Κατευθυντήριες Γραμμές 1/2023 σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα

 

Αθήνα, 31-03-2023

Αριθ. Πρωτ.: 791

ΑΠΟΦΑΣΗ 9/2023

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική συνεδρίαση στην έδρα της στις 09-02-2023, στις 16-02-2023 και στις 24-02-2023 προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν οι Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής, τα τακτικά μέλη Χρήστος Καλλονιάτης, Κωνσταντίνος Λαμπρινουδάκης και ως Εισηγητές τα τακτικά μέλη Χαράλαμπος Ανθόπουλος, Σπυρίδων Βλαχόπουλος, Αικατερίνη Ηλιάδου και Γρηγόριος Τσόλιας. Επίσης παρευρέθηκαν στη συνεδρίαση ύστερα από κλήση του Προέδρου, χωρίς δικαίωμα ψήφου, τα αναπληρωματικά μέλη Δημοσθένης Βουγιούκας, Γεώργιος Κόντης, Νικόλαος Λίβος, Χρήστος Παπαθεοδώρου, Νικόλαος Φαλδαμής και Μαρία Ψάλλα. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστησαν, με εντολή του Προέδρου, οι ελέγκτριες Γεωργία Παναγοπούλου, Ειδική Επιστήμονας Πληροφορικής, Χάρις Συμεωνίδου και Κυριακή Καρακάση, Ειδικές Επιστήμονες Νομικής, ως βοηθοί εισηγητών, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Τμήματος Διοικητικών Υποθέσεων, ως γραμματέας.

H Αρχή έχοντας υπόψη:

1) Τις διατάξεις του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων - ΓΚΠΔ) και του ν. 4624/2019 (ΦΕΚ Α΄ 137/29.08.2019) «Αρχή Προστασίας Δεδομένων Προσωπικού 2 Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις».

2) Το άρθρο 4 παρ. 1 του Κανονισμού Λειτουργίας της Αρχής (Απόφαση 9/2022, ΦΕΚ 879/Β/25-2-2022, όπως τροποποιήθηκε με την Απόφαση 13/2022, ΦΕΚ 1245/Β/17- 03-2022 και ισχύει).

3) Τις Κατευθυντήριες Γραμμές 1/2019 της Αρχής σχετικά με την Επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα.

4) Τις υπ’ αρ. 1343-5/2022 αποφάσεις του Δ’ Τμήματος του Συμβουλίου της Επικρατείας, με τις οποίες έγιναν δεκτά τα εξής: «[…] Για τον περιορισμό της, αναγκαίας για τη λειτουργία του δημοκρατικού πολιτεύματος, επικοινωνίας του υποψηφίου βουλευτή κατά τη διάρκεια της προεκλογικής περιόδου με τους εκλογείς της περιφέρειας στην οποία θέτει υποψηφιότητα, απαιτείται ειδική ρύθμιση. Τέτοια ειδική ρύθμιση δεν μπορεί να θεωρηθεί το άρθρο 11 παρ. 1 του ν. 3471/2006, το οποίο εφαρμόσθηκε αποκλειστικά από την προσβαλλόμενη απόφαση της Αρχής και το οποίο ρυθμίζει τις μη ζητηθείσες επικοινωνίες για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών και για κάθε είδους διαφημιστικούς σκοπούς, μεταφέροντας την αντίστοιχη διάταξη του άρθρου 13 της οδηγίας 2002/58, περί αυτόκλητων κλήσεων για σκοπούς απευθείας εμπορικής προώθησης, καθώς στην περιγραφείσα στις ως άνω διατάξεις επικοινωνία δεν εμπίπτει πάντως η επικοινωνία του υποψήφιου βουλευτή κατά την προεκλογική περίοδο. Και τούτο ενόψει της ιδιαίτερης σημασίας που αποδίδεται από τις αναφερόμενες στην τέταρτη σκέψη συνταγματικές διατάξεις στην επικοινωνία αυτή. Η ερμηνεία αυτή δεν θίγει την προστασία των προσωπικών δεδομένων των εμπλεκόμενων φυσικών προσώπων, […], δεδομένου ότι εξακολουθούν να τυγχάνουν εφαρμογής οι γενικές διατάξεις του ΓΚΠΔ, βάσει των οποίων δύναται να κριθεί η νομιμότητα κάθε επεξεργασίας».

Η Αρχή, αφού άκουσε τους εισηγητές και τις βοηθούς εισηγητών, μετά από διεξοδική συζήτηση

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

1. Επειδή, από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού 2016/679) - εφεξής ΓΚΠΔ - και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις των άρθρων 57 παρ.1 στοιχ. α΄, β΄ και δ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. α΄ και β΄ του νόμου 4624/2019 προκύπτει ότι η Αρχή έχει αυτεπάγγελτη αρμοδιότητα να παρακολουθεί και να επιβάλλει την εφαρμογή των διατάξεων του ΓΚΠΔ και του νόμου 4624/2019 και να προωθεί την ευαισθητοποίηση του κοινού και των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με την κατανόηση των κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων και σχετικά με τις υποχρεώσεις τους δυνάμει του ΓΚΠΔ κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

2. Σε συνέχεια των ανωτέρω αναφερόμενων αποφάσεων υπ’ αρ. 1343-5/2022 του Συμβουλίου της Επικρατείας υπάρχει ανάγκη αναθεώρησης των Κατευθυντήρων Γραμμών της Αρχής για την πολιτική επικοινωνία των υποψηφίων με τους εκλογείς κατά την προεκλογική περίοδο ώστε να καθοριστεί το πλαίσιο της νόμιμης επεξεργασίας προσωπικών δεδομένων για το σκοπό αυτό με βάση τις διατάξεις του ΓΚΠΔ.

3. Επειδή, το άρθρο 2 παρ. 1 του ΓΚΠΔ προβλέπει: «Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης». Αντίστοιχα, το άρθρο 2 του νόμου 4624/2019 ορίζει: «Οι διατάξεις του παρόντος εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων Προσωπικού Χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης από: α) δημόσιους φορείς ή β) ιδιωτικούς φορείς, εκτός και εάν η επεξεργασία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας». Η πολιτική επικοινωνία, ως αυτοματοποιημένη επεξεργασία προσωπικών δεδομένων, εμπίπτει κατεξοχήν στο πεδίο εφαρμογής του ΓΚΠΔ και του ν. 4624/2019.

4. Επειδή, το άρθρο 5 του ΓΚΠΔ καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, ορίζεται στην παράγραφο 1 ότι τα δεδομένα προσωπικού χαρακτήρα, μεταξύ άλλων: «α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα, διαφάνεια»), β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς (…)».

5. Επειδή, σύμφωνα με τα οριζόμενα στη διάταξη του άρθρου 5 παρ. 2 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 του άρθρου 5. Όπως έχει κρίνει η Αρχή1, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης, κεντρικό στοιχείο του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Η σημασία της εσωτερικής συμμόρφωσης του υπευθύνου επεξεργασίας στις απαιτήσεις του ΓΚΠΔ αναδεικνύεται από τις διατάξεις του άρθρου 24 παρ. 1 και 2 ΓΚΠΔ σύμφωνα με τις οποίες απαιτείται η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, στο πλαίσιο των οποίων περιλαμβάνεται η κατάρτιση και εφαρμογή των κατάλληλων πολιτικών και διαδικασιών.

6. Επιπλέον δε, ο υπεύθυνος επεξεργασίας βαρύνεται με το περαιτέρω καθήκον να αποδεικνύει αυτός και ανά πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ. Η συμμόρφωση προς τις απαιτήσεις του ΓΚΠΔ και της εθνικής νομοθεσίας είναι μια διαρκής διαδικασία η οποία αρχίζει ήδη προ της συλλογής και επεξεργασίας των δεδομένων με τον σχεδιασμό των οικείων διαδικασιών και τελειώνει μόνο με την οριστική διαγραφή των δεδομένων. 1 Βλ. απόφαση Αρχής 26/2019, σκέψη 8, διαθέσιμη στην ιστοσελίδα της.

7. Επειδή, σύμφωνα με τη διάταξη του άρθρου 6 παρ. 1 ΓΚΠΔ «η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, […] στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί». Περαιτέρω, σύμφωνα με τη διάταξη της παρ. 4 του ιδίου άρθρου, «Όταν η επεξεργασία για σκοπό άλλο από αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο 23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ άλλων: α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας, β) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και του υπευθύνου επεξεργασίας, γ) τη φύση των δεδομένων προσωπικού χαρακτήρα, ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10, δ) τις πιθανές συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων, ε) την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή ψευδωνυμοποίηση».

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή, αποφασίζει ομόφωνα να εκδώσει τις ακόλουθες Κατευθυντήριες Γραμμές, όπως παρατίθενται στο Παράρτημα της παρούσας απόφασης.

Ο Πρόεδρος                                                                                       Η Γραμματέας

Κωνσταντίνος Μενουδάκος                                                       Ειρήνη Παπαγεωργοπούλου

 

 

ΠΑΡΑΡΤΗΜΑ

ΚΑΤΕΥΘΥΝΤΗΡΙΕΣ ΓΡΑΜΜΕΣ 1/2023

Επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα

1.      Εισαγωγή

Πολιτική επικοινωνία είναι η επικοινωνία που πραγματοποιείται από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης σε οποιαδήποτε χρονική περίοδο, προεκλογική ή μη, για την προώθηση πολιτικών ιδεών, προγραμμάτων δράσης ή άλλων δραστηριοτήτων με σκοπό την υποστήριξή τους και τη διαμόρφωση πολιτικής συμπεριφοράς. Η πολιτική επικοινωνία μπορεί να πραγματοποιείται με ποικίλους τρόπους, όπως με την άμεση παρουσίαση των πολιτικών ιδεών ή με τη συμπερίληψή τους σε ενημερωτικό δελτίο, με την πρόσκληση ανάγνωσής τους σε ιστοσελίδα ή με την πρόσκληση συμμετοχής σε κάποια εκδήλωση ή δραστηριότητα.

Σύμφωνα με την δημοκρατική αρχή, η δραστηριότητα της πολιτικής επικοινωνίας προστατεύεται από το Σύνταγμα, ιδίως στο πλαίσιο του γενικού δικαιώματος συμμετοχής στην πολιτική ζωή της χώρας (άρθρο 5 παρ. 1 Συντ.), του δικαιώματος των πολιτών στην πληροφόρηση (άρθρο 5Α παρ. 1 Συντ.), και της εκπλήρωσης της συνταγματικής αποστολής των πολιτικών κομμάτων (άρθρο 29 παρ. 1 Συντ.). Ωστόσο, όταν χρησιμοποιούνται μέθοδοι που προϋποθέτουν ή συνίστανται στην επεξεργασία προσωπικών δεδομένων, όπως ονοματεπωνύμων, ταχυδρομικών διευθύνσεων, τηλεφωνικών αριθμών, διευθύνσεων ηλεκτρονικού ταχυδρομείου φυσικών προσώπων, κ.ά., η πολιτική επικοινωνία απαιτείται να γίνεται κατά τρόπο ώστε να διασφαλίζεται σεβασμός του άρθρου 9Α Συντ. και της εθνικής και ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων, όπως επιβεβαιώνεται από πρόσφατη νομολογία, (ad hoc ΣτΕ 1343-5/2022, σκ. 14).

Στις ανωτέρω περιπτώσεις, οι φορείς και τα πρόσωπα που πραγματοποιούν πολιτική επικοινωνία καθίστανται υπεύθυνοι επεξεργασίας, σύμφωνα με τον ορισμό του άρθρου 4 παρ. 7 του Γενικού Κανονισμού Προστασίας Δεδομένων (στο εξής «ΓΚΠΔ»), στο μέτρο κατά το οποίο ορίζουν τον σκοπό και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Για παράδειγμα, όταν ο βουλευτής ή ο υποψήφιος βουλευτής λαμβάνει δεδομένα από το πολιτικό κόμμα στο οποίο συμμετέχει και τα επεξεργάζεται για προσωπική του πολιτική επικοινωνία, καθίσταται ο ίδιος υπεύθυνος επεξεργασίας. Με την ιδιότητα αυτή, σύμφωνα με τη θεμελιώδη στον ΓΚΠΔ αρχή της λογοδοσίας (άρθρο 5 παρ. 2), τα παραπάνω πρόσωπα πρέπει να είναι σε θέση να αποδεικνύουν την τήρηση των βασικών αρχών επεξεργασίας δεδομένων, όπως αυτές προβλέπονται στο άρθρο 5 παρ. 1 ΓΚΠΔ, δηλαδή: α) την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, β) την αρχή του περιορισμού του σκοπού, γ) την αρχή της ελαχιστοποίησης των δεδομένων, δ) την αρχή της ακρίβειας των δεδομένων, ε) την αρχή του περιορισμού της περιόδου αποθήκευσης και στ) την αρχή της ακεραιότητας και της εμπιστευτικότητας των δεδομένων. Επιπροσθέτως, όταν μέρος της επεξεργασίας ανατίθεται σε εκτελούντα την επεξεργασία (άρθρο 4 παρ. 8 ΓΚΠΔ), όπως π.χ. σε εταιρεία που αναλαμβάνει την αποστολή των επιστολών ή των ηλεκτρονικών μηνυμάτων SMS ή email, ο εκτελών την επεξεργασία έχει επίσης τις προβλεπόμενες από τον ΓΚΠΔ υποχρεώσεις. Αναλυτικότερες πληροφορίες σχετικά με τη συμμόρφωση με το ΓΚΠΔ είναι διαθέσιμες στην ιστοσελίδα της Αρχής: https://www.dpa.gr/el/foreis/odigos_gkpd.

Διευκρινίζεται ότι το παρόν κείμενο Κατευθυντήριων Γραμμών δεν αφορά την επικοινωνία που πραγματοποιείται από άλλους κοινωνικούς ή επαγγελματικούς φορείς, όπως είναι τα επιμελητήρια, οι σύλλογοι επαγγελματιών και οι συνδικαλιστικές ενώσεις. 

    2. Γενικές αρχές

    2.1 Νομιμότητα

Προκειμένου να είναι σύννομη η επεξεργασία των δεδομένων των αποδεκτών πολιτικής επικοινωνίας, απαιτείται να στηρίζεται σε κάποια από τις καθοριζόμενες στο άρθρο 6 ΓΚΠΔ νομικές βάσεις. Ειδικότερα, ο προσδιορισμός της νομικής βάσης επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα πρέπει να λαµβάνει χώρα πριν από την έναρξη της επεξεργασίας, ο δε υπεύθυνος επεξεργασίας υποχρεούται µε βάση την αρχή της λογοδοσίας (βλ. άρ. 5 παρ. 2 σε συνδ. µε 24 και 32 ΓΚΠ∆) να επιλέξει την κατάλληλη νοµική βάση εκ των προβλεπόμενων από το άρθρο 6 παρ. 1 ΓΚΠ∆, καθώς και να είναι σε θέση να αποδείξει στο πλαίσιο της εσωτερικής συµµόρφωσης την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠ∆, περιλαµβανοµένης αυτονοήτως και της τεκµηρίωσης επί τη βάσει της οποίας κατέληξε στην οικεία νοµική βάση (βλ. Αποφάσεις ΑΠΔ 12/2022 Σκ. 6, ΑΠΔ 26/2019, σκ. 6-7).

Η επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία μπορεί να βασίζεται είτε στην προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων (άρθρο 6,παρ. 1, εδ.α’ ΓΚΠΔ) είτε σε υπέρτερο έννομο συμφέρον που εκάστοτε συντρέχει (άρθρο 6 παρ. 1, εδ. στ’ ΓΚΠΔ). Διευκρινίζεται συναφώς ότι, όταν τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί νομίμως αρχικώς για άλλο σκοπό και η περαιτέρω χρήση τους για τον σκοπό της πολιτικής επικοινωνίας δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, η επεξεργασία είναι νόμιμη αν ο υπεύθυνος επεξεργασίας τεκμηριώνει ότι η επεξεργασία για τον σκοπό της πολιτικής επικοινωνίας είναι συμβατή με τον σκοπό για τον οποίο συλλέχθηκαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα και ικανοποιούνται οι προϋποθέσεις του άρθρου 6 παρ. 4 ΓΚΠΔ. Ενδεικτικές περιπτώσεις για την εφαρμογή των ανωτέρω προϋποθέσεων νομιμότητας περιλαμβάνονται στο παρόν κείμενο στην παρ. 2.1.2.

 

2.1.1 Συγκατάθεση του υποκειμένου

Η πολιτική επικοινωνία μπορεί να στηρίζεται στη συγκατάθεση των υποκειμένων (άρθρο 6 παρ. 1 α’ ΓΚΠΔ).

Η συγκατάθεση πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το 10 αφορούν για τον συγκεκριμένο σκοπό, και απαιτείται να πληροί όλες τις προϋποθέσεις νομιμότητας του άρθρου 7 ΓΚΠΔ.

Η δήλωση της συγκατάθεσης μπορεί να παρέχεται ενδεικτικά ως εξής:

(α) Η έγγραφη δήλωση συγκατάθεσης μπορεί να γίνεται μέσω της συμπλήρωσης ειδικού εντύπου, π.χ. κατά τη διάρκεια εκδηλώσεων ή στο πλαίσιο λειτουργίας των πολιτικών γραφείων των υποψηφίων βουλευτών κατά την προεκλογική περίοδο: το υποκείμενο των δεδομένων συμπληρώνει το έντυπο και το παραδίδει επί τόπου ή αποστέλλει το σχετικό έντυπο μέσω ταχυδρομείου.

(β) Η ηλεκτρονική δήλωση της συγκατάθεσης μπορεί να πραγματοποιείται μέσω της εγγραφής των υποκειμένων των δεδομένων σε ιστοσελίδα που διατηρεί ο υπεύθυνος επεξεργασίας, με τη συμπλήρωση ειδικού ηλεκτρονικού εντύπου και αποστολή του μέσω ηλεκτρονικού ταχυδρομείου ή με άλλους παρόμοιους τρόπους. Η δήλωση της συγκατάθεσης με ηλεκτρονικά μέσα για τη λήψη ηλεκτρονικής επικοινωνίας μπορεί να παρέχεται σύμφωνα με τις προδιαγραφές της Οδηγίας 2/2011 της Αρχής2, ή με οποιοδήποτε άλλο νόμιμο τρόπο που διασφαλίζει ότι τα παρεχόμενα στοιχεία επικοινωνίας ανήκουν στο πρόσωπο που παρέχει τη συγκατάθεση.

 

2.1.2 Υπέρτερο έννομο συμφέρον, περαιτέρω χρήση

Περαιτέρω, η πολιτική επικοινωνία μπορεί να στηρίζεται στη νομική βάση του υπέρτερου εννόμου συμφέροντος του υπευθύνου επεξεργασίας (άρθρο 6, παρ. 1 στ’ ΓΚΠΔ), εφόσον αποδεικνύεται ότι η επεξεργασία είναι απαραίτητη για την ικανοποίηση του έννομου συμφέροντος του υπευθύνου επεξεργασίας για την προώθηση των πολιτικών του θέσεων, και έναντι του συμφέροντος αυτού δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες τους βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας (Βλ. Αιτ. Σκ. 47 ΓΚΠΔ). Επισημαίνεται ότι, σύμφωνα με τη διάταξη του άρθρου 9 παρ. 2 στοιχ. δ’ του ΓΚΠΔ επιτρέπεται η επεξεργασία που διενεργείται, με κατάλληλες εγγυήσεις στο πλαίσιο των νόμιμων δραστηριοτήτων των πολιτικών κομμάτων υπό την προϋπόθεση ότι αφορά τα μέλη  https://www.dpa.gr/sites/default/files/2020-01/2994_2_2011.PDF 11 τους ή πρώην μέλη τους ή πρόσωπα τα οποία έχουν τακτική επικοινωνία μαζί του σε σχέση με τους σκοπούς του και ότι τα προσωπικά δεδομένα δεν κοινοποιούνται εκτός του συγκεκριμένου φορέα χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων.

Η επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία επιτρέπεται επίσης βάσει του άρθρου 6παρ. 4 ΓΚΠΔ, εφόσον ο σκοπός της πολιτικής επικοινωνίας κριθεί ως συμβατός με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά από τον υπεύθυνο επεξεργασίας. Για να εξακριβωθεί εάν ο σκοπός της πολιτικής επικοινωνίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, εφόσον πληρούνται όλες οι απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει υπόψη, μεταξύ άλλων: • Τυχόν σχέση μεταξύ των αρχικών σκοπών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας·

• το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους·

• τη φύση των δεδομένων προσωπικού χαρακτήρα·

• τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων·

• και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας (Βλ. Αιτ. Σκ. 50 ΓΚΠΔ).

 

Υπενθυμίζεται ότι σε περίπτωση συλλογής δεδομένων προς χρήση για τον σκοπό της πολιτικής επικοινωνίας με νομική βάση το υπέρτερο έννομο συμφέρον (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), σύμφωνα με την αρχή της λογοδοσίας κατ’ άρθρο 5 παρ. 2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να τεκμηριώσει επαρκώς τη στάθμιση, την οποία οφείλει να έχει πραγματοποιήσει πριν την έναρξη της επεξεργασίας, και βάσει της οποίας αξιολόγησε ότι έναντι των συμφερόντων του δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων - αποδεκτών της πολιτικής επικοινωνίας.

Ομοίως, στην περίπτωση περαιτέρω χρήσης των δεδομένων για τον σκοπό της πολιτικής επικοινωνίας, ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να τεκμηριώσει τη συνδρομή των κριτηρίων της παραγράφου 4 του άρθρου 6 ΓΚΠΔ για τη συμβατότητα του σκοπού.

Ενδεικτικά παραδείγματα περιπτώσεων στις οποίες μπορεί, κατ’ εκτίμηση των συγκεκριμένων περιστάσεων, να τεκμηριωθεί η νομιμότητα της επεξεργασίας προσωπικών δεδομένων για τον σκοπό της πολιτικής επικοινωνίας:

• Εάν ο υποψήφιος έχει νομίμως συλλέξει στοιχεία επικοινωνίας στο πλαίσιο προηγούμενης συμμετοχής του υποκειμένου σε κάποια εκδήλωση ή δράση του υπευθύνου επεξεργασίας, ανεξαρτήτως του πολιτικού χαρακτήρα της

• Εάν ο υποψήφιος έχει αποκτήσει τα στοιχεία αυτά στο πλαίσιο προσωπικής επαγγελματικής του σχέσης με τους πολίτες (π.χ. χρήση του αρχείου πελατών από υποψήφιο βουλευτή - δικηγόρο)

• Εάν ο υποψήφιος αποτελεί μέλος κόμματος και έχει αποκτήσει νομίμως από το κόμμα του τα στοιχεία άλλων μελών ή «φίλων» του κόμματος. Προς τον σκοπό ενίσχυσης της διαφάνειας συνιστάται να περιλαμβάνεται σχετική πρόβλεψη στο Καταστατικό του κόμματος

• Εάν ο υποψήφιος ανήκει σε κάποιο σύλλογο ή σωματείο και έχει αποκτήσει νομίμως τα στοιχεία των μελών του. Προς τον σκοπό ενίσχυσης της διαφάνειας συνιστάται να περιλαμβάνεται σχετική πρόβλεψη στο Καταστατικό του συλλόγου ή σωματείου.

• Η σχέση φίλου ή ακολούθου στο προφίλ υποψηφίου σε μέσα κοινωνικής δικτύωσης, ενδέχεται να δικαιολογεί την αποστολή προσωπικών μηνυμάτων πολιτικού περιεχομένου δια του ιδίου μέσου κοινωνικής δικτύωσης

 

Αντίθετα ενδεικτικά παραδείγματα περιπτώσεων στις οποίες δεν επιτρέπεται να χρησιμοποιηθούν τα προσωπικά δεδομένα για τον σκοπό της πολιτικής επικοινωνίας:

• Εάν ο υποψήφιος έχει συλλέξει διευθύνσεις ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικούς αριθμούς από το διαδίκτυο με χρήση ανιχνευτή ιστού (web crawler)

• Εάν ο υποψήφιος έχει αγοράσει από τρίτη εταιρεία λίστα με στοιχεία επικοινωνίας πολιτών, ακόμα και αν υφίσταται συγκατάθεση για τη χρήση τους με σκοπό την εμπορική προώθηση προϊόντων/υπηρεσιών

• Εάν ο υποψήφιος έχει συλλέξει στοιχεία επικοινωνίας επαγγελματιών από καταλόγους ή δημόσια μητρώα που είναι αναρτημένα στο διαδίκτυο για σκοπούς διαφάνειας ή επαγγελματικής επικοινωνίας

• Εάν ο υποψήφιος που κατείχε δημόσια θέση έχει συλλέξει δεδομένα πολιτών τα οποία αυτοί παρείχαν στο πλαίσιο των συναλλαγών τους με την υπηρεσία του.

 

2.2 Διαφάνεια

Σύμφωνα με την αρχή της διαφάνειας, τα δεδομένα προσωπικού χαρακτήρα «α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα, διαφάνεια») (…)» (άρθρο 5 παρ. 1 α) ΓΚΠΔ). Τα άρθρα 13 και 14 ΓΚΠΔ ορίζουν συγκεκριμένα τις πληροφορίες που πρέπει να παρέχονται στο υποκείμενο των δεδομένων από τον υπεύθυνο επεξεργασίας, τόσο στην περίπτωση που τα δεδομένα συλλέγονται από το υποκείμενο (άρθρο 13) όσο και στην περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο (άρθρο 14), ενώ η ενημέρωση πρέπει να είναι συνοπτική, διαφανής, κατανοητή, εύκολα προσβάσιμη και διατυπωμένη σε απλή και σαφή γλώσσα (άρθρο 12 παρ. 1 ΓΚΠΔ).

Σύμφωνα με τις Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του άρθρου 29 σχετικά με τη διαφάνεια βάσει του κανονισμού 2016/679 (WP260 rev.01), «Η απαίτηση ότι η παροχή πληροφοριών στα υποκείμενα των δεδομένων και η επικοινωνία με αυτά γίνονται με «συνοπτικό και διαφανή» τρόπο σημαίνει ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να παρουσιάζουν τις πληροφορίες/να επικοινωνούν αποτελεσματικά και συνοπτικά ώστε να αποφεύγεται η δημιουργία κούρασης λόγω της παροχής πληροφοριών. Αυτές οι πληροφορίες θα πρέπει να διαφοροποιούνται με σαφήνεια από άλλες σχετικές πληροφορίες που δεν αφορούν την προστασία της ιδιωτικής ζωής, όπως συμβατικές διατάξεις ή γενικοί όροι χρήσης. 14 […] 11. Ο χαρακτηρισμός «εύκολα προσβάσιμες» σημαίνει ότι το υποκείμενο των δεδομένων δεν θα πρέπει να αναζητάει τις πληροφορίες· Θα πρέπει να καθίσταται αμέσως εμφανές στο υποκείμενο των δεδομένων πού και πώς είναι δυνατή η πρόσβαση σε αυτές τις πληροφορίες, για παράδειγμα μέσω της παροχής τους απευθείας σε αυτό, μέσω της σύνδεσής τους με αυτό, μέσω της σαφούς ένδειξής τους ή ως απάντηση σε ερώτηση με φυσική γλώσσα (για παράδειγμα σε μια δήλωση πολλαπλών επιπέδων σχετικά με την προστασία της ιδιωτικής ζωής, σε συχνές ερωτήσεις, μέσω αναδυόμενων παραθύρων περιβάλλοντος τα οποία ενεργοποιούνται όταν ένα υποκείμενο των δεδομένων συμπληρώνει ένα ηλεκτρονικό έντυπο ή σε διαδραστικό ψηφιακό περιβάλλον μέσω διεπαφής με ρομπότ συνομιλίας κ.λπ.). Αυτοί οι μηχανισμοί εξετάζονται περαιτέρω κατωτέρω, μεταξύ άλλων στις παραγράφους 33 έως 40» (§ 9 και 11, WP260 rev.01).

Όταν ο υπεύθυνος επεξεργασίας προτίθεται να επεξεργαστεί τα δεδομένα προσωπικού χαρακτήρα για σκοπό άλλο από εκείνον για τον οποίο συλλέχθηκαν, θα πρέπει να παρέχει στο υποκείμενο των δεδομένων, πριν από την περαιτέρω επεξεργασία, πληροφορίες για τον σκοπό αυτόν και άλλες αναγκαίες πληροφορίες (άρθρο 13 παρ. 3 ΓΚΠΔ).

Ο κατάλληλος τρόπος παροχής της ενημέρωσης μπορεί να ποικίλλει, ανάλογα με το χρησιμοποιούμενο μέσο επικοινωνίας.

 

2.3 Άσκηση δικαιωμάτων των υποκειμένων

Σε κάθε περίπτωση, ο υπεύθυνος επεξεργασίας οφείλει να διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων (άρθρο 12 παρ. 2 ΓΚΠΔ), που προβλέπονται στα άρθρα 15, 16, 17 και 21 του ΓΚΠΔ και τα οποία έχουν εφαρμογή στην επεξεργασία για τον σκοπό της πολιτικής επικοινωνίας, συγκεκριμένα των δικαιωμάτων πρόσβασης, διόρθωσης, διαγραφής, περιορισμού και εναντίωσης στην επεξεργασία, υπό τις εκεί αναφερόμενες προϋποθέσεις. Προς τον σκοπό αυτό οφείλει να λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα όπως είναι, για παράδειγμα, η θέση σε εφαρμογή κατάλληλων πολιτικών και διαδικασιών (βλ. άρθρο 24 παρ. 2 ΓΚΠΔ). 15

 

3. Ειδικά θέματα ανά μέσο επικοινωνίας

    3.1 Πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων και μέσω ηλεκτρονικών μέσων

Η επικοινωνία μέσω ηλεκτρονικών μέσων περιλαμβάνει: α) Σύντομα γραπτά μηνύματα (SMS) και μηνύματα πολυμέσων (MMS) (β) Μηνύματα ηλεκτρονικού ταχυδρομείου (e-mail) (γ) Ηλεκτρονικά μηνύματα που αποστέλλονται μέσω εφαρμογών ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών» π.χ Viber, Whatsapp, Skype, Facebook Messenger, FaceΤime, κτλ (δ) Επικοινωνία μέσω τηλεομοιοτυπίας (φαξ) (ε) Αυτόματες τηλεφωνικές κλήσεις, κατά τις οποίες με την αποδοχή της κλήσης ακούγεται μαγνητοφωνημένο μήνυμα (στ) Φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή μέσω υπηρεσιών «της κοινωνίας των πληροφοριών» π.χ Viber, Whatsapp, Skype, FaceΤime, κτλ.

Σε κάθε περίπτωση τηλεφωνικής ή ηλεκτρονικής επικοινωνίας θα πρέπει κατά την αρχική επικοινωνία και κατόπιν πλήρους ενημέρωσης, να παρέχεται στον αποδέκτη της επικοινωνίας η δυνατότητα να ασκήσει εύκολα το δικαίωμα εναντίωσης (άρθρο 21 παρ. 1 ΓΚΠΔ) στη λήψη περαιτέρω επικοινωνιών.

Ειδικότερα, κατά την πραγματοποίηση μιας τηλεφωνικής κλήσης για τον σκοπό της πολιτικής επικοινωνίας ο καλών οφείλει:

• να ενημερώνει για την ταυτότητα του υπευθύνου επεξεργασίας και την ταυτότητα του εκτελούντα την επεξεργασία, όταν η κλήση πραγματοποιείται από εκτελούντα,

• να μην αποκρύπτει ή παραποιεί τον αριθμό καλούντος

• να ενημερώνει τον καλούμενο ιδίως για την πηγή των δεδομένων του, εάν αυτή δεν είναι το ίδιο το υποκείμενο (άρθρο 14 παρ. 2 στ) και

• να παρέχει την ίδια στιγμή τη δυνατότητα στο υποκείμενο να εναντιωθεί στην επεξεργασία, παραπέμποντάς το σε αναλυτικό κείμενο ενημέρωσης σύμφωνα με τα άρθρα 13 ή 14 ΓΚΠΔ.

 

Αντίστοιχα, σε κάθε ηλεκτρονική επικοινωνία προς τον σκοπό της πολιτικής επικοινωνίας απαιτείται:

• να αναφέρεται ευδιάκριτα και σαφώς η ταυτότητα του αποστολέα ή του προσώπου προς όφελος του οποίου αποστέλλεται το μήνυμα,

• να διευκρινίζεται η πηγή από την οποία έχουν συλλεγεί τα στοιχεία επικοινωνίας του υποκειμένου, εφόσον αυτή δεν είναι το ίδιο το υποκείμενο (άρθρο 14 παρ. 2 στ),

• να γίνεται παραπομπή σε πλήρες κείμενο ενημέρωσης σύμφωνα με τα άρθρα 13 ή 14 ΓΚΠΔ και

• να αναφέρεται ο τρόπος με τον οποίο ο αποδέκτης του μηνύματος μπορεί να ασκεί τα δικαιώματά του, μεταξύ των οποίων και να ζητεί τον τερματισμό της επικοινωνίας (δικαίωμα εναντίωσης).

Σε περίπτωση άσκησης του δικαιώματος εναντίωσης, ο υπεύθυνος επεξεργασίας κατ’ αρχήν οφείλει να μην υποβάλλει πλέον τα δεδομένα του υποκειμένου σε επεξεργασία για τον σκοπό της πολιτικής επικοινωνίας (άρθρο 21 παρ. 1 εδ. β’ ΓΚΠΔ).

 

3.2 Πολιτική Επικοινωνία μέσω παραδοσιακού ταχυδρομείου

Τα στοιχεία ταχυδρομικής διεύθυνσης πολιτών για την αποστολή υλικού πολιτικής επικοινωνίας μέσω παραδοσιακού ταχυδρομείου δύνανται να έχουν ληφθεί και από τους εκλογικούς καταλόγους. Οι εκλογικοί κατάλογοι αποτελούν νόμιμη πηγή σύμφωνα με το άρθρο 5 παρ. 5 και 6 ν. 2623/1998 και το άρθρο 23 του κωδικοποιητικού π.δ. 96/2007 υπό τις εξής κατά νόμο προϋποθέσεις: Τα κόμματα λαμβάνουν πλήρη σειρά των εκλογικών καταλόγων, οι βουλευτές, ευρωβουλευτές, κάτοχοι αιρετών θέσεων στην τοπική αυτοδιοίκηση και οι υποψήφιοι λαμβάνουν απόσπασμα για την εκλογική περιφέρεια, στην οποία έχουν εκλεγεί ή είναι υποψήφιοι. Οι κατάλογοι χορηγούνται αποκλειστικώς για εκλογική χρήση ενώ η παραχώρηση και η χρήση τους για άλλο σκοπό ή από οποιονδήποτε τρίτο απαγορεύεται. Κατά συνέπεια, α) απαγορεύεται η διαβίβαση των εκλογικών καταλόγων ή των αποσπασμάτων τους σε τρίτα πρόσωπα και β) επιβάλλεται η 17 καταστροφή τους σε εύλογο χρονικό διάστημα, το οποίο να μην υπερβαίνει τους τρεις μήνες μετά τη λήξη της προεκλογικής περιόδου.

Με σκοπό την αποτελεσματικότερη τήρηση της αρχής της διαφάνειας, όλες οι απαιτούμενες σύμφωνα με τα άρθρα 13 και 14 ΓΚΠΔ πληροφορίες προς το υποκείμενο θα πρέπει να περιλαμβάνονται είτε σε χωριστό έντυπο εντός του φακέλου είτε σε αναρτημένο κείμενο στην ιστοσελίδα του υπευθύνου επεξεργασίας, στο οποίο θα παραπέμπεται ο παραλήπτης, σε κατάλληλη μορφή3.