Προειδοποίηση στην Ανεξάρτητη Αρχή Δημοσίων Εσόδων και το Υπουργείο Δικαιοσύνης απηύθυνε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προκειμένου να αναπροσαρµόσουν, µέχρι το τέλος του έτους 2019, τις πρακτικές περί χρήσης προσωπικών κωδικών TAXISNET για υπηρεσιακό σκοπό εκ μέρους των δικαστικών υπαλλήλων.
Ειδικότερα, η Αρχή ζητά από τους αρμόδιους φορείς να αναπροσαρμόσουν τους µηχανισµούς αυθεντικοποίησης των δικαστικών υπαλλήλων, οι οποίοι είναι αρµόδιοι για τη δέσµευση και τον εν γένει χειρισµό των ηλεκτρονικών παραβόλων, κατά τρόπο τέτοιο ώστε να µην απαιτείται να εισάγουν, για την αυθεντικοποίησή τους, τα διαπιστευτήρια του TAXISNET.
Η υπόθεση έφτασε ενώπιον της Αρχής έπειτα από τρώτημα του Συλλόγου Δικαστικών Υπαλλήλων Διοικητικών Δικαστηρίων Αθήνας, αναφορικά µε το ζήτηµα κατά πόσο είναι νόµιµη η υποχρεωτική και διαρκής χρήση για υπηρεσιακό σκοπό των στοιχείων αυθεντικοποίησης που αποδίδονται σε φυσικά πρόσωπα για ιδιωτικό τους σκοπό – και, ειδικότερα για την χρήση από αυτά, ως φορολογουµένους, των ηλεκτρονικών υπηρεσιών του Υπουργείου Οικονοµικών και της Ανεξάρτητης Αρχής ∆ηµοσίων Εσόδων.
Συγκεκριµένα, τα ως άνω αναφερόµενα στοιχεία πιστοποίησης ζητούνται υποχρεωτικώς για την πιστοποίηση των αρµοδίων υπαλλήλων για τη δέσµευση ηλεκτρονικών παραβόλων (eπαράβολο), στο πλαίσιο της πιλοτικής εφαρµογής του µέτρου στο Υπουργείο ∆ικαιοσύνης, ∆ιαφάνειας και Ανθρωπίνων ∆ικαιωµάτων και ειδικότερα στο ∆ιοικητικό Εφετείο Αθηνών.
Στο ως άνω ερώτηµά του ο Σύλλογος αναφέρει ότι δεν µπορούν να αξιολογηθούν οι κίνδυνοι που µπορεί να ενέχει η υποχρεωτική χρήση των προσωπικών διαπιστευτηρίων του συστήµατος TAXISΝΕΤ για υπηρεσιακούς σκοπούς.
Η απόφαση της Αρχής
Όπως αναφέρεται στην απόφαση της Αρχής, στην προκειµένη περίπτωση, τίθεται προεχόντως το ζήτηµα αν είναι νόµιµη η υποχρεωτική χρήση του συγκεκριµένου µηχανισµού αυθεντικοποίησης των χρηστών που έχουν και την ιδιότητα του υπαλλήλου (ή λειτουργού) του ∆ηµοσίου – ειδικότερα, του µηχανισµού αυθεντικοποίησης του συστήµατος TAXISNET – για σκοπούς που εντάσσονται στο πλαίσιο της δραστηριότητάς τους ως εργαζοµένων, µε δεδοµένο ότι ο εν λόγω µηχανισµός αναπτύχθηκε και χρησιµοποιείται, επίσης υποχρεωτικά, για τους προσωπικούς τους σκοπούς (ιδιωτικούς) σκοπούς, που αφορούν το πλαίσιο των δραστηριοτήτων τους ως πολιτών (διοικουµένων).
Ως προς τη χρήση του εν λόγω µηχανισµού αυθεντικοποίησης, πρέπει να αναγνωριστούν γενικότερα δύο διακριτές περιπτώσεις επεξεργασίας δεδοµένων προσωπικού χαρακτήρα. Η πρώτη αφορά τη σχέση του φυσικού προσώπου (πολίτη), ως διοικουµένου, έναντι του Κράτους.
Η δεύτερη περίπτωση –στην οποία εµπίπτει η υπό εξέταση υπόθεση– αφορά τη σχέση του φυσικού προσώπου µε το Κράτος ως υπαλλήλου (ή λειτουργού) του ∆ηµοσίου φορέα.
Ουσιαστικά, στην περίπτωση αυτή το Κράτος υποχρεώνει το φυσικό πρόσωπο που έχει την ιδιότητα του πολίτη –ενώ ταυτόχρονα είναι και υπάλληλος Φορέα του– να χρησιµοποιεί τα διαπιστευτήρια που του έχουν χορηγηθεί για ιδιωτικό/προσωπικό σκοπό, ως διοικουµένου, προκειµένου να διεκπεραιώνει διαδικασίες που αφορούν αµιγώς τα υπηρεσιακά του καθήκοντα.
Κατά συνέπεια, τα φυσικά πρόσωπα (υπάλληλοι) υποχρεώνονται – χωρίς να έχουν άλλη επιλογή – να χρησιµοποιήσουν (εισάγουν) τα ατοµικά τους διαπιστευτήρια µέσω της υποδοµής του φορέα απασχόλησής τους (όχι µόνο της ΓΓΠΣ/ΑΑ∆Ε, αλλά στην προκειµένη περίπτωση του Υπουργείου ∆ικαιοσύνης, ∆ιαφάνειας και Ανθρωπίνων ∆ικαιωµάτων).
Με τον τρόπο αυτό, η ασφαλής χρήση των διαπιστευτηρίων τους κατά τη σύνδεσή τους στα συστήµατα δεν εξαρτάται αποκλειστικά από αυτούς, αλλά και από τα µέτρα ασφάλειας τα οποία λαµβάνει ο φορέας τους.
Περαιτέρω, για τη χρήση αυτή των διαπιστευτηρίων του TAXISnet εντός των εγκαταστάσεων του φορέα από υπάλληλο αυτού, για υπηρεσιακούς σκοπούς, δεν παρέχεται βεβαιότητα ότι εξασφαλίζονται συνθήκες ώστε ο χρήστης (υπάλληλος) να έχει τη δυνατότητα να διασφαλίσει απόλυτα τη µυστικότητα των διαπιστευτηρίων, αφού είναι πιθανό στο χώρο εργασίας του να υπάρχουν και άλλα πρόσωπα, σε αντίθεση µε την περίπτωση της χρήσης των εν λόγω κωδικών από τον προσωπικό του χώρο.
Ως εκ τούτου, ανακύπτει το ζήτηµα αν µε την εν λόγω επεξεργασία θίγεται το συνταγµατικό δικαίωµα του πληροφοριακού αυτοκαθορισµού (άρθρο 9Α του Συντάγµατος).
H απαίτηση από το Κράτος να χρησιµοποιούνται οι συγκεκριµένοι κωδικοί/διαπιστευτήρια, οι οποίοι έχουν δοθεί στους πολίτες/διοικούµενους προκειµένου να συνδέονται στο πληροφοριακό σύστηµα TAXISNET, κυρίως για τη διεκπεραίωση των υποχρεώσεών τους έναντι των ∆ηµοσίων Οικονοµικών Υπηρεσιών, για έτερο σκοπό, ο οποίος αντιστοιχεί σε διαφορετικό και εµφανώς διακριτό ρόλο και ιδιότητα των πολιτών, δηλαδή αυτή του υπαλλήλου, η οποία σαφώς διαχωρίζεται από την ατοµική-ιδιωτική ζωή, δίχως αυτό να αποτελεί απόφαση ή και επιλογή του πολίτη, συνιστά περιορισµό του προαναφερόµενου δικαιώµατος, θεµελιώδες στοιχείο του οποίου αποτελεί και η επεξεργασία των προσωπικών δεδοµένων για προκαθορισµένο και συγκεκριµένο σκοπό.
Κατά συνέπεια, η Αρχή κρίνει οµόφωνα ότι η επεξεργασία δεδοµένων προσωπικού χαρακτήρα την οποία συνεπάγεται η υποχρεωτική χρήση των διαπιστευτηρίων για δύο κατηγορίες σκοπών που δεν είναι συµβατές, πλήττει το δικαίωµα του πληροφοριακού αυτοκαθορισµού και, ως εκ τούτου, έρχεται σε αντίθεση µε τις ουσιαστικές προϋποθέσεις επεξεργασίας προσωπικών δεδοµένων κατά τον εφαρµοστέο στην παρούσα υπόθεση ν. 2472/1997 (αρχή του σκοπού).
Aκόµα και αν γίνει δεκτό ότι το Υπουργείο ∆ικαιοσύνης, ∆ιαφάνειας και Ανθρωπίνων ∆ικαιωµάτων λαµβάνει –ως οφείλει άλλωστε, βάσει του άρθρου 10 του ν. 2472/1997– τα απολύτως απαραίτητα µέτρα (οργανωτικά, τεχνικά και µέτρα φυσικής ασφάλειας) για την ασφάλεια της επεξεργασίας και ότι, συνεπώς, η χρήση των συγκεκριµένων διαπιστευτηρίων εντός του φορέα δεν συνεπάγεται κινδύνους από τη σκοπιά των πληροφοριακών συστηµάτων, για τη συνολική αποτίµηση της ασφάλειας της εν λόγω επεξεργασίας, πρέπει να ληφθεί υπόψη ο ιδιαίτερος χαρακτήρας που εκ της φύσεώς τους προσλαµβάνουν τα εν λόγω διαπιστευτήρια.
Συγκεκριµένα, µολονότι κάθε φυσικό πρόσωπο, ως φορολογούµενος, ενηµερώνεται σαφώς ότι υπέχει υποχρέωση ασφαλούς φύλαξης και χρήσης των διαπιστευτηρίων του και µη διαβίβασής τους σε τρίτους, και τούτο στο πλαίσιο του αρχικού (φορολογικού) σκοπού για τον οποίο του έχουν αποδοθεί, δεν πρέπει να θεωρείται ως δεδοµένο ότι είναι αποκλειστικά ο µόνος ο οποίος τα γνωρίζει. Για παράδειγµα, δεν µπορεί να αποκλειστεί το γεγονός ότι µέλη της οικογένειας ενός υπαλλήλου ή τρίτοι συνεργάτες του (π.χ. λογιστές) γνωρίζουν και οι ίδιοι τα εν λόγω διαπιστευτήρια, µε πρωτοβουλία και ενέργειες του προσώπου στο οποίο ανήκουν, προς υποβοήθησή του στην άσκηση των υποχρεώσεών του ως φορολογουµένου.
Η πρακτική αυτή –ακόµα και αν οι οδηγίες των ΑΑ∆Ε/ΓΓΠΣ ρητά την αποθαρρύνουν/απαγορεύουν και παρά το ότι δεν µπορεί να εκτιµηθεί αν και σε ποιο βαθµό υιοθετείται από µικρό ή µεγάλο πλήθος φορολογουµένων– δεν µπορεί να αγνοηθεί κατά την αποτίµηση της ασφάλειας της επεξεργασίας στην υπό κρίση περίπτωση. Συνεπώς, είναι υπαρκτός ο κίνδυνος από τη χρήση των προσωπικών κωδικών, αν και µπορεί να περιοριστεί µε τεχνικά µέτρα. Η υλοποίηση µηχανισµού αυθεντικοποίησης δύο παραγόντων, η οποία προτείνεται από την ΑΑ∆Ε και τη ΓΓΠΣ αποτελεί ένα κατ’ αρχήν πρόσφορο µέτρο µετριασµού αυτού του κινδύνου, το οποία µάλιστα αποτελεί πλέον συνήθη πρακτική.
Η λήψη, όµως µέτρων ασφαλείας δεν αίρει την παραβίαση την οποία συνιστά η υποχρεωτική χρήση των διαπιστευτηρίων για δύο µη συµβατές κατηγορίες σκοπών.
Προθεσμία έως το τέλος του 2019
Ενόψει των ανωτέρω, και λαµβάνοντας επίσης υπόψη αφενός ότι η διαδικασία απόδοσης διαπιστευτηρίων σε φυσικά πρόσωπα η οποία έχει υλοποιηθεί στο πλαίσιο του µηχανισµού TAXISNET είναι ασφαλής, και, αφετέρου, ότι απαιτείται εύλογο χρονικό διάστηµα, προκειµένου να µεταβληθεί ο υφιστάµενος µηχανισµός αυθεντικοποίησης των αρµόδιων δικαστικών υπαλλήλων, η Αρχή κρίνει ότι πρέπει να επιβληθεί στην ΑΑ∆Ε και στο Υπουργείο ∆ικαιοσύνης, προειδοποίηση να αναπροσαρµόσουν, µέχρι το τέλος του έτους 2019, τους µηχανισµούς αυθεντικοποίησης των δικαστικών υπαλλήλων, οι οποίοι είναι αρµόδιοι για τη δέσµευση και τον εν γένει χειρισµό των ηλεκτρονικών παραβόλων, κατά τρόπο τέτοιο ώστε να µην απαιτείται να εισάγουν, για την αυθεντικοποίησή τους, τα διαπιστευτήρια του TAXISNET, καθώς επίσης και να ενηµερώσουν σχετικώς την Αρχή.
Περαιτέρω, επισηµαίνεται ότι η ΑΑ∆Ε οφείλει να επανεξετάσει το σχεδιασµό της διαδικασίας αυθεντικοποίησης για την έκδοση ηλεκτρονικού παραβόλου από υπαλλήλους όλων των φορέων του δηµοσίου.
Δείτε αναλυτικά την απόφαση 77/2018 της Αρχής
Πηγή:lawspot.gr