logo-print

Προσωπικά Δεδομένα: Επίπληξη σε Πρακτορείο ΟΠΑΠ για περιστατικό κλοπής ταυτότητας (ΑΠΔΠΧ απόφαση 11/2022)

Πλημμελής ο έλεγχος ταυτοπροσωπίας εκ μέρους του καταγγελλόμενου πράκτορα, ως εκτελούντος την επεξεργασία, ο οποίος δεν ακολούθησε τις καταγεγραμμένες Οδηγίες του ΟΠΑΠ

23/03/2022

28/03/2022

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Σε επίπληξη προέβη η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε πρακτορείο ΟΠΑΠ, κατόπιν υποβολής καταγγελίας σχετικά με περιστατικό κλοπής ταυτότητας (απόφαση 11/2022).

Πιο συγκεκριμένα, σύμφωνα με όσα καταγγέλθηκαν στην Αρχή, δημιουργήθηκε online λογαριασμός χρήστη στην ιστοσελίδα joker του ΟΠΑΠ, με τα στοιχεία της καταγγέλλουσας, εν αγνοία της, ο οποίος στη συνέχεια επιβεβαιώθηκε στο εν λόγω Πρακτορείο ΟΠΑΠ με χρήση αντιγράφου της αστυνομικής της ταυτότητας.

Η Αρχή διαπίστωσε ότι, πράγματι, δημιουργήθηκε στην ιστοσελίδα https://joker.opap.gr από άγνωστο πρόσωπο προσωρινός διαδικτυακός λογαριασμός με τα στοιχεία ταυτότητας της καταγγέλλουσας (ονοματεπώνυμο και ΑΔΤ), εν αγνοία της, με όνομα χρήστη “ψ” και με χρήση διεύθυνσης email και αριθμού τηλεφώνου, οι οποίοι ουδεμία σχέση έχουν με τη καταγγέλλουσα. Με δεδομένο ότι η ολοκλήρωση (οριστικοποίηση) της δημιουργίας λογαριασμού μέσω διαδικτύου απαιτεί την ταυτοποίηση του πελάτη μέσω αυτοπρόσωπης παρουσίας του σε Πρακτορείο και επίδειξης της πρωτότυπης αστυνομικής του ταυτότητας, η οποία ακολούθως τυγχάνει ψηφιακής φωτογραφικής επεξεργασίας (scanning) μέσω του ειδικού υπολογιστή του ΟΠΑΠ από τον εκάστοτε πράκτορα, προέκυψε ότι την ίδια ημέρα ακολουθήθηκε η ως άνω διαδικασία στο καταγγελλόμενο Πρακτορείο.

Η ψηφιακή φωτογράφιση του δελτίου ταυτότητας που προσκομίστηκε στο καταγγελλόμενο Πρακτορείο και ταυτίζεται με το δελτίο ταυτότητας της καταγγέλλουσας καθώς και η καταχώριση του ηλεκτρονικού ψηφιακού αντιγράφου της στο σύστημα του ΟΠΑΠ συνιστά επεξεργασία (συλλογή και καταχώριση) των δεδομένων προσωπικού χαρακτήρα της καταγγέλλουσας που πραγματοποιήθηκε με αυτοματοποιημένα μέσα, σύμφωνα με τον ορισμό του άρθρου 4 αρ. 2’ ΓΚΠΔ. Μια τέτοια επεξεργασία λαμβάνει χώρα μόνο υπό την προϋπόθεση συνδρομής μιας από τις νομικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠΔ, τηρουμένων των αρχών επεξεργασίας του άρθρου 5 παρ. 1 ΓΚΠΔ.

Για την ορθή εφαρμογή της απαιτούμενης νομικής βάσης και για τη νόμιμη επεξεργασία των προσωπικών δεδομένων προϋποτίθεται η επιβεβαίωση της ταυτοπροσωπίας του εμφανιζομένου προσώπου στο Πρακτορείο όπου πρέπει να προσκομίζει το δελτίο ταυτότητάς του προκειμένου να δημιουργήσει λογαριασμό. Η νομική βάση της επεξεργασίας καθορίζεται από τον ΟΠΑΠ, υπό την ιδιότητα του υπευθύνου επεξεργασίας, ενώ ο έλεγχος της ταυτοπροσωπίας, ανατίθεται στον Πράκτορα, υπό την ιδιότητα του εκτελούντος την επεξεργασία.

Εφόσον ο υποψήφιος προς δημιουργία λογαριασμού πελάτης-παίκτης προσκομίζει στο Πρακτορείο ΟΠΑΠ δελτίο με αναγνωριστικά-νομιμοποιητικά στοιχεία ταυτότητας έτερου υποκειμένου των δεδομένων και προσποιείται ότι αυτός απεικονίζεται στο δελτίο ταυτότητας κάνοντας χρήση των στοιχείων αναγνώρισης – ταυτοποίησης, τότε η επεξεργασία των προσωπικών δεδομένων διενεργείται χωρίς την ύπαρξη νομικής βάσης και, συνακόλουθα, κατά παραβίαση της αρχής της νομιμότητας, ανεξαρτήτως του γεγονότος ότι ο Πράκτορας τελούσε σε άγνοια του γεγονότος ότι ο εμφανιζόμενος ενώπιον του δεν ήταν το πρόσωπο που απεικονιζόταν στο δελτίο ταυτότητας εξαιτίας του ότι προέβη σε πλημμελή έλεγχο ταυτοπροσωπίας.

Η Αρχή επεσήμανε ότι, στην προκειμένη περίπτωση, η εσφαλμένη ταυτοποίηση του εμφανιζομένου προσώπου ενώπιον του Πράκτορα του ΟΠΑΠ οφείλεται κατ’ αρχήν στον πλημμελή έλεγχο που παραδέχεται ότι εφάρμοσε ως εκτελών την επεξεργασία, λόγω των συνθηκών της μεγάλης κινητικότητας πελατών στο Πρακτορείο του τις ημέρες εκείνες. Ο πλημμελής αυτός έλεγχος από το Πρακτορείο είχε ως αποτέλεσμα να μην διαπιστωθεί η έλλειψη ταυτοπροσωπίας και να λάβει χώρα η επεξεργασία των προσωπικών δεδομένων της καταγγέλλουσας δια της ψηφιοποίησης αντιγράφου της αστυνομικής της ταυτότητας και της δημιουργίας αρχικού λογαριασμού στον ΟΠΑΠ, εν αγνοία της καταγγέλλουσας και χωρίς να συντρέχει ουδεμία από τις νομικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠΔ.

Ο εν λόγω πλημμελής έλεγχος συνιστά παραβίαση των εκ των άρθρων 24 και 32 του ΓΚΠΔ υποχρεώσεων του καταγγελλόμενου ως εκτελούντος την επεξεργασία για την τήρηση των εντολών του υπευθύνου επεξεργασίας προς εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων κατά τη διαδικασία ταυτοποίησης.

Συνεπώς, η Αρχή έκρινε ότι ο εκτελών την επεξεργασία Πράκτορας του ΟΠΑΠ εφάρμοσε πλημμελώς τη διαδικασία ταυτοποίησης που ορίσθηκε από τον υπεύθυνο επεξεργασίας ΟΠΑΠ, ενώ ο υπεύθυνος επεξεργασίας ΟΠΑΠ δεν προέβη στους αναγκαίους ελέγχους για την διασφάλιση της ορθής εφαρμογής ταυτοποίησης των υποκειμένων των δεδομένων σύμφωνα με τις οδηγίες που ο ίδιος παρείχε.

Απόσπασμα απόφασης

Στην περίπτωση της υπό κρίση καταγγελίας, προέκυψε ότι η εσφαλμένη ταυτοποίηση του εμφανιζομένου προσώπου ενώπιον του Πράκτορα του ΟΠΑΠ οφείλεται κατ’ αρχήν στον πλημμελή έλεγχο που παραδέχεται στην προκειμένη περίπτωση ότι εφάρμοσε ως εκτελών την επεξεργασία, λόγω των συνθηκών της μεγάλης κινητικότητας πελατών στο Πρακτορείο του τις ημέρες εκείνες, καθώς … . Ειδικότερα, όπως ο ίδιος ο Πράκτορας ανέφερε συγκεκριμένα «[…]«υπό τις δεδομένες συνθήκες της αθρόας προσέλευσης πελατών στο πρακτορείο μου, η διαδικασία ταυτοποίησης που λάμβανε [χώρα] στα πλαίσια … δεν μπορούσε να είναι εξαιρετικά λεπτομερής – αφού δεν είμαστε δημόσια αρχή – αλλά περιοριζόταν στην τυπική αντιπαραβολή του προσώπου που παρουσιαζόταν ενώπιόν μας και της πρωτότυπης αστυνομικής ταυτότητας που μας επεδείκνυε»… Η εν λόγω αντιπαραβολή δεν αποτελεί όμως μια εύκολη διαδικασία (ιδίως υπό συνθήκες έντονης κινητικότητας στο πρακτορείο μου…».

Εν όψει των ανωτέρω, η Αρχή διαπιστώνει κατ’ αρχήν ότι ο μεγάλος αριθμός των εισερχομένων πελατών προς διεξαγωγή εγγραφών («μαζικών» κατά τον πράκτορα) είχε ως αποτέλεσμα ο εν λόγω έλεγχος ταυτοπροσωπίας να γίνεται χωρίς την ενδεδειγμένη και απαιτούμενη υπομονή, προσοχή και επιμέλεια, αλλά αντιθέτως με τη μέγιστη δυνατή ταχύτητα προκειμένου να εξυπηρετηθεί το σύνολο των πελατών όσο το δυνατόν γρηγορότερα. Ο πλημμελής αυτός έλεγχος από το Πρακτορείο είχε ως αποτέλεσμα να μην διαπιστωθεί η έλλειψη ταυτοπροσωπίας και να λάβει χώρα η επεξεργασία των προσωπικών δεδομένων της καταγγέλλουσας δια της ψηφιοποίησης αντιγράφου της αστυνομικής της ταυτότητας και της δημιουργίας αρχικού λογαριασμού στον ΟΠΑΠ, εν αγνοία της καταγγέλλουσας και χωρίς να συντρέχει ουδεμία από τις νομικές βάσεις του άρθρου 6 παρ. 1 ΓΚΠΔ. Ο εν λόγω πλημμελής έλεγχος συνιστά παραβίαση των εκ των άρθρων 24 και 32 ΓΚΠΔ υποχρεώσεων του καταγγελλόμενου ως εκτελούντος την επεξεργασία για την τήρηση των εντολών του υπευθύνου επεξεργασίας προς εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων κατά τη διαδικασία ταυτοποίησης (πρβλ. ΑΠΔ 140/2017 για την περίπτωση εσφαλμένης ταυτοποίησης και παραβίασης προσωπικών δεδομένων), αφού όπως διαπιστώνεται, δεν τηρήθηκε η αναφερόμενη με αριθμό 3 έγγραφη Οδηγία του Βήματος 2 που περιλαμβάνεται στο έντυπο Οδηγιών προς τα Πρακτορεία για την Ταυτοποίηση νέου παίκτη Βήμα Βήμα, το οποίο προσκόμισε ο ΟΠΑΠ ως Σχετικό 10 με το από 26-08-2020 έγγραφο απόψεών του (αρ. πρωτ. Γ/ΕΙΣ/5824/28-08-2020 και Γ/ΕΙΣ/5852/28-08- 2020), σύμφωνα με την οποία ο Πράκτορας οφείλει να «βεβαιωθεί ότι το έγγραφο αντιστοιχεί με το φυσικό πρόσωπο και το προσκομισμένο έγγραφο που φέρει ο πελάτης». Εξάλλου, παρατηρείται μία ακόμα ανακολουθία των ενεργειών που ο καταγγελλόμενος Πράκτορας δήλωσε ότι εφαρμόζει κατά τη διαδικασία ταυτοποίησης παικτών στο κατάστημά του σε σχέση με τις ρητές Οδηγίες του υπευθύνου επεξεργασίας ΟΠΑΠ.

Ειδικότερα, όπως επί λέξει αναφέρεται στο υπόμνημα του καταγγελλόμενου (Γ/ΕΙΣ/2651/19-04-2021, σελ. 4): «Η διαδικασία ταυτοποίησης των χρηστών που προσέρχονταν στην επιχείρησή μου αποτελείτο από δύο αναγκαία στάδια άνευ απαρέγκλιτης τήρησης των οποίων δεν μπορούσε να αποπερατωθεί. Απαιτείτο συγκεκριμένα ι) να προσέλθει στο πρακτορείο αυτοπροσώπως ο ενδιαφερόμενος και να υποδείξει τα στοιχεία πρόσβασής του (username και password) ώστε να αποκτήσουμε πρόσβαση στον λογαριασμό του όπου υπήρχαν τα προσωπικά του στοιχεία (όπως τηλέφωνο και διεύθυνση επικοινωνίας) και ιι) να επιδείξει στον πράκτορα την πρωτότυπη αστυνομική του ταυτότητα. Ο πράκτορας εν συνεχεία έθετε την ταυτότητα έμπροσθεν του ειδικού υπολογιστή της ΟΠΑΠ εντός του πρακτορείου ώστε δια της ενσωματωμένης σε αυτό κάμερας να ληφθεί ψηφιακό αντίγραφο αυτής (scan)». Η υπόδειξη των διαπιστευτηρίων του παίκτη (username και password) στον Πράκτορα δεν περιλαμβάνεται όμως στις «Οδηγίες Βήμα-Βήμα» που έχει λάβει ο εκτελών την επεξεργασία Πράκτορας για την ταυτοποίηση των παικτών σε κατάστημα (σχετ. 10 στο υπ’ αρ. Γ/ΕΙΣ/5824/28-08-2020 έγγραφο απόψεων) ενώ εμφανίζεται ιδιαιτέρως προβληματική από άποψη ασφάλειας (κίνδυνος απώλειας της εμπιστευτικότητας των δεδομένων).

Τέλος, από τα έγγραφα του φακέλου διαπιστώθηκε στην προκειμένη περίπτωση ότι ο ΟΠΑΠ αγνοούσε ότι ο Πράκτορας εφάρμοζε διαδικασία ταυτοποίησης διαφορετική από εκείνη που περιλαμβάνεται στις οδηγίες που ο ίδιος παρείχε ως υπεύθυνος επεξεργασίας καθώς και ότι δεν έχει διενεργηθεί σε ανύποπτο χρονικό διάστημα επαρκής έλεγχος της εφαρμογής των παρεχόμενων οδηγιών ταυτοποίησης.

Δείτε ολόκληρη την απόφαση της Αρχής στο dpa.gr

Συλλογικό Εργατικό Δίκαιο

ΔΗΜΗΤΡΙΟΣ ΖΕΡΔΕΛΗΣ

ΕΡΓΑΤΙΚΟ ΔΙΚΑΙΟ

Εγκληματολογία και Τοξικολογία

ΠΟΙΝΙΚΕΣ ΕΠΙΣΤΗΜΕΣ / ΕΓΚΛΗΜΑΤΟΛΟΓΙΑ

ΑΘΑΝΑΣΙΑ ΣΥΚΙΩΤΟΥ

send