Η Frontex επεξεργάζεται προσωπικά δεδομένα μεταναστών κατά παράβαση της νομοθεσίας της ΕΕ και των αρμοδιοτήτων της, σύμφωνα με επιστολή του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ), που ήρθε στα χέρια του Euractiv.

Το διοικητικό συμβούλιο της Frontex ενέκρινε εσωτερικούς κανόνες για την επεξεργασία προσωπικών δεδομένων στα τέλη του 2021. Τον Ιούνιο του 2022, ο ΕΕΠΔ εξέδωσε δύο μη δεσμευτικές γνωμοδοτήσεις, που είδε το Euractiv, ζητώντας από την Frontex να βελτιώσει ορισμένες διατάξεις ώστε να συμμορφωθεί με τις αρμοδιότητές της και το πλαίσιο προστασίας δεδομένων της ΕΕ.

Οι εσωτερικοί κανόνες θα αποσαφηνίσουν την εφαρμογή του κανονισμού για τη λειτουργία της Frontex στο πεδίο.

Οι δύο γνωμοδοτήσεις μεταβιβάστηκαν στην Frontex, αλλά σύμφωνα με τον ΕΕΠΔ, το σχέδιο κανόνων που θα εγκριθεί σύντομα δεν συμμορφώνεται με τον κανονισμό για τη λειτουργία της, καθώς περιγράφει δραστηριότητες τις οποίες ο οργανισμός για τα σύνορα της ΕΕ δεν δικαιούται να εκτελεί.

Τον Αύγουστο, ο Επόπτης απέστειλε παρατηρήσεις στον διευθυντή της Frontex, Hans Leijtens, επισημαίνοντας ότι ενώ ο οργανισμός της ΕΕ έλαβε υπόψιν ορισμένα μέρη των γνωμοδοτήσεων, άλλες συστάσεις δεν εφαρμόστηκαν, ενώ ορισμένες δράσεις δεν ανταποκρίνονταν στα πρότυπα προστασίας δεδομένων της ΕΕ. Η επιστολή ήρθε στα χέρια του Euractiv μετά από σχετικό αίτημα για την ελευθερία της πληροφόρησης,

«Ο τρόπος με τον οποίο όλες οι δραστηριότητες επεξεργασίας δεδομένων που εκτελεί η Frontex περιλαμβάνονται στους [συντασσόμενους από το διοικητικό συμβούλιο της Frontex] γενικούς κανόνες, επηρεάζει αρνητικά τη σαφή κατανομή των αρμοδιοτήτων προστασίας δεδομένων», αναφέρει η επιστολή, την οποία υπογράφει ο Wojciech Rafał Wiewiórowski, Ευρωπαίος Επόπτης Προστασίας Δεδομένων από τον Δεκέμβριο του 2019.

«Ειδικότερα, αρκετές διατάξεις είναι διατυπωμένες με τρόπο που δημιουργεί ασάφεια ως προς το ακριβές πεδίο εφαρμογής των εν λόγω δραστηριοτήτων, ιδίως όσον αφορά το ποια δεδομένα μπορούν να συλλεχθούν και να υποβληθούν σε περαιτέρω επεξεργασία, για ποιο σκοπό και βάσει ποιου εφαρμοστέου πλαισίου προστασίας δεδομένων», πρόσθεσε.

Για παράδειγμα, έγραψε ο Wiewiórowski, οι υπάρχοντες κανόνες επιτρέπουν στην Frontex «να επεξεργάζεται ένα ευρύ φάσμα κατηγοριών δεδομένων προσωπικού χαρακτήρα στο πλαίσιο κοινής επιχείρησης, χωρίς να διευκρινίζεται για ποιον σκοπό και με ποιον ρόλο (υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία) η Frontex μπορεί να επεξεργάζεται κάθε κατηγορία δεδομένων».

Η έλλειψη σαφήνειας ως προς τον ρόλο της Frontex κατά τη συλλογή και επεξεργασία προσωπικών και ακόμη και ευαίσθητων δεδομένων δημιουργεί πρόβλημα επίσης στον καθορισμό της «νομικής βάσης» της δραστηριότητας του οργανισμού στο πεδίο.

Εκπρόσωπος της Frontex δήλωσε στο Euractiv ότι ο οργανισμός «διατηρεί συνεχή διάλογο με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Ο οργανισμός είναι αφοσιωμένος στο να διεξάγει όλες τις δραστηριότητές του σύμφωνα με τους κανονισμούς προστασίας δεδομένων και με σεβασμό των θεμελιωδών δικαιωμάτων».

Ένα διαρκές ζήτημα

Ο Επόπτης της ΕΕ έχει ήδη εκφράσει ανησυχίες σχετικά με τον τρόπο λειτουργίας της Frontex κατά την επεξεργασία δεδομένων σε πάνω από μία περιπτώσεις, με πιο πρόσφατη τον Μάιο του 2023, όταν δημοσίευσε τα αποτελέσματα επίσκεψης που πραγματοποίησε ο ΕΕΠΔ στην έδρα του οργανισμού τον Οκτώβριο του 2022.

Η έκθεση αποκάλυψε ότι η συλλογή προσωπικών δεδομένων στο πεδίο κατά τη διάρκεια συνεντεύξεων με μετανάστες (η κύρια πηγή δεδομένων της Frontex σε κοινές επιχειρήσεις) παρουσιάζει διάφορα προβλήματα, όπως ο μη εθελοντικός χαρακτήρας των συνεντεύξεων και η έλλειψη προστασίας της ταυτότητας των ατόμων που ερωτώνται, σύμφωνα με τα όσα εντόπισε ο ΕΕΠΔ.

Επιπλέον, ο Ευρωπαίος Επόπτης διαπίστωσε ότι η Frontex μοιράστηκε άμεσα τις εκθέσεις για την ενημέρωση με άλλες υπηρεσίες επιβολής του νόμου της ΕΕ (Europol και Eurojust) και τις εθνικές αρχές, χωρίς να αξιολογηθεί η αναγκαιότητα μιας τέτοιας ανταλλαγής πληροφοριών. Η πρακτική αυτή παραβιάζει τη νομοθεσία της ΕΕ, σύμφωνα με τον ΕΕΠΔ. Η έρευνα για το θέμα ξεκίνησε μάλιστα τον περασμένο Ιούνιο.

Η Europol είναι υπεύθυνη για τη συνεργασία στον τομέα της επιβολής του νόμου, ενώ η Eurojust είναι ένας οργανισμός της ΕΕ που ασχολείται με τη συνεργασία στον τομέα της ποινικής δικαιοσύνης.

Δημιουργία προφίλ υπόπτου

Σύμφωνα με τον ΕΕΠΔ, η Frontex δεν είναι υπηρεσία επιβολής του νόμου. Ως εκ τούτου, δεν μπορεί «να προβεί σε ποινική ανάλυση για τους δικούς του σκοπούς, ομοίως με άλλες υπηρεσίες επιβολής του νόμου της ΕΕ».

Για τον λόγο αυτό, ο Ευρωπαίος Επόπτης θεωρεί προβληματική δραστηριότητα την αξιολόγηση από την Frontex του κατά πόσον μπορεί να ταυτοποιήσει νομικά ένα πρόσωπο ως «ύποπτο» και στη συνέχεια να διαβιβάσει τα δεδομένα σε οργανισμούς της ΕΕ και εθνικές αρχές επιβολής του νόμου, χωρίς να αξιολογήσει αν μια τέτοια διαβίβαση είναι πραγματικά απαραίτητη.

Επιπλέον, δεν είναι σαφές εάν η ταυτοποίηση των υπόπτων από την υπηρεσία συνόρων της ΕΕ «βασίζεται σε γεγονότα ή σε προσωπική εκτίμηση», επισημαίνεται στην επιστολή. Το ίδιο πρόβλημα παραμένει και με τον νομικό ορισμό του «μάρτυρα» και των «επαφών» και «συνεργατών» των υπόπτων.

Ειδικές κατηγορίες δεδομένων

Ο ΕΕΠΔ σημειώνει στην επιστολή ότι η «νομική βάση» βάσει της οποίας η Frontex επεξεργάζεται ειδικές κατηγορίες δεδομένων, όπως οι πολιτικές απόψεις, οι θρησκευτικές πεποιθήσεις και ο σεξουαλικός προσανατολισμός, δεν είναι γερά θεμελιωμένη.

Άλλες ανησυχίες αφορούσαν την εξέταση των δεδομένων που συλλέγονται σε πλοία και αεροσκάφη, τα οποία, σύμφωνα με την Frontex, δεν θεωρούνται προσωπικά δεδομένα, ενώ ο ΕΕΠΔ υποστηρίζει ότι είναι.

Το Ευρωπαίος Επόπτης προσδιόρισε επίσης ως πρόβλημα την έλλειψη σαφήνειας όσον αφορά τη χρήση, το πεδίο εφαρμογής και την προστασία όταν πρόκειται για τη συλλογή δεδομένων «με σκοπό τη διερεύνηση παραβίασης θεμελιωδών δικαιωμάτων». Τα δεδομένα αυτά μπορεί να είναι καταγραφή φωνής, εικόνες για παράδειγμα, που ο ΕΕΠΔ ορίζει ως «ιδιαιτέρως ευαίσθητα».

Το Euractiv αντιλαμβάνεται ότι ο ΕΕΠΔ ενδέχεται να προσφύγει κατά της Frontex στο Δικαστήριο της ΕΕ για τις φερόμενες παραβιάσεις της νομοθεσίας περί προστασίας δεδομένων, εάν δεν εφαρμοστούν άμεσα διορθωτικά μέτρα, αλλά μόνο ως έσχατο μέσο.