Παραβιάζοντας τον GDPR: ο ΑΦΜ ως αριθμός ταυτότητας

ΑΠΟΠΟΙΗΣΗ ΕΥΘΥΝΩΝ Όλες οι θέσεις σε αυτή τη στήλη αποτελούν απόψεις των συντακτών, όχι της EURACTIV.gr

Βασίλης Σωτηρόπουλος, δικηγόρος

του Βασίλη Σωτηρόπουλου*

Η κυβερνητική αυτοπεποίθηση ότι τα νομικά προβλήματα που μπορούν να προκύψουν από την μετατροπή του Αριθμού Φορολογικού Μητρώου σε ενιαίο αναγνωριστικό αριθμό ταυτότητας μπορούν να λυθούν νομοθετικά προσκρούουν στις ίδιες τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων της Ε.Ε. Στο άρθρο 87 του ΓΚΠΔ («Επεξεργασία του εθνικού αριθμού ταυτότητας») ορίζεται ότι τα κράτη μπορούν βέβαια να καθορίζουν «περαιτέρω» τις «ειδικές προϋποθέσεις» για την επεξεργασία εθνικού αριθμού ταυτότητας ή οποιοδήποτε άλλο αναγνωριστικό στοιχείο ταυτότητας γενικής εφαρμογής, θέτοντας όμως ένα πολύ συγκεκριμένο εγγυητικό πλαίσιο. Το πλαίσιο αυτό είναι οι «δέουσες εγγυήσεις για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, δυνάμει του παρόντος κανονισμού». Όριο λοιπόν είναι ο ίδιος ο GDPR, τον οποίο το Κράτος οφείλει να εφαρμόσει απαρέγκλιτα, καθώς δεν δύναται να τον τροποποιήσει με την εθνική του νομοθεσία – και ευτυχώς!

Ο κανόνας της προστασίας δεδομένων που θίγεται εδώ είναι ο δεσμευτικά καθορισμένος σκοπός της επεξεργασίας δεδομένων: δεν μπορείς ένα στοιχείο που έχει παραχθεί για μια συγκεκριμένη αποστολή να το χρησιμοποιείς σε μεταγενέστερο χρόνο για σκοπό ασύμβατο προς αυτόν για τον οποίο έχει δημιουργηθεί. Η έκδοση Αριθμού Φορολογικού Μητρώου ηεισήχθη ως υποχρέωση κάθε φυσικού προσώπου που φορολογείται στην Ελλάδα, με νόμο του 1997 για τους σκοπούς της φορολογικής διοίκησης. Άρα, η χρήση του για οποιονδήποτε εξωφορολογικό λόγο ειναι ασύμβατη με τον αρχικό σκοπό επεξεργασίας και συνεπώς τίθεται σοβαρότατο ζήτημα παραβίασης του άρθρο 5 παρ. 1 (β) του Γενικού Κανονισμού Προστασίας Δεδομένων.

Πέρα όμως από το ζήτημα επί της αρχής υπάρχει και ένα σοβαρό ζήτημα διακινδύνευσης. Ο Αριθμός Φορολογικού Μητρώου ήδη έχει εγκατασταθεί ως κλειδί εισόδου σε μια μεγάλη σειρά συναλλαγών με την φορολογική διοίκηση, κατά τρόπον ώστε η περαιτέρω διεύρυνση της χρήσης και της αναφοράς του καθιστά εξαιρετικά επίνδυνη την εφαρμοή του. Αν κάποιος κακόβουλος γνωρίζει τον Α.Φ.Μ. σας, χωρίς κανένα άλλο στοιχείο μπορεί να εκδώσει σε βάρος σας παράβολο Δημοσίου μέσω της σχετικής εφαρμογής διαδικτυακά και να σας καταστήσει υπεροφειλέτη του Δημοσίου. Εάν η χρήση του Α.Φ.Μ. γενικευθεί μέσω του δελτίου ταυτότητας, με αυτόν τον αριθμό θα ανοίγουν πολλές πόρτες, άσχετες με την φορολογική δραστηριότητα και έτσι η διοίκηση, αλλά ακόμη χειρότερα, ιδιώτες θα αποκτήσουν πρόσβαση σε δυσανάλογο όγκο δεδομένων. Δεν νοείται με τον Α.Φ.Μ. ένας ιδιωτικός υπάλληλος που εκδίδει ένα τιμολόγιο αντί να βλέπει μόνο τα φορολογικά δεδομένα να μπορεί να υπεισέρχεται για παράδειγμα σε πληροφορίες που σχετίζονται με την ασφάλιση υγείας του ατόμου και στη συνέχεια χρησιμοποιώντας την εν λόγω πρόσβαση να επεξεργάζεται τα δεδομένα για να προωθήσει άμεσα νέα ασφαλιστικά προγράμματα, ενώ ο ενδιαφερόμενος απλώς προσήλθε σε ένα εμπορικό κατάστημα για να προμηθευτεί μια ηλεκτρική συσκευή.

Ο παλαιότερος Ν.2472/1997 που ίσχυε μέχρι φέτος τον Αύγουστο όριζε ότι η διασύνδεση αρχείων που γίνεται με χρήση ενιαίου κωδικού αριθμού προϋποθέτει άδεια της Αρχής Προστασίας Δεδομένων. Το ίδιο και για τις περιπτώσεις που τα διασυνδεόμενα αρχεία περιλάμβαναν κατηγορίες ευαίσθητων δεδομένων π.χ. υγείας. Η διοίκηση πολύ συχνά θέλει να αξιοποιήσει την διαλειτουργικότητα για να κάνει τη δουλειά της, χωρίς να σέβεται πάντοτε την αρχή της αναλογικότητας και τα δικαιώματα των πολιτών. Χαρακτηριστική περίπτωση ήταν το αίτημα πρόσβασης των υπηρεσιών έκδοσης αδειών οδήγησης με τα αρχεία των ψυχιατρικών ιδρυμάτων για να βρουν μήπως κάποιος υποψήφιος οδηγός είχε νοσηλευτεί, λες και η νοσηλεία αυτή είχε οποιαδήποτε σχέση από μόνη της με την οδηγική ικανότητα. Σε εκείνη την περίπτωση η Αρχή απαγόρευσε την διασύνδεση, ορθώς. Αν τώρα ο ενιαίος αριθμός ταυτότητας αποτελεί κλειδί για πρόσβαση σε τέτοιες πληροφορίες, θα είναι πολύ αργά εφόσον το μέτρο έχει ήδη εφαρμοστεί τεχνικά.  Άλλωστε ήδη το νέο θεσμικό πλαίσιο επιβάλλει την ελαχιστοποίηση της πρόσβασης κι όχι την υπερδιεύρυνσή της: η αρχή περί προστασίας δεδομένων εξ ορισμού και από τον σχεδιασμό (by default and by design) είναι διακριτός και αυτοτελής νομικός κανόνας πλέον και αυτό δεν μπορεί να αλλάξει με μόνη την διαφορετική ρύθμιση της εθνικής νομοθεσίας.

Όλα αυτά για να είναι νόμιμα προϋοθέτουν όχι απλώς συμμόρφωση των πάντων, ιδιωτικού και δημόσιου τομέα, με τον ΓΚΠΔ για να αποτραπούν περιπτώσεις παραβιάσεων. Δεν νοούνται τέτοιοι σχεδιασμοί χωρίς προηγούμενη διενέργεια εκτίμησης αντικτύπου όπως επιβάλλει το άρθρο 35 του ΓΚΠΔ για τις επεξεργασίες δεδομένων που ενέχουν ιδιαίτερους κινδύνους για τα δικαιώματα και τις θεμελιώδεις ελευθερίες. Κάθε υπεύθυνη υπουργική εξαγγελία θα πρέπει να συνοδεύεται από την μνεία για την ύπαρξη αντίστοιχης εκτίμησης αντικτύπου. Διότι ο GDPR είναι κουλτούρα, δεν είναι απλώς τήρηση διατάξεων.

Σημ.: το άρθρο πρωτοδημοσιεύθηκε στο ιστολόγιο e-lawyer.

* O Βασίλης Σωτηρόπουλος είναι Δικηγόρος παρ’ Αρείω Πάγω, ασκεί ενεργά τη δικηγορία και στο Ευρωπαϊκό Δικαστήριο Δικαιωμάτων του Ανθρώπου. Υπήρξε Συμπαραστάτης του Δημότη και της Επιχείρησης στον Δήμο Αθηναίων αλλά και Συμπαραστάτης του Πολίτη και της Επιχείρησης στην Περιφέρεια Αττικής. ασχολείται αποκλειστικά με θέματα διαδικτύου, προστασίας προσωπικών δεδομένων και ελευθερίας της έκφρασης. Από το 2005 έχει το blog για νομικα θέματα «E-Lawyer«. Το 2008 ίδρυσε τις νομικές υπηρεσίες κοινωνίας της πληροφορίας Data&Protection. Έχουν κυκλοφορήσει 3 μυθιστορήματά του και αρκετά νομικά βιβλία, ενώ δραστηριοποιείται ευρύτερα και στον τομέα των ανθρώπινων δικαιωμάτων, μέσα από την αρθρογραφία αλλά και τον ακτιβισμό.

X