Yunanistan Göç ve İltica Bakanlığı, çeşitli Yunan mülteci kamplarında konuşlandırılan iki yüksek teknolojili gözetim ve güvenlik sisteminin uygulanmasında veri ve mahremiyet koruma düzenlemelerini ihlal ettiği için 175.000 Euro tutarında önemli bir para cezası aldı.
Yunanistan Veri Koruma Otoritesi (DPA), Nisan ayı başlarında yayınlanan bir kararda, ülkenin göç bakanlığının Centaur ve Hyperion sistemlerini piyasaya sürerken Genel Veri Koruma Yönetmeliği’nin (GDPR) çeşitli hükümlerini ihlal ettiğini ve veri denetleyicisi olarak yükümlülüklerini yerine getirmediğini tespit etti. .
Centaur, bazı mülteci kamplarında olduğu iddia edilen tehditleri otomatik olarak tespit etmek ve yerel ve Atina’daki yetkilileri uyarmak için algoritmalara (yapay zeka davranış analitiği) ve kameralar, drone’lar ve sensörler dahil olmak üzere donanıma dayanan otomatik bir güvenlik sistemi olarak tanımlanıyor. İkinci sistem olan Hyperion ise tesislere giriş ve çıkışı kolaylaştırmak için biyometrik parmak izi verilerini kullanıyor. Her iki sistem de Avrupa Birliği (AB) tarafından finanse edilmektedir.
Ekim 2023’te yayınlanan Computer Weekly araştırması, programların kullanıma sunulmasıyla ilgili ciddi sorunları ve Yunan yetkililerin ancak başlatıldıktan sonra GDPR uyumluluğuna geri dönme yönündeki görünür çabalarını ortaya çıkardı.
Ceza, DPA’nın Mart 2022’de aralarında Homo Digitalis, HIAS Yunanistan ve Yunan İnsan Hakları Birliği’nin yanı sıra Lüksemburg Üniversitesi’nden doçent Niovi Vavoula’nın da bulunduğu Yunan sivil toplum kuruluşlarının ardından başlattığı iki yıllık bir soruşturmanın ardından geldi. – otoriteden programların veri koruma düzenlemelerine uygunluğunu incelemesini talep etti. Ayrıca, Yunanistan Göç Bakanlığı’nın, GDPR kapsamında bir gereklilik olan projelerin tasarım ve planlama aşamasında etki değerlendirmelerini tamamlayıp tamamlamadığını araştırmasını da istediler.
Homo Digitalis’in kurucu ortağı Eleftherios Chelioudakis, Yunan DPA’nın kararını memnuniyetle karşıladı ve 175.000 Euro’luk cezanın “şimdiye kadar bir kişiye verilen en büyük ceza” olduğuna dikkat çekti. [Greek] GDPR devreye girdiğinden beri kamu kurumu”.
‘Eksik ve sınırlı’ DPIA’lar
Veri koruma gözlemcisi 3 Nisan 2024 tarihli kararında, göç bakanlığının Centaur’un satın alınması ve uygulanmasından önce “tasarım gereği ve varsayılan olarak” tam, kapsamlı ve tutarlı “veri koruma etki değerlendirmelerini (DPIA’lar)” yürütmede başarısız olduğunu tespit etti. ve Hyperion programları” GDPR’yi ihlal ediyor. Yetkili makam, incelediği DPIA’ları “büyük ölçüde eksik ve kapsamı sınırlı” olarak nitelendirdi.
Soruşturmada, göç bakanlığının ayrıca Centaur programının veri işleme ve otomatik işlevlerini açıklamadığı ve her iki programın diğer devlet sistemleri ve veritabanlarıyla olan ara bağlantısını açıklığa kavuşturmadığı ortaya çıktı.
DPA, programların “özellikle biyometrik veriler olmak üzere özel kategorilerdeki veriler de dahil olmak üzere büyük miktarda verinin işlenmesini içerdiğini” belirtti. Özellikle, sistemlerin “haklarını kullanmada ve muhtemelen şikayette bulunmada gerçekten zorluk yaşayan, çalışanlar ve güvenlik açığı özelliklerine sahip kişiler de dahil olmak üzere çok sayıda veri sahibini ilgilendirdiğini” işaret etti.
Soruşturmada ‘İşbirliği Eksikliği’
DPA’ya göre, “veri sorumlusu olarak Göç ve İltica Bakanlığı’nın işbirliği eksikliği” kararı ağırlaştırdı.
Soruşturma kapsamında göç bakanlığı tarafından sunulan belgelerde “belirsiz, eksik, kafa karıştırıcı ve çelişkili bilgilerin” yanı sıra “belirsizlikler… ve yanlış referanslar” bulunduğunu da sözlerine ekledi.
Yetkili makam, bakanlığı programlara dahil olan iki özel şirketle (ESA Security AE – Adaptit AE ve Space Hellas SA) imzalanan sözleşmeleri paylaşmamakla suçladı. Örneğin, Yunanistan merkezli ESA Security Solutions ile, kamplarda insansız hava araçlarının çalıştırılması da dahil olmak üzere Centaur programına güvenlik hizmetleri sağlamak üzere sözleşme imzalandı. DPA’ya göre bakanlık, şirketin kamplardaki faaliyetleri sırasında topladığı kişisel verileri nasıl işlemeyi planladığına ilişkin şartları içeren ilgili sözleşme maddelerini paylaşmadı.
Chelioudakis, güvenlik hizmetlerinin sağlanması için özel şirketlerin kullanılmasının, “sınır korumasının özelleştirilmesi ve bunu çevreleyen gizlilik perdesinin” yanı sıra, kişisel verilerin korunması ve veri görevlerinin yerine getirilmesinde önemli zorluklara neden olduğunu söyledi. koruma yetkilisi”.
DPA, “sistemlerin uygulanmasıyla ilgili olarak GDPR’nin belirli hükümlerine bakanlığın uyumu konusunda ciddi eksikliklerin devam ettiği” sonucuna vardı.
Bakanlığa, üç ay içinde GDPR kapsamındaki “yükümlülüklere uymak için gerekli tüm önlemleri” alması talimatı verildi. Eğer bunu yapmazsa daha büyük bir ceza verilebilir.
Göç bakanlığı kanıtların ‘yanlış’ değerlendirildiğini iddia ediyor
Kararın ardından yapılan basın açıklamasında Göç ve İltica Bakanlığı, DPA tarafından tespit edilen eksikliklere yönelik düzeltici önlemlerin “büyük ölçüde uygulandığını veya uygulanma sürecinde olduğunu” söyledi.
Bakanlık, programlarını savundu ve veri gözlemcisinin “bu sistemlerin kabul tesislerinde kısmen benimsendiğini ve pilot olarak uygulandığını dikkate almadığını, bunun da bütünüyle değil bireysel etki değerlendirmeleri yapmayı gerekli kıldığını” yazdı. sistemler devreye alınmadan önce kişisel verilerin işlenmesinin değerlendirilmesi mümkün değildi”.
Bakanlık, DPA’nın sunulan kanıtları “yanlış” değerlendirdiği için “karara itiraz olasılığını yasal olarak değerlendirmeyi amaçladığını” söyledi.
Bakanlık ayrıca “gizlilik” hükümlerinin özel şirketlerle yapılan tedarik sözleşmelerini yetkililere ifşa etmesini engellediğini iddia etti; bakanlık, soruşturma sırasında “defalarca işaret ettiğini” söyledi.
AB tarafından finanse edilen tesislerdeki AB tarafından finanse edilen teknoloji inceleme altında
Ege adalarında AB tarafından finanse edilen ve 2021’de açılmaya başlayan çeşitli “yeni nesil” göçmen kabul merkezlerinde tanıtılan teknoloji, daha önce gizlilik ve şeffaflık kaygıları nedeniyle sivil toplum kuruluşları ve Avrupa Ombudsmanı tarafından inceleniyordu.
Centaur ve Hyperion, AB’nin Kovid kurtarma fonu ve İç Güvenlik Fonu aracılığıyla finanse ediliyor.
Avrupa Komisyonu, Computer Weekly’ye yaptığı açıklamada, Yunan DPA’nın kararından “farkında” olduğunu söyledi: “GDPR’nin uygulanması ulusal veri koruma yetkililerine aittir ve komisyon bu davalar hakkında yorumda bulunmaz.
“Yunan makamları, bölge sakinlerinin, personelin ve yerel halkın güvenliğini sağlamak amacıyla kabul alanlarının izlenmesine olanak sağlayacak sistemler geliştiriyor… Bu teknolojiler, iltica prosedürünü kolaylaştıracak ve kabulü iyileştirecek dijital dönüşümü teşvik etmeye yönelik daha geniş bir yatırımın parçası. koşullar.”
Komisyon, projelerin başlangıcından bu yana “Yunan makamlarından veri koruma ve temel haklar etki değerlendirmesi yapmalarını talep ettiğini” belirtiyor. “Yunan makamlarıyla yakın temas halinde olmaya devam edeceğini” ve “AB yasalarının gereklilikleri doğrultusunda bu projelerin uygulanmasını yakından izlemeye devam edeceğini” ekledi.
Programların başlangıcından bu yana şeffaflık eksikliği
Algoritma İzleme, sistemlere ilişkin planları ilk olarak Nisan 2021’de açıkladı. Aynı yılın Eylül ayında, Yunanistan’ın o zamanki göç bakanı Notis Mitarakis, açıklanmış Kamp sistemlerinin halihazırda bağlı olduğu, Yunanistan’ın başkenti yakınındaki göç bakanlığı binasında merkezi bir kontrol odası.
Aralık 2021’de göç bakanlığı yetkilileri, Centaur projesinin birçok kampta halihazırda faaliyette olduğunu söyleyerek El Cezire’ye kontrol odasını gezdirdi. Ancak Al Jazeera’nin yasal olarak gerekli veri koruma etki değerlendirmelerinin tamamlanıp tamamlanmadığına ilişkin sorularını yanıtlamadılar.
Yunan araştırma sitesi Solomon daha sonra Centaur ve Hyperion programlarının önceden bir veri koruma görevlisi işe alınmadan tasarlandığını, finanse edildiğini ve başlatıldığını ortaya çıkardı.
Değerlendirme belgelerine erişim taleplerine rağmen, Yunan yetkililer ve Avrupa Komisyonu, özetlerin kamuya açıklanmasını öneren AB yönergelerinin aksine, etki çalışmalarını mühürlü tuttu.
Computer Weekly, Avrupa Ombudsmanına yapılan şikayetin ardından veri koruma ve temel haklar üzerindeki etki değerlendirmelerini elde etti. Belgeler incelendiğinde, değerlendirmelerin ilk versiyonlarının Ocak 2022’de, yani göç bakanlığının programın aktif olduğunu ilk kez duyurmasından üç aydan fazla bir süre sonra tamamlandığı doğrulandı.