Τμήμα 18ο (Μονομελές)Δικαστής: Χρυσούλα Γαβριηλίδου, Πρωτοδίκης Δ.Δ. Παραβίαση προσωπικών δεδομένων εκλογέων εξωτερικού – Άνευ αδείας κοινολόγηση αρχείου δεδομένων προερχόμενου από το Υπουργείο Εσωτερικών σε πρόσωπο εκτός του Υπουργείου – Ακαταλληλότητα των ληφθέντων τεχνικών και οργανωτικών μέτρων και έλλειψη ολοκληρωμένης πολιτικής ασφαλείας προσωπικών δεδομένων ήδη από το σχεδιασμό των μέσων επεξεργασίας των δεδομένων των εκλογέων εξωτερικού – Παραβίαση των άρθρ. 5 παρ. 1 περ. στ΄, 25 παρ. 1 και 32 ΓΚΠΔ – Μεσολάβηση τυχόν τρίτων προσώπων που ενδέχεται να θεωρηθούν αυτοτελώς υπεύθυνοι επεξεργασίας – Δεν αναιρείται η ευθύνη του Δημοσίου εφόσον δεν απέδειξε την έλλειψη αιτιώδους συνάφειας μεταξύ της παράνομης παράλειψης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων και της ζημίας του ενάγοντος – Το βάρος απόδειξης της καταλληλότητας των μέτρων φέρει ο υπεύθυνος επεξεργασίας – Παραίτηση πολιτικών προσώπων από το αξίωμά τους δεν επιδρά στην αποζημιωτική ευθύνη του Δημοσίου – Ανησυχία και φόβος του ενάγοντος για περαιτέρω κοινοποίηση των προσωπικών του δεδομένων – Ηθική βλάβη – Επιδίκαση αποζημίωσης.
… ο ΓΚΠΔ δεν σκοπεί στην εξάλειψη των κινδύνων παραβίασης προσωπικών δεδομένων αλλά στον μετριασμό τους, καθιερώνοντας την υποχρέωση του υπεύθυνου επεξεργασίας να λάβει τεχνικά και οργανωτικά μέτρα ασφάλειας, η καταλληλότητα των οποίων αξιολογείται καταρχάς με τον προσδιορισμό των κινδύνων, εγγενών και μη, της συγκεκριμένης επεξεργασίας στην οποία υπόκεινται τα εν λόγω προσωπικά δεδομένα και περαιτέρω, ερευνάται εάν τα συγκεκριμένα μέτρα που εφαρμόστηκαν ήταν προσαρμοσμένα στους κινδύνους αυτούς, ενόψει της φύσης, του περιεχομένου τους και του τρόπου εφαρμογής τους, συνεκτιμώντας παράλληλα τη φύση και τους σκοπούς επεξεργασίας των εν λόγω προσωπικών δεδομένων. Εν προκειμένω, επρόκειτο για παραβίαση προσωπικών δεδομένων των εκλογέων του εξωτερικού, τα στοιχεία των οποίων τηρούνταν σε κεντρικό πληροφοριακό σύστημα (ΟΣΥΕΔ) του ΥΠΕΣ και υπόκειντο σε επεξεργασία για τους σκοπούς άσκησης του εκλογικού δικαιώματος, εγγενή, δε, κίνδυνο παραβίασης των εν λόγω προσωπικών δεδομένων αποτελεί και η μη εξουσιοδοτημένη πρόσβαση από υπάλληλο του ΥΠΕΣ, καθώς και η άνευ αδείας κοινολόγηση για ξένους σκοπούς, κίνδυνοι οι οποίοι λαμβάνονται ιδιαιτέρως υπόψη, σύμφωνα και με την παρ. 2 του άρθρου 32 του ΓΚΠΔ, για την εκτίμηση του κατάλληλου επιπέδου ασφαλείας. Αναφορικά με τα οργανωτικά μέτρα που είχε λάβει το εναγόμενο, δεν προκύπτει εάν τα εκπαιδευτικά σεμινάρια του Υπουργείου Εσωτερικών είχαν ήδη πραγματοποιηθεί πριν από την κρίσιμη παραβίαση προσωπικών δεδομένων, ούτε εξάλλου προκύπτει εάν τα παρακολούθησε το σύνολο του προσωπικού του ΥΠΕΣ και ιδίως εάν τα εφάρμοζε και με ποιο τρόπο και εάν αφορούσαν, ιδίως, πολιτικές ασφάλειας προσαρμοσμένες στους εγγενείς κινδύνους της επεξεργασίας προσωπικών δεδομένων στο πλαίσιο της εκλογικής διαδικασίας, το, δε, Εγχειρίδιο Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης απεστάλη, όπως συνομολογεί το εναγόμενο, προς τις αρμόδιες οργανικές μονάδες του ΥΠΕΣ προκειμένου να ληφθούν τα κατάλληλα μέτρα, χωρίς, ωστόσο, να διευκρινίζει το εναγόμενο εάν και πότε λήφθηκαν στην πράξη τέτοια κατάλληλα μέτρα και πώς εφαρμόστηκαν. Εξάλλου, όσον αφορά τα τεχνικά μέτρα τα οποία είχαν ληφθεί από το εναγόμενο, το τελευταίο αναφέρεται σε σύστημα ελέγχου πρόσβασης κατά το οποίο η πρόσβαση στα πληροφοριακά συστήματα πραγματοποιείται μόνο με κωδικούς, ενώ, παράλληλα, υποστηρίζει ότι ουδείς υπάλληλος μπορούσε να παρέμβει στην επεξεργασία των δεδομένων των εκλογέων εξωτερικού, ούτε μέσω διαχειριστικής εφαρμογής ούτε απευθείας μέσω της πλατφόρμας του ΟΣΥΕΔ, καθώς η πρόσβαση σε αυτήν γινόταν μόνο από εξουσιοδοτημένους χρήστες, ενώ, όπως επισημαίνει, η αντισυμβαλλόμενη εταιρία με την επωνυμία «………….» προέβη στην κρυπτογράφηση των βάσεων δεδομένων των αιτήσεων αποδήμων, χωρίς κάτι τέτοιο, ωστόσο, να αποδεικνύεται. Παρότι τα εν λόγω επικαλούμενα από το εναγόμενο μέτρα διασφαλίζουν μεν, γενικά και αφηρημένα, κατά τα διδάγματα της λογικής και της κοινής πείρας, την ελεγχόμενη πρόσβαση στις βάσεις όπου τηρούνταν και αποθηκεύονταν τα προσωπικά δεδομένα των εκλογέων του εξωτερικού, εντούτοις, δεν παρέχουν επαρκείς εγγυήσεις για την αποτροπή φαινομένων μη εξουσιοδοτημένης χρήσης και εξαγωγής αρχείων, ούτε, άλλωστε, το εναγόμενο αντιτείνει ότι η διακίνηση και εξαγωγή αρχείων, έστω και από εξουσιοδοτημένους χρήστες, ήταν αδύνατη ή έστω τεθείσα υπό περιορισμούς και προϋποθέσεις, ενώ, εξάλλου, δεν εξειδικεύεται από το εναγόμενο το εύρος των αρμοδιοτήτων των εξουσιοδοτημένων χρηστών του ΟΣΥΕΔ και δη, εάν αυτοί είχαν τη δυνατότητα διακίνησης και υπό ποιες προϋποθέσεις αρχείων εξαχθέντων από το σύστημα ΟΣΥΕΔ. Άλλα, δε, οργανωτικά ή τεχνικά μέτρα ασφαλείας προσαρμοσμένα στον εγγενή κίνδυνο μη εξουσιοδοτημένης εξαγωγής και χρήσης αρχείων προσωπικών δεδομένων των εκλογέων εξωτερικού, όπως η καταγραφή ενεργειών των χρηστών των συστημάτων ή σύστημα ειδοποιήσεων σε περιπτώσεις μαζικής εξαγωγής αρχείων, δεν αναφέρει το εναγόμενο, χωρίς, παράλληλα, να επικαλείται αδυναμία εγκατάστασης αυτών ενόψει του κόστους εφαρμογής τους ή τυχόν υπηρεσιακές δυσχέρειες κατά την εφαρμογή τους, παρά αρκείται στη λήψη των ως άνω μέτρων τα οποία κρίνει επαρκή και αποδοτικά. Σε κάθε περίπτωση, η επίμαχη διαρροή δεδομένων από άνευ αδείας κοινολόγηση αρχείου δεδομένων προερχόμενου από το ΥΠΕΣ σε πρόσωπο εκτός του Υπουργείου, σε συνδυασμό με τα ως άνω ελλιπή οργανωτικά και τεχνικά μέτρα, καταδεικνύει την ακαταλληλότητα των ληφθέντων μέτρων εκ μέρους του εναγόμενου και την έλλειψη μίας ολοκληρωμένης πολιτικής ασφαλείας προσωπικών δεδομένων ήδη από τον σχεδιασμό των μέσων επεξεργασίας των δεδομένων των εκλογέων εξωτερικού, κατά παράβαση των διατάξεων των άρθρων 5 παρ. 1 περ. στ΄, 25 παρ. 1 και 32 του ΓΚΠΔ, απορριπτομένων των αντίθετων ισχυρισμών του εναγόμενου ως αβασίμων και γενομένων δεκτών των συναφών ισχυρισμών του ενάγοντος. Η ευθύνη, δε, του εναγόμενου δεν αναιρείται από τη μεσολάβηση τυχόν τρίτων προσώπων, τα οποία ενδέχεται να θεωρηθούν τα ίδια αυτοτελώς υπεύθυνοι επεξεργασίας, δεδομένου ότι δεν απέδειξε, εν προκειμένω, το εναγόμενο την έλλειψη αιτιώδους συνάφειας μεταξύ της παράνομης παράλειψης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων και της επικαλούμενης ζημίας του ενάγοντος, λαμβάνοντας υπόψη ότι η επίμαχη παραβίαση των προσωπικών δεδομένων επήλθε από μη εξουσιοδοτημένη διακίνηση και κοινολόγηση δεδομένων, την πηγή της οποίας το ΥΠΕΣ δεν κατάφερε να εντοπίσει, απορριπτομένων των περί του αντιθέτου ισχυρισμών του ως αβασίμων. Σε κάθε, δε, περίπτωση, ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης της καταλληλότητας των μέτρων, ήτοι ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται τη δέουσα ασφάλεια των δεδομένων αυτών (βλ. απόφαση ΔΕΕ της 25.1.2024, BL κατά MediaMarktSaturn HagenIserlohn GmbH, σκ. 42, 43) και συνεπώς, ο ισχυρισμός του εναγόμενου ότι δεν εξειδικεύονται τα ενδεικνυόμενα μέτρα ασφαλείας εκ μέρους του ενάγοντος, είναι απορριπτέος ως ερειδόμενος επί εσφαλμένης νομικής προϋπόθεσης. Τέλος, απορριπτέα κρίνονται και τα προβαλλόμενα από το εναγόμενο περί έμπρακτης συγγνώμης δια της παραίτησης πολιτικών προσώπων και ικανοποίησης κατ’ αυτόν τον τρόπο της ηθικής βλάβης του ενάγοντος, δεδομένου ότι, κατά τα κοινώς γνωστά, η παραίτηση πολιτικών προσώπων από το αξίωμά τους ανάγεται στη σφαίρα της ανάληψης πολιτικής ευθύνης για το επίμαχο συμβάν και δεν επιδρά, ενόψει ιδίως και της βαρύτητας των παράνομων πράξεων και παραλείψεων του εναγόμενου, στην αποζημιωτική ευθύνη του εναγόμενου. Ενόψει τούτων, το Δικαστήριο κρίνει ότι στοιχειοθετείται, εν προκειμένω, ευθύνη του εναγόμενου προς αποζημίωση.
… ο φόβος που αισθάνεται ένα υποκείμενο δεδομένων προσωπικού χαρακτήρα (εν προκειμένω, ο ενάγων) για ενδεχόμενη κατάχρηση των δεδομένων του από τρίτους και η εν τοις πράγμασι απώλεια ελέγχου επί των δεδομένων προσωπικού χαρακτήρα για σύντομο χρονικό διάστημα μπορεί να προκαλέσει στο υποκείμενο των δεδομένων «μη υλική ζημία», κατά την έννοια του άρθρου 82 παρ. 1 του ΓΚΠΔ (βλ. ανωτέρω απόφαση ΔΕΕ C-687/21, σκ. 65-66), η οποία παρέχει δικαίωμα αποζημίωσης, καθώς και το γεγονός ότι από τη φύση της ανωτέρω περιγραφόμενης παρανομίας είναι δυνατόν, κατά τα διδάγματα της κοινής πείρας και λογικής, να προκληθεί τέτοιος φόβος και ανησυχία, το Δικαστήριο κρίνει ότι ο ενάγων υπέστη ηθική βλάβη, συνιστάμενη στην ανησυχία του ενάγοντος από την υφιστάμενη διαρροή των προσωπικών του δεδομένων καθώς και στο φόβο του για περαιτέρω κοινολόγηση αυτών, τα οποία μάλιστα καταχώρισε ο ίδιος σε πλατφόρμα του ΥΠΕΣ στο πλαίσιο της παρεχόμενης δυνατότητας άσκησης του εκλογικού δικαιώματος από εκλογείς του εξωτερικού, με την προσδοκία ότι αυτά θα χρησιμοποιηθούν για τους νόμιμους σκοπούς επεξεργασίας του υπευθύνου επεξεργασίας και εν προκειμένω του ΥΠΕΣ. Για το λόγο τούτο και λαμβάνοντας υπόψη τη φύση και τη βαρύτητα των παράνομων παραλείψεων του εναγόμενου καθώς και τη φύση των προσωπικών δεδομένων που διέρρευσαν, το Δικαστήριο κρίνει ότι πρέπει να επιδικαστεί στον ενάγοντα το εύλογο ποσό των 3.000 ευρώ, κατά μερική αποδοχή του αιτήματος της αγωγής.
