Γράφει ο Χρήστος Ηλ. Τσίχλης*
Εδώ και μία δεκαετία, έχουν λάβει χώρα διάφοροι διαγωνισμοί του ελληνικού δημοσίου, με σκοπό την υλοποίηση της ευρωπαϊκής δέσμευσης, για την έκδοση νέου τύπου δελτίων αστυνομικών ταυτοτήτων, αλλά η εφαρμογή προσκρούει στις αντιδράσεις φορέων, στα ανθρώπινα δικαιώματα, στον κανονισμό της ίδιας της ευρωπαϊκής Ένωσης για τα προσωπικά δεδομένα, στην αδυναμία ανταπόκρισης του κρατικού μηχανισμού και η εν λόγω υπουργική απόφαση επανέρχεται βελτιωμένη- αναθεωρημένη.
Το 2018 δημοσιεύτηκε η κοινή υπουργική απόφαση υπαριθμόν 8200/0-297647/10.4.2018, που προβλέπει την έκδοση νέου τύπου δελτίων αστυνομικών ταυτοτήτων με RFID chip και καθορίζει τα προσωπικά στοιχεία που θα περιλαμβάνονται. Στο Συμβούλιο της Επικρατείας, είχαν προσφύγει το 2018, περίπου 70 πολίτες, μεταξύ των οποίων δύο δικηγόροι, τρεις πρωτοπρεσβύτεροι, ένας αρχιμανδρίτης, το Ελληνορθόδοξο κίνημα Σωτηρίας, η Εστία Πατερικών Μελετών κ.α.. Το Συμβούλιο της Επικρατείας, με μία σειρά αποφάσεων του (2388-2399/2019) έκρινε νόμιμα τα στοιχεία που προβλέπεται να περιέχουν οι νέες ηλεκτρονικές αστυνομικές ταυτότητες. Το 2018 θα εφαρμοζόταν η κοινή υπουργική απόφαση, αλλά εκκρεμούσε η εκδίκαση των ως άνω προσφυγών στο Συμβούλιο της Επικρατείας. Η Ευρωπαϊκή Επιτροπή, εδώ και χρόνια, έχει ζητήσει την εναρμόνιση των κρατών μελών με τις νέες ηλεκτρονικές αστυνομικές ταυτότητες. Το Συμβούλιο της Επικρατείας αποφάσισε, ότι ζητήματα δημόσιας τάξης, δημοσίου συμφέροντος και ασφάλειας, καθορίζονται μόνο από το Κράτος, με τον απαραίτητο σεβασμό στα ανθρώπινα δικαιώματα.
Σίγουρα, η επεξεργασία ευαίσθητων προσωπικών δεδομένων, είναι παράνομη, όταν δεν υπάρχει η συναίνεση μας. Στην συγκεκριμένη περίπτωση, συναίνεση υφίσταται μονάχα κατά την έκδοση και όχι μεταγενέστερη συναίνεση. Το ίδιο συμβαίνει, με τις κάρτες τραπεζών, κάρτες συναλλαγής, με τις κάρτες μέσων μαζικής μεταφοράς, με το Κτηματολόγιο, με την Εφορία κ.α..
Ο νέος τύπος ηλεκτρονικών αστυνομικών ταυτοτήτων, που ζητάει η Ευρωπαϊκή Επιτροπή, είναι αντίθετος σε μία σειρά Συνταγματικών διατάξεων της χώρας μας, στον Χάρτη θεμελιωδών δικαιωμάτων της ευρωπαϊκής Ένωσης, στην Ευρωπαϊκή Σύμβαση δικαιωμάτων του ανθρώπου (ΕΣΔΑ), στην Οικουμενική Διακήρυξη των Ηνωμένων Εθνών περί των ανθρωπίνων δικαιωμάτων και τη νομοθεσία. Το Συμβούλιο της Επικρατείας, έκρινε ότι παράνομα προβλέπεται να περιλαμβάνονται στις νέου τύπου αστυνομικές ταυτότητες, τα στοιχεία εκείνα που απαιτούνται για τις υπηρεσίες ηλεκτρονικής διακυβέρνησης, διότι δεν αποτελούν κρίσιμα στοιχεία για την απόδειξη της ταυτότητας των πολιτών, ούτε είναι σύμφωνα με το νόμο 1599/1986.
Οι νέες ηλεκτρονικές αστυνομικές ταυτότητες, θα περιλαμβάνουν τον αριθμό μητρώου κοινωνικής ασφάλισης (ΑΜΚΑ), ένα ηλεκτρονικό τσιπ που θα πιστοποιεί τα στοιχεία του εικονιζόμενου, έναν μοναδικό αριθμό, την ιδιότητα του κατόχου, τα στοιχεία της Μηχανικως Αναγνωσιμης Ζώνης του δελτίου (MRZ), δακτυλικά αποτυπώματα των δεικτών και των δύο χεριών του αιτούντος, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου, ομάδα αίματος και rhesus προαιρετικά, στοιχεία που απαιτούνται για τις υπηρεσίες ηλεκτρονικής διακυβέρνησης, έγχρωμη φωτογραφία κ.α.. Στα τέλη του 2021, θα έχουμε στα χέρια μας, τις νέες ηλεκτρονικές αστυνομικές ταυτότητες, σύμφωνα με τον Υπουργό ψηφιακής διακυβέρνησης.
Αυστηρότατες καθίστανται οι συνέπειες παραβίασης του πρόσφατου Ευρωπαϊκού κανονισμού δεδομένων προσωπικού χαρακτήρα. Οι κυρώσεις επιβάλλονται από την Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα ή από την Ευρωπαϊκή αρχή προστασίας δεδομένων προσωπικού χαρακτήρα, κατόπιν καταγγελίας ή αυτεπάγγελτα.
Ως προς τα προσωπικά δεδομένα, οι δημόσιες υπηρεσίες, οφείλουν υποχρεωτικά να ορίζουν DPO – Data Protection Officer ή Υπεύθυνο Προστασίας Δεδομένων, σύμφωνα με το άρθρο 37 του 679/2016 (ΕΕ), όπου πέραν της νομικής υποχρέωσης ο DPO ενισχύει τις δημόσιες υπηρεσίες κατά την εφαρμογή του Κανονισμού , μιας και ως καθήκοντά τους έχει:
Να ενημερώνει και να συμβουλεύει και τους υπαλλήλους του σχετικά με τις υποχρεώσεις τους που απορρέουν από τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων.
Να παρακολουθεί την εσωτερική συμμόρφωση με τον Κανονισμό και άλλες διατάξεις περί προστασίας δεδομένων (π.χ. προσδιορισμός και διαχείριση δραστηριοτήτων επεξεργασίας, εκπαίδευση προσωπικού, διενέργεια εσωτερικών ελέγχων).
Να είναι το πρώτο σημείο επαφής για τις εποπτικές αρχές και τα υποκείμενα των δεδομένων (εργαζόμενοι, πολίτες κ.λπ.) και να συνεργάζεται με την εποπτική αρχή (ΑΠΔΠΧ)
Κάθε πολίτης ανεξαρτήτως του είδους των υπηρεσιών που ζητά ή που λαμβάνει, καθώς και κάθε διαδικασία λειτουργίας και άσκησης των αρμοδιοτήτων της υπηρεσίας, θα πρέπει να διακατέχεται από σαφές πλαίσιο προστασίας και ασφαλούς διαχείρισης των προσωπικών δεδομένων.
Το σύνολο των φορέων του δημόσιου και ιδιωτικού τομέα οφείλουν να προστατεύουν τα προσωπικά δεδομένα και να διαμορφώνουν κατάλληλες διαδικασίες και πολιτικές, ώστε τα υποκείμενα των δεδομένων, δηλαδή οι πολίτες να μπορούν να ασκήσουν τα δικαιώματά τους, όπως αυτά προβλέπονται από τον ΓΚΠΔ. Δηλαδή,κάθε ενέργεια με αυτοματοποιημένα ή μη μέσα που περιλαμβάνει τη συλλογή, καταχώριση, οργάνωση, διάρθρωση, αποθήκευση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση ή κάθε άλλη μορφή διάθεσης, συσχέτιση ή συνδυασμό, περιορισμό, διαγραφή ή καταστροφή δεδομένων προσωπικού χαρακτήρα.
Αυξημένα πρόστιμα γενικά, που φθάνουν έως τα 20 εκατομμύρια ευρώ , προβλέπει, σε περίπτωση παράβασης, ο νέος Ευρωπαϊκός Kανονισμός για την προστασία των προσωπικών δεδομένων.
Οι δημόσιες υπηρεσίες θα πρέπει:
1.Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων, δηλαδή να τα συλλέγουν για συγκεκριμένο νόμιμο σκοπό και μόνο όσα εξ’ αυτών είναι απαραίτητα,
2. Να μην τα υποβάλουν σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο με το σκοπό, να τα επικαιροποιούν,
3. Να τα αποθηκεύουν για το μικρότερο δυνατό χρονικό διάστημα που απαιτείται, να λαμβάνουν – κατά περίπτωση – την ελεύθερη και σαφή συγκατάθεση των φυσικών προσώπων,
4. Να τα μεταφέρουν σε χώρες εκτός Ε.Ε. μόνον υπό συγκεκριμένες προϋποθέσεις, να δίνουν πρόσβαση στα προσωπικά δεδομένα σε συνεργάτες τους μόνον υπό συγκεκριμένες συνθήκες και εφόσον αυτοί αποδεικνύουν τη συμμόρφωσή τους με το νέο κανονισμό,
5. Να αναπτύξουν ηλεκτρονικά εργαλεία για την έγκαιρη και δωρεάν ανταπόκριση σε αιτήματα για: Ανάκληση της συγκατάθεσης, πρόσβαση στα δεδομένα, διόρθωση των δεδομένων, διαγραφή των δεδομένων, περιορισμό της επεξεργασίας, παράδοση των δεδομένων σε ηλεκτρονική μορφή, μεταφορά των δεδομένων σε άλλο φορέα.
6. Να γνωστοποιούν κατάλληλα και εγκαίρως στα φυσικά πρόσωπα τα δικαιώματά τους να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους,
7. Να τηρούν σε αρχείο και να γνωστοποιούν κάθε παραβίαση των δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και στα φυσικά πρόσωπα με απευθείας ενημέρωση ή δημόσια ανακοίνωση,
8. Να αποδεικνύουν ότι τηρούν όλες τις απαιτήσεις του Κανονισμού.
Μεταξύ άλλων, ο Ευρωπαϊκός Κανονισμός προβλέπει τα εξής δικαιώματα του υποκειμένου των προσωπικών δεδομένων, δηλαδή του πολίτη:
• Ενημέρωση με σαφήνεια και διαφάνεια από τον υπεύθυνο επεξεργασίας (ταυτότητα και στοιχεία υπεύθυνου επεξεργασίας, είδος δεδομένων, σκοπός επεξεργασίας, πιθανοί αποδέκτες των δεδομένων κ.λπ.).
• Δυνατότητα πρόσβασης στα προσωπικά του δεδομένα, όταν αυτά υφίστανται επεξεργασία.
• Δυνατότητα απαίτησης διόρθωσης ή συμπλήρωσης ελλιπών δεδομένων, από τον υπεύθυνο επεξεργασίας.
• Αίτημα διαγραφής (λήθη) των προσωπικών του δεδομένων υπό προϋποθέσεις (ανάκληση συγκατάθεσης, παράνομη απόκτηση, απουσία επιτακτικών και νόμιμων λόγων επεξεργασίας κ.λπ.).
• Δυνατότητα εναντίωσης στην επεξεργασία προσωπικών δεδομένων, εάν ο υπεύθυνος επεξεργασίας δεν καταδείξει επιτακτικούς λόγους για την επεξεργασία αυτή.
Επιπροσθέτως, ο Δήμος ως υπεύθυνος επεξεργασίας προσωπικών δεδομένων υποχρεούται:
• Να λαμβάνει τη συγκατάθεση του υποκειμένου των προσωπικών δεδομένων, όπου αυτή απαιτείται και να είναι σε θέση να αποδεικνύει τη συγκατάθεση αυτή αν του ζητηθεί.
• Να μην προβαίνει σε επεξεργασία προσωπικών δεδομένων, ανηλίκων κάτω των 16 ετών, χωρίς προηγούμενη συγκατάθεση του γονέα. Ο υπεύθυνος επεξεργασίας, θα πρέπει να επαληθεύει τη συγκατάθεση αυτή, με κάθε μέσο που του προσφέρει η διαθέσιμη τεχνολογία.
• Nα μην επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, δεδομένα που αφορούν την υγεία, τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό.
Πρόστιμο ύψους 150.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στην εταιρεία «Price Waterhouse Coopers Business Α.Ε.» (PWC BS), για παράνομη επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων στην εν λόγω εταιρεία. Το επίμαχο χρηματικό πρόστιμο επιβλήθηκε σύμφωνα με τον Γενικό Ευρωπαϊκό Κανονισμό Προστασίας Δεδομένων.
Αναλυτικότερα, η Αρχή με αφορμή καταγγελία, διερεύνησε αυτεπάγγελτα τη νομιμότητα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των εργαζομένων της εταιρείας PWC BS, σύμφωνα με την οποία οι εργαζόμενοι εξαναγκάσθηκαν στην παροχή συγκατάθεσης προκειμένου να γίνει επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Η Ελλάδα και η Ισπανία είναι οι μόνες χώρες που δεν έχουν ενσωματώσει στο εθνικό Δίκαιο την οδηγία για τα προσωπικά δεδομένα και για το λόγο αυτό η χώρα έχει πληρώσει μέχρι σήμερα πρόστιμο 2,5 εκατ. ευρώ και συνεχίζει να καταβάλλει 5.287,5 ευρώ την ημέρα.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έχει αρμοδιότητα να χειρίζεται καταγγελίες και να ερευνά, αν χρειαστεί και από κοινού με εποπτικές αρχές άλλων κρατών μελών της ΕΕ, πιθανές παραβιάσεις της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα.
Πριν υποβάλετε την καταγγελία πρέπει να απευθυνθείτε στον υπεύθυνο επεξεργασίας, π.χ. ασκώντας τα προβλεπόμενα από τα άρθρα 15 έως 22 ΓΚΠΔ δικαιώματα, όπου αυτά εφαρμόζονται. Στις περιπτώσεις που ο υπεύθυνος επεξεργασίας έχει ορίσει Υπεύθυνο Προστασίας Δεδομένων (DPO) μπορείτε να απευθυνθείτε σε αυτόν για κάθε ζήτημα σχετικό με την επεξεργασία των δικών σας δεδομένων προσωπικού χαρακτήρα και για την άσκηση των δικαιωμάτων σας. Τα στοιχεία των DPO είναι δημοσιευμένα, συνήθως, στην ιστοσελίδα του υπευθύνου επεξεργασίας.
Οι καταγγέλλοντες υποβάλλουν την καταγγελία τους στην ΑΠΔΠΧ με την συμπλήρωση των αντίστοιχων ανά περίπτωση εντύπων. Σε κάθε έντυπο υπάρχουν υποχρεωτικά πεδία προς συμπλήρωση, ανάλογα με τον τύπο της καταγγελίας. Εάν αυτά τα πεδία δεν έχουν συμπληρωθεί από τον καταγγέλλοντα, όπως κι αν χρησιμοποιηθεί άλλο έντυπο με το οποίο δεν παρέχονται οι απαιτούμενες πληροφορίες, η Αρχή έχει δικαίωμα να μην επιληφθεί της καταγγελίας.
Σύμφωνα με το άρ. 33 του Κανονισμού (ΕΕ) 2016/679, οι υπεύθυνοι επεξεργασίας, σε περίπτωση που συμβεί περιστατικό παραβίασης προσωπικών δεδομένων από το οποίο ενδέχεται να προκληθεί κίνδυνος στα δικαιώματα και τις ελευθερίες των προσώπων τα οποία αφορά το περιστατικό, οφείλουν να γνωστοποιήσουν το εν λόγω περιστατικό στην Αρχή.
Η γνωστοποίηση αυτή πρέπει να γίνεται αμελλητί και, αν είναι δυνατό, εντός 72 ωρών από τη στιγμή που ο υπεύθυνος επεξεργασίας ενημερωθεί για το περιστατικό. Η γνωστοποίηση πρέπει να περιέχει σύνολο σχετικών πληροφοριών (φύση/έκταση του περιστατικού, κατηγορίες προσώπων που επλήγησαν, αιτία και συνέπειες αυτού, ενέργειες που έγιναν προς αντιμετώπισή του, κ.ά.). Ακόμα και αν οι σχετικές αυτές πληροφορίες δεν είναι όλες διαθέσιμες κατά την υποβολή της γνωστοποίησης, αυτή θα πρέπει να υποβληθεί ως αρχική και να ακολουθήσει στο μέλλον, χωρίς αδικαιολόγητη καθυστέρηση, επικαιροποίησή της (με υποβολή συμπληρωματικής γνωστοποίησης).Επισημαίνεται ότι ακόμα και αν το περιστατικό δεν μπορεί να προκαλέσει κίνδυνο για τα φυσικά πρόσωπα που αφορά, οπότε και δεν απαιτείται η υποβολή της ως άνω γνωστοποίησης στην Αρχή, ο υπεύθυνος επεξεργασίας οφείλει σε κάθε περίπτωση να τηρεί δικό του εσωτερικό σχετικό αρχείο.
Περαιτέρω, σύμφωνα με το άρ. 34 του Κανονισμού (ΕΕ) 2016/679, όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων τα οποία αφορά το περιστατικό, τότε ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει αμελλητί την παραβίαση και στα πρόσωπα αυτά. Αυτή η ανακοίνωση είναι ανεξάρτητη της προαναφερθείσας γνωστοποίησης στην Αρχή (η οποία γνωστοποίηση στην Αρχή υποβάλλεται ακόμα και αν ο σχετικός κίνδυνος δεν κρίνεται ως υψηλός). Η ανακοίνωση στα φυσικά πρόσωπα θα πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και όχι μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης, στο βαθμό που αυτό είναι εφικτό.
Σημειώνεται ότι η Αρχή δύναται σε κάθε περίπτωση να δώσει εντολή στον υπεύθυνο επεξεργασίας να ενημερώσει τα φυσικά πρόσωπα για το περιστατικό (άρ. 58 παρ. 2 ε’ Κανονισμού).
* Δικηγόρος Αθηνών- Συνταγματολόγος- Συνήγορος Αμερικανικού Δημοκρατικού Κόμματος στην Ελλάδα- νομικός συνεργάτης Οικουμενικού Πατριαρχείου στην Ελλάδα- ΔΣ πρωτοβάθμιας εκπαίδευσης Δήμου Αθηναίων- νομικός σύμβουλος Βορειοηπειρωτών Ελλάδος
πηγή https://www.zougla.gr/apopseis/article/i-nes-ilektronikes-astinomikes-taftotites-ke-i-ka8isterisi-efarmogis-2042070