Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπίστωσε ότι η Νέα Δημοκρατία (ΝΔ) δεν εμπλέκεται άμεσα στη διαρροή των e-mail αποδήμων που αφορούσαν την πρώην ευρωβουλευτή του κόμματος, Άννα Μισέλ Ασημακοπούλου. Ωστόσο, διαπιστώθηκε ότι το κόμμα δεν είχε λάβει τα απαραίτητα και επαρκή μέτρα ασφαλείας για την προστασία των προσωπικών δεδομένων που διατηρούσε.
Στο πλαίσιο της έρευνας, η Αρχή επέβαλε πρόστιμο ύψους 30.000 ευρώ στη ΝΔ, όχι για τη διαρροή των επίμαχων ηλεκτρονικών μηνυμάτων, αλλά για την έλλειψη επαρκών μέτρων ασφαλείας. Επιπλέον, επιβλήθηκε πρόστιμο 10.000 ευρώ λόγω διαρροής σχετικής λίστας από τον πρώην γραμματέα Αποδήμων της ΝΔ, Νίκο Θεοδωρόπουλο.
Η Αρχή απάλλαξε τον τότε γενικό γραμματέα του υπουργείου Εσωτερικών, Μιχάλη Σταυριανουδάκη, από κάθε ευθύνη, καθώς δεν κατέστη δυνατό να εντοπιστεί το πρόσωπο που έκανε τη διαρροή από το Υπουργείο. Η πλειοψηφία των μελών της Αρχής (5-2) κατέληξε στο συμπέρασμα ότι ο Νίκος Θεοδωρόπουλος έλαβε το αρχείο από τον τότε Οργανωτικό Γραμματέα Αυτοδιοίκησης και Διαχείρισης Κρίσεων της ΝΔ, ο οποίος το παραδέχτηκε, αλλά δεν υπήρξε επαρκής απόδειξη για την προέλευση αυτού του αρχείου.
Η Αρχή διαπίστωσε επίσης ότι ο Νίκος Θεοδωρόπουλος χρησιμοποίησε το αρχείο για στατιστικούς σκοπούς σχετικούς με τις εκλογές του Μαΐου 2023. Αν και η πλειοψηφία θεώρησε ότι η επεξεργασία αυτή έγινε για λογαριασμό της ΝΔ, το γεγονός ότι ο Θεοδωρόπουλος κράτησε το αρχείο για έξι μήνες και το έστειλε στην Άννα Μισέλ Ασημακοπούλου ως ιδιώτης, οδήγησε στην απόφαση ότι η ΝΔ δεν ευθύνεται για τη διαρροή.
Η Αρχή τόνισε ότι η ΝΔ δεν είχε επαρκείς πολιτικές και διαδικασίες για την προστασία των προσωπικών δεδομένων, γεγονός που οδήγησε σε παραβίαση του άρθρου 25 παρ. 1 του ΓΚΠΔ. Σημείωσε ότι οι πολιτικές σχετικά με τη χρήση προσωπικών συσκευών από τα στελέχη του κόμματος ήταν ελλιπείς και περιορίζονταν στο εσωτερικό δίκτυο του κόμματος.
Η πλειοψηφία της Αρχής υπογράμμισε ότι η ΝΔ πρέπει να θεωρείται Υπεύθυνη Επεξεργασίας για την επεξεργασία του αρχείου εκλογέων από τον πρώην γραμματέα Αποδήμων, καθώς η επεξεργασία αυτή εξυπηρετούσε σκοπούς του κόμματος. Η Αρχή κατέληξε ότι αυτή η επεξεργασία έγινε κατά παράβαση των νόμιμων διαδικασιών που προβλέπουν την παράδοση εκλογικών καταλόγων στα πολιτικά κόμματα κατά την προεκλογική περίοδο.
Οι δύο μέλη της Αρχής που μειοψήφησαν θεώρησαν ότι όλοι οι εμπλεκόμενοι θα έπρεπε να απαλλαγούν λόγω αμφιβολιών, καθώς δεν προέκυπτε ξεκάθαρα ποιος ευθύνεται για την παραβίαση.
Σκεπτικό της απόφασης για τη Νέα Δημοκρατία
αα. Η Αρχή διαπίστωσε ομόφωνα ότι η Νέα Δημοκρατία δεν είχε λάβει τα απαραίτητα τεχνικά και οργανωτικά μέτρα για την προστασία των προσωπικών δεδομένων, γεγονός που οδήγησε σε παραβίαση του ΓΚΠΔ. Η οργάνωση του κόμματος, αν και καθορισμένη από το καταστατικό, παρουσίαζε ελλείψεις στις πολιτικές προστασίας δεδομένων.
ββ. Η Αρχή καταλήγει ότι η ΝΔ πρέπει να θεωρείται Υπεύθυνη Επεξεργασίας για την επεξεργασία του αρχείου εκλογέων, καθώς η εν λόγω επεξεργασία εξυπηρετούσε τους σκοπούς του κόμματος και έγινε κατά παράβαση των σχετικών νομικών διατάξεων.
