Smart Policing: Έλλειψη νομικής βάσης επεξεργασίας για την ταυτοποίηση με βιομετρικά δεδομένα από την Ελληνική Αστυνομία (ΑΠΔΠΧ 45/2025)

Κατόπιν εξέτασης του συστήματος «Έξυπνης Αστυνόμευσης» (Smart Policing) της Ελληνικής Αστυνομίας, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπίστωσε ότι δεν υφίσταται νομική βάση για τη σκοπούμενη επεξεργασία. Διαπίστωσε, επίσης, ότι δεν είχε διενεργηθεί έγκαιρα η απαιτούμενη εκτίμηση αντικτύπου προσωπικών δεδομένων κατά το στάδιο της πιλοτικής εφαρμογής του συστήματος (ΑΠΔΠΧ 45/2025).

Ειδικότερα, υποβλήθηκε από μη κερδοσκοπική οργάνωση αίτημα έκδοσης γνωμοδότησης από την Αρχή, αναφορικά με τη νομιμότητα της σύμβασης προμήθειας συστημάτων για την Έξυπνη Αστυνόμευση (Smart Policing). Όπως αναφέρεται στο εν λόγω έγγραφο, η σύμβαση αυτή αφορά την εφαρμογή σύγχρονων τεχνολογιών έξυπνων φορητών συσκευών σε πεζές και εποχούμενες περιπολίες, με σκοπό τον προσδιορισμό και την επαλήθευση της ταυτότητας των πολιτών που υπόκεινται σε επιτόπιο έλεγχο. Η προτεινόμενη δράση προωθεί την ταυτοποίηση πολιτών μέσω των εν λόγω φορητών συσκευών επιτόπου χωρίς προσαγωγή στο πλησιέστερο Αστυνομικό Τμήμα για εξακρίβωση στοιχείων. Για το σκοπό αυτό, προβλέπεται και η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (όπως τα βιομετρικά δεδομένα).

Η ΕΛ.ΑΣ με έγγραφό της προς την Αρχή δήλωσε, ως προς την περιγραφή του συστήματος, ότι δεν συνιστά σύστημα επιτήρησης και ελέγχου, ότι τα βιομετρικά δεδομένα (δακτυλικό αποτύπωμα και φωτογραφία προσώπου) αποστέλλονται μόνο για πραγματοποίηση αναζήτησης χωρίς αποθήκευση ή άλλου είδους επεξεργασία στις φορητές συσκευές ή σε σημείο του κεντρικού εξοπλισμού, το υφιστάμενο εθνικό αυτοματοποιημένο σύστημα αναγνώρισης αποτυπωμάτων (AFIS) και το σύστημα αναγνώρισης φωτογραφιών προσώπων δεν εμπεριέχουν στις εγγραφές τους πλην των βιομετρικών, λοιπά ονομαστικά δεδομένα. Επομένως, μια πιθανή ταύτιση επιστρέφει στο σύστημα ένα μοναδικό αριθμό, μέσω του οποίου και της υφιστάμενης εφαρμογής του Police on Line «Διαχείριση Ευρετηρίων Δ.Ε.Ε.» αντλούνται τα αντίστοιχα ονομαστικά στοιχεία, τα οποία αναζητούνται αυτοματοποιημένα στο σύνολο των βάσεων δεδομένων που έχει στη διάθεσή της η ΕΛ.ΑΣ. Η δε χρήση γίνεται μόνο μέσω του συστήματος εξουσιοδότησης του δικτύου Police on Line και τα στοιχεία του χρήστη καταγράφονται. Οι χρήστες, επιπλέον, εκπαιδεύονται σε θέματα ασφάλειας και προστασίας προσωπικών δεδομένων και αποδέχονται την Πολιτική Ασφαλείας Πληροφοριών και Πληροφοριακών Συστημάτων της ΕΛ.ΑΣ.

Σύμφωνα με το σκεπτικό της Αρχής, το άρθρο 45Α παρ. 1 ν. 4624/2019 παρέχει την γενική νομοθετική βάση θέσπισης ειδικών ρυθμίσεων για την επεξεργασία προσωπικών δεδομένων προς διακρίβωση εγκλημάτων στο πλαίσιο ποινικής διαδικασίας. Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για την επίτευξη των σκοπών του άρθρου 43 παρ. 1 ν. 4624/2019 απαιτείται, με βάση την αρχή της νομιμότητας, η οποία κατοχυρώνεται από το άρθρο 45Α του ν 4624/2019 στο πλαίσιο της Οδηγίας (ΕΕ) 2016/680, η πρόβλεψή της σε τυπικό νόμο, όπου θα προβλέπονται ουσιαστικές και διαδικαστικές προϋποθέσεις και εγγυήσεις, όπως, μεταξύ άλλων, η άσκηση των δικαιωμάτων των υποκειμένων, οι σκοποί της επεξεργασίας, τα δεδομένα προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία και ο χρόνος τήρησης και διαγραφής των δεδομένων.

Περαιτέρω, σύμφωνα με την παρ. 1 του άρθρου 46 του ν. 4624/2019, για την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, μεταξύ των οποίων περιλαμβάνονται τα βιομετρικά δεδομένα, απαιτείται ρητή πρόβλεψη σε νόμο.

Εν προκειμένω, η ΕΛ.ΑΣ. επικαλείται τις διατάξεις των άρθρων 27-29 του ΠΔ 342/1977. Κατά την κρίση της Αρχής, ωστόσο, οι διατάξεις αυτές αφενός αναφέρονται σε κατηγορούμενους, συλληφθέντες, καταδικασθέντες, καθώς και σε άτομα πέραν τούτων, των οποίων η ταυτότητα δεν είναι δυνατόν να εξακριβωθεί με άλλον τρόπο, υπό την προϋπόθεση ότι εκδίδεται διαταγή από τον αρμόδιο για την εξακρίβωση της ταυτότητας «Διοικητικού Αξιωματικού της Χωροφυλακής ή της Αστυνομίας Πόλεων» και αφετέρου αποτελούν ιδιαιτέρως παλαιές και ανεπίκαιρες ρυθμίσεις, που προφανώς δεν καταλαμβάνουν την έννοια των βιομετρικών δεδομένων και δη της λήψης βιομετρικών φωτογραφιών υπό το φως της νομοθεσίας για την προστασία προσωπικών δεδομένων και δεν μπορούν, ως εκ τούτου, να αποτελέσουν την αναγκαία νομική βάση για την σκοπούμενη επεξεργασία.

Συνεπώς, παραβιάζεται η θεμελιώδης αρχή της νομιμότητας, δεδομένου ότι η νομιμότητα της επεξεργασίας αυτής προϋποθέτει, όπως προβλέπεται και στα άρθρα 45Α και 46 του ν. 4624/2019, τη θέσπιση ειδικής εθνικής ρύθμισης, περιέχουσα ως ελάχιστο περιεχόμενο τα στοιχεία της παρ. 2 του εν λόγω άρθρου 45Α.

Η Αρχή επεσήμανε ότι ο ισχυρισμός εκπροσώπου της ΕΛ.ΑΣ. που τέθηκε κατά την ακροαματική διαδικασία ενώπιον της Αρχής, περί της θέσης του συστήματος σε πιλοτική λειτουργία για μικρό χρονικό διάστημα και μη χρήσης του επί του παρόντος, δεν περιέχεται στο προσκομισθέν υπόμνημα, με αποτέλεσμα να παραμένει αμφιβολία για την εν δυνάμει παράνομη επεξεργασία από τυχόν παραγωγική λειτουργία του συστήματος.

Αναφορικά με τη διενέργεια της απαιτούμενης εκτίμησης αντικτύπου προσωπικών δεδομένων (ΕΑΠΔ), η ΕΛ.ΑΣ. υποστήριξε ότι διενεργήθηκε μόλις το 2023 με ενεργή συμμετοχή του ΥΠΔ και όχι κατά το χρονικό διάστημα της προμήθειας της σύμβασης, καθώς το κρίσιμο χρονικό διάστημα της προμήθειας δεν είχε εκδοθεί ο νόμος 4624/2019 για την προστασία προσωπικών δεδομένων που ενσωμάτωσε την Οδηγία (ΕΕ) 2016/680.

Δεδομένου, όμως, ότι ο ν. 4624/2019, με τον οποίο ενσωματώθηκε η οδηγία (ΕΕ) 2016/680, τέθηκε σε ισχύ στις 29-08-2019 (και ανεξαρτήτως του ότι η προθεσμία που είχε οριστεί για τη μεταφορά της στην εθνική έννομη τάξη είχε λήξει στις 25-05-2018), η ΕΛ.ΑΣ. είχε την υποχρέωση, σύμφωνα με το άρθρο 65 του ανωτέρω νόμου, να διενεργήσει ΕΑΠΔ τουλάχιστον από την ανωτέρω ημερομηνία έναρξης ισχύος του νόμου αυτού, όπως, άλλωστε, ενημερώθηκε από την Αρχή και έπραξε εκ των υστέρων με καθυστέρηση. Με τα δεδομένα αυτά, προκύπτει παράβαση του εν λόγω άρθρου, εν όψει όμως του γεγονότος ότι η επεξεργασία περιορίστηκε σε πιλοτική εφαρμογή χωρίς να προκύπτει ζημία για υποκείμενα των δεδομένων, η Αρχή κρίνει ότι δεν συντρέχει περίπτωση επιβολής της κύρωσης του διοικητικού προστίμου που προβλέπεται με το εφαρμοστέο στην παρούσα υπόθεση άρθρο 82 του ν. 4624/2019.

Κατόπιν των ανωτέρω, η Αρχή απηύθυνε προειδοποίηση για τη μη ενεργοποίηση του Σύστηματος για την Έξυπνη Αστυνόμευση, δεδομένου ότι με το υφιστάμενο νομικό πλαίσιο τυχόν παραγωγική λειτουργία του συστήματος, θα συνιστούσε παράνομη επεξεργασία προσωπικών δεδομένων και θα παραβίαζε τις διατάξεις του προαναφερθέντος νόμου.

Δείτε αναλυτικά την απόφαση της Αρχής στο dpa.gr.