ΑΠΔΠΧ 45/2025 - Πλήρες κείμενο

Σύνθεση: Κ. Μενουδάκος (Πρόεδρος), Χ. Καλλονιάτης (Εισηγητής), Ν. Λίβος (Εισηγητής), Κ. Λαμπρινουδάκης, Α. Ηλιάδου, Χ. Παπαθεοδώρου, Μ. Ψάλλα (Μέλη), Γ. Ρουσόπουλος, Ε. Μαραγκού (Βοηθοί Εισηγητών), Ε. Παπαγεωργοπούλου (Γραμματέας)

Εξέταση αιτήματος γνωμοδότησης από μη κυβερνητική οργάνωση (ΜΚΟ) σχετικά με τη νομιμότητα της σύμβασης μεταξύ της Ελληνικής Αστυνομίας (ΕΛΑΣ) και εταιρίας τηλεπικοινωνιών και τεχνολογικών λύσεων για την προμήθεια και λειτουργία συστημάτων «Έξυπνης Αστυνόμευσης» (Smart Policing)· το σύστημα προβλέπει τη χρήση φορητών συσκευών (smartphones) από αστυνομικούς για επιτόπιους ελέγχους πολιτών, με δυνατότητες αναζήτησης σε εθνικές και ευρωπαϊκές βάσεις δεδομένων και λήψης βιομετρικών δεδομένων (δακτυλικά αποτυπώματα και φωτογραφίες προσώπου) προς σκοπούς ταυτοποίησης· η αιτούσα ΜΚΟ εξέφρασε σοβαρές ανησυχίες για τη συμβατότητα της σύμβασης με το ενωσιακό και εθνικό δίκαιο προστασίας δεδομένων, ιδίως λόγω της επεξεργασίας ειδικών κατηγοριών δεδομένων, της απουσίας προηγούμενης διαβούλευσης με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και της μη ύπαρξης εκτίμησης αντικτύπου· η ΕΛΑΣ υποστήριξε ότι τα βιομετρικά δεδομένα χρησιμοποιούνται μόνο στιγμιαία για αναζήτηση, χωρίς αποθήκευση, με αυξημένα τεχνικά και οργανωτικά μέτρα ασφάλειας, ότι οι χρήστες είναι εξουσιοδοτημένοι και εκπαιδευμένοι, ότι εκπονήθηκε εκ των υστέρων εκτίμηση αντικτύπου (ΕΑΠΔ) το 2023, ενώ ως νομική βάση επικαλέστηκε τις διατάξεις των άρθρων 27–29 του π.δ. 342/1977 και τη νομολογία του ΔΕΕ (υπόθεση C-205/21). Η ΑΠΔΠΧ έκρινε ότι η επίμαχη επεξεργασία βιομετρικών δεδομένων εξυπηρετεί σκοπούς πρόληψης και διερεύνησης εγκλημάτων· διαπίστωσε όμως ότι δεν υφίσταται ειδική, ρητή και επαρκώς συγκεκριμένη νομική βάση σε τυπικό νόμο, όπως απαιτούν τα άρθρα 45Α και 46 του ν. 4624/2019, που να ρυθμίζει τους σκοπούς, τα δεδομένα, τις εγγυήσεις, τον χρόνο τήρησης και τα δικαιώματα των υποκειμένων· οι διατάξεις του π.δ. 342/1977 κρίθηκαν ανεπίκαιρες και ανεπαρκείς για να θεμελιώσουν νόμιμη επεξεργασία σύγχρονων βιομετρικών δεδομένων μέσω ψηφιακών συστημάτων· επιπλέον, η ΑΠΔΠΧ διαπίστωσε παράβαση της υποχρέωσης έγκαιρης διενέργειας εκτίμησης αντικτύπου, καθώς η ΕΑΠΔ όφειλε να είχε εκπονηθεί ήδη από την έναρξη ισχύος του ν. 4624/2019. Για τους λόγους αυτούς, λαμβανομένου υπόψη ότι η λειτουργία του συστήματος περιορίστηκε σε πιλοτικό στάδιο και δεν αποδείχθηκε ζημία για τα υποκείμενα, η ΑΠΔΠΧ έκρινε ότι δεν υπήρχε λόγος επιβολής διοικητικής κύρωσης και απεύθυνε στην ΕΛΑΣ προειδοποίηση για την μη ενεργοποίηση του Σύστηματος για την Έξυπνη Αστυνόμευση.

Νομικές διατάξεις: άρθρα 46, 65 ν. 4624/2019

ΑΠΟΦΑΣΗ 45/2025

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της μέσω τηλεδιάσκεψης, την Τρίτη 17 Ιουνίου και ώρα 11.30 π.μ., προκειμένου να εξετάσει την υπόθεση, που αναφέρεται κατωτέρω στο ιστορικό της παρούσας απόφασης. Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη της Αρχής Κωνσταντίνος Λαμπρινουδάκης, Χρήστος Καλλονιάτης ως εισηγητής και Αικατερίνη Ηλιάδου καθώς και τα αναπληρωματικά μέλη Χρήστος Παπαθεοδώρου, Νικόλαος Λίβος, ως εισηγητής, και Μαρία Ψάλλα, σε αναπλήρωση, αντιστοίχως, των τακτικών μελών Σπύρου Βλαχόπουλου, Χαράλαμπου Ανθόπουλου και Γρηγορίου Τσόλια, οι οποίοι, αν και εκλήθησαν νομίμως εγγράφως, δεν παρέστησαν λόγω κωλύματος. Παρόντες χωρίς δικαίωμα ψήφου ήταν οι Γεώργιος Ρουσόπουλος προϊστάμενος της Διεύθυνσης Εποπτικού Έργου και η Ελένη Μαραγκού ειδικός επιστήμονας, ως βοηθοί εισηγητή καθώς και η Ειρήνη Παπαγεωργοπούλου ως Γραμματέας και η Γεωργία Παλαιολόγου ως συντονίστρια της τηλεδιάσκεψης, υπάλληλοι του Τμήματος Διοικητικών Υποθέσεων της Αρχής.

Η Αρχή έλαβε υπόψη της τα κάτωθι:

Με το με αριθ. πρωτ. Γ/ΕΙΣ/2140/19.03.2020 έγγραφο της μη Κερδοσκοπικής Οργάνωσης Homo Digitalis υποβλήθηκε στην Αρχή αίτημα έκδοσης γνωμοδότησης αναφορικά με τη νομιμότητα της σύμβασης προμήθειας συστημάτων για την Έξυπνη Αστυνόμευση (Smart Policing) μεταξύ της Ελληνικής Αστυνομίας (εφεξής ΕΛ.ΑΣ.) και της INTRACOM λόγω των εξαιρετικά σημαντικών και σοβαρών προκλήσεων, όπως αναγράφεται στο έγγραφο αυτό, που ανακύπτουν για την προστασία των προσωπικών δεδομένων υποκειμένων στην Ελληνική Επικράτεια και της πιθανότητας παραβιάσεως από την ΕΛ.ΑΣ. της ενωσιακής νομοθεσίας για την προστασία προσωπικών δεδομένων. Συγκεκριμένα, στο εν λόγω έγγραφο αναφέρεται ότι η σύμβαση αυτή αφορά την εφαρμογή σύγχρονων τεχνολογιών έξυπνων φορητών συσκευών σε πεζές και εποχούμενες περιπολίες, με σκοπό τον προσδιορισμό και την επαλήθευση της ταυτότητας των πολιτών που υπόκεινται σε επιτόπιο έλεγχο και ότι η προτεινόμενη δράση προωθεί την ταυτοποίηση πολιτών μέσω των εν λόγω φορητών συσκευών επιτόπου χωρίς προσαγωγή στο πλησιέστερο Αστυνομικό Τμήμα για εξακρίβωση στοιχείων. Περαιτέρω, αναφέρεται ότι υπήρξε σχετική ανάρτηση – ανακοίνωση στην ιστοσελίδα της ΕΛ.ΑΣ. ήδη από το 2019 και ότι από το αναρτημένο στον ίδιο ιστότοπο τεύχος τεχνικών προδιαγραφών προκύπτει μια λεπτομερής περιγραφή των σύγχρονων τεχνολογιών που θα χρησιμοποιούνται στις έξυπνες φορητές συσκευές. Στο ίδιο έγγραφο αναφέρεται επίσης ότι ως ένας από τους σκοπούς είναι «η παροχή ενός ενιαίου περιβάλλοντος εργασίας στον τελικό χρήστη της συσκευής smartphone που θα επιτυγχάνει μέσω ενιαίας εφαρμογής/διεπαφής αναζητήσεων στις υφιστάμενες βάσεις δεδομένων και της λήψης βιομετρικών στοιχείων την αναζήτηση, εύρεση και ταυτοποίηση προσώπων» και ότι «Η εισαγωγή δεδομένων αναζήτησης θα πραγματοποιείται με τη λήψη βιομετρικών χαρακτηριστικών (αποτύπωμα και φωτογραφία) ή με την πληκτρολόγηση δεδομένων από το χρήστη ή με τη χρήση λογισμικού (OCR, MRZ, CHIP κλπ.) ή με συνδυασμό των 3 δυνατοτήτων. Η λήψη αποτελεσμάτων από την αναζήτηση βιομετρικών δεδομένων, θα πραγματοποιείται με τη χρήση λογισμικών ταυτοποίησης, είτε υφιστάμενων είτε, από προμήθεια από την εν λόγω σύμβαση... Όσον αφορά την επιτόπου λήψη δακτυλικών αποτυπωμάτων, αυτή η δυνατότητα θα υπάρχει τουλάχιστον σε 500 φορητές συσκευές, και θα μπορεί να γίνεται είτε με τη χρήση μόνο της συσκευής smartphone ή/και κατάλληλης πρόσθετης συσκευής που θα προσφερθεί για το σκοπό αυτό. Σε περίπτωση που η συγκεκριμένη δυνατότητα καλύπτεται από πρόσθετη συσκευή, τότε το ζευγάρι smartphone και πρόσθετης συσκευής θα διαλειτουργεί πλήρως, παρέχοντας ενιαία λειτουργικότητα στη χρήση των εφαρμογών που θα αναπτυχθούν και λαμβάνοντας υπόψη και το ότι η επικοινωνία με τα κεντρικά συστήματα θα γίνεται από το smartphone. Τα ληφθέντα δεδομένα δακτυλικών αποτυπωμάτων θα συγκρίνονται παράλληλα, κατόπιν παραμετροποίησης, τόσο με τα αντίστοιχα δεδομένα δακτυλικών αποτυπωμάτων στο εθνικό AFIS (από έργο e-ΤΑΠ), καθώς και με την Κεντρική Βάση Δεδομένων SIS ΙΙ AFIS στο Στρασβούργο - εφόσον η τελευταία θα έχει τεθεί σε λειτουργία κατά την περίοδο υλοποίησης της σύμβασης - και εν συνεχεία βάσει πρόσθετων συγκρίσεων-αναζητήσεων που θα κάνει κεντρικά το υπό προμήθεια σύστημα, θα λαμβάνεται στη φορητή συσκευή συνοπτική απάντηση επιχειρησιακού ενδιαφέροντος. Όσον αφορά την επιτόπου λήψη φωτογραφιών, ένας από τους σκοπούς της δράσης είναι η παράδοση στην ΕΛ.ΑΣ, λογισμικού αναγνώρισης φωτογραφιών προσώπου, μέσω του οποίου θα γίνεται η σύγκριση με ψηφιακά αρχεία φωτογραφιών προσώπου προκειμένου να επιτευχθεί η αναγνώριση και ταυτοποίηση ενός υπό εξέταση ατόμου. Μάλιστα, δεν υφίσταται αυτή τη στιγμή στην Ελληνική Αστυνομία πληροφοριακό σύστημα αναγνώρισης φωτογραφιών προσώπου. Συγκεκριμένα, οι φωτογραφίες που θα λαμβάνονται επιτόπου από τα smartphones μαζί με τα σχετικά συνοδευόμενα δεδομένα (τουλάχιστον γεωγραφικής θέσης και χρόνου) θα συγκρίνονται, μέσω κατάλληλης - σε υλικό (hardware) και λογισμικό (software)- κεντρικής υποδομής, η οποία θα παρασχεθεί γι’ αυτό το σκοπό, με υφιστάμενα ψηφιακά αρχεία φωτογραφιών της ΕΛ.ΑΣ. Τα δεδομένα φωτογραφιών προσώπου θα αντιπαραβάλλονται κεντρικά, μέσω κατάλληλης υποδομής που θα παρασχεθεί στο πλαίσιο της παρούσας σύμβασης, και εν συνεχεία βάσει πρόσθετων συγκρίσεων-αναζητήσεων που θα πραγματοποιεί το υπό εξέταση σύστημα κεντρικά, στη φορητή συσκευή θα λαμβάνεται συνοπτική απάντηση επιχειρησιακού ενδιαφέροντος».

Η Homo Digitalis, όπως ενημέρωσε την Αρχή, κατέθεσε την 16.12.2019 ανοιχτή επιστολή προς τον Υπουργό Προστασίας του Πολίτη, με την οποία ζητούσε περισσότερες πληροφορίες για την επίμαχη σύμβαση και, ειδικότερα, ζήτησε να πληροφορηθεί εάν έχει λάβει χώρα προηγούμενη διαβούλευση με την ΑΠΔΠΧ σχετικά με την εν λόγω σύμβαση και εάν υπάρχει διαθέσιμη η εκτίμηση αντικτύπου στο πλαίσιο της εν λόγω σύμβασης καθώς και εάν είναι σε ισχύ ειδικές διατάξεις στο ισχύον ελληνικό δίκαιο που προβλέπουν την αντιμετώπιση των υφιστάμενων κινδύνων, συμπεριλαμβανομένων των εγγυήσεων και των διαδικασιών για την διασφάλιση της προστασίας των προσωπικών δεδομένων και της ιδιωτικότητας των υποκειμένων των δεδομένων, δεδομένου ότι πρόκειται για επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (όπως τα βιομετρικά δεδομένα), η οποία επιτρέπεται μόνο όταν είναι απολύτως αναγκαία, με την επιφύλαξη των κατάλληλων διασφαλίσεων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και εφόσον επιτρέπεται από το δίκαιο της Ένωσης ή των κρατών μελών, ενώ προϋποθέτει την ύπαρξη ειδικής νομικής διάταξης που να επιτρέπει την συλλογή και επεξεργασία των εν λόγω βιομετρικών δεδομένων (εικόνα προσώπου και αποτυπώματα) μέσω των φορητών συσκευών που προβλέπονται στην εν λόγω σύμβαση. Στην απάντηση που έλαβε η Homo Digitalis από την ΕΛ.ΑΣ. και η οποία επισυνάπτεται στο υποβληθέν αίτημα γνωμοδότησης γινόταν μνεία διατάξεων της Σύμβασης 108, του ΓΚΠΔ, ο οποίος κατά την κρίση της Homo Digitalis δεν τυγχάνει εφαρμογής δεδομένου ότι εφαρμόζονται οι διατάξεις του Δ’ Κεφαλαίου του ν. 4624/2019 και του ν. 3917/2011 κατά το δεδομένο χρονικό σημείο στο οποίο δεν είχε εκδοθεί το κατά εξουσιοδότησή του σχετικό Προεδρικό Διάταγμα για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης σε δημόσιους χώρους. Επιπλέον, δεν παρασχέθηκε καταφατική απάντηση στο ερώτημα διενέργειας σχετικής εκτίμησης αντικτύπου προσωπικών δεδομένων.

Κατόπιν τούτων, η Αρχή αποφάσισε την εξέταση του θέματος και απέστειλε στην ΕΛ.ΑΣ. το με αριθμ. πρωτ. της Αρχής Γ/ΕΞ/2140-1/26.08.2020 έγγραφο για παροχή απόψεων σχετικά με την προμήθεια του επίμαχου συστήματος και ιδίως παροχή ενημέρωσης αναφορικά με την συγκεκριμένη νομική βάση της σκοπούμενης επεξεργασίας, λοιπά στοιχεία της επεξεργασίας, όπως χρόνο τήρησης δεδομένων, ενημέρωση των υποκειμένων και τυχόν διενέργεια εκτίμησης αντικτύπου.

Με το με αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/6712/05.10.2020 η Διεύθυνση Τροχαίας Αστυνόμευσης της ΕΛ.ΑΣ. απάντησε στην Αρχή επιβεβαιώνοντας ότι το σύνολο της δράσης ελέγχθηκε για τη νομική της επάρκεια από το Αρχηγείο της Ελληνικής Αστυνομίας και ανέφερε ότι η λήψη βιομετρικών δεδομένων (δακτυλικό αποτύπωμα και φωτογραφία προσώπου) με σκοπό την ταυτοποίηση των στοιχείων του ατόμου, που θα πραγματοποιείται με τη χρήση της φορητής συσκευής, θα αντιπαραβάλλεται άμεσα με την Εθνική Βάση δεδομένων και αρχείων της Ελληνικής Αστυνομίας και δεν θα αποθηκεύεται σε υφιστάμενη βάση του συστήματος, αλλά θα απορρίπτεται άμεσα με την ολοκλήρωση της ροής εργασίας ταυτοποίησης. Σημειώνεται στο έγγραφο αυτό δε, ότι οι ενέργειες των τελικών χρηστών των φορητών συσκευών θα καταγράφονται σε ειδικό αρχείο καταγραφής ενεργειών δίχως να διατηρείται το ερώτημα αναζήτησης εφόσον περιλαμβάνει βιομετρικά δεδομένα και ότι ο ανάδοχος του έργου υποχρεούται για την πλήρη συμμόρφωση του σχεδιασμού του υλοποιημένου έργου με την υφιστάμενη Πολιτική Ασφαλείας Πληροφοριών και Πληροφοριακών Συστημάτων της Ελληνικής Αστυνομίας καθώς και ότι προβλέπεται η εκπόνηση «Έκθεσης Τεκμηρίωσης Ασφάλειας» ενώ, δεν προκύπτει η εκπόνηση εκτίμησης αντικτύπου για την προστασία δεδομένων.

Η Αρχή στη συνέχεια απέστειλε εκ νέου έγγραφο με αριθμ. πρωτ. Γ/ΕΞ/ 2648/21.10.2022 ζητώντας ενημέρωση σχετικά με το εάν έχει τεθεί σε πιλοτική ή/και παραγωγική λειτουργία το σύστημα καθώς και την παροχή τυχόν επικαιροποιημένων στοιχείων αναφορικά με τα ερωτήματα που είχαν τεθεί στο προηγούμενο έγγραφό της.

Με το αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/12272/05.12.2022 έγγραφο απάντησης της Δ/νσης Τροχαίας Αστυνόμευσης της ΕΛ.ΑΣ. υπογραμμίζεται ότι η δράση εστιάζει στην προμήθεια σύγχρονων φορητών ηλεκτρονικών συσκευών τύπου «smart phone», οι οποίες μέσω μιας ενιαίας εφαρμογής/διεπαφής αναζητήσεων στις υφιστάμενες βάσεις δεδομένων (εθνικές και ευρωπαϊκές) και της λήψης βιομετρικών χαρακτηριστικών (μέσω της μεθόδου σάρωσης), αριθμών πινακίδας κυκλοφορίας και στοιχείων εγγράφων, επιτυγχάνουν τη γρήγορη και ασφαλή αναζήτηση και ταυτοποίηση προσώπων και αντικειμένων με στόχευση να χρησιμοποιούνται οι συσκευές αυτές από πεζές και εποχούμενες περιπολίες της Ελληνικής Αστυνομίας, ώστε να επιτυγχάνεται ο άμεσος προσδιορισμός και η επαλήθευση της ταυτότητας των πολιτών που υπόκεινται σε επιτόπιο έλεγχο και στο πλαίσιο των εν γένει προληπτικών ελέγχων της. Η τελική παράδοση του έργου προσδιορίζεται για την 31.12.2022 και μέχρι τότε θα έχει διενεργηθεί μελέτη εκτίμησης αντικτύπου. Ωστόσο, «κατά τη λειτουργία του εν θέματι έργου σε επιχειρησιακό επίπεδο πραγματοποιούνται όλες οι κατάλληλες δοκιμές του προκειμένου να αξιολογηθούν και βελτιστοποιηθούν όλες οι παράμετροί του και εφαρμόστηκαν τα κάτωθι: α) Για την ομαλή λειτουργία και τη διασφάλιση των επικοινωνιών και δεδομένων του συνόλου των φορητών συσκευών του έργου, έχει εγκατασταθεί και παραμετροποιηθεί το διεθνώς αναγνωρισμένο λογισμικό του κατασκευαστικού οίκου VMWare, ικανοποιώντας πλήρως τις κείμενες διατάξεις και την πολιτική ασφάλειας του Φορέα. β) Η ανάπτυξη του συστήματος αναγνώρισης φωτογραφιών προσώπου αποτελεί βασικό πυλώνα του έργου, παρέχοντας: τη δημιουργία ενιαίας κεντρικής λειτουργίας σύγκρισης φωτογραφιών προσώπου από τρεις συνολικά υφιστάμενες βάσεις δεδομένων, ειδικό λογισμικό για τη χρήση της δυνατότητας ταυτοποίησης προσώπου από φορητή συσκευή, διαδικασία η οποία επιτυγχάνεται χωρίς τη διατήρηση οποιουδήποτε στοιχείου βιομετρικών δεδομένων στο σύστημα. γ) Η ειδική εφαρμογή για τη λήψη δακτυλικών αποτυπωμάτων με τη χρήση συσκευής τύπου smartphone με προσαρτημένο ειδικό δέκτη λήψης αποτυπωμάτων, προκειμένου να διενεργούνται αναζητήσεις ταυτοποίησης ατόμων, πραγματοποιείται χωρίς να διατηρείται οποιοδήποτε στοιχείο βιομετρικών δεδομένων στο σύστημα. δ) Για την εξυπηρέτηση της λειτουργίας των εφαρμογών του Smart Policing και την ορθότερη ενσωμάτωσή τους στην υφιστάμενη υποδομή εξουσιοδοτήσεων της Ελληνικής Αστυνομίας, δημιουργήθηκαν διακριτοί ρόλοι εξουσιοδοτήσεων για το εν λόγω Έργο (Προϊστάμενος Ιστορικού, Υπερχρήστης GIS, Χρήστης GIS, Χρήστης Αναζητήσεων, Χρήστης Αναφορών, Χρήστης Ιστορικού GIS, Χρήστης Ιστορικού Αναζητήσεων).».

Περαιτέρω, το Τμήμα Νομικής Υποστήριξης της Δ/νσης Οργάνωσης και Νομικής Υποστήριξης της ΕΛ.ΑΣ. έστειλε στην Αρχή το με αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/1236/16.02.2023 συμπληρωματικό έγγραφο πληροφοριών, στο οποίο ωστόσο, και πάλι, δεν γίνεται αναφορά στην διενέργεια εκτίμησης αντικτύπου προσωπικών δεδομένων. Αναφορικά με το ζήτημα της νομικής βάσης για την χρήση του συστήματος γίνεται επίκληση της προδικαστικής απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης επί της υπόθεσης C-205/21 και σημειώνεται ότι η λήψη δακτυλικών αποτυπωμάτων και φωτογραφιών με τη χρήση Smart Policing, «πληροί τις προϋποθέσεις του άρθρου 10 της Οδηγίας 680/2016, δεδομένου ότι: α) προβλέπεται από το εθνικό δίκαιο (άρθρα 27-29 Π.Δ. 342/1977 του Κανονισμού λειτουργίας της Διεύθυνσης Εγκληματολογικών Ερευνών/Α.Ε.Α., το οποίο εξακολουθεί να ισχύει σύμφωνα με την παρ. 4 του άρθρου 62 του ν. 1481/1984) και ως εκ τούτου για να πραγματοποιηθεί η λήψη φωτογραφιών και δακτυλικών αποτυπωμάτων απαιτείται να συντρέχουν οι αυστηρές ακριβείς και λεπτομερειακές προϋποθέσεις του ως άνω π.δ. 342/1977, οι οποίες βασίζονται σε ειδικά και αντικειμενικά ή υποκειμενικά στοιχεία επαρκή και πρόσφορα να δικαιολογήσουν κατά νόμο, την εν λόγω λήψη, β) είναι απολύτως αναγκαία, καθώς εξυπηρετεί συγκεκριμένο σκοπό που σχετίζεται με την πρόληψη ποινικών αδικημάτων ή απειλών κατά της δημόσιας ασφάλειας και γ) ο σκοπός που επιδιώκεται με την επίμαχη επεξεργασία δεδομένων, δεν μπορεί να επιτευχθεί εξίσου αποτελεσματικά με τη χρήση άλλων κατηγοριών δεδομένων που θίγουν λιγότερο τα δικαιώματα των υποκειμένων των δεδομένων».

Ως προς την περιγραφή του συστήματος, επαναλαμβάνεται ότι δεν συνιστά σύστημα επιτήρησης και ελέγχου, ότι τα βιομετρικά δεδομένα αποστέλλονται μόνο για πραγματοποίηση αναζήτησης χωρίς αποθήκευση ή άλλου είδους επεξεργασία στις φορητές συσκευές ή σε σημείο του κεντρικού εξοπλισμού, το υφιστάμενο εθνικό αυτοματοποιημένο σύστημα αναγνώρισης αποτυπωμάτων (AFIS) και το σύστημα αναγνώρισης φωτογραφιών προσώπων δεν εμπεριέχουν στις εγγραφές τους πλην των βιομετρικών, λοιπά ονομαστικά δεδομένα. Επομένως μια πιθανή ταύτιση επιστρέφει στο σύστημα ένα μοναδικό αριθμό, μέσω του οποίου και της υφιστάμενης εφαρμογής του Police on Line «Διαχείριση Ευρετηρίων Δ.Ε.Ε.» αντλούνται τα αντίστοιχα ονομαστικά στοιχεία, τα οποία αναζητούνται αυτοματοποιημένα στο σύνολο των βάσεων δεδομένων που έχει στη διάθεσή της η ΕΛ.ΑΣ. Η δε χρήση γίνεται μόνο μέσω του συστήματος εξουσιοδότησης του δικτύου Police on Line και τα στοιχεία του χρήστη καταγράφονται. Οι χρήστες επιπλέον, εκπαιδεύονται σε θέματα ασφάλειας και προστασίας προσωπικών δεδομένων και αποδέχονται την Πολιτική Ασφαλείας Πληροφοριών και Πληροφοριακών Συστημάτων της ΕΛ.ΑΣ. Τέλος, αναφορικά με περαιτέρω μέτρα ασφάλειας αναφέρεται ότι: για τη «θωράκιση του συστήματος Smart Policing από έξωθεν παρεμβολές, αλλά και για να αποφευχθεί τυχόν πρόσβαση από μη εξουσιοδοτημένα άτομα, η διαχείριση των φορητών συσκευών πραγματοποιείται σε κεντρικό επίπεδο με το σύστημα Enterprise Mobility Management (EMM) "Workspace One" της εταιρείας VMWare, το οποίο θεωρείται ως ένα από τα κορυφαία συστήματα αυτού του τύπου σταθερά την τελευταία δεκαετία σύμφωνα με τους οίκους αξιολόγησης Gartner και Forrester, ενώ τα δεδομένα σε όλα τα επίπεδα (φορητή συσκευή -αν και δεν αποθηκεύονται δεδομένα επί αυτής-, δικτυακή επικοινωνία, κεντρικό σύστημα αποθήκευσης - storage) είναι κρυπτογραφημένα με χρήση διεθνώς διαδεδομένων αλγορίθμων. Τέλος, επιδιώκεται η προμήθεια λογισμικών Next Generation Firewalls και Υποσύστηματος ασφαλούς διασύνδεσης - διαχείρισης έξυπνων φορητών συσκευών, ενώ σε συνεργασία με τον Ανάδοχο θα προβούμε στη δρομολόγηση κατάλληλων δράσεων για την Ασφάλεια των Πληροφοριακών Συστημάτων, Εφαρμογών, Μέσων και Υποδομών, την προστασία της ακεραιότητας, της εμπιστευτικότητας και της διαθεσιμότητας των πληροφοριών, την προστασία των προς επεξεργασία και αποθηκευμένων προσωπικών δεδομένων, αναζητώντας και εντοπίζοντας με μεθοδικό τρόπο τα τεχνικά μέτρα και τις οργανωτικό-διοικητικές διαδικασίες.…Τέλος, επιδιώκεται η συμμετοχή Υπεύθυνου Ασφάλειας πληροφοριακών και δικτυακών συστημάτων (Infrastructure & Information Security) στην ομάδα έργου του Αναδόχου, όπως και η κατοχή πιστοποίησης ISO/IEC 27001 από τον Ανάδοχο.».

Σε συνέχεια των ανωτέρω, η Αρχή με την Γ/ΕΞ/1475/02.05.2025 κλήση της κάλεσε την ΕΛ.ΑΣ. σε ακρόαση ενώπιον της Ολομέλειας της Αρχής στις 13.05.2025 προκειμένου να εκθέσει τις απόψεις της και να παράσχει απαντήσεις και διευκρινίσεις για το υπό κρίση θέμα.

Στην εν λόγω συνεδρίαση, η οποία πραγματοποιήθηκε μέσω τηλεδιάσκεψης, ήταν παρόντες εκ μέρους του υπευθύνου επεξεργασίας, ήτοι της ΕΛ.ΑΣ. οι Α, Αστυνομικός Υποδιευθυντής της Διεύθυνσης Οργάνωσης και Νομικής Υποστήριξης/Α.Ε.Α, Β, Αστυνόμος Β' της Διεύθυνσης Τροχαίας Αστυνόμευσης/Α.Ε.Α και Γ, Αστυνόμος Β' της Διεύθυνσης Τροχαίας Αστυνόμευσης/Α.Ε.Α. καθώς και ο Υπεύθυνος Προστασίας Δεδομένων της ΕΛ.ΑΣ., Δ. Οι παριστάμενοι, αφού απάντησαν στις ερωτήσεις του Προέδρου, του εισηγητή, των μελών και της βοηθού εισηγητού και ανέπτυξαν προφορικά τις απόψεις τους, έλαβαν προθεσμία υποβολής έγγραφου υπομνήματος προς περαιτέρω υποστήριξη των ισχυρισμών τους, το οποίο κατατέθηκε εμπροθέσμως, με το με αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/4518/26.05.2025 έγγραφο.

Στο υπόμνημά της η ΕΛ.ΑΣ. επαναλαμβάνει επί της ουσίας όσα είχαν αναφερθεί σε προηγούμενες έγγραφες απαντήσεις της προς την Αρχή περιγράφοντας το εν λόγω σύστημα ως δράση με τη χρήση σύγχρονων φορητών ηλεκτρονικών συσκευών τύπου «smart phone» οι οποίες, μέσω ενιαίας εφαρμογής/διεπαφής αναζητήσεων στις υφιστάμενες βάσεις δεδομένων, αριθμών πινακίδας κυκλοφορίας και στοιχείων εγγράφων, επιτυγχάνουν τη γρήγορη και ασφαλή αναζήτηση και ταυτοποίηση οχημάτων, προσώπων και αντικειμένων. Στόχος του έργου είναι η χρήση αυτών των φορητών συσκευών στο πλαίσιο διενέργειας αστυνομικών ελέγχων, με τις οποίες πραγματοποιείται, μεταξύ άλλων, η επαλήθευση της ταυτότητας των πολιτών που υπόκεινται σε επιτόπιο έλεγχο, προκειμένου να επιτευχθεί η μικρότερη δυνατή ταλαιπωρία και η εμπέδωση αισθήματος ασφάλειας των πολιτών. Το έργο περιλαμβάνει χίλιες (1000) συσκευές Samsung S10e dualsim, και πεντακόσιες (500) εξωτερικές συσκευές λήψης δακτυλικών αποτυπωμάτων. Οι προαναφερόμενες συσκευές smartphone διαθέτουν προεγκατεστημένες εφαρμογές και λογισμικά που αναπτύχθηκαν στο πλαίσιο του έργου. Για την υλοποίηση του έργου, συνήφθη η υπ' αριθ. 59/2019 μεικτή σύμβαση μεταξύ της Ελληνικής Αστυνομίας και του Οικονομικού Φορέα με την επωνυμία ΙΝΤΡΑΚΟΜ ΑΝΩΝΥΜΗ ΕΤΑΙΡΕΙΑ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΛΥΣΕΩΝ, η οποία υπογράφηκε την 5η Ιουνίου 2019 και προβλέπει την προμήθεια Συστημάτων Έξυπνης Αστυνόμευσης (Smart Policing) και την παροχή υπηρεσιών δικτυακής τηλεπικοινωνιακής διασύνδεσης μεταξύ άλλων με τον όρο οι παρεχόμενες υπηρεσίες να είναι σύμφωνες με τις τεχνικές προδιαγραφές της υπ' αριθ. 8/2018 Διακήρυξης του Αρχηγείου Ελληνικής Αστυνομίας και την από 15/6/2018 τεχνική προσφορά του Οικονομικού Φορέα. Αναφέρεται περαιτέρω, ότι «Σύμφωνα με τα διαλαμβανόμενα στην εν λόγω σύμβαση, μεταξύ άλλων, διαλαμβάνεται και όρος για τον ανάδοχο του έργου για πλήρη συμμόρφωση του σχεδιασμού του υλοποιούμενου έργου, με την υφιστάμενη Πολιτική Ασφάλειας Πληροφοριών και Πληροφοριακών Συστημάτων της Ελληνικής Αστυνομίας. Επιπλέον, εκπονήθηκε η «Έκθεση Τεκμηρίωσης Ασφάλειας» η οποία περιλαμβάνει αναγνώριση των πόρων (assets) του Έργου, των απειλών (threats) και του ρίσκου (risk) που αυτές επιφέρουν ως αποτίμηση της επικινδυνότητας (risk assessment), καθώς και τον τρόπο διαχείρισης αυτού (risk management), προτείνοντας τα κατάλληλα μέτρα και πρακτικές για όλες τις βασικές περιοχές ασφαλείας, με σκοπό τη διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πόρων του Έργου. Επιπλέον στην εν λόγω έκθεση προσδιορίζονται τα αναμενόμενα μέγιστα διαστήματα τήρησης δεδομένων (data retention). Καίτοι, η εν λόγω σύμβαση συνήφθη προ της εκδόσεως του ν. 4624/2019, με την υπ' αριθ. … από 15.11.2022 Απόφαση κ. Προϊσταμένου Επιτελείου/Α.Ε.Α., όπως τροποποιήθηκε με την υπ' αριθ. … από 28.11.2022 όμοια, συγκροτήθηκε ομάδα εργασίας με αντικείμενο τη διενέργεια εκτιμήσεως αντικτύπου σχετικά με την προστασία δεδομένων (εφεξής, ΕΑΠΔ). Η προαναφερόμενη ομάδα εργασίας ολοκλήρωσε τις εργασίες της με την κατάρτιση της από 30.01.2023 ΕΑΠΔ. Ακολούθως η προρρηθείσα ΕΑΠΔ υπεβλήθη στον Υπεύθυνο Προστασίας Δεδομένων στην Ελληνική Αστυνομία (εφεξής ΥΠΔ) προκειμένου να διατυπώσει σχόλια και παρατηρήσεις επί αυτής. Για την ανωτέρω ΕΑΠΔ, εκδόθηκαν από τον ΥΠΔ το υπ' αριθ. … από 23.12.2022 έγγραφο και το από 20.01.2023 όμοιο».

Στο υπόμνημα επαναλαμβάνεται ότι η λειτουργία των συσκευών τύπου smartphone και των δεδομένων, τα οποία είναι αντικείμενο διαχείρισης και χρησιμοποιούνται για την προσπέλαση των δυνατοτήτων του έργου, προστατεύονται από ειδικό λογισμικό σύμφωνα με τις προδιαγραφές του υποσυστήματος ασφαλούς διασύνδεσης και διαχείρισης έξυπνων φορητών συσκευών του Τεύχους Τεχνικών Προδιαγραφών, παραμετροποιημένο σύμφωνα με την υπ΄ αριθ. … από 4.11.2019 Μελέτη εφαρμογής του έργου, ότι για τις λειτουργίες των ανωτέρω συσκευών έχουν σχεδιαστεί διακριτοί ρόλοι χρηστών, οι οποίοι ενεργοποιούνται μετά από σχετική εξουσιοδότηση, ανάλογα με τις ανάγκες της εκάστοτε αρμόδιας Υπηρεσίας που τα χρησιμοποιεί (π.χ. Υπηρεσίες Τροχαίας, Αστυνόμευσης κ.λπ.), ότι τα βιομετρικά δεδομένα (δακτυλικό αποτύπωμα και φωτογραφία προσώπου) που υπόκεινται σε επεξεργασία για λόγους επαλήθευσης της ταυτότητας του ελεγχόμενου προσώπου, η οποία πραγματοποιείται με τη χρήση της φορητής συσκευής, αντιπαραβάλλονται άμεσα με την Εθνική Βάση Δακτυλικών Αποτυπωμάτων και το αντίστοιχο φωτογραφικό αρχείο της Δ/νσης Εγκληματολογικών Ερευνών (Εθνική Εγκληματολογική Υπηρεσία της Χώρας), αντίστοιχα και δεν αποθηκεύονται σε υφιστάμενη βάση του συστήματος, αλλά απορρίπτονται άμεσα με την ολοκλήρωση της ροής εργασίας ταυτοποίησης και ότι εφαρμόζεται η λειτουργία καταγραφής ενεργειών χρηστών (user actions logging), ενώ αναφορικά με την εν γένει υλοποίηση και χρήση του, έχει αναπτυχθεί σύμφωνα με τα οριζόμενα με την ισχύουσα "Πολιτική Ασφάλειας Πληροφοριών και Πληροφοριακών Συστημάτων" της Ελληνικής Αστυνομίας. Επισημαίνεται δε, ότι το έργο Smart Policing αποτελεί δράση, στην οποία συνεχώς εντάσσονται νέες λειτουργίες στο πλαίσιο της ψηφιοποίησης των διοικητικών διαδικασιών, και ότι από το Φορέα εκδηλώνονται ενέργειες αναθεώρησης και επικαιροποίησης των λειτουργιών του έργου με συνεχή βελτίωση των τεχνικών και οργανωτικών μέτρων, ενώ επακόλουθα επίκειται η επικαιροποίηση των σχετικών εκθέσεων του έργου, μεταξύ των οποίων και της ΕΑΠΔ.

Η ΕΛ.ΑΣ. απέστειλε μαζί με το υπόμνημα αντίγραφο της διενεργηθείσας ΕΑΠΔ, στην οποία γίνεται αναφορά, καθώς και αντίγραφα εγγράφου της ΕΛ.ΑΣ. που διαλαμβάνει ζητήματα σχετικά με την υπό εκπόνηση εκτίμηση αντικτύπου προσωπικών δεδομένων σχετικά με το σύστημα «έξυπνης αστυνόμευσης», καθώς και έγγραφο του ΥΠΔ της ΕΛ.ΑΣ. που περιλαμβάνει παρατηρήσεις επί της προαναφερόμενης ΕΑΠΔ.

Η Αρχή, έπειτα από εξέταση των στοιχείων του φακέλου και όσων προέκυψαν από την ενώπιόν της ακροαματική διαδικασία και το υπόμνημα του υπεύθυνου επεξεργασίας, με τα συμπληρωματικά έγγραφα αυτού, αφού άκουσε τους εισηγητές και τις διευκρινίσεις από τους βοηθούς εισηγητή, οι οποίοι παρέστησαν χωρίς δικαίωμα ψήφου, κατόπιν διεξοδικής συζητήσεως,

ΣΚΕΦΤΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ

1. Από τις διατάξεις του άρθρου 9 και του άρθρου 13 παρ. 1 στοιχ. α’ και η’ του ν. 4624/2019 (ΦΕΚ Α΄ 137) προκύπτει ότι η Αρχή έχει το καθήκον και την εξουσία να παρακολουθεί και να επιβάλλει την εφαρμογή των διατάξεων του ΓΚΠΔ, του προαναφερθέντος νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου από την επεξεργασία προσωπικών δεδομένων, καθώς και να διενεργεί αυτεπαγγέλτως έρευνες ή/και ελέγχους για την εφαρμογή του νόμου 4624/2019.

2. Στο άρθρο 43 του Κεφαλαίου Δ’ του ν. 4624/2019 προβλέπεται ότι «1. Οι διατάξεις του παρόντος Κεφαλαίου ρυθμίζουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. 2. Το παρόν Κεφάλαιο εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές για τους σκοπούς που καθορίζονται στην παρ. 1.»

3. Στο άρθρο 44 του ιδίου νόμου ορίζεται ότι: «Για τους σκοπούς του παρόντος Κεφαλαίου νοούνται ως: α) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»), το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·

β) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή

ιβ) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα».

4. Στο άρθρο 45 παρ. 1 του νόμου 4624/2019 προβλέπονται οι αρχές της επεξεργασίας και μεταξύ άλλων, σύμφωνα με το στοιχ. α’ της παρ. 1 «Τα δεδομένα προσωπικού χαρακτήρα πρέπει να: α) υποβάλλονται σε σύννομη και δίκαιη επεξεργασία β) συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς γ) είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία». Περαιτέρω, σύμφωνα με την αρχή της λογοδοσίας που ορίζεται ρητώς στην δεύτερη παράγραφο του ιδίου άρθρου «ο υπεύθυνος επεξεργασίας οφείλει να είναι σε θέση να αποδείξει την τήρηση των υποχρεώσεων του, σύμφωνα με την προηγούμενη παράγραφο 1 («λογοδοσία»)». Η αρχή αυτή συνεπάγεται την υποχρέωση του υπευθύνου επεξεργασίας να δύναται να αποδείξει συμμόρφωση με τις αρχές του άρθ. 45 παρ. 1.

5. Σύμφωνα με το άρθρο 45Α του προαναφερθέντος νόμου το οποίο αφορά τη νομιμότητα της επεξεργασίας: «1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη μόνον εάν βασίζεται στον νόμο ή στο δίκαιο της Ένωσης και είναι απαραίτητη για την εκτέλεση καθήκοντος που ασκείται από τις αρμόδιες αρχές για τους σκοπούς που προβλέπονται στο άρθρο 43. 2. Οι κατά την παρ. 1 ειδικές ρυθμίσεις που περιλαμβάνουν τη νομική βάση για την επεξεργασία από τις αρμόδιες αρχές για τους σκοπούς που ορίζονται στο άρθρο 43, καθορίζουν τουλάχιστον τους σκοπούς της επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τους σκοπούς της επεξεργασίας, τις διαδικασίες για τη διατήρηση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα, καθώς και την αρχή ή τις αρχές που είναι αρμόδιες, δυνάμει των καθηκόντων που τους έχουν κατά νόμο ανατεθεί, να προβούν σε αυτήν την επεξεργασία.»

6. Σύμφωνα με το άρθρο 46 του ν. 4624/2019, το οποίο αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα: «Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων για την αποκλειστική ταυτοποίηση ενός φυσικού προσώπου ή δεδομένων που αφορούν στην υγεία ή τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό, επιτρέπονται μόνο όταν είναι απολύτως αναγκαίες για την επίτευξη των σκοπών του άρθρου 43 και εφόσον: α) προβλέπονται ρητά από τον νόμο ή το δίκαιο της Ένωσης και β) επιβάλλονται για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, ή γ) η επεξεργασία αυτή αφορά σε δεδομένα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων. 2. Όταν η επεξεργασία αφορά στις ειδικές κατηγορίες δεδομένων της παρ. 1, εφαρμόζονται κατάλληλες διασφαλίσεις για την προστασία του υποκειμένου των δεδομένων, όπως: α) ειδικές προδιαγραφές και απαιτήσεις για την ασφάλεια και για τον έλεγχο επεξεργασίας, β) συγκεκριμένες και σύντομες προθεσμίες εντός των οποίων επανεξετάζεται και τεκμηριώνεται η αναγκαιότητα της περαιτέρω τήρησης των εν λόγω δεδομένων, γ) μέτρα για την ευαισθητοποίηση των προσώπων που συμμετέχουν στην επεξεργασία των δεδομένων, δ) περιορισμοί στην πρόσβαση στα εν λόγω δεδομένα εντός της αρμόδιας αρχής, ε) τήρηση και επεξεργασία των ειδικών κατηγοριών δεδομένων κατά τρόπο διακριτό από την επεξεργασία άλλων κατηγοριών δεδομένων, στ) ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα που ανήκουν στις ειδικές κατηγορίες, εφόσον αυτό δεν παρεμποδίζει την επίτευξη του σκοπού της επεξεργασίας, ζ) κρυπτογράφηση των δεδομένων, η) ειδικές διαδικαστικές ρυθμίσεις που διασφαλίζουν τη νόμιμη επεξεργασία και την προστασία των δικαιωμάτων των προσώπων σε περίπτωση διαβίβασης ή επεξεργασίας των δεδομένων αυτών για άλλους σκοπούς.».

7. Σύμφωνα με το άρθρ. 65 του ίδιου νόμου που αφορά την εκτίμηση αντικτύπου της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα «1. Εάν μια μορφή επεξεργασίας, ιδίως όταν χρησιμοποιούνται νέες τεχνολογίες, ενδέχεται να δημιουργήσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα των ενδιαφερομένων λόγω της φύσης, του πεδίου εφαρμογής, των συνθηκών και των σκοπών της επεξεργασίας, ο υπεύθυνος επεξεργασίας αξιολογεί πρώτα τις συνέπειες της εκτέλεσης της επεξεργασίας για τα υποκείμενα των δεδομένων. 2. Για τη διερεύνηση παρόμοιων πράξεων επεξεργασίας με παρόμοιες δυνατότητες σημαντικού κινδύνου, μπορεί να διεξαχθεί κοινή εκτίμηση αντίκτυπου για την προστασία των δεδομένων προσωπικού χαρακτήρα. 3. Η εκτίμηση αντικτύπου λαμβάνει υπόψη τα δικαιώματα του υποκειμένου που επηρεάζονται από την επεξεργασία και πρέπει να περιέχει τουλάχιστον τα ακόλουθα: α) συστηματική περιγραφή των προβλεπόμενων πράξεων και σκοπών της επεξεργασίας· β) εκτίμηση της αναγκαιότητας και αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους επιδιωκόμενους σκοπούς· γ) εκτίμηση των κινδύνων για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων· και δ) τα μέτρα που πρέπει να ληφθούν για την αντιμετώπιση των υφιστάμενων κινδύνων, συμπεριλαμβανομένων των εγγυήσεων, των διασφαλίσεων και των διαδικασιών για την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και για την απόδειξη της συμμόρφωσης με τις νομικές απαιτήσεις. 4. Όταν κρίνεται απαραίτητο, ο υπεύθυνος επεξεργασίας ελέγχει κατά πόσον η επεξεργασία ακολουθεί τις απαιτήσεις που προέκυψαν από την εκτίμηση αντικτύπου.»

8. Τα άρθρα 6-8 του ν. 4624/2019 προβλέπουν τον ορισμό, τη θέση και τα καθήκοντα του ΥΠΔ σε δημόσιους φορείς . Ειδικότερα, στο άρθρο 7 προβλέπεται ότι «1. Ο δημόσιος φορέας διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων μετέχει, δεόντως και έγκαιρα, σε όλα τα ζητήματα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.» και στο άρθρο 8 ότι: «1. Επιπλέον των καθηκόντων του σύμφωνα με τον ΓΚΠΔ, ο ΥΠΔ έχει τουλάχιστον τα ακόλουθα καθήκοντα:…γ) να παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου για την προστασία των δεδομένων προσωπικού χαρακτήρα και παρακολουθεί την εφαρμογή της σύμφωνα με το άρθρο 65.».

9. Στα άρθρα 27-29 του ΠΔ 342/1977 ορίζονται τα εξής: «Άρθρον 27 Υποκείμενοι είς εγκληματολογικήν Σήμανσιν

1. Είς εγκληματολογικήν σήμανσιν ήτοι: δακτυλοσκόπησιν, ανθρωπομέτρησιν, περιγραφήν και φωτογράφησιν υπόκειται πάν άτομον:

α) Νομίμως συλλαμβανόμενον, προφυλακιζόμενον, καταδικαζόμενον, φυλακιζόμενον, ή καθ΄ ού απαγγέλλεται κατηγορία υπό της κατά νόμον Αρχής, εφ΄ οιωδήποτε εγκλήματι είς βαθμόν κακουργήματος ή πλημμελήματος ανεξαρτήτως του τόπου διαπράξεως και του βαθμού συμμετοχής είς το τελεσθέν ή αποπειραθέν έγκλημα.

β) Καταδικασθέν υπό αλλοδαπού ποινικού δικαστηρίου, διά πράξιν χαρακτηριζομένην και υπό των Ελληνικών ποινικών νόμων ώς κακούργημα ή πλημμέλημα, εφ΄ όσον η καταδίκη ανεκοινώθη επισήμως τη Διευθύνσει διά των Εθνικών Κεντρικών Γραφείων των Χωρών - μελών της INTERPOL ή διά της διπλωματικής οδού.

γ) Αθωωθέν ή απαλλαγέν της επί κακουργήματι ή πλημμελήματι κατηγορίας, άν η σχετική απόφασις επέβαλεν αυτώ ασφαλιστικά, αναμορφωτικά ή θεραπευτικά μέτρα, ώς και άν η αθώωσις ή η απαλλαγή εγένετο ένεκεν εμπράκτου μετανοίας ή ένεκα λόγου αποκλείοντος τον καταλογισμόν, ώς επίσης και πάν πρόσωπον περί ού εξεδόθη απαλλακτικόν βούλευμα, διά τους αυτούς ώς άνω λόγους.

δ) Απελαυνόμενον διά δικαστικής ή διοικητικής αποφάσεως.

ε) Εκτοπιζόμενον διοικητικώς, κατ΄ εφαρμογήν των κειμένων νόμων, έστω και άν δεν εξεδόθη κατ΄ αυτού καταδικαστική απόφασις.

στ) Διωκόμενον ή αναζητούμενον, διά των δελτίων εγκληματολογικών αναζητήσεων, και συλλαμβανόμενον.

ζ) Εισερχόμενον ώς φυγάς έν τη Χώρα.

η) Ρέπον καθ΄ έξιν είς άτακτον βίον και χαρακτηριζόμενον υπό των Αστυνομικών Αρχών ώς ύποπτον τελέσεως εγκλήματος.

θ) Αιτούμενον εγγράφως την σήμανσίν του και εφ΄ όσον συντρέχουν σοβαροί πρός τούτο λόγοι.

ι) Συλλαμβανόμενον ή καταδικαζόμενον διά τάς παραβάσεις των άρθρων 413, 415, 422, 423, 424, 446, 447, 448, 449, 450, 454 και 456 του Ποινικού Κώδικος και του άρθρου 98 του Ν.Δ. 3030/54 "περί Αγροφυλακής".

2. Πάντως των κατά τά ανωτέρω υποβαλλομένων είς εγκληματολογικήν σήμανσιν ατόμων τηρείται, υπό της ενεργησάσης τήν σήμανσιν Εγκληματολογικής Υπηρεσίας των προϊσταμένων ταύτης Κλιμακίων και της Δ.Ε.Υ., ατομικός φάκελος, δακτυλοσκοπικόν δελτίον έν τη δεκαδακτυλική συλλογή και φωτογραφία έν τω οικείων αρχείω.

3. Εγκληματολογική σήμανσις των διά πολιτικά και κοινωνικά εγκλήματα κατηγορουμένων επιτρέπεται μόνον τή εντολή ή αδεία της αρμοδίας Ανακριτικής ή Εισαγγελικής Αρχής.

4. Τα υποκείμενα είς εγκληματολογικήν σήμανσιν άτομα και αρνούμενα ταύτην διώκονται και τιμωρούνται κατά τάς διατάξεις του άρθρου 225 παρ. 2 του Ποινικού Κώδικος.

Αρθρον 28 Υποβαλλόμενοι μόνον είς δακτυλοσκόπησιν και φωτογράφησιν

Είς μόνην δακτυλοσκόπησιν και φωτογράφησιν υποβάλλονται:

α) Τα άτομα, ών ή ταυτότης είναι άγνωστος και δέν δύναται άλλως να εξακριβωθή.

Η πρός τούτο διαταγή εκδίδεται υπό του επιληφθέντος της εξακριβώσεως της ταυτότητος Διοικητικού Αξιωματικού της Χωροφυλακής ή της Αστυνομίας Πόλεων. Τά ούτω λαμβανόμενα στοιχεία σημάνσεως μετά την ενέργειαν των δεόντων, πρός εξακρίβωσιν της ταυτότητος και την διακρίβωσιν, ότι δεν ανήκουν είς σεσημασμένα ή καταζητούμενα άτομα, καταστρέφονται αυτεπαγγέλτως.

β) Πάν πτώμα έκ των υποκειμένων είς νεκροψίαν ή νεκροτομήν πρός εξακρίβωσιν της ταυτόητος τούτου, ή εκμετάλλευσιν των στοιχείων σημάνσεως υπό των Εγκληματολογικών Υπηρεσιών και καταστροφήν των τυχόν παρ΄ αυταίς τοιούτων.

Αρθρον 29 Υποβαλλόμενοι μόνον είς Δακτυλοσκόπησιν

1. Είς μόνην δακτυλοσκόπησιν υποβάλλονται:

α) Οι αιτούμενοι τήν έκδοσιν πιστοποιητικού ανεπιλήπτου διαγωγής.

β) Οι δεδικαιολογημένως παρευρεθέντες είς τόν τόπον τελέσεως εγκλήματος (παθόντες κ.λ.π.), ών η δακτυλοσκόπησις αποσκοπεί είς την σύγκρισιν τών είς αυτούς ανηκόντων αποτυπωμάτων, πρός τα των ανευρεθέντων τοιαύτα είς τον τόπον του εγκλήματος.

γ) Οι θεωρούμενοι ώς ύποπτοι τελέσεως εγκληματικής πράξεως.

2. Τα κατά την προηγουμένην παράγραφον λαμβανόμενα δακτυλοσκοπικά δελτία, μετά την κατ΄ αντιπαραβολήν εξέτασίν των:

α) Τα του εδαφίου α΄ επιστρέφονται είς την δεχθείσαν τήν αίτησιν Αρχήν.

β) Τα των εδαφίων β΄ και γ΄ καταστρέφονται αυτεπαγγέλτως, μετά την ενέργειαν της ενδεδειγμένης κατ΄ αντιπαραβολήν εξετάσεως και συγκρίσεως.»

10. Στην υπό εξέταση υπόθεση, από το σύνολο των στοιχείων του φακέλου και των όσων προέκυψαν από την ακροαματική διαδικασία διαπιστώνεται ότι δεν υφίσταται η απαιτούμενη νομική βάση για την επεξεργασία που συνεπάγεται η χρήση του επίμαχου συστήματος.

Σχετικώς σημειώνεται ότι το προαναφερόμενο άρθρο 45Α του ν. 4624/2019 προστέθηκε με το άρθρο 38 ν. 5002/22 μετά την κίνηση από την Ευρωπαϊκή Επιτροπή διαδικασίας παραπομπής κατά της Ελλάδας τον Απρίλιο του 2022 με την από 06.4.2022 προειδοποιητική επιστολή[1] για παραβίαση του ενωσιακού δικαίου εξαιτίας της μη ενσωμάτωσης σειράς άρθρων της Οδηγίας (ΕΕ) 2016/680, ανάμεσα σε άλλα και του άρθρου 8[2]. Το άρθρο 45Α παρ. 1 ν. 4624/2019 όμως παρέχει την γενική νομοθετική βάση θέσπισης ειδικών ρυθμίσεων για την επεξεργασία προσωπικών δεδομένων[3] προς διακρίβωση εγκλημάτων στο πλαίσιο ποινικής διαδικασίας. Επομένως, η διάταξη του άρθρου αυτού δεν συνιστά αυτοτελώς ειδική εθνική ρύθμιση αλλά την γενική πρόβλεψη θέσπισης μιας ειδικής εθνικής ρύθμισης, όπως π.χ. εκείνης που προβλέπεται στην ειδική περίπτωση του άρθρου 201 ΚΠΔ για την επιτρεπτή επεξεργασία DNA[4] ή για την κατ’ άρθρο 284 ΚΠΔ ηλεκτρονική επιτήρηση στο πλαίσιο κατ’ οίκον περιορισμού ως περιοριστικού όρου[5]. Η δε ειδική εθνική ρύθμιση που θα θεσπισθεί κατά τα προβλεπόμενα με την παρ. 1 του άρθρου 45Α του ν. 4624/2019, πρέπει να περιλαμβάνει τα προβλεπόμενα από την παρ. 2 του ίδια άρθρου στοιχεία.

Επομένως, για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για την επίτευξη των σκοπών του άρθρου 43 παρ. 1 ν. 4624/2019 απαιτείται, με βάση την αρχή της νομιμότητας, η οποία κατοχυρώνεται από το άρθρο 45Α του ν 4624/2019 στο πλαίσιο της Οδηγίας (ΕΕ) 2016/680, η πρόβλεψη της σε τυπικό νόμο[6], όπου θα προβλέπονται ουσιαστικές και διαδικαστικές προϋποθέσεις και εγγυήσεις, όπως, μεταξύ άλλων, η άσκηση των δικαιωμάτων των υποκειμένων, οι σκοποί της επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία και ο χρόνος τήρησης και διαγραφής των δεδομένων[7], όπως αναφέρεται και στην υπ’ αρ. 4/2024 Γνωμοδότηση της Αρχής αναφορικά με την εγκατάσταση συστήματος επιτήρησης της Ελληνικής Αστυνομίας[8].

Περαιτέρω, σύμφωνα με την παρ. 1 του άρθρου 46 του ν. 4624/2019, για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, μεταξύ των οποίων περιλαμβάνονται τα βιομετρικά δεδομένα, απαιτείται ρητή πρόβλεψη σε νόμο. Εν προκειμένω, η ΕΛ.ΑΣ. επικαλείται τις διατάξεις των άρθρων 27-29 του ΠΔ 342/1977, οι οποίες όμως αφενός αναφέρονται σε κατηγορούμενους, συλληφθέντες, καταδικασθέντες καθώς και σε άτομα πέραν τούτων, των οποίων η ταυτότητα δεν είναι δυνατόν να εξακριβωθεί με άλλον τρόπο, υπό την προϋπόθεση ωστόσο ότι εκδίδεται διαταγή από τον αρμόδιο για την εξακρίβωση της ταυτότητος «Διοικητικού Αξιωματικού της Χωροφυλακής ή της Αστυνομίας Πόλεων» και αφετέρου αποτελούν ιδιαιτέρως παλαιές και ανεπίκαιρες ρυθμίσεις, που προφανώς δεν καταλαμβάνουν την έννοια των βιομετρικών δεδομένων και δη της λήψης βιομετρικών φωτογραφιών υπό το φως της νομοθεσίας για την προστασία προσωπικών δεδομένων και δεν μπορούν, ως εκ τούτου, να αποτελέσουν την αναγκαία νομική βάση για την σκοπούμενη επεξεργασία, με την οποία, επομένως, παραβιάζεται η θεμελιώδης αρχή της νομιμότητας, δεδομένου ότι, με βάση τα προρρηθέντα, η νομιμότητα της επεξεργασίας αυτής προϋποθέτει, όπως προβλέπεται και στα άρθρα 45Α και 46 του ν. 4624/2019, τη θέσπιση ειδικής εθνικής ρύθμισης, περιέχουσα ως ελάχιστο περιεχόμενο τα στοιχεία της παρ. 2 του εν λόγω άρθρου 45Α.

Επισημαίνεται, εξάλλου, ότι κατά την ακροαματική διαδικασία ενώπιον της Αρχής ο εκπρόσωπος της ΕΛ.ΑΣ. υποστήριξε ότι το σύστημα, καίτοι τέθηκε σε πιλοτική λειτουργία για μικρό χρονικό διάστημα, επί του παρόντος δεν χρησιμοποιείται, αλλά ο ισχυρισμός αυτός δεν περιέχεται στο προσκομισθέν υπόμνημα με αποτέλεσμα να παραμένει αμφιβολία για την εν δυνάμει παράνομη επεξεργασία από τυχόν παραγωγική λειτουργία του συστήματος.

12. Αναφορικά με τη διενέργεια της απαιτούμενης ΕΑΠΔ, η ΕΛ.ΑΣ. αφού προσκόμισε στην Αρχή αντίγραφο αυτής υποστήριξε ότι διενεργήθηκε μόλις το 2023 με ενεργή συμμετοχή του ΥΠΔ και όχι κατά το χρονικό διάστημα της προμήθειας της σύμβασης καθώς το κρίσιμο χρονικό διάστημα της προμήθειας δεν είχε εκδοθεί ο νόμος 4624/2019 για την προστασία προσωπικών δεδομένων που ενσωμάτωσε την Οδηγία (ΕΕ) 2016/680. Δεδομένου όμως ότι ο ν. 4624/2019, με τον οποίο ενσωματώθηκε η οδηγία (ΕΕ) 2016/680, τέθηκε σε ισχύ στις 29.08.2019 (και ανεξαρτήτως του ότι η προθεσμία που είχε οριστεί για τη μεταφορά της στην εθνική έννομη τάξη είχε λήξει στις 25.05.2018), η ΕΛ.ΑΣ. είχε την υποχρέωση, σύμφωνα με το άρθρο 65 του ανωτέρω νόμου, να διενεργήσει ΕΑΠΔ τουλάχιστον από την ανωτέρω ημερομηνία έναρξης ισχύος του νόμου αυτού, όπως άλλωστε ενημερώθηκε από την Αρχή και έπραξε εκ των υστέρων με καθυστέρηση. Με τα δεδομένα αυτά, προκύπτει παράβαση του εν λόγω άρθρου, εν όψει όμως του γεγονότος ότι η επεξεργασία περιορίστηκε σε πιλοτική εφαρμογή χωρίς να προκύπτει ζημία για υποκείμενα των δεδομένων, η Αρχή κρίνει ότι δεν συντρέχει περίπτωση επιβολής της κύρωσης του διοικητικού προστίμου που προβλέπεται με το εφαρμοστέο στην παρούσα υπόθεση άρθρο 82 του ν. 4624/2019.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ

Η Αρχή απευθύνει σύμφωνα με την παρ. 4 στοιχ. α’ άρθρο 15 του ν. 4624/2019 προειδοποίηση για τη μη ενεργοποίηση του Σύστηματος για την Έξυπνη Αστυνόμευση δεδομένου ότι με το υφιστάμενο νομικό πλαίσιο τυχόν παραγωγική λειτουργία του συστήματος, θα συνιστούσε παράνομη επεξεργασία προσωπικών δεδομένων και θα παραβίαζε τις διατάξεις του προαναφερθέντος νόμου.

Ο Πρόεδρος

Κωνσταντίνος Μενουδάκος

Η Γραμματέας

Ειρήνη Παπαγεωργοπούλου

[1] INFR(2022)2021 C(2022) 1666 final

[2] Σχετικά βλ. European Commission, Communication from the Commission to the European Parliament and the Council, First report on application and functioning of the Data Protection Law Enforcement Directive (EU) 2016/680 (‘LED’), COM(2022) 364 final, σελ. 9 υποσημ. 39 και αιτιολογική έκθεση ν. 5002/22.

[3] Βλ. ΑΠΔΠΧΠ Γνμδ 1/2020, Γνμδ 3/2020.

[4] Αναλυτικά για την διασταύρωση και την υποχρέωση παράλληλης εφαρμογής των προϋποθέσεων διενέργειας των κατ’ ιδίαν ανακριτικών πράξεων προς εκείνων που προβλέπονται από το κεφάλαιο Δ’ του ν. 4624/2019 βλ. σε Γ. Τσόλια, Επεξεργασία προσωπικών δεδομένων στο πλαίσιο ποινικοδικονομικών ερευνών: η ανάλυση γενετικών δεδομένων (DNA) για την διακρίβωση εγκλημάτων υπό το πρίσμα του ενωσιακού δικαίου (με αφορμή την ΔΕΕ C-205/21), ΠοινΔικ 2024, 10 επ., ιδίως 15 επ., 22 επ.

[5] Σχετική η με αρ. πρωτ. 369/23.01.2024 Γνωμοδότηση – «Παρατηρήσεις σε σχέδιο διατάξεων ΠΚ και ΚΠΔ» προς το Υπουργείο Δικαιοσύνης σχετικά με την τροποποίηση των διατάξεων των άρ. 284 ΚΠΔ επ. και ιδίως του άρ. 288 ΚΠΔ για την ηλεκτρονική επιτήρηση υποδίκων και καταδίκων στο πλαίσιο επιβολής περιοριστικών όρων, η οποία υιοθετήθηκε.

[6] Βλ. Ν. 5002/2022 Διαδικασία άρσης του απορρήτου των επικοινωνιών, κυβερνοασφάλεια και προστασία προσωπικών δεδομένων πολιτών, άρθρο 13: «Προμήθεια λογισμικών και συσκευών παρακολούθησης από το Δημόσιο. Με προεδρικό διάταγμα, που εκδίδεται εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, μετά από πρόταση των Υπουργών Προστασίας του Πολίτη, Εθνικής Άμυνας, Δικαιοσύνης και Ψηφιακής Διακυβέρνησης, καθορίζονται οι προϋποθέσεις υπό τις οποίες είναι επιτρεπτή η σύναψη συμβάσεων εκ μέρους κρατικών δομών για την προμήθεια λογισμικών ή συσκευών παρακολούθησης του άρθρου 370ΣΤ του Ποινικού Κώδικα για την εκπλήρωση των σκοπών τους, καθώς και επιπρόσθετοι όροι της χρήσης τους».

[7] Πρβλ. Απόφαση ί-548/21 ΔΕΕ, σκ. 123 «[...] τα άρθρα 13 και 54 της οδηγίας 2016/680, ερμηνευόμενα υπό το πρίσμα του άρθρου 47 και του άρθρου 52, παράγραφος 1, του Χάρτη, έχουν την έννοια ότι αντιτίθενται σε εθνική ρύθμιση η οποία επιτρέπει στις αρμόδιες αρχές να επιχειρήσουν να αποκτήσουν πρόσβαση σε δεδομένα που περιέχονται σε κινητό τηλέφωνο χωρίς να ενημερώσουν το υποκείμενο των δεδομένων, στο πλαίσιο των εφαρμοστέων εθνικών διαδικασιών, για τους λόγους στους οποίους στηρίζεται η χορηγηθείσα από δικαστή ή ανεξάρτητη διοικητική αρχή άδεια πρόσβασης στα δεδομένα, αφ’ ης στιγμής δεν υπάρχει πλέον πιθανότητα η ενημέρωση αυτή να θέσει σε κίνδυνο τα καθήκοντα που έχουν οι ως άνω αρμόδιες αρχές βάσει της οδηγίας».

[8] Βλ. Γνωμοδότηση 4/2024 της ΑΠΔ για το σύστημα επιτήρησης για την αποτροπή και καταστολή αξιόποινων πράξεων και τη διαχείριση της κυκλοφορίας για τις ανάγκες της Γ.Α.Δ.Α., σκ. 12.