Σκάνδαλο με emails ομογενών: Πρόστιμο 40.000 σε Ασημακοπούλου και 400.000 στο Υπ. Εσωτερικών

Τα πρόστιμα στην Άννα Μισέλ Ασημακοπούλου και το υπ. Εσωτερικών επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) επέβαλε πρόστιμο 40.000 ευρώ στην Ευρωβουλευτή Άννα Μισέλ Ασημακοπούλου για την παράνομη χρήση προσωπικών δεδομένων ομογενών (emails), ενώ παράλληλα επέβαλε πρόστιμο ύψους 400.000 ευρώ και στο Υπουργείο Εσωτερικών.

Στην Αρχή Προστασίας Δεδομένων είχαν γίνει πολλές καταγγελίες, ενώ σε βάρος του Ελληνικού Δημοσίου έχουν κατατεθεί πάνω από 200 αγωγές για μειωμένα μέτρα ασφαλείας και σε βάρος της Άννας Μισέλ Ασημακοπούλου συνολικά 75.

Η επιβολή του προστίμου έγινε για παραβίαση των άρθρων 5, 6 και 14 του ΓΚΠΔ. Η Αρχή Προστασίας Δεδομένων διαπίστωσε ότι η συλλογή προσωπικών δεδομένων αποδήμων ψηφοφόρων, συμπεριλαμβανομένων των στοιχείων ηλεκτρονικής επικοινωνίας και η χρήση τους για την αποστολή μηνύματος πολιτικής επικοινωνίας έγινε κατά παράβαση της βασικής αρχής της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, καθώς και κατά παράβαση μιας σειράς διατάξεων της εκλογικής νομοθεσίας και επιπλέον δεν θα μπορούσε να είναι ευλόγως αναμενόμενη για τα υποκείμενα των δεδομένων (εκλογείς εξωτερικού).

Η Αρχή επέβαλε στο υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, διοικητικό χρηματικό πρόστιμο συνολικού ύψους 400.000 ευρώ για παραβάσεις των άρθρων 5, 25, 30, 32 και 33 του ΓΚΠΔ και έδωσε εντολή να προβεί σε ενέργειες που αφορούν τη συμμόρφωση των τηρούμενων μέτρων και διαδικασιών με τον ΓΚΠΔ, σε συγκεκριμένο χρονοδιάγραμμα.

Ως προς τη Νέα Δημοκρατία και τον τον πρώην γραμματέα Αποδήμων της ΝΔ Νίκο Θεοδωρόπουλο, η Αρχή ανέβαλε την έκδοση απόφασης, δεδομένου ότι ο τελευταίος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωσή του ως προς τον τρόπο περιέλευσης σε αυτόν των εκλογικών καταλόγων, ως νεότερο κρίσιμο στοιχείο, από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών.

Στο διατακτικό της απόφασης αναφέρεται μεταξύ άλλων:

Α. Για τις παραβάσεις των άρθρων 5 παρ. 1 α’ σε συνδυασμό με άρθρο 6 παρ. 1 και άρθρο 14 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β1 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ ΓΚΠΔ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους σαράντα χιλιάδων (40.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 εδ. ζ’ του ΓΚΠΔ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας, να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού.

Β. Για τις παραβάσεις των άρθρων 5 παρ. 1 εδ. στ και 32 του ΓΚΠΔ, του άρθρου 25, παρ. 1, του άρθρου 33 παρ. 3,4,5 του ΓΚΠΔ, καθώς και του άρθρου 30 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β4 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ ΄ ΓΚΠΔ στο Υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους τετρακοσίων χιλιάδων (400.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. δ΄ ΓΚΠΔ, στο Υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, όπως προβεί στις ακόλουθες ενέργειες:

Με αφορμή το περιστατικό αυτό, θα πρέπει το Υπουργείο να καταγράψει σε εγκεκριμένες πολιτικές, να ελέγξει και να αναθεωρήσει τις διαδικασίες και τα μέτρα που εφαρμόζει σχετικά με την προστασία προσωπικών δεδομένων κατά την επεξεργασία προσωπικών δεδομένων των εκλογέων, συμπεριλαμβανομένων όσων στοιχείων τηρούνται στο σύστημα ΟΣΥΕΔ αλλά και σε όποιο άλλο σχετιζόμενο σύστημα.

Με τις παραπάνω ενέργειες πρέπει να διασφαλίζονται οι αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ και ιδίως η εμπιστευτικότητα σε όλη τη διαδικασία εκλογών και να προβλεφθεί διαδικασία περιοδικής αξιολόγησης των μέτρων.

Το Υπουργείο πρέπει εντός τριών μηνών από την κοινοποίηση της παρούσας, να συντάξει σχετικό χρονοδιάγραμμα, στο οποίο θα προσδιορίζονται οι διαδικασίες για την κατάρτιση, την υλοποίηση, την επίβλεψη και την επικαιροποίηση των ανωτέρω και ο χρόνος εκτέλεσής τους, να γνωστοποιήσει αμελλητί στην Αρχή το χρονοδιάγραμμα, και να την ενημερώνει ανά τρίμηνο για την εφαρμογή του.

Ως ειδικότερα μέτρα για την αποφυγή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων θα πρέπει να προβλεφθούν και εφαρμοστούν αμελλητί τα εξής:

1. Συστηματική ανάλυση του θεσμικού πλαισίου της διενέργειας των εκλογών, προσδιορισμός των διαδικασιών που προϋποθέτουν επεξεργασία προσωπικών δεδομένων, καταγραφή για κάθε διαδικασία των ροών των προσωπικών δεδομένων και των αποδεκτών κάθε είδους δεδομένων. Στο πλαίσιο της ανάλυσης, θα πρέπει να ελαχιστοποιηθεί η δυνατότητα εκτέλεσης ενεργειών σε σύνολα δεδομένων από φυσικά πρόσωπα (π.χ. υπαλλήλους) ώστε να παραμείνουν οι απόλυτα αναγκαίες. Διαδικασίες οι οποίες είναι επαναλαμβανόμενες πρέπει να εκτελούνται με την ελάχιστη ανθρώπινη παρέμβαση και χωρίς εξαγωγή δεδομένων.

Ειδικότερα προτείνονται:

  • Όλες οι λειτουργίες που απαιτούν μαζική επεξεργασία προσωπικών δεδομένων εκλογέων, και ειδικά δεδομένων επικοινωνίας, να ενσωματωθούν στις εφαρμογές, ώστε οι σύμφωνες με το νόμο επεξεργασίες να πραγματοποιούνται μέσα από το περιβάλλον της εφαρμογής (π.χ αποστολή ενημερωτικών μηνυμάτων στους εκλογείς), με πλήρη καταγραφή ενεργειών.
  • Να εξετασθεί η δυνατότητα χρήσης λογισμικού DLP, ειδικά για τις μονάδες του Υπουργείου που εμπλέκονται σε εξαγωγές αρχείων.
  • Απαγόρευση διακίνησης μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ή άλλου τρόπου εσωτερικής επικοινωνίας αρχείων που περιέχουν προσωπικά δεδομένα εκλογέων. Κατ’ εξαίρεση, εφόσον είναι πραγματικά αναγκαίο, τέτοια διακίνηση μπορεί να γίνει μόνο σε κρυπτογραφημένη μορφή. Στο κάθε μήνυμα θα πρέπει να αναγράφεται ο σκοπός επεξεργασίας και ο σκοπός διακίνησης καθώς και να προκύπτει ο χρόνος τήρησης του αρχείου. Ο κωδικός να γνωστοποιείται με διαφορετικό μέσο. Η διακίνηση αυτή πρέπει να έχει εγκριθεί από αρμόδιο υψηλόβαθμο υπηρεσιακό στέλεχος και η σχετική έγκριση να τηρείται σε αρχείο (audit trail) για επαρκές χρονικό διάστημα.
  • Αναθεώρηση της διαδικασίας καταγραφής ενεργειών τύπου ερωτημάτων (SELECT) σε πίνακες της βάσης δεδομένων του ΟΣΥΕΔ ή σε άλλα συστήματα που επεξεργάζονται προσωπικά δεδομένα και λήψη μέτρων για τον αυτοματοποιημένο, προληπτικό, έλεγχο των αρχείων καταγραφής

2. Πολιτική και Σχέδιο ασφάλειας – λοιπά οργανωτικά μέτρα

Με δεδομένο ότι στην Αρχή δεν κατατέθηκε εγκεκριμένη πολιτική ασφάλειας (ή επιμέρους σχέδια ασφάλειας), το Υπουργείο οφείλει να επικαιροποιήσει την Πολιτική Ασφάλειας που εφαρμόζει και τα συνοδευτικά αυτής επιμέρους σχέδια ασφάλειας τα οποία αφορούν επεξεργασία προσωπικών δεδομένων εκλογέων ώστε:

  • Να περιλαμβάνονται τα συστήματα διαχείρισης των δεδομένων των εκλογέων και να αποφασιστεί ποιοι από τους προτεινόμενους κανόνες θα υλοποιηθούν (ή να καταγραφεί ποιοι έχουν υλοποιηθεί).
  • Να περιλαμβάνονται κατάλληλες προβλέψεις για ενημέρωση των συμβάσεων με εκτελούντες την επεξεργασία για τις αλλαγές που θα προκύψουν.
  • Τεκμηρίωση, αναθεώρηση και επικαιροποίηση της διαδικασίας χειρισμού περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα, με έμφαση στο περιεχόμενο της γνωστοποίησης στην Αρχή, της ενημέρωσης των υποκειμένων, και των κατάλληλων διαδικασιών και οργάνων για την εσωτερική διερεύνηση.
  • Έλεγχος από ανεξάρτητο οργανισμό ή φορέα, σε τακτική βάση τουλάχιστον ετησίως, της ασφάλειας των συστημάτων και διαδικασιών, συμπεριλαμβανομένης της αποτίμησης των εφαρμοζόμενων μέτρων ασφάλειας.
  • Ο περιοδικός έλεγχος από το Υπουργείο, τουλάχιστον ετησίως, των τυχόν εκτελούντων την επεξεργασία ως προς τη λήψη των κατάλληλων μέτρων ασφάλειας.

3. Μέτρα ενημέρωσης και ευαισθητοποίησης του προσωπικού

Να σχεδιαστεί πρόγραμμα δράσεων ευαισθητοποίησης και εκπαίδευσης τόσο της ηγεσίας όσο και στελεχών κάθε επιπέδου και υπαλλήλων του Υπουργείου για ζητήματα προστασίας προσωπικών δεδομένων, και ειδικά για τις υποχρεώσεις του υπευθύνου επεξεργασίας, τον τρόπο συνεργασίας με την Αρχή και το ρόλο του ΥΠΔ. Οι δράσεις του προγράμματος θα πρέπει να προβλέπουν δραστηριότητες που κρατούν σε εγρήγορση το προσωπικό του Υπουργείου.

Γ. Αναβάλλει την έκδοση απόφασης ως προς τη Νέα Δημοκρατία και τον Νίκο Θεοδωρόπουλο, κατά τα ανωτέρω αναφερόμενα.

ΥΠΕΣ: Θα αποφασίσουμε τις επόμενες νομικές ενέργειες

Με αφορμή τη δημοσιοποίηση του πορίσματος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, από το Γραφείο Τύπου του Υπουργείου Εσωτερικών επισημαίνονται τα εξής:

Η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επιβεβαιώνει ότι η αποστολή προεκλογικού υλικού σε ηλεκτρονικές διευθύνσεις Ελλήνων πολιτών δεν έχει σχέση με την επιστολική ψήφο, αφού αποδείχτηκε ότι η σχετική λίστα είχε δημιουργηθεί στις 8 Ιουνίου 2023 και είχε σταλεί στον Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας στις 23 Ιουνίου 2023. Οκτώ, δηλαδή, μήνες πριν νομοθετηθεί η επιστολική ψήφος και πριν τις βουλευτικές εκλογές του Ιουνίου, όταν η χώρα είχε Υπηρεσιακή Κυβέρνηση.

Προφανώς δεν έχει σχέση ούτε με τις εκλογικές διαδικασίες, οι οποίες πραγματοποιούνται εδώ και 50 χρόνια στη χώρα μας με άψογο τρόπο, υπό την εποπτεία των Δικαστικών Αρχών.

Η Κυβέρνηση, από την πρώτη στιγμή, δήλωσε την απόφαση της να ξεκαθαρίσει αυτή η υπόθεση, και πολύ γρήγορα ανελήφθησαν πολιτικές ευθύνες με την παραίτηση του Γενικού Γραμματέα του Υπουργείου Εσωτερικών που ήταν τον Ιούνιο του 2023 αρμόδιος για τις εκλογές, καθώς και του Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας, αλλά και τη μη συμμετοχή της εν λόγω ευρωβουλευτού στις Ευρωεκλογές 2024.

Στο Υπουργείο Εσωτερικών θα μελετήσουμε ενδελεχώς την απόφαση της Αρχής, με την οποία συνεργαστήκαμε πλήρως, προκειμένου να αποφασίσουμε τις επόμενες νομικές μας ενέργειες.

Η προσπάθεια για την προστασία των προσωπικών δεδομένων των πολιτών οφείλει να είναι διαρκής, με βάση και τη συνεχή εξέλιξη της τεχνολογίας. Ακριβώς γι’ αυτό, έχουμε ήδη δρομολογήσει σειρά πρωτοβουλιών, με νέα μέτρα προστασίας, όπως η κρυπτογράφηση των προσωπικών δεδομένων, η κατάρτιση ειδικού, υποχρεωτικού προγράμματος επιμόρφωσης για όλους τους υπαλλήλους του Υπουργείου Εσωτερικών και η δρομολόγηση ειδικής οριζόντιας μελέτης προκειμένου να εξεταστούν οι υφιστάμενες πολιτικές ασφαλείας και να αποτυπωθούν προτάσεις για την περαιτέρω βελτίωση των συστημάτων ασφαλείας και των διαδικασιών προστασίας δεδομένων προσωπικού χαρακτήρα.

Πηγή; https://www.ieidiseis.gr/

Τα σχόλια είναι κλειστά.