Πρόστιμο ύψους 50.000 ευρώ επέβαλε στον ΟΑΣΑ η Αρχή Δεδομένων Προστασίας Προσωπικού Χαρακτήρα μετά από έλεγχο στον οργανισμός για την προστασία των προσωπικών δεδομένων των επιβατών που επεξεργάζεται ο οργανισμός στο πλαίσιο της λειτουργίας του συστήματος του ηλεκτρονικού εισιτηρίου.
Ο έλεγχος του ΟΑΣΑ ξεκίνησε το Νοέμβριο του 2019 με αφορμή δημοσιεύματα που έκαναν λόγο για δωρεάν μετακίνηση επιβατών με τη χρήση ηλεκτρονικού εισιτηρίου, αν και υπήρχαν ενδείξεις πως δεν ήταν άνεργοι αλλά εργαζόμενοι. Επιπλέον, δεν είχε διευκρινιστεί το πώς ελέγχεται το αν ένας επιβάτης είναι πράγματι δικαιούχος μίας ειδικής κατηγορίας εισιτηρίων κατά την ανανέωση του κομίστρου. Σημειώνεται ότι η Αρχή ήδη από το 2017 είχε ζητήσει από τον ΟΑΣΑ να προβεί σε τροποποιήσεις στις διαδικασίες επεξεργασίας προσωπικών δεδομένων ώστε αυτές να είναι σύμφωνες με τη νομοθεσία.
Από τα τέλη του 2019, η Ανεξάρτητη Αρχή έλαβε έγγραφες και προφορικές εξηγήσεις από τον φορέα, ενώ συνέλλεξε και πειστήρια που υποβλήθηκαν από την πλευρά του ΟΑΣΑ. Μεταξύ άλλων, διαπιστώθηκαν τα εξής:
- Ο ΟΑΣΑ δεν είχε εκπονήσει εγκαίρως εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ) αλλά την κατέθεσε μετά την έναρξη του ελέγχου
- Το περιεχόμενο της ΕΑΠΔ που τελικά κατατέθηκε χαρακτηρίζεται «μη εμπεριστατωμένο» και «παρουσιάζει ασάφειες σε πολλά σημεία, δεν εξετάζει όλους τους κινδύνους ως προς την προστασία των προσωπικών δεδομένων, ενώ και οι κίνδυνοι που εξετάζονται, δεν φαίνεται ότι αποτιμώνται με τον δέοντα τρόπο»
- Ο ΟΑΣΑ δεν είχε ορίσει χρόνο τήρησης των προσωπικών δεδομένων κατά την έναρξη του ελέγχου. Αργότερα, ο χρόνος αυτός ορίστηκε στα 20 έτη, «χωρίς διάκριση και χωρίς σχετική τεκμηρίωση», σύμφωνα με την Αρχή.
- Οι σκοποί επεξεργασίας των δεδομένων δεν περιγράφονται αναλυτικά στο αρχείο δραστηριοτήτων επεξεργασίας, όπως είχε ζητήσει με προηγούμενες γνωμοδοτήσεις η Αρχή. Επιπλέον, οι σκοποί επεξεργασίας που αναφέρονταν δεν αντιστοιχούσαν με αυτούς για τους οποίους ενημερώνονταν το κοινό μέσα από την ιστοσελίδα του οργανισμού.
Η Ανεξάρτητη Αρχή κατέληξε ότι ο ΟΑΣΑ έχει παραβιάσει δύο εδάφια του άρθρου 58 του Ευρωπαϊκού Κανονισμού 2016/679. Για το ένα, υπεβλήθη πρόστιμο ύψους 50.000 ευρώ, ενώ για το άλλο ο οργανισμός έλαβε επίπληξη.
Επιπλέον, ο ΟΑΣΑ έλαβε από την Ανεξάρτητη Αρχή και δύο εντολές συμμόρφωσης:
- Εντός ενός μήνα από την απόφαση, ο οργανισμός πρέπει να τεκμηριώσει όλους τους χρόνους τήρησης προσωπικών δεδομένων από το σύστημα του ηλεκτρονικού εισιτηρίου ενώ αν τηρεί ήδη προσωπικά δεδομένα πέραν των χρόνων αυτών, πρέπει είτε να τα διαγράψει είτε να τα ανωνυμοποιήσει. Η αρχή προτείνει επίσης στον ΟΑΣΑ να εξετάσει το ενδεχόμενο να ανωνυμοποιήσει τα δεδομένα επαναφόρτισης, επικύρωσης και ελέγχου κομίστρου ώστε να διαγραφεί από αυτά ο μοναδικός αριθμός της κάθε κάρτας.
- Εντός τριών μηνών από τη λήψη της απόφασης, ο ΟΑΣΑ καλείται να αναθεωρήσει την εκτίμηση αντικτύπου ως προς τα προσωπικά δεδομένα και να λάβει όσα μέτρα απορρέουν από την τροποποίηση αυτή.
Αλέξανδρος Λιάρος – athenstransport.com
Be the first to comment