Τα ενυπόγραφα άρθρα εκφράζουν τον συντάκτη τους, χωρίς να συμπίπτουν κατ' ανάγκη με την άποψη του Tvxs.gr
Μια μακριά συζήτηση έχει ξεκινήσει αυτές τις πρώτες μέρες του GDPR-gate, σχετικά με το τι έχει συμβεί. Αρκετές -αντιφατικές- δηλώσεις της ευρωβουλευτή, ηθελημένη ή μη σύγχυση σχετικά με τα γεγονότα, πολιτικές αντεγκλήσεις και πληρωμένα τρολς έχουν δημιουργήσει ένα θολό τοπίο.
Ζούμε στην «εποχή της πληροφορίας», ωστόσο παρακολουθώντας τον δημόσιο διάλογο αυτές τις μέρες (όντας ο ίδιος άμεσα ενδιαφερόμενος – ένας από τους χιλιάδες παραλήπτες του email της ευρωβουλευτή του ΕΛΚ/ΝΔ Α.Μ. Ασημακοπούλου) νιώθω ότι μεγάλο μέρος της κοινωνίας γνωρίζει πολύ λίγα για το θέμα. Εργάζομαι χρόνια στο πεδίο των πληροφοριακών συστημάτων και γι’ αυτό απαιτείται να έχω γνώση του GDPR, την οποία και υποχρεούμαι να αποδεικνύω ότι διαθέτω κάθε χρόνο (annual review). Με βάση αυτή τη γνώση, θα προσπαθήσω να ξεδιαλύνω λίγο τα πράγματα, σχετικά με:
- Τι είναι ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)
- Ορισμένες σημαντικές πτυχές του
- Πως εφαρμόζεται
- Πως έχει παραβιαστεί σε αυτή την περίπτωση
- Τι γίνεται τώρα;
Πάμε λοιπόν:
Αφορά την συλλογή, επεξεργασία και διαμοιρασμό δεδομένων προσωπικού χαρακτήρα από κρατικές αρχές και επιχειρήσεις. Στόχος του κανονισμού ήταν να δημιουργήσει ένα κοινό/συνεκτικό πλαίσιο το οποίο οφείλουν να ακολουθούν όλοι οι οργανισμοί που έχουν προσωπικά δεδομένα ευρωπαίων πολιτών. Ιδιαίτερα για τις κρατικές αρχές, ο κανονισμός δεν ακολουθείται μόνο για σκοπούς που άπτονται της οδηγίας 2016/680, που αφορά διερεύνηση ποινικών κυρώσεων, δημόσια ασφάλεια κτλ. Για κάθε άλλον σκοπό, οι κρατικές αρχές οφείλουν να ακολουθήσουν τον κανονισμό.
Επιγραμματικά, ο κανονισμός απαιτεί από τους οργανισμούς να α. Έχουν την σαφή συγκατάθεση του υποκείμενου στην συλλογή, επεξεργασία και διαμοιρασμό των δεδομένων του. β. Ορίζουν σαφώς το χρονικό διάστημα αποθήκευσης και επεξεργασίας των δεδομένων. γ. Ορίζουν σαφώς τους σκοπούς και το πλαίσιο επεξεργασίας των δεδομένων. δ. Παρέχουν το δικαίωμα στην λήθη, δηλαδή το δικαίωμα των υποκείμενων στην διαγραφή των προσωπικών τους δεδομένων από τις λίστες οργανισμών. ε. Για τον διαμοιρασμό δεδομένων απαιτείται η συγκατάθεση του υποκείμενου και/ή νομική βάση για κάτι τέτοιο, ιδιαίτερα όταν ο σκοπός επεξεργασίας των δεδομένων από τον παραλήπτη αποκλίνει από τον αρχικό σκοπό για τον όποιο έγινε η συλλογή.
Για την εφαρμογή του κανονισμού όλοι οι οργανισμοί οφείλουν να ορίσουν Υπεύθυνο Επεξεργασίας, ο οποίος διασφαλίζει την χρήση προσωπικών δεδομένων σύμφωνα με τον κανονισμό. Επιπλέον οφείλουν να παρέχουν εκπαίδευση (και επανεκπαιδευση ανά τακτά χρονικά διαστήματα) σε όλα τα μέλη του οργανισμού που διαχειρίζονται προσωπικά δεδομένα.
Πάμε τώρα στο ζουμί… τι έχει γίνει σε αυτή την περίπτωση; Με κάθε επιφύλαξη στην επίσημη απάντηση του γραφείου της ευρωβουλευτή και του ΥΠΕΣ, τις οποίες και αναμένω, γνωρίζουμε ότι, σύμφωνα με την ίδια, η ευρωβουλευτής απέκτησε πρόσβαση σε προσωπικά δεδομένα πολιτών (email address) εδώ και 5 χρόνια, με στοιχεία τα οποία συλλέγει από πολίτες που γνωρίζει η ίδια και/ή της έχουν δώσει πολιτιστικοί σύλλογοι ομογενών. στο πρώτο σκέλος, η συντριπτική πλειοψηφία όσων είναι σε αυτή την λίστα δηλώνουν ότι δεν έδωσαν ποτέ την συγκατάθεση τους για την συλλογή αυτή ή ότι το email address για το οποίο έχουν δώσει την συγκατάθεση τους δεν ταυτίζεται με αυτό στο οποίο παρέλαβαν το προωθητικό email.
Στο δεύτερο σκέλος, ούτε προκύπτει νομική βάση για την προώθηση προσωπικών δεδομένων σε πολιτικό πρόσωπο, ούτε ο σκοπός της επεξεργασίας των δεδομένων ταυτίζεται, άρα, αν ισχύει αυτό που ισχυρίζεται η ευρωβουλευτής, και οι δυο πλευρές έχουν παραβιάσει το GDPR. Πάντως, μιλάμε για δεκάδες πολιτιστικούς συλλόγους σε πολλές διαφορετικές χώρες που πρέπει να έχουν παρανομήσει, ενώ δεν απαντάει πώς άνθρωποι που δεν ανήκουν σε τέτοιους συλλόγους, έλαβαν το email.
Στην τελευταία τοποθέτηση της, η Ασημακοπούλου ισχυρίζεται ότι νόμιμα έχει πρόσβαση στους εκλογικούς καταλόγους του ΥΠΕΣ. Αυτό είναι η μισή αλήθεια. Η νομοθεσία ρητά ορίζει ότι ούτε πολιτικά πρόσωπα έχουν πρόσβαση σε αυτά τα δεδομένα. Ωστόσο αυτή της η απάντηση φαίνεται να επιβεβαιώνει τις αρχικές υποψίες για τον ρόλο του ΥΠΕΣ. Το ΥΠΕΣ είναι μέχρι στιγμής ο «αδύναμος κρίκος» σε αυτή την ιστορία: Οι απόδημοι που είχαν κάνει αίτηση για να ψηφίσουν στα κατά τόπους εκλογικά κέντρα του εξωτερικού για τις εκλογές του Μαΐου και Ιουνίου 2023 είναι και αυτοί που βρίσκονται στην λίστα του προωθητικού email. Αυτό αποδεικνύεται και από την email address στην οποία παρέλαβαν αυτό το email, η οποία ταυτίζεται με την δηλωμένη email address των εκλογικών καταλόγων του ΥΠΕΣ. Σε πολλές περιπτώσεις αυτή η διεύθυνση έχει χρησιμοποιηθεί αποκλειστικά για τις εκλογές, πράγμα που ενισχύει την εμπλοκή του ΥΠΕΣ.
Προφανώς τα παραπάνω είναι μέχρι στιγμής ενδείξεις, αλλά όπως λέει και το αμερικανικό ρητό “if it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck“. Πάντως να αναφέρω ότι είναι λάθος να συσχετίζεται η παράβαση του GDPR με την επιστολική ψήφο. Και φαίνεται ότι αυτό επιδιώκει και η ευρωβουλευτής για να πετάξει την μπάλα στην εξέδρα (αν και οι αιτιάσεις για το αδιάβλητο της διαδικασίας είναι εύλογες κρίνοντας από το συγκεκριμένο φιάσκο). Όπως και να έχει, είναι γεγονός είναι ότι το ΥΠΕΣ και η ευρωβουλευτής έχουν πρόσβαση στην ίδια λίστα προσωπικών δεδομένων και εδώ είναι το μεγάλο ερώτημα. Πως έγινε αυτό;
Αρχικά, η ευρωβουλευτής είναι πολλαπλώς εκτεθειμένη. Έχει πρόσβαση σε δεδομένα που δεν θα έπρεπε να έχει και οφείλει να δώσει εξηγήσεις. Προφανώς πολιτικές εξηγήσεις (να πάρει δηλαδή την πολιτική ευθύνη και να παραιτηθεί από υποψήφια ευρωβουλευτής) άλλα όχι μόνο. Εγώ, όπως και πολλοί άλλοι, ήδη έχουμε επικοινωνήσει με το γραφείο της κυρίας Ασημακοπούλου, ζητώντας να μάθουμε τα προσωπικά μας δεδομένα που έχει στην κατοχή της, πότε τα απέκτησε, ποια η πηγή προέλευσης και ποιοι οι σκοποί επεξεργασίας. Αυτό δεν είναι μια απλή σειρά ερωτήσεων.
Σύμφωνα με το GDPR, οφείλει να μας ενημερώσει όλους ανεξαιρέτως μέσα σε έναν μήνα. Η μη ενημέρωση μας αποτελεί ήδη παράβαση του GDPR που διώκεται ποινικά. Βέβαια και να επιλέξει να μας ενημερώσει, προσωπικά εκτιμώ ότι δεν θα αποκαλύψει την πηγή προέλευσης. Αυτό δεν θα αλλάξει κάτι για την ίδια, καθώς η παράβαση του GDPR από την μεριά της είναι αυταπόδεικτη, αλλά καθορίζει τις ευθύνες του υπουργείου. το υπουργείο φαίνεται να είναι συμμέτοχο σε αυτό που έχει γίνει, είτε λόγω παντελούς ανικανότητας και άγνοιας του GDPR ή λόγω διεφθαρμένων κρατικών λειτουργών που δρουν ενάντια στο νόμο που καλούνται να υπερασπιστούν προς όφελος του κυβερνώντος κόμματος. Και αυτό οφείλει, όπως του έχει ζητηθεί, να δώσει απαντήσεις για το πως διαχειρίζεται τα προσωπικά μας δεδομένα και αν έχει διαμοιράσει τα δεδομένα μας σε τρίτα πρόσωπα, και συγκεκριμένα στην Ασημακοπούλου. Και από το ΥΠΕΣ δεν νομιζω να πάρουμε πραγματικές απαντήσεις.
Όπως και να έχει, ανεξάρτητα από τις απαντήσεις που θα δώσουν, στη συνέχεια μπορούμε να προσφύγουμε στην αρχή προστασίας προσωπικών δεδομένων για παράβαση του GDPR. Το σημαντικό εδώ είναι ότι δεν χρειάζεται να προσφύγουμε στην ελληνική αρχή, αλλά στην αρχή του τόπου κατοικίας μας. Οι κατά τόπους αρχές μπορούν, σε συννενόηση με την ελληνική αρχή και τους κατά τόπους νομικούς μας αντιπροσώπους, να τρέξουν μαζική αγωγή εναντίον του ΥΠΕΣ και της Ασημακοπούλου. Το μόνο σίγουρο είναι ότι η ελληνική κυβέρνηση θα βρεθεί πλάι έκθετη στα ευρωπαϊκά όργανα σχετικά με πρακτικές που υποβαθμίζουν το κράτος δικαίου.
Στην Ελλάδα τα ΜΜΕ που στηρίζουν τις νεοφιλελεύθερες πολιτικές, χρημαδοτούνται από το ... κράτος. Tο tvxs.gr στηρίζεται στους αναγνώστες του και αποτελεί μια από τις ελάχιστες ανεξάρτητες φωνές στη χώρα. Mε μια συνδρομή, από 2.9 €/μήνα,ενισχύετε την αυτονομία του tvxs.gr και των δημοσιογραφικών του ερευνών. Συγχρόνως αποκτάτε πρόσβαση στα ντοκιμαντέρ και το περιεχόμενο του 24ores.gr.
Δες τα πακέτα συνδρομών >
