Bộ Di cư và Tị nạn Hy Lạp đã phải nhận khoản tiền phạt đáng kể 175.000 euro vì vi phạm các quy định bảo vệ dữ liệu và quyền riêng tư khi triển khai hai hệ thống giám sát và an ninh công nghệ cao được triển khai tại một số trại tị nạn ở Hy Lạp.
Trong một quyết định được ban hành vào đầu tháng 4, Cơ quan bảo vệ dữ liệu Hy Lạp (DPA) phát hiện Bộ di cư của nước này đã vi phạm một số điều khoản của Quy định bảo vệ dữ liệu chung (GDPR) khi ra mắt hệ thống Centaur và Hyperion, đồng thời không đáp ứng các nghĩa vụ của mình với tư cách là người kiểm soát dữ liệu. .
Centaur được mô tả là một hệ thống an ninh tự động dựa trên thuật toán (phân tích hành vi trí tuệ nhân tạo) và phần cứng, bao gồm máy ảnh, máy bay không người lái và cảm biến, để tự động phát hiện các mối đe dọa có mục đích ở một số trại tị nạn, cảnh báo cho chính quyền địa phương và ở Athens. Hệ thống thứ hai, Hyperion, sử dụng dữ liệu vân tay sinh trắc học để tạo điều kiện thuận lợi cho việc ra vào cơ sở. Cả hai hệ thống đều được tài trợ bởi Liên minh châu Âu (EU).
Một cuộc điều tra của Computer Weekly được công bố vào tháng 10 năm 2023 đã phát hiện ra các vấn đề nghiêm trọng về việc triển khai các chương trình và những nỗ lực rõ ràng của chính quyền Hy Lạp nhằm lùi bước tuân thủ GDPR chỉ sau khi chúng được triển khai.
Hình phạt này diễn ra sau cuộc điều tra kéo dài hai năm của DPA, được khởi động vào tháng 3 năm 2022 sau khi các tổ chức xã hội dân sự Hy Lạp – bao gồm Homo Digitalis, HIAS Hy Lạp và Liên minh Nhân quyền Hy Lạp, cùng với phó giáo sư Niovi Vavoula tại Đại học Luxembourg – yêu cầu cơ quan có thẩm quyền kiểm tra việc tuân thủ các quy định bảo vệ dữ liệu của các chương trình. Họ cũng yêu cầu cơ quan này điều tra xem liệu Bộ di cư Hy Lạp có hoàn thành đánh giá tác động trong giai đoạn thiết kế và lập kế hoạch của dự án hay không, một yêu cầu theo GDPR.
Eleftherios Chelioudakis, người đồng sáng lập Homo Digitalis, hoan nghênh phán quyết của DPA Hy Lạp, lưu ý rằng mức phạt 175.000 euro là “mức phạt lớn nhất từng được áp dụng đối với một cơ quan công (Hy Lạp) kể từ khi GDPR có hiệu lực”.
PPIA ‘không đầy đủ và hạn chế’
Trong quyết định ngày 3 tháng 4 năm 2024, cơ quan giám sát bảo vệ dữ liệu nhận thấy rằng Bộ di trú đã không thực hiện các đánh giá tác động bảo vệ dữ liệu (DPIA) “đầy đủ, toàn diện và mạch lạc” “theo thiết kế và theo mặc định, trước khi mua sắm và triển khai Centaur”. và các chương trình Hyperion”, vi phạm GDPR. Cơ quan có thẩm quyền mô tả các Sở KHĐT mà họ xem xét là “về cơ bản chưa đầy đủ và bị giới hạn về phạm vi”.
Cuộc điều tra cho thấy Bộ di cư cũng không giải thích được chức năng tự động và xử lý dữ liệu của chương trình Centaur, cũng như không làm rõ mối liên hệ giữa cả hai chương trình với các hệ thống và cơ sở dữ liệu khác của nhà nước.
DPA lưu ý rằng các chương trình này “liên quan đến việc xử lý khối lượng lớn dữ liệu, bao gồm các loại dữ liệu đặc biệt, đặc biệt là dữ liệu sinh trắc học”. Đáng chú ý, nó cảnh báo rằng các hệ thống “liên quan đến một số lượng lớn đối tượng dữ liệu, bao gồm cả người lao động và những người có đặc điểm dễ bị tổn thương, những người thực sự gặp khó khăn trong việc thực hiện các quyền của mình và có thể gửi khiếu nại”.
‘Thiếu hợp tác’ với cuộc điều tra
Theo DPA, “sự thiếu hợp tác từ phía Bộ Di cư và Tị nạn với tư cách là người kiểm soát dữ liệu” đã khiến quyết định trở nên trầm trọng hơn.
Nó nói thêm rằng các tài liệu do Bộ di trú đệ trình như một phần của cuộc điều tra có chứa “thông tin không rõ ràng, không đầy đủ, khó hiểu và mâu thuẫn”, cũng như “sự mơ hồ… và các tài liệu tham khảo không chính xác”.
Cơ quan chức năng đổ lỗi cho Bộ vì đã không chia sẻ các hợp đồng ký với hai công ty tư nhân (ESA Security AE – Adaptit AE và Space Hellas SA) liên quan đến các chương trình. Ví dụ: Giải pháp An ninh ESA có trụ sở tại Hy Lạp được ký hợp đồng cung cấp dịch vụ bảo mật cho chương trình Centaur, bao gồm cả việc vận hành máy bay không người lái trong các trại. Theo DPA, Bộ đã không chia sẻ các điều khoản hợp đồng liên quan có chứa các điều khoản về cách công ty dự định xử lý dữ liệu cá nhân mà họ thu thập được trong quá trình hoạt động trong các trại.
Chelioudakis cho biết việc sử dụng các công ty tư nhân để cung cấp dịch vụ an ninh, cùng với việc “tư nhân hóa rộng rãi hơn việc bảo vệ biên giới và bức màn bí mật bao quanh nó, gây ra những thách thức đáng kể cho việc bảo vệ dữ liệu cá nhân và thực hiện nghĩa vụ của dữ liệu.” cơ quan bảo vệ”.
DPA kết luận rằng “vẫn còn những thiếu sót nghiêm trọng liên quan đến việc Bộ tuân thủ một số điều khoản nhất định của GDPR liên quan đến việc triển khai các hệ thống”.
Bộ đã được lệnh thực hiện “tất cả các hành động cần thiết để tuân thủ nghĩa vụ” theo GDPR trong vòng ba tháng. Một hình phạt lớn hơn có thể được áp dụng nếu không thực hiện được.
Bộ di trú tuyên bố bằng chứng được đánh giá ‘không chính xác’
Trong một thông cáo báo chí sau quyết định này, Bộ Di cư và Tị nạn cho biết các biện pháp khắc phục những thiếu sót được DPA xác định “ở mức độ lớn đã được thực hiện… hoặc đang trong quá trình thực hiện”.
Bộ bảo vệ các chương trình của mình, viết rằng cơ quan giám sát dữ liệu “đã không tính đến việc các hệ thống này đã được áp dụng và thử nghiệm một phần ở một số chứ không phải tất cả các cơ sở tiếp nhận, điều này khiến cần phải thực hiện đánh giá tác động riêng lẻ chứ không phải trên toàn bộ, vì không thể đánh giá việc xử lý dữ liệu cá nhân trước khi hệ thống được đưa vào hoạt động”.
Bộ cho biết vì DPA đã đánh giá “không chính xác” các bằng chứng được đưa ra nên cơ quan này “có ý định đánh giá về mặt pháp lý khả năng thách thức quyết định này”.
Bộ cũng tuyên bố các điều khoản “bảo mật” ngăn cản họ tiết lộ hợp đồng cung cấp với các công ty tư nhân cho chính quyền – một thực tế mà Bộ cho biết họ “liên tục chỉ ra” trong quá trình điều tra.
Công nghệ do EU tài trợ tại các cơ sở do EU tài trợ đang được giám sát chặt chẽ
Được giới thiệu tại một số trung tâm tiếp nhận người di cư “thế hệ mới” do EU tài trợ trên quần đảo Aegean, bắt đầu mở cửa vào năm 2021, công nghệ này trước đây đã được các tổ chức xã hội dân sự và Thanh tra Châu Âu xem xét kỹ lưỡng về những lo ngại về quyền riêng tư và tính minh bạch.
Centaur và Hyperion được tài trợ thông qua quỹ phục hồi Covid của EU và Quỹ An ninh Nội bộ.
Ủy ban Châu Âu nói với Computer Weekly trong một tuyên bố rằng họ “biết” về quyết định của DPA Hy Lạp: “Việc thực thi GDPR thuộc về các cơ quan bảo vệ dữ liệu quốc gia và ủy ban không bình luận về những trường hợp này.
“Chính quyền Hy Lạp đang phát triển các hệ thống cho phép giám sát các khu vực tiếp nhận để đảm bảo an ninh cho người dân, nhân viên và người dân địa phương… Những công nghệ này là một phần trong kế hoạch đầu tư rộng hơn nhằm thúc đẩy chuyển đổi kỹ thuật số, điều này sẽ tạo điều kiện thuận lợi cho thủ tục tị nạn và cải thiện việc tiếp nhận điều kiện.”
Ủy ban khẳng định rằng kể từ khi bắt đầu các dự án, họ “đã yêu cầu chính quyền Hy Lạp tiến hành bảo vệ dữ liệu và đánh giá tác động đến các quyền cơ bản”. Họ nói thêm rằng họ “vẫn giữ liên lạc chặt chẽ với chính quyền Hy Lạp” và “sẽ tiếp tục giám sát chặt chẽ việc thực hiện các dự án này, phù hợp với các yêu cầu của luật pháp EU”.
Thiếu minh bạch kể từ khi bắt đầu chương trình
Algorithm Watch lần đầu tiên tiết lộ kế hoạch cho các hệ thống này vào tháng 4 năm 2021. Vào tháng 9 năm đó, Bộ trưởng di cư lúc bấy giờ của Hy Lạp, Notis Mitarakis, công bố một phòng kiểm soát tập trung trong tòa nhà của Bộ di cư gần thủ đô Hy Lạp, nơi hệ thống trại đã được kết nối.
Vào tháng 12 năm 2021, các quan chức của Bộ di cư đã cho Al Jazeera đi tham quan phòng điều khiển, cho biết dự án Centaur đã hoạt động ở một số trại. Tuy nhiên, họ không trả lời câu hỏi của Al Jazeera về việc liệu các đánh giá tác động bảo vệ dữ liệu theo yêu cầu về mặt pháp lý đã được hoàn thành hay chưa.
Trang điều tra Solomon của Hy Lạp sau đó tiết lộ rằng các chương trình Centaur và Hyperion được thiết kế, tài trợ và triển khai mà không cần tuyển dụng trước nhân viên bảo vệ dữ liệu.
Bất chấp yêu cầu được tiếp cận các tài liệu đánh giá, các quan chức Hy Lạp và Ủy ban Châu Âu vẫn giữ kín các nghiên cứu về tác động, trái với hướng dẫn của EU khuyến nghị công khai các bản tóm tắt.
Computer Weekly đã nhận được các đánh giá về tác động của việc bảo vệ dữ liệu và các quyền cơ bản sau khi khiếu nại lên Thanh tra viên Châu Âu. Việc xem xét các tài liệu xác nhận các phiên bản đánh giá sớm nhất đã được hoàn thành vào tháng 1 năm 2022, hơn ba tháng sau khi Bộ di cư ban đầu quảng cáo chương trình này đang hoạt động.