Όπως σημειώνει η Αρχή, ο πρώτος, μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωση ως νεότερο στοιχείο, το οποίο μπορεί να ληφθεί υπόψη από την Αρχή στο πλαίσιο του αυτεπάγγελτου ελέγχου και από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών.
Ειδικά για το Υπουργείο Εσωτερικών η Αρχή επιβάλλει να λάβει μια σειρά μέτρων συμμόρφωσης. Στο διατακτικό της απόφασης (δείτε την ολόκληρη στη στήλη Συνοδευτικό Υλικό αναφέρει:
Α. Για τις παραβάσεις των άρθρων 5 παρ. 1 α’ σε συνδυασμό με άρθρο 6 παρ. 1 και άρθρο 14 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β1 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ ΓΚΠΔ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους σαράντα χιλιάδων (40.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 εδ. ζ’ του ΓΚΠΔ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας, να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού.
Β. Για τις παραβάσεις των άρθρων 5 παρ. 1 εδ. στ και 32 του ΓΚΠΔ, του άρθρου 25, παρ. 1, του άρθρου 33 παρ. 3,4,5 του ΓΚΠΔ, καθώς και του άρθρου 30 του ΓΚΠΔ, όπως αναλύονται στο κεφάλαιο Β4 του σκεπτικού της παρούσης, i) επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ ΄ ΓΚΠΔ στο Υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους τετρακοσίων χιλιάδων (400.000) ευρώ, και ii) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. δ΄ ΓΚΠΔ, στο Υπουργείο Εσωτερικών, ως υπεύθυνο επεξεργασίας, όπως προβεί στις ακόλουθες ενέργειες:
Με αφορμή το περιστατικό αυτό, θα πρέπει το Υπουργείο να καταγράψει σε εγκεκριμένες πολιτικές, να ελέγξει και να αναθεωρήσει τις διαδικασίες και τα μέτρα που εφαρμόζει σχετικά με την προστασία προσωπικών δεδομένων κατά την επεξεργασία προσωπικών δεδομένων των εκλογέων, συμπεριλαμβανομένων όσων στοιχείων τηρούνται στο σύστημα ΟΣΥΕΔ αλλά και σε όποιο άλλο σχετιζόμενο σύστημα.
Με τις παραπάνω ενέργειες πρέπει να διασφαλίζονται οι αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ και ιδίως η εμπιστευτικότητα σε όλη τη διαδικασία εκλογών και να προβλεφθεί διαδικασία περιοδικής αξιολόγησης των μέτρων. Το Υπουργείο πρέπει εντός τριών μηνών από την κοινοποίηση της παρούσας, να συντάξει σχετικό χρονοδιάγραμμα, στο οποίο θα προσδιορίζονται οι διαδικασίες για την κατάρτιση, την υλοποίηση, την επίβλεψη και την επικαιροποίηση των ανωτέρω και ο χρόνος εκτέλεσής τους, να γνωστοποιήσει αμελλητί στην Αρχή το χρονοδιάγραμμα, και να την ενημερώνει ανά τρίμηνο για την εφαρμογή του.
Ως ειδικότερα μέτρα για την αποφυγή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων θα πρέπει να προβλεφθούν και εφαρμοστούν αμελλητί τα εξής:
1.Συστηματική ανάλυση του θεσμικού πλαισίου της διενέργειας των εκλογών, προσδιορισμός των διαδικασιών που προϋποθέτουν επεξεργασία προσωπικών δεδομένων, καταγραφή για κάθε διαδικασία των ροών των προσωπικών δεδομένων και των αποδεκτών κάθε είδους δεδομένων.
Στο πλαίσιο της ανάλυσης, θα πρέπει να ελαχιστοποιηθεί η δυνατότητα εκτέλεσης ενεργειών σε σύνολα δεδομένων από φυσικά πρόσωπα (π.χ. υπαλλήλους) ώστε να παραμείνουν οι απόλυτα αναγκαίες. Διαδικασίες οι οποίες είναι επαναλαμβανόμενες πρέπει να εκτελούνται με την ελάχιστη ανθρώπινη παρέμβαση και χωρίς εξαγωγή δεδομένων.
Ειδικότερα προτείνονται: α) Όλες οι λειτουργίες που απαιτούν μαζική επεξεργασία προσωπικών δεδομένων εκλογέων, και ειδικά δεδομένων επικοινωνίας, να ενσωματωθούν στις εφαρμογές, ώστε οι σύμφωνες με το νόμο επεξεργασίες να πραγματοποιούνται μέσα από το περιβάλλον της εφαρμογής (π.χ αποστολή ενημερωτικών μηνυμάτων στους εκλογείς), με πλήρη καταγραφή ενεργειών.
β) Να εξετασθεί η δυνατότητα χρήσης λογισμικού DLP, ειδικά για τις μονάδες του Υπουργείου που εμπλέκονται σε εξαγωγές αρχείων.
γ) Απαγόρευση διακίνησης μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ή άλλου τρόπου εσωτερικής επικοινωνίας αρχείων που περιέχουν προσωπικά δεδομένα εκλογέων. Κατ’ εξαίρεση, εφόσον είναι πραγματικά αναγκαίο, τέτοια διακίνηση μπορεί να γίνει μόνο σε κρυπτογραφημένη μορφή. Στο κάθε μήνυμα θα πρέπει να αναγράφεται ο σκοπός επεξεργασίας και ο σκοπός διακίνησης καθώς και να προκύπτει ο χρόνος τήρησης του αρχείου. Ο κωδικός να γνωστοποιείται με διαφορετικό μέσο. Η διακίνηση αυτή πρέπει να έχει εγκριθεί από αρμόδιο υψηλόβαθμο υπηρεσιακό στέλεχος και η σχετική έγκριση να τηρείται σε αρχείο (audit trail) για επαρκές χρονικό διάστημα.
δ) Αναθεώρηση της διαδικασίας καταγραφής ενεργειών τύπου ερωτημάτων (SELECT) σε πίνακες της βάσης δεδομένων του ΟΣΥΕΔ ή σε άλλα συστήματα που επεξεργάζονται προσωπικά δεδομένα και λήψη μέτρων για τον αυτοματοποιημένο, προληπτικό, έλεγχο των αρχείων καταγραφής
2.Πολιτική και Σχέδιο ασφάλειας – λοιπά οργανωτικά μέτρα
Με δεδομένο ότι στην Αρχή δεν κατατέθηκε εγκεκριμένη πολιτική ασφάλειας (ή επιμέρους σχέδια ασφάλειας), το Υπουργείο οφείλει να επικαιροποιήσει την Πολιτική Ασφάλειας που εφαρμόζει και τα συνοδευτικά αυτής επιμέρους σχέδια ασφάλειας τα οποία αφορούν επεξεργασία προσωπικών δεδομένων εκλογέων ώστε:
α) Να περιλαμβάνονται τα συστήματα διαχείρισης των δεδομένων των εκλογέων και να αποφασιστεί ποιοι από τους προτεινόμενους κανόνες θα υλοποιηθούν (ή να καταγραφεί ποιοι έχουν υλοποιηθεί).
β) Να περιλαμβάνονται κατάλληλες προβλέψεις για ενημέρωση των συμβάσεων με εκτελούντες την επεξεργασία για τις αλλαγές που θα προκύψουν.
γ) Τεκμηρίωση, αναθεώρηση και επικαιροποίηση της διαδικασίας χειρισμού περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα, με έμφαση στο περιεχόμενο της γνωστοποίησης στην Αρχή, της ενημέρωσης των υποκειμένων, και των κατάλληλων διαδικασιών και οργάνων για την εσωτερική διερεύνηση.
δ) Έλεγχος από ανεξάρτητο οργανισμό ή φορέα, σε τακτική βάση τουλάχιστον ετησίως, της ασφάλειας των συστημάτων και διαδικασιών, συμπεριλαμβανομένης της αποτίμησης των εφαρμοζόμενων μέτρων ασφάλειας.
ε) Ο περιοδικός έλεγχος από το Υπουργείο, τουλάχιστον ετησίως, των τυχόν εκτελούντων την επεξεργασία ως προς τη λήψη των κατάλληλων μέτρων ασφάλειας.
3.Μέτρα ενημέρωσης και ευαισθητοποίησης του προσωπικού
Να σχεδιαστεί πρόγραμμα δράσεων ευαισθητοποίησης και εκπαίδευσης τόσο της ηγεσίας όσο και στελεχών κάθε επιπέδου και υπαλλήλων του Υπουργείου για ζητήματα προστασίας προσωπικών δεδομένων, και ειδικά για τις υποχρεώσεις του υπευθύνου επεξεργασίας, τον τρόπο συνεργασίας με την Αρχή και το ρόλο του ΥΠΔ. Οι δράσεις του προγράμματος θα πρέπει να προβλέπουν δραστηριότητες που κρατούν σε εγρήγορση το προσωπικό του Υπουργείου.
Γ. Αναβάλλει την έκδοση απόφασης ως προς τη Νέα Δημοκρατία και τον Νίκο Θεοδωρόπουλο, κατά τα ανωτέρω αναφερόμενα.
ΥΠΕΣ: Θα αποφασίσουμε τις επόμενες νομικές ενέργειες
Με αφορμή τη δημοσιοποίηση του πορίσματος της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, από το Γραφείο Τύπου του Υπουργείου Εσωτερικών επισημαίνονται τα εξής:
Η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επιβεβαιώνει ότι η αποστολή προεκλογικού υλικού σε ηλεκτρονικές διευθύνσεις Ελλήνων πολιτών δεν έχει σχέση με την επιστολική ψήφο, αφού αποδείχτηκε ότι η σχετική λίστα είχε δημιουργηθεί στις 8 Ιουνίου 2023 και είχε σταλεί στον Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας στις 23 Ιουνίου 2023. Οκτώ, δηλαδή, μήνες πριν νομοθετηθεί η επιστολική ψήφος και πριν τις βουλευτικές εκλογές του Ιουνίου, όταν η χώρα είχε Υπηρεσιακή Κυβέρνηση.
Προφανώς δεν έχει σχέση ούτε με τις εκλογικές διαδικασίες, οι οποίες πραγματοποιούνται εδώ και 50 χρόνια στη χώρα μας με άψογο τρόπο, υπό την εποπτεία των Δικαστικών Αρχών.
Η Κυβέρνηση, από την πρώτη στιγμή, δήλωσε την απόφαση της να ξεκαθαρίσει αυτή η υπόθεση, και πολύ γρήγορα ανελήφθησαν πολιτικές ευθύνες με την παραίτηση του Γενικού Γραμματέα του Υπουργείου Εσωτερικών που ήταν τον Ιούνιο του 2023 αρμόδιος για τις εκλογές, καθώς και του Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας, αλλά και τη μη συμμετοχή της εν λόγω ευρωβουλευτού στις Ευρωεκλογές 2024.
Στο Υπουργείο Εσωτερικών θα μελετήσουμε ενδελεχώς την απόφαση της Αρχής, με την οποία συνεργαστήκαμε πλήρως, προκειμένου να αποφασίσουμε τις επόμενες νομικές μας ενέργειες.
Η προσπάθεια για την προστασία των προσωπικών δεδομένων των πολιτών οφείλει να είναι διαρκής, με βάση και τη συνεχή εξέλιξη της τεχνολογίας. Ακριβώς γι’ αυτό, έχουμε ήδη δρομολογήσει σειρά πρωτοβουλιών, με νέα μέτρα προστασίας, όπως η κρυπτογράφηση των προσωπικών δεδομένων, η κατάρτιση ειδικού, υποχρεωτικού προγράμματος επιμόρφωσης για όλους τους υπαλλήλους του Υπουργείου Εσωτερικών και η δρομολόγηση ειδικής οριζόντιας μελέτης προκειμένου να εξεταστούν οι υφιστάμενες πολιτικές ασφαλείας και να αποτυπωθούν προτάσεις για την περαιτέρω βελτίωση των συστημάτων ασφαλείας και των διαδικασιών προστασίας δεδομένων προσωπικού χαρακτήρα.
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο reporter.gr