Ενστάσεις και σοβαρούς προβληματισμούς διατυπώνει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα όσον αφορά στην τροπολογία του υπουργείου Ψηφιακής Διακυβέρνησης για την ηλεκτρονική εφαρμογή για τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης.
Προτείνει μάλιστα τροποποιήσεις και προσθήκες, ενώ σημειώνει ότι η ψήφιση της τροπολογίας προηγήθηκε της γνωμοδότησης της Αρχής.
Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφέρει χαρακτηριστικά στη γνωμοδότησή της:
«Η διάταξη θα πρέπει να συγκεκριμενοποιεί και να περιορίζει το σκοπό στα πλαίσια του οποίου θα αξιοποιείται η εφαρμογή. Η διατύπωση «προς τον σκοπό της ορθής εφαρμογής των μέτρων που λαμβάνονται δυνάμει της κοινής υπουργικής απόφασης» κρίνεται ως γενική, δεδομένου ότι δεν έχει γνωστοποιηθεί στην Αρχή η εν λόγω Κ.Υ.Α. και συνεπώς δεν είναι ορισμένες σαφώς και δεν περιγράφονται επαρκώς οι συγκεκριμένες συνθήκες και προϋποθέσεις χρήσης της εφαρμογής. Η παύση χρήσης και λειτουργίας της εφαρμογής δεν προσδιορίζεται ρητά, με βάση κριτήρια και προϋποθέσεις που σχετίζονται με το συγκεκριμένο σκοπό που αυτή εξυπηρετεί, παρά μόνο γενικά με την αναφορά σε κινδύνους δημόσιας υγείας: «για όσο χρονικό διάστημα εξακολουθεί να υφίσταται άμεσος κίνδυνος δημόσιας υγείας από τη διασπορά του κορονοϊού COVID-19, η απουσία του οποίου διαπιστώνεται με απόφαση του Υπουργού Υγείας».
Και προτείνει να τροποποιηθούν οι συγκεκριμένες διατάξεις ώστε να ισχύουν μόνο κατά τη χρονική περίοδο που είναι σε ισχύ η υπουργική απόφαση, ενώ θα πρέπει και τα μέτρα διευκόλυνσης για τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης, να περιγράφονται επαρκώς.
Για την πρόβλεψη χρήσης της ηλεκτρονικής εφαρμογής από τους ιδιοκτήτες ή διοργανωτές και από εξουσιοδοτημένους από αυτούς υπαλλήλους επιχειρήσεων εστίασης και ψυχαγωγίας, οι οποίες στεγάζονται ή διοργανώνονται σε κλειστούς χώρους, ή λειτουργούν ή διοργανώνονται σε υπαίθριους χώρους, η Αρχή αναφέρει: «Η παράθεση των περιπτώσεων χρήσης είναι ευρεία, αφού δεν συγκεκριμενοποιεί τις συνθήκες και τις προϋποθέσεις χρήσης της, ούτε τον τρόπο με τον οποίο οι χρήστες της εφαρμογής θα προβαίνουν σε δήλωση ότι θα την χρησιμοποιούν και με βάση ποια διάταξη. Θα πρέπει να οριστούν επαρκώς και σαφώς οι διαδικασίες και ο τρόπος δήλωσης των χρηστών ανάλογα με την κατηγορία στην οποία εμπίπτουν, καθώς επίσης και ο τρόπος λήψης και χρήσης της εφαρμογής».
Αναφορικά με την εγκυρότητα, γνησιότητα ή ακεραιότητα του πιστοποιητικού, προτείνει την παραμονή μόνο του όρου εγκυρότητα «και να προσδιοριστεί επακριβώς η ένδειξη, την οποία επιστρέφει η εφαρμογή σε όλες τις περιπτώσεις χρήσης της, υπό το φως της αρχής της ελαχιστοποίησης των δεδομένων ώστε να διασφαλίζεται ότι στους χρήστες της εφαρμογής δεν θα γνωστοποιείται περισσότερη πληροφορία από ό,τι είναι αναγκαίο για την επίτευξη του σκοπού επεξεργασίας».
Συγκεκριμένα τονίζει ότι η επαλήθευση των πιστοποιητικών μέσω της εφαρμογής θα πρέπει να οδηγεί σε ένα αποτέλεσμα της μορφής «ναι/όχι» (π.χ. πράσινο ή κόκκινο χρώμα), επιπλέον της ταυτότητας του κατόχου τους, έτσι ώστε να εξάγεται η πληροφορία αν ο πολίτης που εισέρχεται σε ένα χώρο είναι «υγειονομικά ασφαλής», χωρίς όμως να αποκαλύπτονται ειδικότερες πληροφορίες σχετικά με το εάν έχει εμβολιαστεί, έκανε τεστ ή έχει νοσήσει προηγουμένως.
Επιπλέον η Αρχή κρίνει ότι δεν παρέχονται επαρκή στοιχεία που να διασαφηνίζουν το λόγο για τον οποίο ορίζονται το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας ως υπεύθυνοι επεξεργασίας, αφού τα δεδομένα αφορούν το αποτέλεσμα από τον τρόπο λειτουργίας της εφαρμογής μόνο. Εξάλλου, δεν προσδιορίζεται με ποιο τρόπο και για ποια επεξεργασία το Υπουργείο Υγείας και η Γενική Γραμματεία Πολιτικής Προστασίας καθορίζουν το σκοπό και τα μέσα της επεξεργασίας, καθώς επίσης και ποιος ο ρόλος τους στην άσκηση των δικαιωμάτων των υποκειμένων, ώστε να δικαιολογείται ο χαρακτηρισμός τους ως αυτοτελώς Υπευθύνων Επεξεργασίας.
Η Αρχή συστήνει να διατίθενται από την κυβέρνηση υποδείγματα πληροφοριών στους ενδιαφερόμενους επαγγελματίες και ξεκαθαρίζει ότι η εκτέλεση επεξεργασίας δεδομένων πρέπει να καλύπτεται από απαραίτητες συμβάσεις, ή έστω από μνημόνια συνεργασίας, στις οποίες θα προβλέπονται οι κατάλληλες εγγυήσεις για την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων.
Ως προς την προβλεπόμενη απαγόρευση αποθήκευσης ή τήρησης αντιγράφων των πιστοποιητικών ή βεβαιώσεων των δεδομένων προσωπικού χαρακτήρα που εμφανίζονται κατά τη σάρωση, η Αρχή τονίζει ότι «πρέπει να συμπληρωθεί ώστε να προσδιορίζονται οι συγκεκριμένες παραβάσεις και οι αντίστοιχες προβλεπόμενες κυρώσεις».