Την Τετάρτη 1η Φεβρουαρίου, ξεκίνησε η σταδιακή εφαρμογή του ηλεκτρονικού εισιτηρίου σε Λεωφορεία, Τρόλεϊ, τη Γραμμή 1 του Μετρό (Ηλεκτρικός) και το Τραμ.
Ενώ έχει προγραμματιστεί από τη Δευτέρα 3 Απριλίου 2017 να λειτουργήσει και στις γραμμές 2 και 3 του Μετρό, δηλαδή σε όλο το σύστημα του ΟΑΣΑ.
Όμως η Αρχή Προστασίας Προσωπικών Δεδομένων εκφράζει σαφείς επιφυλάξεις, με αποτέλεσμα να υπάρξει προσωρινό μπλόκο στο ηλεκτρονικό εισιτήριο, λόγω προσωπικών δεδομένων.
Συγκεκριμενα η Αρχή Προστασίας Προσωπικών Δεδομένων, κρούει τον κώδωνα του κινδύνου όσον αφορά το μείζον θέμα της προστασίας προσωπικών δεδομένων αφού, θεωρεί, ότι «ευαίσθητα» στοιχεία των πολιτών θα καταγράφονται με το Ενιαίο Αυτόματο Σύστημα Συλλογής Κομίστρου.
Με γνωμοδότησή της η Αρχή Προστασίας Προσωπικών Δεδομένων ζητεί να υπάρξουν από τον ΟΑΣΑ αυστηρές εγγυήσεις προκειμένου να δώσει την έγκρισή της για το ηλεκτρονικό εισιτήριο που θα χρησιμοποιείται σε όλα τα Μέσα Μαζικής Μεταφοράς. Η Αρχή κάνει λόγο για μια «βροχή» προσωπικών δεδομένων που καταγράφονται με την εφαρμογή του ηλεκτρονικού εισιτηρίου. Σύμφωνα με καταγγελίες πολιτών, για την έκδοσή του απαιτείται πληθώρα στοιχείων όπως: Αριθμός Μητρώου Κοινωνικής Ασφάλισης-ΑΜΚΑ, ονοματεπώνυμο, διεύθυνση κατοικίας, ημερομηνία γέννησης, φωτογραφία σε ηλεκτρονική μορφή, αριθμό τηλεφώνου, αριθμό κινητού τηλεφώνου, αριθμό fax, ταχυδρομική διεύθυνση, ηλεκτρονική διεύθυνση κ.λπ., τα οποία θα υφίστανται επεξεργασία στο πλαίσιο του εν λόγω συστήματος.
Στην εξωτερική επιφάνεια της κάρτας θα υπάρχει μάλιστα το ονοματεπώνυμο, ο τύπος δικαιούχου, και η φωτογραφία του κατόχου, ενώ στο ολοκληρωμένο κύκλωμα (chip) της κάρτας θα τηρείται ο τύπος του δικαιούχου και η ημερομηνία λήξης δικαιώματος ή η ημερομηνία γέννησης.
Η Αρχή επισημαίνει αφενός τον υπερβολικά μεγάλο αριθμό των προσωπικών δεδομένων που θα συλλέγονται και αφετέρου την ανυπαρξία από τον ΟΑΣΑ εναλλακτικών τεχνικών λύσεων που θα επιτύγχαναν εξίσου τους επιδιωκόμενους σκοπούς και «θα εξασφάλιζαν την προστασία της ιδιωτικότητας των χρηστών».
Για τον λόγο αυτό, η Αρχή Προστασίας Προσωπικών Δεδομένων ζητεί από τον ΟΑΣΑ να προβεί στην εκπόνηση εκτίμησης επιπτώσεων στην προστασία προσωπικών δεδομένων, να τεκμηριώσει την αναγκαιότητα της επεξεργασίας των προσωπικών δεδομένων, ενώ παράλληλα τον καλεί να υιοθετήσει τα απαραίτητα μέτρα ασφάλειας.
Η Αρχή αναφέρει συγκεκριμένα ότι τα «δεδομένα στην επιφάνεια της κάρτας (ονοματεπώνυμο, φωτογραφία) και στο chip της κάρτας (αριθμός κάρτας, προφίλ (τύπος) χρήστη και ημερομηνία λήξης δικαιώματος) είναι κατ’ αρχάς πρόσφορα σε σχέση με τους επιδιωκόμενους σκοπούς. Θα πρέπει ωστόσο να ληφθεί μέριμνα, εφόσον στο chip τηρείται και κάποιο ιστορικό επικυρώσεων της κάρτας, να τεκμηριώνεται ότι το ιστορικό αυτό είναι απόλυτα αναγκαίο – και, ως εκ τούτου, το ελάχιστο δυνατό – εν όψει των επιδιωκόμενων σκοπών. Τα δεδομένα στο chip της κάρτας τηρούνται και μεταδίδονται ανέπαφα και μη κρυπτογραφημένα και, κατά συνέπεια, τυχόν απώλεια της κάρτας δύναται να επιτρέψει σε κάποιον τρίτο να ανακαλύψει και το ιστορικό των μετακινήσεών του.
Η τήρηση –είτε στο ίδιο το εισιτήριο (ηλεκτρονική κάρτα) είτε στη βάση δεδομένων- του δρομολογίου που πραγματοποιήθηκε, της ημερομηνίας και ώρας αυτού καθώς και του αριθμού του ηλεκτρονικού εισιτηρίου παραπέμπουν σε συγκεκριμένο επιβάτη, ο προσδιορισμός (ταυτοποίηση) του οποίου –με τη μορφή προσωποποιημένης πληροφόρησης- καθίσταται δυνατός εφόσον στο αρχείο που τηρεί ο υπεύθυνος επεξεργασίας υπάρχουν προσωπικά δεδομένα ταυτοποίησης του κατόχου του. Με αυτόν τον τρόπο, οι μετακινήσεις κάθε επιβάτη – χρήστη προσωποποιημένου ηλεκτρονικού εισιτηρίου παύουν πλέον να είναι ανώνυμες, με αποτέλεσμα να θίγεται υπέρμετρα η ελευθερία κίνησης ή κυκλοφορίας της οποίας αναπόσπαστο μέρος συνιστά το δικαίωμα της ανώνυμης μετακίνησης».
Η ελευθερία κίνησης, σημειώνει η Αρχή, «αποτελεί έκφανση του δικαιώματος ελεύθερης ανάπτυξης της προσωπικότητας που κατοχυρώνεται στο άρθρο 5 παρ. 1 Συντάγματος, καθώς και της εν γένει προσωπικής ελευθερίας που εδράζεται στο άρθρο 5 παρ. 3 εδ. 1 Σ.».
