Βαρύτατο διοικητικό πρόστιμο ύψους 175.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα στο Υπουργείο Μετανάστευσης και Ασύλου (ΥΜΑ) μετά από έλεγχο που διενήργησε σχετικά με τη λειτουργία των προγραμμάτων Κένταυρος και Υπερίων στις δομές υποδομής και φιλοξενίας σε νησιά του Αιγαίου.
Η Αρχή με την απόφασή της υπ’ αριθμ. 13/2024, που δημοσιεύτηκε σήμερα, διαπίστωσε την παραβίαση σειράς διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων, μεταξύ αυτών της αρχής νομιμότητας, της υποχρέωσης ενημέρωσης των υποκειμένων, της σύναψης συμβάσεων με εκτελούντες την επεξεργασία, τη διενέργεια εκτίμησης αντικτύπου και την υποχρέωση συνεργασίας με την εποπτική αρχή.
Για τις δύο τελευταίες από τις παραβάσεις αυτές, η ΑΠΔΠΧ επέβαλε στο Υπουργείο διοικητικό πρόστιμο:
– 100.000 ευρώ για την παραβίαση των άρθρων 25 και 35 ΓΚΠΔ, με τη μη διενέργεια ολοκληρωμένης, συνολικής και συνεκτικής Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) ήδη από το σχεδιασμό και εξ ορισμού, πριν την προμήθεια και τη θέση σε εφαρμογή των συστημάτων «Κένταυρος» και «Υπερίων», και
– 75.000 ευρώ για την παραβίαση του άρθρου 31 ΓΚΠΔ, με την υποβολή υπομνημάτων και εγγράφων με ασαφείς, ελλιπείς, συγκεχυμένες και αντιφατικές πληροφορίες, τη μη υποβολή συμβάσεων με εκτελούντες, τη μη παροχή διευκρινίσεων επί ζητημάτων που είχαν τεθεί και τη μη υποβολή συμβάσεων με τον Υπεύθυνο Προστασίας Δεδομένων.
Οι καταγγελίες και η ενημέρωση της Αρχής
Στα τέλη του 2021, η Αρχή έλαβε γνώση της απόφασης της ελληνικής κυβέρνησης σχετικά με την ανάπτυξη και εγκατάσταση του Προγράμματος «Κένταυρος» από το Υπουργείο Μετανάστευσης και Ασύλου (εφεξής ΥΜΑ) με στόχο τον έλεγχο των δομών υποδοχής και φιλοξενίας πολιτών τρίτων χωρών σε νησιά του Αιγαίου.
Επίσης, η Αρχή έλαβε το Δεκέμβριο του 2021 από την Επιτροπή Πολιτικών Ελευθεριών Δικαιοσύνης και Εσωτερικών Υποθέσεων του Ευρωπαϊκού Κοινοβουλίου (LIBE Committee) αίτημα παροχής ενημέρωσης σχετικά με τις τεχνολογίες επιτήρησης στα σύνορα, ενώ αίτημα έρευνας και παροχής γνωμοδότησης αναφορικά με την προμήθεια και εγκατάσταση των συστημάτων «Υπερίων» και «Κένταυρος» στις δομές υποδοχής και φιλοξενίας αιτούντων άσυλο υποβλήθηκε ενώπιον της Αρχής τον Φεβρουάριο του 2022 από οργανώσεις της κοινωνίας των πολιτών (i. Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου, ii. HIAS Ελλάδος, iii. Homo Digitalis) από κοινού με Λέκτορα του Queen Mary University of London.
Η Αρχή έλαβε επίσης τον Ιούλιο του 2022 επιστολή αναφορικά με τα ως άνω συστήματα από την Αντιπροσωπεία της Ύπατης Αρμοστείας του ΟΗΕ για τους Πρόσφυγες στην Ελλάδα.
Τα ελεγχόμενα συστήματα
Τα αιτήματα που έλαβε η Αρχή Προστασίας Δεδομένων και η έρευνα που διενήργησε αφορούσαν δύο προγράμματα του Υπουργείου Μετανάστευσης και Ασύλου: τον «Κένταυρο» και τον «Υπερίωνα».
Σύμφωνα με την απόφαση:
– Το πρόγραμμα «Κένταυρος» φέρεται να αποτελεί ένα ολοκληρωμένο ψηφιακό σύστημα διαχείρισης Ηλεκτρονικής και Φυσικής Ασφάλειας περιμετρικά και εντός των εγκαταστάσεων των Κέντρων Κλειστών Ελεγχόμενων Δομών (ΚΕΔ) (& Κέντρων Υποδοχής και Ταυτοποίησης (ΚΥΤ)) πολιτών τρίτων χωρών στα νησιά Λέσβος, Χίος, Σάμος, Λέρος και Κως και με χρήση καμερών και αλγορίθμων ανάλυσης κίνησης (Artificial Intelligence Behavioral Analytics), η διαχείριση του οποίου θα πραγματοποιείται από το ΥΜΑ. Το πρόγραμμα «Κένταυρος» συμπεριλαμβάνει μεταξύ άλλων τη χρήση συστήματος CCTV και μη στελεχωμένων αεροσκαφών (drones), με τα οποία θα πραγματοποιείται επεξεργασία προσωπικών δεδομένων, τουλάχιστον εικόνας.
– Το πρόγραμμα «Υπερίων» περιγράφεται ως ένα ολοκληρωμένο σύστημα ελέγχου εισόδου–εξόδου στις εγκαταστάσεις των προαναφερόμενων δομών με σκοπό τον έλεγχο εισόδου και εξόδου αφενός των φιλοξενουμένων και των πιστοποιημένων μελών των πιστοποιημένων μη κυβερνητικών οργανώσεων (ΜΚΟ) με την επίδειξη της κάρτας αιτούντος άσυλο ή μέλους/υπαλλήλου ΜΚΟ, και αφετέρου των εργαζόμενων στις δομές από RFID αναγνώστη σε συνδυασμό με αποτύπωμα (two–factor authentication), επομένως μέσω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και δη βιομετρικών δεδομένων.
Οι ενέργειες της Αρχής
Η Αρχή Προστασίας Δεδομένων κάλεσε στις 2-3-2022 το Υπουργείο, ως υπεύθυνο επεξεργασίας, να υποβάλει πληροφορίες σχετικά με τα δύο προγράμματα και να παράσχει διευκρινίσεις επί ζητημάτων που του έθεσε. Μετά την αποστολή υπομνήματος από τον Υπεύθυνο Προστασίας Δεδομένων του Υπουργείου, η Αρχή επανήλθε και ζήτησε στις 13-9-2022 την παροχή συμπληρωματικών πληροφοριών, επισημαίνοντας σειρά ασαφειών, αντιφατικών και εσφαλμένων αναφορών που είχαν εντοπιστεί στα προσκομισθέντα έγγραφα.
Μετά την υποβολή νέων υπομνημάτων και στοιχείων και την εξέταση αυτών, η Αρχή κάλεσε το ΥΜΑ όπως προσέλθει ενώπιον της Ολομελείας της για τη συζήτηση της υπόθεσης.
Οι διαπιστώσεις της Αρχής
Από την εξέταση του συνόλου των στοιχείων του φακέλου και των προσκομισθέντων υπομνημάτων και εγγράφων, η Αρχή διαπίστωσε τα εξής:
1. Ως προς τη νομική βάση της επεξεργασίας: Το Υπουργείο ισχυρίστηκε πως η κύρια ή γενική νομική βάση για την επεξεργασία δεδομένων από τα συστήματα Κένταυρος και Υπερίων είναι η εκτέλεση καθήκοντος προς το δημόσιο συμφέρον κατά την άσκηση δημόσιας εξουσίας (άρθρο 6 παρ.1ε’ ΓΚΠΔ), ενώ η επεξεργασία βιομετρικών δεδομένων βασίζεται στην επεξεργασία για λόγους ουσιαστικού δημόσιου συμφέροντος (άρθρο 99 παρ. 2 στοιχ. ζ΄ ΓΚΠΔ).
Η Αρχή παρατήρησε, ωστόσο, πως σε προηγούμενα έγγραφα που είχαν τεθεί ενώπιόν της υφίστατο σύγχυση ως προς τη νομική βάση, καθώς γινόταν λόγος για το έννομο συμφέρον (άρθρο 6 παρ.1στ’ ΓΚΠΔ) του Υπουργείου, νομική βάση που είναι άλλωστε αδόκιμη για δημόσιες αρχές. Παράλληλα, σε άλλη επιστολή του Υπουργείου προς την Αρχή αναφερόταν πως οι διαμένοντες στις δομές υπογράφουν κατά την είσοδό τους έντυπη φόρμα συγκατάθεσης, ως εκ τούτου εφαρμοζόταν συμπληρωματικά και η νομική βάση της συγκατάθεσης.
Περαιτέρω, το Υπουργείο αναφερόταν και σε άλλες νομικές βάσεις που δύνανται να έχουν παράλληλη εφαρμογή, χωρίς όμως να διευκρινίζει ποιες είναι οι νομικές βάσεις αυτές και ποιες περιπτώσεις αφορούν, ενώ είχε πλήρως παραλείψει να αναφερθεί στη νομική βάση ανάλογα με την κατηγορία των υποκειμένων (εργαζόμενοι, ευάλωτες ομάδες, ανήλικοι, μέλη και εργαζόμενοι ΜΚΟ κοκ).
Ως προς την επεξεργασία δεδομένων μέσω του συστήματος βιντεοεπιτήρησης, η Αρχή παρατήρησε πως δεν προσκομίστηκαν επαρκείς διευκρινίσεις, έτσι ώστε να μπορεί μα ασφάλεια να γίνει αποτίμηση της διενεργούμενης επεξεργασίας και εξαγωγή συμπερασμάτων, ενώ παράλληλα διαπίστωσε σύγχυση αναφορικά με τον χαρακτηρισμό του εποπτευόμενου χώρου, με το ΥΜΑ να επικαλείται το ΠΔ 75/2020, το οποίο ωστόσο δεν μπορεί να εφαρμοστεί στις υπό κρίση δομές.
Με βάση τα ανωτέρω, η Αρχή διαπίστωσε την παραβίαση της αρχής νομιμότητας του άρθρου 5 παρ.1α’ ΓΚΠΔ.
2. Ως προς την ενημέρωση προς τα υποκείμενα των δεδομένων: Το Υπουργείο επικαλέστηκε σειρά μέσων και εγγράφων που έχει εκπονήσει προς τον σκοπό της ενημέρωσης των άρθρων 12-13-14 ΓΚΠΔ.
Ως προς την ενημέρωση μέσω εντύπου της ΥΠΥΤ, η Αρχή διαπίστωσε πως στο κείμενο χρησιμοποιούνται τεχνικοί/νομικοί όροι (πχ. κακόβουλων ενεργειών), ενώ θα πρέπει να ληφθεί υπόψιν πως τα υποκείμενα δεν κατανοούν την ελληνική ή αγγλική γλώσσα. Η Αρχή έκρινε πως η ενημέρωση που δινόταν ήταν αφενός ελλιπής, αφετέρου δεν πληρούσε τις απαιτήσεις παροχής ενημέρωσης σε «σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση». Παράλληλα, από το κείμενο απουσίαζε σειρά πληροφοριών, που σύμφωνα με τα άρθρα 12-13-14 ΓΚΠΔ θα έπρεπε να παρέχονται στα υποκείμενα.
Ως προς τις Πολιτικές Απορρήτου του ΥΜΑ, η Αρχή διαπίστωσε πως δεν προκύπτει αν και με ποιον τρόπο είναι προσβάσιμες στα υποκείμενα, ενώ σε κάθε περίπτωση αφενός παρέχονταν αποκλειστικά στην ελληνική γλώσσα, αφετέρου «η μορφή και το ύφος των κειμένων της Πολιτικής Απορρήτου εκ της φύσης τους δεν πληρούν τις απαιτήσεις διαφάνειας για σαφή και απλή διατύπωση ενημέρωσης αναλόγως και της στόχευσης του κοινού στο οποίο απευθύνεται, ήτοι ευάλωτες ομάδες και παιδιά».
Ως προς τις «σημάνσεις ιδιωτικότητας» που είχαν τοποθετηθεί για τα συστήματα βιντεοεπιτήρησης, η Αρχή διαπίστωσε πως αυτές εμπεριέχουν εσφαλμένες/αντιφατικές και ελλιπείς πληροφορίες, ενώ ως προς τη δημοσίευση πολιτικής παρακολούθησης σε ηλεκτρονικά μέσα και ενημερωτικά φυλλάδια, η Αρχή έκρινε πως αυτή δεν τεκμηριώθηκε επαρκώς.
Με βάση τα ανωτέρω, η Αρχή διαπίστωσε την παραβίαση των άρθρων 12-13-14 ΓΚΠΔ.
3. Ως προς τη συνεργασία του ΥΜΑ με εκτελούντες την επεξεργασία: Η Αρχή παρέθεσε τις συμβάσεις που προσκομίστηκαν από το Υπουργείο, επεσήμανε όμως πως δεν υποβλήθηκαν όλες οι συμβάσεις, καθώς κάποιες από αυτές χαρακτηρίστηκαν ως «απόρρητες».
Η Αρχή υπενθύμισε πως η νομοθεσία (άρθρο 15 παρ.1 ν.4624/2019) ρητώς προβλέπει ότι κατά τη διενέργεια των ερευνών της δεν αντιτάσσεται απόρρητο έναντι αυτής, ενώ επεσήμανε πως οι συμβάσεις αυτές ζητήθηκαν «μόνο προκειμένου να διαπιστωθεί η σύναψή τους μεταξύ του υπεύθυνου επεξεργασίας και των επιμέρους εκτελούντων την επεξεργασία και ιδίως να ελεγχθεί το απαιτούμενο παράρτημα σύμβασης με τους όρους για την προστασία δεδομένων προσωπικού χαρακτήρα».
Η ΑΠΔΠΧ κατέληξε πως ελλείψει των αναγκαίων στοιχείων δεν είναι δυνατή η εξαγωγή ασφαλών συμπερασμάτων σχετικά με την τήρηση των προϋποθέσεων του άρθρου 28 ΓΚΠΔ, διαπιστώνοντας ως εκ τούτου την παραβίαση της διάταξης.
4. Ως προς την τήρηση αρχείου δραστηριοτήτων: Το Υπουργείο ισχυρίστηκε πως η κατάρτιση αρχείου δραστηριοτήτων έχει ανατεθεί στον Υπεύθυνο Προστασίας Δεδομένων και δεν είχε κατά τον χρόνο εκείνο ολοκληρωθεί.
Η Αρχή επεσήμανε πως τα εξεταζόμενα συστήματα βρίσκονταν ήδη σε πλήρη λειτουργία, γεγονός που σημαίνει πως σύμφωνα με τις επιταγές του άρθρου 25 παρ.1 και 2 ΓΚΠΔ, το αρχείο δραστηριοτήτων θα έπρεπε να έχει καταρτιστεί πριν την έναρξη της λειτουργίας αυτής. Παράλληλα, υπενθύμισε πως την υποχρέωση τήρησης του αρχείου δραστηριοτήτων την έχει καταρχήν ο υπεύθυνος επεξεργασίας και κατά περίπτωση εκπρόσωπός του, ως εκ τούτου η επίκληση της μη εμπρόθεσμης ανάθεσης της συγκεκριμένης υποχρέωσης στον ΥΠΔ είναι αλυσιτελής.
Σύμφωνα με την απόφαση, το ΥΜΑ δεν τεκμηρίωσε τη συμμόρφωσή του με το άρθρο 30 ΓΚΠΔ.
5. Ως προς τη διενέργεια εκτίμησης αντικτύπου: Με το υπόμνημά του, το Υπουργείο διευκρίνισε ότι η διενέργεια της ΕΑΠΔ επί των υφιστάμενων τεχνολογικών συστημάτων έλαβε χώρα χωρίς να είναι γνωστή η ολότητα της λειτουργικότητας τους και το εύρος των παραμετροποιημένων λειτουργιών τους, ενώ επεσήμανε πως τα πρώτα αποτελέσματα που έχουν εξαχθεί αναφορικά με τις επιπτώσεις στα υποκείμενα των δεδομένων δεν είναι ασφαλή.
Η Αρχή παρατήρησε πως η διενέργεια εκτίμησης αντικτύπου για κάθε ένα από τα τεχνολογικά συστήματα μοιάζει να είναι αφενός κατακερματισμένη και περιορισμένου εύρους, αφετέρου όχι πλήρως επικαιροποιημένη. Διαπίστωσε την παραβίαση του άρθρου 35 παρ.1 έως 3 ΓΚΠΔ, καθώς ο υπεύθυνος επεξεργασίας δεν έχει διενεργήσει ως όφειλε, συμφώνως και προς τις επιταγές του άρθρου 25 ΓΚΠΔ παρ. 1 και 2 αναφορικά με την απαίτηση προστασίας από το σχεδιασμό και εξ ορισμού, συνολική και συστηματική εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία προσωπικών δεδομένων πριν από την έναρξη κάθε επεξεργασίας, ούτε έχει ζητήσει εγκαίρως την γνώμη του ΥΠΔ.
6. Ως προς τη διασύνδεση των συστημάτων Κένταυρος-Υπερίων με άλλα συστήματα του δημοσίου τομέα: Η Αρχή παρατήρησε πως το Υπουργείο δεν προσκόμισε στοιχεία που να επεξηγούν περαιτέρω τις διασυνδέσεις μεταξύ των ανωτέρω συστημάτων, με συνέπεια να μην καθίσταται δυνατή η κρίση της περί της τήρησης των αρχών της νομιμότητας σύμφωνα με το άρθρο 5 ΓΚΠΔ ιδίως αναφορικά με την διασύνδεση του συστήματος «Κένταυρος». Παράλληλα, σημείωσε πως τα ως άνω στοιχεία που δεν προσκομίστηκαν θα έπρεπε να έχουν ήδη αποτυπωθεί και στην εκτίμηση αντικτύπου των συστημάτων αυτών με την επακόλουθη ανάλυση των πιθανών κινδύνων και των αντίστοιχων μέτρων αντιστάθμισης τους.
7. Ως προς τον ορισμό Υπευθύνου Προστασίας Δεδομένων: Σύμφωνα με την απόφαση, το Υπουργείο δεν προσκόμισε σύμβαση για τον ορισμό ΥΠΔ, με αναλυτική περιγραφή των καθηκόντων του, ώστε η Αρχή να είναι σε θέση να κρίνει αν κατ’ αρχήν, με βάση τη συναφθείσα σύμβαση, ο ορισθείς από το ΥΜΑ ΥΠΔ πληροί τα κριτήρια και τις προδιαγραφές που τίθενται από τον νόμο.
Έτσι περαιτέρω, από το γεγονός πως το ΥΜΑ υπέβαλε στην Αρχή ημιτελή κείμενα και έδωσε ανακριβείς, αντιφατικές και συγκεχυμένες απαντήσεις κρίθηκε ότι το Υπουργείο δεν τεκμηρίωσε επαρκώς ότι ο ορισθείς ΥΠΔ συμμετείχε δεόντως και εγκαίρως σε όλα τα ζητήματα προστασίας δεδομένων, όπως αντίστοιχα δεν στοιχειοθετήθηκε και η αντίστοιχη ανταπόκριση του υπευθύνου επεξεργασίας, ο οποίος «στην περίπτωση, που τυχόν επέλεξε να αγνοήσει τις συμβουλές του ΥΠΔ, οφείλει να τεκμηριώνει τους λόγους εγγράφως, ώστε να υποβάλλονται ενώπιον της εποπτικής αρχής σύμφωνα με την αρχή της λογοδοσίας».
Με βάση τα ανωτέρω, η Αρχή διαπίστωσε την παραβίαση των άρθρων 37 έως 39 ΓΚΠΔ.
8. Ως προς την υποχρέωση συνεργασίας με την εποπτική αρχή: Καταληκτικώς, η Αρχή έκρινε πως από τις ως άνω διαπιστώσεις της προέκυψε ότι το Υπουργείο δεν τεκμηρίωσε τη συμμόρφωσή του σύμφωνα με την αρχή της λογοδοσίας, καθώς δεν παρείχε πλήρη, ακριβή και σαφή στοιχεία ώστε να τεκμηριώσει επαρκώς τη νομιμότητα των ενεργειών που πραγματοποιούνται στα πλαίσια των ως άνω συστημάτων και αφορούν επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Αντίθετα μάλιστα, η εξέταση των στοιχείων και υπομνημάτων που προσκομίστηκαν έδειξε αφενός ασάφειες και αντιφατικούς ισχυρισμούς, αφετέρου παράλειψη συμμόρφωση σε σειρά διατάξεων της νομοθεσίας. Όπως επισημάνθηκε μάλιστα, η παράλειψη αυτή ουσιαστικά συνομολογήθηκε και από το ίδιο το Υπουργείο, το οποίο επικαλέστηκε αλυσιτελώς τον νεοσύστατο χαρακτήρα του.
Περαιτέρω και σαφώς επιβαρυντικώς, η Αρχή διαπίστωσε ότι το Υπουργείο Μετανάστευσης και Ασύλου κατά τη διάρκεια εξέτασης της υπόθεσης και παρά τις επάλληλες κλήσεις της προς παροχή διευκρινίσεων και ανάλυσης ζητημάτων, επέδειξε δυσχέρεια στη συνεργασία μαζί της, σχετικά με την παροχή πληροφοριών «και συγκεκριμένα με την υποβολή συμβάσεων με τους εκτελούντες την επεξεργασία, και συμβάσεων με τον υπεύθυνο προστασίας δεδομένων, καθώς και με την παροχή διευκρινίσεων για την επεξεργασία που πραγματοποιείται μέσω του συστήματος «Κένταυρος» και ιδίως τις αυτοματοποιημένες λειτουργίες του, και την διασύνδεση των συστημάτων «Κένταυρος» και «Υπερίων» με άλλα συστήματα του Δημοσίου».
Σύμφωνα με την απόφαση, η μη υποβολή ενώπιον της Αρχής κρίσιμων για την εξέταση της υπό κρίση υπόθεσης στοιχείων, συνιστά παραβίαση της υποχρέωσης συνεργασίας του ΥΜΑ, ως υπευθύνου επεξεργασίας, με την εποπτική αρχή κατά τις διατάξεις του άρθρου 31 του ΓΚΠΔ, οι οποίες εντάσσονται στις υποχρεώσεις λογοδοσίας του υπευθύνου επεξεργασίας ενώπιον της εποπτικής Αρχής.
Το διατακτικό της απόφασης
Με βάση τα ανωτέρω, η Αρχή:
Α) διαπίστωσε ότι η μη διενέργεια ολοκληρωμένης, συνολικής και συνεκτικής Εκτίμησης Αντικτύπου ήδη από το σχεδιασμό και εξ ορισμού, πριν την προμήθεια και τη θέση σε εφαρμογή των συστημάτων «Κένταυρος» και «Υπερίων» συνιστά παραβίαση των άρθρων 25 και 35 ΓΚΠΔ.
Για την παραβίαση αυτή επέβαλε χρηματικό πρόστιμο ύψους εκατό χιλιάδων (100.000) ευρώ.
Β) διαπίστωσε ότι η υποβολή ενώπιόν της υπομνημάτων και συνοδευτικών εγγράφων περιεχόντων ασαφείς, ελλιπείς, συγκεχυμένες και αντιφατικές πληροφορίες, όπως αυτές περιγράφονται στο σώμα της παρούσης, η μη υποβολή ενώπιόν της κειμένου συμβάσεων με τους εκτελούντες την επεξεργασία που περιέχει ρήτρες αναφορικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των συστημάτων «Κένταυρος» και «Υπερίων», η μη παροχή διευκρινίσεων για την επεξεργασία που πραγματοποιείται μέσω του συστήματος Κένταυρος και ιδίως τις αυτοματοποιημένες λειτουργίες του, και για την διασύνδεση των συστημάτων «Κένταυρος» και «Υπερίων» με άλλα συστήματα του Δημοσίου παραλείποντας να παράσχει τις πληροφορίες που του ζητήθηκαν, καθώς και η μη υποβολή συμβάσεων, τις οποίες το ΥΜΑ, κατά τους ισχυρισμούς του, συνήψε με τον υπεύθυνο προστασίας δεδομένων, συνιστούν παραβίαση του άρθρου 31 ΓΚΠΔ.
Για την παραβίαση αυτή επέβαλε χρηματικό πρόστιμο εβδομήντα πέντε χιλιάδων (75.000) ευρώ.
Γ) έδωσε εντολή στο Υπουργείο Μετανάστευσης και Ασύλου, ως υπεύθυνο επεξεργασίας, όπως προβεί στο σύνολο των απαραίτητων ενεργειών για την ολοκλήρωση της συμμόρφωσής του με τις υποχρεώσεις του υπευθύνου επεξεργασίας, όπως αυτές περιγράφηκαν στην απόφαση, εντός προθεσμίας 3 (τριών) μηνών.