Απόφαση

Η Αρχή εξέτασε καταγγελία για μη ικανοποίηση του δικαιώματος πρόσβασης υποκειμένου των δεδομένων μετά τη λήψη φακέλου αζήτητης πολιτικής επικοινωνίας μέσω συμβατικού ταχυδρομείου από υποψήφιο δήμαρχο, ο οποίος στο εσωτερικό του περιλάμβανε δύο ψηφοδέλτια σταυρωμένα. Η Αρχή με την με αριθμό 29/2020 απόφασή της έκρινε ότι δεν τεκμηριώνεται παράβαση εκ μέρους του καταγγελλομένου σχετικά με αποστολή μη ζητηθείσας πολιτικής επικοινωνίας μέσω συμβατικού ταχυδρομείου. Και αυτό διότι δεν προκύπτει ότι ο φάκελος εστάλη από τον ίδιο τον καταγγελλόμενο για την προώθηση της υποψηφιότητάς του αφού ευλόγως μπορεί να θεωρηθεί ότι έχει σταλεί από υποψήφιο δημοτικό σύμβουλο, ο οποίος συμμετείχε στον συνδυασμό του καταγγελλόμενου, για την προώθηση της δικής του υποψηφιότητας, δεδομένου ότι ο φάκελος περιείχε δύο σταυρωμένα ψηφοδέλτια. Η Αρχή, με την ίδια απόφαση, επέβαλε πρόστιμο 3.000 ευρώ στον καταγγελλόμενο υπεύθυνο επεξεργασίας για μη ικανοποίηση του δικαιώματος πρόσβασης. 

Η Αρχή εξέτασε καταγγελία για αποστολή ανεπιθύμητου συντόμου γραπτού μηνύματος (SMS) από υποψήφια βουλευτή με σκοπό την επικοινωνία πολιτικού χαρακτήρα και μη ικανοποίηση του δικαιώματος διαγραφής. Η Αρχή έκρινε ότι η καταγγελλομένη, ως υπεύθυνος επεξεργασίας, δεν προσκόμισε στοιχεία που να αποδεικνύουν ότι έχει εξασφαλίσει την προηγούμενη συγκατάθεση των παραληπτών των μηνυμάτων SMS, ή ότι είχε υπάρξει προηγούμενη παρόμοια επαφή με τα υποκείμενα των δεδομένων. Η Αρχή με την με αριθμό 28/2020 Απόφασή της επέβαλε διοικητικό πρόστιμο 3.000 ευρώ στην υποψήφια βουλευτή για παράνομη επεξεργασία προσωπικών δεδομένων προς το σκοπό της πολιτικής επικοινωνίας μέσω αποστολής ηλεκτρονικών μηνυμάτων και παράλειψη ενημέρωσης του υποκειμένου των δεδομένων για ενέργεια που πραγματοποίησε σχετικά με υποβληθέν αίτημα διαγραφής δεδομένων.

Η Αρχή πραγματοποίησε επιτόπιο διοικητικό έλεγχο στο Εθνικό Πληροφοριακό Σύστημα Θεωρήσεων N.VIS (ELVIS) στις εγκαταστάσεις του Υπουργείου Εξωτερικών τόσο επί της διεύθυνσης Ακαδημίας 1, Αθήνα, όπου είναι εγκατεστημένο το εν λόγω σύστημα ELVIS, όσο και επί της διεύθυνσης Βασιλίσσης Σοφίας 1, Αθήνα όπου στεγάζεται η Κεντρική Υπηρεσία του Υπουργείου. Ο έλεγχος εστίασε στην προστασία και την ασφάλεια των προσωπικών δεδομένων που υφίστανται επεξεργασία στο πλαίσιο της λειτουργίας του εν λόγω συστήματος, σύμφωνα και με τις ειδικότερες απαιτήσεις που τίθενται από τον Κανονισμό (ΕΚ) αριθ. 767/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 9ης Ιουλίου 2008 για το σύστημα πληροφοριών για τις θεωρήσεις και την ανταλλαγή στοιχείων μεταξύ των κρατών μελών για τις θεωρήσεις μικρής διάρκειας, καθώς και από την Απόφαση του Συμβουλίου 2008/633/ΔΕΥ του Συμβουλίου της 23ης Ιουνίου 2008 σχετικά με την πρόσβαση στο σύστημα πληροφοριών για τις θεωρήσεις των εντεταλμένων αρχών των κρατών μελών καθώς και της Ευρωπόλ, προς αναζήτηση δεδομένων για την πρόληψη, εξακρίβωση και διερεύνηση τρομοκρατικών πράξεων και άλλων σοβαρών αξιόποινων πράξεων.

Με την υπ’ αριθμ. 27/2020 Απόφαση, η Αρχή ενέκρινε τις προτάσεις της ομάδας ελέγχου, οι οποίες αποτυπώνονται στο πόρισμα του ελέγχου, δίνοντας εντολή στο Υπουργείο Εξωτερικών (Γ4 Διεύθυνση – Δικαιοσύνης, Εσωτερικών Υποθέσεων, Μετανάστευσης και Schengen, καθώς και ΣΤ2 Διεύθυνση – Επικοινωνιών και Πληροφορικής), ως υπεύθυνο επεξεργασίας κατά την έννοια του άρ. 4 στοιχ. 7 του ΓΚΠΔ, να συμμορφωθεί με τις συστάσεις που αναφέρονται στο πόρισμα του ελέγχου και να ενημερώσει σχετικά την Αρχή εντός ενός έτους από τη λήψη αυτού.

Η Αρχή, με την Απόφαση 26/2020, τροποποίησε το σχέδιο των απαιτήσεων διαπίστευσης για τους φορείς παρακολούθησης κωδίκων δεοντολογίας, βάσει των συστάσεων της γνώμης 20/2020 του Συμβουλίου Προστασίας Δεδομένων. Το αρχικό σχέδιο, όπως είχε διαμορφωθεί με την υπ’ αριθμ. 9/2020 Απόφαση της Αρχής, είχε υποβληθεί στο Συμβούλιο στο πλαίσιο του μηχανισμού συνεκτικότητας του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ). Με την Απόφαση 26/2020 αποφασίστηκε η ανακοίνωση του τροποποιημένου σχεδίου απαιτήσεων διαπίστευσης στο Συμβούλιο, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ. Οι τελικές απαιτήσεις της Αρχής για τη διαπίστευση των φορέων παρακολούθησης των κωδίκων δεοντολογίας, όπως τροποποιήθηκαν βάσει της απόφασης 20/2020 του Συμβουλίου, δημοσιοποιούνται από την Αρχή  με δημοσίευση στο διαδικτυακό τόπο της, σύμφωνα με το άρθρο 57 παρ. 1 στοιχ. ιστ’ του ΓΚΠΔ και με το άρθρο 15 παρ. 10 του ν.4624/2019.

Η Αρχή, με την με αριθμό 25/2020 Απόφασή της, αποφάσισε ομόφωνα, την τροποποίηση του σχεδίου των συμπληρωματικών απαιτήσεων για τη διαπίστευση των φορέων πιστοποίησης, βάσει όλων των συστάσεων και ενθαρρύνσεων της σχετικής γνώμης 22/2020 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Το αρχικό σχέδιο, όπως είχε διαμορφωθεί με την υπ’ αριθμ. 8/2020 Απόφαση της Αρχής, είχε υποβληθεί στο Συμβούλιο στο πλαίσιο του μηχανισμού συνεκτικότητας του ΓΚΠΔ. Με την Απόφαση 25/2020 αποφασίστηκε η ανακοίνωση του τροποποιημένου σχεδίου των απαιτήσεων διαπίστευσης στο Συμβούλιο, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ. Οι τελικές συμπληρωματικές απαιτήσεις της Αρχής για τη διαπίστευση των φορέων πιστοποίησης, όπως τροποποιήθηκαν βάσει της απόφασης 22/2020 του Συμβουλίου, δημοσιοποιούνται από την Αρχή με δημοσίευση στο διαδικτυακό της τόπο, σύμφωνα με το άρθρο 57 παρ. 1 στοιχ. ιστ’ του ΓΚΠΔ και με το άρθρο 15 παρ. 10 του ν.4624/2019.

Η Αρχή, με την την υπ’ αριθμ. 24/2020 Απόφαση, εξέτασε καταγγελία κατά υποψήφιας βουλευτή, αναφορικά με αζήτητη πολιτική επικοινωνία κατά την προεκλογική περίοδο των Βουλευτικών Εκλογών του Ιουλίου 2019. Ειδικότερα, σύμφωνα με την ως άνω καταγγελία, ο καταγγέλλων έλαβε δύο κλήσεις στο προσωπικό του κινητό τηλέφωνο, όπου κατά τη δεύτερη κλήση την οποία απάντησε, η συνομιλήτριά του (χωρίς να αποκαλύψει την ταυτότητά της) δήλωσε ότι καλεί εκ μέρους της καταγγελλόμενης και σκοπός της κλήσης ήταν η ενημέρωση σχετικά με τη συμμετοχή της ως Υποψήφιας Βουλευτή στις Βουλευτικές Εκλογές της 7ης Ιουλίου 2019. Ο τηλεφωνικός αριθμός του καταγγέλλοντος ήταν καταχωρημένος στο μητρώο του άρθρου 11 παρ. 2 ν. 3471/2006 που τηρεί ο πάροχος τηλεπικοινωνιακών του υπηρεσιών. Περαιτέρω, ο καταγγέλλων δεν έλαβε, καμία απάντηση στην από 26/6/2019 επιστολή διαμαρτυρίας που απέστειλε στην καταγγελλόμενη.

Λαμβάνοντας υπόψη το άρθρο 11 του ν. 3471/2006, την Οδηγία 1/2010 της Αρχής για την πολιτική επικοινωνία,  τις κατευθυντήριες οδηγίες της Αρχής σχετικά με την επεξεργασία  προσωπικών  δεδομένων με σκοπό την πολιτική επικοινωνία και τον Γενικό Κανονισμό(ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Αρχή, επέβαλε πρόστιμο ύψους 3.000 Ευρώ για διαπιστωθείσες παραβάσεις του άρθρου 11 του ν. 3471/2006 και του άρθρου 15 του Κανονισμού (ΕΕ) 2016/679.

Καταγγελία εργαζομένου για μη χορήγηση πιστοποιητικού υπηρεσιακών μεταβολών. Η Αρχή κρίνει ότι το αντικείμενο της συγκεκριμένης καταγγελίας του εργαζομένου, μετά την χορήγηση αυτού, παρίσταται ενώπιον της Αρχής ως άνευ αντικειμένου. Η Αρχή, παραπέμπει στην Ολομέλεια, το ζήτημα αν η χορήγηση δεδομένων προσωπικού χαρακτήρα από αρχείο που τηρεί ο υπεύθυνος επεξεργασίας μέσω πιστοποιητικών, βεβαιώσεων κοκ, δηλ. μετά από σχετική πρόσθετη επεξεργασία από το σχετικό αρχείο που τηρεί – και σε αντίθεση με τη χορήγηση αντιγράφου του συνόλου του σχετικού αρχείου – εμπίπτει πράγματι στην έννοια του δικαιώματος πρόσβασης, όπως διαμορφώνεται υπό το ΓΚΠΔ και το νόμο 4624/2019.

Η Αρχή απορρίπτει την καταγγελία και επιφυλάσσεται να κρίνει επί της νομιμότητας της ακολουθούμενης πρακτικής της επεξεργασίας των  δεδομένων προσωπικού χαρακτήρα ασθενών, ως υποκειμένων των δεδομένων, καθώς και τις διαβίβασής τους προς τις αντισυμβαλλόμενες ασφαλιστικές εταιρείες στο πλαίσιο της εξέτασης του σχεδίου Κώδικα Δεοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών.

Η Αρχή απορρίπτει την καταγγελία. Η Αρχή επιφυλάσσεται να κρίνει επί της νομιμότητας της ακολουθούμενης πρακτικής της επεξεργασίας των  δεδομένων προσωπικού χαρακτήρα ασθενών, ως υποκειμένων των δεδομένων, καθώς και της διαβίβασής τους προς τις αντισυμβαλλόμενες ασφαλιστικές εταιρείες στο πλαίσιο της εξέτασης του σχεδίου Κώδικα Δεοντολογίας της Ένωσης Ασφαλιστικών Εταιρειών.

Η Αρχή απορρίπτει ως αβάσιμο τον ισχυρισμό του 401 ΓΣΝΑ ότι δεν έχει αρμοδιότητα να επιληφθεί της καταγγελίας σε βάρος του για λόγους εθνικής ασφάλειας, δυνάμει του άρθρου 10 του νόμου 4624/2019. Η Αρχή απορρίπτει ως αβάσιμη την καταγγελία του υποκειμένου των δεδομένων κατά του 401 ΓΣΝΑ και κρίνει ότι η επεξεργασία των προσωπικών δεδομένων που πραγματοποιείται στην πύλη του Νοσοκομείου είναι νόμιμη. Η Αρχή κρίνει ότι ο ορισμός ενός ΥΠΔ στο Γενικό Επιτελείο Εθνικής Άμυνας δεν διασφαλίζει την αποτελεσματική άσκηση των καθηκόντων του για την υπαγόμενη σ΄ αυτό μονάδα, ήτοι το 401 ΓΣΝΑ, και καλεί το 401 ΓΣΝΑ να μεριμνήσει για τον ορισμό ΥΠΔ κατά τρόπο που να ανταποκρίνεται στις απαιτήσεις της νομοθεσίας περί προσωπικών δεδομένων.