Πρόστιμο 40.000 ευρώ στην Αννα-Μισέλ Ασημακοπούλου και 400.000 ευρώ στο υπουργείο Εσωτερικών επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για την υπόθεση της διαρροής των emails εκλογέων του εξωτερικού, ενώ ανέβαλε την έκδοση απόφασης για τον Νίκο Θεοδωρόπουλο και το κόμμα της Νέας Δημοκρατίας. Οπως σημειώνει η Αρχή ο πρώτος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωση ως νεότερο στοιχείο, το οποίο μπορεί να ληφθεί υπόψη από την Αρχή στο πλαίσιο του αυτεπάγγελτου ελέγχου και από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών.
Ειδικά για το Υπουργείο Εσωτερικών η Αρχή επιβάλει να λάβει μια σειρά μέτρων συμμόρφωσης.
Στο διατακτικό της απόφασης (δείτε την ολόκληρη στη στήλη Συνοδευτικό Υλικό αναφέρει:
Α. Για τις παραβάσεις των άρθρων 5 παρ. 1 α’ σε συνδυασμό με άρθρο 6 παρ. 1 και άρθρο 14 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β1 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ ΓΚΠΔ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους σαράντα χιλιάδων (40.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 εδ. ζ’ του ΓΚΠΔ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας, να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού.
Β. Για τις παραβάσεις των άρθρων 5 παρ. 1 εδ. στ και 32 του ΓΚΠΔ, του άρθρου 25, παρ. 1, του άρθρου 33 παρ. 3,4,5 του ΓΚΠΔ, καθώς και του άρθρου 30 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β4 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ' ΓΚΠΔ στο Υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους τετρακοσίων χιλιάδων (400.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. δ' ΓΚΠΔ, στο Υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, όπως προβεί στις ακόλουθες ενέργειες:
Με αφορμή το περιστατικό αυτό, θα πρέπει το Υπουργείο να καταγράψει σε εγκεκριμένες πολιτικές, να ελέγξει και να αναθεωρήσει τις διαδικασίες και τα μέτρα που εφαρμόζει σχετικά με την προστασία προσωπικών δεδομένων κατά την επεξεργασία προσωπικών δεδομένων των εκλογέων, συμπεριλαμβανομένων όσων στοιχείων τηρούνται στο σύστημα ΟΣΥΕΔ αλλά και σε όποιο άλλο σχετιζόμενο σύστημα.
Με τις παραπάνω ενέργειες πρέπει να διασφαλίζονται οι αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ και ιδίως η εμπιστευτικότητα σε όλη τη διαδικασία εκλογών και να προβλεφθεί διαδικασία περιοδικής αξιολόγησης των μέτρων. Το Υπουργείο πρέπει εντός τριών μηνών από την κοινοποίηση της παρούσας, να συντάξει σχετικό χρονοδιάγραμμα, στο οποίο θα προσδιορίζονται οι διαδικασίες για την κατάρτιση, την υλοποίηση, την επίβλεψη και την επικαιροποίηση των ανωτέρω και ο χρόνος εκτέλεσής τους, να γνωστοποιήσει αμελλητί στην Αρχή το χρονοδιάγραμμα, και να την ενημερώνει ανά τρίμηνο για την εφαρμογή του.
Ως ειδικότερα μέτρα για την αποφυγή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων θα πρέπει να προβλεφθούν και εφαρμοστούν αμελλητί τα εξής:
1. Συστηματική ανάλυση του θεσμικού πλαισίου της διενέργειας των εκλογών, προσδιορισμός των διαδικασιών που προϋποθέτουν επεξεργασία προσωπικών δεδομένων, καταγραφή για κάθε διαδικασία των ροών των προσωπικών δεδομένων και των αποδεκτών κάθε είδους δεδομένων. Στο πλαίσιο της ανάλυσης, θα πρέπει να ελαχιστοποιηθεί η δυνατότητα εκτέλεσης ενεργειών σε σύνολα δεδομένων από φυσικά πρόσωπα (π.χ. υπαλλήλους) ώστε να παραμείνουν οι απόλυτα αναγκαίες. Διαδικασίες οι οποίες είναι επαναλαμβανόμενες πρέπει να εκτελούνται με την ελάχιστη ανθρώπινη παρέμβαση και χωρίς εξαγωγή δεδομένων.
Ειδικότερα προτείνονται: α) Όλες οι λειτουργίες που απαιτούν μαζική επεξεργασία προσωπικών δεδομένων εκλογέων, και ειδικά δεδομένων επικοινωνίας, να ενσωματωθούν στις εφαρμογές, ώστε οι σύμφωνες με το νόμο επεξεργασίες να πραγματοποιούνται μέσα από το περιβάλλον της εφαρμογής (π.χ αποστολή ενημερωτικών μηνυμάτων στους εκλογείς), με πλήρη καταγραφή ενεργειών.
β) Να εξετασθεί η δυνατότητα χρήσης λογισμικού DLP, ειδικά για τις μονάδες του Υπουργείου που εμπλέκονται σε εξαγωγές αρχείων.
γ) Απαγόρευση διακίνησης μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ή άλλου τρόπου εσωτερικής επικοινωνίας αρχείων που περιέχουν προσωπικά δεδομένα εκλογέων. Κατ’ εξαίρεση, εφόσον είναι πραγματικά αναγκαίο, τέτοια διακίνηση μπορεί να γίνει μόνο σε κρυπτογραφημένη μορφή. Στο κάθε μήνυμα θα πρέπει να αναγράφεται ο σκοπός επεξεργασίας και ο σκοπός διακίνησης καθώς και να προκύπτει ο χρόνος τήρησης του αρχείου. Ο κωδικός να γνωστοποιείται με διαφορετικό μέσο. Η διακίνηση αυτή πρέπει να έχει εγκριθεί από αρμόδιο υψηλόβαθμο υπηρεσιακό στέλεχος και η σχετική έγκριση να τηρείται σε αρχείο (audit trail) για επαρκές χρονικό διάστημα.
δ) Αναθεώρηση της διαδικασίας καταγραφής ενεργειών τύπου ερωτημάτων (SELECT) σε πίνακες της βάσης δεδομένων του ΟΣΥΕΔ ή σε άλλα συστήματα που επεξεργάζονται προσωπικά δεδομένα και λήψη μέτρων για τον αυτοματοποιημένο, προληπτικό, έλεγχο των αρχείων καταγραφής
2. Πολιτική και Σχέδιο ασφάλειας - λοιπά οργανωτικά μέτρα
Με δεδομένο ότι στην Αρχή δεν κατατέθηκε εγκεκριμένη πολιτική ασφάλειας (ή επιμέρους σχέδια ασφάλειας), το Υπουργείο οφείλει να επικαιροποιήσει την Πολιτική Ασφάλειας που εφαρμόζει και τα συνοδευτικά αυτής επιμέρους σχέδια ασφάλειας τα οποία αφορούν επεξεργασία προσωπικών δεδομένων εκλογέων ώστε:
α) Να περιλαμβάνονται τα συστήματα διαχείρισης των δεδομένων των εκλογέων και να αποφασιστεί ποιοι από τους προτεινόμενους κανόνες θα υλοποιηθούν (ή να καταγραφεί ποιοι έχουν υλοποιηθεί).
β) Να περιλαμβάνονται κατάλληλες προβλέψεις για ενημέρωση των συμβάσεων με εκτελούντες την επεξεργασία για τις αλλαγές που θα προκύψουν.
γ) Τεκμηρίωση, αναθεώρηση και επικαιροποίηση της διαδικασίας χειρισμού περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα, με έμφαση στο περιεχόμενο της γνωστοποίησης στην Αρχή, της ενημέρωσης των υποκειμένων, και των κατάλληλων διαδικασιών και οργάνων για την εσωτερική διερεύνηση.
δ) Έλεγχος από ανεξάρτητο οργανισμό ή φορέα, σε τακτική βάση τουλάχιστον ετησίως, της ασφάλειας των συστημάτων και διαδικασιών, συμπεριλαμβανομένης της αποτίμησης των εφαρμοζόμενων μέτρων ασφάλειας.
ε) Ο περιοδικός έλεγχος από το Υπουργείο, τουλάχιστον ετησίως, των τυχόν εκτελούντων την επεξεργασία ως προς τη λήψη των κατάλληλων μέτρων ασφάλειας.
3. Μέτρα ενημέρωσης και ευαισθητοποίησης του προσωπικού
Να σχεδιαστεί πρόγραμμα δράσεων ευαισθητοποίησης και εκπαίδευσης τόσο της ηγεσίας όσο και στελεχών κάθε επιπέδου και υπαλλήλων του Υπουργείου για ζητήματα προστασίας προσωπικών δεδομένων, και ειδικά για τις υποχρεώσεις του υπευθύνου επεξεργασίας, τον τρόπο συνεργασίας με την Αρχή και το ρόλο του ΥΠΔ. Οι δράσεις του προγράμματος θα πρέπει να προβλέπουν δραστηριότητες που κρατούν σε εγρήγορση το προσωπικό του Υπουργείου.
Γ. Αναβάλλει την έκδοση απόφασης ως προς τη Νέα Δημοκρατία και τον Νίκο Θεοδωρόπουλο, κατά τα ανωτέρω αναφερόμενα.
ΥΠΕΣ: Θα αποφασίσουμε τις επόμενες νομικές ενέργειες
Με αφορμή τη δημοσιοποίηση του πορίσματος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, από το Γραφείο Τύπου του Υπουργείου Εσωτερικών επισημαίνονται τα εξής:
Η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επιβεβαιώνει ότι η αποστολή προεκλογικού υλικού σε ηλεκτρονικές διευθύνσεις Ελλήνων πολιτών δεν έχει σχέση με την επιστολική ψήφο, αφού αποδείχτηκε ότι η σχετική λίστα είχε δημιουργηθεί στις 8 Ιουνίου 2023 και είχε σταλεί στον Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας στις 23 Ιουνίου 2023. Οκτώ, δηλαδή, μήνες πριν νομοθετηθεί η επιστολική ψήφος και πριν τις βουλευτικές εκλογές του Ιουνίου, όταν η χώρα είχε Υπηρεσιακή Κυβέρνηση.
Προφανώς δεν έχει σχέση ούτε με τις εκλογικές διαδικασίες, οι οποίες πραγματοποιούνται εδώ και 50 χρόνια στη χώρα μας με άψογο τρόπο, υπό την εποπτεία των Δικαστικών Αρχών.
Η Κυβέρνηση, από την πρώτη στιγμή, δήλωσε την απόφαση της να ξεκαθαρίσει αυτή η υπόθεση, και πολύ γρήγορα ανελήφθησαν πολιτικές ευθύνες με την παραίτηση του Γενικού Γραμματέα του Υπουργείου Εσωτερικών που ήταν τον Ιούνιο του 2023 αρμόδιος για τις εκλογές, καθώς και του Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας, αλλά και τη μη συμμετοχή της εν λόγω ευρωβουλευτού στις Ευρωεκλογές 2024.
Στο Υπουργείο Εσωτερικών θα μελετήσουμε ενδελεχώς την απόφαση της Αρχής, με την οποία συνεργαστήκαμε πλήρως, προκειμένου να αποφασίσουμε τις επόμενες νομικές μας ενέργειες.
Η προσπάθεια για την προστασία των προσωπικών δεδομένων των πολιτών οφείλει να είναι διαρκής, με βάση και τη συνεχή εξέλιξη της τεχνολογίας. Ακριβώς γι’ αυτό, έχουμε ήδη δρομολογήσει σειρά πρωτοβουλιών, με νέα μέτρα προστασίας, όπως η κρυπτογράφηση των προσωπικών δεδομένων, η κατάρτιση ειδικού, υποχρεωτικού προγράμματος επιμόρφωσης για όλους τους υπαλλήλους του Υπουργείου Εσωτερικών και η δρομολόγηση ειδικής οριζόντιας μελέτης προκειμένου να εξεταστούν οι υφιστάμενες πολιτικές ασφαλείας και να αποτυπωθούν προτάσεις για την περαιτέρω βελτίωση των συστημάτων ασφαλείας και των διαδικασιών προστασίας δεδομένων προσωπικού χαρακτήρα.
ΣΥΡΙΖΑ: Μπαλάκι για μήνες τα προσωπικά δεδομένα
H Aρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ανακοίνωσε σήμερα, Δευτέρα 27/5/24, την επιβολή προστίμου 40.000€ στην ευρωβουλεύτρια της ΝΔ, Άννα Μισέλ Ασημακοπούλου, και 400.000€ στο Υπ. Εσωτερικών -που θα τα πληρώσουν οι πολίτες- για το σκάνδαλο της διαρροής των προσωπικών δεδομένων χιλιάδων εκλογέων εξωτερικού, ενώ ανέβαλε την έκδοση απόφασης για το κόμμα της Νέας Δημοκρατίας μετά από αίτημά της για αναβολή προκειμένου να προσκομίσει επιπλέον στοιχεία.
Όπως περιγράφεται και στην απόφαση, αποδεικνύεται ξανά πως τα προσωπικά δεδομένα των εκλογέων έγιναν «μπαλάκι» επί μήνες μεταξύ ΥΠ.ΕΣ, ΝΔ και μιας τουλάχιστον υποψήφιας ευρωβουλεύτριας. Αποδεικνύεται για μια ακόμη φορά πόσο δίκιο είχαμε όταν ζητούσαμε να αποπέμψει ο Κυρ. Μητσοτάκης την Ν. Κεραμέως, η οποία φυσικά δεν τόλμησε να εμφανιστεί στην Επιτροπή Θεσμών και Διαφάνειας για να δώσει εξηγήσεις πριν τη διακοπή των εργασιών της Βουλής.
Ας ξαναρωτήσουμε λοιπόν: Σε ποιους άλλους (πλην της Μ. Ασημακοπούλου που τα παρέλαβε 20/1/2024) έχει παραδώσει ο Γραμματέας αποδήμων της ΝΔ τα προσωπικά δεδομένα των εκλογέων;
Δεν περιμένουμε βέβαια απάντηση. Όπως δεν έχουμε λάβει μέχρι τώρα καμία για τις παράνομες παρακολουθήσεις από την ΕΥΠ με το Predator. Όπως δεν έχουμε λάβει ούτε και για το έγκλημα των Τεμπών και την επιχείρηση συγκάλυψής του. Και όπως δεν περιμένουμε να μας απαντήσουν γιατί πολύ πρόσφατα βουλευτής και στελέχη της ΝΔ βράβευσαν την επίορκο εφοριακό.
ΠΑΣΟΚ: Η υπ. Εσωτερικών οφείλει να παραιτηθεί μετά την απόφαση-κόλαφο
«Η σημερινή απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αποτελεί κόλαφο για την προσπάθεια συγκάλυψης που επιχείρησε η κυβέρνηση και προσωπικά η υπουργός Εσωτερικών Νίκη Κεραμέως», αναφέρει ανακοίνωση του ΠΑΣΟΚ-Κινήματος Αλλαγής σχετικά με το πόρισμα της ΑΠΔΠΧ για τη διαρροή στη ΝΔ προσωπικών δεδομένων εκλογέων.
«Όπως επισημαίνει η Αρχή, δεν προκύπτει ότι έγινε εξαντλητική έρευνα και αναζήτηση πληροφοριών από το υπουργείο Εσωτερικών, ώστε να διευκολυνθεί ο προσδιορισμός του ακριβούς χρόνου και του αντικειμένου της παράνομης διαβίβασης. Ενώ το Μέγαρο Μαξίμου δεν μπήκε καν στον κόπο να απαντήσει στην ανεξάρτητη αρχή.
Επιπλέον, όπως προκύπτει από την απόφαση της Αρχής υπήρχε η δυνατότητα μαζικής εξαγωγής στοιχείων εκλογέων από το υπουργείο χωρίς να καταγράφεται ποιος και γιατί τα παίρνει κατά παράβαση της σχετικής νομοθεσίας.
Η απόφαση αναδεικνύει την ανικανότητα της «επιτελικής» κυβέρνησης να κάνει το αυτονόητο, κάτι που αποδεικνύεται και από το ύψος του προστίμου στις 400.000 ευρώ.
Η υπουργός οφείλει να παραιτηθεί. Δεν είναι αποδεκτό να μετατρέπεται το υπουργείο Εσωτερικών σε εκλογικό κέντρο της Νέας Δημοκρατίας και προσωπικά δεδομένα χιλιάδων Ελλήνων του εξωτερικού να παραδίδονται στο κυβερνών κόμμα και σε υποψηφίους του, εκθέτοντας τη χώρα και κλονίζοντας την εμπιστοσύνη των πολιτών.
Μπορούμε και αξίζουμε περισσότερα».