Υποψήφιοι αιρετοί και GDPR: Προτεινόμενα μέτρα συμμόρφωσης

Η έκδοση και δημοσίευση από το ευρωπαϊκό κοινοβούλιο του Γενικού Κανονισμού (Ε.Ε) 2016/679 για την Προστασία των Δεδομένων (γνωστός και ως  «GDPR»), έχει εισάγει νέα δεδομένα και προκλήσεις για την δημόσια διοίκηση της χώρας μας, ήδη από τις 25/05/2018, ημερομηνία κατά την οποία το εν λόγω νομοθέτημα τέθηκε υποχρεωτικά σε ισχύ σε όλα τα κράτη μέλη της Ε.Ε. Δυνάμει του κανονισμού αυτού, όλοι οι ιδιωτικοί αλλά και πολύ περισσότερο οι δημόσιοι φορείς της χώρας μας θα πρέπει να προβούν σε συγκεκριμένα βήματα συμμόρφωσης με τους κανόνες που τίθενται για την επεξεργασία των προσωπικών δεδομένων των πολιτών, οι οποίοι μάλιστα εν όψει και του αυξημένου πλέον επιπέδου πληροφόρησης που κατέχουν, καθίστανται ολοένα και πιο απαιτητικοί αξιώνοντας από τους πολιτικούς τους εκπροσώπους, ασφάλεια, διαφάνεια και ενημέρωση όσον αφορά τα προσωπικά τους δεδομένα.

Ένα από τα συνηθέστερα πεδία εμφάνισης παθογενειών ως προς την επεξεργασία των δεδομένων των πολιτών, ήταν διαχρονικά στην χώρα μας αυτό της εκλογικής διαδικασίας, και ιδίως των αυτοδιοικητικών εκλογών, όπου σύμφωνα και με δηλώσεις και δημόσιες καταγγελίες πολιτών η παράνομη επεξεργασία των προσωπικών τους δεδομένων έτεινε να καταστεί ο κανόνας ιδιαίτερα κατά τις κρίσιμες περιόδους κατά τις οποίες οι υποψήφιοι δήμαρχοι, περιφερειάρχες και δημοτικοί ή περιφερειακοί σύμβουλοι ξεδίπλωναν την προεκλογική τους καμπάνια. Συνεπώς, προς αποφυγή έκδοσης στο πρόσωπο τους τυχών διοικητικών προστίμων, οι υποψήφιοι θα πρέπει πριν την έναρξη της προεκλογικής τους εκστρατείας να έχουν υπόψη τους το παρακάτω πολύ σημαντικό στοιχείο:

Κατ᾽ εφαρμογή και ερμηνεία του Κανονισμού, τα παραπάνω υποψήφια προς εκλογή σε δημόσια αξιώματα πρόσωπα, στον βαθμό που για τις ανάγκες διεξαγωγής του προεκλογικού τους αγώνα επεξεργάζονται προσωπικά δεδομένα πολιτών –πρώην ή και πιθανώς νέων ψηφοφόρων τους – αποκτούν αυτοδικαίως την ιδιότητα του Υπεύθυνου Επεξεργασίας δεδομένων, υποχρεούμενα ταυτοχρόνως να προβούν μια σειρά  ενεργειών συμμόρφωσης, ώστε να δύνανται σε κάθε χρονική στιγμή να αποδεικνύουν την νομιμότητα της επεξεργασίας των δεδομένων των πολιτών που τηρούν στο αρχείο τους. Ενδεικτικά, παρατίθενται τα ακόλουθα απολύτως απαραίτητα μέτρα:

1. Πριν από την καταχώρηση προσωπικών δεδομένων πολίτη σε αρχείο πολιτικών επαφών – ψηφοφόρων, ο υποψήφιος υποχρεούται να αποστέλλει αίτημα παροχής συναίνεσης για την εν λόγω επεξεργασία (καταχώρηση, φύλαξη σε αρχείο). Το αίτημα αυτό θα πρέπει επίσης να αποσταλεί και σε όσους πολίτες έχουν ήδη διαβιβάσει τα δεδομένα τους προς τον υποψήφιο, καθώς η μη παροχή από αυτούς προγενέστερης ρητής συναίνεσης καθιστά την κατοχή των δεδομένων αυτών από τον υποψήφιο παράνομη, ως στερούμενη νομικής βάσης Σε περίπτωση μη παροχής συναίνεσης από το υποκείμενο των δεδομένων, ο υποψήφιος υποχρεούται να μην προβεί σην καταχώρηση των στοιχείων και επιπλέον να διαγράψει τυχόν ήδη καταχωρημένα στοιχεία.

2. Εισαγωγή μέτρων ασφαλείας και παρεμπόδιση της πρόσβασης τρίτων στα προσωπικά δεδομένα των πολιτών. Το συγκεκριμένο μέτρο αναφέρεται τόσο στο φυσικό (π.χ. κλείδωμα φυσικού αρχείου και φύλαξη των κλειδιών) όσο και στο ηλεκτρονικό αρχείο (απαραίτητη χρήση username και password) που τηρεί ο υποψήφιος για την ανάγκη διενέργειας της πολιτικής του καμπάνιας. Εξυπακούεται ότι τα μέσα πρόσβασης στα δεδομένα (π.χ. κλειδιά ή passwords) θα πρέπει να είναι γνωστά μόνο στον Υπεύθυνο Επεξεργασίας (υποψήφιος) και στα εξουσιοδοτημένα από αυτόν πρόσωπα (π.χ. συνεργάτες, εργαζόμενοι στο πολιτικό του γραφείο).

3. Χαρτογράφηση όλων των προσωπικών δεδομένων των πολιτών που τηρεί στο αρχείο του ο υποψήφιος καθώς και όλων των σχετικών διαδικασιών επεξεργασίας που αυτά επιδέχονται (π.χ. φύλαξη, διαβίβαση, συσχέτιση κλπ.).

4. Κατάρτιση από αυτόν ενός Αρχείου Επεξεργασίας Δεδομένων, το οποίο θα αποτελέσει την βάση και έναν απαραίτητο οδηγό για την συνολική συμμόρφωση του με τους ειδικότερους κανόνες του GDPR. Το εν λόγω δε αρχείο θα πρέπει να έχει υποχρεωτικά τα χαρακτηριστικά και το περιεχόμενο που υποδεικνύεται από τον Κανονισμό.

5. Σύνταξη έκθεσης ροής των προσωπικών δεδομένων, εκτίμησης απόκλισης με τα προβλεπόμενα στον Κανονισμό και ανάλυσης κινδύνου. Με τα εν λόγω έγγραφα, ο υπεύθυνος επεξεργασίας αποτυπώνει όλες τις διαβιβάσεις των δεδομένων των πολιτών που διενεργούνται (προς ποιον και για ποιο σκοπό), αναλύει τον βαθμό απόκλισης των υπάρχοντών μέτρων ασφαλείας από τα προβλεπόμενα στον GDPR και προβλέπει τον κίνδυνο και την πιθανότητα παραβίασης των προσωπικών δεδομένων των πολιτών αντιστοίχως.

6. Σύνταξη, δημοσίευση και κοινοποίηση προς τους εμπλεκόμενους πολίτες κειμένου Πολιτικής Προστασίας Δεδομένων. Το κείμενο αυτό αποτελεί μία σύνοψη όλων των προαναφερθέντων μέτρων συμμόρφωσης καθώς και όλων των υιοθετούμενων μέτρων ασφαλείας σχετικά με την επεξεργασία των δεδομένων τους που λαμβάνει χώρα στο πλαίσιο του πολιτικού γραφείου του υποψηφίου. Επιπλέον, με το εν λόγω κείμενο ο Υπεύθυνος Επεξεργασίας των δεδομένων, θα πρέπει, όπως υποχρεούται ρητά από τον Κανονισμό, να γνωστοποιήσει στα υποκείμενα των δεδομένων (εν προκειμένω στους πολίτες) τα δικαιώματα τους, όσον αφορά την επεξεργασία των προσωπικών τους δεδομένων.

Συμπερασματικά, και λαμβάνοντας υπ᾽ όψη όλα τα παραπάνω προτεινόμενα μέτρα, κατανοεί κανείς πως η συμμόρφωση με τον νέο Κανονισμό για την προστασία των προσωπικών δεδομένων δεν είναι μια απλή τεχνικού χαρακτήρα δουλειά αλλά μία διαδικασία, ή οποία απαιτεί νομική κατάρτιση, μεθοδικότητα και στρατηγική ακρίβεια. Τα πολιτικά πρόσωπα που θα θέσουν υποψηφιότητα στις επερχόμενες αυτοδιοικητικές εκλογές του Μαΐου θα πρέπει να έχουν πάντα υπ᾽ όψη τους πως λόγω ενδεχομένως της δημοσιότητας που απολαμβάνουν αλλά και λόγω του δημόσιου χαρακτήρα του αξιώματος που διεκδικούν, τα μάτια της πολιτείας και των πολιτών θα είναι στραμμένα πάνω τους. Ως εκ τούτου, η ανάγκη συνεργασίας των υποψηφίων πολιτικών προσώπων με εξειδικευμένους νομικούς επιστήμονες και δικηγόρους καθίσταται ολοένα και πιο επιτακτική.