1. Το απόρρητο της ηλεκτρονικής επικοινωνίας του υπόχρεου με τα συστήματα της Γ.Γ.Π.Σ.Δ.Δ. διασφαλίζεται με τη χρήση ψηφιακού πιστοποιητικού από την εφαρμογή της παρ. 1 του άρθρου 21. Τα απόρρητα στοιχεία των Δ.Π.Κ. τηρούνται κρυπτογραφημένα στην ηλεκτρονική βάση δεδομένων της εφαρμογής. Η ηλεκτρονική εφαρμογή συνοδεύεται από πολιτικές ασφάλειας, που καλύπτουν όλους τους εμπλεκόμενους φορείς και εξασφαλίζουν την εμπιστευτικότητα και ακεραιότητα των στοιχείων της ηλεκτρονικής βάσης δεδομένων.
2. Υπεύθυνος επεξεργασίας της αυτοτελούς ειδικής βάσης των δεδομένων περιουσιακής κατάστασης είναι η Επιτροπή Ελέγχου του άρθρου 25. Από κοινού υπεύθυνα είναι και τα όργανα του άρθρου 27, στα οποία κατανέμεται το έργο της Επιτροπής Ελέγχου. Εκτελούντες την επεξεργασία της παραπάνω βάσης δεδομένων, κατ’ εντολή του υπευθύνου επεξεργασίας, είναι η Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης, η Επιτροπή Ελέγχου, καθώς και τα όργανα του άρθρου 27.
3. Εντός προθεσμίας δύο (2) μηνών από την έναρξη ισχύος του παρόντος υπογράφεται σύμβαση μεταξύ της Επιτροπής Ελέγχου και της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης, ως Φορέα Λειτουργίας Πληροφοριακών Συστημάτων, στην οποία καθορίζονται οι λεπτομέρειες εφαρμογής των ανωτέρω διατάξεων και προβλέπεται κατ’ ελάχιστον ότι η Γ.Γ.Π.Σ.Δ.Δ. αναλαμβάνει την εξασφάλιση:
α. Της σχεδίασης, της ανάπτυξης, της υποστήριξης και της λειτουργίας των αναγκαίων πληροφοριακών συστημάτων που εξυπηρετούν την κατάρτιση των καταστάσεων υπόχρεων και την ηλεκτρονική υποβολή και τον έλεγχο των Δ.Π.Κ. και Δ.Ο.Σ., καθώς και την αυτοματοποίηση της συμπλήρωσής τους, σύμφωνα με τις επιχειρησιακές απαιτήσεις της Επιτροπής Ελέγχου, με ενημέρωση του Διοικητή της Ε.Α.Δ. και ακολούθως της Επιτροπής Ελέγχου από αυτόν και
β. της υποστήριξης της Επιτροπής Ελέγχου για την ενημέρωση και τη διευκόλυνση των υπόχρεων για τη διαδικασία υποβολής των Δ.Π.Κ. και Δ.Ο.Σ., καθώς και των φορέων για την κατάρτιση καταστάσεων υπόχρεων.
4. Η Γ.Γ.Π.Σ.Δ.Δ. σχεδιάζει και βελτιώνει την πολιτική ασφαλείας των ανωτέρω πληροφοριακών συστημάτων, σύμφωνα με την πολιτική ασφάλειας του Υπουργείου Ψηφιακής Διακυβέρνησης και εκδίδει δεσμευτικές οδηγίες ορθής και ασφαλούς χρήσης των εφαρμογών, για όλους τους εσωτερικούς και εξωτερικούς χρήστες των πληροφοριακών συστημάτων, με ενημέρωση του Διοικητή της Ε.Α.Δ. και της Επιτροπής Ελέγχου.
5. Εντός προθεσμίας δύο (2) μηνών από την έναρξη ισχύος του παρόντος, υπογράφεται πρωτόκολλο συνεργασίας μεταξύ του συντονιστή, εκ μέρους της Επιτροπής Ελέγχου, των οργάνων του άρθρου 27 και του φορέα λειτουργίας της παρ. 3. Στο πρωτόκολλο καθορίζονται οι λεπτομέρειες εφαρμογής, οι ρόλοι των εμπλεκόμενων φορέων, καθώς και οι όροι και οι προϋποθέσεις συνεργασίας τους.
6. Η Ε.Α.Δ. αναλαμβάνει, κατόπιν απόφασης της Επιτροπής Ελέγχου, την κατάρτιση, τη διοίκηση και τη διαχείριση των απαραίτητων συμβάσεων ανάπτυξης, βελτίωσης και συντήρησης των ηλεκτρονικών εφαρμογών των ανωτέρω πληροφοριακών συστημάτων και παρακολουθεί την πορεία παραλαβής και υλοποίησης του έργου.
7. Με απόφαση του Γενικού Γραμματέα Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης δύναται να τίθενται εκτός λειτουργίας τα ανωτέρω πληροφοριακά συστήματα, ύστερα από αίτημα της Επιτροπής Ελέγχου ή του φορέα λειτουργίας κατόπιν ενημέρωσης και έγκρισης της Επιτροπής Ελέγχου, για λόγους συντήρησης, αναβάθμισης και προσαρμογής στις αλλαγές της νομοθεσίας για χρονικό διάστημα όχι μεγαλύτερο των εξήντα (60) ημερών ανά έτος. Κατά το διάστημα αυτό αναστέλλονται οι προθεσμίες υποβολής των δηλώσεων του παρόντος.
8. Η Δ.Ο.Σ. υποβάλλεται από τον υπόχρεο σύμφωνα με όσα ορίζονται στην παρ. 2 του άρθρου 3, ταυτόχρονα με την υποβολή της Δ.Π.Κ., αποκλειστικά ηλεκτρονικά μέσω ενιαίας ηλεκτρονικής εφαρμογής. Η υποβολή της Δ.Ο.Σ. αποδεικνύεται σύμφωνα με όσα ορίζονται στην παρ. 9 του άρθρου 21.
9. Τα δεδομένα που καταχωρίζονται στις δηλώσεις περιουσιακής κατάστασης διατηρούνται μέχρι τη συμπλήρωση της προθεσμίας παραγραφής του κακουργήματος της παρ. 2 του άρθρου 39.
Η διατύπωση της παραγράφου 2 προκαλεί σύγχυση ως προς τους ρόλους που ανατίθενται στα όργανα, στο πλαίσιο των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων.
Ειδικότερα:
α. Ως υπεύθυνος επεξεργασίας ορίζεται η Επιτροπή Ελέγχου του άρθρου 25, τα δε ειδικά ελεγκτικά όργανα του άρθρου 27 ορίζονται ως «από κοινού υπεύθυνα». Η διατύπωση είναι ασαφής, καθώς δεν καθίσταται σαφές αν τα όργανα αυτά ενεργούν ως από κοινού υπεύθυνοι ως προς την Επιτροπή Ελέγχου ή/και μεταξύ τους, ενώ δεν προσδιορίζεται σε τι συνίσταται η από κοινού ευθύνη τους στην επεξεργασία των δεδομένων.
Περαιτέρω, η πρόβλεψη του άρθρου 27 για κατανομή ελέγχων και ρύθμιση ζητημάτων ως προς τις αρμοδιότητες των οργάνων από την Επιτροπή Ελέγχου παραπέμπει μάλλον σε σχέση υπευθύνου επεξεργασίας με εκτελούντες την επεξεργασία, παρά σε σχέση από κοινού (ή και ανεξαρτήτων) υπευθύνων επεξεργασίας.
β. Η ως άνω σκέψη φαίνεται να επιβεβαιώνεται από το τελευταίο εδάφιο της διάταξης, όπου τα ίδια ως άνω όργανα ορίζονται ως εκτελούντες την επεξεργασία, διάταξη η οποία βρίσκεται σε αντίθεση με τον αμέσως προηγηθέντα ορισμό τους. Παρ’ όλα αυτά και η ρύθμιση αυτή προκαλεί σύγχυση, καθώς ως εκτελών την επεξεργασία ορίζεται και η Επιτροπή Ελέγχου, ήτοι ο ίδιος ο υπεύθυνος επεξεργασίας.
Προτείνεται η απλούστευση της διατύπωσης, με έναν υπεύθυνο επεξεργασίας και επιμέρους εκτελούντες την επεξεργασία, ανάλογα με τον ρόλο και τη συμμετοχή ενός εκάστου εξ αυτών στην επεξεργασία. Επίσης προτείνεται η κατά το δυνατόν αποφυγή ανάθεσης ρόλων και ευθυνών του ΓΚΠΔ σε οντότητες με διοικητική αυτοτέλεια, αλλά χωρίς νομική υπόσταση.
Τα στοιχεία που φυλάσσονται στο πληροφοριακό σύστημα είναι εξαιρετικά πολύτιμος στόχος κακόβουλων ενεργειών από κοινούς ποινικούς αλλά και εξωτερικούς εχθρούς της χώρας. Είναι πολύ σημαντικό να θεσμοθετηθεί η κατάλληλη προστασία τους.
1. Για την αποφυγή παράνομης πρόσβασης στα στοιχεία των υπόχρεων από νόμιμα εξουσιοδοτημένους υπαλλήλους (έχουν δημοσιευτεί διεθνώς σχετικές περιπτώσεις) προτείνεται να θεσμοθετηθεί η αυτόματη (μέσω του πληροφοριακού συστήματος) ενημέρωση των υπόχρεων με μήνυμα ηλ-ταχ για κάθε πρόσβαση που γίνεται στα στοιχεία τους. Το μήνυμα θα πρέπει να περιέχει την ημερομηνία και ώρα της πρόσβασης, το λόγο της πρόσβασης και τα στοιχεία του υπαλλήλου που την πραγματοποίησε.
2. Για την προστασία της ακεραιότητας και εμπιστευτικότητας των στοιχείων προτείνεται θα θεσμοθετηθεί η υποχρέωση συμμόρφωσης της ασφάλειας των πληροφοριακών συστημάτων με τα αντίστοιχα διεθνή πρότυπα (π.χ. της οικογένειας προτύπων ISO/IEC 27000), η τακτική πιστοποίηση της συμμόρφωσης από ανεξάρτητο εξωτερικό οργανισμό και η δημοσίευση των σχετικών αποτελεσμάτων.