ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΠΟΥ ΑΝΑΛΥΟΝΤΑΙ ΣΤΗ ΣΥΝΕΧΕΙΑ
Η Αρχή αποφαίνεται ότι: α) δεν πρέπει να συλλεγούν και να τύχουν περαιτέρω επεξεργασίας, κατά την απογραφή του προσωπικού του Δημοσίου και των Ν.Π.Δ.Δ., τα στοιχεία που δεν συνδέονται με τη μισθοδοσία, κατά τα αναφερόμενα στο σκεπτικό και β) ο υπεύθυνος επεξεργασίας οφείλει να λάβει τα μέτρα ασφαλείας που περιγράφονται στο σκεπτικό και να ενημερώσει σχετικά την Αρχή εντός έξι μηνών από της εκδόσεως της παρούσας αποφάσεως.

ΛΟΓΟΙ:
1.

Από τις διατάξεις των άρθρων 2, 4 παρ. 1 και 5 παρ. 2 του ν. 2472/1997 προκύπτει ότι η επεξεργασία προσωπικών δεδομένων επιτρέπεται και χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων στην περίπτωση που ο σκοπός της επεξεργασίας είναι νόμιμος, σαφής και καθορισμένος, τα δεδομένα τα οποία τυγχάνουν επεξεργασίας είναι συναφή, πρόσφορα και όχι περισσότερα από όσα απαιτούνται για την επίτευξη του σκοπού της επεξεργασίας και επιπλέον συντρέχει μία από τις προϋποθέσεις που προβλέπονται στο άρθρο 5 παρ. 2 του προαναφερθέντος νόμου, όπως π.χ. να επιβάλλεται από το νόμο η συγκεκριμένη επεξεργασία (στοιχ. β΄).
2. Η επεξεργασία προσωπικών δεδομένων από δημόσια αρχή για τους απασχολουμένους στη δημόσια διοίκηση λειτουργεί και αναπτύσσει τις συνέπειές της στο πλαίσιο του κράτους δικαίου και της αρχής της νομιμότητας. Όπως παγίως γίνεται δεκτό, η αρχή της νομιμότητας λειτουργεί ως περιοριστικό όριο της διοικητικής δράσης, ή, με αντίστροφο συλλογισμό, η διοικητική ενέργεια πρέπει να είναι σύμφωνη προς τον κανόνα δικαίου που διέπει τη δράση της διοίκησης. Στην προκειμένη περίπτωση, θα πρέπει να εξετασθεί κατά πόσον η ενέργεια της συλλογής και περαιτέρω επεξεργασίας από το Υπουργείου Οικονομικών (Ενιαία Αρχή Πληρωμών) προσωπικών δεδομένων των απασχολουμένων στο Δημόσιο συνάδει προς τους σχετικούς κανόνες δικαίου που διέπουν τη λειτουργία της Ενιαίας Αρχής Πληρωμών και γενικότερα προς τις ρυθμίσεις του ν. 3845/2010 και της ΚΥΑ 2/37345/0004/4-6-2010.
3. Από το άρθρο δεύτερο παρ. 1 στοιχ. β΄ του ν. 3845/2010 αλλά και από το σύνολο των διατάξεων της ΚΥΑ που προσδιορίζει τη διαδικασία, το χρόνο, τον τρόπο και τα όργανα απογραφής προκύπτει ότι σκοπός της απογραφής είναι η πληρωμή των πάσης φύσεως αποδοχών ή πρόσθετων αμοιβών, αποζημιώσεων και με οποιαδήποτε άλλη ονομασία καταβαλλόμενων απολαβών του πάσης φύσεως προσωπικού του δημοσίου, Ν.Π.Δ.Δ. και Ο.Τ.Α. α΄ και β΄ βαθμού μέσω της Ενιαίας Αρχής Πληρωμών (στο εξής και ΕΑΠ). Ειδικότερα τούτο προκύπτει, πρώτον, από την ανωτέρω διάταξη του ν. 3845/2010 η οποία προσδιορίζει κατά περιεχόμενο την απογραφή συνδέοντάς την με την πληρωμή των πάσης φύσεως αποδοχών μέσω της ΕΑΠ και δεύτερον από την ανωτέρω ΚΥΑ, η οποία α) στο άρθρο 5 παρ. 2 ρυθμίζει την αποστολή της ΕΑΠ, β) στο άρθρο 6 παρ. 2 προσδιορίζει τις αρμοδιότητες της εν λόγω Αρχής, γ) στο άρθρο 4 παρ. 5 ορίζει ότι η ΕΑΠ δύναται να έχει πρόσβαση και να χρησιμοποιεί τα στοιχεία της βάσης δεδομένων μόνο για υπηρεσιακούς λόγους, εννοώντας προφανώς τη διαδικασία πληρωμής των δημοσίων υπαλλήλων, και δ) στο άρθρο 4 παρ. 6 και 7 σε συνδυασμό με το άρθρο 20 προσδιορίζει τη διαδικασία απόδοσης μοναδικού Ενιαίου Κωδικού Μισθοδοσίας Δημοσίου (ΕΚΜΔΗ).
4. Η διάταξη του άρθρου δεύτερου παρ. 1 στοιχ. β΄ του ν. 3845/2010 δεν παρέχει εξουσιοδότηση για τη δημιουργία κεντρικού αρχείου με τα προσωπικά δεδομένα του συνόλου των απασχολουμένων στο δημόσιο, το οποίο θα εξυπηρετεί το σκοπό του εκσυγχρονισμού της δημόσιας διοίκησης μέσω και της αξιοποίησης και ανακατανομής των ανθρωπίνων πόρων της. Παρά το γεγονός ότι το Μνημόνιο Οικονομικής και Χρηματοπιστωτικής Πολιτικής, το οποίο υπογράφηκε στις 3.5.2010 και το οποίο προσαρτάται ως παράρτημα στον ανωτέρω νόμο, αναφέρει στο σημείο 9 ότι «ο δημόσιος τομέας έχει καταστεί υπερβολικά μεγάλος και πολυδάπανος και πρέπει να γίνει μικρότερος, πιο αποτελεσματικός και ευέλικτος και να προσανατολιστεί στην παροχή καλύτερων υπηρεσιών προς τους πολίτες», η ανωτέρω διάταξη του ν. 3845/2010 δεν παρέχει εξουσιοδότηση για ρύθμιση του θέματος με υπουργική απόφαση. Η σχετική εξουσιοδότηση έπρεπε να είναι ρητή, σαφής και ειδική για τον επιπρόσθετο λόγο ότι το περιεχόμενο και ο τρόπος τήρησης του προσωπικού μητρώου των δημοσίων υπαλλήλων και των υπαλλήλων των Ν.Π.Δ.Δ. ρυθμίζεται ήδη από το άρθρο 23 του ν. 3528/2007 (Δημοσιοϋπαλληλικός Κώδικας, όπως αυτός τροποποιήθηκε και ισχύει) και το π.δ. 178/2004.
5. Ενόψει των ανωτέρω μόνο στοιχεία αναγκαία και πρόσφορα για το σκοπό της μισθοδοσίας μπορούν να συλλεχθούν και να τύχουν περαιτέρω επεξεργασίας. Ως αναγκαία και πρόσφορα (με αναφορά στο Παράρτημα της ΚΥΑ) δεν μπορούν να θεωρηθούν ο βαθμός και η βαθμολογία του τίτλου σπουδών, το θέμα του διδακτορικού τίτλου, ο βαθμός του μεταπτυχιακού τίτλου και άδεια άσκησης ιδιωτικού έργου. Τα στοιχεία τα σχετικά με τις ξένες γλώσσες, τις επιμορφώσεις, τους επαίνους-μετάλλια κρίνονται καταρχήν μη αναγκαία και πρόσφορα για την επίτευξη του σκοπού της μισθοδοσίας των απασχολουμένων στο Δημόσιο, εκτός εάν από ειδικές διατάξεις της κείμενης νομοθεσίας τα παραπάνω στοιχεία συνδέονται με την καταβολή επιδομάτων σε συγκεκριμένες κατηγορίες υπαλλήλων. Από τις πειθαρχικές ποινές πρέπει να καταχωρείται μόνο η στέρηση αποδοχών, που συνδέεται με τη μισθοδοσία. Αν και κατά τη γνώμη ενός μέλους της Αρχής στο Παράρτημα της ΚΥΑ περιλαμβάνονται και άλλα στοιχεία τα οποία δεν είναι αναγκαία και πρόσφορα για την επίτευξη του ανωτέρω σκοπού. Καθόσον αφορά τα στοιχεία που περιέχονται στην ηλεκτρονική σελίδα απογραφής στο δικτυακό τόπο www.apografi.gov.gr και δεν προβλέπονται στην ΚΥΑ, κρίνεται κατά πλειοψηφία ότι ο αριθμός φορολογικής δήλωσης, το έτος του εκκαθαριστικού και ο κωδικός ηλεκτρονικής πληρωμής της ΔΕΗ είναι χρήσιμα για την ταυτοποίηση του απογραφομένου και τη σωστή αναγραφή της διεύθυνσής του, όπως διευκρινίζεται και στις οδηγίες απογραφής που έχουν αναρτηθεί στη σχετική ιστοσελίδα. Συνεπώς, για το λόγο αυτό, η επεξεργασία τους θεωρείται νόμιμη. Αν και κατά τη γνώμη δύο μελών της Αρχής ο κωδικός ηλεκτρονικής πληρωμής της ΔΕΗ πέραν της ταυτοποίησης, είναι δυνατόν να οδηγήσει στη συναγωγή και άλλων προσωπικών δεδομένων, τα οποία δεν είναι αναγκαία και πρόσφορα για την εκπλήρωση του σκοπού της μισθοδοσίας. Τέλος, τα στοιχεία που αναφέρονται στην περιγραφή καθηκόντων, στις γνώσεις ηλεκτρονικού υπολογιστή και στην Ε΄ ομάδα της ηλεκτρονικής σελίδας απογραφής, υπό τον τίτλο Προτιμήσεις, πρέπει να αφαιρεθούν διότι ούτε προβλέπονται από το Παράρτημα της ΚΥΑ ούτε είναι αναγκαία και πρόσφορα για τη μισθοδοσία των απασχολουμένων του Δημοσίου.
6. Από το σύνολο των ρυθμίσεων της ΚΥΑ προκύπτει ότι υπεύθυνος επεξεργασίας του τηρούμενου αρχείου, κατά την έννοια του άρθρου 2 στοιχ. β΄ του ν. 2472/1997, είναι το Υπουργείο Οικονομικών, ενώ ο χρόνος τήρησης των δεδομένων συμπίπτει με το χρόνο του εργασιακού βίου του απασχολουμένου στο δημόσιο. Από την περιγραφή του συστήματος και τις επεξηγήσεις που έδωσαν οι εκπρόσωποι της Γενικής Γραμματείας Πληροφοριακών Συστημάτων (Γ.Γ.Π.Σ.) προέκυψε, επίσης, ότι για την υλοποίηση της εφαρμογής ακολουθείται αρχιτεκτονική τριών επιπέδων. Η Γ.Γ.Π.Σ. παρέχει την υποδομή και τις εφαρμογές και εκτελεί τις απαραίτητες ενέργειες για την ορθή λειτουργία των διακομιστών βάσης δεδομένων και εφαρμογών. Οι λειτουργικές προδιαγραφές του λογισμικού έχουν καθοριστεί από το Υπουργείο Εσωτερικών, ενώ κύριος χρήστης της εφαρμογής είναι η Ενιαία Αρχή Πληρωμών. Περαιτέρω χρήστες είναι οι αρμόδιοι υπάλληλοι των υπηρεσιών προσωπικού και οι εκκαθαριστές αποδοχών και φυσικά όλοι οι μισθοδοτούμενοι κατά την αρχική φάση της απογραφής τους.
7. Με τη συγκέντρωση των στοιχείων όλων των μισθοδοτουμένων και τη λειτουργία της διαδικασίας μισθοδοσίας μέσω μιας ενιαίας ηλεκτρονικής εφαρμογής αυξάνονται οι πιθανές επιπτώσεις από τυχαία ή αθέμιτη καταστροφή, απώλεια, απαγορευμένη διάδοσή ή πρόσβαση ή άλλου είδους αθέμιτη επεξεργασία. Για το λόγο αυτό τα μέτρα ασφάλειας, που λαμβάνονται κατά το άρθρο 10 του ν. 2472/1997, πρέπει να είναι ιδιαίτερα αυξημένα, σε σχέση με τα ήδη αυξημένα μέτρα των υπηρεσιών του Δημοσίου. Τα μέτρα αυτά πρέπει να περιγράφονται σε ολοκληρωμένο σχέδιο ασφάλειας της ηλεκτρονικής εφαρμογής, το οποίο μπορεί να αποτελεί τμήμα του σχεδίου και της πολιτικής ασφαλείας του υπευθύνου επεξεργασίας.
Τα μέτρα που πρέπει να προβλέπονται στην πολιτική ασφάλειας πρέπει να είναι τέτοια που να διασφαλίζουν τουλάχιστον τους ακόλουθους κινδύνους: α) την αποφυγή διάδοσης στοιχείων σε τρίτους κατά τη χρήση της εφαρμογής φυλλομετρητή διαδικτύου (web browser) από κάθε χρήστη, β) τη μη ακριβή διαπίστευση, ταυτοποίηση ή εξουσιοδότηση των χρηστών της εφαρμογής, εκτός των απογραφόμενων, γ) τη μη ασφαλή αυθεντικοποίηση των χρηστών αυτών και δ) τη μη εξουσιοδοτημένη πρόσβαση στα αποθηκευμένα δεδομένα από τους χρήστες της εφαρμογής και τους διαχειριστές των διακομιστών όλων των επιπέδων.
8. Για την αποτροπή των κινδύνων που αναφέρονται στην προηγούμενη σκέψη, η πολιτική ασφαλείας πρέπει να περιλαμβάνει ειδικά μέτρα που να εξασφαλίζουν τα πιο κάτω: α) Ασφαλής σύνδεση μέσω φυλλομετρητή διαδικτύου με προβλέψεις για διαχείριση φόρτου και αποφυγή πολλαπλών κακόβουλων καταχωρήσεων. β) Οι χρήστες που έχουν δικαιώματα τροποποίησης, ελέγχου και διαχείρισης των στοιχείων της απογραφής, ανεξάρτητα του φορέα που αυτοί ανήκουν πρέπει να έχουν προσωπικά στοιχεία αυθεντικοποίησης στο σύστημα που να είναι ιδιαίτερα ασφαλή. Η απλή χρήση ονόματος χρήστη και κωδικού πρόσβασης (username/password) πρέπει να αποθαρρύνεται και να προτιμάται η χρήση ψηφιακού πιστοποιητικού ή άλλης λύσης που προσφέρει ένα επιπλέον στοιχείο αναγνώρισης. Για το σκοπό αυτό είναι σκόπιμο να αποκτήσουν όσο το δυνατό νωρίτερα οι εμπλεκόμενοι υπάλληλοι προσωπικά ψηφιακά πιστοποιητικά (π.χ. μέσω του έργου «ΕΡΜΗΣ»). Εναλλακτικά, αν αυτό δεν είναι δυνατό σε πρώτη φάση, πρέπει να τεθούν ισχυροί περιορισμοί στους προαναφερθέντες κωδικούς (π.χ. σε όρους πολυπλοκότητας, χρονικής διάρκειας, χρήσης συγκεκριμένων διευθύνσεων IP κλπ). γ) Οι διαχειριστές σε επίπεδο εφαρμογής και βάσης δεδομένων πρέπει να είναι διαφορετικοί, με αλληλοαποκλειόμενα δικαιώματα. Ειδικά για τους διαχειριστές των διακομιστών πρέπει να χρησιμοποιούνται αυξημένης ασφάλειας ψηφιακά πιστοποιητικά για την αυθεντικοποίησή τους, ενώ κρίσιμες λειτουργίες διαχείρισης (π.χ. έλεγχος αρχείων καταγραφής) να ενεργούνται με την έγκριση δύο διαφορετικών προσώπων. δ) Να ενεργοποιηθεί η δυνατότητα καταγραφής των ενεργειών (σε αρχεία καταγραφής – log files) τόσο σε επίπεδο ενεργειών στη βάση δεδομένων όσο και των ενεργειών των χρηστών της εφαρμογής, ώστε να είναι δυνατό να ανιχνευθεί κάθε μη εξουσιοδοτημένη ενέργεια στα αποθηκευμένα δεδομένα. Τα αρχεία καταγραφής να τηρούνται για εύλογο χρονικό διάστημα, ανάλογα με το είδος πρόσβασης του κάθε χρήστη. ε) Τέλος, πρέπει να εξετασθεί η δυνατότητα αποθήκευσης στη βάση δεδομένων των στοιχείων αυτών που ταυτοποιούν μοναδικά κάθε απογραφόμενο (π.χ. ονοματεπώνυμο, ΑΦΜ, ΑΜΚΑ, διευθύνσεις κλπ) σε κρυπτογραφημένη μορφή. Η δυνατότητα κρυπτογράφησης πρέπει να μελετηθεί αναλυτικά και να αξιολογηθεί σε όρους κόστους/ωφελειών.