ΣΧΕΤΙΚΑ ΑΡΘΡΑ
Πρόστιμο ύψους 175.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στο Υπουργείο Μετανάστευσης και Ασύλου για σημαντικές παραβάσεις του GDPR για τα συστήματα «Κένταυρος» και «Υπερίων» στις δομές υποδοχής και φιλοξενίας αιτούντων άσυλο, το υψηλότερο πρόστιμο που έχει ποτέ επιβληθεί σε δημόσιο φορέα.
Ο Λευτέρης Χελιουδάκης, Δικηγόρος, Συνιδρυτής Ηοmo Digitalis, της μη κερδοσκοπικής οργάνωσης με σκοπό την υπεράσπιση των δικαιωμάτων του ανθρώπου στον ψηφιακό κόσμο, εξηγεί στο Mononews το περιεχόμενο και τη σημασία των παραβάσεων, ενώ αποτυπώνει και την πρόβλεψή του για το αν θα υπάρξουν και άλλες συναφείς καταγγελίες.
Πρόκειται για καταγγελία που έγινε στην ΑΠΔΠΧ τον Φεβρουάριο του 2022 από τη Homo Digitalis σε συνεργασία με τις οργανώσεις της Κοινωνίας των Πολιτών Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου και HIAS Ελλάδος, καθώς και την ακαδημαϊκό Νιόβη Βάβουλα για σειρά παραβάσεων στα εν λόγω συστήματα, οι οποίες αφορούν μεγάλο αριθμό ατόμων με χαρακτηριστικά ευαλωτότητας.
Με δεδομένο ότι οι μετανάστες και οι αιτούντες άσυλο είναι εξαιρετικά αμφίβολο ότι γνωρίζουν τα δικαιώματά τους ως προς την προστασία των προσωπικών τους δεδομένων και έχουν πραγματική δυσχέρεια στη δυνατότητα άσκησής τους, κρίνεται ακόμη επιτακτικότερη η ανάγκη συμμόρφωσης με τη νομοθεσία, πόσο μάλλον όταν η επεξεργασία των δεδομένων γίνεται από δημόσιο φορέα.
Τι είναι τα συστήματα «Κένταυρος» και «Υπερίων»
Τα δύο συστήματα του Υπουργείου Μετανάστευσης και Ασύλου, τα οποία έχουν χρηματοδοτηθεί από το Ταμείο Εσωτερικής Ασφάλειας και το Ταμείο Ανάκαμψης, ξεκίνησαν να λειτουργούν το 2021 με στόχο την ενίσχυση της ασφάλειας στις δομές υποδοχής και φιλοξενίας μεταναστών και προσφύγων.
Το σύστημα «Κένταυρος» είναι ψηφιακό σύστημα διαχείρισης ηλεκτρονικής και φυσικής ασφάλειας περιμετρικά και εντός των εγκαταστάσεων, με χρήση καμερών και αλγορίθμων ανάλυσης συμπεριφοράς, ενώ το σύστημα «Υπεριών» αποτελεί το σύστημα διαχείρισης αιτούντων άσυλο, αναφορικά με όλες τις ανάγκες της Υπηρεσίας Υποδοχής και Ταυτοποίησης, ενώ είναι και το βασικό εργαλείο για την ευθύνη του ελέγχου πρόσβασης στις εγκαταστάσεις αυτές με χρήση βιομετρικών δεδομένων.
Οι παραβάσεις και το πρόστιμο
Γίνεται σαφές ότι πρόκειται για συστήματα που διαχειρίζονται μεγάλο όγκο σημαντικών προσωπικών δεδομένων, οπότε, για να ανευρεθεί η επιθυμητή ισορροπία ανάμεσα στην ασφάλεια και τον σεβασμό των δικαιωμάτων των υποκειμένων, είναι απαραίτητη η αυστηρή συμμόρφωση με τη νομοθεσία, κάτι που το Υπουργείο δεν έκανε, υποπίπτοντας σε βασικές ελλείψεις στο πλαίσιο της εκπόνησης μίας ολοκληρωμένης και συνεκτικής Εκτίμησης Αντικτύπου σχετικά με την προστασία των δεδομένων, σύμφωνα με την απόφαση της ΑΠΔΠΧ.
Όπως υπογραμμίζει ο Λ. Χελιουδάκης, «με την απόφαση 13/2024 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα καταλήγει ότι το Υπουργείο Μετανάστευσης και Ασύλου δεν διενήργησε, ως όφειλε, μία ολοκληρωμένη και συνεκτική εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων (Data Protection Impact Assessment – DPIA). Μάλιστα, όπως ρητά αναφέρει η Αρχή στο σώμα της απόφασης αλλά και σε προηγούμενη νομολογία της, για να είναι σύμφωνη η πράξη της σκοπούμενης επεξεργασίας με τις αρχές της προστασίας των προσωπικών δεδομένων «ήδη από τον σχεδιασμό» και «εξ ορισμού», θα έπρεπε το ΥΜΑ να έχει εκπονήσει μία πρώτη εκδοχή της εν λόγω εκτίμησης αντικτύπου πριν ακόμη και από την προμήθεια των συστημάτων ΚΕΝΤΑΥΡΟΣ και ΥΠΕΡΙΩΝ».
Η εκτίμηση αυτή αντικτύπου δεν είναι απλώς ένα τυπικό βήμα στην όλη διαδικασία, αλλά κομβική προϋπόθεση, έτσι ώστε να γίνει σαφές αν και με ποιον τρόπο μπορούν να προστατευθούν επαρκώς τα προσωπικά δεδομένα των αιτούντων άσυλο και αν οι αρνητικές επιπτώσεις σε αυτό το πεδίο δικαιολογούνται από τον γενικότερο σκοπό και μπορούν να ελαχιστοποιηθούν όσο το δυνατόν περισσότερο. Για αυτόν ακριβώς το λόγο, η εκτίμηση αντικτύπου οφείλει να γίνεται πριν την προμήθεια των συστημάτων, ώστε το Υπουργείο να προχωρά στη σύναψη σύμβασης έχοντας πλήρη επίγνωση και σχεδιαστική εποπτεία των προβλημάτων και των απαιτούμενων λύσεων.
«Για τους λόγους αυτούς, η Αρχή έκρινε ότι υπάρχει παραβίαση των άρθρων 25 (Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού) και 35 (Εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων) του Γενικού Κανονισμού Προστασίας Δεδομένων – GDPR και επέβαλε πρόστιμο ύψους 100.000 ευρώ για την παράβαση αυτή» συνεχίζει ο ίδιος.
Πέρα, όμως, από την ελλιπή εκτίμηση αντικτύπου, υπήρχε πρόβλημα και στη συνεργασία του Υπουργείου με την ΑΠΔΠΧ, σύμφωνα με τον Λ. Χελιουδάκη: «Η Αρχή έκρινε ότι η επικοινωνία και η συνεργασία με το ΥΜΑ ήταν πολύ προβληματική. Συγκεκριμένα, τα έγγραφα που υποβλήθηκαν ενώπιον της Αρχής περιείχαν ασαφείς, ελλιπείς, συγκεχυμένες και αντιφατικές πληροφορίες».
Η προβληματική άπτεται του ζητήματος ότι τα συγκεκριμένα συστήματα διασυνδέονταν με τρίτους φορείς, όπως η Πολιτική Προστασία, η Αστυνομία και το Λιμενικό, οι οποίοι, όπως είναι επόμενο, έχουν πρόσβαση στα προσωπικά δεδομένα των υποκειμένων. Οι συμβάσεις με τους φορείς αυτούς θα έπρεπε, επίσης, να υποβληθούν από το Υπουργείο προς έλεγχο, έτσι ώστε να διαπιστωθεί από την ΑΠΔΠΧ ότι συμμορφώνονται με τον GDPR.
Όμως, «ο ΥΜΑ αρνήθηκε να υποβάλει στην Αρχή συμβάσεις με εκτελούντες την επεξεργασία δεδομένων που περιείχαν ρήτρες σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τα συστήματα ΚΕΝΤΑΥΡΟΣ και ΥΠΕΡΙΩΝ (σύμφωνα με το άρθρο 28 του GDPR) επικαλούμενη λόγους απορρήτου. Επίσης, το ΥΜΑ δεν κατόρθωσε να παράσχει διευκρινίσεις σχετικά με τις δραστηριότητες επεξεργασίας δεδομένων που πραγματοποιούνται στο πλαίσιο του ΚΕΝΤΑΥΡΟΣ, ιδίως τις αυτοματοποιημένες λειτουργίες του, καθώς και σχετικά με τη διαλειτουργικότητα των συστημάτων ΚΕΝΤΑΥΡΟΣ και ΥΠΕΡΙΩΝ με άλλα συστήματα του δημόσιου τομέα, συμπεριλαμβανομένων εκείνων που διαχειρίζεται η Ελληνική Αστυνομία για ποινικές υποθέσεις» περιγράφει ο Λ. Χελιουδάκης.
Ο απόρρητος χαρακτήρας των συμβάσεων προμήθειας των συστημάτων αυτών είναι κάτι που επικαλείται το Υπουργείο στο δελτίο τύπου που εξέδωσε σχετικά με την απόφαση της ΑΠΔΠΧ, τονίζοντας ότι είχε επισημανθεί επανειλημμένα στα υπομνήματα προς την Αρχή. Ωστόσο, η ίδια η Αρχή στην απόφασή της αναφέρει ότι ο απόρρητος χαρακτήρας των συμβάσεων είναι αδιάφορος ως προς τη διενέργεια εκτίμησης αντικτύπου και αποτελεί υποχρέωση που απορρέει από τον GDPR.
«Για τους λόγους αυτούς, η ΑΠΔΠΧ επέβαλε στο ΥΜΑ το πρόστιμο των 75.000 ευρώ για την παραβίαση του άρθρου 31 του GDPR (Συνεργασία με την εποπτική αρχή), με αποτέλεσμα το συνολικό πρόστιμο που αποτελεί ρεκόρ στην Ελλάδα για παράβαση του GDPR από φορέα του Δημοσίου να ανέρχεται σε 175.000 ευρώ» συνοψίζει ο Λ. Χελιουδάκης.
Η απάντηση του Υπουργείου και η πιθανότητα νέων καταγγελιών
Το Υπουργείο, με δελτίο τύπου, απάντησε ότι η ΑΠΔΠΧ «δεν έλαβε υπόψη της ότι επρόκειτο για συστήματα τα οποία είχαν μερικώς παραληφθεί και λειτουργήσει πιλοτικά σε ορισμένες δομές φιλοξενίας και όχι στο σύνολο, γεγονός που έκανε αναγκαστική τη διενέργεια μεμονωμένων Εκτιμήσεων Αντικτύπου και όχι συνολικής, καθόσον οι επεξεργασίες Δεδομένων Προσωπικού Χαρακτήρα δεν ήταν δυνατόν να μπορούν να αξιολογηθούν ΠΡΙΝ την έναρξη λειτουργίας των συστημάτων».
Εκτός, όμως, από το θέμα της υποχρέωσης ή μη διενέργειας συνολικής εκτίμησης αντικτύπου, το Υπουργείο θεωρεί ότι η ΑΠΔΠΧ δεν εκτίμησε σωστά τα στοιχεία που της παρασχέθηκαν και γι’ αυτό επισημαίνει ότι «προτίθεται να εκτιμήσει νομικά τη δυνατότητα προσβολής της απόφασης, αναφορικά με τα σημεία εκείνα στα οποία η ΑΠΔΠΧ πλημμελώς εκτιμά τα στοιχεία που τέθηκαν υπόψη της».
Σε κάθε περίπτωση, πάντως, τονίζει ότι τα διορθωτικά μέτρα που προτείνονται από την Αρχή «έχουν ήδη υλοποιηθεί από το Υπουργείο Μετανάστευσης και Ασύλου ή βρίσκονται σε στάδιο υλοποίησης».
Ποια θα είναι η συνέχεια σε αυτή την υπόθεση; Θα προλάβει το Υπουργείο στην προθεσμία των τριών μηνών που του παρέχεται να ολοκληρώσει την εκτίμηση αντικτύπου; Θα υπάρξουν και άλλες καταγγελίες;
Ο Λ. Χελιουδάκης ξεκαθαρίζει ότι «το πρόστιμο της Αρχής αφορά συγκεκριμένα την εκπόνηση εκτίμησης αντικτύπου καθώς και την πολύ προβληματική επικοινωνία του ΥΜΑ με την Αρχή που αποτέλεσε σημαντική τροχοπέδη στην έρευνα της ΑΠΔΠΧ. Πιστεύουμε ότι το ΥΜΑ θα πρέπει να έχει τη δυνατότητα να εκπονήσει εντός 3 μηνών μία ολοκληρωμένη και συνεκτική εκτίμηση αντικτύπου».
Φυσικά, το γεγονός ότι θα ληφθούν τα απαραίτητα διορθωτικά μέτρα δεν αποκλείει άλλες καταγγελίες στο μέλλον: «Σίγουρα θα πρέπει να αναμένουμε και περισσότερες καταγγελίες, εάν όχι στην περίοδο των τριών μηνών, στο άμεσο μέλλον, καθώς η παράλειψη συμμόρφωσης του ΥΜΑ, όπως ρητά αναφέρει η ΑΠΔΠΧ, δημιουργεί αμφιβολίες για την πληρότητα του σχεδιασμού σε σχέση με την παροχή δυνατότητας άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων και την ορθή εφαρμογή των σχετικών διατάξεων του GDPR, μολονότι το ζήτημα δεν εξετάστηκε από την Αρχή ειδικώς και, ως εκ τούτου, δεν λαμβάνεται υπόψη κατά τη διαμόρφωση της κρίσης της» συνεχίζει ο ίδιος.
Επομένως, το εν λόγω πρόστιμο καλύπτει συγκεκριμένες μόνο πτυχές, όπως προαναφέρθηκαν, και δεν αποκλείεται να υπάρξουν άλλες καταγγελίες που θα αφορούν κάποια άλλη πτυχή του σχεδιασμού των συστημάτων, ειδικά λαμβάνοντας υπόψη ότι τα υποκείμενα των δεδομένων είναι πολυάριθμα.
«Η επεξεργασία δεδομένων αφορά σε μεγάλο αριθμό υποκειμένων, μεταξύ των οποίων εργαζόμενους και άτομα με χαρακτηριστικά ευαλωτότητας, τα οποία ενδέχεται να ασκήσουν τα δικαιώματά τους, και να οδηγηθούμε σε νέες καταγγελίες ενώπιον της Αρχής. Φυσικά, αναδεικνύεται και η ανάγκη στρατηγικών νομικών δράσεων από τη Ηοmo Digitalis και τους συμμάχους της στην κοινωνία των πολιτών που θα έχουν ως σκοπό να αποκαλύψουν την έλλειψη συμμόρφωσης με το έννομο πλαίσιο και να φέρουν ενώπιον της Αρχής ή των εθνικών δικαστηρίων αντίστοιχες υποθέσεις, εφόσον κριθεί αναγκαίο» κλείνει ο Λ. Χελιουδάκης.
Διαβάστε επίσης:
ΕΙΔΗΣΕΙΣ ΣΗΜΕΡΑ
- Ντόναλντ Τραμπ: Διορίζει τον ιδιοκτήτη των Χιούστον Ρόκετς πρεσβευτή των Ηνωμένων Πολιτειών στην Ιταλία
- Καιρός: Με κρύο, βροχές και χιόνια τα Χριστούγεννα
- Θ. Καρποδίνη (ΕΟΠΥΥ): Οι έλεγχοι, οι βιοδείκτες και οι αλλαγές στη συνταγογράφηση
- Αγωγή ύψους 450 εκατ. ευρώ κατά του Δημοσίου για τα δάνεια σε ελβετικό φράγκο