Πρόστιμο 40.000 ευρώ στην Άννα Μισέλ Ασημακοπούλου και 400.000 ευρώ στο ΥΠΕΣ επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων για την διαρροή των emails.
Συγκεκριμένα στην απόφασή της η Αρχή Προστασίς Προσωπικών Δεδομένων αναφέρει ότι επιβάλει πρόστιμο 40.000 ευρώ στην Άννα Μισέλ Ασημακοπούλου, ως υπεύθυνο επεξεργασίας και της δίνει εντολή «να διαγράψει το σύνολο των δεδομένων των εκλογέων εξωτερικού».
Πρόστιμο από την Αρχή Προστασίας Προσωπικών Δεδομένων στο ΥΠΕΣ Επιπλέον, επιβάλλεται πρόστιμο στο ΥΠΕΣ 400.000 ευρώ, ως υπεύθυνο επεξεργασίας και επιπλέον δίνει εντολή στο υπουργείο να προβεί στις εξής ενέργειες:
«Με αφορμή το περιστατικό αυτό, θα πρέπει το Υπουργείο να καταγράψει σε εγκεκριμένες πολιτικές, να ελέγξει και να αναθεωρήσει τις διαδικασίες και τα μέτρα που εφαρμόζει σχετικά με την προστασία προσωπικών δεδομένων κατά την επεξεργασία προσωπικών δεδομένων των εκλογέων, συμπεριλαμβανομένων όσων στοιχείων τηρούνται στο σύστημα ΟΣΥΕΔ αλλά και σε όποιο άλλο σχετιζόμενο σύστημα.
Με τις παραπάνων ενέργειες πρέπει να διασφαλίζονται οι αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ και ιδίως η εμπιστευτικότητα σε όλη τη διαδικασία εκλογών και να προβλεφθεί διαδικασία περιοδικής αξιολόγησης των μέτρων.
Το Υπουργείο πρέπει εντός τριών μηνών από την κοινοποίηση της παρούσας, να συντάξει σχετικό χρονοδιάγραμμα, στο οποίο θα προσδιορίζονται οι διαδικασίες για την κατάρτιση, την υλοποίηση, την επίβλεψη και την επικαιροποίηση των ανωτέρω και ο χρόνος εκτέλεσής τους, να γνωστοποιήσει αμελλητί στην Αρχή το χρονοδιάγραμμα, και να την ενημερώνει ανά τρίμηνο για την εφαρμογή του. Ως ειδικότερα μέτρα για την αποφυγή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων θα πρέπει να προβλεφθούν και εφαρμοστούν αμελλητί τα εξής
Συστηματική ανάλυση του θεσμικού πλαισίου της διενέργειας των εκλογών, προσδιορισμός των διαδικασιών που προϋποθέτουν επεξεργασία προσωπικών δεδομένων, καταγραφή για κάθε διαδικασία των ροών των προσωπικών δεδομένων και των αποδεκτών κάθε είδους δεδομένων.
Στο πλαίσιο της ανάλυσης, θα πρέπει να ελαχιστοποιηθεί η δυνατότητα εκτέλεσης ενεργειών σε σύνολα δεδομένων από φυσικά πρόσωπα (π.χ. υπαλλήλους) ώστε να παραμείνουν οι απόλυτα αναγκαίες. Διαδικασίες οι οποίες είναι επαναλαμβανόμενες πρέπει να εκτελούνται με την ελάχιστη ανθρώπινη παρέμβαση και χωρίς εξαγωγή δεδομένων.
Ειδικότερα προτείνονται:
α) Όλες οι λειτουργίες που απαιτούν μαζική επεξεργασία προσωπικών δεδομένων εκλογέων, και ειδικά δεδομένων επικοινωνίας, να ενσωματωθούν στις εφαρμογές, ώστε οι σύμφωνες με το νόμο επεξεργασίες να πραγματοποιούνται μέσα από το περιβάλλον της εφαρμογής (π.χ αποστολή ενημερωτικών μηνυμάτων στους εκλογείς), με πλήρη καταγραφή ενεργειών.
β) Να εξετασθεί η δυνατότητα χρήσης λογισμικού DLP, ειδικά για τις μονάδες του Υπουργείου που εμπλέκονται σε εξαγωγές αρχείων.
γ) Απαγόρευση διακίνησης μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου ή άλλου τρόπου εσωτερικής επικοινωνίας αρχείων που περιέχουν προσωπικά δεδομένα εκλογέων.
Κατ’ εξαίρεση, εφόσον είναι πραγματικά αναγκαίο, τέτοια διακίνηση μπορεί να γίνει μόνο σε κρυπτογραφημένη μορφή. Στο κάθε μήνυμα θα πρέπει να αναγράφεται ο σκοπός επεξεργασίας και ο σκοπός διακίνησης καθώς και να προκύπτει ο χρόνος τήρησης του αρχείου. Ο κωδικός να γνωστοποιείται με διαφορετικό μέσο. Η διακίνηση αυτή πρέπει να έχει εγκριθεί από αρμόδιο υψηλόβαθμο υπηρεσιακό στέλεχος και η σχετική έγκριση να τηρείται σε αρχείο (audit trail) για επαρκές χρονικό διάστημα.
δ) Αναθεώρηση της διαδικασίας καταγραφής ενεργειών τύπου ερωτημάτων (SELECT) σε πίνακες της βάσης δεδομένων του ΟΣΥΕΔ ή σε άλλα συστήματα που επεξεργάζονται προσωπικά δεδομένα και λήψη μέτρων για τον αυτοματοποιημένο, προληπτικό, έλεγχο των αρχείων καταγραφής
Πολιτική και Σχέδιο ασφάλειας – λοιπά οργανωτικά μέτρα
Με δεδομένο ότι στην Αρχή δεν κατατέθηκε εγκεκριμένη πολιτική ασφάλειας (ή επιμέρους σχέδια ασφάλειας), το Υπουργείο οφείλει να επικαιροποιήσει την Πολιτική Ασφάλειας που εφαρμόζει και τα συνοδευτικά αυτής επιμέρους σχέδια ασφάλειας τα οποία αφορούν επεξεργασία προσωπικών δεδομένων εκλογέων ώστε:
α) Να περιλαμβάνονται τα συστήματα διαχείρισης των δεδομένων των εκλογέων και να αποφασιστεί ποιοι από τους προτεινόμενους κανόνες θα υλοποιηθούν (ή να καταγραφεί ποιοι έχουν υλοποιηθεί).
β) Να περιλαμβάνονται κατάλληλες προβλέψεις για ενημέρωση των συμβάσεων με εκτελούντες την επεξεργασία για τις αλλαγές που θα προκύψουν.
γ) Τεκμηρίωση, αναθεώρηση και επικαιροποίηση της διαδικασίας χειρισμού περιστατικών παραβίασης δεδομένων προσωπικού χαρακτήρα, με έμφαση στο περιεχόμενο της γνωστοποίησης στην Αρχή, της ενημέρωσης των υποκειμένων, και των κατάλληλων διαδικασιών και οργάνων για την εσωτερική διερεύνηση.
δ) Έλεγχος από ανεξάρτητο οργανισμό ή φορέα, σε τακτική βάση τουλάχιστον ετησίως, της ασφάλειας των συστημάτων και διαδικασιών, συμπεριλαμβανομένης της αποτίμησης των εφαρμοζόμενων μέτρων ασφάλειας.
ε) Ο περιοδικός έλεγχος από το Υπουργείο, τουλάχιστον ετησίως, των τυχόν εκτελούντων την επεξεργασία ως προς τη λήψη των κατάλληλων μέτρων ασφάλειας.
Μέτρα ενημέρωσης και ευαισθητοποίησης του προσωπικού
Να σχεδιαστεί πρόγραμμα δράσεων ευαισθητοποίησης και εκπαίδευσης τόσο της ηγεσίας όσο και στελεχών κάθε επιπέδου και υπαλλήλων του Υπουργείου για ζητήματα προστασίας προσωπικών δεδομένων, και ειδικά για τις υποχρεώσεις του υπευθύνου επεξεργασίας, τον τρόπο συνεργασίας με την
Αρχή και το ρόλο του ΥΠΔ. Οι δράσεις του προγράμματος θα πρέπει να προβλέπουν δραστηριότητες που κρατούν σε εγρήγορση το προσωπικό του Υπουργείου.
Kλείνοντας την απόφασή της η Αρχή αναφέρει ότι «Αναβάλλει την έκδοση απόφασης ως προς τη Νέα Δημοκρατία και τον Νίκο Θεοδωρόπουλο, κατά τα ανωτέρω αναφερόμενα». Σε προηγούμενο σημείο της απόφασης αναφερόταν σχετικά ότι «Ως προς την Νέα Δημοκρατία και τον κ. Θεοδωρόπουλο, η Αρχή αναβάλλει την έκδοση απόφασης, δεδομένου ότι ο τελευταίος μετά την ακρόαση και την υποβολή υπομνημάτων, προσκόμισε ένορκη βεβαίωση ως νεότερο στοιχείο, το οποίο μπορεί να ληφθεί υπόψη από την Αρχή στο πλαίσιο του αυτεπάγγελτου ελέγχου και από το περιεχόμενο του οποίου προκύπτει η ανάγκη περαιτέρω διερεύνησης των εκεί προβαλλόμενων ισχυρισμών».
ΥΠΕΣ: Η απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων επιβεβαιώνει ότι η διαρροή δεν έχει σχέση με την επιστολική ψήφο
«Η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επιβεβαιώνει ότι η αποστολή προεκλογικού υλικού σε ηλεκτρονικές διευθύνσεις Ελλήνων πολιτών δεν έχει σχέση με την επιστολική ψήφο», σημειώνει σε ανακοίνωσή του το υπουργείο Εσωτερικών.
Παράλληλα τονίζει ότι το υπουργείο Εσωτερικών θα μελετήσει ενδελεχώς την απόφαση της Αρχής, ώστε να αποφασιστούν οι επόμενες νομικές ενέργειες.
Αναλυτικά, η ανακοίνωση αναφέρει:
«Η απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επιβεβαιώνει ότι η αποστολή προεκλογικού υλικού σε ηλεκτρονικές διευθύνσεις Ελλήνων πολιτών δεν έχει σχέση με την επιστολική ψήφο, αφού αποδείχτηκε ότι η σχετική λίστα είχε δημιουργηθεί στις 8 Ιουνίου 2023 και είχε σταλεί στον Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας στις 23 Ιουνίου 2023, οκτώ δηλαδή μήνες πριν νομοθετηθεί η επιστολική ψήφος και πριν τις βουλευτικές εκλογές του Ιουνίου, όταν η χώρα είχε Υπηρεσιακή Κυβέρνηση.
Προφανώς δεν έχει σχέση ούτε με τις εκλογικές διαδικασίες, οι οποίες πραγματοποιούνται εδώ και 50 χρόνια στη χώρα μας με άψογο τρόπο, υπό την εποπτεία των Δικαστικών Αρχών.
Η Κυβέρνηση, από την πρώτη στιγμή, δήλωσε την απόφαση της να ξεκαθαρίσει αυτή η υπόθεση, και πολύ γρήγορα ανελήφθησαν πολιτικές ευθύνες με την παραίτηση του Γενικού Γραμματέα του Υπουργείου Εσωτερικών που ήταν τον Ιούνιο του 2023 αρμόδιος για τις εκλογές, καθώς και του Γραμματέα Απόδημου Ελληνισμού της Νέας Δημοκρατίας, αλλά και τη μη συμμετοχή της εν λόγω ευρωβουλευτού στις Ευρωεκλογές 2024.
Στο Υπουργείο Εσωτερικών θα μελετήσουμε ενδελεχώς την απόφαση της Αρχής, με την οποία συνεργαστήκαμε πλήρως, προκειμένου να αποφασίσουμε τις επόμενες νομικές μας ενέργειες.
Η προσπάθεια για την προστασία των προσωπικών δεδομένων των πολιτών οφείλει να είναι διαρκής, με βάση και τη συνεχή εξέλιξη της τεχνολογίας. Ακριβώς γι’ αυτό, έχουμε ήδη δρομολογήσει σειρά πρωτοβουλιών, με νέα μέτρα προστασίας, όπως η κρυπτογράφηση των προσωπικών δεδομένων, η κατάρτιση ειδικού, υποχρεωτικού προγράμματος επιμόρφωσης για όλους τους υπαλλήλους του Υπουργείου Εσωτερικών και η δρομολόγηση ειδικής οριζόντιας μελέτης προκειμένου να εξεταστούν οι υφιστάμενες πολιτικές ασφαλείας και να αποτυπωθούν προτάσεις για την περαιτέρω βελτίωση των συστημάτων ασφαλείας και των διαδικασιών προστασίας δεδομένων προσωπικού χαρακτήρα».