Διάτρητος, προχειρογραμμένος και γεμάτος επικίνδυνα κενά ασφαλείας αποδεικνύεται ο πρόσφατος νόμος της κυβέρνησης για το ελληνικό ψηφιακό πιστοποιητικό εμβολιασμού για την Covid-19, όπως προκύπτει από τη γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η ανεξάρτητη αρχή επιστρέφει το νομοσχέδιο, το οποίο ψηφίστηκε από Ν.Δ., ΣΥΡΙΖΑ και ΚΙΝ.ΑΛΛ., με σειρά παρατηρήσεων που φανερώνουν τη βιασύνη της κυβέρνησης να λάβει μέτρα, χωρίς να εξετάσει επαρκώς αν παραβιάζονται βασικά προσωπικά δεδομένα, ενώ, όπως φαίνεται, αδιαφόρησε ακόμα και για τον Γενικό Κανονισμό της Ε.Ε. για την προστασία των προσωπικών δεδομένων (GDPR).
Eνδεικτικό της προχειρότητας είναι το γεγονός πως στις 5/7 εστάλη στην Αρχή το σχέδιο νόμου και στις 8/7 ψηφίστηκε, χωρίς δηλαδή να περιμένει η κυβέρνηση τη γνωμοδότηση. Κι όμως, ο υφυπουργός Ψηφιακής Διακυβέρνησης Γιώργος Γεωργαντάς είχε δηλώσει στη Βουλή: «Πρέπει να πληροφορούμε σωστά τον κόσμο και να μην παραπληροφορούμε.
Το ψηφιακό πιστοποιητικό Covid-19 έγινε με την αρωγή της Αρχής Προστασίας Προσωπικών Δεδομένων, η οποία συμφώνησε ότι τα μέτρα για την ασφάλεια των πολιτών είναι επαρκέστατα». Η αναφορά, όμως, της ανεξάρτητης αρχής αφήνει έκθετο τόσο τον υφυπουργό όσο και συνολικά την κυβέρνηση. Οπως αναφέρει χαρακτηριστικά, «παρά το γεγονός ότι στις 8 Ιουλίου κατατέθηκε σε σχέδιο νόμου του υπουργείου Δικαιοσύνης και ψηφίστηκε την ίδια μέρα από την Ολομέλεια της Βουλής τροπολογία με σχεδόν ταυτόσημες διατάξεις, χωρίς να αναμένεται η σχετική γνωμοδότηση, η Αρχή θεωρεί ότι έχει υποχρέωση να διατυπώσει τις σχετικές παρατηρήσεις της».
Τα βασικά στοιχεία που επισημαίνει για το νομοσχέδιο η ΑΠΔΠΧ είναι ότι:
- Προσδιορίζει λανθασμένα τα κύρια ζητήματα του ποιος είναι υπεύθυνος επεξεργασίας των δεδομένων που συλλέγονται, ποιος είναι ο εκτελών την επεξεργασία και ποια η σχέση τους.
- Δεν προβλέπει συμβάσεις μεταξύ των πλευρών αυτών, των υπηρεσιών και δομών του κράτους, ώστε να ξεκαθαρίζεται ποιος κάνει τι και με ποιου την ευθύνη.
- Δεν προβλέπεται ΕΑΠΔ (Εκτίμηση Αντικτύπου) για τις επεξεργασίες της εφαρμογής (σ.σ. έκδοσης του πιστοποιητικού), ώστε να διαπιστωθεί αν υπάρχουν επικίνδυνα σημεία στην επεξεργασία προσωπικών δεδομένων και πώς θα επιλυθούν.
- Δεν προσδιορίζεται ρητά η παύση χρήσης και λειτουργίας της εφαρμογής με βάση κριτήρια και προϋποθέσεις που σχετίζονται με τον συγκεκριμένο σκοπό που αυτή εξυπηρετεί, παρά μόνον υπάρχει μια γενική αναφορά σε κινδύνους δημόσιας υγείας.
Η Αρχή προτείνει να τροποποιηθούν συγκεκριμένες διατάξεις, ώστε να περιορίζουν τη χρήση της εφαρμογής μόνο κατά τη χρονική περίοδο που είναι σε ισχύ η υπουργική απόφαση, η οποία θα ορίζει τα συγκεκριμένα μέτρα διευκόλυνσης ως προς τη λειτουργία επιχειρήσεων ή άλλων χώρων συνάθροισης, τα οποία και θα πρέπει να περιγράφονται επαρκώς. «Είναι αυτονόητο ότι η ισχύς της υπουργικής απόφασης πρέπει να συνδέεται με το χρονικό διάστημα κατά το οποίο τα επιβαλλόμενα μέτρα κρίνονται αναγκαία για την προστασία της δημόσιας υγείας από τη διασπορά του κορονοϊού COVID-19», επισημαίνεται.
Ειδική υπόμνηση γίνεται στο γεγονός ότι «η χρήση “έξυπνων” εφαρμογών εγείρει διάφορα ζητήματα ιδιωτικότητας, αν δεν ληφθούν εγκαίρως κατάλληλα μέτρα κατά την ανάπτυξή τους, όπως για παράδειγμα ο κίνδυνος διαρροής δεδομένων σε τρίτους, αν χρησιμοποιηθούν έτοιμες βιβλιοθήκες κώδικα τρίτων μελών. Η ΕΑΠΔ θα πρέπει να απαριθμήσει τα τεχνικά και οργανωτικά μέτρα που σχεδιάστηκαν για την ελαχιστοποίηση των εντοπισθέντων κινδύνων». Επιπλέον, η Αρχή για λόγους διαφάνειας και προκειμένου να ενισχυθεί η εμπιστοσύνη των πολιτών ζητά η εν λόγω εφαρμογή να είναι ανοιχτού κώδικα (open source).
