Top

Νομολογία - Πλήρη κείμενα

ΑΠΔΠΧ 32/2024 - Πλήρες κείμενο

A- A A+    Εκτύπωση   

ΑΠΔΠΧ 32/2024 - Πλήρες κείμενο

Σύνθεση: Κωνσταντίνος Μενουδάκος (Πρόεδρος της Αρχής), Σπυρίδων Βλαχόπουλος (τακτικό μέλος), Κωνσταντίνος Λαμπρινουδάκης (εισηγητής, τακτικό μέλος), Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου, Γρηγόριος Τσόλιας (τακτικά μέλη), Νικόλαος Λίβος (αναπληρωματικό μέλος, εισηγητής), Ελένη Μαραγκού, Γεωργία Παναγοπούλου, Κωνσταντίνος Λιμνιώτης, Αναστασία Τριτάκη (ελεγκτές της Αρχής, βοηθοί εισηγητών, χωρίς δικαίωμα ψήφου), Ειρήνη Παπαγεωργοπούλου (υπάλληλος τμήμ. διοικητικών υποθέσεων, γραμματέας, χωρίς δικαίωμα ψήφου).

Ο καταγγέλλων απευθύνθηκε στην Αρχή, αναφέροντας ότι υπέβαλε στο Υπουργείο Προστασίας του Πολίτη αίτημα προς ενημέρωσή του για το καθεστώς έκδοσης νέου τύπου ταυτότητας και ειδικότερα για τη νομιμότητα της επεξεργασίας έκδοσης, στο πλαίσιο αντικατάστασης του παλαιού τύπου ταυτότητας με νέο τύπο δελτίων, χωρίς εντούτοις να λάβει σχετική απάντηση. Συνεπώς, η Αρχή προέβη σε αυτεπάγγελτη εξέταση της υπόθεσης, αποστέλλοντας ειδικό έγγραφο-αίτημα ενημέρωσης για τη γνώμη του Υπουργείου Προστασίας του Πολίτη, αναφορικά με -και με αφορμή- τα ζητήματα που τίθενται με την υπό εξέταση καταγγελία, και συγκεκριμένα ως προς τη λήψη του αιτήματος του καταγγέλλοντος και την ύπαρξη σχετικής ανταπόκρισης, δεδομένου, μάλιστα, του έντονου προβληματισμού που έχει δημιουργήσει η προαναφερθείσα νέα συνθήκη στην κοινή γνώμη. Κατόπιν μελέτης του σχετικού φακέλου και εξέτασης των ζητημάτων που προκύπτουν από τη θέσπιση του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών, η Αρχή διαπίστωσε τόσο πλημμέλειες ως προς την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων, όσο και καθυστέρηση στην προβλεπόμενη εκτίμηση του αντικτύπου σχετικά με την προστασία δεδομένων, η οποία συνάμα παρουσίαζε ελλείψεις. Από τον συνδυασμό του Κανονισμού (ΕΕ) 2019/1157, του άρθρου 4 § 7 του Κανονισμού (ΕΕ) 2016/679 και του άρθρου 1 της Κ.Υ.Α. 8200/0-297647/2018, προκύπτει ότι το Υπουργείο Προστασίας του Πολίτη, στο οποίο υπάγεται η ΕΛ.ΑΣ., αποτελεί τον υπεύθυνο επεξεργασίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα κατά την έκδοση δελτίων ταυτότητας των Ελλήνων πολιτών. Στην υπό εξέταση καταγγελία, ο υπεύθυνος επεξεργασίας παραβίασε τα άρθρα 13 και 14 του ΓΚΠΔ, λόγω της απουσίας ενημέρωσης για μεγάλο χρονικό διάστημα, αλλά και λόγω μη ορθών πληροφοριών στο κείμενο ενημέρωσης των πολιτών, το οποίο αναρτήθηκε με καθυστέρηση στην ιστοσελίδα του υπευθύνου επεξεργασίας. Επιπρόσθετα, ο υπεύθυνος επεξεργασίας παραβίασε το άρθρο 35 § 1 ΓΚΠΔ, αφού δεν διενήργησε την εκ του νόμου προβλεπόμενη εκτίμηση αντικτύπου, παρά μόνο μετά την έναρξη της επεξεργασίας και μόνο κατόπιν της σχετικής επικοινωνίας της Αρχής, ενώ η εκτίμηση αντικτύπου στερείται στην ανίχνευση και μελέτη όλων των κινδύνων. Περαιτέρω, η Αρχή αξιολόγησε ότι η φύση των παραβάσεων αφορά τις υποχρεώσεις λογοδοσίας του υπευθύνου επεξεργασίας αλλά και δικαιώματα των υποκειμένων του ΓΚΠΔ, ότι η επεξεργασία αφορά βασική δραστηριότητα του υπεύθυνου επεξεργασίας (έκδοση δελτίων ταυτοτήτων), ότι ο αριθμός των επηρεαζόμενων υποκειμένων, οι οποίοι μάλιστα είναι το σύνολο των Ελλήνων πολιτών που υποχρεούνται να φέρουν δελτίο ταυτότητας, είναι αρκετά μεγάλος, ότι ο σκοπός της επεξεργασίας είναι θεμιτός και ότι από την επεξεργασία δεν φαίνεται να προκύπτουν άμεσα σοβαρές συνέπειες για τα υποκείμενα των δεδομένων. Ακολούθως, η ίδια επέβαλε στο Υπουργείο Προστασίας του Πολίτη, ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους πενήντα χιλιάδων (50.000) για την παράβαση των άρθρων 13 και 14 του ΓΚΠΔ, χρηματικό πρόστιμο ύψους εκατό χιλιάδων (100.000) ευρώ, ενώ παράλληλα έδωσε εντολή στο Υπουργείο Προστασίας του Πολίτη να τεκμηριώσει, επικαιροποιώντας παράλληλα και την αντίστοιχη ΕΑΠΔ, την ανάγκη συμπερίληψης στο ηλεκτρονικό μέσο στοιχείων, εκτός των απαιτούμενων από την ευρωπαϊκή νομοθεσία, να προβεί στις δέουσες ενέργειες προσαρμογής της επεξεργασίας, που αφορά στην έκδοση των ταυτοτήτων, ενημερώνοντας σχετικά την Αρχή, ώστε εφεξής οι ταυτότητες που θα εκδοθούν να είναι σύμφωνες με τα διαλαμβανόμενα στην Απόφαση. Τέλος, η Αρχή επεσήμανε την υποχρέωση επικαιροποίησης και κωδικοποίησης του νομικού πλαισίου αναφορικά με τα στοιχεία του νέου τύπου δελτίων ταυτότητας των Ελλήνων πολιτών.

Νομικές διατάξεις: Άρθρα 258 ΣΛΕΕ, Καν. 2019/1157, 4 § 7, 5 § 1, 12, 13, 14, 24, 25 § 1, 35, 83 Καν. 2016/679

ΑΠΟΦΑΣΗ 32/2024

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της στην έδρα της, την Τρίτη 30 Απριλίου 2024, σε συνέχεια των από 26.4.2024, 12.3.2024 και 5.12.2023 συνεδριάσεων, προκειμένου να εξετάσει την υπόθεση, που αναφέρεται κατωτέρω στο ιστορικό της παρούσας απόφασης. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη της Αρχής Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, ως εισηγητής, Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου και Γρηγόριος Τσόλιας, καθώς και το αναπληρωματικό μέλος Νικόλαος Λίβος, ως εισηγητής σε αναπλήρωση του τακτικού μέλους Χαράλαμπου Ανθόπουλου, ο οποίος αν και εκλήθη νομίμως και εμπροθέσμως, δεν παρέστη. Παρόντες χωρίς δικαίωμα ψήφου ήταν οι Ελένη Μαραγκού, Γεωργία Παναγοπούλου, Κωνσταντίνος Λιμνιώτης και Αναστασία Τριτάκη, ελεγκτές της Αρχής, ως βοηθοί εισηγητών και η Ειρήνη Παπαγεωργοπούλου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας.

Η Αρχή έλαβε υπόψη της τα κάτωθι:

Με την με αρ. πρωτ. Γ/ΕΙΣ/6753/26.09.2023 καταγγελία, ο Α ανέφερε ενώπιον της Αρχής ότι στο πλαίσιο της έκδοσης του νέου τύπου δελτίων ταυτότητας, την 25.8.2023 απηύθυνε προς το Υπουργείο Προστασίας του Πολίτη αίτημα σχετικά με την παροχή ενημέρωσης και την εν γένει νομιμότητα της επεξεργασίας έκδοσης του νέου τύπου ταυτότητας. Επί του ως άνω αιτήματος, όπως αναφέρει ο καταγγέλλων, και παρά το γεγονός ότι την 19.9.2023 απέστειλε σχετική υπενθύμιση, δεν έλαβε απάντηση.

Η Αρχή, λαμβάνοντας υπόψη τη γενικότερη συζήτηση που υφίσταται στην δημόσια σφαίρα και απασχολεί την κοινή γνώμη αναφορικά με το νέο τύπο δελτίων ταυτότητας των Ελλήνων πολιτών, προχώρησε, εξ αφορμής της ως άνω καταγγελίας, σε αυτεπάγγελτη εξέταση της υπόθεσης και απέστειλε το με αρ. πρωτ. Γ/ΕΞΕ/2544/11.10.2023 έγγραφο, με το οποίο αιτήθηκε την παροχή απόψεων εκ μέρους του Υπουργείου Προστασίας του Πολίτη, σε σχέση με τα ζητήματα που τίθενται με την ως άνω καταγγελία, και ειδικότερα αναφορικά με τη λήψη του αιτήματος του καταγγέλλοντος και την ύπαρξη σχετικής ανταπόκρισης.

Με το με αρ. πρωτ. Αρχής Γ/ΕΙΣ/7563/25.10.2023 (αρ. πρωτ. Υπουργείου …/…/…) απαντητικό έγγραφο, το Υπουργείο Προστασίας του Πολίτη (μέσω του Διευθυντή Κρατικής Ασφάλειας/Τμήμα Ταυτοτήτων και Αρχείων), έθεσε υπόψη της Αρχής τα εξής:

α) κατά τη χρονική περίοδο αποστολής του σχετικού αιτήματος, υπήρχε πλήθος υπηρεσιακών ενεργειών σε εξέλιξη, προκειμένου να εκκινήσει έγκαιρα η έκδοση των νέου τύπου δελτίων ταυτότητας Ελλήνων πολιτών, λόγω της σχετικής δέσμευσης της χώρας έναντι των ευρωπαϊκών και διεθνών της υποχρεώσεων, για την καθυστέρηση υλοποίησης των οποίων, είχε λάβει Προειδοποιητική Επιστολή (άρθρο 258 ΣΛΕΕ) για μη συμμόρφωση προς τον Κανονισμό (ΕΕ) 2019/1157, ενώ υπήρχε και σωρεία εισερχόμενων αιτημάτων, αναφορών κλπ., τα οποία αφορούσαν σε διευκρινίσεις σχετικά με την επερχόμενη διαδικασία έκδοσης των νέου τύπου δελτίων ταυτότητας και για τα οποία έγινε προσπάθεια από τις συναρμόδιες διευθύνσεις να ικανοποιηθούν κατά το δυνατόν στο σύνολό τους, μεταξύ δε αυτών και πλήθος ιδιαίτερων αιτημάτων πολιτών που άπτονταν θρησκευτικών ή αντίστοιχων ζητημάτων, στα οποία η Διεύθυνση είχε κληθεί να απαντήσει, παρά το γεγονός ότι εξέφευγαν των αρμοδιοτήτων της,

β) στο πλαίσιο λειτουργίας του νέου συστήματος έκδοσης ταυτοτήτων Ελλήνων πολιτών με γνώμονα τον ορθό σχεδιασμό για την επίτευξη του υψηλότερου δυνατού επιπέδου ασφάλειας των προσωπικών και επιχειρησιακών δεδομένων που διαχειρίζεται και αποθηκεύει, είχε διενεργηθεί από τη Διεύθυνση Πληροφορικής/Α.Ε.Α. της Ελληνικής Αστυνομίας Μελέτη Ανάλυσης Ρίσκου, προκειμένου να καταγραφούν πιθανοί κίνδυνοι/ρίσκα και οι ευπάθειες του νέου συστήματος και να προταθούν τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την αντιμετώπισή τους, και

γ) καθότι το νέο σύστημα περιλαμβάνει και βιομετρικά στοιχεία, έχει ήδη προταθεί η εκπόνηση μελέτης εκτίμησης αντικτύπου στα προσωπικά δεδομένα, προκειμένου να υπάρχει συμμόρφωση με τον ΓΚΠΔ, για την εκπόνηση της οποίας, θα συγκροτηθεί με μέριμνα της Διεύθυνσης Κρατικής Ασφάλειας/Α.Ε.Α., ως Επισπεύδουσας Υπηρεσίας/κατόχου των Δεδομένων, ομάδα εργασίας στην οποία θα συμμετέχουν στελέχη συναρμόδιων Διευθύνσεων του Αρχηγείου της ΕΛ.ΑΣ.

Κατόπιν αυτών, η Αρχή κάλεσε με την με αρ. πρωτ. Γ/ΕΙΣ/2876/14.11.2023 κλήση, το Υπουργείο Προστασίας του Πολίτη προς ακρόαση την Τρίτη 5.12.2023 στην Ολομέλεια της Αρχής, με θέματα συζήτησης α) την παροχή γενικής ενημέρωσης των υποκειμένων των δεδομένων και β) τη διενέργεια εκτίμησης αντικτύπου, αναφορικά με την επεξεργασία δεδομένων στο πλαίσιο της έκδοσης του νέου τύπου δελτίων ταυτότητας. Στην εν λόγω συνεδρίαση, η οποία πραγματοποιήθηκε στην έδρα της Αρχής, ήταν παρόντες εκ μέρους της Ελληνικής Αστυνομίας (ΕΛ.ΑΣ.) οι Β, Αστυνομικός Διευθυντής, Τμηματάρχης Τμήματος Ταυτοτήτων & Αρχείων/Δ.Κ.Α./Α.Ε.Α., Γ, Αστυνομικός Υποδιευθυντής, Προϊστάμενος Γραφείου Ταυτοτήτων/Τμήμα Ταυτοτήτων & Αρχείων/Δ.Κ.Α./Α.Ε.Α. καθώς και ο Δ, Αστυνόμος Β, Υπεύθυνος Προστασίας Δεδομένων της ΕΛ.ΑΣ., προκειμένου να παράσχουν διευκρινίσεις σε θέματα που τέθηκαν από τον Πρόεδρο και τα Μέλη της Αρχής.

Οι ως άνω, αφού ανέπτυξαν προφορικά τις απόψεις τους, έλαβαν κατά τη συνεδρίαση αυτή προθεσμία προσκομίσεως έγγραφων υπομνημάτων προς περαιτέρω υποστήριξη των ισχυρισμών

τους. Κατόπιν αυτών, η ΕΛ.ΑΣ. υπέβαλε εμπροθέσμως το με αρ. πρωτ. Αρχής Γ/ΕΙΣ/455/19.01.2024 υπόμνημα, μετά του συμπληρωματικού με αρ. πρωτ. Αρχής Γ/ΕΙΣ/759/31.01.2024 υπομνήματος, με το οποίο προσκομίστηκε μελέτη εκτίμησης αντικτύπου προστασίας δεδομένων.

Με τα ως άνω, η ΕΛ.ΑΣ., έθεσε ενώπιον της Αρχής, τα κάτωθι:

α) αναφορικά με την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων ισχύουν τα αναφερόμενα με το ανωτέρω προμνημονευθέν υπ’ αρ. πρωτ. Αρχής Γ/ΕΙΣ/7563/25.10.2023 (αρ. πρωτ. …/…/… του Υπουργείου) έγγραφο. Επιπλέον, προκειμένου να εξασφαλιστεί με τον καλύτερο δυνατό, πλήρη και κατανοητό τρόπο η ενημέρωση των υποκειμένων των δεδομένων αναφορικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα τα οποία λαμβάνονται και αποθηκεύονται κατά τη διαδικασία έκδοσης των νέου τύπου δελτίων ταυτότητας Ελλήνων πολιτών, η ΕΛ.ΑΣ. έχει καταρτίσει σχετικό ενημερωτικό κείμενο, το οποίο έχει αναρτηθεί στην αντίστοιχη ιστοσελίδα της και έχει διαβιβαστεί στο σύνολο των αρχών έκδοσης της χώρας, ώστε να αναρτηθεί σε ευκρινές σημείο στα γραφεία έκδοσης, με σκοπό την πλήρη ενημέρωση των υποκειμένων πριν την υποβολή σχετικής αίτησης έκδοσης δελτίου ταυτότητας,

β) η διαδικασία έκδοσης των νέου τύπου δελτίων ταυτότητας Ελλήνων πολιτών, ξεκίνησε την 25.9.2023, δυνάμει της υπ’ αριθ. 3021/19/84-μα΄ από 04.09.2023 διαπιστωτικής Πράξης του Υπουργού Προστασίας του Πολίτη (ΦΕΚ Β΄ 5328),

γ) η έκδοση δελτίων ταυτότητας Ελλήνων πολιτών, ρυθμίζεται από τις διατάξεις του Ν.Δ. 127/1969 (Α΄ 29), όπως έχει τροποποιηθεί και ισχύει, καθώς και την υπ' αριθ. 8200/0-297647 από 10.04.2018 Κ.Υ.Α. (Β΄ 1476), όπως τροποποιήθηκε και ισχύει, στην οποία προβλέπεται η έκδοση των νέου τύπου Δ.Τ., καθώς οι διατάξεις του Ν. 1599/1986 (Α΄ 75), όπως είχαν τροποποιηθεί, και ειδικότερα τα άρθρα 1, 2, 3, 4 και 5, τα οποία, επίσης, ρύθμιζαν την έκδοση δελτίων ταυτότητας Ελλήνων πολιτών, έχουν καταργηθεί και, συγκεκριμένα, τα άρθρα 1, 3 και 4, όπως είχαν τροποποιηθεί, καταργήθηκαν με τις διατάξεις του άρθρου 144 του Ν. 5003/2022 (Α΄ 230), ενώ τα άρθρα 2 και 5 καταργήθηκαν με τις διατάξεις του άρθρου 6 του Ν. 1988/1991 (Α΄ 189). Λόγω του κατακερματισμού των νομικών διατάξεων που αφορούν την έκδοση δελτίων ταυτότητας Ελλήνων πολιτών σε διαφορετικά νομικά κείμενα, έχει διακινηθεί σχετικό εισηγητικό σημείωμα εκ μέρους της ΕΛ.ΑΣ., το οποίο αφορά στην τροποποίηση του Ν.Δ. 127/1969 «Περί αποδεικτικής ισχύος των δελτίων ταυτότητας» (Α΄ 29), όπως τροποποιήθηκε και ισχύει, ώστε οι σχετικές διατάξεις να ρυθμίζονται από ένα μόνο νομικό κείμενο,

δ) με την υπ’ αριθ. 1519/23/2347819 από 21.11.2023 Απόφαση Προϊσταμένου Επιτελείου/Α.Ε.Α., συγκροτήθηκε ομάδα εργασίας, με σκοπό την κατάρτιση μελέτης εκτίμησης αντικτύπου προσωπικών δεδομένων σχετικά με τα νέου τύπου δελτία ταυτότητας Ελλήνων πολιτών. Στην ως άνω μελέτη εκτίμησης αντικτύπου περιγράφεται αναλυτικά η διαδικασία έκδοσης των νέου τύπου δελτίων, ήτοι η διαδικασία λήψης των δεδομένων των υποκειμένων, ο τρόπος αποθήκευσης αυτών των δεδομένων, διαδικασίες και τεχνολογίες ασφαλείας που αφορούν τόσο στον τρόπο διαβίβασης των πληροφοριών από τις αρχές έκδοσης προς την αρχή εκτύπωσης των εγγράφων, όσο και στα χαρακτηριστικά του ιδίου του εντύπου (συμπεριλαμβανομένου του ψηφιακού μέσου αποθήκευσης που ενσωματώνεται σε αυτό), τη διαχείριση του ανθρώπινου δυναμικού, τα μέτρα για την προστασία των δεδομένων κλπ.,

ε) τα στοιχεία των υποκειμένων των δεδομένων τα οποία λαμβάνονται επί του παρόντος προβλέπονται από ρητές νομοθετικές διατάξεις (ευρωπαϊκούς κανονισμούς, νόμους, υπουργικές αποφάσεις κλπ.) και αποτελούν δεδομένα με τα οποία εξασφαλίζεται σε επίπεδο βεβαιότητας η αποκλειστική σύνδεση των δελτίων ταυτότητας με τον κάτοχό τους, ωστόσο, στο πλαίσιο της αρχής της ελαχιστοποίησης των δεδομένων, η ΕΛ.ΑΣ. αφού λάβει υπόψη και τα διαλαμβανόμενα στην ως άνω μελέτη εκτίμησης αντικτύπου, θα εξετάσει το ενδεχόμενο μείωσης των δεδομένων τα οποία συλλέγονται και απαιτούνται για την έκδοση του δελτίου ταυτότητας σήμερα, εάν και εφόσον μπορεί να εξασφαλιστεί με βεβαιότητα η μοναδική αντιστοίχιση κατόχου – δελτίου, εισηγούμενη, σε συντρέχουσα περίπτωση, το ενδεχόμενο τροποποίησης της κείμενης νομοθεσίας,

στ) αναφορικά με την αποθήκευση των δεδομένων που συλλέγονται κατά τη διαδικασία έκδοσης των νέων δελτίων, σύμφωνα με τις διατάξεις του άρθρου 3 του Ν.Δ. 127/1969, οι αρχές έκδοσης υποχρεούνται να τηρούν ειδικό αρχείο ταυτοτήτων, στο οποίο περιέχονται άπαντα τα διά την έκδοση των δελτίων αυτών αναγραφόμενα στοιχεία ως και τα υποβληθέντα προς έκδοση αυτών δικαιολογητικά, ενώ σύμφωνα με τις διατάξεις του άρθρου 10 της υπ' αριθ. 8200/0-297647 από 10.04.2018 Κ.Υ.Α. (Β΄ 1476), ορίζεται ότι, στη Διεύθυνση Κρατικής Ασφάλειας του Αρχηγείου της ΕΛ.ΑΣ., τηρείται ηλεκτρονικό αρχείο ταυτοτήτων με τα δικαιολογητικά έκδοσης και τα στοιχεία που περιλαμβάνει έκαστο δελτίο ταυτότητας. Τα δικαιολογητικά τα οποία υποβάλλονται για την έκδοση του δελτίου ταυτότητας, τηρούνται σε πρωτότυπη μορφή από τις υπηρεσίες έκδοσης του άρθρου 1, για διάστημα ενός (1) έτους από την ημερομηνία κατάθεσής τους. Τα δεδομένα που αποθηκεύονται στην ηλεκτρονική εφαρμογή «Ταυτότητες Ελλήνων Πολιτών», η οποία είναι προσπελάσιμη μέσω του δικτύου πληροφορικής και πληροφοριακών συστημάτων της ΕΛ.ΑΣ. (Police on Line), τηρούνται χωρίς να διαγράφονται, στο πλαίσιο εκπλήρωσης του σκοπού και των αρμοδιοτήτων της ΕΛ.ΑΣ. (νόμιμη έκδοση εγγράφων, έλεγχος ταυτοπροσωπίας, εξακρίβωση στοιχείων, διερεύνηση αξιόποινων πράξεων κλπ.). Σε περίπτωση έκδοσης δελτίου ταυτότητας σε αντικατάσταση παλαιού, ο φυσικός φάκελος του παλαιού δελτίου και τα περιεχόμενα αυτού (δικαιολογητικά έκδοσης), καταστρέφονται από την αρχή έκδοσης. Το παλαιό δελτίο τηρείται στο φάκελο που καταρτίζεται για τη νέα ταυτότητα, ως δικαιολογητικό, πλην των περιπτώσεων απώλειας/κλοπής. Τα δικαιολογητικά δελτίων ταυτότητας που έχουν ανακληθεί και δεν έχουν αφαιρεθεί από τους κατόχους τους, δεν καταστρέφονται. Η καταστροφή αυτών γίνεται μόνο μετά την αφαίρεση – κατάσχεση των δελτίων ταυτότητας από τους κατόχους τους, εξαιρουμένης της περίπτωσης που η ανάκληση γίνεται λόγω υφαρπαγής του δελτίου ταυτότητας, οπότε τα ανωτέρω δικαιολογητικά αποτελούν πειστήρια έγγραφα και κατά συνέπεια πρέπει, με τη σχηματισθείσα δικογραφία, να υποβάλλονται στην αρμόδια εισαγγελική αρχή,

ζ) τα δακτυλικά αποτυπώματα των αιτούντων νέο δελτίο ταυτότητας χρησιμοποιούνται αποκλειστικά και μόνο για τις ανάγκες καταχώρισής τους στο ψηφιακό μέσο αποθήκευσης το οποίο είναι ενσωματωμένο στο δελτίο ταυτότητας, κατά τη διαδικασία προσωποποίησης του δελτίου στη Διεύθυνση Διαβατηρίων & Εγγράφων Ασφαλείας/Α.Ε.Α. Η λήψη τους πραγματοποιείται μέσω ειδικής εφαρμογής, η οποία λειτουργεί στο δίκτυο πληροφορικής της ΕΛ.ΑΣ. (Police on Line), εφαρμογής η οποία χρησιμοποιείται αποκλειστικά για τον συγκεκριμένο σκοπό και από εξουσιοδοτημένο προς τούτο προσωπικό. Τα δακτυλικά αποτυπώματα διαγράφονται με αυτοματοποιημένο τρόπο με το πέρας ενενήντα (90) ημερολογιακών ημερών από την έκδοση εκάστου δελτίου ταυτότητας,

η) λεπτομέρειες σχετικές με τα στοιχεία που αποτυπώνονται στο έντυπο του δελτίου ταυτότητας Ελλήνων πολιτών, καθώς και λοιπά τεχνικά χαρακτηριστικά αυτού, τηρούνται στο διαδικτυακό δημόσιο μητρώο γνήσιων εγγράφων ταυτότητας και ταξιδιωτικών εγγράφων του Συμβουλίου της Ευρωπαϊκής Ένωσης (PRADO).

Η Αρχή συνήλθε στην έδρα της την Τρίτη 12 Μαρτίου 2024, προκειμένου να συζητήσει την υπό εξέταση υπόθεση. Κατά τη συζήτηση προέκυψαν περαιτέρω ερωτήματα αναφορικά με τα εξής ζητήματα: α) το είδος της επεξεργασίας που μπορεί να τύχουν τα προσωπικά δεδομένα τα οποία τηρούνται στο ηλεκτρονικό μέσο αποθήκευσης της νέας ταυτότητας, δηλαδή τα στοιχεία: επώνυμο πατέρα, επώνυμο μητέρας, Δήμος εγγραφής, αριθμός δημοτολογίου και τόπος έκδοσης του δελτίου, δεδομένου ότι τα στοιχεία αυτά δεν φαίνεται να συνιστούν δεδομένα προς αξιοποίηση από ηλεκτρονικές υπηρεσίες, τα οποία δύνανται να αποθηκεύονται στο προαναφερόμενο ηλεκτρονικό μέσο αποθήκευσης σύμφωνα με το άρθρο 3 παρ. 10 του Κανονισμού (ΕΕ) 2019/1157, καθώς και οι φορείς που νομιμοποιούνται να πραγματοποιούν την επεξεργασία, με ποιον τρόπο και με ποια μέσα και για ποιους σκοπούς, β) τον τρόπο ικανοποίησης των δικαιωμάτων των υποκειμένων των δεδομένων (και, ιδίως, το δικαίωμα πρόσβασης στα δεδομένα που τηρούνται στο ηλεκτρονικό μέσο αποθήκευσης της ταυτότητας) και γ) τον τρόπο διαχωρισμού των εθνικών δεδομένων από τα βιομετρικά δεδομένα, λαμβάνοντας υπόψη ότι, σύμφωνα με το άρθρο 3 παρ. 10 του Κανονισμού (ΕΕ) 2019/1157, εφόσον ένα Κράτος Μέλος αποθηκεύει στα δελτία ταυτότητας δεδομένα για ηλεκτρονικές υπηρεσίες όπως η ηλεκτρονική διακυβέρνηση, τότε τα εν λόγω εθνικά δεδομένα πρέπει να είναι φυσικά ή λογικά διαχωρισμένα από τα βιομετρικά δεδομένα που αναφέρονται στην παράγραφο 5 του Κανονισμού.

Προκειμένου να διασαφηνιστούν τα ανωτέρω ζητήματα, η Αρχή απέστειλε το με αρ. πρωτ. Αρχής Γ/ΕΞ/977/28.03.2024 έγγραφο προς την ΕΛ.ΑΣ., ζητώντας συμπληρωματικές διευκρινίσεις. Με το αρ. πρωτ. Αρχής Γ/ΕΙΣ/3370/11.04.2024 (αρ. πρωτ. ΕΛ.ΑΣ. .../…/…/...) έγγραφο, η ΕΛ.ΑΣ. υποστήριξε, εις απάντηση, μεταξύ άλλων, τα κάτωθι:

α) σύμφωνα με τις διατάξεις του Ν.Δ. 127/1969 (Α΄ 29), του Ν. 1599/1986 (Α΄ 75) και της υπ’ αριθ. 8200/0-297647 από 10.04.2018 Κ.Υ.Α. (Β΄ 1476), μεταξύ των στοιχείων ταυτότητας, τα οποία περιλαμβάνονταν στα παλαιού τύπου αλλά και στα νέα δελτία ταυτότητας Ελλήνων πολιτών, είναι το επώνυμο πατέρα και μητέρας του κατόχου, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου. Δυνάμει των διατάξεων του άρθρου 3 § 3 του Ν. 1599/1986 (Α΄ 75) (το οποίο πλέον έχει καταργηθεί με το άρθρο 144 περ. β΄ του Ν. 5003/2022), ο αρμόδιος Υπουργός είχε την εξουσιοδότηση να προσθέτει στοιχεία του κατόχου στο δελτίο, πλην όμως όχι να αφαιρεί, ως εκ τούτου, κατά τον σχεδιασμό και υλοποίηση της διαδικασίας έκδοσης των νέων δελτίων, τα ως άνω στοιχεία προβλέφθηκαν και στην υπ’ αριθ. 8200/0-297647 από 10.04.2018 Κ.Υ.Α. (όπως έχει τροποποιηθεί και ισχύει), ως στοιχεία που συμπεριλαμβάνονται στο νέο δελτίο. Εξαιτίας όμως του γεγονότος ότι δεν ήταν δυνατή: i) η αφαίρεσή τους ελλείψει σχετικής εξουσιοδοτικής διάταξης, ούτε ii) η εκτύπωσή τους επί του σώματος του δελτίου λόγω ανεπαρκούς χώρου επί αυτού, τα ως άνω στοιχεία ενσωματώνονται στο ηλεκτρονικό αποθηκευτικό μέσο του εν λόγω εγγράφου, τηρούνται δε και στο ηλεκτρονικό αρχείο ταυτοτήτων της Ελληνικής Αστυνομίας, ως στοιχεία που προβλέπονται και συλλέγονται κατά τη διαδικασία έκδοσης κάθε δελτίου, ενώ εκ των ανωτέρω στοιχείων, μόνο το επώνυμο πατέρα και μητέρας του κατόχου, συμπεριλαμβάνονται στα λοιπά στοιχεία που χορηγούνται στο Κέντρο Διαλειτουργικότητας του Υπουργείου Ψηφιακής Διακυβέρνησης, το οποίο είναι αρμόδιο για τη διαλειτουργικότητα και ανταλλαγή δεδομένων μεταξύ των Φορέων του Δημοσίου, σύμφωνα με την κείμενη νομοθεσία (βλ. Ν.4727/2020 (Α΄ 184), Ν. 4623/2019 (Α΄ 137) και υπ’ αριθ. 118944 ΕΞ 2019 από 01.11.2019 Υ.Α. (Β΄ 3990)),

β) αναφορικά με το δικαίωμα πρόσβασης των υποκειμένων στα δεδομένα που σχετίζονται με την έκδοση δελτίου ταυτότητας Ελλήνων πολιτών, από τις αρμόδιες Υπηρεσίες της Ελληνικής Αστυνομίας δύναται να χορηγηθούν τα αιτούμενα στοιχεία όπως προβλέπεται από τις διατάξεις του Κώδικα Διοικητικής Διαδικασίας (Ν. 2690/1999 (Α΄ 45)), όπως έχει τροποποιηθεί και ισχύει),

γ) αναφορικά με το διαχωρισμό των βιομετρικών δεδομένων από τα υπόλοιπα, επισημαίνεται ότι στο ηλεκτρονικό μέσο αποθήκευσης που ενσωματώνεται στα δελτία ταυτότητας Ελλήνων πολιτών τα οποία εκδίδονται επί του παρόντος, δεν αποθηκεύονται δεδομένα που σχετίζονται με την υποστήριξη ή υλοποίηση υπηρεσιών ηλεκτρονικής διακυβέρνησης.

Τέλος με το ως άνω έγγραφο, η ΕΛ.ΑΣ. ανέφερε ότι πρόκειται να εισηγηθεί στο προσεχές χρονικό διάστημα την κατάρτιση νέου σχεδίου νόμου αναφορικά με το νέο τύπο δελτίων ταυτότητας Ελλήνων πολιτών και τη διαδικασία έκδοσης αυτών, με το οποίο θα ρυθμίζονται με ενιαίο τρόπο ζητήματα που είχαν δημιουργηθεί από την παράλληλη ισχύ διαφορετικών νομοθετημάτων, τόσο κατά την έκδοση των παλαιών, όσο και κατά την έκδοση των νέων δελτίων ταυτότητας.

Η Αρχή, έπειτα από εξέταση των στοιχείων του φακέλου και όσων προέκυψαν από την ενώπιόν της ακροαματική διαδικασία και τα υπομνήματα του Υπουργείου, αφού άκουσε τους εισηγητές και τις διευκρινίσεις από τους βοηθούς εισηγητών, οι οποίοι παρέστησαν χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟΝ ΝΟΜΟ

1) Από τις διατάξεις των άρθρων 51 και 55 του Γενικού Κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (εφεξής ΓΚΠΔ) και του άρθρου 9 του νόμου 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει αρμοδιότητα να εποπτεύει την εφαρμογή των διατάξεων του ΓΚΠΔ, του νόμου 4624/2019 και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων.

2) Σύμφωνα με το άρθρο 4 στοιχ. 1) ΓΚΠΔ ως «δεδομένα προσωπικού χαρακτήρα» νοούνται ως «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου», ενώ ως «βιομετρικά δεδομένα», ορίζονται από το άρθρο 4 στοιχ. 14 ΓΚΠΔ, τα «δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα». Ως βιομετρικές μέθοδοι νοούνται οι τεχνικές πιστοποίησης της ταυτότητας των φυσικών προσώπων μέσω ανάλυσης σταθερών χαρακτηριστικών τους. Οι βιομετρικές μέθοδοι μπορούν να ταξινομηθούν σε δύο κατηγορίες: i. στις τεχνικές που στηρίζονται στην ανάλυση φυσικών ή γενετικών χαρακτηριστικών (όπως δακτυλικών αποτυπωμάτων, γεωμετρίας της παλάμης, ανάλυσης της κόρης του ματιού, των χαρακτηριστικών του προσώπου, του DNA) και ii. στις τεχνικές που στηρίζονται στην ανάλυση συμπεριφοράς (όπως υπογραφής, φωνής, τρόπου πληκτρολόγησης).

3) Σύμφωνα με τα οριζόμενα στο άρθρο 4 στοιχ. 7 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων. Βασικό για τον προσδιορισμό του υπευθύνου επεξεργασίας είναι το λειτουργικό κριτήριο. Στη δημόσια διοίκηση η ιεραρχία αποτελεί τρόπο εσωτερικής οργάνωσής της που έχει ως στόχο την εξασφάλιση της αδιάλειπτης συνέχειας του έργου της[1] και τη συνοχή των κανόνων που εφαρμόζονται μεταξύ των μονάδων και υπηρεσιών που υπάγονται στο ανώτερο όργανο του φορέα. Ως εκ τούτου το λειτουργικό κριτήριο συνάπτεται κατ’ αρχήν με τις αρμοδιότητες που απονέμει ο νόμος σε συγκεκριμένη αρχή, υπηρεσία ή νομικό πρόσωπο δημοσίου δικαίου. Ως προς τον προσδιορισμό του υπευθύνου επεξεργασίας για τη συγκεκριμένη περίπτωση, στο άρθρο 11 παρ. 2 του Κανονισμού (ΕΕ) 2019/1157 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 20ής Ιουνίου 2019 για την ενίσχυση της ασφάλειας των δελτίων ταυτότητας των πολιτών της Ένωσης και των εγγράφων διαμονής που εκδίδονται για πολίτες της Ένωσης και τα μέλη των οικογενειών τους που ασκούν το δικαίωμα ελεύθερης κυκλοφορίας[2] (στο εξής Κανονισμού (ΕΕ) 2019/1157) ορίζεται ότι «Για τον σκοπό του παρόντος κανονισμού, οι αρχές που είναι αρμόδιες για την έκδοση δελτίων ταυτότητας και εγγράφων διαμονής θεωρούνται οι υπεύθυνες επεξεργασίας κατά την έννοια του άρθρου 4 παράγραφος 7 του κανονισμού (ΕΕ) 2016/679 και είναι υπεύθυνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.». Σύμφωνα δε με το άρθρο 1 Κοινής Υπουργικής Απόφασης 8200/0-297647/2018 (ΦΕΚ Β΄ 1476/27.04.2018) «Έκδοση νέου τύπου Δελτίου Ταυτότητας Ελλήνων πολιτών», «Αρμόδιες αρχές έκδοσης. Δελτία ταυτότητας Ελλήνων πολιτών εκδίδονται από το Τμήμα Ασφαλείας του τόπου κατοικίας του ενδιαφερομένου, για την περιφέρεια της Διεύθυνσης Ασφάλειας Αττικής ή Θεσσαλονίκης και από την Υποδιεύθυνση ή το Τμήμα Ασφαλείας του τόπου κατοικίας του ενδιαφερομένου για την υπόλοιπη Χώρα. Όπου δεν υφίστανται τέτοιες υπηρεσίες, τα δελτία ταυτότητας εκδίδονται από το Αστυνομικό Τμήμα, το οποίο ασκεί αρμοδιότητες ασφαλείας στον τόπο κατοικίας του ενδιαφερομένου και σε περίπτωση που δεν υφίσταται ούτε αυτό, τα δελτία ταυτότητας εκδίδονται από την Υποδιεύθυνση Αστυνομίας που εδρεύει στην εν λόγω περιοχή.» Επομένως, το Υπουργείο Προστασίας του Πολίτη στο οποίο υπάγεται η ΕΛ.ΑΣ., αποτελεί τον υπεύθυνο επεξεργασίας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που λαμβάνει χώρα κατά την έκδοση δελτίων ταυτότητας των Ελλήνων πολιτών.

4) Για τα στοιχεία που περιέχονται στο νέο τύπο δελτίου ταυτότητας των Ελλήνων πολιτών ισχύουν οι κάτωθι διατάξεις:

α) Το άρθρο 3 του Κανονισμού (ΕΕ) 2019/1157 «1. Τα δελτία ταυτότητας που εκδίδονται από τα κράτη μέλη παράγονται σε μορφότυπο ID-1 και περιέχουν μηχαναγνώσιμη ζώνη (MRZ). Τα εν λόγω δελτία ταυτότητας βασίζονται στις προδιαγραφές και τα ελάχιστα πρότυπα ασφαλείας που παρατίθενται στο έγγραφο ICAO 9303 και συμμορφώνονται με τις απαιτήσεις που ορίζονται στα στοιχεία γ), δ), στ) και ζ) του Παραρτήματος του κανονισμού (ΕΚ) αριθ. 1030/2002, όπως έχει τροποποιηθεί με τον κανονισμό (ΕΕ) 2017/1954. 2. Τα στοιχεία δεδομένων που περιλαμβάνονται στα δελτία ταυτότητας πληρούν τις προδιαγραφές που ορίζονται στο μέρος 5 του εγγράφου ICAO 9303. Κατά παρέκκλιση από το πρώτο εδάφιο, ο αριθμός του εγγράφου μπορεί να εισαχθεί στη ζώνη I και ο προσδιορισμός του φύλου ενός προσώπου είναι προαιρετικός. 3. Το έγγραφο φέρει τον τίτλο («Δελτίο ταυτότητας») ή άλλον καθιερωμένο εθνικό προσδιορισμό στην επίσημη γλώσσα ή στις επίσημες γλώσσες του κράτους μέλους που το εκδίδει, και τις λέξεις «Δελτίο ταυτότητας» σε μία τουλάχιστον άλλη επίσημη γλώσσα των θεσμικών οργάνων της Ένωσης. 4. Το δελτίο ταυτότητας περιέχει, στην εμπρόσθια όψη, τον διψήφιο κωδικό χώρας του κράτους μέλους που εκδίδει το δελτίο, τυπωμένο αρνητικά μέσα σε ένα μπλε παραλληλόγραμμο και περιβαλλόμενο από δώδεκα κίτρινα αστέρια. 5. Τα δελτία ταυτότητας περιλαμβάνουν μέσο αποθήκευσης υψηλής ασφάλειας το οποίο περιέχει βιομετρικά δεδομένα που συνίστανται σε εικόνα του προσώπου του κατόχου του δελτίου και δύο δακτυλικά αποτυπώματα σε ψηφιακούς μορφοτύπους. Για τη λήψη των βιομετρικών αναγνωριστικών στοιχείων, τα κράτη μέλη εφαρμόζουν τις τεχνικές προδιαγραφές που θεσπίζονται με την εκτελεστική απόφαση C(2018)7767 της Επιτροπής (13). 6. Το μέσο αποθήκευσης διαθέτει επαρκή χωρητικότητα και ικανότητα προκειμένου να διασφαλίζεται η ακεραιότητα, η γνησιότητα και η εμπιστευτικότητα των δεδομένων. Τα δεδομένα που αποθηκεύονται είναι προσβάσιμα χωρίς επαφή και ασφαλισμένα όπως προβλέπεται στην εκτελεστική απόφαση C(2018)7767. Τα κράτη μέλη ανταλλάσσουν τις πληροφορίες που απαιτούνται για την εξακρίβωση της γνησιότητας του μέσου αποθήκευσης και για την πρόσβαση στα βιομετρικά δεδομένα που αναφέρονται στην παράγραφο 5 και την επαλήθευσή τους. 7. Τα παιδιά κάτω των 12 ετών μπορούν να απαλλαγούν από την υποχρέωση παροχής δακτυλικών αποτυπωμάτων. Τα παιδιά κάτω των 6 ετών απαλλάσσονται από την υποχρέωση παροχής δακτυλικών αποτυπωμάτων. Τα πρόσωπα που αδυνατούν να δώσουν δακτυλικά αποτυπώματα για σωματικούς λόγους απαλλάσσονται από την υποχρέωση παροχής δακτυλικών αποτυπωμάτων. 8. Όταν είναι αναγκαίο και αναλογικό προς τον επιδιωκόμενο στόχο, τα κράτη μέλη μπορούν να αναγράφουν προς εθνική χρήση στοιχεία και παρατηρήσεις, όπως απαιτείται σύμφωνα με το εθνικό δίκαιο. Τούτο δεν μειώνει την αποτελεσματικότητα των ελάχιστων προτύπων ασφαλείας και τη διασυνοριακή συμβατότητα των δελτίων ταυτότητας. 9. Αν τα κράτη μέλη ενσωματώνουν διπλή διεπαφή ή ξεχωριστό μέσο αποθήκευσης στο δελτίο ταυτότητας, το πρόσθετο μέσο αποθήκευσης συμμορφώνεται με τα σχετικά πρότυπα ISO και δεν επηρεάζει το μέσο αποθήκευσης που αναφέρεται στην παράγραφο 5. 10. Αν τα κράτη μέλη αποθηκεύουν στα δελτία ταυτότητας δεδομένα για ηλεκτρονικές υπηρεσίες όπως η ηλεκτρονική διακυβέρνηση και οι ηλεκτρονικές επιχειρηματικές δραστηριότητες, τα εν λόγω εθνικά δεδομένα πρέπει να είναι φυσικά ή λογικά διαχωρισμένα από τα βιομετρικά δεδομένα που αναφέρονται στην παράγραφο 5. 11. Αν τα κράτη μέλη προσθέσουν πρόσθετα εθνικά χαρακτηριστικά ασφάλειας στα δελτία ταυτότητας, η διασυνοριακή συμβατότητα των δελτίων ταυτότητας αυτών και η αποτελεσματικότητα των ελάχιστων προτύπων ασφάλειας δεν πρέπει να μειωθεί.»[3]

β) Η αιτιολογική σκέψη 21 του Κανονισμού (ΕΕ) 2019/1157 «Ο παρών κανονισμός δεν παρέχει νομική βάση για τη δημιουργία ή τη διατήρηση βάσεων δεδομένων σε εθνικό επίπεδο για την αποθήκευση βιομετρικών δεδομένων στα κράτη μέλη, ζήτημα που εμπίπτει στο εθνικό δίκαιο το οποίο πρέπει να συμμορφώνεται με το δίκαιο της Ένωσης σχετικά με την προστασία των δεδομένων. Επίσης, ο παρών κανονισμός δεν παρέχει νομική βάση για τη δημιουργία ή τη διατήρηση κεντρικής βάσης δεδομένων σε επίπεδο Ένωσης.»

γ) Η αιτιολογική σκέψη 43 του Κανονισμού (ΕΕ) 2019/1157 «Είναι αναγκαίο να διευκρινιστεί στον παρόντα κανονισμό η βάση για τη συλλογή και την αποθήκευση δεδομένων στο μέσο αποθήκευσης των δελτίων ταυτότητας και των εγγράφων διαμονής. Σύμφωνα με το ενωσιακό ή το εθνικό δίκαιο και τηρώντας τις αρχές της αναγκαιότητας και της αναλογικότητας, τα κράτη μέλη θα πρέπει να μπορούν να αποθηκεύουν άλλα δεδομένα σε μέσο αποθήκευσης για ηλεκτρονικές υπηρεσίες ή άλλους σκοπούς που αφορούν το δελτίο ταυτότητας ή το έγγραφο διαμονής. Η επεξεργασία των άλλων αυτών δεδομένων, συμπεριλαμβανομένης της συλλογής τους και των σκοπών για τους οποίους μπορούν να χρησιμοποιηθούν, θα πρέπει να επιτρέπεται από το ενωσιακό ή το εθνικό δίκαιο. Όλα τα εθνικά δεδομένα για τους εν λόγω σκοπούς θα πρέπει να είναι φυσικά ή λογικά διαχωρισμένα από τα βιομετρικά δεδομένα που αναφέρονται στον παρόντα κανονισμό και η επεξεργασία τους θα πρέπει να συνάδει με τον κανονισμό (ΕΕ) 2016/679

δ) Το άρθρο 2 του ΝΔ 127/1969 (ΦΕΚ Α΄ 29) «Αποδεικτική ισχύς Αστυνομικών Ταυτοτήτων», σύμφωνα με το οποίο « Τα δελτία ταυτότητος περιλαμβάνουν τα κάτωθι στοιχεία: 1) Φωτογραφίαν κατόχου. 2) Δακτυλικόν αποτύπωμα. 3) Επώνυμον. 4) Όνομα. 5) Όνομα πατρός. 6) Όνομα μητρός. 7) Όνομα συζύγου και προκειμένου περί εγγάμου γυναικός και το ονοματεπώνυμον του πατρός αυτής. 8) Ακριβή χρονολογίαν γεννήσεως. 9) Τόπον γεννήσεως. 10) Ανάστημα (διά τους άνω του 25ου έτους). 11) Σχήμα προσώπου. 12) Χρώμα οφθαλμών. 13) Ομάδα αίματος (συμπληρούμενον προαιρετικώς). 14) Την ιδιότητα του κατόχου του δελτίου ως συνταξιούχου του Δημοσίου ή άλλου τινός Ταμείου κυρίας ασφαλίσεως. 15) Τόπον μονίμου ή προσκαίρου κατοικίας. 16) Διεύθυνσιν κατοικίας. 17) Επάγγελμα. 18) Υπηκοότητα. 19) Δήμον ή Κοινότητα, εις ον είναι εγγεγραμμένος ο κάτοχος του δελτίου ως και αριθμόν μητρώου εγγραφής τούτου. 20) Θρήσκευμα[4], και 21) Παν έτερον στοιχείον καθορισθησόμενον δι’ αποφάσεως του επί της Δημοσίας Τάξεως Υπουργού, δημοσιευομένης διά της Εφημερίδος της Κυβερνήσεως.»

ε) Το άρθρο 3 παρ. 1 του Ν. 1599/1986 (ΦΕΚ Α΄ 75), στο οποίο ορίζεται ότι: «1. Τα δελτία ταυτότητας περιέχουν τα επόμενα στοιχεία του κατόχου: α.- Φωτογραφία β.- Επώνυμο γ.- Όνομα δ.- Επώνυμο και όνομα πατέρα ε.- Επώνυμο και όνομα μητέρας στ.- Φύλο ζ.- Επώνυμο και όνομα συζύγου η.- Χρονολογία γέννησης (ημέρα, μήνα, έτος) θ.- Τόπο γέννησης ι.- Ιθαγένεια ια.- Θρήσκευμα ιβ.- Αριθ. δημοτολογίου ιγ.- Δημότης ιδ.- Εκλογική εγγραφή ιε.- Διεύθυνση κατοικίας ιστ.- Υπογραφή κατόχου ιζ.- Ομάδα αίματος ιη.- Δ.Ι.Ο.Σ. Τα στοιχεία των ανωτέρω β΄ και γ΄ περιπτώσεων αναγράφονται και με λατινικούς χαρακτήρες (ΕΛΟΤ 743).» Στην ανωτέρω παράγραφο 1 προστέθηκε με το άρθρο 23 του Ν. 4647/2019 (ΦΕΚ Α΄ 204) το εξής εδάφιο: «Στο δελτίο ταυτότητας ενσωματώνεται ηλεκτρονικό μέσο αποθήκευσης, το οποίο εμπεριέχει τη φωτογραφία του κατόχου σε ψηφιακή μορφή, τα στοιχεία της μηχανικώς αναγνώσιμης ζώνης του δελτίου, δύο (2) δακτυλικά αποτυπώματα των δεικτών και των δύο χεριών του κατόχου και ένα εγκεκριμένο πιστοποιητικό ηλεκτρονικής υπογραφής, σύμφωνα με το άρθρο 3 του Κανονισμού (ΕΕ) 910/2014.» Περαιτέρω στην παράγραφο 2 του ίδιου ως άνω άρθρου 3 προβλέπεται ότι: «2. Τα στοιχεία, που περιέχονται στο δελτίο ταυτότητας, σύμφωνα με την προηγούμενη παράγραφο, καταχωρούνται υποχρεωτικά, πλην των στοιχείων των περιπτώσεων ιζ΄ (ομάδα αίματος) και ιη (Δ.Ι.Ο.Σ.) Δωρητής Ιστών και Οργάνων Σώματος. Τα στοιχεία αυτά καταχωρούνται εφ’ όσον τα ζητήσει ο ενδιαφερόμενος, ο οποίος στην περίπτωση του στοιχείου Δ.Ι.Ο.Σ. απαιτείται να έχει πλήρη δικαιοπρακτική ικανότητα.»

στ) Το άρθρο 3 της Κοινής Υπουργικής Απόφασης 8200/0-297647/2018 (ΦΕΚ Β΄ 1476/27.04.2018) «Έκδοση νέου τύπου Δελτίου Ταυτότητας Ελλήνων πολιτών», όπως τροποποιήθηκε με το άρθρο 1 της ΥΑ 8200/0-181621 (ΦΕΚ Β΄ 1671/14.05.2019), και εν συνεχεία με το άρθρο 1 της ΥΑ 8200/0-109568 (ΦΕΚ Β΄ 824/17.02.2023), σύμφωνα με το οποίο:

«1. Το δελτίο ταυτότητας είναι μορφότυπου ID-1, διαστάσεων 85.6 x 54 mm ± 0.75mm, πάχους μέχρι 1 mm, σύμφωνα με τις συστάσεις του ICAO DOC9303 έκδοση 7η και περιλαμβάνει:

• τη Ζώνη Οπτικής Εξέτασης (Visual Inspection Zone - VIZ),

• τη Μηχανικώς Αναγνώσιμη Ζώνη (Machine Readable Zone - MRZ) και

• το ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης μη επαφής, σύμφωνα με τα οριζόμενα στο έγγραφο 9303 του Διεθνούς Οργανισμού Πολιτικής Αεροπορίας (International Civil Aviation Organization - ICAO) για τα μηχανικώς αναγνώσιμα ταξιδιωτικά έγγραφα.

2. Το υπόστρωμα του δελτίου ταυτότητας είναι κατασκευασμένο από συνθετικό πλαστικό, πολυανθρακικό υλικό.(polycarbonate-pc).

3. Τα στοιχεία του δελτίου ταυτότητας, αποτυπώνονται επ’ αυτού, όπως καθορίζεται στο Παράρτημα Α΄ του άρθρου 14 της παρούσας και ειδικότερα:

3.1. Ζώνη 1

- Θυρεός Ελληνικής Δημοκρατίας

- Όνομα της Χώρας (ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ / HELLENIC REPUBLIC)

- Τύπος εγγράφου (ΔΕΛΤΙΟ ΤΑΥΤΟΤΗΤΑΣ / IDENTITY CARD)

- To σήμα του ICAO για την ύπαρξη RFID chip

- Αριθμός ταυτότητας (ΑΡΙΘΜΟΣ ΤΑΥΤΟΤΗΤΑΣ / CARD NUMBER)

3.2. Ζώνη 2

- Επώνυμο / Surname

- Όνομα / Name

- Φύλο / Sex (Άρρεν / Θήλυ - Male / Female)

- Ημερομηνία γέννησης / Date of birth

- Ιθαγένεια / Nationality

3.3. Ζώνη 3

- Ημερομηνία έκδοσης / Date of Issue

- Ημερομηνία λήξης / Date of expiry

- Αρχή έκδοσης / Issuing Authority

- Αριθμός Πρόσβασης Κάρτας (CAN - Card Access Number)».

3.4. Ζώνη 4

- Υπογραφή κατόχου / Signature of bearer

3.5. Ζώνη 5

- Φωτογραφία κατόχου σε πλαίσιο διαστάσεων 37 x 30 mm

«3.6. Ζώνη 6

- Όνομα πατέρα / Father’s name

- Όνομα μητέρας / Mother’s name

- Τόπος γέννησης / Place of birth

- Ομάδα αίματος / Blood type (προαιρετικά)

- Ύψος / Height (μετά τη συμπλήρωση του 24ου έτους της ηλικίας)».

3.7. Ζώνη 7

Στη Ζώνη Μηχανικής Ανάγνωσης του δελτίου ταυτότητας, αποτυπώνονται δεδομένα με μηχανικά αναγνώσιμους χαρακτήρες OCR-B, σύμφωνα με το έγγραφο 9303 του ICAO.

4. Στο ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης, αποθηκεύονται φωτογραφία του κατόχου σε ψηφιακή μορφή, τα στοιχεία της Μηχανικώς Αναγνώσιμης Ζώνης του δελτίου (MRZ) και δύο (2) δακτυλικά αποτυπώματα των δεικτών και των δύο χεριών του αιτούντος. Σε περίπτωση μόνιμης ή προσωρινής αδυναμίας λήψης δακτυλικού αποτυπώματος δείκτη, λαμβάνεται κατά σειρά αποτύπωμα του αντίχειρα, μέσου ή παράμεσου του ιδίου χεριού, ενώ στην περίπτωση μονόχειρα λαμβάνεται αποτύπωμα και δεύτερου δακτύλου από το υπάρχον χέρι, με την ίδια ως άνω σειρά. Η μόνιμη ή προσωρινή αδυναμία λήψης δακτυλικών αποτυπωμάτων, πέραν των περιπτώσεων εμφανούς ακρωτηριασμού, αποδεικνύεται με ιατρικό πιστοποιητικό, το οποίο φέρει την υπογραφή ιατρού αντίστοιχης ειδικότητας με την πάθηση που βεβαιώνεται. Επιπλέον, στο ως άνω ηλεκτρονικό μέσο αποθηκεύονται το επώνυμο πατέρα, επώνυμο μητέρας, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου, ενώ θα δύναται να αποθηκευτούν τα στοιχεία που απαιτούνται για τις Υπηρεσίες Ηλεκτρονικής Διακυβέρνησης, εάν αποφασισθεί να συμπεριληφθούν στο εν λόγω μέσο.

5) Σχετικά με το ζήτημα της αποθήκευσης βιομετρικών δεδομένων στα δελτία ταυτότητας, με την Απόφαση RL κατά Landeshauptstadt Wiesbaden, Υπόθεση C-61/22[5] το Δικαστήριο της ΕΕ έκρινε ότι το άρθρο 3 παρ. 5 του Κανονισμού (ΕΕ) 2019/1157, δεν συνιστά αδικαιολόγητο περιορισμό των άρθρων 7 και 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, σε συνδυασμό με το άρθρο 52 παρ. 1 αυτού.

6) Με τις 2388-91/2019 αποφάσεις του Δ΄ Τμήματος 7μελούς σύνθεσης του Συμβουλίου της Επικρατείας, κρίθηκαν αιτήσεις ακυρώσεως κατά της προαναφερόμενης Κοινής Υπουργικής Απόφασης 8200/0-297647/2018 (ΦΕΚ Β΄ 1476/27.04.2018). Ειδικότερα, με τις αποφάσεις αυτές κρίθηκαν απορριπτέοι οι λόγοι, με τους οποίους αμφισβητήθηκε η σκοπιμότητα επιλογής του συγκεκριμένου τύπου αστυνομικής ταυτότητας και οι λόγοι με τους οποίους προβλήθηκε παραβίαση της νομοθετικών και υπερνομοθετικών διατάξεων περί προστασίας δεδομένων προσωπικού χαρακτήρα, της προσωπικότητας, της προσωπικής ελευθερίας, της ελεύθερης κίνησης στη χώρα, της ελευθερίας της θρησκευτικής συνείδησης και, συναφώς, του άρθρου 3 του Συντάγματος, καθώς και υπέρβαση νομοθετικής εξουσιοδότησης. Με τις ανωτέρω αποφάσεις του Συμβουλίου της Επικρατείας έγινε δεκτό, μεταξύ άλλων, ότι τα στοιχεία «που βρίσκονται αποθηκευμένα στο ηλεκτρονικό μέσο αποθήκευσης μη επαφής των νέου τύπου ταυτοτήτων, προορίζονται αποκλειστικά για ανάγνωση από τις συσκευές διαβατηριακού ελέγχου και προϋποθέτουν (για την ανάγνωση αυτή) απόσταση 3-4 εκατοστών μεταξύ του σώματος του δελτίου και της εν λόγω συσκευής (…) το ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης μη επαφής προστατεύεται από μηχανισμό ελέγχου πρόσβασης, ο οποίος αρνείται την πρόσβαση στο περιεχόμενό του, εάν το σύστημα ελέγχου της συσκευής ανάγνωσης δεν μπορεί να αποδείξει ότι έχει εξουσιοδότηση πρόσβασης στο εν λόγω ενσωματωμένο ηλεκτρονικό μέσο μη επαφής, αυτή δε η απόδειξη παρέχεται μέσω ενός κρυπτογραφικού πρωτοκόλλου, το οποίο αποδεικνύει ότι το σύστημα ελέγχου της μηχανής ανάγνωσης γνωρίζει τις πληροφορίες που προέρχονται από τη σελίδα με τα στοιχεία του κατόχου του μηχανικώς αναγνώσιμου ταξιδιωτικού εγγράφου· το σύστημα ελέγχου της μηχανής ανάγνωσης πρέπει να λαμβάνει αυτές τις πληροφορίες, οι οποίες παρέχονται μέσω οπτικής επαφής από το ηλεκτρονικό ταξιδιωτικό έγγραφο (από τη μηχανικώς αναγνώσιμη ζώνη), προτού να είναι σε θέση να διαβάσει το ηλεκτρονικό μέσο μη επαφής (…)». Περαιτέρω, με την προαναφερόμενη απόφαση 2388/2019 του Δικαστηρίου η σχετική αίτηση ακυρώσεως έγινε εν μέρει δεκτή και ακυρώθηκε η εν λόγω κοινή υπουργική απόφαση μόνον κατά το μέρος που προβλέφθηκε ότι στο ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης μη επαφής που περιλαμβάνει το νέου τύπου δελτίο ταυτότητας αποθηκεύονται (και) «τα στοιχεία που απαιτούνται για τις υπηρεσίες της ηλεκτρονικής διακυβέρνησης». Συναφώς, έκρινε το Δικαστήριο ότι οι υπηρεσίες ηλεκτρονικής διακυβέρνησης έχουν ευρύτατο περιεχόμενο, τα δε ανωτέρω στοιχεία δεν είναι κρίσιμα για την απόδειξη της ταυτότητας των Ελλήνων πολιτών και δεν μπορεί να θεωρηθεί ότι συνδέονται με τα πρόσθετα στοιχεία του κατόχου, σύμφωνα με μια εκ των εξουσιοδοτικών διατάξεων για την έκδοση της εν λόγω ΚΥΑ (άρθρο 3 Ν. 1599/1986), άρα η αποθήκευση των στοιχείων αυτών δεν βρίσκει έρεισμα στις οικείες εξουσιοδοτικές διατάξεις[6]. Κατόπιν της απόφασης αυτής του ΣτΕ συμπληρώθηκε το άρθρο 3 του Ν. 1599/1986 με το προαναφερόμενο άρθρο 23 του Ν. 4647/2019 (ΦΕΚ Α΄ 204[7]).

7) Σύμφωνα με το άρθρο 5 ΓΚΠΔ στοιχ. α), γ) και στ) «1. Τα δεδομένα προσωπικού χαρακτήρα: α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων («νομιμότητα, αντικειμενικότητα και διαφάνεια»), (…) γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), (…) στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων («ακεραιότητα και εμπιστευτικότητα»)», ενώ σύμφωνα με την παράγραφο 2 του ίδιου ως άνω άρθρου «Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 («λογοδοσία»). Περαιτέρω, το άρθρο 6 παρ. 1 του ΓΚΠΔ προβλέπει, μεταξύ άλλων, ότι η επεξεργασία είναι σύννομη μόνο εάν ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις (νομικές βάσεις της επεξεργασίας): «α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς, (…) γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας, (...) ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας (...)».

8) Περαιτέρω, προς διασφάλιση της αρχής της διαφάνειας της επεξεργασίας, το άρθρο 12 παρ. 1 ΓΚΠΔ ορίζει ότι: «Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 13 και 14 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 15 έως 22 και του άρθρου 34 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα», ενώ στην παρ. 2 του ίδιου άρθρου αναφέρεται ότι «ο υπεύθυνος επεξεργασίας διευκολύνει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων που προβλέπονται στα άρθρα 15 έως 22». Εξάλλου, με τις διατάξεις των άρθρων 13 και 14 ΓΚΠΔ ρυθμίζεται η υποχρέωση ενημέρωσης που πρέπει να παρέχεται από τον υπεύθυνο επεξεργασίας εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων (άρθρο 13 ΓΚΠΔ) και εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων (άρθρο 14 ΓΚΠΔ).

9) Επιπλέον, αναφορικά με την υποχρέωση ενημέρωσης εκ μέρους του υπευθύνου επεξεργασίας, η αιτιολογική σκέψη 40 του Κανονισμού (ΕΕ) 2019/1157 αναφέρει: «Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9) εφαρμόζεται όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εφαρμογής του παρόντος κανονισμού. Είναι αναγκαίο να διευκρινιστούν περαιτέρω οι εγγυήσεις που εφαρμόζονται για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, και ιδίως των ευαίσθητων δεδομένων όπως τα βιομετρικά δεδομένα. Τα υποκείμενα των δεδομένων θα πρέπει να ενημερώνονται ότι στα έγγραφά τους υπάρχει μέσο αποθήκευσης που περιέχει τα βιομετρικά δεδομένα τους και είναι προσβάσιμο χωρίς επαφή, καθώς και να γνωρίζουν όλες τις περιπτώσεις κατά τις οποίες χρησιμοποιούνται τα δεδομένα που περιέχονται στο δελτίο ταυτότητας και τα έγγραφα διαμονής τους. Σε κάθε περίπτωση, τα υποκείμενα των δεδομένων θα πρέπει να έχουν πρόσβαση στα προσωπικά δεδομένα που αποτελούν αντικείμενο επεξεργασίας στα δελτία ταυτότητας και τα έγγραφα διαμονής τους και θα πρέπει να έχουν το δικαίωμα διόρθωσής τους με την έκδοση νέου εγγράφου, σε περίπτωση που τα εν λόγω δεδομένα είναι εσφαλμένα ή ελλιπή (…)

10) Αναφορικά με τις υποχρεώσεις του υπευθύνου επεξεργασίας το άρθρο 24 παρ. 1 ΓΚΠΔ ορίζει ότι : «1. Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.», ενώ το άρθρο 25 παρ. 1-2 ΓΚΠΔ ορίζει ότι: «1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. 2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.»

11) Περαιτέρω, σύμφωνα με το άρθρο 35 παρ. 1 ΓΚΠΔ «Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.», ενώ σύμφωνα με την παράγραφο 3 του ίδιου ως άνω άρθρου: «Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση: α) συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο, β) μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή (..)» και την παράγραφο 3 του ίδιου ως άνω άρθρου : «Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1.(..)». Η Αρχή, κατ’ εφαρμογή της παρ. 4 του άρθρου 35 ΓΚΠΔ, έχει καταρτίσει και δημοσιοποιήσει κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1 (Απόφαση 65/2018). Στην Απόφαση 65/2018, αναφέρεται ότι η διενέργεια ΕΑΠΔ κρίνεται υποχρεωτική όταν πληρούται τουλάχιστον ένα από τα κριτήρια της 1ης ή της 2ης κατηγορίας της ομαδοποίησης επεξεργασιών. Στην 2η κατηγορία, στοιχείο 2.2.3 αναφέρεται σε «δεδομένα που αφορούν εθνικό αριθμό ταυτότητας ή άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής ή αλλαγή των προϋποθέσεων και όρων επεξεργασίας και χρήσης αυτών και των συναφών με αυτά δεδομένων προσωπικού χαρακτήρα», κατηγορία στην οποία εμπίπτει η υπό συζήτηση επεξεργασία.

12) Αναφορικά με την παροχή ενημέρωσης προς τα υποκείμενα των δεδομένων, κατ’ απαίτηση της αρχής της διαφάνειας, σε σχέση με την έκδοση νέου δελτίου ταυτότητας, με το με αρ. πρωτ. Αρχής Γ/ΕΙΣ/455/19.01.2024 υπόμνημα, η ΕΛ.ΑΣ. υποστήριξε ενώπιον της Αρχής ότι σχετική ενημέρωση έχει αναρτηθεί στην ιστοσελίδα της. Κατά την επισκόπηση της σχετικής ενότητας στον διαδικτυακό τόπο: https://www.astynomia.gr/odigos-tou-politi/dikaiologitika/ekdosi-deltiou-taftotitas/enimerosi-gia-tin-epexergasia-dedomenon-prosopikou-charaktira-apo-ti-diefthynsi-kratikis-asfaleias-archigeiou-ellinikis-astynomias/[8] εντοπίζεται κείμενο ενημέρωσης αναφορικά με ζητήματα της συγκεκριμένης επεξεργασίας προσωπικών δεδομένων, το οποίο είναι διαθέσιμο στους πολίτες. Εντούτοις η ενημέρωση αυτή αφενός δεν είχε αναρτηθεί έως τα τέλη του Φεβρουαρίου 2024 στον σχετικό ιστότοπο (αν και ήδη από τον Σεπτέμβριο του 2023 είχε αρχίσει η έκδοση των δελτίων νέου τύπου), αφετέρου η αναρτηθείσα ενημέρωση περιέχει εσφαλμένες αναφορές όπως, ιδίως, εσφαλμένη νομική βάση αναφορικά με τα βιομετρικά δεδομένα, αφού αναφέρεται η «πρόδηλη ενεργή συγκατάθεση» η οποία δεν μπορεί να αποτελεί έγκυρη νομική βάση για την εν λόγω επεξεργασία , δεδομένου ότι η υποχρέωση έκδοσης ταυτότητας απορρέει από διάταξη αναγκαστικού δικαίου κατά την άσκηση δημόσιας εξουσίας (άρθρο 6 παρ. 1 εδ. γ) ε) ΓΚΠΔ) , ενώ η συγκατάθεση, για να αποτελεί έγκυρη νομική βάση, πρέπει να είναι ελεύθερη (άρθρο 4 στοιχ. 11 του ΓΚΠΔ) και δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί (βλ. Σκέψη 42 του ΓΚΠΔ). Εξάλλου, η εν λόγω ενημέρωση περιέχει και αναφορά στο άρθρο 46 του ν. 4624/2019 σχετικά με την επεξεργασία των δεδομένων ειδικών κατηγοριών, οι διατάξεις όμως του άρθρου αυτού αφορούν επεξεργασίες που γίνονται από την ΕΛ.ΑΣ. αποκλειστικά για τους σκοπούς που προβλέπονται στο άρθρο 43 του εν λόγω νόμου[9] και δεν έχουν εφαρμογή στην επίμαχη επεξεργασία. Περαιτέρω, δεν προσκομίστηκε ενώπιον της Αρχής το σχετικό ενημερωτικό κείμενο, το οποίο κατά τα διαλαμβανόμενα στο με αριθμ. πρωτ. Αρχής Γ/ΕΙΣ/455/19.01.2024 υπόμνημα «έχει διαβιβαστεί στο σύνολο των αρχών έκδοσης της χώρας, προκειμένου να αναρτηθεί σε ευκρινές σημείο στα γραφεία έκδοσης, με σκοπό την πλήρη ενημέρωση των υποκειμένων πριν την υποβολή σχετικής αίτησης έκδοσης δελτίου ταυτότητας».

13) Αναφορικά με τα στοιχεία που περιέχει το νέο δελτίο ταυτότητας προκύπτει ότι στο ενσωματωμένο ηλεκτρονικό μέσο αποθήκευσης (τσιπ) αποθηκεύονται, εκτός από την φωτογραφία και τα δακτυλικά αποτυπώματα, το επώνυμο πατέρα, επώνυμο μητέρας, ο Δήμος εγγραφής, ο αριθμός δημοτολογίου και ο τόπος έκδοσης του δελτίου. Τα στοιχεία αυτά δεν περιλαμβάνονται στα υποχρεωτικά στοιχεία κατά το άρθρο 3 παρ. 5 του Κανονισμού (ΕΕ) 2019/1157 και η συμπερίληψή τους στο νέο δελτίο ταυτότητας, προκύπτει, σύμφωνα και με τους ισχυρισμούς του υπευθύνου επεξεργασίας, από την εφαρμογή εθνικών νομικών διατάξεων, οι οποίες περιλαμβάνουν και στοιχεία τα οποία έχουν κριθεί παράνομα ή/και αντισυνταγματικά (βλ. Απόφαση ΣτΕ Ολ 2281/2001), χωρίς να έχουν ρητώς καταργηθεί ή τροποποιηθεί με νεότερο νόμο. Επιπλέον, από το άρθρο 3 παρ. 10 του Κανονισμού (ΕΕ) 2019/1157 προκύπτει ότι εθνικά δεδομένα που αποθηκεύονται στο ενσωματωμένο μέσο αποθήκευσης πρέπει να αφορούν σε ηλεκτρονικές υπηρεσίες, ενώ αντιθέτως εν προκειμένω τα επιπλέον δεδομένα αφορούν σε απλά στοιχεία ταυτοποίησης για τα οποία, συμφώνως προς τους ισχυρισμούς του υπευθύνου επεξεργασίας, δεν υπήρχε επαρκής χώρος στο εμπρόσθιο μέρος του δελτίου ταυτότητας. Σε κάθε δε περίπτωση, ο υπεύθυνος επεξεργασίας δεν τεκμηρίωσε, ούτε με το έγγραφο υπόμνημά του αλλά και ούτε στο πλαίσιο εκπόνησης της ΕΑΠΔ, τους σκοπούς της επεξεργασίας των εν λόγω στοιχείων, με συνέπεια να μην προκύπτει η αναγκαιότητα συμπερίληψης των δεδομένων αυτών. Ειδικότερα, δεν υπεβλήθησαν τεκμηριωμένες απαντήσεις από τον υπεύθυνο επεξεργασίας στο ερώτημα πώς τα ανωτέρω στοιχεία είναι προσβάσιμα και επεξεργάσιμα από το ηλεκτρονικό μέσο, με ποια μέσα, για ποιους σκοπούς και από ποιους φορείς.

14) Σύμφωνα δε με τις επιταγές του άρθρου 35 παρ. 1 ΓΚΠΔ, συμφώνως και με την αρχή της προστασίας από το σχεδιασμό και εξ ορισμού, η απαίτηση διενέργειας εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων πρέπει να λαμβάνει χώρα τουλάχιστον πριν την έναρξη της επεξεργασίας. Στην υπό κρίση υπόθεση, ο υπεύθυνος επεξεργασίας δεν είχε διενεργήσει ως όφειλε, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας προσωπικών δεδομένων για «εθνικούς σκοπούς» πριν από την έναρξη έκδοσης των νέων δελτίων ταυτότητας.

15) Σύμφωνα με όσα εκτίθενται στις προηγούμενες σκέψεις, ο υπεύθυνος επεξεργασίας παραβίασε τα άρθρα 13 και 14 του ΓΚΠΔ, λόγω της απουσίας ενημέρωσης για μεγάλο χρονικό διάστημα, καθώς και λόγω μη ορθών πληροφοριών στο κείμενο ενημέρωσης των πολιτών, το οποίο αναρτήθηκε καθυστερημένα στην ιστοσελίδα του υπευθύνου επεξεργασίας. Εξάλλου, ο υπεύθυνος επεξεργασίας δεν τεκμηρίωσε, ούτε μέσω της ΕΑΠΔ, την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων αναφορικά με συγκεκριμένα στοιχεία που περιέχονται στο ηλεκτρονικό μέσο αποθήκευσης όπως αναλύεται στις ως άνω σκέψεις, κατά παράβαση των κατά το άρθρο 24 ΓΚΠΔ υποχρεώσεων. Περαιτέρω, ο υπεύθυνος επεξεργασίας παραβίασε το άρθρο 35 παρ. 1 ΓΚΠΔ, αφού δεν διενήργησε, ως όφειλε, την απαιτούμενη εκτίμηση αντικτύπου, παρά μόνο μετά την έναρξη της επεξεργασίας και μόνο κατόπιν της σχετικής επικοινωνίας της Αρχής, ενώ η εκτίμηση αντικτύπου δεν φαίνεται να έχει εντοπίσει όλους τους κινδύνους, όπως προκύπτει και από τις ανωτέρω διαπιστωθείσες παραβάσεις.

Με βάση τα ανωτέρω, η Αρχή κρίνει ότι συντρέχει περίπτωση να ασκήσει τις κατά τα άρθρα 58 παρ. 2 του ΓΚΠΔ και 39 παρ. 1 του ν. 4624/2019 διορθωτικές εξουσίες της σε σχέση με τις διαπιστωθείσες παραβάσεις και ότι πρέπει, με βάση τις περιστάσεις που διαπιστώθηκαν, να επιβληθεί, κατ’ εφαρμογή της διάταξης του άρθρου 58 παρ. 2 εδ. θ΄ του ΓΚΠΔ, αποτελεσματικό, αναλογικό και αποτρεπτικό διοικητικό χρηματικό πρόστιμο κατ’ άρθρο 83 του ΓΚΠΔ, τόσο προς αποκατάσταση της συμμόρφωσης, όσο και για την αποτροπή της παράνομης συμπεριφοράς.

Περαιτέρω η Αρχή έλαβε υπόψη τα κριτήρια επιμέτρησης του προστίμου, τα οποία ορίζονται στο άρθρο 39 παρ. 2 του ν. 4624/2019 που έχει εφαρμογή στην παρούσα υπόθεση, τις Κατευθυντήριες Γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 που εκδόθηκαν στις 03-10-2017 από την Ομάδα Εργασίας του άρθρου 29 (WP 253), καθώς και τις Κατευθυντήριες Γραμμές 04/2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων για τον υπολογισμό των διοικητικών προστίμων στο πλαίσιο του Γενικού Κανονισμού, όπως επίσης τα πραγματικά δεδομένα της εξεταζόμενης υπόθεσης, με βάση τα οποία η βαρύτητα της παράβασης κρίνεται μεγάλη, αξιολογώντας ιδίως:

• ότι η φύση των παραβάσεων αφορά τις υποχρεώσεις λογοδοσίας του υπευθύνου επεξεργασίας αλλά και δικαιώματα των υποκειμένων του ΓΚΠΔ,

• ότι η επεξεργασία αφορά βασική δραστηριότητα του υπεύθυνου επεξεργασίας (έκδοση δελτίων ταυτοτήτων),

• τον μεγάλο αριθμό των επηρεαζόμενων υποκειμένων, οι οποίοι μάλιστα είναι το σύνολο των Ελλήνων πολιτών που υποχρεούνται να φέρουν δελτίο ταυτότητας,

• ότι ο σκοπός της επεξεργασίας είναι θεμιτός και ότι από την επεξεργασία δεν φαίνεται να προκύπτουν άμεσα σοβαρές συνέπειες για τα υποκείμενα των δεδομένων,

• το γεγονός ότι ο υπεύθυνος επεξεργασίας έλαβε, κατόπιν και της παρέμβασης της Αρχής, συγκεκριμένα μέτρα προς τη σωστή κατεύθυνση, όπως η διενέργεια της εκτίμησης αντικτύπου και η ενημέρωση των πολιτών, χωρίς όμως αυτά να έχουν υλοποιηθεί ορθά στο σύνολό τους, όπως αναλύεται στις ως άνω σκέψεις.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ Η ΑΡΧΗ

Α. Επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ ΄ ΓΚΠΔ στο Υπουργείο Προστασίας του Πολίτη ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους πενήντα χιλιάδων (50.000) για την παράβαση των άρθρων 13 και 14 του ΓΚΠΔ.

- Επιβάλλει κατ’ άρθρο 58 παρ. 2 στοιχ. θ ΄ ΓΚΠΔ στο Υπουργείο Προστασίας του Πολίτη ως υπεύθυνο επεξεργασίας, χρηματικό πρόστιμο ύψους εκατό χιλιάδων (100.000) ευρώ, για την παράβαση του άρθρου 35 παρ. 1 του ΓΚΠΔ.

- Δίνει εντολή, κατ’ άρθρο 58 παρ. 2 στοιχ. δ΄ ΓΚΠΔ, στο Υπουργείο Προστασίας του Πολίτη ως υπεύθυνο επεξεργασίας, όπως προβεί στις ακόλουθες ενέργειες:

- Να τεκμηριώσει, επικαιροποιώντας παράλληλα και την αντίστοιχη ΕΑΠΔ, την ανάγκη συμπερίληψης στο ηλεκτρονικό μέσο στοιχείων, εκτός των απαιτούμενων από την ευρωπαϊκή νομοθεσία.

- Βάσει των αποτελεσμάτων της ως άνω τεκμηρίωσης, να προβεί στις δέουσες ενέργειες προσαρμογής της επεξεργασίας, που αφορά στην έκδοση των ταυτοτήτων, εντός έξι (6) μηνών από την κοινοποίηση της παρούσης, ενημερώνοντας σχετικώς την Αρχή, ώστε εφεξής οι ταυτότητες που θα εκδοθούν να είναι σύμφωνες με τα διαλαμβανόμενα στην παρούσα Απόφαση.

Μολονότι δεν τίθεται εν αμφιβολία το κύρος των ταυτοτήτων, των οποίων η έκδοση στηρίζεται στο ισχύον σήμερα νομικό πλαίσιο, όπως περιγράφεται ως άνω, η Αρχή επισημαίνει την υποχρέωση να επικαιροποιηθεί και να κωδικοποιηθεί το νομικό πλαίσιο αναφορικά με τα στοιχεία στο νέο τύπο δελτίων ταυτότητας Ελλήνων πολιτών και της διαδικασίας έκδοσης αυτών, προκειμένου να ρυθμίζονται με ενιαίο τρόπο ζητήματα που είχαν δημιουργηθεί αφενός, από την κατάργηση σχετικών διατάξεων και αφετέρου, από την παράλληλη ισχύ διαφορετικών νομοθετημάτων, τόσο κατά την έκδοση των παλαιών, όσο και κατά την έκδοση των νέων δελτίων ταυτότητας, λαμβάνοντας υπόψη και τα όσα επιμέρους ζητήματα αναλύονται στην παρούσα Απόφαση.

Ο Πρόεδρος

Κωνσταντίνος Μενουδάκος

Η Γραμματέας

Ειρήνη Παπαγεωργοπούλου

[1] Χ. Ακριβοπούλου, Χ. Ανθόπουλος, Εισαγωγή στο Διοικητικό Δίκαιο, εκδόσεις Ελληνικά Ακαδημαϊκά Ηλεκτρονικά Συγγράμματα, 2015, Κεφ. 3, σελ. 77.

[2] https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CELEX%3A32019R1157

[3] Βλ. και Γνώμη Ευρωπαϊκού Επόπτη Προστασίας Δεδομένων “EDPS Opinion 7/2018 on the Proposal for a Regulation strengthening the security of identity cards of Union citizens and other documents”, διαθέσιμη σε: https://edps.europa.eu/data-protection/our-work/publications/opinions/security-identity-cards-union-citizens_en

[4] Βλ. σχετ. Απόφαση ΑΠΔΠΧ 510/17/15-05-2000, διαθέσιμη σε: https://www.dpa.gr/sites/default/files/2020- 10/2000_510-17.doc, ΣτΕ Ολ. 2281/2001, διαθέσιμη σε: http://www.greeklaws.com/pubs/uploads/1006.pdf ΕΔΔΑ, Sofianopoulos and others v. Greece - απόφαση επί του παραδεκτού (app.no. 1988/02 1997/02 1977/02), διαθέσιμη σε: https://hudoc.echr.coe.int/eng#{%22fulltext%22:[%22sofianopoulos%22],%22itemid%22:[%22001-23654%22]}

[5] Απόφαση RL κατά Landeshauptstadt Wiesbaden, 21 Μαρτίου 2024, C‑61/22, διαθέσιμη σε: https://eur- lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62022CJ0061

[6] http://www.adjustice.gr/webcenter/portal/ste/pageste/epikairotita/apofaseis?

[7] Ειδικότερα, σύμφωνα με το άρθρο 23 του Ν. 4647/2019, « Στο τέλος της παραγράφου 1 του άρθρου 3 του ν. 1599/1986 (Α΄ 75) προστίθεται εδάφιο ως εξής: «Στο δελτίο ταυτότητας ενσωματώνεται ηλεκτρονικό μέσο αποθήκευσης, το οποίο εμπεριέχει τη φωτογραφία του κατόχου σε ψηφιακή μορφή, τα στοιχεία της μηχανικώς αναγνώσιμης ζώνης του δελτίου, δύο (2) δακτυλικά αποτυπώματα των δεικτών και των δύο χεριών του κατόχου και ένα εγκεκριμένο πιστοποιητικό ηλεκτρονικής υπογραφής, σύμφωνα με το άρθρο 3 του Κανονισμού (ΕΕ) 910/2014.» »

[8] Ημ/νία Πρόσβασης 12/3/2024, 30/4/2024.

[9] Ήτοι για σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.