Ερωτηματικά από την Αρχή Προστασίας Δεδομένων για την ηλεκτρονική εφαρμογή ελέγχου πιστοποιητικών εμβολιασμού

Γενικές αναφορές, λειτουργία της εφαρμογής χωρίς να προσδιορίζονται επαρκώς οι συνθήκες, οι προυποθέσεις και ο χρόνος χρήσης της, ανεπαρκής αιτιολόγηση των υπευθύνων επεξεργασίας και έλλειψη διενέργειας εκτίμησης αντικτύπου για την προστασία προσωπικών δεδομένων εντοπίζει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) στην ψηφισθείσα τροπολογία του υπουργείου Ψηφιακής Διακυβέρνησης που αφορά στην ηλεκτρονική εφαρμογή για τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης.

Η ΑΠΔΠΧ σημειώνει ότι η ψήφιση του νομοθετήματος προηγήθηκε της γνωμοδότησής της, ενώ προβαίνει σε μία σειρά σημαντικών παρατηρήσεων, προτείνοντας αρκετές τροποποιήσεις και προσθήκες προκειμένου αυτό να είναι συμβατό με τις αρχές προστασίας των προσωπικών δεδομένων.

Από την πλευρά τους πηγές του υπουργείου Ψηφιακής Διακυβέρνησης, στο οποίο το «ethnos.gr» υπέβαλε σχετικό ερώτημα, επισημαίνουν ότι έχουν ήδη ληφθεί υπόψη οι συστάσεις της Αρχής, ενώ παραδέχτηκαν ότι δεν έχουν ολοκληρωθεί πρόσθετες ενέργειες όπως η μελέτη εκτίμησης αντικτύπου, οι οποίες όμως έχουν ήδη δρομολογηθεί και θα είναι έτοιμες πριν τη λειτουργία της εφαρμογής αυτήν την Παρασκευή. Αύριο Τρίτη, πάντως, ο υπουργός Κυριάκος Πιερρακάκης θα παρουσιάσει στο υπουργείο Υγείας την εφαρμογή για τον έλεγχο των πιστοποιητικών.

Οσον αφορά στο κείμενο γνωμοδότησης της Αρχής, διευκρινίζεται ήδη από την αρχή του ότι παρά το γεγονός ότι στις 8 Ιουλίου κατατέθηκε σε σχέδιο νόμου του υπουργείου Δικαιοσύνης και ψηφίστηκε την ίδια μέρα από την Ολομέλεια της Βουλής η τροπολογία «χωρίς να αναμένεται η σχετική γνωμοδότησή» της, «θεωρεί ότι έχει υποχρέωση να διατυπώσει τις σχετικές παρατηρήσεις της».

Αναλυτικα η Αρχή στη γνωμοδότησή της επισημαίνει μεταξύ άλλων πως:

• Αναφορικά με την πρόβλεψη για λειτουργία της ηλεκτρονικής εφαρμογής για όσο χρονικό διάστημα εξακολουθεί να υφίσταται άμεσος κίνδυνος δημόσιας υγείας από τη διασπορά του κορωνοϊού COVID-19, σημειώνει ότι «η διάταξη θα πρέπει να συγκεκριμενοποιεί και να περιορίζει το σκοπό στα πλαίσια του οποίου θα αξιοποιείται η εφαρμογή. Η διατύπωση «προς τον σκοπό της ορθής εφαρμογής των μέτρων που λαμβάνονται δυνάμει της κοινής υπουργικής απόφασης» κρίνεται ως γενική, δεδομένου ότι δεν έχει γνωστοποιηθεί στην Αρχή η εν λόγω Κ.Υ.Α. και συνεπώς δεν είναι ορισμένες σαφώς και δεν περιγράφονται επαρκώς οι συγκεκριμένες συνθήκες και προϋποθέσεις χρήσης της εφαρμογής. Η παύση χρήσης και λειτουργίας της εφαρμογής δεν προσδιορίζεται ρητά, με βάση κριτήρια και προϋποθέσεις που σχετίζονται με το συγκεκριμένο σκοπό που αυτή εξυπηρετεί, παρά μόνο γενικά με την αναφορά σε κινδύνους δημόσιας υγείας: «για όσο χρονικό διάστημα εξακολουθεί να υφίσταται άμεσος κίνδυνος δημόσιας υγείας από τη διασπορά του κορονοϊού COVID-19, η απουσία του οποίου διαπιστώνεται με απόφαση του Υπουργού Υγείας».

Η Αρχή προτείνει την τροποποίηση των διατάξεων αυτών ώστε να περιορίζουν τη χρήση της μόνο κατά τη χρονική περίοδο που είναι σε ισχύ η υπουργική απόφαση, η οποία θα ορίζει τα συγκεκριμένα μέτρα διευκόλυνσης ως προς τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης, τα οποία και θα πρέπει να περιγράφονται επαρκώς.

• Αναφορικά με την πρόβλεψη για χρήση της ηλεκτρονικής εφαρμογής από τους ιδιοκτήτες ή διοργανωτές και από εξουσιοδοτημένους από αυτούς υπαλλήλους επιχειρήσεων εστίασης και ψυχαγωγίας, οι οποίες στεγάζονται ή διοργανώνονται σε κλειστούς χώρους, ή λειτουργούν ή διοργανώνονται σε υπαίθριους χώρους, η Αρχή αναφέρει πως «η παράθεση των περιπτώσεων χρήσης είναι ευρεία, αφού δεν συγκεκριμενοποιεί τις συνθήκες και τις προϋποθέσεις χρήσης της, ούτε τον τρόπο με τον οποίο οι χρήστες της εφαρμογής θα προβαίνουν σε δήλωση ότι θα την χρησιμοποιούν και με βάση ποια διάταξη». Τα μέλη της Αρχής φέρνουν μάλιστα ως παράδειγμα τη γενική αναφορά σε υπαίθριους χώρους χωρίς να προσδιορίζονται κριτήρια για τη χρήση της εφαρμογής. «Θα πρέπει να οριστούν επαρκώς και σαφώς οι διαδικασίες και ο τρόπος δήλωσης των χρηστών ανάλογα με την κατηγορία στην οποία εμπίπτουν, καθώς επίσης και ο τρόπος λήψης και χρήσης της εφαρμογής».

• Αναφορικά με την εγκυρότητα, γνησιότητα ή ακεραιότητα του πιστοποιητικού, η Αρχή προτείνει την παραμονή μόνο του όρου εγκυρότητα «και να προσδιοριστεί επακριβώς η ένδειξη, την οποία επιστρέφει η εφαρμογή σε όλες τις περιπτώσεις χρήσης της, υπό το φως της αρχής της ελαχιστοποίησης των δεδομένων ώστε να διασφαλίζεται ότι στους χρήστες της εφαρμογής δεν θα γνωστοποιείται περισσότερη πληροφορία από ό,τι είναι αναγκαίο για την επίτευξη του σκοπού επεξεργασίας».

  Συγκεκριμένα τονίζει ότι η επαλήθευση των πιστοποιητικών μέσω της εφαρμογής θα πρέπει να οδηγεί σε ένα αποτέλεσμα της μορφής «ναι/όχι» (π.χ. πράσινο ή κόκκινο χρώμα), επιπλέον της ταυτότητας του κατόχου τους, έτσι ώστε να εξάγεται η πληροφορία αν ο πολίτης που εισέρχεται σε ένα χώρο είναι «υγειονομικά ασφαλής», χωρίς όμως να αποκαλύπτονται ειδικότερες πληροφορίες σχετικά με το εάν έχει εμβολιαστεί, έκανε τεστ ή έχει νοσήσει προηγουμένως από λοίμωξη με COVID-19».

• Επιπλέον η Αρχή κρίνει ότι δεν παρέχονται επαρκή στοιχεία που να διασαφηνίζουν το λόγο για τον οποίο ορίζονται το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας ως υπεύθυνοι επεξεργασίας, αφού τα δεδομένα αφορούν το αποτέλεσμα από τον τρόπο λειτουργίας της εφαρμογής μόνο. Εξάλλου, δεν προσδιορίζεται με ποιο τρόπο και για ποια επεξεργασία το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας καθορίζουν το σκοπό και τα μέσα της επεξεργασίας, καθώς επίσης και ποιος ο ρόλος τους στην άσκηση των δικαιωμάτων των υποκειμένων, ώστε να δικαιολογείται ο χαρακτηρισμός τους ως αυτοτελώς Υπευθύνων Επεξεργασίας.

• Η Αρχή συστήνει να διατίθενται από την κυβέρνηση υποδείγματα πληροφοριών στους ενδιαφερόμενους επαγγελματίες και ξεκαθαρίζει ότι η εκτέλεση επεξεργασίας δεδομένων πρέπει να καλύπτεται από απαραίτητες συμβάσεις, ή έστω από μνημόνια συνεργασίας, στις οποίες θα προβλέπονται οι κατάλληλες εγγυήσεις για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.

• Ως προς την προβλεπόμενη απαγόρευση αποθήκευσης ή τήρησης αντιγράφων των πιστοποιητικών ή βεβαιώσεων των δεδομένων προσωπικού χαρακτήρα που εμφανίζονται κατά τη σάρωση, η Αρχή τονίζει ότι «πρέπει να συμπληρωθεί ώστε να προσδιορίζονται οι συγκεκριμένες παραβάσεις και οι αντίστοιχες προβλεπόμενες κυρώσεις».

• Παράλληλα επισημαίνει ότι δεν φαίνεται να υπάρχει πρόβλεψη για έκδοση κανονιστικής πράξης που θα προσδιορίζει τα τεχνικά και οργανωτικά μέτρα για τη λειτουργία της εφαρμογής αυτής, ούτε και πρόβλεψη για την απαραίτητη διενέργεια εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων (ΕΑΠΔ). Τονίζει επίσης ότι «η χρήση «έξυπνων» εφαρμογών εγείρει διάφορα ζητήματα ιδιωτικότητας αν δεν ληφθούν εγκαίρως κατάλληλα μέτρα κατά την ανάπτυξή τους, όπως για παράδειγμα ο κίνδυνος διαρροής δεδομένων σε τρίτα μέλη (third parties) αν χρησιμοποιηθούν έτοιμες βιβλιοθήκες κώδικα τρίτων μελών» και αναφέρει πως είναι σκόπιμο για λόγους διαφάνειας και προκειμένου να ενισχυθεί η εμπιστοσύνη των πολιτών, «η εν λόγω εφαρμογή να είναι ανοιχτού κώδικα (open source)».

Τι απάντησε το υπουργείο στο «ethnos.gr»

«Από την πρώτη στιγμή της σύνταξης της διάταξης ήμασταν σε επικοινωνία και συνεργασία με την Αρχή.

Οι όποιες συστάσεις της γνωμοδότησης έχουν ήδη ληφθεί υπόψη κατά τη σύνταξη της διάταξης, και οι υπόλοιπες που είναι λεπτομερειακού χαρακτήρα θα ενσωματωθούν κατά την έκδοση των ΚΥΑ. Πρόσθετες ενέργειες όπως μελέτη εκτίμησης αντίκτυπου είναι ήδη δρομολογημένες, και θα έχουν ολοκληρωθεί πριν την έναρξη λειτουργίας της εφαρμογής».

Όλες οι ειδήσεις

Μητσοτάκης: Κλειστοί χώροι εστίασης μόνο εμβολιασμένοι - Υποχρεωτικό εμβόλιο σε γηροκομεία και υγειονομικούς

Ηλιούπολη: Οργανωμένο κύκλωμα σεξουαλικής εκμετάλλευσης με θύμα τη 19χρονη - Μαρτυρίες γειτόνων στο ethnos.gr

Εμβόλιο: Την Πέμπτη 15 Ιουλίου ανοίγει η πλατφόρμα για τους 15 - 17

Euro 2020 – Μετάλλαξη Δέλτα: Ολέθριο το θέαμα των 60.000 θεατών στον τελικό, λέει ο ΠΟΥ

ΜΜΜ: Έρχονται εκπτώσεις στις κάρτες απεριορίστων διαδρομών για εμβολιασμένους

Self test: Στους δικαιούχους και τα παιδιά από 12 - 17 ετών