Προσωπικός Αριθμός: Πόσο προστατεύονται τα Προσωπικά Δεδομένα των πολιτών

Ένα μεγάλο βήμα προς την ψηφιακή μετάβαση της χώρας, ή ένα μετέωρο βήμα προς την συρρίκνωση της ιδιωτικότητας των πολιτών;

Η καθιέρωση του Προσωπικού Αριθμού, 5 χρόνια από τη θεσμοθέτησή του το 2020 με το νόμο 4727,  οδηγεί αναμφισβήτητα τους Έλληνες πολίτες σε μια νέα εποχή στις συναλλαγές τους με το δημόσιο, δίνοντας λύση σε χρόνια αδιέξοδα όπως η γραφειοκρατία και βελτιώνοντας σημαντικά την καθημερινότητα τους.

Χωρίς κανείς να αμφισβητεί τα πλεονεκτήματα

Άλλωστε, αστοχίες -όσο μικρές κι αν είναι– εντοπίστηκαν στο σύστημα από την πρώτη κιόλας ημέρα λειτουργία του, όπως η μη πρόβλεψη για τις ταυτότητες των ένστολων.  

Η HuffPost, απευθύνθηκε στην Αρχή Προστασίας Προσωπικών Δεδομένων, η οποία γνωμοδότησε για τον Προσωπικό Αριθμό αν και όπως αναφέρει, «το περιεχόμενο του άρθρου 11 του ν. 4727/2020, με το οποίο ρυθμίστηκαν οι βασικές αρχές χρήσης του Προσωπικού Αριθμού, περιήλθε σε γνώση της με την ανάρτηση των προς ψήφιση διατάξεων σε δημόσια διαβούλευση».

Αν και η Αρχή αξιολόγησε ως επαρκές το επίπεδο προστασίας της χρήσης του ΠΑ, υπογραμμίζει ότι «ο νόμος κατατέθηκε και ψηφίστηκε πριν ζητηθεί η Γνωμοδότηση της και ενώ εκκρεμούσαν διευκρινίσεις σε ερωτήματα που είχαν τεθεί» .

Κάποια από αυτά, αφορούν τις δικλείδες ασφάλειας που θα πρέπει να εξασφαλιστούν λέγοντας, ότι «βασική προϋπόθεση για τη σωστή λειτουργία του ΠΑ ως μεθόδου επαλήθευσης ταυτότητας, θα μπορούσε, ενδεχομένως, να είχε εξεταστεί μία διαφορετική αρχιτεκτονική και να μην ήταν αναγκαία η τήρηση όλων των επιμέρους τομεακών αναγνωριστικών στο κεντρικό μητρώο ΠΑ».

Πώς διασφαλίζεται η προστασία των προσωπικών δεδομένων -που παραχωρούνται για την έκδοση Προσωπικού Αριθμού- δεδομένου ότι ο ΠΑ θα αναγράφεται σε εμφανή σημείο στις ταυτότητες»;

Ως απάντηση η Αρχή μας παρέπεμψε στην γνωμοδότηση 1/2025 της Αρχής -https://www.dpa.gr/el/enimerwtiko/prakseisArxis/gnomodotisi-gia-tin-anagrafi-toy-prosopikoy-arithmoy-sto-deltio, στην οποία εξετάζονται τυχόν κίνδυνοι και προτείνονται τρόποι αντιμετώπισής τους.

Συγκεκριμένα, αναφέρεται ότι «το Υπουργείο Ψηφιακής Διακυβέρνησης υπέβαλε προς την Αρχή σχέδιο διάταξης νόμου για την αναγραφή του Προσωπικού Αριθμού (ΠΑ) στο Δελτίο Ταυτότητας (ΔΤ). Παράλληλα ενημέρωσε την Αρχή για σχέδιο διάταξης, με το οποίο η τήρηση του φωτοαντιγράφου Δελτίου Ταυτότητας στον Ιδιωτικό Τομέα καταργείται και αντικαθίσταται από υποβολή ηλεκτρονικού αντιγράφου του Δελτίου Ταυτότητας με χρήση ψηφιακών υπηρεσιών».

Υπάρχουν κάποια σημεία στην έκδοση του Προσωπικού Αριθμού στα οποία ή Αρχή Προστασίας Προσωπικών Δεδομένων, ως ανεξάρτητη Αρχή, έχει ενστάσεις»;

Η Αρχή κρίνει, ότι η προαναφερόμενη διάταξη, εφόσον συνοδεύεται από τα προτεινόμενα από το Υπουργείο Ψηφιακής Διακυβέρνησης μέτρα μετριασμού των κινδύνων, δεν προσκρούει στις διατάξεις για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα η Αρχή αναφέρει ότι:

Είναι απαραίτητη η προτεινόμενη νομοθέτηση της απαγόρευσης τήρησης φωτοαντιγράφου του Δελτίου Ταυτότητας καθώς με τον τρόπο αυτό περιορίζεται ο κίνδυνος γνώσης του ΠΑ από τρίτους κατά τη λήψη από αυτούς αντιγράφου ΔΤ.

Η υλοποίηση εφαρμογής η οποία θα τηρεί αρχείο καταγραφής της χρήσης του ΠΑ από φορείς της Δημόσιας Διοίκησης είναι ορθό μέτρο συμμόρφωσης με τις αρχές προστασίας δεδομένων (άρθρο 5 ΓΚΠΔ).

Η νομοθέτηση πρέπει να συνδυαστεί με κατάλληλες συντονισμένες και εντατικές δράσεις ενημέρωσης και ευαισθητοποίησης.Πρέπει να διασφαλιστεί ότι η προβλεπόμενη αποθήκευση του ΠΑ στο ηλεκτρονικό μέσο αποθήκευσης του Δελτίου Ταυτότητας θα είναι σαφώς διακριτή από την αποθήκευση των τηρούμενων βιομετρικών δεδομένων.

Πρέπει να επικαιροποιηθούν οι εκτιμήσεις αντικτύπου σχετικά με την προστασία δεδομένων που σχετίζονται με το Δελτίο Ταυτότητας, τόσο για το Υπουργείο Ψηφιακής Διακυβέρνησης όσο και για την Ελληνική Αστυνομία, ώστε να προσδιοριστούν τυχόν νέα, πρόσθετα μέτρα.

Σε περίπτωση κυβερνοεπίθεσης ή οποιασδήποτε άλλης διαρροής των προσωπικών στοιχείων του, μπορεί ο πολίτης να κινηθεί νομικά κατά παντός υπευθύνου; 

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ) της ΕΕ, έχει ενισχύσει τα δικαιώματα των πολιτών, συμπεριλαμβανομένων των διαδικασιών για τη διαχείριση των περιστατικών παραβίασης.

Για κάθε τέτοιο ζήτημα που αποτελεί παραβίαση της νομοθεσίας για την προστασία των προσωπικών δεδομένων και εμπίπτει στην αρμοδιότητα της Αρχής ο πολίτης μπορεί να ασκήσει καταγγελία. 

Για τον σκοπό αυτό μπορεί να συμβουλευτεί τους ψηφιακούς βοηθούς της Αρχής (https://www.dpa.gr/online-toolkits), ιδίως τον ψηφιακό βοηθό καταγγελίας, όπου υπάρχει ειδική ενότητα για «διαρροή προσωπικών δεδομένων». Η Αρχή δεν μπορεί να απαντήσει για τυχόν σχετικές αρμοδιότητες των δικαστηρίων ή άλλων Αρχών και διοικητικών υπηρεσιών

Στην επίσημη ανακοίνωση των αρμόδιων υπουργείων για τον Προσωπικό Αριθμό αναφέρεται ότι «δεν ενσωματώνει ευαίσθητα προσωπικά δεδομένα στη δομή του». Ποια είναι αυτά που δεν ενσωματώνονται;

Ευαίσθητα δεδομένα προσωπικού χαρακτήρα (για την ακρίβεια η ορθή ορολογία είναι ειδικές κατηγορίες δεδομένων) είναι αυτά που ρητά προσδιορίζονται στο άρθρο 9 παρ. 1 του ΓΚΠΔ και συγκεκριμένα αυτά που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

Πάντως, η λειτουργία του Προσωπικού Αριθμού δεν προϋποθέτει ενσωμάτωση δεδομένων ειδικών κατηγοριών.