Προσωπικά δεδομένα: Η γνώμη της ΑΠΔΠΧ για τις εφαρμογές ελέγχου πιστοποιητικών στα καταστήματα
Γνωμοδότηση για το σχέδιο διατάξεων με τίτλο «Διευκολύνσεις ως προς τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης»
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Το Υπουργείο Ψηφιακής Διακυβέρνησης διαβίβασε στην Αρχή σχέδιο διατάξεων με τίτλο «Διευκολύνσεις ως προς τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης», αναφορικά με τη χρήση ειδικής ηλεκτρονικής εφαρμογής σε κινητές συσκευές, μέσω της οποίας θα πραγματοποιείται ο έλεγχος της εγκυρότητας, της γνησιότητας και της ακεραιότητας του Ψηφιακού Πιστοποιητικού COVID-19 της Ε.Ε. (EU Digital COVID Certificate - EUDCC) ή ισοδύναμου πιστοποιητικού ή βεβαίωσης τρίτης χώρας, που φέρει το φυσικό πρόσωπο - κάτοχος, διά της σάρωσης του σχετικού κωδικού QR.
Η Αρχή, μετά από εξέταση του ανωτέρω σχεδίου διατάξεων από την άποψη της νομοθεσίας για την προστασία των προσωπικών δεδομένων εξέδωσε Γνωμοδότηση με παρατηρήσεις επί του σχεδίου διατάξεων.
Σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019, η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
Μεταξύ άλλων, η Αρχή αναφέρει:
- Στην παρ. 2α. αναφέρεται ότι «Η χρήση της ηλεκτρονικής εφαρμογής πραγματοποιείται από τους ιδιοκτήτες ή διοργανωτές και από εξουσιοδοτημένους από αυτούς υπαλλήλους επιχειρήσεων εστίασης, επιχειρήσεων προβολής κινηματογραφικών ταινιών, κέντρων διασκέδασης, επιχειρήσεων διεξαγωγής ζωντανών θεαμάτων και ακροαμάτων, λοιπών παραστατικών τεχνών ή κάθε είδους πολιτιστικών ή αθλητικών ή εορταστικών εκδηλώσεων ή εμπορικών εκθέσεων, οι οποίες: i) στεγάζονται ή διοργανώνονται σε κλειστούς χώρους, ή ii) λειτουργούν ή διοργανώνονται σε υπαίθριους χώρους».
Η παράθεση των περιπτώσεων χρήσης είναι ευρεία, αφού δεν συγκεκριμενοποιεί τις συνθήκες και τις προϋποθέσεις χρήσης της, ούτε τον τρόπο με τον οποίο οι χρήστες της εφαρμογής θα προβαίνουν σε δήλωση ότι θα την χρησιμοποιούν και με βάση ποια διάταξη, δηλαδή ποιο το 4 εφαρμοζόμενο μέτρο που αφορά την κάθε περίπτωση (λαμβάνοντας υπόψη ότι, στην πράξη, δεν θα είναι επιτρεπτή η χρήση της εφαρμογής από όλα τα πρόσωπα που περιγράφονται στην εν λόγω διάταξη παρά μόνο εφόσον συντρέχουν συγκεκριμένες προϋποθέσεις).
Για παράδειγμα, υπάρχει μια γενική αναφορά σε υπαίθριους χώρους χωρίς να προσδιορίζονται κριτήρια για τη χρήση της εφαρμογής. Θα πρέπει να οριστούν επαρκώς και σαφώς οι διαδικασίες και ο τρόπος δήλωσης των χρηστών ανάλογα με την κατηγορία στην οποία εμπίπτουν, καθώς επίσης και ο τρόπος λήψης και χρήσης της εφαρμογής. Σχετικώς παρατηρείται ότι η ρύθμιση αυτή είναι πρωθύστερη διότι προϋποθέτει τον καθορισμό, με την υπουργική απόφαση που προβλέπεται στην παράγραφο 1 του σχεδίου, των χώρων εφαρμογής των επιβαλλόμενων μέτρων, στον έλεγχο των οποίων αποβλέπει η ανωτέρω εφαρμογή.
- Στην παρ. 3α. αναφέρεται « … ένδειξη σχετικά με την εγκυρότητα, γνησιότητα ή ακεραιότητα». Δεν προσδιορίζεται ποια είναι η ένδειξη που επιστρέφεται, δηλαδή «ναι/όχι/άλλο». Επίσης η αναφορά σε εγκυρότητα, γνησιότητα ή ακεραιότητα φαίνεται μάλλον περιττή διότι η διασφάλιση της εγκυρότητας του εγγράφου περιλαμβάνει τον έλεγχο των άλλων δύο ιδιοτήτων.
Προτείνουμε να παραμείνει ο όρος εγκυρότητα, και να προσδιοριστεί επακριβώς η ένδειξη, την οποία επιστρέφει η εφαρμογή σε όλες τις περιπτώσεις χρήσης της, υπό το φως της αρχής της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ. 1 στοιχ. γ’ του ΓΚΠΔ), έτσι ώστε να διασφαλίζεται ότι στους χρήστες της εφαρμογής δεν θα γνωστοποιείται περισσότερη πληροφορία από ό,τι είναι αναγκαίο για την επίτευξη του σκοπού επεξεργασίας. Ειδικότερα, ο σκοπός του ελέγχου των πιστοποιητικών είναι να είναι «υγειονομικά ασφαλής» ο πολίτης που εισέρχεται σε ένα χώρο, με τον τρόπο που η ασφάλεια αυτή ορίζεται στην κάθε περίπτωση.
Ως εκ τούτου, η επαλήθευση των πιστοποιητικών μέσω της εφαρμογής θα πρέπει να οδηγεί σε ένα αποτέλεσμα της μορφής «ναι/όχι» (π.χ. πράσινο ή κόκκινο χρώμα), επιπλέον της ταυτότητας του κατόχου τους, έτσι ώστε να εξάγεται η πληροφορία αν ο πολίτης που εισέρχεται σε ένα χώρο είναι «υγειονομικά ασφαλής», χωρίς όμως να αποκαλύπτονται ειδικότερες πληροφορίες σχετικά με το εάν έχει εμβολιαστεί, έκανε τεστ ή έχει νοσήσει προηγουμένως από λοίμωξη με COVID-19 .
- Στην παρ. 3β. αναφέρεται ότι «Το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας ορίζονται ως αυτοτελώς Υπεύθυνοι Επεξεργασίας των δεδομένων προσωπικού χαρακτήρα της παρ. 3α, ..».
Δεν παρέχονται επαρκή στοιχεία που να διασαφηνίζουν το λόγο για τον οποίο ορίζονται το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας ως υπεύθυνοι επεξεργασίας, αφού τα δεδομένα της παρ. 3α αφορούν το αποτέλεσμα από τον τρόπο λειτουργίας της εφαρμογής μόνο. Εξάλλου, δεν προσδιορίζεται με ποιο τρόπο και για ποια επεξεργασία το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας καθορίζουν το σκοπό και τα μέσα της επεξεργασίας, καθώς επίσης και ποιος ο ρόλος τους στην άσκηση των δικαιωμάτων των υποκειμένων, ώστε να δικαιολογείται ο χαρακτηρισμός τους ως αυτοτελώς Υπευθύνων Επεξεργασίας.
Δείτε αναλυτικά τη γνωμοδότηση.
