GDPR & Ηλεκτρονική Διακυβέρνηση
Η ακόλουθη εργασία με θέμα “GDPR & Ηλεκτρονική Διακυβέρνηση” έγινε στα πλαίσια του προγράμματος πιστοποίησης DPO από το Πανεπιστήμιο Αιγαίου ( Certified DPO ) .
Θα θέλαμε να ευχαριστήσουμε την εταιρεία παροχής υπηρεσιών gdpr / data protection officer assistant dreamweaver.gr που μας διαθέτει την βιβλιοθήκη της με πραγματικά πρακτικά παραδείγματα προς βοήθεια των σπουδαστών μας.
Συγγραφέας: Παπαδοπούλου Έλενα
Επιβλέπων καθηγητής: Δαβαλάς Αθανάσιος
GDPR & Ηλεκτρονική Διακυβέρνηση
ΝΟΜΟΙ ΚΑΙ ΚΑΝΟΝΕΣ ΤΑΥΤΟΠΟΙΗΣΗΣ ΠΟΛΙΤΩΝ ΚΑΙ ΙΔΙΩΤΙΚΟΤΗΤΑΣ
- Λόγοι για απειλές ιδιωτικού απορρήτου στην ηλεκτρονική διακυβέρνηση
Παρόλο που τα έργα ηλεκτρονικής διακυβέρνησης είναι καλά σχεδιασμένα από τους ειδικούς και από την κυβέρνηση, υπάρχουν διάφοροι λόγοι που μένουν πίσω από τα ζητήματα απορρήτου στην ηλεκτρονική διακυβέρνηση. Ο πρώτος και κύριος λόγος είναι η χαμηλή ασφάλεια για τα δεδομένα. Αυτό καλύπτει την ακατάλληλη συλλογή και αποθήκευση των προσωπικών δεδομένων ενός ατόμου. Δεύτερον, ο τρόπος συλλογής των δεδομένων έχει επίσης ζωτικό ρόλο. Όταν πρόκειται να συλλεχθούν δεδομένα από τους πολίτες για την είσοδο στο έργο ηλεκτρονικής διακυβέρνησης, τα περισσότερα από τα δεδομένα θα μεταφερθούν από τα υπάρχοντα αρχεία και ορισμένες από τις πιο πρόσφατες και σημαντικές πληροφορίες θα συλλεχθούν αυτοπροσώπως, με αυτόν τον τρόπο συλλογής οι πληροφορίες θα γίνουν ανασφαλείς όταν το άτομο που καταγράφει τις χρησιμοποιεί με λάθος τρόπο. Η επόμενη απειλή της ιδιωτικής ζωής που αντιμετωπίζουν οι περισσότερες από τις αναπτυσσόμενες χώρες οφείλεται στην έλλειψη γνώσης. Τα άτομα που δεν γνωρίζουν καλά την παροχή των πληροφοριών τους ζητούν βοήθεια από ορισμένες εξωτερικές ιδιωτικές υπηρεσίες και πάλι από αυτές τις υπηρεσίες εάν υπάρχει διαρροή πληροφοριών, το ζήτημα της ιδιωτικότητας ξεκινά από εκεί (Balakrishnan & Deva, 2017).
- Νομικό πλαίσιο περί απορρήτου στην ηλεκτρονική διακυβέρνηση
Υπάρχουν ορισμένοι νόμοι περί απορρήτου που παρέχονται από την κυβέρνηση που παρακολουθούν τις απειλές απορρήτου στην κοινωνία, αλλά απαισιόδοξα η ηλεκτρονική διακυβέρνηση εμπλέκεται σε όλα αυτά τα ζητήματα του νόμου περί απορρήτου και τα δεδομένα λειτουργούν ως πηγή για πολλές εξωτερικές υπηρεσίες (Balakrishnan & Deva, 2017).
Η στρατηγική της ηλεκτρονικής διακυβέρνησης προϋποθέτει τον εμπλουτισμό και εκσυγχρονισμό του σχετικού θεσμικού πλαισίου, τη προσαρμογή της νομοθεσίας που αφορά στις διοικητικές διαδικασίες, την έκδοση των προβλεπόμενων κανονιστικών πράξεων και την εναρμόνιση της εθνικής προς την ευρωπαϊκή νομοθεσία και τα διεθνή πρότυπα. Το θεσμικό πλαίσιο για την παροχή υπηρεσιών ηλεκτρονικής διακυβέρνησης περιλαμβάνει (Υπουργείο Διοικητικής Μεταρρύθμισης και Ηλεκτρονικής Διακυβέρνησης, 2014):
– τη διαλειτουργικότητα των συστημάτων μεταξύ των φορέων της δημόσιας διοίκησης,
– την αναθεώρηση των ρυθμίσεων της ηλεκτρονικής αυθεντικοποίησης,
– την περαιτέρω εξειδίκευση ως προς τις έννοιες των δεδομένων και τη διάθεση τους σαν δημόσια πληροφορία,
– την αξιολόγηση των αρχών της προσβασιμότητας στις ψηφιακές υπηρεσίες,
– την ασφάλεια και προστασία της ιδιωτικότητας,
– την εποπτεία της εφαρμογής των θεσμικών προβλέψεων,
– την απλούστευση των προδιαγραφών και των διαδικασιών ανάθεσης δημόσιων έργων πληροφορικής, – την αξιοποίηση των θεσμοθετημένων αρχών, κανόνων και προτύπων,
– την ανάπτυξη δράσεων και τη λήψη μέτρων για τον συστηματικό και αυστηρό έλεγχο της εφαρμογής τους στις ΤΠΕ του δημόσιου τομέα.
Στην Ελλάδα ο πιο πρόσφατος νόμος σχετικά με την πολιτική απορρήτου και την ασφάλεια στην ηλεκτρονική διακυβέρνηση είναι ο Νόμος 4727/2020. Σκοπός του Νόμου αυτού είναι «η ολοκληρωμένη ρύθμιση όλων των θεμάτων που άπτονται της ψηφιακής διακυβέρνησης και ιδίως εκείνων που σχετίζονται με τη χρήση των Τεχνολογιών Πληροφορικής και Επικοινωνίας (ΤΠΕ) από τους φορείς του δημόσιου τομέα για τις ανάγκες της λειτουργίας τους, καθώς και την υποστήριξη της άσκησης των αρμοδιοτήτων και των συναλλαγών τους με φυσικά ή νομικά πρόσωπα ή νομικές οντότητες».
Σύμφωνα με το Άρθρο 9, που αφορά τις Υπηρεσίες Ψηφιακής Διακυβέρνησης στα Υπουργεία, στην Υπηρεσία Ψηφιακής Διακυβέρνησης υπάγονται όλες οι αρμοδιότητες που σχετίζονται με την αξιοποίηση των ΤΠΕ και γενικότερα τον συντονισμό της υλοποίησης δράσεων ψηφιακής διακυβέρνησης. Ειδικότερα, οι οργανικές μονάδες που υπάγονται στην Υπηρεσία Ψηφιακής Διακυβέρνησης παρέχουν τεχνική υποστήριξη για την κάλυψη των μηχανογραφικών αναγκών του Υπουργείου και την οργάνωση, λειτουργία και συντήρηση των υποδομών πληροφορικής και επικοινωνιών του Υπουργείου και μεριμνούν ιδίως για την ορθολογική αξιοποίηση των πληροφοριακών συστημάτων, την ψηφιοποίηση των διοικητικών διαδικασιών, τη βελτίωση των σχέσεων κράτους – πολίτη, την υποστήριξη προς όλες τις υπηρεσίες του οικείου Υπουργείου και τους εποπτευόμενους φορείς για την υλοποίηση της περαιτέρω χρήσης των πληροφοριών του δημόσιου τομέα.
Σύμφωνα με το άρθρο 11, καθιερώνεται ο προσωπικός αριθμός (Π.Α.) ως ένας αριθμός υποχρεωτικής επαλήθευσης της ταυτότητας των φυσικών προσώπων στις συναλλαγές τους με τους φορείς του δημόσιου τομέα. Ο Π.Α. αποτελείται από δώδεκα (12) αλφαριθμητικά στοιχεία, εκ των οποίων τουλάχιστον τα εννέα (9) είναι αριθμητικά, και χορηγείται άπαξ στο φυσικό πρόσωπο. Ο Π.Α. δεν μεταβάλλεται και απενεργοποιείται με τον θάνατο ή την κήρυξη σε αφάνεια του φυσικού προσώπου. Ο Π.Α. χορηγείται υποχρεωτικά σε κάθε φυσικό πρόσωπο που δικαιούται Αριθμό Φορολογικού Μητρώου (Α.Φ.Μ.) ή Αριθμό Μητρώου Κοινωνικής Ασφάλισης (Α.Μ.Κ.Α.), σύμφωνα με την εθνική νομοθεσία. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (Γ.Γ.Π.Σ.Δ.Δ.) είναι αποκλειστικά αρμόδια για την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και για την αντιστοίχιση των Π.Α. με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα, ιδίως Α.Φ.Μ. και Α.Μ.Κ.Α., με σκοπό την επαλήθευση της ταυτότητας των φυσικών προσώπων και την επίτευξη διαλειτουργικότητας των πληροφοριακών συστημάτων των αρμόδιων φορέων μέσω του Κέντρου Διαλειτουργικότητας, υπό τους όρους προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως προβλέπονται στον Γενικό Κανονισμό για την Προστασία Δεδομένων και την εθνική νομοθεσία. Η Γ.Γ.Π.Σ.Δ.Δ. είναι υπεύθυνη επεξεργασίας για τους σκοπούς της επαλήθευσης της ταυτότητας των φυσικών προσώπων και τηρεί το Μητρώο Προσωπικού Αριθμού.
Οι φορείς του δημόσιου τομέα επεξεργάζονται τον Π.Α., μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Δ.Δ., με μόνο και αποκλειστικό σκοπό την επαλήθευση της ταυτότητας των φυσικών προσώπων για την παροχή δημόσιων υπηρεσιών προς φυσικά και νομικά πρόσωπα, την εν γένει διεκπεραίωση των υποθέσεων των φυσικών προσώπων και την άσκηση των αρμοδιοτήτων τους, χωρίς να τον συλλέγουν και αποθηκεύουν στα πληροφοριακά συστήματα ή στα συστήματα αρχειοθέτησης και τηρώντας τα απαραίτητα τεχνικά και οργανωτικά μέτρα που ορίζονται στο προεδρικό διάταγμα της παρ. 6 του άρθρου 107. Ο Π.Α. δεν τηρείται από τους επιμέρους φορείς του δημόσιου τομέα, οι οποίοι αποδίδουν στα φυσικά πρόσωπα αναγνωριστικό αριθμό εσωτερικού τους μητρώου, για την επίτευξη της λειτουργικότητας των πληροφοριακών συστημάτων τους και των ειδικών ανεξάρτητων μητρώων τους. Όταν σύμφωνα με τη νομοθεσία απαιτείται η συλλογή και επεξεργασία του Α.Φ.Μ., ιδίως για φορολογικούς ή τελωνειακούς σκοπούς ή για σκοπούς είσπραξης δημοσίων εσόδων χρησιμοποιούνται και αποτελούν αντικείμενο επεξεργασίας μόνο τα τελευταία εννέα (9) αριθμητικά στοιχεία του Π.Α. Ο προσωπικός αριθμός αποτελεί μία απόπειρα ενιαίας ταυτοποίησης των πολιτών στις συναλλαγές τους με το Δημόσιο, όπως συμβαίνει και σε άλλες χώρες εντός αλλά και εκτός της Ευρωπαϊκής Ένωσης (πχ. Εσθονία, Βουλγαρία), η οποία αποβλέπει στην καταπολέμηση της γραφειοκρατίας και στην απλούστευση της διαδικασίας ταυτοποίησης. Σύμφωνα με την αιτιολογική έκθεση του ν.4727/20 για το άρθρο 11, το οποίο προβλέπει τη δημιουργία του Προσωπικού Αριθμού, προβλέπεται ότι η χρήση τού δεν συνεπάγεται την ολοκλήρωση της επαλήθευσης της ταυτότητας των φυσικών προσώπων, αποτελώντας αναγκαίο, αλλά όχι επαρκές στοιχείο. Ωστόσο, θα αποτελεί τον μοναδικό αριθμό που θα απαιτείται στη συντριπτική πλειονότητα των συναλλαγών των φυσικών προσώπων με το Δημόσιο.
- Νομικό πλαίσιο για την ηλεκτρονική ταυτοποίηση και αυθεντικοποίηση
Σύμφωνα με το Άρθρο 10 του Νόμου 4325/2015, κατά την εγγραφή στην υπηρεσία ηλεκτρονικής διακυβέρνησης μπορεί να χρησιμοποιούνται διαπιστευτήρια που έχουν εκδοθεί για την επιβεβαίωση της ταυτότητας του χρήστη από άλλους φορείς του δημόσιου ή ιδιωτικού τομέα και είναι διασυνδεμένα με ένα ή περισσότερα αναγνωριστικά που σχετίζονται με βασικά μητρώα, όπως ιδίως: α) το μητρώο ταυτοτήτων, β) το μητρώο κοινωνικής ασφάλισης, γ) το φορολογικό μητρώο, και δ) το δημοτολόγιο. Οι φορείς που παρέχουν ηλεκτρονικές υπηρεσίες επιβεβαίωσης της ταυτότητας σε άλλους φορείς και συστήματα του δημόσιου τομέα λειτουργούν, σύμφωνα με τον Κανονισμό 910/2014 της 23ης Ιουλίου 2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της Οδηγίας 1999/93/ΕΚ.
O προσφάτως δημοσιευθείς Νόμος 4727/2020 (ΦΕΚ Α’ 184/23.09.2020) για την Ψηφιακή Διακυβέρνηση (ενσωμάτωση της Οδηγίας 2016/2102/ΕΕ) και για τις Ηλεκτρονικές Επικοινωνίες (ενσωμάτωση της Οδηγίας 2018/972/ΕΕ) – (εφεξής «Κώδικας») – εισάγει ένα νέο νομοθετικό καθεστώς για το ψηφιακό περιβάλλον και τις Ηλεκτρονικές Επικοινωνίες. Οι διατάξεις του ως άνω νόμου εφαρμόζονται τόσο σε ιδιώτες και επιχειρήσεις όσο και στους φορείς της Γενικής Κυβέρνησης του άρθρου 14 του ν. 4270/ 2014 (Α` 143), στα εκτός αυτής νομικά πρόσωπα δημοσίου δικαίου (Ν.Π.Δ.Δ.), καθώς και στις εκτός αυτής δημόσιες επιχειρήσεις και οργανισμούς του Κεφαλαίου Α` του ν. 3429/2005 (A` 314), ανεξαρτήτως εάν έχουν εξαιρεθεί από την εφαρμογή του, με σκοπό τη διευκόλυνση των αναγκών τους, καθώς και των διοικητικών διαδικασιών. Παράλληλα ο Κώδικας Ψηφιακής Διακυβέρνησης εναρμονίζεται με τους ορισμούς του Ευρωπαϊκού Κανονισμού 910/2014 (elDAS Regulation) για τις ηλεκτρονικές υπογραφές, ενώ ταυτόχρονα καταργεί το μέχρι πρότινος νομικό πλαίσιο για τις ηλεκτρονικές υπογραφές, ήτοι το ΠΔ 150/2001 (Α’ 125).
Σύμφωνα με το Άρθρο 13 του Νόμου 4727/2020 για την έκδοση Ηλεκτρονικών Δημοσίων Εγγράφων, όλες οι διαδικασίες για τη διαχείριση δημοσίων εγγράφων από τους φορείς του δημοσίου τομέα, óπως η σύνταξη, η προώθηση για υπογραφή, η θέση υπογραφής, η έκδοση, η εσωτερική και η εξωτερική διακίνηση, η πρωτοκόλληση, καθώς και η αρχειοθέτησή τους πραγματοποιούνται αποκλειστικά μέσω ΤΠΕ. Τα ηλεκτρονικά δημόσια έγγραφα παράγονται είτε πλήρως αυτοματοποιημένα μέσω ειδικού πληροφοριακού συστήματος που συνθέτει κατάλληλα στοιχεία, είτε μέσω ηλεκτρονικής υποβολής γραφείου, είτε μέσω ψηφιοποίησης έντυπου εγγράφου. Τα ηλεκτρονικά ακριβή αντίγραφα φέρουν υποχρεωτικά: εγκεκριμένη ηλεκτρονική χρονοσφραγίδα, είτε την εγκεκριμένη ηλεκτρονική σφραγίδα του φορέα είτε την εγκεκριμένη ηλεκτρονική υπογραφή του αρμοδίου για την έκδοση του αντιγράφου οργάνου, την ένδειξη «ακριβείς αντίγραφο» και τα στοιχεία του οργάνου που υπέγραψε το έγγραφο ως τελικώς υπογράφων. Τα ψηφιοποιημένα ηλεκτρονικά αντίγραφα εκδίδονται από τους φορείς του δημοσίου τομέα μέσω ψηφιοποίησης ή αναπαραγωγής με χρήση ΤΠΕ έντυπων δημόσιων ή ιδιωτικών εγγράφων που κατέχουν στο πλαίσιο της άσκησης των αρμοδιοτήτων τους.
Όπως συμπληρώνει το Άρθρο 14, τα πρωτότυπα ηλεκτρονικά δημόσια έγγραφα και τα πιστοποιητικά και οι βεβαιώσεις, έχουν την ίδια νομική και αποδεικτική ισχύ με τα δημόσια έγγραφα που φέρουν ιδιόχειρη υπογραφή και σφραγίδα και γίνονται υποχρεωτικά αποδεκτά από τους φορείς του δημοσίου τομέα.
Επιπλέον, στο Άρθρο 15 αναφορικά με τα ηλεκτρονικά ιδιωτικά έγγραφα ορίζεται τα Ηλεκτρονικά ιδιωτικά έγγραφα εκδίδονται από φυσικά ή νομικά πρόσωπα ή νομικές οντότητες με χρήση εγκεκριμένης ηλεκτρονικής υπογραφής ή εγκεκριμένης ηλεκτρονικής σφραγίδας, γίνονται υποχρεωτικά αποδεκτά από τους φορείς του δημόσιου τομέα, από τα δικαστήρια όλων των βαθμών και τις εισαγγελίες όλης της χώρας και από φυσικά ή νομικά πρόσωπα ή νομικές οντότητες κατά την ηλεκτρονική διακίνησή τους. Επιπρόσθετα, στο Άρθρο 17 που αφορά στην ηλεκτρονική διακίνηση δημοσίων εγγράφων εντός του ίδιου φορέα ορίζεται ότι τα ηλεκτρονικά δημόσια έγγραφα που εκδίδονται και διακινούνται εντός κάθε φορέα του δημοσίου τομέα σε κλειστά πληροφοριακά συστήματα, όπως τα εσωτερικά συστήματα ηλεκτρονικής διακίνησης εγγράφων (Σ.Η.Δ.Ε.), φέρουν α) προηγμένη ή εγκεκριμένη ηλεκτρονική χρονοσφραγίδα και β) είτε την προηγμένη ή εγκεκριμένη ηλεκτρονική σφραγίδα του φορέα είτε την προηγμένη ή εγκεκριμένη ηλεκτρονική υπογραφή του αρμόδιου οργάνου. Η χρήση των εσωτερικών συστημάτων ηλεκτρονικής διακίνησης εγγράφων προϋποθέτει την αυθεντικοποίηση κάθε χρήστη.
Το Άρθρο 25 αναφέρει ότι για την έκδοση διαπιστευτηρίων η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης είναι αποκλειστικά υπεύθυνη για την ταυτοποίηση και την αυθεντικοποίηση των φυσικών ή νομικών προσώπων ή νομικών οντοτήτων για σκοπούς παροχής και χρήσης των ψηφιακών δημόσιων υπηρεσιών. Η ταυτοποίηση φυσικών προσώπων διενεργείται: α) Μέσω της Ανεξάρτητης Αρχής Δημοσίων Εσόδων, σύμφωνα με τα οριζόμενα στην υπ’ αρ. 1178/2010 απόφαση του Υπουργού Οικονομικών «Εγγραφή νέων χρηστών στις ηλεκτρονικές υπηρεσίες TaxisNet» (Β΄ 1916).β) Με φυσική παρουσία του φυσικού προσώπου στα Κέντρα Εξυπηρέτησης Πολιτών (ΚΕΠ). γ) Με τη χρήση εξ αποστάσεως ταυτοποίησης που παρέχει διασφάλιση ισοδύναμη με τη φυσική παρουσία. Η ταυτοποίηση αυτή μπορεί να διενεργείται μέσω του Εθνικού Μητρώου Επικοινωνίας Πολιτών του άρθρου 17 του ν. 4704/2020 (Α΄ 133).
Τέλος, το Άρθρο 24 αφορά τους τρόπους αυθεντικοποίησης για χρήση υπηρεσιών μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης. Σύμφωνα με το εν λόγω άρθρο, η αυθεντικοποίηση του χρήστη γίνεται μετά από επιλογή του χρήστη με έναν από τους ακόλουθους τρόπους: α) Με τη χρήση των κωδικώνδιαπιστευτηρίων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης. β) Με τη χρήση των κωδικώνδιαπιστευτηρίων των συστημάτων ηλεκτρονικής τραπεζικής (ebanking) των πιστωτικών ιδρυμάτων όπως ορίζονται στο στοιχείο 1 της παρ. 1 του άρθρου 4 του Κανονισμού (ΕΕ) 575/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 26ης Ιουνίου 2013 (ΕΕ L 176).
- Νομικό πλαίσιο για τα μέσα ταυτοποίησης
Σύμφωνα με το Άρθρο 57 του Νόμου 4727/2020 , που αναφέρεται στις μεθόδους ταυτοποίησης, πριν από την έκδοση πιστοποιητικού υπηρεσίας εμπιστοσύνης, ο πάροχος υπηρεσιών εμπιστοσύνης προβαίνει με κατάλληλα μέσα στην εξακρίβωση της ταυτότητας και των ειδικών χαρακτηριστικών του αιτούντος (ταυτοποίηση). Τη διαδικασία του προηγούμενου εδαφίου δύναται να διενεργεί και τρίτος δυνάμει σύμβασης με τον πάροχο υπηρεσιών εμπιστοσύνης. Η δυνατότητα ταυτοποίησης από τρίτο ενεργοποιείται μετά από την ενημέρωση προς την Ε.Ε.Τ.Τ. σύμφωνα με την παρ. 2 του άρθρου 24 του Κανονισμού eIDAS. Η ταυτοποίηση διενεργείται με μία από τις αναφερόμενες στην παρ. 1 του άρθρου 24 του Κανονισμού eIDAS μεθόδους. Ειδικότερα, ο πάροχος υπηρεσιών εμπιστοσύνης ή τρίτος δύναται να χρησιμοποιεί μεθόδους ταυτοποίησης με διασφάλιση ισοδύναμη με τη φυσική παρουσία, όπως την ηλεκτρονική ή την εξ αποστάσεως ταυτοποίηση, σύμφωνα με το άρθρο 24 του Κανονισμού eIDAS. Η ισοδύναμη διασφάλιση εξετάζεται και επιβεβαιώνεται από οργανισμό αξιολόγησης συμμόρφωσης, όπως ορίζεται στην περ. 18 του άρθρου 3 του ανωτέρω Κανονισμού.
Από την έννοια της ιδιωτικότητας της πληροφορίας στην έννοια των προσωπικών δεδομένων Η έννοια της ιδιωτικότητας των πληροφοριών καθίσταται εξαιρετικά σημαντική σε Π.Σ. Ηλεκτρονικής Διακυβέρνησης, εξαιτίας τόσο του χαρακτήρα των πληροφοριών που αξιοποιούνται όσο και του σημαντικού όγκου που συλλέγεται, επεξεργάζεται και αποθηκεύεται. Οι απαιτήσεις ασφάλειας περιλαμβάνουν:
– Εμπιστευτικότητα (Confidentiality): προστασία από αποκάλυψη δεδομένων από μη εξουσιοδοτημένους χρήστες
– Ακεραιότητα (Integrity): προστασία από μη εξουσιοδοτημένη τροποποίηση ή διαγραφή δεδομένων – Διαθεσιμότητα (Availability): προστασία από μη-διάθεση των δεδομένων
– Αυθεντικότητα (Authenticity): διασφάλιση της πραγματικής ταυτότητας κάθε εμπλεκόμενης οντότητας – Μη Αποποίηση (Non Repudiation): προστασία από άρνηση μια οντότητας για πραγματοποίηση συγκεκριμένης δραστηριότητας.
Όσον αφορά τις απαιτήσεις για ασφάλεια ιδιωτικότητας σε τεχνικό επίπεδο:
– Αυθεντικοποίηση (Authentication): η διαδικασία μέσω της οποίας επιβεβαιώνεται η ταυτότητα μιας οντότητας.
– Εξουσιοδότηση (Authorization): η διαδικασία μέσω της οποίας μία οντότητα αποκτά πρόσβαση σε μια υπηρεσία.
– Aναγνώριση (Identification): η διαδικασία μέσω της οποία ελέγχεται αν η υπηρεσία ή τα δεδομένα που ζητούνται απαιτούν αυθεντικοποίηση και στη συνέχεια εξουσιοδότησή της ή όχι.
– Προστασία Δεδομένων (Data Protection): σύμφωνα με την Ευρωπαϊκή Οδηγία 1995/46/ΕΚ διασφαλίζονται οι αρχές της νομιμότητας και της δικαιοσύνης, του σκοπού και της αναγκαιότητας της συλλογής των δεδομένων και της επεξεργασίας τους αυτών, της ασφάλειας και της ακεραιότητας, της εποπτείας και επικύρωσης.
– Ανωνυμία (Anonymity): η διαδικασία μέσω της οποίας διασφαλίζεται ότι μία οντότητα μπορεί να χρησιμοποιήσει μια υπηρεσία χωρίς να αποκαλύψει την ταυτότητά του.
– Ψευδωνυμία (Pseydonymity): η διαδικασία μέσω της οποίας προστατεύεται η αναγνώριση μιας οντότητας.
– Μη-συνδεσιμότητα (Unlinkability): η διαδικασία μέσω της οποίας προστατεύεται η ιδιωτικότητα μιας απαγορεύοντας στους εισβολείς να συνδέσουν τμήματα σχετικών πληροφοριών μεταξύ τους, ώστε να αποκαλυφθεί ταυτότητα.
– Μη-παρατηρησιμότητα (Unobservability): η διαδικασία μέσω της οποία προστατεύεται η ιδιωτικότητα μιας οντότητας από τον εντοπισμό των ιχνών τους από κακόβουλους.
Ο σεβασμός στην ιδιωτική ζωή και η προστασία των προσωπικών δεδομένων είναι έννοιες συνδεδεμένες καθώς και οι δύο αποσκοπούν στον σεβασμό της αυτονομίας του ανθρώπου και της αξιοπρέπειάς του, παρέχοντάς του ένα ασφαλές περιβάλλον μέσα στο οποίο μπορεί να αναπτύσσει ελεύθερα την προσωπικότητά του. (Άρθρο 8 – Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου – Δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής’. Lawspot, 2 Δεκεμβρίου 2014). Βάσει του δικαίου της ΕΕ (άρθρο 16 της Συνθήκης για τη λειτουργία της ΕΕ) η προστασία των προσωπικών δεδομένων αναγνωρίζεται ως θεμελιώδες δικαίωμα του ατόμου. Το δικαίωμα αυτό αναγνωρίζεται και στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ. Ωστόσο τα δύο δικαιώματα διαφέρουν ως προς το πεδίο εφαρμογής τους. Το δικαίωμα της ιδιωτικότητας αναφέρεται σε μία γενική, κατ΄εξαίρεση, απαγόρευση επεμβάσεων στη ζωή του ατόμου. Η προστασία των προσωπικών δεδομένων από την άλλη αφορά ένα πιο «σύγχρονο» και «ευρύτερο» δικαίωμα καθώς ενεργοποιείται óταν υπάρχει επεξεργασία αυτών. Σύμφωνα με το άρθρο 4 του ΓΚΠΔ παράγραφος 1 (Άρθρο 4 – Γενικός Κανονισμός για την Προστασία Δεδομένων – Ορισμοί’. Lawspot, 7 Μάιος 2016) , ως προσωπικά δεδομένα ορίζεται κάθε πληροφορία που αφορά ένα φυσικό πρόσωπο (υποκείμενο δεδομένων) το οποίο μπορεί να ταυτοποιηθεί με ή χωρίς την υπόδειξη ταυτότητας.
- Προσωπικά δεδομένα και προστασία – Νομοθετικό πλαίσιο
Σύμφωνα με το άρθρο 8 του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων (European Court of Human Rights – ECHR), το δικαίωμα του ατόμου στην προστασία σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα αποτελεί μέρος του δικαιώματος σεβασμού της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και της αλληλογραφίας. Η Σύμβαση 108 του Συμβουλίου της Ευρώπης είναι η πρώτη και, μέχρι σήμερα, η μόνη διεθνής νομικά δεσμευτική πράξη που ασχολείται με την προστασία δεδομένων. Σύμφωνα με τη νομοθεσία της ΕΕ, η προστασία δεδομένων έχει αναγνωριστεί ως ξεχωριστό θεμελιώδες δικαίωμα. Επιβεβαιώνεται στο άρθρο 16 της Συνθήκης για τη Λειτουργία της ΕΕ, καθώς και στο άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ.
Σύμφωνα με τη νομοθεσία της ΕΕ, η προστασία δεδομένων ρυθμίστηκε για πρώτη φορά από την Οδηγία 95/46/ΕΚ για την Προστασία Δεδομένων το 1995. Λόγω των ραγδαίων τεχνολογικών εξελίξεων, η ΕΕ ενέκρινε νέα νομοθεσία το 2016 για την προσαρμογή των κανόνων προστασίας δεδομένων στην ψηφιακή εποχή. Ο Γενικός Κανονισμός για την Προστασία Δεδομένων τέθηκε σε ισχύ τον Μάιο του 2018, αντικαθιστώντας την Οδηγία για την Προστασία Δεδομένων. Μαζί με τον Γενικό Κανονισμό για την Προστασία Δεδομένων, η ΕΕ ενέκρινε νομοθεσία για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις κρατικές αρχές για σκοπούς επιβολής του νόμου. Η Οδηγία (ΕΕ) 2017/680 θεσπίζει τους κανόνες και τις αρχές προστασίας δεδομένων που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα με σκοπό την πρόληψη, τη διερεύνηση, τον εντοπισμό και τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων (European Court of Human Rights, 2018). Σύμφωνα με το άρθρο 4 του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) η ταυτότητά του ατόμου εξακριβώνεται άμεσα ή έμμεσα από αναγνωριστικό στοιχείο óπως óνομα, επίθετο, από παράγοντα που προσδιορίζει τη σωματική, φυσιολογική οικονομική κοινωνική ταυτότητα του προσώπου κ.α.
Σύμφωνα με τον ΓΚΠΔ κάθε υποκείμενο δεδομένων έχει συγκεκριμένα δικαιώματα. Αυτά ορίζονται ως εξής:
- δικαίωμα διαφανούς ενημέρωσης σχετικά με τα δεδομένα. Το υποκείμενο λαμβάνει την ενημέρωση γραπτώς ή με άλλα μέσα (άρθρο 12)
- δικαίωμα πληροφόρησης και δικαίωμα πρόσβασης στα δεδομένα τους και ενημέρωσης σχετικά με την επεξεργασία τους (άρθρα 13 και 14)
- δικαίωμα διόρθωσης των δεδομένων τους από τον υπεύθυνο επεξεργασίας (άρθρο 16)
- δικαίωμα διαγραφής (δικαίωμα στη λήθη) των δεδομένων από τον υπεύθυνο επεξεργασία óταν η επεξεργασία γίνεται κατά την παράβαση του νομού (άρθρο 17)
- δικαίωμα περιορισμού της επεξεργασίας (άρθρο 18)
- δικαίωμα στη φορητότητα των δεδομένων (άρθρο 20)
- δικαίωμα εναντίωσης (άρθρο 21)
Η επεξεργασία των δεδομένων αφορά τη διαδικασία που διενεργείται στα δεδομένα προσωπικά χαρακτήρα. Συγκεκριμένα ως «επεξεργασία νοείται κάθε πράξη óπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινοποίηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμούς, ο περιορισμός, η διαγραφή ή η καταστροφή» δεδομένων προσωπικού χαρακτήρα (εκσυγχρονισμένη σύμβαση 108, άρθρο 2 στοιχείο β)
Οι αρχές που διέπουν την προστασία των προσωπικών δεδομένων óπως αυτές ορίζονται στον ΓΚΠΔ είναι οι εξής:
- η αρχή της νομιμότητας (άρθρο 5 παρ. 1 στοιχείο α) η οποία συνεπάγεται τη συγκατάθεση του υποκειμένου.
- η αρχή της αντικειμενικότητας (άρθρο 5 παρ. 1 στοιχείο α) διέπει πρωτίστως τη σχέση μεταξύ του υπευθύνου της επεξεργασίας και του υποκειμένου.
- η αρχή της διαφάνειας (άρθρο 5 παρ. 1 στοιχείο α) όπου οι υπεύθυνοι επεξεργασίας οφείλουν να ενημερώσουν το υποκείμενο των δεδομένων για τον σκοπό της επεξεργασίας.
- η αρχή του περιορισμού του σκοπού (άρθρο 5 παρ. 1 στοιχείο β) υπογραμμίζει óτι η επεξεργασία των δεδομένων πρέπει να εκτελείται για συγκεκριμένο καλά καθορισμένο σκοπό.
- η αρχή της ελαχιστοποίησης των δεδομένων (άρθρο 5 παρ. 1 στοιχείο γ) που περιορίζει την επεξεργασία στο αναγκαίο μέτρο
- η αρχή της ακρίβειας των δεδομένων (άρθρο 5 παρ. 1 στοιχείο δ) διασφαλίζει την βεβαιότητα óτι τα δεδομένα είναι ακριβή και επικαιροποιημένα.
- η αρχή του περιορισμού της αποθήκευσης (άρθρο 5 παρ. 1 στοιχείο στ και άρθρο 32) διασφαλίζει τη διαγραφή ή την ανωνυμία των δεδομένων óταν αυτά δεν είναι πλέον αναγκαία για τον σκοπό που αρχικά συλλέχθηκαν.
- η αρχή της ασφάλειας των δεδομένων (ακεραιότητα και εμπιστευτικότητα) (άρθρο 5 παρ. 1 στοιχείο στ και άρθρο 32) επιβάλλει να εφαρμόζονται τεχνικά και οργανωτικά μέτρα κατά την επεξεργασία των δεδομένων.
- η αρχή της λογοδοσίας (άρθρο 5 παρ. 2) υποχρεώνει τον υπεύθυνο επεξεργασίας να αποδεικνύουν τη συμμόρφωση προς τις διατάξεις περί προστασίας των δεδομένα στα υποκείμενα και στις εποπτικές αρχές. Σύμφωνα με το άρθρο 5 του ΓΚΠΔ για να είναι νόμιμη και ασφαλής η επεξεργασία των προσωπικών δεδομένων θα πρέπει αυτή να διέπεται από κάποιες αρχές. Συγκεκριμένα προτείνεται για: · την αρχή της εμπιστευτικότητας (Confidentiality) σύμφωνα με την οποία τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία κατά τον τρόπο που εγγυάται την ασφάλεια και προστασία τους από παράνομη επεξεργασία, απώλεια, καταστροφή ή φθορά τους
- την αρχή της ακεραιότητας (Integrity) άρθρο 5 ΓΚΠΔ παράγραφος 1 σύμφωνα με την οποία τα δεδομένα πρέπει να είναι ακριβή, ακέραια και γνήσια και όχι αλλοιωμένα ή μη ενημερωμένα
- την αρχή της προσφοράς (Availability) σύμφωνα με την οποία τα δεδομένα πρέπει να είναι στη διάθεση των χρηστών óποτε χρησιμοποιούν η χρήση τους
- Αυθεντικότητα (Authenticity): αφορά στη διασφάλιση της ταυτότητος κάθε εμπλεκóμενης οντóτητας, · Μη Αποποίηση (Non Reputation): αφορά στην προστασία από άρνηση μια οντóτητας για πραγματοποίηση συγκεκριμένης δραστηριóτητας
Ο ΓΚΠΔ εφαρμόζεται εάν η εκάστοτε επιχείρηση ή οργανισμός επεξεργάζεται προσωπικά δεδομένα και εδρεύει στην ΕΕ, αν η επιχείρηση εδρεύει εκτός της ΕΕ αλλά επεξεργάζεται προσωπικά δεδομένα που αφορούν την παροχή προϊόντων ή υπηρεσιών σε άτομα εντóς της ΕΕ, ή παρακολουθεί τη συμπεριφορά ατόμων εντός της ΕΕ. Αντίθετα ο ΓΚΠΔ δεν εφαρμόζεται εάν το υποκείμενο των δεδομένων είναι νεκρό, αν το υποκείμενο των δεδομένων είναι νομικό πρόσωπο και όταν η επεξεργασία γίνεται από πρόσωπο που ενεργεί για σκοπούς εκτέλεσης εμπορικού ή επαγγελματικού χαρακτήρα.
Το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία/φορέας ο οποίος καθορίζει τον σκοπό και τον τρόπο επεξεργασίας των προσωπικών δεδομένων θεωρείται ο υπέυθυνος επεξεργασίας (άρθρο ΓΚΠΔ 4 παρ. 7). Σύμφωνα με την αιτιολογική σκέψη υπ’ αρ. 1/2010 της ομάδας του άρθρου 29 είναι προτιμότερο να θεωρείται υπεύθυνος επεξεργασίας η εταιρεία ή ο φορέας παρά ένα συγκεκριμένο άτομο εντóς της εταιρείας ή του φορέα. Επίσης ο ΓΚΠΔ τον προβλέπει ορισμός δύο ή περισσοτέρων υπευθύνων επεξεργασίας εφόσον καθορίζουν από κοινού τους σκοπούς και τα μέσα της. Οι πληροφορίες του υπευθύνου επεξεργασίας σχετικά με την ασφάλεια της επεξεργασία προσδιορίζονταν ρητά στο άρθρο 32 ΓΚΠΔ, ενώ η γενική ευθύνη του για τον προσδιορισμό των κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να δείχνει και να μπορεί να αποφύγει τη νομιμότητα μιας επεξεργασίας πηγάζει και από το άρθρο 24 ΓΚΠΔ. Επίσης, στο ΓΚΠΔ για πρώτη φορά προσδιορίζεται ρητά αυτοτελής υποχρέωση και των εκτελούντων την επεξεργασία για λήψη μέτρων ασφάλεια. Το άρθρο 33 του ΓΚΠΔ περιέγραφε τις οδηγίες για την υπεύθυνη επεξεργασία δεδομένα προκειμένου να ειδοποιεί την αρμόδια εποπτική αρχή στην περίπτωση της παραβίασης των προσωπικών δεδομένων. Επίσης το πώς θα εντοπίσει ή θα διερευνήσει ο οργανισμος τις παραβιάσεις δεδομένων και αν υπάρχουν τα απαραίτητα εργαλεία και γνώσεις για να αντιδράσει ή να τις διαχειριστεί προληπτικά. Σε αυτό το σημείο είναι óπου τα εργαλεία ανίχνευσης απειλών, πρóληψης και παρακολούθησης απειλών κρίνονται ως εξαιρετικά κρίσιμα.
Από την άλλη ο εκτελών την επεξεργασία είναι το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, υπηρεσία/φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμούς του υπευθύνου της επεξεργασίας (άρθρο ΓΚΠΔ 4 παρ. 8). Για τον λόγο διαφάνειας οι λεπτομέρειες της σχέσης υπευθύνου και εκτελούν την επεξεργασία πρέπει να καταγραφεί στη σχετική γραπτή σύμβαση (άρθρο ΓΚΠΔ 28 παρ. 3 και 9). Τέλος, όσον αφορά την τοπική αυτοδιοίκηση, όλοι οι φορείς της τοπικής αυτοδιοίκησης οφείλουν να συμμορφωθούν στις αρχές του ΓΚΠΔ και στην εθνική νομοθεσία που έχει εναρμονιστεί με τον κανονισμό. Συγκεκριμένα οι δήμοι στα πλαίσια των αρμοδιοτήτων τους και για την επίτευξη των στόχων τους, που είναι η εξυπηρέτηση των πολιτών και η παροχή υπηρεσιών πάσης φύσεως, διαχειρίζονται καθημερινά μεγάλο όγκο προσωπικών δεδομένων, ευαίσθητων και μη. Οι κατηγορίες των εποφελούμενων είναι οι εργαζόμενοι με μια κοινή σχέση εργασίας και σε άλλη θέση, οι συνεργαζόμενοι φορείς, οι πολίτες/επιχειρήσεις, οι πολιτιστικοί, αθλητικοί, καλλιτεχνικοί, εθελοντικοί φορείς/σύλλογοι, οι σχολικές μονάδες και τα νομικά πρόσωπα και διάφοροι τομείς.
- Ζητήματα ασφάλειας, απειλές και τρόποι αντιμετώπισης
Η ανάπτυξη της κοινωνίας της πληροφορίας μέσω των νέων τεχνολογιών του ΤΠΕ και κυρίως μέσω της ευρείας χρήσης του διαδικτύου οδήγησαν στην υπερβολική έκθεση της ιδιωτικής ζωής του ατόμου, θέτοντας κατ’ επέκταση σε κίνδυνο τα προσωπικά δεδομένα. Σύμφωνα με την Οδηγία 95/46 ΕΚ (άρθρο 17 περί ασφάλειας της επεξεργασίας) ο υπεύθυνος της επεξεργασίας πρέπει να λαμβάνει τα απαραίτητα τεχνικά μέτρα για την προστασία των προσωπικών δεδομένων των υποκειμένων, ιδίως συμπεριλαμβάνεται διαβίβαση των δεδομένων μέσω δικτύου. Παράλληλα η ομάδα εργασίας του άρθρου 29 επιχειρεί να αναλύσει την αποτελεσματικότητα της ανωνυμοποίησης και της ψευδωνυμοποίησης ως τεχνικά μέτρα για την προστασία των δεδομένων. Στον ΓΚΠΔ στο άρθρο 4 παρ. 5 ορίζεται επαρκώς η ψευδωνυμοποίηση και η ανωνυμοποίηση. Στην αιτιολογική σκέψη υπ’ αρ. 26 του ΓΚΠΔ γίνεται σαφή διευκρίνιση ως προς τις αρχές προστασίας των δεδομένα οι οποίες πρέπει να εφαρμοστούν σε δεδομένα προσωπικού χαρακτήρα που μπορεί να έχουν υποστεί ψευδωνυμοποίηση ωστóσο θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο, φυσικό πρόσωπο και όχι ανώνυμες πληροφορίες που δεν μπορεί να συσχετιστεί με ταυτοποιημένο ή ταυτοποιημένο φυσικό πρόσωπο. Στον ΓΚΠΔ δεν περιλαμβάνεται ένας ακριβής ορισμός της κρυπτογράφησης. Στον άρθρο ΓΚΠΔ 6 παρ. 4 περί νομιμότητας της επεξεργασίας γίνεται λόγος για την υποχρέωση που έχει ο υπεύθυνος επεξεργασίας να λαμβάνει υπóψη του μεταξύ άλλων την ύπαρξη κατάλληλων εγγυήσεων που μπορεί να περιλαμβάνει ψευδωνυμοποίηση ή κρυπτογράφηση. Επιπλέον στο άρθρο 32 του ΓΚΠΔ για την ασφάλεια της επεξεργασίας καταγράφονται ως οργανωτικά και τεχνικά μέτρα ασφάλειας των δεδομένων προσωπικού χαρακτήρα έναντι των κινδύνων η ψευδωνυμοποίηση και η κρυπτογράφηση. Παράλληλα στο άρθρο 34 του ΓΚΠ σχετικά με την ανακοίνωση της παραβίασης δεδομένων στο υποκείμενο διευκρινίζεται óτι δεν χρειάζεται ενημέρωση του υποκειμένου των δεδομένων σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα που το όνομα, εφóσον τα δεδομένα αυτά (μεταξύ και άλλων προϋποθέσεων) είναι κρυπτογραφημένα. (παρ. 3α).
Σύμφωνα με το Άρθρο 7 της Υπ. Απόφασης 10238 ΕΞ 2020/2020 για τα οργανωτικά μέτρα του Υπουργείου Ψηφιακής Διακυβέρνησης για την ασφάλεια και προστασία δεδομένων προσωπικού χαρακτήρα, αναφέρεται ότι η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης έχει την υποχρέωση λήψης και διαρκούς τήρησης των κατάλληλων και αναγκαίων τεχνικών και οργανωτικών μέτρων ασφάλειας των λαμβανόμενων πληροφοριών και, κατ’ ελάχιστον, την καταγραφή και παρακολούθηση των προσβάσεων, τη διασφάλιση ιχνηλασιμότητας και την προστασία των διακινούμενων δεδομένων από κάθε παραβίαση, καθώς και από σκόπιμη ή τυχαία απειλή. Επίσης, η επεξεργασία των δεδομένων της παρ. 3 του άρθ. 4 της παρούσας διενεργείται σύμφωνα με το ισχύον Πλαίσιο Ασφάλειας Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης και τις διατάξεις περί προστασίας δεδομένων προσωπικού χαρακτήρα. Η λήψη του αριθμού κινητού τηλεφώνου του χρήστη όπως περιγράφεται στην παρ. 3 του άρθ. 4 θα χρησιμοποιηθεί α) για τον έλεγχο της ταύτισης του αριθμού επικοινωνίας που δηλώνεται στην εξουσιοδότηση και την υπεύθυνη δήλωση με τον αριθμό κινητού τηλεφώνου που έχει διαβιβαστεί από τα πιστωτικά ιδρύματα και σε περίπτωση που δεν ταυτίζονται η διαδικασία διακόπτεται και β) κατά την διαδικασία αυθεντικοποίησης του χρήστη για την αποστολή κωδικών μιας χρήσης (ενδεικτικά ΟΤΡ, Push Notifications, Tokens) από το Υπουργείο Ψηφιακής Διακυβέρνησης προς τον χρήστη κατά τη ολοκλήρωση της χρήσης υπηρεσίας υπεύθυνης δήλωσης ή εξουσιοδότησης της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης. Ο αριθμός κινητού τηλεφώνου μπορεί να χρησιμοποιηθεί από το Υπουργείο Ψηφιακής Διακυβέρνησης, και ιδίως από την Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης, για την παροχή υπηρεσιών αυθεντικοποίησης με την χρήση πολλαπλών παραγόντων αυθεντικοποίησης (multi factor authentication) για την πρόσβαση σε άλλες υπηρεσίες της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης. Τέλος, τα διαπιστευτήρια του χρήστη στα συστήματα ηλεκτρονικής τραπεζικής (e-banking) των πιστωτικών ιδρυμάτων δεν γίνονται γνωστά στο Υπουργείο Ψηφιακής Διακυβέρνησης.
- Ο κανονισμός eIDAS
Ο κανονισμός της Ευρωπαϊκής Ένωσης του 2014 για τις υπηρεσίες ηλεκτρονικής αναγνώρισης, επαλήθευσης ταυτότητας και εμπιστοσύνης ενθαρρύνει τα κράτη μέλη να δημιουργήσουν και να αναγνωρίσουν ιδιωτικά και δημόσια διασυνοριακά συστήματα ηλεκτρονικής επαλήθευσης ταυτότητας (European Commission, 2018α). Οι υπηρεσίες εμπιστοσύνης δεν εξαρτώνται από τη φυσική ταυτότητα. Συνεργάζονται με άλλους τύπους επαληθευμένων εθνικών συστημάτων ηλεκτρονικής ταυτοποίησης και διαπιστευτηρίων. Το eIDAS παρέχει το νομικό πλαίσιο για μια αγορά υπηρεσιών εμπιστοσύνης. Η αμοιβαία αναγνώριση μεταξύ των μελών της ΕΕ και η διασυνοριακή ασφάλεια δικαίου είναι ζωτικής σημασίας. Στην ορολογία της ΕΕ, το eID δεν αναφέρεται μόνο σε ηλεκτρονικά δελτία ταυτότητας, αναφέρεται στο ευρύτερο φάσμα των διαπιστευτηρίων ψηφιακής ταυτότητας. Το eIDAS, αντίθετα, αναφέρεται στη στενή διαδικασία ελέγχου ταυτότητας, διασφαλίζοντας ότι οι ηλεκτρονικές σφραγίδες, χρονοσήμανση και άλλες υπηρεσίες ηλεκτρονικής παράδοσης «λειτουργούν διασυνοριακά και έχουν το ίδιο νομικό καθεστώς με τις παραδοσιακές διαδικασίες που βασίζονται σε χαρτί» (European Commission, 2018α). Σύμφωνα με το eIDAS, οι υπηρεσίες εμπιστοσύνης βασίζονται σε νόμιμα αναγνωρισμένα eID. Το eIDAS καθιστά υποχρεωτικό για τις δημόσιες διοικήσεις της Ευρωπαϊκής Ένωσης να αποδέχονται τις ηλεκτρονικές σφραγίδες και υπογραφές από άλλες χώρες, όποτε τις απαιτούν σε εθνικό επίπεδο. Ένα Δίκτυο Συνεργασίας επιτρέπει στα μέλη της ΕΕ να επιτύχουν διαλειτουργικότητα και ασφάλεια για τα συστήματα eID τους.
Ο κανονισμός eIDAS παρέχει μια κοινή βάση για ασφαλή ηλεκτρονική αλληλεπίδραση μεταξύ πολιτών, επιχειρήσεων και δημόσιων αρχών. Ο κανονισμός αποσκοπεί στην αύξηση της αποτελεσματικότητας των δημόσιων και ιδιωτικών διαδικτυακών υπηρεσιών, των ηλεκτρονικών επιχειρήσεων και του ηλεκτρονικού εμπορίου στην ΕΕ. Για το σκοπό αυτό, περιλαμβάνει διατάξεις για υπηρεσίες ηλεκτρονικής ταυτοποίησης και εμπιστοσύνης. Οι διατάξεις για την ηλεκτρονική αναγνώριση είναι νέες, καθώς αυτό το θέμα δεν αντιμετωπίστηκε στην προηγούμενη οδηγία 1999/93/ΕΚ που αντικαταστάθηκε από τον κανονισμό eIDAS. Οι διατάξεις αυτές αναφέρονται λεπτομερώς στα άρθρα 6 έως 16 του κανονισμού και αναφέρονται στις έννοιες της ηλεκτρονικής αναγνώρισης, των μέσων ηλεκτρονικής αναγνώρισης και των συστημάτων ηλεκτρονικής αναγνώρισης (ENISA, 2020):
- Η «Ηλεκτρονική Ταυτοποίηση» σχετίζεται με τη διαδικασία χρήσης προσωπικών δεδομένων ταυτοποίησης σε ηλεκτρονική μορφή, που αντιπροσωπεύουν μοναδικά είτε φυσικό είτε νομικό πρόσωπο, είτε φυσικό πρόσωπο που εκπροσωπεί νομικό πρόσωπο.
- «Ηλεκτρονικά μέσα αναγνώρισης» είναι η υλική ή/και άυλη μονάδα που περιέχει τα προσωπικά δεδομένα αναγνώρισης και η οποία χρησιμοποιείται για τον έλεγχο ταυτότητας σε μια διαδικτυακή υπηρεσία, και
- «Σύστημα ηλεκτρονικής αναγνώρισης» είναι το σύστημα ηλεκτρονικής αναγνώρισης βάσει του οποίου εκδίδονται ηλεκτρονικά μέσα αναγνώρισης σε φυσικά ή νομικά πρόσωπα ή φυσικά πρόσωπα που εκπροσωπούν νομικά πρόσωπα.
Ο κανονισμός εισάγει διάφορες διατάξεις, οι οποίες στοχεύουν στη δημιουργία ενός πλαισίου που θα επιτρέπει στους πολίτες να χρησιμοποιούν τα ηλεκτρονικά μέσα ταυτοποίησής τους διασυνοριακά με κοινό επίπεδο εμπιστοσύνης. Οι διατάξεις περιλαμβάνουν κυρίως τα ακόλουθα στοιχεία, ιδίως:
- Κοινοποίηση: ένα σύστημα ηλεκτρονικής αναγνώρισης μπορεί να κοινοποιηθεί στην Επιτροπή προκειμένου να επωφεληθεί από τη διασυνοριακή αναγνώριση. Τα κράτη μέλη μπορούν να υποβάλλουν συστήματα eID για προειδοποίηση σύμφωνα με ένα προκαθορισμένο πρότυπο που περιγράφει τις βασικές αρχές του συστήματος. Το CID (ΕΕ) 2015/1984 ορίζει τις περιστάσεις, τις μορφές και τις διαδικασίες κοινοποίησης για τα συστήματα eID. Παρέχει επίσης ένα έντυπο κοινοποίησης που χρησιμοποιείται από τα κράτη μέλη. Τα προκοινοποιημένα συστήματα εξετάζονται από εμπειρογνώμονες του eID κατά τη διάρκεια μιας διαδικασίας αξιολόγησης της ομοτιμίας. Το Δίκτυο Συνεργασίας eIDAS εκδίδει στη συνέχεια γνώμη σχετικά με τη συμμόρφωση του συστήματος ηλεκτρονικής ταυτοποίησης με τις διατάξεις του eIDAS (ειδικά όσον αφορά τη συμμόρφωση με τις απαιτήσεις του αιτούμενου LoA). Το CID (ΕΕ) 2015/296 περιγράφει λεπτομερώς τους όρους συνεργασίας μεταξύ των κρατών μελών, συμπεριλαμβανομένης της αξιολόγησης από ομοτίμους των συστημάτων.
- Αμοιβαία αναγνώριση: τα ηλεκτρονικά μέσα αναγνώρισης που έχουν εκδοθεί στο πλαίσιο κοινοποιημένων συστημάτων ηλεκτρονικής ταυτοποίησης αναγνωρίζονται για διασυνοριακό έλεγχο ταυτότητας για πρόσβαση σε δημόσιες διαδικτυακές υπηρεσίες. Αυτή η αμοιβαία αναγνώριση είναι υποχρεωτική μόνο για διαδικτυακές υπηρεσίες που απαιτούν μέσα ηλεκτρονικής αναγνώρισης με τουλάχιστον ένα ουσιαστικό επίπεδο διασφάλισης (LoA) και για συστήματα eID των οποίων το LoA αντιστοιχεί στο επίπεδο που απαιτείται από την ηλεκτρονική υπηρεσία.
- Επίπεδο διασφάλισης (LoA): ο κανονισμός εισάγει τρία επίπεδα διασφάλισης για μέσα ηλεκτρονικής αναγνώρισης που εκδίδονται στο πλαίσιο κοινοποιημένων συστημάτων ηλεκτρονικής ταυτοποίησης: Χαμηλό, Ουσιαστικό και Υψηλό. Το LoA των μέσων ηλεκτρονικής αναγνώρισης αναφέρεται στον βαθμό εμπιστοσύνης που μπορεί να δοθεί στη διεκδικούμενη ταυτότητα ενός ατόμου κατά τη διάρκεια μιας ηλεκτρονικής
Ο κανονισμός eIDAS εφαρμόζεται σε συστήματα ηλεκτρονικής ταυτοποίησης που κοινοποιούνται από τα κράτη μέλη και σε παρόχους υπηρεσιών εμπιστοσύνης που είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση, με εξαίρεση τις υπηρεσίες εμπιστοσύνης που «χρησιμοποιούνται αποκλειστικά σε κλειστά συστήματα που προκύπτουν από την εθνική νομοθεσία ή από συμφωνίες μεταξύ καθορισμένου συνόλου συμμετεχόντων» (άρθρ. 2). Επιπλέον, οι υπηρεσίες που πληρούν τις ισχύουσες απαιτήσεις που ορίζονται στον Κανονισμό είναι «κατάλληλοι» πάροχοι υπηρεσιών εμπιστοσύνης (άρθρο 3 παράγραφος 17). Ο κανονισμός δεν παρέχει γενικό ορισμό των «παραβιάσεων» ή της «απώλειας ακεραιότητας», αλλά αφορά την «γνωστοποίηση παραβιάσεων και τις εκτιμήσεις κινδύνου ασφάλειας» που είναι «ουσιώδεις για την παροχή επαρκών πληροφοριών στα ενδιαφερόμενα μέρη σε περίπτωση παραβίαση της ασφάλειας ή απώλεια ακεραιότητας». Σύμφωνα με το άρθρο 19 παράγραφος 2, τόσο οι ειδικευμένοι όσο και οι μη εξουσιοδοτημένοι πάροχοι υπηρεσιών εμπιστοσύνης πρέπει «εντός 24 ωρών αφότου λάβουν γνώση, να ενημερώσουν τον εποπτικό φορέα και, κατά περίπτωση, άλλους σχετικούς φορείς, όπως τον αρμόδιο εθνικό φορέα για πληροφορίες ασφάλειας ή την αρχή προστασίας δεδομένων, για τυχόν παραβίαση της ασφάλειας ή απώλεια ακεραιότητας που έχει σημαντικό αντίκτυπο στην παρεχόμενη υπηρεσία εμπιστοσύνης ή στα προσωπικά δεδομένα που διατηρούνται σε αυτήν». Σε περίπτωση που η παραβίαση επρόκειτο να «επηρεάσει δυσμενώς ένα φυσικό ή νομικό πρόσωπο στο οποίο έχει παρασχεθεί η αξιόπιστη υπηρεσία», τότε ο πάροχος υπηρεσιών εμπιστοσύνης πρέπει να «ειδοποιήσει το φυσικό ή νομικό πρόσωπο . . . χωρίς αδικαιολόγητη καθυστέρηση». Εάν το περιστατικό αφορά δύο ή περισσότερα κράτη μέλη, τότε οι πάροχοι υπηρεσιών εμπιστοσύνης θα πρέπει να ενημερώσουν την εθνική αρχή των οικείων κρατών μελών και τον ENISA. Εάν η «αποκάλυψη της παραβίασης της ασφάλειας ή της απώλειας της ακεραιότητας είναι προς το δημόσιο συμφέρον», τότε η κοινοποιημένη εποπτική αρχή είτε ενημερώνει το κοινό είτε ζητά από τον πάροχο εμπιστοσύνης να το πράξει. Οι ειδικευμένες υπηρεσίες εμπιστοσύνης δέχονται να ελέγχονται τουλάχιστον κάθε δύο χρόνια (με δικά τους έξοδα, άρθρο 20 παράγραφος 1). Ο κανονισμός θεσπίζει περαιτέρω εποπτικές αρχές για παρόχους υπηρεσιών εμπιστοσύνης, οι οποίοι θα πρέπει να «συνεργάζονται με τις αρχές προστασίας δεδομένων», ιδίως όσον αφορά τις ύποπτες παραβιάσεις των κανόνων προστασίας δεδομένων προσωπικού χαρακτήρα, ιδίως σε σχέση με περιστατικά ασφάλειας και παραβιάσεις προσωπικών δεδομένων (αιτιολογική σκέψη 31).
ΒΙΒΛΙΟΓΡΑΦΙΑ:
- Balakrishnan, S., & Deva, D. (2017). Issues and Challenges in E-Governance Caused by Privacy Threats. CSI Communications, 41(7), 28-29.
- Υπουργείο Διοικητικής Μεταρρύθμισης και Ηλεκτρονικής Διακυβέρνησης (2014). Στρατηγική για την Ηλεκτρονική Διακυβέρνηση 2014-2020. http://www.opengov.gr/minreform/wpcontent/uploads/downloads/2014/02/stratigiki-ilektron.-diakyv.-teliko-pdfpdf
- https://www.lawspot.gr/
- European Commission, (2018a). Digital Single Market Policy: Trust Services and Electronic Identification [eID]. European Parliament, (2018). “Single digital gateway: a time saver for citizens and companies,” Press Release, December 18
- European Commission, Security Considerations and the Role of ENISA, 2020