμού ή του πληθυσμού μιας εκλογικής περιφέρειας, τα οποία δεν συνδέονται με συγκεκριμένες πολιτικές πεποιθήσεις μεν, είναι όμως κι αυτά προσωπικά δεδομένα και η χρήση τους πρέπει να γίνεται σύμφωνα με τον GDPR.

Θα πρέπει να σημειωθεί ότι η σχετική οδηγία 1/2010 της Αρχής Προστασίας Δεδομένων για την επεξεργασία δεδομένων στο πλαίσιο της πολιτικής επικοινωνίας δεν είναι επικαιροποιημένη με τις τροποποιήσεις του θεσμικού πλαισίου των τηλεπικοινωνιών που έγιναν το 2009 από την Ε.Ε., ούτε φυσικά με τον GDPR.

Ποιός έχει την ευθύνη για τα προσωπικά δεδομένα;

Επομένως, πρακτικά, οι υποψήφιοι είναι "υπεύθυνοι επεξεργασίας", εφόσον έχουν οι ίδιοι καθορίσει τον σκοπό και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 24 του GDPR. Εάν έχουν αναθέσει την επεξεργασία αυτή σε μια εταιρία επικοινωνίας, τότε αυτή η εταιρία είναι ο "εκτελών την επεξεργασία" κατά το άρθρο 28 GDPR. Εάν ο υποψήφιος δεν έχει δώσει σαφείς κατευθύνσεις για την επεξεργασία των δεδομένων και έχει αφήσει εν λευκώ την πολιτική επικοινωνία του σε μια εταιρία, η οποία αποφασίζει από μόνη της ποιες επεξεργασίες δεδομένων θα εκτελέσει, τότε η εταιρία αυτή είναι ο "υπεύθυνος επεξεργασίας"! Αν αυτή η εταιρία αναθέσει σε άλλη εταιρία το σκέλος της αποστολής των μηνυμάτων, ταχυδρομείου, sms κ.τ.λ., τότε η άλλη εταιρία ειναι ο "εκτελών την επεξεργασία". Εάν ο υποψήφιος συναποφασίζει μέσα ή και σκοπούς επεξεργαίας με την συμβουλευτική εταιρία, τότε είναι "από κοινού υπεύθυνοι επεξεργασίας", κατά την έννοια του άρθρου 26 GDPR.

Υπογράψτε σαφή συμφωνία για την ευθύνη!

Αυτές οι κατηγοριοποιήσες σημαίνουν ότι πρέπει εκ των προτέρων να καθοριστεί με γραπτή συμφωνία μεταξύ του υποψηφίου και της συμβουλευτικής εταιρίας ή της εταιρίας επικοινωνίας και του τρίτου υπεργολάβου ποιος είναι ο υπεύθυνος επεξεργασίας και ποιος είναι ο εκτελών την επεξεργασία. Αυτό επιβάλλει ουσιαστικά και το αρθρο 28 του GDPR.  Σε κάθε περίπτωση, οι θιγόμενοι έχουν κάθε δικαίωμα να στραφούν ατομικά εναντίον του υποψήφιου κι εκείνος θα πρέπει να αποδείξει δικαστικά αν ήταν υπεύθυνος επεξεργασίας ο ίδιος ή η εταιρία που προέβη σε χρήση των δεδομένων προσωπικού χαρακτήρα!

Καταρτίστε το αρχείο δραστηριοτήτων επεξεργασίας!

Η πρώτη από τις νέες διοικητικές υποχρεώσεις που έχει κάθε υπεύθυνος επεξεργασίας είναι να τηρεί αρχείο δραστηριοτήτων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως ορίζει το άρθρο 30 GDPR.  Σε περίπτωση δηλαδή ενός ελέγχου, το πρώτο που θα ζητηθεί από έναν υποψήφιο ή από μια εταιρία που αποστέλλει μηνύματα για λογαριασμό ενός υποψηφίου θα είναι το "αρχείο δραστηριοτήτων επεξεργασίας". Η σύνταξη του αρχείου με τα στοιχεία του άρθρου 30 είναι ένα μέρος μόνο από τα βήματα της διαδικασίας συμμόρφωσης ενός υπεύθυνου επεξεργασίας με τον GDPR.

Χρειάζεται ρητή συγκατάθεση;

Στην συμβατική, ταχυδρομική επικοινωνία αποστολής φυλλαδίων σε ταχυδρομικές διευθύνσεις που έχουν αντληθεί από δημόσια προσβάσιμες πηγές, ο κανόνας είναι ότι δεν χρειάζεται η προηγούμενη συγκατάθεση του υποκειμένου των δεδομένων, αλλά ο υπεύθυνος επεξεργασίας δεν θα πρέπει να χρησιμοποιεί δεδομένα των προσώπων που έχουν περιληφθεί στο μητρώο του άρθρου 13 παρ. 3 του Ν.2472/1997, το οποίο είναι δημόσιο και από το οποίο πρέπει να διαγράφει τα προσωπικά δεδομένα εκείνων που δεν επιθυμούν να τους αποστέλλονται στην ταχυδρομική τους διεύθυνση προσωπικά δεδομένα.

Στην τηλεφωνική και ηλεκτρονική - διαδικτυακή επικοινωνία όμως, τα πράγματα είναι ελαφρώς διαφοροποιημένα:
α) αυτόματες κλήσεις με οποιοδήποτε μέσω ηλεκτρονικής επικοινωνίας χωρίς ανθρώπινη παρέμβαση (π.χ. μαζικό sms): απαγορεύονται αν δεν έχει δώσει προηγουμένως την συγκατάθεσή του ο συνδρομητής.
β) κλήση με ανθρώπινη παρέμβαση (π.χ. τηλεφώνημα από συνεργάτη υποψηφίου): επιτρέπεται εκτός εάν ο συνδρομητής έχει ζητήσει να περιληφθεί στο μητρώο του άρθρου 11 του Ν.3741/2006
γ) στοιχεία επαφής ηλεκτρονικού ταχυδρομείου (προς το οποίο έχει εξομοιωθεί και το sms) που αποκτήθηκαν νόμιμα από προηγούμενη συναλλαγή με τον ψηφοφόρο επιτρέπεται να χρησιμοποιούνται χωρίς συγκατάθεση.

Η διαδικασία της λήψης συγκατάθεσης, όπου χρειάζεται, είναι επίσης νομικά καθορισμένη ως προς το περιεχόμενο και τα χαρακτηριστικά της συγκατάθεσης από το άρθρο 7 του GDPR

Σε όλες τις περιπτώσεις όμως πρέπει να δίνεται η δυνατότητα διαγραφής!

Χρειάζεται προηγούμενη ενημέρωση;

Δεν νοείται "συγκατάθεση" πλέον, εάν το υποκείμενο των δεδομένων δεν έχει ενημερωθεί κατά τα άρθρο 13 ή 14 GDPR, ανάλογα με την περίπτωση άντλησης των δεδομένων του! Αυτή είναι η μεγάλη παγίδα για τα στοιχεία ψηφοφόρων που έχουν αποκτήθεί ακόμη και με νόμιμες διαδικασίες πριν τις 25.5.2018, δηλαδή πριν την θέση σε εφαρμογή του GDPR.
Το θέμα της ενημέρωσης των υποκειμένων των δεδομένων είναι επίσης ένα ζήτημα με πολλές διαστάσεις και στο οποίο μπορούν να δοθούν πολλές λύσεις.

Δηλαδή ακόμη και στις περιπτώσεις που δεν χρειάζεται ρητή συγκατάθεση, ο υπεύθυνος επεξεργασίας πρέπει να έχει τηρήσει την υποχρέωση προηγούμενης ενημέρωσης γιατί διαφορετικά υποπίπτει σε παράβαση του GDPR.

Οι αποζημιώσεις

Για τις περιπτώσεις παράνομης χρήσης προσωπικών δεδομένων στο πλαίσιο της συμβατικής αποστολής προεκλογικού υλικού μέσω ταχυδρομείου, η αποζημίωση που προβλέπεται σε περίπτωση ηθικής βλάβης του υποκειμένου των δεδομένων ορίζεται στο άρθρο 23 του Ν.2472 (6.000 ευρώ, αλλά ορισμένα δικαστήρια έχουν επιβάλει και κατώτερες).

Για τις περιπτώσεις παραβίασης μέσω ηλεκτρονικών επικοινωνιών, η αποζημίωση ορίζεται στις 10.000 ευρώ από το άρθρο 14 του Ν.3471/2006.

Το κόστος της δικαστικής διαδικασίας στον πρώτο βαθμό (ειρηνοδικείο) για μια τέτοια αποζημίωση ανέρχεται στο ποσό των 450 ευρώ (γραμμάτια ΔΣΑ, επίδοση αγωγής και δικαστικό ένσημο).



Δεν υπάρχουν σχόλια:

To νομοσχέδιο για την ισότητα στον γάμο

 Το νομοσχέδιο προβλέποντας στο άρθρο 3 ότι ο γάμος επιτρέπεται για άτομα διαφορετικού ή ίδιου φύλου, αυτοδικαίως επεκτείνει στα ζευγάρια το...