ΑΠΟΦΑΣΗ 13/2024
Αθήνα, 02-04-2024
Αριθ. Πρωτ.: 1037
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της στην έδρα της, Κηφισίας 1-3 Αθήνα, την Τρίτη 17 Οκτωβρίου 2023, προκειμένου να εξετάσει την υπόθεση, που αναφέρεται κατωτέρω στο ιστορικό της παρούσας απόφασης. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη της Αρχής Σπυρίδων Βλαχόπουλος ως εισηγητής, Κωνσταντίνος Λαμπρινουδάκης, Χαράλαμπος Ανθόπουλος, Χρήστος Καλλονιάτης, επίσης ως εισηγητής, Αικατερίνη Ηλιάδου, καθώς και η Μαρία Ψάλλα, αναπληρωματικό μέλος της Αρχής, σε αντικατάσταση του τακτικού μέλους Γρηγορίου Τσόλια, ο οποίος, παρόλο που εκλήθη νομίμως εγγράφως, δεν παρέστη. Παρόντες χωρίς δικαίωμα ψήφου ήταν η Ελένη Μαραγκού, Ιωάννης Λυκοτραφίτης, Αναστασία Τριτάκη και Αικατερίνη Χατζηδιάκου, ελεγκτές της Αρχής, ως βοηθοί εισηγητών και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα κάτωθι:
Στα τέλη του 2021, η Αρχή έλαβε γνώση της απόφασης της ελληνικής κυβέρνησης σχετικά με την ανάπτυξη και εγκατάσταση του Προγράμματος «Κένταυρος» από το Υπουργείο Μετανάστευσης και Ασύλου (εφεξής ΥΜΑ) με στόχο τον έλεγχο των δομών υποδοχής και φιλοξενίας πολιτών τρίτων χωρών σε νησιά του Αιγαίου. Επίσης, η Αρχή έλαβε το Δεκέμβριο του 2021 από την Επιτροπή Πολιτικών Ελευθεριών Δικαιοσύνης και Εσωτερικών Υποθέσεων του Ευρωπαϊκού Κοινοβουλίου (LIBE Committee) αίτημα παροχής ενημέρωσης (υπ΄ αριθμ. πρωτ. Αρχής Γ/ΕΙΣ/8231/17-12-2021) σχετικά με τις τεχνολογίες επιτήρησης στα σύνορα, ενώ αίτημα έρευνας και παροχής γνωμοδότησης αναφορικά με την προμήθεια και εγκατάσταση των συστημάτων «Υπερίων» και «Κένταυρος» στις δομές υποδοχής και φιλοξενίας αιτούντων άσυλο υποβλήθηκε ενώπιον της Αρχής τον Φεβρουάριο του 2022 (με αρ. πρωτ. Αρχής Γ/ΕΙΣ/2515/18-02-2022) από οργανώσεις της κοινωνίας των πολιτών (i. Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου, ii. HIAS Ελλάδος, iii. Homo Digitalis) από κοινού με την Α, Λέκτορα του Queen Mary University of London. Η Αρχή έλαβε επίσης τον Ιούλιο του 2022 επιστολή (με αρ. πρωτ. Αρχής Γ/ΕΙΣ/9479/11-08-2022) αναφορικά με τα ως άνω συστήματα από την Αντιπροσωπεία της Ύπατης Αρμοστείας του ΟΗΕ για τους Πρόσφυγες στην Ελλάδα.
Το πρόγραμμα «Κένταυρος» φέρεται να αποτελεί ένα ολοκληρωμένο ψηφιακό σύστημα διαχείρισης Ηλεκτρονικής και Φυσικής Ασφάλειας περιμετρικά και εντός των εγκαταστάσεων των Κέντρων Κλειστών Ελεγχόμενων Δομών (ΚΕΔ) (& Κέντρων Υποδοχής και Ταυτοποίησης (ΚΥΤ)) πολιτών τρίτων χωρών στα νησιά Λέσβος, Χίος, Σάμος, Λέρος και Κως και με χρήση καμερών και αλγορίθμων ανάλυσης κίνησης (Artificial Intelligence Behavioral Analytics), η διαχείριση του οποίου θα πραγματοποιείται από το ΥΜΑ. Το πρόγραμμα «Κένταυρος» συμπεριλαμβάνει μεταξύ άλλων τη χρήση συστήματος CCTV και μη στελεχωμένων αεροσκαφών (drones), με τα οποία θα πραγματοποιείται επεξεργασία προσωπικών δεδομένων, τουλάχιστον εικόνας.
Παράλληλα, το Πρόγραμμα «Υπερίων» περιγράφεται ως ένα ολοκληρωμένο σύστημα ελέγχου εισόδου–εξόδου στις εγκαταστάσεις των προαναφερόμενων δομών με σκοπό τον έλεγχο εισόδου και εξόδου αφενός των φιλοξενουμένων και των πιστοποιημένων μελών των πιστοποιημένων μη κυβερνητικών οργανώσεων (ΜΚΟ) με την επίδειξη της κάρτας αιτούντος άσυλο ή μέλους/υπαλλήλου ΜΚΟ, και αφετέρου των εργαζόμενων στις δομές από RFID αναγνώστη σε συνδυασμό με αποτύπωμα (two–factor authentication), επομένως μέσω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και δη βιομετρικών δεδομένων.
Με βάση τα ανωτέρω, η Αρχή, με το υπ’ αρ. πρωτ. Γ/ΕΞΕ/563/02-03-2022 έγγραφο, κάλεσε το ΥΜΑ, ως υπεύθυνο επεξεργασίας, να παράσχει πληροφορίες σχετικά με τα εν λόγω προγράμματα «Κένταυρος» και «Υπερίων». Ειδικότερα, η Αρχή κάλεσε το ΥΜΑ να παράσχει διευκρινίσεις, μεταξύ άλλων, αναφορικά με: α) τη νομική βάση (διάταξη νόμου ή/και νόμο) της σκοπούμενης επεξεργασίας, β) τα λοιπά στοιχεία της επεξεργασίας αυτής (όπως χρόνο τήρησης δεδομένων, ενημέρωση των υποκειμένων των δεδομένων κ.ά.), και γ) το ζήτημα αν έχει διενεργηθεί μελέτη εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.
Σε απάντηση του ως άνω εγγράφου της Αρχής, το ΥΜΑ απέστειλε το υπ’ αριθ. πρωτ. της Αρχής Γ/ΕΙΣ/4732/18-03-2022 (αριθ. πρωτ. ΥΜΑ …) υπόμνημα του Υπευθύνου Προστασίας Δεδομένων της (εφεξής ΥΠΔ), με το οποίο μεταξύ άλλων, ανέφερε ότι τα δύο αυτά προγράμματα δεν έχουν τεθεί σε πλήρη εφαρμογή, καθώς αρκετές δευτερεύουσες λειτουργίες βρίσκονται ακόμη σε φάση υλοποίησης ενώ και οι πρωτεύουσες λειτουργίες (βιντεοεπιτήρηση μέσω κλειστού κυκλώματος τηλεόρασης και drone, είσοδος – έξοδος μέσω τουρνικέ ασφαλείας) των προγραμμάτων υπόκεινται σε συνεχείς παραμετροποιήσεις και είναι σε πιλοτική εφαρμογή. Με το ίδιο έγγραφο, το ΥΜΑ υπέβαλε στην Αρχή τα εξής συνοδευτικά έγγραφα: α) την από 15-01-2022 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και Πολιτική απορρήτου για το σύστημα βιντεοεπιτήρησης του Προγράμματος «Κένταυρος», β) την από 20-01-2022 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων και Πολιτική απορρήτου για την βιντεοεπιτήρηση με χρήση drones του Προγράμματος «Κένταυρος», γ) την από 20-01-2022 εκτίμηση αντικτύπου σχετικά με τα θεμελιώδη δικαιώματα για το Πρόγραμμα «Κένταυρος», δ) την πολιτική απορρήτου για την επεξεργασία βιομετρικών δεδομένων, ε) την από 30-01-2022 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων για την επεξεργασία δακτυλικών αποτυπωμάτων του Προγράμματος «Υπερίων» και στ) την από 10-10-2022 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων από την ταυτόχρονη χρήση ειδικής πλαστικής κάρτας που φέρει μοναδικό μη τροποποιήσιμο αριθμό (UID) σε κύκλωμα RF.
Η Αρχή, αφού εξέτασε και ανέλυσε το ως άνω υπόμνημα και τα ως άνω συνοδευτικά αυτού έγγραφα, ζήτησε από το ΥΜΑ με το υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/2264/13-09-2022 έγγραφο την παροχή συμπληρωματικών πληροφοριών. Ειδικότερα, μεταξύ άλλων, η Αρχή ζήτησε να διευκρινιστούν μια σειρά από ζητήματα αναφορικά με την επεξεργασία δεδομένων που πραγματοποιείται από το σύστημα βιντεοεπιτήρησης του προγράμματος «Κένταυρος», την επεξεργασία βιομετρικών δεδομένων που πραγματοποιείται από το σύστημα «Υπερίων», ενώ επεσήμανε και σειρά ασαφειών, αντιφατικών και εσφαλμένων αναφορών που εντοπίστηκαν στα προσκομιζόμενα με το προαναφερόμενο υπ’ αριθ. πρωτ. της Αρχής Γ/ΕΙΣ/4732/18-03-2022 (αριθ. πρωτ. … του Υπουργείου) υπόμνημα έγγραφα και ζήτησε την αποσαφήνιση αυτών.
Με την υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/10875/10-10-2023 (αριθ. πρωτ. ΥΜΑ …) επιστολή του ΥΠΔ του ΥΜΑ και το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/10991/13-10-2022 συνοδευτικό αρχείο αυτής, το ΥΜΑ απαντώντας σε ερωτήματα και αιτιάσεις που περιλάμβανε η προαναφερόμενη επιστολή της Αρχής ανέφερε, μεταξύ άλλων, τα εξής, συνοπτικώς οριζόμενα: α) η Αρχή δεν πρέπει να παραβλέψει ότι το ΥΜΑ ως νεοσύστατο υπουργείο (2019) βρίσκεται ακόμη σε στάδιο συμμόρφωσης του με τον ΓΚΠΔ και τον Ν. 4624/2019, ενώ δεν διαθέτει Αυτοτελές Γραφείο Υπεύθυνου Προστασίας Προσωπικών Δεδομένων παρά την επεξεργασία μεγάλης κλίμακας προσωπικών δεδομένων, β) τα συγκεκριμένα προγράμματα δεν έχουν αναπτυχθεί στο σύνολο των δομών, βρίσκονται ακόμη σε φάση υλοποίησης και επιχειρησιακών δοκιμών και εκκρεμεί ο έλεγχος τελικής παραλαβής των έργων από το ΥΜΑ, γ) οι συμβάσεις για τα εν λόγω προγράμματα ολοκληρώνονται σταδιακά από τον Οκτώβριο 2022 ως τον Ιανουάριο 2023, ενώ κάποιες φάσεις τους ολοκληρώνονται αργότερα, με συνέπεια, η διενέργεια Εκτίμησης Αντικτύπου σχετικά με την Προστασία Δεδομένων (ΕΑΠΔ) επί των προαναφερθέντων συστημάτων να έχει πραγματοποιηθεί χωρίς να είναι συγγνωστή η ολότητα της λειτουργικότητας τους και το εύρος των παραμετροποιημένων λειτουργιών τους, λόγω του απορρήτου περιεχομένου των συμβάσεων και λόγω της εξελισσόμενης υλοποίησης τους, ενώ τα πρώτα συμπεράσματα που έχουν εξαχθεί αναφορικά με τις επιπτώσεις στα υποκείμενα των δεδομένων δεν είναι ακόμη ασφαλή, δ) οι παραπομπές στον καταργούμενο Κανονισμό 45/2001 και στην καταργούμενη Απόφαση 1247/2002/ΕΚ θεωρούνται παραπομπές και στο νέο Κανονισμό 2018/1725, ε) η κατάρτιση οποιασδήποτε έκθεσης ή τεκμηρίωσης σχετικά με την προστασία των θεμελιωδών ανθρωπίνων δικαιωμάτων εκφεύγει σαφώς του έργου και των αρμοδιοτήτων του ΥΠΔ και ως εκ τούτου παρέλκει οποιαδήποτε περαιτέρω αναφορά στο συγκεκριμένο αίτημα προς διευκρίνιση.
Επιπλέον, ειδικότερα, αναφορικά με το πρόγραμμα «Κένταυρος», παρατέθηκαν με το ως άνω υπόμνημα οι εξής πληροφορίες: α) Ο υπεύθυνος επεξεργασίας είναι το ΥΜΑ που είναι και ο υπεύθυνος υλοποίησης των μέτρων καθώς και η επιμέρους ιεραρχικά εμπλεκόμενη Υπηρεσία Υποδοχής και Ταυτοποίησης (ΥΠ.Υ.Τ.) σε συνεργασία με την Γενική Διεύθυνση Πληροφορικής & Επικοινωνιών του Υπουργείου. Γίνεται ορθή επανάληψη της ΕΑΠΔ και της Πολιτικής Απορρήτου προκειμένου να γίνει εναρμονισμός στις σχετικές αναφορές στα κείμενα αυτά ως προς το σημείο αυτό. β) Η κύρια νομική βάση για την επεξεργασία του συστήματος βιντεοεπιτήρησης (και των drones) του Προγράμματος «Κένταυρος» είναι η νομική βάση του άρθρου 6 παρ. 1. στοιχ. στ΄ του ΓΚΠΔ. Συντρέχουσα νομική βάση για την επεξεργασία είναι και η νομική βάση του άρθρου 6 παρ. 1. στοιχ. ε΄. Με την ορθή επανάληψη της ΕΑΠΔ και της Πολιτικής Απορρήτου εναρμονίζεται η σχετική αναφορά ως προς την νομική βάση της επεξεργασίας. γ) Πριν από την κυβερνητική απόφαση για την ανάπτυξη του προγράμματος «Κένταυρος», το ΥΜΑ είχε προβλέψει «εναλλακτικά μέτρα ασφαλείας όπως περίφραξη του ακινήτου, εγκατάσταση τακτικών περιπολιών προσωπικού ασφαλείας, χρήση θυρωρών, παροχή καλύτερου φωτισμού, τοποθέτηση κλειδαριών ασφαλείας, παραβίαση - προσταγμένα παράθυρα και πόρτες ή εφαρμογή αντι-γκράφιτι επίστρωσης ή φύλλου σε τοίχους». Στην πράξη αποδείχθηκε ότι τα μέτρα αυτά δεν ήταν τόσο αποτελεσματικά όσο τα συστήματα βιντεοεπιτήρησης κατά των διαρρήξεων, κλοπών, εμπρησμών και βανδαλισμών, όταν σε πλήρη δυναμικότητα τα καθορισμένα στρατόπεδα προσφύγων στη Λέσβο, τη Σάμο, τη Χίο, τη Μαλακάσα κ.λπ. φιλοξενούν έως και 8000 κατοίκους το καθένα και με αυτόν τον τρόπο η αστυνόμευση ή/και η φύλαξη 8000 κατοίκων απαιτεί αρκετά μεγάλο αριθμό ανθρώπινου δυναμικού ως αστυνομικούς, φρουρούς κ.λπ. Παράνομες δραστηριότητες, όπως περιστατικά κλοπής, επίθεσης, βανδαλισμού και εμπρησμού της δημόσιας και ιδιωτικής περιουσίας καταγράφονται από την ευρεία ανάπτυξη καμερών παρακολούθησης, κάτι που σαφώς ωφελεί τη συντριπτική πλειοψηφία των δικαιούχων. Η επιτήρηση μέσω CCTV προφανώς μείωσε τα αρχικά υψηλά ποσοστά βανδαλισμών και εμπρησμών των χώρων φιλοξενίας και του εξοπλισμού στα ΚΥΤ. Από δημοσιονομική άποψη αυτές οι ζημιές ήταν ιδιαίτερα δαπανηρές σε βάρος των φορολογουμένων της ΕΕ. Λόγω της αποτελεσματικής επιτήρησης CCTV, το Υπουργείο διαπίστωσε χαμηλότερα ποσοστά βανδαλισμών και εμπρησμών εντός των ΚΥΤ. δ) Δεν υπάρχει ακόμη διαρθρωμένο αρχείο δραστηριοτήτων αναφορικά με όλες τις επεξεργασίες δεδομένων στο ΥΜΑ καθόσον δεν είχε προϋπολογιστεί κατά την ανάθεση έργου στον εξωτερικό Υπεύθυνο Προστασίας Δεδομένων. Υπάρχει πρόβλεψη να δρομολογηθεί σχετική ανάθεση έργου για την δημιουργία του αρχείου δραστηριοτήτων στο ΥΜΑ. ε) Εκ παραδρομής αναφέρθηκε ότι δεν υπάρχει σύμβαση μεταξύ ΥΜΑ και της «Εταιρείας Σημάτων». στ) Σύμφωνα με την Σύμβαση για το πρόγραμμα Κένταυρος έχει προδιαγραφεί η διασύνδεση με την Πολιτική Προστασία, ΕΚΑΒ, ΕΛ.ΑΣ., Πυροσβεστική Υπηρεσία (ΠΥ) και Λιμενικό. Δεν έχουν υπάρξει μέχρι σήμερα περιπτώσεις χορήγησης δεδομένων (που έχουν συλλεχθεί μέσω βιντεοεπιτήρησης με ΣμηΕΑ (drones)) στην ΕΛ.ΑΣ ή σε άλλη δημόσια αρχή, καθώς πτήσεις ΣμηΕΑ (drones) προβλέπονται επί της παρούσης μόνο σε περίπτωση ανάγκης και ειδικότερα όταν το σημείο στο οποίο έχει εκδηλωθεί συμβάν δεν είναι προσβάσιμο λόγω ανωτέρας βίας, όπως πυρκαγιά ή αναταραχή. Οι χειριστές των ΣμηΕΑ (drones) θα είναι υπάλληλοι της ESA Security Solutions s.a., οι οποίοι θα παρέχουν υπηρεσίες ασφαλείας στα πλαίσια της υλοποίησης συμφωνίας πλαίσιο «Παροχή υπηρεσιών Διαχείρισης Εγκαταστάσεων (Facilities Management) σε κάθε τύπου Δομών Προσωρινής Υποδοχής και Φιλοξενίας αιτούντων άσυλο προσφύγων και μεταναστών και συναφών υποδομών και εγκαταστάσεων, καθώς και κτιριακών υποδομών κάθε Υπηρεσίας αρμοδιότητας του Υπουργείου Μετανάστευσης και Ασύλου» - Τμήμα 4: Περιφέρειες «Αττικής, Στερεάς Ελλάδας». ζ) Η πρόσβαση στα δεδομένα των ωφελούμενων γίνεται μέσα από το δίκτυο της ΕΛΑΣ, POL, το οποίο είναι ένα διαβαθμισμένο φυσικά ανεξάρτητο δίκτυο, με πρόσβαση διαχείρισης μόνο από τους εξουσιοδοτημένους χρήστες της ΕΛΑΣ. Οι χρήστες του συστήματος POL (σύστημα χαρτογράφησης κυκλοφορίας αλλοδαπών) εξουσιοδοτούνται ως προς της πρόσβαση και τον χειρισμό της πληροφορίας από την Κρατική Ασφάλεια, ακολουθώντας την προβλεπόμενη διαδικασία, ενώ η πρόσβαση στα συστήματα αυτά γίνεται μέσω ειδικής κάρτας και χρήσης κωδικών πρόσβασης. Η εισερχόμενη και εξερχόμενη αλληλογραφία διακινείται μέσω του πληροφοριακού Συστήματος Ηλεκτρονικής Διαχείρισης Εγγράφων «ΙΡΙΔΑ», ένα από τα οφέλη της χρήσης του οποίου είναι η ασφαλής διακίνηση των πληροφοριών. Επιπροσθέτως, ο χαρακτηρισμός των συμβάσεων ως απορρήτων εξασφαλίζει τον ελάχιστο διαμοιρασμό της πληροφορίας σε αποκλειστικά διαβαθμισμένους ρόλους. Το σύστημα διακίνησης – διαχείρισης αλληλογραφίας ΙΡΙΔΑ εξυπηρετεί όλα τα έγγραφα του οργανισμού, και οι διαχειριστές του είναι τα εξουσιοδοτημένα στελέχη της Πολεμικής Αεροπορίας. Όλη η απόρρητη αλληλογραφία διακινείται βάσει των κλασικών διαδικασιών που προβλέπει ο ΕΚΑ. η) Ως οργανωτικό μέτρο, τυχόν αντίγραφα εικόνων από βίντεο χορηγούνται μόνο με θόλωση των υπολοίπων προσώπων, προς ελαχιστοποίηση των δεδομένων. Δεν υπάρχει όμως ακόμη η σχετική εφαρμογή καθόσον δεν είχε προϋπολογιστεί κατά την ανάθεση έργου στον εξωτερικό Υπεύθυνο Προστασίας Δεδομένων. Υπάρχει πρόβλεψη να δρομολογηθεί σχετική ανάθεση έργου για την δημιουργία σχετικής εφαρμογής. Η κειμενοκεντρική προσέγγιση στο κείμενο της ΕΑΠΔ εκτίθεται διά οριστικής και όχι εκκρεμούσας ή μέλλουσας λεκτικής διατύπωσης αυτού του στόχου που είναι να δημιουργηθεί προοδευτικά σχετικός φάκελος τεκμηρίωσης με τα κατάλληλα εργαλεία για την ελαχιστοποίηση. θ) Στην παρούσα φάση δεν μπορούν να υποβληθούν οριστικά κείμενα δεδομένου ότι το έργο βρίσκεται ακόμη σε φάση υλοποίησης και δεν έχει παραληφθεί.
Περαιτέρω, ειδικότερα, αναφορικά με το πρόγραμμα «Υπερίων», παρατέθηκαν με το ως άνω υπόμνημα, οι εξής πληροφορίες: α) Ως υποκείμενα νοούνται οι εξής: οι αιτούντες άσυλο, οι δημόσιοι υπάλληλοι της Υπηρεσίας Υποδοχής και Ταυτοποίησης και της Υπηρεσίας Ασύλου του ΥΜΑ, οι εργαζόμενοι διαφόρων ειδικοτήτων σε μη κυβερνητικές οργανώσεις (νομικοί, διερμηνείς, κοινωνικοί λειτουργοί, ψυχολόγοι, γιατροί, υγειονομικοί), τα στελέχη του Ευρωπαϊκού Γραφείου Υποστήριξης για το Άσυλο (European Asylum Support Office – EASO) και οι προσληφθέντες από τον τοπικό Ο.Τ.Α με προγράμματα κοινωφελούς εργασίας του ΟΑΕΔ. β) Δεν τηρείται άλλο αρχείο βιομετρικών δεδομένων από το ΥΜΑ, πλην αυτού που τυγχάνει επεξεργασίας μέσω του συστήματος «Υπερίων» και δεν υφίσταται επεξεργασία προσωπικών δεδομένων από τα προγράμματα Υπερίων και Κένταυρος προκειμένου να εξαχθούν δεδομένα προσωπικού χαρακτήρα ειδικών κατηγοριών (π.χ. πολιτικές πεποιθήσεις από εικόνες βίντεο που δείχνουν πρόσωπα που έχουν λάβει μέρος σε διαμαρτυρίες), και επομένως δεν εφαρμόζεται επί της αρχής το άρθρο 9 του ΓΚΠΔ. γ) Το σύστημα «Υπερίων» διαλειτουργεί με τα συστήματα της ΗΔΙΚΑ και της ΑΑΔΕ. Ο «Υπερίων» αντλεί απλά προσωπικά δεδομένα (ταυτοποιητικά στοιχεία) των αιτούντων άσυλο από το σύστημα «Χαρτογράφηση Κυκλοφορίας Αλλοδαπών» (ΧΚΑ) της ΕΛΑΣ, μέσω διαλειτουργικής κλήσης over https, μεταξύ κεντρικών εξυπηρετητών των δύο φορέων. Ωστόσο, τα στοιχεία αυτά αντλούνται από το υποσύστημα Ασύλου της ΧΚΑ, που χρησιμοποιείται αποκλειστικά από την αρμόδια για το Άσυλο Υπηρεσία του ΥΜΑ, κατά συνέπεια ο Υπερίων δεν διαλειτουργεί με συστήματα της ΕΛΑΣ, αλλά με σύστημα του ΥΜΑ που φιλοξενείται σε εγκαταστάσεις της ΕΛΑΣ. δ) Το ΥΜΑ δεν συλλέγει, δεν έχει πρόσβαση και δεν χρησιμοποιεί βιομετρικά δεδομένα που συλλέγονται από άλλες ανθρωπιστικές οργανώσεις (Μ.Κ.Ο., κ.λπ.) για την εξακρίβωση ή την επαλήθευση της ταυτότητας των αποδεκτών των ανθρωπιστικών υπηρεσιών τους. Τυχόν συλλογή βιομετρικών δεδομένων των διαμενόντων απευθείας από ΜΚΟ γίνεται με μόνη την συγκατάθεση των ωφελουμένων, χωρίς εμπλοκή του ΥΜΑ. ε) Οι νομιμοποιητικές βάσεις για την επεξεργασία βιομετρικών δεδομένων στα πλαίσια του προγράμματος «Υπερίων» είναι η νομική βάση του άρθρου 6 παρ. 1. στοιχ. στ΄ του ΓΚΠΔ και η εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον κατά την άσκηση δημόσιας εξουσίας κατά το άρθρο 6 παρ. 1. στοιχ. ε΄ που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Περαιτέρω, η επεξεργασία βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου είναι επιτρεπτή στις περιπτώσεις του άρθρου 9 § 2 στοιχ. β’, γ’, ζ’, και ι’ του ΓΚΠΔ. Ως προς την συγκατάθεση, οι διαμένοντες κατά την είσοδό τους στην δομή διαμονής τους συμπληρώνουν έντυπη φόρμα Καταγραφής Προσωπικών Στοιχείων της ΥΠΥΤ όπου παρέχουν συναίνεση για την γενόμενη επεξεργασία. Αυτή η συγκατάθεση ζητείται συμπληρωματικά με την νομική βάση του άρθρου 6 παρ. 1. στοιχ. στ΄ και την νομική βάση της εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον κατά την άσκηση δημόσιας εξουσίας του άρθρου 6 παρ. 1. στοιχ. ε΄. Η συγκατάθεση σε επεξεργασία βιομετρικών δεδομένων μέσω συστήματος ελέγχου πρόσβασης δύναται να θεωρείται ελεύθερη, μόνο εφόσον παρέχονται εναλλακτικοί τρόποι για τον έλεγχο πρόσβασης στις ελεγχόμενες εγκαταστάσεις. Εναλλακτικοί τρόποι για την ελεγχόμενη πρόσβαση έδειξαν ότι μπορούν εύκολα να παρακαμφθούν από επιτήδειους (π.χ. απορριφθέντες αιτήσεως ασύλου ή παραβάτες εγκλημάτων, οι οποίοι κρύβονταν σε άλλες δομές εισχωρήσαντες σε αυτές με πλαστογραφημένες / παραποιημένες άδειες εισόδου προκειμένου να μην τους επιδοθεί η απόφαση απόρριψης ασύλου ή για να μην ανακριθούν). ζ) Η αναφορά σε «παλαιού τύπου συστήματα που περιλαμβάνουν την επεξεργασία βιομετρικών δεδομένων» ήταν εσφαλμένη και αφορά σε προηγούμενες διαδικασίες εξουσιοδοτημένης πρόσβασης και ελεγχόμενης εισόδου – εξόδου στις δομές φιλοξενίας, στις οποίες δεν ελάμβανε χώρα καμίας μορφή επεξεργασία βιομετρικών δεδομένων.
Κατόπιν της εξέτασης των ως άνω υπομνημάτων του ΥΜΑ και όλων των στοιχείων του φακέλου, η Αρχή απέστειλε την υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/431/20-02-2023 κλήση προς το Υπουργείο Μετανάστευσης και Ασύλου, προκειμένου να συζητηθούν ενώπιον της Ολομέλειας της Αρχής την Τρίτη 7 Μαρτίου 2023, τα ως άνω ζητήματα αναφορικά με τη λειτουργία των συστημάτων «Κένταυρος» και «Υπερίων» του ΥΜΑ. Στην εν λόγω συνεδρίαση, η οποία πραγματοποιήθηκε μέσω τηλεδιάσκεψης, ήταν παρών εκ μέρους του ΥΜΑ ο Β, Γενικός Διευθυντής Γενικής Διεύθυνσης Πληροφορικής και Επικοινωνιών, καθώς και εκ μέρους Αναδόχου εταιρίας η Γ. Παρόντες ήταν και οι Ιωάννης Γιαννακάκης, δικηγόρος με ΑΜ ΔΣ … και Δημήτριος Καμπούρμαλης, δικηγόρος με ΑΜ ΔΣ … υπεύθυνοι προστασίας δεδομένων του ΥΜΑ, προκειμένου να παράσχουν διευκρινίσεις σε θέματα που τέθηκαν από τον Πρόεδρο και τα Μέλη της Αρχής.
Οι ως άνω, αφού ανέπτυξαν προφορικά τις απόψεις τους, έλαβαν κατά τη συνεδρίαση αυτή προθεσμία προσκομίσεως έγγραφων υπομνημάτων προς περαιτέρω υποστήριξη των ισχυρισμών τους έως την 31-03-2023. Κατόπιν αυτών, το ΥΜΑ υπέβαλε εμπροθέσμως την 31-03-2023 το υπ’ αριθμ. πρωτ. Αρχής Γ/ΕΙΣ/2625/07-04-2023 υπόμνημα του ΥΠΔ, μετά των συνημμένων σε αυτό υποστηρικτικών εγγράφων, με το οποίο, αφού επανέλαβε τους ισχυρισμούς που έθεσε και ενώπιον της Αρχής κατά τη συνεδρίαση, επεσήμανε κατ’ αρχήν ότι οι ενέργειες συμμόρφωσης του ΥΜΑ με τον ΓΚΠΔ και τον Ν. 4624/2019 έχουν ενταθεί και είναι συνεχείς παρά το γεγονός ότι τα συγκεκριμένα προγράμματα δεν έχουν αναπτυχθεί στο σύνολο των δομών, βρίσκονται ακόμη σε φάση υλοποίησης και επιχειρησιακών δοκιμών και εκκρεμεί ο έλεγχος τελικής παραλαβής των έργων από το ΥΜΑ. Περαιτέρω παρείχε διευκρινίσεις, μεταξύ άλλων, αναφορικά με τα κάτωθι θέματα:
α) Η κύρια ή γενική νομική βάση της επεξεργασίας που πραγματοποιείται από το σύστημα Κένταυρος είναι η εκτέλεση καθήκοντος προς το δημόσιο συμφέρον κατά την άσκηση δημόσιας εξουσίας [άρθρο 6 παρ. 1 στοιχ. ε΄ Γ.Κ.Π.Δ.], με έρεισμα στην εθνική νομοθεσία την κείμενη νομοθεσία για την μεταναστευτική πολιτική, ενώ επισημαίνεται ότι το ΥΜΑ έχει αιτιολογήσει με προηγούμενο υπόμνημα την αναγκαιότητα εφαρμογής του μέτρου της εγκατάστασης και λειτουργίας συστημάτων βιντεοεπιτήρησης στις Δομές Φιλοξενίας επικαλούμενο τις βλάβες που υφίστανται συνεχώς οι Δομές εξαιτίας βανδαλισμών με αποτέλεσμα να υπόκεινται σε ουσιώδεις φθορές περιουσιακά στοιχεία του Δημοσίου, να ζημιώνεται οικονομικά το τελευταίο για την αποκατάσταση τους και να διακινδυνεύεται η υγεία ευάλωτων ομάδων, όπως τα παιδιά και οι συνοδοί τους. Η κύρια ή γενική νομική βάση επεξεργασίας που πραγματοποιείται από το σύστημα Υπερίων για την εξουσιοδοτημένη πρόσβαση στα ΚΥΤ και στα ΚΕΔ, είναι η εκτέλεση καθήκοντος προς το δημόσιο συμφέρον κατά την άσκηση δημόσιας εξουσίας [άρθρο 6 παρ. 1 στοιχ. ε΄ Γ.Κ.Π.Δ.], ενώ η επεξεργασία ειδικών κατηγοριών (βιομετρικών) δεδομένων (δακτυλικό αποτύπωμα), λαμβάνει χώρα για λόγους ουσιαστικού δημόσιου συμφέροντος (άρθρο 9 παρ. 2 στοιχ. ζ΄ του Γ.Κ.Π.Δ), βάσει του Κανονισμού Δουβλίνο ΙΙΙ ή του Μεταναστευτικού Κώδικα, ενώ τα ΚΕΔ συνιστούν «κρίσιμες υποδομές του Κράτους (Απόφ. ΑΠΔΠΧ 31/2010)». Για τη στάθμιση των συμφερόντων λαμβάνεται υπόψη το μέγεθος της περιοχής που παρακολουθείται και ο αριθμός των υποκειμένων των δεδομένων που επιτηρούνται καθώς και η προστασία κρίσιμων υποδομών όπως οι προσφυγικοί καταυλισμοί. Επιπλέον, επισημαίνεται ότι «η αναφορά σε περισσότερες της μίας νόμιμων βάσεων επεξεργασίας, δεν έχει την έννοια ότι το ΥΜΑ προβαίνει σε αλλαγή αυτών (lawful basis swapping) υποσκάπτοντας τα δικαιώματα των υποκειμένων των δεδομένων, αλλά ότι υφίστανται περιπτώσεις που είναι εφαρμοστέες περισσότερες από μία νόμιμες βάσεις επεξεργασίας.»
β) Ο χρόνος τήρησης των δεδομένων του συστήματος «Κένταυρος» είναι δεκαπέντε (15) ημέρες, μετά την πάροδο των οποίων διαγράφονται αυτόματα. Σε περίπτωση που στο διάστημα αυτό διαπιστωθεί κάποιο περιστατικό, απομονώνεται τμήμα του βίντεο και τηρείται έως και έναν (1) μήνα ακόμα, με σκοπό τη διερεύνηση του περιστατικού και την έναρξη νομικών διαδικασιών για την υπεράσπιση των εννόμων συμφερόντων μας, ενώ αν το περιστατικό αφορά τρίτον το βίντεο τηρείται έως και τρεις (3) μήνες ακόμα. Ο χρόνος τήρησης των δεδομένων του συστήματος «Υπερίων» που αφορούν τους ωφελούμενους (υποκείμενα των δεδομένων) άρχεται από την υποβολή της αρχικής αίτησής τους στα ΚΕΔ και τελεί σε συνάρτηση με την διάρκεια παραμονής τους, τις διαδικασίες φιλοξενίας και χορήγησης ασύλου σύμφωνα με την κείμενη νομοθεσία για την μετανάστευση και την εφαρμογή του Κανονισμού Δουβλίνο ΙΙΙ. Κατά την αποχώρηση του υποκειμένου από τη δομή φιλοξενίας, τα δεδομένα του διαγράφονται.
γ) Ενημέρωση προς τα υποκείμενα των δεδομένων παρέχεται μέσω του ειδικού εντύπου της ΥΠΥΤ όπου υπάρχει ρητή και ειδική ενημέρωση προ πάσης επεξεργασίας των προσωπικών δεδομένων των υποκειμένων αναφορικά με την επικείμενη επεξεργασία των δεδομένων τους από τα συστήματα «Κένταυρος» και «Υπερίων», με το εξής λεκτικό «έλαβα γνώση ότι εισέρχομαι σε χώρο ελεγχόμενης πρόσβασης και επιτηρούμενο από σύστημα βιντεοεπιτήρησης και συναινώ στην συλλογή της εικόνας προσώπου μου ή και των δακτυλοσκοπικών δεδομένων μου για την προστασία μου από κακόβουλες ενέργειες σε βάρος μου, και ιδίως για την διαχείριση της εισόδου, εξόδου μου και της επιβεβαίωσης της παρουσίας μου στο Κέντρο καθώς και για λόγους ασφαλείας του προσωπικού και των διαμενόντων του Κέντρου.» Αναφορικά με το σύστημα «Κένταυρος», παρέχεται Α΄ επιπέδου ενημέρωση μέσω ευδιάκριτων προειδοποιητικών πινακίδων/σημάνσεων (συνημμένο υπόδειγμα σε προηγούμενο υπόμνημα) για τη λειτουργία συστημάτων βιντεοεπιτήρησης, οι οποίες έχουν τοποθετηθεί σε όλα τα σημεία εντός ΚΕΔ, αλλά και περιμετρικά όπου υπάρχουν και λειτουργούν οι κάμερες του συστήματος «Κένταυρος». Εκτός των επί τόπου ειδοποιήσεων, έχει υπάρξει δημοσίευση πολιτικής παρακολούθησης σε ηλεκτρονικά μέσα, ενημερωτικά φυλλάδια, παροχή αριθμού τηλεφώνου & διεύθυνσης ηλεκτρονικού ταχυδρομείου για περαιτέρω ερωτήσεις. Επιπλέον, παρέχεται Β΄ επιπέδου ενημέρωση, καθώς έχει εκπονηθεί ειδικότερη Πολιτική Απορρήτου για την βιντεοεπιτήρηση (συνημμένο με προηγούμενο υπόμνημα) καθώς και επιτόπια Ειδοποίηση Ιδιωτικότητας (συνημμένο με προηγούμενο υπόμνημα) στις Πύλες εισόδου στα ΚΕΔ. Αναφορικά με το σύστημα «Υπερίων», παρέχεται Β΄ επιπέδου ενημέρωση, καθώς έχει εκπονηθεί ειδικότερη Πολιτική Απορρήτου για τα βιομετρικά δεδομένα (συνημμένο με προηγούμενο υπόμνημα).
δ) Το ΥΜΑ, στο πλαίσιο των δραστηριοτήτων του και της συνήθους λειτουργίας του επιτελεί ρόλο Υπευθύνου Επεξεργασίας, συλλέγοντας δεδομένα προσωπικού́ χαρακτήρα φυσικών προσώπων με τα οποία συναλλάσσεται στο πλαίσιο των αρμοδιοτήτων του, ενώ, επιπρόσθετα, λειτουργεί ως φορέας υλοποίησης δράσεων, μεταξύ των οποίων είναι και η δράση «Ανασχεδιασμός του πλαισίου λειτουργίας των δομών φιλοξενίας αιτούντων άσυλο με έμφαση στην ασφάλεια» με έτος έναρξης το 2021, τμήμα της οποίας είναι η υλοποίηση των έργων «Κένταυρος» και «Υπερίων», για τα οποία έχουν προχωρήσει στη σύναψη συμβάσεων ως εξής: Ο «Κένταυρος Α» συνιστά Απόρρητη Σύμβαση με αριθμό … και αρ. πρωτ. Απορ. … με ανάδοχο εταιρεία την «... Α.Ε.». Η σύμβαση βρίσκεται στο στάδιο εκτέλεσής της και έχει παραδοθεί στο Κέντρο Διαχείρισης Συμβάντων σε χώρο του YMA, η βασική Κεντρική υποδομή στο χώρο του Data Center του ΥΜΑ, με την προμήθεια, εγκατάσταση και παραμετροποίηση του εξοπλισμού και λογισμικού κεντρικών υποδομών. Ο «Κένταυρος Β» έχει επιμεριστεί σε 3 επιμέρους συμβάσεις και βρίσκεται στη ΦΑΣΗ 1, με την ολοκλήρωση της οποίας θα αρχίσει η υλοποίηση του έργου (εγκατάσταση/παραμετροποίηση) στις Δομές. Οι πρώτες Δομές (Σάμος, Κως, Λέρος, Φυλάκιο Ορεστιάδα) έχουν υλοποιηθεί και ήδη λειτουργούν πιλοτικά. Περαιτέρω παρατίθεται κατάλογος εκτελούντων αναφορικά με τα συστήματα «Κένταυρος» και «Υπερίων».
ε) Η διενέργεια ΕΑΠΔ για τα συστήματα «Υπερίων» και «Κένταυρος» έλαβε χώρα χωρίς να είναι «συγγνωστή» (γνωστή κατ’ ορθή εκτίμηση της Αρχής) η ολότητα της λειτουργικότητάς τους και το εύρος των παραμετροποιημένων λειτουργιών τους, λόγω απορρήτου περιεχομένου των συμβάσεων και λόγω της εξελισσόμενης υλοποίησης τους ως εξής: 1) ΕΑΠΔ για το σύστημα βιντεοεπιτήρησης CCTV του Προγράμματος «Κένταυρος» την 11-01-2022 (μερική επικαιροποίηση 29-9-2022). Θα επικαιροποιηθεί εκ νέου με την ολοκλήρωση και του «Κένταυρος Β». 2) ΕΑΠΔ για το σύστημα βιντεοεπιτήρησης με DRONE του Προγράμματος «Κένταυρος» την 20-01- 2022 (μερική επικαιροποίηση 6-10-2022). Θα επικαιροποιηθεί εκ νέου με την ολοκλήρωση και του «Κένταυρος Β». 3) ΕΑΠΔ για τα βιομετρικά δεδομένα (fingerprints) του Προγράμματος «Υπερίων» την 30-01-2022 (μερική επικαιροποίηση 10-10-2022). 4) ΕΑΠΔ για την κάρτα RFID του Προγράμματος «Υπερίων» την 10-10-2022. Περαιτέρω, επισημαίνεται ότι τα πρώτα συμπεράσματα που έχουν εξαχθεί αναφορικά με τις επιπτώσεις στα υποκείμενα των δεδομένων δεν είναι ακόμη ασφαλή.
στ) Σύμφωνα με την Σύμβαση του «Κενταύρου Α», έχει προδιαγραφεί η διασύνδεση του συστήματος «Κένταυρος» με την Πολιτική Προστασία, το ΕΚΑΒ, την Αστυνομία, την Πυροσβεστική Υπηρεσία και το Λιμενικό. Η διαβίβαση δεδομένων από το σύστημα βιντεοεπιτήρησης μπορεί να γίνεται και προς τις αρχές επιβολής του νόμου, επομένως ο νόμιμος λόγος επεξεργασίας είναι η έννομη υποχρέωση του Υπουργείου. Η πράξη διαβίβασης προς τις αρχές επιβολής του νόμου διέπεται από το καθεστώς του ΓΚΠΔ, ενώ η επεξεργασία στις οποίες προβαίνουν οι ίδιες οι αρχές διέπεται από το καθεστώς της Οδηγίας 2016/680. Γενική διάταξη για τη διαβίβαση δεδομένων από δημόσιους φορείς περιέχει το άρθρο 26 του ν.4624/2019 το οποίο, στην περίπτωση επεξεργασίας δεδομένων μέσω επιτήρησης δημόσιων χώρων, εφαρμόζεται συμπληρωματικά και επικουρικά με το άρθρο 9 του ΠΔ 75/2020 και στο μέτρο που αυτό δεν μπορεί να εφαρμοστεί. Προβλέπεται η χορήγηση ενός αποπλέκτη εικόνας (Video Decoder) σε ΕΛ.ΑΣ, Πολιτική Προστασία, Πυροσβεστική Υπηρεσία σε σημεία που θα υποδειχθούν/συμφωνηθούν ούτως ώστε σε περίπτωση κρίσης να μεταφερθεί εικόνα από το Κέντρο Διαχείρισης Συμβάντων (ΚΔΣ) του ΥΜΑ προς τα επιχειρησιακά κέντρα των εν λόγω φορέων. Η πρόσβαση στα δεδομένα των ωφελούμενων, γίνεται μέσα από το δίκτυο της ΕΛΑΣ «POL», το οποίο είναι ένα διαβαθμισμένο φυσικά ανεξάρτητο δίκτυο, με πρόσβαση διαχείρισης μόνο από τους εξουσιοδοτημένους χρήστες της ΕΛΑΣ. Οι χρήστες του συστήματος POL (σύστημα χαρτογράφησης κυκλοφορίας αλλοδαπών) εξουσιοδοτούνται ως προς την πρόσβαση και τον χειρισμό της πληροφορίας από την Κρατική Ασφάλεια, ακολουθώντας την προβλεπόμενη διαδικασία, ενώ η πρόσβαση στα συστήματα αυτά γίνεται μέσω ειδικής κάρτας και χρήσης κωδικών πρόσβασης. Η εισερχόμενη και εξερχόμενη αλληλογραφία διακινείται μέσω του πληροφοριακού Συστήματος Ηλεκτρονικής Διαχείρισης Εγγράφων «ΙΡΙΔΑ» - ένα από τα οφέλη της χρήσης του οποίου είναι η ασφαλής διακίνηση των πληροφοριών. Επιπροσθέτως, ο χαρακτηρισμός των συμβάσεων ως απόρρητος εξασφαλίζει τον ελάχιστο διαμοιρασμό της πληροφορίας σε αποκλειστικά διαβαθμισμένους ρόλους. Το σύστημα διακίνησης – διαχείρισης αλληλογραφίας ΙΡΙΔΑ, εξυπηρετεί όλα τα έγγραφα του οργανισμού, και οι διαχειριστές του είναι τα εξουσιοδοτημένα στελέχη της Πολεμικής Αεροπορίας. Όλη η απόρρητη αλληλογραφία διακινείται μέσα από τις κλασικές διαδικασίες που προβλέπει ο ΕΚΑ.
Το σύστημα «Υπερίων» κατά την ολοκλήρωσή του θα διαλειτουργεί με την Εφαρμογή Ασύλου ΑΛΚΥΟΝΗ ΙΙ, θα έχει την ευθύνη του ελέγχου πρόσβασης (είσοδος – έξοδος μέσω τουρνικέ ασφαλείας, με επίδειξη ατομικής κάρτας μετανάστη, μέλους ΜΚΟ, εργαζόμενου και ταυτόχρονη χρήση αποτυπώματος), της παρακολούθησης παροχών ανά μετανάστη με χρήση ατομικής κάρτας (φαγητό, προμήθειες ρουχισμού κ.λπ.) και των μετακινήσεων μεταξύ των ΚΥΤ, των ΚΕΔΝ και των Δομών Φιλοξενίας. Παράλληλα, το έργο περιλαμβάνει τη δημιουργία Mobile Application που θα παρέχει προσωποποιημένες πληροφορίες στον χρήστη, θα αποτελεί την ηλεκτρονική θυρίδα του αναφορικά με τη διαδικασία αίτησης ασύλου του και θα δίνει τη δυνατότητα στην Υπηρεσία για προσωποποιημένη ενημέρωση. Το σύστημα αντλεί τα ταυτοποιητικά στοιχεία των αιτούντων άσυλο από το σύστημα Χαρτογράφηση Κυκλοφορίας Αλλοδαπών (ΧΚΑ) της Ελληνικής Αστυνομίας (ΕΛΑΣ), μέσω διαλειτουργικής κλήσης over https, μεταξύ κεντρικών εξυπηρετητών των δύο φορέων το οποίο χρησιμοποιείται αποκλειστικά από την αρμόδια για το Άσυλο Υπηρεσία του ΥΜΑ, κατά συνέπεια ο «Υπερίων» δεν διαλειτουργεί με συστήματα της ΕΛΑΣ, αλλά με σύστημα του ΥΜΑ που φιλοξενείται σε εγκαταστάσεις της ΕΛΑΣ. Σύμφωνα με τον Εθνικό Κανονισμό Ασφαλείας και το Π.Δ. 106/23-12-2020, αρμόδιο διοικητικό όργανο για το Υπουργείο Μετανάστευσης και Ασύλου είναι το Αυτοτελές Τμήμα Πολιτικού Σχεδιασμού έκτακτης Ανάγκης. Επιπλέον, μέσω του «Υπερίων» αποδίδεται ΑΦΜ σε αιτούντες άσυλο και δικαιούχους προσωρινής προστασίας μέσω διαλειτουργικής κλήσης που υλοποιείται μεταξύ κεντρικού εξυπηρετητή του ΥΜΑ και του ΚΕΔ καθώς και Προσωρινός Αριθμός Ασφάλισης και Υγειονομικής Περίθαλψης Αλλοδαπού (Π.Α.Α.Υ.Π.Α.) μέσω διαλειτουργικής κλήσης που υλοποιείται μεταξύ κεντρικών εξυπηρετητών του ΥΜΑ και της ΗΔΙΚΑ.
ζ) Η κατάρτιση αρχείου δραστηριοτήτων αποτελεί ειδικό παραδοτέο της νέας σύμβασης με … με την ανάδοχο εταιρεία «... ΚΑΙΝΟΤΟΜΕΣ ΤΕΧΝΟΛΟΓΙΚΕΣ & ΣΥΜΒΟΥΛΕΥΤΙΚΕΣ ΥΠΗΡΕΣΙΕΣ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ» για την παροχή υπηρεσιών εξωτερικού ΥΠΔ και αναμένεται να έχει ολοκληρωθεί εντός του 1ου εξαμήνου του τρέχοντος έτους.
η) Αναφορικά με τις συμβάσεις του ΥΜΑ με τους εκτελούντες, επισημαίνεται ότι αυτές έχουν αποσταλεί ως συνημμένα με προηγούμενο υπόμνημα καθώς και ότι επί του περιεχομένου των συμβάσεων αυτών έχει τεθεί υπό την μορφή παραρτήματος «Ενημέρωση για την Επεξεργασία των Προσωπικών Δεδομένων».
Περαιτέρω, έχει συνταχθεί πρότυπο ΕΑΠΔ το οποίο έχει ήδη αποσταλεί στους εκτελούντες την επεξεργασία προς έλεγχο και υπογραφή.
θ) Αναφορικά με την τήρηση της αρχής της αναλογικότητας για την αυτοματοποιημένη επεξεργασία που πραγματοποιείται, ιδίως μέσω του συστήματος βιντεοεπιτήρησης επισημαίνεται ότι η επεξεργασία μέσω του συστήματος βιντεοεπιτήρησης «Κένταυρος» είναι εξ ορισμού αυτοματοποιημένη επεξεργασία στην οποία εφαρμόζεται ο ΓΚΠΔ. Η λήψη άλλων μέτρων πρόληψης και προστασίας που δεν περιλαμβάνουν βιντεοεπιτήρηση (π.χ. στατική φύλαξη, χρήση θυρών ασφαλείας, συστήματα συναγερμού, ισχυρότερος φωτισμός) δεν αρκούν για την επίτευξη του σκοπού καθώς αυτά εφαρμόστηκαν κατά το προηγούμενο χρονικό διάστημα και ήταν αναποτελεσματικά. Για την επιτήρηση των εγκαταστάσεων, έχουν εγκατασταθεί και χρησιμοποιούνται ψηφιακές (IP) σταθερές κάμερες τύπου bullet, καθώς και στρεφόμενες κάμερες (PTZ), οι οποίες υποστηρίζουν λογισμικό ενσωμάτωσης αλγόριθμων ανάλυσης της εικόνας (Video Content Analytics) και οι οποίες αποτελούν το σύστημα βιντεοεπιτήρησης «Κένταυρος». Οι IP κάμερες διαθέτουν αισθητήρα που μπορεί να καταγράψει εικόνα σε κανονική ανάλυση, αλλά και σε υψηλή ανάλυση (HD) ενώ υποστηρίζουν λειτουργίες όπως η ανίχνευση κίνησης, η σύνδεση με συναγερμό και η λειτουργία περιπολίας. Η ανίχνευση κίνησης (motion detection) ενεργοποιεί την καταγραφή. Οι κάμερες τύπου PTZ έχουν την δυνατότητα περιστροφής αλλά και μεγέθυνσης του σημείου ενδιαφέροντος (zoom) με τηλεχειρισμό. Είναι αδιάφορο για την εφαρμογή των διατάξεων του άρθρου 2 ΠΔ 75/2020 εάν τα συστήματα επιτήρησης κάνουν χρήση αναλογικής ή ψηφιακής τεχνολογίας, εάν διαθέτουν κάμερες σταθερές, περιστρεφόμενες ή κινητές, προσαρμοσμένες σε σταθερές βάσεις ή φορητές μεταφερόμενες από οχήματα κάθε είδους (εδάφους, θαλάσσης ή αέρος, επανδρωμένα ή μη) ή από φυσικά πρόσωπα. Οι κάμερες λαμβάνουν εικόνα από απροσδιόριστο και τεράστιο αριθμό ατόμων. Ο αριθμός των ατόμων που εμπίπτουν στην εμβέλεια των καμερών παραμένει αόριστος. Πρόκειται για κρίσιμες εγκαταστάσεις όπου οι διαμένοντες δεν μένουν ποτέ μόνοι τους, αλλά συνυπάρχουν με δημόσιους υπαλλήλους της Υπηρεσίας Υποδοχής και Ταυτοποίησης και της Υπηρεσίας Ασύλου του ΥΜΑ, εργαζόμενους διαφόρων ειδικοτήτων σε Μη Κυβερνητικές Οργανώσεις (νομικοί, διερμηνείς, κοινωνικοί λειτουργοί, ψυχολόγοι, γιατροί, υγειονομικοί), στελέχη του Ευρωπαϊκού Γραφείου Υποστήριξης για το Άσυλο (European Asylum Support Office – EASO) και προσληφθέντες από τον τοπικό Ο.Τ.Α με προγράμματα κοινωφελούς εργασίας του ΟΑΕΔ και ως εκ τούτου δεν μπορούν να επικαλεστούν παραβίαση της ιδιωτικότητάς τους. Οι ως άνω κάμερες δεν καταγράφουν ήχο ενώ, κατά κύριο λόγο, επιτηρούν τους κοινόχρηστους χώρους και τον περιβάλλοντα χώρο στα ΚΕΔ και την περίμετρο αυτών. Τα δεδομένα καταγραφής συνίστανται σε οπτικά δεδομένα. Τα δεδομένα και ο έλεγχος του συστήματος καταλήγουν σε κατάλληλα διαμορφωμένο χώρο στο Κέντρο Λήψης Σήματος, όπου βρίσκεται ο Χώρος Ελέγχου της εγκατάστασης (Control Room), εντός του οποίου έχει εγκατασταθεί ο αντίστοιχος εξοπλισμός συλλογής-καταγραφής των δεδομένων, παρακολούθησης των καμερών και η θέση εργασίας του χειριστήφύλακα. Το δίκτυο επιτρέπει τη μεταφορά εικόνας, που λαμβάνεται από την κάθε κάμερα, σε πραγματικό χρόνο στον εξοπλισμό του κέντρου ελέγχου. Τα δεδομένα video – εικόνας, κωδικοποιούνται με αλγόριθμο συμπίεσης και αποθηκεύονται στα μέσα αποθήκευσης. «Υπάρχουν κάμερες με δυνατότητα στρέψης και εστίασης οι οποίες γενικώς επιτρέπονται, η δε κίνησή τους περιορίζεται στο μέγιστο δυνατό βαθμό ή όταν αυτό δεν είναι φυσικά δυνατό οι χειριστές της κάμερας είναι κατάλληλα εκπαιδευμένοι και καταρτισμένοι. Η δυνατότητα μεγέθυνσης/εστίασης (zooming) επιτρέπεται εξαιρετικώς, όταν συντρέχει επιτακτική προς τούτο ανάγκη, όπως επεισόδια και συμπλοκές.»
Στο πλαίσιο της συγκεκριμένης επεξεργασίας προσωπικών δεδομένων, έχουν ληφθεί τα κάτωθι εφαρμοζόμενα μέτρα Ασφάλειας Πληροφοριών: i) Οι υπολογιστές των χρηστών διαθέτουν λογισμικό προστασίας από κακόβουλο λογισμικό (antivirus). ii) Εφαρμόζονται μηχανισμοί ελέγχου φυσικών προσβάσεων στις εγκαταστάσεις. iii) Εφαρμόζονται μέτρα φυσικής προστασίας του κρίσιμου εξοπλισμού που χρησιμοποιείται για την επεξεργασία (π.χ. δομημένη καλωδίωση, κ.λπ.). iv) Εφαρμόζονται μέτρα προστασίας από φυσικές καταστροφές (π.χ. σύστημα πυρασφάλειας, κ.λπ.). v) Απαιτούνται κωδικοί πρόσβασης των χρηστών στο λογισμικό που υποστηρίζει το σύστημα επιτήρησης. vi) Εφαρμόζονται πολιτικές ασφάλειας σε επίπεδο λογισμικού για την αποτροπή μη εξουσιοδοτημένων προσβάσεων. vii) Γίνεται συντήρηση των πληροφοριακών συστημάτων που χρησιμοποιούνται στο πλαίσιο της επεξεργασίας.
ι) Αναφορικά με το ρόλο του/των υπευθύνου/ων προστασίας προσωπικών δεδομένων παρατίθεται κατάλογος καθηκόντων ως εξής: θα ενημερώνει και θα συμβουλεύει το Υπουργείο και τους εργαζομένους που εκτελούν την επεξεργασία σχετικά με τις υποχρεώσεις τους σύμφωνα με τον ΓΚΠΔ και την εθνική νομοθεσία περί προστασίας δεδομένων, θα παρακολουθεί τη συμμόρφωση με τις διατάξεις του ΓΚΠΔ και των εθνικών νομοθετημάτων περί προστασίας δεδομένων και με τις πολιτικές του οργανισμού σε σχέση με την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένης της ανάθεσης ευθυνών, της ευαισθητοποίησης και της κατάρτισης του προσωπικού που ασχολείται με τις διαδικασίες επεξεργασίας και τους σχετικούς ελέγχους, θα παρέχει συμβουλές, όταν ζητηθεί, όσον αφορά την εκτίμηση των επιπτώσεων στην προστασία δεδομένων και θα παρακολουθεί την απόδοσή της σύμφωνα με τον ΓΚΠΔ, θα συνεργάζεται με την Ευρωπαϊκή και την Εθνική Αρχή Προστασίας Δεδομένων και θα εκπροσωπεί το Υπουργείο ενώπιον αρμοδίων αρχών ως Υπεύθυνος Προστασίας Δεδομένων, θα ενεργεί ως σημείο επαφής της εποπτικής αρχής για ζητήματα που αφορούν την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36 του Κανονισμού για την Προστασία Προσωπικών Δεδομένων και θα διαβουλεύεται σχετικά με οποιοδήποτε άλλο θέμα, όπου είναι απαραίτητο, θα συντάσσει, θα υποβάλει για έγκριση και θα κυκλοφορεί Πολιτικές Προστασίας Δεδομένων, θα παρέχει εξατομικευμένα, ανά Δ/νση, Τμήμα και Λειτουργία, Εκπαίδευση σχετικά με το πλαίσιο του ΓΚΠΔ, θα συμβουλεύει για την ανάγκη διεξαγωγής αξιολόγησης αντικτύπου δεδομένων προσωπικού χαρακτήρα (ΕΑΠΔ) με τη χρήση προκαθορισμένων προτύπων και θα εξασφαλίζει την υποβολή τους στην Αρχή, ανάλογα με την περίπτωση.
ια) Σχετικά με την αναφορά στα προηγούμενα υπομνήματα στη δυνατότητα ικανοποίησης του δικαιώματος στη φορητότητα, επισημαίνεται ότι είναι εσφαλμένη και έλαβε χώρα εκ παραδρομής καθώς το δικαίωμα φορητότητας αποτελεί προέκταση του δικαιώματος πρόσβασης ή κατ’ άλλη άποψη συμπλήρωμά του.
ιβ) Αναφορικά με τα άλλα είδη καρτών για την είσοδο στις δομές Φιλοξενίας (εκτός του Δελτίου Αιτούντος Διεθνή Προστασία), επισημαίνεται ότι σύμφωνα με τα οριζόμενα στην ισχύουσα νομοθεσία στην Ελλάδα, προβλέπεται η καταγραφή όλων των ατόμων που εισέρχονται σε αυτές, καθώς επίσης η έκδοση και χορήγηση σε αυτούς καρτών εισόδου, ετήσιας διάρκειας και, επομένως, στις δομές φιλοξενίας γίνεται καταγραφή μελών/συνεργατών/εθελοντών Διεθνών Οργανισμών και υπηρεσιών, ενώ για την έκδοση κάρτας εισόδου σε δημοσιογράφους απαιτείται να δηλώσουν ονοματεπώνυμο και ταυτοποιητικό έγγραφο (ΑΔΤ ή διαβατήριο). Τέλος, για την είσοδο προμηθευτών ή/και προσωπικού (π.χ. catering) δεν εκδίδεται κάρτα αλλά η είσοδος για την παραλαβή προμηθειών κ.λπ. διεξάγεται από διαφορετική είσοδο.
Η Αρχή, έπειτα από εξέταση των στοιχείων του φακέλου και όσων προέκυψαν από την ενώπιόν της ακροαματική διαδικασία και τα υπομνήματα του ΥΜΑ, αφού άκουσε τους εισηγητές και τις διευκρινίσεις από τους βοηθούς εισηγητών, οι οποίοι παρέστησαν χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,
ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ
1) Επειδή από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ) και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου 4624/2019 και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2) Επειδή, σύμφωνα με το άρθρο 4 στοιχ. 1 ΓΚΠΔ, ως «δεδομένα προσωπικού χαρακτήρα» νοούνται «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου», ενώ ως «βιομετρικά δεδομένα», ορίζονται από το άρθρο 4 στοιχ. 14 ΓΚΠΔ, τα «δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα». Ως βιομετρικές μέθοδοι νοούνται οι τεχνικές πιστοποίησης της ταυτότητας των φυσικών προσώπων μέσω ανάλυσης σταθερών χαρακτηριστικών τους. Οι βιομετρικές μέθοδοι μπορούν να ταξινομηθούν σε δύο κατηγορίες: i. στις τεχνικές που στηρίζονται στην ανάλυση φυσικών ή γενετικών χαρακτηριστικών (όπως δακτυλικών αποτυπωμάτων, γεωμετρίας της παλάμης, ανάλυσης της κόρης του ματιού, των χαρακτηριστικών του προσώπου, του DNA) και ii. στις τεχνικές που στηρίζονται στην ανάλυση συμπεριφοράς (όπως υπογραφής, φωνής, τρόπου πληκτρολόγησης).
3) Επειδή σύμφωνα με το άρθρο 5 παρ. 1 α΄ ΓΚΠΔ «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»). Επιπλέον, σύμφωνα με τη θεμελιώδη αρχή της λογοδοσίας κατ’ άρθρο 5 παρ. 2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 του ίδιου άρθρου.
4) Επειδή, η νομιμότητα της επεξεργασίας εξασφαλίζεται με την επίκληση και στοιχειοθέτηση της κατάλληλης εκ των περιπτώσεων του άρθρου 6 ΓΚΠΔ και για τις ειδικές κατηγορίες δεδομένων με την εφαρμογή της κατάλληλης εκ των περιπτώσεων του άρθρου 9 ΓΚΠΔ. Σύμφωνα με το άρθρο 6 παρ. 1 ΓΚΠΔ «1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, (…) ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί. Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.»
5) Επειδή τα βιομετρικά δεδομένα εντάσσονται στις ειδικές κατηγορίες προσωπικών δεδομένων, τα οποία κατ’ αρχήν απαγορεύεται να υπόκεινται σε επεξεργασία, σύμφωνα με το άρθρο 9 παρ. 1 ΓΚΠΔ («Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό»). Η παρ. 2 του ιδίου άρθρου προβλέπει τις εξαιρέσεις από την ως άνω απαγόρευση παρέχοντας έτσι τις επιτρεπόμενες νομικές βάσεις για την επεξεργασία ειδικών κατηγοριών δεδομένων. Σύμφωνα με την παράγραφο αυτή «Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις: α) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων, […] ζ) η επεξεργασία είναι απαραίτητη για λόγους ουσιαστικού δημόσιου συμφέροντος, βάσει του δικαίου της Ένωσης ή κράτους μέλους, το οποίο είναι ανάλογο προς τον επιδιωκόμενο στόχο, σέβεται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπει κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων, […]».
6) Επειδή μια έγκυρη συγκατάθεση κατά τον ΓΚΠΔ πρέπει να πληροί αφ’ ενός μεν τις προϋποθέσεις του ορισμού της έννοιας της συγκατάθεσης, κατ’ άρθρο 4 στοιχ. 11 ΓΚΠΔ («κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν»), αφ’ ετέρου δε τους πρόσθετους όρους του άρθρου 7 ΓΚΠΔ, σύμφωνα με το οποίο: «1. Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα. […] 3. Το υποκείμενο των δεδομένων έχει δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση προ της ανάκλησής της. Πριν την παροχή της συγκατάθεσης, το υποκείμενο των δεδομένων ενημερώνεται σχετικά. Η ανάκληση της συγκατάθεσης είναι εξίσου εύκολη με την παροχή της. […]». Περαιτέρω, σύμφωνα με την αιτιολογική σκέψη 43 του ΓΚΠΔ «Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. […]» Σύμφωνα με τις Κατευθυντήριες Γραμμές 5/2020 του ΕΣΠΔ σχετικά με τη συγκατάθεση βάσει του κανονισμού 2016/679 (ΚΓ 5/2020) «είναι απίθανο να μπορούν δημόσιες αρχές να βασιστούν στη συγκατάθεση για την επεξεργασία δεδομένων, καθώς, όταν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή, διαπιστώνεται συχνά σαφής ανισορροπία ισχύος στη σχέση μεταξύ υπευθύνου επεξεργασίας και υποκειμένου των δεδομένων. Είναι επίσης σαφές ότι στις περισσότερες περιπτώσεις το υποκείμενο των δεδομένων δεν έχει ρεαλιστικές εναλλακτικές δυνατότητες πέραν της αποδοχής (των όρων) της επεξεργασίας του συγκεκριμένου υπευθύνου επεξεργασίας. Το ΕΣΠΔ εκτιμά ότι υπάρχουν άλλες νόμιμες βάσεις οι οποίες είναι, καταρχήν, καταλληλότερες για τη δραστηριότητα των δημόσιων αρχών (βλ. άρθρο 6 παρ. 1 στοιχ. γ΄ ε΄ (…)»Σημειώνεται επίσης, ότι «η συγκατάθεση μπορεί να είναι έγκυρη μόνο αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα είναι σε θέση να έχει πραγματική επιλογή και δεν υπάρχει κίνδυνος εξαπάτησης, εκφοβισμού, εξαναγκασμού ή σημαντικών αρνητικών επιπτώσεων (π.χ. σημαντικών πρόσθετων δαπανών) αν δεν δώσει τη συγκατάθεσή του. Η συγκατάθεση δεν παρέχεται ελεύθερα στις περιπτώσεις στις οποίες υπάρχει οποιοδήποτε στοιχείο καταναγκασμού, πίεσης ή αδυναμίας άσκησης της ελεύθερης βούλησης.»Αναφέρεται επιπλέον, ότι «Ανισορροπία ισχύος υπάρχει επίσης στο πλαίσιο της απασχόλησης. Λαμβανομένης υπόψη της εξάρτησης που συνεπάγεται η σχέση εργοδότη/εργαζομένου, είναι απίθανο το υποκείμενο των δεδομένων να είναι σε θέση να αρνηθεί να παράσχει στον εργοδότη του συγκατάθεση για την επεξεργασία των δεδομένων του χωρίς να φοβάται ή χωρίς να διατρέχει πραγματικό κίνδυνο να υποστεί αρνητικές συνέπειες λόγω της άρνησής του» .
Όπως επίσης επισημαίνεται στις προαναφερόμενες Κατευθυντήριες Γραμμές 5/2020 του ΕΣΠΔ «[…] τα υποκείμενα των δεδομένων πρέπει να παρέχουν πάντοτε συγκατάθεση για συγκεκριμένο σκοπό επεξεργασίας. Σύμφωνα με την έννοια του περιορισμού του σκοπού, το άρθρο 5 παράγραφος 1 στοιχείο β΄ και την αιτιολογική σκέψη 32, η συγκατάθεση μπορεί να καλύπτει διαφορετικές πράξεις, εφόσον οι πράξεις αυτές εξυπηρετούν τον ίδιο σκοπό. Εξυπακούεται ότι συγκεκριμένη συγκατάθεση μπορεί να εξασφαλιστεί μόνο όταν τα υποκείμενα των δεδομένων ενημερώνονται συγκεκριμένα για τους επιδιωκόμενους σκοπούς της χρήσης των δεδομένων που τα αφορούν» (§57). Περαιτέρω, «η παροχή πληροφοριών στα υποκείμενα των δεδομένων πριν από την εξασφάλιση της συγκατάθεσής τους είναι ουσιώδης προκειμένου να παρέχεται σε αυτά η δυνατότητα να λαμβάνουν ενημερωμένες αποφάσεις, να κατανοούν αυτό στο οποίο συγκατατίθενται και να ασκούν, για παράδειγμα, το δικαίωμα ανάκλησης της συγκατάθεσής τους.» (§62), ενώ «Συνέπεια της μη τηρήσεως των απαιτήσεων για εν πλήρει επιγνώσει συγκατάθεση είναι ότι η συγκατάθεση θα είναι ανίσχυρη» (§63) και, συνεπώς, στην περίπτωση αυτή η επεξεργασία καθίσταται παράνομη, ελλείψει νόμιμης βάσης κατά το άρθρο 9 παρ. 2. Όπως περιγράφεται και στις ΚΓ 5/2020, για την εξασφάλιση έγκυρης συγκατάθεσης, απαιτείται η παροχή κάποιων βασικών και αναγκαίων πληροφοριών. Εν τούτοις, ανάλογα με τις περιστάσεις και το πλαίσιο κάθε περίπτωσης, ενδέχεται να απαιτούνται περισσότερες πληροφορίες ώστε το υποκείμενο των δεδομένων να μπορεί να κατανοήσει πραγματικά τις επίμαχες πράξεις επεξεργασίας.
Εξάλλου, για τη θεμελίωση κατάλληλης νομικής βάσης κατά το άρθρο 9 παρ. 2 στοιχ. α΄ ΓΚΠΔ, η συγκατάθεση απαιτείται επιπλέον να είναι «ρητή». Σύμφωνα με τις ως άνω ΚΓ 5/2020, «ρητή συγκατάθεση απαιτείται σε ορισμένες περιπτώσεις στις οποίες δημιουργείται σοβαρός κίνδυνος για την προστασία των δεδομένων και, επομένως, θεωρείται ότι ενδείκνυται υψηλό επίπεδο ατομικού ελέγχου επί των δεδομένων προσωπικού χαρακτήρα. Βάσει του ΓΚΠΔ, ρητή συγκατάθεση προβλέπεται στο άρθρο 9 σχετικά με την επεξεργασία ειδικών κατηγοριών δεδομένων […] και στο άρθρο 22 σχετικά με την αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ» (§91).
Σχετικά δε, με την θεμελίωση της νομικής βάσης, επισημαίνεται ότι η εφαρμογή μίας εκ των έξι προβλεπόμενων στο άρθρο 6 ΓΚΠΔ βάσεων πρέπει να προσδιορίζεται πριν από τη δραστηριότητα επεξεργασίας και σε σχέση με συγκεκριμένο σκοπό ενώ, «Ανακοίνωση ότι τα δεδομένα θα υποβληθούν σε επεξεργασία βάσει συγκατάθεσης, ενώ στην πραγματικότητα χρησιμοποιείται άλλη νόμιμη βάση, είναι θεμελιωδώς άδικη για τα φυσικά πρόσωπα. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας δεν μπορεί να μεταπηδήσει από τη συγκατάθεση σε άλλες νόμιμες βάσεις. Για παράδειγμα, δεν επιτρέπεται να χρησιμοποιήσει αναδρομικά τη βάση του έννομου συμφέροντος προκειμένου να δικαιολογήσει την επεξεργασία αν αντιμετωπίσει προβλήματα σχετικά με την ισχύ της συγκατάθεσης.
7) Επειδή, προς διασφάλιση της αρχής της διαφάνειας της επεξεργασίας, το άρθρο 12 παρ. 1 ΓΚΠΔ ορίζει ότι: «Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα». Οι υποχρεωτικά παρεχόμενες πληροφορίες προβλέπονται στο άρθρο 13 ΓΚΠΔ για την περίπτωση που τα δεδομένα συλλέγονται από το υποκείμενο και στο άρθρο 14 ΓΚΠΔ για την περίπτωση που τα δεδομένα δεν έχουν συλλεγεί από το υποκείμενο. Ειδικότερα, στην τελευταία αυτή περίπτωση, όπως προκύπτει από τα άρθρα 13, 14 και 12 παρ. 1 του ΓΚΠΔ, οι πληροφορίες αυτές περιλαμβάνουν, μεταξύ άλλων α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του, β) τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, κατά περίπτωση, γ) τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία, δ) τις σχετικές κατηγορίες δεδομένων προσωπικού χαρακτήρα (για το άρθρο 14 ΓΚΠΔ), ε) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, στ) κατά περίπτωση, ότι ο υπεύθυνος επεξεργασίας προτίθεται να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε αποδέκτη σε τρίτη χώρα ή διεθνή οργανισμό και σχετικές πληροφορίες, ζ) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα, ή, εφόσον αυτό είναι αδύνατον, τα κριτήρια που καθορίζουν το εν λόγω διάστημα, η) πληροφορίες σχετικά με τα δικαιώματα του υποκειμένου σύμφωνα με τα άρθρα 15-22 ΓΚΠΔ. Οι πληροφορίες, σύμφωνα με τα προαναφερόμενα άρθρα, παρέχονται κατά τη συλλογή των δεδομένων. Σύμφωνα με τις Κατευθυντήριες Γραμμές της ΟΕ 29 σχετικά με τη διαφάνεια (WP260 rev.01)κατά την ενημέρωση των υποκειμένων σύμφωνα με τα άρθρα 13-14 ΓΚΠΔ, οι παρεχόμενες πληροφορίες θα πρέπει να είναι συγκεκριμένες και οριστικές: «Η χρήση γλωσσικών προσδιορισμών όπως «ενδέχεται», «ορισμένος», «συχνά» και «πιθανός» θα πρέπει επίσης να αποφεύγεται. Όταν οι υπεύθυνοι επεξεργασίας δεδομένων επιλέγουν να χρησιμοποιούν αόριστη διατύπωση, θα πρέπει να είναι σε θέση, σύμφωνα με την αρχή της λογοδοσίας, να αποδεικνύουν τον λόγο για τον οποίο η χρήση τέτοιας διατύπωσης δεν ήταν δυνατό να αποφευχθεί και γιατί δεν υπονομεύει τη νομιμότητα της επεξεργασίας».
8) Επειδή το άρθρο 22 ΓΚΠΔ ορίζει τα εξής: «1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να μην υπόκειται σε απόφαση που λαμβάνεται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ, η οποία παράγει έννομα αποτελέσματα που το αφορούν ή το επηρεάζει σημαντικά με παρόμοιο τρόπο. 2. Η παράγραφος 1 δεν εφαρμόζεται όταν η απόφαση: α) είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων, β) επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων ή γ) βασίζεται στη ρητή συγκατάθεση του υποκειμένου των δεδομένων. 3. Στις περιπτώσεις που αναφέρονται στην παράγραφο 2 στοιχεία α) και γ), ο υπεύθυνος επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης. 4. Οι αποφάσεις που αναφέρονται στην παράγραφο 2 δεν βασίζονται στις ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 παράγραφος 1, εκτός αν ισχύει το άρθρο 9 παράγραφος 2 στοιχείο α) ή ζ) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων».
9) Επειδή αναφορικά με τις υποχρεώσεις του υπευθύνου επεξεργασίας το άρθρο 24 ΓΚΠΔ ορίζει ότι : «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο. 2. Όταν δικαιολογείται σε σχέση με τις δραστηριότητες επεξεργασίας, τα μέτρα που αναφέρονται στην παράγραφο 1 περιλαμβάνουν την εφαρμογή κατάλληλων πολιτικών για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας. 3. Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας.», ενώ το άρθρο 25 ΓΚΠΔ ορίζει ότι : «1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. 2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων. 3. Εγκεκριμένος μηχανισμός πιστοποίησης σύμφωνα με το άρθρο 42 μπορεί να χρησιμοποιηθεί ως στοιχείο που αποδεικνύει τη συμμόρφωση με τις απαιτήσεις που προβλέπονται στις παραγράφους 1 και 2 του παρόντος άρθρου.»
10) Επειδή σύμφωνα με το άρθρο 28 ΓΚΠΔ παρ. 1, 3 και 9 : «1. Όταν η επεξεργασία πρόκειται να διενεργηθεί για λογαριασμό υπευθύνου επεξεργασίας, ο υπεύθυνος επεξεργασίας χρησιμοποιεί μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζεται η προστασία των δικαιωμάτων του υποκειμένου των δεδομένων. (….) 3. Η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή άλλη νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή του κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει το αντικείμενο και τη διάρκεια της επεξεργασίας, τη φύση και τον σκοπό της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και τις κατηγορίες των υποκειμένων των δεδομένων και τις υποχρεώσεις και τα δικαιώματα του υπευθύνου επεξεργασίας. Η εν λόγω σύμβαση ή άλλη νομική πράξη προβλέπει ειδικότερα ότι ο εκτελών την επεξεργασία: α) επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών του υπευθύνου επεξεργασίας, μεταξύ άλλων όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους στο οποίο υπόκειται ο εκτελών την επεξεργασία· σε αυτήν την περίπτωση, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος, β) διασφαλίζει ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα έχουν αναλάβει δέσμευση τήρησης εμπιστευτικότητας ή τελούν υπό τη δέουσα κανονιστική υποχρέωση τήρησης εμπιστευτικότητας, γ) λαμβάνει όλα τα απαιτούμενα μέτρα δυνάμει του άρθρου 32, δ) τηρεί τους όρους που αναφέρονται στις παραγράφους 2 και 4 για την πρόσληψη άλλου εκτελούντος την επεξεργασία, ε) λαμβάνει υπόψη τη φύση της επεξεργασίας και επικουρεί τον υπεύθυνο επεξεργασίας με τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που αυτό είναι δυνατό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα για άσκηση των προβλεπόμενων στο κεφάλαιο III δικαιωμάτων του υποκειμένου των δεδομένων, στ) συνδράμει τον υπεύθυνο επεξεργασίας στη διασφάλιση της συμμόρφωσης προς τις υποχρεώσεις που απορρέουν από τα άρθρα 32 έως 36, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο εκτελών την επεξεργασία, ζ) κατ' επιλογή του υπευθύνου επεξεργασίας, διαγράφει ή επιστρέφει όλα τα δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας μετά το πέρας της παροχής υπηρεσιών επεξεργασίας και διαγράφει τα υφιστάμενα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή του κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα, η) θέτει στη διάθεση του υπευθύνου επεξεργασίας κάθε απαραίτητη πληροφορία προς απόδειξη της συμμόρφωσης προς τις υποχρεώσεις που θεσπίζονται στο παρόν άρθρο και επιτρέπει και διευκολύνει τους ελέγχους, περιλαμβανομένων των επιθεωρήσεων, που διενεργούνται από τον υπεύθυνο επεξεργασίας ή από άλλον ελεγκτή εντεταλμένο από τον υπεύθυνο επεξεργασίας. Όσον αφορά το πρώτο εδάφιο στοιχείο η), ο εκτελών την επεξεργασία ενημερώνει αμέσως τον υπεύθυνο επεξεργασίας, εάν, κατά την άποψή του, κάποια εντολή παραβιάζει τον παρόντα κανονισμό ή άλλες ενωσιακές ή εθνικές διατάξεις περί προστασίας δεδομένων. (…) 9. Η σύμβαση ή η άλλη νομική πράξη που αναφέρεται στις παραγράφους 3 και 4 υφίσταται γραπτώς, μεταξύ άλλων σε ηλεκτρονική μορφή.»
11) Επειδή σύμφωνα με το άρθρο 30 παρ. 1 και 2 ΓΚΠΔ: « 1. Κάθε υπεύθυνος επεξεργασίας και, κατά περίπτωση, ο εκπρόσωπός του, τηρεί αρχείο των δραστηριοτήτων επεξεργασίας για τις οποίες είναι υπεύθυνος. Το εν λόγω αρχείο περιλαμβάνει όλες τις ακόλουθες πληροφορίες: α) το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του από κοινού υπευθύνου επεξεργασίας, του εκπροσώπου του υπευθύνου επεξεργασίας και του υπευθύνου προστασίας δεδομένων, β) τους σκοπούς της επεξεργασίας, γ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων προσωπικού χαρακτήρα, δ) τις κατηγορίες αποδεκτών στους οποίους πρόκειται να γνωστοποιηθούν ή γνωστοποιήθηκαν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς, ε) όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων, στ) όπου είναι δυνατό, τις προβλεπόμενες προθεσμίες διαγραφής των διάφορων κατηγοριών δεδομένων, ζ) όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1. 2. Κάθε εκτελών την επεξεργασία και, κατά περίπτωση, ο εκπρόσωπος του εκτελούντος την επεξεργασία τηρούν αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διεξάγονται εκ μέρους του υπευθύνου επεξεργασίας, το οποίο περιλαμβάνει τα εξής: α) το όνομα και τα στοιχεία επικοινωνίας του εκτελούντος ή των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας εκ μέρους των οποίων ενεργεί ο εκτελών και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και του υπευθύνου προστασίας δεδομένων, β) τις κατηγορίες επεξεργασιών που διεξάγονται εκ μέρους κάθε υπευθύνου επεξεργασίας, γ) όπου συντρέχει περίπτωση, τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, συμπεριλαμβανομένων του προσδιορισμού της εν λόγω τρίτης χώρας ή του διεθνούς οργανισμού και, σε περίπτωση διαβιβάσεων που αναφέρονται στο άρθρο 49 παράγραφος 1 δεύτερο εδάφιο, της τεκμηρίωσης των κατάλληλων εγγυήσεων, δ) όπου είναι δυνατό, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφάλειας που αναφέρονται στο άρθρο 32 παράγραφος 1. (..)»
12) Επειδή σύμφωνα με το άρθρο 31 ΓΚΠΔ: «Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία και, κατά περίπτωση, οι εκπρόσωποί τους συνεργάζονται, κατόπιν αιτήματος, με την εποπτική αρχή για την άσκηση των καθηκόντων της.» Η διάταξη αυτή αποτελεί τμήμα των γενικών υποχρεώσεων λογοδοσίας ενός φορέα (υπευθύνου ή εκτελούντος την επεξεργασία), οι οποίες περιλαμβάνονται στο τμήμα 1 του Κεφαλαίου IV του ΓΚΠΔ.
13) Επειδή σύμφωνα με το άρθρο 35 παρ. 1 ΓΚΠΔ, όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους. Η Αρχή, κατ’ εφαρμογή της παρ. 4 του άρθρου 35 ΓΚΠΔ, έχει καταρτίσει και δημοσιοποιήσει κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων σύμφωνα με την παράγραφο 1 του άρθρου αυτού (απόφαση ΑΠΔ 65/2018). Μεταξύ των πράξεων αυτών περιλαμβάνονται οι ακόλουθες: «1.2 Συστηµατική επεξεργασία δεδοµένων που αποσκοπεί στη λήψη αυτοµατοποιηµένων αποφάσεων, οι οποίες παράγουν έννοµα αποτελέσµατα σχετικά µε τα υποκείµενα των δεδοµένων ή επηρεάζουν σηµαντικά τα υποκείµενα των δεδοµένων κατά ανάλογο τρόπο και µπορούν να οδηγήσουν σε αποκλεισµό ή διακρίσεις σε βάρος του φυσικού προσώπου. Σχετικά παραδείγµατα είναι η αυτόµατη άρνηση επιγραµµικής αίτησης πίστωσης ή πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέµβαση (αιτ. 71 του ΓΚΠ∆) ή η αυτόµατη άρνηση ασφαλιστικής παροχής. 1.3 Συστηµατική επεξεργασία δεδοµένων που ενδέχεται να εµποδίζει το υποκείµενο να ασκήσει τα δικαιώµατά του ή να χρησιµοποιήσει µια υπηρεσία ή σύµβαση, ιδίως όταν λαµβάνονται υπόψη δεδοµένα που συλλέγονται από τρίτους. Σχετικά παραδείγµατα είναι η περίπτωση, κατά την οποία τράπεζα ελέγχει τους πελάτες της χρησιµοποιώντας µια βάση δεδοµένων πιστοληπτικής ικανότητας για να αποφασίσει αν θα τους χορηγήσει δάνειο ή όχι, η καταχώρηση του υποκειµένου σε «µαύρη» λίστα, όπως η λίστα των παρόχων κινητής τηλεφωνίας (τηλέγνους), η καταχώριση του υποκειµένου σε whistleblowing συστήµατα. (…)
2.1 Μεγάλης κλίµακας επεξεργασία των ειδικών κατηγοριών δεδοµένων (περιλαµβανοµένων των γενετικών και των βιοµετρικών µε σκοπό την αδιαµφισβήτητη ταυτοποίηση προσώπου) που αναφέρονται στο άρθρο 9 παρ. 1 και των δεδοµένων που αναφέρονται στο άρθρο 10 του ΓΚΠ∆. (…) 3.1 Καινοτόµος χρήση ή εφαρµογή νέων τεχνολογιών ή οργανωτικών λύσεων, οι οποίες µπορεί να περιλαµβάνουν νέες µορφές συλλογής και χρήσης δεδοµένων, µε ενδεχόµενο υψηλό κίνδυνο για τα δικαιώµατα και τις ελευθερίες των φυσικών προσώπων όπως η συνδυασµένη χρήση των δακτυλικών αποτυπωµάτων και η αναγνώριση προσώπου για βελτιωµένο φυσικό έλεγχο πρόσβασης, ή εφαρµογές mhealth ή άλλες «έξυπνες» εφαρµογές, από τις οποίες δηµιουργείται προφίλ των χρηστών (π.χ. καθηµερινές συνήθειες), ή εφαρµογές τεχνητής νοηµοσύνης ή τεχνολογίες δηµόσια προσπελάσιµων blockchain που περιλαµβάνουν προσωπικά δεδοµένα. (…)».
14) Επειδή αναφορικά με τον ορισμό Υπευθύνου Προστασίας Δεδομένων, το άρθρο 37 ΓΚΠΔ ορίζει: «1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία: α) η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαιοδοτικής τους αρμοδιότητας, β) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή γ) οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα κατά το άρθρο 9 και δεδομένων που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10. (….) 5. Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39. 6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών. 7. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δημοσιεύουν τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων και τα ανακοινώνουν στην εποπτική αρχή.». Αναφορικά με τη θέση του Υπευθύνου Προστασίας Δεδομένων, το άρθρο 38 ΓΚΠΔ ορίζει: « 1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα. 2. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία στηρίζουν τον υπεύθυνο προστασίας δεδομένων στην άσκηση των καθηκόντων που αναφέρονται στο άρθρο 39 παρέχοντας απαραίτητους πόρους για την άσκηση των εν λόγω καθηκόντων και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, καθώς και πόρους απαραίτητους για τη διατήρηση της εμπειρογνωσίας του. 3. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία. 4. Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού. 5. Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους. 6. Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.» Τέλος, σύμφωνα με το άρθρο 39 ΓΚΠΔ: «1. Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα: α) ενημερώνει και συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους υπαλλήλους που επεξεργάζονται τις υποχρεώσεις τους που απορρέουν από τον παρόντα κανονισμό και από άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, β) παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων, γ) παρέχει συμβουλές, όταν ζητείται, όσον αφορά την εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35, δ) συνεργάζεται με την εποπτική αρχή, ε) ενεργεί ως σημείο επικοινωνίας για την εποπτική αρχή για ζητήματα που σχετίζονται με την επεξεργασία, περιλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 36, και πραγματοποιεί διαβουλεύσεις, ανάλογα με την περίπτωση, για οποιοδήποτε άλλο θέμα. 2. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.». Τέλος, για τη θέση του ΥΠΔ στους δημόσιους φορείς ισχύουν παράλληλα τα οριζόμενα από τις διατάξεις των άρθρων 6-8 του Ν. 4624/2019.
15) Επειδή από την εξέταση του συνόλου των στοιχείων του φακέλου και των προσκομισθέντων υπομνημάτων και των συνοδευτικών αυτών εγγράφων, κατόπιν αξιολόγησης της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται κατά την εφαρμογή των προγραμμάτων «Υπερίων» και «Κένταυρος» του ΥΜΑ, προέκυψαν τα εξής ευρήματα αναφορικά με τα εκτιθέμενα στις επόμενες παραγράφους ζητήματα.
16) Επειδή αναφορικά με τη νομική βάση της επεξεργασίας (συμπεριλαμβανομένης της επεξεργασίας ειδικών κατηγοριών προσωπικών δεδομένων, κυρίως βιομετρικών), με το ως άνω υπ’ αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/2625/07-04-2023 υπόμνημα, το ΥΜΑ διευκρίνισε ότι η κύρια ή γενική νομική βάση επεξεργασίας που πραγματοποιείται από τα συστήματα «Υπερίων» και «Κένταυρος» είναι η εκτέλεση καθήκοντος προς το δημόσιο συμφέρον κατά την άσκηση δημόσιας εξουσίας κατ’ άρθρον 6 παρ.1 στοιχ. ε΄ ΓΚΠΔ, ενώ αναφορικά με την επεξεργασία ειδικών κατηγοριών (βιομετρικών) δεδομένων επικαλέστηκε την επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος, κατ’ άρθρον 9 παρ. 2 στοιχ. ζ΄ ΓΚΠΔ (με εσφαλμένη αναφορά ωστόσο, της νομολογίας της Αρχής, ήτοι την Απόφαση με αριθμ. 31/2010), και επεσήμανε ότι για τη στάθμιση των συμφερόντων λαμβάνεται υπόψη το μέγεθος της περιοχής που παρακολουθείται και ο αριθμός των υποκειμένων των δεδομένων που επιτηρούνται καθώς και η προστασία κρίσιμων υποδομών όπως οι προσφυγικοί καταυλισμοί. Από την επισκόπηση του συνόλου των στοιχείων του φακέλου, επισημαίνεται ότι σε προηγούμενα έγγραφα που τέθηκαν ενώπιον της Αρχής, (ενδεικτικά στα συνημμένα «Πολιτική Απορρήτου για την Επεξεργασία Βιομετρικών Δεδομένων», «Πολιτική Απορρήτου Συστημάτων Βιντεοεπιτήρησης & Καμερών Ασφαλείας στις Δομές Φιλοξενίας του ΥΜΑ» και «Πολιτική Απορρήτου λειτουργίας βιντεοεπιτήρησης με Drone», συνημμένα στο με αρ. πρωτ. Γ/ΕΙΣ/10991/13-10-2022 απαντητικό έγγραφο του ΥΜΑ, υφίσταται σύγχυση ως προς τη νομική βάση της επεξεργασίας που διενεργείται από τα συστήματα «Υπερίων» και «Κένταυρος», αντιστοίχως, καθώς αναφέρεται το «έννομο συμφέρον» κατ’ άρθρο 6 παρ. 1 στοιχ. στ΄ ΓΚΠΔ, το οποίο ρητά αποκλείεται από τις διατάξεις του ΓΚΠΔ για επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους. Εξάλλου, στην επιστολή του ΥΜΑ με αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/10875/10-10-2022 αναφέρεται, ότι, καθώς οι διαμένοντες στις ΚΕΔ υπογράφουν κατά την είσοδο τους έντυπη φόρμα συγκατάθεσης για την επεξεργασία των δεδομένων τους, τυγχάνει εφαρμογής συμπληρωματικά και η νομική βάση της συγκατάθεσης. Η πρακτική αυτή πέραν της αναθεωρημένης με επόμενο υπόμνημα του ΥΜΑ διατύπωσης σχετικά με την νομική βάση των επεξεργασιών προσκρούει στα προβλεπόμενα στον ΓΚΠΔ και τις Κατευθυντήριες Γραμμές για τη Συγκατάθεση, όπως περιγράφονται ανωτέρω. Επιπλέον, δεν διευκρινίζεται με το προαναφερόμενο υπόμνημα, ούτε προκύπτει από τα λοιπά στοιχεία του φακέλου ποιες είναι οι λοιπές νομικές βάσεις που δύναται, κατά τα διαλαμβανόμενα στο ως άνω υπόμνημα, να έχουν παράλληλη εφαρμογή και ποιες περιπτώσεις αφορούν, ενώ λαμβανομένων υπόψη των διαφοροποιήσεων και των ερωτημάτων που προέκυψαν από τα προηγούμενα υπομνήματα παροχής διευκρινίσεων ως προς την εφαρμοζόμενη νομική βάση, διαφαίνεται ότι δεν προκύπτει με σαφήνεια αν και σε ποιες περιπτώσεις δύναται να έχουν παράλληλη εφαρμογή άλλες νομικές βάσεις για την επεξεργασία δεδομένων που πραγματοποιείται από τα συστήματα «Υπερίων» και «Κένταυρος». Παραλείπεται δε, η αναφορά και στοιχειοθέτηση της νομικής βάσης ανάλογα με την κατηγορία των υποκειμένων (εργαζόμενοι, ευάλωτες ομάδες, ανήλικοι, μέλη και εργαζόμενοι ΜΚΟ, Ευρωπαϊκού Γραφείου Υποστήριξης για το Άσυλο κτλ.) σχετικά με τα δεδομένα τους, που τυγχάνουν επεξεργασίας με τη χρήση των συστημάτων «Κένταυρος» – «Υπερίων». Εξάλλου, σύμφωνα με τα αναφερόμενα στο με αριθμ. πρωτ. Γ/ΕΙΣ/10991/13-10-2022 υπόμνημα του ΥΜΑ δεν υφίσταται επεξεργασία προσωπικών δεδομένων από τα προγράμματα «Υπερίων» και «Κένταυρος» προκειμένου να εξαχθούν δεδομένα ειδικών κατηγοριών προσωπικού χαρακτήρα και για το λόγο αυτό δεν εφαρμόζεται επί της αρχής το άρθρο 9 του ΓΚΠΔ. Ωστόσο, δεν αναφέρονται ειδικές και συγκεκριμένες εγγυήσεις ή και κατάλληλη τεκμηρίωση για τους ισχυρισμούς περί μη επεξεργασίας δεδομένων ειδικών κατηγοριών με δεδομένο ότι ιδίως, μέσω του συστήματος «Κένταυρος» και της βιντεοσκόπησης, είναι δυνατόν να τύχουν επεξεργασίας δεδομένα των ειδικών κατηγοριών όπως δεδομένων που αφορούν στις θρησκευτικές πεποιθήσεις, τη φυλετική ή εθνοτική καταγωγή κ.α. Λαμβάνοντας δε, υπόψη την τοποθέτηση καμερών σε προαύλιους, κοινόχρηστους χώρους σε κλειστές δομές φιλοξενίας αλλοδαπών, οι οποίοι εισήλθαν στην χώρα παράνομα και ότι στις δομές αυτές επικρατούν εξ ορισμού ειδικές συνθήκες, καθώς και την αναφορά ότι υφίσταται διασύνδεση του συστήματος «Κένταυρος» με την Ελληνική Αστυνομία, η πιθανότητα επεξεργασίας δεδομένων ειδικών κατηγοριών για λόγους επιβολής του νόμου δεν μπορεί κατ’ αρχήν να αποκλειστεί. Στην περίπτωση αυτή θα ήταν σκόπιμο να προσδιοριστεί και τεκμηριωθεί η κατάλληλη νομική βάση για την εν λόγω επεξεργασία.
17) Επειδή αναφορικά με την επεξεργασία που πραγματοποιείται μέσω του συστήματος βιντεοεπιτήρησης, και ιδίως τις αυτοματοποιημένες λειτουργίες αυτού (ενεργοποίηση συναγερμών παραβίασης της περιμέτρου με χρήση καμερών και αλγορίθμων ανάλυσης κίνησης, κριτήρια για τον εντοπισμό ενός συμβάντος, κατηγοριοποίηση και η αξιολόγηση των συμβάντων από τους χειριστές, κτλ.) επισημαίνεται ότι δεν προσκομίστηκαν από το ΥΜΑ επαρκείς διευκρινίσεις ώστε να είναι ασφαλής η αποτίμηση της διενεργούμενης επεξεργασίας και εξαγωγή συμπερασμάτων εκ μέρους της Αρχής. Περαιτέρω, παρατηρείται σύγχυση αναφορικά με τον χαρακτηρισμό του εποπτευόμενου χώρου των ΚΕΔ από το σύστημα βιντεοεπιτήρησης ως δημοσίου χώρου και την επίκληση του ΠΔ 75/2020 ως επικουρικώς εφαρμοστέα διάταξη αναφορικά με την σχετική επεξεργασία δεδομένων, δεδομένου ότι το ΠΔ 75/2020 δε δύναται να τύχει εφαρμογής εν προκειμένω, καθώς, οι υπό κρίση δομές δεν δύνανται να χαρακτηριστούν ως δημόσιοι χώροι επί των οποίων εφαρμόζεται το ΠΔ 75/2020. Με τα δεδομένα αυτά και όσα εκτίθενται στην προηγούμενη σκέψη, προκύπτει παραβίαση του άρθρου 5 παρ. 1 στοιχ. α’ του ΓΚΠΔ.
18) Επειδή αναφορικά με την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων, με το αρ. πρωτ. Γ/ΕΙΣ/2625/07-04-2023 υπόμνημα, το ΥΜΑ διευκρίνισε ότι ενημέρωση προς τα υποκείμενα των δεδομένων ως προς την επεξεργασία που πραγματοποιείται από τα συστήματα «Υπερίων» και «Κένταυρος» παρέχεται μέσω του ειδικού εντύπου της ΥΠΥΤ προ πάσης επεξεργασίας των προσωπικών δεδομένων τους με το εξής λεκτικό «έλαβα γνώση ότι εισέρχομαι σε χώρο ελεγχόμενης πρόσβασης και επιτηρούμενο από σύστημα βιντεοεπιτήρησης και συναινώ στην συλλογή της εικόνας προσώπου μου ή και των δακτυλοσκοπικών δεδομένων μου για την προστασία μου από κακόβουλες ενέργειες σε βάρος μου, και ιδίως για την διαχείριση της εισόδου, εξόδου μου και της επιβεβαίωσης της παρουσίας μου στο Κέντρο καθώς και για λόγους ασφαλείας του προσωπικού και των διαμενόντων του Κέντρου.» Περαιτέρω, το ΥΜΑ επεσήμανε ότι αναφορικά με το σύστημα «Υπερίων», έχει εκπονηθεί ειδικότερη Πολιτική Απορρήτου για τα βιομετρικά δεδομένα. Αναφορικά με το σύστημα «Κένταυρος» παρέχεται ενημέρωση μέσω ευδιάκριτων προειδοποιητικών πινακίδων/σημάνσεων για την λειτουργία συστημάτων βιντεοεπιτήρησης, οι οποίες έχουν τοποθετηθεί σε όλα τα σημεία εντός ΚΕΔ (πρώην ΚΥΤ) αλλά και περιμετρικά όπου υπάρχουν και λειτουργούν οι κάμερες του συστήματος «Κένταυρος», ενώ έχει υπάρξει δημοσίευση πολιτικής παρακολούθησης σε ηλεκτρονικά μέσα και ενημερωτικά φυλλάδια, καθώς και παροχή αριθμού τηλεφώνου και διεύθυνσης ηλεκτρονικού ταχυδρομείου για περαιτέρω ερωτήσεις. Επιπλέον, έχει εκπονηθεί ειδικότερη Πολιτική Απορρήτου για την βιντεοεπιτήρηση (συνημμένο σε προηγούμενο υπόμνημα) καθώς και επιτόπια Ειδοποίηση Ιδιωτικότητας (συνημμένο σε προηγούμενο υπόμνημα) στις Πύλες εισόδου στα ΚΕΔ (πρώην ΚΥΤ).
19) Επειδή, σχετικώς με την παρεχόμενη στα υποκείμενα των δεδομένων ενημέρωση επισημαίνονται τα ακόλουθα: Η ενημέρωση που παρέχεται μέσω του εντύπου της ΥΠΥΤ, εμπεριέχεται σε ένα εκτενές έντυπο, το οποίο συμπληρώνεται κατά τη διαδικασία καταγραφής των υποκειμένων και αντίγραφο του οποίου δίδεται στο υποκείμενο. Οι πληροφορίες αναφορικά με την ενημέρωση για την επεξεργασία δεδομένων παρέχονται στην ελληνική και αγγλική γλώσσα, ενώ χρησιμοποιούνται τεχνικοί/νομικοί όροι (πχ. «κακόβουλων ενεργειών»). Λαμβανομένου υπόψη του προφίλ των υποκειμένων στα οποία αφορά η παρεχόμενη ενημέρωση για τα συστήματα «Υπερίων» και «Κένταυρος», επισημαίνεται ότι από το σύνολο των στοιχείων του φακέλου (υποκείμενα τα οποία δεν κατανοούν την ελληνική ή την αγγλική γλώσσα, ευάλωτοι πληθυσμοί), κρίνεται ότι η ως άνω ενημέρωση είναι, αφενός ελλιπής, αφετέρου, δεν πληροί τις απαιτήσεις παροχής ενημέρωσης σε «σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση» (άρθρο 12 παρ. 1 ΓΚΠΔ και αιτ. σκ. 39 ΓΚΠΔ»). Περαιτέρω το περιεχόμενο της ως άνω σύντομης ενημέρωσης δεν συμπίπτει με τις απαιτήσεις διαφάνειας που τίθενται με τα άρθρα 12, 13 και 14 ΓΚΠΔ, καθόσον απουσιάζει σειρά πληροφοριών που σύμφωνα με τις διατάξεις αυτές θα πρέπει να παρέχονται στα υποκείμενα των δεδομένων. Αναφορικά με τις Πολιτικές Απορρήτου τις οποίες έχει εκπονήσει το ΥΜΑ, δεν προκύπτει αν και με ποιον τρόπο είναι προσβάσιμες στα υποκείμενα, ενώ σε κάθε περίπτωση δεν θα μπορούσαν να θεωρηθούν ως παροχή ενημέρωσης σύμφωνη με τις ως άνω διατάξεις, δεδομένου αφενός, ότι παρέχονται αποκλειστικά στην ελληνική γλώσσα και αφετέρου, η μορφή και το ύφος των κειμένων της Πολιτικής Απορρήτου εκ της φύσης τους δεν πληρούν τις απαιτήσεις διαφάνειας για σαφή και απλή διατύπωση ενημέρωσης αναλόγως και της στόχευσης του κοινού στο οποίο απευθύνεται, ήτοι ευάλωτες ομάδες και παιδιά. (βλ. Κατευθυντήριες Γραμμές [2018] σχετικά με τη Διαφάνεια βάσει του Κανονισμού 2016/679 της Ομάδας εργασίας του Άρθρου 29). Τέλος, αναφορικά με τις σημάνσεις ιδιωτικότητας που έχουν τεθεί αναφορικά με τα συστήματα βιντεοεπιτήρησης, οι οποίες έχουν τεθεί στην αγγλική γλώσσα, επισημαίνεται ότι αυτές εμπεριέχουν εσφαλμένες/αντιφατικές και ελλιπείς πληροφορίες (ενδεικτικά αναφέρουν ως νομική βάση το άρθρο 6 παρ. 1 στοιχ. στ΄ ΓΚΠΔ, βλ συνημμένα #5, #8α και #8 β στο με αριθμ. πρωτ. Γ/ΕΙΣ/10991/13-10-2022 υπόμνημα του ΥΜΑ καθώς και την μη διαβίβαση δεδομένων σε τρίτους, ενώ, όπως συνομολογεί και το ΥΜΑ, υφίσταται διασύνδεση του συστήματος «Κένταυρος» με την Αστυνομία). Τέλος, αναφορικά με την επικαλούμενη από το ΥΜΑ δημοσίευση πολιτικής παρακολούθησης σε ηλεκτρονικά μέσα, ενημερωτικά φυλλάδια, παροχή αριθμού τηλεφώνου και διεύθυνσης ηλεκτρονικού ταχυδρομείου για περαιτέρω ερωτήσεις, επισημαίνεται ότι αυτή δεν τεκμηριώθηκε επαρκώς ενώπιον της Αρχής. Με τα δεδομένα αυτά προκύπτει παραβίαση των άρθρων 12, 13 και 14 του ΓΚΠΔ.
20) Επειδή, λαμβανομένων υπόψη των ως άνω, κρίνεται ότι το ΥΜΑ οφείλει να προβεί στις απαραίτητες διορθώσεις ως προς τη νομική βάση και στις αναγκαίες προσθήκες μέσω κατάλληλων μέσων και εύληπτης, κατανοητής γλώσσας όλων των απαραίτητων πληροφοριών, συμπεριλαμβανομένων και των κατηγοριών αποδεκτών, όπως διαφαίνεται από τη διασύνδεση των επίμαχων συστημάτων με φορείς του δημοσίου, οι οποίες περιλαμβάνονται στην παρεχόμενη στα υποκείμενα ενημέρωση σύμφωνα με το άρθρα 5 παρ. 1 στοιχ. α΄, 13 και 14 ΓΚΠΔ σε συνδυασμό με τις διατάξεις του άρθρου 12 ΓΚΠΔ.
21) Επειδή αναφορικά με την περιγραφή, διασαφήνιση και καθορισμό του ρόλου του ΥΜΑ ως Υπευθύνου Επεξεργασίας και του συνόλου των εκτελούντων την επεξεργασία, με το υπ’ αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/2625/07-04-2023 υπόμνημα, το ΥΜΑ προέβη σε διόρθωση και διευκρίνισε ότι το ίδιο αποτελεί τον υπεύθυνο επεξεργασίας για την επεξεργασία που πραγματοποιείται από τα συστήματα «Υπερίων» και «Κένταυρος» και παρέθεσε κατάλογο εκτελούντων την επεξεργασία για τα ως άνω συστήματα. Αναφορικά με την ελλιπή εκπλήρωση των όρων του άρθρου 28 παρ. 3 του ΓΚΠΔ ως προς τη σύμβαση μεταξύ υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, επισημαίνεται ότι, όπως ρητά αναφέρεται και στις Κατευθυντήριες Γραμμές 7/2020 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων αναφορικά με τις έννοιες του υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία, «καθόσον ο Κανονισμός θεσπίζει σαφή υποχρέωση σύναψης γραπτής σύμβασης, εφόσον δεν ισχύει καμία άλλη σχετική νομική πράξη, η έλλειψη σύμβασης συνιστά παράβαση του ΓΚΠΔ. Τόσο ο υπεύθυνος επεξεργασίας όσο και ο εκτελών την επεξεργασία ευθύνονται για τη διασφάλιση της σύναψης σύμβασης ή άλλης νομικής πράξης που διέπει την επεξεργασία.». Συνεπώς, η μη εκπλήρωση των όρων του άρθρου 28 παρ. 3 του ΓΚΠΔ συνιστά παραβίαση για τον υπεύθυνο επεξεργασίας. Από το σύνολο των στοιχείων του φακέλου, προκύπτει ότι έχουν προσκομιστεί ενώπιον της Αρχής τα κάτωθι, τα οποία αφορούν αναδόχους των έργων για την υλοποίηση των συστημάτων «Κένταυρος» και «Υπερίων»:
Α) Για το σύστημα «Κένταυρος»: α) η με αρ. 30/2021 Σύμβαση μεταξύ του ΥΜΑ αφενός και της ένωσης εταιριών «ESA SECURITY AE- ADAPTIT AE», β) η με αρ. 32/2021 Σύμβαση μεταξύ του ΥΜΑ αφενός και της ένωσης εταιριών «ESA SECURITY AE- ADAPTIT AE», γ) η με αρ. 31/2021 Σύμβαση μεταξύ του ΥΜΑ και της εταιρίας «SPACE HELLAS Α.Ε.» και δ) απόσπασμα της με αρ. 1/2021 Σύμβασης μεταξύ του ΥΜΑ και της εταιρίας «ESA SECURITY SOLUTIONS Α.Ε.». Ωστόσο οι προσκομισθείσες ως άνω υπό α) έως γ) συμβάσεις για το σύστημα «Κένταυρος» δεν περιέχουν όρους για την επεξεργασία δεδομένων εκ μέρους των αναδόχων ως εκτελούντων την επεξεργασία στο πλαίσιο της υλοποίησης του συστήματος αυτού συμφώνως προς τις διατάξεις του άρθρου 28 ΓΚΠΔ, ενώ η «Ενημέρωση για την Επεξεργασία των Προσωπικών Δεδομένων», η οποία υφίσταται ως Παράρτημα στο σύνολο των ως άνω υπό α) έως γ) συμβάσεων, αφορά την επεξεργασία δεδομένων στο πλαίσιο της διαδικασίας του διαγωνισμού για την υλοποίηση του έργου. Περαιτέρω, η με αρ. 1/2021 Σύμβαση μεταξύ του ΥΜΑ και της εταιρίας «ESA SECURITY SOLUTIONS Α.Ε.», που αφορά επίσης στο σύστημα «Κένταυρος», δεν προσκομίζεται στο σύνολο της, αλλά μόνον απόσπασμα αυτής, στο οποίο δεν περιέχεται καμία αναφορά σε επεξεργασία δεδομένων εκ μέρους του αναδόχου ως εκτελούντος την επεξεργασία συμφώνως προς τις διατάξεις του άρθρου 28 ΓΚΠΔ.
Β) Για το σύστημα «Υπερίων» έχουν προσκομισθεί αποσπάσματα των με αρ. 60/2020, 117/2020, 141/2020, 36/2021, 3/2022 Συμβάσεων μεταξύ του ΥΜΑ και της εταιρίας «... ABEE», στα οποία δεν περιέχεται καμία αναφορά σε επεξεργασία δεδομένων εκ μέρους του αναδόχου ως εκτελούντος την επεξεργασία συμφώνως προς τις διατάξεις του άρθρου 28 ΓΚΠΔ. Κατά τους αρχικούς ισχυρισμούς του ΥΜΑ, δεν υποβλήθηκαν ή δεν υποβλήθηκαν στο σύνολό τους οι συμβάσεις του ΥΜΑ με τους υπόλοιπους εκτελούντες την επεξεργασία καθόσον αυτές αποτελούν κατά τους ισχυρισμούς του ΥΜΑ «απόρρητες συμβάσεις», ενώ στο από 31-03-2023 υπόμνημα του ΥΜΑ αναφέρεται ότι έχει εκπονηθεί σύμβαση προστασίας δεδομένων μεταξύ του ΥΜΑ και των εκτελούντων την επεξεργασία ως παράρτημα των συμβάσεων με τους αναδόχους και εκκρεμεί ο έλεγχος και η υπογραφή τους. Συναφώς, υπενθυμίζεται ότι σύμφωνα με το άρθρο 58 παρ. 1 ΓΚΠΔ στοιχ. ε΄ η εθνική εποπτική αρχή έχει εξουσίες έρευνας και συγκεκριμένα εξουσία «να αποκτά, από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα και όλες τις πληροφορίες που απαιτούνται για την εκτέλεση των καθηκόντων της» και σύμφωνα με το άρθρο 15 παρ. 1 του ν. 4624/2019 για τις ερευνητικές και διορθωτικές της εξουσίες «κατά τη διενέργεια των ερευνών και ελέγχων η Αρχή έχει την εξουσία να αποκτά από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για τους σκοπούς του σχετικού ελέγχου και την εκτέλεση των καθηκόντων της, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο». Στη συγκεκριμένη υπόθεση η Αρχή κάλεσε το ΥΜΑ να προσκομίσει σχετικές συμβάσεις μόνο προκειμένου να διαπιστωθεί η σύναψή τους μεταξύ του υπεύθυνου επεξεργασίας και των επιμέρους εκτελούντων την επεξεργασία και ιδίως να ελεγχθεί το απαιτούμενο παράρτημα σύμβασης με τους όρους για την προστασία δεδομένων προσωπικού χαρακτήρα. Ωστόσο δεν προσκομίστηκαν ενώπιον της Αρχής τα αναγκαία για τον έλεγχο αυτό στοιχεία, αλλά μόνο μια από τις συμβάσεις του ΥΜΑ με τους εκτελούντες την επεξεργασία και δη σε μορφή σχεδίου και η σύμβαση του YMA με την Ανώνυμη Εταιρεία «Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης ΑΕ» (Η.Δ.Ι.Κ.Α. ΑΕ), η οποία περιλαμβάνει ως Παράρτημα Σύμβαση για την Προστασία Προσωπικών Δεδομένων. Εκ των ελλιπών στοιχείων αυτών δεν είναι δυνατή η εξαγωγή ασφαλών συμπερασμάτων από την Αρχή αναφορικά με την τήρηση των προϋποθέσεων που θέτει το άρθρο 28 ΓΚΠΔ για τους εκτελούντες την επεξεργασία, αφού δεν προκύπτει ότι έχουν συνομολογηθεί συμβάσεις για την προστασία δεδομένων μεταξύ του ΥΜΑ ως υπευθύνου επεξεργασίας και των αναφερομένων εκτελούντων την επεξεργασία. Κατά συνέπεια δεν τεκμηριώθηκε επαρκώς εκ μέρους του ΥΜΑ ως υπευθύνου επεξεργασίας, ενώπιον της Αρχής η τήρηση των όρων των ως άνω διατάξεων του άρθρου 28 ΓΚΠΔ και, συνεπώς, προκύπτει παραβίαση του άρθρου αυτού.
22) Επειδή αναφορικά με την τήρηση αρχείων δραστηριοτήτων, με το αρ. πρωτ. Γ/ΕΙΣ/2625/07-04-2023 υπόμνημα το ΥΜΑ επεσήμανε ότι η κατάρτιση του αρχείου δραστηριοτήτων έχει ανατεθεί στον ΥΠΔ και δεν είχε κατά το χρόνο εκείνο ολοκληρωθεί. Επισημαίνεται ότι κατά το χρόνο εκείνο τα εξεταζόμενα συστήματα βρίσκονταν ήδη σε πλήρη λειτουργία, ενώ, συμφώνως προς τις επιταγές του άρθρου 25 παρ. 1 και 2 ΓΚΠΔ αναφορικά με την απαίτηση προστασίας από το σχεδιασμό και εξ ορισμού, το αρχείο δραστηριοτήτων θα έπρεπε να έχει καταρτιστεί τουλάχιστον πριν την έναρξη λειτουργίας των εν λόγω συστημάτων. Εξάλλου, σύμφωνα με το άρθρο 30 παρ. 1 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας έχει κατ’ αρχήν την υποχρέωση τήρησης αρχείου δραστηριοτήτων και κατά περίπτωση δύναται να το τηρεί εκπρόσωπος του. Συνεπώς, η επίκληση της μη εμπρόθεσμης ανάθεσης της συγκεκριμένης υποχρέωσης στον ΥΠΔ είναι αλυσιτελής. Επομένως, το ΥΜΑ, ως υπεύθυνος επεξεργασίας, ο οποίος φέρει την ευθύνη τήρησης του εν λόγω αρχείου, δεν τεκμηρίωσε ενώπιον της Αρχής την συμμόρφωσή του με το άρθρο 30 ΓΚΠΔ.
23) Επειδή αναφορικά με τη διενέργεια εκτίμησης αντικτύπου, συμπεριλαμβανομένης της εξέτασης της τήρησης της αρχής της αναλογικότητας, τόσο με το υπ’ αριθμ. πρωτ. Γ/ΕΙΣ/10875/10-10-2023 όσο και με το αρ. πρωτ. Γ/ΕΙΣ/2625/07-04-2023 υπόμνημα, το ΥΜΑ διευκρίνισε ότι η διενέργεια της ΕΑΠΔ επί των υφιστάμενων τεχνολογικών συστημάτων έλαβε χώρα χωρίς να είναι γνωστή η ολότητα της λειτουργικότητας τους και το εύρος των παραμετροποιημένων λειτουργιών τους λόγω α) του απορρήτου του περιεχόμενου των συμβάσεων και β) λόγω της εξελισσόμενης υλοποίησής τους, χωρίς αυτά να διευκρινίζονται περαιτέρω κατά την εκτίμηση της Αρχής. Το ΥΜΑ επεσήμανε δε, ότι τα πρώτα αποτελέσματα που έχουν εξαχθεί αναφορικά με τις επιπτώσεις στα υποκείμενα των δεδομένων δεν είναι ασφαλή. Συνολικά, η διενέργεια εκτίμησης αντικτύπου για κάθε ένα από τα τεχνολογικά συστήματα φαίνεται με βάση τα έγγραφα που έχει λάβει έως τώρα η Αρχή να είναι αφενός, κατακερματισμένη και περιορισμένου εύρους, ώστε να καλύπτει συγκεκριμένες επιμέρους επεξεργασίες των συστημάτων και όχι το σύνολο τους, και αφετέρου, να μην είναι πλήρως επικαιροποιημένη, ενώ, οι ισχυρισμοί του ΥΜΑ για τον απόρρητο χαρακτήρα των συμβάσεων και την εξελισσόμενη υλοποίηση τους είναι αδιάφοροι προς τις σχετικές διατάξεις του ΓΚΠΔ, δεδομένου ιδίως, ότι η διενέργεια εκτίμησης αντικτύπου αποτελεί υποχρέωση του υπευθύνου επεξεργασίας και δεν νοείται επίκληση του απόρρητου χαρακτήρα των συμβάσεων έναντι του ιδίου του υπευθύνου ή εκπροσώπου του ή του επιλεγμένου ΥΠΔ. Επομένως, κατά παράβαση του άρθρου 35 παρ. 1 έως 3 ΓΚΠΔ το ΥΜΑ, ως υπεύθυνος επεξεργασίας δεν έχει διενεργήσει ως όφειλε, συμφώνως και προς τις επιταγές του άρθρου 25 ΓΚΠΔ παρ. 1 και 2 αναφορικά με την απαίτηση προστασίας από το σχεδιασμό και εξ ορισμού, συνολική και συστηματική εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία προσωπικών δεδομένων πριν από την έναρξη κάθε επεξεργασίας, ούτε έχει ζητήσει εγκαίρως την γνώμη του ΥΠΔ.
24) Επειδή, αναφορικά με τη διασύνδεση των συστημάτων «Κένταυρος» και «Υπερίων» με άλλα συστήματα του δημοσίου τομέα (ΧΚΑ – ΑΛΚΥΟΝΗ ΙΙ - ΗΔΙΚΑ- ΑΑΔΕ), η Αρχή έλαβε υπόψη τις διευκρινίσεις που δίδονται μερικώς με το με αρ. πρωτ. Γ/ΕΙΣ/2625/07-04-2023 υπόμνημα, μεταξύ αυτών και με την προσκομισθείσα (σε μορφή σχεδίου) σύμβαση μεταξύ του ΥΜΑ και της ΗΔΙΚΑ Α.Ε. (στην οποία, πάντως, παραλείπονται οι απαιτούμενοι όροι περί προστασίας προσωπικών δεδομένων) σχετικά με τις διασυνδέσεις των πληροφοριακών συστημάτων με άλλα συστήματα. Ιδιαιτέρως, σε σχέση με το σύστημα «Κένταυρος» αναφέρεται ότι πραγματοποιείται πρόσβαση στα δεδομένα ωφελούμενων από εξουσιοδοτημένους χρήστες της ΕΛ.ΑΣ. μέσω ενός διαβαθμισμένου φυσικά ανεξάρτητου δικτύου «POL». Πέραν τούτου χρησιμοποιείται ένα πληροφοριακό σύστημα ηλεκτρονικής διαχείρισης εγγράφων «ΙΡΙΔΑ», του οποίου διαχειριστές είναι εξουσιοδοτημένα στελέχη της Πολεμικής Αεροπορίας, για την ασφαλή διακίνηση της εισερχόμενης και εξερχόμενης αλληλογραφίας που πραγματοποιείται μεταξύ άλλων με το χαρακτηρισμό των εγγράφων ως απορρήτων ώστε να διαμοιράζονται σε αποκλειστικά διαβαθμισμένους ρόλους. Όσον αφορά στο σύστημα «Υπερίων», αυτό θα επικοινωνεί με το μη υλοποιημένο ακόμα σύστημα «ΑΛΚΥΟΝΗ ΙΙ». Αναφέρεται δε και η δημιουργία mobile application με σκοπό την δημιουργία ηλεκτρονικής θυρίδας αναφορικά με την διαδικασία αίτησης για προσωποποιημένη ενημέρωση στην υπηρεσία. Η τροφοδότηση του συστήματος «Υπερίων» φαίνεται να γίνεται μέσω του συστήματος «ΧΚΑ» το οποίο σύμφωνα με το τελευταίο έγγραφο του ΥΜΑ φιλοξενείται σε εγκαταστάσεις της ΕΛ.ΑΣ. χωρίς να υπάρχει πρόσβαση από αυτήν, παρά μόνο από την αρμόδια για το Άσυλο Υπηρεσία του ΥΜΑ, χωρίς όμως αυτό να διευκρινίζεται περαιτέρω στο ανωτέρω υπόμνημα. Τέλος, αναφέρονται οι νομοθετικές ρυθμίσεις που αφορούν στην επικοινωνία μεταξύ του συστήματος «Υπερίων» και «ΗΔΙΚΑ» και «ΑΑΔΕ», χωρίς όμως να δίνονται επαρκή στοιχεία για τον τρόπο διασύνδεσης τους. Σε κάθε περίπτωση, από την επισκόπηση του συνόλου των στοιχείων του φακέλου, δεν προσκομίζονται ενώπιον της Αρχής στοιχεία που να επεξηγούν περαιτέρω τις διασυνδέσεις μεταξύ των ανωτέρω συστημάτων, με συνέπεια να μην καθίσταται δυνατή η κρίση της Αρχής περί της τήρησης των αρχών της νομιμότητας σύμφωνα με το άρθρο 5 του ΓΚΠΔ ιδίως αναφορικά με την διασύνδεση του συστήματος «Κένταυρος». Παράλληλα σημειώνεται, ότι τα προαναφερόμενα στοιχεία, που δεν προσκομίσθηκαν με συνέπεια την απουσία λεπτομερούς περιγραφής και ανάλυσης της διασύνδεσης των συστημάτων, θα έπρεπε να έχουν ήδη αποτυπωθεί και στην εκτίμηση αντικτύπου των συστημάτων αυτών με την επακόλουθη ανάλυση των πιθανών κινδύνων και των αντίστοιχων μέτρων αντιστάθμισης τους.
25) Επειδή αναφορικά με τον ορισμό, τη θέση και την επάρκεια εκτέλεσης των καθηκόντων του/των υπευθύνου/ων προστασίας προσωπικών δεδομένων (άρθρα 37 έως 39 ΓΚΠΔ και άρθρα 6 έως 8 του ν. 4624/2019), με το με αρ. πρωτ. Γ/ΕΙΣ/2625/07- 04-2023 υπόμνημα, το ΥΜΑ τονίζει την καταλυτική σημασία του ΥΠΔ και παραθέτει κατάλογο καθηκόντων, συμφώνως προς τις διατάξεις του άρθρου 39 ΓΚΠΔ. Ωστόσο δεν προσκομίζεται ενώπιον της Αρχής σύμβαση για τον ορισμό του ΥΠΔ, με αναλυτική περιγραφή των καθηκόντων του, ώστε η Αρχή να είναι σε θέση να κρίνει αν κατ’ αρχήν, με βάση τη συναφθείσα σύμβαση, ο ορισθείς από το ΥΜΑ ΥΠΔ πληροί
τα κριτήρια και τις προδιαγραφές που τίθενται από τις ανωτέρω διατάξεις του ΓΚΠΔ και του ν. 4624/2019 λαμβανομένων υπόψη και των Κατευθυντήριων γραμμών σχετικά με τους υπεύθυνους προστασίας δεδομένων της Ομάδας Εργασίας του Άρθρου 29. Περαιτέρω, από την επισκόπηση του συνόλου των στοιχείων του φακέλου, ειδικά μετά την υποβολή στην Αρχή ημιτελών κειμένων και ανακριβών, αντιφατικών και συγκεχυμένων απαντήσεων (π.χ. δεν έχουν παρασχεθεί, μεταξύ άλλων, διευκρινίσεις ως προς τους αλγόριθμους ανάλυσης συμπεριφοράς, ούτε για τη συμβολή του ΥΠΔ στη διενέργεια εκτίμησης αντικτύπου – άρθρα 39 παρ. 1 στοιχ. γ’ και 35 παρ. 2 ΓΚΠΔ), κρίνεται ότι το ΥΜΑ δεν τεκμηρίωσε επαρκώς ενώπιον της Αρχής ότι ο ορισθείς από το ΥΜΑ ΥΠΔ συμμετείχε, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα, συμφώνως προς τις διατάξεις του άρθρου 38 παρ. 1 ΓΚΠΔ και 7 παρ. 1 ΓΚΠΔ, έχοντας πλήρη εικόνα των διαδικασιών που εκτελούνται από τα υπό κρίση συστήματα, παρέχοντας γνωμοδοτήσεις και οδηγίες προς τον υπεύθυνο επεξεργασίας σχετικά με τις πράξεις επεξεργασίας που αναφέρονται στο παρόν. Ομοίως, δεν στοιχειοθετείται και η αντίστοιχη ανταπόκριση του υπευθύνου επεξεργασίας (ΥΜΑ), ο οποίος στην περίπτωση, που τυχόν επέλεξε να αγνοήσει τις συμβουλές του ΥΠΔ, οφείλει να τεκμηριώνει τους λόγους εγγράφως, ώστε να υποβάλλονται ενώπιον της εποπτικής αρχής σύμφωνα με την αρχή της λογοδοσίας. Με τα δεδομένα αυτά προκύπτει παραβίαση των διατάξεων των άρθρων 37 έως 39 του ΓΚΠΔ.
26) Επειδή λαμβανομένων υπόψη των ως άνω υπό συμπερασμάτων, τα οποία στηρίζονται σε εκτίμηση όλων των στοιχείων του φακέλου και όσων προέκυψαν από την ακροαματική διαδικασία και των υποβληθέντων υπομνημάτων, κρίνεται ότι το ΥΜΑ, ως υπεύθυνος επεξεργασίας δεν τεκμηρίωσε ενώπιον της Αρχής τη συμμόρφωσή του συμφώνως προς την αρχή της λογοδοσίας (άρθρο 5 παρ. 2 ΓΚΠΔ), καθόσον δεν παρείχε, ως όφειλε, ενώπιον της Αρχής πλήρη, ακριβή και σαφή στοιχεία ώστε να τεκμηριώσει επαρκώς τη νομιμότητα των ενεργειών που πραγματοποιούνται στα πλαίσια των ως άνω συστημάτων και αφορούν επεξεργασία δεδομένων προσωπικού χαρακτήρα. Αντιθέτως, από την εξέταση των προσκομισθέντων στοιχείων και υπομνημάτων προκύπτουν αφενός ασάφειες και αντιφατικοί ισχυρισμοί, αφετέρου παράλειψη συμμόρφωσης σε σειρά διατάξεων του ΓΚΠΔ και του ν. 4624/2019 κατά τα αναφερόμενα στις προηγούμενες σκέψεις. Η δε παράλειψη συμμόρφωσης αποτελεί παραδοχή του ιδίου του ΥΜΑ στο από 10-10- 2022 υπόμνημά του, στο οποίο γίνεται σχετική αναφορά στον νεοσύστατο χαρακτήρα του Υπουργείου, ο ισχυρισμός όμως αυτός είναι αλυσιτελής διότι δεν δικαιολογεί πάντως την παραβίαση των προαναφερόμενων βασικών κανόνων προστασίας προσωπικών δεδομένων κατά τη λειτουργία των ανωτέρω συστημάτων «Κένταυρος» και «Υπερίων». Επιπροσθέτως, η παράλειψη συμμόρφωσης καταλείπει αμφιβολίες για την πληρότητα του σχεδιασμού σε σχέση με την παροχή δυνατότητας άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων και την ορθή εφαρμογή των σχετικών διατάξεων του ΓΚΠΔ, μολονότι το ζήτημα δεν εξετάστηκε από την Αρχή ειδικώς και, ως εκ τούτου, δεν λαμβάνεται υπόψη κατά τη διαμόρφωση της κρίσης της. Περαιτέρω, η Αρχή διαπιστώνει ότι ο υπεύθυνος επεξεργασίας κατά τη διάρκεια της εξέτασης της υπόθεσης και παρά τις επάλληλες κλήσεις της προς παροχή συγκεκριμένων διευκρινήσεων και ανάλυσης των υπό εξέταση θεμάτων, επέδειξε δυσχέρεια στη συνεργασία με την Αρχή σχετικά με την παροχή πληροφοριών και συγκεκριμένα με την υποβολή συμβάσεων με τους εκτελούντες την επεξεργασία, και συμβάσεων με τον υπεύθυνο προστασίας δεδομένων, καθώς και με την παροχή διευκρινίσεων για την επεξεργασία που πραγματοποιείται μέσω του συστήματος «Κένταυρος» και ιδίως τις αυτοματοποιημένες λειτουργίες του, και την διασύνδεση των συστημάτων «Κένταυρος» και «Υπερίων» με άλλα συστήματα του Δημοσίου. Κατόπιν αυτών, η Αρχή κρίνει ότι η μη υποβολή ενώπιον της κρίσιμων για την εξέταση της υπό κρίση υπόθεσης στοιχείων, συνιστά παραβίαση της υποχρέωσης συνεργασίας του ΥΜΑ, ως υπευθύνου επεξεργασίας, με την εποπτική αρχή κατά τις διατάξεις του άρθρου 31 του ΓΚΠΔ, οι οποίες εντάσσονται στις υποχρεώσεις λογοδοσίας του υπευθύνου επεξεργασίας ενώπιον της εποπτικής Αρχής.
27) Επειδή, σύμφωνα με τις προηγούμενες σκέψεις, η Αρχή κρίνει ότι σε σχέση με τις ως άνω αναλυτικά περιγραφόμενες παραβιάσεις συντρέχει περίπτωση άσκησης των εκ του άρθρου 58 παρ. 2 ΓΚΠΔ διορθωτικών εξουσιών της. Ειδικότερα, για τις παραβιάσεις των άρθρων 31 και 35 ΓΚΠΔ η Αρχή κρίνει ότι συντρέχει περίπτωση επιβολής, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 στοιχ. θ’ ΓΚΠΔ, αποτελεσματικού, αναλογικού και αποτρεπτικού διοικητικού χρηματικού προστίμου, συμφώνως προς τα άρθρα 83 ΓΚΠΔ και 39 του Ν. 4624/2019, λαμβάνοντας υπόψη και τις Κατευθυντήριες Γραμμές 04/2022 για τον υπολογισμό των διοικητικών προστίμων υπό τον ΓΚΠΔ του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων, στο βαθμό που δύναται να τύχουν εφαρμογής στην υπό κρίση υπόθεση.
28) Επειδή, σύμφωνα με το άρθρο 83 παρ. 4 ΓΚΠΔ «Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο: α) οι υποχρεώσεις του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία σύμφωνα με τα άρθρα 8, 11, 25 έως 39 και 42 και 43, (…)», και σύμφωνα με το άρθρο 83 παρ. 5 ΓΚΠΔ «Παραβάσεις των ακόλουθων διατάξεων επισύρουν, σύμφωνα με την παράγραφο 2, διοικητικά πρόστιμα έως 20 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 4 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους, ανάλογα με το ποιο είναι υψηλότερο: α) οι βασικές αρχές για την επεξεργασία, περιλαμβανομένων των όρων που ισχύουν για την έγκριση, σύμφωνα με τα άρθρα 5, 6, 7 και 9, β) τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τα άρθρα 12 έως 22, (..)», ενώ σύμφωνα με το άρθρο 83 παρ. 7 ΓΚΠΔ: «Με την επιφύλαξη των διορθωτικών εξουσιών των εποπτικών αρχών σύμφωνα με το άρθρο 58 παράγραφος 2, κάθε κράτος μέλος δύναται να καθορίζει τους κανόνες για το εάν και σε ποιο βαθμό διοικητικά πρόστιμα μπορεί να επιβάλλονται σε δημόσιες αρχές και φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος.»
Περαιτέρω, σύμφωνα με το άρθρο 39 του ν. 4624/2019 «1. Με την επιφύλαξη των διορθωτικών εξουσιών της Αρχής σύμφωνα με το άρθρο 58 παράγραφος 2 του ΓΚΠΔ, η Αρχή με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει στους φορείς του δημόσιου τομέα, όπως αυτός οριοθετείται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 14 του ν. 4270/2014 (Α΄143), εξαιρουμένων των δημοσίων επιχειρήσεων και των οργανισμών του Κεφαλαίου Α΄ του ν. 3429/2005 (Α΄ 314), υπό την ιδιότητά τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, για τις παραβάσεις: α) της περίπτωσης α) της παραγράφου 4 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 8, 27, 29, 42, 43 του ΓΚΠΔ, β) των παραγράφων 5 και 6 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 17, 20, 47, 90 και 91 του ΓΚΠΔ, γ) των άρθρων 5, 6, 7, 22, 24, 26, 27 (πλην της παραγράφου 7 αυτού), 28 έως και 31, και των άρθρων 32 παράγραφος 1 περίπτωση α΄, 33 έως και 35 του παρόντος, διοικητικό πρόστιμο έως δέκα εκατομμύρια (10.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για τον καθορισμό του ύψους αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα: α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων προσωπικού χαρακτήρα που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν, β) οποιεσδήποτε ενέργειες στις οποίες προέβη o φορέας του δημόσιου τομέα, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα, γ) τυχόν σχετικές προηγούμενες παραβάσεις του φορέα του δημόσιου τομέα, δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση, ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσο ο φορέας του δημόσιου τομέα κοινοποίησε την παράβαση και στ) εάν έχουν ήδη διαταχθεί σε βάρος του φορέα του δημόσιου τομέα, για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 58 παράγραφος 2 του ΓΚΠΔ, ο βαθμός συμμόρφωσής του με αυτά.
3. Σε περίπτωση που ο φορέας του δημόσιου τομέα για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του ΓΚΠΔ ή του παρόντος, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.»
29) Επειδή, κατά την αξιολόγηση των δεδομένων, προκειμένου να επιλεγεί το πρόσφορο και διορθωτικό μέτρο, η Αρχή συνεκτιμά τα εξής:
- ότι η επίμαχη επεξεργασία σχετίζεται με τις κύριες δραστηριότητες του υπευθύνου επεξεργασίας (άρθρο 39 παρ. 2 στοιχ. α΄ του ν. 4624/2019)
- ότι η επεξεργασία για σκοπούς επιτήρησης, για την οποία προκύπτουν παραβιάσεις των διατάξεων του ΓΚΠΔ, αφορούν σε μεγάλο αριθμό υποκειμένων, μεταξύ των οποίων εργαζόμενοι και άτομα με χαρακτηριστικά ευαλωτότητας, τα οποία έχουν πραγματική δυσχέρεια στη δυνατότητα άσκησης των δικαιωμάτων τους και τυχόν υποβολή καταγγελίας (άρθρο 39 παρ. 2 στοιχ. α΄ του ν. 4624/2019)
- ότι δεν προκύπτει υλική βλάβη των υποκειμένων των δεδομένων (άρθρο 39 παρ. 2 στοιχ. α΄ του ν. 4624/2019)
- ότι πρόκειται για δραστηριότητες επεξεργασίας μεγάλου όγκου δεδομένων, συμπεριλαμβανομένων δεδομένων ειδικών κατηγοριών, ιδίως βιομετρικών (άρθρο 39 παρ. 2 στοιχ. δ΄ του ν. 4624/2019)
- ότι δεν έχουν διαπιστωθεί σχετικές προηγούμενες παραβάσεις του ΥΜΑ (άρθρο 39 παρ. 2 στοιχ. γ΄ του ν. 4624/2019) και ότι δεν έχουν διαταχθεί σε βάρος του ΥΜΑ οι διορθωτικές εξουσίες κατ΄ άρθρο 58 παρ. 2 του ΓΚΠΔ της Αρχής για τις ίδιες παραβάσεις (άρθρο 39 παρ. 2 στοιχ. στ΄ του ν. 4624/2019).
ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή
Α) διαπιστώνει ότι η μη διενέργεια ολοκληρωμένης, συνολικής και συνεκτικής Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) ήδη από το σχεδιασμό και εξ ορισμού, πριν την προμήθεια και τη θέση σε εφαρμογή των συστημάτων «Κένταυρος» και «Υπερίων» συνιστά παραβίαση των άρθρων 25 και 35 ΓΚΠΔ και επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ ΓΚΠΔ στο Υπουργείο Μετανάστευσης και Ασύλου χρηματικό πρόστιμο ύψους εκατό χιλιάδων (100.000) ευρώ, για τους λόγους που εκτενώς αναλύονται στο σκεπτικό της παρούσης,
Β) διαπιστώνει ότι η υποβολή ενώπιον της Αρχής υπομνημάτων και συνοδευτικών εγγράφων περιεχόντων ασαφείς, ελλιπείς, συγκεχυμένες και αντιφατικές πληροφορίες, όπως αυτές περιγράφονται στο σώμα της παρούσης, η μη υποβολή ενώπιον της Αρχής κειμένου συμβάσεων με τους εκτελούντες την επεξεργασία που περιέχει ρήτρες αναφορικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των συστημάτων «Κένταυρος» και «Υπερίων» συμφώνως προς το άρθρο 28 ΓΚΠΔ, η μη παροχή διευκρινίσεων για την επεξεργασία που πραγματοποιείται μέσω του συστήματος Κένταυρος και ιδίως τις αυτοματοποιημένες λειτουργίες του, και για την διασύνδεση των συστημάτων «Κένταυρος» και «Υπερίων» με άλλα συστήματα του Δημοσίου παραλείποντας να παράσχει τις πληροφορίες που του ζητήθηκαν, καθώς και η μη υποβολή συμβάσεων, τις οποίες το ΥΜΑ, κατά τους ισχυρισμούς του, συνήψε με τον υπεύθυνο προστασίας δεδομένων, συνιστούν παραβίαση του άρθρου 31 ΓΚΠΔ και επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ΄ ΓΚΠΔ στο Υπουργείο Μετανάστευσης και Ασύλου χρηματικό πρόστιμο ύψους εβδομήντα πέντε χιλιάδων (75.000) ευρώ, για τους λόγους που εκτενώς αναλύονται στο σκεπτικό της παρούσης, και
Γ) δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. δ΄ ΓΚΠΔ, στο Υπουργείο Μετανάστευσης και Ασύλου, ως υπεύθυνο επεξεργασίας, όπως προβεί στο σύνολο των απαραίτητων ενεργειών για την ολοκλήρωση της συμμόρφωσής του με τις υποχρεώσεις του υπευθύνου επεξεργασίας, όπως αυτές περιγράφονται στο σώμα της παρούσης, εντός προθεσμίας 3 (τριών) μηνών από τη λήψη της παρούσης, ενημερώνοντας σχετικώς την Αρχή.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου