ΕΛΛΑΔΑ #Αρχή Προστασία Δεδομένων Προσωπικού Χαρακτήρα #ηλεκτρονικό εισιτήριο #ΟΑΣΑ

Τι συμβαίνει με την έκδοση ηλεκτρονικού εισιτηρίου μέσω ίντερνετ

Σε διάλογο καλεί το υπουργείο Μεταφορών την Αρχή Προστασίας Προσωπικών Δεδομένων

02·11·2017 08:46

Η έκδοση προσωποποιημένων καρτών ηλεκτρονικού εισιτηρίου διαδικτυακά θα βρεθεί στο επίκεντρο, αύριο, Παρασκευή.

Συγκεκριμένα θα υπάρξει διάλογος μεταξύ του υπουργείου Υποδομών και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για το αν επιτρέπεται ή όχι η ηλεκτρονική έκδοση της κάρτας.

Η διοίκηση της Αρχής επιχείρησε χθες με ανακοίνωσή της να ξεκαθαρίσει πως δεν ευθύνεται για τις ουρές και την ταλαιπωρία επειδή απαγόρευσε την ηλεκτρονική έκδοση της κάρτας.

Μετά την ανακοίνωση της Αρχής, την Τετάρτη, σύμφωνα με την οποία επέτρεπε την ηλεκτρονική έκδοση της προσωποποιημένης κάρτας, η ηγεσία του υπουργείου Υποδομών εξέδωσε ανακοίνωση και περιμένει τη διοίκηση για να αποσαφινιστεί τι ισχύει.

Από την ανακοίνωση του υπουργείου προκύπτει πως η μη ηλεκτρονική έκδοση της κάρτας έγινε για να τηρηθούν οι γνωμοδοτήσεις της Αρχής.

Σε κάθε περίπτωση έκδοση της κάρτας μέσω Διαδικτύου σημαίνει πως οι επιβάτες δεν θα χρειαστεί να πάει στο γκισέ.

Καταθέτει ηλεκτρονικά τα στοιχεία του και παραλαμβάνει με φάκελο στο σπίτι ή στο γραφείο την κάρτα. Κάτι τέτοιο δεν μπορεί να γίνει σήμερα.

Η ανακοίνωση του υπουργείου Μεταφορών

Η ηγεσία του υπουργείου Υποδομών καλεί την Παρασκευή 3 Νοεμβρίου στις 2 μμ, σε δημόσια συνάντηση την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, τον ΟΑΣΑ και την ανάδοχο εταιρεία του συστήματος του ηλεκτρονικού εισιτηρίου, τους φορείς δηλαδή που συμμετείχαν στις συζητήσεις για το ηλεκτρονικό εισιτήριο και τον τρόπο έκδοσης του, προκειμένου, έστω και τώρα, η Αρχή να δηλώσει δημόσια εάν επιτρέπει την υποβολή ηλεκτρονικής αίτησης με τη διεύθυνση των πολιτών και τα υπόλοιπα απαιτούμενα στοιχεία, ώστε να μπορεί να αποσταλεί ταχυδρομικά η «έξυπνη κάρτα», χωρίς την αυτοπρόσωπη παρουσία των πολιτών, όπως το Υπουργείο είχε ενημερωθεί από τον ΟΑΣΑ και την ανάδοχο, με βάση τις γνωμοδοτήσεις 1 και 4 / 2017 της ίδιας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Στην ανακοίνωση του υπουργείου αναφέρεται: «Ποτέ δεν είναι αργά. Όταν η χρήση των δεδομένων αυτών επιτρέπεται σε ιδιωτικούς φορείς (τράπεζες, εταιρείες τηλεφωνίας κλπ), να επιτρέπεται και στους φορείς του Ελληνικού Δημοσίου…».

Σχετικά με τον τρόπο έκδοσης ηλεκτρονικών προσωποποιημένων καρτών, o ΟΑΣΑ υπογραμμίζει τα ακόλουθα:

1. Στην αρχική του γνωστοποίηση προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), ο ΟΑΣΑ προέβλεπε εναλλακτικά την έκδοση καρτών μέσω διαδικτυακής εφαρμογής: «Εναλλακτικά, ο αιτών μπορεί να χρησιμοποιήσει κατάλληλη διαδικτυακή εφαρμογή για να εισαγάγει μόνος του τα απαραίτητα στοιχεία και να υποβάλει διαδικτυακά την αίτησή του».

2. Συνεπώς ο ΟΑΣΑ, στην αρχική του πρόταση, εκπόνησε μελέτη προκειμένου να καταστεί δυνατή η έκδοση προσωποποιημένου κομίστρου και μέσω της ιστοσελίδας του, ώστε να εξυπηρετηθεί μεγάλο πλήθος χρηστών και να παραλάβει, στη συνέχεια, τις προσωποποιημένες κάρτες, είτε σε οποιαδήποτε σταθμό επιλογής του, είτε ταχυδρομικά στη διεύθυνση επιλογής του. Η έκδοση αυτή θα σήμαινε απαραιτήτως την επεξεργασία των προσωπικών δεδομένων του ονόματος και της διευθύνσεως των υποκειμένων, προκειμένου να καταστεί δυνατή η προσωποποίηση της κάρτας και η αποστολή της στη διεύθυνση του ενδιαφερομένου. Η Αρχή Προστασίας τόνισε στη σκέψη 9 της Γνωμοδοτήσεως 1/2017 ότι «οποιαδήποτε συσχέτιση είτε σε λογικό είτε σε φυσικό επίπεδο του συγκεκριμένου αριθμού της κάρτας με το κάτοχο αυτής επιτρέπει την εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρομές που αυτός πραγματοποιεί, κατά συνέπεια ο ΟΑΣΑ θα πρέπει να διασφαλίσει ότι από το σύνολο της τηρούμενης πληροφορίας, ακόμα κι αν αυτή είναι διαμοιρασμένη σε ανεξάρτητα υποσυστήματα δεν θα είναι εφικτή η πραγματοποίηση μιας τέτοιας επεξεργασίας» και πρότεινε την «αξιοποίηση κρυπτογραφικών συναρτήσεων κατακερματισμού» δηλαδή την ψευδωνυμοποίηση. Τούτο σημαίνει ότι στον ΟΑΣΑ δεν δόθηκε η σχεδιαζόμενη δυνατότητα να σχηματίσει ένα αρχείο με τα ονοματεπώνυμα και τις διευθύνσεις των χρηστών, διότι προσέκρουε στην άποψη της Αρχής περί εξαγωγής πληροφόρησης μέσω της συσχέτισης διαμοιρασμένων υποσυστημάτων και για το λόγο αυτό – αφενός – ματαιώθηκε η απευθείας έκδοση καρτών μέσω διαδικτύου. Αφετέρου, ο ΟΑΣΑ οδηγήθηκε στον επανασχεδιασμό της διαδικασίας με ψευδωνυμοποίηση των προσωπικών δεδομένων της κάρτας και έκδοσής της με χρήση QRcode, χωρίς καταχώρηση προσωπικών στοιχείων σε υποσύστημα, αλλά με παραλαβή τους στα κατά τόπους εκδοτήρια.

3. Ο ΟΑΣΑ δεν θα μπορούσε να επιμείνει στην επεξεργασία προσωπικών δεδομένων (ονόματος και διευθύνσεως) για την έκδοση των προσωποποιημένων κομίστρων (καρτών), καθώς η γνωμοδότηση 1/2017 της Αρχής είχε ξεκάθαρα ορίσει το πλαίσιο εντός του οποίου όφειλε να υλοποιήσει το σύστημα έκδοσης και προς τούτο υποχρεώθηκε να τροποποιήσει τις αρχικές του επιχειρησιακές επιλογές με γνώμονα την πλέον επίσημη και δεσμευτική άποψη της Αρχής Προστασίας.

4. Στα πλαίσια αυτά ο ανάδοχος του έργου πρότεινε τη βέλτιστη τεχνική λύση, στα πλαίσια των προβλέψεων της γνωμοδότησης 1 της ΑΠΠΔΧ.

5. Σε κάθε περίπτωση ο ΟΑΣΑ – στα πλαίσια της αρχικής του πρότασης – διαθέτει εφαρμογή με έκδοσης προσωποποιημένων καρτών μέσω διαδικτύου, η οποία, εφόσον εγκριθεί, μπορεί να τεθεί άμεσα σε εφαρμογή.