ΓΝΩΜΟΔΟΤΗΣΗ 1/2026
Αθήνα, 02-02-2026
Αριθ. Πρωτ.: 564
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Αναπληρωτή Προέδρου της σε συνεδρίαση μέσω τηλεδιασκέψεως την Τρίτη 27/01/2026 και ώρα 11:00, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Αναπληρωτής Πρόεδρος της Αρχής, Γεώργιος Μπατζαλέξης παραιτηθέντος του Προέδρου Κωνσταντίνου Μενουδάκου και τα τακτικά μέλη της Αρχής Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης ως εισηγητής, Χαράλαμπος Ανθόπουλος, Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου, επίσης ως εισηγήτρια, και Γρηγόριος Τσόλιας. Παρόντες, χωρίς δικαίωμα ψήφου, ήταν οι Χαρίκλεια Λάτσιου, Αικατερίνη Χατζηδιάκου και Γεώργιος Ρουσόπουλος, ειδικοί επιστήμονες, ως βοηθοί εισηγητών και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα παρακάτω:
Το Υπουργείο Ψηφιακής Διακυβέρνησης (εφεξής ΥΨΔ) υπέβαλε στην Αρχή το με αρ. πρωτ. Γ/ΕΙΣ/8340/04-09-2025 μήνυμα ηλεκτρονικού ταχυδρομείου με το οποίο ζήτησε την παροχή γνώμης της Αρχής σύμφωνα με το 13 παρ. 1 περ. γ΄ του ν. 4624/2019, για το σχέδιο διάταξης νόμου που αφορά στο έργο “GOV CRM - Ενιαία Ψηφιακή Υποδομή για την Εξυπηρέτηση Πολιτών και Επιχειρήσεων”, συνοδευόμενο από την μελέτη εκτίμησης αντικτύπου. Στο ανωτέρω μήνυμα γίνεται αναφορά στις προηγηθείσες συζητήσεις, που έλαβαν μέρος με την Αρχή σχετικά με το αρχικό κατεπείγον αίτημα για γνωμοδότηση από την Αρχή που είχε υποβάλει το ΥΨΔ για το εν λόγω σχέδιο διάταξης νόμου. Συγκεκριμένα, το ΥΨΔ με το αρ. πρωτ. Γ/ΕΙΣ/9659/12-12-2024 έγγραφο είχε αποστείλει προς γνωμοδότηση αρχική μορφή του σχεδίου διάταξης, επί του οποίου η Αρχή διαβίβασε στο ΥΨΔ, με το υπ’ αριθμ. πρωτ. Γ/ΕΞΕ/3669/24-12-2024 έγγραφό της, το πρακτικό της από 19-12-2024 συνεδρίασης της Ολομέλειάς της, στο οποίο καταγράφονται παρατηρήσεις και ζητείται από το ΥΨΔ να αντιμετωπίσει τα ζητήματα που επισημαίνονται ώστε να είναι σε θέση η Αρχή να εξετάσει τυχόν νεότερο αίτημα γνωμοδότησης.
Σε συνέχεια του ανωτέρω αιτήματος η Αρχή απέστειλε το με αρ. πρωτ. Γ/ΕΞΕ/3433/07-10-2025 έγγραφο, με το οποίο ζήτησε από το ΥΨΔ να της αποσταλεί η υπ’ αρ. # 2175 Σύμβαση με τίτλο «Σχεδιασμός, Υλοποίηση, θέση και υποστήριξη της Παραγωγικής Λειτουργίας της Ενιαίας Ψηφιακής Υποδομής για την Εξυπηρέτηση Πολιτών και Επιχειρήσεων (CRM)», του Εθνικού Ταμείου Ανάκαμψης και Ανθεκτικότητας «Ελλάδα 2.0», να ενημερώσει εάν υπάρχει κάποια επικαιροποίηση της από 02-09-2024 Γνωμοδότησης των δύο εταιρειών συμβούλων, που φαίνεται να συμμετέχουν στην κοινοπραξία του έργου, και να απαντήσει στα διευκρινιστικά ερωτήματα τα οποία είχαν υποβληθεί από την Αρχή σε προηγούμενο έγγραφό της (το με αρ. πρωτ. Γ/ΕΞΕ/3669/24-12-2024 έγγραφο). Το ΥΨΔ απάντησε με το με αρ. πρωτ. Γ/ΕΙΣ/10699/22-10-2025 έγγραφο, με το οποίο εκτός του σχεδίου διάταξης νόμου και της επικαιροποιημένης μελέτης εκτίμησης αντικτύπου, απέστειλε τις απαντήσεις επί των τιθέμενων ερωτημάτων της Αρχής και την ανωτέρω ζητηθείσα σύμβαση. Σε συνέχεια του ανωτέρω απαντητικού εγγράφου, στις 26-11-2025 έλαβε χώρα συνάντηση μεταξύ του ΥΨΔ, των εξωτερικών συνεργατών του και της Αρχής κατά την οποία συζητήθηκαν εκτενέστερα βασικά σημεία του σχεδίου διάταξης νόμου και οι διευκρινίσεις που δόθηκαν μέσω του τελευταίου εγγράφου, καθώς επίσης το ΥΨΔ δεσμεύτηκε να αποστείλει εκ νέου το αναθεωρημένο σχέδιο διάταξης νόμου.
Ακολούθως, το ΥΨΔ απέστειλε με το με αρ. πρωτ. Γ/ΕΙΣ/12614/02-12-2025, το αναθεωρημένο προτεινόμενο σχέδιο διάταξης νόμου, ενώ με το με αρ. πρωτ. Γ/ΕΙΣ/176/08-01-2026 μήνυμα ηλεκτρονικού ταχυδρομείου γίνεται παράκληση κατεπείγουσας έκδοσης γνώμης της Αρχής για το τελικό σχέδιο διάταξης νόμου λόγω ασφυκτικών χρονικών προθεσμιών για την υλοποίηση και την εφαρμογή του σχεδιαζόμενου οικοσυστήματος.
Από τα στοιχεία του φακέλου προκύπτει ότι το έργο βρίσκεται στη φάση ανάπτυξης των συστημάτων και υπηρεσιών και, συνεπώς, έχει ολοκληρωθεί η βασική του σχεδίαση. Με βάση την περιγραφή που προσκομίστηκε στην Αρχή, το CRM αποτελεί οικοσύστημα υλοποίησης και υποστήριξης διαφόρων υπηρεσιών μέσω πολλαπλών καναλιών εξυπηρέτησης και διαχείρισης υποθέσεων τόσο των πολιτών όσο και των επιχειρήσεων. Στόχος του σχεδιαζόμενου οικοσυστήματος είναι η αναβάθμιση και κεντρικοποίηση των παρεχόμενων υπηρεσιών του κράτους στον πολίτη και την επιχείρηση.
Ειδικότερα, στο οικοσύστημα του CRM περιλαμβάνονται: 1) το Σύστημα Διαχείρισης Σχέσεων με τους Πολίτες και 2) το Ενιαίο Κέντρο Εξυπηρέτησης (το οποίο περιλαμβάνει κέντρο τηλεφωνικής επικοινωνίας και contact center μέσω του support.gov.gr, voicebot και chatbot). Το υπό εξέταση σύστημα συνεργάζεται και συλλειτουργεί με το υφιστάμενο σύστημα των ΚΕΠ (e-KEP), ώστε οι υπηρεσίες που έχουν υλοποιηθεί στο περιβάλλον του e-KEP, να συνεχίσουν να εκτελούνται μέσα από το e-KEP. Περαιτέρω, διαλειτουργεί αμφίδρομα με την Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης (gov.gr – ΕΨΠ).
Βασικό χαρακτηριστικό της ψηφιακής υποδομής του Συστήματος Διαχείρισης Σχέσεων με τους Πολίτες και την επιχείρηση αποτελεί η αποθήκευση σε ένα ενιαίο αποθετήριο πλειάδας πληροφοριών, με σκοπό την πλήρη απεικόνιση των στοιχείων ταυτοποίησης, επικοινωνιών, ζητημάτων, δικαιωμάτων και υποχρεώσεων κ.α. των εξυπηρετούμενων, καθώς και της τρέχουσας θέσης με το κράτος (καρτέλα πολίτη και επιχείρησης αντίστοιχα).
Η καρτέλα πολίτη και επιχείρησης αποτελεί μια βάση δεδομένων προσωπικών στοιχείων του πολίτη και των επιχειρησιακών στοιχείων της επιχείρησης αντίστοιχα, η οποία θα αντλεί μέσω διαλειτουργικότητας δεδομένα από τα πρωτογενή μητρώα και Πληροφοριακά Συστήματα του Δημοσίου καθώς και από τα υπόλοιπα συστήματα του CRM και θα τα διατηρεί επικαιροποιημένα. Η σχεδιαστική επιλογή, που έχει επιλεγεί, είναι αυτή της κεντρικής αποθήκευσης όλων των δεδομένων από τα επιμέρους αρχεία του δημοσίου και ο περαιτέρω συγχρονισμός αυτών για επικαιροποίηση των στοιχείων σε περίπτωση αλλαγών.
Με βάση τα στοιχεία που προσκομίζονται, το CRM θα τηρεί στο κεντρικό αποθετήριο τα εξής δεδομένα από πρωτογενή μητρώα του Δημοσίου, για τα οποία αναφέρεται μόνον ενδεικτική απαρίθμηση: Δημογραφικά στοιχεία, Στοιχεία Απασχόλησης, Στοιχεία ταυτοποίησης, Στοιχεία Επικοινωνίας, Ραντεβού του πολίτη με Φορείς του Δημοσίου, καθώς και το ιστορικό της πορείας εξέλιξης των υποθέσεων του πολίτη έως την ολοκλήρωση αυτών. Με βάση την περιγραφή του προτεινόμενου σχεδίου διάταξης νόμου του ΥΨΔ, τα επιμέρους συστήματα του CRM περιλαμβάνουν:
1. Σύστημα διαχείρισης σχέσεων με τους Πολίτες, για την επικαιροποιημένη και κεντρικοποιημένη απεικόνιση πληροφοριών και της τρέχουσας σχέσης πολιτών και επιχειρήσεων με το Δημόσιο, καθώς και για την καταχώριση και διεκπεραίωση των αιτημάτων τους ή την πρόσβασή τους σε πληροφορίες, αναφορικά με την κατάσταση των υποθέσεών τους σε σχέση με το Δημόσιο.
2. Ενιαίο Κέντρο Εξυπηρέτησης, για την παροχή επιλεγμένων υπηρεσιών, αναφορικά με την υποστήριξη πολιτών και επιχειρήσεων, το οποίο αποτελείται από τα ακόλουθα:
a. Κέντρο τηλεφωνικής επικοινωνίας και την Πλατφόρμα Γραπτού Διαλόγου (chat)
b. Πλατφόρμα αποστολής μηνυμάτων (μέσω πολλαπλών παρόχων επικοινωνίας)
c. Πλατφόρμα αναγνώρισης φυσικού λόγου (γραπτού και φωνητικού)
d. Πλατφόρμα διαχείρισης γραπτών αιτημάτων (support.gov.gr)
3. Πλατφόρμα Επιχειρησιακής Ευφυΐας (BI/Big Data Analysis), η οποία τροφοδοτείται από όλα τα επιμέρους υποσυστήματα του CRM και δημιουργεί συνδυαστικές αναφορές μέσα από βαθιά ανάλυση των δεδομένων, παρέχοντας μια εποπτική εικόνα του επιπέδου εξυπηρέτησης. Το σύστημα ΒΙ χρησιμοποιεί ανωνυμοποιημένα δεδομένα.
4. Πλατφόρμα Διαχείρισης Ενημερωτικών Δράσεων (Campaign management), για την οργάνωση και διαχείριση προσωποποιημένων ενημερωτικών δράσεων προς πολίτες και επιχειρήσεις, η οποία αντλεί δεδομένα από τη βάση του CRM με στόχο την οργάνωση και διαχείριση προσωποποιημένων ενημερωτικών δράσεων προς πολίτες και επιχειρήσεις για νέα προγράμματα και δράσεις τα οποία τους αφορούν.
5. Κεντρικό Σύστημα Διαχείρισης Ενημερώσεων, Υπεύθυνων Δηλώσεων και Εξουσιοδοτήσεων (Consent Management), για την τήρηση των επιβεβαιώσεων των ενημερώσεων που έχει λάβει ο πολίτης, καθώς και των υπεύθυνων δηλώσεων και εξουσιοδοτήσεων που έχει δώσει κατά τις συναλλαγές του με Φορείς του Δημοσίου.
6. Κεντρική Πλατφόρμα Διαχείρισης Ραντεβού, που ψηφιοποιεί τη διαδικασία ραντεβού με φορείς της Δημόσιας Διοίκησης.
Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε τους εισηγητές και τους βοηθούς εισηγητών, οι οποίοι παρέστησαν χωρίς δικαίωμα ψήφου, μετά από διεξοδική συζήτηση
ΕΚΔΙΔΕΙ ΤΗΝ ΑΚΟΛΟΥΘΗ ΓΝΩΜΟΔΟΤΗΣΗ
Α. Εισαγωγικές παρατηρήσεις
1) Σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (εφεξής, ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α΄ 137), η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2) Ειδικότερα, στο άρθρο 57 παρ. 1 στοιχ. γ’ ΓΚΠΔ και το άρθρο 13 παρ. 1 του ν. 4624/2019, προβλέπεται ότι με την επιφύλαξη των άλλων καθηκόντων που ορίζονται στον ΓΚΠΔ, κάθε εποπτική αρχή στο έδαφός της συμβουλεύει, σύμφωνα με το δίκαιο του κράτους μέλους, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς, για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας. Επιπλέον, στο άρθρο 36 παρ. 4 του ΓΚΠΔ προβλέπεται ότι τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής, κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων, που βασίζονται σε τέτοια νομοθετικά μέτρατα οποία αφορούν την επεξεργασία. Η αιτιολογική σκέψη 96 του ΓΚΠΔ επεξηγεί την εν λόγω ρύθμιση, αναφέροντας ότι «Διαβούλευση με την εποπτική αρχή θα πρέπει επίσης να πραγματοποιείται κατά την εκπόνηση ενός νομοθετικού ή κανονιστικού μέτρου που προβλέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι κίνδυνοι για το υποκείμενο των δεδομένων.»
3) Η επεξεργασία προσωπικών δεδομένων φυσικών προσώπων από δημόσιες αρχές λειτουργεί και αναπτύσσει τις συνέπειές της στο πλαίσιο του κράτους δικαίου και της αρχής της νομιμότητας. Επιπλέον, η επεξεργασία, στο βαθμό που συνιστά περιορισμό του ατομικού δικαιώματος της προστασίας των προσωπικών δεδομένων (άρθρο 9Α Σ), πρέπει να ορίζεται γενικώς και αντικειμενικώς με τυπικό νόμο ή κατόπιν ειδικής νομοθετικής εξουσιοδότησης με προεδρικό διάταγμα, να δικαιολογείται από αποχρώντες λόγους δημοσίου συμφέροντος, να τελεί σε πρόδηλη λογική συνάφεια με τον επιδιωκόμενο σκοπό, να είναι πρόσφορη, κατάλληλη και αναγκαία για την επίτευξη του σκοπού αυτού, να μην θίγει τον πυρήνα του δικαιώματος και να μην απονέμει στη Διοίκηση ευρεία διακριτική ευχέρεια. Κατά συνέπεια, είναι απαραίτητο η επεξεργασία να προβλέπεται σε νομοθετική διάταξη, από την οποία θα προκύπτουν τα βασικά χαρακτηριστικά της επεξεργασίας, δηλαδή ο υπεύθυνος επεξεργασίας, ο σκοπός αυτής, τα δεδομένα τα οποία θα τύχουν επεξεργασίας και ο χρόνο τήρησης αυτών καθώς και οι αποδέκτες των δεδομένων. Με νομοθετική εξουσιοδότηση σύμφωνα με όσα προβλέπονται στο άρθρο 43 παρ. 2 β’ Σ, επιτρέπεται να ανατεθεί στον κανονιστικό νομοθέτη η ρύθμιση ειδικότερων, τεχνικών ή λεπτομερειακών θεμάτων, όπως ο σχεδιασμός των συγκεκριμένων συστημάτων και συγκεκριμένα των απαιτούμενων τεχνικών και λειτουργικών προδιαγραφών, τα εν γένει οργανωτικά και τεχνικά μέτρα για την ασφάλεια της επεξεργασίας των δεδομένων, καθώς και κάθε άλλη αναγκαία λεπτομέρεια. Στην ίδια λογική, η αιτιολογική σκέψη 41 του ΓΚΠΔ αναφέρει ότι «[ο]ποτεδήποτε ο παρών κανονισμός αναφέρεται σε νομική βάση ή νομοθετικό μέτρο, αυτό δεν προϋποθέτει απαραιτήτως νομοθετική πράξη εγκεκριμένη από ένα κοινοβούλιο, με την επιφύλαξη των απαιτήσεων σύμφωνα με τη συνταγματική τάξη του συγκεκριμένου κράτους μέλους. Ωστόσο, αυτή η νομική βάση ή το νομοθετικό μέτρο θα πρέπει να είναι διατυπωμένο με σαφήνεια και ακρίβεια και η εφαρμογή του να είναι προβλέψιμη για πρόσωπα που υπόκεινται σε αυτό, σύμφωνα με τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (το «Δικαστήριο») και του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου.»
4) Σύμφωνα με το άρθρο 25 παρ. 1 του ΓΚΠΔ για την προστασία των δεδομένων από το σχεδιασμό «Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.» Η απαίτηση αυτή καταλαμβάνει σαφώς και τον δημόσιο τομέα, ιδίως κατά τον σχεδιασμό μεγάλων έργων τα οποία, λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ενδέχεται να επιφέρουν νέους και σημαντικούς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων ή να διαφοροποιήσουν ουσιωδώς τους κινδύνους από την επεξεργασία. Αυτό άλλωστε ρητά προσδιορίζεται και στην αιτιολογική σκέψη 78 του ΓΚΠΔ όπου αναφέρεται ότι οι «αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού θα πρέπει επίσης να λαμβάνονται υπόψη στο πλαίσιο των δημόσιων διαγωνισμών.»
5) Σύμφωνα με το άρθρο 35 παρ. 1 του ΓΚΠΔ «[ό]ταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους». Ο ΓΚΠΔ δίνει τη δυνατότητα στα κράτη μέλη να διενεργούν γενική εκτίμηση αντικτύπου στο πλαίσιο της έγκρισης ενός νομοθετικού μέτρου (βλ. άρθρο 35 παρ. 10 ΓΚΠΔ), ενώ στην αιτιολογική σκέψη 92 ΓΚΠΔ επεξηγείται ότι όταν το αντικείμενο μιας εκτίμησης αντικτύπου, σχετικά με την προστασία των δεδομένων, υπερβαίνει ένα μεμονωμένο σχέδιο, για παράδειγμα εάν δημόσιες αρχές ή φορείς σκοπεύουν να εγκαθιδρύσουν μια κοινή εφαρμογή ή πλατφόρμα επεξεργασίας, ενδέχεται να είναι λογικό και οικονομικό να πραγματοποιείται μια ενιαία εκτίμηση κατά την ψήφιση της διάταξης.
6) Οι προτεινόμενες διατάξεις, φαίνεται καταρχήν να έχουν αντιμετωπίσει τα ζητήματα που είχαν τεθεί από την Αρχή και η σχεδιαζόμενη επεξεργασία προσωπικών δεδομένων ακολουθεί, σε γενικές γραμμές, τις αρχές του άρθρου 5 παρ. 1 του ΓΚΠΔ, ιδίως την αρχή της ελαχιστοποίησης των δεδομένων επί της οποίας είχε τεθεί προβληματισμός από την Αρχή. Ακολούθως, η Αρχή επισημαίνει επιμέρους ζητήματα τα οποία σκόπιμο είναι να αντιμετωπισθούν στο τελικό σχέδιο διάταξης.
Β. Παρατηρήσεις στα επιμέρους άρθρα του σχεδίου νόμου
1. Άρθρο 4
Με τη σχεδιαζόμενη διάταξη απαριθμούνται οι κατηγορίες προσωπικών δεδομένων των πολιτών που αντλούνται από πρωτογενή Μητρώα και Πληροφοριακά Συστήματα του Δημοσίου Τομέα στο πλαίσιο λειτουργίας του ενιαίου Αποθετηρίου Δεδομένων και τα οποία υπόκεινται σε περαιτέρω επεξεργασία. Η απαρίθμηση γίνεται ενδεικτικά και όχι περιοριστικά. Επισημαίνεται ότι οι κατηγορίες προσωπικών δεδομένων, που τυγχάνουν επεξεργασίας, πρέπει να προσδιορίζονται ρητώς και ακριβώς στο σχεδιαζόμενο σχέδιο διάταξης με εξαντλητική απαρίθμηση. Προηγουμένως πρέπει να εξετάζεται αν η επεξεργασία των δεδομένων αυτών είναι πράγματι αναγκαία και πρόσφορη για την επίτευξη του επιδιωκόμενου σκοπού σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ.1 στοιχ. γ ΓΚΠΔ).
2. Άρθρο 5
Με τη σχεδιαζόμενη διάταξη απαριθμούνται ενδεικτικά τα πρωτογενή μητρώα του Δημοσίου από τα οποία μπορεί να αντλούνται πληροφορίες, όπως αυτές αναφέρονται στο άρθρο 4 του ανωτέρω σχεδίου διάταξης νόμου. Επισημαίνεται ότι οι δημόσιες αρχές ή φορείς, οι οποίοι αποκτούν πρόσβαση στα δεδομένα ή αντλούν δεδομένα μέσω διαλειτουργικότητας από άλλα πρωτογενή μητρώα, συνιστούν αποδέκτες προσωπικών δεδομένων (άρθρο 4 στοιχ. 9 ΓΚΠΔ). Στην περίπτωση αυτή πρέπει στο προτεινόμενο σχέδιο διάταξης νόμου να προσδιορίζεται σαφώς η σχετική κοινοποίηση ή πρόσβαση ή άντληση ή ανταλλαγή δεδομένων, ο σκοπός αυτής της κοινοποίησης σε συνάρτηση με την επακόλουθη χρήση των δεδομένων και οι κατηγορίες/φύση των δεδομένων, που είναι απαραίτητο να κοινοποιούνται σε συνάρτηση με τα πρωτογενή μητρώα από τα οποία γίνεται η άντληση.
3. Άρθρο 8
Αναφορικά με την προτεινόμενη ρύθμιση του άρθρου 8 του σχεδίου νόμου, σύμφωνα με την οποία προσδιορίζεται ο ρόλος του ΥΨΔ ως από κοινού υπεύθυνος επεξεργασίας με τους επιμέρους φορείς του Δημοσίου, σκόπιμο είναι, σε συμμόρφωση με την απαίτηση του άρθρου 26 ΓΚΠΔ, να καθορισθούν με διαφανή τρόπο οι αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14 ΓΚΠΔ, μέσω συμφωνίας μεταξύ τους.
4. Άρθρο 10
Στη σχεδιαζόμενη διάταξη αναφέρεται ότι, με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης, Εθνικής Οικονομίας και Οικονομικών, Ανάπτυξης, Εσωτερικών, Εργασίας και Κοινωνικής Ασφάλισης και του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων, δύναται να ρυθμίζονται ειδικότερα τεχνικά ή λεπτομερειακά θέματα. Αυτά τα θέματα απαριθμούνται επίσης ενδεικτικά χωρίς να γίνεται σαφής και ρητή αναφορά σε όλες τις περιπτώσεις ζητημάτων που μπορεί να ρυθμίζονται. Περαιτέρω, στη διάταξη αυτή, περιλαμβάνονται και οι ακόλουθες πληροφορίες σχετικά με «...ιδίως η διασύνδεση CRM με νέα Μητρώα και Πληροφοριακά Συστήματα...,... στ) ζητήματα αναφορικά με την προστασία προσωπικών δεδομένων, όπως ενδεικτικά ο υπεύθυνος επεξεργασίας, οι κατηγορίες δεδομένων που υπόκεινται σε επεξεργασία, ο χρόνος τήρησής τους καθώς και ο χρόνος έναρξης της παραγωγικής λειτουργίας καθώς και κάθε τεχνική ή άλλη αναγκαία λεπτομέρεια». Επισημαίνεται ότι τα ανωτέρω ζητήματα δεν συνιστούν ειδικά τεχνικά ή λεπτομερειακά θέματα και ως εκ τούτου δεν δύναται να προσδιορίζονται με κοινή υπουργική απόφαση αλλά πρέπει να προσδιορίζονται δυνάμει διατάξεων είτε τυπικού νόμου είτε ΠΔ που εκδίδεται κατά το άρθρο 43 παρ. 2 εδ. α’ Συντάγματος . Αντιθέτως, με κοινή υπουργική απόφαση δύναται να γίνεται περαιτέρω εξειδίκευση των ανωτέρω χωρίς ωστόσο να εισάγονται νέες κατηγορίες δεδομένων που υπόκεινται σε επεξεργασία.
5. Άρθρο 12
Στο άρθρο 12 που αφορά τον τρόπο διεξαγωγής, οργάνωσης και υλοποίησης προσωποποιημένων ενημερωτικών δράσεων προς πολίτες και επιχειρήσεις, μέσω της Πλατφόρμας Διαχείρισης Ενημερωτικών Δράσεων, ρυθμίζονται με Κ.Υ.Α. διάφορα ζητήματα, μεταξύ των οποίων περιλαμβάνονται οι κατηγορίες προσωπικών δεδομένων πολιτών και το χρονικό διάστημα τήρησης των δεδομένων αυτών, ενώ όπως έχει ήδη αναφερθεί, τα στοιχεία αυτά πρέπει να καθορίζονται με τυπικό νόμο. Εν προκειμένω, το άρθρο 12 δεν αποτελεί νομική βάση για την υλοποίηση των προσωποποιημένων ενημερωτικών δράσεων ενός Υπουργείου, η οποία πρέπει να αναζητείται στην οικεία νομοθεσία, στην οποία είναι απαραίτητο να καθορίζονται στοιχεία όπως οι κατηγορίες δεδομένων και οι χρόνοι τήρησης. Η Πλατφόρμα αποτελεί το μέσο της επεξεργασίας και μπορεί να χρησιμοποιηθεί εφόσον για το εν λόγω Υπουργείο προβλέπεται η δυνατότητα αποστολής προσωποποιημένων ενημερωτικών μηνυμάτων, οπότε και τα λοιπά χαρακτηριστικά της επεξεργασίας δύναται να καθορίζονται με Κ.Υ.Α..
Ο Αναπληρωτής Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
ΠΑΡΑΡΤΗΜΑ Α – Σχέδιο Διάταξης
Ενιαία Ψηφιακή Υποδομή για την Εξυπηρέτηση Πολιτών και Επιχειρήσεων - GOV CRM
1. Δημιουργείται στη Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης το Πληροφοριακό Σύστημα «Ενιαία Ψηφιακή υποδομή εξυπηρέτησης πολιτών και επιχειρήσεων» (Customer Relationship Management – CRM, εφεξής «CRM»), το οποίο αποτελεί ένα οικοσύστημα υλοποίησης και υποστήριξης υπηρεσιών μέσω πολλαπλών καναλιών εξυπηρέτησης και διαχείρισης υποθέσεων τόσο των πολιτών όσο και των επιχειρήσεων, προκειμένου να αναβαθμιστούν και να κεντρικοποιηθούν οι παρεχόμενες σε αυτούς υπηρεσίες από το κράτος. Το CRM, συμπεριλαμβάνει: α) το Σύστημα Διαχείρισης Σχέσεων με τους Πολίτες και β) το Ενιαίο Κέντρο Εξυπηρέτησης. Το CRM συνεργάζεται και συλλειτουργεί με το υφιστάμενο σύστημα των ΚΕΠ (e-KEP) ώστε οι υπηρεσίες που έχουν υλοποιηθεί στο περιβάλλον του e-KEP, να συνεχίσουν να εκτελούνται μέσα από το e-KEP. Το CRM διαλειτουργεί αμφίδρομα με την Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης (gov.gr – ΕΨΠ).
2. Στο πλαίσιο αυτό η Γ.Γ.Π.Σ.Ψ.Δ. αναλαμβάνει τις ακόλουθες αρμοδιότητες και διαχειρίζεται τα ακόλουθα υποσυστήματα και πλατφόρμες:
Α) Σύστημα Διαχείρισης Σχέσεων με τους Πολίτες: Κατά τη λειτουργία του Συστήματος Διαχείρισης Σχέσεων με τους πολίτες αναλαμβάνει την αποτύπωση των στοιχείων των πολιτών και των επιχειρήσεων και της τρέχουσας σχέσης τους με το Δημόσιο. Σκοπός της επεξεργασίας των δεδομένων είναι η επικαιροποιημένη και κεντρικοποιημένη απεικόνιση των εν λόγω πληροφοριών και της τρέχουσας σχέσης πολιτών και επιχειρήσεων με το Δημόσιο, καθώς και η καταχώριση και διεκπεραίωση των αιτημάτων τους ή η πρόσβασή τους σε πληροφορίες αναφορικά με τις υποθέσεις τους σε σχέση με το Δημόσιο.
Β) Πλατφόρμα Επιχειρησιακής Ευφυΐας (BI/Big Data Analysis): Κατά τη λειτουργία της Πλατφόρμας Επιχειρησιακής Ευφυΐας αναλαμβάνει τη δημιουργία συνδυαστικών αναφορών ως προς την εικόνα του επιπέδου της παρεχόμενης εξυπηρέτησης προς πολίτες και επιχειρήσεις μετά από τροφοδότηση από όλα τα επιμέρους υποσυστήματα του CRM και βαθιά ανάλυση ανωνυμοποιημένων δεδομένων. Σκοπός επεξεργασίας των ανωνυμοποιημένων δεδομένων είναι η δημιουργία συνδυαστικών αναφορών ως προς την εικόνα του επιπέδου της παρεχόμενης εξυπηρέτησης προς πολίτες και επιχειρήσεις. Επιπλέον, το σύστημα δύναται να λαμβάνει και να αξιοποιεί δεδομένα από εξωτερικά πληροφοριακά συστήματα, εφόσον αυτό προβλέπεται από το εκάστοτε ισχύον θεσμικό πλαίσιο.
Γ) Πλατφόρμα Διαχείρισης Ενημερωτικών Δράσεων (Campaign Management): Κατά τη λειτουργία της Πλατφόρμας Διαχείρισης Ενημερωτικών Δράσεων αναλαμβάνει, από κοινού με το εκάστοτε καθ’ ύλην αρμόδιο Υπουργείο ή Φορέα της Γενικής ή Κεντρικής Κυβέρνησης, την οργάνωση και διαχείριση προσωποποιημένων ενημερωτικών δράσεων προς πολίτες και επιχειρήσεις. Η Πλατφόρμα αντλεί δεδομένα πολιτών και επιχειρήσεων από το ενιαίο αποθετήριο δεδομένων του CRM, στο οποίο δύναται να εισάγονται και να τηρούνται για το αναγκαίο χρονικό διάστημα δεδομένα από τους εκάστοτε αρμόδιους Φορείς ανάλογα με τη φύση της δράσης. Σκοπός επεξεργασίας των δεδομένων είναι η οργάνωση και διαχείριση προσωποποιημένων ενημερωτικών δράσεων προς πολίτες και επιχειρήσεις για νέα προγράμματα και δράσεις τα οποία τους αφορούν.
Δ) Ενιαίο Κέντρο Εξυπηρέτησης: Κατά τη λειτουργία του Ενιαίου Κέντρου Εξυπηρέτησης αναλαμβάνει την παροχή επιλεγμένων υπηρεσιών για την υποστήριξη πολιτών και επιχειρήσεων. Το Ενιαίο Κέντρο Εξυπηρέτησης αποτελείται από:
α) Το Κέντρο τηλεφωνικής επικοινωνίας και την Πλατφόρμα Γραπτού Διαλόγου (chat) για την παροχή, την υποστήριξη της χρήσης, αλλά και της γενικής πληροφόρησης των ηλεκτρονικών υπηρεσιών από υπαλλήλους ΚΕΠ, της ΓΓΠΣΨΔ και άλλων φορέων του Δημοσίου
β) Την Πλατφόρμα αποστολής μηνυμάτων (μέσω πολλαπλών παρόχων επικοινωνίας)
γ) Τη Πλατφόρμα αναγνώρισης φυσικού λόγου (γραπτού και φωνητικού) για την αυτόματη παροχή, υποστήριξη της χρήσης, αλλά και της γενικής πληροφόρησης των ηλεκτρονικών υπηρεσιών.
δ) Την Πλατφόρμα διαχείρισης γραπτών αιτημάτων (support.gov.gr), για την υποστήριξη της χρήσης των ηλεκτρονικών υπηρεσιών από υπαλλήλους του ΚΕΠ, της ΓΓΠΣΨΔ και άλλων Φορέων του Δημοσίου
Σκοπός επεξεργασίας των δεδομένων είναι η παροχή επιλεγμένων ψηφιακών, η υποστήριξη των πολιτών και επιχειρήσεων κατά τη χρήση των διαθέσιμων σε αυτούς υπηρεσιών, η εν γένει πληροφόρηση αυτών, αλλά και η υποστήριξη της παραγωγικής λειτουργίας των εν λόγω ψηφιακών υπηρεσιών.
Ε) Κεντρικό Σύστημα Διαχείρισης Ενημερώσεων, Υπεύθυνων Δηλώσεων και Εξουσιοδοτήσεων: Κατά τη λειτουργία του Κεντρικού Συστήματος Διαχείρισης Ενημερώσεων, Υπεύθυνων Δηλώσεων και Εξουσιοδοτήσεων αναλαμβάνει την τήρηση των επιβεβαιώσεων των ενημερώσεων που έχει λάβει ο πολίτης, καθώς και των υπεύθυνων δηλώσεων και εξουσιοδοτήσεων που έχει δώσει κατά τις συναλλαγές του με Φορείς του Δημοσίου. Σκοπός επεξεργασίας των δεδομένων είναι η ενιαία, ασφαλής και διαφανής καταγραφή και διαχείριση αυτών.
ΣΤ) Κεντρική Πλατφόρμα Διαχείρισης Ραντεβού: Κατά τη λειτουργία της Κεντρικής Πλατφόρμας Διαχείρισης Ραντεβού αναλαμβάνει την ψηφιοποίηση της διαδικασίας ραντεβού με φορείς της Δημόσιας Διοίκησης ώστε να γίνεται πλήρως διαχειρίσιμη από τους πολίτες. Σκοπός της επεξεργασίας δεδομένων είναι ο προγραμματισμός ψηφιακών ραντεβού από τους πολίτες με φορείς της Δημόσιας Διοίκησης για την παροχή υπηρεσιών, καθώς και η παρακολούθηση του συνόλου των προγραμματισμένων ραντεβού και του σχετικού ιστορικού.
3. Στο Σύστημα Διαχείρισης Σχέσεων με τους πολίτες της περ. α της παρ.2 εντάσσεται το ενιαίο Αποθετήριο Δεδομένων, το οποίο συμπεριλαμβάνει τις επιμέρους πληροφορίες που συμβάλλουν στην πλήρη καταγραφή των δεδομένων που αφορούν στον πολίτη και στην επιχείρηση καθώς και την απεικόνιση της τρέχουσας σχέσης τους με το κράτος, δηλαδή την πορεία και το ιστορικό των αιτημάτων που έχουν υποβάλει σε Φορείς της Δημόσιας Διοίκησης. Οι πληροφορίες αυτές αποτυπώνονται στην Καρτέλα Πολίτη / Επιχείρησης, η οποία αποτελεί μια βάση δεδομένων των προσωπικών στοιχείων του πολίτη και των στοιχείων της επιχείρησης αντίστοιχα. Τα στοιχεία αυτά, τα οποία αντλούνται αρχικά μέσω διαλειτουργικότητας από λοιπά πρωτογενή Μητρώα και Πληροφοριακά Συστήματα του Δημοσίου Τομέα, καθώς και από λοιπά υποσυστήματα που απαρτίζουν το CRM, όπως ενδεικτικά τα υποσυστήματα της παρ. 2, στη συνέχεια αποθηκεύονται και διατηρούνται επικαιροποιημένα σε αυτό μέσω διαλειτουργικότητας.
4. Στο πλαίσιο λειτουργίας της Καρτέλας Πολίτη, οι κατηγορίες προσωπικών δεδομένων των πολιτών που αντλούνται από πρωτογενή Μητρώα και Πληροφοριακά Συστήματα του Δημοσίου Τομέα στο πλαίσιο λειτουργίας του ενιαίου Αποθετηρίου Δεδομένων της παρ. 3 και τα οποία υπόκεινται σε περαιτέρω επεξεργασία αφορούν, ενδεικτικά και όχι περιοριστικά, σε ταυτοποιητικά στοιχεία, δημογραφικά στοιχεία, στοιχεία επικοινωνίας, στοιχεία απασχόλησης, στα ραντεβού του πολίτη με Φορείς του Δημοσίου, καθώς και το ιστορικό της πορείας εξέλιξης των υποθέσεων του πολίτη έως την ολοκλήρωση αυτών. Ο σκοπός της επεξεργασίας των ταυτοποιητικών στοιχείων και των στοιχείων επικοινωνίας είναι η ταυτοποίηση και εξυπηρέτηση των πολιτών κατά τη διεκπεραίωση των υποθέσεών τους, ενώ τα δημογραφικά στοιχεία, τα στοιχεία απασχόλησης και τα στοιχεία επικοινωνίας είναι απαραίτητα στο πλαίσιο διαχείρισης των Ενημερωτικών Δράσεων, προκειμένου να καθίσταται εφικτή η κατηγοριοποίηση των πολιτών σε ομάδες-στόχους που θα λαμβάνουν ενημέρωση. Ο σκοπός επεξεργασίας των προσωπικών δεδομένων που αναφέρονται στα ραντεβού είναι η συνολική αποτύπωση αυτών και η επισκόπησή τους από τον πολίτη για την ενημέρωσή του. Πρόσβαση στα εν λόγω στοιχεία δύναται να έχει ο ίδιος ο πολίτης μέσω της Ενιαίας Ψηφιακής Πύλης.
5. Τα πρωτογενή μητρώα του Δημοσίου από τα οποία δύνανται να αντλούνται οι εν λόγω πληροφορίες είναι, ενδεικτικά, τα ακόλουθα: α) Μητρώο Πολιτών του Υπουργείου Εσωτερικών (για δημογραφικά δεδομένα), β) Μητρώο Προσωπικού Αριθμού, λαμβάνοντας υπόψη το άρθρο 11 του ν. 4727/2020 (για στοιχεία ταυτοποίησης), γ) Π.Σ. ΕΡΓΑΝΗ του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων (για στοιχεία απασχόλησης εργαζομένων στον ιδιωτικό τομέα), δ) Π.ΣΣ.Δ.Α.Δ του Υπουργείου Εσωτερικών (για στοιχεία απασχόλησης εργαζομένων στον δημόσιο τομέα), ε) Εθνικό Μητρώο Επικοινωνίας (Ε.Μ.Επ.) του Υπουργείου Ψηφιακής Διακυβέρνησης (για στοιχεία επικοινωνίας) και στ) στοιχείων επαγγελματικής δραστηριότητας από το μητρώο της ΑΑΔΕ (για στοιχεία απασχόλησης εργαζομένων).
Στο πλαίσιο λειτουργίας της Καρτέλας Επιχείρησης, οι κατηγορίες στοιχείων των επιχειρήσεων αντλούνται από το Μητρώο Γ.Ε.Μ.Η. και το Φορολογικό Μητρώο της Α.Α.Δ.Ε. και αφορούν σε στοιχεία ταυτοποίησης του Φορέα, στοιχεία επικοινωνίας, στοιχεία διεύθυνσης επιχείρησης.
6. Χρήστες του CRM δύνανται να είναι υπάλληλοι των ΚΕΠ ή άλλων Φορέων του Δημοσίου δυνάμει κατάλληλης εξουσιοδότησης. Οι χρήστες του CRM, στο πλαίσιο διαχείρισης της εκάστοτε υπόθεσης που τους ανατίθεται, αποκτούν πρόσβαση μόνο στα ταυτοποιητικά στοιχεία, τα στοιχεία επικοινωνίας των πολιτών και το ιστορικό των υποθέσεων τους, καθώς και των επιχειρήσεων που προσέρχονται στα ΚΕΠ για παροχή διοικητικών υπηρεσιών που είναι θεσμικά ενταγμένες στα ΚΕΠ.
7. Στο πλαίσιο λειτουργίας του Ενιαίου Κέντρου Εξυπηρέτησης, και ιδίως κατά την τηλεφωνική εξυπηρέτηση αυτού, θα προηγείται ταυτοποίηση του πολίτη που αιτείται εξυπηρέτησης, με την αξιοποίηση δεύτερου παράγοντα ταυτοποίησης και άλλων δεδομένων (λ.χ. ΑΦΜ και ΑΜΚΑ), με σκοπό την απόδοση διοικητικής πράξης σε επίπεδο υποβολής αίτησης. Το αποτέλεσμα της διοικητικής πράξης/αίτησης θα αποστέλλεται στη θυρίδα του πολίτη στην Ενιαία Ψηφιακή Πύλη της Δημόσιας Διοίκησης – ΕΨΠ gov.gr. Επιπλέον, στο πλαίσιο λειτουργίας του Ενιαίου Κέντρου, και ιδίως κατά την τηλεφωνική εξυπηρέτηση αυτού, η κλήση ηχογραφείται σε συμμόρφωση με το Ν.3471/2006 (ΦΕΚ Α 133/28.06.2006) και την Οδηγία 2002/58/ΕΚ.8.
8. Το Υπουργείο Ψηφιακής Διακυβέρνησης, δια της Γενικής Γραμματείας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) ενεργεί ως από Κοινού Υπεύθυνος Επεξεργασίας για την Ενιαία Ψηφιακή Υποδομή για την Εξυπηρέτηση Πολιτών και Επιχειρήσεων - GOV CRM με τον εκάστοτε καθ’ ύλην αρμόδιο Φορέα από τα Μητρώα και Πληροφοριακά Συστήματα της παρ. 5.
Στο πλαίσιο διαχείρισης των προσωποποιημένων ενημερωτικών δράσεων της περ. β της παρ. 2, το καθ’ ύλην αρμόδιο Υπουργείο ή Φορέας Γενικής ή Κεντρικής Κυβέρνησης ενεργεί ως από Κοινού Υπεύθυνος Επεξεργασίας με την Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.). Αναφορικά με τη λειτουργία των Κέντρων εξυπηρέτησης πολιτών (Κ.Ε.Π.), το Υπουργείο Εσωτερικών ενεργεί ως ανεξαρτήτως Υπεύθυνος Επεξεργασίας για τη λειτουργία και την εποπτεία των ΚΕΠ, όπως ορίζεται στο Π.Δ. 81/2019 (ΦΕΚ 119 Α/8.7.2019) και το το Π.Δ. 40/2020 (ΦΕΚ Α’ 85/15.04.2020) και το ΠΔ 77/2023 (άρθρο 1) ενώ το Υπουργείο Ψηφιακής Διακυβέρνησης ενεργεί ως ανεξαρτήτως Υπεύθυνος Επεξεργασίας για τα υποστηρικτικά πληροφοριακά συστήματα που το απαρτίζουν σύμφωνα με το Π.Δ. 40/2020 (ΦΕΚ Α’ 85/15.04.2020) σε συνδυασμό με την παρούσα παράγραφο.
9. Τα δεδομένα που αντλούνται σύμφωνα με τις παρ. 4 και 5 τηρούνται στο Αποθετήριο Δεδομένων της παρ.3 για χρονικό διάστημα ίσο με αυτό που ορίζεται στο ισχύον θεσμικό πλαίσιο που διέπει τη σύσταση και τη λειτουργία των επιμέρους Μητρώων και Πληροφοριακών Συστημάτων του Δημοσίου Τομέα από τα οποία αντλούνται τα δεδομένα αυτά. Η τήρηση του εν λόγω χρονικού διαστήματος και η διαγραφή των δεδομένων μετά το πέρας του νόμιμου χρόνου τήρησης αυτών διενεργείται αυτοματοποιημένα και σε πραγματικό χρόνο, μέσω ασφαλούς ψηφιακού μηχανισμού συνεχούς συγχρονισμού άντλησης αλλαγών από τις επιμέρους πηγές, ο οποίος και διασφαλίζει την ακρίβεια και ενημερότητα των δεδομένων που τηρούνται στο Αποθετήριο. Μέσω του ίδιου μηχανισμού ελέγχονται σε περιοδική βάση τα μητρώα της παρ 2 της παρούσας ή νέες εγγραφές στα μητρώα που αναφέρονται στην ίδια παράγραφο με σκοπό τη διαρκή επικαιροποίηση των στοιχείων. Το ιστορικό των υποθέσεων που τηρείται στην Καρτέλα Πολίτη/Επιχείρησης διαγράφεται μετά από το πέρας ενός έτους από την ολοκλήρωση της εκάστοτε υπόθεσης.
10. Με κοινή απόφαση των Υπουργών Ψηφιακής Διακυβέρνησης, Εθνικής Οικονομίας και Οικονομικών, Ανάπτυξης, Εσωτερικών, Εργασίας και Κοινωνικής Ασφάλισης και του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων δύναται να ρυθμίζονται ειδικότερα τεχνικά ή λεπτομερειακά θέματα όπως ενδεικτικά α. η σύσταση και η λειτουργία του CRM και των επιμέρους υποσυστημάτων της παρ. 2 , β. θέματα σχετικά με τη συλλογή, την τήρηση και την κάθε περαιτέρω επεξεργασία στοιχείων και δεδομένων που καταχωρίζονται σε αυτό, ιδίως η διασύνδεση CRM με νέα Μητρώα και Πληροφοριακά Συστήματα του Δημόσιου Τομέα, γ. κάθε οργανωτικό και τεχνικό μέτρο για την ασφάλεια της επεξεργασίας των δεδομένων, συμπεριλαμβανομένης της αυθεντικοποίησης των προσώπων που αποκτούν πρόσβαση σε αυτά και του μηχανισμού εξουσιοδότησής τους, δ. η χρήση τεχνικών ανωνυμοποίησης, ψευδωνυμοποίησης και κρυπτογράφησης, ε. τα θέματα οργάνωσης και διαχείρισής του CRM με βάση τους σκοπούς σύστασης και λειτουργίας του, στ. τα ζητήματα αναφορικά με την προστασία προσωπικών δεδομένων, όπως ενδεικτικά ο υπεύθυνος επεξεργασίας, οι κατηγορίες δεδομένων που υπόκεινται σε επεξεργασία, ο χρόνος τήρησής τους καθώς και ο χρόνος έναρξης της παραγωγικής λειτουργίας καθώς και κάθε τεχνική ή άλλη αναγκαία λεπτομέρεια.
11. Με κοινές αποφάσεις του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση συναρμόδιου υπουργού δύνανται να προστίθενται στο CRM περισσότερα υποσυστήματα, και να καθορίζονται οι τρόποι αυθεντικοποίησης που υποστηρίζονται, τα αναλυτικά ανά κατηγορία δεδομένα που δύνανται να διαβιβάζονται και να τηρούνται, καθώς και η μορφή και το περιεχόμενό τους, ο χρόνος έναρξης της παραγωγικής λειτουργίας εκάστου υποσυστήματος, τα οργανωτικά και τεχνικά μέτρα ασφαλείας, ζητήματα σχετικά με την ασφάλεια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και κάθε τεχνική ή άλλη αναγκαία λεπτομέρεια για τη λειτουργία τους.
12. Με κοινή απόφαση του Υπουργού Ψηφιακής Διακυβέρνησης και του κατά περίπτωση αρμόδιου Υπουργού προβλέπεται ο τρόπος διεξαγωγής, οργάνωσης και υλοποίησης προσωποποιημένων ενημερωτικών δράσεων προς πολίτες και επιχειρήσεις για νέα προγράμματα τα οποία τους αφορούν μέσω της Πλατφόρμας Διαχείρισης Ενημερωτικών Δράσεων (Campaign Management). Με την ίδια απόφαση ρυθμίζονται και ειδικότερα τεχνικά ή άλλα θέματα όπως ενδεικτικά η χρονική διάρκεια της ενημερωτικής δράσης, οι κατηγορίες δεδομένων πολιτών που δύναται να υπόκεινται σε συλλογή ή άλλη επεξεργασία προς το σκοπό αυτό, το χρονικό διάστημα τήρησης των εν λόγω δεδομένων, μετά το οποίο θα διαγράφονται, τα τεχνικά και άλλα οργανωτικά μέτρα ασφαλείας καθώς και ζητήματα σχετικά με την ασφάλεια της επεξεργασίας δεδομένων προσωπικού χαρακτήρα καθώς και κάθε άλλη τεχνική ή αναγκαία λεπτομέρεια για τη ορθή και προσήκουσα λειτουργία της εκάστοτε δράσης.