Η Αρχή κρίνει ότι Δήμαρχος που χρησιμοποιεί δεδομένα δημοτών για δικούς του σκοπούς καθίσταται ο ίδιος υπεύθυνος επεξεργασίας
Διοικητικό πρόστιμο ύψους 2.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε Δήμαρχο για την αποστολή ευχετηρίου ηλεκτρονικού μηνύματος.
Η Αρχή εξέτασε την υπόθεση υπό το πρίσμα της νομιμότητας της συλλογής και επεξεργασίας των δεδομένων κατά τον ΓΚΠΔ και όχι ως επικοινωνία με βάση τις διατάξεις του Ν.3471/2006.
Το ιστορικό της υπόθεσης
Στην Αρχή υποβλήθηκε η καταγγελία δημότη, ο οποίος έλαβε στις 30-12-2019 μήνυμα από τον προσωπικό λογαριασμό ηλεκτρονικού ταχυδρομείου του Δημάρχου, χωρίς να έχει παράσχει τη συγκατάθεσή του. Κατόπιν του μηνύματος άσκησε το δικαίωμα εναντίωσης, ζητώντας να μην λάβει ξανά τέτοιο μήνυμα. Ο καταγγέλλων προσέφυγε στην Αρχή μετά από νέο μήνυμα, το οποίο έλαβε στις 16-4-2020, παρά την προηγούμενη άσκηση αντίρρησής του.
Με νεότερο έγγραφό του, ο καταγγέλλων επιβεβαίωσε ότι για λόγους ιχνηλάτησης (tracking) χρησιμοποιεί μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου σε δικό του σχετικό διακομιστή, για κάθε εγγραφή του σε επιγραμμικές υπηρεσίες, ηλεκτρονικά καταστήματα, κλπ. Με τον τρόπο αυτό μπορεί εύκολα να εντοπίσει από που διέρρευσε η κάθε διεύθυνσή του όταν λαμβάνει ανεπιθύμητη αλληλογραφία από αγνώστους. Στην προκειμένη περίπτωση, εγγράφηκε με το email «…» στην υπηρεσία … (https://www…..gr/), η οποία λειτουργεί από τρίτη εταιρεία και εν προκειμένω για λογαριασμό του Δήμου.
Ο καταγγελλόμενος αρχικώς υποστήριξε πως το email που έστειλε δεν ήταν για σκοπούς πολιτικής επικοινωνίας, πως από την διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκε δεν προκύπτει καμία συσχέτιση με φυσικό πρόσωπο (ταυτοποιημένο ή ταυτοποιήσιμο), καθώς και πως μετά την αποστολή του από μηνύματος εναντίωσης του καταγγέλλοντος, δεν έστειλε άλλο μήνυμα.
Ακολούθως, με το υπόμνημά του ενώπιον της Αρχής ισχυρίστηκε ότι «πράγματι ο καταγγέλλων υπέβαλε αίτημα στην διαδικτυακή πλατφόρμα του Δήμου … . Ο πολίτης που χρησιμοποιεί την εν λόγω ηλεκτρονική υπηρεσία καταχωρεί σε αυτή το ονοματεπώνυμό του, το τηλέφωνό του και την διεύθυνση του ηλεκτρονικού του ταχυδρομείου. Τα στοιχεία επικοινωνίας αυτά είναι απαραίτητα για την ορθή λειτουργία της υπηρεσίας, καθότι είναι πάρα πολύ συχνή η περίπτωση που κάποιος υπάλληλος του Δήμου ή κάποιος αιρετός είναι αναγκαίο να επικοινωνήσει με τον υποβάλλοντα το αίτημα για διευκρινίσεις ή ακόμα και για να εξηγήσει σε αυτόν για ποιο λόγο δεν μπορεί να ικανοποιηθεί το αίτημά του. Οι πολίτες που χρησιμοποιούν την εφαρμογή γνωρίζουν τους σκοπούς της επικοινωνίας και κατ’ επέκταση τη γνωστοποίηση των στοιχείων επικοινωνίας τους. Ένα μέρος των επικοινωνιών απευθύνονται στον Δήμαρχο της πόλης, ο οποίος καλείται να ικανοποιήσει αιτήματα ή να εξηγήσει τους λόγους για τους οποίους αυτό δεν μπορεί να γίνει. Αυτό έχει ως αποτέλεσμα ένα τμήμα των στοιχείων επικοινωνίας να διαβιβάζονται εσωτερικά στο γραφείο του Δημάρχου και από την εν λόγω διοικητική δομή να γίνεται περαιτέρω επικοινωνία με τους πολίτες. Τα στοιχεία επικοινωνίας δεν χρησιμοποιούνται για σκοπούς άλλους από τους ανωτέρω αναφερθέντες, πολλώ δε μάλλον για σκοπούς πολιτικής επικοινωνίας. Πλην όμως στο πλαίσιο της επικοινωνίας που αναπτύσσει ο Δήμος (εν προκειμένω μέσω του Δημάρχου του) με τους δημότες που χρησιμοποιούν την εφαρμογή, email επικοινωνίας κάποιων πολιτών που είχαν διαβιβαστεί εσωτερικά στο Γραφείο Δημάρχου για τους παραπάνω σκοπούς, χρησιμοποιήθηκαν προς αποστολή ευχών, δηλαδή για λόγους κοινωνικής αβροφροσύνης που ενισχύουν την επικοινωνία».
Περαιτέρω, ο καταγγελλόμενος Δήμαρχος υποστήριξε ότι η συγκεκριμένη επικοινωνία και ο σκοπός της δεν απέχει των σκοπών για τους οποίους συλλέχθηκαν τα στοιχεία, ενώ ήταν σε γνώση των πολιτών, οι οποίοι είχαν ήδη δεχθεί επικοινωνία από τον Δήμο προηγουμένως, σε πολλές μάλιστα περιπτώσεις και τηλεφωνική, και είχαν ενημερωθεί σχετικά. Ως προς το δικαίωμα εναντίωσης, ανέφερε ότι δόθηκε η δυνατότητα στον καταγγέλλοντα να ασκήσει το δικαίωμα εναντίωσης σε μελλοντικές επικοινωνίες και πράγματι αυτός το άσκησε, απαντώντας στο email και ζητώντας να μην λάβει εκ νέου στο μέλλον παρόμοια επικοινωνία. Το γεγονός ότι εντούτοις έλαβε και πάλι τέτοια επικοινωνία οφείλεται σε σφάλμα, καθώς «το φυσικό πρόσωπο που ήταν επιφορτισμένο με την διαγραφή της διεύθυνσης ηλεκτρονικού ταχυδρομείου του καταγγέλλοντος από τον κατάλογο των αποδεκτών, εκ σφάλματος, δεν διέγραψε αυτό μετά την πρώτη επικοινωνία, το έκανε όμως μετά τη δεύτερη, με αποτέλεσμα ο καταγγέλλων να μην έχει λάβει έως σήμερα άλλη επικοινωνία».
Η απόφαση της Αρχής
Η Αρχή παρατηρεί εισαγωγικώς πως «από το φάκελο της υπόθεσης προκύπτει ότι με το υπόμνημα του καταγγελλόμενου μετά την κλήση, διαφοροποιούνται ουσιωδώς τα επιχειρήματά του, σε σχέση με την τεκμηρίωση της νομιμότητας της επεξεργασίας των προσωπικών δεδομένων του καταγγέλλοντα για τον σκοπό της αποστολής ηλεκτρονικών ευχετηρίων μηνυμάτων από το Δήμαρχο προς δημότες οι οποίοι είχαν χρησιμοποιήσει προηγουμένως ηλεκτρονική εφαρμογή του Δήμου για υποβολή διαφόρων αιτημάτων. Ο καταγγελλόμενος ουσιαστικά αποδέχεται ότι έχει διενεργηθεί επεξεργασία προσωπικών δεδομένων».
Η παρατήρηση αυτή είναι σημαντική, καθώς εισάγει στο πρώτο ζήτημα που κρίνεται από την Αρχή, ήτοι ποιος είναι ο υπεύθυνος επεξεργασίας για την επίμαχη αποστολή μηνύματος. Σύμφωνα με την Αρχή, το ζήτημα αυτό έχει απαντηθεί από τον ίδιο τον καταγγελλόμενο:
«Μάλιστα, σύμφωνα με το υπόμνημα, ο καταγγελλόμενος είχε στη διάθεσή του τα στοιχεία αυτά, μέσω της πλατφόρμας … (όπως εξ αρχής υποστήριζε ο καταγγέλλων), προκειμένου το γραφείο του να επικοινωνήσει με τον καταγγέλλοντα, στο πλαίσιο άσκησης των αρμοδιοτήτων του Δημάρχου. Ο σκοπός της επεξεργασίας τον οποίο αφορά η καταγγελία, σύμφωνα με τον καταγγελλόμενο είναι η αποστολή ευχών σε δημότες χρήστες της πλατφόρμας, στο πλαίσιο των ενεργειών βελτίωσης της απευθείας επικοινωνίας των πολιτών με τους αιρετούς εκπροσώπους τους και τους υπαλλήλους του Δήμου, χωρίς να απαιτείται η μετάβασή τους στον Δήμο και η τήρηση γραφειοκρατικών διαδικασιών. Με βάση το υπόμνημα του καταγγελλόμενου, προκύπτει ότι υπεύθυνος επεξεργασίας είναι ο ίδιος, ο οποίος θεωρώντας ότι ενεργεί στο πλαίσιο των καθηκόντων του ως Δήμαρχος [περιοχής] Χ, έκρινε ότι είναι νόμιμη η χρήση των στοιχείων επικοινωνίας του καταγγέλλοντα για τον παραπάνω σκοπό και καθόρισε πλήρως τον τρόπο της επεξεργασίας.»
Ακολούθως, η Αρχή εξετάζει τις απαιτήσεις νομιμότητας μιας τέτοιας πράξης επεξεργασίας και διαπιστώνει την παραβίαση των αρχών της διαφάνειας (άρθρο 5 παρ.1α) και του περιορισμού του σκοπού (άρθρο 5 παρ.1β ΓΚΠΔ), καθώς και της υποχρέωσης του άρθρου 12 παρ.3 ΓΚΠΔ, για τις απαιτούμενες ενέργειες μετά την άσκηση δικαιώματος του υποκειμένου.
Η Αρχή αξιολογεί επιβαρυντικώς ότι ο καταγγελλόμενος Δήμαρχος «επέδειξε δυσχέρεια στη συνεργασία με την Αρχή, μη παρέχοντας τις πληροφορίες που ζητήθηκαν και εν τέλει διαφοροποιώντας τα επιχειρήματά μετά την ακρόαση στην Αρχή, όταν και αποδέχθηκε την προέλευση των δεδομένων και προσπάθησε να τεκμηριώσει τη νομιμότητα χρήσης αυτών» και του επιβάλλει διοικητικό πρόστιμο δύο χιλιάδων (2.000) ευρώ.
Απόσπασμα της απόφασης
10. Για την εξέταση της νομιμότητας μιας τέτοιας δραστηριότητας πρέπει να εξετάζεται το πλαίσιο αυτής (η φύση, η έκταση και ο σκοπός της σχετικής επεξεργασίας) και αν τηρούνται οι βασικές αρχές της επεξεργασίας, όπως περιγράφονται στο άρθρο 5 του ΓΚΠΔ. Από το φάκελο της υπόθεσης προκύπτει ότι ο καταγγέλλων, ως υποκείμενο των δεδομένων, δεν έλαβε με κανένα τρόπο ενημέρωση για τη χρήση των προσωπικών του δεδομένων για τον παραπάνω σκοπό. Και τούτο καθώς σε κανένα από τα μηνύματα που έλαβε δεν γίνεται αναφορά σε κάποια από τα στοιχεία ενημέρωσης που επιβάλει το άρθρο 14 του ΓΚΠΔ. Περαιτέρω, αν και ο καταγγελλόμενος αναφέρει ότι οι πολίτες ενημερώνονται για «[τ]ους σκοπούς της επικοινωνίας και κατ’ επέκταση της γνωστοποίησης των στοιχείων επικοινωνίας τους γνωρίζουν οι πολίτες που χρησιμοποιούν την εφαρμογή» και ότι η επικοινωνία και ο σκοπός «…ήταν δε σε γνώσει των πολιτών, οι οποίοι είχαν δεχθεί ήδη επικοινωνία από τον Δήμο προηγουμένως, σε πολλές μάλιστα περιπτώσεις και τηλεφωνική και είχαν ενημερωθεί σχετικά» από κανένα στοιχείο δεν προκύπτει ότι οι δημότες που χρησιμοποίησαν την πλατφόρμα και ο καταγγέλλων ειδικά, ενημερώθηκαν για την περαιτέρω χρήση των στοιχείων επικοινωνίας τους για σκοπό διαφορετικό από αυτό της αρχικής συλλογής. Συγκεκριμένα, η εν λόγω πλατφόρμα στερείται ενημέρωσης για τα προσωπικά δεδομένα (παράλειψη για την οποία υπεύθυνος επεξεργασίας είναι ο Δήμος, ο οποίος δεν ελέγχεται στο πλαίσιο της καταγγελίας) ενώ περαιτέρω, ο καταγγελλόμενος δεν παρείχε στον καταγγέλλοντα τις πληροφορίες που επιβάλει το άρθρο 14 του ΓΚΠΔ. Συνεπώς, προκύπτει παράβαση του εν λόγω άρθρου του ΓΚΠΔ και κατ’ επέκταση και της αρχής της διαφάνειας (άρθρο 5 παρ. 1 εδαφ. α’ ΓΚΠΔ).
11. Ο καταγγελλόμενος δεν προσδιορίζει ρητά στην Αρχή ποια είναι η νομική βάση της επεξεργασίας και με ποιο τρόπο νομιμοποιείται να χρησιμοποιήσει δεδομένα που είχαν εξ αρχής συλλεγεί για άλλο σκοπό. Προκύπτει ότι το υποκείμενο των δεδομένων δεν έχει ενημερωθεί, σε κανένα στάδιο, για την περαιτέρω χρήση των δεδομένων του, η οποία δεν γίνεται μέσω της διαδικτυακής πλατφόρμας στην οποία καταχώρισε τα δεδομένα, αλλά κατόπιν εξαγωγής τους, για σκοπό που σχετίζεται με τις ευρύτερες δραστηριότητες οργάνου του Δήμου και μάλιστα μέσω της ιδιωτικής (και όχι υπηρεσιακής) διεύθυνσης ηλεκτρονικού ταχυδρομείου του Δημάρχου. Συνεπώς, ο συγκεκριμένος τρόπος χρήσης των δεδομένων δεν μπορεί να είναι αναμενόμενος από το υποκείμενο των δεδομένων. Συνεπώς, προκύπτει παράβαση της αρχής του περιορισμού του σκοπού (άρθρο 5 παρ. 1 εδαφ. β’ του ΓΚΠΔ).
12. Ο υπεύθυνος επεξεργασίας, ενώ ασκήθηκε δικαίωμα εναντίωσης μετά το πρώτο μήνυμα (στις 30-12-2019) δεν διέγραψε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του καταγγέλλοντα, αλλά τη χρησιμοποίησε ξανά, για αποστολή ευχετήριου μηνύματος στις 16-4-2020. Σύμφωνα με το υπόμνημά του, αυτό οφείλεται σε ανθρώπινο σφάλμα του φυσικού προσώπου το οποίο είχε επιφορτιστεί με την διαδικασία διαγραφής. Γίνεται δεκτό ότι η μέθοδος διαγραφής, λόγω της φύσης της επεξεργασίας, του αριθμού των υποκείμενων των δεδομένων και των λίγων σχετικών αιτημάτων, μπορεί να γίνεται με μη αυτοματοποιημένο τρόπο, άρα η μη ικανοποίηση ενδέχεται να οφείλεται σε ανθρώπινο λάθος. Ο υπεύθυνος επεξεργασίας βέβαια δεν παρέχει στοιχεία, όπως οφείλει με βάση την αρχή της λογοδοσίας, από τα οποία να προκύπτει ότι είχε δοθεί εντολή για τη διαγραφή των δεδομένων, ώστε να μπορεί να τεκμηριωθεί το ανθρώπινο λάθος, με βάση την αρχή της λογοδοσίας. Περαιτέρω, σε κάθε περίπτωση, ο υπεύθυνος επεξεργασίας όφειλε όχι μόνο να ενεργήσει αλλά και να ενημερώσει το υποκείμενο των δεδομένων εντός της προθεσμίας που ορίζεται στο άρθρο 12 παρ. 3 του ΓΚΠΔ, συνεπώς προκύπτει ότι παραβίασε την εν λόγω διάταξη.