ΔΙΟΙΚΗΤΙΚΑ ΕΓΓΡΑΦΑ ΓνωμΑΠΔΠΧ 4/2026 Γνωμοδότηση επί σχεδίου διάταξης του Υπουργείου Εσωτερικών με τίτλο «Παρουσία και πρόσβαση σε δημόσιους φορείς με χρήση βιομετρικών στοιχείων»

Αριθμός:
4
Έτος:
2026
Είδος πράξης:
ΓΝΩΜΟΔΟΤΗΣΗ
Εκδ. Αρχή:
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Ημ. Δημοσίευσης:
04/05/2026
Πηγή:
Ιστότοπος ΑΠΔΠΧ
Μέσο Δημοσίευσης:
ΤΝΠ QUALEX
NB DAILY,
Αρ. Λέξεων:
6137
Εμφάνιση περισσότερων Εμφάνιση λιγότερων Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Περίληψη

Το Υπουργείο Εσωτερικών υπέβαλε στην Αρχή σχέδιο διάταξης για τη χρήση βιομετρικών δεδομένων σε δημόσιους φορείς, με το οποίο προβλέπεται βιομετρική ταυτοποίηση και καταγραφή της φυσικής παρουσίας των δημοσίων υπαλλήλων κατά την προσέλευση και αποχώρησή τους από τον χώρο εργασίας ή από χώρους αυξημένης ασφάλειας. Η Αρχή, με τη Γνωμοδότηση 4/2026 της Ολομέλειας, έκρινε ότι η προτεινόμενη ρύθμιση, υπό την παρούσα μορφή της, δεν είναι συμβατή με τον ΓΚΠΔ και το ενωσιακό δίκαιο και δεν θα πρέπει να υιοθετηθεί. Ειδικότερα, διαπιστώνεται ότι δεν τεκμηριώνεται επαρκώς ούτε η ύπαρξη ουσιαστικού δημοσίου συμφέροντος ούτε η απόλυτη αναγκαιότητα της επεξεργασίας βιομετρικών δεδομένων, ενώ δεν αποδεικνύεται ότι έχουν προηγουμένως εξεταστεί και τεκμηριωμένα απορριφθεί λιγότερο παρεμβατικά μέσα για την επίτευξη του ίδιου σκοπού. Περαιτέρω, η καθολική και χωρίς διάκριση εφαρμογή του μέτρου στο σύνολο των δημοσίων υπαλλήλων συνιστά δυσανάλογη και υπέρμετρη επέμβαση στα δικαιώματα, καθώς συνεπάγεται γενικευμένη επεξεργασία βιομετρικών δεδομένων χωρίς διαφοροποίηση βάσει αντικειμενικών κριτηρίων. Επιπλέον, η ρύθμιση δεν πληροί τις απαιτήσεις της αρχής του περιορισμού του σκοπού, δεδομένου ότι συγχωνεύει ετερογενείς σκοπούς χωρίς σαφή και διακριτό προσδιορισμό και χωρίς αυτοτελή αξιολόγηση της αναγκαιότητας και της αναλογικότητας για καθέναν από αυτούς. Ακόμα, η προσκομισθείσα μελέτη εκτίμησης αντικτύπου παρουσιάζει ελλείψεις και δεν τεκμηριώνει επαρκώς την αναγκαιότητα και την αναλογικότητα του μέτρου. Τέλος, η Αρχή επισημαίνει ότι η χρήση βιομετρικών δεδομένων μπορεί να εξεταστεί μόνο κατ’ εξαίρεση ως μέτρο ultima ratio υπό αυστηρές και περιοριστικά καθορισμένες προϋποθέσεις και κατόπιν πλήρους τεκμηρίωσης, ενώ η προτεινόμενη από το ΥΠΕΣ εναλλακτική λύση δεν συνοδεύεται από επαρκώς συγκεκριμένη και τεκμηριωμένη κανονιστική πρόβλεψη που να επιτρέπει την αξιολόγηση της συμβατότητάς της με τον ΓΚΠΔ.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Διοικητικό Έγγραφο

ΓΝΩΜΟΔΟΤΗΣΗ 4/2026
Αθήνα, 04-05-2026
Αριθ. Πρωτ.: 1995
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του εκτελούντος χρέη Προέδρου Αναπληρωτή Προέδρου της σε συνεδρίαση μέσω τηλεδιασκέψεως, την Τρίτη 10/02/2026 και ώρα 09:30, προκειμένου να εξετάσει την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Αναπληρωτής Πρόεδρος της Αρχής, Γεώργιος Μπατζαλέξης παραιτηθέντος του Προέδρου Κωνσταντίνου Μενουδάκου και τα τακτικά μέλη της Αρχής Χαράλαμπος Ανθόπουλος, Κωνσταντίνος Λαμπρινουδάκης, Κατερίνα Ηλιάδου ως εισηγήτρια, Χρήστος Καλλονιάτης ως εισηγητής και Γρηγόρης Τσόλιας. Το τακτικό μέλος της αρχής Σπυρίδων Βλαχόπουλος δεν παρέστη λόγω κωλύματος αν και εκλήθη νομίμως εγγράφως. Παρούσες, χωρίς δικαίωμα ψήφου, ήταν οι Μαρία Αλικάκου νομικός και Ευφροσύνη Σιουγλέ πληροφορικός, ειδικοί επιστήμονες, ως βοηθοί εισηγητών και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.
Η Αρχή έλαβε υπόψη της τα παρακάτω:
Το Υπουργείο Εσωτερικών (εφεξής ΥΠΕΣ), με το υπ’ αριθμ. πρωτ. … έγγραφο (αριθμ. πρωτ. .../03-07-2025), υπέβαλε στην Αρχή σχέδιο διάταξης (εφεξής ΣχΔ) με τίτλο «Παρουσία και πρόσβαση σε δημόσιους φορείς με χρήση βιομετρικών στοιχείων», ενημερώνοντας ότι η εν λόγω διάταξη πρόκειται να ενταχθεί σε νομοσχέδιό του που θα τεθεί σε δημόσια διαβούλευση το αμέσως επόμενο χρονικό διάστημα και ζήτησε από την Αρχή, «εφόσον το επιθυμεί, να διατυπώσει τα σχόλιά της ή τις παρατηρήσεις της σχετικά». Επιπροσθέτως, ανέφερε στο ως άνω έγγραφο ότι με την προτεινόμενη διάταξη, επιτρέπεται για πρώτη φορά, με ενιαίο και σαφώς καθορισμένο πλαίσιο, η χρήση βιομετρικών δεδομένων από δημόσιους φορείς με σκοπό α) την καταγραφή της φυσικής παρουσίας των υπαλλήλων και β) τον έλεγχο πρόσβασης σε χώρους αυξημένης ασφάλειας, με αυστηρές εγγυήσεις προστασίας της ιδιωτικότητας. Σύμφωνα με το αιτούν, απώτερος στόχος της εν λόγω ρύθμισης ορίζεται η αποτελεσματικότερη διαχείριση του ωραρίου εργασίας των υπαλλήλων του δημοσίου ώστε να περιοριστούν φαινόμενα κατάχρησης ή καταστρατήγησης, διασφαλίζοντας, μέσω ενός διαφανούς συστήματος, την ίση μεταχείριση όλων των υπαλλήλων. Επιπλέον, το αιτούν ισχυρίζεται ότι με την εν λόγω ρύθμιση επιτυγχάνεται μείωση της διοικητικής γραφειοκρατίας, που σχετίζεται με χειρόγραφα ή ανακριβή συστήματα καταγραφής.
Ακολούθως, η Αρχή με το με αριθμ. πρωτ. .../09.07.2025 έγγραφο, αφού ενημέρωσε το αιτούν ότι, μεταξύ άλλων, σύμφωνα με το άρθρο 11 παρ. 8 του Κανονισμού Λειτουργίας της Αρχής, «Η Αρχή επιλαμβάνεται αιτημάτων παροχής γνώμης για ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή σε κανονιστική πράξη, η οποία αφορά επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον υποβάλλονται με τρόπο που καθιστά εφικτή την έγκαιρη διατύπωση γνώμης από την Αρχή και τη σχετική διαβούλευση επί του περιεχομένου του σχεδίου ρύθμισης. Συγκεκριμένα, το αίτημα πρέπει να συνοδεύεται από εμπεριστατωμένο υπόμνημα το οποίο να περιέχει τουλάχιστον τα εξής: α) περιγραφή των πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις οποίες ζητείται η γνώμη της Αρχής, β) επεξήγηση του τρόπου με τον οποίο με την σχεδιαζόμενη ρύθμιση επιτυγχάνονται οι γενικές αρχές, που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως προσδιορίζονται στο άρθρο 5 του ΓΚΠΔ ή στο άρθρο 45 του ν. 4624/2019, ανάλογα με το πεδίο εφαρμογής της προτεινόμενης ρύθμισης. […]», το προσκάλεσε να παραστεί στη συνεδρίαση της Ολομέλειας της 15ης Ιουλίου 2025. Εν όψει της συνεδρίασης αυτής, το ΥΠΕΣ, με το από 11.07.2025 μήνυμα ηλεκτρονικού ταχυδρομείου, απέστειλε στην Αρχή α) επικαιροποιημένη εκδοχή του προτεινόμενου σχεδίου διάταξης, β) πληροφορίες από ελέγχους της Εθνικής Αρχής Διαφάνειας (εφεξής ΕΑΔ) και γ) ενημερωτικό σημείωμα της ΕΑΔ αναφορικά με διενεργηθείσα από την ίδια υπηρεσία έρευνα με αντικείμενο την καταγραφή της μεθόδου ελέγχου τήρησης ωραρίου στους φορείς της Γενικής Κυβέρνησης, ανά κατηγορία προσωπικού, στην Κεντρική Υπηρεσία και τις απομακρυσμένες, εφόσον υπάρχουν. Κατόπιν το ΥΠΕΣ παρέστη στη συνεδρίαση της 15ης.07.2025 και ανέπτυξε και προφορικά τους στόχους της σχεδιαζόμενης επεξεργασίας.
Στην εν λόγω συνεδρίαση, η Ολομέλεια ζήτησε από το ΥΠΕΣ να προσκομίσει στοιχεία προκειμένου να τεκμηριώσει, μεταξύ άλλων, την καταλληλότητα και αναγκαιότητα των προτεινόμενων μέτρων σε σχέση με τον επιδιωκόμενο σκοπό, προσκομίζοντας επιπλέον στοιχεία αναφορικά με την εξέταση απόρριψης λιγότερο παρεμβατικών μέτρων για τον ίδιο σκοπό, καθώς και τη διενέργεια σχετικής εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.
Ακολούθως, το ΥΠΕΣ απέστειλε το από 01.08.2025 μήνυμα ηλεκτρονικού ταχυδρομείου (αριθμ. πρωτ. .../01.8.2025) επισυνάπτοντας τα ακόλουθα έγγραφα: 1) την επικαιροποιημένη επίμαχη διάταξη, 2) υπόμνημα ενώπιον της Αρχής σε συνέχεια της ως άνω αναφερόμενης συνεδρίασής της, 3) έγγραφο με τίτλο «Βήματα για ψηφιακή κάρτα εργασίας στο δημόσιο» και 4) ενημερωτικό σημείωμα της ΕΑΔ αναφορικά με διενεργηθείσα από την ίδια υπηρεσία έρευνα (το εν λόγω έγγραφο εστάλη εκ νέου καθώς είχε αποσταλεί ήδη στην Αρχή με το από 11.07.2025 μήνυμα ηλεκτρονικού ταχυδρομείου). Με το εν λόγω μήνυμα το ΥΠΕΣ ενημέρωσε ότι θα αποστείλει στην Αρχή την τελική έκθεση ελέγχου της ΕΑΔ με αναλυτικότερα στοιχεία, η οποία αναμένεται στο τέλος Αυγούστου.
Ειδικότερα, σύμφωνα με την νέα, επικαιροποιημένη διάταξη, καθιερώνεται βιομετρική ταυτοποίηση και καταγραφή της φυσικής παρουσίας των δημοσίων υπαλλήλων, κατά την προσέλευση και αποχώρησή τους από τον χώρο εργασίας ή από χώρους αυξημένης ασφάλειας, προστίθεται ο ορισμός των «βιομετρικών» (παρ. 2), προσδιορίζεται ο σκοπός («για την εκπλήρωση του καθήκοντος των υπαλλήλων να τηρούν το ωράριο εργασίας, τη νόμιμη διάρκεια της εργασίας και να μην απουσιάζουν χωρίς άδεια ή αιτιολογημένο κώλυμα, που εκτελείται προς ουσιαστικό δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας, σύμφωνα με τα άρθρα 6 παρ. 1 εδ. ε' και 9 παρ. 2 εδ. ζ’ του ΓΚΠΔ») και προβλέπεται κρυπτογραφημένη συλλογή στον φορέα, αποθήκευση στις κατά τόπον συσκευές ταυτοποίησης βιομετρικών δεδομένων, διαβίβαση των προκυπτόντων ψηφιακών δεδομένων σε κρυπτογραφημένο μορφή και τήρηση μόνο αυτών στο πληροφοριακό σύστημα διαχείρισης ανθρώπινου δυναμικού (HRMS) του ΥΠΕΣ, όπου τηρείται ωρομετρικό σύστημα εργασίας για όλους τους δημοσίους υπαλλήλους και ορισμό του ΥΠΕΣ ως υπευθύνου επεξεργασίας, ενώ οι λοιποί δημόσιοι φορείς ορίζονται ως εκτελούντες την επεξεργασία (παρ. 3). Περαιτέρω και στην συνοδευτική αιτιολογική έκθεση διαπιστώνονται διαφοροποιήσεις καθώς η επικαιροποιημένη διάταξη είναι πιο αναλυτική και εισάγει κεντρική υποδομή (HRMS) με κατανομή ρόλων (υπεύθυνος – εκτελούντες).
Επιπροσθέτως, στο Υπόμνημα του ΥΠΕΣ αναφέρονται τα εξής βασικά επιχειρήματα υπέρ της χρήσης βιομετρικής ταυτοποίησης τύπου 1:1 (διαδικασία, κατά την οποία το βιομετρικό δείγμα συγκρίνεται αποκλειστικά με το δείγμα αναφοράς (πρότυπο), που είναι αποθηκευμένο στη συσκευή ή κάρτα του ίδιου προσώπου, σε αντίθεση με τη σύγκριση 1:Ν, όπου το δείγμα συγκρίνεται με μία ευρύτερη βάση δεδομένων) μέσω έξυπνης κάρτας για την καταγραφή του ωραρίου των δημοσίων υπαλλήλων:
Α) Ως προς την αναγκαιότητα του μέτρου:
- Τα υφιστάμενα συστήματα (έντυπα παρουσιολόγια, απλές κάρτες, ηλεκτρονικά παρουσιολόγια χωρίς βιομετρικά) είναι αναξιόπιστα, αφήνουν περιθώρια καταχρήσεων (πλασματική παρουσία, καταχώρηση από τρίτους, σφάλματα).
- Έλεγχοι της ΕΑΔ έδειξαν εκτεταμένες παρατυπίες και ανομοιομορφίες, με το 68% των φορέων να μην έχει ηλεκτρονικό σύστημα σήμανσης.
- Η ανακριβής τήρηση του ωραρίου δημιουργεί απώλειες δημόσιων πόρων και πλήττει την αξιοπιστία της διοίκησης.
Β) Ως προς την αναλογικότητα του μέτρου:
- Η βιομετρική επαλήθευση θα είναι αποκλειστικά 1:1, με αποθήκευση του βιομετρικού προτύπου μόνο στην προσωπική κάρτα του υπαλλήλου.
- Δεν θα υπάρχει κεντρική βάση δεδομένων, ούτε αποστολή στοιχείων σε υποδομή cloud.
- Το σύστημα θα λειτουργεί με τοπική επεξεργασία, κρυπτογράφηση, PIN/OTP και προβλέπονται μέτρα ασφαλείας (π.χ. απενεργοποίηση κάρτας σε περίπτωση απώλειας).
- Δεν παραβιάζεται ο ιδιωτικός βίος, αφού δεν υπάρχει συνεχής ή μαζική επιτήρηση.
Αναφορικά ειδικότερα με την νομιμότητα της σχεδιαζόμενης επεξεργασίας, το ΥΠΕΣ αναφέρει ότι η εν λόγω επεξεργασία θεμελιώνεται στο άρθρο 9 παρ. 2 β) και ζ) ΓΚΠΔ (επεξεργασία για λόγους εργασιακούς και ουσιώδους δημόσιου συμφέροντος) και στο άρθρο 27 ν. 4624/2019 (επεξεργασία στον χώρο εργασίας εφόσον είναι απολύτως αναγκαία).
Τέλος, το ΥΠΕΣ ισχυρίζεται, χωρίς ωστόσο ειδικότερη τεκμηρίωση, ότι τα οφέλη από τη σχεδιαζόμενη επεξεργασία είναι αρκετά καθώς, μεταξύ άλλων, θα συνεπάγεται αξιόπιστη και αδιάβλητη καταγραφή ωραρίου, θα διασφαλίζει δίκαιη αποζημίωση υπερωριών και μείωση καταχρήσεων.
Εν συνεχεία, το ΥΠΕΣ απέστειλε στην Αρχή το από 01.09.2025 μήνυμα ηλεκτρονικού ταχυδρομείου με τα εξής συνημμένα: α) ενημερωτικό σημείωμα της ΕΑΔ με συνοπτική εικόνα των αποτελεσμάτων, που αφορούν τον τρόπο τήρησης του ωραρίουτων υπαλλήλων για τους φορείς που έχουν απομακρυσμένες υπηρεσίες, β) το σχετικό αναλυτικό excel αρχείο της ΕΑΔ και γ) συνοπτική μελέτη αξιολόγησης κινδύνων μοντέλων ελέγχου φυσικής παρουσίας στον δημόσιο τομέα.
Κατόπιν τούτου, η Ολομέλεια της Αρχής συνεδρίασε την 30.9.2025 προς εξέταση του ανωτέρω αιτήματος. Ωστόσο, έκρινε ότι τα διαθέσιμα στοιχεία δεν επαρκούν για τον σχηματισμό πλήρους και τεκμηριωμένης γνώμης και, ως εκ τούτου, αποφάσισε τη διακοπή της συνεδρίασης και την εκ νέου σύγκλησή της μετά από αίτημα προς το ΥΠΕΣ για την προσκόμιση συμπληρωματικών στοιχείων. Μετά την Ολομέλεια της 30/09/2025, η Αρχή απέστειλε το υπ’ αριθμ. πρωτ. .../01-10-2025 έγγραφο, με το οποίο ζήτησε από το ΥΠΕΣ να προσκομίσει στοιχεία, από τα οποία να προκύπτει με ακρίβεια και σαφήνεια η αναγκαιότητα της προτεινόμενης διάταξης, ιδίως, μέσω ενδελεχούς και κατάλληλα εμπεριστατωμένης τεκμηρίωσης, από την οποία να προκύπτει ότι ο επιδιωκόμενος στόχος ουσιαστικού δημοσίου συμφέροντος, (ο οποίος σημειωτέον δεν προσδιορίζεται ρητώς στο ΣχΔ), δεν μπορεί εύλογα να επιτευχθεί εξίσου αποτελεσματικά με άλλα μέσα, λιγότερο επαχθή και περιοριστικά των θεμελιωδών δικαιωμάτων των εργαζομένων (υποκειμένων των δεδομένων). Επισημάνθηκε ότι στην εν λόγω τεκμηρίωση θα πρέπει να παρατίθενται τόσο ποσοτικά, όσο και ποιοτικά στοιχεία, από τα οποία να προκύπτει ότι τα ήδη υπάρχοντα ή άλλα εναλλακτικά και λιγότερο παρεμβατικά συστήματα παρακολούθησης ωραρίου εργαζομένων δεν είναι αποτελεσματικά και δεν επιτυγχάνουν τον επιδιωκόμενο σκοπό της επίμαχης ρύθμισης. Τέλος, η Αρχή ενημέρωσε το ΥΠΕΣ ότι κρίνεται απαραίτητη και η προηγούμενη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων, η οποία θα πρέπει επίσης να προσκομισθεί.
Ακολούθως, η Αρχή απέστειλε στο ΥΠΕΣ το υπ’ αριθμ. πρωτ. .../07-10-2025 έγγραφο, με το οποίο ζήτησε να προσκομίσει στην Αρχή το σύνολο των στοιχείων που αξιολόγησε και αφορούν τυχόν συστήματα καταγραφής φυσικής παρουσίας των κρατών-μελών της ΕΕ: Γαλλία, Ισπανία, Αυστρία, Λιθουανία, Εσθονία, Σουηδία και Κροατία. Και τούτο διότι στη μελέτη αξιολόγησης βιομετρικών συστημάτων, που προσκόμισε το ΥΠΕΣ με το ως άνω από 01.09.2025 μήνυμα ηλεκτρονικού ταχυδρομείου, αναγράφεται στην υποσημείωση 1 το εξής: «Στο πλαίσιο της παρούσας μελέτης αξιολογήθηκαν τα συστήματα καταγραφής φυσικής παρουσίας των παρακάτω κρατώνμελών της Ε.Ε.: Γαλλία, Ισπανία, Αυστρία, Λιθουανία, Εσθονία, Σουηδία και Κροατία, τα οποία επελέγησαν βάσει μεγέθους δημόσιας διοίκησης, ομοσπονδιακή ή μη διάρθρωση της διοίκησης, θέση τους στο δείκτη Digital Economy and Society Index (DESI) της Ευρωπαϊκής Επιτροπής.». Ωστόσο, από αναζήτηση που πραγματοποίησε η Αρχή στον παραπάνω σύνδεσμο δεν εντοπίσθηκαν στοιχεία σχετικά με βιομετρικά συστήματα στις εν λόγω χώρες. Ακόμα, η Αρχή, με το ίδιο έγγραφο ζήτησε από το ΥΠΕΣ να προσκομίσει στοιχεία σχετικά με αντίστοιχη νομοθετική ρύθμιση ελέγχου παρουσίας και πρόσβασης σε δημόσιους φορείς με χρήση βιομετρικών δεδομένων στα άλλα κράτη μέλη της ΕΕ.
Εν συνεχεία το ΥΠΕΣ, με το από 03/11/2025 μήνυμα ηλεκτρονικού ταχυδρομείου, προσκόμισε στην Αρχή: α) απάντηση προς την Αρχή, β) διαβιβαστικό της έκθεσης ελέγχου της ΕΑΔ με αντικείμενο την εξέταση των μεθόδων τήρησης του ωραρίου των υπαλλήλων των φορέων της Γενικής κυβέρνησης, γ) την έκθεση ελέγχου με το παραπάνω αντικείμενο, δ) την επισκόπηση της χρήσης βιομετρικών σε χώρες-μέλη της ΕΕ (στην αγγλική γλώσσα), και ενημέρωσε την Αρχή για τα εξής ζητήματα:
Επιδιωκόμενος στόχος της προτεινόμενης διάταξης είναι η διασφάλιση της ακρίβειας της αποτύπωσης των στοιχείων και η περαιτέρω εξασφάλιση της αξιοπιστίας των συστημάτων καταγραφής παρουσίας, η πρόληψη φαινομένων καταστρατήγησης του ωραρίου και η αποτελεσματική διαχείριση του ανθρώπινου δυναμικού, με απώτερο σκοπό τη διαφάνεια και λογοδοσία στους δημόσιους φορείς.
Οι θεσμικές αναφορές τήρησης ωραρίου και χρήσης (ή σύσταση για χρήση) συστημάτων παρουσίας/ωρομέτρησης στον δημόσιο τομέα είναι οι εξής:
- ν.1157/1981 άρθρο 1 παρ. 5: καθιέρωση πενθημέρου εβδομάδας εργασίας και καθορισμός εβδομαδιαίων ωρών εργασίας.
- Υπουργική Απόφαση ΔΙΑΔΠ/Γ2γ/1692/27-6-2006: Πέντε (5) επιλογές ωρών προσέλευσης και αποχώρησης των υπαλλήλων.
- Κώδικας Δημοσίων Υπαλλήλων – Ν. 3528/2007 (ΦΕΚ Α’ 26/2007): Η τήρηση του ωραρίου είναι θεμελιώδης υποχρέωση. Η μη τήρηση του ωραρίου από τον υπάλληλο και η παράλειψη του προϊσταμένου να ελέγχει την τήρησή του συνιστά πειθαρχικό παράπτωμα, σύμφωνα με τη διάταξη της περ. κζ’ της παρ. 1 του άρθρου 107 του Υπαλληλικού Κώδικα (ν.3528/2007), όπως έχει αντικατασταθεί και ισχύει.
- Κώδικας Ηθικής και Επαγγελματικής Συμπεριφοράς Υπαλλήλων Δημοσίου Τομέα (Κεφάλαιο Γ.4 Επαγγελματισμός)
- Εγκύκλιοι ΥΠΕΣ για τον έλεγχο τήρησης του ωραρίου εργασίας – ΔΙΑΔΠ/Φ.Β.1/8001/12-4-2010 και ΔΙΔΑΔ/Φ.69/105/οικ.2091/14-1-2020 (ΑΔΑ: 6ΓΑΨ46ΜΤΛ6-ΘΝΓ): Ρητά αναφέρεται ότι ο έλεγχος του ωραρίου αποτελεί αρμοδιότητα των Διευθύνσεων Διοικητικού/Προσωπικού και των προϊσταμένων των υπαλλήλων και ότι προκειμένου να διασφαλιστεί ο αποτελεσματικός έλεγχος τήρησης του ωραρίου εργασίας, με κατά το δυνατόν ενιαίο τρόπο για το σύνολο των υπαλλήλων, επιβάλλεται η καθιέρωση ενιαίου συστήματος ελέγχου σε όλες τις υπηρεσίες του δημοσίου και γι’ αυτό συστήνεται οι φορείς, που δεν διαθέτουν ηλεκτρονικό – ψηφιακό μηχανισμό σήμανσης, να προχωρήσουν άμεσα στην εγκατάστασή του, δεδομένου ότι αποτελεί το πλέον αξιόπιστο σύστημα ελέγχου.
- Σύστημα Διαχείρισης Ανθρώπινου Δυναμικού (ΣΔΑΔ/HRMS) – ΥΠΕΣ Επίσημη ανακοίνωση για το νέο ολοκληρωμένο ψηφιακό σύστημα HR του Δημοσίου (2022), στο οποίο συγκλίνουν οι λειτουργίες διοίκησης προσωπικού· θεσμική κατεύθυνση για ενοποίηση/ψηφιοποίηση και των διαδικασιών παρουσία– ωραρίου. https://hrms.gov.gr/portal/
- Ενδεικτικές θεσμικές πράξεις/προκηρύξεις φορέων για ηλεκτρονική ωρομέτρηση Π.χ. προμήθειες/μελέτες για εγκατάσταση ηλεκτρονικών συστημάτων ελέγχου εισόδου–παρουσίας σε οργανισμούς τοπικής αυτοδιοίκησης (τεκμήριο πρακτικής εφαρμογής του πλαισίου σε φορείς Δημοσίου). Δήμος Παπάγου Χολαργού.
Δεν είναι τεχνικά ή λειτουργικά εφικτό να παρασχεθούν ποσοτικά αποδεικτικά δεδομένα για τις υφιστάμενες μεθόδους παρακολούθησης παρουσίας, παρά μόνον ενδείξεις ή μαρτυρίες:
- Οι μέθοδοι που βασίζονται σε κάρτες ή ψηφιακούς αναγνώστες, παρουσιάζουν ουσιώδεις περιορισμούς, καθώς δεν παρέχουν τη δυνατότητα επαλήθευσης της ταυτότητας του φυσικού προσώπου που πραγματοποιεί την είσοδο ή έξοδο.
- Αυτό το κενό αυθεντικοποίησης καθιστά ουσιαστικά αδύνατο τον εντοπισμό και την πρόληψη περιστατικών κατάχρησης, όπως η χρήση της κάρτας από τρίτο, μη εξουσιοδοτημένο πρόσωπο.
- Οι στοχευμένοι ή επιτόπιοι έλεγχοι αποδεικνύονται ανεπαρκείς, καθώς τέτοια περιστατικά είναι αδύνατο να καταγραφούν με τη διενέργεια «εκ των υστέρων» ελέγχων, δεν καταγράφονται σε πληροφοριακά συστήματα και δεν μπορούν να αποτυπωθούν με αντικειμενικά μετρήσιμα μέσα.
- Επιπλέον, οι εν λόγω πρακτικές δύνανται να υποκρύπτονται πίσω από φαινομενικά «ορθές» καταγραφές, καθιστώντας τη διαπίστωση της παραβίασης εξαιρετικά δυσχερή.
- Ως εκ τούτου, δεν είναι τεχνικά ή λειτουργικά εφικτό να παρασχεθούν ποσοτικά αποδεικτικά δεδομένα, παρά μόνον ενδείξεις ή μαρτυρίες που δεν πληρούν τα κριτήρια εμπεριστατωμένης τεκμηρίωσης κατά τον ΓΚΠΔ.
- Η απουσία αξιόπιστων και αντικειμενικών μέσων ταυτοποίησης ενισχύει την ανάγκη διερεύνησης πιο εξελιγμένων και ασφαλών τεχνολογικών λύσεων, όπως η χρήση βιομετρικών δεδομένων, υπό τις κατάλληλες εγγυήσεις προστασίας της ιδιωτικότητας.
Το ΥΠΕΣ έχει συνεκτιμήσει εναλλακτικά τεχνολογικά μέσα παρακολούθησης παρουσίας, τα οποία ωστόσο κρίθηκαν ανεπαρκή ή δυσλειτουργικά ως προς την αυθεντικοποίηση του φυσικού προσώπου:
- Η χρήση μαγνητικών καρτών ως μέσο ταυτοποίησης σε δημόσιες υπηρεσίες παρουσιάζει σημαντικούς περιορισμούς, τόσο ως προς την ασφάλεια όσο και ως προς τη δυνατότητα ελέγχου της συμμόρφωσης. Το κόστος για την επιβολή και παρακολούθηση ελέγχων είναι αυξημένο, ιδιαίτερα όταν δεν υπάρχει η δυνατότητα εκ των υστέρων διασταύρωσης της ταυτότητας του χρήστη. Σε περιπτώσεις όπου απαιτείται φυσική παρουσία, η επαλήθευση της ταυτοπροσωπίας είναι εξαιρετικά δυσχερής χωρίς τη συνδρομή αστυνομικών, γεγονός που επιβαρύνει τη διαδικασία και απαιτεί επιπλέον ανθρώπινο δυναμικό.
- Η εναλλακτική τοποθέτησης καμερών στις εισόδους δημοσίων υπηρεσιών, αν και θα μπορούσε να ενισχύσει τον έλεγχο, δημιουργεί σοβαρά ζητήματα ιδιωτικότητας και προκαλεί συχνές τριβές μεταξύ των πολιτών και του προσωπικού ασφαλείας.
- Παράλληλα, η αδυναμία επακριβούς γνώσης των ατόμων που βρίσκονται εντός ενός κτηρίου σε δεδομένη χρονική στιγμή συνιστά σοβαρό πρόβλημα σε περιπτώσεις εκτάκτου ανάγκης, όπως σεισμός ή πυρκαγιά, καθώς δυσχεραίνεται ο συντονισμός της εκκένωσης και η προστασία της ανθρώπινης ζωής.
Στο πλαίσιο της υποβολής ποσοτικών δεδομένων για την τεκμηρίωση της αναγκαιότητας, το ΥΠΕΣ πραγματοποίησε ανάλυση στοιχείων για αμοιβές υπερωριών δημοσίου και ιδιωτικού τομέα ως εξής:
- Ιδιωτικός τομέας: εκτιμάται ότι εάν το 0,22% των ωρών εργασίας αμείβονται ως υπερωρίες, η αμοιβή των υπερωριών αποτελεί περίπου το 0,31% των συνολικών αμοιβών των εργαζομένων στους κλάδους του ιδιωτικού τομέα που έχει εφαρμοστεί η ψηφιακή κάρτα εργασίας.
- Δημόσιος τομέας: το κόστος αποζημιώσεων των υπερωριών, εργασίας πέρας του πενθημέρου, νυχτερινών και εξαιρέσιμων ημερών των λοιπών στελεχών της Κεντρικής Διοίκησης ανέρχεται σε 266 εκατ. ευρώ σε σύνολο αποδοχών 9.4 δισ. ευρώ. Αυτό αντιστοιχεί σε ποσοστό 2,83% των συνολικών αποδοχών, ποσοστό σχεδόν εννεαπλάσιο από αυτό του ιδιωτικού τομέα.
- Όσον αφορά στην καταγραφή υπερωριών, το σύστημα θα συνδράμει στην ακριβέστερη καταγραφή των πραγματικά παρεχόμενων ωρών εργασίας και υπερωριών, επιτρέποντας δίκαιη αποζημίωση και αποφυγή καταχρήσεων, ενώ τα προσωπικά δεδομένα των υπαλλήλων δεν θα υπόκεινται σε παρακολούθηση πέραν των συμβατικών τους υποχρεώσεων.
Εναλλακτική προσέγγιση: Το ΥΠΕΣ, σύμφωνα με την απάντησή του, στο πλαίσιο υιοθέτησης μιας σύγχρονης, ολιστικής και τεχνολογικά ουδέτερης προσέγγισης, προτίθεται να προχωρήσει σε καθολική εφαρμογή ενός ψηφιακού συστήματος, που θα εφαρμόζεται ενιαία και χωρίς διακρίσεις σε όλους τους φορείς του δημόσιου τομέα. Στην περίπτωση που αυτό δεν καταστεί δυνατό – και παρά το γεγονός ότι την θεωρεί την πλέον ενδεδειγμένη λύση για την υποχρέωση τήρησης του ωραρίου - η χρήση βιομετρικών δεδομένων θα μπορούσε να διατηρηθεί ως επιλογή υπό ρητά και περιοριστικά καθορισμένες προϋποθέσεις. Συγκεκριμένα, η επεξεργασία βιομετρικών στοιχείων θα μπορούσε να επιτρέπεται μόνο όταν:
α) η πρόσβαση στο σύνολο ή σε τμήμα των χώρων εργασίας απαιτείται να ελέγχεται αυστηρά για λόγους υψίστης ασφάλειας και δεν υπάρχει άλλο, λιγότερο επεμβατικό μέσο για την επίτευξη αυτού του σκοπού, ή
β) ο φορέας έχει υιοθετήσει ευέλικτο ωράριο εργασίας, βάσει του ισχύοντος θεσμικού πλαισίου, ή
γ) στον φορέα έχουν καταγραφεί επαναλαμβανόμενες παραβάσεις τήρησης του ωραρίου (τουλάχιστον δύο φορές), που τεκμηριώνουν την ανάγκη εντατικοποίησης των μέτρων ελέγχου. Στην υιοθέτηση μιας τέτοιας προσέγγισης, προφανώς χρήζει αναπροσαρμογής η προτεινόμενη νομοθετική ρύθμιση προς αυτή την κατεύθυνση.
Ως προς τη χρήση βιομετρικών συστημάτων σε άλλα κράτη μέλη, από τα στοιχεία που προσκομίστηκαν στην Αρχή προκύπτει ότι οι σχετικές αναφορές περιορίζονται σε γενικές προϋποθέσεις σύννομης επεξεργασίας, όπως αυτές τίθενται από τις εποπτικές αρχές προστασίας δεδομένων. Μοναδική ειδική αναφορά έγινε στην Ιταλία, όπου υφίστατο νομοθετική ρύθμιση για τον βιομετρικό έλεγχο παρουσίας των δημοσίων υπαλλήλων, η οποία ωστόσο έχει καταργηθεί. Σύμφωνα με τις διαθέσιμες πληροφορίες στον σύνδεσμο του ΕΣΠΔ https://www.edpb.europa.eu/news/nationalnews/2025/biometrics-attendance-recording-italian-sa-fines-high-school_en),η κατάργηση του ιταλικού νόμου 56/2019 οφείλεται στο ότι κρίθηκε μη αναγκαία και μη αναλογική η συστηματική, γενικευμένη και αδιάκριτη χρήση βιομετρικών συστημάτων για τον έλεγχο παρουσίας σε όλες τις δημόσιες υπηρεσίες.
Όσον αφορά την εκτίμηση αντικτύπου στην προστασία δεδομένων, το ΥΠΕΣ ενημέρωσε την Αρχή (με το ως άνω από 03/11/2025 μήνυμα ηλεκτρονικού ταχυδρομείου) ότι η υλοποίηση συστήματος βιομετρικής ταυτοποίησης τελεί υπό την προϋπόθεση διενέργειας εκτίμησης αντικτύπου (ΕΑΠΔ), όπως ορίζεται στο άρθρο 35 του ΓΚΠΔ, σχετικά με την προστασία των προσωπικών δεδομένων, την οποία οφείλει να εκπονήσει ο υπεύθυνος επεξεργασίας του αρμόδιου φορέα, υπό την εποπτεία της Αρχής.
Εν συνεχεία το ΥΠΕΣ, με το από 14/11/2025 μήνυμα ηλεκτρονικού ταχυδρομείου, προσκόμισε στην Αρχή μελέτη ΕΑΠΔ με τίτλο «ΣΥΣΤΗΜΑ ΚΑΡΤΑΣ ΕΡΓΑΣΙΑΣ ΣΤΟΝ ΔΗΜΟΣΙΟ ΤΟΜΕΑ με δυνατότητα βιομετρικής ταυτοποίησης και διασύνδεση σε Κεντρικό HRMS και Τοπικά HRMS, η οποία παρουσιάζει τις ελλείψεις που αναφέρονται στην ανάλυση του νομικού πλαισίου της παρούσας.
Η Αρχή, μετά από εξέταση του συνόλου των στοιχείων του φακέλου και αφού άκουσε τους εισηγητές και τις βοηθούς εισηγήτριες, οι οποίες παρέστησαν χωρίς δικαίωμα ψήφου, μετά από διεξοδική συζήτηση,
ΕΚΔΙΔΕΙ ΤΗΝ ΑΚΟΛΟΥΘΗ ΓΝΩΜΟΔΟΤΗΣΗ
1) Σύμφωνα με τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού Προστασίας Δεδομένων (EE) 2016/679 (εφεξής, ΓΚΠΔ) και του άρθρου 9 του ν. 4624/2019 (ΦΕΚ Α΄ 137), η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου αυτού και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.
2) Ειδικότερα, στο άρθρο 57 παρ. 1 στοιχ. γ’ ΓΚΠΔ και το άρθρο 13 παρ. 1 του ν. 4624/2019, προβλέπεται ότι με την επιφύλαξη των άλλων καθηκόντων, που ορίζονται στον ΓΚΠΔ, κάθε εποπτική αρχή στο έδαφός της συμβουλεύει, σύμφωνα με το δίκαιο του κράτους μέλους, το εθνικό κοινοβούλιο, την κυβέρνηση και άλλα όργανα και οργανισμούς, για νομοθετικά και διοικητικά μέτρα που σχετίζονται με την προστασία των δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας. Επιπλέον, στο άρθρο 36 παρ. 4 του ΓΚΠΔ προβλέπεται ότι τα κράτη μέλη ζητούν τη γνώμη της εποπτικής αρχής, κατά την εκπόνηση προτάσεων νομοθετικών μέτρων προς θέσπιση από τα εθνικά κοινοβούλια ή κανονιστικών μέτρων, που βασίζονται σε τέτοια νομοθετικά μέτρα τα οποία αφορούν την επεξεργασία. Η αιτιολογική σκέψη 96 του ΓΚΠΔ επεξηγεί την εν λόγω ρύθμιση, αναφέροντας ότι «Διαβούλευση με την εποπτική αρχή θα πρέπει επίσης να πραγματοποιείται κατά την εκπόνηση ενός νομοθετικού ή κανονιστικού μέτρου που προβλέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται η συμμόρφωση της σχεδιαζόμενης επεξεργασίας προς τον παρόντα κανονισμό και, ιδίως, να μετριάζονται οι κίνδυνοι για το υποκείμενο των δεδομένων.»
3) Σύμφωνα με το άρθρο 9 παρ. 1 ΓΚΠΔ, η επεξεργασία βιομετρικών δεδομένων, ως δεδομένων που εντάσσονται στις ειδικές κατηγορίες προσωπικών δεδομένων, απαγορεύεται, κατ’ αρχήν, λόγω της ιδιαίτερης φύσης τους και των αυξημένων κινδύνων που συνεπάγεται η επεξεργασία τους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Κατ’ εξαίρεση, σύμφωνα με το άρθρο 9 παρ. 2 στοιχ. ζ΄ ΓΚΠΔ, η επεξεργασία αυτή επιτρέπεται μόνον εφόσον πληρούνται σωρευτικά αυστηρές προϋποθέσεις, και, ιδίως, όταν είναι απολύτως αναγκαία για λόγους ουσιαστικού δημοσίου συμφέροντος, βάσει δικαίου της Ένωσης ή κράτους μέλους, το οποίο πρέπει να προβλέπει τη σχετική επεξεργασία και να καθορίζει το πεδίο και τους όρους εφαρμογής της. Η έννοια του «ουσιαστικού δημοσίου συμφέροντος» ερμηνεύεται στενά και δεν ταυτίζεται με γενικούς ή ευρύτερους σκοπούς δημόσιας πολιτικής, αλλά προϋποθέτει την ύπαρξη συγκεκριμένου, σοβαρού και επαρκώς τεκμηριωμένου δημοσίου συμφέροντος, ικανού να δικαιολογήσει την κατ’ εξαίρεση άρση της ως άνω αρχής της απαγόρευσης. Περαιτέρω, η απαίτηση της «απολύτως αναγκαίας» επεξεργασίας συνεπάγεται ότι η προσφυγή σε βιομετρικά δεδομένα είναι επιτρεπτή, μόνο εφόσον αποδεικνύεται, βάσει συγκεκριμένων και επαληθεύσιμων στοιχείων, ότι ο επιδιωκόμενος σκοπός δεν μπορεί να επιτευχθεί αποτελεσματικά με λιγότερο παρεμβατικά μέσα και η έκταση της επεξεργασίας περιορίζεται αυστηρά στο αναγκαίο μέτρο.
Στο πλαίσιο αυτό, η διάταξη του ως άνω άρθρου 9 παρ. 2 στοιχ. ζ΄ ΓΚΠΔ συνιστά εξαιρετική ρήτρα και πρέπει να εφαρμόζεται υπό αυστηρή ερμηνεία, σύμφωνα με τη γενική αρχή ότι οι παρεκκλίσεις από την προστασία των προσωπικών δεδομένων και οι περιορισμοί των σχετικών δικαιωμάτων επιτρέπονται μόνον στο μέτρο που είναι απολύτως αναγκαίοι.
Στην υπό εξέταση περίπτωση, οι επικαλούμενοι από το ΥΠΕΣ σκοποί της προτεινόμενης ρύθμισης, συνιστούν πράγματι θεμιτές επιδιώξεις δημόσιας πολιτικής και ανάγονται στην εύρυθμη λειτουργία της διοίκησης. Πλην όμως, δεν τεκμηριώνεται ότι ανέρχονται στο επίπεδο «ουσιαστικού δημοσίου συμφέροντος» κατά την έννοια του ως άνω άρθρου 9 παρ. 2 στοιχ. ζ΄ ΓΚΠΔ, το οποίο απαιτεί την ύπαρξη ιδιαίτερα σοβαρού και επιτακτικού λόγου, που να δικαιολογεί την κατ’ εξαίρεση επεξεργασία ειδικών κατηγοριών δεδομένων. Ειδικότερα, δεν προσκομίζονται συγκεκριμένα, αντικειμενικά και επαληθεύσιμα στοιχεία ως προς την έκταση και τη συστηματικότητα των επικαλούμενων παραβατικών φαινομένων, τη σοβαρότητα των συνεπειών τους για τη λειτουργία της διοίκησης καθώς και την ύπαρξη και το ύψος τυχόν δημοσιονομικής ζημίας. Η γενική επίκληση δυσλειτουργιών ή καταχρήσεων, χωρίς εμπειρική τεκμηρίωση, δεν αρκεί για να θεμελιώσει την ύπαρξη ουσιαστικού δημοσίου συμφέροντος κατά την έννοια της ως άνω διάταξης.
Περαιτέρω, δεν αποδεικνύεται ότι η προτεινόμενη επεξεργασία είναι «απολύτως αναγκαία». Ειδικότερα, δεν προκύπτει ότι έχει προηγηθεί συστηματική εφαρμογή και αξιολόγηση λιγότερο παρεμβατικών μέτρων (όπως, για παράδειγμα, ηλεκτρονικά παρουσιολόγια, προσωποποιημένες κάρτες, διοικητικοί έλεγχοι κοκ). Η παράλειψη διερεύνησης και τεκμηριωμένης απόρριψης τέτοιων ηπιότερων μέσων καθιστά αδύνατη τη διαπίστωση ότι η προσφυγή σε βιομετρικά δεδομένα αποτελεί το έσχατο και αναγκαίο μέτρο για την επίτευξη του επιδιωκόμενου σκοπού.
Συναφώς, το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής ΔΕΕ) έχει επανειλημμένως κρίνει ότι παρεκκλίσεις από την προστασία των προσωπικών δεδομένων και περιορισμοί των συναφών δικαιωμάτων πρέπει να ερμηνεύονται και να εφαρμόζονται στενά και να επιτρέπονται μόνο στο μέτρο που είναι απολύτως αναγκαίοι για την επίτευξη του επιδιωκόμενου σκοπού. Ειδικότερα, το Δικαστήριο έχει τονίσει ότι η απαίτηση της αναγκαιότητας προϋποθέτει ότι η επίμαχη επέμβαση περιορίζεται αυστηρά στο αναγκαίο και δεν υπερβαίνει τα όρια αυτού, ενώ πρέπει να αποδεικνύεται ότι δεν υφίστανται άλλα αποτελεσματικά και λιγότερο παρεμβατικά μέσα. Η αρχή αυτή αποκτά ιδιαίτερη σημασία, όταν πρόκειται για επεξεργασία ειδικών κατηγοριών δεδομένων, όπως τα βιομετρικά δεδομένα, λαμβανομένου υπόψη ότι η ένταση της επέμβασης στα δικαιώματα των υποκειμένων των δεδομένων είναι αυξημένη και, ως εκ τούτου, απαιτείται αντίστοιχα αυστηρότερος έλεγχος ως προς τη συνδρομή των προϋποθέσεων νομιμότητας.
Κατά συνέπεια, η προτεινόμενη ρύθμιση δεν δύναται να υπαχθεί στην εξαίρεση του άρθρου 9 παρ. 2 στοιχ. ζ΄ ΓΚΠΔ, δεδομένου ότι δεν πληρούνται οι απαιτούμενες σωρευτικές προϋποθέσεις, ιδίως ως προς την αναγκαιότητα και την ύπαρξη ουσιαστικού δημοσίου συμφέροντος.
4) Περαιτέρω, σύμφωνα με το ίδιο ως άνω άρθρο 9 παρ. 2 στοιχ. ζ΄ ΓΚΠΔ, κάθε νομοθετική ρύθμιση, που επιτρέπει την κατ’ εξαίρεση επεξεργασία ειδικών κατηγοριών δεδομένων, οφείλει να σέβεται όχι μόνον τις αρχές της αναγκαιότητας και της αναλογικότητας αλλά και την ουσία του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα, όπως κατοχυρώνεται στα άρθρα 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (εφεξής Χάρτης) .
Η υπό εξέταση προτεινόμενη καθολική και υποχρεωτική χρήση βιομετρικών δεδομένων στο πλαίσιο εξαρτημένης εργασίας μετατρέπει τη σωματική ταυτότητα των εργαζομένων σε διαρκές μέσο ελέγχου και επιτήρησης, εγκαθιδρύοντας ένα καθεστώς συνεχούς παρακολούθησης, ανεξαρτήτως συγκεκριμένων ενδείξεων ή πραγματικής ανάγκης. Η ένταση της επέμβασης αυτής υπερβαίνει τα ανεκτά όρια που τίθενται από το ενωσιακό δίκαιο και οδηγεί σε ουσιώδη προσβολή του πυρήνα του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα, ιδίως ενόψει της καθολικότητας και της υποχρεωτικότητας του μέτρου. Συναφώς, το ΔΕΕ έχει κρίνει ότι μέτρα τα οποία συνεπάγονται γενικευμένη και χωρίς διάκριση παρακολούθηση δύνανται, λόγω της έκτασης και της σοβαρότητας της επέμβασης που επιφέρουν, να θίγουν την ίδια την ουσία των δικαιωμάτων που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη.
Κατά συνέπεια, η επίμαχη ρύθμιση, υπό την παρούσα μορφή της, εγείρει σοβαρά ζητήματα συμβατότητας με τον πυρήνα του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα.
5) Σύμφωνα με το άρθρο 5 παρ. 1 στοιχ. γ΄ ΓΚΠΔ, τα δεδομένα πρέπει να είναι κατάλληλα, συναφή και περιορισμένα στο αναγκαίο μέτρο («αρχή ελαχιστοποίησης»). Η αρχή αυτή επιβάλλει στον υπεύθυνο επεξεργασίας την υποχρέωση να επιλέγει, ήδη κατά το στάδιο του σχεδιασμού, τα μέσα επεξεργασίας που συνεπάγονται τη μικρότερη δυνατή επέμβαση στα δικαιώματα των υποκειμένων των δεδομένων, αποκλείοντας τη συλλογή ή χρήση δεδομένων που υπερβαίνουν το αναγκαίο μέτρο για την επίτευξη του επιδιωκόμενου σκοπού. Η απαίτηση αυτή δεν εξαντλείται σε μια αφηρημένη σύνδεση μεταξύ μέσου και σκοπού, αλλά προϋποθέτει συγκεκριμένη και τεκμηριωμένη στάθμιση, στο πλαίσιο της οποίας ο υπεύθυνος επεξεργασίας οφείλει να αποδεικνύει ότι το επιλεγέν μέτρο είναι πρόσφορο για την επίτευξη του σκοπού, δεν υφίστανται άλλα αποτελεσματικά αλλά λιγότερο παρεμβατικά μέσα και η έκταση της επεξεργασίας περιορίζεται αυστηρά στο αναγκαίο.
Περαιτέρω, σύμφωνα με το άρθρο 52 του Χάρτη, κάθε περιορισμός στην άσκηση θεμελιωδών δικαιωμάτων, όπως το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα, πρέπει να προβλέπεται από τον νόμο, να σέβεται την ουσία του δικαιώματος και να είναι αναγκαίος και να ανταποκρίνεται πράγματι σε σκοπό γενικού συμφέροντος σύμφωνα με την αρχή της αναλογικότητας.
Στο πλαίσιο αυτό, η ως άνω αρχή της ελαχιστοποίησης συνιστά ειδικότερη έκφανση της αρχής της αναλογικότητας στον τομέα της προστασίας δεδομένων και πρέπει να ερμηνεύεται σε συνδυασμό με το ως άνω αναφερόμενο άρθρο 52 του Χάρτη. Ως εκ τούτου, η χρήση μέσων που συνεπάγονται αυξημένη ένταση επέμβασης, όπως η επεξεργασία βιομετρικών δεδομένων, μπορεί να θεωρηθεί συμβατή με το ενωσιακό δίκαιο μόνον εφόσον αποδεικνύεται, με συγκεκριμένα και επαληθεύσιμα στοιχεία, ότι δεν υφίσταται άλλη αποτελεσματική και λιγότερο παρεμβατική λύση και ότι η έκταση της επεξεργασίας περιορίζεται αυστηρά στο αναγκαίο μέτρο.
Η υπό εξέταση ρύθμιση προβλέπει την οριζόντια, καθολική και υποχρεωτική εφαρμογή βιομετρικών συστημάτων στο σύνολο των δημοσίων υπαλλήλων, χωρίς καμία διαφοροποίηση βάσει της φύσης των καθηκόντων, του επιπέδου κινδύνου ή ειδικών επιχειρησιακών συνθηκών και χωρίς να προκύπτει ότι έχει προηγηθεί ουσιαστική στάθμιση αποτελεσματικών και λιγότερο παρεμβατικών μέτρων. Η καθολικότητα αυτή οδηγεί σε γενικευμένη και αδιακρίτως εφαρμοζόμενη επεξεργασία ειδικών κατηγοριών δεδομένων, ανεξαρτήτως πραγματικής ανάγκης, με αποτέλεσμα να υπερβαίνει το αναγκαίο μέτρο για την επίτευξη των επιδιωκόμενων σκοπών. Συνεπώς, η επίμαχη ρύθμιση δεν περιορίζεται σε στοχευμένες περιπτώσεις, όπου θα μπορούσε να δικαιολογηθεί αυξημένη ένταση επέμβασης, αλλά εγκαθιδρύει ένα καθεστώς καθολικής επιτήρησης, το οποίο προσβάλλει δυσανάλογα το δικαίωμα προστασίας δεδομένων προσωπικού χαρακτήρα.
Κατά την πάγια νομολογία του ΔΕΕ, μέτρα που προβλέπουν γενικευμένη και χωρίς διάκριση επεξεργασία δεδομένων δεν πληρούν την απαίτηση της ως άνω αναφερόμενης αρχής αναλογικότητας, ιδίως όταν δεν στηρίζονται σε αντικειμενικά κριτήρια που να περιορίζουν την εφαρμογή τους στο απολύτως αναγκαίο. Ειδικότερα, το Δικαστήριο έχει κρίνει ότι τέτοιου είδους ρυθμίσεις, λόγω της έκτασης και της σοβαρότητας της επέμβασης που συνεπάγονται, προσκρούουν στα άρθρα 7 και 8 του Χάρτη, καθόσον υπερβαίνουν τα όρια του απολύτως αναγκαίου.
Επιπλέον, η απουσία διαφοροποίησης και η μη πρόβλεψη αντικειμενικών κριτηρίων εφαρμογής του μέτρου καθιστούν αδύνατη την εξατομικευμένη εκτίμηση της αναγκαιότητας, στοιχείο που αποτελεί βασική προϋπόθεση για τη συμμόρφωση με την αρχή της αναλογικότητας. Εξάλλου, η υποχρεωτική χρήση βιομετρικών σε σχέση εξαρτημένης εργασίας συνιστά ιδιαίτερα εντατική επέμβαση, ικανή να δημιουργήσει περιβάλλον διαρκούς επιτήρησης («chilling effect»), στοιχείο που ενισχύει τον δυσανάλογο χαρακτήρα του μέτρου.
Κατά συνέπεια, η επίμαχη καθολική προσέγγιση δεν συνάδει με τις απαιτήσεις του ενωσιακού δικαίου, καθώς συνιστά δυσανάλογη και υπέρμετρη επέμβαση στα δικαιώματα των υποκειμένων των δεδομένων, υπερβαίνοντας τα όρια του απολύτως αναγκαίου, όπως αυτά έχουν προσδιορισθεί από το ΔΕΕ.
6) Περαιτέρω, σύμφωνα με το άρθρο 5 παρ. 1 στοιχ. β΄ ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα πρέπει να συλλέγονται για συγκεκριμένους, σαφείς και νόμιμους σκοπούς και να μην υφίστανται περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς. Η αρχή του περιορισμού του σκοπού επιβάλλει τον ακριβή και εκ των προτέρων προσδιορισμό των επιδιωκόμενων σκοπών, προκειμένου να καθίσταται δυνατός ο έλεγχος της αναγκαιότητας και της αναλογικότητας της επεξεργασίας.
Η προτεινόμενη ρύθμιση συγχωνεύει ετερογενείς σκοπούς, όπως ο έλεγχος τήρησης του ωραρίου, η πρόσβαση σε χώρους, η ασφάλεια εγκαταστάσεων, χωρίς αυτοτελή προσδιορισμό και χωρίς διακριτή αξιολόγηση της αναγκαιότητας και αναλογικότητας της χρήσης βιομετρικών δεδομένων για καθέναν από αυτούς. Η έλλειψη σαφούς οριοθέτησης οδηγεί σε διεύρυνση και αοριστία του σκοπού, με αποτέλεσμα να καθίσταται δυσχερής έως και αδύνατος ο ουσιαστικός έλεγχος της συμβατότητας της επεξεργασίας με τις αρχές του ΓΚΠΔ, ενώ ταυτόχρονα δημιουργεί τον κίνδυνο τεχνητής ενίσχυσης της βαρύτητας και της αναγκαιότητας του μέτρου. Σύμφωνα με την νομολογία του ΔΕΕ, η απαίτηση σαφήνειας, ακρίβειας και προβλεψιμότητας των σκοπών της επεξεργασίας συνιστά ουσιώδη εγγύηση για την προστασία των υποκειμένων των δεδομένων και προϋπόθεση για τη νομιμότητα κάθε περιορισμού των σχετικών δικαιωμάτων.
Κατά συνέπεια, η επίμαχη ρύθμιση δεν πληροί τις απαιτήσεις της αρχής του περιορισμού του σκοπού, όπως αυτή κατοχυρώνεται στο άρθρο 5 παρ. 1 στοιχ. β΄ ΓΚΠΔ.
7) Σύμφωνα με τα άρθρα 24, 25 και 35 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει να διασφαλίζει τη συμμόρφωση με τις αρχές προστασίας δεδομένων ήδη από το στάδιο του σχεδιασμού της επεξεργασίας, ενσωματώνοντας κατάλληλα τεχνικά και οργανωτικά μέτρα («προστασία δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού»), καθώς και να προβαίνει, πριν από την έναρξη της επεξεργασίας, σε εκτίμηση αντικτύπου προσωπικών δεδομένων (ΕΑΠΔ), όταν αυτή ενδέχεται να παρουσιάζει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, όπως ιδίως στην περίπτωση επεξεργασίας βιομετρικών δεδομένων. Η υπό εξέταση προτεινόμενη ρύθμιση μεταθέτει την εκτίμηση κινδύνου σε μεταγενέστερο στάδιο, ήτοι σε επίπεδο επιμέρους φορέων, αντιστρέφοντας την κανονιστική λογική της ΕΑΠΔ, η οποία έχει κατ’ εξοχήν προληπτικό χαρακτήρα. Περαιτέρω, η προσκομισθείσα μελέτη ΕΑΠΔ δεν συνιστά πλήρη και ολοκληρωμένη εκτίμηση της ίδιας της νομοθετικής επιλογής, εμφανίζει ασυνέπειες ως προς τον προσδιορισμό του υπευθύνου επεξεργασίας, δεν τεκμηριώνει επαρκώς την αναγκαιότητα και την αναλογικότητα του προτεινόμενου μέτρου, δεν αξιολογεί επαρκώς τον αντίκτυπο της επεξεργασίας στα δικαιώματα των εργαζομένων ως υποκειμένων των δεδομένων και μεταθέτει κρίσιμα ζητήματα σε μεταγενέστερο χρόνο, αντίθετα με τον προληπτικό χαρακτήρα της διαδικασίας. Σύμφωνα με τη νομολογία του ΔΕΕ, η ύπαρξη κατάλληλων και επαρκών εγγυήσεων πρέπει να διασφαλίζεται ήδη κατά τον σχεδιασμό του μέτρου και να αποτυπώνεται με σαφήνεια στο κανονιστικό πλαίσιο που το διέπει.
8) Η ενδεχόμενη διατήρηση της χρήσης βιομετρικών δεδομένων ως εξαιρετικής επιλογής («ultima ratio»), υπό αυστηρές και περιοριστικά καθορισμένες προϋποθέσεις, θα μπορούσε να εξετασθεί μόνον κατόπιν υποβολής ειδικώς αιτιολογημένου αιτήματος, συνοδευόμενου από πλήρη και εμπεριστατωμένη τεκμηρίωση ως προς την αναγκαιότητα και την αναλογικότητα της σχετικής επεξεργασίας. Ειδικότερα, θα πρέπει να αποδεικνύεται, βάσει συγκεκριμένων και επαληθεύσιμων στοιχείων, ότι ο επιδιωκόμενος σκοπός δεν μπορεί να επιτευχθεί αποτελεσματικά με αλλά λιγότερο παρεμβατικά μέσα, καθώς και ότι η χρήση βιομετρικών δεδομένων περιορίζεται αυστηρά σε ειδικές και εξαιρετικές περιπτώσεις. Συναφώς, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων έχει επισημάνει, στο πλαίσιο των κατευθυντήριων γραμμών του, ότι η επεξεργασία βιομετρικών δεδομένων για σκοπούς ταυτοποίησης συνιστά, κατ’ αρχήν, επεξεργασία υψηλού κινδύνου και προϋποθέτει αυστηρή τήρηση των αρχών της αναγκαιότητας και της αναλογικότητας, ιδίως δε την προηγούμενη διαπίστωση ότι δεν υφίστανται άλλα αποτελεσματικά και λιγότερο παρεμβατικά μέσα. Υπό την έννοια αυτή, η προσφυγή σε βιομετρικά δεδομένα μπορεί να δικαιολογηθεί μόνον κατ’ εξαίρεση και υπό αυστηρές εγγυήσεις.
9) Τέλος και ειδικότερα ως προς την εναλλακτική πρόταση του ΥΠΕΣ, η Αρχή λαμβάνει υπόψη την αναφερόμενη στο ιστορικό του παρόντος εναλλακτική πρότασή του, σύμφωνα με την οποία η χρήση βιομετρικών δεδομένων θα μπορούσε να διατηρηθεί ως επιλογή, υπό ρητά και περιοριστικά καθορισμένες προϋποθέσεις και ιδίως σε περίπτωση που δεν καταστεί δυνατή η καθολική εφαρμογή ενός ενιαίου ψηφιακού συστήματος καταγραφής του χρόνου εργασίας. Ωστόσο, η πρόταση αυτή δεν συνοδεύεται, στην παρούσα φάση, από συγκεκριμένη, πλήρη και επαρκώς τεκμηριωμένη κανονιστική πρόβλεψη, ούτε από τα αναγκαία στοιχεία που θα επέτρεπαν στην Αρχή να προβεί σε ουσιαστική αξιολόγηση της συμβατότητάς της με τον ΓΚΠΔ.
Ειδικότερα, δεν προσδιορίζονται με σαφήνεια οι συγκεκριμένες και περιορισμένες περιπτώσεις, στις οποίες θα μπορούσε να επιτραπεί η χρήση βιομετρικών δεδομένων ούτε τα αντικειμενικά και επαληθεύσιμα κριτήρια, που θα δικαιολογούσαν την κατ’ εξαίρεση προσφυγή σε τέτοια μέσα, ενώ δεν τεκμηριώνονται οι λόγοι για τους οποίους τα ηπιότερα μέσα, όπως τα συστήματα προσωποποιημένων καρτών ή άλλα ηλεκτρονικά παρουσιολόγια, δεν επαρκούν ούτε προβλέπονται ειδικά και κατάλληλα μέτρα διασφάλισης των δικαιωμάτων των υποκειμένων των δεδομένων.
Τέλος, η Αρχή επισημαίνει ότι, όπως αναλύθηκε ανωτέρω στο σημείο 4) στο σκεπτικό της παρούσας ιδίως στο πλαίσιο εξαρτημένης εργασιακής σχέσης, η χρήση βιομετρικών δεδομένων ενέχει αυξημένο κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και, ως εκ τούτου, μπορεί να εξετασθεί μόνον υπό εξαιρετικές περιστάσεις και με αυστηρές εγγυήσεις.
Κατόπιν των ανωτέρω, η Αρχή κρίνει ότι η προτεινόμενη ρύθμιση, υπό την παρούσα μορφή της και με βάση όσα αναλύθηκαν ανωτέρω, δεν είναι συμβατή με τις διατάξεις του ΓΚΠΔ και το ενωσιακό δίκαιο και ως εκ τούτου δεν θα πρέπει να υιοθετηθεί.
Ο εκτελών χρέη Προέδρου Αναπληρωτής Πρόεδρος
Γεώργιος Μπατζαλέξης
Η Γραμματέας
Ειρήνη Παπαγεωργοπούλου
anchor link
Εγγραφή
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα
Δημοσιεύστε