Υπόθεση Palantir: Δεν συντρέχει περίπτωση άσκησης των διορθωτικών εξουσιών της ΑΠΔΠΧ

Με αφορμή ανακοινώσεις της εταιρείας Palantir Technologies και πλήθος σχετικών δημοσιευμάτων στον Τύπο για τη συνεργασία της ελληνικής κυβέρνησης με την  εταιρεία αυτή για την αντιμετώπιση της πανδημίας, η Αρχή, στο πλαίσιο των αρμοδιοτήτων της βάσει του άρθρου 58 του ΓΚΠΔ και των άρθρων 13 και 15 του ν. 4624/2019 προέβη σε αυτεπάγγελτη εξέταση της ως άνω υπόθεσης.

Μετά από εξέταση των στοιχείων του φακέλου ολοκλήρωσε την αυτεπάγγελτη εξέταση κρίνοντας ότι δεν συντρέχει περίπτωση άσκησης των διορθωτικών εξουσιών της, εκτός εάν προκύψουν νέα στοιχεία.

Μεταξύ άλλων στην απόφαση αναφέρεται:

5. Σύμφωνα με την αιτιολογική σκέψη 26 του ΓΚΠΔ οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση, η οποία θα μπορούσε να αποδοθεί σε φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών, θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο.

Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Για να διαπιστωθεί κατά πόσο κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας.

Οι αρχές της προστασίας δεδομένων δεν εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο ΓΚΠΔ δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.

6. Σύμφωνα με την αιτιολογική σκέψη 28 του ΓΚΠΔ η χρήση της ψευδωνυμοποίησης στα δεδομένα προσωπικού χαρακτήρα μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να διευκολύνει τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία να τηρήσουν τις οικείες υποχρεώσεις περί προστασίας των δεδομένων.

7. Στη συγκεκριμένη περίπτωση, διαπιστώνεται ότι τα δεδομένα τα οποία διαβιβάζονταν στην εταιρεία Palantir δεν μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων (εκτός ακραίων υποθετικών περιπτώσεων, όπως για παράδειγμα σε μια περιφερειακή ενότητα με μικρό αριθμό κρουσμάτων κάποιος τρίτος, ο οποίος γνωρίζει άτομο το οποίο βγήκε θετικό στον Covid19, καιτον ακριβή χρόνο, για παράδειγμα λόγω της διαδικασίας ιχνηλάτησης επαφών, να μπορεί να εντοπίσει το συγκεκριμένο άτομο στο σύνολο των εγγραφών, μέσω των στοιχείων: ημερομηνία δείγματος, φύλο, ηλικία, περιφερειακή ενότητα).

Στη συνέχεια έχει τη δυνατότητα να αποκτήσει πρόσβαση σε πληροφορίες για την έκβαση της υγείας του συγκεκριμένου ατόμου (κρούσματος) μέσω της πληροφορίας που υπάρχει στην αντίστοιχη εγγραφή (έχει τον ίδιο μοναδικό αριθμό) για τη νοσηλεία καιτην έκβασή της (ημ/νία εισαγωγής, ημ/νία εξόδου, εισαγωγή ΜΕΘ, έξοδος ΜΕΘ, ημ/νία διασωλήνωσης ημ/νία αποσωλήνωσης, έκβαση, ημ/νία θανάτου). Συμπερασματικά, από το σύνολο των στοιχείων που τέθηκαν υπόψη της Αρχής, συνάγεται ότι το επίπεδο προστασίας των δεδομένων κρίνεται ικανοποιητικό και οι πιθανοί κίνδυνοι για τα υποκείμενα των δεδομένων εξαιρετικά μικροί.

8. Ενόψει των ανωτέρω, και δεδομένου ότι, όπως βεβαιώνεται από το Υπουργείο Ψηφιακής Διακυβέρνηση, το «Σύμφωνο Τεχνολογικής Υποστήριξης», το οποίο είχε συνάψει με την εταιρεία «Palantir Technologies UK LtD» έληξε την 23.12.2020 και ότι η εταιρεία έχει οριστικά διαγράψει και καταστρέψει όλα τα δεδομένα (περιεχόμενο) σε σχέση με το Σύμφωνο αυτό, σύμφωνα με τα οριζόμενα στην παράγραφο 7 αυτού, δεν συντρέχει περίπτωση άσκησης των διορθωτικών εξουσιών της Αρχής.

Δείτε αναλυτικά την απόφαση στο dpa.gr