Την ώρα που η δημοτική αρχή Ρόδου επιχειρεί να παρουσιάσει ως περίπου αυτονόητη και διαδικαστική υπόθεση την εγκατάσταση συστήματος επιτήρησης με drones στη Μεσαιωνική Πόλη, μια πρόσφατη απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα έρχεται να υπενθυμίσει ότι όταν τίθενται ζητήματα παρακολούθησης, προσωπικών δεδομένων και νέων τεχνολογιών, τίποτα δεν είναι απλό, τίποτα δεν είναι αυτονόητο και κυρίως τίποτα δεν αδειοδοτείται επειδή κάποιος αποφάσισε να κάνει ένα copy-paste από μια άλλη μελέτη.
Ενώ ο Δήμος Ρόδου μοιάζει να αντιμετωπίζει την επιστράτευση των drones και τη συστηματική επιτήρηση του δημόσιου χώρου στη Μεσαιωνική Πόλη με μια πρωτοφανή επικοινωνιακή ελαφρότητα, όπως αυτή του Βαγιανού στην πρόσφατη συνεδρίαση του Δημοτικού Συμβουλίου, η πραγματικότητα της νομιμότητας και της προστασίας των προσωπικών δεδομένων στην Ελλάδα είναι τελείως διαφορετική.
Μια πρόσφατη, μνημειώδης απόφαση της Ανεξάρτητης Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) –η Απόφαση 45/2025– έρχεται να γκρεμίσει τις αυταπάτες όσων νομίζουν ότι η χρήση τεχνολογιών αιχμής στον δημόσιο χώρο είναι μια απλή απόφαση μιας δημοτικής επιτροπής.
Η συγκεκριμένη απόφαση αποδεικνύει περίτρανα πως η αδειοδότηση και η συμμόρφωση με τον Ευρωπαϊκό Κανονισμό (GDPR) αποτελούν έναν εξαιρετικά δύσκολο και αυστηρό «γολγοθά», ακόμη κι όταν ο ελεγχόμενος φορέας είναι η ίδια η Ελληνική Αστυνομία .
Το «Smart Policing» της ΕΛ.ΑΣ. στο μικροσκόπιο
Η υπόθεση αφορούσε τη σύμβαση προμήθειας συστημάτων «Έξυπνης Αστυνόμευσης» (Smart Policing) της ΕΛ.ΑΣ., η οποία περιλάμβανε τη χρήση φορητών συσκευών (smartphones) από περιπολίες για την επιτόπου λήψη βιομετρικών δεδομένων (φωτογραφία προσώπου και δακτυλικά αποτυπώματα) και την άμεση ταυτοποίηση πολιτών.
Αν και η ΕΛ.ΑΣ. υποστήριξε ότι το σύστημα ήταν απολύτως αναγκαίο για τη δημόσια ασφάλεια , ότι τα βιομετρικά δεδομένα δεν θα αποθηκεύονταν στις συσκευές αλλά θα διαγράφονταν αμέσως και ότι χρησιμοποιήθηκαν κορυφαία διεθνή συστήματα κρυπτογράφησης και ασφάλειας (όπως το Workspace One της VMWare) , η Αρχή δεν στάθηκε μόνο στις τεχνικές προδιαγραφές. Κοίταξε την ουσία του νόμου.
Παρά το γεγονός ότι πίσω από το έργο βρισκόταν η Ελληνική Αστυνομία, με ολόκληρο κρατικό μηχανισμό, νομικές υπηρεσίες, υπηρεσίες ασφαλείας και πολυετή προετοιμασία, η Αρχή έκρινε ότι δεν υφίσταται η απαιτούμενη νομική βάση για τη συγκεκριμένη επεξεργασία προσωπικών δεδομένων.
Η Αρχή υπενθυμίζει στην απόφασή της ότι η επεξεργασία βιομετρικών δεδομένων – φωτογραφιών προσώπου, δακτυλικών αποτυπωμάτων και άλλων στοιχείων ταυτοποίησης – επιτρέπεται μόνο υπό εξαιρετικά αυστηρές προϋποθέσεις, με ειδική νομοθετική πρόβλεψη, σαφή σκοπό, εγγυήσεις προστασίας και πλήρη τεκμηρίωση αναγκαιότητας και αναλογικότητας.
Μάλιστα, η Αρχή επισημαίνει ότι ακόμη και οι διατάξεις που επικαλέστηκε η ΕΛ.ΑΣ. κρίθηκαν ανεπαρκείς και ανεπίκαιρες για να στηρίξουν νομικά μια τέτοια επεξεργασία δεδομένων.
Με απλά λόγια: ούτε η ΕΛ.ΑΣ. δεν κατάφερε να πείσει ότι πληρούνται οι προϋποθέσεις που απαιτεί η νομοθεσία.
Χωρίς Μελέτη Αντικτύπου (DPIA) δεν κινείται τίποτα!
Η Αρχή εξέτασε εξονυχιστικά την υπόθεση μετά από παρέμβαση της οργάνωσης Homo Digitalis και διαπίστωσε μια θεμελιώδη νομική παράβαση που «φωτογραφίζει» απόλυτα και τους σημερινούς χειρισμούς στη Ρόδο: την καθυστέρηση και την παράλειψη διενέργειας της υποχρεωτικής Μελέτης Εκτίμησης Αντικτύπου σχετικά με την προστασία δεδομένων (DPIA).
Η ΕΛ.ΑΣ. είχε ξεκινήσει τις διαδικασίες, προχώρησε σε πιλοτικές εφαρμογές και δοκιμές σε επιχειρησιακό επίπεδο , υποσχόμενη ότι η μελέτη αντικτύπου θα γινόταν στην πορεία ή πριν την τελική παράδοση.
Η Αρχή Προστασίας Δεδομένων ξεκαθάρισε, ωστόσο, ότι η υποχρέωση διενέργειας της Μελέτης Αντικτύπου γεννάται πριν από την έναρξη της επεξεργασίας και τη λειτουργία των συστημάτων. Η εκ των υστέρων διενέργεια αποτελεί σαφή παράβαση της νομοθεσίας (άρθρο 65 του ν. 4624/2019). Η Αρχή υπενθυμίζει ότι όταν χρησιμοποιούνται νέες τεχνολογίες οι οποίες ενδέχεται να δημιουργήσουν σημαντικό κίνδυνο για τα δικαιώματα και τις ελευθερίες των πολιτών, η αξιολόγηση των συνεπειών πρέπει να προηγείται της εφαρμογής του έργου.
Ακριβώς εδώ βρίσκεται και η μεγάλη αντίφαση της υπόθεσης των drones στη Ρόδο.
Διότι στην περίπτωση της ΕΛ.ΑΣ. μιλάμε για έναν εθνικό φορέα ασφαλείας με εξειδικευμένες υπηρεσίες, νομικούς συμβούλους, υπεύθυνους προστασίας δεδομένων και πολυεπίπεδους ελέγχους. Στην περίπτωση του Δήμου Ρόδου ακούσαμε στο Δημοτικό Συμβούλιο την παραδοχή ότι δεν ζητήθηκε καν νομική γνωμοδότηση πριν ληφθούν οι αποφάσεις και δεσμευθούν δημόσιοι πόροι.
Τα διδάγματα για τον Δήμο Ρόδου
Η απόφαση 45/2025 της Αρχής μπορεί να μην αφορά τα drones της Ρόδου, εκθέτει όμως ανεπανόρθωτα τη δημοτική αρχή και ειδικότερα τα μέλη της Δημοτικής Επιτροπής που ψήφισαν ομόφωνα με παροιμειώδη προχειρότητα, για ένα θέμα εξόχως σοβαρό.
Η απόαφαση αυτή αποδεικνύει ότι σε ζητήματα επιτήρησης και προσωπικών δεδομένων δεν αρκεί η επίκληση της «τεχνολογίας», της «καινοτομίας» ή της «ασφάλειας». Δεν αρκεί ούτε καν η ιδιότητα της Ελληνικής Αστυνομίας, πόσο μάλλον οι επικοινωνιακές παρουσιάσεις και οι πολιτικές βιασύνες.
Απαιτείται ειδική νομοθετική θεμελίωση, αυστηρή τεκμηρίωση, αναλογικότητα, διασφαλίσεις και πλήρης συμμόρφωση με το δίκαιο προστασίας προσωπικών δεδομένων.
Γι’ αυτό και όποιος αντιμετωπίζει με ελαφρότητα τα ερωτήματα που έχουν τεθεί για τη Μεσαιωνική Πόλη, μάλλον δεν έχει αντιληφθεί πόσο δύσκολη και πολύπλοκη είναι η διαδικασία αδειοδότησης ακόμη και για κρατικούς φορείς με σαφώς ευρύτερες αρμοδιότητες.
Η απόφαση 45/2025 της Αρχής Προστασίας Δεδομένων υπενθυμίζει:
-
Αν δεν μπορεί η Αστυνομία, δεν μπορεί ούτε ο Δήμος: Αν η Ελληνική Αστυνομία, με όλο το νομικό της επιτελείο, με σαφή επίκληση του σκοπού της «πρόληψης εγκλημάτων» και με αυστηρά Πρεοδρικά Διατάγματα, ελέγχεται αυστηρά και κρίνεται παραβάτης για θεσμικές παραλείψεις, με ποια νομική ασφάλεια ένας Δήμος βγάζει στον αέρα διαγωνισμό για drones χωρίς τις απαραίτητες εγκρίσεις;
-
Ο DPO και η DPIA δεν είναι «ψιλά γράμματα»: Όπως αποδείχθηκε στην περίπτωση της ΕΛ.ΑΣ., η ύπαρξη εγκεκριμένης Μελέτης Αντικτύπου (DPIA) και η ουσιαστική εμπλοκή του Υπευθύνου Προστασίας Δεδομένων (DPO) είναι προαπαιτούμενα για να ξεκινήσει οποιοδήποτε project επιτήρησης δημόσιου χώρου. Στον Δήμο Ρόδου, η διακήρυξη εγκρίθηκε χωρίς να περιλαμβάνεται πουθενά η γνώμη του DPO.
-
Η νομιμότητα δεν εξετάζεται εκ των υστέρων: Η τακτική του «προχωράμε το έργο και βλέπουμε μετά τις αδειοδοτήσεις» έχει καταδικαστεί ρητά από την Ανεξάρτητη Αρχή. Η συμμόρφωση με τον GDPR πρέπει να είναι ενσωματωμένη στον σχεδιασμό εξαρχής.