Συμβούλιο της Επικρατείας

(Επεξεργασία Διαταγμάτων)

(Ε΄ Τμήμα) 

Πρακτικό Συνεδριάσεως και Γνωμοδότηση

Αριθ. 60/2024

Πρόεδρος: Μ. Γκορτζολίδου, Αντιπρόεδρος

Εισηγήτρια: A. Σπανού, Σύμβουλος

Σχέδιο προεδρικού διατάγματος για τη διαδικασία έκδοσης και χορήγησης του Προσωπικού Αριθμού (ΠΑ). «Μόνος και αποκλειστικός» σκοπός της επεξεργασίας οφείλει να είναι η επαλήθευση της ταυτότητας των φυσικών προσώπων. Τήρηση του ΠΑ μόνο σε ένα κεντρικό σημείο. Δεν προβλέπεται σύνδεση με το περιεχόμενο του εκάστοτε τομεακού μητρώου παρά μόνο σύνδεση με τον τομεακό αναγνωριστικό αριθμό. Ο τρόπος δημιουργίας του ΠΑ από τον ΑΦΜ, παρίσταται, κατ’ αρχήν, πρόσφορος. Παρατηρήσεις επί των επιμέρους άρθρων του σχεδίου.

(…) 4. Με τον ν. 4727/2020 «Κώδικας Ψηφιακής Διακυβέρνησης (Ενσωμάτωση στην Ελληνική Νομοθεσία της Οδηγίας (ΕΕ) 2016/2102 και της Οδηγίας (ΕΕ) 2019/1024) Κώδικας Ηλεκτρονικών Επικοινωνιών (Ενσωμάτωση στο Ελληνικό Δίκαιο της Οδηγίας (ΕΕ) 2018/1972) και άλλες διατάξεις» (Α΄ 184), ο οποίος έχει ως αντικείμενο τη ρύθμιση θεμάτων ψηφιακής διακυβέρνησης στον δημόσιο τομέα, εισήχθησαν διατάξεις με σκοπό τη δημιουργία των θεσµικών προϋποθέσεων για την επικοινωνία και συναλλαγή των πολιτών και των επιχειρήσεων µε τους φορείς του δημόσιου τομέα µε χρήση των τεχνολογιών πληροφορικής και επικοινωνιών. Ειδικότερα, με το άρθρο 11 του νόμου αυτού καθιερώνεται Προσωπικός Αριθμός (ΠΑ), ο οποίος αποτελεί στοιχείο για την επαλήθευση της ταυτότητας των φυσικών προσώπων που συναλλάσσονται με τους φορείς του δημόσιου τομέα. Συγκεκριμένα, στο άρθρο 11 του ν. 4727/ 2020 ορίζονται τα εξής: «1. Καθιερώνεται προσωπικός αριθμός (ΠΑ) ως αριθμός υποχρεωτικής επαλήθευσης της ταυτότητας των φυσικών προσώπων στις συναλλαγές τους με τους φορείς του δημόσιου τομέα. Ο ΠΑ αποτελείται από δώδεκα (12) αλφαριθμητικά στοιχεία, εκ των οποίων τουλάχιστον τα εννέα (9) είναι αριθμητικά, και χορηγείται άπαξ στο φυσικό πρόσωπο. Ο ΠΑ δεν μεταβάλλεται και απενεργοποιείται με τον θάνατο ή την κήρυξη σε αφάνεια του φυσικού προσώπου. 2. Ο ΠΑ χορηγείται υποχρεωτικά σε κάθε φυσικό πρόσωπο που δικαιούται Αριθμό Φορολογικού Μητρώου (ΑΦΜ) ή Αριθμό Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ), σύμφωνα με την εθνική νομοθεσία. 3. Η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (ΓΓΠΣΔΔ) είναι αποκλειστικά αρμόδια για την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και για την αντιστοίχιση των ΠΑ με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα, ιδίως ΑΦΜ και ΑΜΚΑ, με σκοπό την επαλήθευση της ταυτότητας των φυσικών προσώπων και την επίτευξη διαλειτουργικότητας των πληροφοριακών συστημάτων των αρμόδιων φορέων μέσω του Κέντρου Διαλειτουργικότητας, υπό τους όρους προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως προβλέπονται στον Γενικό Κανονισμό για την Προστασία Δεδομένων και την εθνική νομοθεσία. 4. Η ΓΓΠΣΔΔ είναι υπεύθυνη επεξεργασίας για τους σκοπούς της επαλήθευσης της ταυτότητας των φυσικών προσώπων και τηρεί το Μητρώο Προσωπικού Αριθμού. Το Μητρώο Προσωπικού Αριθμού περιλαμβάνει τα στοιχεία που είναι απολύτως αναγκαία για την επαλήθευση της ταυτότητας του φυσικού προσώπου, ήτοι όνομα, επώνυμο, πατρώνυμο, μητρώνυμο, ημερομηνία γέννησης, τόπο γέννησης, Αριθμό Δελτίου Ταυτότητας, ΑΜΚΑ, ΑΦΜ. Η τήρηση των δεδομένων του Μητρώου ΠΑ λαμβάνει χώρα, ακόμα και ύστερα από την απενεργοποίηση του ΠΑ για τους λόγους που προβλέπονται στην § 1, στο πλαίσιο εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον και κατά την άσκηση της ειδικής δημόσιας εξουσίας τήρησης του Μητρώου ΠΑ, που έχει ανατεθεί στον Υπεύθυνο Επεξεργασίας και υπό τους όρους που προβλέπονται στον Γενικό Κανονισμό για την Προστασία Δεδομένων και την εθνική νομοθεσία. 5. Ο ΠΑ χορηγείται στα φυσικά πρόσωπα σύμφωνα με τη διαδικασία και το χρονοδιάγραμμα που ορίζεται στο προεδρικό διάταγμα που εκδίδεται σύμφωνα με την § 6 του άρθρου 107. Με την διαδικασία αυτή χορηγείται ο ΠΑ και σε όσα φυσικά πρόσωπα έχει χορηγηθεί ΑΦΜ ή/και ΑΜΚΑ. 6. Οι φορείς του δημόσιου τομέα επεξεργάζονται τον ΠΑ, μέσω του Κέντρου Διαλειτουργικότητας της ΓΓΠΣΔΔ, με μόνο και αποκλειστικό σκοπό την επαλήθευση της ταυτότητας των φυσικών προσώπων για την παροχή δημόσιων υπηρεσιών προς φυσικά και νομικά πρόσωπα, την εν γένει διεκπεραίωση των υποθέσεων των φυσικών προσώπων και την άσκηση των αρμοδιοτήτων τους, χωρίς να τον συλλέγουν και αποθηκεύουν στα πληροφοριακά συστήματα ή στα συστήματα αρχειοθέτησης και τηρώντας τα απαραίτητα τεχνικά και οργανωτικά μέτρα που ορίζονται στο προεδρικό διάταγμα της § 6 του άρθρου 107. 7. Ο ΠΑ δεν τηρείται από τους επιμέρους φορείς του δημόσιου τομέα, οι οποίοι αποδίδουν στα φυσικά πρόσωπα αναγνωριστικό αριθμό εσωτερικού τους μητρώου, για την επίτευξη της λειτουργικότητας των πληροφοριακών συστημάτων τους και των ειδικών ανεξάρτητων μητρώων τους. Όταν σύμφωνα με τη νομοθεσία απαιτείται η συλλογή και επεξεργασία του ΑΦΜ, ιδίως για φορολογικούς ή τελωνειακούς σκοπούς ή για σκοπούς είσπραξης δημοσίων εσόδων χρησιμοποιούνται και αποτελούν αντικείμενο επεξεργασίας μόνο τα τελευταία εννέα (9) αριθμητικά στοιχεία του Π.Α». Στην αιτιολογική έκθεση του άρθρου 11 ν. 4727/2020 αναφέρεται ότι με την καθιέρωση του προσωπικού αριθμού γίνεται μια μεγάλη τομή στη διαδικασία απλοποίησης και αυτοματοποίησης των διαδικασιών ταυτοποίησης του κάθε φυσικού προσώπου, ότι διευκολύνεται και απλοποιείται η διαλειτουργικότητα των διαφορετικών ψηφιακών συστημάτων του δημόσιου τομέα και ότι κατ’ αυτόν τον τρόπο, εξαλείφεται το φαινόμενο ένα φυσικό πρόσωπο να εμφανίζεται «με πολλά πρόσωπα» έναντι του Δημοσίου. Τέλος, στο άρθρο 107 § 6 του ίδιου νόμου περιλαμβάνεται εξουσιοδοτική διάταξη, η οποία προβλέπει ότι «Με προεδρικό διάταγμα που εκδίδεται ύστερα από πρόταση των Υπουργών Οικονομικών, Εργασίας και Κοινωνικών Υποθέσεων και Ψηφιακής Διακυβέρνησης και ύστερα από γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καθορίζονται τα μέτρα, οι εγγυήσεις και οι μηχανισμοί ασφαλείας για την πρόληψη και την αντιμετώπιση των κινδύνων για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων, η διαδικασία χορήγησης του Προσωπικού Αριθμού, και ιδίως οι υπηρεσίες διεκπεραίωσης, τα απαιτούμενα δικαιολογητικά και οι υπηρεσίες ελέγχου αυτών, οι λόγοι αναστολής του, το χρονοδιάγραμμα που προβλέπεται στην § 5 του άρθρου 11, η διαδικασία έκδοσης του ΠΑ, οι όροι και η διαδικασία για την παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και για την αντιστοίχιση των ΠΑ με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα, ιδίως ΑΦΜ και ΑΜΚΑ, τα ειδικότερα ζητήματα για την τήρηση του Μητρώου Προσωπικού Αριθμού, τα τεχνικά και οργανωτικά μέτρα που τηρεί η ΓΓΠΣΔΔ, τα τεχνικά και οργανωτικά μέτρα που τηρούν οι φορείς του δημοσίου τομέα που επεξεργάζονται τον ΠΑ μέσω του Κέντρου Διαλειτουργικότητας της ΓΓΠΣΔΔ, καθώς και κάθε τεχνική ή άλλη λεπτομέρεια για την εφαρμογή του άρθρου 11. Η ΓΓΠΣΔΔ υποχρεούται να διενεργήσει πριν από την έκδοση του προεδρικού διατάγματος την εκτίμηση αντικτύπου της επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα οριζόμενα στον Γενικό Κανονισμό Προστασίας Δεδομένων». 

5. Από τις ανωτέρω διατάξεις προκύπτει ότι μέσω του Μητρώου Προσωπικού Αριθμού του άρθρου 11 του ν. 4727/2020 διευκολύνεται η παροχή υπηρεσιών επαλήθευσης ταυτότητας των φυσικών προσώπων προς τους φορείς του δημόσιου τομέα και υλοποιείται η αντιστοίχιση του Προσωπικού Αριθμού κάθε φυσικού προσώπου με τους αναγνωριστικούς αριθμούς των μητρώων (ειδικούς τομεακούς αριθμούς) των φορέων του δημόσιου τομέα, ιδίως ΑΦΜ και ΑΜΚΑ, με αποκλειστικό σκοπό την επαλήθευση της ταυτότητας των φυσικών προσώπων και την επίτευξη διαλειτουργικότητας των πληροφοριακών συστημάτων των αρμόδιων φορέων μέσω του Κέντρου Διαλειτουργικότητας. Ο Προσωπικός Αριθμός, ο οποίος είναι προδήλως χρηστικός για τα φυσικά πρόσωπα, τα οποία δεν θα έχουν πλέον την υποχρέωση απομνημόνευσης πολλών αριθμών ταυτοποίησης και διατήρησης αντίστοιχων πιστοποιητικών, θα τηρείται μόνο σε ένα κεντρικό σημείο, την Γενική Γραμματεία Πληροφοριακών Συστημάτων και Ψηφιακής Διακυβέρνησης (Γ.Γ.Π.Σ.Ψ.Δ.), η οποία αποτελεί την αρμόδια αρχή για την επιβεβαίωση της ταυτότητας των πολιτών, σύμφωνα με το άρθρο 84 του ίδιου ν. 4727/2020, περιλαμβάνει τα στοιχεία που είναι απολύτως αναγκαία για την επαλήθευση της ταυτότητας του φυσικού προσώπου και δεν θα τηρείται από τους επιμέρους φορείς του δημοσίου. Επιπλέον, δεν προβλέπεται σύνδεση με το περιεχόμενο του εκάστοτε τομεακού μητρώου παρά μόνο σύνδεση με τον τομεακό αναγνωριστικό αριθμό, καθώς, σύμφωνα με το άρθρο 11 § 7 του ν. 4727/2020 κατά τη χρήση της ανωτέρω διαδικτυακής υπηρεσίας, δεν γίνεται διασύνδεση των αρχείων του Μητρώου ΠΑ με τα πληροφοριακά συστήματα και συστήματα αρχειοθέτησης των φορέων του δημόσιου τομέα που την αξιοποιούν. Υπό τα δεδομένα αυτά, η προβλεπόμενη με το άρθρο 11 του ν. 4727/2020 επεξεργασία δεδομένων προσωπικού χαρακτήρα συνιστά ρύθμιση αναγκαία και πρόσφορη για τη δημιουργία ορθής συσχέτισης των αναγνωριστικών στοιχείων του φυσικού προσώπου στα βασικά μητρώα του δημοσίου, εξυπηρετεί, δηλαδή, το δημόσιο συμφέρον, τα δε στοιχεία που υποβάλλονται σε επεξεργασία (άρθρο 11 § 4 του ν. 4727/2020) είναι τα απολύτως αναγκαία για την επίτευξη του σκοπού της επεξεργασίας, ο οποίος προσδιορίζεται ως «μόνος και αποκλειστικός» (άρθρο 11 § 6 του ν. 4727/2020). Επομένως, κατά τα ανωτέρω γενόμενα δεκτά, η κατά τον προεκτεθέντα τρόπο επεξεργασία του ΠΑ δικαιολογείται από την ανάγκη ικανοποιήσεως των προαναφερθέντων θεμιτών δημοσίων σκοπών, ιδίως δε της πλήρους εξάλειψης των διπλοεγγραφών και της διόρθωσης σφαλμάτων στις εγγραφές (αναγραμματισμοί, ορθογραφικά λάθη σε ονοματεπώνυμα), που πλήττουν το κύρος της ακρίβειας των δεδομένων των φυσικών προσώπων, τελεί, δε, σε αναλογία προς αυτούς. 

6. Με το υπό επεξεργασία σχέδιο, το οποίο προτείνεται κατ’ επίκληση της προαναφερόμενης διάταξης του άρθρου 107 § 6 του ν. 4727/ 2020, επιδιώκεται η ρύθμιση της διαδικασίας έκδοσης και χορήγησης ΠΑ, καθώς η θέσπιση μέτρων, εγγυήσεων και μηχανισμών ασφαλείας για την πρόληψη και την αντιμετώπιση των κινδύνων για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων. Ειδικότερα, με το άρθρο 1 του σχεδίου προσδιορίζεται το αντικείμενο του σχεδίου σύμφωνα με την εξουσιοδοτική διάταξη του άρθρου 107 § 6 του ν. 4727/2020. Με το άρθρο 2 του σχεδίου προσδιορίζεται ειδικότερα ο ΠΑ, οι δικαιούχοι του και οι περιπτώσεις που καθίσταται ανενεργός. Με το άρθρο 3 εισάγονται διατάξεις σχετικά με την τήρηση του Μητρώου ΠΑ από την Γ.Γ.Π. Σ.Ψ.Δ., των δεδομένων που περιλαμβάνονται σε αυτό, και τα μητρώα των φορέων του δημοσίου τομέα από τα οποία αντλούνται τα δεδομένα αυτά (Μητρώο Πολιτών του Υπουργείου Εσωτερικών, Φορολογικό Μητρώο της Ανεξάρτητης Αρχής Δημοσίων Εσόδων (ΑΑΔΕ), Ενιαίο Μητρώο ΑΜΚΑ ΕΜΑΕΣ που τηρεί η Ηλεκτρονική Διακυβέρνηση Κοινωνικής Ασφάλισης Α.Ε. (ΗΔΙΚΚΑ), Μητρώο Δελτίων Ταυτότητας Ελλήνων Πολιτών της Ελληνικής Αστυνομίας, Μητρώο Πολιτών Τρίτων Χωρών και Μητρώο Ασύλου που τηρεί το Υπουργείο Μετανάστευσης). Στο άρθρο 4 του σχεδίου προβλέπεται η διαδικασία έκδοσης ΠΑ μέσω της ειδικής ηλεκτρονικής εφαρμογής myinfo, όπως προβλέπεται στα άρθρα 4, 5, 6 και 7 της 16000 ΕΞ 2024 απόφασης των Υπουργών Εθνικής Οικονομίας και Οικονομικών, Εξωτερικών, Εσωτερικών, Εργασίας και Κοινωνικής Ασφάλισης, Μετανάστευσης και Ασύλου, Ψηφιακής Διακυβέρνησης και του Διοικητή της Ανεξάρτητης Αρχής Δημοσίων Εσόδων (Β΄ 2739), ενώ στο άρθρο 5 προβλέπεται διαδικασία αυτοματοποιημένης έκδοσης ΠΑ από τη ΓΓΠΣΨΔ. Στο άρθρο 6 του σχεδίου προβλέπεται το αντικείμενο της υπηρεσίας που παρέχεται από την ΓΓΠΣΨΔ στους φορείς του δημόσιου τομέα, το οποίο συνίσταται στη δυνατότητα επαλήθευσης της ταυτότητας των φυσικών προσώπων, προβαίνοντας σε αντιστοίχιση του ΠΑ των φυσικών προσώπων με τον αναγνωριστικό αριθμό του εκάστοτε μητρώου. Στο άρθρο 7 ρυθμίζονται ζητήματα προστασίας δεδομένων προσωπικού χαρακτήρα και στο άρθρο 8 τίθεται το προβλεπόμενο στο άρθρο 11 § 5 του ν. 4727/2020 χρονοδιάγραμμα για την έκδοση του ΠΑ, καθώς και μεταβατική διάταξη εφαρμογής των υφιστάμενων διαδικασιών επαλήθευσης της ταυτότητας των φυσικών προσώπων, μέχρι την προσαρμογή των διαδικασιών και των πληροφοριακών συστημάτων των φορέων του δημόσιου τομέα, προκειμένου να επιτευχθεί η διαλειτουργικότητά τους με τα στοιχεία του Μητρώου ΠΑ. 

7. Πριν την αποστολή του σχεδίου προς επεξεργασία στο Συμβούλιο της Επικρατείας, τηρήθηκε η προβλεπόμενη στο άρθρο 11 του ν. 4727/2020 διοικητική διαδικασία. Συγκεκριμένα, συντάχθηκε, με μέριμνα του Υπουργείου Ψηφιακής Διακυβέρνησης, Μελέτη Εκτίμησης Αντικτύπου για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΕΑΠΔ») στο πλαίσιο συμμόρφωσης με τις διατάξεις των άρθρων 35 και 36 του ΓΚΠΔ, όπως προβλέπεται ειδικώς και στο άρθρο 107 § 6 του ίδιου ν. 4727/ 2020, η οποία κατέληξε σε θετικό συμπέρασμα, ότι δηλαδή δεν παραβιάζονται οι θεμελιώδεις αρχές επεξεργασίας των προσωπικών δεδομένων, η δραστηριότητα επεξεργασίας που λαμβάνει χώρα ικανοποιεί την αρχή της αναλογικότητας, υλοποιείται δε σύμφωνα με το άρθρο 11 του ν. 4727/2020, προς το δημόσιο συμφέρον και συγκεκριμένα για τη διασφάλιση ταχείας, ευχερούς, ασφαλούς και έγκυρης ταυτοποίησης. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων αξιολογήθηκαν με όρους σοβαρότητας και πιθανότητας επέλευσης/ εμφάνισης και κρίθηκαν αποδεκτοί, η αξιολόγηση έλαβε ιδιαιτέρως υπόψη ότι με την ανωτέρω λειτουργία εφαρμόζεται μία σημαντική προσπάθεια ψηφιοποίησης μιας σημαντικής διαδικασίας που αφορά το σύνολο των πολιτών, ως έκφανση μετάβασης στην ηλεκτρονική διακυβέρνηση και επιτυγχάνεται μείωση της ανάγκης έντυπης δημιουργίας και διακίνησης εγγράφων στο πλαίσιο γενικότερων πρακτικών αειφόρου ανάπτυξης με θετικό περιβαλλοντικό αποτύπωμα (βλ. σ. 61 της ΕΑΠΔ). Ακολούθως, με το Γ/ΕΙΣ/8531/1.12.2023 έγγραφο του Υπουργείου Ψηφιακής Διακυβέρνησης υποβλήθηκε προς γνωμοδότηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σχέδιο διατάγματος και ακολούθησε το Γ/ΕΙΣ/9/2.1. 2024 υπόμνημα διευκρινήσεων συνοδευόμενο από την ως άνω ΕΑΠΔ. Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα γνωμοδότησε, όπως προβλέπεται στην εξουσιοδοτική διάταξη του άρθρου 107 § 6 του ν. 4727/ 2020, ως αναγκαίος τύπος για τη νομιμότητα του σχεδίου, με την 1/2024 θετική γνωμοδότησή της, σύμφωνα με την οποία η επεξεργασία των δεδομένων που αφορά το μητρώο του ΠΑ, ενόψει του σκοπού της, πληροί τις αρχές επεξεργασίας του άρθρου 5 § 1 του ΓΚΠΔ. Περαιτέρω, η Αρχή διέλαβε ορισμένες γενικές παρατηρήσεις επί του συνόλου του σχεδίου, οι οποίες έχουν ως εξής: α) τυχόν επεξεργασία του ΠΑ για διαφορετικό σκοπό πέραν της επαλήθευσης της ταυτότητας θα χρειαστεί νομοθετική ρύθμιση και αξιολόγηση της νομιμότητας της νέας επεξεργασίας, σύμφωνα με την αρχή του περιορισμού του σκοπού, β) το επίπεδο προστασίας της χρήσης του ΠΑ ως δεδομένου προσωπικού χαρακτήρα αξιολογείται ως επαρκές, σύμφωνα με την αρχή της ελαχιστοποίησης της επεξεργασίας, υπό την προϋπόθεση ότι ο ΠΑ δεν αναγράφεται σε άλλο δημόσιο έγγραφο (όπως για παράδειγμα στο δελτίο αστυνομικής ταυτότητας), γ) με την καθιέρωση του ΠΑ (και μετά την ορθή λειτουργία του μητρώου αυτού και των συναφών διαδικασιών διαλειτουργικότητας) παύει η ανάγκη τήρησης πολλαπλών τομεακών αναγνωριστικών από τους δημόσιους φορείς (δηλαδή ένας δημόσιος φορέας να τηρεί πέραν του ενός τομεακού αναγνωριστικού για τον κάθε πολίτη) (αρχή της ελαχιστοποίησης) και για το λόγο αυτό, ο μακροπρόθεσμος σχεδιασμός θα πρέπει να προσαρμοσθεί αναλόγως, δ) δεν προκύπτει σχεδιασμός σε σχέση με τον ενδεχόμενο ρόλο του ΠΑ ως δεδομένου ταυτοποίησης που προβλέπει ο Κανονισμός eIDAS, [Κανονισμός 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 23ης Ιουλίου 2014 «Σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της Οδηγίας 1999/93/ΕΚ» (L 257/73), όπως τροποποιήθηκε, τελικώς, με τον Κανονισμό 2024/1183 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 11ης Απριλίου 2024 (L 30.4.2024), όσον αφορά τη θέσπιση ευρωπαϊκού πλαισίου για την ψηφιακή ταυτότητα] ή για τη σχέση του με άλλο αναγνωριστικό στην περίπτωση, που ο ΠΑ δεν αποτελέσει δεδομένο ταυτοποίησης στο πλαίσιο του εν λόγω Κανονισμού και ότι είναι σκόπιμο η σχετική πρόβλεψη να ενσωματωθεί στο σχέδιο διατάγματος. Στη συνέχεια, διατυπώθηκαν παρατηρήσεις επί των διατάξεων του σχεδίου διατάγματος, ιδίως σε σχέση με το άρθρο 7 αυτού το οποίο αφορά στα μέτρα και στις εγγυήσεις προστασίας των προσωπικών δεδομένων (βλ. κατωτέρω παρατήρηση 14), οι οποίες έγιναν δεκτές και ενσωματώθηκαν στο υπό επεξεργασία σχέδιο προεδρικού διατάγματος που διαβιβάσθηκε στο Συμβούλιο της Επικρατείας. 

[…]

12. Στο άρθρο 2 § 2 του σχεδίου προβλέπεται ότι ο ΠΑ αποτελείται από δώδεκα (12) αλφαριθμητικά στοιχεία (συνδυασμός ψηφίων και κεφαλαίων γραμμάτων του ελληνικού αλφαβήτου που έχουν ομόγραφα στο λατινικό αλφάβητο, άρθρο 2 § 3 του σχεδίου), εκ των οποίων τα τρία πρώτα αλφαριθμητικά στοιχεία δημιουργούνται με τη διαδικασία που προβλέπεται στο άρθρο 4 και τα εννέα (9) τελευταία αριθμητικά στοιχεία αποτελούν τα αριθμητικά στοιχεία του ΑΦΜ του κάθε φυσικού προσώπου κατά τη χρονική στιγμή της έκδοσης του ΠΑ. Ο τρόπος δημιουργίας του ΠΑ, παρίσταται, κατ’ αρχήν, πρόσφορος, λαμβανομένης υπόψη και της πρόδηλης χρηστικότητάς του για το φυσικό πρόσωπο, το οποίο θα δύναται να τον απομνημονεύει πιο εύκολα ενώ ο συνδυασμός του με τρία επιπλέον αλφαριθμητικά στοιχεία διασφαλίζει ότι θα είναι δύσκολος ο εντοπισμός του από τρίτα πρόσωπα. Στην § 5 του άρθρου 2 προσδιορίζονται τα φυσικά πρόσωπα στα οποία χορηγείται υποχρεωτικά ο ΠΑ, όπως προβλέπονται ήδη στο άρθρο 11 § 2 του ν. 4727/2020. Επομένως, οι ρυθμίσεις του άρθρου 2 παρίστανται νόμιμες. 

13. Στο άρθρο 4 § 2 περ. β. του σχεδίου προβλέπεται ότι στην περίπτωση που το φυσικό πρόσωπο δεν διαθέτει ενεργό ΑΦΜ αλλά διαθέτει ενεργό ΑΜΚΑ, προηγείται η απόδοση ΑΦΜ προκειμένου να ολοκληρωθεί η έκδοση του ΠΑ. Ενόψει των διαλαμβανομένων στην προηγούμενη παρατήρηση περί της προσφορότητας της επιλογής των ψηφίων του ΑΦΜ ως βάσης του ΠΑ, η εν λόγω ρύθμιση, με την οποία απαιτείται η προηγούμενη απόδοση ΑΦΜ για τη χορήγηση ΠΑ παρίσταται νόμιμη. 

14. Στο άρθρο 7 του σχεδίου καθορίζονται τα μέτρα, οι εγγυήσεις και οι μηχανισμοί ασφάλειας για την πρόληψη και την αντιμετώπιση των κινδύνων για την προστασία των προσωπικών δεδομένων των φυσικών προσώπων. Το περιεχόμενο των μέτρων, των εγγυήσεων και των μηχανισμών ασφαλείας είχε μελετηθεί, προσδιορισθεί και αξιολογηθεί κατά την εκπόνηση της ΕΑΠΔ (βλ. σ. 13-53 της μελέτης). Επί του άρθρου 7 του αρχικού σχεδίου διατάγματος το οποίο είχε διαβιβασθεί στην Αρχή Προστασίας Δεδομένων, η Αρχή είχε προβεί, ενόψει και του εποπτικού της ρόλου για την εφαρμογή του ΓΚΠΔ, σε παρατηρήσεις, οι οποίες ενσωματώθηκαν στο σύνολό τους στο υπό επεξεργασία σχέδιο. Επομένως, οι ρυθμίσεις του άρθρου 7 παρίστανται νόμιμες. Δεδομένου, όμως, ότι, όπως προεκτέθηκε ανωτέρω στην παρατήρηση 5, η επαλήθευση της ταυτότητας των φυσικών προσώπων είναι ο μόνος και αποκλειστικός σκοπός της επεξεργασίας του ΠΑ ενώ η Αρχή Προστασίας επεσήμανε στις γενικές παρατηρήσεις επί του σχεδίου (βλ. ανωτέρω παρατήρηση 7) ότι επεξεργασία για διαφορετικό σκοπό απαιτεί νομοθετική ρύθμιση, στο άρθρο 7 § 1 του σχεδίου πρέπει να προστεθεί πριν τη λέξη «σκοπός» η λέξη «Αποκλειστικός».

[…]

ΣΧΟΛΙΟ

Αδυναμία σύνδεσης (unlinkability) στην αρχιτεκτονική του Προσωπικού Αριθμού

Το παραπάνω πρακτικό συνεδριάσεως συντάχθηκε από το 5^ο Τμήμα του ΣτΕ σύμφωνα με τη γνωμοδοτική του αρμοδιότητα και αφορά το σχέδιο προεδρικού διατάγματος για τον Προσωπικό Αριθμό (ΠΑ). Επί του σχεδίου υπέβαλε παρατηρήσεις η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, κατά την αρμοδιότητα που διαθέτει σύμφωνα με το άρθρο 57 ΓΚΠΔ. Πλέον έχει ήδη εκδοθεί το π.δ. 40/2025 (Α΄67), στο οποίο συμπεριλαμβάνονται οι παρατηρήσεις αμφότερων. 

1.  Μοναδικά αναγνωριστικά και κίνδυνοι για την ιδιωτική ζωή

Ένα κύριο ζήτημα που εξετάζει το Συμβούλιο της Επικρατείας στην υπό σχολιασμό γνωμοδότηση είναι η συμβατότητα της υιοθέτησης του ΠΑ με την αρχή της αναλογικότητας[1]. Η υιοθέτηση ενός αναγνωριστικού γενικού σκοπού, δηλαδή, ενός αριθμού ο οποίος θα χρησιμοποιείται αδιάκριτα σε όλα τα περιβάλλοντα του Δημοσίου[2], εγείρει σοβαρά ζητήματα σε σχέση με το δικαίωμα στην ιδιωτική ζωή[3]. Δεν έχουν λείψει οι τοποθετήσεις ξένων έγκριτων οργάνων, όπως, μεταξύ άλλων, του Ομοσπονδιακού Επιτρόπου για την Προστασία των Δεδομένων και την Ελευθερία της Πληροφόρησης της Γερμανίας (BfDI)[4], ή του Συνταγματικού Δικαστηρίου της Ουγγαρίας (Curia)[5], σύμφωνα με τις οποίες η υιοθέτηση ενός μοναδικού αναγνωριστικού φέρει «εγγενείς κινδύνους» καταλογογράφησης της προσωπικότητας και δημιουργίας προφίλ[6]. 

Οι κίνδυνοι εκ των μοναδικών αναγνωριστικών προέρχονται από δύο κατευθύνσεις[7]. Υφίστανται κίνδυνοι από το εξωτερικό – εισβολείς μπορούν να χρησιμοποιήσουν το αναγνωριστικό ως κλειδί για την πρόσβαση σε άλλες προσωπικές πληροφορίες – καθώς και κίνδυνοι από το εσωτερικό. Οι τελευταίοι αφορούν κινδύνους που προέρχονται από την ίδια την κρατική εξουσία, η οποία μπορεί να αξιοποιήσει το μοναδικό αναγνωριστικό για να προχωρήσει σε αντιστοίχιση δεδομένων (datamatching)[8]. Αυτό συμβαίνει εξ αιτίας της διπλής λειτουργίας του αναγνωριστικού. Είναι όρος ευρετηρίου (index term), καθώς και όρος ένωσης (join term) – αριθμός δηλαδή που ενώνει δέσμες δεδομένων, δηλαδή που συνδέει τα δεδομένα με το υποκείμενο σε διάφορες βάσεις[9]. 

2.  Συγκεντρωτική αρχιτεκτονική του ΠΑ

Η σχεδιαστική επιλογή που υιοθετήθηκε από την ελληνική Κυβέρνηση έχει να κάνει με τη δημιουργία ενός κεντρικού μητρώου (Μητρώο ΠΑ) στο οποίο αποθηκεύονται οι αριθμοί. Οι φορείς του δημόσιου τομέα, κατά την επεξεργασία του ΠΑ, δεν συλλέγουν τον ΠΑ ούτε και τον αποθηκεύουν στα πληροφοριακά συστήματα ή στα συστήματα αρχειοθέτησής τους[10]. Περαιτέρω, ο ΠΑ δεν τηρείται από τους επιμέρους φορείς του δημόσιου τομέα, οι οποίοι αποδίδουν στα φυσικά πρόσωπα αναγνωριστικό αριθμό εσωτερικού τους μητρώου[11]. Έτσι, όπως αναφέρει και το υπό σχολιασμό πρακτικό επεξεργασίας, «δεν προβλέπεται σύνδεση με το περιεχόμενο του εκάστοτε τομεακού μητρώου παρά μόνο σύνδεση με τον τομεακό αναγνωριστικό αριθμό»[12]. Με αυτά τα μέσα, η ελληνική Κυβέρνηση προσπαθεί να ανταπεξέλθει στον κίνδυνο της διασύνδεσης των αρχείων του Μητρώου ΠΑ με τα αρχεία των πληροφοριακών συστημάτων και συστήματα αρχειοθέτησης των φορέων του δημόσιου τομέα. 

Σε αυτήν τη σχεδιαστική επιλογή, η ελληνική Κυβέρνηση ακολουθεί σχεδόν κατά πόδας το παράδειγμα της Εσθονίας. Η καθοριστική αρχή της τελευταίας είναι η αρχή της «αντιστοίχισης και όχι αποθήκευσης» (referencing ratherthan storing)[13]. Σύμφωνα με αυτό το παράδειγμα, το μοναδικό αναγνωριστικό αποθηκεύεται αποκλειστικά και μόνον σε ένα κεντρικό σημείο. Κατά συνέπεια, ο ΠΑ παύει να μπορεί να λειτουργήσει ως όρος ένωσης βάσεων δεδομένων, αφού δεν είναι αποθηκευμένος στα λοιπά συστήματα.

3.  Η Αρχή της αδυναμίας σύνδεσης (principle of unlinkability)

Παρ’ όλα αυτά, οι κίνδυνοι για την ιδιωτική ζωή δεν εξαφανίζονται. Σύμφωνα με τη Συμβουλευτική Επιτροπή της Σύμβασης 108 + του Συμβουλίου της Ευρώπης, η υιοθέτηση ενός ισόβιου, μοναδικού αναγνωριστικού γενικού σκοπού καθιστά δυνατή την «παρακολούθηση των διαδικτυακών και ψηφιακών ενεργειών του υποκειμένου των δεδομένων»[14]. Επομένως, υφίσταται ένας σοβαρός κίνδυνος που υποσκάπτει την αδυναμία σύνδεσης (unlinkabi­li­ty)[15]. 

Στις σπουδές ασφάλειας, δύο ενέργειες είναι συνδέσιμες (linkable) όταν κάποιος που τις παρακολουθεί είναι σε θέση να καταλάβει ότι προήλθαν από τον ίδιο χρήστη[16]. Κατά συνέπεια, αδυναμία σύνδεσης είναι «η ιδιότητα να εμφανίζονται οι δύο ενέργειες μετά το πέρας [μιας] διαδικασίας [υπό παρακολούθηση ενός τρίτου] ακριβώς τόσο σχετικές – ή τόσο άσχετες – στον τρίτο όσο φαίνονταν πριν από την έναρξή της»[17]. Η ύπαρξη εγγυήσεων αδυναμίας σύνδεσης αποτελεί επιμέρους πτυχή της αρχής της αναλογικότητας[18]. Άλλωστε, ενόψει της απαίτησης του άρθρου 87 ΓΚΠΔ για «δέουσες εγγυήσεις», που πρέπει να ληφθούν από τα κράτη μέλη, εφ’ όσον αυτά επιλέξουν να υιοθετήσουν έναν εθνικό αριθμό ταυτότητας, η αδυναμία σύνδεσης, τουλάχιστον όσον αφορά ορισμένες συναλλαγές, δεσπόζει ως προαπαιτούμενο[19]. 

4.  Υπάρχουν εγγυήσεις αδυναμίας σύνδεσης στον ελληνικό σχεδιασμό;

Στον ελληνικό σχεδιασμό, η ΓΓΠΣΨΔ διαθέτει την αρμοδιότητα της αντιστοίχισης του ΠΑ με τους τομεακούς αριθμούς[20]. Έτσι, μπορεί να συσχετίζει αδιάκριτα συναλλαγές που ο χρήστης ενδεχομένως επιθυμούσε να κρατήσει χωριστές[21]. Ο πολίτης φαίνεται να μην διαθέτει έλεγχο στα δεδομένα του, ένα ελάττωμα που γενικά υπάρχει σε συστήματα συγκεντρωτικής ταυτοποίησης[22]. Ο έλεγχος αυτός δεν φαίνεται να ανακτάται από την υλοποίηση του datacockpit, μιας εφαρμογής που έχει ήδη προταθεί από το Υπουργείο Ψηφιακής Διακυβέρνησης[23], με σκοπό την επιτήρηση της επεξεργασίας του ΠΑ από το υποκείμενο των δεδομένων. Δεδομένου πάντως του ψηφιακού χάσματος, αν η εφαρμογή συμβάλει κάπως στη διαφάνεια των δεδομένων, αυτό θα αφορά μια, μάλλον, μικρή μερίδα πολιτών[24]. 

Βέβαια, αξίζει να παρατηρηθεί ότι η αντιστοίχιση και η καταγραφή των συναλλαγών με τον χρήστη είναι αναγκαία για λόγους ασφάλειας των δεδομένων[25]. Που όμως μπορεί να φτάσει η εξουσία του κράτους να καταγράφει και να συσχετίζει τις συναλλαγές μας; Όπως αναφέρει ευσχήμως η C. Sullivan, τα δεδομένα που παράγει μια ταυτότητα κατά τις συναλλαγές της με το σύστημα «λένε μια ιστορία» για τον κάτοχό της[26]. Ακόμη και πληροφορίες διοικητικού χαρακτήρα, όπως για παράδειγμα μια αίτηση επιδόματος κοινωνικής ασφάλισης ή επιστροφής φόρου, προστίθενται στο αρχείο[27] και εάν συνδυαστούν μπορούν να συναγάγουν πληροφορίες για τη συμπεριφορά του[28]. Η συγκέντρωση όλων των βιογραφικών δεδομένων του πολίτη σε ένα κεντρικό σημείο δημιουργεί επομένως τον σοβαρό κίνδυνο διαμόρφωσης προφίλ και, ως εκ τούτου, παραβίασης της αρχής της αναλογικότητας[29]. 

5.  Αντί επιλόγου: Δικαίωμα στη λήθη;

Τέλος, είναι ορισμένα ζητήματα που μπορεί ο πολίτης να επιθυμεί να ξεχαστούν για το κράτος. Θα μπορούσε να διαγράψει τις σχετικές συναλλαγές; Το παραπάνω ερώτημα σχετίζεται με την ένταση που έχει παρατηρηθεί να υφίσταται μεταξύ του «δικαιώματος στη λήθη» (right tobe forgotten) και της ανάγκης να τηρούνται αρχεία ασφαλείας[30]. Τι συμβαίνει όμως αναφορικά με συναλλαγές που έγιναν υπό εξαιρετικές περιστάσεις, οι οποίες έχουν πια πάψει να συντρέχουν. Πρέπει να συντροφεύουν τον πολίτη για όλη του τη ζωή, καθώς και για είκοσι  χρόνια  μετά  το  θάνατό του; Και τι συμβαίνει με ορισμένες φαινομενικά «ουδέτερες» συναλλαγές, από τις οποίες μπορούν να συναχθούν πολιτικές ή ιδεολογικές πεποιθήσεις; Δικαιούται το κράτος, για παράδειγμα, να γνωρίζει εσαεί αν ο πολίτης έκανε ή όχι το εμβόλιο ενάντια στον COVID-19; 

ΑΣΤΕΡΗΣ Θ. ΓΚΙΡΜΠΑΣ

Υπ. Δ.Ν.
 

[1]. Σκέψη 5. 

[2]. Patrick VanEecke & Anrijs Šimkus, ‘Article 87. Processing of the national identification number’, in: C. Kuner, L. Bygrave & C. Docksey (eds.), The EU General Data Protection Regulation (GDPR). A Commentary, Oxford University Press, Oxford, 2020, σ. 1223, 1226.

[3]. Βλ. Supreme Court of Jamaica, απόφαση της 12^ης Απριλίου 2019, Robinson Julian J. vs The Attorney General of Jamaica, σκέψη 174, διαθέσιμο στο: https://supremecourt.gov.jm/  [τελευ­ταία πρόσβαση: 25/6/2025]  με εκτενή παράθεση της απόφασης της 24^ης Αυγούστου 2017 του Supreme Court of India, αναφορικά με το σύστημα του αριθμού Aadhaar, Justice K Puttaswamy (retd.), and Anr. V. Union of India and Ors. (Writ Petition (Civil) No. 494 of 2012), σκέψεις 81-83. 

[4]. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Stellungnahme zum Entwurf eines Gesetzes zur Einführung einer Identifikationsnummer in die öffentliche Verwaltung und zur Änderung weiterer Gesetze (Registermodernisierungsgesetz - RegMoG), 21 Οκτωβρίου 2020, σ. 1, 4-5, διαθέσιμη στο: https://www.bfdi.bund.de/ [τελευταία πρόσβαση: 25.6.2025].

[5]. Curia of Hungary, 13^ης Απριλίου 1991, 15-ΑΒ, Κεφάλαιο ΙΙΙ, § 3.3, 3.4, διαθέσιμο στο: https://web.archive.org/web/20110 120075253/http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-64762 [τελευταία πρόσβαση: 25.6.2025].

[6]. Πρβλ. ήδη BVerfG, προσφυγές υπ’ αριθ. 1 BvR 209, 269, 362, 420, 440, 484/83, 15^ης Δεκεμβρίου 1983, σκέψη 169, διαθέσιμο στο: https://www.bundesverfassungsgericht.de/ [τελευ­ταία πρόσβαση: 25.6.2025].

[7]. Βλ. BfDI, ό.π., 21 Οκτωβρίου 2020, σ. 4-5. 

[8]. E. Gratton & R. Girard, ‘Using Social Insurance numbers for identification purposes: Canadian perspective on legal and privacy risks’, Trusts & Trustees 23, 2017, σ. 431, 446.

[9]. A. Martin & I Martinovic, ‘Security and Privacy Impacts of a Unique Personal Identifier’, University of Oxford -Cyber Stu­dies Program, Working Paper 4, σ. 5, διαθέσιμο στο: https://ora. ox.ac.uk/objects/uuid:90cf14a1-beb3-4322-b18d-deffe8c7f861 [τελευταία πρόσβαση: 25.6.2025]. 

[10]. Άρθρο 11 § 6 ν. 4727/2020.

[11]. Άρθρο 11 § 7 ν. 4727/2020.

[12]. Σκέψη 5.

[13]. A. Martin & I Martinovic, ό. π., σ. 16.

[14]. Consultative Committee of the Convention for the protection of individuals with regard to automatic processing of personal data - Convention 108, “Guidelines on National Digital Identity”, Council of Europe, 2023, διαθέσιμο στο: https://edoc. coe.int/en/data-protection/11578-guidelines-on-national-digital-identity.html [τελευταία πρόσβαση: 25.6.2025]

[15]. Η αρχή της αδυναμίας σύνδεσης έχει κατοχυρωθεί ήδη όσον αφορά τα πορτοφόλια ψηφιακής ταυτότητας, στην παράγραφο 16 του άρθρου 5^α του Καν. (ΕΕ) 2024/1183, γνωστού και ως Κανονισμός της Ε.Ε. για την Ψηφιακή Ταυτότητα (EUDI), L 30 Απριλίου 2024, διαθέσιμο στο: https://eur-lex. europa.eu/legal-content/EL/TXT/?uri=CELEX:32024R1183 [τελευταία πρόσβαση: 25.6.2025]. 

[16] Θ. Μπαλόπουλος & Σ. Γκρίτζαλης, «Συνδεσιμότητα και επιλεκτική αποκάλυψη σε συστήματα διαχείρισης ταυτότητας», στο: Κ. Λαμπρινουδάκης, Λ. Μήτρου, Σ. Γκρίτζαλης & Σ. Κάτσικας, Προστασία της ιδιωτικότητας και Τεχνολογίες Πληροφορικής και Επικοινωνιών. Τεχνικά και νομικά θέματα, Παπασωτηρίου, 2010, σ. 267, 270. 

[17]. G. Bleumer, ‘Unlinkability’, in: H. C.A. van Tilborg & S. Jajodia (eds.), Encyclopedia of Cryptography and Security, Springer, 2011, σ. 1350, έμφαση στο πρωτότυπο.   

[18]. Έτσι η Ε. Χατζηλιάση, «Ηλεκτρονική ταυτότητα και προσωπικά δεδομένα: αποτίμηση της προσέγγισης του ν. 3979/ 2011», σε: Το Δίκαιο στην ψηφιακή εποχή: Προστασία Προ­σω­πικότητας – Σύγχρονες Μορφές Εγκλήματος – Ηλεκτρονικό Επιχειρείν, 3^ο Πανελλήνιο Συνέδριο e-Θέμις, Βόλος, 9-10 Μαρτίου 2012, Νομική Βιβλιοθήκη, 2012, σ. 33, η οποία αναφέρεται στην αρχή «της ‘μη δημιουργίας διαϋπηρεσιακού προφίλ’ (unlinkability prin­ciple), η οποία αποτελεί ειδικότερη εκδήλωση της αρχής της αναλογικότητας» (σ. 42).

[19]. Πρβλ. J. Schroers, “A Unique Identification Number for Every European Citizen”, Verfassungsblog, 24 Φεβρουαρίου 2023, διαθέσιμο στο: www.verfassungsblog.de/digital-id-eu/ [τελευταία πρόσβαση: 25.6.2025]

[20]. Άρθρο 11 § 3 ν. 4727/2020.

[21]. A. Martin & I Martinovic, ό.π., σ. 10.

[22]. F. Hersey, ‘Centralized, decentralized or neither: Which national digital ID system will you choose?’, Biometric update, 28 Δεκεμβρίου 2021, διαθέσιμο στο: https://www.biometricupdate. com/ [τελευταία πρόσβαση: 25.6.2025], SunilduthBaichoo, Maleika Heenaye-Mamode Khan, Pramod Bissessur, Narainsamy Pavaday, NazmeenBoodoo-Jahangeer & Neel R.Purmah, ‘Legal and ethical considerations of biometric identity card: Case for Mauritius’, Computer Law & Security Re­view 34, 2018, σ. 1333, 1337, Andrej J. Zwitter, Oskar J. Gstrein & Evan Yap, ‘Digital Identity and the Blockchain: Universal Identity Management and the Concept of the “Self-Sovereign” Individual’, Frontiers in Blockchain 3, Paper 26, 2020, σ. 7-8, διαθέσιμο στο: https://www.frontiersin.org/ [τελευταία πρόσβαση: 25.6.2025], DamianEke, Ridwan Oloyede, Paschal Ochanga, Favour Borokini, Mercy Adeyeye, Lebura Sorbarikor & Bamide le Wale-Oshinow of Simisola Akintoye, ‘Nigeria’s Digital Identification (ID) Management Program: Ethical, Legal and Socio-Cultural concerns’, Journal of Responsible Technology 11, Paper 10039, 2022, σ. 3, διαθέσιμο στο: https://www.sciencedirect.com/ [τελευταία πρόσβαση: 25.6.2025].

[23]. Βλ. Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), Γνωμοδότηση 1/2025, 12 Φεβρουαρίου 2025, διαθέσιμο στο: https://www.dpa.gr [τελευταία πρόσβαση: 25.6.2025]. 

[24]. Πρβλ. M. Mikiver & P. K. Tupay, ‘Has the GDPR killed e-government? The “once-only” principle vs the principle of purpose limitation’, International Data Privacy Law 13, 2023, σ. 206.

[25]. Πρβλ. Άρθρο 7 § 2 (στ) π.δ. 40/2025, Άρθρο 6 § 3 και Παράρτημα της απόφασης της 1ης Νοεμβρίου 2019 του Υπουργού Επικρατείας με αριθ. 118944 ΕΞ 2019 και τίτλο «Λειτουργία Κέντρου Διαλειτουργικότητας της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης» (Β΄3990).

[26]. C. Sullivan, ‘Digital citizenship and the right to digital identity under international law’, Computer Law & Security Review 32, 2016, σ. 474, 476, της ίδιας, ‘Protecting digital identity in the cloud: Regulating cross border data disclosure’, Computer Law & Security Review 30, 2014, σ. 138, 140.

[27]. Sullivan, ό.π., 2018. 

[28]. Πρβλ. B. van der Sloot, ‘The Production of and control over data in the AI-era: The two failing approaches to Privacy Protection’, in: A. Quintavalla & J. Temperman (eds.), Artificial Intelligence and Human Rights, Oxford University Press, 2023, σ. 162, 164.

[29]. Supreme Court of Jamaica, Robinson, ό.π., σκέψεις 30, 237-238.

[30]. E. Politou, A. Michota, E. Alepis, M.Pocs & C. Patsakis, ‘Backups and the right to be forgotten in the GDPR: An uneasy relationship’, Computer Law and Security Review 34, 2018, σ. 1247, 1253.