Προληπτική δράση της ΑΠΔΠΧ για τη νόμιμη επεξεργασία δεδομένων πολιτών ενόψει των εκλογών του Ευρωκοινοβουλίου και της τοπικής αυτοδιοίκησης
Κείμενο κατευθυντήριων γραμμών σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα απέστειλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην Ελληνική Βουλή.
Με το κείμενο, το οποίο εστάλη ενόψει των επικείμενων εκλογών και στο πλαίσιο της προληπτικής δράσης της Αρχής, επιχειρείται η επικαιροποίηση και η εύληπτη παρουσίαση των ρυθμίσεων της Οδηγίας 1/2010 λαμβάνοντας υπόψη τις τροποποιήσεις στο άρθρο 11 του ν. 3471/2006 που επήλθαν με το ν. 3917/2011, τις νέες τεχνολογικές εξελίξεις και κυρίως την ισχύ πλέον του Γενικού Κανονισμού (EE) 2016/679.
Όπως αναφέρεται στη σχετική επιστολή, στο κείμενο των κατευθυντήριων γραμμών εξειδικεύονται οι κανόνες για τη σύννομη επεξεργασία προσωπικών δεδομένων προς το σκοπό της πολιτικής επικοινωνίας, που πραγματοποιείται σε οποιαδήποτε χρονική περίοδο, συμπεριλαμβανομένης της προεκλογικής, από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης.
Σύμφωνα με την Αρχή, η πολιτική επικοινωνία είναι μια θεμιτή δραστηριότητα για τη λειτουργία των πολιτικών κομμάτων και της δημοκρατίας και επιτρέπεται υπό προϋποθέσεις.
Η τήρηση των προϋποθέσεων αυτών έχει ως στόχο τη διατήρηση της ισορροπίας ανάμεσα στο έννομο συμφέρον των πολιτικών κομμάτων και στο δικαίωμα στην προστασία των προσωπικών δεδομένων.
Ειδικότερα, στο κείμενο επισημαίνονται ότι οι προϋποθέσεις διαφέρουν ανάλογα με το μέσο, ηλεκτρονικό ή μη ηλεκτρονικό (παραδοσιακό ταχυδρομείο), που επιλέγεται για την πραγματοποίηση της πολιτικής επικοινωνίας.
Η Αρχή ζητάει από τα κόμματα που εκπροσωπούνται στο Ελληνικό Κοινοβούλιο να την ενημερώσουν για τυχόν παρατηρήσεις μέχρι τις 8 Μαρίου 2019.
Κατευθυντήριες γραμμές σχετικά με την επεξεργασία προσωπικών δεδομένων με σκοπό την επικοινωνία πολιτικού χαρακτήρα
1. Γενικές αρχές
Πολιτική είναι η επικοινωνία που πραγματοποιείται για την προώθηση πολιτικών ιδεών, προγραμμάτων δράσης ή άλλων δραστηριοτήτων με σκοπό την υποστήριξη τους και τη διαμόρφωση πολιτικής συμπεριφοράς. Η πολιτική επικοινωνία μπορεί να πραγματοποιείται με ποικίλους τρόπους, όπως η άμεση παρουσίαση των πολιτικών ιδεών ή η συμπερίληψή τους σε ενημερωτικό δελτίο, η πρόσκληση ανάγνωσής τους σε ιστοσελίδα ή η πρόσκληση συμμετοχής σε κάποια εκδήλωση ή δραστηριότητα.
Η πολιτική επικοινωνία ενδιαφέρει από την άποψη της προστασίας των προσωπικών δεδομένων, εφόσον οι μέθοδοι που χρησιμοποιούνται προϋποθέτουν επεξεργασία προσωπικών δεδομένων, όπως ονοματεπωνύμων, ταχυδρομικών διευθύνσεων, τηλεφωνικών αριθμών, διευθύνσεων ηλεκτρονικού ταχυδρομείου.
Πραγματοποιείται σε οποιαδήποτε χρονική περίοδο, προεκλογική ή μη, από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης.
Τα πρόσωπα αυτά καθίστανται υπεύθυνοι επεξεργασίας, σύμφωνα με τον Κανονισμό (EE) 2016/679, άρθρο 4, παρ. 7) εφόσον ορίζουν το σκοπό και τον τρόπο της επεξεργασίας, και έχουν όλες τις προβλεπόμενες από τον Κανονισμό (EE) 2016/679 υποχρεώσεις. Για παράδειγμα, όταν ο βουλευτής ή ο υποψήφιος βουλευτής λαμβάνει δεδομένα από το πολιτικό κόμμα και τα επεξεργάζεται για προσωπική του πολιτική επικοινωνία, καθίσταται και αυτός υπεύθυνος επεξεργασίας.
Στις περιπτώσεις που μέρος της επεξεργασίας ανατίθεται σε εκτελούντα την επεξεργασία, σύμφωνα με τον Κανονισμό (EE) 2016/679, άρθρο 4, παρ. 8), π.χ. στην εταιρεία που αναλαμβάνει την αποστολή των επιστολών ή των ηλεκτρονικών μηνυμάτων SMS, ο εκτελών έχει επίσης τις προβλεπόμενες από τον Κανονισμού (EE) 2016/679 υποχρεώσεις.
2. Πολιτική επικοινωνία μέσω ταχυδρομείου
Νομική βάση για την πολιτική επικοινωνία μέσω ταχυδρομείου μπορεί να αποτελέσει:
(α) Η συγκατάθεση των υποκειμένων (άρθρο 6, παρ. 1 α) του Κανονισμού (EE) 2016/679) για την επεξεργασία δεδομένων τους για το συγκεκριμένο σκοπό. Βλέπε σχετικά κατωτέρω κεφάλαιο 5 «Συγκατάθεση υποκειμένου για πολιτική επικοινωνία».
(β) Το έννομο συμφέρον του υπευθύνου επεξεργασίας (άρθρο 6, παρ. 1 στ) του Κανονισμού (EE) 2016/679) εφόσον πρόκειται για απλά δεδομένα τα οποία προέρχονται από νόμιμες πηγές, δηλαδή συλλέχθηκαν με νόμιμο τρόπο και η χρήση τους δεν είναι ασυμβίβαστη με το σκοπό της πολιτικής επικοινωνίας.
Τέτοιες πηγές είναι οι εξής:
(α) Οι δημόσια προσβάσιμοι κατάλογοι, τηλεφωνικοί (π.χ. ο κατάλογος του ΟΤΕ), επαγγελματικοί κατάλογοι (π.χ. ο Χρυσός Οδηγός), οι κατάλογοι εμπορικών εκθέσεων καθώς και μητρώα που καθίστανται εκ του νόμου δημόσια προσβάσιμα (π.χ. το Γενικό Εμπορικό Μητρώο σύμφωνα με τα άρθρα 5 παρ. 9 και 16 παρ. 1, όπως ισχύουν, ν. 3419/2005). Δεν θεωρούνται δημόσια προσβάσιμοι κατάλογοι, αυτοί που έχουν συγκροτηθεί χωρίς να συντρέχουν οι νόμιμες προϋποθέσεις ακόμα και αν είναι διαθέσιμοι μέσω του διαδικτύου (π.χ. κατάλογοι με στοιχεία επικοινωνίας που έχουν συλλεχθεί χωρίς τη συγκατάθεση των υποκειμένων).
(β) Τα μητρώα των επιμελητηρίων και επαγγελματικών συλλόγων, που λειτουργούν ως Ν.Π.Δ.Δ. με υποχρεωτική συμμετοχή των μελών τους, εφόσον συντρέχουν σωρευτικά οι ακόλουθες προϋποθέσεις: (i) το Επιμελητήριο ή ο Σύλλογος κρίνει ότι η διαβίβαση των στοιχείων είναι σύμφωνη με τους σκοπούς για τους οποίους τηρούνται τα δεδομένα, και (ϋ) τα μέλη, υποκείμενα των δεδομένων, έχουν ενημερωθεί για το σκοπό της επεξεργασίας και τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων τους και τους δόθηκε η δυνατότητα να ασκήσουν το δικαίωμα αντίρρησης ως προς τη διαβίβαση αυτή.
(γ) Οι εκλογικοί κατάλογοι αποτελούν νόμιμη πηγή σύμφωνα με το άρθρο 5 παρ. 5 και 6 ν.32623/1998 και το άρθρο 23 του κωδικοποιητικού π.δ. 96/2007 υπό τις εξής κατά νόμο προϋποθέσεις:
Τα κόμματα λαμβάνουν πλήρη σειρά των εκλογικών καταλόγων, οι βουλευτές, ευρωβουλευτές, κάτοχοι αιρετών θέσεων στην τοπική αυτοδιοίκηση και οι υποψήφιοι λαμβάνουν απόσπασμα για την εκλογική περιφέρεια, στην οποία έχουν εκλεγεί ή είναι υποψήφιοι. Οι κατάλογοι χορηγούνται αποκλειστικώς για εκλογική χρήση ενώ η παραχώρηση και η χρήση τους για άλλο σκοπό ή από οποιονδήποτε τρίτο απαγορεύεται. Κατά συνέπεια, α) απαγορεύεται η διαβίβαση των εκλογικών καταλόγων ή των αποσπασμάτων τους σε τρίτα πρόσωπα και β) επιβάλλεται η καταστροφή τους σε εύλογο χρονικό διάστημα, το οποίο να μην υπερβαίνει τους τρεις μήνες μετά τη λήξη της προεκλογικής περιόδου.
Ακόμη και όταν τα προσωπικά δεδομένα προέρχονται από νόμιμες πηγές ο υπεύθυνος επεξεργασίας οφείλει πριν από την πραγματοποίηση της πολιτικής επικοινωνίας να συμβουλεύεται το μητρώο του άρθρου 13 παρ. 3 ν. 2472/1997, το οποίο τηρεί η ΑΠΔΠΧ7 και στο οποίο εγγράφονται όσα πρόσωπα δεν επιθυμούν τα στοιχεία τους να αποτελέσουν αντικείμενο επεξεργασίας για διαφημιστικούς σκοπούς.
2.1 Ειδικές προϋποθέσεις για άσκηση δικαιωμάτων
Ο υπεύθυνος επεξεργασίας, στο πλαίσιο της ικανοποίησης του δικαιώματος διαγραφής του άρθρου 17 του Κανονισμού (EE) 2016/679, οφείλει να παρέχει στα υποκείμενα των δεδομένων σε κάθε ενέργεια πολιτικής επικοινωνίας με ταχυδρομική επιστολή τη δυνατότητα εναντίωσης στη λήψη της επικοινωνίας κατά τρόπο απλό και πρόσφορο.
3. Πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση
Η πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση επιτρέπεται με συγκατάθεση των υποκειμένων (άρθρο 6, παρ. 1 α) του ΓΚΠΔ) για την επεξεργασία δεδομένων τους για το συγκεκριμένο σκοπό. Βλέπε σχετικά κατωτέρω κεφάλαιο 5 «Συγκατάθεση υποκειμένου για πολιτική επικοινωνία».
Οι τηλεφωνικές κλήσεις πολιτικού περιεχομένου με ανθρώπινη παρέμβαση που πραγματοποιούνται μέσω δημοσίων δικτύων επικοινωνιών επιτρέπονται και χωρίς συγκατάθεση του υποκειμένου, εκτός αν ο καλούμενος έχει προηγουμένως δηλώσει ότι δεν τις επιθυμεί (σύστημα «opt-out»), σύμφωνα με το άρθρο 11 του ν. 3471/2006, όπως έχει τροποποιηθεί με το ν. 3917/2011.
Οι προϋποθέσεις που αναφέρονται στο άρθρο 11 παρ. 3 του ν. 3471/2006 πρέπει να συντρέχουν ώστε να τεκμηριώνεται η ύπαρξη εννόμου συμφέροντος για την επεξεργασία, βάσει του άρθρου 6 παρ. στ’ του Κανονισμού (EE) 2016/679 και για την πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση που πραγματοποιούνται μέσω υπηρεσιών «της κοινωνίας των πληροφοριών»1 π.χ Viber, Whatsapp, Skype, Facetime, κτλ. όταν οι κλήσεις πραγματοποιούνται σε τηλεφωνικούς αριθμούς που ανήκουν σε συνδρομητές του δημοσίου δικτύου επικοινωνιών.
Σύμφωνα με το σύστημα «opt-out», τα φυσικά ή νομικά πρόσωπα μπορούν να απευθύνουν τις αντιρρήσεις τους, όσον αφορά την επεξεργασία των δεδομένων τους, είτε ειδικά, απευθείας στον υπεύθυνο επεξεργασίας, είτε γενικά, μέσω της εγγραφής τους στον ειδικό κατάλογο συνδρομητών του εκάστοτε παρόχου τηλεπικοινωνιακών υπηρεσιών (σταθερής και κινητής τηλεφωνίας, άρθρο 11 παρ. 2 του ν. 3471/2006). Ο συνδρομητής μπορεί να δηλώσει ατελώς στον δικό του πάροχο ότι δεν επιθυμεί να λαμβάνει τηλεφωνήματα για απευθείας εμπορική προώθηση. Ο κάθε πάροχος υποχρεούται να τηρεί δημόσιο μητρώο με αυτές τις δηλώσεις (μητρώο «opt-out»), στο οποίο έχει πρόσβαση όποιος ενδιαφέρεται να το χρησιμοποιήσει για πολιτική επικοινωνία.
Για την πολιτική επικοινωνία μέσω τηλεφωνικών κλήσεων με ανθρώπινη παρέμβαση οι υπεύθυνοι επεξεργασίας πρέπει να λαμβάνουν από όλους τους παρόχους επικαιροποιημένα αντίγραφα των μητρώων του άρθρου 11 του ν. 3471/2006 και να εξασφαλίζουν ότι έχουν διαθέσιμες τις δηλώσεις των συνδρομητών που έχουν πραγματοποιηθεί έως τριάντα ημέρες πριν από την πραγματοποίηση της τηλεφωνικής κλήσης.
3.1 Ειδικές προϋποθέσεις για άσκηση δικαιωμάτων
Κατά τη διενέργεια μιας τηλεφωνικής κλήσης ο καλών πρέπει να ενημερώνει για την ταυτότητά του υπευθύνου και την ταυτότητα εκτελούντα όταν η κλήση πραγματοποιείται από εκτελούντα, να μην αποκρύπτει ή παραποιεί τον αριθμό καλούντος και να ενημερώνει τουλάχιστον για τη δυνατότητα άσκησης του δικαιώματος πρόσβασης.
Σημειώνεται ότι η άσκηση του δικαιώματος διαγραφής έναντι ενός υπευθύνου επεξεργασίας δεν πρέπει να συγχέεται με την εγγραφή στο μητρώο του άρθρου. 11 του ν. 3471/2006, καθότι η δεύτερη υποδηλώνει βούληση του συνδρομητή να εξαιρείται ο αριθμός του από κάθε τηλεφωνική προωθητική ενέργεια οποιουδήποτε υπευθύνου επεξεργασίας, και όχι ενός συγκεκριμένου.
4. Πολιτική επικοινωνία μέσω ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση
Περιλαμβάνονται τα ακόλουθα μέσα:
(α) Σύντομα γραπτά μηνύματα (SMS) και μηνύματα πολυμέσων (MMS) (β) Μηνύματα ηλεκτρονικού ταχυδρομείου (e-mail)
(γ) Ηλεκτρονικά μηνύματα που αποστέλλονται μέσω εφαρμογών ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών» π.χ Viber, Whatsapp, Skype, Facebook Messenger, Facetime, κτλ
(δ) Επικοινωνία μέσω τηλεομοιοτυπίας (φαξ)
(ε) Αυτόματες τηλεφωνικές κλήσεις, κατά τις οποίες με την αποδοχή της κλήσης ακούγεται μαγνητοφωνημένο μήνυμα
(στ) Φωνητικά μηνύματα που αποθηκεύονται μέσω υπηρεσίας αυτόματου τηλεφωνητή
Όταν η πολιτική επικοινωνία πραγματοποιείται με χρήση ηλεκτρονικών μέσων επικοινωνίας, χωρίς ανθρώπινη παρέμβαση, μέσω δημοσίων δικτύων επικοινωνίας, η επικοινωνία προϋποθέτει, σύμφωνα με το άρθρο 11 παρ. 1 ν. 3471/2006, την προηγούμενη συγκατάθεση του υποκειμένου των δεδομένων, με την επιφύλαξη της παραγράφου 3 του ιδίου άρθρου, όπως ισχύει.
Στην περίπτωση εφαρμογών ανταλλαγής μηνυμάτων υπηρεσιών «της κοινωνίας των πληροφοριών», ανωτέρω κατηγορία (γ), για την επικοινωνία πρέπει επίσης είτε να υπάρχει η προηγούμενη συγκατάθεση του υποκειμένου, βάσει του Κανονισμού (EE) 2016/679 είτε να ισχύουν οι προϋποθέσεις που ορίζονται στο άρθρο 11 παρ. 3 του ν. 3471/2006 ώστε να τεκμηριώνεται η ύπαρξη εννόμου συμφέροντος για την επεξεργασία.
Η λήψη της συγκατάθεσης είναι απαραίτητη ακόμα και όταν ο υπεύθυνος επεξεργασίας έχει στη διάθεσή του τα ηλεκτρονικά στοιχεία επικοινωνίας από νόμιμες πηγές, όπως για παράδειγμα τους τηλεφωνικούς αριθμούς από τον τηλεφωνικό κατάλογο. Βλέπε σχετικά κατωτέρω κεφάλαιο 5 «Συγκατάθεση υποκειμένου για πολιτική επικοινωνία».
Επιτρέπεται η πολιτική επικοινωνία με χρήση ηλεκτρονικών μέσων χωρίς ανθρώπινη παρέμβαση και χωρίς τη συγκατάθεση του υποκειμένου των δεδομένων μόνο εφόσον συντρέχουν σωρευτικά οι ακόλουθες προϋποθέσεις:
(α) Τα στοιχεία επικοινωνίας έχουν αποκτηθεί νομίμως στο πλαίσιο προηγούμενης, παρόμοιας επαφής με τα υποκείμενα των δεδομένων, και το υποκείμενο κατά τη συλλογή των δεδομένων ενημερώθηκε για τη χρήση τους με σκοπό την πολιτική επικοινωνία δεν εξέφρασε αντίρρηση για αυτή τη χρήση. Η προηγούμενη επαφή δεν είναι απαραίτητο να έχει αμιγώς πολιτικό χαρακτήρα, Π.χ. είναι νόμιμη η αποστολή μηνυμάτων όταν τα στοιχεία ηλεκτρονικού ταχυδρομείου συλλέχθηκαν στο πλαίσιο προηγούμενης πρόσκλησης για συμμετοχή σε κάποια εκδήλωση ή δράση, ανεξαρτήτως του πολιτικού χαρακτήρα της. Αντιθέτως, δεν θεωρείται παρόμοια επαφή και δεν είναι νόμιμη η χρήση των ηλεκτρονικών στοιχείων επικοινωνίας προς το σκοπό της πολιτικής επικοινωνίας όταν τα στοιχεία αυτά αποκτήθηκαν στο πλαίσιο επαγγελματικής σχέσης, όπως για παράδειγμα η χρήση του αρχείου πελατών από υποψήφιο βουλευτή.
(β) Ο υπεύθυνος επεξεργασίας οφείλει να παρέχει στο υποκείμενο των δεδομένων τη δυνατότητα να ασκείτο δικαίωμα αντίρρησης με τρόπο εύκολο και σαφή, και αυτό σε κάθε μήνυμα πολιτικής επικοινωνίας.
4.1 Ειδικές προϋποθέσεις για άσκηση δικαιωμάτων υποκειμένων
Σε κάθε επικοινωνία απαιτείται να αναφέρεται ευδιάκριτα και σαφώς η ταυτότητα του αποστολέα ή του προσώπου προς όφελος του οποίου αποστέλλεται το μήνυμα, καθώς επίσης και μια έγκυρη διεύθυνση στην οποία ο αποδέκτης του μηνύματος μπορεί να ζητεί τον τερματισμό της επικοινωνίας.
5. Συγκατάθεση υποκειμένου για πολιτική επικοινωνία
Η συγκατάθεση πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν.
Η δήλωση της συγκατάθεσης, για να είναι νόμιμη, μπορεί να παρέχεται ως εξής:
(α) Η έγγραφη δήλωση συγκατάθεσης μπορεί να γίνεται μέσω της συμπλήρωσης ειδικού εντύπου, π.χ. κατά τη διάρκεια εκδηλώσεων ή στο πλαίσιο λειτουργίας των πολιτικών γραφείων των υποψηφίων βουλευτών κατά την προεκλογική περίοδο, το υποκείμενο των δεδομένων συμπληρώνει το έντυπο και το παραδίδει επί τόπου ή αποστέλλει το σχετικό έντυπο μέσω ταχυδρομείου ή τηλεομοιοτυπίας.
(β) Η ηλεκτρονική δήλωση της συγκατάθεσης μπορεί να πραγματοποιείται π.χ. μέσω της εγγραφής των υποκειμένων των δεδομένων σε ιστοσελίδα που διατηρεί ο υπεύθυνος επεξεργασίας, ή με τη συμπλήρωση ειδικού ηλεκτρονικού εντύπου και αποστολή του μέσω ηλεκτρονικού ταχυδρομείου.
Σχετικά με τις προδιαγραφές νόμιμης δήλωσης της συγκατάθεσης ενός συνδρομητή ή χρήστη με ηλεκτρονικά μέσα για τη λήψη ηλεκτρονικής επικοινωνίας, στο πλαίσιο του άρθρου 11 του ν. 3471/2006, η Αρχή έχει εκδώσει την Οδηγία 2/2011, στην οποία περιλαμβάνονται και αναλυτικά παραδείγματα.
5.1 Ειδική περίπτωση: πολιτικό κόμμα – επικοινωνία – διαβίβαση σε μέλη
Για την επικοινωνία του πολιτικού κόμματος με τα μέλη του ή με τους «φίλους» που έχουν δικαιώματα μέλους σύμφωνα με τις διατάξεις του οικείου καταστατικού, η συγκατάθεση προκύπτει από τη γενική συγκατάθεση του μέλους να συμμετέχει στο πολιτικό κόμμα.
Το πολιτικό κόμμα επιτρέπεται να διαβιβάζει σε μέλη στοιχεία άλλων μελών ή «φίλων» προς το σκοπό της πολιτικής επικοινωνίας μόνον εφόσον η διαβίβαση αυτή προβλέπεται από το καταστατικό του κόμματος.
Σε περίπτωση σιωπής του καταστατικού, απαιτείται η ειδική προς τούτο συγκατάθεση των μελών ή «φίλων» και τούτο διότι ένα μέλος δεν μπορεί να αναμένει ευλόγως ότι η συμμετοχή του σε ένα κόμμα, και η με τον τρόπο αυτό αποκάλυψη των πολιτικών του φρονημάτων, πρέπει να καθίσταται γνωστή σε άλλα μέλη, χωρίς να διατηρεί επαφή με αυτά.