ΑΠΔΠΧ: Επιφυλάξεις για το νέο σύστημα έκδοσης ακτοπλοϊκών εισιτηρίων και συλλογής δεδομένων επιβατών (Γνωμοδότηση 5/2026)

Με τη Γνωμοδότηση 5/2026, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διατύπωσε παρατηρήσεις επί σχεδίου προεδρικού διατάγματος του Υπουργείου Ναυτιλίας και Νησιωτικής Πολιτικής για τη δημιουργία και λειτουργία του «Ηλεκτρονικού Συστήματος Κράτησης θέσεων, Έκδοσης και Παραγωγής εισιτηρίων επιβατών, αποδείξεων μεταφοράς οχημάτων και λοιπών Παραστατικών θαλάσσιας μεταφοράς» (Η.Σ.Κ.Ε.Π.Π.Α.).

Σύμφωνα με το σχέδιο, το σύστημα προορίζεται να λειτουργεί ως ολοκληρωμένο πληροφοριακό σύστημα των μεταφορέων για την ηλεκτρονική κράτηση θέσεων, την έκδοση και παραγωγή παραστατικών θαλάσσιας μεταφοράς επιβατών, βρεφών, οχημάτων, μεγαλόσωμων ζώων συντροφιάς και πραγμάτων. Παράλληλα προβλέπεται η συγκέντρωση και αξιολόγηση στοιχείων που αφορούν τις θαλάσσιες μεταφορές. Μεταξύ των σκοπών του συστήματος περιλαμβάνονται ο έλεγχος και η επιβεβαίωση στοιχείων επιβατών, οχημάτων και μεταφερόμενων αντικειμένων για λόγους ασφάλειας της ναυσιπλοΐας και πρόληψης και καταστολής εγκλημάτων, η εξακρίβωση δικαιούχων του Αντισταθμίσματος Νησιωτικού Κόστους (Α.ΝΗ.ΚΟ.) και η στατιστική επεξεργασία των συλλεγόμενων δεδομένων.

Η Αρχή αναγνώρισε ότι το προτεινόμενο πλαίσιο επιδιώκει θεμιτούς σκοπούς δημοσίου συμφέροντος, ιδίως τον εκσυγχρονισμό των διαδικασιών θαλάσσιας μεταφοράς και τη βελτίωση της διαχείρισης των σχετικών υπηρεσιών. Ωστόσο, διαπίστωσε ότι το σύστημα εξυπηρετεί πολλαπλούς και ετερογενείς σκοπούς επεξεργασίας, ενώ προβλέπεται εκτεταμένη συλλογή και διαβίβαση δεδομένων προσωπικού χαρακτήρα χωρίς να προκύπτει επαρκώς ότι η επεξεργασία περιορίζεται στα απολύτως αναγκαία δεδομένα για κάθε επιμέρους σκοπό. Επιπλέον, εντόπισε ελλείψεις ως προς τον σαφή προσδιορισμό του υπευθύνου επεξεργασίας, του χρόνου τήρησης των δεδομένων, των εγγυήσεων ασφάλειας, της διασφάλισης των δικαιωμάτων των υποκειμένων και των διαβιβάσεων προς τρίτους.

Ειδικότερα, ως προς τους σκοπούς επεξεργασίας, η Αρχή έκρινε ότι απαιτείται σαφέστερος προσδιορισμός της νομικής βάσης για κάθε σκοπό και ειδική τεκμηρίωση της αναγκαιότητας και της καταλληλότητας των κατηγοριών δεδομένων που προβλέπεται να υποβάλλονται σε επεξεργασία. Ιδιαίτερη αναφορά γίνεται στον σκοπό της πρόληψης και καταστολής εγκλημάτων, για τον οποίο επισημαίνεται ότι πρόκειται για ιδιαίτερα παρεμβατική μορφή επεξεργασίας και ότι απαιτείται αυτοτελής και σαφής ρύθμιση με ειδική τεκμηρίωση της αναγκαιότητας και της αναλογικότητάς της.

Η Αρχή συνέστησε επίσης να εξεταστεί αν για την επίτευξη των επιδιωκόμενων σκοπών είναι πράγματι αναγκαία η συγκέντρωση ονομαστικών δεδομένων στο ολοκληρωμένο πληροφοριακό σύστημα ή αν αρκεί η χρήση ψευδωνυμοποιημένων ή ανωνυμοποιημένων δεδομένων, ανάλογα με τον σκοπό της επεξεργασίας.

Όσον αφορά τις κατηγορίες δεδομένων που προβλέπεται να συλλέγονται, η Αρχή επισήμανε ότι το σύστημα θα επεξεργάζεται εκτεταμένο αριθμό προσωπικών δεδομένων επιβατών, μεταξύ των οποίων στοιχεία ταυτοποίησης, ημερομηνία γέννησης και ιθαγένεια. Υπογράμμισε ότι πρέπει να επανεξεταστεί η αναγκαιότητα συλλογής των προβλεπόμενων δεδομένων και ότι οι κατηγορίες δεδομένων οφείλουν να προσδιορίζονται με σαφήνεια, ακρίβεια και εξαντλητική απαρίθμηση στο κανονιστικό κείμενο.

Παράλληλα, η Αρχή διαπίστωσε ότι το σχέδιο αναφέρεται γενικά στην προστασία των δεδομένων από καταστροφή, απώλεια ή μη εξουσιοδοτημένη πρόσβαση, χωρίς όμως να εξειδικεύει τα απαιτούμενα τεχνικά και οργανωτικά μέτρα ασφάλειας. Για τον λόγο αυτό πρότεινε να καθοριστούν ειδικότερες υποχρεώσεις και ελάχιστοι στόχοι ασφάλειας για το πληροφοριακό σύστημα.

Ως προς τη διατήρηση των δεδομένων, το σχέδιο προβλέπει πενταετή περίοδο τήρησης των ηλεκτρονικών αρχείων, εκτός αν ορίζεται διαφορετικά από τη φορολογική ή στατιστική νομοθεσία. Η Αρχή έκρινε ότι ο χρόνος διατήρησης πρέπει να συνδέεται με τον σκοπό της επεξεργασίας και να προσδιορίζεται ειδικότερα ανά σκοπό και κατηγορία δεδομένων.

Τέλος, η Αρχή επισήμανε ότι το προβλεπόμενο ολοκληρωμένο πληροφοριακό σύστημα περιλαμβάνει διασυνδέσεις με τρίτα συστήματα και υποσυστήματα ανταλλαγής δεδομένων, γεγονός που απαιτεί σαφή καθορισμό των αποδεκτών των δεδομένων και των σκοπών της κοινοποίησης. Παράλληλα, συνέστησε να προβλεφθεί η διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων και να διασφαλιστεί η αποτελεσματική άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων κατά τη λειτουργία του συστήματος.

Το πλήρες κείμενο της Γνωμοδότησης 5/2026 ΑΠΔΠΧ είναι διαθέσιμο στον ιστότοπο της Αρχής