Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα δημοσίευσε τη Γνωμοδότησή της 1/2024 επί του σχεδίου Προεδρικού Διατάγματος για τη ρύθμιση ειδικότερων ζητημάτων σχετικά με τον Προσωπικό Αριθμό των πολιτών.
Ο Προσωπικός Αριθμός του Πολίτη, θα είναι ο ΑΦΜ μας συν τρία ακόμα ψηφία, ένα γράμμα και δύο αριθμοί, που θα τα επιλέγει ο ίδιος ο πολίτης σε ειδική πλατφόρμα στο gov.gr.
Ο Προσωπικός Αριθμός (ΠΑ) των πολιτών θα είναι υποχρεωτικός για τις συναλλαγές με το δημόσιο, δηλαδή όταν οι πολίτες επισκέπτονται π.χ. κάποιον γιατρό, θα δίνουν τον προσωπικό τους αριθμό και εκείνος θα εντοπίζει τον ΑΜΚΑ για να τους γράψει τα φάρμακα ή το παραπεμπτικό της εξέτασης
Η Γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα χωρίζεται σε δύο επιμέρους ενότητες.
Στην πρώτη ενότητα, η Αρχή καταθέτει γενικές παρατηρήσεις επί της λειτουργίας και αποστολής του Προσωπικού Αριθμού και επί γενικότερων ζητημάτων νομιμότητας, ενώ στη δεύτερη ενότητα προχωρά σε ειδικότερες επισημάνσεις επί των διατάξεων του σχεδίου ΠΔ.
Στις γενικές παρατηρήσεις που διατυπώνει η Αρχή, περιλαμβάνονται τα εξής:
1. Ως προς τη σχεδιαστική επιλογή και αρχιτεκτονική του συστήματος, η Αρχή παρατηρεί πως αυτή έχει ως συνέπεια «τη συγκέντρωση, σ’ ένα κεντρικό σημείο, δεδομένων όπως το ονοματεπώνυμο, πατρώνυμο, μητρώνυμο, τόπος γέννησης, αλλά και όλων των τομεακών αναγνωριστικών τα οποία χρησιμοποιούν οι πολίτες για διαφορετικούς σκοπούς σε διαφορετικούς τομείς (Αριθμός Φορολογικού Μητρώου, Αριθμός Δελτίου Ταυτότητας, Αριθμός Μητρώου Κοινωνικής Ασφάλισης)».
Η Αρχή επισημαίνει πως θα μπορούσε ενδεχομένως να έχει εξεταστεί μια διαφορετική αρχιτεκτονική, βάσει της οποίας δεν θα ήταν αναγκαία η τήρηση όλων των επιμέρους τομεακών αναγνωριστικών στο κεντρικό μητρώο του Προσωπικού Αριθμού, «εάν τα προσωπικά δεδομένα «όνομα – επώνυμο – πατρώνυμο – μητρώνυμο – ημερομηνία/γέννησης – τόπος γέννησης» ήταν επικαιροποιημένα σε όλα τα επιμέρους μητρώα».
2. Ως προς τον σκοπό της επεξεργασίας, ο οποίος συνίσταται στην επαλήθευση ταυτότητας των φυσικών προσώπων προς τους φορείς του δημοσίου τομέα, δια της αντιστοίχισης του Προσωπικού Αριθμού με τους αναγνωριστικούς αριθμούς των επιμέρους μητρώων του κάθε δημοσίου φορέα, χωρίς ο αριθμός αυτός να τηρείται στα επιμέρους μητρώα, η Αρχή διατυπώνει τη γνώμη πως, βάσει του σκοπού αυτού, «η επεξεργασία που αφορά το μητρώο του ΠΑ πληροί τις αρχές επεξεργασίας του άρθρου 5 παρ. 1 του ΓΚΠΔ». Παράλληλα όμως, η Αρχή επισημαίνει πως ο εν λόγω σκοπός θα πρέπει να παραμείνει και στο μέλλον ως ο μοναδικός σκοπός επεξεργασίας, διαφορετικά θα απαιτηθεί νομοθετική ρύθμιση και εκ νέου αξιολόγηση της νομιμότητας της επεξεργασίας.
3. Ως προς την απουσία πρόβλεψης για αναγραφή του Προσωπικού Αριθμού σε δημόσιο έγγραφο, η Αρχή «αξιολογεί ως επαρκές το επίπεδο προστασίας της χρήσης του ΠΑ ως δεδομένου προσωπικού χαρακτήρα στο πλαίσιο της παραπάνω αναφερόμενης επεξεργασίας (τήρηση της αρχής της ελαχιστοποίησης), με την παραδοχή ότι δεν αναγράφεται σε κάποιο δημόσιο έγγραφο».
4. Ως προς την ανάγκη τήρησης πολλαπλών τομεακών αναγνωριστικών από δημόσιους φορείς, μετά την καθιέρωση του Προσωπικού Αριθμού (και μετά την ορθή λειτουργία του μητρώου αυτού και των συναφών διαδικασιών διαλειτουργικότητας), η Αρχή επισημαίνει πως η ανάγκη αυτή παύει, καθώς άλλωστε η τυχόν τήρηση πέραν του ενός τομεακού αναγνωριστικού θα προσέκρουε στην αρχή της ελαχιστοποίησης.
Προς τούτο, η Αρχή προτείνει την πρόβλεψη στον μακροπρόθεσμο σχεδιασμό αφενός περί της προσαρμογής των μητρώων του Δημοσίου στη λογική της τήρησης ενός και μόνο τομεακού αναγνωριστικού ανά φορέα, αφετέρου περί του αποκλεισμού της δυνατότητας διαβίβασης από το Υπουργείο Ψηφιακής Διακυβέρνησης προς τους δημοσίους φορείς «τομεακών αναγνωριστικών διαφορετικών από το αναγνωριστικό που αντιστοιχεί στον τομέα του κάθε φορέα, δραστηριότητα η οποία (ως διαλειτουργικότητα) είναι αρμοδιότητα του ΥΨΔ».
5. Ως προς τον ρόλο του Προσωπικού Αριθμού ως δεδομένου ταυτοποίησης του Κανονισμού eIDAS, η Αρχή παρατηρεί πως από τις διατάξεις του σχεδίου ΠΔ δεν προκύπτει σχετικός σχεδιασμός, ο οποίος, εφόσον υπάρξει, σκόπιμο είναι να περιληφθεί στο ΠΔ. Το ίδιο προτείνεται και στην περίπτωση όπου υπάρχει σχεδιασμός για ενδεχόμενη χρήση του Προσωπικού Αριθμού για την αυθεντικοποίηση του πολίτη σε ηλεκτρονικές υπηρεσίες, μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης- gov.gr
Το άρθρο δημοσιεύτηκε πρώτη φορά στον Οδηγό του Πολίτη (odigostoupoliti.eu). Επιτρέπεται η αναδημοσίευση (όχι αυτολεξεί) του περιεχομένου του παρόντος άρθρου, μόνο με αναφορά, με ενεργό σύνδεσμο (link)(https://www.odigostoupoliti.eu), της πηγής προέλευσης