Αθήνα, 31-03-2023
Αριθ. Πρωτ.: 791
ΑΠΟΦΑΣΗ 9/2023
Η Αρχή Προστασίας Δεδομένων
Προσωπικού Χαρακτήρα, συνήλθε, μετά από πρόσκληση του Προέδρου της, σε τακτική
συνεδρίαση στην έδρα της στις 09-02-2023, στις 16-02-2023 και στις 24-02-2023
προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας.
Παρέστησαν οι Κωνσταντίνος Μενουδάκος, Πρόεδρος της Αρχής, τα τακτικά μέλη
Χρήστος Καλλονιάτης, Κωνσταντίνος Λαμπρινουδάκης και ως Εισηγητές τα τακτικά
μέλη Χαράλαμπος Ανθόπουλος, Σπυρίδων Βλαχόπουλος, Αικατερίνη Ηλιάδου και
Γρηγόριος Τσόλιας. Επίσης παρευρέθηκαν στη συνεδρίαση ύστερα από κλήση του
Προέδρου, χωρίς δικαίωμα ψήφου, τα αναπληρωματικά μέλη Δημοσθένης Βουγιούκας,
Γεώργιος Κόντης, Νικόλαος Λίβος, Χρήστος Παπαθεοδώρου, Νικόλαος Φαλδαμής και
Μαρία Ψάλλα. Στη συνεδρίαση, χωρίς δικαίωμα ψήφου, παρέστησαν, με εντολή του
Προέδρου, οι ελέγκτριες Γεωργία Παναγοπούλου, Ειδική Επιστήμονας Πληροφορικής,
Χάρις Συμεωνίδου και Κυριακή Καρακάση, Ειδικές Επιστήμονες Νομικής, ως βοηθοί
εισηγητών, και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του Τμήματος Διοικητικών
Υποθέσεων, ως γραμματέας.
H Αρχή έχοντας υπόψη:
1) Τις διατάξεις του Κανονισμού
(ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου
2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των
δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων
αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την
Προστασία Δεδομένων - ΓΚΠΔ) και του ν. 4624/2019 (ΦΕΚ Α΄ 137/29.08.2019) «Αρχή
Προστασίας Δεδομένων Προσωπικού 2 Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού
(ΕΕ) 2016/679 του του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης
Απριλίου 2016 και άλλες διατάξεις».
2) Το άρθρο 4 παρ. 1 του
Κανονισμού Λειτουργίας της Αρχής (Απόφαση 9/2022, ΦΕΚ 879/Β/25-2-2022, όπως
τροποποιήθηκε με την Απόφαση 13/2022, ΦΕΚ 1245/Β/17- 03-2022 και ισχύει).
3) Τις Κατευθυντήριες Γραμμές
1/2019 της Αρχής σχετικά με την Επεξεργασία προσωπικών δεδομένων με σκοπό την
επικοινωνία πολιτικού χαρακτήρα.
4) Τις υπ’ αρ. 1343-5/2022
αποφάσεις του Δ’ Τμήματος του Συμβουλίου της Επικρατείας, με τις οποίες έγιναν
δεκτά τα εξής: «[…] Για τον περιορισμό της, αναγκαίας για τη λειτουργία του
δημοκρατικού πολιτεύματος, επικοινωνίας του υποψηφίου βουλευτή κατά τη διάρκεια
της προεκλογικής περιόδου με τους εκλογείς της περιφέρειας στην οποία θέτει
υποψηφιότητα, απαιτείται ειδική ρύθμιση. Τέτοια ειδική ρύθμιση δεν μπορεί να
θεωρηθεί το άρθρο 11 παρ. 1 του ν. 3471/2006, το οποίο εφαρμόσθηκε αποκλειστικά
από την προσβαλλόμενη απόφαση της Αρχής και το οποίο ρυθμίζει τις μη ζητηθείσες
επικοινωνίες για σκοπούς απευθείας εμπορικής προώθησης προϊόντων ή υπηρεσιών
και για κάθε είδους διαφημιστικούς σκοπούς, μεταφέροντας την αντίστοιχη διάταξη
του άρθρου 13 της οδηγίας 2002/58, περί αυτόκλητων κλήσεων για σκοπούς
απευθείας εμπορικής προώθησης, καθώς στην περιγραφείσα στις ως άνω διατάξεις
επικοινωνία δεν εμπίπτει πάντως η επικοινωνία του υποψήφιου βουλευτή κατά την
προεκλογική περίοδο. Και τούτο ενόψει της ιδιαίτερης σημασίας που αποδίδεται
από τις αναφερόμενες στην τέταρτη σκέψη συνταγματικές διατάξεις στην
επικοινωνία αυτή. Η ερμηνεία αυτή δεν θίγει την προστασία των προσωπικών
δεδομένων των εμπλεκόμενων φυσικών προσώπων, […], δεδομένου ότι εξακολουθούν να
τυγχάνουν εφαρμογής οι γενικές διατάξεις του ΓΚΠΔ, βάσει των οποίων δύναται να
κριθεί η νομιμότητα κάθε επεξεργασίας».
Η Αρχή, αφού άκουσε τους
εισηγητές και τις βοηθούς εισηγητών, μετά από διεξοδική συζήτηση
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ
ΤΟ ΝΟΜΟ
1. Επειδή, από τις διατάξεις των
άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (Κανονισμού
2016/679) - εφεξής ΓΚΠΔ - και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137)
προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων
του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του
ατόμου από την επεξεργασία προσωπικών δεδομένων. Ειδικότερα, από τις διατάξεις
των άρθρων 57 παρ.1 στοιχ. α΄, β΄ και δ΄ του ΓΚΠΔ και 13 παρ. 1 στοιχ. α΄ και
β΄ του νόμου 4624/2019 προκύπτει ότι η Αρχή έχει αυτεπάγγελτη αρμοδιότητα να
παρακολουθεί και να επιβάλλει την εφαρμογή των διατάξεων του ΓΚΠΔ και του νόμου
4624/2019 και να προωθεί την ευαισθητοποίηση του κοινού και των υπευθύνων
επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με την κατανόηση των
κινδύνων, των κανόνων, των εγγυήσεων και των δικαιωμάτων και σχετικά με τις
υποχρεώσεις τους δυνάμει του ΓΚΠΔ κατά την επεξεργασία δεδομένων προσωπικού
χαρακτήρα.
2. Σε συνέχεια των ανωτέρω
αναφερόμενων αποφάσεων υπ’ αρ. 1343-5/2022 του Συμβουλίου της Επικρατείας
υπάρχει ανάγκη αναθεώρησης των Κατευθυντήρων Γραμμών της Αρχής για την πολιτική
επικοινωνία των υποψηφίων με τους εκλογείς κατά την προεκλογική περίοδο ώστε να
καθοριστεί το πλαίσιο της νόμιμης επεξεργασίας προσωπικών δεδομένων για το
σκοπό αυτό με βάση τις διατάξεις του ΓΚΠΔ.
3. Επειδή, το άρθρο 2 παρ. 1 του
ΓΚΠΔ προβλέπει: «Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει,
αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη
αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή
πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης». Αντίστοιχα, το άρθρο 2 του
νόμου 4624/2019 ορίζει: «Οι διατάξεις του παρόντος εφαρμόζονται στην, εν όλω ή
εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων Προσωπικού Χαρακτήρα, καθώς
και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία
περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης από: α)
δημόσιους φορείς ή β) ιδιωτικούς φορείς, εκτός και εάν η επεξεργασία
πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή
οικιακής δραστηριότητας». Η πολιτική επικοινωνία, ως αυτοματοποιημένη επεξεργασία
προσωπικών δεδομένων, εμπίπτει κατεξοχήν στο πεδίο εφαρμογής του ΓΚΠΔ και του
ν. 4624/2019.
4. Επειδή, το άρθρο 5 του ΓΚΠΔ
καθορίζει τις αρχές επεξεργασίας που διέπουν την επεξεργασία δεδομένων
προσωπικού χαρακτήρα. Συγκεκριμένα, ορίζεται στην παράγραφο 1 ότι τα δεδομένα
προσωπικού χαρακτήρα, μεταξύ άλλων: «α) υποβάλλονται σε σύννομη και θεμιτή
επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων
(«νομιμότητα, αντικειμενικότητα, διαφάνεια»), β) συλλέγονται για καθορισμένους,
ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά
τρόπο ασύμβατο προς τους σκοπούς αυτούς (…)».
5. Επειδή, σύμφωνα με τα
οριζόμενα στη διάταξη του άρθρου 5 παρ. 2 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας
φέρει την ευθύνη και πρέπει να είναι σε θέση να αποδείξει τη συμμόρφωσή του με
τις αρχές της επεξεργασίας που καθιερώνονται στην παράγραφο 1 του άρθρου 5.
Όπως έχει κρίνει η Αρχή1, με τον ΓΚΠΔ υιοθετήθηκε ένα νέο μοντέλο συμμόρφωσης,
κεντρικό στοιχείο του οποίου συνιστά η αρχή της λογοδοσίας στο πλαίσιο της
οποίας ο υπεύθυνος επεξεργασίας υποχρεούται να σχεδιάζει, εφαρμόζει και εν
γένει λαμβάνει τα αναγκαία μέτρα και πολιτικές, προκειμένου η επεξεργασία των
δεδομένων να είναι σύμφωνη με τις σχετικές νομοθετικές προβλέψεις. Η σημασία
της εσωτερικής συμμόρφωσης του υπευθύνου επεξεργασίας στις απαιτήσεις του ΓΚΠΔ
αναδεικνύεται από τις διατάξεις του άρθρου 24 παρ. 1 και 2 ΓΚΠΔ σύμφωνα με τις
οποίες απαιτείται η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, στο
πλαίσιο των οποίων περιλαμβάνεται η κατάρτιση και εφαρμογή των κατάλληλων
πολιτικών και διαδικασιών.
6. Επιπλέον δε, ο υπεύθυνος
επεξεργασίας βαρύνεται με το περαιτέρω καθήκον να αποδεικνύει αυτός και ανά
πάσα στιγμή τη συμμόρφωσή του με τις αρχές του άρθρου 5 παρ. 1 ΓΚΠΔ. Η
συμμόρφωση προς τις απαιτήσεις του ΓΚΠΔ και της εθνικής νομοθεσίας είναι μια
διαρκής διαδικασία η οποία αρχίζει ήδη προ της συλλογής και επεξεργασίας των
δεδομένων με τον σχεδιασμό των οικείων διαδικασιών και τελειώνει μόνο με την
οριστική διαγραφή των δεδομένων. 1 Βλ. απόφαση Αρχής 26/2019, σκέψη 8, διαθέσιμη
στην ιστοσελίδα της.
7. Επειδή, σύμφωνα με τη διάταξη
του άρθρου 6 παρ. 1 ΓΚΠΔ «η επεξεργασία είναι σύννομη μόνο εάν και εφόσον
ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των
δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα
του για έναν ή περισσότερους συγκεκριμένους σκοπούς, […] στ) η επεξεργασία
είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο
υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών
υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου
των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα,
ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί». Περαιτέρω, σύμφωνα με τη
διάταξη της παρ. 4 του ιδίου άρθρου, «Όταν η επεξεργασία για σκοπό άλλο από
αυτόν για τον οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα δεν
βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων ή στο δίκαιο της Ένωσης
ή το δίκαιο κράτους μέλους το οποίο αποτελεί αναγκαίο και αναλογικό μέτρο σε
μια δημοκρατική κοινωνία για τη διασφάλιση των σκοπών που αναφέρονται στο άρθρο
23 παράγραφος 1, ο υπεύθυνος επεξεργασίας, προκειμένου να εξακριβωθεί κατά πόσο
η επεξεργασία για άλλο σκοπό είναι συμβατή με τον σκοπό για τον οποίο
συλλέγονται αρχικώς τα δεδομένα προσωπικού χαρακτήρα, λαμβάνει υπόψη, μεταξύ
άλλων: α) τυχόν σχέση μεταξύ των σκοπών για τους οποίους έχουν συλλεχθεί τα
δεδομένα προσωπικού χαρακτήρα και των σκοπών της επιδιωκόμενης περαιτέρω
επεξεργασίας, β) το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα προσωπικού
χαρακτήρα, ιδίως όσον αφορά τη σχέση μεταξύ των υποκειμένων των δεδομένων και
του υπευθύνου επεξεργασίας, γ) τη φύση των δεδομένων προσωπικού χαρακτήρα,
ιδίως για τις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που
υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 9, ή κατά πόσο δεδομένα
προσωπικού χαρακτήρα που σχετίζονται με ποινικές καταδίκες και αδικήματα
υποβάλλονται σε επεξεργασία, σύμφωνα με το άρθρο 10, δ) τις πιθανές συνέπειες
της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων, ε)
την ύπαρξη κατάλληλων εγγυήσεων, που μπορεί να περιλαμβάνουν κρυπτογράφηση ή
ψευδωνυμοποίηση».
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή, αποφασίζει ομόφωνα να
εκδώσει τις ακόλουθες Κατευθυντήριες Γραμμές, όπως παρατίθενται στο Παράρτημα
της παρούσας απόφασης.
Ο Πρόεδρος Η
Γραμματέας
Κωνσταντίνος Μενουδάκος Ειρήνη
Παπαγεωργοπούλου
