Hellenic Data Protection Authority (HDPA) har utfärdat en sanktionsavgift på 400 000 euro mot inrikesministeriet Hellenic Ministry of Interior och parlamentsledamoten Anna Michelle Asimakopoulou med respektive 40 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att HPDA tagit emot 236 klagomål avseende oönskad politisk kommunikation som skickats via e-post av parlamentsledamoten i mars 2024. Som svar inledde HDPA en utredning som bestod av kommunikation och begäran om information från inrikesministeriet, det politiska partiet Ny demokrati och Anna Michelle Asimakopoulou som alla ansågs vara personuppgiftsansvariga för behandlingen.
Vid utredningen hittade HDPA en fil som innehöll personuppgifter om alla registrerade väljare utomlands för valet i juni 2023, för vilket inrikesministeriet är personuppgiftsansvarig. Filen hade skapats för internt bruk vid inrikesministeriet i samband med ett ändamål som rörde valprocessen och innehöll namn, länder, e-postadresser och telefonnummer till över 20 000 utländska väljare. Den 18 mars 2024 skickade inrikesministeriet in en anmälan om en personuppgiftsincident, som uppskattade datumet för incidenten till maj 2023.
HDPA konstaterade att incidenten inträffade juni 2023. I januari 2024 skickade den dåvarande sekreteraren filen till parlamentsledamoten via Whatsapp. Efter att ha mottagit filen bearbetade parlamentsledamoten uppgifterna och exporterade e-postadresserna till MailChimp för att lägga till dem i sin sändlista. Hon skickade därefter ett e-postmeddelande till utskickslistan, inklusive ovan nämnda registrerade. I e-postmeddelandet informerades inte mottagarna om hur deras uppgifter samlats in.
HDPA ansåg att inrikesministeriets utredning inte var uttömmande när det gällde att försöka fastställa tidpunkten för och omfattningen av incidenten. HDPA konstaterade också att de riktlinjer och förfaranden som inrikesministeriet följde för överföring av uppgifter om utländska väljare inte innehöll några specifika säkerhetsåtgärder för överföring av uppgifter. Rutinerna innehöll enligt HDPA inte heller några åtgärder för att minska de risker som orsakas av mänskliga fel.
Vidare noterade HDPA brister i inrikesministeriets förfaranden och policyer för dataskydd. Framför allt har inrikesministeriet inte på ett effektivt sätt infört lämpliga tekniska eller organisatoriska åtgärder för att genomföra gällande dataskyddsprinciper, vilket krävs enligt artiklarna 24 och 25 GDPR. Ministeriet har enligt HDPA inte heller fullgjort sina skyldigheter enligt artikel 33 GDPR att anmäla incidenten till tillsynsmyndigheten på ett korrekt sätt då anmälan inte innehöll någon information som var allmänt tillgänglig.
Slutligen ansåg HDPA att det fanns brister och felaktigheter i de register över aktiviteter som rörde inrikesministeriets behandling av personuppgifter, vilket strider mot artikel 30 GDPR. Mot denna bakgrund fick inrikesministeriet en sanktionsavgift på 400 000 euro för överträdelser av artiklarna 5, 25, 30, 32 och 33 GDPR.
Vad gäller parlamentsledamotens insamling av personuppgifter ansåg HDPA att hon agerat i strid med principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR. HDPA ansåg också att de registrerade inte fått lämplig information i enlighet med artikel 14 GDPR, i synnerhet inte om källan till deras uppgifter, vilket ledde till en överträdelse av principen om öppenhet.
Därutöver ansåg HDPA också att parlamentsledamoten agerat i strid med artikel 6.1 GDPR när hon behandlade uppgifterna. Med tanke på att behandlingen skedde i strid med ett antal bestämmelser i vallagstiftningen kunde väljare i utlandet inte rimligen förvänta sig att deras personuppgifter som innehades av inrikesministeriet skulle behandlas på detta sätt. Berättigat intresse utgjorde inte heller någon giltig rättslig grund då HDPA ansåg att utlandsväljarnas rätt till skydd av sina personuppgifter väger tyngre än parlamentsledamotens berättigade intresse av att kommunicera med dem individuellt. HDPR ansåg därför att parlamentsledamoten skulle få en sanktionsavgift på 40 000 euro för överträdelse av artiklarna 5, 6 och 14 GDPR.