Πράσινο φως για το ηλεκτρονικό εισιτήριο: Ασφαλή τα προσωπικά δεδομένα

Με την υπ’ αριθμόν 4/2017 απόφαση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, το σύστημα του ηλεκτρονικού εισιτηρίου του ΟΑΣΑ έλαβε το πράσινο φως για την έναρξη της λειτουργίας του. Η απουσία θετικής γνωμοδότησης από την ανεξάρτητη αρχή ήταν, μέχρι στιγμής το κύριο εμπόδιο στην λειτουργία του ηλεκτρονικού εισιτηρίου.

Σύμφωνα με τη γνωμοδότηση της ανεξάρτητης αρχής που παρουσιάζει το athenstransport.com, ο ΟΑΣΑ αναφέρει στην τελευταία γνωμοδότησή του, πως το 90% των προϊόντων ηλεκτρονικού εισιτηρίου που θα διακινούνται, θα αφορά απρόσωπες κάρτες (Athena Ticket) που θα περιέχουν προϊόντα μικρής αξίας (εισιτήρια), ενώ το 10% θα αφορά τις προσωποποιημένες κάρτες (Athena Card) που θα αντικαταστήσουν τις σημερινές κάρτες απεριορίστων διαδρομών.

Όσον αφορά την προσωποποίηση των καρτών αναφέρεται:

Η σχεδίαση του νέου συστήματος που υποστηρίζει τη λειτουργία του ΑΣΣΚ θεωρεί ως βασική οντότητα την κάρτα και όχι τον επιβάτη. Ως εκ τούτου, όλες οι λειτουργίες του συστήματος (ήτοι έκδοση, φόρτιση και επικύρωση) χρησιμοποιούν ως μοναδικό στοιχείο καταχώρισης και επεξεργασίας τον αριθμό της κάρτας (οποιουδήποτε τύπου) και όχι τα στοιχεία του επιβάτη. Επιπλέον, προκειμένου να εκτελεστεί οποιαδήποτε συναλλαγή φόρτισης ή επικύρωσης, δεν απαιτείται ταύτιση με φυσικό πρόσωπο (κάτοχο προσωποποιημένης κάρτας).

Το σύστημα μπορεί να διαχειρίζεται κατά τρόπο ενιαίο τόσο τις προσωποποιημένες όσο και τις ανώνυμες κάρτες. Η ανάγκη συστημικής αντιστοίχισης της κάρτας με φυσικό πρόσωπο προκύπτει αποκλειστικά από την ανάγκη υλοποίησης των διαδικασιών: α) αντικατάστασης απολεσθείσας κάρτας με ταυτόχρονη μεταφορά του υπολοίπου στη νέα κάρτα και ακύρωσης της παλαιάς β) αμφισβήτησηςτωνχρεώσεων.

Όπως επισημαίνει ο ΟΑΣΑ, η μεταφορά υπολοίπου αποτελεί ένα από τα βασικότερα πλεονεκτήματα του νέου συστήματος σε σύγκριση με το προηγούμενο που δεν μπορούσε να την υποστηρίξει και διασφαλίζει τη μη απώλεια των πληρωμένων από τον επιβάτη δικαιωμάτων (προϊόντων κομίστρου ή/και χρηματική αξία) ενώ η ακύρωση της απολεσθείσας κάρτας είναι μια δυνατότητα που περιορίζει την απώλεια εσόδων του οργανισμού (καθιστώντας άμεσα μη αξιοποιήσιμη την απολεσθείσα κάρτα).

Για την έκδοση της κάρτας, θα απαιτείται για τους μεν Έλληνες πολίτες το ΑΜΚΑ και ένας 4ψήφιος κωδικός, ενώ για τους ξένους ο αριθμός του διαβατηρίου και ένας τετραψήφιος κωδικός έτσι ώστε τα δεδομένα των μετακινήσεων των χρηστών να είναι κτυπτογραφημένα:

Για την έκδοση κάρτας απεριορίστων διαδρομών των χρηστών του ΑΣΣΚ, ο ΟΑΣΑ επιλέγει τη χρήση κρυπτογραφικού αλγορίθμου κατακερματισμού (hashing) των προσωπικών δεδομένων των χρηστών. Κάθε καταγραφή δεδομένων κίνησης των προσωποποιημένων καρτών δεν θα παραπέμπει σε συγκεκριμένο πρόσωπο αλλά σε ένα «ψηφιακό αποτύπωμα» (hash value) όπως αυτό υπολογίζεται από τη συνάρτηση κατακερματισμού. To ψηφιακό αποτύπωμα θα προκύπτει από το συνδυασμό του ΑΜΚΑ και ενός 4-ψήφιου κωδικού ασφαλείας (για Έλληνες πολίτες) ή του αριθμού διαβατηρίου και ενός 4-ψήφιου κωδικού ασφαλείας (για αλλοδαπούς). Ο 4-ψήφιος κωδικός ασφαλείας θα καταχωρίζεται (πληκτρολογείται) από τον επιβάτη κατά τη διαδικασία προσωποποίησης και θα απαιτείται προκειμένου να ανακτηθούν τα στοιχεία της κάρτας (σε περίπτωση απώλειας). Ο κωδικός αυτός θα είναι γνωστός μόνο στον επιβάτη και ο συνδυασμός του με τον ΑΜΚΑ για την παραγωγή του μη αναστρέψιμου ψηφιακού αποτυπώματος εξασφαλίζει ότι ούτε χρήστες με γνώση της δομής του συστήματος και διαβαθμισμένη πρόσβαση στα δεδομένα αυτού θα είναι σε θέση να προσδιορίσουν την αντιστοιχία αριθμού κάρτας με τον ΑΜΚΑ (και κατά συνέπεια την ταυτότητα) του επιβάτη.

Ειδικότερα, η διαδικασία της έκδοσης θα γίνεται ως εξής:

Ειδικότερα, για την έκδοση προσωποποιημένης κάρτας από Τερματικό Έκδοσης Καρτών (ΤΕΚ) απαιτείται η προσκόμιση επίσημου εγγράφου που να προσδιορίζει τον αριθμό ΑΜΚΑ του επιβάτη, καθώς και της αστυνομικής του ταυτότητας. Εναλλακτικά, για αλλοδαπούς, απαιτείται η προσκόμιση έγκυρου διαβατηρίου. Εφόσον ο επιβάτης ανήκει σε ειδική κατηγορία, οφείλει να προσκομίσει και έγγραφο απόδειξης του δικαιώματός του. Ο εκδότης οφείλει να εισάγει στην εφαρμογή του ΤΕΚ τον ΑΜΚΑ, το όνομα, το επώνυμο καθώς και τον μήνα και έτος γέννησης και την ειδική κατηγορία κομίστρου εφόσον υπάρχει. Εν συνεχεία ο εκδότης προχωρά σε επιβεβαίωση της ταυτότητας του επιβάτη (μέσω της αστυνομικής ταυτότητας) ο οποίος και καλείται να εισάγειτον 4-ψήφιο κωδικό ασφαλείας. […].

Τέλος, ο εκδότης προχωρά σε λήψη φωτογραφίας του επιβάτη (μέσω της φωτογραφικής μηχανής που διαθέτει το ΤΕΚ ή μέσω σάρωσης προεκτυπωμένης φωτογραφίας) και έκδοση της προσωποποιημένης κάρτας. Κατά τη διαδικασία έκδοσης της κάρτας το σύστημα παράγει και αποθηκεύει στη βάση δεδομένων το «ψηφιακό αποτύπωμα» (hashed value) που προκύπτει από τον συνδυασμό ΑΜΚΑ (ή αριθμού διαβατηρίου) και 4-ψήφιου κωδικού, καθώς και τον μήνα και έτος γέννησης αλλά και την ειδική κατηγορία του κομίστρου. Ο μήνας και έτος γέννησης αλλά και η ειδική κατηγορία του κομίστρου αποθηκεύονται επίσης στη μνήμη της έξυπνηςκάρτας. Τα λοιπά στοιχεία (όνομα, επώνυμο και φωτογραφία) εκτυπώνονται στην επιφάνεια της κάρτας και δεν αποθηκεύονται πουθενά ούτε στο ΤΕΚ ούτε και στο κεντρικό σύστημα του ΑΣΣΚ.

Η διαδικασία έκδοσης μέσω Ίντερνετ θα γίνεται ως εξής:

Η διαδικασία έκδοσης κάρτας με χρήση της Web εφαρμογής διαφοροποιείται μόνο ως προς τη μέθοδο εισαγωγής των στοιχείων στην εφαρμογή του ΤΕΚ: Συγκεκριμένα, ο επιβάτης εισάγει στο σχετικό ιστότοπο του ΟΑΣΑ (portal) τον ΑΜΚΑ, το όνομα και το επώνυμό του. Εν συνεχεία, η εφαρμογή ζητά από τον επιβάτη να εισάγει τον 4-ψήφιο κωδικό ασφαλείας και παράγει έναν εκτυπώσιμο κωδικό άμεσης απόκρισης (Quick Response QR Code). Ο επιβάτης προσκομίζει το εκτυπωμένο QR Code στο ΤΕΚ προκειμένου να μεταφερθούν τα στοιχεία στην εφαρμογή μέσω σάρωσης. Η διασταύρωση των στοιχείων με χρήση της αστυνομικής ταυτότητας καθώς και η λήψη φωτογραφίας ακολουθούν την ίδια λογική. Αν πρόκειται περί ειδικής κατηγορίας, ο χρήστης προσθέτει αυτό το δεδομένο σε ειδική θέση στην οθόνη του υπολογιστή του ώστε όταν προσέλθει στο ΤΕΚ με τον κωδικό QR και προ της έκδοσης της κάρτας να καταχωριστεί στο ειδικό αρχείο ο ΑΜΚΑ και η λήξη του δικαιώματος.

Σε περίπτωση απώλειας της κάρτας:

Σε περίπτωση απώλειας προσωποποιημένης έξυπνης κάρτας, ο νόμιμος κάτοχος οφείλει να προσκομίσει στο εκδοτήριο ένα επίσημο έγγραφο που να προσδιορίζει τον ΑΜΚΑ του καθώς και την αστυνομική του ταυτότητα […]. Ο εκδότης […] ζητά από τον επιβάτη να εισάγει τον 4ψήφιο κωδικό. […] Στην περίπτωση ταύτισης με αποθηκευμένο στη βάση δεδομένων ψηφιακό αποτύπωμα που συσχετίζεται με ενεργή έξυπνη κάρτα, ο εκδότης έχει τη δυνατότητα να προχωρήσει σε έκδοση νέας κάρτας με ταυτόχρονη μεταφορά του υπολοίπου και ακύρωση (blacklisting) της παλαιάς.

Τι περιέχει το chip της κάρτας:

Στον μικροεπεξεργαστή (chip) της κάρτας θα αποθηκεύετα ι ομήνας και το έτος γέννησης του κατόχου της αλλά και η κατηγορία στην οποία αυτός εμπίπτει. […] Στο μικροεπεξεργαστή διατηρούνται επίσης οι έξι τελευταίες κινήσεις-συναλλαγές οι οποίες είναι απολύτως απαραίτητες για τη χρέωση της κάρτας. Τις κινήσεις αυτές έχει καταγράψει και το κεντρικό σύστημα βάσης. Από τον μικροεπεξεργαστή της κάρτας διαγράφονται οι κινήσεις μόνο όταν εγγραφούν νέες επί αυτών. Οι τελευταίες έξι κινήσεις δεν μπορούν να διαγραφούν από τον μικροεπεξεργαστή.

Τι αποθηκεύεται στο κεντρικό σύστημα:

Στο κεντρικό σύστημα τηρούνται ο ΑΜΚΑ, ο μήνας και το έτος γέννησης, το«ψηφιακό αποτύπωμα» (hashed value) του ΑΜΚΑ με τον 4-ψήφιο κωδικό όπως περιεγράφηκε ανωτέρω και η κατηγορία του χρήστη.

Πώς θα γίνεται ο έλεγχος εισιτηρίου:

Η αυθεντικοποίηση του υποκειμένου γίνεται με τη χρήση φωτογραφίας και στοιχείων ονόματος και επωνύμου τα οποία αναγράφονται μόνο επί της κάρτας. Η συμπληρωματική επίδειξη ταυτότητας βοηθά στην αυθεντικοποίηση του υποκειμένου ως του νομίμου κατόχου της κάρτας. Ο ελεγκτής κομίστρου μπορεί να ζητήσει περαιτέρω εξακρίβωση στοιχείων ειδικής κατηγορίας, δηλαδή αιτιολόγηση της ένταξης σε ειδικής κατηγορίας μετακίνησης. Οι αντίστοιχοι φορείς προμηθεύουν τους δικαιούχους με σχετικά έγγραφα πιστοποίησης των δικαιωμάτων μετακίνησης (π.χ. κάρτες ανεργίας).

Ο ΟΑΣΑ έχει σκοπό να τηρεί και ένα άλλο αρχείο προσωπικών δεδομένων (ανεξάρητο από το σύστημα του ηλεκτρονικού εισιτηρίου) για την αποστολή newsletter σε ενδιαφερόμενους:

Τέλος, ο ΟΑΣΑ γνωστοποιεί στην Αρχή και τη δημιουργία ενός νέου αρχείου προσωπικών δεδομένων το οποίο ουδεμία σχέση έχει με το μεταφορικό έργο ή με οποιοδήποτε άλλο αρχείο του ΟΑΣΑ και λειτουργεί αυτόνομα. Το αρχείο αυτό έχει ως σκοπό την επικοινωνία του ΟΑΣΑ με όσους επιθυμούν να ενημερώνονται για νέα προϊόντα, προσφορές και ειδικά ή έκτακτα νέα που αφορούν στις αστικές συγκοινωνίες. Στο αρχείο αυτό εγγράφονται ηλεκτρονικά όσοι επιθυμούν να λαμβάνουν ενημέρωση για τις δράσεις και προσφορές του ΟΑΣΑ.

Ο ΟΑΣΑ κάνει λόγω για μέγιστη δυνατή ημερήσια χρέωση για κάθε επιβάτη:

Επίσης, το σύστημα εφαρμόζει μέγιστη επιτρεπόμενη ημερήσια χρέωση (fare cap) στα προϊόντα Πολλαπλών ∆ιαδρομών (Count Based Ticket) και Αποθηκευμένης Αξίας. ∆ηλαδή, εάν εντός μίας ημέρας η αξία του αθροίσματος των κομίστρων φτάσει την καθορισμένη μέγιστη ημερήσια χρέωση, το σύστημα σταματάει πλέον να αφαιρεί διαδρομές/αξία από την κάρτα για την αποφυγή φαινομένων υπερβολικής χρέωσης. Οι προαναφερθείσες λειτουργίες απαιτούν την τήρηση του ιστορικού μετακινήσεων στην κάρτα για την ορθή υλοποίησή τους.

Τέλος, η ανεξάρτητη αρχή κρίνει ότι το σύστημα προστατεύει επαρκώς τα προσωπικά δεδομένα των επιβατών, ωστόσο προτείνει να εξαταστεί το ενδεχόμενο να μην αποθηκεύεται στο κεντρικό σύστημα ολόκληρος ο αριθμός ΑΜΚΑ του κάθε χρήστη αλλά ένα μη αναστρέψιμο ψηφιακό αποτύπωμα (hashed value) αυτού.

Τον περασμένο Ιανουάριο η ανεξάρτητη αρχή είχε απορρίψει την λειτουργία του συστήματος, φτάνοντας στο συμπέρασμα πως οι ηλεκτρονικές κάρτες Athena Card που θα αντικαταστήσουν τις σημερινές χάρτινες κάρτες απεριορίστων διαδρομών δεν προστατεύουν επαρκώς τα προσωπικά δεδομένα των επιβατών. Σύμφωνα με την τότε απορριπτική γνωμοδότηση της ανεξάρτητης αρχής, ο ΟΑΣΑ θα ζητά και θα αποθηκεύει έναν μεγάλο αριθμό προσωπικών δεδομένων χωρίς να τεκμηριόνεται η αναγκαιότητά του. Επίσης, σε περίπτωση κλοπής της κάρτας του επιβάτη θα ήταν εύκολη η αποκάλυψη του ιστορικού των μετακινήσεών του.

Πλέον, είναι ρεαλιστικό να περιμένουμε πως η διαδικασία αντικατάστασης των καρτών απεριορίστων διαδρομών του ΟΑΣΑ με ηλεκτρονικές, καθώς και η έκδοση νέων θα ξεκινήσει από το Σεπτέμβριο, έτσι ώστε το σύστημα να βρίσκεται σε πλήρη λειτουργία έως το τέλος του χρόνου.

Ωστόσο, υπάρχουν ακόμα εκκρεμότητες, όπως η προμήθεια των καρτών Athena Card (ο σχετικός διαγωνισμός βρίσκεται σε δημόσια διαβούλευση), καθώς και η εγκατάσταση εξοπλισμού σε σταθμούς και μέσα, που αναμένεται να βρίσκεται σε εξέλιξη για το υπόλοιπο της χρονιάς.

Σχολιάζοντας την ανωτέρω εξέλιξη, ο διευθύνων σύμβουλος του ΟΑΣΑ Ιωάννης Σκουμπούρης υποστήριξε ότι «η θετική γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επιτρέπει στον οργανισμό την πλήρη ανάπτυξη της προϊοντικής βάσης του Αυτόματου Συστήματος Συλλογής Κομίστρου, το οποίο τυγχάνει ολοένα και μεγαλύτερης αποδοχής. Πάγια πολιτική και δέσμευση του ΟΑΣΑ αποτελεί η προστασία των προσωπικών δεδομένων, τόσο ως αξία καθεαυτή, όσο και σύμφωνα με τις κατευθύνσεις που δίδονται από την Αρχή».

Δείτε επίσης: