"Φρένο" στο ηλεκτρονικό εισιτήριο- Κίνδυνος παραβίασης προσωπικών δεδομένων

Η Αρχή Προστασίας Προσωπικών Δεδομένων εμποδίζει προσωρινά την κυκλοφορία του ηλεκτρονικού εισιτηρίου στις αστικές συγκοινωνίες και ο λόγος είναι ο κίνδυνος παραβίασης των προσωπικών δεδομένων των επιβατών.

Να υπενθυμίσουμε ότι Την Τετάρτη 1η Φεβρουαρίου, ξεκίνησε η σταδιακή εφαρμογή του ηλεκτρονικού εισιτηρίου σε Λεωφορεία, Τρόλεϊ, τη Γραμμή 1 του Μετρό (Ηλεκτρικός) και το Τραμ.

Ενώ έχει προγραμματιστεί από τη Δευτέρα 3 Απριλίου 2017 να λειτουργήσει και στις γραμμές 2 και 3 του Μετρό, δηλαδή σε όλο το σύστημα του ΟΑΣΑ.

Το νέο, έξυπνο ηλεκτρονικό εισιτήριο θα είναι διαθέσιμο σε δύο μορφές: το πολλαπλό εισιτήριο, AΤΗ.ΕΝΑ Τicket και την έξυπνη κάρτα AΤΗ.ΕΝΑ Card.

Όμως, για την έκδοση του ηλεκτρονικού εισιτηρίου πρέπει να δοθεί από τους πολίτες ένα πλήθος προσωπικών δεδομένων, όπως Αριθμός Μητρώου Κοινωνικής Ασφάλισης-ΑΜΚΑ, ονοματεπώνυμο, διεύθυνση κατοικίας, ημερομηνία γέννησης, φωτογραφία σε ηλεκτρονική μορφή, αριθμός τηλεφώνου, αριθμός κινητού τηλεφώνου, αριθμός fax, ταχυδρομική διεύθυνση, ηλεκτρονική διεύθυνση κ.ά, καθώς όλα αυτά είναι απαραίτητα για την εφαρμογή του εν λόγω συστήματος.

Στη νέα κάρτα, θα υπάρχει φωτογραφία του επιβάτη-δικαιούχου, το όνομά του, ενώ θα υπάρχει και τσιπάκι. Η νέα κάρτα θα είναι υποχρεωτική για όλους όσους χρησιμοποιούν τα μέσα μαζικής μεταφοράς με την παραπάνω μορφή (απεριόριστες διαδρομές, μειωμένο κλπ).

Η Αρχή υπογραμμίζει τον υπερβολικά μεγάλο αριθμό των προσωπικών δεδομένων που συλλέγονται και καταχωρούνται για την κάρτα του ηλεκτρονικού εισιτηρίου, χωρίς ωστόσο ο ΟΑΣΑ να έχει εξετάσει «εναλλακτικές τεχνικές λύσεις που αφενός μεν θα επιτύγχαναν εξίσου τους επιδιωκόμενους σκοπούς αφετέρου δε θα εξασφάλιζαν την προστασία της ιδιωτικότητας των χρηστών».

Μάλιστα, η Αρχή Προστασίας Προσωπικών Δεδομένων ζητεί από τον ΟΑΣΑ να λάβει όλα τα απαραίτητα μέτρα ασφαλείας για να μην υπάρξει παραβίαση των προσωπικών δεδομένων αλλά και να προβεί στην εκπόνηση εκτίμησης των επιπτώσεων από την επεξεργασία τους.

Η Αρχή αναφέρει συγκεκριμένα  ότι τα  «δεδομένα στην επιφάνεια της κάρτας (ονοματεπώνυμο, φωτογραφία) και στο chip της κάρτας (αριθμός κάρτας, προφίλ (τύπος) χρήστη και ημερομηνία λήξης δικαιώματος) είναι κατ’ αρχάς πρόσφορα σε σχέση με τους επιδιωκόμενους σκοπούς. Θα πρέπει ωστόσο να ληφθεί μέριμνα, εφόσον στο chip τηρείται και κάποιο ιστορικό επικυρώσεων της κάρτας, να τεκμηριώνεται ότι το ιστορικό αυτό είναι απόλυτα αναγκαίο – και, ως εκ τούτου, το ελάχιστο δυνατό – εν όψει των επιδιωκόμενων σκοπών. Τα δεδομένα στο chip της κάρτας τηρούνται και μεταδίδονται ανέπαφα και μη κρυπτογραφημένα και, κατά συνέπεια, τυχόν απώλεια της κάρτας δύναται να επιτρέψει σε κάποιον τρίτο να ανακαλύψει και το ιστορικό των μετακινήσεών του.

Η τήρηση –είτε στο ίδιο το εισιτήριο (ηλεκτρονική κάρτα) είτε στη βάση δεδομένων- του δρομολογίου που πραγματοποιήθηκε, της ημερομηνίας και ώρας αυτού καθώς και του αριθμού του ηλεκτρονικού εισιτηρίου παραπέμπουν σε συγκεκριμένο επιβάτη, ο προσδιορισμός (ταυτοποίηση) του οποίου –με τη μορφή προσωποποιημένης πληροφόρησης- καθίσταται δυνατός εφόσον στο αρχείο που τηρεί ο υπεύθυνος επεξεργασίας υπάρχουν προσωπικά δεδομένα ταυτοποίησης του κατόχου του. Με αυτόν τον τρόπο, οι μετακινήσεις κάθε επιβάτη – χρήστη προσωποποιημένου ηλεκτρονικού εισιτηρίου παύουν πλέον να είναι ανώνυμες, με αποτέλεσμα να θίγεται υπέρμετρα η ελευθερία κίνησης ή κυκλοφορίας της οποίας αναπόσπαστο μέρος συνιστά το δικαίωμα της ανώνυμης μετακίνησης».

Η ελευθερία κίνησης, σημειώνει η Αρχή, «αποτελεί έκφανση του δικαιώματος ελεύθερης ανάπτυξης της προσωπικότητας που κατοχυρώνεται στο άρθρο 5 παρ. 1 Συντάγματος, καθώς και της εν γένει προσωπικής ελευθερίας που εδράζεται στο άρθρο 5 παρ. 3 εδ. 1 Σ.».

 

Αρχή Προστασίας Προσωπικών Δεδομένωνηλεκτρονικό εισιτήριο