Πρόστιμα συνολικού ύψους 150.000 ευρώ επιβλήθηκαν στο υπουργείο Προστασίας του Πολίτη για σοβαρά ζητήματα επεξεργασίας προσωπικών δεδομένων που προέκυψαν στις... νέες ταυτότητες.
Η Αρχή Προστασίας Προσωπικών Δεδομένων εντόπισε, μετά από αυτεπάγγελτη έρευνα, σοβαρές πλημμέλειες σε σχέση με την ενημέρωση των πολιτών για την επεξεργασία των προσωπικών πληροφοριών τους κατά τη διαδικασία έκδοσης νέων ταυτοτήτων, παραβιάζοντας έτσι τη θεμελιώδη αρχή της διαφάνειας όπως αυτή καθορίζεται από το GDPR - τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) της ΕΕ.
Πιο συγκεκριμένα, η Αρχή Προστασίας Προσωπικών Δεδομένων διαπίστωσε ότι η ενημέρωση για την επεξεργασία προσωπικών δεδομένων από την Ελληνική Αστυνομία, η οποία ήταν υπεύθυνη για την έκδοση των νέων ταυτοτήτων, δεν ήταν επαρκής και συνολική. Η ΕΛ.ΑΣ. είχε δημοσιεύσει στον ιστότοπό της πληροφορίες σχετικά με την επεξεργασία των δεδομένων, ωστόσο, αυτές οι πληροφορίες κρίθηκαν ελλιπείς, καθυστερημένες και εν μέρει εσφαλμένες. Συγκεκριμένα, η ενημέρωση αυτή δεν είχε αναρτηθεί εγκαίρως, ενώ οι πολίτες δεν είχαν λάβει σαφή πληροφόρηση σχετικά με το πώς θα επεξεργάζονταν τα βιομετρικά τους δεδομένα, όπως τα δακτυλικά αποτυπώματα και η φωτογραφία τους, που απαιτούνται για την έκδοση των νέων ταυτοτήτων.
Παράλληλα, εντοπίστηκαν ανακριβείς αναφορές στο νομικό καθεστώς γύρω από την επεξεργασία των προσωπικών δεδομένων, όπως η χρήση της έννοιας της «πρόδηλης ενεργής συγκατάθεσης» αντί της επιβαλλόμενης από το νόμο επεξεργασίας, που παραβίαζαν το άρθρο 6 του ΓΚΠΔ. Επιπρόσθετα, η Αρχή έκρινε ανεπαρκή και τη διαδικασία εκτίμησης αντικτύπου για την προστασία των δεδομένων (DPIA), η οποία ορίζεται ως υποχρεωτική από το άρθρο 35 του GDPR. Η εκτίμηση αντικτύπου -που είχε ως στόχο να εντοπίσει και να διαχειριστεί πιθανούς κινδύνους για τα προσωπικά δεδομένα των πολιτών- πραγματοποιήθηκε με καθυστέρηση, μετά από την έναρξη της επεξεργασίας, κάτι που αποτελεί σοβαρή παράβαση. Η εκτίμηση αυτή, σύμφωνα με την Αρχή Προστασίας Προσωπικών Δεδομένων, δεν κάλυπτε επαρκώς τα τεχνικά και οργανωτικά μέτρα που θα έπρεπε να είχαν ληφθεί για να προστατευθούν τα προσωπιικά δεδομένα κατά τη διαδικασία έκδοσης των νέων δελτίων ταυτότητας.
Πώς ξεκίνησε η έρευνα για τις νέες ταυτότητες και τα προσωπικά δεδομένα
Η έρευνα γύρω από τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων για την έκδοση νέων ταυτοτήτων ξεκίνησε στις 26 Σεπτεμβρίου 2023, όταν ένας πολίτης υπέβαλε σχετική καταγγελία ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Ο καταγγέλλων είχε απευθύνει στις 25 Αυγούστου 2023 αίτημα προς το υπουργείο Προστασίας του Πολίτη, ζητώντας πληροφορίες σχετικά με την επεξεργασία των προσωπικών δεδομένων που σχετίζονται με την έκδοση των νέων ταυτοτήτων. Παρά το γεγονός ότι ο πολίτης απέστειλε υπενθύμιση στις 19 Σεπτεμβρίου 2023, το υπουργείο δεν απάντησε στο αίτημά του.
Η καταγγελία αυτή έφτασε στην Αρχή, η οποία αποφάσισε να προχωρήσει σε αυτεπάγγελτη εξέταση της υπόθεσης, λαμβάνοντας υπόψη και τη γενικότερη δημόσια συζήτηση και ανησυχία σχετικά με τις νέες ταυτότητες.
Η υπόθεση είχε ήδη αρχίσει να απασχολεί την κοινή γνώμη, καθώς υπήρχαν ανησυχίες για τη διαφάνεια και τη νομιμότητα της επεξεργασίας προσωπικών δεδομένων, ιδιαίτερα των βιομετρικών, στις νέες ταυτότητες. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπίστωσε σημαντικές παραβάσεις κατά την εξέταση της διαδικασίας έκδοσης των νέων δελτίων ταυτότητας, που αφορούσαν κυρίως την ενημέρωση των πολιτών και την επεξεργασία προσωπικών δεδομένων, όπως τα βιομετρικά στοιχεία.
Τα πρόστιμα στο υπουργείο Προστασίας του Πολίτη
Η Αρχή επέβαλε στο υπουργείο Προστασίας του Πολίτη, που είναι υπεύθυνο για τη διαχείριση της διαδικασίας έκδοσης των νέων ταυτοτήτων, διοικητικό πρόστιμο ύψους 150.000 ευρώ. Το πρόστιμο αυτό διασπάστηκε σε δύο μέρη: 50.000 ευρώ για την πλημμελή ενημέρωση των πολιτών σχετικά με την επεξεργασία των προσωπικών τους δεδομένων και 100.000 ευρώ για την καθυστέρηση και την πλημμελή διεξαγωγή της εκτίμησης αντικτύπου.
Παράλληλα, η Αρχή έδωσε σαφείς οδηγίες στο υπουργείο Προστασίας του Πολίτη για τη λήψη διορθωτικών μέτρων, τα οποία πρέπει να υλοποιηθούν εντός εξαμήνου. Το υπουργείο οφείλει να τεκμηριώσει την αναγκαιότητα συμπερίληψης ορισμένων πρόσθετων στοιχείων, όπως το επώνυμο του πατέρα, της μητέρας, ο αριθμός δημοτολογίου και ο Δήμος εγγραφής, τα οποία δεν περιλαμβάνονται στις υποχρεώσεις που προβλέπονται από τον Κανονισμό 2019/1157 της Ευρωπαϊκής Ένωσης, ο οποίος καθορίζει τα ελάχιστα δεδομένα που πρέπει να περιέχει ένα δελτίο ταυτότητας. Αυτά τα στοιχεία βασίζονται σε παλαιές εθνικές διατάξεις, οι οποίες έχουν ήδη κριθεί παράνομες ή/και αντισυνταγματικές από το Συμβούλιο της Επικρατείας (ΣτΕ), χωρίς ωστόσο να έχουν τροποποιηθεί ή καταργηθεί.