Κοινό Αίτημα Γνωμοδότησης στην ΑΠΔΠΧ σχετικά με την προμήθεια λογισμικού συλλογής δεδομένων του Λιμενικού Σώματος

Οι οργανώσεις Ελληνική Ένωση για τα Δικαιώματα του Ανθρώπου, HIAS Ελλάδος, Homo Digitalis και Privacy International και ο  ερευνητής Φοίβος Συμεωνίδης κατέθεσαν ενώπιον του Προέδρου της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), κ. Κωνσταντίνο Μενουδάκο στις 14.2.2022 αίτημα για την άσκηση των εξουσιών έρευνας και την έκδοση σχετικής Γνωμοδότησης από την ΑΠΔΠΧ επί της προμήθειας από το Λιμενικό Σώμα Λογισμικού Συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης.

Συγκεκριμένα, όπως ανέδειξε στις 2/2/2022 με ανάρτησή του στο Twitter ο ερευνητής Φοίβος Συμεωνίδης,  στο πλαίσιο του προγράμματος “Ταμείο Εσωτερικής Ασφάλειας” (Internal Security Fund – ISF) της Ευρωπαϊκής Επιτροπής το Λιμενικό Σώμα – Ελληνική Ακτοφυλακή του Υπουργείου Ναυτιλίας και Νησιωτικής Πολιτικής έχει αναρτήσει στην Διαύγεια διακήρυξη Ηλεκτρονικού, Ανοικτού, Διεθνούς Διαγωνισμού για την προμήθεια με τίτλο «Αναβάθμιση/συντήρηση computer room της Διεύθυνσης Ασφάλειας και Προστασίας Θαλασσίων Συνόρων (Δ.Α.Π.ΘΑ.Σ.) του Αρχηγείου Λ.Σ.-ΕΛ.ΑΚΤ. και ενίσχυση φυσικής και λογικής ασφάλειας» συνολικής εκτιμώμενης αξίας σύμβασης επτακοσίων τριάντα χιλιάδων ευρώ #730.000,00€# (συμπεριλαμβανομένου Φ.Π.Α. και λοιπών κρατήσεων).

Ένα από τα παραδοτέα που περιγράφονται στη συγκεκριμένη διακήρυξη (βλέπετε σελίδα 34 επόμ.) είναι η προμήθεια Λογισμικού Συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης (στο εξής Λογισμικό). Όπως αναφέρει ρητά το Υπουργείο Ναυτιλίας και Νησιωτικής Πολιτικής στην εν λόγω διακήρυξη το Λογισμικό θα πρέπει να υποστηρίζει τα κοινωνικά δίκτυα Facebook, Twitter, VK, Xing, Instagram, και Telegram, ενώ κάποια από τα αναγκαία χαρακτηριστικά του όπως περιγράφονται είναι:

– Η Δημιουργία διαγράμματος (visualization) πολλαπλών συσχετίσεων (φίλοι, σχόλια, αναρτήσεις, likes και followers).

– Ο προσδιορισμός των αναγνωριστικών στοιχείων των χρηστών συμπεριλαμβανομένων και των αναζητήσεων τους, και

– Η Προσομοίωσης ανθρώπινης δραστηριότητας για αποφυγή αποκλεισμού του λογαριασμού.

Ειδικότερα για το Facebook, το λογισμικό θα πρέπει να επιτρέπει, μεταξύ άλλων λειτουργιών, την αποθήκευση της δημόσιας λίστας επαφών ενός προφίλ, την αποθήκευση όλων των δημόσιων επαφών 2ου βαθμού, την αποθήκευση των δημόσιων αναρτήσεων του χρονολογίου (συμπεριλαμβανομένων εικόνων, βίντεο, συνδεδεμένων βίντεο Youtube, σχολίων και αντιδράσεων), την αποθήκευση των γκαλερί εικόνων, την αποθήκευση δημοσιοποιημένων πληροφοριών λογαριασμού (εργοδότης, κατοικίες, εκπαίδευση), την αναζήτηση λογαριασμών για συγκεκριμένα προσωπικά χαρακτηριστικά, και την αποθήκευση των χρηστών που αποτελούν μέλη σε ομάδες του Facebook.

Όσον αφορά το Twitter, το Λογισμικό θα πρέπει, μεταξύ άλλων λειτουργιών να επιτρέπει την αποθήκευση του κοινού ακολουθώντας μια λίστα προφίλ, την αποθήκευση όλων των δημόσιων επαφών του 2ου βαθμού (Λίστα ακόλουθων), την αποθήκευση δημόσιων μηνυμάτων (συμπεριλαμβανομένων εικόνων, βίντεο, συνδεδεμένων βίντεο YouTube και likes).

Για το Instagram, το Λιμενικό Σώμα επιδιώκει το Λογισμικό να επιτρέπει, μεταξύ άλλων, την αποθήκευση της λίστα ακολούθων, την αποθήκευση της δημόσιας λίστας που ακολουθεί ένα προφίλ, την αποθήκευση των δημόσιων σχολίων ανά προφίλ κατά χρονική ακολουθία συμπεριλαμβανομένων εικόνων, βίντεο, διασυνδεδεμένων βίντεο Youtube και την αποθήκευση των χρονοδιαγραμμάτων καθώς και τις Ιστορίες Προφίλ.

Τέλος, αναφορικά με το Telegram το λογισμικό πρέπει να επιτρέπει την αποθήκευση των συμμετεχόντων σε ομαδικές συζήτησεις (έως και 10.000 συμμετέχοντες), καθώς και την αποθήκευση του πλήρες περιεχομένου της εκάστοτε ομαδικής συνομιλίας (κείμενο και φωτογραφίες ή άλλο υλικό που έχει διαμοιραστεί σε αυτές).

Επομένως, γίνεται αντιληπτό ότι με το εν λόγω λογισμικό επιδιώκεται η παρακολούθηση ενός απροσδιόριστα μεγάλου αριθμού χρηστών των συγκεκριμένων κοινωνικών δικτύων, και η συλλογή, επεξεργασία και ανάλυση των πληροφοριών τους, χωρίς να αναφέρεται ο σκοπός των πράξεων επεξεργασίας, οι νομικές βάσεις που τις επιτρέπουν καθώς και οποιεσδήποτε άλλες διασφαλίσεις για την προστασία των προσωπικών δεδομένων, όπως ρητά έχει αναφέρει ο  Ευρωπαίος Επόπτης Προστασίας Δεδομένων σε υπόθεση παρόμοιου λογισμικού που διατηρούσε η Ευρωπαϊκή Υπηρεσία Υποστήριξης για το Άσυλο (EASO). Αξίζει επίσης να σημειωθεί ότι ο Ευρωπαϊκός Οργανισμός Συνοριοφυλακής και Ακτοφυλακής (FRONTEX) είχε αποσύρει το 2019 σχετική προκήρυξη για την προμήθεια αντίστοιχου λογισμικού συλλογής δεδομένων από μέσα κοινωνικής δικτύωσης, έπειτα από επιτυχημένη δράση της Privacy International.

Άρα, η προμήθεια του συγκεκριμένου λογισμικού θα αποτελέσει ξεκάθαρη πρόκληση για το δικαίωμα στην προστασία των προσωπικών δεδομένων και τον σεβασμό της αρχής της νομιμότητας της επεξεργασίας, την αρχή του περιορισμού του σκοπού της επεξεργασίας και την αρχή της αναλογικότητας (ελαχιστοποίηση δεδομένων), όπως αυτές περιγράφονται στην ενωσιακή και εθνική νομοθεσία, καθώς επίσης και για τα δικαιώματα του σεβασμού της ιδιωτικής ζωής αλλά και της ελευθερίας της έκφρασης.

Επίσης, η δημιουργία ψευδούς λογαριασμού που προσομοιώνει ανθρώπινη δραστηριότητα είναι αντίθετη με τους όρους χρήσης των μέσων κοινωνικής δικτύωσης και ανταλλαγής μηνυμάτων που αναφέρονται στην διακήρυξη, ενώ το αρχείο αναζητήσεων τρίτων λογαριασμών αποτελεί άκρως παρεμβατική δραστηριότητα που δεν προκύπτει από τα δεδομένα που είναι διαθέσιμα σε ένα δημόσιο προφίλ (όπως πχ μία δημόσια φωτογραφία προφίλ ή μία ανάρτηση). Φυσικά, άκρως παρεμβατική είναι και η καταγραφή και παρακολούθηση ομαδικών συνομιλιών στο Telegram.