Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δημοσίευσε τη Γνωμοδότησή της 1/2024 επί του σχεδίου Προεδρικού Διατάγματος για τη ρύθμιση ειδικότερων ζητημάτων σχετικά με τον Προσωπικό Αριθμό των πολιτών.
Το ΠΔ αυτό – αλλά και η Γνωμοδότηση της Αρχής – προβλέπονται στο άρθρο 107 παρ.6 του Ν.4727/2020, σύμφωνα με το οποίο: «Με προεδρικό διάταγμα που εκδίδεται ύστερα από πρόταση των Υπουργών Οικονομικών, Εργασίας και Κοινωνικών Υποθέσεων και Ψηφιακής Διακυβέρνησης και ύστερα από γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καθορίζονται τα μέτρα, οι εγγυήσεις και οι μηχανισμοί ασφαλείας για την πρόληψη και την αντιμετώπιση των κινδύνων για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων, η διαδικασία χορήγησης του Προσωπικού Αριθμού, και ιδίως οι υπηρεσίες διεκπεραίωσης, τα απαιτούμενα δικαιολογητικά και οι υπηρεσίες ελέγχου αυτών, οι λόγοι αναστολής του, το χρονοδιάγραμμα που προβλέπεται στην παρ. 5 του άρθρου 11, η διαδικασία έκδοσης του Π.Α., οι όροι και η διαδικασία για την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και για την αντιστοίχιση των Π.Α. με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα, ιδίως Α.Φ.Μ. και Α.Μ.Κ.Α., τα ειδικότερα ζητήματα για την τήρηση του Μητρώου Προσωπικού Αριθμού, τα τεχνικά και οργανωτικά μέτρα που τηρεί η Γ.Γ.Π.Σ.Δ.Δ., τα τεχνικά και οργανωτικά μέτρα που τηρούν οι φορείς του δημοσίου τομέα που επεξεργάζονται τον Π.Α. μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Δ.Δ., καθώς και κάθε τεχνική ή άλλη λεπτομέρεια για την εφαρμογή του άρθρου 11.[…].»
Η Γνωμοδότηση της Αρχής χωρίζεται σε δύο επιμέρους ενότητες, ενώ περιλαμβάνει ως παράρτημα και αυτούσιο το κείμενο του υποβληθέντος σχεδίου. Στην πρώτη ενότητα, η Αρχή καταθέτει γενικές παρατηρήσεις επί της λειτουργίας και αποστολής του Προσωπικού Αριθμού και επί γενικότερων ζητημάτων νομιμότητας, ενώ στη δεύτερη ενότητα προχωρά σε ειδικότερες επισημάνσεις επί των διατάξεων του σχεδίου ΠΔ.
Στις γενικές παρατηρήσεις που διατυπώνει η Αρχή, περιλαμβάνονται τα εξής:
1. Ως προς τη σχεδιαστική επιλογή και αρχιτεκτονική του συστήματος, η Αρχή παρατηρεί πως αυτή έχει ως συνέπεια «τη συγκέντρωση, σ’ ένα κεντρικό σημείο, δεδομένων όπως το ονοματεπώνυμο, πατρώνυμο, μητρώνυμο, τόπος γέννησης, αλλά και όλων των τομεακών αναγνωριστικών τα οποία χρησιμοποιούν οι πολίτες για διαφορετικούς σκοπούς σε διαφορετικούς τομείς (Αριθμός Φορολογικού Μητρώου, Αριθμός Δελτίου Ταυτότητας, Αριθμός Μητρώου Κοινωνικής Ασφάλισης)».
Η Αρχή επισημαίνει πως θα μπορούσε ενδεχομένως να έχει εξεταστεί μια διαφορετική αρχιτεκτονική, βάσει της οποίας δεν θα ήταν αναγκαία η τήρηση όλων των επιμέρους τομεακών αναγνωριστικών στο κεντρικό μητρώο του Προσωπικού Αριθμού, «εάν τα προσωπικά δεδομένα «όνομα – επώνυμο – πατρώνυμο – μητρώνυμο – ημ/γέννησης – τόπος γέννησης» ήταν επικαιροποιημένα σε όλα τα επιμέρους μητρώα».
2. Ως προς τον σκοπό της επεξεργασίας, ο οποίος συνίσταται στην επαλήθευση ταυτότητας των φυσικών προσώπων προς τους φορείς του δημοσίου τομέα, δια της αντιστοίχισης του Προσωπικού Αριθμού με τους αναγνωριστικούς αριθμούς των επιμέρους μητρώων του κάθε δημοσίου φορέα, χωρίς ο αριθμός αυτός να τηρείται στα επιμέρους μητρώα, η Αρχή διατυπώνει τη γνώμη πως, βάσει του σκοπού αυτού, «η επεξεργασία που αφορά το μητρώο του ΠΑ πληροί τις αρχές επεξεργασίας του άρθρου 5 παρ. 1 του ΓΚΠΔ». Παράλληλα όμως, η Αρχή επισημαίνει πως ο εν λόγω σκοπός θα πρέπει να παραμείνει και στο μέλλον ως ο μοναδικός σκοπός επεξεργασίας, διαφορετικά θα απαιτηθεί νομοθετική ρύθμιση και εκ νέου αξιολόγηση της νομιμότητας της επεξεργασίας.
3. Ως προς την απουσία πρόβλεψης για αναγραφή του Προσωπικού Αριθμού σε δημόσιο έγγραφο, η Αρχή «αξιολογεί ως επαρκές το επίπεδο προστασίας της χρήσης του ΠΑ ως δεδομένου προσωπικού χαρακτήρα στο πλαίσιο της παραπάνω αναφερόμενης επεξεργασίας (τήρηση της αρχής της ελαχιστοποίησης), με την παραδοχή ότι δεν αναγράφεται σε κάποιο δημόσιο έγγραφο».
4. Ως προς την ανάγκη τήρησης πολλαπλών τομεακών αναγνωριστικών από δημόσιους φορείς, μετά την καθιέρωση του Προσωπικού Αριθμού (και μετά την ορθή λειτουργία του μητρώου αυτού και των συναφών διαδικασιών διαλειτουργικότητας), η Αρχή επισημαίνει πως η ανάγκη αυτή παύει, καθώς άλλωστε η τυχόν τήρηση πέραν του ενός τομεακού αναγνωριστικού θα προσέκρουε στην αρχή της ελαχιστοποίησης.
Προς τούτο, η Αρχή προτείνει την πρόβλεψη στον μακροπρόθεσμο σχεδιασμό αφενός περί της προσαρμογής των μητρώων του Δημοσίου στη λογική της τήρησης ενός και μόνο τομεακού αναγνωριστικού ανά φορέα, αφετέρου περί του αποκλεισμού της δυνατότητας διαβίβασης από το Υπουργείο Ψηφιακής Διακυβέρνησης προς τους δημοσίους φορείς «τομεακών αναγνωριστικών διαφορετικών από το αναγνωριστικό που αντιστοιχεί στον τομέα του κάθε φορέα, δραστηριότητα η οποία (ως διαλειτουργικότητα) είναι αρμοδιότητα του ΥΨΔ».
5. Ως προς τον ρόλο του Προσωπικού Αριθμού ως δεδομένου ταυτοποίησης του Κανονισμού eIDAS, η Αρχή παρατηρεί πως από τις διατάξεις του σχεδίου ΠΔ δεν προκύπτει σχετικός σχεδιασμός, ο οποίος, εφόσον υπάρξει, σκόπιμο είναι να περιληφθεί στο ΠΔ. Το ίδιο προτείνεται και στην περίπτωση όπου υπάρχει σχεδιασμός για ενδεχόμενη χρήση του Προσωπικού Αριθμού για την αυθεντικοποίηση του πολίτη σε ηλεκτρονικές υπηρεσίες, μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης- gov.gr.
Η Γνωμοδότηση 1/2024 ΑΠΔΠΧ είναι διαθέσιμη εδώ.