Πρόστιμο 40.000 ευρώ στη ΝΔ από την Αρχή Προστασίας Δεδομένων για το σκάνδαλο Ασημακοπούλου

H Αρχή κατέληξε στο συμπέρασμα ότι στη διαρροή δεν εμπλέκεται άμεσα η ΝΔ, κρίνοντας πως τα τα εμπλεκόμενα πρόσωπα λειτούργησαν ως ιδιώτες και όχι ως υπάλληλοι του κόμματος. Ωστόσο επέβαλε πρόστιμο 30.000 ευρώ στη ΝΔ καθώς διαπιστώθηκε ότι δεν λάμβανε επαρκή μέτρα για την προστασία των προσωπικών δεδομένων κι επιπλέον 10.000 ευρώ διότι έκρινε ότι από τον πρώην γραμματέα Αποδήμων της ΝΔ Νίκο Θεοδωρόπουλο, διέρρευσε η σχετική λίστα.

Επίσης, επιβλήθηκαν πρόστιμα ύψους 10.000 ευρώ τόσο στον Νίκο Θεοδωρόπουλο, τότε γραμματέα Αποδήμων της ΝΔ, όσο και στον Μένιο Κορομηλά, τότε Οργανωτικό Γραμματέα Αυτοδιοίκησης και Διαχείρισης Κρίσεων του κόμματος, για τη διαβίβαση των δεδομένων​.

Σύμφωνα με την απόφαση, «από την διαδικασία και τα στοιχεία του φακέλου προέκυψε αναμφίβολα ότι το επίμαχο αρχείο παρανόμως εξήχθη από το Υπουργείο Εσωτερικών και από άγνωστο πρόσωπο απεστάλη στον Μένιο Κορομηλά, από τον τελευταίο στον Νίκο Θεοδωρόπουλο και από τον τελευταίο στην Άννα Μισέλ Ασημακοπούλου. Από το σύνολο των ανωτέρω προκύπτει ότι η διακίνηση του εν λόγω επίμαχου αρχείου παραβίασε τους κανόνες προστασίας των προσωπικών δεδομένων και πρέπει να αναζητηθεί και προσδιορισθεί ένας ή περισσότεροι Υπεύθυνοι Επεξεργασίας κατά τα ανωτέρω».

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:

«Α. Επιβάλλει στον Μένιο Κορομηλά, κατά πλειοψηφία, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ πρόστιμο δέκα χιλιάδων (10.000) ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και άρθρο 6 παρ. 1 του ΓΚΠΔ, όπως αναλύεται στο σκεπτικό της παρούσης.

Β. Επιβάλλει στη Νέα Δημοκρατία, ομοφώνως, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ, χρηματικό πρόστιμο ύψους τριάντα χιλιάδων (30.000) ευρώ για τις παραβιάσεις των άρθρων 25 παρ. 1 και 32 του ΓΚΠΔ, όπως αναλύονται στο σκεπτικό της παρούσης. Δίνει επίσης εντολή, κατ’ άρθρο 58 παρ. 2 εδ. ζ’ του ΓΚΠΔ στην Νέα Δημοκρατία, ως υπεύθυνο επεξεργασίας, να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού που έχει στην κατοχή της μέσω των περιγραφόμενων στο σκεπτικό παράνομων επεξεργασιών και να θεραπεύσει τις ελλείψεις στις διαδικασίες για την προστασία προσωπικών δεδομένων, όπως περιγράφονται στο σκεπτικό και να διασφαλίσει την τήρησή τους από τα κομματικά της στελέχη.

Γ. Επιβάλλει στη Νέα Δημοκρατία, κατά πλειοψηφία, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ πρόστιμο δέκα χιλιάδων (10.000) ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και 6 παρ. 1 του ΓΚΠΔ, όπως αναλύεται στο σκεπτικό της παρούσης.

Δ. Επιβάλλει στον Νίκο Θεοδωρόπουλο, κατά πλειοψηφία, κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ του ΓΚΠΔ πρόστιμο δέκα χιλιάδων (10.000) ευρώ για παραβίαση των άρθρων 5 παρ. 1 α’, β’ και άρθρο 6 παρ. 1 ΓΚΠΔ, όπως αναλύεται στο σκεπτικό της παρούσης».

Συγκεκριμένα, σε σχέση με τις ευθύνες της ΝΔ, η Αρχή «διαπίστωσε ομόφωνα ότι τα τεχνικά και οργανωτικά μέτρα που έχει λάβει η Νέα Δημοκρατία ως Υπεύθυνη Επεξεργασίας προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ (πολιτικές) δεν περιλαμβάνουν τις δραστηριότητες επεξεργασίας των Γραμματειών της. Αν και η οργάνωση του κόμματος είναι συγκεκριμένη με βάση το καταστατικό της, οι πολιτικές σε σχέση με τα δεδομένα και τις προσωπικές συσκευές (BYOD) είναι ελλιπείς και περιορίζονται στο εσωτερικό δίκτυό της. Και τούτο διότι, όπως προέκυψε από το φάκελο της υπόθεσης, σημαντικό τμήμα των δραστηριοτήτων εκτελείται από προσωπικές συσκευές στελεχών του κόμματος, για τις οποίες δεν υφίσταται καμία πρόβλεψη σε σχέση με τον έλεγχο των προσωπικών δεδομένων που ίσως τυγχάνουν επεξεργασίας σε αυτές.

Ως εκ τούτου προκύπτει παράβαση του άρθρου 25 παρ.1 του ΓΚΠΔ, γιατί από τον σχεδιασμό, η Νέα Δημοκρατία άφησε χωρίς ουσιαστική εποπτεία ή καθοδήγηση όργανα του κόμματος και προσωπικό, τα οποία είναι γνωστό ότι επεξεργάζονται προσωπικά δεδομένα. Αυτό είναι μια αστοχία από τον σχεδιασμό, καθώς έγινε κατ’ επιλογή του Υπευθύνου Επεξεργασίας. Περαιτέρω, κατά τη γνώμη του Προέδρου και των μελών Σπύρου Βλαχόπουλου, Κων/νου Λαμπρινουδάκη, Αικατερίνης Ηλιάδου και Χρήστου Καλλονιάτη, η έλλειψη πολιτικής προστασίας δεδομένων αλλά και η απουσία πρακτικών κανόνων ελέγχου, διευκόλυναν την διαπιστωθείσα εν προκειμένω μη νόμιμη συλλογή, εσωτερική διακίνηση και τήρηση του επίμαχου αρχείου από τον τ. Γραμματέα Αποδήμων αλλά και στη χρήση αυτού για τον αρχικό σκοπό του αρχείου (στατιστικά κατά τις εκλογές Ιουνίου 2023). Κατά την γνώμη των ιδίων, διαπιστώθηκε επίσης ότι μετά τη γνώση του υπό έλεγχο περιστατικού από τη Νέα Δημοκρατία, αλλά και μετά τη διαπίστωση ότι στην εν λόγω παράνομη διακίνηση έχουν εμπλακεί δύο όργανα του κόμματος, το κόμμα δεν προχώρησε σε ενδελεχή διερεύνηση των συνθηκών υπό τις οποίες έλαβε χώρα παράνομη επεξεργασία δεδομένων από πρόσωπα που ενεργούν υπό την εποπτεία της, σύμφωνα με το άρθρο 29 ΓΚΠΔ, και δεν προέβη σε κατάλληλες ενέργειες προκειμένου να εξεταστεί η πιθανή ανάγκη λήψης περαιτέρω μέτρων ώστε να αποτραπεί ο κίνδυνος παράνομης επεξεργασίας προσωπικών δεδομένων στο μέλλον. Ο έλεγχος στον ηλεκτρονικό υπολογιστή της Γραμματείας εντός των εγκαταστάσεων της Νέας Δημοκρατίας δεν επαρκεί, αφού ήταν γνωστό ότι τηρούνταν στοιχεία σε προσωπικές συσκευές».

Μάλιστα, η Αρχή έκρινε κατά πλειοψηφία ότι η «Νέα Δημοκρατία πρέπει να θεωρηθεί ως Υπεύθυνη Επεξεργασίας για την επεξεργασία του αρχείου εκλογέων εξωτερικού από τον τ. Γραμματέα Αποδήμων της Νέας Δημοκρατίας. Η επεξεργασία αυτή έγινε στο πλαίσιο εκπλήρωσης των αρμοδιοτήτων και των καθηκόντων που του είχαν ανατεθεί και εξυπηρετούσε σκοπούς του κόμματος (δημογραφική στατιστική ανάλυση εκλογικού αποτελέσματος Ιουνίου 2023 προς εξαγωγή πολιτικών συμπερασμάτων), επομένως έγινε για λογαριασμό της Νέας Δημοκρατίας, ως υπευθύνου επεξεργασίας. Η εν λόγω επεξεργασία, έγινε κατά παράβαση των διατάξεων που προβλέπουν τη νόμιμη διαδικασία παράδοσης εκλογικών καταλόγων στα πολιτικά κόμματα κατά την προεκλογική περίοδο, επομένως έλαβε χώρα κατά παράβαση της βασικής αρχής της νομιμότητας, (άρθρο 5 παρ. 1 α’ σε συνδυασμό με 6 παρ. 1 ΓΚΠΔ).

Κατά την γνώμη δυο (2) μελών και συγκεκριμένα των Γρηγορίου Τσόλια και Νικολάου Λίβου υφίστανται αμφιβολίες σχετικά με το εάν η Νέα Δημοκρατία απέκτησε την ιδιότητα της Υπευθύνου Επεξεργασίας σχετικά με την από μέρους του Νίκου Θεοδωρόπουλου κατοχή και επεξεργασία του επίμαχου παράνομου αρχείου για στατιστικούς σκοπούς, σύμφωνα με τα αναλυτικώς διαλαμβανόμενα κατωτέρω».

Επιπλέον, «η Νέα Δημοκρατία δεν δικαιούται εκ του νόμου να έχει στην κατοχή της το επίμαχο παράνομο αρχείο, στο οποίο περιλαμβάνονται επιπλέον τα τηλέφωνα επικοινωνίας και οι ηλεκτρονικές διευθύνσεις επικοινωνίας εκλογέων εξωτερικού, δοθέντος ότι το τελευταίο προορίζεται αποκλειστικά για χρήση από τις κατά τόπους Πρεσβείες και το Υπουργείο Εσωτερικών. Ούτε όμως αποδείχθηκε ότι η Νέα Δημοκρατία το έλαβε μέσω των κομματικών καναλιών επικοινωνίας και ότι το είχε στα συστήματα αρχειοθέτησης της.

Αντιθέτως, από το υπ’ αριθμ. Γ/ΕΙΣ/2325/12-03-2024 έγγραφο του Υπουργείου Εσωτερικών προκύπτει ότι η Νέα Δημοκρατία είχε ζητήσει και είχε λάβει, όπως και τα λοιπά κόμματα, CD με αντίτυπα εκλογικών καταλόγων στις 13.6.2023, στην προβλεπόμενη νόμιμη μορφή, χωρίς δηλαδή να συμπεριλαμβάνονται στοιχεία ηλεκτρονικής επικοινωνίας των εκλογέων. Έτσι, διαπιστώθηκε από την Αρχή με την υπ’ άρ. 16/2024 ομόφωνη απόφασή της ότι τα εκλογικά αρχεία που χορηγήθηκαν από το Υπουργείο Εσωτερικών στα πολιτικά κόμματα εν όψει των βουλευτικών εκλογών του Μάιου και του Ιουνίου 2023 «δεν περιλάμβαναν τις διευθύνσεις e-mail ούτε τα τηλέφωνα επικοινωνίας των εκλογέων εξωτερικού, ενώ κανένα φυσικό πρόσωπο με την ιδιότητα του υποψηφίου δεν αιτήθηκε αντίτυπο ειδικών εκλογικών καταλόγων εξωτερικού του 2023».

Αντιθέτως, ο Νίκος Θεοδωρόπουλος υποστηρίζει ότι η Νέα Δημοκρατία κατείχε το επίμαχο παράνομο αρχείο και ότι αυτός το έλαβε μέσω WhatsApp από την τελευταία η οποία αποτελεί τον Υπεύθυνο Επεξεργασίας, διά του Μένιου Κορομηλά, προκειμένου να προβεί σε διενέργεια στατιστικών αναλύσεων ενεργώντας για λογαριασμό της προς επίτευξη των επιδιωκομένων σκοπών της με βάση τα μέσα που η ίδια του παρείχε (επίμαχο παράνομο αρχείο)».

Μάλιστα, σημειώνεται πως «παρά το ότι αποδείχθηκε ότι η Νέα Δημοκρατία δεν κατείχε στα συστήματά της το επίμαχο παράνομο αρχείο, επειδή εξάλλου κάτι τέτοιο απαγορευόταν κατά τα προεκτεθέντα, δεν μπορεί να αποκλεισθεί το ενδεχόμενο η τελευταία να το κατείχε ανεπισήμως και παρανόμως λαμβάνοντας υπόψη ότι το κομματικό στέλεχος της Μένιος Κορομηλάς αδιαμφισβήτητα το κατείχε και το προώθησε στον Νίκο Θεοδωρόπουλο.

Στην τελευταία όμως περίπτωση δεν διαπιστώθηκε εάν ο Μένιος Κορομηλάς ενήργησε αυτοτελώς για λογαριασμό του ή για λογαριασμό της Νέας Δημοκρατίας. Επιπλέον, δεν έχει αποδειχθεί από ποιο πρόσωπο παρέλαβε ο Μένιος Κορομηλάς το επίμαχο παράνομο αρχείο προκειμένου να εξετασθεί και να διαπιστωθεί από την Αρχή εάν ο τελευταίος το απέκτησε εν τέλει για λογαριασμό της Νέας Δημοκρατίας ή μη, ώστε συνακόλουθα να διαπιστωθεί εάν ο Νίκος Θεοδωρόπουλος το παρέλαβε προκειμένου να προβεί σε επεξεργασία προσωπικών δεδομένων για στατιστικούς σκοπούς για λογαριασμό της Νέας Δημοκρατίας ή για δικούς του σκοπούς.

Επομένως, η ιδιότητα του Μένιου Κορομηλά ως κομματικού στελέχους δεν επαρκεί προκειμένου να διαπιστωθεί αναμφίβολα ότι η από μέρους του απόκτηση, κατοχή και διαβίβαση του επίμαχου παράνομου αρχείου έλαβε χώρα κατόπιν εντολής και για λογαριασμό της Νέας Δημοκρατίας και όχι αυτοτελώς για δικό του λογαριασμό. Οι ανωτέρω αμφιβολίες επιτείνονται και από το γεγονός ότι, όπως προεκτέθηκε, η Νέα Δημοκρατία είχε ζητήσει και είχε λάβει στις 13.6.2023 από το Υπουργείο Εσωτερικών το νόμιμο αρχείο στο οποίο δεν περιλαμβάνονταν τα στοιχεία ηλεκτρονικής επικοινωνίας των εκλογέων εξωτερικού και το οποίο ήταν κατάλληλο και πρόσφορο για την εξαγωγή στατιστικών αποτελεσμάτων, χωρίς να υφίσταται ανάγκη επεξεργασίας του επίμαχου παράνομου αρχείου για την επίτευξη του σκοπού αυτού».

«Το πρόστιμο δεν αφορά την υπόθεση της διαρροής των email» υποστηρίζουν πηγές της ΝΔ – «Θα προσφύγουμε στο ΣτΕ»

«Το πρόστιμο που επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων στη Νέα Δημοκρατία δεν αφορά την υπόθεση της διαρροής των email, αλλά την παράλληλη έρευνα που έγινε με αφορμή τη συγκεκριμένη υπόθεση και παραλείψεις που υποστηρίζει η Αρχή ότι υπάρχουν στις διαδικασίες τήρησης από πλευράς του κόμματος της νομοθεσίας για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα» αναφέρουν πηγές της ΝΔ, σύμφωνα με δημοσιεύματα.

«Η Νέα Δημοκρατία διαφωνεί με το συμπέρασμα της Αρχής θεωρώντας ότι αυτά που προτείνονται ως βελτιώσεις, είναι είτε πράγματα που η ΝΔ ήδη αποδεικνύει ότι τηρεί επιμελώς είτε προδήλως ανεφάρμοστα, ακόμη και παράνομα, όπως για παράδειγμα η άποψη της Αρχής ότι η ΝΔ θα όφειλε να ελέγξει τις προσωπικές συσκευές των στελεχών της. Για τους λόγους αυτούς προσφεύγει στο Συμβούλιο της Επικρατείας κατά της απόφασης» προσθέτουν.

«Τονίζεται ότι με βάση το πόρισμα δεν αποδεικνύεται καμία εμπλοκή της Νέας Δημοκρατίας με την υπόθεση της διαρροής των email, καμία υπαιτιότητα για τη διαρροή του αρχείου ή την αποστολή των email, ενώ αναφέρεται ρητώς ότι τίποτε από αυτά δεν έγινε κατ’ εντολή ή για λογαριασμό της, αλλά αυτοτελώς από τα ελεγχόμενα πρόσωπα» συμπληρώνουν.

Ενδεικτικό είναι, μάλιστα, το γεγονός ότι η εν λόγω απόφαση της Αρχής, σε αντίθεση με ό,τι συνηθίζεται, δεν είναι ομόφωνη, αλλά διατυπώνονται και οι απόψεις των μελών που μειοψήφισαν, προτείνοντας απαλλαγή» καταλήγουν οι ίδιες πηγές.