Αρχή Προστασίας Προσωπικών Δεδομένων: Πρόστιμα 150.000 ευρώ στο υπ. Προστασίας του Πολίτη για τις νέες ταυτότητες

Διοικητικά πρόστιμα συνολικού ύψους 150.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο υπ. Προστασίας του Πολίτη με απόφασή της, για σοβαρά ζητήματα επεξεργασίας προσωπικών δεδομένων που προέκυψαν από την εισαγωγή των νέων δελτίων ταυτότητας.

Η έρευνας γύρω από τη νομιμότητα της επεξεργασίας δεδομένων για την έκδοση των νέων τύπων δελτίων ταυτότητας ξεκίνησε στις 26 Σεπτεμβρίου 2023, πριν ένα ακριβώς έτος, όταν ένας πολίτης υπέβαλε καταγγελία ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ο πολίτης ανέφερε ότι, στο πλαίσιο της έκδοσης των νέων δελτίων ταυτότητας, είχε απευθύνει στις 25 Αυγούστου 2023 αίτημα προς το Υπουργείο Προστασίας του Πολίτη, ζητώντας πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων που σχετίζονται με την έκδοση των νέων ταυτοτήτων. Παρά το γεγονός ότι ο πολίτης απέστειλε υπενθύμιση στις 19 Σεπτεμβρίου 2023, το υπουργείο δεν απάντησε στο αίτημά του.

Η καταγγελία αυτή έφτασε στην Αρχή, η οποία αποφάσισε να προχωρήσει σε αυτεπάγγελτη εξέταση της υπόθεσης, λαμβάνοντας υπόψη και τη γενικότερη δημόσια συζήτηση και ανησυχία σχετικά με τα νέα δελτία ταυτότητας. Η υπόθεση είχε ήδη αρχίσει να απασχολεί την κοινή γνώμη, καθώς υπήρχαν ανησυχίες για τη διαφάνεια και τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων, ιδιαίτερα των βιομετρικών, στα νέα δελτία. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπίστωσε σημαντικές παραβάσεις κατά την εξέταση της διαδικασίας έκδοσης των νέων δελτίων ταυτότητας, που αφορούσαν κυρίως την ενημέρωση των πολιτών και την επεξεργασία προσωπικών δεδομένων, όπως τα βιομετρικά στοιχεία.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα προχώρησε σε διεξοδική εξέταση των διαδικασιών που αφορούν την έκδοση των νέων τύπων δελτίων ταυτότητας για τους Έλληνες πολίτες, μετά από καταγγελίες και ανησυχίες που προέκυψαν σχετικά με την προστασία των προσωπικών δεδομένων. Στη διάρκεια της έρευνας, η Αρχή εντόπισε σοβαρές πλημμέλειες σε σχέση με την ενημέρωση που παρέχεται στα υποκείμενα των δεδομένων, δηλαδή τους πολίτες, σχετικά με την επεξεργασία των προσωπικών τους πληροφοριών, παραβιάζοντας έτσι τη θεμελιώδη αρχή της διαφάνειας όπως αυτή καθορίζεται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ).

Τι εντόπισε η Αρχή Προστασίας Προσωπικών Δεδομένων

Πιο συγκεκριμένα, η Αρχή διαπίστωσε ότι η ενημέρωση για την επεξεργασία προσωπικών δεδομένων από την Ελληνική Αστυνομία (ΕΛ.ΑΣ.), η οποία ήταν υπεύθυνη για την έκδοση των νέων ταυτοτήτων, δεν ήταν επαρκής και συνολική. Η ΕΛ.ΑΣ. είχε δημοσιεύσει στον ιστότοπό της πληροφορίες σχετικά με την επεξεργασία των δεδομένων, ωστόσο, αυτές οι πληροφορίες κρίθηκαν ελλιπείς, καθυστερημένες και εν μέρει εσφαλμένες. Συγκεκριμένα, η ενημέρωση αυτή δεν είχε αναρτηθεί εγκαίρως, ενώ οι πολίτες δεν είχαν λάβει σαφή πληροφόρηση σχετικά με το πώς θα επεξεργάζονταν τα βιομετρικά τους δεδομένα, όπως τα δακτυλικά αποτυπώματα και η φωτογραφία τους, που απαιτούνται για την έκδοση των νέων ταυτοτήτων. Παράλληλα, ανακριβείς αναφορές στο νομικό καθεστώς γύρω από την επεξεργασία αυτών των δεδομένων, όπως η χρήση της έννοιας της “πρόδηλης ενεργής συγκατάθεσης” αντί της επιβαλλόμενης από το νόμο επεξεργασίας, παραβίαζαν το άρθρο 6 του ΓΚΠΔ.

Επιπρόσθετα, η Αρχή έκρινε ανεπαρκή και τη διαδικασία εκτίμησης αντικτύπου για την προστασία των δεδομένων (DPIA), η οποία ορίζεται ως υποχρεωτική από το άρθρο 35 του ΓΚΠΔ. Η εκτίμηση αντικτύπου, που είχε ως στόχο να εντοπίσει και να διαχειριστεί πιθανούς κινδύνους για τα προσωπικά δεδομένα των πολιτών, πραγματοποιήθηκε με καθυστέρηση, μετά από την έναρξη της επεξεργασίας, κάτι που αποτελεί σοβαρή παράβαση. Η εκτίμηση αυτή δεν κάλυπτε επαρκώς τα τεχνικά και οργανωτικά μέτρα που θα έπρεπε να είχαν ληφθεί για να προστατευθούν τα δεδομένα κατά τη διαδικασία έκδοσης των νέων δελτίων ταυτότητας.

Τα πρόστιμα στο υπουργείο Προστασίας του Πολίτη

Η Αρχή επέβαλε στο υπουργείο Προστασίας του Πολίτη, το οποίο είναι υπεύθυνο για τη διαχείριση της διαδικασίας έκδοσης των νέων ταυτοτήτων, διοικητικό πρόστιμο ύψους 150.000 ευρώ. Το πρόστιμο αυτό διασπάστηκε σε δύο μέρη: 50.000 ευρώ για την πλημμελή ενημέρωση των πολιτών σχετικά με την επεξεργασία των προσωπικών τους δεδομένων και 100.000 ευρώ για την καθυστέρηση και την πλημμελή διεξαγωγή της εκτίμησης αντικτύπου.

Παράλληλα, η Αρχή έδωσε σαφείς οδηγίες στο υπουργείο Προστασίας του Πολίτη για τη λήψη διορθωτικών μέτρων, τα οποία πρέπει να υλοποιηθούν εντός εξαμήνου. Το υπουργείο οφείλει να τεκμηριώσει την αναγκαιότητα συμπερίληψης ορισμένων πρόσθετων στοιχείων, όπως το επώνυμο του πατέρα, της μητέρας, ο αριθμός δημοτολογίου και ο Δήμος εγγραφής, τα οποία δεν περιλαμβάνονται στις υποχρεώσεις που προβλέπονται από τον Κανονισμό 2019/1157 της Ευρωπαϊκής Ένωσης, ο οποίος καθορίζει τα ελάχιστα δεδομένα που πρέπει να περιέχει ένα δελτίο ταυτότητας. Αυτά τα στοιχεία βασίζονται σε παλαιές εθνικές διατάξεις, οι οποίες έχουν ήδη κριθεί παράνομες ή/και αντισυνταγματικές από το Συμβούλιο της Επικρατείας (ΣτΕ), χωρίς ωστόσο να έχουν τροποποιηθεί ή καταργηθεί.

Η Αρχή τόνισε την ανάγκη επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου σχετικά με τα νέα δελτία ταυτότητας, καθώς οι υφιστάμενες διατάξεις είναι περίπλοκες και κατακερματισμένες, δημιουργώντας νομικά κενά και αντιφάσεις. Επιπλέον, υπογράμμισε ότι τα στοιχεία που αποθηκεύονται στο ηλεκτρονικό μέσο (τσιπ) των ταυτοτήτων θα πρέπει να σχετίζονται αποκλειστικά με την παροχή ηλεκτρονικών υπηρεσιών, σύμφωνα με τον ευρωπαϊκό κανονισμό, και όχι με απλές πληροφορίες ταυτοποίησης, οι οποίες θα μπορούσαν να βρίσκονται στο φυσικό δελτίο ταυτότητας.

Παρόλο που η Αρχή δεν αμφισβητεί το κύρος των ταυτοτήτων που έχουν ήδη εκδοθεί επισημαίνει την υποχρέωση να επικαιροποιηθεί και να κωδικοποιηθεί το νομικό πλαίσιο αναφορικά με τα στοιχεία στο νέο τύπο δελτίων ταυτότητας Ελλήνων πολιτών και της διαδικασίας έκδοσης αυτών, προκειμένου να ρυθμίζονται με ενιαίο τρόπο ζητήματα που είχαν δημιουργηθεί αφενός, από την κατάργηση σχετικών διατάξεων και αφετέρου, από την παράλληλη ισχύ διαφορετικών νομοθετημάτων, τόσο κατά την έκδοση των παλαιών, όσο και κατά την έκδοση των νέων δελτίων ταυτότητας, λαμβάνοντας υπόψη και τα όσα επιμέρους ζητήματα αναλύονται στην απόφασή της.

Δείτε την απόφαση της Αρχής Προστασίας Προσωπικών Δεδομένων