"Αδειάζει" τους Χρ.Σπίρτζη-Ν.Μαυραγάνη η Αρχή Προστασίας δεδομένων
01/11/2017 19:30
ΔΗΜΙΟΥΡΓΙΑ ΣΧΟΛΙΟΥ

"Αδειάζει" τους Χρ.Σπίρτζη-Ν.Μαυραγάνη η Αρχή Προστασίας δεδομένων

Οι ουρές και ο διεθνής διασυρμός της Ελλάδας, όπου εν έτη 2017 οι επιβάτες των αστικών συγκοινωνιών συνωστίζονται στις ουρές για να εξασφαλίσουν τις ηλεκτρονικές κάρτες και εισιτήρια, θα μπορούσαν να είχαν αποφευχθεί, εάν η υποβολή αιτήσεων είχε γίνει ηλεκτρονικά.

Γιατί δεν ακολουθήθηκε η υποβολή, μέσω διαδικτύου των αιτήσεων;

Επειδή, όπως έχει αναφέρει ο υπουργός Υποδομών Χρ.Σπίρτζης η Αρχή Προστασίας Δεδομένων έχει απαγορεύσει την έκδοση του ηλεκτρονικού εισιτηρίου μέσω διαδικτύου.

Αλλά και ο υφυπουργός Νίκος Μαυραγάνης έχει αναφέρει ότι "ο αρχικός σχεδιασμός του υπουργείου Μεταφορών ήταν η όλη διαδικασία να γίνεται διαδικτυακά, ωστόσο το απαγόρευσε η Αρχή Προστασίας Δεδομένων, λέγοντας ότι από αυτή την πηγή τα προσωπικά δεδομένα είναι τρωτά”.

Ωστόσο, τους επικεφαλής του Υποδομών, όπως και τα στελέχη του ΟΑΣΑ διαψεύδει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, η οποία, σε ανακοίνωσή της, αναφέρει ότι όχι μόνο δεν απαγόρευσε, αλλά αντιθέτως επέτρεψε ρητώς τη διαδικασία υποβολής αιτήσεων μέσω διαδικτύου.

Τι αναφέρει η Αρχή

"Η Αρχή, κατόπιν συστηματικής συνεργασίας με εκπροσώ πους του Οργανισμού Αστικών Συγκοινωνιών Αθηνών Α.Ε. (ΟΑΣΑ), όπως άλλωστε προκύπτει από τις Γνωμοδοτήσεις υπ’ αρ.1/2017 και 4/2017, γνωμοδότησε θετικά επί της τελικώς υποβληθείσας γνωστοποίησης επεξεργασίας προσωπικών δεδομένων στο πλαίσιο του Αυτόματου Συστήματος Συλλογής Κομίστρου (Ηλεκτρονικού Εισιτηρίου).

Ειδικότερα, όσον αφορά στη δυνατότητα ηλεκτρονικής -μέσω διαδικτύου- υποβολής αίτησης για την έκδοση ηλεκτρονικού εισιτηρίου, όπως αυτή περιγράφεται στην ως άνω γνωστοποίηση του ΟΑΣΑ, η Α ρχή έκρινε, σύμφωνα με τη Σκέψη 4, σελ. 14 της Γνωμοδότησης 4/2017, ότιαυτή "δεν προσκρούει στις θεμελιώδεις αρχές της προστασίας προσωπικών δεδομένων".

Συνεπώς, η Αρχή όχι μόνο δεν την απαγόρευσε, αλλά αντιθέτως την επέτρεψε ρητώς. Σε κάθε περίπτωση, διευκρινίζεται ότι η Αρχή είναι αρμόδια να γνωμοδοτεί για κάθε ρύθμιση που αφορά στην επεξεργασία και προστασ ία προσωπικών δεδομένων (άρθρο 19, παρ. 1, στοιχ. θ’ του ν. 2472/ 1997). Σε αυτό το πλαίσιο, η Αρχή δεν δύναται να παρεμβαίνει στην υλοποίηση συστημάτων και στις επιχειρησιακές επιλογές, τα οποία εκφεύγουν του πεδίου αρμοδιοτήτων της”.

Το απόλυτο αλαλούμ

Στο υπουργείο Υποδομών αλλά και στον ΟΑΣΑ επικρατεί το απόλυτο αλαλούμ, όπως αποκαλύπτουν, άλλωστε, οι ουρές των τελευταίων ημερών.

Ενδεικτική του γεγονότος ότι οι επικεφαλής του υπουργείου Υποδομών αδυνατούν να διαχειριστούν την κατάσταση είναι η δήλωση -νωρίτερα σήμερα-του υφυπουργού Νίκου Μαυραγάνη ότι οι ουρές στα εκδοτήρια είναι αποτέλεσμα της παρανόησης του επιβατικού κοινού.

Τι απαντά ο ΟΑΣΑ στην Αρχή Προστασίας Δεδομένων

Σε διευκρινίσεις σχετικά με τον τρόπο έκδοσης ηλεκτρονικών προσωποποιημένων καρτών, προχώρησε o ΟΑΣΑ μετά την ανακοίνωση της Αρχής Προστασίας Δεδομένων που λέει ότι αναφέρει ότι όχι μόνο δεν απαγόρευσε, αλλά αντιθέτως επέτρεψε ρητώς τη διαδικασία υποβολής αιτήσεων μέσω διαδικτύου.

Αναλυτικά, στην ανακοίνωσή του ο ΟΑΣΑ υπογραμμίζει τα ακόλουθα:

1. Στην αρχική του γνωστοποίηση προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ο ΟΑΣΑ προέβλεπε εναλλακτικά την έκδοση καρτών μέσω διαδικτυακής εφαρμογής: "..Εναλλακτικά, ο αιτών μπορεί να χρησιμοποιήσει κατάλληλη διαδικτυακή εφαρμογή για να εισαγάγει μόνος του τα απαραίτητα στοιχεία και να υποβάλει διαδικτυακά την αίτησή του.”

2. Συνεπώς ο ΟΑΣΑ, στην αρχική του πρόταση, εκπόνησε μελέτη προκειμένου να καταστεί δυνατή η έκδοση προσωποποιημένου κομίστρου και μέσω της ιστοσελίδας του, ώστε να εξυπηρετηθεί μεγάλο πλήθος χρηστών και να παραλάβει, στη συνέχεια, τις προσωποποιημένες κάρτες, είτε σε οποιαδήποτε σταθμό επιλογής του, είτε ταχυδρομικά στη διεύθυνση επιλογής του. Η έκδοση αυτή θα σήμαινε απαραιτήτως την επεξεργασία των προσωπικών δεδομένων του ονόματος και της διευθύνσεως των υποκειμένων, προκειμένου να καταστεί δυνατή η προσωποποίηση της κάρτας και η αποστολή της στη διεύθυνση του ενδιαφερομένου. Η Αρχή Προστασίας τόνισε στη σκέψη 9 της Γνωμοδοτήσεως 1/2017 ότι "οποιαδήποτε συσχέτιση είτε σε λογικό είτε σε φυσικό επίπεδο του συγκεκριμένου αριθμού της κάρτας με το κάτοχο αυτής επιτρέπει την εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρομές που αυτός πραγματοποιεί, κατά συνέπεια ο ΟΑΣΑ θα πρέπει να διασφαλίσει ότι από το σύνολο της τηρούμενης πληροφορίας, ακόμα κι αν αυτή είναι διαμοιρασμένη σε ανεξάρτητα υποσυστήματα δεν θα είναι εφικτή η πραγματοποίηση μιας τέτοιας επεξεργασίας" και πρότεινε την "αξιοποίηση κρυπτογραφικών συναρτήσεων κατακερματισμού" δηλαδή την ψευδωνυμοποίηση. Τούτο σημαίνει ότι στον ΟΑΣΑ δεν δόθηκε η σχεδιαζόμενη δυνατότητα να σχηματίσει ένα αρχείο με τα ονοματεπώνυμα και τις διευθύνσεις των χρηστών, διότι προσέκρουε στην άποψη της Αρχής περί εξαγωγής πληροφόρησης μέσω της συσχέτισης διαμοιρασμένων υποσυστημάτων και για το λόγο αυτό - αφενός - ματαιώθηκε η απευθείας έκδοση καρτών μέσω διαδικτύου. Αφετέρου, ο ΟΑΣΑ οδηγήθηκε στον επανασχεδιασμό της διαδικασίας με ψευδωνυμοποίηση των προσωπικών δεδομένων της κάρτας και έκδοσής της με χρήση QRcode, χωρίς καταχώρηση προσωπικών στοιχείων σε υποσύστημα, αλλά με παραλαβή τους στα κατά τόπους εκδοτήρια.

3. Ο ΟΑΣΑ δεν θα μπορούσε να επιμείνει στην επεξεργασία προσωπικών δεδομένων (ονόματος και διευθύνσεως) για την έκδοση των προσωποποιημένων κομίστρων (καρτών), καθώς η γνωμοδότηση 1/2017 της Αρχής είχε ξεκάθαρα ορίσει το πλαίσιο εντός του οποίου όφειλε να υλοποιήσει το σύστημα έκδοσης και προς τούτο υποχρεώθηκε να τροποποιήσει τις αρχικές του επιχειρησιακές επιλογές με γνώμονα την πλέον επίσημη και δεσμευτική άποψη της Αρχής Προστασίας.

4. Στα πλαίσια αυτά ο ανάδοχος του έργου πρότεινε τη βέλτιστη τεχνική λύση, στα πλαίσια των προβλέψεων της γνωμοδότησης 1 της ΑΠΠΔΧ.

5. Σε κάθε περίπτωση ο ΟΑΣΑ – στα πλαίσια της αρχικής του πρότασης - διαθέτει εφαρμογή με έκδοσης προσωποποιημένων καρτών μέσω διαδικτύου, η οποία, εφόσον εγκριθεί, μπορεί να τεθεί άμεσα σε εφαρμογή.

Πηγή:capital.gr