Γιατί οι προσωποποιημένες κάρτες του ΟΑΣΑ καταχρώνται προσωπικά δεδομένα
Παραμένει αναπάντητο γιατί οι κάρτες απεριόριστων διαδρομών είναι (μόνο) προσωποποιημένες και γιατί τα δεδομένα μετακινήσεων διατηρούνται σε βάθος εικοσαετίας από το σύστημα του ΟΑΣΑ. Πρόστιμο 50.000 ευρώ έπεσε από την Αρχή Προστασίας Προσωπικών Δεδομένων.
- 17 ΟΚΤ 2023
Θα μπορούσες να ανακαλέσεις στη μνήμη σου με ακρίβεια τις διαδρομές που έχεις πραγματοποιήσει στα Μέσα Μαζικής Μεταφοράς από το 2017 και έπειτα, που τέθηκε σε εφαρμογή το ηλεκτρονικό εισιτήριο; Πόσο χρόνο παρέμεινες μέσα στα λεωφορεία, το μετρό και τον Ηλεκτρικό, σε ποια περιοχή είχες βρεθεί ένα τυχαίο Σαββατοκύριακο της περσινής άνοιξης, είτε ποια στάση αποβίβασης ακριβώς χρησιμοποίησες περισσότερο το διάστημα αυτό;
Εάν κυκλοφορείς με κάρτα απεριόριστων διαδρομών –πράγμα αναπόφευκτο, σε περίπτωση που δικαιούσαι μειωμένο/μηδενικό εισιτήριο, είτε κινείσαι σταθερά με τα Μέσα–, καλό είναι να γνωρίζεις ότι τα στοιχεία αυτά παραμένουν καταχωρημένα στη βάση δεδομένων του ΟΑΣΑ, και μάλιστα σε βάθος εικοσαετίας.
Αυτός είναι ένας απ’ τους βασικούς λόγους που οδήγησε την Αρχή Προστασίας Προσωπικών Δεδομένων στο να επιβάλλει στον ΟΑΣΑ διοικητικό πρόστιμο ύψους 50.000 ευρώ, δίνοντας παράλληλα εντολή συμμόρφωσης του Οργανισμού με τον Γενικό Κανονισμό Προστασίας Δεδομένων (4624/2019).
Δεν ήταν μια απόφαση που ήρθε από το πουθενά: ενστάσεις σε σχέση με τη διαφύλαξη των προσωπικών δεδομένων στον τρόπο που θα εφαρμοστεί το νέο, ηλεκτρονικό σύστημα κομίστρων είχαν εκφραστεί από το 2017 (βλ. Γνωμοδότηση 1/2017 και Γνωμοδότηση 4/2017 της Αρχής), και παρά τη συμμόρφωση του ΟΑΣΑ σε επιμέρους σημεία, παρέμεναν να υπάρχουν άλυτα προβλήματα. Έπειτα, τον Νοέμβριο του 2019 πραγματοποιήθηκε επιτόπιος έλεγχος από την ανεξάρτητη αρχή στον ΟΑΣΑ, ακολούθως εκδόθηκε σχετικό πόρισμα (2020) και μέχρι το 2023 και την ηχηρή «καμπάνα» των 50.000 ευρώ, διαπιστώνεται ότι ο Οργανισμός δεν έχει συμμορφωθεί, χωρίς να υπάρξει επαρκής αιτιολογία.
«Μεγάλοι οργανισμοί όπως ο ΟΑΣΑ έπρεπε να είναι πανέτοιμοι από το 2018 να υποδεχτούν την εφαρμογή του GDPR», δηλώνει στο OneMan o έμπειρος επί των ζητημάτων Προστασίας Προσωπικών Δεδομένων, Βασίλης Σωτηρόπουλος. «Τώρα που έχει κοπάσει η “μόδα” και η Αρχή ασκεί την αρμοδιότητα επιβολής κυρώσεων είναι μια δεύτερη ευκαιρία προς όλους που βρίσκονται σε εκκρεμότητα να συμμορφωθούν. Οι πολίτες ξέρουν πλέον τα δικαιώματα τους και τα διεκδικούν».
Ποια ήταν τα επίμαχα σημεία που παραμένουν μη αιτιολογημένα και καταχρηστικά για τα προσωπικά δεδομένα, στο πλαίσιο λειτουργίας και εφαρμογής του Αυτόματου Συστήματος Συλλογής Κομίστρου (ΑΣΣΚ) από τον ΟΑΣΑ, και πώς αυτά αφήνουν ανοιχτό το ενδεχόμενο διαρροής, τη στιγμή που όλοι οι επιβάτες κατά πάσα πιθανότητα έχουν άγνοια αυτού του κινδύνου;
Πάμε να δούμε.
Διατηρούνται ονοματεπώνυμα από τον ΟΑΣΑ μέσω των προσωποποιημένων καρτών;
Όχι, αλλά όπως έχει υπογραμμίσει τόσο στις γνωμοδοτήσεις των προηγούμενων χρόνων όσο και στην τωρινή απόφαση με το πρόστιμο η Αρχή Προστασίας Προσωπικών Δεδομένων, υπάρχει δυνατότητα ταυτοποίησης μέσα από το ψηφιακό στίγμα. Αυτό συμβαίνει, διότι «στη βάση δεδομένων του ΑΣΣΚ αποθηκεύεται το ψηφιακό αποτύπωμα (hashed value) του επιβάτη, όπως προκύπτει αυτό από τον συνδυασμό του ΑΜΚΑ (ή άλλου εγγράφου ταυτοποίησης) και του 8-ψήφιου κωδικού (PIN)».
Από τη στιγμή που υπάρχει αντιστοίχιση, τα δεδομένα δεν είναι ανώνυμα αλλά ψευδώνυμα, όπως λέγονται, και άρα δεν θα μπορούσε να αποκλειστεί και το ενδεχόμενο άρσης της ψευδωνυμοποίησης.
Άρα, το κύριο ερώτημα είναι κατά πόσο διασφαλίζεται η ανωνυμία των μετακινήσεων.
Ακριβώς. Να σημειώσουμε ότι το δικαίωμα στην ανωνυμία των μετακινήσεων αίρεται μόνο σε περιπτώσεις δημοσίου συμφέροντος, όπως είναι οι δημόσιας τάξης και ασφάλειας, υγειονομικοί κ.ά. Και ενώ από πλευράς του ο ΟΑΣΑ εγγυάται ότι δεν υπάρχει περίπτωση διαρροής των συγκεκριμένων στοιχείων, απ’ την έρευνα της Αρχής προέκυψαν παραδείγματα που το αμφισβητούν. Για παράδειγμα, πώς γίνεται να αγνοεί το σύστημα τα ονοματεπώνυμα των επιβατών, τη στιγμή που δίνεται η δυνατότητα ανανέωσης εισιτηρίου ειδικής κατηγορίας από το μηχάνημα;
Θα μπορούσαν να ήταν ανώνυμες οι κάρτες απεριορίστων διαδρομών;
Θεωρητικά, είναι εφικτό ως ενδεχόμενο, με τη διαγραφή του μοναδικού αριθμού της κάρτας αλλά τη διατήρηση των λοιπών πληροφοριών που εμπεριέχει, όπως κατηγορία δικαιούχου, σημεία και χρόνοι επικύρωσης κτλ.). Ο ΟΑΣΑ δεν έχει ανταποκριθεί στο σχετικό αίτημα της Αρχής.
Με ποια αιτιολογία και πόσο καιρό κρατάει τα προσωπικά δεδομένα ο ΟΑΣΑ;
Μέχρι πριν τον επιτόπιο έλεγχο της Αρχής στον ΟΑΣΑ, αυτό το σκέλος παρέμενε αδιευκρίνιστο. Μετέπειτα, επικαλέστηκε την «εικοσαετή παραγραφή που προβλέπεται για τις περιπτώσεις φοροδιαφυγής». Το γεγονός αυτό ήταν ανάμεσα στους βασικούς λόγους, για τους οποίους επιβλήθηκε το πρόστιμο, καθώς δεν τεκμαίρεται επαρκώς αυτή η απόφαση: η συγκεκριμένη διάταξη που επικαλείται ο ΟΑΣΑ (άρ. 36 παρ. 3 Ν. 4174/2013) έχει τροποποιηθεί και προβλέπει δεκαετή προθεσμία έκδοσης πράξης διοικητικού προσδιορισμού φόρου, όχι εικοσαετή.
Έχουν εκτιμηθεί οι επιπτώσεις όλου αυτού;
Όχι επαρκώς και αυτός είναι ένας λόγος που επιβάλλεται πρόστιμο στον ΟΑΣΑ. Όπως είχε εξηγήσει πρόσφατα στο OneMan με αφορμή παρεμφερές ζήτημα προστασίας προσωπικών δεδομένων ο νομικός Βασίλης Σωτηρόπουλος (δικηγόρος στον οποίον είχε ανατεθεί όλη η διαδικασία συμμόρφωσης του Δήμου Αθηναίων στις νέες διατάξεις του GDPR), «σύμφωνα με τη νομοθεσία για τα Προσωπικά Δεδομένα, απαιτείται να εκπονηθεί εκτίμηση αντίκτυπου (άρθρο 35 παρ. 1 του ΓΚΠΔ)», να εκτιμηθεί δηλαδή βάσει μελέτης κατά πόσο απειλούνται τα προσωπικά δεδομένα, και εάν το τελικό όφελος αντισταθμίζει αυτή την απειλή.
Στην περίπτωση του Αυτόματου Συστήματος Συλλογής Κομίστρου δεν έγινε μελέτη εκτίμησης αντίκτυπου;
Δεν εκπονήθηκε έγκαιρα (δεν ήταν διαθέσιμη κατά τη στιγμή του επιτόπιου ελέγχου), αλλά εκπονήθηκε. Υποβλήθηκε συγκεκριμένα στις 30/12/2019 και έκτοτε έχει επικαιροποιηθεί (το 2020 και το 2022) ώστε να καλύψει τις παρατηρήσεις που επισημάνθηκαν από την Αρχή, αλλά προκύπτει ότι «δεν έχει εκπονηθεί κατά τρόπο τέτοιο ώστε να τεκμηριώνεται απόλυτα η αντιμετώπιση όλων των κινδύνων προστασίας δεδομένων».