وزارت مهاجرت و پناهندگی یونان به دلیل نقض قوانین حفاظت از داده ها و حریم خصوصی در اجرای دو سیستم نظارتی و امنیتی پیشرفته که در چندین اردوگاه پناهندگان یونان مستقر شده اند، به پرداخت 175000 یورو جریمه شده است.
در تصمیمی که در اوایل آوریل صادر شد، مقامات حفاظت از داده یونان (DPA) دریافتند که وزارت مهاجرت این کشور هنگام راهاندازی سیستمهای Centaur و Hyperion چندین مفاد مقررات عمومی حفاظت از دادهها (GDPR) را نقض کرده و به تعهدات خود به عنوان یک کنترل کننده داده عمل نکرده است. .
سنتاور به عنوان یک سیستم امنیتی خودکار توصیف میشود که بر الگوریتمها (تحلیل رفتاری هوش مصنوعی) و سختافزار از جمله دوربینها، پهپادها و حسگرها تکیه دارد تا بهطور خودکار تهدیدات مشکوک را در برخی از اردوگاههای پناهندگان شناسایی کند و به مقامات محلی و آتن هشدار دهد. سیستم دوم، Hyperion، از داده های اثر انگشت بیومتریک برای تسهیل ورود و خروج از امکانات استفاده می کند. هر دو سیستم توسط اتحادیه اروپا (EU) تامین مالی می شوند.
آ تحقیق هفتگی کامپیوتر منتشر شده در اکتبر 2023 مشکلات جدی را در اجرای برنامه ها و تلاش های آشکار مقامات یونانی برای کنار گذاشتن پیروی از GDPR تنها پس از راه اندازی آنها آشکار کرد.
این مجازات به دنبال تحقیقات دو ساله توسط DPA صورت می گیرد در مارس 2022 راه اندازی شد پس از آن که سازمانهای جامعه مدنی یونان – از جمله هومو دیجیتالیس، HIAS یونان و اتحادیه یونان برای حقوق بشر، به همراه استادیار نیووی واولا در دانشگاه لوکزامبورگ – از مقامات خواستند تا مطابقت برنامهها با مقررات حفاظت از دادهها را بررسی کند. آنها همچنین از او خواستند که در مورد تعطیلی وزارت مهاجرت یونان تحقیق کند ارزیابی تاثیر در مرحله طراحی و برنامه ریزی پروژه هاالزامات GDPR
الفتریوس چلیوداکیس، یکی از بنیانگذاران هومو دیجیتالیس، از تصمیم DPA یونان استقبال کرد و اشاره کرد که این جریمه 175000 یورویی “بزرگترین جریمه ای است که تا به حال به این کشور تحمیل شده است. [Greek] نهاد عمومی از زمان لازم الاجرا شدن GDPR.
DPIA “ناقص و محدود”.
در او تصمیم 3 آوریل 2024دیدهبان حفاظت از دادهها دریافت که وزارت مهاجرت ارزیابیهای تاثیر حفاظت از دادهها (DPIA) “کامل، جامع و منسجم” را انجام نداده است.به صورت پیش فرض و طراحیقبل از خرید و استقرار برنامههای سنتور و هایپریون، بر خلاف GDPR. این مرجع EPA هایی را که مورد بررسی قرار داده است به عنوان “به طور قابل توجهی ناقص و محدود در محدوده” توصیف کرد.
تحقیقات نشان داد که وزارت مهاجرت همچنین در توضیح پردازش دادهها و عملکردهای خودکار برنامه سنتور و روشن کردن رابطه متقابل این دو برنامه با سایر سیستمها و پایگاههای اطلاعاتی دولتی ناکام ماند.
DPA خاطرنشان کرد که این برنامه ها “شامل پردازش حجم زیادی از داده ها، از جمله دسته های خاص داده ها، به ویژه داده های بیومتریک” است. به طور خاص، این بیانیه خاطرنشان کرد که این سیستمها «تعداد زیادی از سوژههای دادهها، از جمله کارگران و افراد با ویژگیهای آسیبپذیری را که در اعمال حقوق خود و احتمالاً شکایت کردن با مشکلات واقعی مواجه هستند، مربوط میشود».
“عدم همکاری” با تحقیق
به گفته DPA، “عدم همکاری وزارت مهاجرت و پناهندگی، به عنوان کنترل کننده داده ها” این تصمیم را تشدید کرد.
این سازمان افزود که اسناد ارائه شده توسط وزارت مهاجرت به عنوان بخشی از تحقیقات حاوی “اطلاعات مبهم، ناقص، گیج کننده و متناقض” و همچنین “ابهامات … و ارجاعات نادرست” است.
این مقام وزارتخانه را متهم کرد که قراردادهای منعقد شده با دو شرکت خصوصی (ESA Security AE – Adaptit AE و Space Hellas SA) را که در این برنامهها مشارکت دارند، به اشتراک نمیگذارد. به عنوان مثال، ESA Security Solutions مستقر در یونان برای ارائه خدمات امنیتی برای برنامه سنتور، از جمله عملیات هواپیماهای بدون سرنشین در کمپ ها، قرارداد بسته است. به گفته DPA، این وزارتخانه بندهای قراردادی مربوطه را که شامل شرایطی در مورد نحوه پردازش داده های شخصی که در طول عملیات خود در کمپ ها جمع آوری می کند، به اشتراک نمی گذارد.
چلیوداکیس گفت که استفاده از شرکتهای خصوصی برای ارائه خدمات امنیتی، همراه با “خصوصیسازی حفاظت از مرزها و پوشش محرمانهای که آن را احاطه کرده است، چالشهای مهمی را برای حفاظت از دادههای شخصی و اجرای تعهدات مرجع داده در زمینه حفاظت ایجاد میکند.”
DPA به این نتیجه رسید که “نقایص جدی در مورد انطباق وزارتخانه با برخی از مقررات GDPR در رابطه با اجرای سیستم ها وجود دارد”.
به این وزارتخانه دستور داده شده است تا ظرف سه ماه “تمام اقدامات لازم برای رعایت تعهدات” تحت GDPR را انجام دهد. عدم انجام این کار ممکن است منجر به جریمه بیشتر شود.
وزارت مهاجرت ادعا می کند که این شواهد “نادرست” ارزیابی شده اند.
که در بیانیه مطبوعاتی پس از این تصمیم، وزارت مهاجرت و پناهندگی گفت که اقدامات اصلاحی برای کاستی های شناسایی شده توسط DPA “تا حد زیادی قبلاً اجرا شده است … یا در حال اجرا است”.
این وزارتخانه از برنامههای خود دفاع کرد و نوشت که نظارت بر دادهها «این سیستمها را در نظر نمیگیرد که تا حدی در برخی، اما نه همه، تسهیلات دریافتکننده، بهطور کامل بهکار گرفته شده و به صورت آزمایشی به کار گرفته شدهاند، که نیاز به ارزیابیهای تأثیر فردی دارد و نه بهعنوان کلی، زیرا امکان ارزیابی وجود نداشت. پردازش داده های شخصی قبل از راه اندازی سیستم ها.
این وزارت گفت که از آنجایی که DPA شواهد ارائه شده را “نادرست” ارزیابی کرده است، “در نظر دارد امکان به چالش کشیدن این تصمیم را از نظر قانونی ارزیابی کند”.
این وزارتخانه همچنین مدعی شد که بندهای «محرمانه بودن» مانع از افشای قراردادهای عرضه با شرکتهای خصوصی به این مقام شده است – واقعیتی که وزارتخانه گفته است که در طول تحقیقات «مکرراً مطرح کرده است».
فناوریهای تأمینشده توسط اتحادیه اروپا در تأسیسات تأمینشده توسط اتحادیه اروپا تحت بررسی
در چندین مورد با بودجه اتحادیه اروپا معرفی شد “نسل جدید” مراکز پذیرش مهاجران در جزایر دریای اژه که قرار است در سال 2021 افتتاح شوند، این فناوری قبلاً توسط سازمان های جامعه مدنی مورد بررسی قرار گرفته است. بازرس اروپا به دلیل نگرانی های حفظ حریم خصوصی و شفافیت.
Centaur و Hyperion از طریق صندوق بازیابی Covid اتحادیه اروپا و صندوق امنیت داخلی تأمین مالی می شوند.
کمیسیون اروپا در بیانیه ای به Computer Weekly گفت که از تصمیم DPA یونان “آگاه است”: “اجرای GDPR در صلاحیت مقامات ملی حفاظت از داده ها است و کمیسیون در مورد این موارد اظهار نظر نمی کند.
“مقامات یونان در حال توسعه سیستم هایی هستند که نظارت بر مناطق پذیرش را برای تضمین امنیت ساکنان، کارکنان و جمعیت محلی ممکن می سازد… این فناوری ها بخشی از سرمایه گذاری گسترده تر برای ترویج تحول دیجیتال است که روند پناهندگی و پناهندگی را تسهیل می کند. شرایط پذیرش را بهبود خواهد بخشید.»
این کمیسیون ادعا می کند که از همان آغاز پروژه ها “از مقامات یونانی خواسته است تا ارزیابی تاثیر حفاظت از داده ها و حقوق اساسی را انجام دهند”. وی افزود که “در ارتباط نزدیک با مقامات یونانی باقی می ماند” و “به نظارت دقیق بر اجرای این پروژه ها، مطابق با الزامات قوانین اتحادیه اروپا ادامه خواهد داد.”
عدم شفافیت از همان ابتدای اجرای برنامه ها
ابتدا الگوریتم تماشا کنید آشکار کرد در آوریل 2021 برای سیستم ها برنامه ریزی می کند. در سپتامبر همان سال، نوتیس میتاراکیس، وزیر وقت مهاجرت یونان، آشکار کرد یک اتاق کنترل متمرکز در ساختمان وزارت مهاجرت در نزدیکی پایتخت یونان، که سیستم های اردوگاه قبلاً به آن متصل شده بودند.
در دسامبر 2021، مقامات وزارت مهاجرت با تور الجزیره همراه شوید از اتاق کنترل، گفت که پروژه سنتور در حال حاضر در چندین اردو کار می کند. با این حال، آنها به سؤالات الجزیره در مورد اینکه آیا ارزیابی های تأثیر حفاظت از داده ها از نظر قانونی مورد نیاز انجام شده است یا خیر، پاسخی ندادند.
سایت تحقیق یونانی Solomon بعدا فاش شد که برنامههای سنتور و هایپریون بدون استفاده از یک افسر حفاظت از دادهها طراحی، تأمین مالی و راهاندازی شدند.
علیرغم درخواستها برای دسترسی به اسناد ارزیابی، مقامات یونان و کمیسیون اروپا برخلاف دستورالعملهای اتحادیه اروپا که توصیه میکنند خلاصهها به صورت عمومی منتشر شود، مطالعات تأثیر را مخفی نگه داشتند.
Computer Weekly پس از شکایتی به Ombudsman اروپا، ارزیابیهای تأثیر حفاظت از دادهها و حقوق اساسی را دریافت کرد. بررسی اسناد تأیید کرد که اولین نسخه های ارزیابی ها در ژانویه 2022 تکمیل شد، بیش از سه ماه پس از اینکه وزارت مهاجرت در ابتدا این برنامه را فعال اعلام کرد.
