Αποζημίωση 3.000 ευρώ σε εκλογέα εξωτερικού για τη διαρροή αρχείου προσωπικών δεδομένων αποδήμων (ΔΠΑ 12072/2025)

Αποζημίωση ύψους 3.000 ευρώ επιδίκασε το Διοικητικό Πρωτοδικείο σε εκλογέα εξωτερικού, λόγω παραβίασης των προσωπικών του δεδομένων, κατά τη διαρροή των δεδομένων που καταχωρήθηκαν σε πλατφόρμα του Υπουργείου Εσωτερικών στο πλαίσιο της παρεχόμενης δυνατότητας άσκησης του εκλογικού δικαιώματος από εκλογείς του εξωτερικού (ΔΠΑ 12072/2025).

Το δικαστήριο έκρινε ότι στοιχειοθετείται αποζημιωτική ευθύνη του Δημοσίου, καθώς δεν απέδειξε την έλλειψη αιτιώδους συνάφειας μεταξύ της παράνομης παράλειψης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων και της ζημίας του ενάγοντος, η δε παραίτηση πολιτικών προσώπων από το αξίωμά τους δεν επιδρά στην αποζημιωτική του ευθύνη.

Το δικαστήριο διαπίστωσε, αρχικά, ότι έλαβε χώρα παραβίαση προσωπικών δεδομένων των εκλογέων του εξωτερικού, τα στοιχεία των οποίων τηρούνταν σε κεντρικό πληροφοριακό σύστημα (ΟΣΥΕΔ) του Υπουργείου και υπόκειντο σε επεξεργασία για τους σκοπούς άσκησης του εκλογικού δικαιώματος. Εγγενή κίνδυνο παραβίασης των εν λόγω προσωπικών δεδομένων αποτελεί και η μη εξουσιοδοτημένη πρόσβαση από υπάλληλο του ΥΠΕΣ, καθώς και η άνευ αδείας κοινολόγηση για ξένους σκοπούς, κίνδυνοι οι οποίοι λαμβάνονται ιδιαιτέρως υπόψη για την εκτίμηση του κατάλληλου επιπέδου ασφαλείας.

Περαιτέρω, αναφορικά με τα οργανωτικά μέτρα που είχε λάβει το εναγόμενο, το δικαστήριο έκρινε ότι δεν προκύπτει εάν τα εκπαιδευτικά σεμινάρια του Υπουργείου είχαν ήδη πραγματοποιηθεί πριν από την κρίσιμη παραβίαση προσωπικών δεδομένων, ούτε προκύπτει εάν τα παρακολούθησε το σύνολο του προσωπικού και, ιδίως, εάν τα εφάρμοζε και με ποιο τρόπο και εάν αφορούσαν, ιδίως, πολιτικές ασφάλειας προσαρμοσμένες στους εγγενείς κινδύνους της επεξεργασίας προσωπικών δεδομένων στο πλαίσιο της εκλογικής διαδικασίας. Το δε Εγχειρίδιο Κυβερνοασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης απεστάλη μεν προς τις αρμόδιες οργανικές μονάδες του Υπουργείου Εσωτερικών προκειμένου να ληφθούν τα κατάλληλα μέτρα, αλλά δεν διευκρινίζεται εάν και πότε λήφθηκαν στην πράξη τέτοια κατάλληλα μέτρα και πώς εφαρμόστηκαν.

Αναφορικά με τα τεχνικά μέτρα τα οποία είχαν ληφθεί από το εναγόμενο, το τελευταίο αναφέρεται σε σύστημα ελέγχου πρόσβασης κατά το οποίο η πρόσβαση στα πληροφοριακά συστήματα πραγματοποιείται μόνο με κωδικούς, ενώ, παράλληλα, υποστηρίζει ότι ουδείς υπάλληλος μπορούσε να παρέμβει στην επεξεργασία των δεδομένων των εκλογέων εξωτερικού, ούτε μέσω διαχειριστικής εφαρμογής ούτε απευθείας μέσω της πλατφόρμας του ΟΣΥΕΔ, καθώς η πρόσβαση σε αυτήν γινόταν μόνο από εξουσιοδοτημένους χρήστες, ενώ, όπως επισημαίνει, η αντισυμβαλλόμενη εταιρία προέβη στην κρυπτογράφηση των βάσεων δεδομένων των αιτήσεων αποδήμων, χωρίς κάτι τέτοιο, ωστόσο, να αποδεικνύεται.

Κατά την κρίση του δικαστηρίου, παρότι τα εν λόγω επικαλούμενα από το εναγόμενο μέτρα διασφαλίζουν μεν, γενικά και αφηρημένα, κατά τα διδάγματα της λογικής και της κοινής πείρας, την ελεγχόμενη πρόσβαση στις βάσεις όπου τηρούνταν και αποθηκεύονταν τα προσωπικά δεδομένα των εκλογέων του εξωτερικού, εντούτοις, δεν παρέχουν επαρκείς εγγυήσεις για την αποτροπή φαινομένων μη εξουσιοδοτημένης χρήσης και εξαγωγής αρχείων. Το δικαστήριο τόνισε ότι ούτε το εναγόμενο αντιτείνει ότι η διακίνηση και εξαγωγή αρχείων, έστω και από εξουσιοδοτημένους χρήστες, ήταν αδύνατη ή έστω τεθείσα υπό περιορισμούς και προϋποθέσεις, ενώ ούτε εξειδικεύει το εύρος των αρμοδιοτήτων των εξουσιοδοτημένων χρηστών του ΟΣΥΕΔ και δη, εάν αυτοί είχαν τη δυνατότητα διακίνησης και υπό ποιες προϋποθέσεις αρχείων εξαχθέντων από το σύστημα ΟΣΥΕΔ.

Άλλα, δε, οργανωτικά ή τεχνικά μέτρα ασφαλείας προσαρμοσμένα στον εγγενή κίνδυνο μη εξουσιοδοτημένης εξαγωγής και χρήσης αρχείων προσωπικών δεδομένων των εκλογέων εξωτερικού, όπως η καταγραφή ενεργειών των χρηστών των συστημάτων ή σύστημα ειδοποιήσεων σε περιπτώσεις μαζικής εξαγωγής αρχείων, δεν αναφέρει το εναγόμενο, χωρίς, παράλληλα, να επικαλείται αδυναμία εγκατάστασης αυτών ενόψει του κόστους εφαρμογής τους ή τυχόν υπηρεσιακές δυσχέρειες κατά την εφαρμογή τους, παρά αρκείται στη λήψη των ως άνω μέτρων τα οποία κρίνει επαρκή και αποδοτικά.

Το δικαστήριο επεσήμανε ότι, σε κάθε περίπτωση, η επίμαχη διαρροή δεδομένων από άνευ αδείας κοινολόγηση αρχείου δεδομένων προερχόμενου από το ΥΠΕΣ σε πρόσωπο εκτός του Υπουργείου, σε συνδυασμό με τα ως άνω ελλιπή οργανωτικά και τεχνικά μέτρα, καταδεικνύει την ακαταλληλότητα των ληφθέντων μέτρων εκ μέρους του εναγόμενου και την έλλειψη μίας ολοκληρωμένης πολιτικής ασφαλείας προσωπικών δεδομένων ήδη από τον σχεδιασμό των μέσων επεξεργασίας των δεδομένων των εκλογέων εξωτερικού, κατά παράβαση των διατάξεων των άρθρων 5 παρ. 1 περ. στ ́, 25 παρ. 1 και 32 του ΓΚΠΔ.

Η ευθύνη του εναγόμενου δεν αναιρείται από τη μεσολάβηση τυχόν τρίτων προσώπων, τα οποία ενδέχεται να θεωρηθούν τα ίδια αυτοτελώς υπεύθυνοι επεξεργασίας, δεδομένου ότι δεν απέδειξε, εν προκειμένω, το εναγόμενο την έλλειψη αιτιώδους συνάφειας μεταξύ της παράνομης παράλειψης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων και της επικαλούμενης ζημίας του ενάγοντος, λαμβάνοντας υπόψη ότι η επίμαχη παραβίαση των προσωπικών δεδομένων επήλθε από μη εξουσιοδοτημένη διακίνηση και κοινολόγηση δεδομένων, την πηγή της οποίας το Υπουργείο δεν κατάφερε να εντοπίσει.

Σε κάθε περίπτωση, το δικαστήριο τόνισε ότι ο υπεύθυνος επεξεργασίας φέρει το βάρος της απόδειξης της καταλληλότητας των μέτρων, ήτοι ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται τη δέουσα ασφάλεια των δεδομένων αυτών. Συνεπώς, κρίθηκε απορριπτέος ο ισχυρισμός του εναγόμενου ότι δεν εξειδικεύονται τα ενδεικνυόμενα μέτρα ασφαλείας εκ μέρους του ενάγοντος.

Τέλος, απορριπτέα κρίθηκαν και τα προβαλλόμενα από το εναγόμενο περί έμπρακτης συγγνώμης δια της παραίτησης πολιτικών προσώπων και ικανοποίησης κατ’ αυτόν τον τρόπο της ηθικής βλάβης του ενάγοντος, δεδομένου ότι, κατά τα κοινώς γνωστά, η παραίτηση πολιτικών προσώπων από το αξίωμά τους ανάγεται στη σφαίρα της ανάληψης πολιτικής ευθύνης για το επίμαχο συμβάν και δεν επιδρά, ενόψει ιδίως και της βαρύτητας των παράνομων πράξεων και παραλείψεων του εναγόμενου, στην αποζημιωτική ευθύνη του εναγόμενου.

Κατόπιν των ανωτέρω, το δικαστήριο έκρινε ότι στοιχειοθετείται ευθύνη του Δημοσίου προς αποζημίωση, επιδικάζοντας το ποσό των 3.000 ευρώ ως ηθική βλάβη, συνιστάμενη στην ανησυχία του ενάγοντος από την υφιστάμενη διαρροή των προσωπικών του δεδομένων καθώς και στο φόβο του για περαιτέρω κοινολόγηση αυτών, τα οποία μάλιστα καταχώρισε ο ίδιος σε πλατφόρμα του Υπουργείου Εσωτερικών στο πλαίσιο της παρεχόμενης δυνατότητας άσκησης του εκλογικού δικαιώματος από εκλογείς του εξωτερικού, με την προσδοκία ότι αυτά θα χρησιμοποιηθούν για τους νόμιμους σκοπούς επεξεργασίας του υπευθύνου επεξεργασίας και εν προκειμένω του Υπουργείου.

Απόσπασμα της απόφασης είναι διαθέσιμο στο adjustice.gr.