“Καμπάνα” 50.000 ευρώ στον ΟΑΣΑ για παραβίαση προσωπικών δεδομένων μέσω του “ηλεκτρονικού εισιτηρίου”

Πρόστιμο 50.000 ευρώ στον ΟΑΣΑ επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων για το σύστημα επεξεργασίας στο πλαίσιο του «ηλεκτρονικού εισιτηρίου», επισήμως λεγόμενου Αυτόματο Σύστημα Συλλογής Κομίστρου (ΑΣΣΚ).

Η Αρχή πραγματοποίησε έκτακτο επιτόπιο έλεγχο στον ΟΑΣΑ και διαπίστωσε σωρεία παραβιάσεων ως προς την επεξεργασία προσωπικών δεδομένων και για το λόγο αυτό οδηγήθηκε στην επιβολή του προστίμου, αλλά και σε εντολή συμμόρφωσης του Οργανισμού αναφορικά με τον προσδιορισμό των χρόνων τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας, αλλά και για αναθεώρηση της εκτίμησης αντικτύπου ως προς τα προσωπικά δεδομένα. Σημειώνεται πως σε περίπτωση νέα ελέγχου και μη συμμόρφωσης μπορεί να έρθει και νέα «καμπάνα».

(ΓΙΑΝΝΗΣ ΠΑΝΑΓΟΠΟΥΛΟΣ /EUROKINISSI)

Πρόστιμο 50.000 ευρώ στον ΟΑΣΑ: Τα ευρήματα του ελέγχου

Τα βασικά ευρήματα του ελέγχου, όπως αναλύονται στο πόρισμα, είναι τα εξής:

Εύρημα 1 – Μη έγκαιρη εκπόνηση ΕΑΠΔ

Η εκτίμηση αντικτύπου ως προς την προστασία προσωπικών δεδομένων (ΕΑΔΠ) δεν ήταν διαθέσιμη κατά τη στιγμή του ελέγχου, αλλά υποβλήθηκε τελικά στην Αρχή μετέπειτα, όπως προαναφέρθηκε, στις 30-12-2019.

Εύρημα 2 – Μη εμπεριστατωμένο περιεχόμενο εκτίμησης αντικτύπου ως προς την προστασία προσωπικών δεδομένων

Όπως αναλύεται στο πόρισμα του ελέγχου, η ΕΑΠΔ, η οποία υποβλήθηκε μετά τον έλεγχο, παρουσιάζει ασάφειες σε πολλά σημεία, δεν εξετάζει όλους τους κινδύνους ως προς την προστασία των προσωπικών δεδομένων, ενώ και οι κίνδυνοι που εξετάζονται, δεν φαίνεται ότι αποτιμώνται με τον δέοντα τρόπο. Επίσης, διαπιστώθηκε αναντιστοιχία μεταξύ της εκτίμησης αντικτύπου και του τεθέντος υπόψη της Αρχής αρχείου δραστηριοτήτων ως προς τις νομικές βάσεις της επεξεργασίας για τους διάφορους σκοπούς, η οποία δεν τεκμηριώνεται.

Εύρημα 3 – Χρόνος τήρησης των δεδομένων

Ο χρόνος τήρησης των δεδομένων στο πλαίσιο του ΑΣΣΚ δεν είχε καθοριστεί κατά τη στιγμή του ελέγχου. Μετά τον έλεγχο, επελέγη ως χρόνος τήρησης τα 20 έτη, για όλους ανεξαιρέτως τους σκοπούς του συστήματος, χωρίς διάκριση και χωρίς σχετική τεκμηρίωση.

Εύρημα 4 – Αρχείο δραστηριοτήτων επεξεργασίας

Οι σκοποί της εν λόγω επεξεργασίας δεν περιγράφονται στο αρχείο δραστηριοτήτων τόσο αναλυτικά όσο ο υπεύθυνος επεξεργασίας τους είχε περιγράψει αρχικώς στην Αρχή και όπως αυτοί περιγράφονται στις Γνωμοδοτήσεις 1/2017 και 4/2017 της Αρχής. Επίσης, δεν υπάρχει αντιστοιχία μεταξύ των σκοπών που περιγράφονται στο αρχείο δραστηριοτήτων και στη σχετική ενημέρωση η οποία παρεχόταν στα υποκείμενα των δεδομένων κατά την περίοδο εκείνη μέσω του διαδικτυακού τόπου του ΟΑΣΑ.

Οι διαπιστώσεις της Αρχής

Σύμφωνα με τον επιτόπιο έλεγχο η Αρχή διαπίστωσε τις εξής παραβάσεις:

α. Παράβαση του άρθρου 5 παρ. 1 στοιχ. ε’ του ΓΚΠΔ αναφορικά με την αρχή του περιορισμού του χρόνου αποθήκευσης.

dpa.gr

β. Παράβαση του άρθρου 35 παρ. 1 του ΓΚΠΔ ως προς την εκπόνηση ΕΑΠΔ, αφού αυτή δεν είχε εκπονηθεί έγκαιρα (δεν ήταν διαθέσιμη κατά τη στιγμή του επιτόπιου ελέγχου), ενώ και μετά την εκπόνησή της, αλλά ακόμα και μετά και τις διάφορες αναθεωρήσεις της, προκύπτει ότι δεν έχει εκπονηθεί κατά τρόπο τέτοιο ώστε να τεκμηριώνεται απόλυτα η αντιμετώπιση όλων των κινδύνων προστασίας δεδομένων). Περαιτέρω, και στην επικαιροποιημένη ΕΑΠΔ παρατηρείται προβληματική παράθεση των νομικών βάσεων.

γ. Παράβαση του άρθρου 25 παρ. 1 του ΓΚΠΔ αναφορικά με την προστασία των δεδομένων ήδη από το σχεδιασμό, αφού, καίτοι έχουν πράγματι ληφθεί εκ σχεδιασμού μέτρα αντιμετώπισης διαφόρων κινδύνων, προκύπτει ότι υπάρχουν περιθώρια και για πρόσθετα μέτρα, για τα οποία δεν τεκμηριώνεται η μη αναγκαιότητα υλοποίησής τους τους (βλ. ανωτέρω Σκέψη 17, σημείο β’ αυτής).

δ. Παράβαση του άρθρου 30 παρ. 1 του ΓΚΠΔ αναφορικά με την ορθή τήρηση του αρχείου δραστηριοτήτων, αφού αυτό δεν ήταν ορθά συμπληρωμένο (υπήρχε ασάφεια στην περιγραφή των σκοπών επεξεργασίας). Η ανωτέρω παράβαση θεραπεύτηκε από τον υπεύθυνο επεξεργασίας, όπως προκύπτει από το υπόμνημα με τα συνοδευτικά αυτού έγγραφα που υποβλήθηκαν στην Αρχή μετά την ακρόασή του ενώπιον της Αρχής. Ωστόσο, στο επικαιροποιημένο αρχείο δραστηριοτήτων παρατίθενται -καίτοι δεν υπάρχει η σχετική υποχρέωση από τις προβλέψεις του άρθρου 30 του ΓΚΠΔ– οι αντίστοιχες νομικές βάσεις για τους διάφορους σκοπούς επεξεργασίας, για τις οποίες προκύπτει ασάφεια σύμφωνα με τα όσα περιγράφονται ανωτέρω, κατά παράβαση του άρθρου 6 παρ. 1 του ΓΚΠΔ αλλά και στην ενημέρωση που παρέχεται στα υποκείμενα των δεδομένων μέσω της ιστοσελίδας του οργανισμού.

Ως εκ τούτου, η Αρχή επισημαίνει ότι ο ΟΑΣΑ θα πρέπει να προβεί στις κατάλληλες ενέργειες προκειμένου να είναι απόλυτα σαφές ποια είναι η ορθή νομική βάση για τον κάθε σκοπό επεξεργασίας που διενεργείται μέσω του ΑΣΣΚ, και τούτο θα πρέπει να παρέχεται ως ενημέρωση και στα υποκείμενα των δεδομένων.

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr