Επανεξέταση γνωστοποίησης του ΟΑΣΑ για επεξεργασία
προσωπικών δεδομένων στο πλαίσιο του Ενιαίου Αυτόματου Συστήματος Συλλογής
Κομίστρου (Ηλεκτρονικό Εισιτήριο).
ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ∆Ε∆ΟΜΕΝΩΝ
ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Αθήνα, 04-08-2017
Αριθ. Πρωτ.
Γ/ΕΞ/5929/04-08-2017
Γ Ν Ω Μ Ο ∆ Ο Τ Η Σ Η 4/2017
Η Αρχή Προστασίας ∆εδο΅ένων
Προσωπικού Χαρακτήρα συνεδρίασε στην έδρα της τη ∆ευτέρα
17.07.2017 και ώρα 10:00 σε έκτακτη συνεδρίαση, ΅ετά
από πρόσκληση του Προέδρου της, προκει΅ένου να εξετάσει
την υπόθεση που αναφέρεται στο ιστορικό της παρούσας. Παρέστησαν ο Πρόεδρος της
Αρχής, Κωνσταντίνος Μενουδάκος και τα τακτικά ΅έλη
της Αρχής Κωνσταντίνος Χριστοδούλου, Αντώνιος Συ΅βώνης,
Σπυρίδων Βλαχόπουλος, Κωνσταντίνος Λα΅πρινουδάκης, ως
εισηγητής, Χαράλα΅πος Ανθόπουλος
και Ελένη Μαρτσούκου, επίσης ως εισηγήτρια. Στη
συνεδρίαση παρέστησαν, επίσης, ΅ε εντολή του Προέδρου, η Φ. Καρβέλα,
δικηγόρος-νο΅ική ελέγκτρια και ο Κ. Λι΅νιώτης,
πληροφορικός ελεγκτής, ως βοηθοί εισηγητών, οι οποίοι παρέσχαν
διευκρινίσεις και αποχώρησαν πριν από τη διάσκεψη και τη λήψη απόφασης, ενώ
απουσίαζε, λόγω κωλύ΅ατος, ο βοηθός εισηγητών
Λεωνίδας Ρούσσος. Επίσης παρέστη, ΅ε εντολή Προέδρου, η Γεωργία Παλαιολόγου,
υπάλληλος του ∆ιοικητικού-Οικονο΅ικού
Τ΅ή΅ατος της Αρχής, ως γρα΅΅ατέας.
Η Αρχή συνεδρίασε προκει΅ένου
να γνω΅οδοτήσει, σύ΅φωνα ΅ε
το άρθρο 19 παρ. 1 στοιχ. θ΄ του ν. 2472/1997, επί
της υπ αριθ΅. πρωτ.
ΓΝ/ΕΙΣ/1570/02-06-2017 γνωστοποίησης επεξεργασίας προσωπικών δεδο΅ένων -όπως αυτή συ΅πληρώθηκε-
που υπέβαλε ο Οργανισ΅ός Αστικών Συγκοινωνιών Αθηνών
Α.Ε. (εφεξής ΟΑΣΑ ή υπεύθυνος επεξεργασίας, κατά την έννοια του άρ. 2 στοιχ. ζ΄ του ν.
2472/1997), σε συνέχεια της υπ αριθ΅. 1/2017 Γνω΅οδότησης της Αρχής, στο πλαίσιο του νέου Αυτο΅άτου Συστή΅ατος Συλλογής Κο΅ίστρου (εφεξής ΑΣΣΚ) στο οποίο γίνεται
αναφορά και ΅ε τον όρο «ηλεκτρονικό
εισιτήριο». Με την ως άνω γνωστοποίηση ο ΟΑΣΑ ανακάλεσε την υπ αριθ΅. πρωτ.
ΓΝ/ΕΙΣ/2139/15-09-2016 γνωστοποίηση επεξεργασίας προσωπικών δεδο΅ένων
επί της οποίας η Αρχή είχε εκδώσει την ως άνω Γνω΅οδότηση,
υποβάλλοντας νέα τροποποιη΅ένη γνωστοποίηση και
δηλώνοντας ότι ουδέποτε τέθηκε σε λειτουργία το ΑΣΣΚ ΅ε τις αναφερό΅ενες
στην προηγού΅ενη γνωστοποίηση ρυθ΅ίσεις.
Σύ΅φωνα
΅ε τη νέα γνωστοποίηση του ΟΑΣΑ, το ΑΣΣΚ θα υποστηρίζει δύο ΅έσα κο΅ίστρου υπό τη ΅ορφή ηλεκτρονικών «έξυπνων καρτών», τα οποία είναι:
«Πολλαπλό»: Έξυπνη κάρτα χωρίς επαφή (Contactless Smart Card-SC) στην οποία θα
αποθηκεύονται κό΅ιστρα ΅ικρής
αξίας (εισιτήρια) «Κάρτα»: Έξυπνη
Κάρτα χωρίς επαφή (Contactless Smart
Card - SC) ΅ε ΅ικροεπεξεργαστή
η οποία θα υλοποιεί διάφορα προϊόντα κο΅ίστρου, για παράδειγ΅α: τα προϊόντα απεριορίστων διαδρο΅ών,
΅εγάλης διάρκειας ή ΅εγάλης
αποθηκευ΅ένης αξίας.
Όπως επιση΅αίνει
ο ΟΑΣΑ στην ως άνω γνωστοποίησή του, «η Κάρτα δύναται να είναι είτε απρόσωπη
είτε προσωποποιη΅ένη. Στην κάρτα θα αποθηκεύεται χρη΅ατική αξία (stored value), εισιτήρια ή κάρτες απεριορίστων διαδρο΅ών.
Οι απρόσωπες Κάρτες και τα Πολλαπλά εισιτήρια αποτελούν τη συντριπτική
πλειοψηφία (άνω του 90%) των ΅έσων κο΅ίστρου που θα διακινούνται στο ΑΣΣΚ, ενώ η
προσωποποιη΅ένη
Κάρτα θα υποκαταστήσει κυρίως τις υφιστά΅ενες ΅ηνιαίες, τρι΅ηνιαίες, εξα΅ηνιαίες, ετήσιες κάρτες και ελευθέρας».
Η σχεδίαση του νέου συστή΅ατος
που υποστηρίζει τη λειτουργία του ΑΣΣΚ θεωρεί ως βασική οντότητα την κάρτα και
όχι τον επιβάτη. Ως εκ τούτου, όλες οι
λειτουργίες του συστή΅ατος (ήτοι έκδοση, φόρτιση και
επικύρωση) χρησι΅οποιούν ως ΅οναδικό
στοιχείο καταχώρισης και επεξεργασίας τον αριθ΅ό της
κάρτας (οποιουδήποτε τύπου) και όχι τα στοιχεία του επιβάτη. Επιπλέον, προκει΅ένου να εκτελεστεί οποιαδήποτε συναλλαγή φόρτισης ή
επικύρωσης, δεν απαιτείται ταύτιση ΅ε φυσικό πρόσωπο (κάτοχο προσωποποιη΅ένης κάρτας). Το σύστη΅α
΅πορεί να διαχειρίζεται κατά τρόπο ενιαίο τόσο τις προσωποποιη΅ένες όσο και τις ανώνυ΅ες
κάρτες. Η ανάγκη συστη΅ικής αντιστοίχισης της κάρτας
΅ε φυσικό πρόσωπο προκύπτει αποκλειστικά από την ανάγκη υλοποίησης των
διαδικασιών:
α) αντικατάστασης απολεσθείσας κάρτας ΅ε
ταυτόχρονη ΅εταφορά του υπολοίπου στη νέα κάρτα και
ακύρωσης της παλαιάς
β) α΅φισβήτησης
των χρεώσεων.
Όπως
επιση΅αίνει ο ΟΑΣΑ, η ΅εταφορά
υπολοίπου αποτελεί ένα από τα βασικότερα πλεονεκτή΅ατα
του νέου συστή΅ατος σε σύγκριση ΅ε το προηγού΅ενο που δεν ΅πορούσε να
την υποστηρίξει και διασφαλίζει τη ΅η απώλεια των πληρω΅ένων
από τον επιβάτη δικαιω΅άτων (προϊόντων κο΅ίστρου ή/και χρη΅ατική αξία)
ενώ η ακύρωση της απολεσθείσας κάρτας είναι ΅ια δυνατότητα που περιορίζει την
απώλεια εσόδων του οργανισ΅ού (καθιστώντας ά΅εσα ΅η αξιοποιήσι΅η την
απολεσθείσα κάρτα).
Για την έκδοση κάρτας απεριορίστων διαδρο΅ών των χρηστών του ΑΣΣΚ, ο ΟΑΣΑ επιλέγει τη χρήση
κρυπτογραφικού αλγορίθ΅ου κατακερ΅ατισ΅ού
(hashing) των προσωπικών δεδο΅ένων
των χρηστών. Κάθε καταγραφή δεδο΅ένων κίνησης των προσωποποιη΅ένων καρτών δεν θα παραπέ΅πει
σε συγκεκρι΅ένο πρόσωπο αλλά σε ένα «ψηφιακό αποτύπω΅α» (hash value) όπως αυτό υπολογίζεται από τη συνάρτηση κατακερ΅ατισ΅ού. To ψηφιακό αποτύπω΅α θα προκύπτει από το συνδυασ΅ό
του ΑΜΚΑ και ενός 4-ψήφιου κωδικού ασφαλείας (για Έλληνες πολίτες) ή του αριθ΅ού διαβατηρίου και ενός 4-ψήφιου κωδικού ασφαλείας
(για αλλοδαπούς). Ο 4-ψήφιος κωδικός ασφαλείας θα καταχωρίζεται
(πληκτρολογείται) από τον επιβάτη κατά τη διαδικασία προσωποποίησης και θα
απαιτείται προκει΅ένου να ανακτηθούν τα στοιχεία της
κάρτας (σε περίπτωση απώλειας). Ο κωδικός αυτός θα είναι γνωστός ΅όνο στον
επιβάτη και ο συνδυασ΅ός του ΅ε τον ΑΜΚΑ για την
παραγωγή του ΅η αναστρέψι΅ου ψηφιακού αποτυπώ΅ατος εξασφαλίζει ότι ούτε χρήστες ΅ε γνώση της δο΅ής του συστή΅ατος και διαβαθ΅ισ΅ένη πρόσβαση στα δεδο΅ένα
αυτού θα είναι σε θέση να προσδιορίσουν την αντιστοιχία αριθ΅ού
κάρτας ΅ε τον ΑΜΚΑ (και κατά συνέπεια την ταυτότητα) του επιβάτη.
Για τις ειδικές κατηγορίες χρηστών (δηλαδή
ανέργους, φοιτητές, ΑΜΕΑ κ.λπ.), επειδή η κάρτα έχει περαιτέρω έκπτωση και
πρέπει να αποκλειστεί η περίπτωση έκδοσης περισσοτέρων καρτών ανά άτο΅ο, πέραν της ως άνω διαδικασίας και επεξεργασίας, θα
τηρείται ένα αρχείο δεδο΅ένων ΅ε ΅όνο στοιχείο τον
ΑΜΚΑ του χρήστη και την η΅ερο΅ηνία λήξης του ειδικού δικαιώ΅ατος (π.χ. χρόνος ανεργίας, λήξη θητείας κ.λπ.). Στο
αρχείο αυτό δεν θα υφίσταται άλλη πληροφορία ούτε θα ΅πορεί
να πραγ΅ατοποιείται διασύνδεσή του ΅ε άλλο αρχείο.
Σκοπός του θα είναι ΅όνον η παρε΅πόδιση
χρήσης του ίδιου ΑΜΚΑ για έκδοση δεύτερης κάρτας ειδικής κατηγορίας. Επο΅ένως, για τον ΟΑΣΑ αρκεί η καταχώριση του αριθ΅ού ΑΜΚΑ προκει΅ένου να ΅ην
είναι δυνατόν ο ήδη χρήστης/νό΅ι΅ος κάτοχος κάρτας να προβεί σε έκδοση
περισσοτέρων (πολλαπλασιασ΅ό της). Με βάση τα
ανωτέρω, ο ΟΑΣΑ τηρεί αρχείο προσωπικών δεδο΅ένων ΅ε
το συγκεκρι΅ένο περιεχό΅ενο
και για το συγκεκρι΅ένο σκοπό και προβαίνει ΅όνο στην
απολύτως απαραίτητη επεξεργασία του δεδο΅ένου, δηλαδή
του ΑΜΚΑ, ΅όνο για τον σκοπό της αποτροπής χρήσης του ίδιου ΑΜΚΑ για έκδοση
δεύτερης κάρτας ειδικών κατηγοριών.
Η διαδικασία της έκδοσης της κάρτας δεν
απαιτεί οποιαδήποτε αποθήκευση προσωπικών δεδο΅ένων
σε τοπικό (Τερ΅ατικό Έκδοσης Καρτών - ΤΕΚ) ή κεντρικό
επίπεδο πλην της καταχώρισης του ΑΜΚΑ για τις ειδικές κατηγορίες. Επο΅ένως, ο σκοπός του ΟΑΣΑ να παρέχει ένα ηλεκτρονικό σύστη΅α έκδοσης και χρήσης εισιτηρίου πραγ΅ατοποιείται
χωρίς τη δυνατότητα αντιστοίχισης των κινήσεων της κάρτας ΅ε τον χρήστη της και
τηρείται ΅όνο το δεδο΅ένο του ΑΜΚΑ ΅ε η΅ερο΅ηνία λήξης του δικαιώ΅ατος
για τις ειδικές κατηγορίες χωρίς οποιαδήποτε αντιστοίχιση ΅ε άλλη πληροφορία.
Το αρχείο κίνησης/συναλλαγής των καρτών και των ανωνύ΅ων
κο΅ίστρων είναι ως εκ τούτου -κατά τον ΟΑΣΑ- ανωνυ΅οποιη΅ένο και δεν υφίσταται οποιαδήποτε δυνατότητα
προσωποποίησης της διαδρο΅ής χωρίς τη συ΅βολή του χρήστη της κάρτας.
Ειδικότερα, για την έκδοση προσωποποιη΅ένης κάρτας από Τερ΅ατικό
Έκδοσης Καρτών (ΤΕΚ) απαιτείται η προσκό΅ιση επίση΅ου εγγράφου που να προσδιορίζει τον αριθ΅ό ΑΜΚΑ του επιβάτη, καθώς και της αστυνο΅ικής
του ταυτότητας.
Εναλλακτικά, για αλλοδαπούς, απαιτείται η προσκό΅ιση έγκυρου διαβατηρίου. Εφόσον ο επιβάτης ανήκει σε
ειδική κατηγορία, οφείλει να προσκο΅ίσει και έγγραφο
απόδειξης του δικαιώ΅ατός του. Ο εκδότης οφείλει να
εισάγει στην εφαρ΅ογή του ΤΕΚ τον ΑΜΚΑ, το όνο΅α, το επώνυ΅ο καθώς και τον ΅ήνα και έτος γέννησης και την ειδική κατηγορία κο΅ίστρου εφόσον υπάρχει. Εν συνεχεία ο εκδότης προχωρά σε
επιβεβαίωση της ταυτότητας του επιβάτη (΅έσω της αστυνο΅ικής
ταυτότητας) ο οποίος και καλείται να εισάγει τον 4-ψήφιο κωδικό ασφαλείας. Για
τους αλλοδαπούς, ο εκδότης οφείλει να εισάγει το όνο΅α,
το επώνυ΅ο και τον αριθ΅ό
διαβατηρίου στη φόρ΅α της εφαρ΅ογής
του ΤΕΚ και να ζητήσει από τον επιβάτη να εισάγει τον 4ψήφιο κωδικό ασφαλείας.
Τέλος, ο εκδότης προχωρά σε λήψη φωτογραφίας του επιβάτη (΅έσω της φωτογραφικής
΅ηχανής που διαθέτει το ΤΕΚ ή ΅έσω σάρωσης προεκτυπω΅ένης φωτογραφίας) και έκδοση της προσωποποιη΅ένης κάρτας. Κατά τη διαδικασία έκδοσης της
κάρτας το σύστη΅α παράγει και αποθηκεύει στη βάση δεδο΅ένων το «ψηφιακό αποτύπω΅α»
(hashed value) που προκύπτει
από τον συνδυασ΅ό ΑΜΚΑ (ή αριθ΅ού
διαβατηρίου) και 4-ψήφιου κωδικού, καθώς και τον ΅ήνα
και έτος γέννησης αλλά και την ειδική κατηγορία του κο΅ίστρου.
Ο ΅ήνας και έτος γέννησης αλλά και η ειδική κατηγορία
του κο΅ίστρου αποθηκεύονται επίσης στη ΅νή΅η της έξυπνης κάρτας. Το λοιπά στοιχεία (όνο΅α, επώνυ΅ο και φωτογραφία)
εκτυπώνονται στην επιφάνεια της κάρτας και δεν αποθηκεύονται πουθενά ούτε στο
ΤΕΚ ούτε και στο κεντρικό σύστη΅α του ΑΣΣΚ. Σε
περίπτωση έκδοσης κάρτας ειδικής κατηγορίας αποθηκεύεται σε ξεχωριστό αρχείο δεδο΅ένων ΅όνο ο αριθ΅ός ΑΜΚΑ και
η η΅ερο΅ηνία λήξης του δικαιώ΅ατος.
Η διαδικασία έκδοσης κάρτας ΅ε χρήση της
Web εφαρ΅ογής διαφοροποιείται ΅όνο ως προς τη ΅έθοδο εισαγωγής των στοιχείων στην εφαρ΅ογή
του ΤΕΚ:
Συγκεκρι΅ένα,
ο επιβάτης εισάγει στο σχετικό ιστότοπο του ΟΑΣΑ (portal) τον ΑΜΚΑ, το όνο΅α και το
επώνυ΅ό του2. Εν συνεχεία, η εφαρ΅ογή
ζητά από τον επιβάτη να εισάγει τον 4-ψήφιο κωδικό ασφαλείας και παράγει έναν εκτυπώσι΅ο κωδικό ά΅εσης
απόκρισης (Quick Response
QR Code). Ο επιβάτης προσκο΅ίζει
το εκτυπω΅ένο QR Code στο
ΤΕΚ προκει΅ένου να ΅εταφερθούν
τα στοιχεία στην εφαρ΅ογή ΅έσω σάρωσης. Η διασταύρωση
των στοιχείων ΅ε χρήση της αστυνο΅ικής ταυτότητας
καθώς και η λήψη φωτογραφίας ακολουθούν την ίδια λογική. Αν πρόκειται περί
ειδικής κατηγορίας, ο χρήστης προσθέτει αυτό το δεδο΅ένο
σε ειδική θέση στην οθόνη του υπολογιστή του ώστε όταν προσέλθει στο ΤΕΚ ΅ε τον
κωδικό QR και προ της έκδοσης της κάρτας να καταχωριστεί στο ειδικό αρχείο ο
ΑΜΚΑ και η λήξη του δικαιώ΅ατος. Η ΅έθοδος αυτή δεν διαφέρει σε τίποτα ως προς τα στοιχεία που
αποθηκεύονται ή εκτυπώνονται.
Σε περίπτωση απώλειας προσωποποιη΅ένης
έξυπνης κάρτας, ο νό΅ι΅ος κάτοχος οφείλει να προσκο΅ίσει στο εκδοτήριο ένα επίση΅ο
έγγραφο που να προσδιορίζει τον ΑΜΚΑ του καθώς και την αστυνο΅ική
του ταυτότητα (ή αντίστοιχα έγκυρο διαβατήριο για τους αλλοδαπούς). Ο εκδότης
εισάγει στην εφαρ΅ογή του ΤΕΚ τον ΑΜΚΑ (ή τον αριθ΅ό διαβατηρίου) και ζητά από τον επιβάτη να εισάγει τον
4ψήφιο κωδικό. Η εφαρ΅ογή συνδυάζει τα δύο αυτά
στοιχεία και παράγει ένα ψηφιακό αποτύπω΅α (hashed value). Στην περίπτωση
ταύτισης ΅ε αποθηκευ΅ένο στη βάση δεδο΅ένων
ψηφιακό αποτύπω΅α που συσχετίζεται ΅ε ενεργή έξυπνη
κάρτα, ο εκδότης έχει τη δυνατότητα να προχωρήσει σε έκδοση νέας κάρτας ΅ε
ταυτόχρονη ΅εταφορά του υπολοίπου και ακύρωση (blacklisting) της παλαιάς. Κανένα επιπλέον στοιχείο του
επιβάτη δεν απαιτείται και δεν αποθηκεύεται κατά τη διαδικασία αυτή.
Συγκεντρωτικά, τα προσωπικά δεδο΅ένα που τυγχάνουν επεξεργασίας προκει΅ένου
να εκδοθεί η προσωποποιη΅ένη κάρτα απεριορίστων διαδρο΅ών ή/και ειδικών κατηγοριών ΅ειω΅ένου
κο΅ίστρου, ΅ε βάση τα όσα αναφέρει ο ΟΑΣΑ στην ως άνω
γνωστοποίησή του, περιγράφονται ως εξής:
α) Στην επιφάνεια της κάρτας θα
εκτυπώνονται το όνο΅α, το επώνυ΅ο
και η φωτογραφία του κατόχου. Τα στοιχεία αυτά αφορούν ΅όνο τον φυσικό έλεγχο,
δηλαδή τη φυσική ταυτοποίηση κατά τον έλεγχο του επιβάτη, γεγονός ιδιαιτέρως ση΅αντικό κυρίως στην περίπτωση κατά την οποία η κάρτα
είναι εκπτωτική.
β) Στον ΅ικροεπεξεργαστή
(chip) της κάρτας θα αποθηκεύεται ο ΅ήνας και το έτος γέννησης του κατόχου της αλλά και η
κατηγορία στην οποία αυτός ε΅πίπτει. Ο ΅ήνας και το έτος γέννησης απαιτούνται ως προσδιοριστικά θε΅ελίωσης ή ΅η του δικαιώ΅ατος
καταβολής ΅ειω΅ένου κο΅ίστρου
βάσει ηλικίας (παιδιά και νέοι κάτω των 18, ενήλικες, ενήλικες άνω των 65). Στο
΅ικροεπεξεργαστή διατηρούνται επίσης οι έξι
τελευταίες κινήσεις-συναλλαγές οι οποίες είναι απολύτως απαραίτητες για τη
χρέωση της κάρτας. Τις κινήσεις αυτές έχει καταγράψει και το κεντρικό σύστη΅α βάσης. Από τον ΅ικροεπεξεργαστή
της κάρτας διαγράφονται οι κινήσεις ΅όνο όταν εγγραφούν νέες επί αυτών. Οι
τελευταίες έξι κινήσεις δεν ΅πορούν να διαγραφούν από
τον ΅ικροεπεξεργαστή.
γ) Στο κεντρικό σύστη΅α
τηρούνται ο ΑΜΚΑ, ο ΅ήνας και το έτος γέννησης, το
«ψηφιακό αποτύπω΅α» (hashed
value) του ΑΜΚΑ ΅ε τον 4-ψήφιο κωδικό όπως
περιεγράφηκε ανωτέρω και η κατηγορία του χρήστη. Ήδη προαναφέρθηκε ότι ο ΑΜΚΑ
καταχωρίζεται σε εντελώς ανεξάρτητο αρχείο χωρίς κα΅ία
περαιτέρω πληροφορία πλην αυτής της λήξεως του δικαιώ΅ατος
και αφορά ΅όνο και αδιακρίτως στις ειδικές κατηγορίες προκει΅ένου
να ΅ην υπάρξει περίπτωση πολλαπλής έκδοσης κάρτας αφού υπάρχει δικαίω΅α έκδοσης ΅ίας και ΅όνο
ειδικής κατηγορίας κάρτας και το δικαίω΅α αυτό ανήκει
σε έναν και ΅όνο δικαιούχο (π.χ. φοιτητής).
Η αυθεντικοποίηση
του υποκει΅ένου γίνεται ΅ε τη χρήση φωτογραφίας και
στοιχείων ονό΅ατος και επωνύ΅ου
τα οποία αναγράφονται ΅όνο επί της κάρτας. Η συ΅πληρω΅ατική
επίδειξη ταυτότητας βοηθά στην αυθεντικοποίηση του υποκει΅ένου ως του νο΅ί΅ου
κατόχου της κάρτας. Ο ελεγκτής κο΅ίστρου ΅πορεί να ζητήσει περαιτέρω εξακρίβωση στοιχείων ειδικής
κατηγορίας, δηλαδή αιτιολόγηση της ένταξης σε ειδικής κατηγορίας ΅ετακίνησης. Οι αντίστοιχοι φορείς προ΅ηθεύουν
τους δικαιούχους ΅ε σχετικά έγγραφα πιστοποίησης των δικαιω΅άτων
΅ετακίνησης (π.χ. κάρτες ανεργίας). Περαιτέρω, στα ση΅εία επικύρωσης, η αυθεντικοποίηση
΅έσω έξυπνης κάρτας πραγ΅ατοποιείται στις πύλες
εισόδου και εξόδου και στα ση΅εία επικύρωσης των
οδικών ΅έσων.
Επιπροσθέτως, ο ΟΑΣΑ επαναφέρει ΅ε την ως
άνω νέα γνωστοποίηση το αίτη΅α που είχε θέσει και
στην αρχική του γνωστοποίηση σχετικά ΅ε την επαλήθευση και ορθότητα των δεδο΅ένων που χορηγεί ο χρήστης ΅έσω διαδικτυακής υπηρεσίας
(web service) της
Η∆ΙΚΑ καθώς είναι απαραίτητη η επαλήθευση αυτών για την αποφυγή λαθών
κατά την πληκτρολόγηση και ταυτοποίηση. Η βάση της Η∆ΙΚΑ θεωρείται
ακριβής και σε κάθε περίπτωση συσχετίζει τον ΑΜΚΑ ΅ε τα απαραίτητα για
επεξεργασία προσωπικά δεδο΅ένα του υποκει΅ένου. Η χρήση της βάσεως της Η∆ΙΚΑ εξυπηρετεί
΅όνο την επαλήθευση εκείνων των προσωπικών δεδο΅ένων
που είναι απαραίτητα για την ταυτοποίηση των χρηστών. Κα΅ία
περαιτέρω επεξεργασία των δεδο΅ένων της βάσης δεν
γίνεται, η δε πληκτρολόγηση του ΑΜΚΑ στην οθόνη του εκδοτηρίου δεν επιτρέπει
στον χειριστή την άντληση δεδο΅ένων εκ της βάσεως.
Το σχετικό web service της Η∆ΙΚΑ που ΅νη΅ονεύει
ο ΟΑΣΑ ονο΅άζεται AMKA2dataLight.
Ο ΟΑΣΑ επίσης στην ως άνω γνωστοποίησή του
περιγράφει το πλαίσιο ασφαλείας των πληροφοριών του, αναφέροντας, ΅εταξύ άλλων, ότι διαθέτει και συνεχώς εξελίσσει πολιτική
ασφάλειας πληροφοριών αλλά και σχέδιο ασφάλειας. Επιπροσθέτως περιγράφονται οι
διαδικασίες άσκησης των δικαιω΅άτων πρόσβασης και
αντίρρησης από την πλευρά των υποκει΅ένων των δεδο΅ένων και αναφέρεται ότι οποιαδήποτε πληροφορία επί του
΅ικροεπεξεργαστή της κάρτας απεριορίστων διαδρο΅ών διατηρείται ως καθαρό κεί΅ενο
διότι η κάρτα είναι εξ ορισ΅ού ασφαλής χώρος
φύλαξης/αποθήκευσης δεδο΅ένων.
Ο ΟΑΣΑ, εν κατακλείδι, συ΅περαίνει
ότι κατοχυρώνει τη δυνατότητα των επιβατών σε πλήρως ανωνυ΅οποιη΅ένη
χρήση των αστικών συγκοινωνιών και σε περίπτωση ειδικών προϊόντων εξασφαλίζει
την ανωνυ΅ία του χρήστη ΅έσω συστή΅ατος
αλγορίθ΅ου κατακερ΅ατισ΅ού
(hashing).
Τέλος, ο ΟΑΣΑ γνωστοποιεί στην Αρχή και τη δη΅ιουργία ενός νέου αρχείου προσωπικών δεδο΅ένων
το οποίο ουδε΅ία σχέση έχει ΅ε το ΅εταφορικό έργο ή ΅ε οποιοδήποτε άλλο αρχείο του ΟΑΣΑ και
λειτουργεί αυτόνο΅α. Το αρχείο αυτό έχει ως σκοπό την
επικοινωνία του ΟΑΣΑ ΅ε όσους επιθυ΅ούν να ενη΅ερώνονται για νέα προϊόντα, προσφορές και ειδικά ή
έκτακτα νέα που αφορούν στις αστικές συγκοινωνίες. Στο αρχείο αυτό εγγράφονται
ηλεκτρονικά όσοι επιθυ΅ούν να λα΅βάνουν
ενη΅έρωση για τις δράσεις και προσφορές του ΟΑΣΑ. Η
διαδικασία καταχώρισης των δεδο΅ένων γίνεται βάσει
της Οδηγίας 2/2011 της Αρχής. Ο χρήστης στη σχετική ηλεκτρονική σελίδα
καταχωρεί το όνο΅α, το επώνυ΅ο,
την ηλεκτρονική ή ταχυδρο΅ική διεύθυνση ή τον αριθ΅ό κινητού τηλεφώνου. Στην ίδια σελίδα ΅πορεί να ασκεί ψηφιακά το δικαίω΅α
αντίρρησης και διαγραφής από τη λίστα των πελατών/ενδιαφερο΅ένων.
Ο πελάτης ΅πορεί να είναι χρήστης οποιουδήποτε
προϊόντος και οποιασδήποτε κατηγορίας. Το ενδιαφέρον και ο σκοπός του ΟΑΣΑ στην
τήρηση αυτού του αρχείου είναι να ωθεί ΅έσω προσφορών τους χρήστες στη χρήση
των ΅έσων ΅αζικής ΅εταφοράς και στην προτί΅ηση αυτών
για ενδεχό΅ενες δράσεις τους (όπως π.χ. προσφορά ή
δωρεάν ΅ετάβαση ή έκπτωση σε όλους τους κατόχους προσωποποιη΅ένων καρτών για συγκεκρι΅ένες
εκδηλώσεις, παραστάσεις κ.λπ.). Οι ενη΅ερώσεις αυτές
δεν έχουν προσωπικό αλλά ΅αζικό χαρακτήρα και στη
βάση δεδο΅ένων δεν καταχωρούνται συγκεκρι΅ένα
χαρακτηριστικά των πελατών.
Κατόπιν της ως άνω νέας γνωστοποίησης, η
Αρχή απέστειλε στον ΟΑΣΑ το υπ αριθ΅. πρωτ. ΓΝ/ΕΞ/1570-1/15-06-2017 έγγραφο, ΅ε το οποίο ζήτησε
την παροχή συ΅πληρω΅ατικών διευκρινίσεων επί κάποιων
ειδικών θε΅άτων. Ο ΟΑΣΑ απάντησε ΅ε το υπ αριθ΅. πρωτ.
ΓΝ/ΕΙΣ/1894/30-06-2017 έγγραφο. Λόγω της ανάγκης αποσαφήνισης κάποιων από τα ζητή΅ατα της ως άνω επιστολής, η Αρχή απέστειλε νέα
επιστολή ΅ε ερωτή΅ατα ΅ε το υπ αριθ΅.
πρωτ. ΓΝ/ΕΞ/1570-2/3-07-2017 έγγραφο, στο οποίο ο
ΟΑΣΑ απάντησε ΅ε το υπ αριθ΅. πρωτ.
ΓΝ/ΕΙΣ/2020/10-072017 έγγραφο. Από τα έγγραφα αυτά προκύπτουν τα εξής:
α) Ο ΅ήνας και το
έτος γέννησης τηρούνται για όλους ανεξαιρέτως τους κατόχους προσωποποιη΅ένων
καρτών και αφορούν στη ΅ετάπτωση της κάρτας σε άλλη
κατηγορία ΅ε βάση την ηλικία (χωρίς αναφορά στην πλήρη η΅ερο΅ηνία
αλλά ΅όνο στο ΅ήνα και έτος γεννήσεως). Η πληροφορία
αυτή είναι απαραίτητη για την εφαρ΅ογή όλων των
πολιτικών κο΅ίστρου που συναρτώνται ΅ε την ηλικία του
επιβάτη (όπως περιγράφονται αναλυτικά στη συνέχεια). Η έναρξη και λήξη του
εκπτωτικού δικαιώ΅ατος αφορά άτο΅α
που πλησιάζουν για παράδειγ΅α την ηλικία των 18 ή των
65 ετών. Ο ΟΑΣΑ δεν ΅πορεί να γνωρίζει για πόσο διάστη΅α θα διατηρήσει ο χρήστης την κάρτα του, επο΅ένως η αυτό΅ατη ΅ετάπτωση ΅πορεί να συ΅βεί σε ΅ικρό ή ΅εγάλο χρονικό διάστη΅α. Για τον
λόγο αυτό ο ΟΑΣΑ έχει επιλέξει να ΅ην τηρεί την πλήρη η΅ερο΅ηνία
γεννήσεως αλλά ΅όνο ΅ήνα/έτος ώστε να είναι αδύνατον
να ταυτοποιηθεί κάποιος χρήστης από την η΅ερο΅ηνία γεννήσεως και συγχρόνως να επιτυγχάνεται ο
σκοπός της αυτό΅ατης ΅ετάπτωσης
στην επό΅ενη κατηγορία χωρίς απώλεια εσόδων του οργανισ΅ού ή απώλεια δικαιω΅άτων
των χρηστών. Πέραν της εφαρ΅ογής των υπαρχουσών
πολιτικών κο΅ίστρου, το έτος γεννήσεως των επιβατών
αποτελεί και ένα από τα στοιχεία που δύνανται να χρησι΅οποιηθούν
για στατιστική επεξεργασία των δεδο΅ένων ΅ετακίνησης και εξαγωγή συ΅περασ΅άτων
για τη χρήση των ΅έσων από διαφορετικές ηλικιακές ο΅άδες. Η επεξεργασία αυτή είναι καθαρά στατιστική επί ΅εγάλου όγκου ανώνυ΅ων δεδο΅ένων και σε κα΅ία περίπτωση
δεν προσδιορίζει στοιχεία ΅ετακίνησης ΅ε΅ονω΅ένων ατό΅ων.
Συγκεκρι΅ένα,
οι δικαιούχοι ΅ετακίνησης ΅ε ΅ειω΅ένους
τύπους κο΅ίστρου λόγω ηλικίας είναι οι εξής: i) άτο΅α άνω των 65 ετών, ii) νέοι 7 έως 18 ετών, iii)
φοιτητές Ανώτατων Εκπαιδευτικών Ιδρυ΅άτων της
αλλοδαπής (΅έχρι τα 25 έτη), iv) Μαθητές άνω των 18
ετών, v) Σπουδαστές ∆η΅όσιων Ι.Ε.Κ. (΅έχρι τα 22 έτη).
Όπως ήδη έχει αναφερθεί παραπάνω, ο ΑΜΚΑ
τηρείται επιπρόσθετα για τους δικαιούχους ΅η σχετικού ΅ε την ηλικία εκπτωτικού δικαιώ΅ατος (ανέργους, ΑΜΕΑ, φοιτητές κ.λπ.), σε ανεξάρτητο
πίνακα της βάσης δεδο΅ένων ΅αζί
΅ε την η΅ερο΅ηνία λήξης δικαιώ΅ατος
για την οποία θα τηρείται ΅όνο ο ΅ήνας και το έτος.
Μεταξύ του πίνακα αυτού και του πίνακα στον οποίο καταχωρίζονται οι κάρτες ΅ε
τα δεδο΅ένα που αναφέρονται παραπάνω δεν υπάρχει
κανένα κοινό πεδίο (κλειδί) που να επιτρέπει συσχέτιση των στοιχείων.
β) Η πληροφορία της η΅ερο΅ηνίας
λήξης του δικαιώ΅ατος βρίσκεται και στον ως άνω
ανεξάρτητο πίνακα όπου τηρούνται οι ΑΜΚΑ αλλά και στον πίνακα ΅ε τα στοιχεία
των καρτών. Ό΅ως αυτή η πληροφορία δεν συνιστά κλειδί
συσχέτισης γιατί, όπως εξηγείται στη συνέχεια, η η΅ερο΅ηνία
λήξης του δικαιώ΅ατος περιορίζεται ΅όνο σε ΅ήνα και έτος και είναι ίδια για ΅εγάλες
ο΅άδες χρηστών. Η πληροφορία της λήξης του δικαιώ΅ατος συναρτάται ΅ε την ανάγκη γνώσης του ΟΑΣΑ για τη
΅ετάπτωση της ειδικής κατηγορίας κάρτας σε κανονική
κατηγορία ΅ετά τη λήξη του δικαιώ΅ατος.
Ο ΑΜΚΑ διαγράφεται από τον πίνακα ΅ετά τη ΅ετάπτωση σε κανονική κατηγορία.
Ως
προς τις η΅ερο΅ηνίες λήξης του δικαιώ΅ατος,
ο ΟΑΣΑ αναφέρει ότι τα δικαιώ΅ατα ΅ειω΅ένου κο΅ίστρου
προσδιορίζονται κάθε φορά ΅ε κοινή υπουργική απόφαση και στη συνέχεια τα δικαιώ΅ατα χορηγούνται ΅ε συ΅βάσεις
΅εταξύ του ΟΑΣΑ και των εκάστοτε δικαιούχων οργανισ΅ών. Οι η΅ερο΅ηνίες λήξης
των δικαιω΅άτων είναι συνήθως η 31η ∆εκε΅βρίου εκάστου έτους ή η η΅ερο΅ηνία
λήξης του χρόνου φοίτησης, θητείας κ.λπ. Πρόκειται δηλαδή για δεδο΅ένα ΅αζικά και όχι για συγκεκρι΅ένες η΅ερο΅ηνίες λήξεως
που εξατο΅ικεύουν το κάθε υποκεί΅ενο.
Επο΅ένως τέτοια δεδο΅ένα
όπως π.χ. η λήξη εξα΅ήνου φοίτησης ή η λήξη της
θητείας δεν ΅πορούν να οδηγήσουν σε ταυτοποίηση
επιβάτη διότι είναι, κατά τους ισχυρισ΅ούς του ΟΑΣΑ,
ίδια για πολύ ΅εγάλες ο΅άδες
δικαιούχων. Ο ΟΑΣΑ εξέτασε την περίπτωση να ΅ην τηρεί αναλυτικά την η΅ερο΅ηνία λήξης δικαιώ΅ατος αλλά
΅όνο τον ΅ήνα και έτος λήξης αυτού και κατέληξε στην
αποδοχή της χρήσης ΅όνο αυτής της πληροφορίας.
γ) Κατά τον έλεγχο της κάρτας από ελεγκτή,
τα δεδο΅ένα που είναι αποθηκευ΅ένα
στο chip της κάρτας και επί της κάρτας διαβάζονται
τοπικά ΅ε χρήση της ειδικής συσκευής ελέγχου χωρίς να γίνεται ανταλλαγή
στοιχείων ΅ε το κεντρικό σύστη΅α. Στο chip της κάρτας βρίσκεται αποθηκευ΅ένος
ο ΅ήνας και το έτος γέννησης και η κατηγορία της
κάρτας (πολλαπλών διαδρο΅ών, ΑΜΕΑ, άνεργος, φοιτητής
κ.λπ.). Επίσης αποθηκεύονται οι έξι τελευταίες κινήσεις, ο αριθ΅ός
της κάρτας καθώς και το υπόλοιπο ποσό στην περίπτωση της ύπαρξης αποθηκευ΅ένης αξίας.
δ) Οι τελευταίες έξι κινήσεις της κάρτας
(ώρες επικύρωσης και σταθ΅οί/στάσεις) καταγράφονται
σε όλες τις κάρτες (προσωποποιη΅ένες και ΅η) όπως και
στα πολλαπλά εισιτήρια. Οι ώρες επικύρωσης, οι σταθ΅οί/στάσεις
και ο αριθ΅ός όλων των καρτών τηρούνται και στη βάση δεδο΅ένων. Ση΅ειώνεται ότι δεν
είναι γνωστή η ταυτότητα του επιβάτη παρά ΅όνο ο αριθ΅ός
της κάρτας. Το ακριβές ιστορικό των ΅ετακινήσεων
είναι απαραίτητο για τον υπολογισ΅ό του κο΅ίστρου βάσει της επικύρωσης επιβίβασης ή της επικύρωσης
αποβίβασης. Παραδείγ΅ατος χάριν, το σύστη΅α χρησι΅οποιεί τα
προαναφερθέντα δεδο΅ένα για να υπολογίσει εάν η κάρτα
κυκλοφορεί εντός του χρονικού ορίου των 90 λεπτών ή εάν τα έχει υπερβεί καθώς
και για να υπολογίσει εάν η κάρτα έχει υπερβεί ή όχι το ΅έγιστο
αριθ΅ό ΅ετεπιβιβάσεων εντός
του επιτρεπό΅ενου χρονικού ορίου. Επίσης, το σύστη΅α εφαρ΅όζει ΅έγιστη επιτρεπό΅ενη η΅ερήσια χρέωση (fare cap) στα προϊόντα Πολλαπλών ∆ιαδρο΅ών
(Count Based Ticket) και Αποθηκευ΅ένης Αξίας. ∆ηλαδή, εάν εντός ΅ίας η΅έρας η αξία του αθροίσ΅ατος των
κο΅ίστρων φτάσει την καθορισ΅ένη
΅έγιστη η΅ερήσια χρέωση, το
σύστη΅α στα΅ατάει πλέον να
αφαιρεί διαδρο΅ές/αξία από την κάρτα για την αποφυγή φαινο΅ένων υπερβολικής χρέωσης. Οι προαναφερθείσες
λειτουργίες απαιτούν την τήρηση του ιστορικού ΅ετακινήσεων
στην κάρτα για την ορθή υλοποίησή τους.
Η τήρηση των δεδο΅ένων κίνησης της κάρτας δεν
αφορά σε δεδο΅ένα κίνησης «επιβατών» καθώς τα δεδο΅ένα αυτά έχουν ψευδωνυ΅οποιηθεί
΅ε τη χρήση ανεπίστρεπτου ψηφιακού αποτυπώ΅ατος (hashed value). Επο΅ένως, τα δεδο΅ένα κίνησης που
τηρούνται δεν αναφέρονται σε υποκεί΅ενα αλλά σε αριθ΅ούς καρτών. Αν υφίσταται υπόλοιπο στην κάρτα τότε το ΅εταφορικό δικαίω΅α παρα΅ένει ενεργό και δεν υπάρχει σε αυτήν την περίπτωση
λόγος διαγραφής της κάρτας. Αν το υπόλοιπο της κάρτας είναι ΅ηδενικό, τότε τα δεδο΅ένα κίνησης
διατηρούνται για δύο έτη. Περαιτέρω, ο χρήστης είναι πιθανό να ζητήσει ανάλυση
του ιστορικού των ΅ετακινήσεών του. Παραδείγ΅ατος χάριν, εάν ένας επιβάτης παραπονεθεί για
υπερβολική χρέωση κατά την επικύρωση της κάρτας του σε σταθ΅ό
ή όχη΅α, ο έλεγχος του ιστορικού ΅ετακινήσεων
είναι αναγκαίος για την επιβεβαίωση ή ΅η των ισχυρισ΅ών
του επιβάτη και εν τέλει την επίλυση του προβλή΅ατος.
Εξάλλου ο χρήστης ΅πορεί να θεωρήσει ότι δικαιούται
να α΅φισβητήσει το τυχόν ΅ηδενικό
υπόλοιπο της κάρτας του ή οποιαδήποτε χρέωση έγινε εντός της τελευταίας
πενταετίας (οπότε παραγράφεται και το δικαίω΅α εξ
αδικοπραξίας). Προκει΅ένου
να ΅ην διατηρούνται στο αρχείο του ΟΑΣΑ εκατο΅΅ύρια
κινήσεις καρτών, ο ΟΑΣΑ διαγράφει τα δεδο΅ένα
κινήσεων προ της παρόδου της πενταετίας, δηλαδή ΅ε το τέλος της διετίας
αχρησίας της κάρτας ΅ηδενικού υπολοίπου. Η διετία
θεωρείται εύλογος χρόνος διατήρησης ιστορικού κινήσεων της κάρτας και για
στατιστικούς σκοπούς. Ο ΟΑΣΑ αναλα΅βάνει την
υποχρέωση, αν τυχόν ε΅φανισθούν α΅φισβητήσεις
κινήσεων που υπερβαίνουν τη διετία, να τις χειριστεί κατά περίπτωση. Σε κάθε
περίπτωση, τα δεδο΅ένα κινήσεων που τηρούνται αφορούν
σε κινήσεις καρτών, όχι υποκει΅ένων, οι οποίες
συνδυάζονται ΅ε ΅η αντιστρεφό΅ενες τι΅ές συνάρτησης κατακερ΅ατισ΅ού
(«ψηφιακά αποτυπώ΅ατα»).
ε) Τα δεδο΅ένα
που θα λα΅βάνονται από την υπηρεσία της Η∆ΙΚΑ
θα
χρησι΅οποιούνται
΅όνο για αυτό΅ατη επαλήθευση των χορηγού΅ενων
από το υποκεί΅ενο δεδο΅ένων.
Τα δεδο΅ένα δεν καταχωρίζονται σε αρχείο του ΟΑΣΑ.
Στο αρχείο του ΟΑΣΑ καταχωρίζεται ΅όνο η τι΅ή της
συνάρτησης κατακερ΅ατισ΅ού (hash
code), ο αριθ΅ός της κάρτας
και ο ΅ήνας και το έτος γέννησης. Το όνο΅α και το επώνυ΅ο του επιβάτη χρησι΅οποιούνται ΅όνο για την εκτύπωση της κάρτας και δεν
καταχωρίζονται.
στ) Η χρήση 4ψήφιου κωδικού ασφαλείας
υιοθετήθηκε, έναντι της δυνατότητας χρήσης οποιουδήποτε αλφαριθ΅ητικού
ανεξαρτήτου ΅ήκους εν είδει
συνθη΅ατικού, αφενός ΅εν διότι είναι κάτι στο οποίο
το κοινό είναι εξοικειω΅ένο (pin
πιστωτικών/χρεωστικών καρτών, κωδικός sim κινητών
τηλεφώνων) αφετέρου δε διότι δύναται να εισαχθεί από τον επιβάτη ΅ε χρήση ασύρ΅ατου numpad κατά τη
διαδικασία έκδοσης της κάρτας στο ΤΕΚ. Ο τελευταίος περιορισ΅ός
δεν υφίσταται φυσικά κατά τη διαδικασία καταχώρισης των στοιχείων ΅έσω του portal και δη΅ιουργίας του QR code. Η χρήση ό΅ως αλφαριθ΅ητικών κωδικών θα αύξανε τη πιθανότητα απώλειάς
τους ΅ε αρνητικές συνέπειες στη διαδικασία αντικατάστασης καρτών ΅ε ΅εταφορά υπολοίπου.
Η Αρχή, ΅ετά από
εξέταση όλων των στοιχείων του φακέλου, αφού άκουσε τους εισηγητές και τις
διευκρινίσεις των βοηθών εισηγητών οι οποίοι στην συνέχεια αποχώρησαν, κατόπιν
διεξοδικής συζήτησης, εκδίδει την ακόλουθη
Γ Ν Ω Μ Ο ∆ Ο Τ Η Σ Η
1. Η Αρχή είναι αρ΅όδια
σύ΅φωνα ΅ε το άρθρο 19 παρ. 1 στοιχ.
θ΄ του ν. 2472/1997 να «γνω΅οδοτεί για κάθε ρύθ΅ιση που αφορά την επεξεργασία και προστασία δεδο΅ένων προσωπικού χαρακτήρα». H γνω΅οδοτική
αρ΅οδιότητα της Αρχής δεν περιορίζεται ΅όνο στους το΅είς που ρυθ΅ίζονται από την
Οδηγία 95/46/ΕΚ αλλά καταλα΅βάνει όλα τα θέ΅ατα που αφορούν στην επεξεργασία και προστασία των
προσωπικών δεδο΅ένων.
2. Ήδη ΅ε την υπ αριθ΅.
1/2017 Γνω΅οδότηση η Αρχή έθεσε το σύνολο των
προϋποθέσεων που πρέπει να πληρούνται ώστε η επεξεργασία προσωπικών δεδο΅ένων στο πλαίσιο ενός ηλεκτρονικού συστή΅ατος
για τις ΅ετακινήσεις που γίνονται ΅ε ΅έσα ΅αζικής ΅εταφοράς
να είναι σύ΅φωνη ΅ε τις επιταγές του σχετικού νο΅ικού πλαισίου και να ΅η θίγει τα θε΅ελιώδη
δικαιώ΅ατα και ελευθερίες των ατό΅ων.
Όπως επεσή΅ανε, ΅εταξύ
άλλων, η Αρχή στην ως άνω Γνω΅οδότηση, οι σκοποί που
δήλωσε ο ΟΑΣΑ για την εν λόγω επεξεργασία είναι καθορισ΅ένοι,
σαφείς, θε΅ιτοί και νό΅ι΅οι
ενώ η επίτευξή τους χωρίς τη χρήση ηλεκτρονικού εισιτηρίου είναι εξαιρετικά
δυσχερής ΅ε την υπάρχουσα έγχαρτη ΅ορφή των εισιτηρίων για τα ΅έσα ΅αζικής ΅εταφοράς που τελούν υπό
την εποπτεία του ΟΑΣΑ (βλ. Γνω΅οδότηση 1/2017, Σκέψη
6). Ωστόσο, όπως επίσης αναφέρεται στην ως άνω Γνω΅οδότηση, για την επίτευξη των σκοπών αυτών η εν λόγω
επεξεργασία προσωπικών δεδο΅ένων είναι ε΅φανώς διαφορετικής «έντασης» (τήρηση ηλεκτρονικής βάσης δεδο΅ένων, χρήση microchip
ανέπαφης contactless τεχνολογίας, τήρηση ΅εγάλου εύρους προσωπικών δεδο΅ένων
κτλ.) σε σχέση ΅ε την επεξεργασία προσωπικών δεδο΅ένων
που πραγ΅ατοποιεί ΅έχρι
τώρα ο ΟΑΣΑ στο πλαίσιο της παροχής των υπηρεσιών του στο επιβατικό κοινό.
Επιπλέον, η αιτού΅ενη επεξεργασία θα είναι
υποχρεωτική και θα αφορά ΅εγάλο πλήθος υποκει΅ένων των δεδο΅ένων, οπότε
και καθίσταται αναγκαίο, κατά τον σχεδιασ΅ό του
ηλεκτρονικού συστή΅ατος, να διασφαλίζεται ότι
πληρούνται οι αναγκαίες προϋποθέσεις για την αντι΅ετώπιση
των κινδύνων ως προς την προστασία των προσωπικών δεδο΅ένων
(«προστασία των δεδο΅ένων ήδη από τον σχεδιασ΅ό», βλ. Γνω΅οδότηση
1/2017, Σκέψη 7). Περαιτέρω, η Αρχή
ρητώς επεσή΅ανε ότι ο κύριος κίνδυνος που ελλοχεύει,
ως προς την προστασία των προσωπικών δεδο΅ένων, στο
πλαίσιο ενός συστή΅ατος προσωποποιη΅ένων
ηλεκτρονικών εισιτηρίων, συνίσταται στο ότι η χρήση ενός τέτοιου συστή΅ατος ΅πορεί να συνεπάγεται
τη συλλογή δεδο΅ένων σχετικά ΅ε τις διαδρο΅ές που πραγ΅ατοποιεί ο
εκάστοτε επιβάτης ΅ε αποτέλεσ΅α να θίγεται υπέρ΅ετρα η ελευθερία κίνησης ή κυκλοφορίας της οποίας
αναπόσπαστο ΅έρος αποτελεί το δικαίω΅α
της ανώνυ΅ης ΅ετακίνησης
(βλ. Γνω΅οδότηση 1/2017, Σκέψη 8). Ο κίνδυνος αυτός
ήταν υπαρκτός ΅ε βάση την αρχική ΅ορφή του συστή΅ατος που περιέγραφε ο ΟΑΣΑ στην αρχική του
γνωστοποίηση. Συναφώς, ο υπεύθυνος επεξεργασίας ούτε τεκ΅ηρίωσε
την αναγκαιότητα της επεξεργασίας του συνόλου των προσωπικών δεδο΅ένων τα οποία θα υφίσταντο επεξεργασία σύ΅φωνα ΅ε το αρχικό σύστη΅α ούτε
κατέδειξε ότι εξέτασε εναλλακτικές τεχνικές λύσεις που αφενός ΅εν θα
επετύγχαναν εξίσου τους επιδιωκό΅ενους σκοπούς
αφετέρου δε θα εξασφάλιζαν την προστασία της ιδιωτικότητας
των χρηστών (βλ. Γνω΅οδότηση 1/2017, Σκέψη 9). 3. Η
υπό εξέταση νέα γνωστοποίηση, όπως περιγράφεται στο ιστορικό της παρούσας, έχει
εναρ΅ονιστεί σε ικανοποιητικό βαθ΅ό
΅ε τις προϋποθέσεις που έθεσε η Αρχή στη Γνω΅οδότηση
1/2017. Συγκεκρι΅ένα, όπως συνάγεται από το ιστορικό
της παρούσας, ο υπεύθυνος επεξεργασίας έχει περιορίσει το σύνολο των προσωπικών
δεδο΅ένων που συλλέγει και επεξεργάζεται εν όψει των επιδιωκό΅ενων σκοπών ενώ έχει επίσης προβεί σε νέα συνολική
σχεδίαση του συστή΅ατος. Προκύπτει επίσης ότι για το σύστη΅α ΗΛΕΚΤΡΟΝΙΚΟ ΕΙΣΙΤΗΡΙΟ τέθηκε πλέον ως σχεδιαστικός
στόχος η αντι΅ετώπιση των κινδύνων για την προστασία
των προσωπικών δεδο΅ένων που περιέγραψε η Αρχή στη Γνω΅οδότηση 1/2017. Σε συ΅΅όρφωση
΅ε την προαναφερό΅ενη Γνω΅οδότηση,
η νέα γνωστοποίηση, ΅εταξύ άλλων, προβλέπει τη δη΅ιουργία ψηφιακού αποτυπώ΅ατος
΅ε την εισαγωγή κωδικού που θα γνωρίζει ΅όνο ο χρήστης. Η νέα γνωστοποίηση
εξάλλου περιέχει όλες τις πληροφορίες που προσδιορίζονται στο άρ. 6 του ν. 2472/1997.
4. Επιπροσθέτως, η Αρχή κρίνει ότι η
αξιοποίηση της διαδικτυακής υπηρεσίας της Η∆ΙΚΑ για τον σκοπό της
ακρίβειας των προσωπικών δεδο΅ένων (όνο΅α, επώνυ΅ο, ΅ήνας και έτος γέννησης), όπως περιγράφεται από τον ΟΑΣΑ στη
νέα γνωστοποίησή του, δεν προσκρούει στις θε΅ελιώδεις
αρχές της προστασίας προσωπικών δεδο΅ένων αφού ΅ια
τέτοια επεξεργασία γίνεται για σαφή, θε΅ιτό και νό΅ι΅ο σκοπό και δεν έχει ως αποτέλεσ΅α
τη συλλογή, από πλευράς ΟΑΣΑ, περισσότερων προσωπικών δεδο΅ένων
από όσα απαιτούνται για την επίτευξη των επιδιωκό΅ενων
σκοπών του - δεδο΅ένου άλλωστε ότι ο ΟΑΣΑ θα συλλέγει
τα ίδια ακριβώς δεδο΅ένα ακό΅α
και χωρίς την αξιοποίηση της διαδικτυακής υπηρεσίας της Η∆ΙΚΑ. Αυτονόητο
είναι ότι η εν λόγω διαδικτυακή υπηρεσία δεν θα πρέπει να παρέχει κα΅ία άλλη πληροφορία προς τον ΟΑΣΑ, πέραν των όσων ρητώς
προσδιορίζονται ανωτέρω, καθώς επίσης και ότι ο ΟΑΣΑ οφείλει ως υπεύθυνος
επεξεργασίας να λα΅βάνει πάντα τα πλέον ενδεδειγ΅ένα ΅έτρα για την
ασφάλεια της επεξεργασίας στο πλαίσιο της εν λόγω διαδικτυακής υπηρεσίας.
5. Περαιτέρω, η Αρχή κρίνει ότι, ιδίως ως
προς τον κίνδυνο της συστη΅ικής αντιστοίχισης του αριθ΅ού της κάρτας ΅ε τον κάτοχό της, η οποία τελικά θα ισοδυνα΅ούσε ΅ε γνώση του ιστορικού όλων των ΅ετακινήσεων για συγκεκρι΅ένο
επιβάτη -κάτι που αντίκειται στις προϋποθέσεις που έθεσε η Αρχή στη Γνω΅οδότηση 1/2017- ο υπεύθυνος επεξεργασίας θα πρέπει να
εξετάσει προσεγγίσεις προς βελτίωση του συστή΅ατος.
Τούτο διότι ΅ε το περιγραφό΅ενο σύστη΅α
ο κίνδυνος αυτός περιορίζεται ΅εν ση΅αντικά αλλά
φαίνεται ότι δεν εξαλείφεται πλήρως ιδίως λόγω της τήρησης, για συγκεκρι΅ένους έστω χρήστες, του ΑΜΚΑ. Ση΅ειώνεται
ότι η Αρχή στη Γνω΅οδότηση 1/2017 είχε ρητώς επιση΅άνει ότι ο υπεύθυνος επεξεργασίας θα πρέπει να
διασφαλίσει ότι από το σύνολο της τηρού΅ενης
πληροφορίας, ακό΅α και αν αυτή είναι δια΅οιρασ΅ένη σε ανεξάρτητα υποσυστή΅ατα,
δεν θα πρέπει να είναι εφικτή η εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρο΅ές που πραγ΅ατοποιεί ο
κάθε επιβάτης έτσι ώστε να διασφαλίζεται το δικαίω΅α
της ανώνυ΅ης ΅ετακίνησης
(βλ. Σκέψη 9 αυτής). Εντούτοις το νέο σύστη΅α παρέχει
αυτήν την, έστω και απο΅ακρυσ΅ένη πρακτικά,
δυνατότητα επειδή, όπως περιγράφεται αναλυτικά στη συνέχεια, δεν αποκλείει τη
διασύνδεση πληροφοριών που τηρούνται ΅εν σε ανεξάρτητους πίνακες της βάσης δεδο΅ένων, ωστόσο ΅έσω της κατάλληλης ΅εταξύ
τους διασύνδεσης ΅πορεί να δη΅ιουργήσουν
προφίλ ΅ετακινήσεων συγκεκρι΅ένου
επιβάτη/συγκεκρι΅ένων επιβατών:
i) Για δοθέν AMKA που ε΅φανίζεται
στον ανεξάρτητο πίνακα, καταγραφή του ΅ήνα και έτους
λήξης δικαιώ΅ατος της αντίστοιχης κάρτας. ii)
Αναζήτηση της ανωτέρω τι΅ής «΅ήνας/έτος
λήξης δικαιώ΅ατος» στον κεντρικό πίνακα της βάσης.
Όπως αναφέρει ο ΟΑΣΑ, πολλοί χρήστες -άρα, πολλές καταχωρίσεις στον κεντρικό
αυτό πίνακα- θα έχουν κοινή τι΅ή σε αυτό το πεδίο
(π.χ. θα είναι για πολλούς η 31η ∆εκε΅βρίου του
τρέχοντος κάθε φορά έτους) και, ως εκ τούτου, η αναζήτηση αυτή θα έχει ως αποτέλεσ΅α πολλές -και όχι αποκλειστικά ΅ία- καταχωρίσεις (δηλαδή
πολλούς διαφορετικούς χρήστες, ένας ΅όνο εκ των οποίων θα αντιστοιχεί στον
δοθέντα ΑΜΚΑ). iii) Λα΅βάνοντας
υπόψη ότι ο ΑΜΚΑ περιέχει τον ΅ήνα και το έτος
γέννησης, από το σύνολο των πολλών αυτών χρηστών ΅πορούν
να εξαιρεθούν εκείνοι για τους οποίους ο ΅ήνας και το
έτος γέννησης -που τηρούνται στον κεντρικό πίνακα- δεν αντιστοιχεί στην αρχική τι΅ή του ΑΜΚΑ που επελέγη. Η ανωτέρω περιγραφείσα
διαδικασία καταδεικνύει ότι δεν ΅πορεί να αποκλειστεί
το ενδεχό΅ενο, για κάποιες έστω τι΅ές
του ΑΜΚΑ, να προσδιοριστεί ΅ονοσή΅αντα το ποια είναι
η κάρτα που αντιστοιχεί σε κάθε έναν από τους χρήστες ΅ε τις εν λόγω τι΅ές του ΑΜΚΑ - δηλαδή τελικά να αναγνωριστούν οι κάτοχοι συγκεκρι΅ένων καρτών. Ως εκ
τούτου, για την αντι΅ετώπιση και του ανωτέρω
κινδύνου, ο υπεύθυνος επεξεργασίας θα πρέπει να εξετάσει την ενσω΅άτωση των απαραίτητων εγγυήσεων στην επεξεργασία ώστε
να προστατεύονται τα δικαιώ΅ατα των υποκει΅ένων των δεδο΅ένων.
Ενδεικτικά, θα ΅πορούσε να εξεταστεί να ΅ην τηρείται
ο AMKA σε αυτούσια ΅ορφή αλλά αντ
αυτού να τηρείται ένα ΅η αναστρέψι΅ο ψηφιακό αποτύπω΅α (hashed value) του ΑΜΚΑ. Συναφώς ΅ε τον ανωτέρω κίνδυνο, ο
υπεύθυνος επεξεργασίας θα πρέπει να επιτρέπει στους χρήστες, για τον υπολογισ΅ό του «ψηφιακού αποτυπώ΅ατος»
που περιγράφεται στο ιστορικό της παρούσας, να επιλέγουν οποιοδήποτε συνθη΅ατικό επιθυ΅ούν και όχι να
περιορίζονται σε τετραψήφιο κωδικό. Και τούτο διότι ο τετραψήφιος κωδικός
συνεπάγεται ότι για κάθε ΑΜΚΑ, ΅όνο 10.000 πιθανές τι΅ές
ψηφιακού αποτυπώ΅ατος4 ΅πορούν να προκύψουν - αριθ΅ός τέτοιος που τελικά επιτρέπει υπολογιστικά τον
έλεγχο για το εάν ΅ία δοθείσα τι΅ή του ΑΜΚΑ
αντιστοιχεί σε κάποια από τις κάρτες που τηρούνται στον κεντρικό πίνακα της
βάσης.
6. Η Αρχή στη Γνω΅οδότηση
1/2017 (βλ. Σκέψη 11 αυτής) επεσή΅ανε ότι, λα΅βάνοντας υπόψη τα χαρακτηριστικά της επεξεργασίας, σκόπι΅ο είναι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, να προβεί
στην εκπόνηση ΅ελέτης εκτί΅ησης
επιπτώσεων στην προστασία προσωπικών δεδο΅ένων, προκει΅ένου να καταδειχτούν και να αντι΅ετωπιστούν
όλα τα ζητή΅ατα που εγείρονται ως προς την προστασία
των δεδο΅ένων, καθώς επίσης και να ληφθούν τα
απαραίτητα ΅έτρα. ∆εδο΅ένου
ότι δεν υποβλήθηκε στην Αρχή ΅ια τέτοια ΅ελέτη εκτί΅ησης επιπτώσεων, η Αρχή επαναφέρει την ανάγκη
εκπόνησης ΅ιας τέτοιας ΅ελέτης
η οποία θα πρέπει να περιέχει τουλάχιστον: α) συστη΅ατική
περιγραφή των προβλεπό΅ενων πράξεων επεξεργασίας και
των σκοπών της επεξεργασίας, β) εκτί΅ηση της
αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση ΅ε
τους επιδιωκό΅ενους σκοπούς, γ) εκτί΅ηση
των κινδύνων για τα δικαιώ΅ατα και τις ελευθερίες των
υποκει΅ένων των δεδο΅ένων,
και δ) τα προβλεπό΅ενα ΅έτρα
αντι΅ετώπισης των κινδύνων, περιλα΅βανο΅ένων
των εγγυήσεων, των ΅έτρων και ΅ηχανισ΅ών
ασφάλειας (όπως ανωνυ΅οποίηση ή/και ψευδωνυ΅οποίηση), ώστε να διασφαλίζεται η προστασία των δεδο΅ένων προσωπικού χαρακτήρα.
7. Τέλος, ως προς το νέο (σε σχέση ΅ε την
παλαιότερη γνωστοποίηση) αρχείο που γνωστοποίησε ο ΟΑΣΑ για τους σκοπούς της ενη΅έρωσης -όσων επιθυ΅ούν- για
τις προσφορές του Οργανισ΅ού κ.λπ., κρίνεται ότι αυτό
δεν προσκρούει στις διατάξεις του ν. 2472/1997. Αυτονόητο είναι ότι, και για
αυτό το αρχείο, θα πρέπει να λα΅βάνονται τα κατάλληλα
΅έτρα ασφάλειας σύ΅φωνα ΅ε
το άρ. 10 ν. 2472/1997.
8. Λα΅βάνοντας
υπόψη όλα τα ανωτέρω, η Αρχή γνω΅οδοτεί θετικά για το
νέο σύστη΅α αναφορικά ΅ε την περιγραφό΅ενη
επεξεργασία προσωπικών δεδο΅ένων συ΅περιλα΅βανο΅ένης
της κατάλληλης αξιοποίησης της διαδικτυακής υπηρεσίας της Η∆ΙΚΑ όπως
αναφέρεται στη Σκέψη 4 της παρούσας. Ωστόσο, ο
υπεύθυνος επεξεργασίας θα πρέπει α΅ελλητί να προβεί
σε κατάλληλες τροποποιήσεις του συστή΅ατος, σύ΅φωνα ΅ε τα όσα διαλα΅βάνονται
στη Σκέψη 5 της παρούσας. Περαιτέρω, η αποτελεσ΅ατικότητα
των σχετικών τροποποιήσεων θα πρέπει να τεκ΅αίρεται
από ΅ελέτη εκτί΅ησης
επιπτώσεων στην προστασία προσωπικών δεδο΅ένων την
οποία ο υπεύθυνος επεξεργασίας οφείλει να εκπονήσει σύ΅φωνα
΅ε τα όσα διαλα΅βάνονται στη Σκέψη 6 της παρούσας. Η
΅ελέτη αυτή θα πρέπει να αποτυπώνεται σε εγκεκρι΅ένο από τη διοίκηση του ΟΑΣΑ έγγραφο και να είναι διαθέσι΅η έως τις 25 Μαΐου 2018.
Ο Πρόεδρος
Κωνσταντίνος Μενουδάκος
Η Γρα΅΅ατέας
Γεωργία Παλαιολόγου