Δευτέρα, Οκτωβρίου 16, 2017

Απόφαση Αρχής Προσωπικών Δεδομένων για εκλογές αρχηγού στην Κεντροαριστερά

Με μια πολύ ενδιαφέρουσα απόφαση που δημοσιεύθηκε σήμερα, η Αρχή έδωσε άδεια στην Ανεξάρτητη Επιτροπή Διαδικασιών και Δεοντολογίας που λειτουργεί υπό την προεδρία του καθηγητή κ. Νίκου Αλιβιζάτου για την επεξεργασία των ευαίσθητων δεδομένων που θα συγκεντρωθούν για την διεξαγωγή ψηφοφορίας για την ανάδειξη του αρχηγού του νέου φορέα της Κεντροαριστεράς.

Η Αρχή ερμηνεύει την γνωστοποίηση αρχείου που υπέβαλε η Επιτροπή Διαδικασιών ως "αίτηση για χορήγηση άδειας επεξεργασίας ευαίσθητων δεδομένων" και τελικά χορηγεί αυτή την άδεια με την απόφαση 126/2017 θέτοντας και ειδικούς όρους (βλ. εδώ).
Από νομικής απόψεως, εάν την διαδικασία την έκανε ένα υπάρχον κόμμα και αφορούσε μόνο τα μέλη του, δεν θα χρειαζόταν άδεια επεξεργασίας ευαίσθητων δεδομένων, λόγω του ότι υπάρχει η απαλλακτική ρήτρα του άρθρου 7Α του Ν.2472/1997.
Όμως, η Αρχή έκρινε ότι εδώ το αίτημα δεν υποβάλλεται από κόμμα, αλλά από την Επιτροπή Διαδικασιών υπό ίδρυση κόμματος, οπότε η επεξεργασία ευαίσθητων δεδομένων τελεί υπό την προϋπόθεση χορήγησης άδειας κατά το άρθρο 7 παρ. 2 του Ν.2472/1997. Η νομιμοποιητική βάση της επεξεργασίας ευαίσθητων δεδομένων είναι η "γραπτή συγκατάθεση" των υποκειμένων των δεδομένων.
Έτσι, η Αρχή επιτρέπει την δημιουργία αρχείου δηλ. εκλογικού καταλόγου για την ταυτοποίηση των ψηφοφόρων, καθώς και εθελοντών για το περιορισμένο χρονικό διάστημα των δύο (2) μηνών από την διεξαγωγή των εκλογών αυτών.
Όμως, ανάμεσα στα άλλα, η Αρχή αποφάσισε επιπλέον για αυτό το αρχείο ευαίσθητων δεδομένων ότι κρίνεται "επιτρεπτή η διαβίβασή του στα πολιτικά κόμματα και στις πολιτικές κινήσεις που συμπράττουν στο εγχείρημα της ίδρυσης του νέου πολιτικού φορέα, καθώς και στους υποψηφίους για την ηγεσία του, και η χρησιμοποίησή του εντός του ως άνω προσδιορισθέντος χρονικού διαστήματος."
Κατά την γνώμη μου, αυτή η περαιτέρω δυνατότητα διαβίβασης του αρχείου από τον υπεύθυνο επεξεργασίας σε τρίτους υπεύθυνους επεξεργασίας όπως είναι οι υποψήφιοι αρχηγοί αλλά και τα ιδρυτικά κόμματα δεν έχει καμία απολύτως βάση στον Ν.2472/1997. Δεν υπάρχει κανένα έρεισμα βάσει του οποίου η Επιτροπή Δεοντολογίας θα είχε νομιμοποίηση να διαβιβάσει έναν τέτοιο όγκο ευαίσθητων δεδομένων σε κάθε υποψήφιο αρχηγό. Εάν ο σκοπός είναι να διαπιστωθεί η τήρηση των διαδικασιών, αυτό θα ακύρωνε την ίδια την Επιτροπή Δεοντολογίας.
Το λάθος είναι ότι μια επεξεργασία που βασίζεται στην "γραπτή συγκατάθεση" για έναν συγκεκριμένο σκοπό (ταυτοποίηση για συμμετοχή στις εκλογές) δεν μπορεί να επεκτείνεται και σε άλλες επεξεργασίες για άλλους σκοπούς (π.χ. πολιτική επικοινωνία των υποψηφίων με τους ψηφοφόρους), γιατί έτσι καταστρατηγείται η αρχή του δεσμευτικά καθορισμένου σκοπού της επεξεργασίας (άρθρο 4 παρ. 1 (α) του Ν.2472/1997. 


Η ίδια η Αρχή στην Οδηγία 1/2010 για την επεξεργασία δεδομένων στο πλαίσιο πολιτικής επικοινωνίας εμφατικά έχει επισημάνει: 
Για να πληρούται η απαίτηση του νόμου περί ειδικότητας της συγκατάθεσης, θα 
πρέπει το υποκείμενο των δεδομένων, σύμφωνα με το άρθρο 2 στοιχ. ια) ν. 2472/1997 να έχει προηγουμένως ενημερωθεί για το σκοπό της πολιτικής

επικοινωνίας, τα δεδομένα ή τις κατηγορίες αυτών που θα αποτελέσουν αντικείμενο επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αυτών, στους οποίους τυχόν αποσταλούν τα δεδομένα καθώς και τα στοιχεία του υπευθύνου επεξεργασίας. Στα προσωπικά δεδομένα που πρόκειται να αποτελέσουν αντικείμενο επεξεργασίας περιλαμβάνονται και τα στοιχεία επαφής του υποκειμένου των δεδομένων, έτσι ώστε το υποκείμενο των δεδομένων να  συγκατατίθεται και ως προς το χρησιμοποιούμενο μέσο της επικοινωνίας.
Ενδεικτικώς, η δήλωση συγκατάθεσης δύναται να έχει ως εξής:

“Επιθυμώ να λαμβάνω πολιτική επικοινωνία από/σχετικά με τον Χ στην [ταχυδρομική διεύθυνση / διεύθυνση ηλεκτρονικού ταχυδρομείου / στο κινητό τηλέφωνο] που έχω δηλώσει για το σκοπό αυτό ή/και να διαβιβασθούν τα δεδομένα μου (με αναφορά σε ορισμένα ή όλα τα στοιχεία επαφής) [στον Χ /στην κατηγορία αποδεκτών Χ] προς το σκοπό της πολιτικής επικοινωνίας.

Δεν υπάρχουν σχόλια:

4 παραβάσεις του GDPR από την Google διαπίστωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Με την σημερινή απόφαση 54/2024 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε υπόθεση που εκπροσωπώ τον καταγγέλλοντα - που απασχό...