Άρθρο του Στέργιου Κωνσταντίνου, στο Lawspot.gr
Ενόψει των εκλογών σε όλα τα Επιμελητήρια της Ελλάδας, μέχρι το τέλος του έτους, ζήτημα γεννάται για το εάν και υπό ποιες προϋποθέσεις μπορούν να χορηγούνται τα δεδομένα των μελών στους υποψηφίους
1. Πεδίο Εφαρμογής
Αρχικά, χρήσιμο είναι να διευκρινιστεί ότι το ενωσιακό και εθνικό ρυθμιστικό πλαίσιο περί προστασίας προσωπικών δεδομένων, ήτοι ο Κανονισμός (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»), η σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ»), ο ν.4624/2019, όπως ισχύει καθώς και οι πράξεις (Αποφάσεις, Οδηγίες, Κατευθυντήριες Γραμμές) του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ») και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ» και όλα μαζί από κοινού αποκαλούμενα ως «Υφιστάμενη Νομοθεσία»), εφαρμόζεται αποκλειστικά στα φυσικά πρόσωπα[1]. Σε αυτά εντάσσονται και οι ατομικές επιχειρήσεις, καθώς τα στοιχεία της επιχείρησής τους, ταυτίζονται με τα ατομικά τους στοιχεία.
Εντούτοις, το Υφιστάμενο Ρυθμιστικό Πλαίσιο περί προστασίας προσωπικών δεδομένων δεν εκτείνεται στα νομικά πρόσωπα και ειδικότερα στις επωνυμίες, τους καθώς και στα στοιχεία επικοινωνίας τους[2]. Η ρύθμιση της διαχείρισης των τελευταίων διέπονταν αποκλειστικά από το ν.3471/2006 κατά σειρά αποφάσεων της ΑΠΔΠΧ. Ωστόσο αυτό έπαψε να ισχύει, μετά από τις αποφάσεις με αριθμ 1343-5/2022 του Συμβουλίου της Επικρατείας (εφεξής «ΣτΕ»), το οποίο έβγαλε από το πεδίο εφαρμογής του τελευταίου νόμου τις προωθητικές ενέργειες, στο πλαίσιο της πολιτικής επικοινωνίας.
2. Κανονιστικό Πλαίσιο
Αρχικά, στη λειτουργία των Επιμελητηρίων, εντάσσεται και η διεξαγωγή εκλογών. Τα όσα αφορούν τα διαδικαστικά αναφορικά με τον τρόπο διενέργειας εκλογών για τα Διοικητικά Συμβούλια των Επιμελητηρίων, διέπονται, μεταξύ άλλων, από το Π.Δ. 372/1992, όπως τροποποιήθηκε και ισχύει. Σύμφωνα με την παράγραφο αυτή, η «εκλογική επιτροπή, εφόσον ζητηθεί, μπορεί να χορηγεί στους επικεφαλής των συνδυασμών και στους ανεξάρτητους υποψηφίους, τους προσωρινούς εκλογικούς καταλόγους, μετά την κύρωσή τους σε έντυπη ή ηλεκτρονική μορφή».
2.1. Νόμιμη βάση
Τουλάχιστον σε ό,τι αφορά τους εκλογικούς καταλόγους των ατομικών επιχειρήσεων[3], καθώς το κάθε Επιμελητήριο θα ενεργεί ως Υπεύθυνος Επεξεργασίας[4] θα πρέπει να λαμβάνει υπόψη ορισμένες υποχρεώσεις. Συγκεκριμένα:
Θα πρέπει να πληροί σωρευτικά τις αρχές επεξεργασίας, που προβλέπονται στο άρθρο 5 του ΓΚΠΔ. Στις αρχές αυτές, συμπεριλαμβάνεται η «αρχή της νομιμότητας, της αντικειμενικότητας και της διαφάνειας». Το σκέλος της νομιμότητας αποκρυσταλλώνεται από το άρθρο 6 ΓΚΠΔ και το άρθρο 9 ΓΚΠΔ για ειδικές κατηγορίες προσωπικών δεδομένων, ενώ το σκέλος της διαφάνειας από τα άρρθα 12, 13 και 14 ΓΚΠΔ. Αξίζει να διευκρινιστεί ότι, η ιδιότητα του μέλους ενός Επιμελητηρίου, που αποτελεί ΝΠΔΔ, συνδέεται με την επαγγελματική ιδιότητα του, η οποία μάλιστα ρυθμίζεται και είναι υποχρεωτική από το ν.4497/2017, όπως ισχύει και ως εκ τούτου δεν αποτελεί πληροφορία που συνδέεται με άσκηση συνδικαλιστικής δραστηριότητας και ως εκ τούτου ειδική κατηγορία προσωπικών δεδομένων[5]. Συνεπώς, η νομιμότητα εξετάζεται βάσει του άρθρου 6 ΓΚΠΔ.
Σύμφωνα με το άρθρο 6 παρ. 1 στοιχ. ε’ ΓΚΠΔ η επεξεργασία είναι σύννομη εάν «είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον» αρκεί να ορίζεται στο δίκαιο της Ένωσης ή στην εθνική έννομη τάξη[6].
Όπως αναφέρθηκε ανωτέρω, η δυνατότητα χορήγησης των προσωρινών εκλογικών καταλόγων προβλέπεται στην παρ. 4 του άρθρου 2 του Π.Δ. 372/1992. Συνεπώς, η εν λόγω επεξεργασία, εάν αποφασιστεί από το κάθε Επιμελητήριο, θα είναι σύννομη βάσει του άρθρου 6 παρ. 1 στοιχ. ε’ ΓΚΠΔ σε συνδυασμό με την παρ. 4 του άρθρου 2 του Π.Δ. 372/1992, όπως ισχύει.
2.2. Διαφάνεια και εναντίωση
Ωστόσο, καθώς η κοινολόγηση των στοιχείων επικοινωνίας των μελών που ανήκουν στους προσωρινούς εκλογικούς καταλόγους, βασίζεται στο δημόσιο συμφέρον, θα πρέπει να δίνεται η δυνατότητα στα υποκείμενα των δεδομένων να εναντιωθούν στην εν λόγω δραστηριότητα επεξεργασίας[7]. Επιπλέον δε και σε συνδυασμό με την προαναφερθείσα υποχρέωση διαφάνειας των Επιμελητηρίων για τις δραστηριότητες επεξεργασίας που διενεργούν, θα πρέπει οι ατομικές επιχειρήσεις που ανήκουν στους προσωρινούς εκλογικούς καταλόγους, να ενημερωθούν πριν την οποιαδήποτε κοινοποίηση των στοιχείων τους, ώστε να μπορέσουν να δηλώσουν την εναντίωσή τους στην εν λόγω κοινοποίηση. Θα πρέπει δε τα Επιμελητήρια, να τηρούν αρχείο των εναντιώσεων αυτών ώστε να μην χορηγούνται τα στοιχεία των μελών που εναντιώθηκαν μέχρι την ανάκληση της εναντίωσης αυτής[8].
2.3. Ρήτρα προστασίας δεδομένων
Τέλος, καθώς οι αποδέκτες των πληροφοριών αυτών, θεωρούνται τρίτοι και αυτοτελώς Υπεύθυνοι Επεξεργασίας, τα Επιμελητήρια, πριν την χορήγηση των προσωρινών εκλογικών καταλόγων, τουλάχιστον σε ό,τι αφορά αυτά των ατομικών επιχειρήσεων, συνιστάται να διασφαλίσουν ότι οι αποδέκτες έχουν γνώση του υφιστάμενου ρυθμιστικού πλαισίου περί προστασίας προσωπικών δεδομένων και ειδικότερα των Κατευθυντηρίων Γραμμών 1/2013 της ΑΠΔΠΧ σε σχέση με την επεξεργασία προσωπικών δεδομένων στο πλαίσιο της πολιτικής επικοινωνίας. Η διασφάλιση αυτή μπορεί να γίνει μέσω σύμβασης μεταξύ του Επιμελητηρίου και του αποδέκτη ή μέσω υπογραφής σχετικής ρήτρας/Υπεύθυνης Δήλωσης από τον αποδέκτη ή με οποιοδήποτε πρόσφορο μέσο.
Κατ’ αρχήν η χορήγηση στοιχείων μελών του Επιμελητηρίου διέπεται από τις προϋποθέσεις της παρ. 4 του άρθρου 2 του Π.Δ. .Δ. 372/1992, όπως ισχύει, οι οποίες είναι:
- Να ανήκουν στους προσωρινούς εκλογικούς καταλόγους και
- Ο αιτών να είναι επικεφαλής συνδυασμού ή ανεξάρτητος υποψήφιος.
Ωστόσο, σε ό,τι αφορά τουλάχιστον τους προσωρινούς εκλογικούς καταλόγους για τις ατομικές επιχειρήσεις, καθώς οι πληροφορίες αυτές συνιστούν προσωπικά δεδομένα, τα Επιμελητήρια θα πρέπει:
- Να φροντίσουν να έχουν ενημερώσει εγκαίρως και προσηκόντως τα μέλη (ιδανικά ένα μήνα πριν, αν δεν είναι δυνατό συνιστάται τουλάχιστον 2 εβδομάδες πριν):
- Για την κοινοποίηση των δεδομένων τους,
- για την δυνατότητα εναντίωσης στην κοινοποίηση αυτή καθώς και τον τρόπο άσκησης της εναντίωσης
- Να τηρούν ασφαλές μητρώο όσων εναντιώθηκαν στην εν λόγω επεξεργασία
- Να υπογράψουν ένα συμφωνητικό με τους αποδέκτες, στο οποίο μπορεί να περιλαμβάνεται ότι οι τελευταίοι θα δεσμεύονται να τηρήσουν το ρυθμιστικό πλαίσιο περί προστασίας προσωπικών δεδομένων και ότι θα καταστρέψουν κάθε σχετική πληροφορία μετά το πέρας των εκλογών. Συνιστάται δε η πρόβλεψη ποινικής ρήτρας για μη τήρηση του εν λόγω πιστοποιητικού.
[1] Άρθρο 1 ΓΚΠΔ
[2] Αιτιολογική σκεψη 14, εδ. β’ ΓΚΠΔ
[3] Άρθρο 3 παρ.2 στοιχ. α’
[4] Άρθρο 4 στοιχ. 7 & 24 ΓΚΠΔ
[5] Άρθρο 9 παρ. 1 ΓΚΠΔ
[6] Άρθρο 6 παρ. 3 ΓΚΠΔ
[7] ;Άρθρο 21 παρ. 1 ΓΚΠΔ
[8] Άρθρο 5 παρ. 2 ΓΚΠΔ