«Καμπάνα» με πρόστιμο στον ΟΑΣΑ για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα - Ποιες οι παραβάσεις που εντόπισε η Αρχή

Τη διατήρηση δεδομένων των μετακινήσεων επιβατών μέσω του ηλεκτρονικού εισιτηρίου για διάστημα που φτάνει και τα είκοσι χρόνια και μάλιστα χωρίς επαρκή τεκμηρίωση είχε αποφασίσει ο ΟΑΣΑ αναφορικά με τα δεδομένα (επαvα)φόρτισης, επικύρωσης και ελέγχου κομίστρου επικαλούμενος μάλιστα τη συσχέτιση αυτής της απόφασης με τις διατάξεις της φορολογικής νομοθεσίας. Επιπλέον έως και τα τέλη του 2019 δεν είχε εκπονήσει την απαραίτητη μελέτη εκτίμησης αντικτύπου, ενώ φαίνεται ότι έως και σήμερα, έξι χρόνια μετά την εφαρμογή του Αυτόματου Συστήματος Συλλογής Κομίστρου στην πρωτεύουσα, δεν έχουν θεραπευτεί ζητήματα τα οποία άπτονται της προστασίας των προσωπικών δεδομένων των επιβατών.

Για τα ζητήματα αυτά η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με πρόσφατη απόφασή της, επέβαλε πρόστιμο ύψους 50.000 ευρώ στον ΟΑΣΑ, ενώ του έδωσε και τρίμηνη προθεσμία προκειμένου να προχωρήσει στις απαραίτητες βελτιώσεις. Η υπόθεση ξεκίνησε ύστερα απο έκτακτο επιτόπιο έλεγχο της Αρχής στον Οργανισμό αναφορικά με την προστασία των προσωπικών δεδομένων που υφίστανται επεξεργασία στο πλαίσιο του Αυτόματου Συστήματος Συλλογής Κομίστρου (ΑΣΣΚ) τον Νοέμβριο του 2019.

Κατά την επίσκεψη του κλιμακίου της Αρχής προέκυψαν τέσσερα σημαντικά ευρήματα και συγκεκριμένα:

• Μη έγκαιρη εκπόνηση εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων (ΕΑΠΔ): Η εκτίμηση αντικτύπου ως προς την προστασία προσωπικών δεδομένων δεν ήταν διαθέσιμη κατά τη στιγμή του ελέγχου, αλλά υποβλήθηκε τελικά στην Αρχή μετέπειτα, στις 30-12-2019.
• Μη εμπεριστατωμένο περιεχόμενο εκτίμησης αντικτύπου ως προς την προστασία προσωπικών δεδομένων: Όπως αναλύεται στο πόρισμα του ελέγχου, η ΕΑΠΔ, η οποία υποβλήθηκε μετά τον έλεγχο, «παρουσιάζει ασάφειες σε πολλά σημεία, δεν εξετάζει όλους τους κινδύνους ως προς την προστασία των προσωπικών δεδομένων, ενώ και οι κίνδυνοι που εξετάζονται, δεν φαίνεται ότι αποτιμώνται με τον δέοντα τρόπο. Επίσης, διαπιστώθηκε αναντιστοιχία μεταξύ της εκτίμησης αντικτύπου και του τεθέντος υπόψη της Αρχής αρχείου δραστηριοτήτων ως προς τις νομικές βάσεις της επεξεργασίας για τους διάφορους σκοπούς, η οποία δεν τεκμηριώνεται».
• Χρόνος τήρησης των δεδομένων: Ο χρόνος τήρησης των δεδομένων στο πλαίσιο του ΑΣΣΚ δεν είχε καθοριστεί κατά τη στιγμή του ελέγχου. Μετά τον έλεγχο, επελέγη ως χρόνος τήρησης τα 20 έτη, για όλους ανεξαιρέτως τους σκοπούς του συστήματος, χωρίς διάκριση και χωρίς σχετική τεκμηρίωση.
• Αρχείο δραστηριοτήτων επεξεργασίας: Οι σκοποί της εν λόγω επεξεργασίας δεν περιγράφονται στο αρχείο δραστηριοτήτων τόσο αναλυτικά όσο ο υπεύθυνος επεξεργασίας τους είχε περιγράψει αρχικώς στην Αρχή και όπως αυτοί περιγράφονται στις δύο Γνωμοδοτήσεις της Αρχής το 2017. Επίσης, όπως επισημαίνεται στην απόφαση, δεν υπάρχει αντιστοιχία μεταξύ των σκοπών που περιγράφονται στο αρχείο δραστηριοτήτων και στη σχετική ενημέρωση η οποία παρεχόταν στα υποκείμενα των δεδομένων, δηλαδή στους κατόχους των καρτών, κατά την περίοδο εκείνη μέσω του διαδικτυακού τόπου του ΟΑΣΑ.

Ειδικά ως προς τους χρόνους τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας, στο σκεπτικό της απόφασης επισημαίνετα πως ο ΟΑΣΑ, ο οποίος δεν είχε προσδιορίσει χρόνους τήρησης των δεδομένων κατά τη χρονική στιγμή του επιτόπιου ελέγχου, μετά τον έλεγχο, όρισε χρόνο τήρησης τα 20 έτη για όλα τα δεδομένα, ανεξαρτήτως των σκοπών επεξεργασίας. Ακολούθως μετά τον έλεγχο της Αρχής, προχώρησε σε εξειδίκευση των χρόνων τήρησης για τους διάφορους σκοπούς επεξεργασίας δεδομένων – χωρίς να ισχύει πλέον το διάστημα της εικοσαετίας καθολικά για όλους τους σκοπούς.

Ωστόσο, όπως καταλήγει η Αρχή «εν τέλει, φαίνεται ότι τα δεδομένα μετακινήσεων εξακολουθούν να τηρούνται για εικοσαετία, με το σκεπτικό ότι η τήρησή τους δικαιολογείται για φορολογικούς σκοπούς, ενόψει –όπως αναφέρει ο ΟΑΣΑ στο υπόμνημά του- «της εικοσαετούς παραγραφής που προβλέπεται για τις περιπτώσεις φοροδιαφυγής (άρ. 36 παρ. 3 του Ν. 4174/2013). Τα παραδείγματα που αναφέρει δεν σχετίζονται με φορολογικές υποχρεώσεις του Οργανισμού αλλά με αιτήματα τα οποία μπορούν να υποβάλουν τα υποκείμενα των δεδομένων».

Αυτά σχετίζονται με πιθανό αίτημα χρήστη για ανάλυση του ιστορικού των μετακινήσεών του - των συναλλαγών του, για παράδειγμα εάν ένας επιβάτης παραπονεθεί για υπερβολική χρέωση κατά την επικύρωση της κάρτας του σε σταθμό ή όχημα, ή αμφισβητήσει το τυχόν μηδενικό υπόλοιπο της κάρτας του ή οποιαδήποτε χρέωση-συναλλαγή.

Για το ζήτημα αυτό η Αρχή είχε ζητήσει από τον ΟΑΣΑ να τεκμηριώσει την ανάγκη τήρησης των δεδομένων μετακινήσεων για 20 έτη απαιτώντας διευκρινίσεις στα εξής:

• Πώς συνδέεται η τήρηση των δεδομένων επαναφόρτισης, επικύρωσης και ελέγχου κομίστρου με τη φοροδιαφυγή και γενικότερα με τις διατάξεις της φορολογικής νομοθεσίας;
• Γιατί επελέγη ως χρόνος τήρησης των προαναφερθέντων δεδομένων η 20ετία, ενώ η συγκεκριμένη διάταξη (άρ. 36 παρ. 3 Ν. 4174/2013) προβλέπει 10ετή προθεσμία έκδοσης πράξης διοικητικού προσδιορισμού φόρου καθώς είχε τροποποιηθεί το 2019;

Στις ερωτήσεις αυτές δεν έλαβε νεώτερη απάντηση από τον Οργανισμό.

Επιπλέον η Αρχή είχε ζητήσει να διευκρινιστεί αν το ενδεχόμενο ανωνυμοποίησης των δεδομένων επαναφόρτισης, επικύρωσης και ελέγχου κομίστρου (ήτοι διαγραφή του μοναδικού αριθμού της κάρτας, με διατήρηση των λοιπών πληροφοριών όπως κατηγορία δικαιούχου, σημεία και χρόνοι επικύρωσης κτλ.), σε σύντομο χρονικό διάστημα από τη δημιουργία τους, επηρεάζει δυσμενώς τους λοιπούς σκοπούς επεξεργασίας –και σε καταφατική περίπτωση, να τεκμηριωθεί σχετικά.

Η επεξεργασία δεδομένων

Ως προς την επεξεργασία δεδομένων μέσω του ηλεκτρονικού εισιτηρίου, η ΑΠΔΠΧ επισημαίνει ότι για τα προσωποποιημένα εισιτήρια, η επεξεργασία δεδομένων που πραγματοποιείται από το ΑΣΣΚ αναφορικά με τις κινήσεις του επιβατικού κοινού, αποτελεί επεξεργασία προσωπικών και όχι ανώνυμων δεδομένων, παρά το ότι δεν τηρούνται ονοματεπώνυμα επιβατών. Οπως εξηγεί, αυτό συμβαίνει «διότι στη βάση δεδομένων του ΑΣΣΚ αποθηκεύεται το «ψηφιακό αποτύπωμα» («hashed value») που προκύπτει από τον συνδυασμό του ΑΜΚΑ του επιβάτη (ή αριθμού διαβατηρίου ή άλλου επίσημου εγγράφου ταυτοποίησης) και του 8-ψήφιου κωδικού (PIN), καθώς και ο μήνας και έτος γέννησης αλλά και η ειδική κατηγορία του δικαιούχου. Συνεπώς, ο ΑΜΚΑ και ο 8-ψήφιος κωδικός που επιλέγει ο κάθε χρήστης, αποτελούν τις πληροφορίες εκείνες οι οποίες επιτρέπουν την αντιστοίχιση του ΑΜΚΑ με το ψηφιακό αποτύπωμα – και άρα, την αναγνώριση (μέσω του ΑΜΚΑ) του επιβάτη που κατέχει κάρτα με συγκεκριμένο αριθμό, το οποίο κατ’ επέκταση, επιτρέπει την αναγνώριση των μετακινήσεών του».

Η Αρχή προσθέτει μάλιστα πως παρά το γεγονός ότι από το αποτύπωμα δεν μπορεί να εξαχθεί ο ΑΜΚΑ ή ο κωδικός, εν τούτοις για γνωστό ΑΜΚΑ και κωδικό μπορεί να γίνει ευχερώς επαλήθευση αν αυτά αντιστοιχούν ή όχι στο συγκεκριμένο ψηφιακό αποτύπωμα.

Για τους λόγους αυτούς «ο ΟΑΣΑ ορθώς δεν τηρεί τις εν λόγω πληροφορίες», σημειώνει η Αρχή προσθέτοντας πως αυτές είναι στην κατοχή μόνο του κάθε κατόχου κάρτας προκειμένου, όποτε το θελήσει (ιδίως σε περίπτωση απώλειας της κάρτας του) να αποδείξει ότι πράγματι κατείχε κάρτα με συγκεκριμένο αριθμό.

Σε κάθε περίπτωση διευκρινίζει, πάντως, πως «τούτο όμως δεν καθιστά τα δεδομένα ανώνυμα, αλλά ψευδωνυμοποιημένα, αφού τελικά υπάρχουν συμπληρωματικές πληροφορίες (στην κατοχή του ίδιου του υποκειμένου των δεδομένων) που επιτρέπουν την απόδοσή τους σε συγκεκριμένο φυσικό πρόσωπο. Εξάλλου, όπως αναλύεται στη συνέχεια, λαμβάνοντας υπόψη τα μέσα που μπορεί ευλόγως να χρησιμοποιήσει ο υπεύθυνος επεξεργασίας, δεν μπορεί να αποκλειστεί η δυνατότητα άρσης της ψευδωνυμοποίησης – ενώ εξάλλου, το γεγονός ότι ο ΟΑΣΑ, για τους λόγους που επικαλείται τηρεί τα δεδομένα μετακινήσεων για είκοσι (20) έτη, καταδεικνύει ότι τα εν λόγω δεδομένα δεν μπορούν να χαρακτηριστούν ως ανώνυμα», σημειώνεται στην απόφαση.

Η έλλειψη μελέτης αντικτύπου

Σε ό,τι αφορά την επικαιροποιημένη ΕΑΠΔ, η οποία υποβλήθηκε μετά την ακρόαση του υπευθύνου επεξεργασίας ενώπιον της Αρχής και αναθεωρήθηκε «προκύπτει ότι δεν έχει εκπονηθεί κατά τρόπο τέτοιο ώστε να τεκμηριώνεται απόλυτα η αντιμετώπιση όλων των κινδύνων προστασίας δεδομένων», όπως σημειώνεται στην απόφαση.

Τα σημεία, στα οποία εντόπισε ασάφειες η Αρχή συνοψίζονται ως εξής:

1. Μη σαφής τεκμηρίωση του τρόπου υπολογισμού του εκάστοτε κινδύνου που αποτελεί έλλειψη άμεσα συνυφασμένη με τη μη σαφή τεκμηρίωση του προσδιορισμού τόσο της πιθανότητας επέλευσης του κάθε κινδύνου όσο και των σχετικών συνεπειών από την επέλευσή του (αναλυτικότερη τεκμηρίωση δίνεται στο εμπιστευτικό παράρτημα της απόφασης).
2. Ως άμεση απόρροια του ανωτέρω, φαίνεται ότι, «αν και πράγματι λαμβάνονται μέτρα αντιμετώπισης για διάφορους κινδύνους τα οποία είναι προς τη σωστή κατεύθυνση, υπάρχουν ακόμα περιθώρια λήψης πρόσθετων μέτρων, ιδίως ως προς την αντιμετώπιση του κινδύνου της μη εξουσιοδοτημένης αντιστοίχισης των μετακινήσεων ενός επιβάτη με τον ΑΜΚΑ αυτού». Ως εκ τούτου, τίθεται εκ των πραγμάτων ζήτημα μη πλήρους συμμόρφωσης με την αρχή της προστασίας των δεδομένων ήδη από το σχεδιασμό, βάσει του άρθρου 25 του ΓΚΠΔ.
3. Δεν φαίνεται να έχει γίνει, εντός της ΕΑΠΔ, ορθή εκτίμηση της νομικής βάσης για τους διάφορους σκοπούς επεξεργασίας
4. Η ΕΑΠΔ δεν εξετάζει ζητήματα που άπτονται της διαφάνειας της επεξεργασίας αλλά και των λοιπών δικαιωμάτων των υποκειμένων των δεδομένων. «Γενικότερα, η ΕΑΠΔ εστιάζει κυρίως σε ζητήματα ασφάλειας της επεξεργασίας και όχι τόσο σε λοιπούς κινδύνους προστασίας δεδομένων (π.χ. δεν εξετάζεται αν οι συμβάσεις με εκτελούντες την επεξεργασία αντιμετωπίζουν τους διάφορους κινδύνους κ.α., ενώ δεν παρέχει επαρκή τεκμηρίωση ούτε για το ζήτημα του χρόνου τήρησης των δεδομένων».

Να σημειωθεί ότι, σύμφωνα με απόφαση που αναρτήθηκε στη «Διαύγεια» στις 12 Οκτωβρίου, ο ΟΑΣΑ ενέκρινε ήδη τη δέσμευση ποσού 2.000 ευρώ με αντικείμενο τη σύνταξη αίτησης θεραπείας κατά της απόφασης της Αρχής Προστασίας δεδομένων Προσωπικού Χαρακτήρα.