Η Αρχή Προστασίας Προσωπικών Δεδομένων διαψεύδει τον υπουργό για το ηλεκτρονικό εισιτήριο

Ενημέρωση: Με ανακοίνωσή του (βλ. στο τέλος), ο ΟΑΣΑ υποστηρίζει πως από τη γνωμοδότηση της αρχής προκύπτει πως δεν του δόθηκε η δυνατότητα να αποθηκεύσει τις διευθύνσεις των επιβατών προκειμένου να προχωρήσει σε λήψη αιτήσεων μέσω διαδικτύου και ταχυδρομική αποστολή των καρτών. Παρόλα αυτά, ο ΟΑΣΑ διαθέτει έτοιμη πλατφόρμα για έκδοση προσωποποιημένων καρτών μέσω διαδικτύου, εφόσον λάβει την έγκριση.


Με σημερινή της ανακοίνωση, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα υποστηρίζει πως σε καμία περίπτωση δεν απέρριψε την υποβολή αιτήσεων μέσω διαδικτύου για την έκδοση ηλεκτρονικού εισιτηρίου, αλλά την επέτρεψε ρητώς.

Σε όλες τις πρόσφατες δηλώσεις του ο υπουργός Υποδομών και Μεταφορών Χ. Σπίρτζης έχει επιρρίψει ευθύνες στην ανεξάρτητη αρχή, κατηγορώντας την μεταξύ άλλων πως δεν επέτρεψε την διαδικτυακή έκδοση των καρτών του ηλεκτρονικού εισιτηρίου.

Όπως τονίζει η ανακοίνωση της Α.Α.Δ.Π.Χ. στην αρμοδιότητά της είναι θέματα επεξεργασίας και προστασίας προσωπικών δεδομένων ενώ  δεν δύναται να παρεμβαίνει στην υλοποίηση συστημάτων και στις επιχειρησιακές επιλογές.

Απαντώντας στην ανεξάρτητη αρχή, ο υπουργός κάλεσε αύριο Πέμπτη σε δημόσια συνάντηση την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,  τον ΟΑΣΑ και την ανάδοχο εταιρεία του ΑΣΣΚ ώστε η ανεξάρτητη αρχή να δηλώσει δημόσια (!) το  εάν επιτρέπει την υποβολή ηλεκτρονικής αίτησης με τη διεύθυνση των πολιτών και τα υπόλοιπα απαιτούμενα στοιχεία, ώστε να μπορεί να αποσταλεί ταχυδρομικά η «έξυπνη κάρτα», χωρίς την αυτοπρόσωπη παρουσία των πολιτών

Ακολουθεί ολόκληρη η ανακοίνωση της ανεξάρτητης αρχής:

Mε αφορμή σημερινά δημοσιεύματα του Τύπου για το ζήτημα του ηλεκτρονικού εισιτηρίου, επισημαίνονται τα εξής:

Η Αρχή, κατόπιν συστηματικής συνεργασίας με εκπροσώπους του Οργανισμού Αστικών Συγκοινωνιών Αθηνών Α.Ε. (ΟΑΣΑ), όπως άλλωστε προκύπτει από τις Γνωμοδοτήσεις υπ’ αρ. 1/2017 και 4/2017, γνωμοδότησε θετικά επί της τελικώς υποβληθείσας γνωστοποίησης επεξεργασίας προσωπικών δεδομένων στο πλαίσιο του Αυτόματου Συστήματος Συλλογής Κομίστρου (Ηλεκτρονικού Εισιτηρίου).

Ειδικότερα, όσον αφορά στη δυνατότητα ηλεκτρονικής -μέσω διαδικτύου- υποβολής αίτησης για την έκδοση ηλεκτρονικού εισιτηρίου, όπως αυτή περιγράφεται στην ως άνω γνωστοποίηση του ΟΑΣΑ, η Αρχή έκρινε, σύμφωνα με τη Σκέψη 4, σελ. 14 της Γνωμοδότησης 4/2017, ότι αυτή «δεν προσκρούει στις θεμελιώδεις αρχές της προστασίας προσωπικών δεδομένων». Συνεπώς, η Αρχή όχι μόνο δεν την απαγόρευσε, αλλά αντιθέτως την επέτρεψε ρητώς.

Σε κάθε περίπτωση, διευκρινίζεται ότι η Αρχή είναι αρμόδια να γνωμοδοτεί για κάθε ρύθμιση που αφορά στην επεξεργασία και προστασία προσωπικών δεδομένων (άρθρο 19, παρ. 1, στοιχ. θ’ του ν. 2472/1997). Σε αυτό το πλαίσιο, η Αρχή δεν δύναται να παρεμβαίνει στην υλοποίηση συστημάτων και στις επιχειρησιακές επιλογές, τα οποία εκφεύγουν του πεδίου αρμοδιοτήτων της.

Και η ανακοίνωση του υπουργείου:

Το Υπουργείο Υποδομών και Μεταφορών καλεί την Παρασκευή  3 Νοεμβρίου στις 2 μμ, σε  δημόσια συνάντηση την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,  τον ΟΑΣΑ και την ανάδοχο εταιρεία του ΑΣΣΚ, τους φορείς δηλαδή που συμμετείχαν  στις συζητήσεις για το ηλεκτρονικό εισιτήριο  και τον τρόπο έκδοσης του, προκειμένου, έστω και τώρα, η Αρχή να δηλώσει δημόσια εάν επιτρέπει την υποβολή ηλεκτρονικής αίτησης  με τη διεύθυνση  των πολιτών και τα υπόλοιπα απαιτούμενα στοιχεία, ώστε να μπορεί να αποσταλεί ταχυδρομικά η «έξυπνη κάρτα», χωρίς την αυτοπρόσωπη παρουσία των πολιτών, όπως το Υπουργείο είχε ενημερωθεί από τον ΟΑΣΑ και την ανάδοχο, με βάση τις γνωμοδοτήσεις 1 και 4 / 2017  της ίδιας της Αρχής  Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Ποτέ δεν είναι αργά.

Όταν η χρήση των δεδομένων αυτών επιτρέπεται σε ιδιωτικούς φορείς (τράπεζες, εταιρείες τηλεφωνίας κλπ), να επιτρέπεται και στους φορείς  του Ελληνικού Δημοσίου…..

Η ανακοίνωση του ΟΑΣΑ:

Σχετικά με τον τρόπο έκδοσης ηλεκτρονικών προσωποποιημένων καρτών, o ΟΑΣΑ υπογραμμίζει τα ακόλουθα:

  1. Στην αρχική του γνωστοποίηση προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ο ΟΑΣΑ προέβλεπε εναλλακτικά την έκδοση καρτών μέσω διαδικτυακής εφαρμογής: “..Εναλλακτικά, ο αιτώνμπορεί να χρησιμοποιήσει κατάλληλη διαδικτυακή εφαρμογή για να εισαγάγει μόνος του τα απαραίτητα στοιχεία και να υποβάλει διαδικτυακά την αίτησή του.”

  2. Συνεπώς ο ΟΑΣΑ, στην αρχική του πρόταση, εκπόνησε μελέτη προκειμένου να καταστεί δυνατή η έκδοση προσωποποιημένου κομίστρου και μέσω της ιστοσελίδας του, ώστε να εξυπηρετηθεί μεγάλο πλήθος χρηστών και να παραλάβει, στη συνέχεια, τις προσωποποιημένες κάρτες, είτε σε οποιαδήποτε σταθμό επιλογής του, είτε ταχυδρομικά στη διεύθυνση επιλογής του. Η έκδοση αυτή θα σήμαινε απαραιτήτως την επεξεργασία τωνπροσωπικών δεδομένων του ονόματος και της διευθύνσεως των υποκειμένων, προκειμένου να καταστεί δυνατή η προσωποποίηση της κάρτας και η αποστολή της στη διεύθυνση του ενδιαφερομένου. Η ΑρχήΠροστασίας τόνισε στη σκέψη 9  της Γνωμοδοτήσεως 1/2017 ότι  «οποιαδήποτε συσχέτιση είτε σε λογικό είτε σε φυσικό επίπεδο του συγκεκριμένου αριθμού της κάρτας με το κάτοχο αυτής επιτρέπει την εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρομές που αυτός πραγματοποιεί, κατά συνέπεια ο ΟΑΣΑ θα πρέπει να διασφαλίσει ότι από το σύνολο της τηρούμενης πληροφορίας, ακόμα κι αν αυτή είναι διαμοιρασμένη σε ανεξάρτητα υποσυστήματα δεν θα είναι εφικτή η πραγματοποίηση μιας τέτοιας επεξεργασίας» και πρότεινε την «αξιοποίηση κρυπτογραφικών συναρτήσεων κατακερματισμού» δηλαδή την ψευδωνυμοποίηση. Τούτο σημαίνει ότι στον ΟΑΣΑ δεν δόθηκε η σχεδιαζόμενη δυνατότητα να σχηματίσει ένα αρχείο με τα ονοματεπώνυμα και τις διευθύνσεις των χρηστών, διότι προσέκρουε στην άποψη της Αρχής περί εξαγωγής πληροφόρησης μέσω της συσχέτισης διαμοιρασμένων υποσυστημάτων και για το λόγο αυτό – αφενός – ματαιώθηκε η απευθείας έκδοση καρτών μέσω διαδικτύου. Αφετέρου, ο ΟΑΣΑ οδηγήθηκε στον επανασχεδιασμό της διαδικασίας με  ψευδωνυμοποίηση των προσωπικών δεδομένων της κάρτας και  έκδοσής της με χρήση QRcode, χωρίς καταχώρηση προσωπικών στοιχείων σε υποσύστημα, αλλά με παραλαβή τους στα κατά τόπους εκδοτήρια.

  3. Ο ΟΑΣΑ δεν θα μπορούσε να επιμείνει στην επεξεργασία προσωπικών δεδομένων (ονόματος και διευθύνσεως) για την έκδοση των προσωποποιημένων κομίστρων (καρτών), καθώς η γνωμοδότηση 1/2017 τηςΑρχής είχε ξεκάθαρα ορίσει το πλαίσιο εντός του οποίου όφειλε να υλοποιήσει το σύστημα έκδοσης και προς τούτο υποχρεώθηκε να τροποποιήσει τις αρχικές του επιχειρησιακές επιλογές με γνώμονα την πλέον επίσημη  και δεσμευτική άποψη της Αρχής Προστασίας.

  4. Στα πλαίσια αυτά ο ανάδοχος του έργου πρότεινε τη βέλτιστη τεχνική λύση, στα πλαίσια των προβλέψεων της γνωμοδότησης 1 της ΑΠΠΔΧ.

  5. Σε κάθε περίπτωση ο ΟΑΣΑ – στα πλαίσια της αρχικής του πρότασης – διαθέτει εφαρμογή με έκδοσης προσωποποιημένων καρτών μέσω διαδικτύου, η οποία, εφόσον εγκριθεί, μπορεί να τεθεί άμεσα σε εφαρμογή.

Δείτε επίσης:

  • kioan

    Μεταξύ του είτε να αποσταλούν οι κάρτες ταχυδρομικά στη διεύθυνση κατοικίας των επιβατών, είτε του να πρέπει αυτοπροσώπως οι επιβάτες να περιμένουν στην ουρά για να τις παραλάβουν, υπάρχει και μια ακόμα πιο απλή λύση:
    Οι επιβάτες να συμπληρώνουν ηλεκτρονικά την αίτηση με τα απαραίτητα στοιχεία (ονοματεπώνυμο, ΑΜΚΑ, έτος/μήνας γέννησης), να ανεβάζουν και την φωτογραφία που θα πρέπει να τυπωθεί στην προσωποποιημένη κάρτα και στη συνέχεια να επιλέγουν από ποιο σημείο (σταθμό, γραφείο εξυπηρέτησης κοινού ή κάτι άλλο) θέλουν να την παραλάβουν. Με τον τρόπο αυτό και γρηγορότερα θα γινόταν η διαδικασία καθώς δεν θα υπήρχε η αναμονή για την ταχυδρομική αποστολή και επίσης ο ΟΑΣΑ θα εξοικονομούσε 2,5-3 ευρώ έξοδα αποστολής ανά κάρτα.
    Άλλωστε η ιστοσελίδα AthenaCard φαίνεται πως ήταν σχεδιασμένη για να μπορεί να υποβάλλει ο χρήστης και την φωτογραφία του σε ηλεκτρονική μορφή, απλά η επιλογή αυτή έχει αφαιρεθεί.

    Η παραπάνω μέθοδος εφαρμόζεται επιτυχώς και από το site του Υπουργείου Παιδείας για φοιτητικά πάσο. Οι φοιτητές συμπληρώνουν την ηλεκτρονική αίτηση με όλα τα στοιχεία τους (συμπεριλαμβανομένης και της φωτογραφίας) και στη συνέχεια επιλέγουν από ποιο κατάστημα Vodafone τους εξυπηρετεί να την παραλάβουν. Η διαδικασία περιγράφεται αναλυτικά εδώ http://www.vodafone.gr/portal/client/cms/viewCmsPage.action?pageId=11479 και πραγματικά είναι να απορεί κανείς πως εκεί δεν εμπλέκονται προσωπικά δεδομένα.

  • Nikolaos Karras

    Η Αρχή τώρα το θυμήθηκε να διαψεύσει τον υπουργό; Τόσο καιρό πού ήταν; Δεν άκουγε, δεν έβλεπε τι γινόταν;
    Ας ελπίσουμε, έστω και τώρα, να συνεννοηθούν όλες οι πλευρές και να δοθεί η δυνατότητα έκδοσης ηλεκτρονικών καρτών απευθείας μέσω διαδικτύου.

    • Nikitas Iliopoulos

      Πραγματικά θα έπρεπε να ντρέπονται. Δεν σέβονται το κοινό που περιμένει τόσες ώρες. 300.000 κόσμο και τον κοροϊδεύουν μέσα στη μούρη του. Άλλα εάν δεν επικυρώσουν σωστά τα εισιτήρια και τους επιβληθεί πρόστιμο θα το πληρώσουν αυτοί;;; Όχι βέβαια. αυτοί σε κάνα 3 εβδομάδες θα κάθονται και θα χαίρονται. Συγχαρητήρια… Αυτό μας αξίζει.

  • Δημήτρης Σαρτζετάκης

    Μακάρι να την επιτρέψουν, να σταματήσουν και οι ουρές…

    • Nikitas Iliopoulos

      Ναι τώρα μας δουλεύει και η Αρχή. Τι ακούμε θεέ μου….

      • Δημήτρης Σαρτζετάκης

        Ε, προφανώς, αφού κατάλαβαν τι έχουν προκαλέσει, κάνουν την αθώα περιστέρα…