ΠΡΟΣΤΙΜΟ ΥΨΟΥΣ 150.000 ΕΥΡΩ ΣΤΟ ΥΠΟΥΡΓΕΙΟ ΠΡΟΣΤΑΣΙΑΣ ΤΟΥ ΠΟΛΙΤΗ ΓΙΑ ΤΗΝ ΕΚΔΟΣΗ ΝΕΩΝ ΤΑΥΤΟΤΗΤΩΝ ΛΟΓΩ ΠΑΡΑΒΙΑΣΕΩΝ ΤΟΥ GDPR

Με την υπ’ αριθ. 32/2024 απόφαση της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εξέτασε ζητήματα που προκύπτουν από τη θέσπιση του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών. Η Αρχή διαπίστωσε πλημμέλειες αναφορικά με την παροχή γενικής ενημέρωσης προς τα υποκείμενα των δεδομένων, ενώ περαιτέρω έκρινε ότι η απαιτούμενη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων διενεργήθηκε με καθυστέρηση και παρουσιάζει ελλείψεις. Για τους λόγους αυτούς επέβαλε στο Υπουργείο Προστασίας του Πολίτη, ως υπεύθυνο επεξεργασίας, διοικητικό χρηματικό πρόστιμο ύψους 150.000 ευρώ για τις ως άνω παραβάσεις, ενώ παράλληλα απηύθυνε στο Υπουργείο εντολή συμμόρφωσης εντός εξαμήνου. Τέλος, η Αρχή επεσήμανε την υποχρέωση επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου αναφορικά με τα στοιχεία του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών. Ειδικότερα:

Με καταγγελία του, ο Α ανέφερε ενώπιον της Αρχής ότι στο πλαίσιο της έκδοσης του νέου τύπου δελτίων ταυτότητας, απηύθυνε προς το Υπουργείο Προστασίας του Πολίτη αίτημα σχετικά με την παροχή ενημέρωσης και την εν γένει νομιμότητα της επεξεργασίας έκδοσης του νέου τύπου ταυτότητας. Επί του ως άνω αιτήματος, όπως αναφέρει ο καταγγέλλων, και παρά το γεγονός ότι απέστειλε και σχετική υπενθύμιση, δεν έλαβε απάντηση. Η Αρχή, λαμβάνοντας υπόψη τη γενικότερη συζήτηση που υφίσταται στην δημόσια σφαίρα και απασχολεί την κοινή γνώμη αναφορικά με το νέο τύπο δελτίων ταυτότητας των Ελλήνων πολιτών, προχώρησε, εξ αφορμής της ως άνω καταγγελίας, σε αυτεπάγγελτη εξέταση της υπόθεσης και απέστειλε έγγραφο, με το οποίο αιτήθηκε την παροχή απόψεων εκ μέρους του Υπουργείου Προστασίας του Πολίτη, σε σχέση με τα ζητήματα που τίθενται με την ως άνω καταγγελία, και ειδικότερα αναφορικά με τη λήψη του αιτήματος του καταγγέλλοντος και την ύπαρξη σχετικής ανταπόκρισης.

Με το απαντητικό του έγγραφο, το Υπουργείο Προστασίας του Πολίτη (μέσω του Διευθυντή Κρατικής Ασφάλειας/Τμήμα Ταυτοτήτων και Αρχείων), έθεσε υπόψη της Αρχής ότι:
α) Κατά τη χρονική περίοδο αποστολής του σχετικού αιτήματος, υπήρχε πλήθος υπηρεσιακών ενεργειών σε εξέλιξη, προκειμένου να εκκινήσει έγκαιρα η έκδοση των νέου τύπου δελτίων ταυτότητας Ελλήνων πολιτών, ενώ υπήρχε και σωρεία εισερχόμενων αιτημάτων, αναφορών κλπ., τα οποία αφορούσαν σε διευκρινίσεις σχετικά με την επερχόμενη διαδικασία έκδοσης των νέου τύπου δελτίων ταυτότητας, μεταξύ δε αυτών και πλήθος ιδιαίτερων αιτημάτων πολιτών που άπτονταν θρησκευτικών ή αντίστοιχων ζητημάτων, στα οποία η Διεύθυνση είχε κληθεί να απαντήσει, παρά το γεγονός ότι εξέφευγαν των αρμοδιοτήτων της,
β) Είχε διενεργηθεί από τη Διεύθυνση Πληροφορικής/Α.Ε.Α. της Ελληνικής Αστυνομίας Μελέτη Ανάλυσης Ρίσκου, και
γ) καθότι το νέο σύστημα περιλαμβάνει και βιομετρικά στοιχεία, έχει ήδη προταθεί η εκπόνηση μελέτης εκτίμησης αντικτύπου.

Κατόπιν αυτών, η Αρχή κάλεσε το Υπουργείο Προστασίας του Πολίτη προς ακρόαση στην Ολομέλεια της Αρχής, με θέματα συζήτησης:
α) την παροχή γενικής ενημέρωσης των υποκειμένων των δεδομένων, και
β) τη διενέργεια εκτίμησης αντικτύπου, αναφορικά με την επεξεργασία δεδομένων στο πλαίσιο της έκδοσης του νέου τύπου δελτίων ταυτότητας.

Στην συνέχεια, η ΕΛ.ΑΣ. υπέβαλε υπόμνημα και συμπληρωματικό υπόμνημα με το οποίο προσκομίστηκε μελέτη εκτίμησης αντικτύπου προστασίας δεδομένων. Επιπλέον, υποστήριξε πως έχει καταρτήσει σχετικό ενημερωτικό κείμενο, το οποίο έχει αναρτηθεί στην αντίστοιχη ιστοσελίδα της και έχει διαβιβαστεί στο σύνολο των αρχών έκδοσης της χώρας, ώστε να αναρτηθεί σε ευκρινές σημείο στα γραφεία έκδοσης, με σκοπό την πλήρη ενημέρωση των υποκειμένων πριν την υποβολή σχετικής αίτησης έκδοσης δελτίου ταυτότητας.

Η Αρχή συνήλθε στην έδρα της προκειμένου να συζητήσει την υπό εξέταση υπόθεση. Κατά τη συζήτηση προέκυψαν περαιτέρω ερωτήματα αναφορικά με τα εξής ζητήματα:
α) το είδος της επεξεργασίας που μπορεί να τύχουν τα προσωπικά δεδομένα τα οποία τηρούνται στο ηλεκτρονικό μέσο αποθήκευσης της νέας ταυτότητας, δηλαδή το επώνυμο πατέρα, το επώνυμο μητέρας, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου, δεδομένου ότι τα στοιχεία αυτά δεν φαίνεται να συνιστούν δεδομένα προς αξιοποίηση από ηλεκτρονικές υπηρεσίες, τα οποία δύνανται να αποθηκεύονται στο προαναφερόμενο ηλεκτρονικό μέσο αποθήκευσης σύμφωνα με το άρθρο 3 παρ. 10 του Κανονισμού (ΕΕ) 2019/1157, καθώς και οι φορείς που νομιμοποιούνται να πραγματοποιούν την επεξεργασία, με ποιον τρόπο και με ποια μέσα και για ποιους σκοπούς,
β) τον τρόπο ικανοποίησης των δικαιωμάτων των υποκειμένων των δεδομένων (και, ιδίως, το δικαίωμα πρόσβασης στα δεδομένα που τηρούνται στο ηλεκτρονικό μέσο αποθήκευσης της ταυτότητας), και
γ) τον τρόπο διαχωρισμού των εθνικών δεδομένων από τα βιομετρικά δεδομένα, λαμβάνοντας υπόψη ότι, σύμφωνα με το άρθρο 3 παρ. 10 του Κανονισμού (ΕΕ) 2019/1157, εφόσον ένα Κράτος Μέλος αποθηκεύει στα δελτία ταυτότητας δεδομένα για ηλεκτρονικές υπηρεσίες όπως η ηλεκτρονική διακυβέρνηση, τότε τα εν λόγω εθνικά δεδομένα πρέπει να είναι φυσικά ή λογικά διαχωρισμένα από τα βιομετρικά δεδομένα που αναφέρονται στην παράγραφο 5 του Κανονισμού.

Με το απαντητικό της έγγραφο, η ΕΛ.ΑΣ. υποστήριξε, μεταξύ άλλων, ότι, σύμφωνα με τις διατάξεις του Ν.Δ. 127/1969 (Α΄ 29), του Ν.1599/1986 (Α΄ 75) και της υπ’ αριθ. 8200/0-297647 από 10-04-2018 Κ.Υ.Α. (Β΄ 1476), μεταξύ των στοιχείων ταυτότητας, τα οποία περιλαμβάνονταν στα παλαιού τύπου αλλά και στα νέα δελτία ταυτότητας Ελλήνων πολιτών, είναι το επώνυμο πατέρα και μητέρας του κατόχου, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου. Δυνάμει των διατάξεων του άρθρου 3§3 του Ν.1599/1986 (Α΄ 75) (το οποίο πλέον έχει καταργηθεί με το άρθρο 144 περ. β΄ του Ν. 5003/2022), ο αρμόδιος Υπουργός είχε την εξουσιοδότηση να προσθέτει στοιχεία του κατόχου στο δελτίο, πλην όμως όχι να αφαιρεί, ως εκ τούτου, κατά τον σχεδιασμό και υλοποίηση της διαδικασίας έκδοσης των νέων δελτίων, τα ως άνω στοιχεία προβλέφθηκαν και στην υπ’ αριθ. 8200/0-297647 από 10-04-2018 Κ.Υ.Α. (όπως έχει τροποποιηθεί και ισχύει), ως στοιχεία που συμπεριλαμβάνονται στο νέο δελτίο. Εξαιτίας όμως του γεγονότος ότι δεν ήταν δυνατή: 1) η αφαίρεσή τους ελλείψει σχετικής εξουσιοδοτικής διάταξης, ούτε 2) η εκτύπωσή τους επί του σώματος του δελτίου λόγω ανεπαρκούς χώρου επί αυτού, τα ως άνω στοιχεία ενσωματώνονται στο ηλεκτρονικό αποθηκευτικό μέσο του εν λόγω εγγράφου, τηρούνται δε και στο ηλεκτρονικό αρχείο ταυτοτήτων της Ελληνικής Αστυνομίας, ως στοιχεία που προβλέπονται και συλλέγονται κατά τη διαδικασία έκδοσης κάθε δελτίου, ενώ εκ των ανωτέρω στοιχείων, μόνο το επώνυμο πατέρα και μητέρας του κατόχου, συμπεριλαμβάνονται στα λοιπά στοιχεία που χορηγούνται στο Κέντρο Διαλειτουργικότητας του Υπουργείου Ψηφιακής Διακυβέρνησης, το οποίο είναι αρμόδιο για τη διαλειτουργικότητα και ανταλλαγή δεδομένων μεταξύ των Φορέων του Δημοσίου, σύμφωνα με την κείμενη νομοθεσία [βλ. Ν.4727/2020 (Α΄ 184), Ν.4623/2019 (Α΄ 137) και υπ’ αριθ. 118944 ΕΞ 2019 από 01-11-2019 Υ.Α. (Β΄ 3990)]. Περαιτέρω, αναφορικά με το δικαίωμα πρόσβασης των υποκειμένων στα δεδομένα που σχετίζονται με την έκδοση δελτίου ταυτότητας Ελλήνων πολιτών, από τις αρμόδιες Υπηρεσίες της Ελληνικής Αστυνομίας δύναται να χορηγηθούν τα αιτούμενα στοιχεία όπως προβλέπεται από τις διατάξεις του Κώδικα Διοικητικής Διαδικασίας (Ν.2690/1999 (Α΄ 45)), όπως έχει τροποποιηθεί και ισχύει). Αναφορικά με το διαχωρισμό των βιομετρικών δεδομένων από τα υπόλοιπα, επισημαίνεται ότι στο ηλεκτρονικό μέσο αποθήκευσης που ενσωματώνεται στα δελτία ταυτότητας Ελλήνων πολιτών τα οποία εκδίδονται επί του παρόντος, δεν αποθηκεύονται δεδομένα που σχετίζονται με την υποστήριξη ή υλοποίηση υπηρεσιών ηλεκτρονικής διακυβέρνησης. Τέλος, με το ως άνω έγγραφο, η ΕΛ.ΑΣ. ανέφερε ότι πρόκειται να εισηγηθεί στο προσεχές χρονικό διάστημα την κατάρτιση νέου σχεδίου νόμου αναφορικά με το νέο τύπο δελτίων ταυτότητας Ελλήνων πολιτών και τη διαδικασία έκδοσης αυτών, με το οποίο θα ρυθμίζονται με ενιαίο τρόπο ζητήματα που είχαν δημιουργηθεί από την παράλληλη ισχύ διαφορετικών νομοθετημάτων, τόσο κατά την έκδοση των παλαιών, όσο και κατά την έκδοση των νέων δελτίων ταυτότητας.

Η Αρχή, έπειτα από εξέταση των στοιχείων του φακέλου και όσων προέκυψαν από την ενώπιόν της ακροαματική διαδικασία και τα υπομνήματα του Υπουργείου, αποφάσισε, σύμφωνα με τον Νόμο, τα εξής:
α) Αναφορικά με την αναγκαία παροχή ενημέρωσης, εντοπίζεται κείμενο ενημέρωσης αναφορικά με ζητήματα της συγκεκριμένης επεξεργασίας προσωπικών δεδομένων, το οποίο είναι διαθέσιμο στους πολίτες. Εντούτοις, η ενημέρωση αυτή αφενός δεν είχε αναρτηθεί έως τα τέλη του Φεβρουαρίου 2024 στον σχετικό ιστότοπο (αν και ήδη από τον Σεπτέμβριο του 2023 είχε αρχίσει η έκδοση των δελτίων νέου τύπου), αφετέρου η αναρτηθείσα ενημέρωση περιέχει εσφαλμένες αναφορές όπως, ιδίως, εσφαλμένη νομική βάση αναφορικά με τα βιομετρικά δεδομένα, αφού αναφέρεται η «πρόδηλη ενεργή συγκατάθεση» η οποία δεν μπορεί να αποτελεί έγκυρη νομική βάση για την εν λόγω επεξεργασία, δεδομένου ότι η υποχρέωση έκδοσης ταυτότητας απορρέει από διάταξη αναγκαστικού δικαίου κατά την άσκηση δημόσιας εξουσίας (άρθρο 6 παρ. 1 εδ. γ) ε) ΓΚΠΔ), ενώ η συγκατάθεση, για να αποτελεί έγκυρη νομική βάση, πρέπει να είναι ελεύθερη (άρθρο 4 στοιχ. 11 του ΓΚΠΔ) και δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί (βλ. Σκέψη 42 του ΓΚΠΔ).
β) Αναφορικά με τα στοιχεία που περιέχει το νέο δελτίο ταυτότητας προκύπτει ότι στο ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης (τσιπ) αποθηκεύονται, εκτός από την φωτογραφία και τα δακτυλικά αποτυπώματα, το επώνυμο πατέρα, επώνυμο μητέρας, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου. Τα στοιχεία αυτά δεν περιλαμβάνονται στα υποχρεωτικά στοιχεία κατά το άρθρο 3 παρ. 5 του Κανονισμού (ΕΕ) 2019/1157 και η συμπερίληψή τους στο νέο δελτίο ταυτότητας, προκύπτει, σύμφωνα και με τους ισχυρισμούς του υπευθύνου επεξεργασίας, από την εφαρμογή εθνικών νομικών διατάξεων, οι οποίες περιλαμβάνουν και στοιχεία τα οποία έχουν κριθεί παράνομα ή/και αντισυνταγματικά (βλ. Απόφαση ΣτΕ Ολ 2281/2001), χωρίς να έχουν ρητώς καταργηθεί ή τροποποιηθεί με νεότερο νόμο. Επιπλέον, από το άρθρο 3 παρ. 10 του Κανονισμού (ΕΕ) 2019/1157 προκύπτει ότι εθνικά δεδομένα που αποθηκεύονται στο ενσωματωμένο μέσο αποθήκευσης πρέπει να αφορούν σε ηλεκτρονικές υπηρεσίες, ενώ αντιθέτως εν προκειμένω τα επιπλέον δεδομένα αφορούν σε απλά στοιχεία ταυτοποίησης για τα οποία, συμφώνως προς τους ισχυρισμούς του υπευθύνου επεξεργασίας, δεν υπήρχε επαρκής χώρος στο εμπρόσθιο μέρος του δελτίου ταυτότητας. Σε κάθε περίπτωση, δεν προκύπτει η αναγκαιότητα συμπερίληψης των δεδομένων αυτών.
γ) Σύμφωνα με όσα εκτίθενται στις προηγούμενες σκέψεις, ο υπεύθυνος επεξεργασίας παραβίασε τα άρθρα 13 και 14 του ΓΚΠΔ, λόγω της απουσίας ενημέρωσης για μεγάλο χρονικό διάστημα, καθώς και λόγω μη ορθών πληροφοριών στο κείμενο ενημέρωσης των πολιτών, το οποίο αναρτήθηκε καθυστερημένα στην ιστοσελίδα του υπευθύνου επεξεργασίας. Εξάλλου, ο υπεύθυνος επεξεργασίας δεν τεκμηρίωσε, ούτε μέσω της ΕΑΠΔ, την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων αναφορικά με συγκεκριμένα στοιχεία που περιέχονται στο ηλεκτρονικό μέσο αποθήκευσης, κατά παράβαση των κατά το άρθρο 24 ΓΚΠΔ υποχρεώσεων. Περαιτέρω, ο υπεύθυνος επεξεργασίας παραβίασε το άρθρο 35 παρ. 1 ΓΚΠΔ, αφού δεν διενήργησε, ως όφειλε, την απαιτούμενη εκτίμηση αντικτύπου, παρά μόνο μετά την έναρξη της επεξεργασίας και μόνο κατόπιν της σχετικής επικοινωνίας της Αρχής, ενώ η εκτίμηση αντικτύπου δεν φαίνεται να έχει εντοπίσει όλους τους κινδύνους, όπως προκύπτει και από τις ανωτέρω διαπιστωθείσες παραβάσεις.

Με βάση τα ανωτέρω, η Αρχή έκρινε ότι συντρέχει περίπτωση να ασκήσει τις κατά τα άρθρα 58 παρ. 2 του ΓΚΠΔ και 39 παρ. 1 του ν. 4624/2019 διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ’ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την αποτροπή της παράνομης συμπεριφοράς. Επέβαλε στο Υπουργείο Προστασίας του Πολίτη ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους πενήντα χιλιάδων (50.000) για την παράβαση των άρθρων 13 και 14 του ΓΚΠΔ και χρηματικό πρόστιμο ύψους εκατό χιλιάδων (100.000) ευρώ, για την παράβαση του άρθρου 35 παρ. 1 του ΓΚΠΔ.

[Πηγή : ΑΠΟΦΑΣΗ ΥΠ’ ΑΡΙΘ. 32/2024 ΑΠΔΠΧ ]

Για οποιαδήποτε περαιτέρω πληροφορία και διευκρίνιση σε σχέση με ζητήματα ιδιωτικότητας και προσωπικών δεδομένων, μη διστάσετε να επικοινωνήσετε με την εξειδικευμένη νομική μας ομάδα, έτοιμη να σας παράσχει εξατομικευμένες πληροφορίες προσαρμοσμένες στις ανάγκες σας.

Zωή Αθανασιάδου (LL.M., Ph.D. c.)
Δικηγόρος-Νομικός σύμβουλος & Data Protection Officer (DPO)
Email: info@zoiathanasiadou.com
Telephone: +30 23140 62173
Website: www.zoiathanasiadou.com