Διαφήμιση

Παρατηρήσεις της ΑΠΔΠΧ για τη νέα Ενιαία Ψηφιακή Πύλη Πληρωμών (Γνωμοδότηση 6/2026)

Η ΑΠΔΠΧ εισηγείται αναδιατυπώσεις στο σχέδιο νόμου, με έμφαση στην κατανομή των αρμοδιοτήτων, τον περιορισμό της επεξεργασίας δεδομένων και την προστασία των δικαιωμάτων των πολιτών

paratereseis-tes-apdpkh-gia-te-nea-eniaia-psephiake-pule-pleromon-gnomodotese-62026

Τις παρατηρήσεις της επί του σχεδίου νόμου για τη δημιουργία της Ενιαίας Ψηφιακής Πύλης Πληρωμών (ΕΨΠΠ), διατύπωσε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, κατόπιν σχετικού αιτήματος του Υπουργείου Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης. Η Γνωμοδότηση 6/2026 της Αρχής εξετάζει τη συμβατότητα του προτεινόμενου θεσμικού πλαισίου με τον Γενικό Κανονισμό Προστασίας Δεδομένων και εστιάζει τόσο στις βασικές αρχές της νομοθέτησης όσο και στις επιμέρους ρυθμίσεις που διέπουν τη λειτουργία της νέας πλατφόρμας.

Σύμφωνα με το σχέδιο νόμου, η ΕΨΠΠ προορίζεται να λειτουργήσει ως κεντρική ψηφιακή υποδομή για την υποστήριξη της διαδικασίας καταβολής παροχών προς φυσικά πρόσωπα και της βεβαίωσης, κοινοποίησης, παρακολούθησης, ρύθμισης και είσπραξης οφειλών προς φορείς της Γενικής Κυβέρνησης. Μεταξύ των προβλεπόμενων λειτουργιών της περιλαμβάνονται η συγκέντρωση στοιχείων δικαιούχων, η λειτουργία ενιαίου μηχανισμού αξιολόγησης δικαιώματος (eligibility engine), η αυτοματοποιημένη ή ημιαυτοματοποιημένη επιλογή δικαιούχων, η έκδοση διοικητικών πράξεων, η συγκέντρωση ενστάσεων, η ηλεκτρονική επικοινωνία με τους πολίτες, καθώς και η αξιοποίηση εφαρμογών επιχειρηματικής ευφυίας και τεχνητής νοημοσύνης για την υποβοήθηση της λήψης αποφάσεων και της άσκησης δημόσιας πολιτικής.

Οι γενικές επισημάνσεις της Αρχής

Εισαγωγικώς, η Αρχή υπενθυμίζει ότι κάθε επεξεργασία προσωπικών δεδομένων από δημόσιες αρχές πρέπει να στηρίζεται σε σαφή νομοθετική βάση, από την οποία να προκύπτουν τα βασικά χαρακτηριστικά της επεξεργασίας, όπως ο υπεύθυνος επεξεργασίας, ο σκοπός, οι κατηγορίες δεδομένων, οι αποδέκτες και ο χρόνος διατήρησης των δεδομένων. Επισημαίνει επίσης ότι, κατά τον σχεδιασμό μεγάλων πληροφοριακών συστημάτων του δημόσιου τομέα, πρέπει να εφαρμόζεται η αρχή της προστασίας των δεδομένων ήδη από τον σχεδιασμό, σύμφωνα με το άρθρο 25 παρ.1 ΓΚΠΔ.

Παρατηρήσεις επί των αρμοδιοτήτων και των ρόλων στην επεξεργασία

Κατά την εξέταση του άρθρου που αφορά τη σύσταση της ΕΨΠΠ, η Αρχή επισημαίνει ότι η παρακολούθηση της διαδικασίας υποβολής αιτήσεων παροχών, όπου αυτή απαιτείται, καθώς και η επιλογή δικαιούχων, εκφεύγουν των αρμοδιοτήτων που προβλέπονται για την ΕΨΠΠ και το Υπουργείο Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης και αποτελούν αρμοδιότητες των φορέων που χρησιμοποιούν την πλατφόρμα. Για τον λόγο αυτό συστήνει να επανεξεταστούν οι σχετικές διατάξεις. Παράλληλα, προτείνει να διαγραφεί από την αιτιολογική έκθεση η αναφορά στη «βελτιστοποίηση της λήψης αποφάσεων μέσω αξιοποίησης δεδομένων», επισημαίνοντας ότι αυτό δεν αποτελεί σκοπό της ΕΨΠΠ ούτε περιλαμβάνεται στις αρμοδιότητες του φορέα λειτουργίας της.

Ως προς τις διατάξεις που αφορούν την επεξεργασία δεδομένων, η Αρχή επισημαίνει ότι από το σχέδιο νόμου προκύπτει πως το Υπουργείο, κατά την υποστήριξη των αρμοδιοτήτων των φορέων της Γενικής Κυβέρνησης μέσω της ΕΨΠΠ, ενεργεί ως εκτελών την επεξεργασία, ενώ για τα δεδομένα αυθεντικοποίησης και τα οικονομικά στοιχεία που διακινούνται μέσω της πλατφόρμας ενεργεί ως υπεύθυνος επεξεργασίας μόνο για τους περιορισμένους σκοπούς που προβλέπονται στο σχέδιο νόμου. Παράλληλα, αναφέρει ότι η σχέση του εκάστοτε φορέα που χρησιμοποιεί την ΕΨΠΠ με το Υπουργείο αποτελεί, κατά βάση, σχέση υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία. Για τον λόγο αυτό επισημαίνει ότι η κοινή υπουργική απόφαση που θα εκδοθεί πρέπει να περιλαμβάνει τις προβλέψεις του άρθρου 28 παρ. 3 ΓΚΠΔ που διέπουν τη συγκεκριμένη σχέση.

Διαλειτουργικότητα και δικαιώματα των υποκειμένων

Η γνωμοδότηση περιλαμβάνει επίσης παρατηρήσεις για τη διαλειτουργικότητα της ΕΨΠΠ με τα πληροφοριακά συστήματα της δημόσιας διοίκησης. Η Αρχή επισημαίνει ότι οι σχετικές διατάξεις δεν μπορούν να δημιουργούν γενική δυνατότητα άντλησης κάθε είδους δεδομένων και συστήνει να προβλεφθεί ότι η ΕΨΠΠ αντλεί μόνο τα κατά περίπτωση αναγκαία δεδομένα μέσω του Κέντρου Διαλειτουργικότητας. Επιπλέον, προτείνει να καταστεί σαφές ότι κάθε φορέας και το Υπουργείο θα ανταλλάσσουν, μέσω διαλειτουργικότητας, μόνο τα δεδομένα που απαιτούνται για την άσκηση των αντίστοιχων αρμοδιοτήτων τους, τα οποία θα προσδιορίζονται ειδικότερα στην οικεία κοινή υπουργική απόφαση.

Ως προς την έκδοση διοικητικών πράξεων μέσω της ΕΨΠΠ, η Αρχή επισημαίνει ότι από τις προτεινόμενες διατάξεις απουσιάζουν αναφορές στα δικαιώματα των υποκειμένων των δεδομένων. Για τον λόγο αυτό προτείνει οι φορείς που εκδίδουν πράξεις μέσω της πλατφόρμας να διαβιβάζουν και τις απαραίτητες πληροφορίες για την άσκηση των δικαιωμάτων που προβλέπονται στα άρθρα 15 έως 22 ΓΚΠΔ, ώστε να είναι σαφείς ο υπεύθυνος επεξεργασίας και τα δικαιώματα που μπορεί να ασκήσει κάθε πολίτης. Παράλληλα, διατυπώνει παρατηρήσεις για το προβλεπόμενο ηλεκτρονικό αποθετήριο οικονομικών συναλλαγών, επισημαίνοντας ότι τα βασικά χαρακτηριστικά της επεξεργασίας, συμπεριλαμβανομένων των χρόνων τήρησης των δεδομένων, θα πρέπει να προσδιορίζονται στην κοινή υπουργική απόφαση με την οποία εντάσσεται κάθε φορέας στην ΕΨΠΠ.

Εκτίμηση αντικτύπου

Τέλος, η Αρχή επισημαίνει ότι η προβλεπόμενη επεξεργασία εμπίπτει στις περιπτώσεις για τις οποίες απαιτείται εκτίμηση αντικτύπου, καθώς αφορά μεγάλης κλίμακας επεξεργασία στο πλαίσιο υπηρεσιών ηλεκτρονικής διακυβέρνησης. Όπως αναφέρει, η εκτίμηση αυτή είναι σκόπιμο να διενεργηθεί ήδη κατά το στάδιο του νομοθετικού σχεδιασμού και πριν από την έναρξη της επεξεργασίας. Στην περίπτωση αυτή, οι φορείς που θα χρησιμοποιήσουν μεταγενέστερα την πλατφόρμα δεν θα απαιτείται να εκπονήσουν νέα εκτίμηση αντικτύπου, αλλά να εξειδικεύσουν τα μέτρα αντιμετώπισης των κινδύνων κατά το στάδιο της εφαρμογής.

Το πλήρες κείμενο της Γνωμοδότησης 6/2026 είναι διαθέσιμο στον ιστότοπο της Αρχής.