Τον τελευταίο ένα χρόνο ο αριθμός 13033 έχει μπει στις ζωές μας. Για να μετακινηθούμε όλοι οι πολίτες της χώρας μας, στις περιορισμένες επιλογές που μας επιτρέπονται, πρέπει προηγουμένως να στείλουμε ένα μήνυμα στο 13033 γράφοντας τον κωδικό μετακίνησης, το ονοματεπώνυμο μας και την κατοικία μας. Κοινώς για να μιλήσουμε με GDPR ορολογία, στέλνουμε στο 13033 κάποια προσωπικά μας δεδομένα.
Μία από τις βασικές επιταγές του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων είναι ότι ο Υπεύθυνος Επεξεργασίας- εν προκειμένω η Γενική Γραμματεία Πολιτικής Προστασίας οφείλει να ενημερώνει τα υποκείμενα των δεδομένων που επιδέχονται επεξεργασίας- εν προκειμένω όλους εμάς που χρησιμοποιούμε τον αριθμό 13033. Η ενημέρωση αυτή θα πρέπει να είναι συγκεκριμένη, σαφής και αναρτημένη σε σημείο προσβάσιμο από όλους, για να μπορεί ο καθένας να ανατρέξει στις βασικές πληροφορίες που τον αφορούν. Η ενημέρωση πρέπει να περιέχει ενδεικτικά, σύμφωνα με τα οριζόμενα στον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων:
-την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας,
-τα στοιχεία επικοινωνίας του Υπευθύνου Προστασίας Προσωπικών Δεδομένων, DPΟ
-τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται και τη νομική βάση της επεξεργασίας.
-τους αποδέκτες
-το χρονικό διάστημα αποθήκευσης και τα κριτήρια που καθορίζουν το εν λόγω διάστημα.
Θα πρέπει να υπάρχει σαφής και ορισμένη ενημέρωση για τα εκ του κανονισμού προβλεπόμενα δικαιώματα που έχει κάθε υποκείμενο, όπως πχ το δικαίωμα για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή για περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή δικαιώματος αντίταξης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων, το δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή. Επιπροσθέτως θα πρέπει πέρα από την ενημέρωση να εφαρμόζονται βάσει πολιτικών εν τοις πράγμασι τα δικαιώματα των υποκειμένων, όταν υποβληθεί αίτημα.
Κατόπιν των ανωτέρω γενικών πληροφοριών για το τι γενικώς ισχύει, εύλογα προκύπτει το ερώτημα: Τηρούνται τα κατά τον Κανονισμό προβλεπόμενα στη διαδικασία του 13033 που επεξεργάζονται εκατοντάδες δεδομένα, εκατοντάδων πολιτών; Γνωρίζουμε πόσο καιρό επεξεργάζονται; Πότε διαγράφονται; Πού διατηρούνται; Ποιοι είναι οι αποδέκτες; Γνωρίζουμε κάτι από όλα αυτά;
Προκειμένου να λυθούν κάποια από τα ως άνω ερωτήματα, απευθυνθήκαμε στην κα Ελπίδα Βαμβακά, δικηγόρο Co- founder και Πρόεδρο της Homo Digitalis. Η Homo Digitalis είναι η πρώτη Μη Κερδοσκοπική Οργάνωση στην Ελλάδα με σκοπό την υπεράσπιση των Δικαιωμάτων του Ανθρώπου στην ψηφιακή εποχή.
Στις 8 Φεβρουαρίου 2021, 5 μέλη της Homo Digitalis υπέβαλλαν καταγγελίες κατά της Γενικής Γραμματείας Πολιτικής Προστασίας για παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και του Ν. 4624/2019, όσον αφορά στη χρήση του ειδικού αριθμού 13033.
Οι καταγγελίες υποβλήθηκαν ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Πείτε μας κα Βαμβακά πως προέκυψε η πρωτοβουλία της Homo Digitalis, της οποίας είστε Πρόεδρος, να ασχοληθείτε και να αναζητήσετε πληροφορίες για την επεξεργασία των προσωπικών μας δεδομένων από τη χρήση του ειδικού αριθμού 13033;
Όπως όλοι γνωρίζουμε, από τα τέλη Μαρτίου 2020 ένας τρόπος (και μάλιστα ο πιο ευρύς) για να μετακινούνται οι πολίτες κατ’ εξαίρεση του μέτρου της απαγόρευσης της κυκλοφορίας στο πλαίσιο των αποδεκτών περιορισμών για την αντιμετώπιση της εξάπλωσης του COVID-19, είναι η αποστολή σύντομου μηνύματος (SMS) στον αριθμό της Γενικής Γραμματείας Πολιτικής Προστασίας, το 13033.
Η ομάδα της Homo Digitalis, αφού εξέτασε με προσοχή την Πολιτική Προστασίας Προσωπικών Δεδομένων σχετικά με την αποστολή μηνυμάτων SMS στο 13033 προς λήψη βεβαίωσης μετακίνησης, εντόπισε αρκετές αστοχίες στο κείμενό της.
Για το λόγο αυτό η Homo Digitalis το 2020 προέβη σε τρεις ενέργειες που αφορούσαν στη χρήση του αριθμού αυτού. Αρχικά, έστειλε δύο επιστολές στη Γενική Γραμματεία Πολιτικής Προστασίας, τονίζοντας τις σημαντικές ασάφειες και τα κενά στην Πολιτική Απορρήτου σχετικά με την επεξεργασία δεδομένων από το 13033.
Καθώς οι επιστολές έμειναν αναπάντητες και δεν έγινε καμία τροποποίηση της Πολιτικής Απορρήτου, η Homo Digitalis αιτήθηκε την έκδοση γνωμοδότησης από την Αρχή Προστασίας Δεδομένων σχετικά με τη χρήση του αριθμού 13033.
Μάλιστα, η ανάγκη αυτή επιτάθηκε λόγω των δηλώσεων του Υφυπουργού παρά τω Πρωθυπουργώ και Κυβερνητικού Εκπροσώπου, κ. Πέτσα, του Υπουργού Επικρατείας και Ψηφιακής Διακυβέρνησης, κ. Πιερρακάκη, και του Γενικού Γραμματέα Εμπορίου και Προστασίας του Καταναλωτή, κ. Σταμπουλίδη, σχετικά με το χρόνο διατήρησης αλλά και τον “επιτρεπόμενο” αριθμό μηνυμάτων οι οποίες εν αρχή μεν φάνηκαν αντιφατικές μεταξύ τους, ανακλήθηκαν δε λίγο αργότερα, παρόλα αυτά παραμένει νεφελώδες το τοπίο σχετικά με τη χρήση του ειδικού αριθμού 13033 με αποτέλεσμα να έχει προκληθεί σύγχυση στους Έλληνες πολίτες σχετικά με τα ισχύοντα.
Καθώς λοιπόν:
-Η χρήση της υπηρεσίας αποστολής SMS στο 13033 από τους πολίτες που μετακινούνται εντός της Ελληνικής επικράτειας, τόσο στο πρόσφατο παρελθόν, στο παρόν, αλλά ενδεχομένως και στο εγγύς μέλλον είναι ευρεία.
-Το κείμενο της Πολιτικής Προστασίας Προσωπικών Δεδομένων περιέχει ασάφειες συντακτικές, αλλά και νοηματικές δημιουργώντας κατά αυτόν τον τρόπο σύγχυση στον αναγνώστη,
-Η ΓΓΠΠ δεν έχει προχωρήσει σε διορθωτικές αλλαγές της Πολιτικής Προστασίας Προσωπικών Δεδομένων από το Μάρτιο που έλαβε αντίστοιχη επιστολή της Homo Digitalis ενισχύοντας την ανασφάλεια δικαίου για το σύνολο των Ελλήνων πολιτών,
-Διαφαίνεται κίνδυνος να παραβιαστούν δικαιώματα των Ελλήνων πολιτών τα οποία έχουν κατοχυρωθεί με τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 (ΓΚΠΔ).
Η ΗD ξεκίνησε τη σχετική πρωτοβουλία
Μέσω των δράσεών της Homo Digitalis σκοπός μας ήταν, και παραμένει, η αναθεώρηση και βελτίωση του κειμένου της Πολιτικής Προστασίας ώστε να τηρούνται οι υποχρεώσεις του υπεύθυνου επεξεργασίας και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων στον μέγιστο βαθμό, σύμφωνα με τις κείμενες διατάξεις της εθνικής και ευρωπαϊκής νομοθεσίας.
Γνωρίζουμε ότι η HomoDigitalis αιτήθηκε προς την Αρχής Προστασίας Προσωπικών Δεδομένων έκδοση γνωμοδότησης για τη χρήση του ειδικού αριθμού, καθώς υπέβαλε και καταγγελία κατά την Γενικής Γραμματείας Προστασίας του Πολίτη ενώπιον της Αρχής. Σε ποιο στάδιο βρίσκονται οι ως άνω ενέργειες αυτή τη στιγμή;
Στις 23 Νοεμβρίου 2020, πέντε μέλη της οργάνωσης μας άσκησαν το δικαίωμα πρόσβασης προς τη Γενική Γραμματεία Πολιτικής Προστασίας προκειμένου να μάθουν ποια δεδομένα τους επεξεργάζεται η Γενική Γραμματεία κατά τη χρήση του 13033, για πόσο διάστημα τα διατηρεί, ποιος έχει πρόσβαση σε αυτά και αν έχει οριστεί Υπεύθυνος Προστασίας Δεδομένων από τη Γενική Γραμματεία.
Όπως ορίζεται ρητά στον GDPR αλλά και στην Πολιτική Απορρήτου του 13033, ο υπεύθυνος επεξεργασίας (δηλ. η Γενική Γραμματεία Πολιτικής Προστασίας) οφείλει να ικανοποιήσει χωρίς καθυστέρηση το δικαίωμα αυτό το αργότερο σε 1 μήνα από την υποβολή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί για 2 επιπλέον μήνες, εάν το αίτημα είναι πολύπλοκο ή ο αριθμός των αντιγράφων που πρέπει να χορηγήσει ο υπεύθυνος επεξεργασίας είναι μεγάλος. Όμως, η παράταση της προθεσμίας πρέπει να γνωστοποιηθεί στον πολίτη εντός του πρώτου μήνα από την άσκηση του δικαιώματός του.
Καθώς το δικαίωμα πρόσβασης που ασκήσαμε δεν ικανοποιήθηκε, την 8 Φεβρουαρίου 2021, 5 μέλη της Homo Digitalis υπέβαλαν καταγγελίες κατά της Γενικής Γραμματείας Πολιτικής Προστασίας για παράβαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) και του Ν. 4624/2019, όσον αφορά στη χρήση του ειδικού αριθμού 13033.Οι καταγγελίες υποβλήθηκαν ενώπιον της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
Οι καταγγελίες μας αυτές βρίσκονται στο στάδιο της παροχής διευκρινίσεων από τη Γενική Γραμματεία Προστασίας του Πολίτη αναφορικά με τα καταγγελλόμενα προκειμένου η Αρχή να είναι σε θέση να ασκήσει τις αρμοδιότητές της, όπως αυτές περιγράφονται στον ΓΚΠΔ και τον Ν. 4624/2019.
Γνωρίζουμε ποιος διαχειρίζεται, ποιος υποστηρίζει τεχνικά τη διαδικασία των μηνυμάτων; Γνωρίζουμε αν υπάρχει κάποιος εκτελών την επεξεργασία;
Η ενότητα 3 της Πολιτικής Προστασίας Προσωπικών Δεδομένων αναφέρει τα προσωπικά δεδομένα που συλλέγονται κατά την αποστολή SMS στο 13033, αλλά δεν καθορίζει από ποιόν συλλέγονται. Συγκεκριμένα, η Γενική Γραμματεία Πολιτικής Προστασίας δεν ορίζεται πουθενά στο κείμενο ως ο Υπεύθυνος Επεξεργασίας. Κατά τον ίδιο τρόπο, δεν περιγράφονται τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων (DPO), τα οποία θα ήταν απαραίτητα εφόσον ο Υπεύθυνος Επεξεργασίας είναι πράγματι η Γενική Γραμματεία Πολιτικής Προστασίας, καθώς η τελευταία αποτελεί δημόσια αρχή. Επομένως, εύλογα οι εν λόγω παραλείψεις δημιουργούν έντονους προβληματισμούς, καθώς παραβιάζουν τις διατάξεις προστασίας προσωπικών δεδομένων αναφορικά με την αρχή της διαφάνειας της επεξεργασίας.
Ακόμη, η ενότητα 5 της Πολιτικής Προστασίας Προσωπικών Δεδομένων που ρυθμίζει ζητήματα εμπιστευτικότητας εγείρει προβληματισμούς. Συγκεκριμένα, η ενότητα αναφέρει ότι «η Γενική Γραμματεία Πολιτικής Προστασίας δεν διαθέτει ή διαβιβάζει ή δημοσιοποιεί προσωπικά στοιχεία των χρηστών της υπηρεσίας σε τρίτους». Στη συνέχεια ωστόσο, ανάμεσα σε όσους έχουν πρόσβαση στα προσωπικά δεδομένα αναφέρονται «συνεργαζόμενοι πάροχοι στο πλαίσιο υποστήριξης της υπηρεσίας». Επομένως, δεν μπορεί να γίνει κατανοητό πώς μπορεί να μη γίνεται διαβίβαση προσωπικών δεδομένων σε τρίτους, αλλά την ίδια στιγμή οι συνεργαζόμενοι πάροχοι να έχουν πρόσβαση. Το συγκεκριμένο σημείο πρέπει να επεξηγηθεί. Τέλος την Πολιτική Προστασίας Προσωπικών Δεδομένων αναφέρεται ρητά πως “Πρόσβαση μπορεί να έχουν μόνο οι εξουσιοδοτημένοι υπάλληλοι του Υφυπουργείου Πολιτικής Προστασίας και Διαχείρισης Κρίσεων και η Γενική Γραμματεία Πολιτικής Προστασίας στα πλαίσια των καθηκόντων τους ή συνεργαζόμενοι πάροχοι στο πλαίσιο υποστήριξης της υπηρεσίας”.
Αυτή η διατύπωση μας ωθεί να αναρωτηθούμε ποιος έχει πρόσβαση στα ως άνω δεδομένα, αλλά και ποια είναι η σκοπιμότητα εξουσιοδοτημένοι υπάλληλοι του Υφυπουργείου και της Γενικής Γραμματείας να έχουν πρόσβαση στα προσωπικά δεδομένα. Είναι κατανοητό ότι ενδέχεται ορισμένοι υπάλληλοι να πρέπει να έχουν πρόσβαση σε συγκεκριμένα προσωπικά δεδομένα για την αντιμετώπιση τεχνικού προβλήματος. Σε κάθε περίπτωση θα πρέπει να εξηγείται για ποιο λόγο οι εν λόγω υπάλληλοι έχουν πρόσβαση στα προσωπικά δεδομένα, καθ’ ότι αυτά τηρούνται για ελάχιστο χρονικό διάστημα σύμφωνα με την Πολιτική Προστασίας Προσωπικών Δεδομένων.
Τα δικαιώματα που παρέχονται από τον Κανονισμό στα υποκείμενα, όπως πρόσβασης, διόρθωσης, αντίταξης, φορητότητας, διαγραφής, μπορούν να ασκηθούν εν προκειμένω από τον οποιονδήποτε ενδιαφερόμενο πολίτη;
Στο κείμενο της Πολιτικής Προστασίας Προσωπικών Δεδομένων γίνεται αναφορά στα δικαιώματα των υποκειμένων δεδομένων στην πρόσβαση, διόρθωση, διαγραφή, περιορισμό επεξεργασίας και φορητότητας των προσωπικών δεδομένων. Ωστόσο, εφόσον τα δεδομένα αυτά είτε διαγράφονται αμέσως μόλις το υποκείμενο λάβει την απάντηση στο κινητό του είτε ανωνυμοποιούνται για στατιστικούς λόγους, οπότε και παύουν να είναι προσωπικά, ανακύπτει το εύλογο ερώτημα γιατί δίνεται η δυνατότητα στους πολίτες να ασκήσουν τα ανωτέρω δικαιώματα. (βλ. ενότητα 3, παρ. 3 της Πολιτική Προστασίας Προσωπικών Δεδομένων.)
Τέλος, γίνεται αναφορά στο δικαίωμα εναντίωσης (βλ ενότητα 4 της Πολιτικής Προστασίας Προσωπικών Δεδομένων). Το εν λόγω δικαίωμα σαφώς προκύπτει εφόσον η επεξεργασία βασίζεται στη νομική βάση της εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας (άρθρο 6.1.ε ΓΚΠΔ). Ωστόσο, γίνεται στο πλαίσιο αυτό αναφορά σε ανάκληση της συγκατάθεσης, η οποία δεν έχει κανένα πεδίο εφαρμογής στην παρούσα περίπτωση ειδικά, αλλά και σε σχέση με το δικαίωμα εναντίωσης γενικά. Επομένως, πρόκειται για ανακρίβεια στο κείμενο της Πολιτικής Προστασίας Προσωπικών Δεδομένων, η οποία μπορεί να δημιουργήσει περαιτέρω σύγχυση στα υποκείμενα των δεδομένων
Σε κάθε περίπτωση, σύμφωνα με τον GDPR , όλοι οι πολίτες έχουν το δικαίωμα:
-να ενημερώνονται για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν· (άρ.12, 13 και 14 GDPR)
-να αποκτούν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τους αφορούν·(άρ. 14 GDPR)
-να ζητούν τη διόρθωση εσφαλμένων, ανακριβών ή ελλιπών δεδομένων προσωπικού χαρακτήρα·(άρ. 15 GDPR)
-να υποβάλλουν αιτήματα για τη διαγραφή δεδομένων προσωπικού χαρακτήρα που όταν δεν είναι πλέον απαραίτητα ή εάν η επεξεργασία είναι παράνομη·(άρ. 16 GDPR)
-να εναντιωθούν στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τους αφορούν για σκοπούς εμπορικής προώθησης ή για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή σας·(άρ. 21 GDPR)
-να υποβάλλουν αίτημα για περιορισμό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τους αφορούν σε συγκεκριμένες περιπτώσεις·(άρ. 18 GDPR)
-να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα που τους αφορούν σε μορφότυπο αναγνώσιμο από μηχάνημα και να τα αποστέλλετε σε άλλον υπεύθυνο επεξεργασίας («φορητότητα δεδομένων»)·(άρ. 20 GDPR)
-να υποβάλλουν αίτημα έτσι ώστε αποφάσεις που βασίζονται σε αυτοματοποιημένη επεξεργασία, που τους αφορούν ή τους επηρεάζουν σε σημαντικό βαθμό και βασίζονται στα δεδομένα προσωπικού χαρακτήρα, να γίνονται από φυσικά πρόσωπα και όχι μόνο από υπολογιστές. (άρ. 22 GDPR)
Υπάρχει δυνητικά ή υποθετικά η δυνατότητα να δημιουργηθεί μέσω αυτής της διαδικασίας κάποιο “profiling”; Δηλαδή να καταγραφούν οι ανάγκες, οι προτιμήσεις στις μετακινήσεις, η «υπακοή» στα μέτρα κτλ μέσω της χρήσης του 13033;
Δυστυχώς δεν έχουμε πληροφορίες για αυτό. Αν πράγματι τα δεδομένα διαγράφονται απευθείας ή/και ανωνυμοποιούνται τότε δεν υπάρχει αυτή η πιθανότητα. Αναμένουμε τις απαντήσεις της ΓΓΠΠ σχετικά με τα ερωτήματά μας αυτά.
Η παράταση της χρήσης του 13033 και ο μεγάλος όγκος των δεδομένων των πολιτών που επεξεργάζονται καθημερινά μέσω του αριθμού αυτού καθιστούν επιτακτική την ανάγκη προστασίας των δεδομένων αυτών. Η επεξεργασία των δεδομένων από το 13033 αφορά όλους τους πολίτες που κινούνται εντός της Ελληνικής Επικράτειας και πρέπει να προστατεύεται από την Πολιτεία.
Η Homo Digitalis αναγνωρίζει το πολύ δύσκολο έργο που έχει αναλάβει η Γενική Γραμματεία Πολιτικής Προστασίας για τον περιορισμό και την καταπολέμηση της εξάπλωσης του COVID-19 και όλες οι κινήσεις που έχουμε κάνει είναι στο πλαίσιο καλής συνεργασίας και βοήθειας που θέλουμε να παρέχουμε στη ΓΓΠΠ.
Ωστόσο, πρέπει να τονιστεί ότι η προστασία της ιδιωτικής ζωής και των προσωπικών δεδομένων των πολιτών πρέπει να αποτελεί προτεραιότητα για το κράτος, όπως απορρέει από την αρχή του κράτους δικαίου και την καταστατική υποχρέωση προς σεβασμό των ανθρωπίνων δικαιωμάτων, σύμφωνα με το εθνικό και το διεθνές δίκαιο. Αν και ο περιορισμός των ανωτέρω δικαιωμάτων ενδέχεται να δικαιολογείται ενόψει επιτακτικού δημόσιου συμφέροντος, συμπεριλαμβανομένης της δημόσιας υγείας, πρέπει να συνοδεύεται από ορισμένες εγγυήσεις και σε κάθε περίπτωση να έχει εξαιρετικό χαρακτήρα.
Συμπέρασμα όλων των ανωτέρω: είμαστε εν αναμονή των εξελίξεων και των ενδεχόμενων βελτιώσεων και το βασικότερο συμπέρασμα όλων: Ακόμα και σε περίοδο πανδημίας, όπου τα πάντα είναι ρευστά, η ιδιωτικότητα μας και τα προσωπικά μας δεδομένα οφείλουμε να τα διαφυλάττουμε και αυτό μπορεί να επιτευχθεί μόνο αν συνειδητοποιήσουμε την αξία τους και γνωρίσουμε τα δικαιώματά μας.
Σοφία Ν. Τσιπτσέ
Δικηγόρος παρ’ Αρείω Πάγω (ΑΜ ΔΣΘ 9872)
Διαπιστ. Διαμεσολαβήτρια ΥΔΔΑΔ
(αστική, εμπορική, ηλεκτρονική τραπεζική Διαμεσολάβηση)
Υπεύθυνη Προστασίας Δεδομένων / D.P.O. exec.