Στις 23 Σεπτεμβρίου 2024 η ανεξάρτητη Αρχή Προστασίας Δεδομένων (ΑΠΔ) δημοσίευσε απόφαση με την οποία διαπίστωσε ότι το υπουργείο Προστασίας του Πολίτη παραβίασε διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) αναφορικά με το ζήτημα της έκδοσης νέων ταυτοτήτων πολιτών. Στο πλαίσιο της απόφασής της η ΑΠΔ επέβαλε σε βάρος του υπουργείου δύο διοικητικά πρόστιμα συνολικού ύψους 150.000 ευρώ.
Ας δούμε αναλυτικά τις διατάξεις του ΓΚΠΔ που παραβιάστηκαν εκ μέρους του υπουργείου Προστασίας του Πολίτη, καθώς και τα διοικητικά πρόστιμα που επιβλήθηκαν σε βάρος του, κατά τη σχετική αρμοδιότητα της ΑΠΔ, όπως αυτή προκύπτει από το άρθρο 58 παρ. 2 του ΓΚΠΔ («Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες: […] θ) να επιβάλλει διοικητικό πρόστιμο δυνάμει του άρθρου 83, επιπλέον ή αντί των μέτρων που αναφέρονται στην παρούσα παράγραφο, ανάλογα με τις περιστάσεις κάθε μεμονωμένης περίπτωσης»).
Η ΑΠΔ επέβαλε πρόστιμο ύψους 50.000 ευρώ για παραβίαση του άρθρου 13 («Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων») και του άρθρου 14 («Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων») του ΓΚΠΔ λόγω πλημμελειών αναφορικά με την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων σχετικά με την επεξεργασία των δεδομένων τους, δηλαδή «λόγω της απουσίας ενημέρωσης (σ.σ.: των πολιτών) για μεγάλο χρονικό διάστημα, καθώς και λόγω μη ορθών πληροφοριών στο κείμενο ενημέρωσης των πολιτών, το οποίο αναρτήθηκε καθυστερημένα στην ιστοσελίδα του υπευθύνου επεξεργασίας (σ.σ.: του υπουργείου Προστασίας του Πολίτη)», κατά τη διατύπωση της απόφασης της ανεξάρτητης Αρχής.
Η ΑΠΔ επεσήμανε στο σκεπτικό της ότι κατά το άρθρο 12 παρ. 1 του ΓΚΠΔ «ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία (σ.σ.: των δεδομένων του) σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα».
Η ΑΠΔ επέβαλε στην ελεγχόμενη κυβερνητική υπηρεσία δεύτερο πρόστιμο, ύψους 100.000 ευρώ, για παραβίαση του άρθρου 35 παρ. 1 του ΓΚΠΔ, καθώς το υπουργείο Προστασίας του Πολίτη, σύμφωνα με την απόφαση, «δεν διενήργησε, ως όφειλε, την απαιτούμενη εκτίμηση αντικτύπου, παρά μόνο μετά την έναρξη της επεξεργασίας και μόνο κατόπιν της σχετικής επικοινωνίας της Αρχής, ενώ η εκτίμηση αντικτύπου δεν φαίνεται να έχει εντοπίσει όλους τους κινδύνους, όπως προκύπτει και από τις ανωτέρω διαπιστωθείσες παραβάσεις».
Το παραβιασθέν εν προκειμένω άρθρο 35 παρ. 1 του ΓΚΠΔ ορίζει ότι «όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους».
Εκτός από πρόστιμα, η ΑΠΔ επέβαλε στο υπουργείο Προστασίας του Πολίτη προθεσμία έξι μηνών, ώστε να άρει τις πλημμέλειές του κατά τη διαδικασία έκδοσης των νέων ταυτοτήτων και να συμμορφωθεί πλήρως με την ισχύουσα νομοθεσία για τα προσωπικά δεδομένα.
«Μολονότι δεν τίθεται εν αμφιβολία το κύρος των ταυτοτήτων, των οποίων η έκδοση στηρίζεται στο ισχύον σήμερα νομικό πλαίσιο, όπως περιγράφεται ως άνω, η Αρχή επισημαίνει την υποχρέωση να επικαιροποιηθεί και να κωδικοποιηθεί το νομικό πλαίσιο αναφορικά με τα στοιχεία στο νέο τύπο δελτίων ταυτότητας Ελλήνων πολιτών και της διαδικασίας έκδοσης αυτών, προκειμένου να ρυθμίζονται με ενιαίο τρόπο ζητήματα που είχαν δημιουργηθεί αφενός, από την κατάργηση σχετικών διατάξεων και αφετέρου, από την παράλληλη ισχύ διαφορετικών νομοθετημάτων, τόσο κατά την έκδοση των παλαιών, όσο και κατά την έκδοση των νέων δελτίων ταυτότητας, λαμβάνοντας υπόψη και τα όσα επιμέρους ζητήματα αναλύονται στην παρούσα Απόφαση», αναφέρει συμπερασματικά η ανεξάρτητη Αρχή.
Σε ένα Κράτος Δικαίου οι δημόσιες Αρχές οφείλουν να τηρούν απαρέγκλιτα την ενωσιακή και εθνική νομοθεσία αναφορικά με την προστασία των προσωπικών δεδομένων των πολιτών κατά τις διαδικασίες νόμιμης επεξεργασίας τους.
Ωστόσο, η έρευνα της ανεξάρτητης Αρχής Προστασίας Δεδομένων (ΑΠΔ) τεκμηρίωσε εν προκειμένω ότι το υπουργείο Προστασίας του Πολίτη παραβίασε πλείστες διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (13, 14 και 35 παρ. 1 του ΓΚΠΔ) αναφορικά με το ζήτημα της έκδοσης νέων ταυτοτήτων πολιτών.
Αριθμός Λογαριασμού: 1100 0232 0016 560
IBAN: GR56 0140 1100 1100 0232 0016 560
BIC: CRBAGRAA
Στον αγώνα μας για Λογοδοσία και Διαφάνεια, απέναντι σε οτιδήποτε υπονομεύει τις αρχές της Δημοκρατίας και του Κράτους Δικαίου.
Γιατί η Δημοκρατία δεν είναι αυτονόητη.
Είναι στο χέρι μας να μη στεκόμαστε απαθείς ή κυνικοί.
Δες πώς μπορείς να μας βοηθήσεις, εδώ!
