Σοβαρές καταγγελίες για συστηματική παραβίαση προσωπικών και ευαίσθητων δεδομένων από υπηρεσίες του ελληνικού Υπουργείου Εξωτερικών έχουν κατατεθεί στην Αρχή Προστασίας Δεδομένων. Η υπόθεση, που φέρνουν στο φως οι Data Journalists, εκθέτει έναν μηχανισμό ανεξέλεγκτης διαχείρισης υπηρεσιακών πληροφοριών, παραβιάσεων του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ), και πιθανής σύγκρουσης συμφερόντων στο εξωτερικό.
Καταγγέλλουσα είναι διπλωματική υπάλληλος, η οποία υπηρέτησε στο Γραφείο Οικονομικών και Εμπορικών Υποθέσεων (ΟΕΥ) στην ελληνική πρεσβεία στο Τόκιο από το 2016 έως το 2018. Σύμφωνα με την καταγγελία, ο τότε Προϊστάμενος του Γραφείου, Διονύσιος Πρωτόπαπας, δημιούργησε ιδιωτικό λογαριασμό στο Gmail ως “αντίγραφο ασφαλείας” της υπηρεσιακής ηλεκτρονικής αλληλογραφίας. Ο λογαριασμός λειτουργούσε χωρίς καμία θεσμική έγκριση και χωρίς νομικό έρεισμα, και περιλάμβανε πλήθος εμπιστευτικών, εμπορικών και εθνικών πληροφοριών.
Το πλέον ανησυχητικό στοιχείο είναι ότι ο λογαριασμός αυτός, όπως καταγγέλλεται, ήταν προσβάσιμος σε Ιαπωνα-Έλληνα συμβασιούχο υπάλληλο της Πρεσβείας, ο οποίος κατείχε ταυτόχρονα τη θέση του εκτελεστικού διευθυντή σε Μη Κερδοσκοπικό Οργανισμό (ΜΚΟ) με την επωνυμία «Ελληνικό Εμπορικό Επιμελητήριο στην Ιαπωνία». Η πρόσβαση του εν λόγω ατόμου, που δεν είχε καμία επίσημη θεσμική σχέση με το ελληνικό κράτος, συνιστά κατάφωρη παραβίαση των προβλέψεων του ΓΚΠΔ.
Η συγκεκριμένη ΜΚΟ φέρεται να είχε ως έδρα της την ελληνική πρεσβεία στο Τόκιο χωρίς επίσημη άδεια, ενώ δεν είχε καμία σύνδεση με επίσημα ελληνικά επιμελητήρια, όπως το ΕΒΕΑ. Κατά την ίδια περίοδο, η οργάνωση αυτή φέρεται να έλαβε χορηγίες από την ιαπωνική γαλακτοβιομηχανία Meiji Co. Ltd, στην οποία η ελληνική πρεσβεία είχε παραχωρήσει, εν αγνοία των αρμόδιων αρχών στην Αθήνα, πιστοποιητικό «αυθεντικότητας ελληνικού γιαουρτιού» για προϊόν που παραγόταν στην Ιαπωνία.
Το σκάνδαλο κορυφώθηκε όταν η ίδια εταιρεία ξεκίνησε εμπορική καμπάνια με τη χρήση του όρου «Greek Yogurt» και της ελληνικής σημαίας στις συσκευασίες της, διαφημίζοντας ότι το προϊόν έχει την έγκριση της ελληνικής Πρεσβείας. Η ενέργεια αυτή έγινε χωρίς έγκριση από το Υπουργείο Εξωτερικών και το Υπουργείο Αγροτικής Ανάπτυξης και προκάλεσε έντονες αντιδράσεις.
Το 2020, ύστερα από προσφυγή της ελληνικής πλευράς, το Ιαπωνικό Γραφείο Σημάτων (Japan Patent Office) προχώρησε στην ακύρωση της κατοχύρωσης του εμπορικού σήματος «Greek Style Yoghurt». Ωστόσο, η Meiji Co. συνέχισε τη διάθεση των προϊόντων της με τον ίδιο χαρακτηρισμό σε άλλες ασιατικές αγορές, μεταξύ των οποίων και η Σιγκαπούρη, αποδεικνύοντας την αναποτελεσματικότητα της διπλωματικής διαχείρισης του ζητήματος.
Η διπλωματική υπάλληλος, που κατήγγειλε τα περιστατικά, υποστηρίζει πως από το 2018 μέχρι το 2024 τα προσωπικά της δεδομένα διακινούνταν χωρίς την ενημέρωση και τη συγκατάθεσή της. Μεταξύ αυτών περιλαμβάνονταν ιατρικά δεδομένα που σχετίζονταν με τη νοσηλεία της στο Τόκιο μετά από τροχαίο ατύχημα. Τα στοιχεία αυτά φέρεται να κοινοποιήθηκαν σε υπαλλήλους του ΥΠΕΞ στην Αθήνα και τρίτους, χωρίς νόμιμη βάση.
Απόρρητα υπηρεσιακά έγγραφα και ηλεκτρονικά αρχεία με εμπιστευτικό περιεχόμενο, μεταβιβάστηκαν κατ’ επανάληψη εν αγνοία της. Η καταγγέλλουσα ισχυρίζεται ότι η παράνομη επεξεργασία των δεδομένων της συνδέθηκε με την στοχοποίησή της εντός του Υπουργείου: πειθαρχικές διώξεις, μισθολογική καθήλωση, αποκλεισμός από προαγωγές και αποδόμηση του κύρους της.
Η υπόθεση οδήγησε στη διενέργεια Ένορκης Διοικητικής Εξέτασης (ΕΔΕ) το 2019. Το πόρισμα της ΕΔΕ απέδωσε πειθαρχικές ευθύνες στον τότε πρέσβη στο Τόκιο, Λουκά Καρατσώλη, και στον κ. Πρωτόπαπα, για πράξεις και παραλείψεις σε σχέση με τη χορηγία της Meiji και την παραχώρηση πιστοποιητικού αυθεντικότητας. Οι ευθύνες χαρακτηρίστηκαν ως παραβίαση της υπηρεσιακής δεοντολογίας και των εθνικών συμφερόντων, αλλά το ζήτημα φάνηκε να κλείνει υπηρεσιακά χωρίς περαιτέρω εξελίξεις.
Η δικηγόρος της υπαλλήλου, Σταυρούλα Τομαρά, επισημαίνει σε δήλωσή της ότι η παραβίαση του ΓΚΠΔ είναι καθολική και συστηματική στην ελληνική δημόσια διοίκηση. Τονίζει ότι η δημοσίευση προσωπικών δεδομένων στα κοινωνικά δίκτυα δεν νομιμοποιεί την επεξεργασία τους χωρίς σαφή συγκατάθεση. Παραθέτει μάλιστα σχετική απόφαση του Δικαστηρίου της ΕΕ (Υπόθεση C-446/21) που ξεκαθαρίζει ότι η δημόσια διάθεση δεδομένων δεν σημαίνει αυτόματη παραίτηση από την προστασία τους.
Η κ. Τομαρά καταγγέλλει ότι οι δημόσιες αρχές – μεταξύ αυτών και το ΥΠΕΞ – αγνοούν βασικές υποχρεώσεις που απορρέουν από τον ΓΚΠΔ, όπως η διενέργεια Εκτίμησης Αντικτύπου Προστασίας Δεδομένων (ΕΑΠΔ). Κάνει λόγο για γενικευμένη κουλτούρα ατιμωρησίας και για αδράνεια από την πολιτική ηγεσία, τονίζοντας πως «σε μια ευνομούμενη ευρωπαϊκή κοινωνία, αυτή η κατάσταση δεν θα έπρεπε να γίνεται ανεκτή».
«Η δημοσιοποίηση προσωπικών δεδομένων από το υποκείμενο μέσω ανάρτησης σε μέσο κοινωνικής δικτύωσης φυσικά και δεν συνεπάγεται καμία απεμπόληση του δικαιώματος στην προστασία των προσωπικών του δεδομένων. Δεν υπάρχει αυτόματη εξαίρεση της εφαρμογής του ΓΚΠΔ, μόνο και μόνο γιατί ορισμένα προσωπικά δεδομένα των υποκειμένων είναι προδήλως δημοσιοποιημένα είτε σε έγγραφα ,είτε σε αναρτήσεις στα μέσα κοινωνικής δικτύωσης. Τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται πάντα , εκ των προτέρων για την επεξεργασία τους από τις εταιρείες, τα Υπουργεία, τις κρατικές υπηρεσίες, τα ΜΜΕ, έστω και αν τα προσωπικά τους δεδομένα προέρχονται από πηγές που είναι δημόσια διαθέσιμες (π χ δημόσια έγγραφα, αναρτήσεις σε μέσα κοινωνικής δικτύωσης, κλπ).
Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει το υποκείμενο των δεδομένων σχετικά με τους σκοπούς για τους οποίους προορίζεται η επεξεργασία των δεδομένων, καθώς και με τη νομική βάση της επεξεργασίας.
Όταν η επεξεργασία βασίζεται στη συγκατάθεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στη πράξη επεξεργασίας, ρητώς και με σαφή θετική ενέργεια, και με σκοπό να καταστήσει προσβάσιμα στο ευρύ κοινό τα επίμαχα δεδομένα προσωπικού χαρακτήρα.
Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση.
Όμως και ,αν ακόμα ένα πρόσωπο έχει προδήλως δημοσιοποιήσει ένα δεδομένο σχετικά με τα ευαίσθητα προσωπικά δεδομένα του δεν μπορεί να συναχθεί ότι το πρόσωπο αυτό παρέσχε τη συγκατάθεσή του, για την επεξεργασία από τον διαχειριστή διαδικτυακής πλατφόρμας μέσου κοινωνικής δικτύωσης άλλων δεδομένων σχετικών με τα ευαίσθητα προσωπικά δεδομένα του.
Δυστυχώς το Ελληνικό Υπουργείο Εξωτερικών, όπως και πολλά άλλα Υπουργεία και κρατικές υπηρεσίες, η ΕΛ.ΑΣ, ο Δικηγορικός Σύλλογος Αθηνών, ακόμα και τα Ελληνικά Δικαστήρια συστηματικά παραβιάζουν το ΓΚΠΔ χωρίς καν έχουν μεριμνήσει σχετικώς σε θέματα που αφορούν την προστασία των προσωπικών δεδομένων των πολιτών (αλλά και των υπαλλήλων τους), με πρώτη σοβαρή παράλειψη την έννομη υποχρέωση τους για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) η οποία προβλέπεται στο άρθρο 35 παρ. 1 του ΓΚΠΔ. Επίσης και με τα ΜΜΕ η κατάσταση είναι επικινδύνως και εξακολουθητικά έκνομη γιατί παραβιάζουν συστηματικά τα προσωπικά δεδομένα πολιτών (πλην όσων με εισαγγελική εντολή οφείλουν να δημοσιοποιήσουν) αλλά υποθέτω ότι αυτό εξυπηρετεί τα πολιτικά κόμματα, τους Υπουργούς, τους καναλάρχες, κάποιους μεγα-επιχειρηματίες.
Σε μια ευνομούμενη Ευρωπαϊκή κοινωνία αυτή η συστηματική παραβίαση των προσωπικών δεδομένων πολιτών (και των ευαίσθητων) δεν θα έπρεπε να γίνεται τόσο εξοργιστικά ανεκτή από τον Πρωθυπουργό της χώρας και θα όφειλε να δώσει αυστηρές εντολές σε όλους τους Υπουργούς του για την άμεση και ομοιόμορφη εφαρμογή του Ευρωπαϊκού Κανονισμού παντού».
Η υπόθεση αναδεικνύει όχι μόνο κενά στη διαχείριση ευαίσθητων δεδομένων από θεσμούς του ελληνικού κράτους, αλλά και την απουσία θεσμικών αντιβάρων. Θέτει σοβαρά ερωτήματα για τη διαφάνεια και τη λογοδοσία των υπηρεσιών του ΥΠΕΞ, την εθνική στρατηγική προστασίας προϊόντων γεωγραφικής ένδειξης και την ασφάλεια της διπλωματικής πληροφορίας.
Η καταγγελία βρίσκεται πλέον στα χέρια της Αρχής Προστασίας Δεδομένων, η οποία καλείται να εξετάσει μια υπόθεση που αγγίζει όχι μόνο ζητήματα νομιμότητας, αλλά και το κύρος της ελληνικής εξωτερικής πολιτικής και της διοίκησης συνολικά.
