προσωπικός-αριθμός-οι-παρατηρήσεις-τ-1256284
ΝΟΜΟΘΕΣΙΑ | 06.02.2024 | 17:27

Προσωπικός Αριθμός: Οι παρατηρήσεις της Αρχής Προστασίας Δεδομένων

Προσωπικός Αριθμός: Οι παρατηρήσεις της Αρχής Προστασίας Δεδομένων

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα συνήλθε μετά από πρόσκληση του Προέδρου της σε συνεδρίαση μέσω τηλεδιασκέψεως την Τρίτη 23/1/2024 και ώρα 09:30 και, σε συνέχεια της συνεδρίασης, την Πέμπτη 25/1/2024 και ώρα 14:00, προκειμένου να εκδώσει γνώμη επί προεδρικού διατάγματος κατόπιν αιτήματος του Υπουργείου Ψηφιακής Διακυβέρνησης.

Παρέστησαν ο Πρόεδρος της Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά μέλη της Αρχής Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λαμπρινουδάκης, ως εισηγητής, Χρήστος Καλλονιάτης, Αικατερίνη Ηλιάδου καθώς και το αναπληρωματικό μέλος Νικόλαος Λίβος σε αντικατάσταση του τακτικού μέλους Χαράλαμπου Ανθόπουλου, ο οποίος, αν και εκλήθη νομίμως, δεν παρέστη λόγω κωλύματος.

Το τακτικό μέλος Γρηγόριος Τσόλιας όπως και η αναπληρώτριά του Μαρία Ψάλλα δεν παρέστησαν λόγω κωλύματος, αν και εκλήθησαν νομίμως. Παρόντες, χωρίς δικαίωμα ψήφου, ήταν οι Ελένη Μαραγκού, Γεωργία Παναγοπούλου και Γεώργιος Ρουσόπουλος, ειδικοί επιστήμονες, ως βοηθοί εισηγητή και η Γεωργία Παλαιολόγου, υπάλληλος του τμήματος διοικητικών υποθέσεων, ως γραμματέας. Δεν παρέστη ο Κωνσταντίνος Λιμνιώτης, ειδικός επιστήμονας, βοηθός εισηγητή, λόγω κωλύματος.

Η Αρχή έλαβε υπόψη της τα παρακάτω:

Το Υπουργείο Ψηφιακής Διακυβέρνησης (εφεξής ΥΨΔ) με το αρ. πρωτ. Γ/ΕΙΣ/8531/01-12-2023 έγγραφο υπέβαλε προς Γνωμοδότηση από την Αρχή σχέδιο του προβλεπόμενου στο άρθρο 107 παρ. 6 του ν. 4727/2020 Προεδρικού Διατάγματος (εφεξής ΠΔ), που αφορά τον Προσωπικό Αριθμό (εφεξής ΠΑ).

Ειδικότερα, σύμφωνα με το άρθρο 107, παρ. 6 του ν. 4727/2020: «Με προεδρικό διάταγμα που εκδίδεται ύστερα από πρόταση των Υπουργών Οικονομικών, Εργασίας και Κοινωνικών Υποθέσεων και Ψηφιακής Διακυβέρνησης και ύστερα από γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καθορίζονται τα μέτρα, οι εγγυήσεις και οι μηχανισμοί ασφαλείας για την πρόληψη και την αντιμετώπιση των κινδύνων για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων, η διαδικασία χορήγησης του Προσωπικού Αριθμού, και ιδίως οι υπηρεσίες διεκπεραίωσης, τα απαιτούμενα δικαιολογητικά και οι υπηρεσίες ελέγχου αυτών, οι λόγοι αναστολής του, το χρονοδιάγραμμα που προβλέπεται στην παρ. 5 του άρθρου 11, η διαδικασία έκδοσης του Π.Α., οι όροι και η διαδικασία για την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και για την αντιστοίχιση των Π.Α. με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα, ιδίως Α.Φ.Μ. και Α.Μ.Κ.Α., τα ειδικότερα ζητήματα για την τήρηση του Μητρώου Προσωπικού Αριθμού, τα τεχνικά και οργανωτικά μέτρα που τηρεί η Γ.Γ.Π.Σ.Δ.Δ., τα τεχνικά και οργανωτικά μέτρα που τηρούν οι φορείς του δημοσίου τομέα που επεξεργάζονται τον Π.Α. μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Δ.Δ., καθώς και κάθε τεχνική ή άλλη λεπτομέρεια για την εφαρμογή του άρθρου 11. Η Γ.Γ.Π.Σ.Δ.Δ. υποχρεούται να διενεργήσει πριν από την έκδοση του προεδρικού διατάγματος την εκτίμηση αντικτύπου της επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα οριζόμενα στον Γενικό Κανονισμό Προστασίας Δεδομένων.»

Στη συνεδρίαση της Αρχής στις 19-12-2023 παρευρέθηκαν κατόπιν της με αρ. πρωτ. Γ/ΕΞΕ/3171/11-12-2023 πρόσκλησης, οι Α, Διευθυντής Γραφείου του Υπουργού Ψηφιακής Διακυβέρνησης, Β, Γενικός Γραμματέας Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης, Γ, Υπεύθυνος Προστασίας Δεδομένων του Υπουργείου, Ευαγγελία Μήτρου, Νομική Σύμβουλος σε θέματα προσωπικών δεδομένων με ΑΜΔΣΑ ……, Βασίλης Καρκατζούνης, Νομικός Σύμβουλος του Υπουργείου με ΑΜΔΣΑ …….., Δ, Γενικός Διευθυντής Παραγωγικής Λειτουργίας του Υπουργείου και Ε, Διευθύντρια Υποστήριξης Συστημάτων του Υπουργείου, οι οποίοι απάντησαν σε ερωτήσεις, παρείχαν διευκρινίσεις και εξέφρασαν τις θέσεις του ΥΨΔ επί διαφόρων διατάξεων του σχεδίου ΠΔ. Στη συνέχεια το ΥΨΔ υπέβαλε το με αρ. πρωτ. Γ/ΕΙΣ/9/02-01-2024 υπόμνημα στο οποίο περιλήφθηκαν σχετικές διευκρινίσεις και θέσεις, καθώς και σχέδιο της προβλεπόμενης στο άρθρο 107, παρ. 6 του ν. 4727/2020 εκτίμησης αντικτύπου της επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα.

Το σχέδιο του υποβληθέντος ΠΔ περιλαμβάνεται στο Παράρτημα της παρούσας Γνωμοδότησης.

Η Αρχή, μετά από εξέταση των στοιχείων του φακέλου και αφού άκουσε τον εισηγητή και τους βοηθούς εισηγητή, οι οποίοι παρέστησαν χωρίς δικαίωμα ψήφου, μετά από διεξοδική συζήτηση

ΕΚΔΙΔΕΙ ΤΗΝ ΑΚΟΛΟΥΘΗ ΓΝΩΜΟΔΟΤΗΣΗ

Α) Γενικές Παρατηρήσεις

1. Η Αρχή επισημαίνει ότι το περιεχόμενο του άρθρου 11 του ν. 4727/2020, με το οποίο ρυθμίστηκαν οι βασικές αρχές χρήσης του ΠΑ, περιήλθε σε γνώση της με την ανάρτηση των προς ψήφιση διατάξεων σε δημόσια διαβούλευση. Με πρωτοβουλία της Αρχής ζητήθηκε ενημέρωση και πληροφορίες σχετικά με τα βασικά στοιχεία της σχεδιαζόμενης ρύθμισης. Ακολούθησε ανταλλαγή διευκρινιστικών εγγράφων κατά το διάστημα Ιουλίου-Σεπτεμβρίου 2020 (βλ. έγγραφα με αρ. πρωτ. Γ/ΕΞ/5099/20-07-2020, Γ/ΕΙΣ/5571/10-08-2020, Γ/ΕΞ/5571- 1/13-08-2020 και Γ/ΕΙΣ/6117/09-09-2020). Σημειώνεται ότι ο νόμος κατατέθηκε και ψηφίστηκε χωρίς να ζητηθεί ή να εκδοθεί Γνωμοδότηση από την Αρχή και ενώ εκκρεμούσαν διευκρινίσεις σε ερωτήματα που είχαν τεθεί.

2. Η σχεδιαστική επιλογή τήρησης των προβλεπόμενων δεδομένων όλων των πολιτών στο μητρώο ΠΑ έχει ως συνέπεια τη συγκέντρωση, σ’ ένα κεντρικό σημείο, δεδομένων όπως το ονοματεπώνυμο, πατρώνυμο, μητρώνυμο, τόπος γέννησης, αλλά και όλων των τομεακών αναγνωριστικών τα οποία χρησιμοποιούν οι πολίτες για διαφορετικούς σκοπούς σε διαφορετικούς τομείς (Αριθμός Φορολογικού Μητρώου, Αριθμός Δελτίου Ταυτότητας, Αριθμός Μητρώου Κοινωνικής Ασφάλισης). Επισημαίνεται ότι εάν τα προσωπικά δεδομένα «όνομα – επώνυμο – πατρώνυμο – μητρώνυμο – ημ/γέννησης – τόπος γέννησης» ήταν επικαιροποιημένα σε όλα τα επιμέρους μητρώα (κάτι που θεωρείται ούτως ή άλλως βασική προϋπόθεση για τη σωστή λειτουργία του ΠΑ ως μεθόδου επαλήθευσης ταυτότητας), τότε θα μπορούσε, ενδεχομένως, να είχε εξεταστεί μία διαφορετική αρχιτεκτονική και να μην ήταν αναγκαία η τήρηση όλων των επιμέρους τομεακών αναγνωριστικών στο κεντρικό μητρώο ΠΑ. Το ζήτημα αυτό είχε ήδη επισημάνει κατά το παρελθόν η Αρχή, και μάλιστα προ του ΓΚΠΔ (βλ. Ετήσια Έκθεση της Αρχής για το 2012, σελ. 61), ενώ το επανέλαβε και κατά την προαναφερθείσα ανταλλαγή εγγράφων προ της ψήφισης του ν. 4727/2020 (βλ. με αρ. πρωτ. Γ/ΕΞ/5571-1/13-08-2020 έγγραφο της Αρχής).

3. Τόσο από το νόμο όσο και από το σχέδιο ΠΔ προκύπτει ότι ο ΠΑ εισάγεται ως απαραίτητο στοιχείο υπηρεσίας παροχής επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα. Το μητρώο ΠΑ επιτρέπει την αντιστοίχιση των ΠΑ με τους αναγνωριστικούς αριθμούς των επιμέρους μητρώων (τομεακά αναγνωριστικά) κάθε δημόσιου φορέα και την ορθή ταυτοποίηση του πολίτη μέσω ενός ευκολομνημόνευτου αριθμού, αλλά χωρίς ο αριθμός αυτός να τηρείται στα επιμέρους μητρώα. Δεδομένου του σκοπού της επεξεργασίας, η Αρχή κρίνει ότι η επεξεργασία που αφορά το μητρώο του ΠΑ πληροί τις αρχές επεξεργασίας του άρθρου 5 παρ. 1 του ΓΚΠΔ. Τονίζεται ότι, για την ορθή εφαρμογή του σχεδιασμού αυτού, ο εν λόγω σκοπός πρέπει να εξασφαλιστεί ότι θα παραμείνει και στο μέλλον ως ο μοναδικός σκοπός επεξεργασίας από όλους τους δημόσιους (αλλά και λοιπούς μη δημόσιους) φορείς (με βάση την αρχή του περιορισμού του σκοπού). Τυχόν μελλοντικά προβλεπόμενη επεξεργασία του ΠΑ για διαφορετικό σκοπό θα χρειαστεί νομοθετική ρύθμιση και αξιολόγηση της νομιμότητας της νέας επεξεργασίας.

4. Επισημαίνεται ιδιαίτερα ότι έως το στάδιο έκδοσης της γνωμοδότησης και μετά από ερωτήματα της Αρχής, αναφέρθηκε ότι δεν υφίσταται πρόβλεψη σχετικά με δημόσιο έγγραφο στο οποίο θα αναγράφεται ο ΠΑ (όπως δελτίο αστυνομικής ταυτότητας ή άλλο). Αντίστοιχη πρόβλεψη δεν υπάρχει ούτε στο σχέδιο ΠΔ αλλά ούτε και στο Νόμο. Η Αρχή επισημαίνει ότι γνωμοδοτεί για το ΠΔ και αξιολογεί ως επαρκές το επίπεδο προστασίας της χρήσης του ΠΑ ως δεδομένου προσωπικού χαρακτήρα στο πλαίσιο της παραπάνω αναφερόμενης επεξεργασίας (τήρηση της αρχής της ελαχιστοποίησης), με την παραδοχή ότι δεν αναγράφεται σε κάποιο δημόσιο έγγραφο.

5. Επισημαίνεται επίσης ότι, με την καθιέρωση του ΠΑ (και μετά την ορθή λειτουργία του μητρώου αυτού και των συναφών διαδικασιών διαλειτουργικότητας) παύει η ανάγκη τήρησης πολλαπλών τομεακών αναγνωριστικών από τους δημόσιους φορείς (δηλαδή ένας δημόσιος φορέας να τηρεί πέραν του ενός τομεακού αναγνωριστικού για τον κάθε πολίτη), καθώς κάτι τέτοιο θα προσέκρουε στην αρχή της ελαχιστοποίησης. Συνεπώς, προτείνεται ο μακροπρόθεσμος σχεδιασμός να προβλέψει: α) να προσαρμοστούν τα μητρώα του Δημοσίου στη λογική της τήρησης ενός και μόνο τομεακού αναγνωριστικού ανά φορέα (και άρα, όπου σήμερα τηρούνται πολλαπλά αναγνωριστικά, να επανασχεδιαστούν οι εφαρμογές στην κατεύθυνση της απάλειψης των λοιπών, μη αναγκαίων, τομεακών αναγνωριστικών) και β) να αποκλειστεί, σε χρόνο που θα προσδιοριστεί κατάλληλα από το σχεδιασμό του ΥΨΔ, η δυνατότητα διαβίβασης από το ΥΨΔ προς δημόσιους φορείς τομεακών αναγνωριστικών διαφορετικών από το αναγνωριστικό που αντιστοιχεί στον τομέα του κάθε φορέα, δραστηριότητα η οποία (ως διαλειτουργικότητα) είναι αρμοδιότητα του ΥΨΔ. Θα μπορούσε να προβλεφθεί σχετική ρύθμιση αντίστοιχη με την παρ. 2 του άρθρου 8 του σχεδίου ΠΔ.

6. Από τις διατάξεις του σχεδίου ΠΔ που τέθηκαν υπόψη της Αρχής δεν προκύπτει σχεδιασμός σε σχέση με τον ενδεχόμενο ρόλο του ΠΑ ως δεδομένου ταυτοποίησης που προβλέπει ο Κανονισμός eIDAS1, ή για τη σχέση του με άλλο αναγνωριστικό στην περίπτωση, που ο ΠΑ δεν αποτελέσει δεδομένο ταυτοποίησης στο πλαίσιο του εν λόγω Κανονισμού. Εφόσον υπάρχει σχετικός σχεδιασμός, σκόπιμο είναι η σχετική πρόβλεψη να περιληφθεί στο ΠΔ, όπως επίσης και τυχόν σχεδιασμός για ενδεχόμενη χρήση του ΠΑ για την αυθεντικοποίηση του πολίτη σε ηλεκτρονικές υπηρεσίες, μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης- gov.gr.

Β) Επί των διατάξεων του σχεδίου ΠΔ

7. Στο άρθρο 2, παρ. 5 αναφέρεται ότι ο ΠΑ «εκδίδεται και χορηγείται» ενώ στην προηγούμενη παρ. 4 αναφέρεται μόνο ότι «χορηγείται». Εάν δεν υπάρχει ειδική αιτιολόγηση για τη διαφοροποίηση, πρέπει να χρησιμοποιηθεί η ίδια διατύπωση και στις δύο παραγράφους. Διαφορετικά πρέπει να εξηγηθεί η διαφορά μεταξύ έκδοσης και χορήγησης στις δύο αυτές παραγράφους.

8. Στο άρθρο 3, παρ. 1 αναφέρεται ότι το μητρώο ΠΑ τηρείται με σκοπό την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και την αντιστοίχιση των ΠΑ με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα για την επίτευξη διαλειτουργικότητας των πληροφοριακών συστημάτων των φορέων αυτών μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Ψ.Δ., σύμφωνα με το άρθρο 84 του ν. 4727/2020. Η αναφορά σε επίτευξη διαλειτουργικότητας των πληροφοριακών συστημάτων των φορέων, ως τμήμα του σκοπού της επεξεργασίας δεν φαίνεται ότι είναι ορθή. Ο σκοπός του ΠΑ είναι συγκεκριμένος και ειδικός, αφορά την «παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και την αντιστοίχιση των Π.Α. με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα». Αυτό υλοποιείται μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Ψ.Δ., σύμφωνα με το άρθρο 84 του ν. 4727/2020, αλλά η επίτευξη της διαλειτουργικότητας των πληροφοριακών συστημάτων του δημοσίου τομέα, δεν προϋποθέτει την χρήση του ΠΑ, ούτε αυτό αποτελεί σκοπό του νόμου και του ΠΔ. Άλλωστε για την επίτευξη της διαλειτουργικότητας αρκεί η ορθή αντιστοίχιση των τομεακών αναγνωριστικών των φορέων, η οποία μπορεί να υλοποιηθεί χωρίς τη χρήση του ΠΑ. Ως εκ τούτου, προτείνεται απαλοιφή της αναφοράς στον ανωτέρω σκοπό ή ακριβής επαναδιατύπωση της διάταξης.

9. Το ανωτέρω ζήτημα ως προς τον αναφερόμενο σκοπό της επεξεργασίας εντοπίζεται και στο άρθρο 7, παρ. 1 του σχεδίου ΠΔ. Επίσης, τα αναφερόμενα στο άρθρο 7 παρ. 1 είναι σκόπιμο να αναδιατυπωθούν ως στόχοι ασφαλείας

10. Στο άρθρο 3, παρ. 6 αναφέρεται ότι «6. Η πρόσβαση στο Μητρώο Π.Α. επιτρέπεται αποκλειστικά σε εξουσιοδοτημένους υπαλλήλους της Γ.Γ.Π.Σ.Ψ.Δ.». Η συγκεκριμένη πρόβλεψη αφορά μέτρα ασφάλειας και προτείνεται να ενταχθεί στο άρθρο 7, παρ. 4 του σχεδίου ΠΔ το οποίο αφορά ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα, και ειδικότερα μέτρα ασφάλειας.

11. Στο άρθρο 7 παρ. 2 προβλέπεται συγκεκριμένη νομική βάση επεξεργασίας με βάση το άρθρο 6 παρ. 1 του ΓΚΠΔ, και μνημονεύεται η εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον και κατά την άσκηση δημόσιας εξουσίας, σύμφωνα με το στοιχείο ε) της παρ. 1 του άρθρου 6 του ΓΚΠΔ. Επισημαίνεται ότι η νομική βάση εδράζεται στο νόμο ν. 4727/2020, με το άρθρο 11 με το οποίο θεσπίζεται ο ΠΑ και άρα, συνάγεται ότι καταλληλότερη νομική βάση είναι το στοιχείο γ) της παρ. 1 του άρθρου 6 του ΓΚΠΔ. Σε κάθε περίπτωση, προτείνεται να αφαιρεθεί η αναφορά στη νομική βάση επεξεργασίας, καθώς δεν απαιτείται να αναφέρεται στο ΠΔ ενώ ενδέχεται να οδηγήσει σε σύγχυση. Τούτο βέβαια δεν αίρει την υποχρέωση της ΓΓΠΣΨΔ, ως υπευθύνου επεξεργασίας, να παρέχει στα υποκείμενα των δεδομένων ενημέρωση σχετικά με τη νομική βάση της επεξεργασίας, σύμφωνα με τα οριζόμενα στο άρθρο 13 παρ. 1 στοιχ. γ’ του ΓΚΠΔ.

12. Επίσης περιττή θεωρείται η αναφορά στην παρ. 3 του άρθρου 7 του σχεδίου ΠΔ στο ρόλο του υπευθύνου επεξεργασίας, αφού αυτός ορίζεται ήδη στο ν. 4727/2020, άρθρο 11 παρ. 4, και άρθρο 107 παρ. 6.

13. Στο άρθρο 7, παρ. 4 οι αναφερόμενοι κίνδυνοι δεν περιλαμβάνουν όλους όσους περιγράφονται στην αιτ. σκέψη 83 ΓΚΠΔ «…τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα.». Αν και η αναφορά στους κινδύνους είναι ενδεικτική, προτείνεται να συμπληρωθεί καταλλήλως ή να αφαιρεθεί, καθώς σε κάθε περίπτωση ο υπεύθυνος επεξεργασίας οφείλει να διασφαλίσει την προστασία των δεδομένων από τους κινδύνους, σύμφωνα με τα ρητώς οριζόμενα στον ΓΚΠΔ.

14. Στο άρθρο 7, παρ. 4, στοιχ. δ) προτείνεται η αντικατάσταση του χαρακτηρισμού «αξιόπιστου» για το δίκτυο σε «έμπιστο», και η συμπλήρωση της διάταξης με αναφορά στο ότι «οποιαδήποτε ανταλλαγή δεδομένων με ηλεκτρονικά μέσα πραγματοποιείται, είτε μέσω του ως άνω έμπιστου δικτύου, είτε με κρυπτογράφηση των προς αποστολή δεδομένων. Για την κρυπτογράφηση χρησιμοποιούνται αποδεκτά διεθνή πρότυπα, με ασφαλές μέγεθος κλειδιού.»

15. Το άρθρο 7, παρ. 4, στοιχ. ζ) αναφέρεται σε εφαρμογή τεχνικών ταξινόμησης των δεδομένων και σε ψευδωνυμοποίηση. Προτείνεται να επεξηγηθεί και να προσδιοριστεί το περιεχόμενο της αναφοράς σε τεχνικές ταξινόμησης καθώς και ποια είναι τα δεδομένα του μητρώου ΠΑ τα οποία μπορούν να υποστούν ψευδωνυμοποίηση για τον δεδηλωμένο σκοπό της επεξεργασίας. Διαφορετικά προτείνεται να αφαιρεθούν οι αναφορές αυτές.

16. Το άρθρο 7 παρ. 5 αναφέρεται στην πρόσβαση των εξουσιοδοτημένων υπαλλήλων των Κ.Ε.Π. στην ειδική εφαρμογή myInfo. Προτείνεται να εξετασθεί αν η παράγραφος αυτή είναι σκόπιμο να απαλειφθεί από το ΠΔ και να ενταχθεί στην ΚΥΑ σχετικά με την εφαρμογή myInfo.

17. Το άρθρο 7 παρ. 9 αναφέρει ότι οι φορείς του δημόσιου τομέα αποδίδουν στα φυσικά πρόσωπα αναγνωριστικούς αριθμούς των μητρώων τους, σύμφωνα με το νομοθετικό πλαίσιο που διέπει τον εκάστοτε φορέα και την απόδοση ειδικών αναγνωριστικών αριθμών, διασφαλίζοντας τη διαλειτουργικότητα των μητρώων τους με το Κέντρο Διαλειτουργικότητας (ΚΕ.Δ.) της Γ.Γ.Π.Σ.Ψ.Δ.. Η συγκεκριμένη αναφορά δεν φαίνεται ότι έχει θέση στο ΠΔ, αφού περιγράφει μία επεξεργασία η οποία είναι ούτως ή άλλως σε ισχύ, δεν αφορά τον υπεύθυνο επεξεργασίας και δεν εισάγει κάποια αλλαγή που να αφορά τον ΠΑ.

18. Το άρθρο 7 παρ. 10 περιλαμβάνει τη πρόβλεψη για το χρόνο τήρησης των δεδομένων του Μητρώου Π.Α. με παραπομπή στην παράγραφο 6 του άρθρου 3 ως προς την απενεργοποίησή του. Η αναφορά όμως στην ρύθμιση και τους όρους της απενεργοποίησης περιγράφονται στο άρθρο 2 παρ. 6. Προτείνεται η διόρθωση της παραπομπής. Η ίδια εσφαλμένη παραπομπή στην παράγραφο 6 του άρθρου 3 εντοπίζεται και στην παράγραφο 5 του άρθρου 3.

Ο Πρόεδρος

Κωνσταντίνος Μενουδάκος

Η Γραμματέας

Γεωργία Παλαιολόγου

1Κανονισμός (ΕΕ) 910/2014 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ της 23ης Ιουλίου 2014 σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ

ΠΑΡΑΡΤΗΜΑ

ΠΡΟΕΔΡΙΚΟ ΔΙΑΤΑΓΜΑ ΥΠ’ ΑΡΙΘΜ……….

Διαδικασία έκδοσης και χορήγησης του Προσωπικού Αριθμού, μέτρα και εγγυήσεις για την προστασία δεδομένων προσωπικού χαρακτήρα

Η ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

Έχοντας υπόψη:

1. Τις διατάξεις:

α) της παρ. 1 και 2 του άρθρου 5Α και του άρθρο 9Α του Συντάγματος.

β) του ν. 4727/2020 «Κώδικας Ψηφιακής Διακυβέρνησης (Ενσωμάτωση στην ελληνική νομοθεσία της Οδηγίας (ΕΕ) 2016/2102 και της Οδηγίας (ΕΕ) 2019/1024) – Κώδικας Ηλεκτρονικών Επικοινωνιών (Ενσωμάτωση στο ελληνικό δίκαιο της Οδηγίας (ΕΕ) 2018/1972) και άλλες διατάξεις» (Α’ 184) και ιδίως του άρθρου 11 και της παρ. 6 του άρθρου 107.

γ) του άρθρου 81 του ν. 4954/2022 «Συμπληρωματικά μέτρα για την εφαρμογή του Κανονισμού (ΕΕ) 2019/788 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την Ευρωπαϊκή Πρωτοβουλία Πολιτών και του Εκτελεστικού Κανονισμού (ΕΕ) 2019/1799 της Επιτροπής για τη θέσπιση τεχνικών προδιαγραφών για τα επιμέρους επιγραμμικά συστήματα συγκέντρωσης – Διατάξεις σχετικές με την εκλογική διαδικασία και τον έλεγχο εσόδων και δαπανών κομμάτων, συνασπισμών και υποψηφίων βουλευτών και αιρετών – Λοιπές επείγουσες διατάξεις» (Α’ 136).

δ) του άρθρου 25 του ν. 3731/2008 “Αναδιοργάνωση της δημοτικής αστυνομίας και ρυθμίσεις λοιπών θεμάτων αρμοδιότητας Υπουργείου Εσωτερικών (Α’263).

ε) του ν. 4623/2019 «Ρυθμίσεις του Υπουργείου Εσωτερικών, διατάξεις για την ψηφιακή διακυβέρνηση, συνταξιοδοτικές ρυθμίσεις και άλλα επείγοντα ζητήματα» (Α’ 134) και ιδίως του άρθρου 47 αυτού.

στ) του Κώδικα Φορολογικής Διαδικασίας και ιδίως του άρθρου 11 του ως άνω νόμου (ν. 4987/2022, Α’ 206).

ζ) των άρθρων 115 επ. του ν. 4483/2017 «Ρυθμίσεις για τον εκσυγχρονισμό του θεσμικού πλαισίου οργάνωσης και λειτουργίας των Δημοτικών Επιχειρήσεων ύδρευσης Αποχέτευσης (Δ.Ε.Υ.Α.) – Ρυθμίσεις σχετικές με την οργάνωση, τη λειτουργία, τα οικονομικά και το προσωπικό των Ο.Τ.Α. – Ευρωπαϊκοί Όμιλοι Εδαφικής Συνεργασίας – Μητρώο Πολιτών και άλλες διατάξεις», όπως ισχύει (Α’ 107).

η) των διατάξεων του άρθρου 153 παρ. 1 και 2 του ν. 3655/2008 «Διοικητική και οργανωτική μεταρρύθμιση του Συστήματος Κοινωνικής Ασφάλισης και λοιπές ασφαλιστικές διατάξεις.» (Α’ 58).

θ) του άρθρου 13 του ν. 4704/2020 «Επιτάχυνση και απλούστευση της ενίσχυσης οπτικοακουστικών έργων, ενίσχυση της Ψηφιακής Διακυβέρνησης και άλλες διατάξεις» (Α’ 133).

ι) του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων)^ 119).

ια) του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680» ( Α’ 137).

ιβ) του π.δ. 81/2019 «Σύσταση, συγχώνευση, μετονομασία και κατάργηση Υπουργείων και καθορισμός των αρμοδιοτήτων τους – Μεταφορά υπηρεσιών και αρμοδιοτήτων μεταξύ Υπουργείων» ( Α’ 119).

ιγ) του π.δ. 40/2020 «Οργανισμός του Υπουργείου Ψηφιακής Διακυβέρνησης.» (Α’ 85).

ιδ) του π.δ. 142/2017 «Οργανισμός Υπουργείου Οικονομικών» (Α’ 181).

ιε) του π.δ. 134/2017 «Οργανισμός Υπουργείου Εργασίας, Κοινωνικής Ασφάλισης και Κοινωνικής Αλληλεγγύης» (Α’168)

ιστ) του άρθρου 90 του Κώδικα Νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα (π.δ. 63/2005, Α’ 98) , το οποίο διατηρήθηκε σε ισχύ με την περ. 22 του άρθρου 119 του ν. 4622/2019 (Α’ 133).

ιζ) της οικ.7791/245/Φ80321/2009 κοινής απόφασης των Υπουργών Εσωτερικών – Εθνικής Άμυνας – Απασχόλησης και Κοινωνικής Προστασίας – Υγείας και Κοινωνικής Αλληλεγγύης – Εμπορικής Ναυτιλίας, Αιγαίου και Νησιωτικής Πολιτικής «Καθορισμός διαδικασιών για την απόδοση ΑΜΚΑ από τα ΚΕΠ και τους Φορείς Κοινωνικής Ασφάλισης (Β’ 596).

ιη) της 24596 ΕΞ 2023 απόφασης των Υπουργών Ψηφιακής Διακυβέρνησης και Επικρατείας «Αντικατάσταση της υπ’ αρ. 6810 ΕΞ 2021 κοινής υπουργικής απόφασης «Λειτουργία Εθνικού Μητρώου Επικοινωνίας (Ε.Μ.Επ.) (Β’ 988)» (Β 3399).

ιθ) της ΓΔΟΔΥ/ΔΔΥ/490/10-02-20 Κοινή Απόφαση των Υπουργών Εργασίας και Κοινωνικών Υποθέσεων, Υγείας, Εσωτερικών, Επικρατείας «Ρυθμίσεις για την ψηφιοποίηση της διαδικασία της της δήλωσης γέννησης » (Β’ 404).

κ) της……/2023 κοινής απόφασης «Επιβεβαίωση και διόρθωση στοιχείων φυσικών προσώπων σε μητρώα του δημοσίου τομέα» (Β’ …)

κα) της 118944 ΕΞ 23-10-2019 απόφαση του Υπουργού Επικρατείας «Λειτουργία Κέντρου Διαλειτουργικότητας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης» (Β’ 3990).

κβ) της Φ.80320/1516/39/Δ.18/19.01.2021 εγκυκλίου του Υπουργείου Εργασίας και Κοινωνικών Υποθέσεων με την οποία εξειδικεύθηκαν οι περιπτώσεις δικαιούχων απόκτησης ΑΜΚΑ και οι απαραίτητες προϋποθέσεις για την απόκτηση του αριθμού.

2. Την …./2023 εισήγηση δημοσιονομικών επιπτώσεων .

3. Την υπ’ αρ…../2023 Γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

4. Την υπ’ αριθμ……/2023 γνωμοδότηση του Συμβουλίου της Επικρατείας, μετά από πρόταση των Υπουργών Εθνικής Οικονομίας και Οικονομικών, Εργασίας και Κοινωνικής Ασφάλισης και Ψηφιακής Διακυβέρνησης,

αποφασίζουμε:

Άρθρο 1

Σκοπός – Αντικείμενο

Με το παρόν Προεδρικό Διάταγμα καθορίζονται:

α) η διαδικασία έκδοσης και χορήγησης του Προσωπικού Αριθμού (εφεξής Π.Α.), τα απαιτούμενα δικαιολογητικά και οι υπηρεσίες ελέγχου αυτών, το χρονοδιάγραμμα για τη χορήγησή του και οι λόγοι αναστολής του,

β) τα ειδικότερα τεχνικά και οργανωτικά ζητήματα για την τήρηση του Μητρώου Προσωπικού Αριθμού,

γ) οι όροι και η διαδικασία για την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και για την αντιστοίχιση των Π.Α. με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα, όπως αυτοί ορίζονται στην περ. 57 του άρθρου 2 του Ν. 4727/2020 (Α’ 184).

δ) τα μέτρα, οι εγγυήσεις και οι μηχανισμοί ασφαλείας για την πρόληψη και την αντιμετώπιση των κινδύνων για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων από την επεξεργασία του Π.Α., καθώς και τα τεχνικά και οργανωτικά μέτρα που λαμβάνει η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) και οι φορείς του δημοσίου τομέα προς τον σκοπό αυτό.

Άρθρο 2

Προσωπικός Αριθμός (Π.Α.) – Δικαιούχοι

1. Ο Π.Α. αποτελεί το υποχρεωτικό στοιχείο για την επαλήθευση της ταυτότητας των φυσικών προσώπων στις συναλλαγές τους με τους φορείς του δημόσιου τομέα.

2. Ο Π.Α. αποτελείται από δώδεκα (12) αλφαριθμητικά στοιχεία, εκ ων οποίων τουλάχιστον τα εννέα (9) είναι αριθμητικά. Για το σχηματισμό του Π.Α. χρησιμοποιούνται τρία (3) αλφαριθμητικά στοιχεία, τα οποία δημιουργούνται με τη διαδικασία που προβλέπεται στο άρθρο 4 του παρόντος, και ακολούθως τα εννέα (9) αριθμητικά στοιχεία του Αριθμού Φορολογικού Μητρώου (εφεξής Α.Φ.Μ.) του κάθε φυσικού προσώπου κατά τη χρονική στιγμή της έκδοσης του Π.Α..

3. Ως αλφαριθμητικά στοιχεία που επιτρέπεται να χρησιμοποιηθούν για τον σχηματισμό του Π.Α. νοούνται μόνο τα ψηφία μηδέν (0) έως εννέα (9), καθώς και τα κεφαλαία γράμματα του ελληνικού αλφαβήτου που έχουν ομόγραφα στο λατινικό αλφάβητο.

4. Ο Π.Α. χορηγείται άπαξ σε κάθε φυσικό πρόσωπο, είναι μοναδικός και δεν μεταβάλλεται εν ζωή.

5. Ο Π.Α. εκδίδεται και χορηγείται υποχρεωτικά σε κάθε φυσικό πρόσωπο που δικαιούται Α.Φ.Μ. ή Αριθμό Μητρώου Κοινωνικής Ασφάλισης (Α.Μ.Κ.Α.), σύμφωνα με τη φορολογική και ασφαλιστική νομοθεσία αντίστοιχα.

6. Ο Π.Α. καθίσταται ανενεργός στις εξής περιπτώσεις:

α) με τον θάνατο ή την κήρυξη σε αφάνεια του φυσικού προσώπου,

β) σε περίπτωση που παύουν να ισχύουν οι κατά νόμο προϋποθέσεις έκδοσης Π.Α. σύμφωνα με τις παρ. 4 και 5 του παρόντος άρθρου.

Άρθρο 3

Μητρώο Προσωπικού Αριθμού (Μητρώο Π.Α.)

1. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης αναπτύσσει και τηρεί το Μητρώο Προσωπικού Αριθμού (Μητρώο Π.Α.), με σκοπό την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και την αντιστοίχιση των Π.Α. με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα για την επίτευξη διαλειτουργικότητας των πληροφοριακών συστημάτων των φορέων αυτών μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Ψ.Δ., σύμφωνα με το άρθρο 84 του Ν. 4727/2020.

2. Το Μητρώο Π.Α. περιλαμβάνει μόνο τα δεδομένα που είναι απολύτως αναγκαία για την επαλήθευση της ταυτότητας του φυσικού προσώπου και την επίτευξη των σκοπών του παρόντος, και συγκεκριμένα:

α) Προσωπικός αριθμός (Π.Α.)

β) Όνομα

γ) Επώνυμο

δ) Πατρώνυμο

ε) Μητρώνυμο

στ) Ημερομηνία Γέννησης

ζ) Τόπος Γέννησης

η) Αριθμός Φορολογικού Μητρώου (Α.Φ.Μ.)

θ) Αριθμός Δελτίου Ταυτότητας, εφόσον το φυσικό πρόσωπο διαθέτει

ι) Αριθμός Μητρώου Κοινωνικής Ασφάλισης (Α.Μ.Κ.Α.), εφόσον το φυσικό πρόσωπο διαθέτει.

3. Τα ανωτέρω δεδομένα αντλούνται μέσω διαλειτουργικότητας με τα παρακάτω μητρώα φορέων του δημοσίου τομέα:

α) Μητρώο Πολιτών του Υπουργείου Εσωτερικών

β) Φορολογικό Μητρώο του Υπουργείου Οικονομικών που τηρεί η Ανεξάρτητη Αρχή Δημοσίων Εσόδων (Α.Α.Δ.Ε.)

γ) Ασφαλιστικό Μητρώο ΑΜΚΑ-ΕΜΑΕΣ που τηρεί η Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης Α.Ε. (Η.Δ.ΙΚ.Α.)

δ) Μητρώο Δελτίων Ταυτότητας Ελλήνων Πολιτών που τηρεί η Ελληνική Αστυνομία (ΕΛ.ΑΣ.) του Υπουργείου Προστασίας του Πολίτη

ε) Μητρώο Πολιτών Τρίτων Χωρών που τηρεί το Υπουργείο Μετανάστευσης

στ) Μητρώο Ασύλου που τηρεί το Υπουργείο Μετανάστευσης.

4. Τα ανωτέρω δεδομένα συλλέγονται και τηρούνται με ασφαλή τρόπο, υπό τους όρους που εξειδικεύονται στο άρθρο 6 του παρόντος.

5. Στις περιπτώσεις που ο Π.Α. καθίσταται ανενεργός, σύμφωνα με την παρ. 6 του άρθρου 3 του παρόντος, στο Μητρώο Π.Α, καταχωρείται σχετική ένδειξη.

6. Η πρόσβαση στο Μητρώο Π.Α. επιτρέπεται αποκλειστικά σε εξουσιοδοτημένους υπαλλήλους της Γ.Γ.Π.Σ.Ψ.Δ..

Άρθρο 4

Έκδοση Π.Α. μέσω της ειδικής ηλεκτρονικής εφαρμογής mylnfo

1. Στην περίπτωση που το φυσικό πρόσωπο διαθέτει ενεργό ΑΦΜ ή ΑΜΚΑ, προκειμένου να εκδοθεί ο Π.Α. του θα πρέπει να ολοκληρωθεί προηγουμένως η διαδικασία επιβεβαίωσης στοιχείων στην ειδική ηλεκτρονική εφαρμογή myInfo είτε μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (gov.gr-ΕΨΠ) είτε μέσω των Κέντρων Εξυπηρέτησης Πολιτών (Κ.Ε.Π.), σύμφωνα με τα άρθρα 4, 5 και 6 της……..Κοινής Υπουργικής Απόφασης.

2. Κατόπιν της επιβεβαίωσης των στοιχείων από το φυσικό πρόσωπο:

α) Στην περίπτωση που το φυσικό πρόσωπο διαθέτει ενεργό Α.Φ.Μ., η Γ.Γ.Π.Σ.Ψ.Δ., χρησιμοποιώντας τον Α.Φ.Μ. που έχει επιβεβαιωθεί από το φυσικό πρόσωπο, και, αφού παράγει με τυχαίο τρόπο τα πρώτα τρία (3) αλφαριθμητικά ψηφία, ολοκληρώνει την έκδοση του Π.Α., ο οποίος καταχωρίζεται αυτόματα στο Μητρώο Π.Α.

β) Στην περίπτωση που το φυσικό πρόσωπο δεν διαθέτει ενεργό Α.Φ.Μ., αλλά διαθέτει ενεργό Α.Μ.Κ.Α., η Γ.Γ.Π.Σ.Ψ.Δ., κατόπιν αιτήματος του φυσικού προσώπου, ειδοποιεί την Α.Α.Δ.Ε. μέσω διαλειτουργικότητας, προκειμένου να προχωρήσει στην απόδοση Α.Φ.Μ. με βάση τα επιβεβαιωμένα στοιχεία του φυσικού προσώπου. Η Γ.Γ.Π.Σ.Ψ.Δ. ενημερώνεται για τον Α.Φ.Μ. του προσώπου από την Α.Α.ΔΕ. μέσω διαλειτουργικότητας και ακολούθως παράγει τα πρώτα τρία (3) αλφαριθμητικά ψηφία, ολοκληρώνοντας την έκδοση του Π.Α., ο οποίος καταχωρίζεται αυτόματα στο Μητρώο Π.Α.

3. Σε περίπτωση που δεν είναι εφικτή η επιβεβαίωση των στοιχείων του φυσικού προσώπου μέσω της εφαρμογής mylnfo, η έκδοση Π.Α. αναστέλλεται μέχρι να ολοκληρωθεί επιτυχώς η επιβεβαίωση των στοιχείων, σύμφωνα με την…….Κοινή Υπουργική Απόφαση.

4. Τα φυσικά πρόσωπα ακολουθούν τις διαδικασίες του παρόντος άρθρου και για την έκδοση Π.Α. για τα ανήλικα προστατευόμενα μέλη τους.

5. Με την ολοκλήρωση της διαδικασίας έκδοσης του Π.Α., το φυσικό πρόσωπο ενημερώνεται για την απόδοση του Π.Α. του μέσω της εφαρμογής mylnfo, είτε μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (gov.gr-ΕΨΠ) είτε μέσω των Κέντρων Εξυπηρέτησης Πολιτών (Κ.Ε.Π.), ή με ειδοποίηση που αποστέλλεται στα στοιχεία επικοινωνίας του που είναι καταχωρισμένα στο Εθνικό Μητρώο Επικοινωνίας (Ε.Μ.Επ.) ή με κάθε άλλο πρόσφορο μέσο.

Άρθρο 5

Αυτοματοποιημένη έκδοση Π.Α.

1. Η Γ.Γ.Π.Σ.Ψ.Δ. έχει τη δυνατότητα αυτοματοποιημένης έκδοσης Π.Α., χωρίς προηγούμενη ενέργεια του φυσικού προσώπου, στις παρακάτω περιπτώσεις:

α) Σε όσα φυσικά πρόσωπα έχουν ήδη ολοκληρώσει τη διαδικασία επιβεβαίωσης των στοιχείων τους, με βάση την……..Κοινή Υπουργική Απόφαση, αλλά δεν έχει ολοκληρωθεί η διαδικασία έκδοσης του Π.Α. τους.

β) Σε όσα φυσικά πρόσωπα, των οποίων το επώνυμο, το όνομα, το πατρώνυμο, το μητρώνυμο και η ημερομηνία γέννησης, όπως εμφανίζονται στην ειδική ηλεκτρονική εφαρμογή mylnfo, σύμφωνα με την……Κοινή Υπουργική

Απόφαση, ταυτίζονται απολύτως με τα αντίστοιχα στοιχεία της εγγραφής τους στο Φορολογικό Μητρώο του Υπουργείου Οικονομικών που τηρεί η Α.Α.Δ.Ε..

γ) Σε φυσικά πρόσωπα που γεννιούνται μετά από την έναρξη ισχύος του παρόντος Διατάγματος, εφόσον έχει ολοκληρωθεί η διαδικασία απόδοσης Α.Φ.Μ..

2. Με την ολοκλήρωση της διαδικασίας έκδοσης του Π.Α., το φυσικό πρόσωπο ενημερώνεται για την απόδοση του Π.Α. του μέσω της εφαρμογής mylnfo, είτε μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (gov.gr-ΕΨΠ) είτε μέσω των Κέντρων Εξυπηρέτησης Πολιτών (Κ.Ε.Π.), ή με ειδοποίηση που αποστέλλεται στα στοιχεία επικοινωνίας του που είναι καταχωρισμένα στο Ε.Μ.Επ. ή με κάθε άλλο πρόσφορο μέσο.

Άρθρο 6

Επαλήθευση της ταυτότητας των φυσικών προσώπων με τη χρήση του Π.Α.

1. Η Γ.Γ.Π.Σ.Ψ.Δ. παρέχει στους φορείς του δημόσιου τομέα τη δυνατότητα να επαληθεύουν την ταυτότητα των φυσικών προσώπων και να αντλούν τα στοιχεία αυτών που είναι απαραίτητα στο πλαίσιο της εκπλήρωσης των νόμιμων σκοπών και αρμοδιοτήτων τους, προβαίνοντας σε αντιστοίχιση του Π.Α. των φυσικών προσώπων με τον αναγνωριστικό αριθμό του εκάστοτε μητρώου (ειδικούς τομεακούς αριθμούς) της παρ. 4 του άρθρου 3 του παρόντος.

2. Η Γ.Γ.Π.Σ.Ψ.Δ. λαμβάνει κατάλληλα μέτρα για να διασφαλίζει τη διαλειτουργικότητα των πληροφοριακών συστημάτων και εφαρμογών, σύμφωνα με το παρόν Διάταγμα και το άρθρο 47 του Ν. 4623/2019 (Α’ 134).

Άρθρο 7

Ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα

1. Σκοπός της επεξεργασίας δεδομένων προσωπικού στο πλαίσιο του παρόντος είναι η επαλήθευση της ταυτότητας των φυσικών προσώπων και η επίτευξη διαλειτουργικότητας των πληροφοριακών συστημάτων των αρμόδιων φορέων μέσω του Κέντρου Διαλειτουργικότητας. Ο σκοπός επιτυγχάνεται με (α) τη διευκόλυνση και την ενίσχυση της ασφάλειας κατά την πρόσβαση των φυσικών προσώπων σε ψηφιακές υπηρεσίες που παρέχονται από φορείς του δημοσίου τομέα, (β) την ανάπτυξη διαλειτουργικών συστημάτων με έγκυρα, ακριβή και επικαιροποιημένα στοιχεία των φυσικών προσώπων που συναλλάσσονται με τον δημόσιο τομέα και (γ) την αποφυγή επαναλαμβανόμενων καταχωρίσεων από διαφορετικά σημεία με αυξημένο διαχειριστικό κόστος και κίνδυνο σφαλμάτων για το φυσικό πρόσωπο και το δημόσιο (εφαρμογή της αρχής «μόνον άπαξ»).

2. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον και κατά την άσκηση δημόσιας εξουσίας, σύμφωνα με το στοιχείο ε) της παρ. 1 του άρθρου 6 του Κανονισμoύ (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα (Γενικός Κανονισμός Προστασίας Δεδομένων, εφεξής Γ.Κ.Π.Δ.), σε συνδυασμό με το άρθρο 11 του ν. 4727/2020 (Α’ 184) και το παρόν διάταγμα.

3. Για τους σκοπούς εφαρμογής του παρόντος διατάγματος, η Γ.Γ.Π.Σ.Ψ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης είναι Υπεύθυνος Επεξεργασίας των δεδομένων προσωπικού χαρακτήρα κατά την έννοια της παρ. 7 του άρθρου 4 του Γ.Κ.Π.Δ. που τηρούνται στο Μητρώο Π.Α.. Στο πλαίσιο αυτό, το Υπουργείο Ψηφιακής Διακυβέρνησης λαμβάνει τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να αποδεικνύει ότι η επεξεργασία διενεργείται σύννομα, ιδίως σύμφωνα με τον Γ.Κ.Π.Δ., τον Ν. 4624/2019 (Α’137) και το ισχύον Πλαίσιο Ασφάλειας Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ.Ψ.Δ., όπως ισχύουν.

4. Η Γ.Γ.Π.Σ.Ψ.Δ. έχει την υποχρέωση λήψης και διαρκούς τήρησης των κατάλληλων και αναγκαίων τεχνικών και οργανωτικών μέτρων ασφάλειας για το Μητρώο Π.Α. του άρθρου 3 του παρόντος, διασφαλίζοντας ιδίως την προστασία των δεδομένων από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Τα ανωτέρα μέτρα προσδιορίζονται στην εκτίμηση αντικτύπου των επιπτώσεων της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα, περιλαμβάνουν δε κατ’ ελάχιστον τα ακόλουθα:

α. Διακριτοί ρόλοι χρηστών του συστήματος και αντίστοιχα δικαιώματα πρόσβασης, τουλάχιστον για αα) τη θέαση, ββ) την εξαγωγή δεδομένων, γγ) τη διαγραφή δεδομένων, δδ) την παροχή εξουσιοδότησης για την εξαγωγή δεδομένων, εε) την ανάθεση ρόλων σε κάθε χρήστη, στστ) την τεχνική συντήρηση του συστήματος και ζζ) τον έλεγχο των ενεργειών των χρηστών.

β. Δημιουργία λογαριασμών χρηστών και μεθόδου αυθεντικοποίησης με βάση την Πολιτική Ασφάλειας Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ.Ψ.Δ.

γ. Πρόσβαση στα δεδομένα του Μητρώου μόνο σε εξουσιοδοτημένους και κατάλληλα εκπαιδευμένους χρήστες, σύμφωνα με τον ρόλο που τους έχει ανατεθεί.

δ. Πρόσβαση των χρηστών μόνον από καταγεγραμμένο αριθμό τερματικών και με τη χρήση αξιόπιστου δικτύου.

ε. Παροχή κατάλληλης εκπαίδευσης στους χρήστες του συστήματος, ανάλογα με τα καθήκοντά τους.

στ. Τήρηση αρχείων καταγραφής των ενεργειών που εκτελούνται στα δεδομένα του Μητρώου Π.Α.. Στα αρχεία αυτά καταγράφεται το όνομα χρήστη και ο χρόνος συμβάντος, καθώς και η ακριβής ενέργεια στην οποία προέβη ο χρήστης.

ζ. Εφαρμογή τεχνικών ταξινόμησης και διαχωρισμού δεδομένων σε φυσικό ή λογικό επίπεδο και εξειδίκευση των μέτρων προστασίας, όπως ενδεικτικά κρυπτογράφηση και ψευδωνυμοποίηση, ανά κατηγορία δεδομένων.

5. Για την πρόσβαση των εξουσιοδοτημένων υπαλλήλων των Κ.Ε.Π. στην ειδική εφαρμογή myInfo πραγματοποιείται επαλήθευση των στοιχείων της ταυτότητάς τους (αυθεντικοποίηση) με χρήση των Κωδικών Δημόσιας Διοίκησης της Γ.Γ.Π.Σ.Ψ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης, σύμφωνα με την υπ’ αριθ. 29810 ΕΞ 23.10.2020 απόφαση του Υπουργού Επικρατείας (Β’ 4798).

6. Η παροχή των διαδικτυακών υπηρεσιών διενεργείται μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Ψ.Δ., σύμφωνα με την Πολιτική Ασφάλειας Πληροφοριακών Συστημάτων της, την Πολιτική Ορθής Χρήσης των διαδικτυακών υπηρεσιών, καθώς και τις διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα.

7. Αποδέκτες των δεδομένων του Μητρώου Π.Α. είναι οι φορείς του δημοσίου τομέα για την παροχή υπηρεσιών προς τα φυσικά πρόσωπα και την άσκηση των αρμοδιοτήτων που έχουν κατά νόμο ανατεθεί σε αυτούς.

8. Οι φορείς του δημόσιου τομέα επεξεργάζονται τον Π.Α. ως ανεξάρτητοι υπεύθυνοι επεξεργασίας, μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Ψ.Δ., λαμβάνοντας τα απαραίτητα τεχνικά και οργανωτικά μέτρα, με αποκλειστικό σκοπό την επαλήθευση της ταυτότητας των φυσικών προσώπων για την παροχή υπηρεσιών προς φυσικά και νομικά πρόσωπα, την εν γένει διεκπεραίωση των υποθέσεων των φυσικών προσώπων και την άσκηση των αρμοδιοτήτων τους, χωρίς να τον συλλέγουν και αποθηκεύουν στα πληροφοριακά συστήματα ή στα συστήματα αρχειοθέτησής τους.

9. Οι φορείς του δημόσιου τομέα αποδίδουν στα φυσικά πρόσωπα αναγνωριστικούς αριθμούς των μητρώων τους, σύμφωνα με το νομοθετικό πλαίσιο που διέπει τον εκάστοτε φορέα και την απόδοση ειδικών αναγνωριστικών αριθμών, διασφαλίζοντας τη διαλειτουργικότητα των μητρώων τους με το Κέντρο Διαλειτουργικότητας (ΚΕ.Δ.) της Γ.Γ.Π.Σ.Ψ.Δ..

10. Τα δεδομένα του Μητρώου Π.Α. τηρούνται καθ’ όλο το διάστημα που είναι ενεργός ο Π.Α. και για διάστημα είκοσι (20) ετών από την απενεργοποίησή του, σύμφωνα με την παρ. 6 του άρθρου 3 του παρόντος, στο πλαίσιο εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον και κατά την άσκηση της ειδικής δημόσιας εξουσίας τήρησης του Μητρώου Π.Α. που έχει ανατεθεί στη Γ.Γ.Π.Σ.Ψ.Δ. με βάση το παρόν, και υπό τους όρους που προβλέπονται στον Γ.Κ.Π.Δ. και τον ν. 4624/2019 (Α’ 137), όπως ισχύει. Μετά από την πάροδο του ανωτέρω χρονικού διαστήματος, τα δεδομένα καταστρέφονται. Η Γ.Γ.Π.Σ.Ψ.Δ. εξασφαλίζει ότι τα δεδομένα καταστρέφονται με τρόπο που διασφαλίζει ότι δεν είναι δυνατό να ανακτηθούν.

Άρθρο 8

Χρονοδιάγραμμα – Μεταβατικές διατάξεις

1. Τα φυσικά πρόσωπα που θα προβούν στην έκδοση Π.Α. μέσω της διαδικασίας που προβλέπεται στα άρθρα 4 και 5 του παρόντος διατάγματος εντός τριών (3) μηνών από τη δημοσίευση του παρόντος, έχουν τη δυνατότητα να επιλέξουν τα δύο (2) από τα τρία (3) αλφαριθμητικά ψηφία του Π.Α. τους και των ανήλικων προστατευόμενων μελών τους, αντί τα ψηφία να παραχθούν τυχαία από τη Γ.Γ.Π.Σ.Ψ.Δ.. Η επιλογή πραγματοποιείται μέσω της ειδικής ηλεκτρονικής εφαρμογής myInfo είτε μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης (gov.gr-ΕΨΠ) είτε μέσω των Κέντρων Εξυπηρέτησης Πολιτών (Κ.Ε.Π). Με απόφαση των Υπουργών Οικονομικών, Εργασίας και Κοινωνικών Υποθέσεων και Ψηφιακής Διακυβέρνησης, η προθεσμία αυτή δύναται να παραταθεί για χρονικό διάστημα που δεν δύναται να ξεπερνά συνολικά τους έξι (6) μήνες.

2. Μέχρι την προσαρμογή των διαδικασιών και των πληροφοριακών συστημάτων των φορέων του δημόσιου τομέα προκειμένου να επιτευχθεί η διαλειτουργικότητά τους με τα στοιχεία του Μητρώου Π.Α. και πάντως για διάστημα που δεν ξεπερνά τους δώδεκα (12) μήνες από τη δημοσίευση του παρόντος, δύναται να εξακολουθούν να εφαρμόζονται από τους φορείς του δημόσιου τομέα οι υφιστάμενες διαδικασίες επαλήθευσης της ταυτότητας των φυσικών προσώπων και συγκεκριμένα μέσω ταυτοποίησης ΑΦΜ, ΑΜΚΑ και Δελτίο Ταυτότητας Έλληνα Πολίτη. Με απόφαση των Υπουργών Οικονομικών, Εργασίας και Κοινωνικών Υποθέσεων και Ψηφιακής Διακυβέρνησης η προθεσμία δύναται να παρατείνεται για χρονικό διάστημα που δεν ξεπερνά συνολικά τους δώδεκα (12) μήνες.

Άρθρο 9

Έναρξη ισχύος

Η ισχύς του παρόντος προεδρικού διατάγματος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.

Στον Υπουργό Ψηφιακής Διακυβέρνησης αναθέτουμε τη δημοσίευση και εκτέλεση του παρόντος διατάγματος.