Ελεύθερες και αδιάβλητες εκλογές ΕΓΓΡΑΦΟ ΚΑΤΕΥΘΥΝΣΕΩΝ

Transcript

1 ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ Βρυξέλλες, COM(2018) 638 final Ελεύθερες και αδιάβλητες εκλογές ΕΓΓΡΑΦΟ ΚΑΤΕΥΘΥΝΣΕΩΝ Κατευθύνσεις της Επιτροπής σχετικά με την εφαρμογή της ενωσιακής νομοθεσίας για την προστασία των δεδομένων στο πλαίσιο εκλογών Συμβολή της Ευρωπαϊκής Επιτροπής στη σύνοδο ηγετών στο Σάλτσμπουργκ, 20 Σεπτεμβρίου 2018 EL EL

2 ΚΑΤΕΥΘΥΝΣΕΙΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΗΣ ΕΝΩΣΙΑΚΗΣ ΝΟΜΟΘΕΣΙΑΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΠΛΑΙΣΙΟ ΕΚΛΟΓΩΝ Βάση της δημοκρατικής διαδικασίας είναι η επικοινωνία με το εκλογικό σώμα. Είναι συνήθης πρακτική των πολιτικών κομμάτων να προσαρμόζουν τα προεκλογικά τους μηνύματα στις κατηγορίες κοινού, ανάλογα με τα ειδικά ενδιαφέροντα των διαφόρων κατηγοριών. Είναι, συνεπώς, φυσικό για όσους έχουν ανάμειξη στις εκλογές να διερευνούν τις δυνατότητες που έχουν για να χρησιμοποιούν δεδομένα κατά τρόπο ώστε να κερδίσουν ψήφους. Η αύξηση των ψηφιακών εργαλείων και των διαδικτυακών πλατφορμών δημιούργησε πολλές νέες ευκαιρίες για τη συμμετοχή των ανθρώπων στην πολιτική συζήτηση. Ωστόσο, άλλο πράγμα είναι η εξατομικευμένη στόχευση ψηφοφόρων μέσω παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα όπως στην περίπτωση των αποκαλύψεων για την Cambridge Analytica. Αναδεικνύει τις προκλήσεις που θέτουν οι σύγχρονες τεχνολογίες, αλλά και την ιδιαίτερη σημασία της προστασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο εκλογών. Πρόκειται για θέμα κομβικής σημασίας για τα άτομα αλλά και για τη λειτουργία των δημοκρατιών μας, διότι αποτελεί σοβαρή απειλή για μια αδιάβλητη, δημοκρατική εκλογική διαδικασία και μπορεί να υπονομεύσει τον ανοιχτό διάλογο, την ακεραιότητα και τη διαφάνεια, που είναι αναγκαίες σε μια δημοκρατία. Η Επιτροπή θεωρεί ότι έχει πολύ μεγάλη σημασία να αντιμετωπιστεί το ζήτημα αυτό, ώστε να αποκατασταθεί η εμπιστοσύνη του κοινού στο αδιάβλητο της εκλογικής διαδικασίας. Οι πρώτες εκθέσεις από την αρχή του Ηνωμένου Βασιλείου για την προστασία των δεδομένων [Υπηρεσία Επιτρόπου Πληροφοριών (ICO)] σχετικά με τη χρήση της ανάλυσης δεδομένων στις προεκλογικές εκστρατείες 1 και η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σχετικά με τη χειραγώγηση στο διαδίκτυο και τα δεδομένα προσωπικού χαρακτήρα 2 επιβεβαίωσαν τον αυξανόμενο αντίκτυπο της εξατομικευμένης στόχευσης, που αρχικά είχε σχεδιαστεί για εμπορικούς σκοπούς, στο πλαίσιο εκλογών. Γενικότερα, διάφορες αρχές προστασίας των δεδομένων αντιμετώπισαν το ζήτημα της προστασίας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο εκλογών 3. 1 Εκθέσεις των αρχών του Ηνωμένου Βασιλείου για την προστασία των δεδομένων [Υπηρεσία Επιτρόπου Πληροφοριών (ICO)] της 10ης Ιουλίου 2018: «Investigation into the use of data analytics in political campaigns - Investigation update» (Έρευνες για τη χρήση των αναλύσεων δεδομένων σε πολιτικές εκστρατείες Επικαιροποίηση έρευνας) και «Democracy Disrupted» Personal information and political influence» (Η δημοκρατία σε διακοπή; Προσωπικά στοιχεία και πολιτική επιρροή) Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall informativa per fini di propaganda elettorale που δημοσιεύτηκε στην Επίσημη Εφημερίδα της Ιταλικής Αρχής Προστασίας Δεδομένων αριθ. 71 στις [doc. web n ] Communication politique: quelles sont les règles pour l utilisation des données issues des réseaux sociaux? (Πολιτικά μηνύματα: ποιοι είναι οι κανόνες για τη χρήση των δεδομένων που προέρχονται από τα μέσα κοινωνικής δικτύωσης;» που δημοσιεύτηκε από την Commission Nationale de l informatique et des libertés (Γαλλική Εθνική Επιτροπή Πληροφορικής και Ελευθεριών) Υπηρεσία Επιτρόπου Πληροφοριών («Guidance on political campaigning», Κατευθύνσεις για τις πολιτικές προεκλογικές εκστρατείες [ ]. 1

3 Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (γενικός κανονισμός για την προστασία δεδομένων) 4, που ισχύει άμεσα σε όλη την Ένωση από τις 25 Μαΐου 2018, παρέχει στην Ένωση τα αναγκαία εργαλεία για την αντιμετώπιση περιπτώσεων παράνομης χρήσης δεδομένων προσωπικού χαρακτήρα στο πλαίσιο εκλογών. Ωστόσο, μόνο με μια σταθερή και συνεπή εφαρμογή των κανόνων θα μπορέσουμε να προστατεύσουμε την ακεραιότητα της πολιτικής στις δημοκρατίες μας. Επειδή είναι πρώτη φορά που θα εφαρμοστούν σε επίπεδο ευρωπαϊκών εκλογών με αφορμή τις προσεχείς εκλογές του Ευρωπαϊκού Κοινοβουλίου, έχει σημασία να δοθούν σαφείς οδηγίες στους συντελεστές της εκλογικής διαδικασίας δηλαδή στις εθνικές εκλογικές αρχές, τα πολιτικά κόμματα, τους μεσίτες και αναλυτές δεδομένων, τις πλατφόρμες των μέσων κοινωνικής δικτύωσης και τα δίκτυα διαφήμισης στο διαδίκτυο. Στόχος των οδηγιών αυτών είναι, συνεπώς, να τονιστούν οι υποχρεώσεις που έχουν σχέση με την προστασία δεδομένων στο πλαίσιο εκλογών. Οι εθνικές αρχές προστασίας δεδομένων, ως αρχές επιβολής του γενικού κανονισμού για την προστασία δεδομένων, πρέπει να χρησιμοποιήσουν πλήρως τις ενισχυμένες εξουσίες τους για την αντιμετώπιση ενδεχόμενων παραβάσεων, ιδίως εκείνων που αφορούν την ατομική στόχευση των ψηφοφόρων. 1. Το πλαίσιο για την προστασία των δεδομένων στην Ένωση Η προστασία των δεδομένων προσωπικού χαρακτήρα είναι θεμελιώδες δικαίωμα που κατοχυρώνεται στον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (άρθρο 8) και στις Συνθήκες (άρθρο 16 της ΣΛΕΕ). Ο γενικός κανονισμός για την προστασία δεδομένων ενισχύει το πλαίσιο προστασίας των δεδομένων, καθιστά την Ένωση καλύτερα εφοδιασμένη για την αντιμετώπιση περιπτώσεων κατάχρησης στον τομέα των δεδομένων προσωπικού χαρακτήρα στο μέλλον, καθώς και όλους τους συντελεστές πιο υπεύθυνους ως προς τον τρόπο με τον οποίο χειρίζονται τα δεδομένα προσωπικού χαρακτήρα. Εξασφαλίζει στους πολίτες της Ένωσης πρόσθετα και ισχυρότερα δικαιώματα που έχουν ιδιαίτερη σημασία στο πλαίσιο εκλογών. Το καθεστώς προστασίας δεδομένων που ίσχυε στην Ένωση τα προηγούμενα 20 χρόνια χαρακτηριζόταν ιδίως από την κατακερματισμένη εφαρμογή των κανόνων από τα κράτη μέλη, την απουσία τυποποιημένων μηχανισμών συνεργασίας μεταξύ των εθνικών αρχών προστασίας δεδομένων και τις περιορισμένες εξουσίες επιβολής της νομοθεσίας από τις αρχές αυτές. Ο γενικός κανονισμός για την προστασία δεδομένων αντιμετωπίζει αυτές τις αδυναμίες: βασίζεται στις καθιερωμένες αρχές της προστασίας δεδομένων, εναρμονίζει βασικές έννοιες όπως η συγκατάθεση, ενισχύει τα δικαιώματα των ατόμων να λαμβάνουν πληροφορίες για την επεξεργασία των δεδομένων τους, διευκρινίζει τους όρους υπό τους οποίους τα δεδομένα προσωπικού χαρακτήρα μπορούν να κοινοποιηθούν σε τρίτους, εισάγει κανόνες για τις παραβιάσεις των δεδομένων προσωπικού χαρακτήρα, καθιερώνει έναν μηχανισμό συνεργασίας μεταξύ των αρχών προστασίας δεδομένων σε διασυνοριακές περιπτώσεις και ενισχύει τις εξουσίες επιβολής. Σε 4 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (γενικός κανονισμός για την προστασία δεδομένων) (ΕΕ L 119 της , σ. 1). 2

4 περίπτωση παραβίασης των κανόνων προστασίας δεδομένων της ΕΕ, οι αρχές προστασίας δεδομένων έχουν την εξουσία να ερευνήσουν (δίνοντας, για παράδειγμα, εντολή για παροχή πληροφοριών, διεξάγοντας επιθεωρήσεις στις εγκαταστάσεις των υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία) και να διορθώσουν τη συμπεριφορά (για παράδειγμα, με την έκδοση προειδοποιήσεων και επιπλήξεων ή με την επιβολή προσωρινής ή οριστικής αναστολής της επεξεργασίας). Έχουν επίσης την εξουσία να επιβάλουν πρόστιμα έως και 20 εκατ. ευρώ ή, αν πρόκειται για εταιρεία, έως και 4 % του παγκόσμιου κύκλου εργασιών της 5. Όταν αποφασίζουν την επιβολή προστίμων και το ύψος τους, οι αρχές προστασίας δεδομένων θα εξετάζουν τις περιστάσεις για καθεμία ατομική περίπτωση και τους παράγοντες όπως η φύση, το αντικείμενο και ο σκοπός της επεξεργασίας, ο αριθμός των ατόμων που θίγονται και η έκταση της ζημίας που υπέστησαν 6. Στο πλαίσιο εκλογών, είναι προφανές ότι η σοβαρότητα της παράβασης και ο αριθμός των προσώπων τα οποία θίγονται θα είναι μεγαλύτερα. Αυτό θα μπορούσε να οδηγήσει σε επιβολή υψηλότερων προστίμων, ιδίως αν ληφθεί υπόψη η σημασία που έχει η αξιοπιστία της δημοκρατικής διαδικασίας για τους πολίτες. Το πρόσφατα συσταθέν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, στο οποίο εκπροσωπούνται όλες οι εθνικές αρχές προστασίας δεδομένων, καθώς και ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, διαδραματίζουν βασικό ρόλο στην εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων, εκδίδοντας κατευθυντήριες γραμμές, συστάσεις και βέλτιστες πρακτικές 7. Ως φορείς επιβολής του γενικού κανονισμού για την προστασία δεδομένων και σημεία άμεσης επικοινωνίας με τους ενδιαφερόμενους φορείς, οι εθνικές αρχές προστασίας δεδομένων είναι κατάλληλες για να παρέχουν πρόσθετη ασφάλεια δικαίου ως προς την ερμηνεία του κανονισμού. Η Επιτροπή στηρίζει ενεργά το έργο τους. Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 8 ) συμπληρώνει το ενωσιακό πλαίσιο για την προστασία δεδομένων και είναι σχετική με το εκλογικό πλαίσιο, αφού το πεδίο εφαρμογής της περιλαμβάνει κανόνες για την ηλεκτρονική αποστολή αυτόκλητων μηνυμάτων, μεταξύ άλλων και για τους σκοπούς απευθείας εμπορικής προώθησης. Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες καθορίζει κανόνες για την αποθήκευση πληροφοριών και την πρόσβαση στις αποθηκευμένες πληροφορίες (όπως τα cookies που μπορεί να χρησιμοποιούνται για τον εντοπισμό της συμπεριφοράς ενός χρήστη στο διαδίκτυο), στον τερματικό εξοπλισμό, όπως είναι ένα έξυπνο τηλέφωνο ή ο υπολογιστής. Η πρόταση κανονισμού της Επιτροπής για τον σεβασμό της ιδιωτικής ζωής και τις ηλεκτρονικές επικοινωνίες («κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές 5 Οι κατευθύνσεις της Επιτροπής για τον γενικό κανονισμό για την προστασία δεδομένων διατίθενται στη διεύθυνση: 6 Άρθρο 83 του γενικού κανονισμού για την προστασία δεδομένων. 7 Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων εκδίδει επίσης γνώμες. 8 Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της , σ. 37). 3

5 επικοινωνίες») 9, που επί του παρόντος βρίσκεται στο στάδιο των διαπραγματεύσεων, βασίζεται στις ίδιες αρχές με αυτές της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Ο νέος κανονισμός θα διευρύνει το πεδίο εφαρμογής του πέραν των παραδοσιακών φορέων εκμετάλλευσης τηλεπικοινωνιών, ώστε να συμπεριλάβει τις διαδικτυακές υπηρεσίες ηλεκτρονικών επικοινωνιών. 2. Οι βασικές υποχρεώσεις των διαφόρων συντελεστών Ο γενικός κανονισμός για την προστασία δεδομένων εφαρμόζεται σε όλους τους συντελεστές στο πλαίσιο εκλογών, όπως είναι τα ευρωπαϊκά και εθνικά πολιτικά κόμματα (στο εξής: «πολιτικά κόμματα»), τα ευρωπαϊκά και εθνικά πολιτικά ιδρύματα (στο εξής: «ιδρύματα»), οι πλατφόρμες, οι εταιρείες ανάλυσης δεδομένων και οι εθνικές αρχές που είναι υπεύθυνες για την εκλογική διαδικασία. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα (για παράδειγμα, ονόματα και διευθύνσεις) πρέπει να είναι σύννομη και θεμιτή με διαφανή τρόπο, για συγκεκριμένους μόνο σκοπούς. Δεν μπορούν επιπλέον να τα χρησιμοποιούν για σκοπούς που δεν είναι συμβατοί με τον σκοπό για τον οποίο συλλέχθηκαν αρχικά. Η επεξεργασία για δημοσιογραφικούς σκοπούς εμπίπτει στο πεδίο εφαρμογής του γενικού κανονισμού για την προστασία δεδομένων, καταρχήν, αλλά μπορεί να επωφελείται από εξαιρέσεις και παρεκκλίσεις όπως προβλέπει η εθνική νομοθεσία, δεδομένης της σημασίας που έχει το δικαίωμα της ελευθερίας της έκφρασης και της πληροφόρησης σε μια δημοκρατική κοινωνία 10. Η έννοια των δεδομένων προσωπικού χαρακτήρα είναι περιεκτική. Ως «δεδομένα προσωπικού χαρακτήρα» νοούνται όλα τα δεδομένα που αναφέρονται σε φυσικό πρόσωπο, η ταυτότητα του οποίου είναι γνωστή ή μπορεί να εξακριβωθεί. Τα δεδομένα που αποτελούν αντικείμενο επεξεργασίας στο πλαίσιο εκλογών θα περιλαμβάνουν συχνά ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»), όπως πολιτικές απόψεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις, εθνοτική καταγωγή, ερωτική ζωή κ.λπ, που εμπίπτουν σ ένα πιο προστατευτικό καθεστώς 11. Επιπλέον, κατά τις αναλύσεις δεδομένων μπορεί να συνάγονται, από σύνολα μη ευαίσθητων δεδομένων, «ευαίσθητα δεδομένα» (όπως πολιτικές απόψεις αλλά και θρησκευτικές πεποιθήσεις ή γενετήσιος προσανατολισμός). Η επεξεργασία αυτών των δεδομένων που συνάγονται εμπίπτει επίσης στο πεδίο εφαρμογής του γενικού κανονισμού για την προστασία δεδομένων και, συνεπώς, θα πρέπει να συμμορφώνεται με όλους τους κανόνες για την προστασία δεδομένων. Εν κατακλείδι, ιδανικά όλες οι πράξεις επεξεργασίας δεδομένων σε πλαίσιο εκλογών υπόκεινται στον γενικό κανονισμό για την προστασία δεδομένων. Αφού συνεκτιμήθηκαν η ανάγκη να διαθέτουν σαφείς οδηγίες οι συντελεστές της εκλογικής διαδικασίας και τα πρώτα ευρήματα της υπόθεσης Cambridge Analytica, στη συνέχεια 9 Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και την κατάργηση της οδηγίας 2002/58/ΕΚ (κανονισμός για την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες), COM(2017) 10 final. 10 Άρθρο 85 παράγραφος 2 του γενικού κανονισμού για την προστασία δεδομένων. 11 Άρθρο 9 παράγραφος 1 του γενικού κανονισμού για την προστασία δεδομένων. 4

6 παρουσιάζονται οι υποχρεώσεις προστασίας των δεδομένων που φαίνεται να έχουν ιδιαίτερη σημασία στο πλαίσιο εκλογών. Συνοψίζονται στο παράρτημα. 2.1 Υπεύθυνοι της επεξεργασίας δεδομένων και εκτελούντες την επεξεργασία δεδομένων Η έννοια της λογοδοσίας για τους υπευθύνους της επεξεργασίας δεδομένων και τους εκτελούντες την επεξεργασία δεδομένων έχει κεντρική θέση στον γενικό κανονισμό για την προστασία δεδομένων. Ο υπεύθυνος επεξεργασίας δεδομένων είναι ο οργανισμός που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα ο υπεύθυνος επεξεργασίας δεδομένων επεξεργάζεται δεδομένα προσωπικού χαρακτήρα μόνο για λογαριασμό και με τις οδηγίες του υπευθύνου επεξεργασίας δεδομένων (και η σχέση αυτή προσδιορίζεται σε σύμβαση ή άλλη νομικά δεσμευτικά πράξη). Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να θέτουν σε εφαρμογή μέτρα που είναι κατάλληλα για την αντιμετώπιση των κινδύνων, να έχουν σχεδιάσει από την αρχή την προστασία δεδομένων και να μπορούν να αποδείξουν τη συμμόρφωση με τον γενικό κανονισμό για την προστασία δεδομένων (αρχή της λογοδοσίας). Ο ρόλος του υπευθύνου επεξεργασίας δεδομένων ή του εκτελούντος την επεξεργασία πρέπει να αξιολογείται σε κάθε περίπτωση ξεχωριστά. Στο πλαίσιο εκλογών, διάφοροι συντελεστές μπορούν να είναι υπεύθυνοι επεξεργασίας δεδομένων: πολιτικά κόμματα, μεμονωμένοι υποψήφιοι και ιδρύματα είναι, στις περισσότερες περιπτώσεις, υπεύθυνοι επεξεργασίας δεδομένων πλατφόρμες και εταιρείες ανάλυσης δεδομένων μπορεί να είναι (από κοινού) υπεύθυνοι επεξεργασίας δεδομένων ή εκτελούντες μια συγκεκριμένη επεξεργασία ανάλογα με τον βαθμό του ελέγχου που έχουν πάνω στη συγκεκριμένη επεξεργασία 12 οι εθνικές εκλογικές αρχές είναι υπεύθυνοι επεξεργασίας δεδομένων για τους εκλογικούς καταλόγους. Όταν οι δραστηριότητες επεξεργασίας έχουν σχέση με την προσφορά αγαθών και υπηρεσιών σε άτομα στην Ένωση ή με την παρακολούθηση της συμπεριφοράς τους στην Ένωση, οι εταιρείες που βασίζονται εκτός της Ένωσης πρέπει να συμμορφώνονται με τον γενικό κανονισμό προστασίας δεδομένων. Αυτή είναι η περίπτωση ορισμένων πλατφορμών και εταιρειών ανάλυσης δεδομένων. 2.2 Αρχές, νομιμότητα της επεξεργασίας και ειδικές συνθήκες για «ευαίσθητα δεδομένα» Οι συντελεστές που εμπλέκονται στις εκλογές μπορούν μόνο να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, σύμφωνα με τις αρχές που είναι σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα και βασίζονται στον περιορισμένο αριθμό λόγων που έχουν καθοριστεί σαφώς στον γενικό κανονισμό για την προστασία δεδομένων 13. Οι πλέον σχετικές βάσεις για τη σύννομη επεξεργασία σε εκλογικό πλαίσιο φαίνεται να είναι η 12 Η πρόσφατη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (υπόθεση Jehovah Witnesses C-25/17, απόφαση της 10ης Ιουλίου 2018) διευκρίνισε ότι ένας οργανισμός που ασκεί επιρροή σε μια δραστηριότητα συλλογής και επεξεργασίας δεδομένων προσωπικού χαρακτήρα μπορεί, υπό ορισμένες συνθήκες, να θεωρηθεί υπεύθυνος επεξεργασίας δεδομένων. 13 Τα άρθρα 5 και 6 του γενικού κανονισμού για την προστασία δεδομένων. 5

7 συγκατάθεση του ατόμου, η συμμόρφωση με νομική υποχρέωση στο πλαίσιο της ενωσιακής ή εθνικής νομοθεσίας, η εκτέλεση ενός καθήκοντος που διεξάγεται για το δημόσιο συμφέρον και το έννομο συμφέρον ενός από τους συντελεστές. Ωστόσο, οι συντελεστές στο πλαίσιο εκλογών μπορούν να βασίζονται στο έννομο συμφέρον μόνον αν τα συμφέροντά τους δεν υπερακοντίζονται από τα συμφέροντα ή τα θεμελιώδη δικαιώματα και ελευθερίες των αφορώμενων ατόμων. Επιπροσθέτως, η αποθήκευση πληροφοριών ή η πρόσβαση στις ήδη αποθηκευμένες πληροφορίες, στον τερματικό εξοπλισμό (υπολογιστή, έξυπνο τηλέφωνο κ.λπ.), πρέπει να συμμορφώνονται με τις απαιτήσεις της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες που αφορούν την προστασία του τερματικού εξοπλισμού, γεγονός που σημαίνει ότι το άτομο θα χρειαστεί να δώσει τη συγκατάθεσή του/της. Όταν η συγκατάθεση χρησιμοποιείται ως νομική βάση, ο γενικός κανονισμός για την προστασία δεδομένων απαιτεί αυτή να δίνεται με σαφή θετική ενέργεια, ελεύθερα και με επίγνωση 14. Οι δημόσιες αρχές που εμπλέκονται στο πλαίσιο εκλογών επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα κατά τρόπο ώστε να συμμορφώνονται με νομική υποχρέωση ή για την άσκηση δημόσιου καθήκοντος. Άλλοι συντελεστές στο πλαίσιο εκλογών μπορούν να επεξεργάζονται δεδομένα με βάση τη συγκατάθεση ή το έννομο συμφέρον 15. Τα πολικά κόμματα και ιδρύματα μπορούν επίσης να επεξεργάζονται δεδομένα με βάση το δημόσιο συμφέρον, αν αυτό προβλέπεται από την εθνική νομοθεσία 16. Οι δημόσιες αρχές μπορούν να κοινολογούν ορισμένες πληροφορίες για τα άτομα που περιλαμβάνονται στους εκλογικούς καταλόγους ή στα δημοτικά μητρώα σε πολιτικά κόμματα μόνον όταν αυτό επιτρέπεται ρητά από τη νομοθεσία του κράτους μέλους και μόνο για διαφημιστικούς σκοπούς στο πλαίσιο εκλογών και μόνο για τα στοιχεία που χρειάζονται για τον συγκεκριμένο σκοπό, όπως όνομα και διεύθυνση. Η επεξεργασία στο πλαίσιο εκλογών αφορά συχνά «ευαίσθητα δεδομένα». Η επεξεργασία τέτοιων δεδομένων, συμπεριλαμβανομένων των συναγόμενων «ευαίσθητων δεδομένων», γενικά απαγορεύεται εκτός αν ισχύει μία από τις συγκεκριμένες αιτιολογίες που προβλέπονται στον γενικό κανονισμό για την προστασία δεδομένων 17. Η επεξεργασία «ευαίσθητων δεδομένων» απαιτεί να πληρούνται ειδικές, αυστηρότερες προϋποθέσεις: το πρόσωπο πρέπει να έχει δώσει ρητή συγκατάθεση 18 ή να έχει δημοσιοποιήσει τα συγκεκριμένα δεδομένα 19. Τα πολιτικά κόμματα και ιδρύματα μπορούν επίσης να επεξεργάζονται «ευαίσθητα δεδομένα», αν υπάρχει ουσιαστικό δημόσιο συμφέρον βάσει της 14 Το άρθρο 7 και το άρθρο 4 παράγραφος 11 του γενικού κανονισμού για την προστασία δεδομένων. 15 Υπό την προϋπόθεση ότι τα δικαιώματα και οι ελευθερίες των αφορώμενων ατόμων δεν θίγονται σοβαρά. 16 Βλ. αιτιολογική σκέψη 56 του γενικού κανονισμού για την προστασία δεδομένων «Εάν, στο πλαίσιο εκλογικών δραστηριοτήτων, η λειτουργία του δημοκρατικού συστήματος σε ένα κράτος μέλος απαιτεί τη συγκέντρωση από τα πολιτικά κόμματα δεδομένων προσωπικού χαρακτήρα σχετικά με τα πολιτικά φρονήματα των πολιτών, η επεξεργασία των εν λόγω δεδομένων μπορεί να επιτρέπεται για λόγους δημόσιου συμφέροντος, εφόσον προβλέπονται κατάλληλες εγγυήσεις». 17 Άρθρο 9 του γενικού κανονισμού για την προστασία δεδομένων. 18 Άρθρο 9 παράγραφος 2 στοιχείο α) του γενικού κανονισμού για την προστασία δεδομένων. 19 Άρθρο 9 παράγραφος 2 στοιχείο ε) του γενικού κανονισμού για την προστασία δεδομένων. 6

8 ενωσιακής νομοθεσίας ή της νομοθεσίας του κράτους μέλους και κατάλληλες εγγυήσεις 20. Ο γενικός κανονισμός για την προστασία δεδομένων προβλέπει ότι μπορούν να επεξεργάζονται και «ευαίσθητα δεδομένα» στον βαθμό που αφορούν αποκλειστικά τα μέλη τους ή τέως μέλη τους, ή πρόσωπα με τα οποία που έχουν τακτική επαφή αλλά μόνο για κοινολόγηση εντός του πολιτικού κόμματος ή ιδρύματός τους 21. Ωστόσο, αυτή η συγκεκριμένη διάταξη δεν μπορεί να χρησιμοποιηθεί από ένα πολιτικό κόμμα για την επεξεργασία δεδομένων που αφορούν υποψήφια μέλη ή τους ψηφοφόρους. Ο σκοπός της επεξεργασίας των δεδομένων θα πρέπει να διευκρινίζεται τη στιγμή της συλλογής («αρχή οριοθετημένου σκοπού») 22. Τα δεδομένα που συλλέγονται για έναν σκοπό μπορούν να αποτελούν αντικείμενο περαιτέρω επεξεργασίας μόνο για ένα συμβατό σκοπό διαφορετικά, πρέπει να βρεθεί νέα νομική βάση, προερχόμενη από τον γενικό κανονισμό για την προστασία δεδομένων, όπως η συγκατάθεση, ώστε να γίνει η επεξεργασία για τον νέο σκοπό. Ειδικότερα, όταν οι αναλυτές δεδομένων για τον τρόπο ζωής ή πλατφόρμες συλλέγουν δεδομένα για εμπορικούς σκοπούς, τα εν λόγω δεδομένα δεν μπορούν να τυγχάνουν περαιτέρω επεξεργασίας στο πλαίσιο εκλογών. Τα πολιτικά κόμματα και τα ιδρύματα δεν μπορούν να χρησιμοποιούν τέτοια δεδομένα που έλαβαν από τρίτο μέρος, εκτός αν εφαρμόζουν την οφειλόμενη προσοχή και επαληθεύουν ότι τα δεδομένα αποκτήθηκαν νόμιμα. 2.3 Απαιτήσεις διαφάνειας Η υπόθεση Cambridge Analytica έδειξε πόσο σημαντική είναι η καταπολέμηση της αδιαφάνειας και η σωστή ενημέρωση των ατόμων που θίγονται. Τα άτομα συχνά δεν γνωρίζουν ποιος επεξεργάζεται τα προσωπικά δεδομένα τους και για ποιο σκοπό. Οι αρχές της θεμιτής και διαφανούς επεξεργασίας απαιτούν να ενημερώνονται τα άτομα για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της 23. Ο γενικός κανονισμός για την προστασία δεδομένων διευκρινίζει τις υποχρεώσεις που έχουν οι υπεύθυνοι επεξεργασίας δεδομένων ως προς αυτό. Πρέπει να πληροφορούν τα άτομα για τις σημαντικές πτυχές της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, όπως: την ταυτότητα του υπευθύνου της επεξεργασίας, τους σκοπούς της επεξεργασίας, τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, την πηγή από την οποία προέρχονται τα δεδομένα, όταν δεν έχουν συλλεγεί απευθείας από το πρόσωπο, την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων και 20 Άρθρο 9 παράγραφος 2 στοιχείο ζ) του γενικού κανονισμού για την προστασία δεδομένων. 21 Άρθρο 9 παράγραφος 2 στοιχείο δ) του γενικού κανονισμού για την προστασία δεδομένων. Ένα πολιτικό κόμμα ή ίδρυμα δεν μπορεί να κοινοποιεί δεδομένα που αφορούν τα μέλη του ή τέως μέλη, ούτε πρόσωπα με τα οποία έχει τακτική επαφή, σε τρίτο μέρος χωρίς τη συγκατάθεση του ενδιαφερόμενου προσώπου. 22 Άρθρο 5 παράγραφος 1 στοιχείο β) του γενικού κανονισμού για την προστασία δεδομένων. 23 Άρθρο 5 παράγραφος 1 στοιχείο α) του γενικού κανονισμού για την προστασία δεδομένων. 7

9 τυχόν άλλες πληροφορίες που είναι αναγκαίες για να διασφαλιστεί η θεμιτή και διαφανής επεξεργασία 24. Επιπλέον, σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων, οι πληροφορίες που δίνονται πρέπει να είναι συνοπτικές, διαφανείς, κατανοητές και σε εύκολα προσβάσιμη μορφή, με τη χρήση σαφούς και απλής γλώσσας 25. Για παράδειγμα, μία ανακοίνωση σύντομη, δυσνόητη σχετικά με την προστασία δεδομένων, τυπωμένη με μικρά γράμματα σε προεκλογικό υλικό δεν πληροί τις απαιτήσεις διαφάνειας. Σύμφωνα με τα προκαταρκτικά ευρήματα, η ελλιπής ενημέρωση για τον σκοπό για τον οποίο είχαν συλλεγεί τα δεδομένα ήταν βασική παρατυπία στην υπόθεση Cambridge Analytica, γεγονός που έθεσε εν αμφιβόλω την εγκυρότητα της συγκατάθεσης των προσώπων που θίγονταν. Όλοι οι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο εκλογών πρέπει να βεβαιώνονται ότι τα άτομα κατανοούν πλήρως τον τρόπο και τον σκοπό για τον οποίο θα χρησιμοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, προτού δώσουν τη συγκατάθεσή τους ή προτού αρχίσει η επεξεργασία από τον υπεύθυνο επεξεργασίας με βάση κάποιο άλλο λόγο για επεξεργασία. Οι πληροφορίες πρέπει να παρέχονται στα άτομα σε κάθε στάδιο της επεξεργασίας, όχι μόνον όταν συλλέγονται τα δεδομένα. Ειδικότερα, όταν τα πολιτικά κόμματα επεξεργάζονται δεδομένα που αποκτούν από τρίτα μέρη (π.χ. από εκλογικούς καταλόγους, μεσίτες δεδομένων, αναλυτές δεδομένων και άλλες πηγές), χρειάζεται να ενημερώνουν τα άτομα και να εξηγούν πώς συνδυάζουν και χρησιμοποιούν αυτά τα δεδομένα για να εξασφαλίσουν θεμιτή επεξεργασία Κατάρτιση προφίλ, αυτοματοποιημένη λήψη αποφάσεων και εξατομικευμένη στόχευση Η κατάρτιση προφίλ είναι μια μορφή αυτοματοποιημένης επεξεργασίας δεδομένων που χρησιμοποιείται για την ανάλυση ή πρόγνωση πτυχών που αφορούν, για παράδειγμα, προσωπικές προτιμήσεις, ενδιαφέροντα, οικονομική κατάσταση κ.λπ 27. Η κατάρτιση προφίλ μπορεί να χρησιμοποιηθεί για εξατομικευμένη στόχευση, ιδίως για την ανάλυση δεδομένων προσωπικού χαρακτήρα (όπως ιστορικό αναζήτησης στο διαδίκτυο) για τον εντοπισμό των ιδιαίτερων ενδιαφερόντων ενός συγκεκριμένου κοινού ή ατόμου με σκοπό να ασκηθεί επιρροή στις ενέργειές του. Η εξατομικευμένη στόχευση μπορεί να χρησιμοποιηθεί για την αποστολή εξατομικευμένου μηνύματος σε άτομο ή κοινό που χρησιμοποιεί διαδικτυακή υπηρεσία, π.χ. τα μέσα κοινωνικής δικτύωσης. Η υπόθεση Cambridge Analytica ανέδειξε τις ιδιαίτερες προκλήσεις που προκύπτουν από τις μεθόδους εξατομικευμένης στόχευσης των ψηφοφόρων μέσα από τα μέσα κοινωνικής δικτύωσης. Υπάρχει περίπτωση φορείς να εξάγουν τα δεδομένα που συλλέγουν από τα μέσα 24 Άρθρα 13 και 14 του γενικού κανονισμού για την προστασία δεδομένων. 25 Κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων σχετικά με τη διαφάνεια. 26 Άρθρο 14 του γενικού κανονισμού για την προστασία δεδομένων. 27 Όπως ορίζεται στο άρθρο 4 παράγραφος 4 του γενικού κανονισμού για την προστασία δεδομένων. 8

10 κοινωνικής δικτύωσης για να δημιουργήσουν προφίλ ψηφοφόρων. Αυτό ενδεχομένως επιτρέπει σε μερικούς οργανισμούς να εντοπίζουν ψηφοφόρους που μπορούν να επηρεάζονται ευκολότερα και, συνεπώς, τους επιτρέπει να ασκούν επιρροή στο αποτέλεσμα των εκλογών. Όλες οι γενικές αρχές και κανόνες του γενικού κανονισμού για την προστασία δεδομένων εφαρμόζονται στην επεξεργασία τέτοιων δεδομένων, όπως οι αρχές της νομιμότητας, της αντικειμενικότητας, της διαφάνειας και του οριοθετημένου σκοπού. Τα άτομα δεν γνωρίζουν πολύ συχνά ότι υπόκεινται σε κατάρτιση προφίλ: δεν κατανοούν για ποιο λόγο λαμβάνουν ορισμένες διαφημίσεις που είναι καθαρά συνδεδεμένες με τις αναζητήσεις που έχουν κάνει τελευταία ή γιατί λαμβάνουν εξατομικευμένα μηνύματα από διαφορετικούς οργανισμούς. Ο γενικός κανονισμός για την προστασία δεδομένων υποχρεώνει όλους τους υπευθύνους επεξεργασίας δεδομένων, για παράδειγμα πολιτικά κόμματα ή αναλυτές δεδομένων, να ενημερώνουν τα άτομα σε περίπτωση που χρησιμοποιούν τέτοιες τεχνικές και για τις συνέπειές τους 28. Ο γενικός κανονισμός για την προστασία δεδομένων αναγνωρίζει ότι η αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, μπορεί να έχουν σοβαρές συνέπειες. Ο γενικός κανονισμός για την προστασία δεδομένων προβλέπει ότι ένα άτομο έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο, εκτός αν αυτού του είδους η επεξεργασία διεξάγεται υπό αυστηρούς όρους, δηλαδή τα άτομα έχουν δώσει τη ρητή συγκατάθεσή τους, ή όταν το ενωσιακό δίκαιο ή το δίκαιο του κράτους μέλους προβλέπει τις κατάλληλες εγγυήσεις 29. Οι πρακτικές εξατομικευμένης στόχευσης των ψηφοφόρων σε πλαίσιο εκλογών εμπίπτουν σ αυτή την κατηγορία όταν παράγουν επαρκώς σημαντικά αποτελέσματα για τα άτομα. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δήλωσε ότι αυτή είναι η περίπτωση κατά την οποία η απόφαση είναι πιθανό να επηρεάσει σημαντικά τις περιστάσεις, τη συμπεριφορά ή τις επιλογές των ατόμων ή να έχει παρατεταμένες ή μόνιμες επιπτώσεις στο άτομο 30. Το Συμβούλιο θεώρησε ότι η στοχευμένη διαφήμιση μέσω διαδικτύου θα μπορούσε να έχει, σε ορισμένες περιπτώσεις, την ικανότητα να επηρεάζει επαρκώς σημαντικά τα άτομα, όταν, για παράδειγμα, είναι απρόσκλητη ή εκμεταλλεύεται γνώσεις για ευάλωτα σημεία των ατόμων. Επειδή είναι σημαντική η άσκηση του δημοκρατικού δικαιώματος του ψηφίζειν, τα εξατομικευμένα μηνύματα που μπορούν, για παράδειγμα, να αποτρέψουν τα άτομα από το να ψηφίσουν ή το να ψηφίσουν με ένα συγκεκριμένο τρόπο είναι δυνατό να ικανοποιούν το κριτήριο της σημαντικής επιρροής. Συνεπώς, στο πλαίσιο εκλογών οι υπεύθυνοι επεξεργασίας δεδομένων χρειάζεται να εξασφαλίσουν ότι κάθε επεξεργασία που χρησιμοποιεί τέτοιες τεχνικές είναι σύννομη 28 Άρθρο 13 παράγραφος 2 του γενικού κανονισμού για την προστασία δεδομένων. 29 Άρθρο 22 του γενικού κανονισμού για την προστασία δεδομένων. 30 Κατευθύνσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για την αυτοματοποιημένη λήψη αποφάσεων, WP251rev.01, όπως αναθεωρήθηκε και εγκρίθηκε στις

11 σύμφωνα με τις προαναφερόμενες αρχές και τις αυστηρές προϋποθέσεις του γενικού κανονισμού για την προστασία δεδομένων. 2.5 Ασφάλεια και ακρίβεια των δεδομένων προσωπικού χαρακτήρα Η ασφάλεια έχει ιδιαίτερη σημασία στο πλαίσιο εκλογών, λόγω του όγκου των δεδομένων και του γεγονότος ότι τέτοια σύνολα συχνά περιέχουν «ευαίσθητα δεδομένα». Σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων, οι οργανισμοί που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα (τόσο οι υπεύθυνοι όσο και εκτελούντες την επεξεργασία) πρέπει να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για τη διασφάλιση των δικαιωμάτων και ελευθεριών των ατόμων 31. Ο γενικός κανονισμός για την προστασία δεδομένων απαιτεί από τους υπευθύνους εξεργασίας δεδομένων να γνωστοποιούν αμελλητί τις παραβιάσεις δεδομένων προσωπικού χαρακτήρα στην αρμόδια εποπτική αρχή και το αργότερο εντός 72 ωρών. Αν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των ατόμων, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώσει αμελλητί και τα άτομα που θίγονται για την εν λόγω παραβίαση δεδομένων 32. Τα πολιτικά κόμμα και άλλοι συντελεστές που συμμετέχουν στην εκλογική διαδικασία πρέπει να προσέχουν ιδιαίτερα ώστε να εξασφαλίζουν την ακρίβεια των δεδομένων προσωπικού χαρακτήρα όταν πρόκειται για μεγάλα σύνολα δεδομένων και όταν γίνεται σύνθεση δεδομένων από διαφορετικές, ανομοιογενείς πηγές. Ανακριβή δεδομένα πρέπει να διαγράφονται αμέσως ή να διορθώνονται και, αν είναι ανάγκη, να επικαιροποιούνται. 2.6 Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων Ο γενικός κανονισμός για την προστασία δεδομένων εισάγει ένα νέο εργαλείο για την εκτίμηση επιπτώσεων προτού αρχίσει η επεξεργασία: την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εκτίμηση αυτή απαιτείται κάθε φορά που η επεξεργασία ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των ατόμων 33. Αυτή είναι η περίπτωση στο πλαίσιο εκλογών όταν ένας υπεύθυνος επεξεργασίας δεδομένων αξιολογεί, συστηματικά και εκτεταμένα, προσωπικές πτυχές ενός ατόμου (συμπεριλαμβανομένης της κατάρτισης προφίλ), που επηρεάζουν σημαντικά το άτομο και όταν ο υπεύθυνος επεξεργάζεται «ευαίσθητα δεδομένα» σε μεγάλη κλίμακα. Οι εθνικές εκλογικές αρχές που ενεργούν στο πλαίσιο των δημόσιων καθηκόντων τους δεν θα πρέπει να διεξάγουν εκτίμηση επιπτώσεων για την προστασία δεδομένων, αν η εκτίμηση επιπτώσεων για την προστασία δεδομένων έχει ήδη διεξαχθεί στο πλαίσιο της θέσπισης νομοθεσίας. Οι εκτιμήσεις επιπτώσεων που πρέπει να διεξάγονται από τους διάφορους συντελεστές στο πλαίσιο εκλογών θα πρέπει να περιλαμβάνουν τα αναγκαία στοιχεία για την αντιμετώπιση 31 Άρθρο 32 του γενικού κανονισμού για την προστασία δεδομένων. 32 Άρθρα 33 και 34 του γενικού κανονισμού για την προστασία δεδομένων και κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τη γνωστοποίηση παραβιάσεων δεδομένων προσωπικού χαρακτήρα. 33 Άρθρα 35 και 36 του γενικού κανονισμού για την προστασία δεδομένων και κατευθυντήριες γραμμές ου Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για την εκτίμηση επιπτώσεων δεδομένων. 10

12 των κινδύνων που απορρέουν από την επεξεργασία, συγκεκριμένα τη νομιμότητα της επεξεργασίας και για σύνολα δεδομένων που αποκτώνται από τρίτα μέρη και τις απαιτήσεις διαφάνειας. 3. Ατομικά δικαιώματα Ο γενικός κανονισμός για την προστασία δεδομένων εξασφαλίζει στους πολίτες της Ένωσης πρόσθετα και ισχυρότερα δικαιώματα που έχουν ιδιαίτερη σημασία στο πλαίσιο εκλογών: το δικαίωμα πρόσβασης στα προσωπικά τους δεδομένα το δικαίωμα να ζητήσουν να διαγραφούν τα προσωπικά τους δεδομένα, αν η επεξεργασία βασίζεται σε συγκατάθεση και η συγκατάθεση έχει αποσυρθεί, αν τα δεδομένα έχουν παύσει να είναι αναγκαία ή αν η επεξεργασία είναι παράνομη και το δικαίωμα σε διόρθωση των εσφαλμένων, ανακριβών ή ατελών δεδομένων προσωπικού χαρακτήρα. Τα άτομα έχουν επίσης το δικαίωμα να εναντιωθούν στην επεξεργασία (για παράδειγμα, δεδομένων που περιλαμβάνονται σε εκλογικούς καταλόγους που διαβιβάζονται σε πολιτικά κόμματα), αν η επεξεργασία των δεδομένων τους βασίζεται σε λόγους «έννομου συμφέροντος» ή «δημόσιου συμφέροντος». Τα άτομα έχουν το δικαίωμα να μην υπόκεινται σε αποφάσεις που βασίζονται αποκλειστικά στην αυτοματοποιημένη επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα. Σε τέτοιες περιπτώσεις το άτομο μπορεί να ζητήσει την παρέμβαση ενός φυσικού προσώπου και έχει το δικαίωμα να εκφράσει την άποψη του και να προσβάλει την απόφαση. Για να είναι σε θέση τα άτομα να ασκούν τέτοιου είδους δικαιώματα, όλοι οι συντελεστές που συμμετέχουν πρέπει να παράσχουν τα αναγκαία εργαλεία και πλαίσια. Ο γενικός κανονισμός για την προστασία δεδομένων προβλέπει τη δυνατότητα εκπόνησης κώδικα δεοντολογίας από μια αρχή προστασίας δεδομένων, ο οποίος θα διευκρινίζει την εφαρμογή του κανονισμού σε συγκεκριμένους τομείς, συμπεριλαμβανομένου του πλαισίου εκλογών. Ο γενικός κανονισμός για την προστασία δεδομένων δίνει το δικαίωμα στα άτομα να υποβάλουν καταγγελία ενώπιον μιας εποπτικής αρχής και το δικαίωμα προσφυγής στη δικαιοσύνη. Δίνει επίσης το δικαίωμα στα άτομα να εντέλλουν μια μη κυβερνητική οργάνωση να υποβάλει καταγγελία εξ ονόματός τους 34. Σε ορισμένα κράτη μέλη, η εθνική νομοθεσία επιτρέπει σε μια μη κυβερνητική οργάνωση να υποβάλει καταγγελία χωρίς να έχει λάβει εντολή από ένα άτομο. Αυτό ισχύει ιδιαιτέρως στο πλαίσιο εκλογών λόγω του μεγάλου αριθμού των προσώπων που είναι δυνητικά ενδιαφερόμενα. 34 Άρθρο 80 παράγραφος 1 του γενικού κανονισμού για την προστασία δεδομένων. 11

13 Βασικά ζητήματα της προστασίας δεδομένων στην εκλογική διαδικασία 35 Πολιτικά κόμματα και ιδρύματα Μεσίτες δεδομένων Τα πολιτικά κόμμα και ιδρύματα είναι υπεύθυνοι επεξεργασίας δεδομένων Συμμορφώνονται με τον οριοθετημένο σκοπό, περαιτέρω επεξεργασία μόνο για συμβατούς σκοπούς (για παράδειγμα, όταν κοινολογούν δεδομένα σε πλατφόρμες) Επιλέγουν την κατάλληλη νομική βάση για την επεξεργασία (επίσης για τα δεδομένα που συνάγονται): συγκατάθεση, έννομο συμφέρον, καθήκον που εμπίπτει στο δημόσιο συμφέρον (αν προβλέπεται από τον νόμο), ειδικές προϋποθέσεις για «ευαίσθητα δεδομένα» (για παράδειγμα: πολιτική άποψη) Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων Ενημέρωση των ατόμων για κάθε σκοπό επεξεργασίας (απαιτήσεις διαφάνειας), είτε κατά τη συλλογή δεδομένων απευθείας είτε κατά την απόκτηση από τρίτα μέρη Διασφάλιση της ακρίβειας των δεδομένων, ιδίως αυτών που προέρχονται από διαφορετικές πηγές και για τα δεδομένα που συνάγονται Επαλήθευση για το αν τα δεδομένα που λαμβάνονται από τρίτα μέρη έχουν αποκτηθεί σύννομα και για ποιους σκοπούς (για παράδειγμα: αν τα θιγόμενα άτομα έδωσαν τη συγκατάθεσή τους εν επιγραμμικά για ένα συγκεκριμένο σκοπό) Λαμβάνονται υπόψη οι κίνδυνοι από την κατάρτιση προφίλ και καθορίζονται οι κατάλληλες διασφαλίσεις Συμμόρφωση με ειδικούς όρους αν χρησιμοποιείται αυτοματοποιημένη λήψη αποφάσεων (για παράδειγμα, να λαμβάνεται ρητή συγκατάθεση και να εφαρμόζονται κατάλληλες διασφαλίσεις) Σαφής ταυτοποίηση αυτών που έχουν πρόσβαση στα δεδομένα Εξασφάλιση της ασφάλειας της διαδικασίας μέσω τεχνικών και οργανωτικών μέτρων αναφορά των παραβιάσεων δεδομένων Διευκρίνιση των υποχρεώσεων σε συμβάσεις ή άλλες νομικά δεσμευτικές πράξεις με τους υπευθύνους επεξεργασίας δεδομένων, όπως εταιρείες ανάλυσης δεδομένων Διαγραφή των δεδομένων όταν δεν είναι πλέον αναγκαία για τον αρχικό σκοπό για τον οποίο συνελέγησαν Οι μεσίτες δεδομένων και οι εταιρείες ανάλυσης δεδομένων είναι είτε οι (από κοινού) υπεύθυνοι επεξεργασίας είτε οι εκτελούντες την επεξεργασία, 35 Οι παραπάνω πληροφορίες δεν έχουν εξαντλητικό χαρακτήρα. Έχουν ως σκοπό να φωτίσουν ορισμένες υποχρεώσεις που συνδέονται με τα δεδομένα, στο πλαίσιο του γενικού κανονισμού για την προστασία δεδομένων, που αφορούν την εκλογική διαδικασία. Εμπίπτουν σ ένα σενάριο όπου τα πολιτικά κόμματα συλλέγουν τα ίδια δεδομένα (από δημόσιες πηγές, από την παρουσία τους στα μέσα κοινωνικής δικτύωσης, απευθείας από τους ψηφοφόρους κ.λπ.) και χρησιμοποιούν την υπηρεσία από μεσίτες δεδομένων ή εταιρείες ανάλυσης δεδομένων με σκοπό να προσεγγίσουν ψηφοφόρους μέσ από πλατφόρμες μέσων κοινωνός δικτύωσης. Οι πλατφόρμες μπορούν επίσης να είναι πηγή δεδομένων για τους προαναφερόμενους συντελεστές. Κάποιο άλλο τμήμα της νομοθεσίας μπορεί να είναι σχετικό με το θέμα, όπως οι κανόνες για τις αυτόκλητες επικοινωνίες και η προστασία του τερματικού εξοπλισμού στην οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. 12

14 και εταιρείες ανάλυσης δεδομένων Πλατφόρμες των μέσων κοινωνικής δικτύωσης / δίκτυα διαφήμισης στο διαδίκτυο ανάλογα με τον βαθμό ελέγχου που έχουν επί της επεξεργασίας. Ως υπεύθυνος επεξεργασίας δεδομένων Ως εκτελών την επεξεργασία δεδομένων Συμμόρφωση με τον οριοθετημένο Συμμόρφωση με υποχρεώσεις σκοπό, περαιτέρω επεξεργασία μόνο από τη σύμβαση ή άλλη για συμβατούς σκοπούς (ιδίως όταν νομικά δεσμευτική πράξη με κοινολογούνται δεδομένα σε τον υπεύθυνο πλατφόρμες) Εξασφάλιση της ασφάλειας Επιλέγετε την κατάλληλη νομική βάση της επεξεργασίας μέσω για την επεξεργασία: συγκατάθεση, τεχνικών και οργανωτικών έννομο συμφέρον. Αν πρόκειται για μέτρων «ευαίσθητα δεδομένα», η επεξεργασία Υποστήριξη προς τον είναι δυνατή μόνο με ρητή υπεύθυνο για την εκτίμηση συγκατάθεση ή αν δημοσιοποιηθούν επιπτώσεων στην προστασία σαφώς τα δεδομένα δεδομένων ή για την άσκηση Εκτίμηση επιπτώσεων σχετικά με την των δικαιωμάτων των προστασία δεδομένων υποκειμένων των δεδομένων ή Ενημέρωση των ατόμων για κάθε για τη γνωστοποίηση αμελλητί σκοπό επεξεργασίας (απαιτήσεις στον υπεύθυνο παραβίασης διαφάνειας) ιδίως όταν αναζητείται δεδομένων, μόλις γίνει συγκατάθεση, αφού συνήθως τα αντιληπτή η παραβίαση δεδομένα πωλούνται σε τρίτο μέρος Συμμόρφωση με ειδικούς όρους αν χρησιμοποιείται αυτοματοποιημένη λήψη αποφάσεων (π.χ., να λαμβάνεται ρητή συγκατάθεση και να εφαρμόζονται κατάλληλες διασφαλίσεις) Ιδιαίτερη προσοχή στη νομιμότητα της επεξεργασίας και στην ακρίβεια κατά τον συνδυασμό διαφορετικών συνόλων δεδομένων Εξασφάλιση της ασφάλειας της επεξεργασίας μέσω τεχνικών και οργανωτικών μέτρων αναφορά των παραβιάσεων δεδομένων Οι πλατφόρμες είναι συνήθως οι υπεύθυνοι επεξεργασίας δεδομένων για την επεξεργασία που γίνεται στις πλατφόρμες τους και, ενδεχομένως, συνυπεύθυνοι με άλλους οργανισμούς Επιλέγετε την κατάλληλη νομική βάση για την επεξεργασία: Επαφή με άτομα, συγκατάθεση, έννομο συμφέρον. Αν πρόκειται για «ευαίσθητα δεδομένα», η επεξεργασία είναι δυνατή μόνο με ρητή συγκατάθεση ή αν δημοσιοποιηθούν σαφώς τα δεδομένα Να χρησιμοποιούνται μόνο τα δεδομένα που είναι αναγκαία για συγκεκριμένο σκοπό Εκτίμηση επιπτώσεων σχετικά με την προστασία δεδομένων Εξασφάλιση της νομιμότητας κατά την κοινολόγηση δεδομένων μελών σε τρίτα μέρη 13

15 Εθνικές εκλογικές αρχές Συμμόρφωση με απαιτήσεις διαφάνειας, ιδίως όσον αφορά τους όρους, αν τα δεδομένα στη συνέχεια κοινολογούνται σε τρίτο μέρος κ.λπ. Συμμόρφωση με ειδικούς όρους αν χρησιμοποιείται αυτοματοποιημένη λήψη αποφάσεων (π.χ., να λαμβάνεται ρητή συγκατάθεση και να εφαρμόζονται κατάλληλες διασφαλίσεις) Εξασφάλιση της ασφάλειας της επεξεργασίας μέσω τεχνικών και οργανωτικών μέτρων αναφορά των παραβιάσεων δεδομένων Έλεγχοι και πλαίσια για τα άτομα ώστε να ασκούν αποτελεσματικά τα δικαιώματά τους, συμπεριλαμβανομένου του δικαιώματος να μην υπάγονται σε απόφαση που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία συμπεριλαμβανομένης της κατάρτισης προφίλ Οι εθνικές εκλογικές αρχές είναι υπεύθυνοι επεξεργασίας δεδομένων Νομική βάση για την επεξεργασία: νομική υποχρέωση ή καθήκον δημόσιου συμφέροντος που βασίζεται στη νομοθεσία Διεξαγωγή εκτίμησης επιπτώσεων ως προς την προστασία δεδομένων, αν οι επιπτώσεις δεν έχουν ήδη εκτιμηθεί στη νομοθεσία 14