Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με απόφαση που εξέδωσε την Τρίτη 2 Απριλίου εντόπισε σημαντικές παραβάσεις του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) από το Υπουργείο Μετανάστευσης και Ασύλου, επιβάλλοντας πρόστιμο 175.000 ευρώ, το υψηλότερο που έχει ποτέ επιβληθεί σε βάρος δημοσίου φορέα.
Στα τέλη του 2021, η Αρχή έλαβε γνώση της απόφασης της ελληνικής κυβέρνησης σχετικά με την ανάπτυξη και εγκατάσταση του Προγράμματος «Κένταυρος» από το Υπουργείο Μετανάστευσης και Ασύλου με στόχο τον έλεγχο των δομών υποδοχής και φιλοξενίας πολιτών τρίτων χωρών σε νησιά του Αιγαίου. Επίσης, η Αρχή έλαβε το Δεκέμβριο του 2021 από την Επιτροπή Πολιτικών Ελευθεριών Δικαιοσύνης και Εσωτερικών Υποθέσεων του Ευρωπαϊκού Κοινοβουλίου (LIBE Committee) αίτημα παροχής ενημέρωσης σχετικά με τις τεχνολογίες επιτήρησης στα σύνορα, ενώ αίτημα έρευνας και παροχής γνωμοδότησης αναφορικά με την προμήθεια και εγκατάσταση των συστημάτων «Υπερίων» και «Κένταυρος» στις δομές υποδοχής και φιλοξενίας αιτούντων άσυλο υποβλήθηκε ενώπιον της Αρχής τον Φεβρουάριο του 2022 από οργανώσεις της κοινωνίας των πολιτών. Η Αρχή έλαβε επίσης τον Ιούλιο του 2022 επιστολή αναφορικά με τα ως άνω συστήματα από την Αντιπροσωπεία της Ύπατης Αρμοστείας του ΟΗΕ για τους Πρόσφυγες στην Ελλάδα.
Το πρόγραμμα «Κένταυρος» φέρεται να αποτελεί ένα ολοκληρωμένο ψηφιακό σύστημα διαχείρισης Ηλεκτρονικής και Φυσικής Ασφάλειας περιμετρικά και εντός των εγκαταστάσεων των Κέντρων Κλειστών Ελεγχόμενων Δομών (ΚΕΔ) καθώς και των Κέντρων Υποδοχής και Ταυτοποίησης (ΚΥΤ) πολιτών τρίτων χωρών στα νησιά Λέσβος, Χίος, Σάμος, Λέρος και Κως και με χρήση καμερών και αλγορίθμων ανάλυσης κίνησης (Artificial Intelligence Behavioral Analytics), η διαχείριση του οποίου θα πραγματοποιείται από το Υπουργείο Μετανάστευσης και Ασύλου. Το πρόγραμμα «Κένταυρος» συμπεριλαμβάνει μεταξύ άλλων τη χρήση μη στελεχωμένων αεροσκαφών (drones), με τα οποία θα πραγματοποιείται επεξεργασία προσωπικών δεδομένων, τουλάχιστον εικόνας.
Παράλληλα, το Πρόγραμμα «Υπερίων» περιγράφεται ως ένα ολοκληρωμένο σύστημα ελέγχου εισόδου-εξόδου στις εγκαταστάσεις των προαναφερόμενων δομών με σκοπό τον έλεγχο εισόδου και εξόδου αφενός των φιλοξενουμένων και των πιστοποιημένων μελών των πιστοποιημένων μη κυβερνητικών οργανώσεων (ΜΚΟ) με την επίδειξη της κάρτας αιτούντος άσυλο ή μέλους/υπαλλήλου ΜΚΟ, και αφετέρου των εργαζόμενων στις δομές από RFID αναγνώστη σε συνδυασμό με αποτύπωμα (two–factor authentication), επομένως μέσω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και δη βιομετρικών δεδομένων.
Με βάση τα ανωτέρω, η Αρχή κάλεσε το Υπουργείο, ως υπεύθυνο επεξεργασίας, να παράσχει πληροφορίες σχετικά με τα εν λόγω προγράμματα «Κένταυρος» και «Υπερίων». Ειδικότερα, η Αρχή κάλεσε το Υπουργείο να παράσχει διευκρινίσεις, μεταξύ άλλων, αναφορικά με: α) τη νομική βάση (διάταξη νόμου ή/και νόμο) της σκοπούμενης επεξεργασίας, β) τα λοιπά στοιχεία της επεξεργασίας αυτής (όπως χρόνο τήρησης δεδομένων, ενημέρωση των υποκειμένων των δεδομένων κ.ά.), και γ) το ζήτημα αν έχει διενεργηθεί μελέτη εκτίμησης αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα.
Η Αρχή, τελικώς, διαπίστωσε πλημμελή συνεργασία από πλευράς του Υπουργείου Μετανάστευσης και Ασύλου, ως Υπευθύνου Επεξεργασίας, και έκρινε περαιτέρω ότι οι απαιτούμενες Εκτιμήσεις Αντικτύπου σχετικά με την προστασία δεδομένων, τις οποίες είχε διενεργήσει το Υπουργείο, ήταν ουσιωδώς ελλιπείς και περιορισμένου εύρους, καθώς και ότι παραμένουν σοβαρές παραλείψεις αναφορικά με τη συμμόρφωση του Υπουργείου με συγκεκριμένες διατάξεις του ΓΚΠΔ ως προς την εφαρμογή των επίμαχων συστημάτων.
Για τους λόγους αυτούς, επέβαλε στο Υπουργείο διοικητικό χρηματικό πρόστιμο συνολικού ύψους 175.000 ευρώ για τις παραβάσεις που διαπιστώθηκαν αναφορικά με τη συνεργασία με την Αρχή και τις Εκτιμήσεις Αντικτύπου και, παράλληλα, απηύθυνε στο Υπουργείο εντολή συμμόρφωσης εντός τριμήνου αναφορικά με τις απορρέουσες από τον ΓΚΠΔ υποχρεώσεις του.
Δείτε την απόφαση της Αρχής εδώ
Δείτε τη σχετική Έκδοση: THE GDPR HANDBOOK
Δείτε το σχετικό Σεμινάριο: Δικαιώματα των Υποκειμένων των Δεδομένων στον GDPR – Κατανόηση και παραδείγματα εφαρμογής