Αρχή Προστασίας Δεδομένων σε ΟΑΣΑ: Πρόστιμο 50.000 ευρώ για το ηλεκτρονικό εισιτήριο
Για παραβίαση προσωπικών δεδομένων
Πρόστιμο 50.000 ευρώ στον ΟΑΣΑ, για παραβίαση προσωπικών δεδομένων μέσω του «ηλεκτρονικού εισιτηρίου», επέβαλε η Αρχή Προστασίας Προσωπικών Δεδομένων.
Σύμφωνα με την απόφαση, μετά από επιτόπιο έλεγχο στον ΟΑΣΑ τον Νοέμβριο του 2019, ζητεί τη συμμόρφωση του ΟΑΣΑ «προκειμένου να προσδιορίσει και να τεκμηριώσει, εντός ενός μηνός, όλους τους χρόνους τήρησης των προσωπικών δεδομένων για τους διάφορους σκοπούς επεξεργασίας του ΑΣΣΚ. Σε περίπτωση κατά την οποία, μετά τον εν λόγω προσδιορισμό του χρόνου τήρησης, προκύψει ότι τηρούνται ήδη δεδομένα προσωπικού χαρακτήρα καθ’ υπέρβαση του χρόνου αυτού, τότε θα πρέπει αμελλητί είτε να διαγράψει είτε να καταστήσει ανώνυμα τα δεδομένα αυτά, τεκμηριώνοντας σχετικά και ενημερώνοντας και την Αρχή».
Σημειώνεται ότι η Αρχή Προστασίας Προσωπικών Δεδομένων είχε κρίνει ήδη από το 2017 ότι η νέα μορφή επεξεργασίας όπως, όπως την περιέγραφε ο ΟΑΣΑ, έχει εναρμονιστεί σε ικανοποιητικό βαθμό με τις προϋποθέσεις που είχε θέσει με γνωμοδότησή της.
Ωστόσο, με την ίδια γνωμοδότηση έκρινε ότι ο ΟΑΣΑ, ως υπεύθυνος επεξεργασίας, θα πρέπει να προβεί σε κάποιες επιπλέον τροποποιήσεις, η αποτελεσματικότητα των οποίων πρέπει να τεκμαίρεται από μελέτη εκτίμησης αντικτύπου στην προστασία προσωπικών δεδομένων την οποία ο υπεύθυνος επεξεργασίας οφείλει να εκπονήσει και η οποία θα πρέπει να αποτυπώνεται σε εγκεκριμένο, από τη διοίκηση του ΟΑΣΑ, έγγραφο.
Με βάση την πρόσφατη απόφαση πρέπει να αναθεωρηθεί η εκτίμηση αντικτύπου ως προς τα προσωπικά δεδομένα, καθώς επίσης και να υλοποιηθούν πρόσθετα μέτρα.
Σύμφωνα με την απόφαση, η Αρχή:
- Επιβάλλει, με βάση το άρθρο 58 παρ. 2 εδαφ. θ’ του ΓΚΠΔ, πρόστιμο στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.» συνολικού ύψους 50.000 ευρώ, για την παραβίαση του άρθρου 5 παρ. 2 στοιχ. ε’ του Κανονισμού (ΕΕ) 2016/679.
- Απευθύνει, με βάση το άρθρο 58 παρ. 2 β’ του Κανονισμού (ΕΕ) 2016/679, επίπληξη στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.» για τις παραβιάσεις της διατάξεων του άρθρου 25 παρ. 1 και του άρθρου 35 παρ. 1 του Κανονισμού (ΕΕ) 2016/679.
- Δίνει εντολή συμμόρφωσης στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.», σύμφωνα με το άρθρο 58 παρ. 2 δ ́ του ΓΚΠΔ, προκειμένου να προσδιορίσει και να τεκμηριώσει, εντός ενός (1) μηνός, όλους τους χρόνους τήρησης των δεδομένων για τους διάφορους σκοπούς επεξεργασίας του ΑΣΣΚ. Σε περίπτωση κατά την οποία, μετά τον εν λόγω προσδιορισμό του χρόνου τήρησης, προκύψει ότι τηρούνται ήδη δεδομένα προσωπικού χαρακτήρα καθ’ υπέρβαση του χρόνου αυτού, τότε θα πρέπει αμελλητί είτε να διαγράψει είτε να καταστήσει ανώνυμα τα δεδομένα αυτά, τεκμηριώνοντας σχετικά και ενημερώνοντας και την Αρχή. Η σχετική ενημέρωση για τους χρόνους διατήρησης των δεδομένων, για τους διάφορους σκοπούς επεξεργασίας, θα πρέπει να παρέχεται και στα υποκείμενα των δεδομένων. Σε κάθε περίπτωση, για τον προσδιορισμό του χρόνου τήρησης των δεδομένων, ο ΟΑΣΑ θα πρέπει να εξετάσει αν το ενδεχόμενο ανωνυμοποίησης των δεδομένων επαναφόρτισης, επικύρωσης και ελέγχου κομίστρου (ήτοι διαγραφή του μοναδικού αριθμού της κάρτας, με διατήρηση των λοιπών πληροφοριών όπως κατηγορία δικαιούχου, σημεία και χρόνοι επικύρωσης κτλ.), σε σύντομο χρονικό διάστημα από τη δημιουργία τους, επηρεάζει δυσμενώς τους λοιπούς σκοπούς επεξεργασίας με σχετική τεκμηρίωση σε καταφατική περίπτωση.
- Δίνει εντολή συμμόρφωσης στην «Οργανισμό Αστικών Συγκοινωνιών Α.Ε.», σύμφωνα με το άρθρο 58 παρ. 2 δ ́ του ΓΚΠΔ, προκειμένου, εντός τριών (3) μηνών, να αναθεωρηθεί η εκτίμηση αντικτύπου ως προς τα προσωπικά δεδομένα σύμφωνα με τα όσα διαλαμβάνονται στην παρούσα, καθώς επίσης και να υλοποιηθούν στο πλαίσιο αυτό όποια πρόσθετα μέτρα κριθεί, εκ του αποτελέσματος της αναθεώρησης αυτής, ότι είναι αναγκαία για την αντιμετώπιση των διαφόρων κινδύνων, λαμβάνοντας υπόψη τα όσα διαλαμβάνονται στη Σκέψη 17 της παρούσας.