Ηλεκτρονικό εισιτήριο: Λύση ή πρόβλημα ; (Κατερίνα Χουζούρη)

«Θεέ μου, τι ακούμε και τι βλέπουμε πια σ’ αυτόν τον κόσμο; Τον ΟΑΣΑ να ζητάει τόσα στοιχεία από τον πολίτη που θέλει να αγοράσει ηλεκτρονικό εισιτήριο, που ούτε  ο Λευκός Οίκος δεν ζητάει από  τους επισκέπτες του».[1]

Θέμα των ημερών το ηλεκτρονικό εισιτήριο, με τον ΟΑΣΑ να διαβεβαιώνει ότι προστατεύονται τα δικαιώματα και πολίτη και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να επισημαίνει τα κενά που υπάρχουν στο σύστημα και τους κινδύνους που ελλοχεύουν.

Νέο, εύκολο και έξυπνο χαρακτηρίζεται το ηλεκτρονικό εισιτήριο. Ο ΟΑΣΑ υποστηρίζει, ότι διασφαλίζει και προστατεύει πλήρως το δικαίωμα της ανώνυμης μετακίνησης του επιβατικού κοινού.  Σε ό,τι αφορά στην προσωποποίηση – ταυτοποίηση όλων των επιβατών, ο Οργανισμός Αστικών Συγκοινωνιών Αθηνών Α.Ε, αναφέρει ότι «τα προσωπικά στοιχεία των κατόχων των καρτών, θα καταχωρούνται σε ασφαλή βάση δεδομένων, ενώ ένα υποσύνολο αυτών θα καταχωρείται σε ενσωματωμένο micro chip στην κάρτα, ώστε να καθίσταται δυνατός ο έλεγχος επί του μέσου μαζικής μεταφοράς, που θα αφορά στην ισχύ ή και στην εγκυρότητα αυτού του τύπου κομίστρου».

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,[2] συνεδρίασε εκτάκτως την Παρασκευή 20 Ιανουαρίου, παρουσία του Προέδρου της Κωνσταντίνου Μενουδάκου, για να γνωμοδοτήσει επί του θέματος του Ηλεκτρονικού Εισιτηρίου του Οργανισμού Αστικών Συγκοινωνιών Αθηνών Α.Ε.  Το ζητούμενο ήταν η γνωμοδότησή της, «αναφορικά με τη γνωστοποίηση επεξεργασίας προσωπικών δεδομένων, στο πλαίσιο του νέου Ενιαίου Αυτόματου Συστήματος Συλλογής κομίστρου για τις εταιρείες του Ομίλου ΟΑΣΑ».

Η γνωμάτευση της Αρχής αναφέρει ότι στο έγγραφο του ΟΑΣΑ, «γίνεται αναφορά σε πλήθος προσωπικών δεδομένων που θα υφίστανται επεξεργασία στο πλαίσιο του εν λόγω συστήματος, χωρίς όμως να τεκμηριώνονται διεξοδικά οι διαφορετικοί σκοποί που θα εξυπηρετούνται από την επεξεργασία αυτή».

Η Αρχή απέστειλε έγγραφο στον ΟΑΣΑ, ζητώντας περισσότερες διευκρινήσεις.  Ο Οργανισμός Αστικών Συγκοινωνιών απάντησε και στη συνέχεια πραγματοποιήθηκε συνάντηση εκπροσώπων των δύο φορέων.  Μετά τη συνάντηση οι επισημάνσεις της Αρχής συνοψίζονται στα εξής:

Η Αρχή αναγνωρίζει ότι με το ηλεκτρονικό εισιτήριο επιλύονται ζητήματα, όπως η αποφυγή επιβίβασης σε ΜΜΜ χωρίς εισιτήριο, η διευκόλυνση ελέγχου παραβάσεων, η συγκέντρωση στατιστικών στοιχείων κ.ά.

Όμως, επισημαίνει ότι «είναι απολύτως αναγκαίο κατά το σχεδιασμό του ηλεκτρονικού συστήματος, να διασφαλίζεται ότι πληρούνται οι κατάλληλες προϋποθέσεις για την αντιμετώπιση των κινδύνων, ως προς την προστασία των προσωπικών δεδομένων».

Επίσης, τονίζεται ότι «ο κύριος κίνδυνος που ελλοχεύει ως προς την προστασία των προσωπικών δεδομένων, στο πλαίσιο ενός συστήματος προσωποποιημένων ηλεκτρονικών εισιτηρίων, συνίσταται στο ότι η χρήση ενός τέτοιου  συστήματος, μπορεί να συνεπάγεται τη συλλογή δεδομένων σχετικά με τις διαδρομές που πραγματοποιεί ο εκάστοτε επιβάτης».

Τι σημαίνει όμως αυτό; «Οι μετακινήσεις κάθε επιβάτη – χρήστη του προσωποποιημένου ηλεκτρονικού εισιτηρίου παύουν πλέον να είναι ανώνυμες, με αποτέλεσμα να θίγεται υπέρμετρα το δικαίωμα της ανώνυμης μετακίνησης.  Η ελευθερία κίνησης, αποτελεί έκφανση του δικαιώματος ελεύθερης ανάπτυξης της προσωπικότητας».

Στη γνωμοδότηση της Αρχής ξεκαθαρίζεται ότι, «το περιεχόμενο της ελευθερίας κίνησης είναι ευρύτατο και περιλαμβάνει την κίνηση οπωσδήποτε, οπουδήποτε κι οποτεδήποτε χωρίς επεξεργασία των προσωπικών δεδομένων κίνησης, εκτός των περιπτώσεων στις οποίες ο νόμος ορίζει εξαιρέσεις για λόγους δημοσίου συμφέροντος», που στη συγκεκριμένη περίπτωση δεν συντρέχουν.  Επίσης, ο ΟΑΣΑ δεν επικαλείται τέτοιους λόγους στους επιδιωκόμενους σκοπούς επεξεργασίας.

Στο συγκεκριμένο σύστημα χρησιμοποιείται ένας μοναδικός σειριακός αριθμός, ο οποίος τηρείται μόνιμα στο chip της κάρτας και στη βάση δεδομένων. Άρα, κάθε συσχέτιση του συγκεκριμένου αριθμού με τον κάτοχο της κάρτας, «επιτρέπει την εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρομές που αυτός πραγματοποιεί».   Σ’ αυτό το σημείο η Αρχή επισημαίνει ότι: α. Μια τέτοια επεξεργασία είναι δυνατόν να πραγματοποιηθεί ανεξάρτητα από το γεγονός ότι ο υπεύθυνος επεξεργασίας ισχυρίζεται ότι δεν πρόκειται να προβεί σε τέτοια ενέργεια και β.  δεν τεκμηριώνεται η ανάγκη της επεξεργασίας προσωπικών δεδομένων.  Σύμφωνα με την Αρχή, ο υπεύθυνος επεξεργασίας δεν απέδειξε ότι εξέτασε όλες τις εναλλακτικές λύσεις «που αφενός μεν θα επιτύγχαναν εξίσου τους επιδιωκόμενους σκοπούς, αφετέρου δε θα εξασφάλιζαν την προστασία της ιδιωτικότητας των χρηστών».

Η γνωμοδότηση καταλήγει ότι «σε κάθε περίπτωση ο υπεύθυνος επεξεργασίας, θα πρέπει να υιοθετήσει τα απαραίτητα μέτρα ασφαλείας … και ο ΟΑΣΑ να προβεί στην εκπόνηση εκτίμησης επιπτώσεων στην προστασία προσωπικών δεδομένων, προκειμένου να καταδειχτούν και να αντιμετωπιστούν, όλα τα ζητήματα που εγείρονται στο θέμα της προστασίας προσωπικών δεδομένων.    Τέλος ζητείται από τον ΟΑΣΑ, να υποβάλει νέα γνωστοποίηση του συστήματος στην Αρχή.

Κατερίνα Χουζούρη

[1] Άρθρο του Άγγελου Στάγκου, με τίτλο «Βιώνουμε μια ιλαροτραγωδία», στην εφημερίδα Η Καθημερινή, Κυριακή 12 Φεβρουαρίου 2017.

[2] Στην ιστοσελίδα της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μπορεί κανείς να διαβάσει την  γνωμοδότησή της, με αριθμ. πρωτ. Γ/Ξ/706/30-1-2017