Skip to main content

ΟΑΣΑ: Γιατί ματαιώθηκε η έκδοση καρτών μέσω ίντερνετ

Διευκρινίσεις για τον τρόπο έκδοσης ηλεκτρονικών προσωποποιημένων καρτών δίνει o ΟΑΣΑ, μετά από τη διάψευση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)​ ότι απαγόρευσε την ηλεκτρονική υποβολή αίτησης για την έκδοση ηλεκτρονικού εισιτηρίου.  Ο ΟΑΣΑ τονίζει πως διαθέτει εφαρμογή έκδοσης προσωποποιημένων καρτών μέσω Διαδικτύου, η οποία, εφόσον εγκριθεί, μπορεί να τεθεί άμεσα σε εφαρμογή.

Σε ανακοίνωσή του, ο ΟΑΣΑ σημειώνει πως στην αρχική του γνωστοποίηση προς την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), προέβλεπε εναλλακτικά την έκδοση καρτών μέσω διαδικτυακής εφαρμογής: «..Εναλλακτικά, ο αιτών μπορεί να χρησιμοποιήσει κατάλληλη διαδικτυακή εφαρμογή για να εισαγάγει μόνος του τα απαραίτητα στοιχεία και να υποβάλει διαδικτυακά την αίτησή του».

Συνεπώς, όπως αναφέρει ο ΟΑΣΑ, στην αρχική του πρόταση εκπόνησε μελέτη προκειμένου να καταστεί δυνατή η έκδοση προσωποποιημένου κομίστρου και μέσω της ιστοσελίδας του, ώστε να εξυπηρετηθεί μεγάλο πλήθος χρηστών και να παραλάβει, στη συνέχεια, τις προσωποποιημένες κάρτες, είτε σε οποιαδήποτε σταθμό επιλογής του, είτε ταχυδρομικά στη διεύθυνση επιλογής του. Η έκδοση αυτή, τονίζεται στην ανακοίνωση του ΟΑΣΑ, θα σήμαινε απαραιτήτως την επεξεργασία των προσωπικών δεδομένων του ονόματος και της διευθύνσεως των υποκειμένων, προκειμένου να καταστεί δυνατή η προσωποποίηση της κάρτας και η αποστολή της στη διεύθυνση του ενδιαφερομένου.

Κατά τον ΟΑΣΑ, η Αρχή Προστασίας τόνισε στη σκέψη 9  της Γνωμοδοτήσεως 1/2017 ότι «οποιαδήποτε συσχέτιση είτε σε λογικό είτε σε φυσικό επίπεδο του συγκεκριμένου αριθμού της κάρτας με το κάτοχο αυτής επιτρέπει την εξαγωγή πλήρους πληροφόρησης για τις ακριβείς διαδρομές που αυτός πραγματοποιεί, κατά συνέπεια ο ΟΑΣΑ θα πρέπει να διασφαλίσει ότι από το σύνολο της τηρούμενης πληροφορίας, ακόμα κι αν αυτή είναι διαμοιρασμένη σε ανεξάρτητα υποσυστήματα δεν θα είναι εφικτή η πραγματοποίηση μιας τέτοιας επεξεργασίας» και πρότεινε την «αξιοποίηση κρυπτογραφικών συναρτήσεων κατακερματισμού», δηλαδή την ψευδωνυμοποίηση.

Σύμφωνα με τον ΟΑΣΑ, αυτό σημαίνει ότι δεν δόθηκε στον Οργανισμό η σχεδιαζόμενη δυνατότητα να σχηματίσει ένα αρχείο με τα ονοματεπώνυμα και τις διευθύνσεις των χρηστών, διότι προσέκρουε στην άποψη της Αρχής περί εξαγωγής πληροφόρησης μέσω της συσχέτισης διαμοιρασμένων υποσυστημάτων και για το λόγο αυτό -αφενός- ματαιώθηκε η απευθείας έκδοση καρτών μέσω διαδικτύου. Αφετέρου, όπως υποστηρίζει ο ΟΑΣΑ, οδηγήθηκε στον επανασχεδιασμό της διαδικασίας με  ψευδωνυμοποίηση των προσωπικών δεδομένων της κάρτας και  έκδοσής της με χρήση QRcode, χωρίς καταχώρηση προσωπικών στοιχείων σε υποσύστημα, αλλά με παραλαβή τους στα κατά τόπους εκδοτήρια.

Ο ΟΑΣΑ υπογραμμίζει ότι δεν θα μπορούσε να επιμείνει στην επεξεργασία προσωπικών δεδομένων (ονόματος και διευθύνσεως) για την έκδοση των προσωποποιημένων κομίστρων (καρτών), καθώς όπως σημειώνει, η γνωμοδότηση 1/2017 της Αρχής είχε ξεκάθαρα ορίσει το πλαίσιο εντός του οποίου όφειλε να υλοποιήσει το σύστημα έκδοσης και προς τούτο υποχρεώθηκε να τροποποιήσει τις αρχικές του επιχειρησιακές επιλογές με γνώμονα την πλέον επίσημη και δεσμευτική άποψη της Αρχής Προστασίας.

Σύμφωνα πάντα με τον ΟΑΣΑ, στο πλαίσιο αυτό ο ανάδοχος του έργου πρότεινε τη βέλτιστη τεχνική λύση, βάσει των προβλέψεων της γνωμοδότησης 1 της ΑΠΠΔΧ. Καταλήγοντας, ο ΟΑΣΑ σημειώνει ότι στο πλαίσιο της αρχικής του πρότασης διαθέτει εφαρμογή έκδοσης προσωποποιημένων καρτών μέσω Διαδικτύου, η οποία, εφόσον εγκριθεί, μπορεί να τεθεί άμεσα σε εφαρμογή.