Οι Κατευθυντήριες Γραμμές 1/2023 εκδίδονται μετά τις αποφάσεις του Συμβουλίου της Επικρατείας που ανέτρεψαν την προηγούμενη νομολογία της Αρχής
Νέες Κατευθυντήριες Γραμμές για την πολιτική επικοινωνία εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μετά τις υπ’ αρ. 1343-5/2022 αποφάσεις του Δ’ Τμήματος του Συμβουλίου της Επικρατείας με τις οποίες ακυρώθηκαν αποφάσεις της για επιβολή διοικητικών προστίμων για παραβάσεις του Ν.3471/2006.
Με τις τρεις κατά τα ως άνω ακυρωθείσες αποφάσεις της, η Αρχή Προστασίας Δεδομένων είχε επιβάλει διοικητικό πρόστιμο σε υποψηφίους βουλευτές για μη ζητηθείσα πολιτική επικοινωνία επί τη βάσει του άρθρου 11 Ν.3471/2006. Το Συμβούλιο της Επικρατείας, ωστόσο, έκρινε πως η επικοινωνία του υποψηφίου βουλευτή κατά την προεκλογική περίοδο δεν σχετίζεται με την επικοινωνία για σκοπούς απευθείας εμπορικής προώθησης, ως εκ τούτου δεν ρυθμίζεται από τη διάταξη, την οποία εφάρμοζε η Αρχή. Παράλληλα όμως, το ΣτΕ επεσήμανε πως η ερμηνεία αυτή «δεν θίγει την προστασία των προσωπικών δεδομένων των εμπλεκόμενων φυσικών προσώπων, […], δεδομένου ότι εξακολουθούν να τυγχάνουν εφαρμογής οι γενικές διατάξεις του ΓΚΠΔ, βάσει των οποίων δύναται να κριθεί η νομιμότητα κάθε επεξεργασίας».
Με βάση τις ως άνω αποφάσεις του Συμβουλίου της Επικρατείας και αφού προηγουμένως είχε ανακαλέσει αυτεπαγγέλτως (ΑΠΔΠΧ 63/2022) σειρά αποφάσεων που εμφάνιζαν τα ίδια χαρακτηριστικά με τις ακυρωθείσες, η Αρχή Προστασίας Δεδομένων προχώρησε στην έκδοση νέων Κατευθυντηρίων Γραμμών για την πολιτική επικοινωνία· τη φορά αυτή, αποκλειστικά υπό το πεδίο εφαρμογής και σύμφωνα με τις απαιτήσεις νομιμότητας του Γενικού Κανονισμού Προστασίας Δεδομένων
Οι νέες Κατευθυντήριες Γραμμές 1/2023 χωρίζονται σε τρία μέρη: Στο πρώτο μέρος παρουσιάζονται εισαγωγικώς τα χαρακτηριστικά της πολιτικής επικοινωνίας και οι σταθμίσεις μεταξύ των προστατευομένων από το Σύνταγμα δικαιωμάτων, στο δεύτερο μέρος αναλύονται οι ειδικότερες απαιτήσεις νομιμότητας με βάση τον Γενικό Κανονισμό (νομική βάση-διαφάνεια-δικαιώματα των υποκειμένων, ενώ παρατίθενται και πολύ ενδιαφέροντα παραδείγματα δυνητικώς επιτρεπτών ή μη επιτρεπτών περιπτώσεων χρήσης δεδομένων. Στο τρίτο μέρος εξειδικεύονται ζητήματα σχετικά με συγκεκριμένα μέσα επικοινωνίας, με την πάγια διάκριση της Αρχής μεταξύ παραδοσιακού ταχυδρομείου και ηλεκτρονικών μέσων ή τηλεφωνικών κλήσεων.
• Η νομιμότητα της συλλογής ή περαιτέρω χρήσης προσωπικών δεδομένων: οι νομικές βάσεις και τα ενδεικτικά παραδείγματα της Αρχής (απόσπασμα)
1. Εισαγωγή
Πολιτική επικοινωνία είναι η επικοινωνία που πραγματοποιείται από πολιτικά κόμματα, βουλευτές, ευρωβουλευτές, παρατάξεις και κατόχους αιρετών θέσεων στην τοπική αυτοδιοίκηση ή υποψηφίους στις βουλευτικές εκλογές, τις εκλογές του Ευρωπαϊκού Κοινοβουλίου και τις εκλογές τοπικής αυτοδιοίκησης σε οποιαδήποτε χρονική περίοδο, προεκλογική ή μη, για την προώθηση πολιτικών ιδεών, προγραμμάτων δράσης ή άλλων δραστηριοτήτων με σκοπό την υποστήριξή τους και τη διαμόρφωση πολιτικής συμπεριφοράς. Η πολιτική επικοινωνία μπορεί να πραγματοποιείται με ποικίλους τρόπους, όπως με την άμεση παρουσίαση των πολιτικών ιδεών ή με τη συμπερίληψή τους σε ενημερωτικό δελτίο, με την πρόσκληση ανάγνωσής τους σε ιστοσελίδα ή με την πρόσκληση συμμετοχής σε κάποια εκδήλωση ή δραστηριότητα.
[…]
Στις ανωτέρω περιπτώσεις, οι φορείς και τα πρόσωπα που πραγματοποιούν πολιτική επικοινωνία καθίστανται υπεύθυνοι επεξεργασίας, σύμφωνα με τον ορισμό του άρθρου 4 παρ. 7 του Γενικού Κανονισμού Προστασίας Δεδομένων (στο εξής «ΓΚΠΔ»), στο μέτρο κατά το οποίο ορίζουν τον σκοπό και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Για παράδειγμα, όταν ο βουλευτής ή ο υποψήφιος βουλευτής λαμβάνει δεδομένα από το πολιτικό κόμμα στο οποίο συμμετέχει και τα επεξεργάζεται για προσωπική του πολιτική επικοινωνία, καθίσταται ο ίδιος υπεύθυνος επεξεργασίας. Με την ιδιότητα αυτή, σύμφωνα με τη θεμελιώδη στον ΓΚΠΔ αρχή της λογοδοσίας (άρθρο 5 παρ. 2), τα παραπάνω πρόσωπα πρέπει να είναι σε θέση να αποδεικνύουν την τήρηση των βασικών αρχών επεξεργασίας δεδομένων, όπως αυτές προβλέπονται στο άρθρο 5 παρ. 1 ΓΚΠΔ, δηλαδή: α) την αρχή της νομιμότητας, αντικειμενικότητας και διαφάνειας της επεξεργασίας, β) την αρχή του περιορισμού του σκοπού, γ) την αρχή της ελαχιστοποίησης των δεδομένων, δ) την αρχή της ακρίβειας των δεδομένων, ε) την αρχή του περιορισμού της περιόδου αποθήκευσης και στ) την αρχή της ακεραιότητας και της εμπιστευτικότητας των δεδομένων. Επιπροσθέτως, όταν μέρος της επεξεργασίας ανατίθεται σε εκτελούντα την επεξεργασία (άρθρο 4 παρ. 8 ΓΚΠΔ), όπως π.χ. σε εταιρεία που αναλαμβάνει την αποστολή των επιστολών ή των ηλεκτρονικών μηνυμάτων SMS ή email, ο εκτελών την επεξεργασία έχει επίσης τις προβλεπόμενες από τον ΓΚΠΔ υποχρεώσεις. […]
2. Γενικές αρχές
2.1 Νομιμότητα
Προκειμένου να είναι σύννομη η επεξεργασία των δεδομένων των αποδεκτών πολιτικής επικοινωνίας, απαιτείται να στηρίζεται σε κάποια από τις καθοριζόμενες στο άρθρο 6 ΓΚΠΔ νομικές βάσεις. Ειδικότερα, ο προσδιορισμός της νομικής βάσης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα πρέπει να λαμβάνει χώρα πριν από την έναρξη της επεξεργασίας, ο δε υπεύθυνος επεξεργασίας υποχρεούται με βάση την αρχή της λογοδοσίας (βλ. άρ. 5 παρ. 2 σε συνδ. με 24 και 32 ΓΚΠΔ) να επιλέξει την κατάλληλη νομική βάση εκ των προβλεπόμενων από το άρθρο 6 παρ. 1 ΓΚΠΔ, καθώς και να είναι σε θέση να αποδείξει στο πλαίσιο της εσωτερικής συμμόρφωσης την τήρηση των αρχών του άρθρου 5 παρ. 1 ΓΚΠΔ, περιλαμβανομένης αυτονοήτως και της τεκμηρίωσης επί τη βάσει της οποίας κατέληξε στην οικεία νομική βάση.
Η επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία μπορεί να βασίζεται είτε στην προηγούμενη συγκατάθεση των υποκειμένων των δεδομένων (άρθρο 6,παρ. 1, εδ.α’ ΓΚΠΔ) είτε σε υπέρτερο έννομο συμφέρον που εκάστοτε συντρέχει (άρθρο 6 παρ. 1, εδ. στ’ ΓΚΠΔ). Διευκρινίζεται συναφώς ότι, όταν τα δεδομένα προσωπικού χαρακτήρα έχουν συλλεχθεί νομίμως αρχικώς για άλλο σκοπό και η περαιτέρω χρήση τους για τον σκοπό της πολιτικής επικοινωνίας δεν βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, η επεξεργασία είναι νόμιμη αν ο υπεύθυνος επεξεργασίας τεκμηριώνει ότι η επεξεργασία για τον σκοπό της πολιτικής επικοινωνίας είναι συμβατή με τον σκοπό για τον οποίο συλλέχθηκαν αρχικώς τα δεδομένα προσωπικού χαρακτήρα και ικανοποιούνται οι προϋποθέσεις του άρθρου 6 παρ. 4 ΓΚΠΔ.
2.1.1 Συγκατάθεση του υποκειμένου
Η πολιτική επικοινωνία μπορεί να στηρίζεται στη συγκατάθεση των υποκειμένων (άρθρο 6 παρ. 1 α’ ΓΚΠΔ). […]
Η δήλωση της συγκατάθεσης μπορεί να παρέχεται ενδεικτικά ως εξής:
(α) Η έγγραφη δήλωση συγκατάθεσης μπορεί να γίνεται μέσω της συμπλήρωσης ειδικού εντύπου, π.χ. κατά τη διάρκεια εκδηλώσεων ή στο πλαίσιο λειτουργίας των πολιτικών γραφείων των υποψηφίων βουλευτών κατά την προεκλογική περίοδο: το υποκείμενο των δεδομένων συμπληρώνει το έντυπο και το παραδίδει επί τόπου ή αποστέλλει το σχετικό έντυπο μέσω ταχυδρομείου.
(β) Η ηλεκτρονική δήλωση της συγκατάθεσης μπορεί να πραγματοποιείται μέσω της εγγραφής των υποκειμένων των δεδομένων σε ιστοσελίδα που διατηρεί ο υπεύθυνος επεξεργασίας, με τη συμπλήρωση ειδικού ηλεκτρονικού εντύπου και αποστολή του μέσω ηλεκτρονικού ταχυδρομείου ή με άλλους παρόμοιους τρόπους. […]
2.1.2 Υπέρτερο έννομο συμφέρον, περαιτέρω χρήση
Περαιτέρω, η πολιτική επικοινωνία μπορεί να στηρίζεται στη νομική βάση του υπέρτερου εννόμου συμφέροντος του υπευθύνου επεξεργασίας (άρθρο 6, παρ. 1 στ’ ΓΚΠΔ), εφόσον αποδεικνύεται ότι η επεξεργασία είναι απαραίτητη για την ικανοποίηση του έννομου συμφέροντος του υπευθύνου επεξεργασίας για την προώθηση των πολιτικών του θέσεων, και έναντι του συμφέροντος αυτού δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων, λαμβάνοντας υπόψη τις θεμιτές προσδοκίες τους βάσει της σχέσης τους με τον υπεύθυνο επεξεργασίας. […]
Η επεξεργασία προσωπικών δεδομένων με σκοπό την πολιτική επικοινωνία επιτρέπεται επίσης βάσει του άρθρου 6 παρ. 4 ΓΚΠΔ, εφόσον ο σκοπός της πολιτικής επικοινωνίας κριθεί ως συμβατός με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά από τον υπεύθυνο επεξεργασίας. Για να εξακριβωθεί εάν ο σκοπός της πολιτικής επικοινωνίας είναι συμβατός με τον σκοπό της αρχικής συλλογής των δεδομένων προσωπικού χαρακτήρα, εφόσον πληρούνται όλες οι απαιτήσεις για τη νομιμότητα της αρχικής επεξεργασίας, ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει υπόψη, μεταξύ άλλων:
• Τυχόν σχέση μεταξύ των αρχικών σκοπών και των σκοπών της επιδιωκόμενης περαιτέρω επεξεργασίας·
• το πλαίσιο στο οποίο έχουν συλλεγεί τα δεδομένα προσωπικού χαρακτήρα, ιδίως τις εύλογες προσδοκίες του υποκειμένου των δεδομένων βάσει της σχέσης του με τον υπεύθυνο επεξεργασίας ως προς την περαιτέρω χρήση τους·
• τη φύση των δεδομένων προσωπικού χαρακτήρα·
• τις συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας για τα υποκείμενα των δεδομένων·
• και την ύπαρξη κατάλληλων εγγυήσεων τόσο για τις αρχικές όσο και τις σκοπούμενες πράξεις περαιτέρω επεξεργασίας (Βλ. Αιτ. Σκ. 50 ΓΚΠΔ).
Υπενθυμίζεται ότι σε περίπτωση συλλογής δεδομένων προς χρήση για τον σκοπό της πολιτικής επικοινωνίας με νομική βάση το υπέρτερο έννομο συμφέρον (άρθρο 6 παρ. 1 στ’ ΓΚΠΔ), σύμφωνα με την αρχή της λογοδοσίας κατ’ άρθρο 5 παρ. 2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να τεκμηριώσει επαρκώς τη στάθμιση, την οποία οφείλει να έχει πραγματοποιήσει πριν την έναρξη της επεξεργασίας, και βάσει της οποίας αξιολόγησε ότι έναντι των συμφερόντων του δεν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες των υποκειμένων – αποδεκτών της πολιτικής επικοινωνίας.
Ομοίως, στην περίπτωση περαιτέρω χρήσης των δεδομένων για τον σκοπό της πολιτικής επικοινωνίας, ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να τεκμηριώσει τη συνδρομή των κριτηρίων της παραγράφου 4 του άρθρου 6 ΓΚΠΔ για τη συμβατότητα του σκοπού.
Ενδεικτικά παραδείγματα περιπτώσεων στις οποίες μπορεί, κατ’ εκτίμηση των συγκεκριμένων περιστάσεων, να τεκμηριωθεί η νομιμότητα της επεξεργασίας προσωπικών δεδομένων για τον σκοπό της πολιτικής επικοινωνίας:
• Εάν ο υποψήφιος έχει νομίμως συλλέξει στοιχεία επικοινωνίας στο πλαίσιο προηγούμενης συμμετοχής του υποκειμένου σε κάποια εκδήλωση ή δράση του υπευθύνου επεξεργασίας, ανεξαρτήτως του πολιτικού χαρακτήρα της
• Εάν ο υποψήφιος έχει αποκτήσει τα στοιχεία αυτά στο πλαίσιο προσωπικής επαγγελματικής του σχέσης με τους πολίτες (π.χ. χρήση του αρχείου πελατών από υποψήφιο βουλευτή – δικηγόρο)
• Εάν ο υποψήφιος αποτελεί μέλος κόμματος και έχει αποκτήσει νομίμως από το κόμμα του τα στοιχεία άλλων μελών ή «φίλων» του κόμματος. Προς τον σκοπό ενίσχυσης της διαφάνειας συνιστάται να περιλαμβάνεται σχετική πρόβλεψη στο Καταστατικό του κόμματος
• Εάν ο υποψήφιος ανήκει σε κάποιο σύλλογο ή σωματείο και έχει αποκτήσει νομίμως τα στοιχεία των μελών του. Προς τον σκοπό ενίσχυσης της διαφάνειας συνιστάται να περιλαμβάνεται σχετική πρόβλεψη στο Καταστατικό του συλλόγου ή σωματείου.
• Η σχέση φίλου ή ακολούθου στο προφίλ υποψηφίου σε μέσα κοινωνικής δικτύωσης, ενδέχεται να δικαιολογεί την αποστολή προσωπικών μηνυμάτων πολιτικού περιεχομένου δια του ιδίου μέσου κοινωνικής δικτύωσης
Αντίθετα ενδεικτικά παραδείγματα περιπτώσεων στις οποίες δεν επιτρέπεται να χρησιμοποιηθούν τα προσωπικά δεδομένα για τον σκοπό της πολιτικής επικοινωνίας:
• Εάν ο υποψήφιος έχει συλλέξει διευθύνσεις ηλεκτρονικού ταχυδρομείου ή/και τηλεφωνικούς αριθμούς από το διαδίκτυο με χρήση ανιχνευτή ιστού (web crawler)
• Εάν ο υποψήφιος έχει αγοράσει από τρίτη εταιρεία λίστα με στοιχεία επικοινωνίας πολιτών, ακόμα και αν υφίσταται συγκατάθεση για τη χρήση τους με σκοπό την εμπορική προώθηση προϊόντων/υπηρεσιών
• Εάν ο υποψήφιος έχει συλλέξει στοιχεία επικοινωνίας επαγγελματιών από καταλόγους ή δημόσια μητρώα που είναι αναρτημένα στο διαδίκτυο για σκοπούς διαφάνειας ή επαγγελματικής επικοινωνίας
• Εάν ο υποψήφιος που κατείχε δημόσια θέση έχει συλλέξει δεδομένα πολιτών τα οποία αυτοί παρείχαν στο πλαίσιο των συναλλαγών τους με την υπηρεσία του.
Δείτε αναλυτικά τις Κατευθυντήριες Γραμμές.