Η Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο ύψους 175.000 ευρώ για τα συστήματα επιτήρησης αιτούντων άσυλο Κένταυρος και Υπερίων. Το Solomon είχε αποκαλύψει πως τα δύο -εμβληματικά για το υπουργείο Μετανάστευσης- συστήματα σχεδιάστηκαν και υλοποιήθηκαν δίχως τις απαιτούμενες προβλέψεις προσωπικών δεδομένων.
Ρεπορτάζ:
Εικονογράφηση:
Πρόστιμο 175.000 ευρώ επιβάλλει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στο υπουργείο Μετανάστευσης και Ασύλου για παράβαση της νομοθεσίας σχετικά με τα προσωπικά δεδομένα κατά τον σχεδιασμό και την υλοποίηση συστημάτων επιτήρησης, που αξιοποιούν και βιομετρικά δεδομένα, στα κέντρα φιλοξενίας αιτούντων άσυλο.
Η Αρχή διαπιστώνει ότι η μη διενέργεια ολοκληρωμένης, συνολικής και συνεκτικής Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων «ήδη από το σχεδιασμό και εξ ορισμού, πριν την προμήθεια και τη θέση σε εφαρμογή» των συστημάτων Κένταυρος και Υπερίων συνιστά παραβίαση άρθρων του ευρωπαϊκού Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ, GDPR).
Πρόκειται για προγράμματα ύψους 20 εκατ. ευρώ που χρηματοδοτούνται με ευρωπαϊκούς πόρους από το Ταμείο Ανάκαμψης.
Τον Αύγουστο του 2022, το Solomon είχε αποκαλύψει πως τα δύο έργα σχεδιάστηκαν, εντάχθηκαν στα ευρωπαϊκά ταμεία, και αρχικώς υλοποιήθηκαν από το υπουργείο Μετανάστευσης δίχως να ικανοποιούνται οι αναγκαίες τεχνικές προβλέψεις σχετικά με την προστασία των προσωπικών δεδομένων του επιτηρούμενου πληθυσμού.
«Αντιφατικές απαντήσεις» από το υπουργείο
Επιβαρυντικά στην απόφαση της Αρχής επίσης λειτούργησε η ελλιπής απόκριση από πλευράς υπουργείου κατά τη διάρκεια της διερεύνησης του θέματος.
Η Αρχή επισημαίνει την κατάθεση «ημιτελών κειμένων και ανακριβών, αντιφατικών και συγκεχυμένων απαντήσεων (π.χ. δεν έχουν παρασχεθεί, μεταξύ άλλων, διευκρινίσεις ως προς τους αλγόριθμους ανάλυσης συμπεριφοράς, ούτε για τη συμβολή του ΥΠΔ (Υπεύθυνου Προστασίας Δεδομένων) στη διενέργεια εκτίμησης αντικτύπου».
Στην απόφαση της, η Αρχή επίσης διαπίστωσε ότι «η επεξεργασία για σκοπούς επιτήρησης, για την οποία προκύπτουν παραβιάσεις των διατάξεων του ΓΚΠΔ, αφορούν σε μεγάλο αριθμό υποκειμένων, μεταξύ των οποίων εργαζόμενοι και άτομα με χαρακτηριστικά ευαλωτότητας, τα οποία έχουν πραγματική δυσχέρεια στη δυνατότητα άσκησης των δικαιωμάτων τους και τυχόν υποβολή καταγγελίας».
Το πρόστιμο των 175.000 ευρώ πιστεύεται ότι είναι το μεγαλύτερο που έχει επιβληθεί ποτέ σε δημόσιο φορέα στην Ελλάδα, σύμφωνα με τον Λευτέρη Χελιουδάκη, συνιδρυτή και γραμματέα της Homo Digitalis.
«Η λεπτομερής ανάλυση της Αρχής Προστασίας Προσωπικών Δεδομένων υπογραμμίζει τις σημαντικότερες ελλείψεις στις οποίες είχε υποπέσει το υπουργείο Μετανάστευσης και Ασύλου στο πλαίσιο της εκπόνησης μιας ολοκληρωμένης και συνεκτικής Εκτίμησης Αντικτύπου, ενώ το πολύ υψηλό πρόστιμο καταδεικνύει τις σημαντικές παραβιάσεις του GDPR που εντοπίζονται και αφορούν σε μεγάλο αριθμό υποκειμένων τα οποία έχουν πραγματική δυσχέρεια στη δυνατότητα άσκησης των δικαιωμάτων τους», σχολίασε.
«Δεν τελειώνει εδώ»
«Φυσικά, τίποτα δεν τελειώνει εδώ. Ένα υψηλό πρόστιμο δεν σημαίνει από μόνο του τίποτα. Πρέπει το υπουργείο Μετανάστευσης και Ασύλου να συμμορφωθεί άμεσα», είπε ο ίδιος στο Solomon.
Στο πλαίσιο της απόφασης, δόθηκε εντολή στο υπουργείο Μετανάστευσης να «προβεί στο σύνολο των απαραίτητων ενεργειών για την ολοκλήρωση της συμμόρφωσής του με τις υποχρεώσεις του υπευθύνου επεξεργασίας» εντος τριών μηνών.
Εάν το υπουργείο δεν συμμορφωθεί με την υποβολή των αιτούμενων εγγράφων και τη διευκρίνιση πληροφοριών εντός του προβλεπόμενου χρονικού πλαισίου, μπορεί να επιβληθεί μεγαλύτερο πρόστιμο.
Αυτή η απόφαση θα μπορούσε επίσης να ανοίξει το δρόμο για πρόσθετες καταγγελίες, πρόσθεσε ο Χελιουδάκης.
Είπε στο Solomon ότι «εάν τα υποκείμενα των δεδομένων κάνουν νέες καταγγελίες, δείχνοντας ότι τα συστήματα αναπτύσσονται και λειτουργούν, παραβιάζοντας τα δικαιώματα προστασίας δεδομένων ενός ατόμου, θα μπορούσε να επιβληθεί και άλλο πρόστιμο».
Διασύνδεση με ΕΛΑΣ και απόρρητες συμβάσεις
Απο την απόφαση της Αρχής προκύπτουν περαιτέρω στοιχεία για τη διασύνδεση του συστήματος Κένταυρος με την Πολιτική Προστασία, το ΕΚΑΒ, την Αστυνομία, την Πυροσβεστική Υπηρεσία και το Λιμενικό.
Σύμφωνα με το κείμενο «προβλέπεται η χορήγηση ενός αποπλέκτη εικόνας (Video Decoder) σε ΕΛ.ΑΣ, Πολιτική Προστασία, Πυροσβεστική Υπηρεσία σε σημεία που θα υποδειχθούν/συμφωνηθούν ούτως ώστε σε περίπτωση κρίσης να μεταφερθεί εικόνα από το Κέντρο Διαχείρισης Συμβάντων (ΚΔΣ) του ΥΜΑ προς τα επιχειρησιακά κέντρα των εν λόγω φορέων».
«Η πρόσβαση στα δεδομένα των ωφελούμενων», αναφέρεται, «γίνεται μέσα από το δίκτυο της ΕΛΑΣ “POL”, το οποίο είναι ένα διαβαθμισμένο φυσικά ανεξάρτητο δίκτυο, με πρόσβαση διαχείρισης μόνο από τους εξουσιοδοτημένους χρήστες της ΕΛΑΣ».
Εντύπωση επίσης προκαλεί ότι για τα κενά και την έλλειψη συνεκτικής εικόνας στις μελέτες του υπουργείου, εκπρόσωποι του επικαλέστηκαν τον απόρρητο χαρακτήρα των συμβάσεων, εξαιτίας του οποίου δεν είχαν συνολική πρόσβαση στις απαιτούμενες πληροφορίες.
Η Αρχή χαρακτηρίζει τον ισχυρισμό αδιάφορο «προς τις σχετικές διατάξεις του ΓΚΠΔ, δεδομένου ιδίως, ότι η διενέργεια εκτίμησης αντικτύπου αποτελεί υποχρέωση του υπευθύνου επεξεργασίας και δεν νοείται επίκληση του απόρρητου χαρακτήρα των συμβάσεων».
Προγράμματα σχεδιασμένα χωρίς μελέτες, από υπουργείο χωρίς Υπεύθυνο Προστασίας Δεδομένων
Τον Φεβρουάριο του 2022 οι οργανώσεις Homo Digitalis, Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου, και HIAS Ελλάδος, από κοινού με την αναπληρώτρια καθηγήτρια στο πανεπιστήμιο του Λουξεμβούργου Νιόβη Βάβουλα, ζήτησαν από τον πρόεδρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να εξετάσει αν τα προγράμματα Υπερίων και Κένταυρος τηρούν τις προβλέψεις της νομοθεσίας της Ευρωπαϊκής Ένωσης για την επεξεργασία προσωπικών δεδομένων.
Ζήτησαν επίσης να διερευνηθεί εάν έχει πραγματοποιηθεί η υποχρεωτική μελέτη αντικτύπου (Data Protection Impact Assessment – DPIA) κατά τον σχεδιασμό του έργου. Στις 2 Μαρτίου 2022, η ΑΠΔΠΧ ξεκίνησε σχετική έρευνα.
Σε προηγούμενη δημοσίευση του, τον Αύγουστο του 2022, το Solomon έχει αποκαλύψει πως τα χρηματοδοτούμενα από ευρωπαϊκούς πόρους έργα, αρχικώς υλοποιήθηκαν από το υπουργείο Μετανάστευσης δίχως να ικανοποιούνται οι αναγκαίες προβλέψεις σχετικά με την διενέργεια μελετών για την προστασία των προσωπικών δεδομένων του επιτηρούμενου πληθυσμού.
Για τις ανάγκες του υπουργείου, το υπουργείο Μετανάστευσης είχε προχώρησει σε απευθείας ανάθεση για υπηρεσίες Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer) στις 26 Νοεμβριου 2021, ένα μήνα μετά το αίτημα των οργανωσεων.
Η ανάθεση είχε γίνει στην εταιρεία «ΕΥΡΩΑΞΟΝΕΣ ΚΑΙΝΟΤΟΜΕΣ ΤΕΧΝΟΛΟΓΙΚΕΣ & ΣΥΜΒΟΥΛΕΥΤΙΚΕΣ ΥΠΗΡΕΣΙΕΣ Α.Ε.», και αφορούσε συνολικό κόστος 34.720 ευρώ, για σύμβαση διάρκειας 12 μηνών.
Όπως επιβεβαίωσε το υπουργείο απαντώντας σε ερωτήματα του Solomon, κατά τον σχεδιασμό και την συμβολαιοποίηση των προγραμμάτων, και έως και την απευθείας ανάθεση της σχετικής υπηρεσίας στην «ΕΥΡΩΑΞΟΝΕΣ», το υπουργείο δεν διέθετε καν Υπεύθυνο Προστασίας Δεδομένων (DPO).
Στην πορεία, Υπεύθυνος Προστασίας Δεδομένων του υπουργείου αναλαμβάνει δικηγορικό γραφείο με εξειδίκευση στα θέματα Προστασίας Δεδομένων.
Παρά τα αιτήματα για πρόσβαση στα έγγραφα, τόσο το υπουργείο όσο και η Κομισιόν κράτησαν τις μελέτες αντικτύπου μυστικές, σε αντίθεση με τις κατευθυντήριες γραμμές της ΕΕ που λένε ότι οι περιλήψεις των εκτιμήσεων επιπτώσεων πρέπει να δημοσιεύονται.
Το υπουργείο Μετανάστευσης είχε επίσης αγνοήσει κοινοβουλευτικό αίτημα για τη δημοσιοποίηση των κειμένων.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου