Ψηφιακά πορτοφόλια: Τα δικαιώματα των χρηστών και οι υποχρεώσεις των παρόχων
Απάντηση του Επιτρόπου Μπρετόν σε ερώτημα Έλληνα ευρωβουλευτή
Ερώτηση με αίτημα γραπτής απάντησης E-003378/2023 προς την Επιτροπή
Άρθρο 138 του Κανονισμού
Εμμανουήλ Φράγκος (ECR)
Η Προεδρία του Συμβουλίου και οι εκπρόσωποι του Ευρωπαϊκού Κοινοβουλίου κατέληξαν σε προσωρινή συμφωνία-πλαίσιο για την «ευρωπαϊκή ψηφιακή ταυτότητα». Τα κράτη μέλη θα παράσχουν «ψηφιακά πορτοφόλια», που θα μπορούν να συνδέουν την εθνική ψηφιακή ταυτότητα με αποδείξεις άλλων προσωπικών δεδομένων (άδεια οδήγησης, διπλώματα, τραπεζικούς λογαριασμούς), θεσμοθετώντας/κανονικοποιώντας πρωτοφανή παρακολούθηση των πολιτών.
Το νέο σύστημα eID βασίζεται σε μια εφαρμογή «πορτοφολιού» στα smartphones (!), παρέχοντας μια υποδομή γενικής χρήσης για την αναγνώριση των πολιτών και τον έλεγχο των δεδομένων τους. Η λίστα των δεδομένων που μπορεί να αποθηκεύσει αυτό το σύστημα είναι ανοιχτή («Open-ended») και περιλαμβάνει δεδομένα όπως ηλικία, προβλήματα υγείας, κατάσταση εμβολιασμού κ.λπ., ενώ τα δεδομένα θα παρέχονται από ιδιωτικές εταιρείες/ιδρύματα σχετικά με χορηγούμενα φάρμακα ή συμμετοχές σε φορείς όπως κόμματα. Δεν παρέχονται ρυθμιστικές διασφαλίσεις έναντι καταχρήσεων αυτού του συστήματος για στοχευμένη διαφήμιση ή παρακολούθηση.
Κάθε εθνική ρυθμιστική αρχή θα μπορεί, τελικά, να εγκρίνει τη συμμετοχή μιας εταιρίας που έχει εγκατασταθεί στην κάθε χώρα, οδηγώντας σε έγκριση σε ολόκληρη την ΕΕ, βάσει εθνικών διαδικασιών ευαίσθητων σε εξωγενείς επιρροές.
Επιπλέον, εφόσον μια εταιρία/ένας συμμετέχων φορέας στο σύστημα θα εκμεταλλεύεται υπέρ του δέοντος τα δεδομένα, υπάρχει μόνο ασαφής/δυνητική διαδικασία ώστε οι ρυθμιστικές αρχές eIDAS να δύνανται να αποκλείσουν αυτόν τον φορέα από το σύστημα.
Ερωτάται η Επιτροπή:
Διαπιστώνει ότι οποιαδήποτε συζήτηση για την ψηφιακή ταυτότητα αντίκειται στις προβλέψεις της Συνθήκης για τη λειτουργία της ΕΕ (άρθρο 16) και πρέπει να σταματήσει άμεσα;
Κατάθεση: 15.11.2023
Απάντηση του κ. Breton εξ ονόματος της Ευρωπαϊκής Επιτροπής
(20.2.2024)
Ο κανονισμός σχετικά με ένα πλαίσιο για την ευρωπαϊκή ψηφιακή ταυτότητα[1] θα υποχρεώνει τα κράτη μέλη να παρέχουν στους πολίτες και στις εταιρείες τη δυνατότητα να χρησιμοποιούν πορτοφόλια ψηφιακής ταυτότητας. Τα πορτοφόλια αυτά πρέπει να συμμορφώνονται με τον γενικό κανονισμό για την προστασία δεδομένων (ΓΚΠΔ) και, κατά περίπτωση, την οδηγία 2002/58/ΕΚ.[2] Έτσι, θα διευκολύνουν την ελαχιστοποίηση των δεδομένων, τον περιορισμό του σκοπού και την προστασία των δεδομένων ήδη από το στάδιο του σχεδιασμού και εξ ορισμού.
Τα πορτοφόλια, τα οποία θα είναι προαιρετικά για τους χρήστες, θα επιτρέπουν στους χρήστες να αποφασίζουν εάν και ποιες πρόσθετες πληροφορίες (π.χ. άδειες οδήγησης, διπλώματα, ηλεκτρονικές συνταγές) επιθυμούν να αποθηκεύουν και να μοιράζονται.
Ένα από τα σημαντικότερα χαρακτηριστικά των πορτοφολιών είναι ότι ο χρήστης θα έχει τον πλήρη έλεγχο των οικείων δεδομένων προσωπικού χαρακτήρα. Ο χρήστης θα απολαύει πλήρους διαφάνειας σε κάθε πιθανή αίτηση διαβίβασης των δεδομένων προσωπικού χαρακτήρα που τον αφορούν και, ως εκ τούτου, θα είναι σε θέση να τη διακόπτει. Θα μπορεί να εντοπίζει και να διαχειρίζεται τις συναλλαγές με διαφανή και φιλικό προς τον χρήστη τρόπο, μέσω ενός κοινού πίνακα εργαλείων. Επιπλέον, ο χρήστης θα έχει τη δυνατότητα να υποβάλλει καταγγελίες στις αρχές προστασίας δεδομένων μέσω του πορτοφολιού και θα διασφαλίζεται η φορητότητα των δεδομένων.
Ο κανονισμός περιέχει ρητές διατάξεις που υποχρεώνουν τα κράτη μέλη να λαμβάνουν μέτρα για την προστασία των χρηστών του πορτοφολιού από την κατάχρηση δεδομένων προσωπικού χαρακτήρα, την παρακολούθηση ή την κατάρτιση προφίλ.
Οι πάροχοι πορτοφολιού απαγορεύεται να συλλέγουν πληροφορίες σχετικά με τη χρήση του πορτοφολιού, οι οποίες δεν είναι απαραίτητες για την παροχή υπηρεσιών πορτοφολιού. Πρέπει, επίσης, να διασφαλίζουν τη μη παρατηρησιμότητα των χρηστών πορτοφολιού με το να μην συλλέγουν δεδομένα και να μην έχουν γνώση των συναλλαγών — εκτός από ειδικές εξαιρετικές περιπτώσεις κατά τις οποίες τα εν λόγω δεδομένα είναι απαραίτητα για την παροχή συγκεκριμένης υπηρεσίας πορτοφολιού και οι χρήστες παρέχουν ρητή συγκατάθεση.
Επιπλέον, οι πάροχοι πορτοφολιών πρέπει να διατηρούν όλα τα δεδομένα προσωπικού χαρακτήρα που σχετίζονται με την παροχή πορτοφολιών σε λογικά διαχωρισμένο χώρο από τα υπόλοιπα δεδομένα που βρίσκονται στην κατοχή τους. Το ίδιο ισχύει για τους παρόχους ηλεκτρονικών βεβαιώσεων ιδιοχαρακτηριστικών, όπως τράπεζες, δημόσιες αρχές ή άλλους παρόχους υπηρεσιών.
Επιπλέον, ο κανονισμός συμβάλλει στην ενίσχυση της ιδιωτικότητας προστατεύοντας τους χρήστες και τις εταιρείες από κινδύνους κυβερνοασφάλειας. Η υποχρεωτική συνεργασία μεταξύ της Επιτροπής, των ευρωπαϊκών οργανισμών τυποποίησης, του Οργανισμού της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια, του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων και των εθνικών εποπτικών αρχών προστασίας δεδομένων όσον αφορά την πιστοποίηση και την τυποποίηση της κυβερνοασφάλειας του πορτοφολιού, θα πρέπει να διασφαλίζει ένα αντικειμενικό και υψηλό επίπεδο προστασίας των δεδομένων.
Οι διασφαλίσεις του κανονισμού και οι λειτουργίες του πορτοφολιού για την προστασία της ιδιωτικότητας, σε συνδυασμό με τον ΓΚΠΔ, θα διασφαλίσουν, έτσι, την πλήρη εφαρμογή του άρθρου 16 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης.
[1] https://www.europarl.europa.eu/cmsdata/278103/eIDAS-4th-column-extract.pdf
[2] https://eur-lex.europa.eu/legal-content/EL/ALL/?uri=CELEX%3A32002L0058
