Απίστευτος ερασιτεχνισμός του ΟΑΣΑ: Το ηλεκτρονικό εισιτήριο δεν διασφαλίζει τα προσωπικά δεδομένα των επιβατών

Όταν πριν από 3 εβδομάδες γράφαμε ότι ο ΟΑΣΑ είναι απροετοίμαστος για την έναρξη εφαρμογής του ηλεκτρονικού εισιτηρίου, δεν γνωρίζαμε σε τι βάθος φτάνει ο ερασιτεχνισμός της σημερινής διοίκησης του οργανισμού.

Στις 30 Ιανουαρίου 2017, με την υπ αριθμόν 1/2017 γνωμοδότησή της, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αρνήθηκε να δώσει το πράσινο φως για τη λειτουργία του ηλεκτρονικού εισιτηρίου ζητώντας από τον ΟΑΣΑ να υποβάλλει νέα γνωστοποίηση απαντώντας σε σημαντικά ζητήματα προστασίας προσωπικών δεδομένων που προκύπτουν από τη λειτουργία του ηλεκτρονικού εισιτηρίου.

Πως απάντησε η διοίκηση του ΟΑΣΑ; Δύο μέρες αργότερα ανακοίνωσε τη δοκιμαστική λειτουργία του ηλεκτρονικού εισιτηρίου, γράφοντας στα παλαιότερα των υποδημάτων της την αρνητική γνωμοδότηση της ανεξάρτητης αρχής, και δείχνοντας παράλληλα πόσο στα σοβαρά (δεν) παίρνει τη διασφάλιση της προστασίας των προσωπικών δεδομένων των επιβατών στα Μέσα Μαζικής Μεταφοράς της Αθήνας.

Η γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το σύστημα του ηλεκτρονικού εισιτηρίου -όπως αυτό παρουσιάστηκε από τον ΟΑΣΑ- μπορεί να συνοψιστεί ως εξής:

  • Ο ΟΑΣΑ θα αποθηκεύει δεδομένα σχετικά με τις διαδρομές που θα πραγματοποιεί ο κάθε επιβάτης. Οι μετακινήσεις του κάθε επιβάτη παύουν να είναι ανώνυμες  με αποτέλεσμα να θίγεται το δικαίωμα της ανώνυμης μετακίνησης και το συνταγματικά κατοχυρωμένο δικαίωμα στην ιδιωτική ζωή.
  • Η εύρεση των δεδομένων αυτών μπορεί να γίνει με μία απλή συσχέτιση στοιχείων ανάμεσα σε 2 βάσεις δεδομένων, αν και ο ΟΑΣΑ ισχυρίζεται ότι δεν έχει σκοπό να κάνει κάτι τέτοιο, εκτός αν υπάρχει περίπτωση ανάγκης.
  • Για την έκδοση των καρτών ΑΤΗ.ΕΝΑ Card, ο ΟΑΣΑ θα ζητά και θα αποθηκεύει έναν μεγάλο αριθμό προσωπικών δεδομένων (ονοματεπώνυμο, πατρώνυμο, μητρώνυμο, ΑΜΚΑ, αριθμό δελτίου ταυτότητας, σταθερό τηλέφωνο, κινητό τηλέφωνο, fax, email, διεύθυνση κατοικίας, ημερομηνία γέννησης, φωτογραφία). Σύμφωνα με την Αρχή δεν τεκμηριώνεται η αναγκαιότητα τήρησης κανενός από τα παραπάνω δεδομένα.
  • Δεν εξετάστηκε καμία εναλλακτική της τήρησης προσωπικών δεδομένων, πχ η κρυπτογράφηση δεδομένων έτσι ώστε να μην θίγεται το δικαίωμα στην ανώνυμη μετακίνηση, παρόλο που η Αρχή είχε ζητήσει από τον ΟΑΣΑ να εξετάσει τέτοιες εναλλακτικές και οι εκπρόσωποι του ΟΑΣΑ ήταν θετικοί σε κάτι τέτοιο.
  • Σε περίπτωση απώλειας ή κλοπής της κάρτας είναι δυνατό να αποκαλυφθεί το ιστορικό μετακινήσεων του κατόχου της, καθώς τα δεδομένα σε αυτήν είναι μη κρυπτογραφημένα. Επομένως θα πρέπει να μειωθεί ο αριθμός των δεδομένων που αποθηκεύονται στις κάρτες και να τεκμηριωθεί η αναγκαιότητά τους.

Το λιγότερο που θα περίμενε κανείς από έναν σοβαρό ΟΑΣΑ θα ήταν να απαντήσει σε οποιεσδήποτε αμφιβολίες της ανεξάρτητης αρχής, ενημερώνοντας παράλληλα και το επιβατικό κοινό για ένα τόσο ευαίσθητο θέμα όπως η προστασία των προσωπικών δεδομένων (στο site του ΟΑΣΑ για το ηλεκτρονικό εισιτήριο δεν υπάρχει ούτε μία λέξη για τα προσωπικά δεδομένα), και στη συνέχεια να περιμένει το πράσινο φως πριν προχωρήσει σε πανηγυρικές ανακοινώσεις για τη δοκιμαστική λειτουργία του συστήματος.

Αντίθετα, ο ΟΑΣΑ ανακοίνωσε την -ήδη με καθυστέρηση- έναρξη της δοκιμαστικής λειτουργίας του ηλεκτρονικού εισιτηρίου, χωρίς όμως προς το παρόν να είναι δυνατή η έκδοση καρτών ATH.ENA. Card. Μπορούμε να υποθέσουμε (ή να ελπίσουμε)  ότι αυτό έγινε λόγω της παραπάνω αρνητικής γνωμοδότησης της Αρχής, και ο ΟΑΣΑ θα προχωρήσει σε διορθώσεις προκειμένου να λάβει το πράσινο φως. Βλέποντας πάντως την ταχύτητα με την οποία κινείται η ανεξάρτητη αρχή, αυτό δεν πρόκειται να γίνει άμεσα.

Η γνωμοδότηση της ανεξάρτητης αρχής (που η αλήθεια είναι ότι κατά το παρελθόν έχει δείξει τάσεις τεχνοφοβίας) δεν είναι απόλυτα αρνητική για τη λειτουργία του ηλεκτρονικού εισιτηρίου (ούτε μπλοκάρει το ηλεκτρονικό εισιτήριο όπως αναφέρεται σε διάφορα άρθρα). Ωστόσο γνωστοποιούνται σημαντικές λεπτομέρειες για το ηλεκτρονικό εισιτήριο, άγνωστες στο ευρύ κοινό αφού ο ΟΑΣΑ δεν τις ανακοίνωσε ποτέ ούτε καν με μικρά γράμματα, εγείροντας αμφιβολίες για το κατά πόσο ο ΟΑΣΑ είναι ικανός να προστατέψει τα προσωπικά δεδομένα των επιβατών του.

Θα παραθέσουμε παρακάτω μερικά σημαντικά αποσπάσματα που τις 21 σελίδες της γνωμοδότησης.

Για την προσωποποίηση-ταυτοποίηση των επιβατών:

Ο ΟΑΣΑ, στο πλαίσιο του νέου αυτού συστήματος, θα πρέπει να προβεί στην «προσωποποίηση-ταυτοποίηση» όλων των επιβατών που χρησιμοποιούν κάρτες απεριορίστων διαδρομών για τη μετακίνησή τους με τα Μέσα Μαζικής Μεταφοράς εντός του Λεκανοπεδίου Αττικής, αλλά και όλων εκείνων που δικαιούνται μετακίνηση με μειωμένο ή μηδενικό κόμιστρο. Για την ως άνω ταυτοποίηση, ο ΟΑΣΑ αναφέρει ότι τα προσωπικά στοιχεία των κατόχων των ως άνω καρτών θα συλλεγούν είτε με άμεση καταχώρηση σε ηλεκτρονική φόρμα εισαγωγής στοιχείων, είτε με διαβίβαση από την Η∆ΙΚΑ Α.Ε. μέσω της διαδικτυακής υπηρεσίας (web service) με το όνομα AMKA2DATA  που η τελευταία διαθέτει.

Ο ΟΑΣΑ επεσήμανε επίσης στο αρχικό ως άνω έγγραφό του ότι τα στοιχεία που θα συλλέγει, θα καταχωρούνται σε ασφαλή βάση δεδομένων, ενώ ένα υποσύνολο αυτών θα καταχωρείται σε ενσωματωμένο micro-chip στην κάρτα, ώστε να καθίσταται δυνατός ο έλεγχος επί του μέσου μαζικής μεταφοράς που θα αφορά στην ισχύ ή/και στην εγκυρότητα αυτού του τύπου κομίστρου. Στο ίδιο έγγραφο γίνεται αναφορά σε πλήθος προσωπικών δεδομένων (όπως Αριθμός Μητρώου Κοινωνικής Ασφάλισης (ΑΜΚΑ), ονοματεπώνυμο, διεύθυνση κατοικίας κ.α) που θα υφίστανται επεξεργασία στο πλαίσιο του εν λόγω συστήματος, χωρίς όμως να τεκμηριώνονται διεξοδικά οι διαφορετικοί σκοποί που εξυπηρετούνται από την επεξεργασία αυτή.

Για την έκδοση των καρτών:

Για την απόκτηση της νέας προσωπικής κάρτας ηλεκτρονικού εισιτηρίου, ο ενδιαφερόμενος μπορεί να απευθυνθεί σε εκδοτήριο του ΟΑΣΑ που είναι εξοπλισμένο με Τερματικό Έκδοσης Καρτών (ΤΕΚ), επιδεικνύοντας τα απαραίτητα υποστηρικτικά έγγραφα για την πιστοποίηση της ταυτότητάς του (π.χ. ∆ελτίο Αστυνομικής Ταυτότητας, βιβλιάριο υγείας κλπ), ενώ, αν ανήκει σε κατηγορία δικαιούχων μειωμένου κομίστρου ή δωρεάν μετακινήσεων, θα πρέπει να επιδείξει και σχετικά αποδεικτικά στοιχεία (π.χ. ανεργία, αναπηρία, φοιτητική ταυτότητα). Η διαδικασία αυτή δεν διαφέρει κατ’ ουσίαν από αυτή που ακολουθείται σήμερα, για την έκδοση των αντίστοιχων μη ηλεκτρονικών καρτών. Ο εκδότης ελέγχει τα έγγραφα, εισάγει τα δεδομένα στο ΤΕΚ, τυπώνει τη φωτογραφία και τα στοιχεία του κατόχου στην κάρτα και την παραδίδει στον αιτούντα.

Εναλλακτικά, ο αιτών μπορεί να χρησιμοποιήσει κατάλληλη διαδικτυακή εφαρμογή για να εισαγάγει μόνος του τα απαραίτητα στοιχεία και να υποβάλει διαδικτυακά την αίτησή του, έτσι ώστε στη συνέχεια να μεταβεί στο ΤΕΚ που ο ίδιος θα έχει δηλώσει, για να παραλάβει την κάρτα του. Για την παραλαβή της, θα πρέπει να προσκομίσει τα κατάλληλα υποστηρικτικά έγγραφα και όλα τα σχετικά αποδεικτικά στοιχεία, όπως αυτά προσδιορίζονται ανωτέρω. […]

στη δεύτερη περίπτωση κατά την οποία ο αιτών θα υποβάλει διαδικτυακά την αίτηση χορήγησης κάρτας (η οποία εκτιμούν ότι θα είναι και η συνηθέστερη, προς αποφυγή μεγάλων καθυστερήσεων αν παρεχόταν μόνο η πρώτη εναλλακτική), επιθυμούν να αξιοποιήσουν την υπηρεσία AMKA2DATA της Η∆ΙΚΑ ως εξής: Στη συγκεκριμένη διαδικτυακή εφαρμογή ο χρήστης θα εισάγει – υποχρεωτικώς- μόνο τον ΑΜΚΑ του και, βάσει αυτού, θα γίνεται η αναγνώρισή του και θα προ-συμπληρώνονται αυτοματοποιημένα τα λοιπά προσωπικά του στοιχεία (ονοματεπώνυμο, πατρώνυμο μητρώνυμο κτλ.), με βάση την πληροφορία που τηρεί η Η∆ΙΚΑ. Με αυτόν τον τρόπο, ο ΟΑΣΑ υποστηρίζει ότι θα αποφευχθούν τυχόν λανθασμένες καταχωρήσεις των στοιχείων (π.χ. τυπογραφικά λάθη) από τους χρήστες, ενώ επίσης σε συνδυασμό με το γεγονός ότι για την παραλαβή της προσωπικής κάρτας ηλεκτρονικού εισιτηρίου ο χρήστης θα προσκομίσει στοιχεία ταυτοποίησης, διασφαλίζεται πλήρως η πιστοποίηση της ταυτότητάς του. Επισημάνθηκε επίσης ότι τυχόν ευαίσθητα δεδομένα –π.χ. αναπηρίας– δεν θα χορηγούνται από την Η∆ΙΚΑ αλλά θα τα προσκομίζει ο ίδιος ο χρήστης, εφόσον κάτι τέτοιο απαιτείται για την κατοχύρωση δικαιώματος μειωμένου κομίστρου.

Για τα δεδομένα που θα συλλέγονται:

Τα δεδομένα που θα συλλεγούν, με οποιονδήποτε από τους ως άνω περιγραφόμενους τρόπους, θα είναι αριθμός δελτίου ταυτότητας ή/και ΑΜΚΑ, ονοματεπώνυμο, πατρώνυμο, μητρώνυμο, ημερομηνία γέννησης, φωτογραφία σε ηλεκτρονική μορφή, αριθμός τηλεφώνου, αριθμός κινητού τηλεφώνου, αριθμός fax, ταχυδρομική διεύθυνση, ηλεκτρονική διεύθυνση. Τα τελευταία πέντε στοιχεία τηρούνται μόνο σε περίπτωση που η αίτηση γίνει διαδικτυακά. Επίσης, θα συλλέγονται και επιπρόσθετα δεδομένα που καθορίζουν την ιδιαίτερη κατηγορία του δικαιούχου σε σχέση με το μειωμένο κόμιστρο που πρέπει να καταβάλει (τύπος δικαιούχου, περίοδος ισχύος δικαιώματος).

Όλα αυτά τα δεδομένα θα τηρούνται στη σχετική βάση δεδομένων. Στην εξωτερική επιφάνεια της κάρτας θα εκτυπώνονται το ονοματεπώνυμο, ο τύπος δικαιούχου, και η φωτογραφία. Στο ολοκληρωμένο κύκλωμα (chip) της κάρτας θα τηρείται ο τύπος του δικαιούχου και η ημερομηνία λήξης δικαιώματος ή η ημερομηνία γέννησης για τύπους δικαιούχου σχετιζόμενους με την ηλικία.

 

Για τον τρόπο λειτουργίας της κάρτας:

Το  Αυτόματο Σύστημα Συλλογής Κομίστρου (εφεξής ΑΣΣΚ) υπολογίζει το κόμιστρο που πρέπει να καταβάλει ο επιβάτης ανάλογα με τύπο του επιβάτη και όχι με την ταυτότητά του, βάσει των δεδομένων που τηρούνται στο chip της κάρτας. Συγκεκριμένα ο εξοπλισμός επικύρωσης του κομίστρου επικοινωνεί με το chip της κάρτας χρησιμοποιώντας ασύρματη τεχνολογία και υπολογίζει το κόμιστρο χρησιμοποιώντας τις πληροφορίες που τηρούνται σε αυτό.

Κάθε συναλλαγή επαναφόρτισης/επικύρωσης της κάρτας καταγράφεται στον εξοπλισμό ΑΣΣΚ. Η πληροφορία της συναλλαγής εμπεριέχει και την ταυτότητα του εξοπλισμού ΑΣΣΚ στον οποίο πραγματοποιήθηκε η συναλλαγή. Η πληροφορία αυτή, η οποία είναι αναγκαία για τον υπολογισμό του κομίστρου στην περίπτωση μεταφοράς από ένα μέσο σε άλλο, αλλά και για να μπορεί να ελεγχθεί από τις φορητές συσκευές ελέγχου που θα φέρουν οι αρμόδιοι ελεγκτές, μεταφέρεται στο ΑΣΣΚ για οικονομική εκκαθάριση και πιθανή αναγνώριση απάτης.

Η κάθε κάρτα φέρει μοναδικό σειριακό αριθμό και τα ως άνω δεδομέν ασυναλλαγής καταγράφονται ανά σειριακό αριθμό κάρτας και όχι ανά στοιχεία κατόχου αυτής. Κατά τον ΟΑΣΑ, η θέση/επαναφόρτιση/επικύρωση/διαδρομή ενός επιβάτη δεν αποθηκεύεται και δεν μπορεί να αναγνωριστεί, ακόμα και αν η θέση/επαναφόρτιση/επικύρωση/διαδρομή μιας κάρτας αποθηκεύεται. Επισημαίνεται ωστόσο ότι, όπως προέκυψε κατά τη συνάντηση με τους εκπροσώπους του ΟΑΣΑ, ο σειριακός αριθμός κάθε κάρτας θα τηρείται και στο chip της κάρτας αλλά και στη βάση δεδομένων.

Για τα δικαιώματα των κατόχων των καρτών:

Ως προς τα δικαιώματα των υποκειμένων των δεδομένων (κατόχων των ηλεκτρονικών καρτών), ο ΟΑΣΑ ανέφερε ότι οι επιβάτες γνωρίζουν ποια δεδομένα αποθηκεύονται και χρησιμοποιούνται στο ΑΣΣΚ γιατί προέρχονται από τους ίδιους. Επίσης, αν ζητηθεί από τον επιβάτη, το ΑΣΣΚ και οι χειριστές του μπορούν να αποδείξουν την εγκυρότητα του προϊόντος κομίστρου που είναι φορτωμένο στην κάρτα ή τη χρηματική αξία αν η κάρτα είναι αποθηκευμένης αξίας (ήτοι έχει προπληρωθεί χρηματικό ποσό).

Για ποιο λόγο ο ΟΑΣΑ ζητά τόσα πολλά προσωπικά στοιχεία:

Τα στοιχεία «πατρώνυμο», «μητρώνυμο», «ΑΦΜ», «Αριθμός ∆ελτίου Ταυτότητας» απαιτούνται για τους παρακάτω λόγους:

α) Σε περίπτωση παράβασης (π.χ. μη καταβολή κομίστρου) είναι αναγκαίο το πρόστιμο που αντιστοιχεί στην παράβαση μετακίνησης να περιέχει προσωπικά στοιχεία του επιβάτη, ώστε αυτός να μπορεί να ταυτοποιηθεί, κυρίως στην περίπτωση που το πρόστιμο εισπράττεται μέσω του συστήματος TAXISNET.

β) Σε περίπτωση απώλειας της κάρτας, δίνεται η δυνατότητα στον κάτοχο να δηλώσει το γεγονός και να αιτηθεί την επανέκδοσή της με ταυτόχρονη μεταφορά στη νέα κάρτα της υπολειπόμενης, στην απολεσθείσα κάρτα, αξίας κομίστρων (ποσότητα και αξία).

Για τη δυνατότητα προσωρινής τήρησης στοιχείων:

Για την αποφυγή δημιουργίας προσωποποιημένων προφίλ μετακίνησης επιβατών, ο ΟΑΣΑ ανέφερε ότι τα δεδομένα συναλλαγής μπορούν να τηρούνται για συγκεκριμένο χρονικό διάστημα (για παράδειγμα, για 24 ώρες) και ακολούθως να διαγράφονται. Επεσήμανε ωστόσο ότι κάποιες υπηρεσίες, συμπεριλαμβανομένης της υπηρεσίας αναφορών, θα περιοριστούν στο πλαίσια αυτής της χρονικής περιόδου.

Για την κρυπτογράφηση στοιχείων:

Ο ΑΜΚΑ, ο κωδικός πρόσβασης, το ΑΦΜ και ο Αριθμός Ταυτότητας αποθηκεύονται κρυπτογραφημένα στη βάση δεδομένων. Λοιπά στοιχεία της βάσης δεν αποθηκεύονται κρυπτογραφημένα, για λόγους απόδοσης του συστήματος.

Επόμενες διευκρινήσεις του ΟΑΣΑ για τα στοιχεία που θα συλλέγονται:

[Στοιχεία προσωποποίησης:] Στην επιφάνεια της κάρτας θα εκτυπώνεται το ονοματεπώνυμο του κατόχου και η φωτογραφία, ενώ στο chip της κάρτας θα εγγράφεται η κατηγορία (τύπος) του χρήστη (άνω των 65, μαθητής, στρατιώτης, ΑΜΕΑ, άνεργος κτλ.) και η ημερομηνία λήξης του δικαιώματος μειωμένου κόμιστρου. Στην υποκείμενη βάση δεδομένων θα τηρούνται το ονοματεπώνυμο, το πατρώνυμο, το μητρώνυμο (τα δύο τελευταία, όπως δηλώνει ο υπεύθυνος επεξεργασίας, δεν είναι απαραίτητα), η φωτογραφία, και η ημερομηνία γέννησης. [..]

Τα προσωπικά δεδομένα τηρούνται για όσο διάστημα ο χρήστης χρησιμοποιεί την εν λόγω κάρτα. Ο υπεύθυνος επεξεργασίας σημειώνει ότι τα προσωπικά δεδομένα και τα δεδομένα συναλλαγών είναι ανεξάρτητα (αποθηκεύονται σε διαφορετικό χώρο της βάσης δεδομένων), έτσι ώστε να μην μπορεί κανείς να εντοπίσει τη διαδρομή ενός επιβάτη.

[Στοιχεία επαναφόρτισης:] Τα προϊόντα κομίστρου εξαρτώνται από το προφίλ (τύπο) του χρήστη, το οποίο τηρείται και στο chip της κάρτας έτσι ώστε να παρέχεται στους δικαιούχους έκπτωσης μειωμένο κόμιστρο στα Αυτόματα Μηχανήματα Έκδοσης Καρτών χωρίς την προσκόμιση των σχετικών αποδεικτικών εγγράφων ταυτοποίησης. Η περίοδος τήρησης των δεδομένων επαναφόρτισης δεν προσδιορίζεται ρητώς – εξαρτάται από την πολιτική λειτουργίας: τηρούνται πάντως για περισσότερο από ένα μήνα, για να παρέχονται στατιστικά σε κάθε φορέα που μπορούν να χρησιμοποιηθούν για την ανάλυση των κερδών και των προϊόντων.

[Για τα δεδομένα επικύρωσης:] χρειάζεται συνδυασμός των πληροφοριών που είναι αποθηκευμένες στην κάρτα (πληροφορία διαδρομής και τύπος χρήστη) και των πληροφοριών που είναι αποθηκευμένες στις επικυρωτικές συσκευές (πίνακας τιμών προϊόντων κομίστρου). Η περίοδος τήρησης των δεδομένων αυτών είναι ίδια με αυτήν των δεδομένων επαναφόρτισης. Εάν ο χρήστης χάσει την προσωποποιημένη κάρτα του, ο ΟΑΣΑ θα μπορεί να μεταφέρει το υπολειπόμενο χρηματικό ποσό στην καινούρια κάρτα.

[Για τα στοιχεία ελέγχου εγκυρότητας κομίστρου:] Τα δεδομένα ελέγχου θα πρέπει να τηρούνται από την ημέρα επιβολής του προστίμου μέχρι την ημερομηνία αποπληρωμής του.

[Στοιχεία για εξυπηρέτηση πελατών:] ∆υνατότητα απενεργοποίησης («αποκλεισμού») της κάρτας που έχει χαθεί, κλαπεί ή καταστραφεί, αίτημα επανέκδοσης κάρτας, καθώς και επαναφόρτιση προϊόντος δικτυακά μέσω της ιστοσελίδας εξυπηρέτησης πελατών. Προς τούτο χρειάζεται ο αριθμός της κάρτας και οι προσωπικές πληροφορίες του χρήστη για να αποφευχθεί λάθος καταχώρηση αριθμού κάρτας, καθώς και κάποιο μοναδικό αναγνωριστικό του χρήστη (AMKA ή ΑΦΜ ή αριθμός ταυτότητας) για να τηρηθεί η αρχή «μία κάρτα για κάθε έναν χρήστη».

Τηρούνται οι διαδρομές της κάρτας και όχι οι διαδρομές του ατόμου. Το κλειδί για κάθε αναγνώριση συναλλαγής στο ΑΣΣΚ είναι ο αριθμός της κάρτας. Το ΑΣΣΚ αποθηκεύει ιστορικό προηγούμενων ταξιδιών βάσει της πολιτικής κομίστρου για την αποτροπή π.χ. υπέρβασης επιτρεπόμενων διαδρομών

Το σύστημα ΑΣΣΚ θα αποθηκεύει έναν συνδυασμό ΑΜΚΑ και επιθέτου σε μορφή ψηφιακού αποτυπώματος (hash) ώστε να διασφαλίζεται ότι κάθε χρήστης θα έχει μόνο μία κάρτα. Η ημερομηνία γέννησης είναι απαραίτητο να τηρείται στη βάση δεδομένων καθώς χρησιμοποιείται για τη δημιουργία προφίλ έκπτωσης, ενώ επιτρέπει και τη διαδικτυακή επαναφόρτιση προϊόντων κομίστρου. ∆εν παρέχεται, όμως, ειδικότερη αποσαφήνιση από τον ΟΑΣΑ ως προς το ζήτημα ότι για τη βάση δεδομένων του συστήματος προαναφέρθηκε ότι θα περιέχει και ονοματεπώνυμο, πατρώνυμο, φωτογραφία, ενώ έχει γίνει επίσης αναφορά για τήρηση ΑΦΜ αλλά και για αριθμό δελτίου ταυτότητας.

Από την γνωμοδότηση της Αρχής:

Οι ως άνω σκοποί επεξεργασίας είναι καθορισμένοι, σαφείς, θεμιτοί και νόμιμοι, και εντάσσονται στις αρμοδιότητες του ΟΑΣΑ όπως αυτές προβλέπονται στις οικείες νομικές διατάξεις που διέπουν τη λειτουργία του Οργανισμού και περιγράφονται στο υποβληθέν υπόμνημά του. Περαιτέρω, η επίτευξη των εν λόγω σκοπών χωρίς τη χρήση ηλεκτρονικού εισιτηρίου είναι εξαιρετικά δυσχερής –σε ορισμένες περιπτώσεις δε και αδύνατη– με την υπάρχουσα έγχαρτη μορφή των εισιτηρίων. [..]

Ο κύριος κίνδυνος που ελλοχεύει, ως προς την προστασία των προσωπικών δεδομένων, στο πλαίσιο ενός συστήματος προσωποποιημένων ηλεκτρονικών εισιτηρίων, συνίσταται στο ότι η χρήση ενός τέτοιου συστήματος μπορεί να συνεπάγεται τη συλλογή δεδομένων σχετικά με τις διαδρομές που πραγματοποιεί ο εκάστοτε επιβάτης. Η τήρηση –είτε στο ίδιο το εισιτήριο (ηλεκτρονική κάρτα) είτε στη βάση δεδομένων- του δρομολογίου που πραγματοποιήθηκε, της ημερομηνίας και ώρας αυτού καθώς και του αριθμού του ηλεκτρονικού εισιτηρίου παραπέμπουν σε συγκεκριμένο επιβάτη, ο προσδιορισμός (ταυτοποίηση) του οποίου –με τη μορφή προσωποποιημένης πληροφόρησης- καθίσταται δυνατός εφόσον στο αρχείο που τηρεί ο υπεύθυνος επεξεργασίας υπάρχουν προσωπικά δεδομένα ταυτοποίησης του κατόχου του. Με αυτόν τον τρόπο, οι μετακινήσεις κάθε επιβάτη – χρήστη προσωποποιημένου ηλεκτρονικού εισιτηρίου παύουν πλέον να είναι ανώνυμες, με αποτέλεσμα να θίγεται υπέρμετρα η ελευθερία κίνησης ή κυκλοφορίας της οποίας αναπόσπαστο μέρος συνιστά το δικαίωμα της ανώνυμης μετακίνησης. […]

Συγχρόνως το γεγονός ότι οι μετακινήσεις των επιβατών χάνουν με το προσωποποιημένο ηλεκτρονικό εισιτήριο την ανωνυμία τους θίγει το δικαίωμα της πληροφοριακής αυτοδιάθεσης και το δικαίωμα στην ιδιωτική ζωή, τα οποία κατοχυρώνονται τόσο στο Σύνταγμα όσο και στην ΕΣΔΑ. […]

Στο εν λόγω σύστημα, χρησιμοποιείται ένας μοναδικός σειριακός αριθμός που αποδίδεται σε κάθε κάρτα. Ο αριθμός αυτός τηρείται μόνιμα τόσο στο chip της κάρτας όσο και στην υποκείμενη βάση δεδομένων, στην οποία τηρούνται πρόσθετες πληροφορίες για κάθε κίνηση αυτής της κάρτας. Ως εκ τούτου, η οποιαδήποτε συσχέτιση, είτε σε λογικό είτε σε φυσικό επίπεδο, του συγκεκριμένου αριθμού της κάρτας με τον κάτοχο αυτής επιτρέπει την εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρομές που αυτός πραγματοποιεί. Κατά συνέπεια, ο υπεύθυνος επεξεργασίας θα πρέπει να διασφαλίσει ότι από το σύνολο της τηρούμενης πληροφορίας, ακόμα και αν αυτή είναι διαμοιρασμένη σε ανεξάρτητα υπο-συστήματα, δεν θα είναι εφικτή η πραγματοποίηση μιας τέτοιας επεξεργασίας. Από την περιγραφή του συστήματος, αλλά και τους ισχυρισμούς του υπευθύνου επεξεργασίας […] προκύπτει ότι μία τέτοια επεξεργασία είναι πάντως δυνατόν να πραγματοποιηθεί, ανεξαρτήτως των ισχυρισμών του υπευθύνου επεξεργασίας ότι δεν προτίθεται να προβεί σε έναν τέτοιο συσχετισμό. […]

Δεν τεκμηριώνεται η αναγκαιότητα της επεξεργασίας των προσωπικών δεδομένων, την οποία ο υπεύθυνος επεξεργασίας αναφέρει για την επίτευξη των επιδιωκόμενων σκοπών του, και συγκεκριμένα ότι η τήρηση, στη βάση δεδομένων του συστήματος, του ονοματεπωνύμου ή/και ενός ή και περισσότερων μοναδικών αναγνωριστικών –όπως είναι, για παράδειγμα, ο ΑΜΚΑ– κάθε κατόχου της ηλεκτρονικής κάρτας είναι απολύτως απαραίτητη προκειμένου να επιτευχθούν οι σκοποί αυτοί. […]

Ο υπεύθυνος επεξεργασίας δεν κατέδειξε ότι εξέτασε εναλλακτικές τεχνικές λύσεις που αφενός μεν θα επιτύγχαναν εξίσου τους επιδιωκόμενους σκοπούς αφετέρου δε θα εξασφάλιζαν την προστασία της ιδιωτικότητας των χρηστών, όπως ενδεχομένως κάποιες τεχνικές προσεγγίσεις οι οποίες είχαν προταθεί/συζητηθεί διεξοδικά στις συναντήσεις των μελών της Αρχής με τους εκπροσώπους του ΟΑΣΑ και είχαν χαρακτηριστεί από τους τελευταίους ως απόλυτα ικανοποιητικές για την εξυπηρέτηση των επιδιωκόμενων σκοπών – π.χ. η κατάλληλη αξιοποίηση κρυπτογραφικών συναρτήσεων κατακερματισμού (hash functions) κατά τρόπο τέτοιο ώστε να επιτυγχάνονται όλοι οι επιθυμητοί σκοποί του υπεύθυνου επεξεργασίας χωρίς να πλήττεται το δικαίωμα στην ανώνυμη μετακίνηση. […]

Τα δεδομένα στην επιφάνεια της κάρτας (ονοματεπώνυμο, φωτογραφία) και στο chip της κάρτας (αριθμός κάρτας, προφίλ (τύπος) χρήστη και ημερομηνία λήξης δικαιώματος) είναι κατ’ αρχάς πρόσφορα σε σχέση με τους επιδιωκόμενους σκοπούς. Θα πρέπει ωστόσο να ληφθεί μέριμνα, εφόσον στο chip τηρείται και κάποιο ιστορικό επικυρώσεων της κάρτας, να τεκμηριώνεται ότι το ιστορικό αυτό είναι απόλυτα αναγκαίο – και, ως εκ τούτου, το ελάχιστο δυνατό – ενόψει των επιδιωκόμενων σκοπών. Και τούτο διότι τα δεδομένα στο chip της κάρτας τηρούνται και μεταδίδονται ανέπαφα και μη κρυπτογραφημένα και, κατά συνέπεια, τυχόν απώλεια της κάρτας δύναται να επιτρέψει σε κάποιον τρίτο να ανακαλύψει και το ιστορικό των μετακινήσεών του. […]

Σκόπιμο είναι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, να προβεί στην εκπόνηση εκτίμησης επιπτώσεων στην προστασία προσωπικών δεδομένων προκειμένου να καταδειχτούν και να αντιμετωπιστούν όλα τα ζητήματα που εγείρονται ως προς την προστασία των δεδομένων, καθώς επίσης και να ληφθούν τα απαραίτητα μέτρα. […]

Ο υπεύθυνος επεξεργασίας οφείλει να διασφαλίσει ότι πληρούνται οι βασικές προϋποθέσεις νομιμότητας της επεξεργασίας, όπως τίθενται ανωτέρω, καθώς επίσης και να υποβάλει νέα γνωστοποίηση του συστήματος στην Αρχή.

Leave a Comment

Filed under Εισιτήρια, κάρτες και πρόστιμα