ΑΠΔΠΧ: Πρόστιμο 150.000 ευρώ στο υπουργείο Προστασίας του Πολίτη για τις νέες ταυτότητες
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέτασε ζητήματα που προκύπτουν από τη θέσπιση του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών.
Η Αρχή διαπίστωσε πλημμέλειες αναφορικά με την παροχή γενικής ενημέρωσης προς τα υποκείμενα των δεδομένων, ενώ περαιτέρω έκρινε ότι η απαιτούμενη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων διενεργήθηκε με καθυστέρηση και παρουσιάζει ελλείψεις.
Για τους λόγους αυτούς επέβαλε στο Υπουργείο Προστασίας του Πολίτη, ως υπεύθυνο επεξεργασίας, διοικητικό χρηματικό πρόστιμο για τις ως άνω παραβάσεις, ενώ παράλληλα απηύθυνε στο Υπουργείο εντολή συμμόρφωσης εντός εξαμήνου.
Συγκεκριμένα, η Αρχή επέβαλε:
α) κατ’ άρθρο 58 παρ. 2 στοιχ. θ ΄ του Γενικού Κανονισμού Προστασίας Δεδομένων στο Υπουργείο Προστασίας του Πολίτη ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους πενήντα χιλιάδων (50.000) για την παράβαση των άρθρων 13 και 14 του ΓΚΠΔ
β) κατ’ άρθρο 58 παρ. 2 στοιχ. θ ΄ ΓΚΠΔ χρηματικό πρόστιμο ύψους εκατό χιλιάδων (100.000) ευρώ, για την παράβαση του άρθρου 35 παρ. 1 του ΓΚΠΔ
Τέλος, η Αρχή επεσήμανε την υποχρέωση επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου αναφορικά με τα στοιχεία του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών.
Απόσπασμα απόφασης
12) Αναφορικά με την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων, κατ’ απαίτηση της αρχής της διαφάνειας, σε σχέση με την έκδοση νέου δελτίου ταυτότητας, με το με αρ. πρωτ. Αρχής Γ/ΕΙΣ/455/19-01-2024 υπόμνημα, η ΕΛ.ΑΣ. υποστήριξε ενώπιον της Αρχής ότι σχετική ενημέρωση έχει αναρτηθεί στην ιστοσελίδα της. Κατά την επισκόπηση της σχετικής ενότητας στον διαδικτυακό τόπο: https://www.astynomia.gr/odigos-tou-politi/dikaiologitika/ekdosi-deltiou... 8 εντοπίζεται κείμενο ενημέρωσης αναφορικά με ζητήματα της συγκεκριμένης επεξεργασίας προσωπικών δεδομένων, το οποίο είναι διαθέσιμο στους πολίτες. Εντούτοις η ενημέρωση αυτή αφενός δεν είχε αναρτηθεί έως τα τέλη του Φεβρουαρίου 2024 στον σχετικό ιστότοπο (αν και ήδη από τον Σεπτέμβριο του 2023 είχε αρχίσει η έκδοση των δελτίων νέου τύπου), αφετέρου η αναρτηθείσα ενημέρωση περιέχει εσφαλμένες αναφορές όπως, ιδίως, εσφαλμένη νομική βάση αναφορικά με τα βιομετρικά δεδομένα, αφού αναφέρεται η «πρόδηλη ενεργή συγκατάθεση» η οποία δεν μπορεί να αποτελεί έγκυρη νομική βάση για την εν λόγω επεξεργασία , δεδομένου ότι η υποχρέωση έκδοσης ταυτότητας απορρέει από διάταξη αναγκαστικού δικαίου κατά την άσκηση δημόσιας εξουσίας (άρθρο 6 παρ. 1 εδ. γ) ε) ΓΚΠΔ) , ενώ η συγκατάθεση, για να αποτελεί έγκυρη νομική βάση, πρέπει να είναι ελεύθερη (άρθρο 4 στοιχ. 11 του ΓΚΠΔ) και δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί (βλ. Σκέψη 42 του ΓΚΠΔ).
Εξάλλου, η εν λόγω ενημέρωση περιέχει και αναφορά στο άρθρο 46 του ν. 4624/2019 σχετικά με την επεξεργασία των δεδομένων ειδικών κατηγοριών, οι διατάξεις όμως του άρθρου αυτού αφορούν επεξεργασίες που γίνονται από την ΕΛ.ΑΣ. αποκλειστικά για τους σκοπούς που προβλέπονται στο άρθρο 43 του εν λόγω νόμου9 και δεν έχουν εφαρμογή στην επίμαχη επεξεργασία. Περαιτέρω, δεν προσκομίστηκε ενώπιον της Αρχής το σχετικό ενημερωτικό κείμενο, το οποίο κατά τα διαλαμβανόμενα στο με αριθμ. πρωτ. Αρχής Γ/ΕΙΣ/455/19-01-2024 υπόμνημα «έχει διαβιβαστεί στο σύνολο των αρχών έκδοσης της χώρας, προκειμένου να αναρτηθεί σε ευκρινές σημείο στα γραφεία έκδοσης, με σκοπό την πλήρη ενημέρωση των υποκειμένων πριν την υποβολή σχετικής αίτησης έκδοσης δελτίου ταυτότητας».
13) Αναφορικά με τα στοιχεία που περιέχει το νέο δελτίο ταυτότητας προκύπτει ότι στο ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης (τσιπ) αποθηκεύονται, εκτός από την φωτογραφία και τα δακτυλικά αποτυπώματα, το επώνυμο πατέρα, επώνυμο μητέρας, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου. Τα στοιχεία αυτά δεν περιλαμβάνονται στα υποχρεωτικά στοιχεία κατά το άρθρο 3 παρ. 5 του Κανονισμού (ΕΕ) 2019/1157 και η συμπερίληψή τους στο νέο δελτίο ταυτότητας, προκύπτει, σύμφωνα και με τους ισχυρισμούς του υπευθύνου επεξεργασίας, από την εφαρμογή εθνικών νομικών διατάξεων, οι οποίες περιλαμβάνουν και στοιχεία τα οποία έχουν κριθεί παράνομα ή/και αντισυνταγματικά (βλ. Απόφαση ΣτΕ Ολ 2281/2001), χωρίς να έχουν ρητώς καταργηθεί ή τροποποιηθεί με νεότερο νόμο. Επιπλέον, από το άρθρο 3 παρ. 10 του Κανονισμού (ΕΕ) 2019/1157 προκύπτει ότι εθνικά δεδομένα που αποθηκεύονται στο ενσωματωμένο μέσο αποθήκευσης πρέπει να αφορούν σε ηλεκτρονικές υπηρεσίες, ενώ αντιθέτως εν προκειμένω τα επιπλέον δεδομένα αφορούν σε απλά στοιχεία ταυτοποίησης για τα οποία, συμφώνως προς τους ισχυρισμούς του υπευθύνου επεξεργασίας, δεν υπήρχε επαρκής χώρος στο εμπρόσθιο μέρος του δελτίου ταυτότητας. Σε κάθε δε περίπτωση, ο υπεύθυνος επεξεργασίας δεν τεκμηρίωσε, ούτε με το έγγραφο υπόμνημά του αλλά και ούτε στο πλαίσιο εκπόνησης της ΕΑΠΔ, τους σκοπούς της επεξεργασίας των εν λόγω στοιχείων, με συνέπεια να μην προκύπτει η αναγκαιότητα συμπερίληψης των δεδομένων αυτών. Ειδικότερα, δεν υπεβλήθησαν τεκμηριωμένες απαντήσεις από τον υπεύθυνο επεξεργασίας στο ερώτημα πώς τα ανωτέρω στοιχεία είναι προσβάσιμα και επεξεργάσιμα από το ηλεκτρονικό μέσο, με ποια μέσα, για ποιους σκοπούς και από ποιους φορείς.
Δείτε αναλυτικά την απόφαση στο dpa.gr